Acceso a la WAN

ciscopress.com

Guía Portátil Cisco

Versión 4.0

CCNA Exploration

Acceso a la WAN

ii Guía Portátil Cisco. CCNA Exploration: Acceso a la WAN, Versión 4.0

Guía Portátil CiscoCCNA ExplorationAcceso a la WANVersión 4.0Cisco Networking Academy

Copyright© 2010 Cisco Systems, Inc.

Published by:Cisco Press800 East 96th Street Indianapolis, IN 46240 USA

All rights reserved. No part of this book may be reproduced or transmitted in anyform or by any means, electronic or mechanical, including photocopying, recording,or by any information storage and retrieval system, without written permission fromthe publisher, except for the inclusion of brief quotations in a review.

Printed in the United States of America

First Printing September 2009

Library of Congress Cataloging-in-Publication Data is available upon request

ISBN-13: 978-1-58713-255-1

ISBN-10: 1-58713-255-9

Advertencia y exención de responsabilidadEste libro proporciona información sobre cómo accesar a la WAN. Hemos hechonuestro mejor esfuerzo para que este libro sea lo más completo posible, pero esto noimplica una garantía ni precisión al respecto.

La información se proporciona “como está”. Los autores, Cisco Press y CiscoSystems, Inc. no tendrán ningún tipo de responsabilidad con ninguna persona o entidad, con respecto a cualquier pérdida o daño producido por la información contenida en este libro, o por el uso de los discos o programas que lo acompañen.

Las opiniones expresadas en este libro pertenecen a los autores y no necesariamentereflejan las de Cisco Systems, Inc.

EditorPaul Boger

Editor asociadoDave Dusthimer

Representante de CiscoErik Ullanderson

Director del programaCisco PressAnand Sundaram

Editor ejecutivoMary Beth Ray

Jefe de redacciónPatrick Kanouse

Editor del proyectoBethany Wall

Asistente editorialVanessa Evans

Diseño de portadaLouisa Adair

FormaciónMark Shirar

Este libro forma parte de la serie Cisco Networking Academy® de Cisco Press. Los productos de esta serie apoyan y complementan el plan de estudios de Cisco Networking Academy. Si usted está usando este libro fuera de Networking Academy, entonces no se está preparando con un proveedor capacitado y autorizado por Cisco Networking Academy.

Para obtener más información acerca Cisco Networking Academy o localizar un Networking Academy, por favor visite www.cisco.com/edu.

Traducción autorizada de la obra en inglés titulada COURSE BOOKLET FORCCNA EXPLORATION ACCESING THE WAN, VERSION 4.01.

Authorized translation from the English language edition, entitled COURSE BOOKLET FOR CCNA EXPLORATION ACCESSING THE WAN, VERSION 4.01,1st Edition by CISCO NETWORKING ACADEMY, published by Pearson Education,Inc, publishing as Cisco Press, Copyright © 2010 Cisco Systems, Inc. ISBN-13: 978-1-58713-255-1ISBN-10: 1-58713-255-9

All rights reserved. No part of this book may be reproduced or transmitted in anyform or by any means, electronic or mechanical, including photocopying, recordingor by any information storage retrieval system, without permission from PearsonEducation, Inc.

SPANISH language edition published by PEARSON EDUCACIÓN DE MÉXICOS.A. DE C.V., Copyright © 2011.

Atlacomulco 500, 5º pisoCol. Industrial AtotoC.P. 53519, Naucalpan de Juárez, Edo. de MéxicoCámara Nacional de la Industria Editorial Mexicana Reg. Núm. 1031

ISBN: 978-607-32-0420-0

Reconocimiento de marcas registradasTodos los términos que se mencionan en este libro y que sean marcas registradas o marcas de servicio reconoci-das están escritas en mayúsculas, según sea apropiado. Ni Cisco Press ni Cisco Systems, Inc. pueden avalar laprecisión de esta información. La forma en que se usó un término en este libro no debe afectar la validez decualquier marca registrada o marca de servicio.

Retroalimentación de informaciónEn Cisco Press, nuestro objetivo es crear libros técnicos de la más alta calidad y valor. Cada libro es diseñadocon gran cuidado y precisión, bajo una rigurosa supervisión en la que interviene la experiencia única de losmiembros de la comunidad técnica profesional.

Los comentarios de nuestros lectores son una continuación natural de este proceso. Si tiene algún comentariosobre cómo podríamos mejorar la calidad de este libro, o hacer alguna modificación para que se adapte mejor asus necesidades, contáctenos por correo electrónico en [email protected]. Por favor, asegúrese de incluirel título del libro y el ISBN en su mensaje.

Apreciaremos mucho sus comentarios.

iii

Cisco cuenta con más de 200 oficinas en todo el mundo. Las direcciones, números telefónicos y de fax aparecen en el sitio web de Cisco www.cisco.com/go/offices

CCDE, CCENT, Cisco Eos, Cisco HealthPresence, the Cisco logo, Cisco Lumin, Cisco Nexus, Cisco StadiumVision, Cisco TelePresence, Cisco WebEx, DCE, and Welcome to theHuman Network son marcas comerciales; en cambio, Way We Work, Live, Play, and Learn and Cisco Store son marcas de servicio; y Access Registrar, Aironet, AsyncOS, Bringing theMeeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, CiscoSystems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive,HomeLink, Internet Quotient, IOS, iPhone, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers,Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to IncreaseYour Internet Quotient, TransPath, WebEx, y the WebEx logo son marcas registradas de Cisco Systems, Inc. y/o sus filiales en Estados Unidos y otros países.

Todas las demás marcas registradas en este documento o en el sitio web son propiedad de sus respectivos dueños. El uso de estos nombres no implica una relación o sociedad entreCisco y cualquier otra compañía. (0812R)

Resumen de contenido

Introducción 1

Capítulo 1 Introducción a las redes WANs 5

Capítulo 2 PPP 31

Capítulo 3 Frame Relay 59

Capítulo 4 Seguridad de la red 85

Capítulo 5 ACL 139

Capítulo 6 Servicios de trabajadores a distancia 165

Capítulo 7 Servicios de direccionamiento IP 187

Capítulo 8 Resolución de problemas de red 225

Glosario 259

iv Guía Portátil Cisco. CCNA Exploration: Acceso a la WAN, Versión 4.0

Contenido

Introducción al curso 1

Capítulo 1 Introducción a las redes WAN 5

Introducción 5

1.1 Provisión de servicios integrados a la empresa 5

1.1.1 Introducción de redes de área extensa (WAN) 5

1.1.2 La empresa en evolución 6

1.1.3 El modelo de red en evolución 9

1.2 Conceptos de tecnología WAN 11

1.2.1 Descripción general de la tecnología WAN 11

1.2.2 Conceptos de capa física de la WAN 12

1.2.3 Conceptos de la capa de enlace de datos de la WAN 14

1.2.4 Conceptos de conmutación WAN 15

1.3 Opciones de conexión WAN 17

1.3.1 Opciones de conexión de enlace WAN 17

1.3.2 Opciones de conexión de enlace dedicado 18

1.3.3 Opciones de conexión por conmutación de circuitos 19

1.3.4 Opciones de conexión por conmutación de paquetes 21

1.3.5 Opciones de conexión por Internet 22

1.4 Prácticas de laboratorio del capítulo 27

1.4.1 Repaso del reto 27

Resumen del capítulo 28

Capítulo 2 PPP 31

Introducción 31

2.1 Enlaces seriales punto a punto 31

2.1.1 Introducción a las comunicaciones seriales 31

2.1.2 TDM 34

2.1.3 Punto de demarcación 36

2.1.4 DTE y DCE 36

2.1.5 Encapsulación HDLC 38

2.1.6 Configuración de encapsulación HDLC 40

2.1.7 Resolución de problemas de las interfaces serial 40

2.2 Conceptos del PPP 41

2.2.1 Introducción al PPP 41

2.2.2 Arquitectura de capas PPP 42

2.2.3 Estructura de trama PPP 43

2.2.4 Establecimiento de una sesión PPP 43

2.2.5 Establecimiento de un enlace con el LCP 44

2.2.6 Explicación de NCP 45

v

2.3 Configuración del PPP 46

2.3.1 Opción de configuración del PPP 46

2.3.2 Comandos de configuración PPP 47

2.3.3 Verificación de una configuración de encapsulación serial PPP 48

2.3.4 Resolución de problemas de encapsulación PPP 49

2.4 Configuración de PPP con autenticación 51

2.4.1 Protocolos de autenticación PPP 51

2.4.2 Protocolo de autenticación de contraseña (PAP) 52

2.4.3 Protocolo de autenticación de intercambio de señales (CHAP) 52

2.4.4 Encapsulación y proceso de autenticación del PPP 53

2.4.5 Configuración de PPP con autenticación 54

2.4.6 Resolución de problemas de una configuración PPP con autenticación 55


2.5.1 Configuración básica de PPP 56

2.5.2 Configuración de PPP de comprobación 56

2.5.3 Resolución de problemas de la configuración PPP 56


Capítulo 3 Frame Relay 59

Introducción 59

3.1 Conceptos básicos de Frame Relay 59

3.1.1 Introducción a la tecnología Frame Relay 59

3.1.2 Circuitos virtuales 63

3.1.3 Encapsulación Frame Relay 64

3.1.4 Topologías de Frame Relay 65

3.1.5 Asignación de direcciones Frame Relay 66

3.2 Configuración de Frame Relay 70

3.2.1 Configuración básica de Frame Relay 70

3.2.2 Configuración de mapas estáticos de Frame Relay 71

3.3 Conceptos avanzados de Frame Relay 72

3.3.1 Solución de problemas relacionados a la posibilidad de conexión 72

3.3.2 Pago de Frame Relay 74

3.3.3 Control de flujo de Frame Relay 76

3.4 Configuración avanzada de Frame Relay 77

3.4.1 Configuración de las subinterfaces Frame Relay 77

3.4.2 Verificación del funcionamiento de Frame Relay 78

3.4.3 Resolución de problemas de configuración de Frame Relay 80


3.5.1 Frame Relay básico 80

3.5.2 Desafío de configuración de Frame Relay 81

3.5.3 Resolución de problemas de Frame Relay 81


vi Guía Portátil Cisco. CCNA Exploration: Acceso a la WAN, Versión 4.0

Capítulo 4 Seguridad de la red 85

Introducción 85

4.1 Introducción a la seguridad de la red 85

4.1.1 ¿Por qué es importante la seguridad de la red? 85

4.1.2 Amenazas comunes a la seguridad 89

4.1.3 Tipos de ataques a redes 92

4.1.4 Técnicas generales de mitigación 99

4.1.5 La rueda de seguridad de la red 103

4.1.6 La política de seguridad de la empresa 105

4.2 Protección de los routers Cisco 107

4.2.1 Problemas con la seguridad de los routers 107

4.2.2 Aplicación de las características de seguridad del IOS de Cisco a los routers 109

4.2.3 Administración de la seguridad de los routers 109

4.2.4 Protección del acceso remoto administrativo a los routers 111

4.2.5 Actividad de registro de los routers 115

4.3 Servicios de red de router seguro 116

4.3.1 Servicios e interfaces de routers vulnerables 116

4.3.2 Protección de los protocolos de enrutamiento 118

4.3.3 Bloqueo de su router con Auto Secure de Cisco 121

4.4 Uso del SDM de Cisco 122

4.4.1 Descripción general del SDM de Cisco 122

4.4.2 Configuración de su router para que sea compatible con el SDM de Cisco 122

4.4.3 Inicio del SDM de Cisco 123

4.4.4 La interfaz SDM de Cisco 123

4.4.5 Asistentes del SDM de Cisco 124

4.4.6 Bloqueo de un router con el SDM de Cisco 125

4.5 Administración segura de routers 125

4.5.1 Mantenimiento de las imágenes del software IOS de Cisco 125

4.5.2 Administración de las imágenes del IOS de Cisco 126

4.5.3 Administración de las imágenes del IOS de Cisco 129

4.5.4 Realización de una copia de seguridad y una actualización de la imagen del software 130

4.5.5 Recuperación de las imágenes del software 131

4.5.6 Resolución de problemas de las configuraciones del IOS de Cisco 133

4.5.7 Recuperación de una contraseña de router perdida 135


4.6.1 Configuración de seguridad básica 137

4.6.2 Desafío de configuración de seguridad 137

4.6.3 Configuración de la seguridad de la resolución de problemas 137


vii

Capítulo 5 ACL 139

Introducción 139

5.1 Cómo utilizar las ACL para la protección de redes 139

5.1.1 Una conversación TCP 139

5.1.2 Filtrado de paquetes 140

5.1.3 ¿Qué es una ACL? 141

5.1.4 Funcionamiento de las ACL 142

5.1.5 Tipos de ACL de Cisco 144

5.1.6 ¿Cómo funciona una ACL estándar? 144

5.1.7 Numeración y denominación de las ACL 145

5.1.8 Dónde ubicar las ACL 145

5.1.9 Pautas generales para la creación de las ACL 146

5.2 Configuración de las ACL estándar 146

5.2.1 Cómo ingresar sentencias de criterios 146

5.2.2 Configuración de las ACL estándar 146

5.2.3 Máscara wildcard de las ACL 147

5.2.4 Cómo aplicar las ACL estándar a las interfaces 150

5.2.5 Edición de ACL numeradas 152

5.2.6 Creación de ACL estándar nombradas 153

5.2.7 Monitoreo y verificación de ACL 153

5.2.8 Edición de las ACL con nombre 153

5.3 Configuración de las ACL extendidas 154

5.3.1 ACL extendidas 154

5.3.2 Configuración de las ACL extendidas 155

5.3.3 Cómo aplicar las ACL extendidas a las interfaces 155

5.3.4 Creación de las ACL extendidas nombradas 156

5.4 Configuración de ACL complejas 157

5.4.1 ¿Qué son las ACL complejas? 157

5.4.2 ACL dinámicas 157

5.4.3 ACL reflexivas 158

5.4.4 ACL basadas en el tiempo 159

5.4.5 Resolución de problemas relacionados con los errores comunes de las ACL 160


5.5.1 Listas básicas de control de acceso 161

5.5.2 Desafío de las listas de control de acceso 161

5.5.3 Resolución de problemas de las listas de control de acceso 162


viii Guía Portátil Cisco. CCNA Exploration: Acceso a la WAN, Versión 4.0

Capítulo 6 Servicios de trabajadores a distancia 165

Introducción 165

6.1 Requisitos comerciales para los servicios de trabajo a distancia 165

6.1.1 Los requisitos comerciales para los servicios de trabajo a distancia 165

6.1.2 La solución del trabajador a distancia 166

6.2 Servicios de banda ancha 167

6.2.1 Conexión a la WAN de los trabajadores a distancia 167

6.2.2 Cable 168

6.2.3 DSL 171

6.2.4 Conexión inalámbrica de banda ancha 173

6.3 Tecnología VPN 176

6.3.1 Las redes VPN y sus beneficios 176

6.3.2 Tipos de VPN 178

6.3.3 Componentes de la VPN 178

6.3.4 Características de las VPN seguras 179

6.3.5 Tunneling de VPN 179

6.3.6 Integridad de datos de la VPN 180

6.3.7 Protocolos de seguridad IPsec 183


Capítulo 7 Servicios de direccionamiento IP 187

Introducción 187

7.1 DHCP 187

7.1.1 Introducción a DHCP 187

7.1.2 Funcionamiento de DHCP 188

7.1.3 BOOTP y DHCP 190

7.1.4 Configuración de un servidor de DHCP 193

7.1.5 Configuración del cliente DHCP 195

7.1.6 Relay DHCP 195

7.1.7 Configuración de un servidor de DHCP con SDM 197

7.1.8 Resolución de problemas de DHCP 197

7.2 Escalamiento de redes con NAT 200

7.2.1 Direccionamiento IP público y privado 200

7.2.2 ¿Qué es NAT? 201

7.2.3 Ventajas y desventajas del uso de NAT 204

7.2.4 Configuración de NAT estática 205

7.2.5 Configuración de NAT dinámica 206

7.2.6 Configuración de la sobrecarga de NAT 206

7.2.7 Configuración de reenvío de puertos 207

7.2.8 Verificación y resolución de problemas de configuraciones NAT 208

ix

7.3 IPv6 210

7.3.1 Motivos para utilizar IPv6 210

7.3.2 Direccionamiento IPv6 214

7.3.3 Estrategias de transición a IPv6 217

7.3.4 Stack doble del IOS de Cisco 218

7.3.5 Tunneling IPv6 218

7.3.6 Consideraciones de enrutamiento con IPv6 219

7.3.7 Configuración de direcciones IPv6 221

7.3.8 Configuración de RIPng con IPv6 222

7.3.9 Verificación y resolución de problemas de RIPng 222


7.4.1 Configuración básica de DHCP y NAT 223

7.4.2 Desafío de configuración de DHCP y NAT 223

7.4.3 Resolución de problemas de DHCP y NAT 223


Capítulo 8 Resolución de problemas de red 225

Introducción 225

8.1 Establecimiento de la línea de base de rendimiento de la red 225

8.1.1 Documentación de la red 225

8.1.2 Documentación de la red 226

8.1.3 ¿Por qué es importante establecer una línea de base de red? 227

8.1.4 Pasos para establecer una línea de base de red 228

8.2 Herramientas y metodologías de resolución de problemas 229

8.2.1 Enfoque general para la resolución de problemas 229

8.2.2 Uso de modelos en capas para la resolución de problemas 230

8.2.3 Procedimientos generales de resolución de problemas 231

8.2.4 Métodos de resolución de problemas 232

8.2.5 Recopilación de síntomas 233

8.2.6 Herramientas de resolución de problemas 234

8.3 Problemas frecuentes en la implementación de WAN 237

8.3.1 Comunicaciones en las WAN 237

8.3.2 Pasos en el diseño de las WAN 237

8.3.3 Consideraciones sobre el tráfico de WAN 238

8.3.4 Consideraciones sobre la topología de WAN 238

8.3.5 Consideraciones sobre el ancho de banda de WAN 240

8.3.6 Problemas frecuentes en la implementación de WAN 240

8.3.7 Estudio de caso: resolución de problemas de WAN desde la perspectiva de un ISP 240

x Guía Portátil Cisco. CCNA Exploration: Acceso a la WAN, Versión 4.0

8.4 Resolución de problemas de red 241

8.4.1 Interpretación de diagramas de red para identificar problemas 241

8.4.2 Resolución de problemas de la capa física 242

8.4.3 Resolución de problemas de la capa de enlace de datos 245

8.4.4 Resolución de problemas de la capa de red 250

8.4.5 Resolución de problemas de la capa de transporte 251

8.4.6 Resolución de problemas de la capa de aplicación 254


8.5.1 Resolución de problemas de redes empresariales 1 256




Glosario 259

xi

Convención de la sintaxis de los comandos utilizados en este libroLa convención utilizada para presentar la sintaxis de los comandos en este libro es la mismaque se emplea en el IOS Command Reference, el cual la describe de la siguiente manera:

■ Negrita indica comandos y palabras clave que se escribieron literalmente tal como sepresentan. En la salida y los ejemplos de configuración reales (no la sintaxis de coman-dos generales), el texto en negritas indica comandos que son introducidos manualmentepor el usuario (como el comando mostrar).

■ Itálica indica argumentos para los cuales usted debe proporcionar valores reales.

■ Barras verticales ( | ) separan elementos alternativos mutuamente exclusivos.

■ Corchetes ( [ ] ) indican un elemento opcional.

■ Llaves ( { } ) indican que se requiere una opción.

■ Llaves dentro de corchetes ( [ { } ] ) indican que se requiere una opción dentro de unelemento opcional.

Acerca de este libroSu Guía Portátil Cisco de Cisco Networking Academy es una forma de leer el texto delcurso sin estar conectado a Internet.

Gracias a su diseño como recurso de estudio, puede leer, resaltar y repasar con facilidadmientras se desplaza de un lado a otro, en donde no haya una conexión disponible a Interneto no sea práctico:

■ El texto se extrae de manera directa, palabra por palabra, del curso en línea, para queusted pueda resaltar los puntos importantes.

■ Los encabezados con su correlación exacta de página ofrecen una rápida referencia alcurso en línea para su análisis en el salón de clases y al prepararse para los exámenes.

■ Un sistema de iconos lo lleva al plan de estudios en línea, para que aproveche al máxi-mo las imágenes, laboratorios, actividades de Packet Tracer y las actividades dinámicasbasadas en Flash que están incrustadas dentro de la interfaz del curso en línea de laCisco Networking Academy.

La Guía Portátil Cisco es un recurso rápido, con un enfoque en el ahorro de papel, que loayudará a alcanzar el éxito en el curso en línea de Cisco Networking Academy.

xii Guía Portátil Cisco. CCNA Exploration: Acceso a la WAN, Versión 4.0

Introducción al curso

BienvenidoBienvenido al curso Acceso a la WAN de CCNA Exploration. El objetivo de este curso es presen-tar los conceptos y las tecnologías básicas del sistema de redes. Este material del curso en línea loayudará a desarrollar las aptitudes necesarias para planificar e implementar redes pequeñas conuna variedad de aplicaciones. Las habilidades específicas estudiadas en cada capítulo se describenal comienzo de los mismos.

Más que sólo informaciónEste ambiente de aprendizaje asistido por PC es una parte importante de la experiencia total delcurso para alumnos e instructores de Networking Academy. Este material en línea del curso estádiseñado para utilizarse junto con muchas otras herramientas y actividades instructivas. Éstas in-cluyen:

■ Presentación en clase, debates y práctica con su instructor

■ Prácticas de laboratorio con equipos de redes dentro del aula de Networking Academy

■ Evaluaciones en línea y libro de calificaciones correspondiente

■ La herramienta de simulación Packet Tracer 4.1

■ Software adicional para actividades en clase

Una comunidad globalCuando participa en Networking Academy, se suma a una comunidad global conectada por tec-nologías y objetivos en común. En el programa, participan escuelas, institutos de enseñanza supe-rior, universidades y otras entidades de más de 160 países. En http://www.academynetspace.com,puede acceder a una visualización de la comunidad global de Networking Academy.

El material de este curso abarca una amplia variedad de tecnologías que facilitan la manera en laque las personas trabajan, viven, juegan y aprenden mediante comunicaciones de voz, video yotros datos. El sistema de redes e Internet afectan de diferentes maneras a personas de distintaspartes del mundo. Si bien hemos trabajado con instructores de todo el mundo para crear estos ma-teriales, es importante que trabaje con su instructor y sus compañeros para adaptar el material eneste curso a su situación local.

2 Guía Portátil Cisco. CCNA Exploration: Acceso a la WAN, Versión 4.0

Manténgase comunicadoEste material de instrucción en línea, así como las demás herramientas del curso, forma parte dealgo más grande: la Networking Academy. Puede encontrar el portal para este programa enhtt://cisco.netacad.net. Allí obtendrá acceso a las demás herramientas del programa, como el servi-dor de evaluación y el libro de calificaciones del alumno, así como también a actualizaciones in-formativas y a otros enlaces relevantes.

Mind Wide Open®Un objetivo importante en la educación es enriquecer al alumno (a usted) al ampliar lo que sabe ylo que puede hacer. Sin embargo, es importante comprender que el material de instrucción y el ins-tructor sólo pueden facilitarle el proceso. Usted debe comprometerse a aprender nuevas aptitudes.A continuación, se incluyen algunas sugerencias que lo ayudarán a aprender y a crecer.

1. Tome notas. Con frecuencia, los profesionales en el campo del sistema de redes conservanDiarios de ingeniería en los que escriben lo que observan y lo que aprenden. Tomar notas esun método importante que, con el tiempo, lo ayudará a mejorar su comprensión.

2. Reflexione. El curso proporciona información necesaria para cambiar lo que ya sabe y lo quepuede hacer. A medida que avance en el curso, pregúntese qué tiene sentido y qué no.Deténgase y haga preguntas cuando no comprenda. Intente averiguar más sobre los temas que le interesan. Si no está seguro de por qué se enseña algo, pregúntele a su instructor o a unamigo. Piense cómo se complementan las distintas partes del curso.

3. Practique. Aprender nuevas habilidades requiere de práctica. Creemos que practicar es tanimportante para el e-learning que le dimos un nombre especial. Lo llamamos e-doing. Es desuma importancia que complete las actividades en el material de instrucción en línea, lasprácticas de laboratorio y las actividades de Packet Tracer.

4. Practique nuevamente. ¿Alguna vez le pasó que pensaba que sabía hacer algo y después,cuando llegó el momento de demostrarlo en una prueba o en el trabajo, descubrió que todavíano lo dominaba por completo? Al igual que cuando se aprende cualquier nueva habilidad,como un deporte, un juego o un idioma, aprender una aptitud profesional requiere paciencia ymucha práctica antes de que pueda decir que realmente la ha aprendido. El material deinstrucción en línea de este curso le brinda oportunidades para practicar mucho distintasaptitudes. Aprovéchelas al máximo. También puede trabajar con su instructor para aprenderPacket Tracer y otras herramientas para realizar prácticas adicionales según sea necesario.

5. Enseñe. Con frecuencia, enseñarle a un amigo o a un colega es una buena forma de reforzarsu propio aprendizaje. Para enseñar bien, deberá completar los detalles que tal vez hayapasado por alto en la primera lectura. Las conversaciones con compañeros, colegas y elinstructor sobre el material del curso pueden ayudarlo a fijar los conocimientos de losconceptos del sistema de redes.

6. Realice cambios a medida que avanza. El curso está diseñado para proporcionarcomentarios mediante actividades y cuestionarios interactivos, el sistema de evaluación enlínea y a través de interacciones estructuradas con su instructor. Puede utilizar estoscomentarios para entender mejor cuáles son sus fortalezas y debilidades. Si existe un área en la que tiene problemas, concéntrese en estudiar o practicar más esa área. Solicitecomentarios adicionales a su instructor y a otros alumnos.

Explore el mundo del sistema de redesEsta versión del curso incluye una herramienta especial llamada Packet Tracer 4.1.® Packet Traceres una herramienta de aprendizaje del sistema de redes que admite una amplia variedad de simula-ciones físicas y lógicas. También proporciona herramientas de visualización para ayudarlo a com-prender el funcionamiento interno de una red.

Las actividades ya preparadas de Packet Tracer constan de simulaciones de red, juegos, actividadesy desafíos que proporcionan una amplia gama de experiencias de aprendizaje.

Cree sus propios mundosTambién puede utilizar Packet Tracer para crear sus propios experimentos y situaciones del sis-tema de redes. Esperamos que, con el tiempo, considere utilizar el Packet Tracer no sólo para ex-perimentar las actividades ya preparadas, sino también para convertirse en autor, explorador yexperimentador

Los materiales del curso en línea tienen actividades de Packet Tracer incorporadas que se inicianen computadoras con sistema operativo Windows®, si Packet Tracer está instalado. Esta inte-gración también puede funcionar en otros sistemas operativos que usan la emulación de Windows.

Descripción general del cursoEl enfoque principal de este curso es el acceso a las redes de área extensa (WAN). El objetivo esdesarrollar la comprensión de diversas tecnologías WAN para conectar redes de pequeñas a media-nas empresas.

El curso presenta las aplicaciones WAN convergentes y la calidad de servicio (QoS, quality ofservice). Se centra en tecnologías WAN, entre ellas PPP, Frame Relay y enlaces de banda ancha.Los conceptos de seguridad de WAN se analizan a detalle, incluidos los tipos de amenazas, lasmaneras para analizar las vulnerabilidades de la red, los métodos generales para mitigar amenazasde seguridad comunes y los tipos de dispositivos y aplicaciones de seguridad. Luego el curso ex-plica los principios de control del tráfico y las listas de control de acceso (ACL) y describe cómoimplementar servicios de direccionamiento IP para redes empresariales, incluidas las configura-ciones NAT y DHCP. También se analizan los conceptos de direccionamiento de IPv6. Durante eldesarrollo del curso, aprenderá a utilizar el Router Cisco y el Administrador de dispositivos de se-guridad (SDM, Security Device Manager) para proteger la seguridad de un router e implementarservicios de direccionamiento IP. Finalmente, los alumnos aprenderán a detectar, resolver y corre-gir problemas comunes de implementación de redes empresariales.

Las prácticas de laboratorio y las actividades del Packet Tracer que se utilizan en este curso estándiseñadas para ayudarle a comprender cómo configurar las operaciones de enrutamiento y a la vezreforzar los conceptos aprendidos en cada capítulo.

Capítulo 1 Introducción a las redes WAN: en el Capítulo 1 aprenderá los conceptos fundamen-tales de redes WAN empresariales, las tecnologías disponibles para implementarlas y la termi-nología utilizada para hablar sobre ellas. Aprenderá cómo la arquitectura empresarial de Ciscoproporciona servicios integrados a través de una red empresarial y cómo seleccionar la tecnologíaWAN apropiada para satisfacer diferentes requisitos comerciales empresariales.

Introducción al curso 3

Capítulo 2 PPP: el Capítulo 2 se centra en las comunicaciones seriales punto a punto y en el pro-tocolo punto a punto (PPP, Point-to-Point Protocol). La comprensión del funcionamiento de losenlaces de comunicaciones punto a punto para brindar acceso a una WAN es importante para lacomprensión general del funcionamiento de las WAN. Se analizan diversos aspectos del PPP, entreellos la protección de la seguridad de PPP con el protocolo de autenticación de contraseñas (PAP,Password Authentication Protocol) o el método más eficaz del protocolo de autenticación de inter-cambio de señales (CHAP, Challenge Handshake Authentication Protocol).

Capítulo 3 Frame Relay: el Capítulo 3 se centra en el protocolo WAN de alto rendimiento FrameRelay. Aprenderá cómo implementar Frame Relay para utilizarlo en varias LAN sobre una WAN.

Capítulo 4 Seguridad de red: este capítulo presenta el tema de la seguridad de las redes, queahora se encuentra al frente de la administración e implementación de redes. El desafío general dela seguridad es encontrar un equilibrio entre dos importantes requisitos: la necesidad de abrir redespara respaldar las oportunidades comerciales en evolución y la de proteger información comercialprivada, personal y estratégica. Aprenderá a identificar las amenazas de seguridad a las que estánexpuestas las redes empresariales y las técnicas para mitigarlas. También aprenderá a configurarparámetros de seguridad básicos en routers y a deshabilitar recursos e interfaces que no se utilizan.Finalmente, aprenderá a administrar configuraciones y archivos IOS.

Capítulo 5 ACL: el Capítulo 5 amplía los conceptos presentados en el Capítulo 4 y se centra en laaplicación de ACL. Una de las habilidades más importantes que necesita un administrador de redeses el dominio de las listas de control de acceso (ACL). Aprenderá a crear firewalls con ACL están-dar y extendidas. Finalmente, aprenderá funciones avanzadas de las ACL, incluidas las ACLdinámicas, reflexivas y temporizadas.

Capítulo 6 Servicios de trabajadores a distancia: el Capítulo 6 analiza las tecnologías de bandaancha desde la perspectiva de los empleados a distancia. Específicamente, aprenderá acerca de lasopciones de banda ancha de conexión por cable, DSL e inalámbrica. También explorará la maneraen la que se utilizan las VPN para proporcionar conexiones de banda ancha seguras.

Capítulo 7 Servicios de direccionamiento IP: el Capítulo 7 describe cómo una sucursal puedeproporcionar servicios de direccionamiento IP a los usuarios. Se identificarán los requisitos de losempleados a distancia y se recomendarán arquitecturas para proporcionar servicios de trabajo adistancia. Específicamente, aprenderá a configurar un router para que actúe como servidor de pro-tocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) y a inte-grar direcciones privadas y traducción de direcciones de red (NAT, Network Address Translation).Se finalizará con una descripción general de IPv6 y cómo configurar routers para intercambiarrutas de IPv6 con RIPng.

Capítulo 8 Resolución de problemas de red: el Capítulo 8 es el capítulo final del curso. Apren-derá a establecer una línea de base de red y a desarrollar documentación de red para asistir en laresolución de problemas de la red. También desarrollará habilidades de resolución de problemasde la red mediante el repaso de la metodología de resolución de problemas. Aprenderá a identificary a resolver problemas comunes de implementación de redes empresariales con un enfoque demodelo en capas.


CAPÍTULO 1

Introducción a las redes WAN

IntroducciónCuando una empresa crece y agrega sucursales, servicios de comercio electrónico u operacionesglobales, una sola red LAN ya no es suficiente para satisfacer los requisitos de la empresa. En laactualidad, el acceso a una red de área extensa (WAN, Wide Area Network) se ha vuelto esencialpara las empresas grandes.

Existe una variedad de tecnologías WAN que satisfacen las diferentes necesidades de las empresasy hay muchas maneras de agrandar la red. Al agregar el acceso WAN, se presentan otros aspectos atomar en cuenta, como la seguridad de la red y la administración de las direcciones. Por lo tanto,el diseño de una WAN y la elección de los servicios de red adecuados de una portadora no son unacuestión simple.

En este capítulo, primero analizará algunas de las opciones disponibles para diseñar WAN empre-sariales, las tecnologías disponibles para implementarlas y la terminología utilizada para explicar-las. Aprenderá a seleccionar las tecnologías, los servicios y los dispositivos WAN apropiados parasatisfacer los requisitos cambiantes de una empresa en evolución. Las actividades y las prácticasen el laboratorio confirman y refuerzan su aprendizaje.

Al finalizar este capítulo, podrá identificar y describir las tecnologías WAN apropiadas para habili-tar servicios WAN integrados a través de una red empresarial con varias ubicaciones.

1.1 Provisión de servicios integrados a la empresa

1.1.1 Introducción de redes de área extensa (WAN)¿Qué es una WAN?

Una WAN es una red de comunicación de datos que opera más allá del alcance geográfico de unaLAN.

Las WAN se diferencian de las LAN en varios aspectos. Mientras que una LAN conecta compu-tadoras, dispositivos periféricos y otros dispositivos de un solo edificio o de otra área geográficapequeña, una WAN permite la transmisión de datos a través de distancias geográficas mayores.Además, la empresa debe suscribirse a un proveedor de servicios WAN para poder utilizar los ser-vicios de red de portadora de WAN. Las LAN normalmente son propiedad de la empresa o de laorganización que las utiliza.

Las WAN utilizan instalaciones suministradas por un proveedor de servicios, o portadora, comouna empresa proveedora de servicios de telefonía o una empresa proveedora de servicios de cable,para conectar los sitios de una organización entre sí con sitios de otras organizaciones, con servi-cios externos y con usuarios remotos. En general, las WAN transportan varios tipos de tráfico,tales como voz, datos y video.


Las tres características principales de las WAN son las siguientes:

■ Las WAN generalmente conectan dispositivos que están separados por un área geográfica másextensa que la que puede cubrir una LAN.

■ Las WAN utilizan los servicios de operadoras, como empresas proveedoras de servicios detelefonía, de cable, sistemas satelitales y proveedores de servicios de red.

■ Las WAN usan conexiones seriales de diversos tipos para brindar acceso al ancho de banda através de áreas geográficas extensas.

¿Por qué son necesarias las WAN?

Las tecnologías LAN proporcionan velocidad y rentabilidad para la transmisión de datos dentro deorganizaciones, a través de áreas geográficas relativamente pequeñas. Sin embargo, hay otras necesi-dades empresariales que requieren la comunicación entre sitios remotos, incluidas las siguientes:

■ Los empleados de las oficinas regionales o las sucursales de una organización necesitancomunicarse y compartir datos con la sede central.

■ Con frecuencia, las organizaciones desean compartir información con otras organizacionesque se encuentran a grandes distancias. Por ejemplo, los fabricantes de software comunicanperiódicamente información sobre productos y promociones a los distribuidores que vendensus productos a los usuarios finales.

■ Con frecuencia, los empleados que viajan por asuntos relacionados con la empresa necesitanacceder a la información que se encuentra en las redes corporativas.

Además, los usuarios de computadoras domésticas necesitan enviar y recibir datos que recorrendistancias cada vez mayores. Aquí se ofrecen algunos ejemplos:

■ Ahora es común en muchos hogares que los consumidores se comuniquen con bancos, tiendasy una variedad de proveedores de bienes y servicios a través de las computadoras.

■ Los estudiantes buscan información para las clases mediante índices de bibliotecas ypublicaciones ubicadas en otras partes del país y del mundo.

Como, obviamente, no es posible conectar computadoras a nivel nacional o mundial de la mismamanera en la que las computadoras de una LAN se conectan con cables, han evolucionado diferen-tes tecnologías para cubrir esta necesidad. Internet se está utilizando cada vez más como una alter-nativa económica al uso de una WAN empresarial para algunas aplicaciones. Hay nuevastecnologías disponibles para las empresas que proporcionan seguridad y privacidad para las comu-nicaciones y las transacciones a través de Internet. El uso de redes WAN solas o en combinacióncon Internet permite a las organizaciones y a los particulares satisfacer sus necesidades de comuni-caciones de área extensa.

1.1.2 La empresa en evoluciónLas empresas y sus redes

A medida que las empresas crecen, contratan más empleados, abren sucursales y se expanden amercados globales. Estos cambios ejercen influencia sobre los requisitos de servicios integrados eimpulsan los requisitos de red de la empresa. En este tema, analizaremos las maneras en las quelas redes de una empresa cambian para adaptarse a los requisitos empresariales cambiantes.

Capítulo 1: Introducción a las redes WAN 7

Cada empresa es única y la manera en la que una organización crece depende de muchos factores,tales como el tipo de productos o servicios que vende la empresa, la filosofía de administración delos dueños y el clima económico del país en donde opera la empresa.

En épocas de desarrollo económico lento, muchas empresas se concentran en aumentar su rentabi-lidad mediante la mejora de la eficacia de las operaciones existentes, el aumento de la productivi-dad de los empleados y la reducción de los costos de operación. El establecimiento y laadministración de redes pueden representar gastos importantes de operación e instalación. Para jus-tificar un gasto de esta envergadura, las empresas esperan que sus redes funcionen de manera óp-tima y que puedan brindar un conjunto de servicios y aplicaciones en constante crecimiento pararespaldar la productividad y la rentabilidad.

A modo de ejemplo, utilicemos una empresa ficticia llamada Span Engineering y observemoscómo cambian los requisitos de red a medida que la pequeña empresa local se convierte en unaempresa global.

Haga clic en las fichas de la figura para ver cada etapa de crecimiento y la topología de redcorrespondiente.

Oficina pequeña (una única LAN)

Span Engineering, empresa consultora especializada en medioambiente, ha desarrollado un pro-ceso especial para convertir la basura doméstica en electricidad y está desarrollando un proyectopiloto para un gobierno municipal en su área local. La empresa, que fue creada hace cuatro años,ha crecido hasta contar con 15 empleados: seis ingenieros, cuatro diseñadores de diseño asistidopor computadora (CAD), un recepcionista, dos socios de alto nivel y dos asistentes de oficina.

La gerencia de Span Engineering espera tener proyectos a escala completa una vez que el proyectopiloto demuestre exitosamente la factibilidad del proceso. Hasta ese momento, la empresa debe ad-ministrar sus costos cuidadosamente.

Para la oficina pequeña, Span Engineering utiliza una única LAN para compartir informaciónentre las computadoras y dispositivos periféricos, como una impresora, un trazador gráfico de granescala (para imprimir planos de ingeniería) y equipo de fax. Recientemente actualizaron la LANpara proporcionar un servicio económico de voz sobre IP (VoIP, Voice over IP) para ahorrar encostos de líneas telefónicas independientes para los empleados.

La conexión a Internet se realiza a través de un servicio común de banda ancha llamado línea desuscripción digital (DSL, Digital Subscriber Line) que es suministrado por el proveedor de servi-cios de telefonía local. Con tan pocos empleados, el ancho de banda no es un problema importante.

La empresa no puede afrontar el costo de contar con personal de soporte de tecnología de la informa-ción (TI) propio, de manera que utiliza los servicios de soporte del mismo proveedor del servicio. Laempresa también utiliza un servicio de hosting en lugar de adquirir y operar sus propios servidoresde FTP y correo electrónico. La imagen muestra un ejemplo de una oficina pequeña y su red.

Campus (varias LAN)

Cinco años después, Span Engineering ha crecido con rapidez. Tal y como los propietarios desea-ban, la empresa fue contratada para diseñar e implementar una instalación de conversión de basurade tamaño real, poco tiempo después de la implementación exitosa de la primera planta piloto.Desde entonces, también han obtenido otros proyectos en municipalidades vecinas y en otraspartes del país.

Para administrar la carga de trabajo adicional, la empresa contrató más personal y alquiló másoficinas. Ahora es una empresa pequeña-mediana con cientos de empleados. Se desarrollan mu-chos proyectos de manera simultánea, y cada uno requiere un gerente de proyecto y personal de


soporte. La empresa se ha organizado en departamentos funcionales y cada uno cuenta con su propio equipo de organización. Para satisfacer sus necesidades crecientes, la empresa se mudó avarios pisos de un edificio de oficinas más amplio.

A medida que la empresa se expandió, la red también creció. En lugar de ser una única LAN pe-queña, la red ahora está compuesta por varias subredes, cada una dedicada a un departamentodiferente. Por ejemplo, todo el personal de ingeniería está en una LAN, mientras que el personalde mercadotecnia está en otra LAN. Estas LAN múltiples están unidas para crear una red queabarca a toda la empresa, o campus, que se extiende en varios pisos del edificio.

Ahora la empresa cuenta con personal propio de TI para dar soporte a la red y mantenerla. La redincluye servidores para correo electrónico, transferencia de datos y almacenamiento de archivos,herramientas y aplicaciones de productividad basadas en la Web, además de la Intranet de la em-presa para proporcionar documentos internos e información a los empleados. Además, la empresatiene una Extranet que proporciona información de proyectos sólo a clientes designados.

Sucursal (WAN)

Después de cinco años, Span Engineering ha tenido tanto éxito con su proceso patentado que lademanda de sus servicios se disparó y ahora se están desarrollando nuevos proyectos en otras ciu-dades. Para administrar esos proyectos, la empresa ha abierto pequeñas sucursales más cercanas alos sitios de los proyectos.

Esta situación presenta nuevos desafíos para el equipo de TI. Para administrar la entrega de infor-mación y servicios en toda la empresa, Span Engineering ahora tiene un centro de datos que alojalas diversas bases de datos y servidores de la empresa. Para garantizar que todas las partes de laempresa puedan tener acceso a los mismos servicios y aplicaciones, independientemente de la ubi-cación de las oficinas, la empresa ahora necesita implementar una WAN.

Para las oficinas de las sucursales ubicadas en ciudades vecinas, la empresa decide utilizar líneasprivadas dedicadas a través del proveedor de servicios local. Sin embargo, para las oficinas que seencuentran en otros países, Internet es ahora una opción atractiva de conexión WAN. Si bien laconexión de las oficinas mediante Internet es económica, también presenta ciertos aspectos rela-cionados con la seguridad y la privacidad que el equipo de TI debe tener en cuenta.

Distribuida (Global)

Span Engineering ya tiene 20 años de actividad y cuenta con miles de empleados distribuidos enoficinas de todo el mundo. El costo de la red y los servicios relacionados es ahora un gasto impor-tante. La empresa desea proporcionar a sus empleados los mejores servicios de red al menor costoposible. La optimización de los servicios de red le permitiría a cada empleado trabajar con un altonivel de eficiencia.

Para aumentar la rentabilidad, Span Engineering necesita reducir sus gastos operativos. Hatrasladado algunas de sus oficinas a áreas menos costosas. La empresa también fomenta el trabajoa distancia y la formación de equipos de trabajo virtuales. Se están utilizando aplicaciones basa-das en la Web, incluidas las conferencias a través de la Web, e-learning y herramientas de colabo-ración en línea, a fin de aumentar la productividad y reducir costos. Las redes privadas virtuales(VPN, Virtual Private Networks) de sitio a sitio y acceso remoto permiten a la empresa utilizar In-ternet para conectarse con los empleados y las instalaciones de todo el mundo de manera sencilla ysegura. Para satisfacer estos requisitos, la red debe proporcionar los servicios convergentes nece-sarios y asegurar la conectividad WAN a través de Internet con personas particulares y oficinas re-motas.

Como hemos visto en este ejemplo, los requisitos de la red de una empresa pueden cambiar drásti-camente a medida que la empresa crece con el tiempo. La distribución de los empleados ahorracostos de muchas maneras, pero genera mayores exigencias para la red. La red no solamente debe


cubrir las necesidades operativas cotidianas, sino que además debe poder adaptarse y crecer a me-dida que la empresa cambia. Para enfrentar estos desafíos, los diseñadores y los administradoresde red eligen cuidadosamente las tecnologías, los protocolos y los proveedores de servicios de red,y optimizan las redes con muchas de las técnicas que enseñamos en esta serie de cursos. El si-guiente tema describe un modelo de red para diseñar redes que puedan adaptarse a las necesidadescambiantes de las empresas en evolución de la actualidad.

1.1.3 El modelo de red en evoluciónModelo de diseño jerárquico

El modelo de red jerárquico es una herramienta de alto nivel, útil para diseñar una infraestructurade red confiable. Proporciona una vista modular de una red, lo que simplifica el diseño y lacreación de una red que pueda crecer en el futuro.

Modelo de red jerárquico

Como tal vez recuerde de CCNA Exploration: conmutación de LAN y redes inalámbricas, el mo-delo de red jerárquico divide la red en tres capas:

■ Capa de acceso: permite el acceso de los usuarios a los dispositivos de la red. En una red decampus, la capa de acceso generalmente incorpora dispositivos de conmutación de LAN conpuertos que proporcionan conectividad a las estaciones de trabajo y a los servidores. En elentorno de la WAN, puede proporcionar a los trabajadores a distancia o a los sitios remotosacceso a la red corporativa a través de la tecnología WAN.

■ Capa de distribución: agrupa los armarios de cableado y utiliza switches para segmentargrupos de trabajo y aislar los problemas de la red en un entorno de campus. De manerasimilar, la capa de distribución agrupa las conexiones WAN en el extremo del campus yproporciona conectividad basada en políticas.

■ Capa núcleo (también conocida como backbone): enlace troncal de alta velocidad que estádiseñado para conmutar paquetes tan rápido como sea posible. Como el núcleo es fundamentalpara la conectividad, debe proporcionar un alto nivel de disponibilidad y adaptarse a loscambios con rapidez. También proporciona escalabilidad y convergencia rápida.

Haga clic en el botón Topología de ejemplo en la imagen.

La figura representa el modelo de red jerárquico en entornos de campus. El modelo de redjerárquico proporciona una estructura modular que permite flexibilidad en el diseño de la red y fa-cilita la implementación y la resolución de problemas de la infraestructura. Sin embargo, es impor-tante comprender que la infraestructura de la red es solamente la base de una arquitectura integral.

Las tecnologías de networking han avanzado considerablemente en los últimos años, lo que pro-dujo redes cada vez más inteligentes. Los elementos de red actuales son más sensibles a las carac-terísticas del tráfico y se pueden configurar para proporcionar servicios especializados en funciónde aspectos como los tipos de datos que transportan, la prioridad de los datos e incluso las necesi-dades de seguridad. Si bien la mayoría de estos diversos servicios de infraestructura no están in-cluidos en este curso, es importante comprender que afectan el diseño de la red. En el siguientetema, analizaremos la Arquitectura empresarial de Cisco, que expande el modelo jerárquico me-diante el uso de inteligencia de red para considerar la infraestructura de la red.

La arquitectura empresarial

Como se describió anteriormente, las diferentes empresas necesitan distintos tipos de redes,según la manera en la que se organizan la empresa y sus objetivos comerciales. Desafortunada-mente, con mucha frecuencia las redes crecen sin ningún tipo de planificación a medida que se


agregan componentes en respuesta a necesidades inmediatas. Con el tiempo, esas redes se vuelvencomplejas y su administración es costosa. Como la red es una mezcla de tecnologías más recientesy antiguas, puede resultar difícil prestar servicios de soporte y mantenimiento de red. Las interrup-ciones del servicio y su mal rendimiento son una fuente constante de problemas para losadministradores de red.

Para ayudar a evitar esta situación, Cisco ha desarrollado una arquitectura recomendada que se denomina Arquitectura empresarial de Cisco y que tiene trascendencia en las diferentes etapas decrecimiento de una empresa. Esta arquitectura está diseñada para proporcionar a los planificadoresde la red una planificación para el crecimiento de la misma, a medida que la empresa avanza porlas diferentes etapas. Al seguir la planificación sugerida, los gerentes de TI pueden planificar ac-tualizaciones futuras de la red que se integrarán sin inconvenientes con la red existente y respalda-rán la necesidad de servicios que crece de manera constante.

A continuación, se mencionan algunos ejemplos de los módulos de la arquitectura que son rele-vantes para la situación de Span Engineering descrita anteriormente:

■ Arquitectura de campus de la empresa

■ Arquitectura de sucursales de la empresa

■ Arquitectura del centro de datos de la empresa

■ Arquitectura de trabajadores a distancia de la empresa

Módulos de la arquitectura empresarial

La arquitectura empresarial de Cisco está compuesta por módulos que representan vistas específi-cas que se centran en cada lugar de la red. Cada módulo tiene una infraestructura de red diferentecon servicios y aplicaciones de red que se extienden a través de los módulos. La arquitectura em-presarial de Cisco incluye los siguientes módulos.

Deslice el puntero sobre cada módulo de la imagen.

Arquitectura de campus de la empresa

Una red de campus es un edificio o un grupo de edificios conectados en una red empresarial queestá compuesta por muchas LAN. En general, un campus se limita a un área geográfica fija, peropuede abarcar varios edificios vecinos, como un complejo industrial o parque comercial. En elejemplo de Span Engineering, el campus abarcaba varios pisos del mismo edificio.

La arquitectura de campus de empresa describe los métodos recomendados para crear una red es-calable y a la vez atender las necesidades de las operaciones de las empresas con un estilo de cam-pus. La arquitectura es modular y puede fácilmente expandirse para incluir edificios o pisosadicionales en el campus a medida que la empresa crece.

Arquitectura de extremo empresarial

Este módulo ofrece conectividad para servicios de voz, video y datos fuera de la empresa. Estemódulo permite a la empresa utilizar Internet y recursos de socios y proporcionar recursos a susclientes. Con frecuencia, este módulo funciona como enlace entre el módulo de campus y losdemás módulos de la arquitectura empresarial. Las arquitecturas WAN y MAN (Redes de áreametropolitana, Metropolitan-Area Networks) empresariales, para las que las tecnologías descritasmás adelante en este curso son relevantes, se consideran parte de este módulo.

Arquitectura de sucursal de la empresa

Este módulo permite a las empresas extender las aplicaciones y los servicios encontrados en elcampus a miles de ubicaciones y usuarios remotos o a un grupo pequeño de sucursales. Una granparte de este curso se concentra en las tecnologías que, a menudo, se implementan en este módulo.


Arquitectura de centro de datos de la empresa

Los centros de datos son responsables de administrar y mantener los numerosos sistemas de datosque son vitales para el funcionamiento de las empresas modernas. Los empleados, los socios y los clientes utilizan los datos y los recursos del centro de datos para crear, colaborar e interactuarde manera eficaz. En la última década, el surgimiento de Internet y las tecnologías basadas en laWeb han hecho que los centros de datos sean más importantes que nunca, ya que mejoran la pro-ductividad y los procesos comerciales y aceleran el cambio.

Arquitectura de trabajadores a distancia de la empresa

Muchas empresas de la actualidad ofrecen un entorno de trabajo flexible a sus empleados al per-mitirles trabajar desde sus oficinas en el hogar. Trabajar a distancia es aprovechar los recursos dered de la empresa desde el hogar. El módulo de trabajadores a distancia recomienda que las cone-xiones desde el hogar utilicen servicios de banda ancha, como módem por cable o DSL para co-nectarse a Internet y desde allí a la red corporativa. Como Internet presenta riesgos de seguridadimportantes para las empresas, es necesario tomar medidas especiales para garantizar que las co-municaciones de los trabajadores a distancia sean seguras y privadas.

Haga clic en el botón Topología de ejemplo en la imagen.

La imagen muestra un ejemplo de cómo se pueden utilizar estos módulos de arquitectura empre-sarial para construir una topología de red.

Actividad: Provisión de servicios integrados a la empresa

1.2 Conceptos de tecnología WAN1.2.1 Descripción general de la tecnología WANRedes WAN y modelo OSI

Como se describió en relación con el modelo de referencia OSI, las operaciones de una WAN secentran principalmente en las Capas 1 y 2. Los estándares de acceso WAN normalmente describentanto los métodos de entrega de la capa física como los requisitos de la capa de enlace de datos,incluyendo la dirección física, el control del flujo y la encapsulación. La definición y la adminis-tración de los estándares de acceso WAN están a cargo de varias autoridades reconocidas, entreellas la Organización Internacional de Normalización (OIE), la Asociación de la Industria de lasTelecomunicaciones (TIA, Telecommunications Industry Association) y la Asociación de Indus-trias Electrónicas (EIA, Electronic Industries Alliance).

Los protocolos de capa física (Capa 1 del modelo OSI) describen cómo proporcionar las conexio-nes eléctricas, mecánicas, operativas y funcionales a los servicios brindados por un proveedor deservicios de comunicaciones.

Los protocolos de la capa de enlace de datos (Capa 2 del modelo OSI) definen cómo se encapsu-lan los datos para su transmisión a lugares remotos y los mecanismos de transferencia de lastramas resultantes. Se utiliza una variedad de tecnologías diferentes, como Frame Relay y ATM.Algunos de estos protocolos utilizan los mismos mecanismos básicos de entramado, control de enlace de datos de alto nivel (HDLC, High-Level Data Link Control), una norma ISO o uno de sus subgrupos o variantes.


1.2.2 Conceptos de capa física de la WANTerminología de la capa física de la WAN

Una de las diferencias primordiales entre una WAN y una LAN es que una empresa u organizacióndebe suscribirse a un proveedor de servicio WAN externo para utilizar los servicios de red de unaportadora WAN. Una WAN utiliza enlaces de datos suministrados por los servicios de una opera-dora para acceder a Internet y conectar los sitios de una organización entre sí, con sitios de otrasorganizaciones, con servicios externos y con usuarios remotos. La capa física de acceso a la WANdescribe la conexión física entre la red de la empresa y la red del proveedor de servicios. La ima-gen muestra la terminología utilizada comúnmente para describir las conexiones físicas de laWAN, por ejemplo:

■ Equipo local del cliente (CPE, Customer Premises Equipment): dispositivos y cableadointerno localizados en las instalaciones del suscriptor y conectados con un canal detelecomunicaciones de una portadora. El suscriptor es dueño de un CPE o le alquila un CPE alproveedor de servicios. En este contexto, un suscriptor es una empresa que contrata losservicios WAN de un proveedor de servicios u operadora.

■ Equipo de comunicación de datos (DCE, Data Communications Equipment): tambiénllamado equipo de terminación de circuito de datos, el DCE está compuesto por dispositivosque ponen datos en el bucle local. La tarea principal del DCE es suministrar una interfaz paraconectar suscriptores a un enlace de comunicación en la nube WAN.

■ Equipo terminal de datos (DTE, Data Terminal Equipment): dispositivos del cliente quepasan los datos de la red o la computadora host de un cliente para transmisión a través de laWAN. El DTE se conecta al bucle local a través del DCE.

■ Punto de demarcación: punto establecido en un edificio o un complejo para separar losequipos del cliente de los del proveedor de servicios. Físicamente, el punto de demarcación esla caja de empalme del cableado que se encuentra en las instalaciones del cliente y queconecta los cables del CPE con el bucle local. Normalmente se coloca en un lugar de fácilacceso para los técnicos. El punto de demarcación es el lugar donde la responsabilidad de laconexión pasa del usuario al proveedor de servicios. Esto es muy importante porque cuandosurgen problemas, es necesario determinar si la resolución o la reparación son responsabilidaddel usuario o del proveedor de servicios.

■ Bucle local: Cable telefónico de cobre o fibra que conecta el CPE del sitio del suscriptor a laCO del proveedor de servicios. El bucle local a veces se denomina “última milla”.

■ Oficina central (CO, Central Office): instalaciones o edificio del proveedor de servicios localen donde los cables telefónicos se enlazan con las líneas de comunicación de fibra óptica delargo alcance y completamente digitales a través de un sistema de switches y otros equipos.

Dispositivos WAN

Las WAN utilizan numerosos tipos de dispositivos que son específicos para los entornos WAN,entre ellos:

■ Módem: modula una señal portadora analógica para codificar información digital y demodulala señal portadora para decodificar la información transmitida. Un módem de banda de vozconvierte las señales digitales producidas por una computadora en frecuencias de voz que sepueden transmitir a través de las líneas analógicas de la red de telefonía pública. En el otroextremo de la conexión, otro módem vuelve a convertir los sonidos en una señal digital paraque ingrese a una computadora o a una conexión de red. Los módems más rápidos, por


ejemplo los módems por cable y los módems DSL, transmiten mediante el uso de frecuenciasde banda ancha mayores.

■ CSU/DSU: las líneas digitales, por ejemplo las líneas portadoras T1 o T3, necesitan unaunidad de servicio de canal (CSU, channel service unit) y una unidad de servicio de datos(DSU, data service unit). Con frecuencia, las dos se encuentran combinadas en una sola piezadel equipo, llamada CSU/DSU. La CSU proporciona la terminación para la señal digital ygarantiza la integridad de la conexión mediante la corrección de errores y la supervisión de lalínea. La DSU convierte las tramas de la línea Portadora T en tramas que la LAN puedeinterpretar y viceversa.

■ Servidor de acceso: concentra las comunicaciones de usuarios de servicios de acceso conmarcación. Un servidor de acceso puede tener una mezcla de interfaces analógicas y digitalesy admitir a cientos de usuarios al mismo tiempo.

■ Switch WAN: dispositivo de internetworking de varios puertos que se utiliza en redesportadoras. Estos dispositivos normalmente conmutan el tráfico, por ejemplo Frame Relay,ATM o X.25, y operan en la capa de enlace de datos del modelo de referencia OSI. Dentro dela nube también es posible utilizar switches de red pública de telefonía conmutada (PSTN,Public Switched Telephone Network) para conexiones de conmutación de circuitos, porejemplo red digital de servicios integrados (ISDN, Integrated Services Digital Network) oconexión telefónica analógica.

■ Router: proporciona puertos de interfaz de internetworking y acceso WAN que se utilizanpara conectarse con la red del proveedor de servicios. Estas interfaces pueden ser conexionesseriales u otras interfaces WAN. En algunos tipos de interfaces WAN se necesita undispositivo externo, como una CSU/DSU o un módem (analógico, por cable o DSL) paraconectar el router al punto de presencia (POP, point of presence) local del proveedor deservicios.

■ Router núcleo: router que reside en el centro o backbone de la WAN y no en la periferia. Paracumplir con esta función, el router debe soportar varias interfaces de telecomunicaciones dela mayor velocidad que se utilice en el núcleo de la WAN y debe poder reenviar los paquetesIP a la velocidad máxima por todas esas interfaces. El router también debe admitir losprotocolos de enrutamiento que se utilizan en el núcleo.

Estándares de la capa física de una WAN

Los protocolos de la capa física de las WAN describen cómo proporcionar conexiones eléctricas,mecánicas, operativas y funcionales para los servicios WAN. La capa física de la WAN tambiéndescribe la interfaz entre el DTE y el DCE. La interfaz DTE/DCE utiliza diversos protocolos decapa física, entre ellos:

■ EIA/TIA-232: este protocolo permite velocidades de señal de hasta 64 Kbps en un conector D de 25 pins en distancias cortas. Antiguamente denominado RS-232. La especificación ITU-T V.24 es en efecto lo mismo.

■ EIA/TIA-449/530: este protocolo es una versión más rápida (hasta 2 Mbps) del EIA/TIA-232.Utiliza un conector D de 36 pins y admite cables más largos. Existen varias versiones. Esteestándar también se conoce como RS-422 y RS-423.

■ EIA/TIA-612/613: este estándar describe el protocolo de interfaz serial de alta velocidad(HSSI, High-Speed Serial Interface), que brinda acceso a servicios de hasta 52 Mbps en unconector D de 60 pins.

■ V.35: este es el estándar de ITU-T para comunicaciones síncronas entre un dispositivo deacceso a la red y una red de paquetes. Originalmente especificado para soportar velocidades


de datos de 48 kbps, en la actualidad soporta velocidades de hasta 2.048 Mbps con unconector rectangular de 34 pins.

■ X.21: este protocolo es un estándar de UIT-T para comunicaciones digitales síncronas. Utilizaun conector D de 15 pins.

Estos protocolos establecen los códigos y parámetros eléctricos que los dispositivos utilizan paracomunicarse entre sí. La selección del protocolo está determinada en mayor medida por el métodode comunicación del proveedor de servicios.

Haga clic en el botón Conectores de cable WAN de la imagen para ver los tipos de conectoresde cable relacionados con cada protocolo de la capa física.

1.2.3 Conceptos de la capa de enlace de datos de la WANProtocolos de enlace de datos

Además de los dispositivos de la capa física, las WAN necesitan protocolos de la capa de enlace dedatos para establecer el vínculo a través de la línea de comunicación, desde el dispositivo emisorhasta el dispositivo receptor. Este tema describe los protocolos comunes de enlace de datos que seutilizan en las redes empresariales de la actualidad para implementar conexiones WAN.

Los protocolos de la capa de enlace de datos definen cómo se encapsulan los datos para su trans-misión a lugares remotos, así como también los mecanismos de transferencia de las tramas resul-tantes. Se utiliza una variedad de tecnologías diferentes, como ISDN, Frame Relay o ATM.Muchos de estos protocolos utilizan los mismos mecanismos básicos de entramado, HDLC, un es-tándar ISO o uno de sus subgrupos o variantes. ATM se diferencia de los demás porque utiliza cel-das pequeñas de un tamaño fijo de 53 bytes (48 bytes para datos), mientras que las demástecnologías de conmutación de paquetes utilizan paquetes de tamaño variable.

Los protocolos de enlace de datos WAN más comunes son:

■ HDLC

■ PPP

■ Frame Relay

■ ATM

ISDN y X.25 son protocolos de enlace de datos más antiguos que en la actualidad se utilizan conmenor frecuencia. Sin embargo, ISDN se sigue incluyendo en este curso porque se utiliza paraproporcionar redes VoIP con enlaces PRI. X.25 se menciona para ayudar a explicar la importanciade Frame Relay. Además, X.25 se sigue utilizando en los países en vías de desarrollo, donde seusan redes de datos de paquetes (PDN, packet data network) para transmitir transacciones de tarje-tas de crédito y tarjetas de débito de tiendas minoristas.

Nota: Otro protocolo de capa de enlace de datos es el protocolo de conmutación de etiquetas mul-tiprotocolos (MPLS, Multiprotocol Label Switching). Los proveedores de servicios están imple-mentando MPLS con mayor frecuencia para proporcionar una solución económica para transportartráfico de redes de conmutación de circuitos y de conmutación por paquetes. Puede operar a travésde cualquier infraestructura existente, por ejemplo IP, Frame Relay, ATM o Ethernet. Se sitúaentre la Capa 2 y la Capa 3 y, a veces, se denomina protocolo de Capa 2.5. Sin embargo, MPLS noestá incluido en este curso. Se describe en el curso CCNP: Implementación de redes de área ex-tensa convergentes y seguras.


Encapsulación WAN

Los datos de la capa de red se envían a la capa de enlace de datos para ser transmitidos a través deun enlace físico que normalmente es de punto a punto sobre una conexión WAN. La capa de en-lace de datos crea una trama alrededor de los datos de la capa de red, de modo que se apliquen loscontroles y verificaciones necesarias. Cada tipo de conexión WAN utiliza un protocolo de Capa 2para encapsular un paquete mientras atraviesa el enlace WAN. Para asegurarse de que se esté uti-lizando el protocolo de encapsulación correcto, se debe configurar el tipo de encapsulación deCapa 2 utilizado en cada interfaz serial del router. El protocolo de encapsulación que se debe usardepende de la tecnología WAN y del equipo. HDLC fue propuesto en 1979 y, por este motivo, lamayoría de los protocolos de entramado que se desarrollaron después se basan en él.

Haga clic en el botón Reproducir de la imagen para ver cómo encapsulan el tráfico los protoco-los de enlace de datos WAN.

Formatos de encapsulación de tramas WAN

Al examinar la porción del encabezado de una trama HDLC, se pueden identificar campos co-munes que utilizan muchos protocolos de encapsulación WAN. La trama siempre comienza y ter-mina con un campo de señaladores de 8 bits. El patrón de los bits es 01111110. El campo de ladirección no se necesita para enlaces WAN, que casi siempre son punto a punto. Aun así, el campode la dirección está presente y puede ocupar 1 o 2 bits. El campo de control depende del protocolo,pero normalmente indica si el contenido de los datos es información de control o si se trata dedatos de la capa de red. El campo de control normalmente ocupa 1 byte.

Juntos, los campos de control y la dirección se denominan encabezado de la trama. El dato encap-sulado sigue el campo de control. Entonces, una secuencia de verificación de trama (FCS, framecheck sequence) utiliza el mecanismo de comprobación de redundancia cíclica (CRC, cyclic re-dundancy check) para establecer un campo de 2 o 4 bytes.

Se utilizan varios protocolos de enlace de datos, incluidos subgrupos y versiones propietarias deHDLC. Tanto PPP como la versión de Cisco de HDLC tienen un campo adicional en el en-cabezado para identificar el protocolo de capa de red de los datos encapsulados.

1.2.4 Conceptos de conmutación WANConmutación de circuitos

Las redes de conmutación de circuitos son las que establecen un circuito (o canal) dedicado entrelos nodos y las terminales antes de que los usuarios puedan comunicarse.

Por ejemplo, cuando un suscriptor realiza una llamada telefónica, el número marcado se utilizapara realizar conmutaciones en los puntos de intercambio a lo largo de la ruta de la llamada, demodo que haya un circuito continuo entre quien hace la llamada y quien la recibe. Debido a laoperación de conmutación usada para establecer el circuito, el sistema telefónico se conoce comored conmutada por circuito. Si los módems reemplazan a los teléfonos, entonces el circuito con-mutado puede transportar datos de computadora.

Varias conversaciones comparten la ruta interna que sigue el circuito entre los intercambios. Lamultiplexación por división temporal (TDM, Time Division Multiplexing) asigna a cada conver-sación una parte de la conexión por turno. TDM garantiza que una conexión de capacidad fija estédisponible para el suscriptor.

Si el circuito transporta datos de computadora, es posible que el uso de esta capacidad fija no seaeficiente. Por ejemplo, si se utiliza el circuito para tener acceso a Internet, habrá “ráfagas” de ac-tividad en el circuito mientras se transfiere una página Web. Entonces, es posible que le siga un


periodo sin actividad mientras el usuario lee la página y luego otra ráfaga de actividad mientras setransfiere la página siguiente. Esta variación en el uso entre máximo y nada es típica del tráfico in-formático de red. Como el suscriptor tiene uso exclusivo de la capacidad fija asignada, los cir-cuitos conmutados, en general, son una forma cara de transferir datos.

PSTN e ISDN son dos tipos de tecnología de conmutación de circuitos que pueden utilizarse paraimplementar una WAN en un contexto empresarial.

Haga clic en el botón Reproducir en la imagen para ver cómo funciona la conmutación decircuitos.

Conmutación de paquetes

A diferencia de la conmutación de circuitos, la conmutación de paquetes divide los datos del trá-fico en paquetes que se envían a través de una red compartida. Las redes de conmutación de pa-quetes no requieren que se establezca un circuito y permiten que muchos pares de nodos secomuniquen a través del mismo canal.

Los switches de una red conmutada por paquetes determinan el siguiente enlace por donde sedebe enviar el paquete en función de la información de direccionamiento de cada paquete. Hay dosmaneras de determinar este enlace: sin conexión u orientada a conexión.

■ Los sistemas sin conexión, tal como Internet, transmiten toda la información dedireccionamiento en cada paquete. Cada switch debe evaluar la dirección para determinar adónde enviar el paquete.

■ Los sistemas orientados a conexión predeterminan la ruta del paquete y cada paquete sólonecesita llevar un identificador. En el caso de Frame Relay, estos se denominanidentificadores de control de enlace de datos (DLCI, Data Link Control Identifiers). El switchdetermina la ruta a seguir buscando el identificador en las tablas que tiene en su memoria.Este grupo de entradas en las tablas identifica una ruta o circuito particular a través delsistema. Si este circuito está físicamente disponible, sólo mientras el paquete esté pasando porél, se llama circuito virtual (VC, virtual circuit).

Como los enlaces internos entre los switches se comparten entre varios usuarios, los costos de laconmutación de paquetes son más bajos que aquéllos de conmutación de circuitos. Los retardos(latencia) y la variación en los retardos (fluctuación de fase) son mayores en las redes conmu-tadas por paquetes que en las conmutadas por circuitos. Esto ocurre porque se comparten los enlaces y es necesario que un switch reciba todos los paquetes antes de seguir adelante. A pesar dela latencia y a las fluctuaciones de fase inherentes a las redes compartidas, la tecnología modernapermite el transporte satisfactorio de las comunicaciones de voz y hasta video por estas redes.

Haga clic en el botón Reproducir en la imagen para ver un ejemplo de conmutación de paquetes.

El servidor A está enviando datos al servidor B. Cuando el paquete atraviesa la red del proveedor,llega al switch del segundo proveedor. El paquete se agrega a la cola y se envía después de que losdemás paquetes de la cola hayan sido enviados. Finalmente, el paquete llega al servidor B.

Circuitos virtuales

Las redes conmutadas por paquetes pueden establecer rutas a través de los switches para realizarconexiones particulares de extremo a extremo. Estas rutas se denominan circuitos virtuales. Un VCes un circuito lógico creado dentro de una red compartida entre dos dispositivos de red. Existendos tipos de VC.

■ Circuito virtual permanente (PVC, Permanent Virtual Circuit): un circuito virtual establecidode forma permanente que consta de un modo (transferencia de datos). Los PVC se utilizan


cuando la transferencia de datos entre dispositivos es constante. Los PVC reducen el uso delancho de banda relacionado con el establecimiento y la terminación de los VC, pero aumentanlos costos debido a la disponibilidad constante del circuito virtual. En general, los PVC, sonconfigurados por el proveedor de servicios cuando el cliente solicita el servicio.

■ Circuito virtual conmutado (SVC, Switched Virtual Circuit): son circuitos virtuales que se establecen dinámicamente a pedido y que se terminan cuando se completa la transmisión.La comunicación a través de un SVC consta de tres fases: establecimiento del circuito,transferencia de datos y terminación del circuito. La fase de establecimiento involucra lacreación del VC entre los dispositivos origen y destino. La transferencia de datos implica latransmisión de datos entre los dispositivos a través del VC, y la fase de terminación de circuitoimplica la interrupción del VC entre los dispositivos origen y destino. Los SVC se utilizan ensituaciones en las que la transmisión de datos entre los dispositivos es intermitente,principalmente para ahorrar costos. Los SVC liberan el circuito cuando se completa latransmisión, lo que genera menos costos de conexión que los que generan los PVC, quemantienen la disponibilidad del circuito virtual de manera constante.

Conexión a una red de conmutación de paquetes

Para conectarse a una red de conmutación de paquetes, el suscriptor necesita un bucle local a laubicación más cercana donde el proveedor ofrece el servicio. Esto se llama punto de presencia(POP, point-of-presence) del servicio. Por lo general, se trata de una línea arrendada dedicada. Estalínea es mucho más corta que una línea arrendada conectada directamente a las diferentes ubica-ciones del suscriptor y muchas veces transporta VC. Como es poco probable que todos los VC en-frenten la máxima demanda al mismo tiempo, la capacidad de la línea arrendada puede ser menora la de la suma de los VC individuales. Los siguientes son ejemplos de conexiones de conmutaciónde paquetes o celdas:

■ X.25

■ Frame Relay

■ ATM

Práctica: Conceptos de tecnología WAN

1.3 Opciones de conexión WAN1.3.1 Opciones de conexión de enlace WANEn la actualidad, existen muchas opciones para implementar soluciones WAN. Ellas difieren entecnología, velocidad y costo. Estar familiarizado con estas tecnologías es una parte importante deldiseño y evaluación de la red.

Las conexiones WAN pueden establecerse sobre una infraestructura privada o una pública, porejemplo Internet.

Opciones de conexión de WAN privadas

Las conexiones WAN privadas incluyen opciones de enlaces de comunicación dedicados y conmu-tados.


Enlaces de comunicación dedicados

Cuando se requieren conexiones dedicadas permanentes, se utilizan líneas punto a punto con di-versas capacidades que tienen solamente las limitaciones de las instalaciones físicas subyacentes yla disposición de los usuarios de pagar por estas líneas dedicadas. Un enlace punto a punto ofrecerutas de comunicación WAN preestablecidas desde las instalaciones del cliente a través de la reddel proveedor hasta un destino remoto. Las líneas punto a punto se alquilan por lo general a unaoperadora y se denominan también líneas arrendadas.

Enlaces de comunicación conmutados

Los enlaces de comunicación conmutados pueden ser por conmutación de circuitos o conmutaciónde paquetes.

■ Enlaces de comunicación por conmutación de circuitos: la conmutación de circuitosestablece dinámicamente una conexión virtual dedicada para voz o datos entre el emisor y elreceptor. Antes de que comience la conmutación, es necesario establecer la conexión a travésde la red del proveedor de servicios. Entre los enlaces de comunicación por conmutación decircuitos se encuentran el acceso telefónico analógico (PSTN) e ISDN.

■ Enlaces de comunicación por conmutación de paquetes: muchos usuarios WAN no utilizan de manera eficiente el ancho de banda fijo que está disponible para los circuitos dedicados,conmutados o permanentes porque el flujo de datos fluctúa. Los proveedores de comunicacionescuentan con redes de datos disponibles para brindar un mejor servicio a estos usuarios. En lasredes con conmutación de paquetes, los datos se transmiten en tramas, celdas o paquetesrotulados. Los enlaces de comunicación por conmutación de paquetes incluyen Frame Relay,ATM, X.25 y Metro Ethernet.

Opciones de conexión WAN públicas

Las conexiones públicas utilizan la infraestructura global de Internet. Hasta hace poco, Internet noera una opción viable de sistema de redes para muchas empresas debido a los importantes riesgosde seguridad y la falta de garantías de rendimiento adecuadas en una conexión de extremo a ex-tremo a través de Internet. Sin embargo, con el desarrollo de la tecnología VPN, Internet ahora esuna opción económica y segura para conectarse con trabajadores a distancia y oficinas remotascuando no es fundamental contar con garantías de rendimiento. Los enlaces de conexión WAN a través de Internet se establecen a través de servicios de banda ancha, por ejemplo DSL, módempor cable y acceso inalámbrico de banda ancha, y en combinación con la tecnología VPN para proporcionar privacidad a través de Internet.

1.3.2 Opciones de conexión de enlace dedicadoLíneas arrendadas

Cuando se necesitan conexiones dedicadas permanentes, se utiliza un enlace punto a punto paraproporcionar rutas de comunicación WAN preestablecidas desde las instalaciones del cliente através de la red del proveedor hasta un destino remoto. Las líneas punto a punto se alquilan por logeneral a una operadora y se denominan líneas alquiladas. Este tema describe la manera en la quelas empresas utilizan las líneas arrendadas para proporcionar una conexión WAN dedicada.

Haga clic en el botón Tipos y ancho de banda de la línea en la imagen para ver una lista de lostipos de líneas arrendadas disponibles y sus capacidades de velocidad de bits.

Las líneas arrendadas están disponibles en diferentes capacidades y en general el precio dependedel ancho de banda requerido y de la distancia entre los dos puntos conectados.


En general, los enlaces punto a punto son más caros que los servicios compartidos como FrameRelay. El costo de las soluciones de línea dedicada puede tornarse considerable cuando se utilizanpara conectar varios sitios separados por distancias mayores. Sin embargo, a veces los beneficiossuperan el costo de la línea arrendada. La capacidad dedicada elimina la latencia o las fluctua-ciones de fase entre los extremos. La disponibilidad constante es esencial para algunas aplicaciones,como es el caso de VoIP o video sobre IP.

Cada conexión de línea alquilada requiere un puerto serial de router. También se necesita unCSU/DSU y el circuito físico del proveedor de servicios.

Las líneas arrendadas ofrecen una capacidad dedicada permanente y se utilizan con mucha fre-cuencia en la construcción de redes WAN. Éstas han sido la conexión tradicional de preferencia,aunque presentan varias desventajas. Las líneas arrendadas tienen una capacidad fija, pero el trá-fico WAN con frecuencia es variable, lo que hace que no se utilice la capacidad total. Además,cada punto final necesita una interfaz física independiente en el router, lo que aumenta los costosde equipos. Todo cambio en la línea arrendada, en general, requiere que el proveedor haga unavisita al establecimiento.

Práctica: Tecnologías WAN: líneas arrendadas

1.3.3 Opciones de conexión por conmutación de circuitosConexión telefónica analógica

Cuando se necesitan transferencias de datos de bajo volumen e intermitentes, los módems y laslíneas telefónicas analógicas ofrecen conexiones conmutadas dedicadas y de baja capacidad. Estetema describe las ventajas y las desventajas del uso de opciones de conexión telefónica analógica eidentifica los tipos de situaciones empresariales que se benefician más con este tipo de opción.

La telefonía tradicional utiliza un cable de cobre llamado bucle local para conectar el equipo tele-fónico que se encuentra en las instalaciones del suscriptor a la CO. La señal que circula por elbucle local durante una llamada es una señal electrónica que varía continuamente y que es una tra-ducción de la voz del suscriptor, analógica.

Los bucles tradicionales locales pueden transportar datos informáticos binarios a través de la redtelefónica de voz mediante un módem. El módem modula los datos binarios en una señal analó-gica en el origen y demodula la señal analógica a datos binarios en el destino. Las característicasfísicas del bucle local y su conexión a la PSTN limitan la velocidad de la señal a menos de 56 kbps.

Para empresas pequeñas, estas conexiones de acceso telefónico de velocidad relativamente bajason adecuadas para el intercambio de cifras de ventas, precios, informes de rutina y correo electró-nico. Al usar el sistema de conexión automático de noche o durante los fines de semana para reali-zar grandes transferencias de archivos y copias de respaldo de datos, la empresa puede aprovecharlas tarifas más bajas de las horas no pico (cargos por línea). Las tarifas se calculan según la distan-cia entre los extremos, la hora del día y la duración de la llamada.

Las ventajas del módem y las líneas analógicas son la simplicidad, la disponibilidad y el bajocosto de implementación. Las desventajas son la baja velocidad en la transmisión de datos y eltiempo de conexión relativamente largo. Los circuitos dedicados tienen poco retardo o fluctuaciónde fase para el tráfico punto a punto, pero el tráfico de voz o video no funciona de forma adecuadaa estas bajas velocidades de bits.

Red digital de servicios integrados

La red digital de servicios integrados (ISDN, Integrated Services Digital Network) es una tec-nología de conmutación de circuitos que permite al bucle local de una PSTN transportar señales


digitales, lo que da como resultado una mayor capacidad de conexiones conmutadas. La ISDNcambia las conexiones internas de la PSTN de señales portadoras analógicas a señales digitales demultiplexación por división temporal (TDM). La TDM permite que dos o más señales o corrientesde bits se transfieran como canales secundarios de un canal de comunicación. Las señales parecentransferirse de manera simultánea, pero físicamente se turnan para utilizar el canal. Un bloque dedatos del canal secundario 1 se transmite durante la ranura de tiempo 1, los del canal secundario 2durante la ranura de tiempo 2, y así sucesivamente. Una trama de TDM está compuesta por una ra-nura de tiempo por canal secundario. En el Capítulo 2, PPP, se describe la TDM con mayor detalle.

La ISDN convierte el bucle local en una conexión digital TDM. Este cambio permite que el buclelocal lleve señales digitales, lo que da como resultado conexiones conmutadas de mayor capaci-dad. La conexión utiliza canales de portadora de 64 kbps (B) para transportar voz o datos y unaseñal, canal delta (D) para la configuración de llamadas y otros propósitos.

Existen dos tipos de interfaces ISDN:

■ La ISDN de interfaz de acceso básico (BRI, Basic Rate Interface) está destinada al usodoméstico y para las pequeñas empresas, y provee dos canales B de 64 kbps y un canal D de16 kbps. El canal D BRI está diseñado para control y con frecuencia no se utiliza su potencialmáximo, ya que tiene que controlar solamente dos canales B. Por lo tanto, algunosproveedores permiten que los canales D transmitan datos a una velocidad de transmisión bajacomo las conexiones X.25 a 9.6 kbps.

■ La ISDN de interfaz de acceso principal (PRI, Primary Rate Interface) también estádisponible para instalaciones más grandes. La PRI ofrece 23 canales B de 64 kbps y un canalD de 64 kbps en América del Norte, lo que da un total de velocidad de transmisión de hasta1.544 Mbps. Esto incluye una carga adicional de sincronización. En Europa, Australia y otraspartes del mundo, PRI ISDN ofrece 30 canales B y un canal D para un total de velocidad detransmisión de hasta 2.048 Mbps, incluida la carga de sincronización. En América del Norte,PRI corresponde a una conexión T1. La velocidad de PRI internacional corresponde a unaconexión E1 o J1.

Para las WAN pequeñas, la ISDN BRI puede ofrecer un mecanismo de conexión ideal. BRI posee untiempo de establecimiento de llamada que es menor a un segundo y el canal B de 64 kbps ofrecemayor capacidad que un enlace de módem analógico. Si se requiere una mayor capacidad, se puedeactivar un segundo canal B para brindar un total de 128 kbps. Aunque no es adecuado para el video,esto permite la transmisión de varias conversaciones de voz simultáneas, además del tráfico de datos.

Otra aplicación común de ISDN es la de ofrecer capacidad adicional según la necesidad en unaconexión de línea arrendada. La línea arrendada tiene el tamaño para transportar el tráfico usualmientras que ISDN se agrega durante los periodos de demanda pico. La ISDN también se utilizacomo respaldo si la línea arrendada falla. Las tarifas de ISDN se calculan según cada canal B y sonsimilares a las de las conexiones analógicas.

Con la ISDN PRI se pueden conectar varios canales B entre dos extremos. Esto permite que se reali-cen videoconferencias y conexiones de datos de banda ancha sin latencia ni fluctuación de fase. Sinembargo, el uso de conexiones múltiples puede resultar muy costoso para cubrir grandes distancias.

Nota: Si bien ISDN sigue siendo una tecnología importante para las redes de proveedores de ser-vicios telefónicos, está disminuyendo en popularidad como opción de conexión a Internet a causade la introducción de la conexión DSL de alta velocidad y otros servicios de banda ancha. La sec-ción “Perspectivas para la industria y los consumidores” (en inglés) en http://en.wikipedia.org/wiki/ISDN brinda un buen análisis de las tendencias mundiales de ISDN.

Práctica: Tecnologías WAN: conmutación de circuitos


1.3.4 Opciones de conexión por conmutación depaquetesTecnologías WAN comunes por conmutación de paquetes

Las tecnologías WAN de conmutación de paquetes más comunes utilizadas en las redes WAN em-presariales de la actualidad incluyen Frame Relay, ATM y X.25 heredado.

Haga clic en el botón X.25 en la imagen.

X.25

X.25 es un protocolo de capa de red heredado que proporciona una dirección de red a los suscrip-tores. Los circuitos virtuales se establecen a través de la red con paquetes de petición de llamadasa la dirección destino. Un número de canal identifica la SVC resultante. Los paquetes de datos ro-tulados con el número del canal se envían a la dirección correspondiente. Varios canales puedenestar activos en una sola conexión.

Las aplicaciones típicas de X.25 son los lectores de tarjeta de punto de venta. Estos lectores utili-zan X.25 en el modo de conexión telefónica para validar las transacciones en una computadoracentral. Para estas aplicaciones, el ancho de banda bajo y la latencia alta no constituyen un pro-blema, y el costo bajo hace que X.25 sea accesible.

Las velocidades de los enlaces X.25 varían de 2400 bps a 2 Mbps. Sin embargo, las redes públicasnormalmente tienen una capacidad baja con velocidades que rara vez superan los 64 kbps.

En la actualidad, las redes X.25 están en franca decadencia y están siendo reemplazadas por tecnolo-gías más recientes de capa 2, como Frame Relay, ATM y ADSL. Sin embargo, se siguen utilizando enmuchos países en vías de desarrollo, en donde el acceso a las tecnologías más recientes es limitado.

Haga clic en el botón Frame Relay que se muestra en la imagen.

Frame Relay

Si bien el diseño de la red parece ser similar al de las redes X.25, Frame Relay se diferencia deX.25 en varios aspectos. El más importante es que es un protocolo mucho más sencillo que funcionaa nivel de la capa de enlace de datos y no en la capa de red. Frame Relay no realiza ningún controlde errores o flujo. El resultado de la administración simplificada de las tramas es una reducción enla latencia y las medidas tomadas para evitar la acumulación de tramas en los switches intermediosayudan a reducir las fluctuaciones de fase. Frame Relay ofrece velocidades de datos de hasta 4Mbps y hay proveedores que ofrecen velocidades aún mayores.

Los VC de Frame Relay se identifican de manera única con un DLCI, lo que garantiza una comu-nicación bidireccional de un dispositivo DTE al otro. La mayoría de las conexiones de FrameRelay son PVC y no SVC.

Frame Relay ofrece una conectividad permanente, compartida, de ancho de banda mediano, queenvía tanto tráfico de voz como de datos. Frame Relay es ideal para conectar las LAN de una em-presa. El router de la LAN necesita sólo una interfaz, aun cuando se estén usando varios VC. Lalínea alquilada corta que va al extremo de la red Frame Relay permite que las conexiones seaneconómicas entre LAN muy dispersas.

Frame Relay se describe con más detalles en el Capítulo 3, “Frame Relay”.

Haga clic en el botón ATM que se muestra en la imagen.

ATM

La tecnología del Modo de transferencia asíncrona (ATM, Asynchronous Transfer Mode) es capaz de transferir voz, video y datos a través de redes privadas y públicas. Tiene una arquitectura


basada en celdas, en lugar de tramas. Las celdas ATM tienen siempre una longitud fija de 53 bytes.La celda ATM contiene un encabezado ATM de 5 bytes seguido de 48 bytes de contenido ATM. Lasceldas pequeñas de longitud fija son adecuadas para la transmisión de tráfico de voz y video porqueeste tráfico no tolera demoras. El tráfico de video y voz no tiene que esperar a que se transmita unpaquete de datos más grande.

La celda ATM de 53 bytes es menos eficiente que las tramas y paquetes más grandes de Frame Relayy X.25. Además, la celda ATM tiene una carga general de por lo menos 5 bytes por cada 48 bytes decontenido. Cuando la celda está transportando paquetes de capa de red segmentados, la carga generales mayor porque el switch ATM tiene que poder reagrupar los paquetes en el destino. Una línea ATMtípica necesita casi un 20 por ciento más de ancho de banda que Frame Relay para transportar elmismo volumen de datos de capa de red.

ATM fue diseñado para ser extremadamente escalable y soporta velocidades de enlace desdeT1/E1 hasta OC-12 (622 Mbps) y superiores.

ATM ofrece tanto los PVC como los SVC, aunque los PVC son más comunes en las WAN.Además, como otras tecnologías compartidas, ATM permite varios VC en una sola conexión delínea arrendada al extremo de red.

Práctica: Tecnologías WAN: conmutación de paquetes

1.3.5 Opciones de conexión por InternetServicios de banda ancha

Las opciones de conexión de banda ancha normalmente se utilizan para conectar empleados quetrabajan a distancia con el sitio corporativo a través de Internet. Estas opciones incluyen cable,DSL e inalámbrica.

Haga clic en el botón DSL que se muestra en la imagen.

DSL

La tecnología DSL es una tecnología de conexión permanente que utiliza líneas telefónicas de partrenzado existentes para transportar datos de alto-ancho de banda y brindar servicios IP a lossuscriptores. Un módem DSL convierte una señal Ethernet proveniente del dispositivo del usuarioen una señal DSL que se transmite a la oficina central.

Las líneas del suscriptor DSL múltiples se pueden multiplexar a un único enlace de alta capacidadcon un multiplexor de acceso DSL (DSLAM) en el sitio del proveedor. Los DSLAM incorporan latecnología TDM para agrupar muchas líneas del suscriptor en un único medio, en general unaconexión T3 (DS3). Las tecnologías DSL actuales utilizan técnicas de codificación y modulaciónsofisticadas para lograr velocidades de transmisión de datos de hasta 8.192 Mbps.

Hay una amplia variedad de tipos, estándares y estándares emergentes de DSL. En la actualidad,DSL es una opción popular entre los departamentos de TI de las empresas para darle soporte a laspersonas que trabajan en sus hogares. Por lo general, el suscriptor no puede optar por conectarse ala red de la empresa directamente, sino que primero debe conectarse a un ISP para establecer unaconexión IP con la empresa a través de Internet. En este proceso se generan riesgos de seguridad,pero se pueden solucionar con medidas de protección.

Haga clic en el botón Módem por cable en la imagen.

Módem por cable

El cable coaxial es muy usado en áreas urbanas para distribuir las señales de televisión. El accesoa la red está disponible desde algunas redes de televisión por cable. Esto permite que haya unmayor ancho de banda que con el bucle local de teléfono.


Los módems por cable ofrecen una conexión permanente y una instalación simple. El suscriptorconecta una computadora o un router LAN al módem por cable, que traduce las señales digitales alas frecuencias de banda ancha que se utilizan para transmitir por una red de televisión por cable.La oficina de TV por cable local, que se denomina extremo final del cable, cuenta con el sistemainformático y las bases de datos necesarios para brindar acceso a Internet. El componente más im-portante que se encuentra en el extremo final es el sistema de terminación de módems de cable(CMTS, cable modem termination system) que envía y recibe señales digitales de módem porcable a través de una red de cables y es necesario para proporcionar los servicios de Internet a lossuscriptores del servicio de cable.

Los suscriptores de módem por cable deben utilizar el ISP correspondiente al proveedor de servi-cio. Todos los suscriptores locales comparten el mismo ancho de banda del cable. A medida quemás usuarios contratan el servicio, el ancho de banda disponible puede caer por debajo de la ve-locidad esperada.

Haga clic en el botón Acceso inalámbrico de banda ancha que aparece en la imagen.

Acceso inalámbrico de banda ancha

La tecnología inalámbrica utiliza el espectro de radiofrecuencia sin licencia para enviar y recibirdatos. El espectro sin licencia está disponible para todos quienes posean un router inalámbrico ytecnología inalámbrica en el dispositivo que estén utilizando.

Hasta hace poco, una de las limitaciones del acceso inalámbrico era la necesidad de encontrarsedentro del rango de transmisión local (normalmente, menos de 100 pies) de un router inalámbricoo un módem inalámbrico que tuviera una conexión fija a Internet. Los siguientes nuevos desarro-llos en la tecnología inalámbrica de banda ancha están cambiando esta situación:

■ WiFi municipal: muchas ciudades han comenzado a establecer redes inalámbricasmunicipales. Algunas de estas redes proporcionan acceso a Internet de alta velocidad demanera gratuita o por un precio marcadamente menor que el de otros servicios de banda ancha.Otras son para uso exclusivo de la ciudad, lo que permite a los empleados de los departamentosde policía y de bomberos, además de otros empleados municipales, realizar algunas de sustareas laborales de manera remota. Para conectarse a una red WiFi municipal, el suscriptornormalmente necesita un módem inalámbrico que tenga una antena direccional de mayoralcance que los adaptadores inalámbricos convencionales. La mayoría de los proveedores deservicios entregan el equipo necesario de manera gratuita o por un precio, de manera similar alo que hacen con los módems DSL o por cable.

■ WiMAX: la interoperabilidad mundial para el acceso por microondas (WiMAX, WorldwideInteroperability for Microwave Access) es una nueva tecnología que se está comenzado autilizar. Se describe en el estándar 802.16 del IEEE (Instituto de Ingeniería Eléctrica yElectrónica). WiMAX proporciona un servicio de banda ancha de alta velocidad con accesoinalámbrico y brinda una amplia cobertura como una red de telefonía celular en lugar dehacerlo a través de puntos de conexión WiFi pequeños. WiMAX funciona de manera similar aWiFi, pero a velocidades más elevadas, a través de distancias más extensas y para una mayorcantidad de usuarios. Utiliza una red de torres de WiMAX que son similares a las torres detelefonía celular. Para tener acceso a la red WiMAX, los suscriptores deben contratar losservicios de un ISP que tenga una torre WiMAX en un radio de 10 millas de su ubicación.También necesitan una computadora compatible con WiMAX y un código de encriptaciónespecial para obtener acceso a la estación base.


■ Internet satelital: normalmente es utilizada por usuarios rurales que no tienen acceso a los servicios de cable y DSL. Una antena satelital proporciona comunicaciones de datos de dos vías (carga y descarga). La velocidad de carga es de aproximadamente la décima par-te de la velocidad de descarga de 500 kbps. Las conexiones DSL y por cable tienen velo-cidades de descarga mayores, pero los sistemas satelitales son unas 10 veces más rápidos queun módem analógico. Para tener acceso a los servicios de Internet satelital, los suscriptoresnecesitan una antena satelital, dos módems (uplink o enlace de carga y downlink o enlace dedescarga) y cables coaxiales entre la antena y el módem.

Los servicios de banda ancha DSL, por cable e inalámbrico se describen con más detalles en elCapítulo 6, “Servicios de trabajadores a distancia”.

Tecnología VPN

Cuando un trabajador a distancia o de una oficina remota utiliza servicios de banda ancha para co-nectarse a la WAN corporativa a través de Internet, se corren riesgos de seguridad. Para tratar las cuestiones de seguridad, los servicios de banda ancha ofrecen funciones para utilizar conexio-nes de red privada virtual (VPN, Virtual Private Network) a un servidor VPN, que por lo general seencuentra ubicado en la empresa.

Una VPN es una conexión encriptada entre redes privadas a través de una red pública como Inter-net. En lugar de utilizar una conexión de Capa 2 dedicada, como una línea arrendada, las VPN uti-lizan conexiones virtuales denominadas túneles VPN que se enrutan a través de Internet desde unared privada de la empresa al sitio remoto o host del empleado.

Beneficios de las VPN

Los beneficios de las VPN incluyen los siguientes:

■ Ahorro de costos: las VPN permiten a las organizaciones utilizar Internet global para conectaroficinas remotas y usuarios remotos al sitio corporativo principal, lo que elimina enlacesWAN dedicados costosos y bancos de módems.

■ Seguridad: las VPN proporcionan el mayor nivel de seguridad mediante el uso de protocolosde encriptación y autenticación avanzados que protegen los datos contra el acceso noautorizado.

■ Escalabilidad: como las VPN utilizan la infraestructura de Internet dentro de ISP y de losdispositivos, es sencillo agregar nuevos usuarios. Las corporaciones pueden agregar grandescantidades de capacidad sin agregar una infraestructura importante.

■ Compatibilidad con la tecnología de banda ancha: los proveedores de servicios de bandaancha como DSL y cable soportan la tecnología VPN, de manera que los trabajadores móvilesy los trabajadores a distancia pueden aprovechar el servicio de Internet de alta velocidad quetienen en sus hogares para acceder a sus redes corporativas. Las conexiones de banda ancha dealta velocidad de nivel empresarial también pueden proporcionar una solución rentable paraconectar oficinas remotas.

Tipos de acceso VPN

Existen dos tipos de acceso VPN:

■ VPN de sitio a sitio: estas VPN conectan redes enteras entre sí; por ejemplo, pueden conectarla red de una sucursal con la red de la sede principal de la empresa, como se muestra en laimagen. Cada sitio cuenta con un gateway de la VPN, como un router, un firewall, unconcentrador de VPN o un dispositivo de seguridad. En la imagen, la sucursal remota utilizauna VPN de sitio a sitio para conectarse con la oficina central de la empresa.


■ VPN de acceso remoto: las VPN de acceso remoto permiten a hosts individuales, comotrabajadores a distancia, usuarios móviles y consumidores de Extranet, tener acceso a la redempresarial de manera segura a través de Internet. Normalmente, cada host tiene instalado elsoftware cliente de VPN o utiliza un cliente basado en la Web.

Haga clic en el botón VPN de acceso remoto o el botón VPN de sitio a sitio en la imagen paraver un ejemplo de cada tipo de conexión VPN.

Metro Ethernet

Metro Ethernet es una tecnología de red que está avanzando con rapidez y que lleva Ethernet a lasredes públicas mantenidas por empresas de telecomunicaciones. Utiliza switches Ethernet que leenla información IP y permiten a los proveedores de servicios ofrecer a las empresas servicios con-vergentes de voz, datos y video, por ejemplo, telefonía IP, streaming video, generación de imá-genes y almacenamiento de datos. Al extender Ethernet al área metropolitana, las empresas puedenproporcionar a sus oficinas remotas un acceso confiable a las aplicaciones y los datos de la LANde la sede principal corporativa.

Los beneficios de Metro Ethernet incluyen los siguientes:

■ Reducción de gastos y administración: Metro Ethernet proporciona una red conmutada deCapa 2 de ancho de banda elevado que puede administrar datos, voz y video en la mismainfraestructura. Esta característica aumenta el ancho de banda y elimina conversiones costosasa ATM y Frame Relay. La tecnología permite a las empresas conectar una gran cantidad desitios de un área metropolitana entre sí y a Internet de manera económica.

■ Integración sencilla con redes existentes: Metro Ethernet se conecta fácilmente con las LANde Ethernet existentes, lo que reduce los costos y el tiempo de instalación.

■ Mayor productividad empresarial: Metro Ethernet permite a las empresas aprovecharaplicaciones IP que mejoran la productividad y que son difíciles de implementar en redes TDMo Frame Relay, como comunicaciones IP por host, VoIP, streaming video y broadcast video.

Selección de una conexión de enlace WAN

Ahora que ya analizamos las diferentes opciones de conexión WAN, ¿cómo elegir la mejor tec-nología para satisfacer los requisitos de una empresa en particular? En la imagen, se comparan lasventajas y las desventajas de las opciones de conexión WAN que analizamos en este capítulo. Estainformación es un buen comienzo. Además, como ayuda para el proceso de toma de decisiones, in-cluimos algunas preguntas que debe hacerse al elegir una opción de conexión WAN.

¿Cuál es el propósito de la WAN?

¿Desea conectar sucursales locales de la misma ciudad, conectar sucursales remotas, conectarse auna única sucursal, conectarse con clientes, conectarse con socios comerciales o alguna combi-nación de estas opciones? Si la WAN se utilizará para proporcionar acceso limitado a la Intranet dela empresa a clientes o socios comerciales autorizados, ¿cuál es la mejor opción?

¿Cuál es el alcance geográfico?

¿Es local, regional, global, de uno a uno (única sucursal), de una a varias sucursales, de varias avarias (distribuido)? Según el alcance, algunas opciones de conexión WAN pueden ser mejores queotras.

¿Cuáles son los requisitos de tráfico?

Los requisitos de tráfico que se deben considerar son:


■ El tipo de tráfico (sólo datos, VoIP, video, archivos grandes, streaming de archivos) determinalos requisitos de calidad y rendimiento. Por ejemplo, si envía mucho tráfico de voz ostreaming video, ATM puede ser la mejor opción.

■ Los volúmenes de tráfico para cada destino, según el tipo (voz, video o datos), determinan lacapacidad de ancho de banda necesaria para la conexión de la WAN al ISP.

■ Los requisitos de calidad pueden limitar las opciones. Si el tráfico es muy sensible a lalatencia y a la fluctuación de fase, puede eliminar todas las opciones de conexión WAN queno puedan proporcionar la calidad requerida.

■ Los requisitos de seguridad (integridad, confidencialidad y seguridad de los datos) son otrofactor importante si el tráfico es de naturaleza muy confidencial o si proporciona serviciosesenciales, como respuesta en caso de emergencia.

¿La WAN debe utilizar una infraestructura privada o pública?

Una infraestructura privada ofrece la mejor seguridad y confidencialidad, mientras que la in-fraestructura pública de Internet ofrece una mayor flexibilidad y un menor gasto continuo. Su elec-ción depende del propósito de la WAN, los tipos de tráfico que transporta y el presupuestooperativo disponible. Por ejemplo, si el propósito es proporcionar servicios seguros de alta veloci-dad a una sucursal cercana, la mejor opción puede ser una conexión conmutada o dedicada pri-vada. Si el propósito es conectar muchas oficinas remotas, la mejor opción puede ser una WANpública que utilice Internet. Para operaciones distribuidas, la solución puede ser una combinaciónde las opciones.

Para una WAN privada, ¿debe utilizarse una red dedicada o conmutada?

Las transacciones de gran volumen en tiempo real tienen requisitos especiales que pueden favore-cer una línea dedicada, como el tráfico que se transmite entre el centro de datos y la oficina cen-tral corporativa. Si desea establecer una conexión con una única sucursal, puede utilizar una líneaarrendada dedicada. Sin embargo, esta opción puede ser muy costosa para una WAN que seconecta con varias oficinas. En ese caso, una conexión conmutada puede ser mejor.

Para una WAN pública, ¿qué tipo de acceso VPN se necesita?

Si el propósito de la WAN es conectar una oficina remota, una VPN de sitio a sitio puede ser lamejor opción. Para conectar trabajadores a distancia o clientes, las VPN de acceso remoto son una mejor opción. Si la WAN presta servicios a una combinación de oficinas remotas, trabajadoresa distancia y clientes autorizados, como en el caso de una empresa global con operaciones dis-tribuidas, tal vez sea necesario utilizar una combinación de opciones de VPN.

¿Qué opciones de conexión están disponibles a nivel local?

En algunas áreas, no todas las opciones de conexión WAN están disponibles. En este caso, el pro-ceso de selección se simplifica, aunque puede ocurrir que el rendimiento de la WAN resultante nosea el óptimo. Por ejemplo, en un área remota rural, tal vez la única opción disponible sea el ac-ceso a Internet satelital de banda ancha.

¿Cuál es el costo de las opciones de conexión disponibles?

Según la opción que seleccione, la WAN puede generar un gasto continuo importante. El costo deuna opción en particular debe evaluarse contra el grado de satisfacción de los demás requisitos.Por ejemplo, una línea arrendada dedicada es la opción más costosa, pero el gasto tal vez se justi-fique si es fundamental garantizar la transmisión segura de grandes cantidades de datos en tiempo


real. Para aplicaciones que no son tan exigentes, tal vez sea más adecuada una opción de conexiónconmutada o a través de Internet, que son más económicas.

Como puede ver, hay muchos factores importantes que se deben considerar al elegir una conexiónWAN apropiada. Si sigue las pautas descritas anteriormente, así como las que se describen en laarquitectura empresarial de Cisco, debería poder elegir una conexión WAN apropiada para satis-facer los requisitos de diferentes situaciones empresariales.

Actividad: Uso de una WAN apropiada en el ECNM

1.4 Prácticas de laboratorio del capítulo1.4.1 Repaso del retoEn esta práctica de laboratorio repasará conceptos básicos de enrutamiento y conmutación. In-tente hacer lo más posible por su cuenta. Cuando no pueda avanzar por su cuenta, consulte elmaterial previo.

Nota: La configuración de tres protocolos de enrutamiento independientes (RIP, OSPF y EIGRP)para enrutar la misma red no se considera una mejor práctica en absoluto. Debe considerarse comouna peor práctica y no es algo que se haría en una red de producción. Aquí lo hacemos para queusted pueda repasar los principales protocolos de enrutamiento antes de continuar y para que veauna ilustración drástica del concepto de distancia administrativa.


Resumen del capítuloUna WAN es una red de comunicación de datos que opera más allá del alcance geográfico de unaLAN.

A medida que las empresas crecen, incorporan más empleados, abren sucursales y se expanden amercados globales, sus requisitos de servicios integrados cambian. Estos requisitos comercialesdeterminan los requisitos de la red.

La arquitectura empresarial de Cisco expande el modelo de diseño jerárquico mediante la subdi-visión de la red empresarial en las áreas física, lógica y funcional.

La implementación de una arquitectura empresarial de Cisco proporciona una red segura y sólidade alta disponibilidad que facilita la implementación de redes convergentes.

Las WAN funcionan en relación con el modelo de referencia OSI, principalmente en la Capa 1y la Capa 2.

Los dispositivos que colocan los datos en el bucle local se denominan equipos de terminación decircuito de datos o equipos de comunicación de datos (DCE). Los dispositivos del cliente quetransmiten datos al DCE se llaman equipo terminal de datos (DTE). El DCE principalmente sumi-nistra una interfaz para el DTE hacia el enlace de comunicación en la nube WAN.

El punto de demarcación física es donde la responsabilidad de la conexión pasa de la empresa alproveedor de servicios.

Los protocolos de la capa de enlace de datos definen cómo se encapsulan los datos para sutransmisión a lugares remotos, así como también los mecanismos de transferencia de las tramasresultantes.

Una red de conmutación de circuitos establece un circuito (o canal) dedicado entre los nodos y lasterminales antes de que los usuarios puedan comunicarse.

Una red conmutada por paquetes divide los datos del tráfico en paquetes que se envían a través de una red compartida. Las redes de conmutación de paquetes no requieren que se establezca uncircuito y permiten que muchos pares de nodos se comuniquen a través del mismo canal.

Un enlace punto a punto ofrece rutas de comunicación WAN preestablecidas desde las instala-ciones del cliente a través de la red del proveedor hasta un destino remoto. Los enlaces punto apunto utilizan líneas arrendadas para proporcionar una conexión dedicada.

Las opciones de WAN por conmutación de circuitos incluyen el acceso telefónico analógico eISDN. Las opciones de WAN por conmutación de paquetes incluyen X.25 Frame Relay y ATM.ATM transmite datos en celdas de 53 bytes en lugar de utilizar tramas. ATM es más adecuado paratráfico de video.

Las opciones de conexión de WAN a través de Internet incluyen servicios de banda ancha, comoDSL, módem por cable o conexión inalámbrica de banda ancha y Metro Ethernet. La tecnologíaVPN permite a las empresas proporcionar acceso seguro a los trabajadores a distancia a través deInternet mediante servicios de banda ancha.

Esta actividad abarca muchas de las habilidades que adquirió en los primeros tres cursos de Explo-ration. Las habilidades incluyen la construcción de una red, la aplicación de un esquema de direc-cionamiento, la configuración del enrutamiento, VLAN, STP y VTP y la prueba de la conectividad. Debe repasar estas habilidades antes de continuar. Además, esta actividad le brindala oportunidad de repasar los aspectos básicos del programa Packet Tracer. Packet Tracer se inte-gra durante este curso. Debe saber cómo navegar en el entorno de Packet Tracer para completar


este curso. Use los tutoriales si necesita revisar los principios fundamentales de Packet Tracer,estos se encuentran en el menú Ayuda de Packet Tracer.

Las instrucciones detalladas se encuentran dentro de la actividad, al igual que en el enlace al PDFa continuación.

Instrucciones de la actividad (PDF)

Examen del capítuloTome el examen de capítulo para probar su conocimiento.

Sus notas del capítulo

CAPÍTULO 2

PPP

IntroducciónEste capítulo es el inicio de su exploración a las tecnologías WAN mediante la introducción a lascomunicaciones punto a punto y el protocolo punto a punto (PPP, Point-to-Point Protocol).

Una de las conexiones WAN más frecuentes es la conexión punto a punto. Las conexiones punto apunto se utilizan para conectar las LAN a las WAN del proveedor de servicio y para conectar lossegmentos LAN dentro de la red empresarial. La conexión punto a punto entre una LAN y unaWAN también se conoce como conexión serial o en línea arrendada, ya que estas líneas se alquilana una empresa de comunicaciones (por lo general un compañía telefónica) y su uso es exclusivo dela empresa que solicita el alquiler. Las empresas pagan para obtener una conexión continua entredos sitios remotos, y la línea se mantiene activa y disponible en todo momento. La comprensióndel funcionamiento de los enlaces de comunicaciones punto a punto para brindar acceso WAN esimportante para la comprensión general del funcionamiento de las WAN.

El protocolo punto a punto (PPP) proporciona conexiones multiprotocolo entre LAN y WAN quemanejan TCP/IP, IPX y AppleTalk al mismo tiempo. Puede emplearse a través de par trenzado,líneas de fibra óptica y transmisión satelital. El PPP proporciona el transporte a través del modo deATM, Frame Relay, ISDN y los enlaces ópticos. En las redes modernas, la seguridad es un aspectoclave. El PPP le permite autenticar las conexiones mediante el uso del protocolo de autenticaciónde contraseña (PAP, Password Authentication Protocol) o el más eficaz protocolo de autenti-cación de intercambio de señales (CHAP, Challenge Handshake Authentication Protocol). Esteaspecto se enseñará en la sección cuatro.

Además, en este capítulo aprenderá los conceptos clave de las comunicaciones seriales y cómoconfigurar y resolver los problemas de una conexión serial PPP en un router de Cisco.

2.1 Enlaces seriales punto a punto

2.1.1 Introducción a las comunicaciones seriales¿Cómo funciona la comunicación serial?

Ya sabe que la mayoría de las PC cuentan con puertos paralelos y seriales. También sabe que laelectricidad sólo puede desplazarse en una velocidad. Una forma de obtener bits para desplazarsemás rápidamente a través del cable es comprimir los datos de manera que se reduzcan la cantidadde bits y se requiera menos tiempo en el cable. Otra posibilidad para aumentar la velocidad estransmitir simultáneamente los bits. Aunque las computadoras utilizan conexiones paralelas relati-vamente cortas entre los componentes interiores, emplean un bus serial para convertir las señalespara la mayoría de las conexiones externas.

Comparemos las comunicaciones seriales y paralelas.

Haga clic en el botón Serial y paralelo para ver la animación.

■ Con una conexión serial, la información se envía a través de un cable, un bit de datos a la vez.El conector serial de 9 pins de la mayoría de las computadoras emplea dos bucles de cable,


uno en cada dirección, para la comunicación de datos, y cables adicionales para controlar elflujo de información. Independientemente de la dirección que se siga, los datos se transmitena través de un solo cable.

■ Una conexión paralela envía simultáneamente los bits a través de más cables. En el caso delpuerto paralelo de 25 pins de su computadora, hay ochos cables que transmiten datos paratransmitir 8 bits simultáneamente. Debido a que hay ocho cables que transmiten datos, elenlace paralelo, en teoría, transfiere los datos ocho veces más rápido que una conexión serial.De manera que, según esta teoría, el tiempo que tarda una conexión paralela para enviar unbyte es el mismo que tarda una conexión serial para enviar un bit.

Esta explicación trae por consecuencia algunas preguntas. ¿Qué significa teóricamente más rá-pido? Si la conexión paralela es más rápida que la serial, ¿es la más apropiada para realizar unaconexión a una WAN? En realidad, a menudo, los enlaces seriales pueden cronometrarse conside-rablemente más rápido que los enlaces paralelos y logran una mayor velocidad para la transmisiónde datos debido a dos factores que afectan las comunicaciones paralelas: la interferencia por ses-go de reloj y crosstalk.

Haga clic en el botón Sesgo de reloj que se muestra en la imagen.

En una conexión paralela, es incorrecto presuponer que los 8 bits que envía el emisor al mismotiempo llegan al receptor de manera simultánea. En realidad, algunos de los bits llegan más tardeque el resto. Esto se conoce como sesgo de reloj. La superación del sesgo de reloj no es una tareaintrascendente. El extremo receptor debe sincronizarse con el transmisor y, luego, esperar hastaque todos los bits hayan llegado. El proceso de lectura, espera, cierre, espera para la señal de relojy la transmisión de los 8 bits aumentan el tiempo de transmisión. En las comunicaciones paralelas,un pestillo es un sistema de almacenamiento de datos usado para guardar información en los sis-temas lógicos secuenciales. Cuanto más hilos se utilicen y cuanto mayor sea el alcance de laconexión, se complica más el problema y aumenta el retardo. La necesidad de temporización re-duce la transmisión paralela mucho más de lo que, en teoría, se espera.

Este factor no se aplica a los enlaces seriales, ya que la mayoría de éstos no necesitan tempo-rización. Las conexiones seriales requieren menos hilos y cables. Ocupan menos espacio y puedenaislarse mejor de las interferencias producidas por otros hilos y cables.

Haga clic en el botón Interferencia que se muestra en la imagen.

Los hilos paralelos se agrupan físicamente en manojos en un cable paralelo y las señales puedenmarcarse entre ellas. La posibilidad de crosstalk a través de los hilos implica más procesamiento,especialmente a frecuencias más altas. Los buses seriales de las computadoras, como los routers,compensan el crosstalk antes de la transmisión de bits. Debido a que los cables seriales tienenmenos hilos, hay menos crosstalk y los dispositivos de red transmiten comunicaciones seriales afrecuencias más altas y más eficaces.

En la mayoría de los casos, las comunicaciones seriales son considerablemente más económicas.Las comunicaciones seriales utilizan menos hilos, cables más baratos y menos pins conectores.

Estándares de comunicación serial

Todas las comunicaciones de largo alcance y la mayoría de las redes informáticas utilizan conexionesseriales, ya que el costo del cable y las dificultades de la sincronización hacen que las conexiones pa-ralelas no sean prácticas. La ventaja más importante es que el cableado es más sencillo. Además, loscables seriales pueden ser más extensos que los cables paralelos, ya que hay menos interacción(crosstalk) entre los conductores del cable. En este capítulo, concentraremos nuestro interés en lascomunicaciones seriales que conectan las LAN y WAN.

Capítulo 2: PPP 33

La imagen es una representación sencilla de un comunicación serial. Los datos se encapsulan me-diante el protocolo de comunicación utilizado por el router emisor. La trama encapsulada se envíaen un medio físico hacia la WAN. Aunque hay varias maneras de atravesar la WAN, el router emi-sor utiliza el mismo protocolo de comunicaciones para desencapsular la trama cuando ésta llega.

Hay numerosos estándares de comunicación serial diferentes y cada uno utiliza un método deseñalización distinto. Hay tres estándares de comunicación serial clave que afectan las conexionesentre LAN y WAN:

■ RS-232: la mayoría de los puertos seriales en las computadoras personales cumplen con losestándares RS-232C o los más recientes RS-422 y RS-423. Se utilizan los conectores de 9 y25 pins. Un puerto serial es una interfaz de aplicación general que puede utilizarse para casicualquier tipo de dispositivo, como módems, mouse e impresoras. Muchos de los dispositivosde red utilizan conectores RJ-45 que también cumplen con el estándar RS-232. La imagenmuestra un ejemplo de un conector RS-232.

■ V.35: este estándar de la Unión Internacional de Telecomunicaciones (ITU, InternationalTelecommunication Union) para el intercambio de datos síncronos y de alta velocidad que,por lo general, se utiliza para la comunicación entre el módem y el multiplexor, combina elancho de banda de varios circuitos telefónicos. En los Estados Unidos, V.35 es el estándar deinterfaz que se emplea en la mayoría de los routers y DSU que se conectan a las portadorasT1. Los cables V.35 son conjuntos seriales de alta velocidad diseñados para admitirvelocidades de transmisión de datos más altas y la conectividad entre los DTE y los DCE enlas líneas digitales. Más adelante, en este mismo capítulo, se incluirá más información acercade los DTE y DCE.

■ HSSI: la interfaz serial de alta velocidad (HSSI, High-Speed Serial Interface) admitevelocidades de transmisión de hasta 52 Mbps. Los ingenieros utilizan la HSSI para conectarrouters en las LAN con las WAN mediante líneas de alta velocidad como las líneas T3. Losingenieros también utilizan la HSSI para proporcionar conectividad de alta velocidad entre lasLAN mediante Token Ring o Ethernet. HSSI es una interfaz DTE/DCE desarrollada por CiscoSystems y sistema de redes T3plus para cubrir las necesidades de comunicación de altavelocidad mediante enlaces WAN.

Haga clic en el botón RS-232 que se muestra en la imagen.

Además de utilizar diferentes métodos de señalización, cada uno de estos estándares utiliza dife-rente tipos de cables y conectores. Cada estándar juega un papel distinto en la topología entreLAN y WAN. Aunque este curso no examina los detalles de los esquemas de pins de V.35 y HSSI,un rápido vistazo a un conector RS-232 de 9 pins utilizado para conectar una computadora a unmódem permite ejemplificar el concepto. Un tema que se tratará más adelante analiza los cablesV.35 y HSSI.

■ Pin 1: la detección de portadora de datos (DCD, Data Carrier Detect) indica que la portadorapara los datos de transmisión está ACTIVADA.

■ Pin 2: el pin de recepción (RXD) transmite datos desde el dispositivo serial hasta lacomputadora.

■ Pin 3: el pin de transmisión (TxD) transmite datos desde la computadora hasta eldispositivo serial.

■ Pin 4: la terminal de datos preparada (DTR, Data Terminal Ready) le indica al módem que lacomputadora está lista para transmitir.

■ Pin 5: conexión a tierra.


■ Pin 6: el conjunto de datos listo (DSR, Data Set Ready) es similar a DTR. Indica que elconjunto de datos está ACTIVADO.

■ Pin 7: el pin Solicitud para enviar (RTS) solicita espacio libre para enviar los datos a un módem.

■ Pin 8: el dispositivo serial utiliza el pin listo para enviar (CTS, Clear to Send) para acusarrecibo de la señal RTS de la computadora. En casi todos los casos, RTS y CTS estánACTIVADOS durante toda la sesión de la comunicación.

■ Pin 9: un módem de respuesta automática utiliza el indicador de llamada (RI, Ring Indicator)para indicar la recepción de una señal de llamada telefónica.

Los pins DCD y RI sólo están disponibles en las conexiones con un módem. Estas dos líneas rara vez se utilizan, ya que la mayoría de los módems transmiten información del estado hacia la compu-tadora cuando se detecta la señal de una portadora (cuando se realiza una conexión hacia otromódem) o cuando el módem recibe una señal de llamada desde la línea telefónica.

2.1.2 TDMMultiplexación por división temporal

Bell Laboratories creó la multiplexación por división temporal (TDM, Time Division Multiple-xing) para maximizar el flujo de tráfico de voz que se transmite mediante un medio. Antes de lamultiplexación, cada llamada telefónica solicitaba su propio enlace físico. Esta solución era cos-tosa y difícil de implementar. La TDM divide el ancho de banda de un solo enlace en canales sepa-rados o en periodos. La TDM transmite dos o más canales a través del mismo enlace mediante laasignación de diferentes intervalos (periodo) para la transmisión de cada canal. En efecto, los ca-nales se turnan para emplear el enlace.

TDM es un concepto de capa física. No considera la naturaleza de la información que se somete ala multiplexación en el canal de salida. La TDM es independiente del protocolo de Capa 2 que uti-lizaron los canales de entrada.

La TDM puede explicarse por analogía al tráfico de autopistas. Para transportar el tráfico desdecuatro rutas a otra ciudad, puede enviar todo el tráfico por un solo carril si las rutas de ali-mentación cuentan con el mismo flujo de tráfico y si éste está sincronizado. De manera que, sicada una de las cuatro rutas coloca un automóvil en la autopista principal cada cuatro segundos, laautopista obtendrá un vehículo a la velocidad de uno por segundo. Siempre y cuando la velocidadde los automóviles esté sincronizada, no habrá colisión. En el destino, sucede lo contrario y los au-tomóviles son retirados de la autopista y se les coloca en las rutas locales mediante el mismomecanismo síncrono.

Este es el principio que se utiliza en la TDM síncrona al enviar los datos mediante un enlace. LaTDM aumenta la capacidad del enlace de transmisión mediante la división del tiempo en interva-los más cortos, de manera que el enlace transmita los bits desde diferentes fuentes de entrada. Estoaumenta, con efectividad, la cantidad de bits transmitidos por segundo. Con la TDM, tanto eltransmisor como el receptor saben exactamente cuál es la señal que se envía.

En nuestro ejemplo, el multiplexor (MUX) del transmisor admite tres señales diferentes. El MUXdivide cada señal en segmentos. Coloca cada segmento en un solo canal y los inserta en un periodo.

En el extremo receptor, un MUX reensambla el stream de TDM en tres flujos de datos diferentes,tomando como única referencia el tiempo que tarda cada bit en llegar. Una técnica llamada entre-lazado rastrea la cantidad y la secuencia de los bits desde cada transmisión específica, de maneraque puedan reensamblarse con rapidez y eficacia para volver a su forma original después de llegar

Capítulo 2: PPP 35

al destino. Aunque el entrelazado de byte realiza la misma función, debido a que hay ocho bits encada byte, el proceso requiere un periodo más largo.

Multiplexación estadística por división temporal

Como otra analogía, compare la TDM con 32 vagones de un tren. Cada uno es propiedad de una em-presa de transporte diferente y todos los días el tren parte con los 32 vagones. Si una de las empresastiene una carga que enviar, el vagón se carga. Si la empresa no tiene nada que enviar, el vagón per-manece vacío, pero sigue siendo parte del tren. No es rentable transportar contenedores vacíos. LaTDM comparte esta deficiencia cuando el tráfico es intermitente, ya que, incluso en este caso, seasigna un periodo cuando el canal no tiene datos para transmitir.

La Multiplexación estadística por división temporal (STDM, Statistical time-division multiple-xing) fue diseñada para superar esta deficiencia. La STDM utiliza una extensión variable para elperiodo, lo que permite que los canales compitan para obtener cualquier espacio libre del periodo.Utiliza un búfer de memoria que almacena temporalmente los datos durante los periodos corres-pondientes a las horas pico de tráfico. La STDM no desperdicia el tiempo de la línea de alta velo-cidad con canales inactivos con este esquema. La STDM exige que cada transmisión transmita lainformación de identificación (un identificador de canal).

Ejemplos de TDM: ISDN y SONET

Un ejemplo de una tecnología que utiliza TDM síncrono es ISDN. El acceso básico (BRI) ISDNcuenta con tres canales que constan de dos canales B de 64 kbps (B1 y B2) y un canal D de 16kbps. La TDM tiene nueve intervalos, que están separados según la secuencia que se muestra en laimagen.

En mayor escala, la industria de las telecomunicaciones utiliza el estándar SONET o SDH para eltransporte óptico de los datos de TDM. La red SONET utilizada en América del Norte, y la SDH,utilizada en otros lugares, son dos estándares estrechamente relacionados que especifican losparámetros de interfaz, las velocidades, los formatos de trama, los métodos de multiplexación y laadministración para TDM síncrona en fibra óptica.

Haga clic en el botón SONET que se muestra en la imagen.

La imagen muestra un ejemplo de TDM estadística. SONET/SDH toma streams de bits n, realiza lamultiplexación de éstos y modula óptimamente la señal enviándola mediante un dispositivo emisorde luz a través de la fibra con una velocidad de bits igual a (velocidad de bits de entrada) x n. Así,el tráfico que llega al multiplexor SONET desde cuatro lugares a 2.5 Gbps, sale como un solostream a 4 x 2.5 Gbps o 10 Gbps. Este principio se ejemplifica en la imagen, la cual muestra unaumento en la velocidad de bits por un factor de 4 en el intervalo T.

Haga clic en el botón DS0 que se muestra en la imagen.

La unidad original utilizada en las llamadas telefónicas de multiplexación es 64 kbps, lo que repre-senta una llamada telefónica. Se le denomina DS0 (señal digital de nivel cero). En América delNorte, 24 unidades DS0 se someten a la multiplexación mediante la TDM en una señal cuya ve-locidad de bits es mayor. La velocidad incorporada es de 1.544 Mbps para las transmisiones através de las líneas T1. Fuera de América del Norte, 32 unidades DS0 se someten a la multi-plexación para la transmisión E1 a 2.048 Mbps.

La jerarquía del nivel de la señal para la multiplexación telefónica se muestra en la tabla. Al mar-gen de esto, aunque, por lo general, a la transmisión a 1.544 Mbps se le conoce como T1, es máscorrecto llamarla DS1.


Haga clic en el botón Jerarquía de la portadora T que se muestra en la imagen.

La portadora T hace referencia a la combinación de las DS0. Por ejemplo, un T1 = 24 DS0, unT1C = 48 DS0 (o 2 T1) y así sucesivamente. La imagen muestra un ejemplo de la jerarquía de in-fraestructura de la portadora T. La jerarquía de la portadora E es similar.

2.1.3 Punto de demarcaciónPunto de demarcación

Antes de la desregulación en América del Norte y en otros países, las empresas telefónicas erandueñas del bucle local, incluidos el cableado y el equipo en las instalaciones de los clientes. Ladesregulación forzó a las empresas telefónicas a individualizar su infraestructura de bucle localpara permitir que otros proveedores proporcionen el equipo y los servicios. Esto creó la necesidadde delinear qué parte de la red pertenecía a la empresa telefónica y qué parte pertenecía al cliente.Este punto de la delineación es el punto de demarcación o demarc. El punto de demarcación marcael punto en donde su red se interconecta con la red que pertenece a otra organización. En la termi-nología telefónica, ésta es la interfaz entre el equipo terminal del abonado (CPE, customer-premisesequipment) y el equipo del proveedor de servicios de red. El punto de demarcación es el lugar de lared donde finaliza la responsabilidad del proveedor de servicios.

El ejemplo representa una situación de ISDN. En los Estados Unidos, un proveedor de serviciosprovee bucles locales a las instalaciones del cliente y el cliente provee el equipo activo, como launidad de servicio del canal o la unidad de servicio de datos (CSU, channel service unit/DSU, dataservice unit) donde termina el bucle local. Esta terminación a menudo se produce en un armario detelecomunicaciones y el cliente es responsable de mantener, reemplazar y reparar el equipo. Enotros países, el proveedor de servicios provee y administra la unidad de terminación de la red(NTU, Network Terminating Unit). Esto permite que el proveedor de servicios administre el buclelocal y resuelva de forma activa sus problemas cuando el punto de demarcación ocurre después dela NTU. El cliente conecta un dispositivo CPE, como por ejemplo un router o un dispositivo de ac-ceso de frame relay, a la NTU por medio de una interfaz serial V.35 o RS-232.

2.1.4 DTE y DCEDTE-DCE

Desde el punto de vista de la conexión a la WAN, una conexión serial posee un dispositivo DTE enun extremo de la conexión y un dispositivo DCE en el otro extremo. La conexión entre los dos dis-positivos DCE es la red de transmisión del proveedor de servicios WAN. En este caso:

■ el CPE, que en general es un router, es el DTE. El DTE también podría ser un terminal, unacomputadora, una impresora o una máquina de fax si se conectaran directamente a la red delproveedor de servicios.

■ El DCE, en general un módem o CSU/DSU, es el dispositivo que se utiliza para convertir losdatos del usuario del DTE en una forma que sea aceptable para el enlace de la transmisión delproveedor del servicio WAN. La señal se recibe en el DCE remoto, que decodifica la señalnuevamente en una secuencia de bits. El DCE remoto luego señala esta secuencia al DTE remoto.

La Asociación de Industrias Electrónicas (EIA, Electronics Industry Association) y el Sector deNormalización de las Telecomunicaciones de la Unión de Telecomunicaciones Internacional (UIT-T, International Telecommunication Union Telecommunications Standardization Sector) hantrabajado muy activamente en el desarrollo de estándares que permiten que los DTE se comu-niquen con los DCE. La EIA denomina al DCE como el equipo de comunicación de datos, mien-tras que la ITU-T lo llama equipo de terminación de circuitos de datos.

Capítulo 2: PPP 37

Estándares de los cables

Originalmente, el concepto de los DCE y los DTE se basó en dos tipos de equipos: el equipo ter-minal que generaba o recibía datos y el equipo de comunicación que sólo transmitía datos. En eldesarrollo del estándar RS-232, había razones que justificaban la necesidad de un cableado dife-rente para los conectores RS- 232 de 25 pins en estos dos tipos de equipos. Aunque estas razonesya no son importantes, tenemos dos tipos diferentes de cables: uno para la conexión de un DTEcon un DCE y otro para la conexión directa entre dos DTE.

La interfaz DTE/DCE para un estándar en particular define las siguientes especificaciones:

■ Mecánica/física: número de pins y tipo de conector

■ Eléctrica: define los niveles de tensión para 0 y 1

■ Funcional: especifica las funciones que se ejecutan al asignar significados a cada una de laslíneas de señalización de la interfaz

■ Procesal: especifica la secuencia de eventos para la transmisión de los datos

Haga clic en el botón Cables seriales que se muestra en la imagen.

El estándar original RS-232 sólo definía las conexiones entre los DTE y los DCE, que eranmódems. Sin embargo, si desea conectar dos DTE, como dos computadoras o dos routers en ellaboratorio, se necesita un cable especial llamado módem nulo que reemplaza a un DCE. En otraspalabras, los dos dispositivos se conectan sin emplear un módem. Un módem nulo es un métodode comunicación para conectar directamente dos DTE, como una computadora, un terminal o unaimpresora, a través de un cable serial RS-232. Con una conexión con módem nulo, las líneas detransmisión (Tx) y recepción (Rx) están entrecruzadas tal como muestra la imagen.

Haga clic en el botón DB-60 en la imagen.

El cable para la conexión DTE a DCE es un cable de transición serial y blindado. El extremo delrouter del cable de transición serial blindado puede ser un conector DB-60, que se conecta alpuerto DB-60 en una tarjeta de interfaz WAN serial. El otro extremo del cable de transición serialestá disponible con el conector apropiado para el estándar que se va a usar. Por lo general, elproveedor WAN o la CSU/DSU determina el tipo de cable. Los dispositivos Cisco admiten los es-tándares seriales EIA/TIA-232, EIA/TIA-449, V.35, X.21 y EIA/TIA-530.

Haga clic en el botón Serial inteligente en la imagen.

Para admitir mayores densidades en un factor de forma más pequeño, Cisco ha introducido elcable serial inteligente. El extremo de la interfaz del router del cable serial inteligente es un conec-tor de 26 pins mucho más compacto que el conector DB-60.

Haga clic en el botón Router a router que se muestra en la imagen.

Cuando utilice un módem nulo, tenga en cuenta que las conexiones síncronas requieren una señalde reloj. Un dispositivo externo o uno de los DTE pueden generar esta señal de reloj. Cuando seconecta un DTE con un DCE, el puerto serial en el router es el extremo DTE de la conexión prede-terminada y la señal de reloj, por general, es provista por un dispositivo CSU/DSU o un disposi-tivo DCE similar. Sin embargo, al utilizar un cable de módem nulo en una conexión router arouter, una de las interfaces seriales se debe configurar como el extremo DCE para proporcionar laseñal de reloj para la conexión.

Conversión de paralela a serial

Los términos DTE y DCE son relativos según la parte de la red que esté observando. RS-232C esel estándar recomendado (RS, recommended standard) que describe el protocolo y la interfaz


física para una velocidad relativamente baja, una comunicación de datos seriales entre las computadoras y los dispositivos relacionados. En un principio, la EIA definió RS-232C para losdispositivos teleimpresores. El DTE es la interfaz RS-232C que utiliza una computadora para in-tercambiar datos con un módem u otro dispositivo serial. El DCE es la interfaz RS-232C que un módem u otro dispositivo serial utiliza en el intercambio de datos con la computadora.

Por ejemplo, su computadora, en general, utiliza una interfaz RS-232C para comunicar e intercam-biar datos con dispositivos seriales conectados, como un módem. La computadora también tieneun chip Transmisor/Receptor asíncrono universal (UART, Universal AsynchronousReceiver/Transmitter) en la motherboard. Dado que los datos de la computadora circulan por loscircuitos paralelos, el chip UART convierte los grupos de bits de un stream paralelo a un streamserial de bits. Para trabajar más rápido, un chip UART tiene búferes para que el chip pueda alma-cenar datos en caché provenientes del bus del sistema mientras procesa los datos que salen delpuerto serial. El UART es el agente DTE de su computadora y se comunica con el módem u otrodispositivo serial, que, según lo establecido en el estándar RS-232C, tiene una interfaz comple-mentaria llamada interfaz DCE.

2.1.5 Encapsulación HDLCProtocolos de encapsulación WAN

En cada conexión WAN, los datos se encapsulan dentro de tramas, antes de cruzar el enlace WAN.Para asegurar que se utiliza el protocolo correcto, usted debe configurar el tipo de encapsulaciónde la Capa 2 adecuado. La elección del protocolo depende de la tecnología WAN y del equipo decomunicación. En la imagen, se muestran los protocolos WAN más comunes y el lugar donde seutilizan; luego, se observan descripciones breves.

■ HDLC: el tipo de encapsulación predeterminada en las conexiones punto a punto, los enlacesdedicados y las conexiones conmutadas por circuito cuando el enlace utiliza dos dispositivosCisco. El HDLC es ahora la base para el PPP síncrono, empleado por muchos servidores paraconectarse a una WAN, más comúnmente a Internet.

■ PPP: suministra conexiones de router a router y de host a red, a través de circuitos síncronosy asíncronos. El PPP funciona con varios protocolos de capa de red, como IP e IPX. El PPPtambién tiene mecanismos de seguridad incorporados como el PAP y el CHAP. La mayorparte de este capítulo trata del PPP.

■ Protocolo Internet de línea serial (SLIP, Serial Line Internet Protocol): un protocoloestándar para conexiones seriales punto a punto que usan TCP/IP. SLIP ha sido desplazado engran medida por PPP.

■ X.25/procedimiento de acceso al enlace balanceado (LAPB, Link Access Procedure,Balanced): estándar de la UIT-T que define cómo se mantienen las conexiones entre DTE yDCE para el acceso remoto a terminales y las comunicaciones informáticas en las redes dedatos públicas. X.25 especifica a LAPB, un protocolo de capa de enlace de datos. X.25 es unpredecesor de Frame Relay.

■ Frame Relay: un protocolo estándar industrial, de capa de enlace de datos, conmutado, quemaneja múltiples circuitos virtuales. Frame Relay es un protocolo que pertenece a unageneración inmediatamente posterior a X.25. Frame Relay descarta algunos de los procesosque consumen el tiempo (como la corrección de errores y el control del flujo) utilizados enX.25. El próximo capítulo trata sobre Frame Relay.

Capítulo 2: PPP 39

■ ATM: el estándar internacional para relay de celdas mediante el cual los dispositivos envíanmúltiples tipos de servicio (como, por ejemplo, voz, video o datos) en celdas de longitud fija(53 bytes). Las celdas de longitud fija permiten que el procesamiento se lleve a cabo en elhardware, lo que disminuye los retrasos en el tránsito. ATM aprovecha los medios detransmisión de alta velocidad, como E3, SONET y T3.

Encapsulación HDLC

HDLC es un protocolo orientados a bit síncrono de capa de enlace de datos, desarrollado por laOrganización Internacional de Normalización (OIE). El estándar actual para HDLC es ISO 13239.HDLC se desarrolló a partir del estándar control de enlace de datos síncrono (SDLC, Synchro-nous Data Link Control) propuesto en la década de 1970. El HDLC brinda servicio orientado a laconexión y sin conexión.

El HDLC utiliza transmisión serial síncrona para brindar comunicación libre de errores entre dospuntos. El HDLC define una estructura del entramado de Capa 2 que permite el control del flujo yel control de errores mediante el uso de acuses de recibo. Cada trama presenta el mismo formato,ya sea una trama de datos o una trama de control.

Cuando desee transmitir tramas sobre enlaces síncronos o asíncronos, debe recordar que aquellosenlaces no tienen un mecanismo para marcar el inicio y el fin de las tramas. El HDLC utiliza undelimitador de trama o señalador para marcar el inicio y el fin de cada trama.

Cisco desarrolló una extensión del protocolo HLDC para solucionar la incapacidad de brindarcompatibilidad multiprotocolo. A pesar de que el HDLC de Cisco (también conocido comocHDLC) está patentado, Cisco permitió que otros proveedores de equipos de red lo implementen.Las tramas HDLC de Cisco contienen un campo para identificar el protocolo de red que se está en-capsulando. Las imágenes comparan el HLDC con el HLDC de Cisco.

Haga clic en el botón Tipos de tramas HDLC que se muestra en la imagen.

El HDLC define tres tipos de tramas, cada una con un formato de campo de control diferente. Lassiguientes descripciones resumen los campos que se muestran en la imagen.

Señalador: el campo señalador inicia y finaliza la verificación de errores. La trama siemprecomienza y finaliza con un campo señalador de 8 bits. El patrón de bit es 01111110. Ya que existela probabilidad de que este patrón se lleve a cabo en los datos reales, el sistema HDLC de envíosiempre inserta un bit 0 después de cada cinco 1 en el campo de datos, por lo tanto, en la práctica,la secuencia del señalador sólo puede ocurrir en los extremos de las tramas. El sistema receptorquita los bits insertados. Cuando las tramas se transmiten en forma consecutiva, el señalador delfinal de la primera trama se utiliza como señalador de inicio de la trama siguiente.

Dirección: el campo dirección contiene la dirección HDLC de la estación secundaria. Esta direc-ción puede contener una dirección específica, un grupo de direcciones o una dirección de broad-cast. Una dirección principal es tanto un origen como un destino de comunicación que elimina lanecesidad de incluir la dirección de la principal.

Control: el campo de control utiliza tres formatos diferentes, según el tipo de trama HDLC usada.

■ Trama de información (I): las tramas I contienen información de la capa superior y algunainformación de control. Esta trama envía y recibe números de secuencia y el bit de sondeofinal (P/F) realiza el control de flujo y error. El número de secuencia de envío hace referenciaal número de la trama que se envía a continuación. El número de secuencia de recepciónproporciona el número de la trama que se recibe a continuación. Tanto el transmisor como elreceptor mantienen los números de secuencia de recepción y transmisión. Una estaciónprimaria utiliza el bit P/F para indicar a la estación secundaria si solicita una respuesta


inmediata o no. Una estación secundaria utiliza el bit P/F para indicar a la primaria si la tramaactual es la última en su respuesta actual.

■ Trama de supervisión (S): las tramas S brindan información de control. Una trama S puedesolicitar y suspender la transmisión, informar sobre el estado y acusar recibo de las tramas I.Las tramas S no tienen un campo información.

■ Trama sin enumerar (U): las tramas U admiten objetivos de control y no están secuenciadas.Una trama U puede utilizarse para iniciar secundarias. De acuerdo con la función de la tramaU, su campo control es de 1 o 2 bytes. Algunas tramas U contienen un campo información.

Protocolo (sólo usado en el HLDC de Cisco): este campo especifica el tipo de protocolo encapsu-lado dentro de la trama (por ejemplo, 0x0800 para IP).

Datos: el campo de datos contiene una unidad de información de ruta (PIU, Path InformationUnit) o una información de identificación de intercambio (XID, Exchange Identification).

Secuencia de verificación de trama (FCS, Frame Check Sequence): la FCS precede al delimi-tador del señalador de fin y, por lo general, es un recordatorio de cálculo de la verificación de re-dundancia cíclica (CRC, Cyclic Redundancy Check). El cálculo de la CRC se vuelve a realizar enel receptor. Si el resultado difiere del valor que se encuentra en la trama original, se supone queocurrió un error.

2.1.6 Configuración de encapsulación HDLCConfiguración de encapsulación HDLC

El HDLC de Cisco es el método de encapsulación predeterminado que utilizan los dispositivosCisco en las líneas seriales síncronas.

Usted utiliza el HDLC de Cisco como un protocolo punto a punto en líneas arrendadas entre dosdispositivos de Cisco. Si va a realizar una conexión a un dispositivo que no es de Cisco, utilice unPPP síncrono.

Si se cambió el método de encapsulación predeterminado, utilice el comando encapsulationhdlc en modo privilegiado para volver a habilitar el HDLC.

Se deben seguir dos pasos para habilitar la encapsulación HDLC:

Paso 1. Ingresar el modo de configuración de interfaz de la interfaz serial.

Paso 2. Ingresar el comando encapsulation hdlc para especificar el protocolo de encapsulaciónen la interfaz.

2.1.7 Resolución de problemas de las interfaces serialEl resultado del comando show interfaces serial muestra información específica acerca de lasinterfaces seriales. Al configurar el HDLC, se podrá observar la leyenda “Encapsulation HDLC”(encapsulación HDLC), como aparece resaltado en la imagen.

Haga clic en el botón Estados posibles que se muestra en la imagen.

El comando show interface serial devuelve uno de los cinco estados posibles. Usted puedeidentificar cualquiera de los siguientes cinco estados posibles de problemas en la línea de estadode la interfaz:

Haga clic en el botón Estado que se muestra en la imagen.

■ Serial x is down, line protocol is down

Capítulo 2: PPP 41

■ Serial x is up, line protocol is down

■ Serial x is up, line protocol is up (looped)

■ Serial x is up, line protocol is down (disabled)

■ Serial x is administratively down, line protocol is down

Haga clic en el botón Controladores que se muestra en la imagen.

El comando show controllers es otra herramienta importante al diagnosticar las fallas en laslíneas seriales. El resultado indica el estado de los canales de la interfaz y si un cable está conec-tado a la interfaz o no. En la imagen, la interfaz serial 0/0 tiene conectado un cable DCE V.35. Lasintaxis del comando varía de acuerdo con la plataforma. Los routers serie Cisco 7000 usan unatarjeta de controlador cBus para conectar los enlaces seriales. Con estos routers, use el comandoshow controllers cbus.

Si el resultado de la interfaz eléctrica se muestra como UNKNOWN (desconocido), en lugar deV.35, EIA/TIA-449 o algún otro tipo de interfaz eléctrica, el problema seguramente radica en uncable conectado de forma incorrecta. También es posible que se trate de un problema con el ca-bleado interno de la tarjeta. Si se desconoce la interfaz eléctrica, el resultado del comando show in-

terfaces serial <x> muestra que la interfaz y el protocolo de línea se encuentran desactivados.

En esta actividad, practicará la resolución de problemas de las interfaces seriales. Las instruc-ciones detalladas están proporcionadas dentro de la actividad, al igual que en el enlace al PDF acontinuación.

Instrucciones de las actividades (PDF)

Memoria Complex Flash: identificación de los conceptos y los componentes de la tec-nología WAN

2.2 Conceptos del PPP2.2.1 Introducción al PPP¿Qué es el PPP?

Recuerde que HDLC es el método de encapsulación serial predeterminada al conectar dos routersCisco. Con un campo tipo protocolo agregado, la versión de HDLC de Cisco está patentada. Por lotanto, el HDLC de Cisco sólo puede funcionar con otros dispositivos de Cisco. Sin embargo,cuando necesite conectarlo a un router que no sea Cisco, debe utilizar la encapsulación PPP.

La encapsulación PPP se diseñó cuidadosamente para que sea compatible con los hardware de so-porte que más se usan. El PPP encapsula tramas de datos para la transmisión a través de los en-laces físicos de la Capa 2. El PPP establece una conexión directa mediante cables seriales, líneastelefónicas, líneas troncales, teléfonos celulares, enlaces de radio especializados o enlaces de fibraóptica. Existen muchas ventajas al usar el PPP, incluido el hecho de que no está patentado.Además, incluye varias funciones que no están disponibles en el HDLC:

■ La función Administración de calidad del enlace monitorea la calidad del mismo. Si sedetectan muchos errores, el PPP desactiva el enlace.

■ El PPP admite la autenticación PAP y CHAP. Esta función se explica y se práctica ensecciones subsiguientes.

El PPP contiene tres componentes principales.


■ El protocolo HDLC para la encapsulación de datagramas a través de enlaces punto a punto.

■ Un protocolo de control de enlace (LCP, Link Control Protocol) extensible para establecer,configurar y probar la conexión de enlace de datos.

■ Una familia de protocolos de control de red (NCP, Network Control Protocols ) paraestablecer y configurar distintos protocolos de capa de red. El PPP permite el uso simultáneode múltiples protocolos de capa de red. Algunos de los NCP más comunes son el protocolo decontrol del protocolo de Internet, el protocolo de control Appletalk, el protocolo de controlNovell IPX, el protocolo de control Cisco Systems, el protocolo de control SNA y el protocolode control de compresión.

2.2.2 Arquitectura de capas PPPArquitectura PPP

Una arquitectura de capas es un modelo, diseño o plan lógico que ayuda a la comunicación entrelas capas interconectadas. La imagen traza la arquitectura de capas del PPP en contraste con elmodelo de interconexión de sistema abierto (OSI, Open System Interconnection). EL PPP y OSIcomparten la misma capa física, pero el PPP distribuye las funciones del LCP y el NCP de maneradiferente.

En la capa física, puede configurar el PPP en una variedad de interfaces, las que incluyen:

■ Serial asíncrona

■ Serial síncrona

■ HSSI

■ ISDN

El PPP funciona a través de cualquier interfaz DTE/DCE (RS-232-C, RS-422, RS-423 o V.35). Elúnico requisito absoluto impuesto por el PPP es un circuito duplex, dedicado o conmutado, quepueda funcionar en un modo serial de bits asíncrono o síncrono, transparente a tramas de capa deenlace del PPP. El PPP no impone ninguna otra restricción con respecto a la velocidad de trans-misión que no sea aquella impuesta por la interfaz DTE/DCE que se encuentre en uso.

La mayoría del trabajo realizado por el PPP se produce en el enlace de datos y las capas de redmediante el LCP y los NCP. EL LCP establece la conexión PPP y sus parámetros, los NCP mane-jan configuraciones de protocolo de capa superior y el LCP finaliza la conexión PPP.

Arquitectura PPP: capa del protocolo de control de enlace

El LCP es la parte que realmente realiza el trabajo en el PPP. El LCP se ubica en la parte más altade la capa física y se utiliza para establecer, configurar y probar la conexión de enlace de datos. ElLCP establece el enlace punto a punto. El LCP también negocia y establece las opciones de con-trol en el enlace de datos WAN, manejadas por los NCP.

El LCP brinda configuración automática de las interfaces en cada extremo, lo que incluye:

■ El manejo de límites variables en el tamaño del paquete

■ La detección de errores comunes de configuración

■ La finalización del enlace

■ La determinación de cuándo un enlace funciona correctamente o cuándo falla

El PPP también utiliza el LCP para acordar, de forma automática, acerca de formatos de encapsu-lación (autenticación, compresión, detección de errores) tan pronto como se establezca el enlace.

Capítulo 2: PPP 43

Arquitectura PPP: capa del protocolo de control de red

Los enlaces punto a punto tienden a empeorar muchos problemas con la familia actual de protocolosde red. Por ejemplo, la asignación y administración de direcciones IP, la cual resulta un problema in-cluso en entornos LAN, es especialmente dificultosa en enlaces punto a punto conmutados por cir-cuito (tales como los servidores con módem dialup). El PPP se ocupa de estos problemas mediantelos NCP.

El PPP permite que varios protocolos de capa de red operen en el mismo enlace de comunicación.Para cada protocolo de capa de red utilizado, el PPP utiliza un NCP distinto. Por ejemplo, el IPutiliza el protocolo de control de IP (IPCP, IP Control Protocol) y el IPX utiliza el protocolo decontrol Novell IPX (IPXCP, novell IPX Control Protocol).

Haga clic en el botón capa de red que se muestra en la imagen.

Los NCP incluyen campos funcionales que contienen códigos estandarizados (números de campode protocolo del PPP que se muestran en la imagen) para indicar el protocolo de capa de red que el PPP encapsula. Cada NCP administra las necesidades específicas solicitadas por sus respecti-vos protocolos de capa de red. Los diversos componentes del NCP encapsulan y negocian op-ciones para múltiples protocolos de capa de red. El uso de los NCP para configurar los diversosprotocolos de capa de red se explica y se practica más adelante en este capítulo.

2.2.3 Estructura de trama PPPEstructura de trama PPP

Una trama PPP tiene seis campos, tal como se muestra en la imagen.

Coloque el cursor del mouse sobre cada campo para encontrar información acerca de lo quecontiene y hace cada uno.

El LCP puede negociar modificaciones en la estructura de trama PPP estándar.

2.2.4 Establecimiento de una sesión PPPEstablecimiento de una sesión PPP

La imagen muestra las tres fases del establecimiento de una sesión PPP.

■ Fase 1. Establecimiento del enlace y negociación de la configuración: antes de que el PPPintercambie cualquier datagrama de capa de red (por ejemplo, IP), el LCP primero debe abrirla conexión y negociar los parámetros de configuración. Esta fase se completa cuando elrouter receptor envía una trama de acuse de recibo de configuración de vuelta al router queinicia la conexión.

■ Fase 2. Determinación de la calidad del enlace (opcional): el LCP prueba el enlace paradeterminar si su calidad es suficiente para establecer los protocolos de capa de red. El LCPpuede demorar la transmisión de la información del protocolo de capa de red hasta que estafase se complete.

■ Fase 3. Negociación de la configuración del protocolo de capa de red: después de que elLCP haya finalizado la fase de determinación de la calidad del enlace, el NCP adecuadopuede configurar, de manera separada, los protocolos de capa de red, y activarlos ydesactivarlos en cualquier momento. Si el LCP cierra el enlace, informa a los protocolos de lacapa de red para que puedan tomar las medidas adecuadas.

El enlace permanece configurado para las comunicaciones hasta que las tramas LCP o NCP explí-citas cierran el enlace o hasta que se produzca algún hecho externo (por ejemplo, el vencimiento


de un temporizador de inactividad o la intervención de un usuario). El LCP puede finalizar el en-lace en cualquier momento. Por lo general, esto se realiza cuando uno de los routers solicita finali-zación, pero puede ocurrir debido a un evento físico, como la pérdida de una portadora o elvencimiento de un temporizador de periodo de espera.

2.2.5 Establecimiento de un enlace con el LCPOperación LCP

La operación LCP incluye provisiones para el establecimiento de enlace, mantenimiento de enlacey finalización de enlace. La operación LCP utiliza tres clases de tramas LCP para llevar a cabo eltrabajo de cada una de las fases del LCP.

■ Las tramas de establecimiento de enlace establecen y configuran un enlace (Configure-Request, Configure-Ack, Configure-Nak y Configure-Reject)

■ Las tramas de mantenimiento de enlace administran y depuran un enlace (Code-Reject,Protocol-Reject, Echo-Request, Echo-Reply, y Discard-Request)

■ Las tramas de finalización de enlace finalizan un enlace (Terminate-Request y Terminate-Ack)

La primera fase de la operación LCP es el establecimiento del enlace. Esta fase se debe completarcon éxito antes de que se intercambie algún paquete de capa de red. Durante el establecimiento deenlace, el LCP abre la conexión y negocia los parámetros de configuración.

Haga clic en el botón Negociación de enlace que se muestra en la imagen.

El proceso de establecimiento de enlace comienza con el dispositivo de inicio que envía una tramaConfigure-Request al contestador. La trama Configure-Request incluye un cantidad variable de op-ciones de configuración que se necesitan establecer en el enlace. En otras palabras, el iniciadorenvió una “lista de sugerencias” al contestador.

La lista de sugerencias del iniciador incluye opciones para establecer cómo quiere que se cree elenlace, lo que incluye el protocolo o los parámetros de autenticación. El contestador procesa lalista de sugerencias y, si es aceptable, responde con un mensaje Configure-Ack. Después derecibir el mensaje Configure-Ack, el proceso continúa con la etapa de autenticación.

Si las opciones no son aceptables o reconocidas, el contestador envía un mensaje Configure-Nak oConfigure-Reject. Si se recibe un Configure-Ack, la operación del enlace se entrega al NCP. Si unmensaje Configure-Nak o Configure-Reject se envía al solicitante, el enlace no se establece. Si lanegociación falla, el iniciador necesita reiniciar el proceso con opciones nuevas.

Durante el mantenimiento de enlace, el LCP puede utilizar mensajes para proporcionar comenta-rios y probar el enlace.

■ Code-Reject y Protocol-Reject: estas tramas brindan comentarios cuando un dispositivo recibeuna trama no válida debido a un código LCP no reconocido (tipo de trama LCP) o un malidentificador de protocolo. Por ejemplo, si se recibe un paquete que no es interpretable desdeel peer, un paquete Code-Reject se envía en respuesta.

■ Echo-Request, Echo-Reply y Discard-Request: estas tramas se pueden utilizar para probarel enlace.

Después de que se complete la transferencia de datos en la capa de red, el LCP finaliza el enlace. Enla imagen, observe que el NCP sólo termina el enlace de la capa de red y el del NCP. El enlace per-manece abierto hasta que el LCP lo termina. Si el LCP termina el enlace antes del NCP, la sesiónNCP también termina.

Capítulo 2: PPP 45

El PPP puede terminar el enlace en cualquier momento. Esto puede suceder debido a la pérdida dela portadora, falla de la autenticación, falla de la calidad del enlace, el vencimiento de un tempori-zador de periodo de espera o el cierre administrativo del enlace. El LCP cierra el enlace al inter-cambiar los paquetes de terminación. El dispositivo que inicia el cierre envía un mensajeTerminate-Request. El otro dispositivo responde con un Terminate-Ack. Una solicitud de finaliza-ción indica que el dispositivo que realiza el envío necesita cerrar el enlace. Cuando el enlace seestá cerrando, el PPP informa a los protocolos de capa de red para que puedan tomar las medidasadecuadas.

Paquete LCP

La imagen muestra los campos en un paquete LCP.

Coloque el cursor en cada campo y lea la descripción.

Cada paquete LCP es un único mensaje LCP que consiste en un campo de código LCP que identi-fica el tipo de paquete LCP, un campo de identificador para que las solicitudes y las respuestaspuedan coincidir y un campo de longitud que indica el tamaño del paquete LCP y los datos especí-ficos del tipo de paquete LCP.

Haga clic en el botón Códigos LCP en la imagen.

Cada paquete LCP tiene una función específica en el intercambio de información de configu-ración, según el tipo de paquete. El campo de código del paquete LCP identifica el tipo de paquetede acuerdo con la tabla.

Opciones de configuración PPP

El PPP se puede configurar para admitir varias funciones que incluyen:

■ Autenticación con PAP o CHAP

■ Compresión con Stacker o Predictor

■ Multienlace que combina dos o más canales para aumentar el ancho de banda WAN

Estas opciones se analizan con mayor detalle en la próxima sección.

Haga clic en el botón Campo de opción LCP en la imagen.

Para negociar el uso de estas opciones PPP, las tramas de establecimiento del enlace LCP con-tienen información de opciones en el campo Datos de la trama LCP. Si no se incluye ninguna op-ción de configuración en una trama LCP, se adopta el valor predeterminado para esaconfiguración.

Esta fase queda completa después de enviar y recibir una trama de acuse de recibo de configuración.

2.2.6 Explicación de NCPProceso NCP

Una vez que se haya iniciado el enlace, el LCP pasa el control al NCP adecuado. A pesar de estardiseñado, inicialmente, para datagramas IP, el PPP puede contener datos desde varios tipos deprotocolos de capa de red al usar un enfoque modular en su implementación. También puede con-tener dos o más protocolos de Capa 3 de forma simultánea. Su modelo modular permite que elLCP establezca el enlace y luego entregue los detalles de un protocolo de red a un NCP específico.Cada protocolo de red tiene un NCP correspondiente. Cada NCP tiene un RFC correspondiente.Hay NCP para IP, IPX, AppleTalk y muchos más. Los NCP usan el mismo formato de paquete quelos LCP.


Después de que el LCP haya configurado y autenticado el enlace básico, el NCP adecuado se so-licita para completar la configuración específica del protocolo de capa de red que se está usando.Cuando el NCP haya configurado, de manera exitosa, el protocolo de capa de red, el protocolo dered se encuentra en estado abierto en el enlace LCP establecido. En este punto, el PPP puede con-tener los paquetes de protocolos de capa de red correspondientes.

Ejemplo de IPCP

Como un ejemplo de cómo trabaja la capa NCP, se utiliza IP, que es el protocolo de Capa 3 más común. Una vez que el LCP estableció el enlace, los routers intercambian mensajes IPCP ynegocian opciones específicas del protocolo. IPCP es responsable de la configuración, la activa-ción y la desactivación de los módulos de IP en ambos extremos del enlace.

IPCP negocia dos opciones.

■ Compresión: permite que los dispositivos negocien un algoritmo para comprimir encabezadosTCP e IP y ahorrar ancho de banda. La compresión de encabezados TCP/IP Van Jacobsonreduce el tamaño de los encabezados TCP/IP a sólo 3 bytes. Esto puede ser un avanceimportante en líneas seriales lentas, en especial para el tráfico interactivo.

■ Dirección IP: permite que el dispositivo de inicio especifique una dirección IP para enrutartráfico IP sobre el enlace PPP o para solicitar una dirección IP para el contestador. En general,los enlaces de red dialup usan la opción de dirección IP.

Cuando el proceso NCP se completa, el enlace se pasa al estado abierto y el LCP toma el controlnuevamente. El tráfico de enlace consta de toda posible combinación de paquetes LCP, NCP y pro-tocolos de capa de red. La imagen muestra cómo los mensajes LCP pueden ser usados porcualquiera de los dispositivos para administrar o depurar el enlace.

Memoria Complex Flash: Identificación de procesos y conceptos del PPP

2.3 Configuración del PPP2.3.1 Opción de configuración del PPPOpciones de configuración del PPP

En la sección anterior, se presentaron las opciones LCP que usted puede configurar para satisfacerlos requisitos específicos de conexiones WAN. El PPP puede incluir las siguientes opciones LCP.

■ Autenticación: los routers pares intercambian mensajes de autenticación. Dos opciones de autenticación son el Protocolo de autenticación de contraseña (PAP) y el Protocolo deautenticación de intercambio de señales (CHAP). La autenticación se explica en la siguientesección.

■ Compresión: aumenta el rendimiento efectivo en conexiones PPP al reducir la cantidad dedatos en la trama que debe viajar a través del enlace. El protocolo descomprime la trama alllegar a su destino. Dos protocolos de compresión disponibles en los routers Cisco son Stackery Predictor.

■ Detección de errores: identifica condiciones defectuosas. Las opciones de Calidad y Númeromágico ayudan a garantizar un enlace de datos confiable y sin bucles. El campo Númeromágico ayuda a detectar enlaces que se encuentran en una condición de loopback. Hasta quela opción de configuración del número mágico se haya negociado de manera exitosa, elnúmero mágico se debe trasmitir como cero. Los números mágicos se generan de maneraaleatoria en cada extremo de la conexión.

Capítulo 2: PPP 47

■ Multienlace: los IOS Cisco Versión 11.1 y posteriores admiten el PPP multienlace. Estaalternativa proporciona el balanceo de carga en las interfaces del router utilizadas por PPP. El PPP multienlace (también conocido como MP, MPPP, MLP o Multienlace) proporciona unmétodo para diseminar el tráfico a través de múltiples enlaces físicos WAN a la vez queproporciona la fragmentación y el reensamblaje de paquetes, la secuencia adecuada, lainteroperabilidad de múltiples proveedores y el balanceo de carga en el tráfico entrante ysaliente. El multienlace no se incluye en este curso.

■ Devolución de llamadas en PPP: para aumentar la seguridad, el IOS de Cisco Versión 11.1 y posteriores ofrece devolución de llamadas en PPP. Con esta opción LCP, un router Ciscopuede actuar como cliente de la devolución de llamada o servidor de la devolución dellamada. El cliente realiza la llamada inicial, solicita que el servidor le devuelva la llamada yfinaliza la comunicación inicial. El router de devolución de llamadas responde al llamadoinicial y se comunica nuevamente con el cliente según las sentencias de configuración. Elcomando es ppp callback [accept | request].

Cuando las opciones se configuran, un valor de campo correspondiente se inserta en el campo Op-ción del LCP.

2.3.2 Comandos de configuración PPPComandos de configuración del PPP

Antes de que realmente configure el PPP en una interfaz serial, analizaremos los comandos y lasintaxis de estos comandos tal como se muestra en la imagen. Esta serie de ejemplos le indicancómo configurar el PPP y algunas de las opciones.

Ejemplo 1: Habilitación del PPP en una interfaz

Para configurar el PPP como el método de encapsulación usado por una interfaz serial o ISDN, useel comando de configuración de interfaz encapsulation ppp.

El siguiente ejemplo activa la encapsulación PPP en una interfaz serial 0/0:

R3#configure terminal

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

El comando encapsulation ppp no tiene argumentos; sin embargo, primero debe configurar elrouter con un protocolo de enrutamiento IP para usar encapsulación PPP. Debe recordar que si noconfigura el PPP en un router Cisco, la encapsulación predeterminada para las interfaces serialeses el HDLC.

Ejemplo 2: Compresión

Puede configurar la compresión de un software punto a punto en interfaces seriales después de quehaya activado la encapsulación PPP. Debido a que esta opción activa un proceso de compresión desoftware, el rendimiento del sistema se puede afectar. Si el tráfico ya consta de archivos comprimi-dos (por ejemplo .zip, .tar o .mpeg), no use esta opción. La imagen muestra la sintaxis del co-mando para el comando compress.

Para configurar la compresión en PPP, introduzca los siguientes comandos:



R3(config-if)#compress [predictor | stac]


Ejemplo 3: Monitoreo de la calidad del enlace

Tenga presente de nuestro análisis las fases LCP, que el LCP brinda una fase de determinación dela calidad del enlace opcional. En esta fase, el LCP prueba el enlace para determinar si su calidades suficiente para usar protocolos de Capa 3. El comando ppp quality percentage garantiza queel enlace satisface los requisitos de calidad que estableció, de lo contrario el enlace se cerraría.

Los porcentajes se calculan tanto para las direcciones entrantes como para las salientes. La calidadde salida se calcula al comparar la cantidad total de paquetes y bytes enviados con la cantidad to-tal de paquetes y bytes recibidos por el nodo de destino. La calidad de entrada se calcula al compa-rar la cantidad total de paquetes y bytes recibidos con la cantidad total de paquetes y bytesenviados por el nodo de destino.

Si el porcentaje de calidad del enlace no se mantiene, el enlace se considera de mala calidad y sedesactiva. El monitoreo de la calidad del enlace (LQM, Link Quality Monitoring) implementa unretraso para que el enlace no rebote hacia arriba y hacia abajo.

Este ejemplo de configuración monitorea los datos que se decartan del enlace y evita la formaciónde bucles en la trama:



R3(config-if)#ppp quality 80

Use el comando no ppp quality para desactivar el LQM.

Ejemplo 4: Balanceo de carga a través de enlaces

El PPP multienlace (también conocido como MP, MPPP, MLP o Multienlace) proporciona unmétodo para diseminar el tráfico a través de múltiples enlaces físicos WAN, a la vez que propor-ciona la fragmentación y el reensamblaje de paquetes, la secuencia adecuada, la interoperabilidadde múltiples proveedores y el balanceo de carga en el tráfico entrante y saliente.

El MPPP permite que los paquetes se fragmenten y envía estos fragmentos, de forma simultánea,sobre múltiples enlaces punto a punto a las mismas direcciones remotas. Los múltiples enlacesfísicos se presentan en respuesta a un umbral de carga definido por el usuario. El MPPP puedemedir la carga sólo en el tráfico entrante o sólo en el tráfico saliente, pero no en la carga combi-nada del tráfico entrante y el tráfico saliente.

Los siguientes comandos ejecutan el balanceo de carga en múltiples enlaces:

Router(config)#interface serial 0/0/0

Router(config-if)#encapsulation ppp

Router(config-if)#ppp multilink

El comando multilink no tiene argumentos. Para desactivar el multienlace PPP, use el comandono ppp multilink.

2.3.3 Verificación de una configuración de encapsulaciónserial PPPVerificación de la configuración de encapsulación PPP

Use el comando show interfaces serial para verificar la configuración correcta de la encapsu-lación HDLC o PPP. El resultado del comando en la imagen muestra una configuración PPP.

Capítulo 2: PPP 49

Al configurar el HDLC, el resultado del comando show interfaces serial debería mostrar “en-capsulation HDLC” (encapsulación HDLC). Cuando configura el PPP, puede verificar los estadosLCP y NCP.

Haga clic en el botón Comandos que se muestra en la imagen.

La imagen resume los comandos utilizados al verificar el PPP.

2.3.4 Resolución de problemas de encapsulación PPPResolución de problemas de la configuración de la encapsulación serial

En este punto, usted ya sabe que el comando debug se usa para la resolución de problemas y quese accede a él desde el modo exec privilegiado de la interfaz de línea de comando. La depuraciónmuestra información acerca de las distintas operaciones del router y el tráfico relacionado, gene-rado o recibido por el router, y acerca de cualquier mensaje de error. Es una herramienta muy útil einformativa, pero usted siempre debe recordar que el IOS de Cisco trata la depuración como unatarea de prioridad alta. Puede consumir una gran cantidad de recursos y el router es forzado a pro-cesar-conmutar los paquetes que se están depurando. La depuración no se debe usar como una he-rramienta de monitoreo, ya que se debe usar por un periodo corto para la resolución de problemas.Cuando se realiza la resolución de problemas de una conexión serial, se utiliza el mismo enfoqueque ha usado en otras tareas de configuración.

Use el comando debug ppp para mostrar información acerca de la operación del PPP. La ima-gen muestra la sintáxis del comando. La forma no de este comando desactiva el resultado de ladepuración.

Resultado del comando debug ppp packet

Un buen comando para utilizar cuando resuelva problemas de la encapsulación de la interfaz seriales el comando debug ppp packet. El ejemplo en la imagen es resultado del comando debug ppp

packet, tal como se observa desde el monitor de calidad de enlace (LQM, Link Quality Monitor)de la conexión. El ejemplo de muestra describe intercambios de paquetes bajo operación normal dePPP. Éste es sólo un listado parcial, pero suficiente para prepararlo para la práctica de laboratorio.

Observe cada línea en el resultado y únala al significado del campo. Utilice la siguiente guía parasu análisis del resultado.

■ PPP: resultado de la depuración PPP.

■ Serial2: número de la interfaz asociado con esta información de depuración.

■ (o), S: el paquete que se detectó es un paquete saliente.

■ (i), E: el paquete que se detectó es un paquete entrante.

■ lcp_slqr(): nombre del procedimiento; LQM en ejecución, envíe un informe de la calidad delenlace (LQR, Link Quality Report).

■ lcp_rlqr(): nombre del procedimiento; LQM en ejecución, recibió un LQR.

■ input (C021): el router recibió un paquete del tipo de paquete especificado (en hexadecimal).Un valor de C025 indica un paquete de tipo LQM.

■ state = ABIERTO: estado PPP; estado normal es OPEN (ABIERTO).

■ magic = D21B4: el número mágico para el nodo indicado. Cuando se indica el resultado, éstees el número mágico del nodo en el que se habilita la depuración. El número mágico realdepende de si el paquete detectado se indica como E o S.


■ datagramsize = 52: longitud del paquete, incluido el encabezado.

■ code = ECHOREQ(9): identifica el tipo de paquete recibido en forma de cadena yhexadecimal.

■ len = 48: longitud del paquete sin encabezado.

■ id = 3: número de identificación por formato de paquete de protocolo de control de enlace(LCP, Link Control Protocol).

■ pkt type 0xC025: tipo de paquete en hexadecimal. Los paquetes típicos son C025 para LQM yC021 para LCP.

■ LCP ECHOREQ (9): solicitud de eco. El valor entre paréntesis es la representaciónhexadecimal del tipo LCP.

■ LCP ECHOREP (A): respuesta de eco. El valor entre paréntesis es la representaciónhexadecimal del tipo LCP.

Resultado del comando debug ppp negotiation

La imagen muestra el resultado del comando debug ppp negotiation en una negociación normal,en donde ambas partes acuerdan sobre los parámetros del programa de control de red (NCP, net-work control program). En este caso, se propone y se reconoce el IP del tipo de protocolo. Se tomael resultado de una línea o dos a la vez:

las primeras dos líneas indican que el router está tratando de activar el LCP y que utilizará las op-ciones de negociación indicadas (protocolo de calidad y número mágico). Los campos de valoresson los valores de las opciones en sí mismas. C025/3E8 se traduce a protocolo de calidad LQM.3E8 es el periodo de informe (en centésimas de segundo). 3D56CAC es el valor del Númeromágico para el router.

ppp: enviando CONFREQ, tipo = 4 (CI_QUALITYTYPE), valor = C025/3E8

ppp: enviando CONFREQ, tipo = 5 (CI_MAGICNUMBER), valor = 3D56CAC

Las próximas dos líneas indican que el otro lado negoció por las opciones 4 y 5, y que solicitó yreconoció a ambas. Si el extremo que responde no admite las opciones, el nodo que responde envíaun CONFREJ. Si el extremo que responde no acepta el valor de la opción, éste envía un CONFNAKcon el campo de valor modificado.

ppp: received config for type = 4 (QUALITYTYPE) acked

ppp: received config for type = 5 (MAGICNUMBER) value = 3D567F8 acked (ok)

Las próximas tres líneas indican que el router recibió un CONFACK del lado que responde ymuestra valores de opción aceptados. Utilice el campo rcvd id para verificar si el CONFREQ y elCONFACK tienen el mismo campo de id.

PPP Serial2: state = ACKSENT fsm_rconfack(C021): rcvd id 5

ppp: config ACK received, type = 4 (CI_QUALITYTYPE), value = C025

ppp: config ACK received, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

La siguiente línea indica que el router tiene el enrutamiento de IP habilitado en esta interfaz y queel IPCP NCP negoció satisfactoriamente.

ppp: ipcp_reqci: returning CONFACK (ok)

Capítulo 2: PPP 51

Resultado del comando debug ppp error

Puede utilizar el comando debug ppp error para mostrar los errores de protocolo y las estadísti-cas de los errores relacionados con la negociación y la operación de la conexión PPP. Estos men-sajes pueden aparecer cuando la opción del protocolo de calidad está habilitada en una interfaz queya está ejecutando PPP. La imagen muestra un ejemplo.

Observe cada línea en el resultado y únala al significado del campo. Utilice la siguiente guía parasu análisis del resultado.

■ PPP: resultado de la depuración PPP.

■ Serial3(i): número de la interfaz relacionada con esta información de depuración; indica queéste es un paquete de entrada.

■ rlqr recibe una falla: el receptor no acepta el pedido para negociar la opción del protocolo decalidad.

■ myrcvdiffp = 159: número de paquetes recibidos durante el periodo especificado.

■ peerxmitdiffp = 41091: número de paquetes enviados por el nodo remoto durante esteperiodo.

■ myrcvdiffo = 2183: número de octetos recibidos durante este periodo.

■ peerxmitdiffo = 1714439: número de octetos enviados por el nodo remoto durante esteperiodo.

■ umbral = 25: porcentaje de error máximo aceptable en esta interfaz. Este porcentaje se calculacon el valor de umbral ingresado en el comando ppp quality percentage de configuraciónde la interfaz. Un valor de número 100 menos es el porcentaje de error máximo. En este caso,se ingresó el número 75. Esto significa que el router local debe mantener un porcentajemínimo de error de 75 o el enlace PPP se cerrará.

■ OutLQRs = 1: actual número de secuencia del envío LQR del router local.

■ LastOutLQRs = 1: último número de secuencia que el lado del nodo remoto ha visto desde elnodo local.

En esta actividad, podrá practicar el cambio de encapsulación en las interfaces seriales. Las ins-trucciones detalladas están proporcionadas dentro de la actividad, al igual que en el enlace al PDFa continuación.


2.4 Configuración de PPP con autenticación2.4.1 Protocolos de autenticación PPPProtocolo de autenticación PAP

PPP define un LCP extensible que permite la negociación de un protocolo de autenticación paraautenticar su peer antes de permitir que los protocolos de capa de red transmitan a través del en-lace. RFC 1334 define dos protocolos para autenticación, tal como se muestra en la imagen.

PAP es un proceso muy básico de dos vías. No hay encriptación: el nombre de usuario y la con-traseña se envían en texto sin cifrar. Si esto se acepta, la conexión se permite. CHAP es más seguroque PAP. Implica un intercambio de tres vías de un secreto compartido. Más adelante, en estemismo capítulo, se describirá este proceso.


La fase de autenticación de una sesión PPP es opcional. Si se usa, se puede autenticar el peer, luegode que el LCP establezca el enlace y elija el protocolo de autenticación. Si se utiliza, la autenticaciónse lleva a cabo antes de que comience la fase de configuración del protocolo de la capa de red.

Las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca lainformación de autenticación. Esto ayuda a garantizar que el usuario tenga el permiso del adminis-trador de la red para efectuar la llamada. Los routers pares intercambian mensajes de autenticación.

2.4.2 Protocolo de autenticación de contraseña (PAP)Una de las muchas funciones del PPP es que ejecuta la autenticación en Capa 2 además de otrascapas de autenticación, encriptación, control de acceso y procedimientos de seguridad generales.

Iniciando PAP

PAP ofrece un método sencillo para que un nodo remoto establezca su identidad por medio delprotocolo de enlace de dos vías. PAP no es interactivo. Cuando se utiliza el comando ppp authen-tication pap, el nombre de usuario y la contraseña se envían como un paquete de datos LCP, enlugar de que el servidor envíe un aviso de inicio de sesión y espere una respuesta. La imagenmuestra que luego de que PPP completa la fase de establecimiento de enlace, el nodo remoto envíarepetidamente un par nombre de usuario-contraseña a través del enlace hasta que el nodo queenvía lo reconoce o finaliza la conexión.

Haga clic en el botón Finalización de PAP en la imagen.

En el nodo receptor, un servidor de autenticación, que permite o deniega la conexión, controla elnombre de usuario-contraseña. Se reenvía al solicitante un mensaje de aceptación o rechazo.

PAP no es un protocolo de autenticación sólido. Al utilizar PAP, las contraseñas se envían por elenlace en texto no cifrado, y no hay protección contra la reproducción o los intentos de descubri-miento mediante intentos reiterados de ensayo y error. El nodo remoto tiene control de la frecuen-cia y la temporización de los intentos de conexión.

Sin embargo, hay veces que el uso de PAP se puede justificar. Por ejemplo, a pesar de sus limita-ciones, PAP se puede usar en los siguientes entornos:

■ Una gran base instalada de aplicaciones de cliente que no soportan CHAP

■ Incompatibilidades entre diferentes implementaciones de proveedores de CHAP

■ Situaciones en las que una contraseña de texto simple debe estar disponible para simular uninicio de sesión en el host remoto

2.4.3 Protocolo de autenticación de intercambio deseñales (CHAP)Protocolo de autenticación de intercambio de señales (CHAP)

Una vez que se establece la autenticación con PAP, esencialmente deja de funcionar. Esto deja lared vulnerable para los ataques. A diferencia de PAP, que sólo autentica una vez, CHAP realizacomprobaciones periódicas para asegurarse de que el nodo remoto todavía posee un valor de con-traseña válido. El valor de la contraseña es variable y cambia impredeciblemente mientras el en-lace existe.

Después de completar la fase de establecimiento del enlace PPP, el router local envía un mensajede comprobación al nodo remoto.

Capítulo 2: PPP 53

Haga clic en el botón Respuesta de CHAP que se muestra en la imagen.

El nodo remoto responde con un valor que se calcula con una función hash de una vía, la cual esgeneralmente Message Digest 5 (MD5) basada en la contraseña y el mensaje de comprobación.

Haga clic en el botón Finalización de CHAP en la imagen.

El router local verifica la respuesta y la compara con su propio cálculo del valor hash esperado. Silos valores concuerdan, el nodo de inicio acusa recibo de la autenticación. En caso contrario, elnodo de inicio termina la conexión inmediatamente.

El CHAP brinda protección contra los intentos de reproducción a través del uso de un valor decomprobación variable que es exclusivo e impredecible. Como la comprobación es única y aleato-ria, el valor hash resultante también es único y aleatorio. El uso de comprobaciones reiteradaslimita el tiempo de exposición ante cualquier ataque. El router local o un servidor de autenticaciónde terceros tiene el control de la frecuencia y la temporización de las comprobaciones.

2.4.4 Encapsulación y proceso de autenticación del PPPEncapsulación y proceso de autenticación del PPP

Puede utilizar un diagrama de flujo para entender el proceso de autenticación PPP al configurarPPP. El diagrama de flujo brinda un ejemplo visual de las decisiones lógicas realizadas por PPP.

Por ejemplo, si una solicitud entrante de PPP no requiere autenticación, entonces PPP avanza alsiguiente nivel. Si una solicitud entrante de PPP requiere autenticación, puede ser autenticada mediante el uso de la base de datos local o un servidor de seguridad. Como se muestra en el dia-grama de flujo, una autenticación satisfactoria avanza hacia el próximo nivel, mientras que una au-tenticación fallida desconectará y descartará la solicitud entrante de PPP.

Haga clic en el botón Ejemplo de CHAP y luego en el botón Reproducir para ver un ejemploanimado.

Siga los pasos a medida que la animación avanza. El router R1 desea establecer una conexión au-tenticada PPP CHAP con el router R2.

Paso 1. En un principio, el R1 negocia la conexión del enlace mediante el uso de LCP con el routerR2 y los dos sistemas acuerdan utilizar autenticación CHAP durante la negociación LCP de PPP.

Paso 2. El router R2 genera una identificación y un número aleatorio y los envía a R1, junto con elnombre de usuario, como un paquete de desafío CHAP.

Paso 3. R1 utilizará el nombre de usuario del desafiante (R2) y lo compara con la base de datoslocal para encontrar una contraseña asociada. Luego, el R1 genera un único número hash MD5mediante el uso del nombre de usuario, la identificación, el número aleatorio y la contraseña secreta compartida de R2.

Paso 4. Luego, el router R1 envía a R2 la ID del desafío, el valor hash y el nombre de usuario (R1).

Paso 5. R2 genera su propio valor hash con la identificación, la contraseña secreta compartida y elnúmero aleatorio que originalmente envió a R1.

Paso 6. R2 compara su valor hash con el valor hash enviado por R1. Si los valores son iguales, R2envía a R1 una respuesta de enlace establecido.

Si falla la autenticación, se construye un paquete de falla CHAP a partir de los siguientes compo-nentes:

■ 04 = tipo de mensaje de falla CHAP


■ id = copiado del paquete de respuesta

■ “Falla de autenticación” o algún mensaje de texto parecido, que sirve de explicación legiblepara el usuario

Observe que la contraseña secreta compartida debe ser idéntica en R1 y R2.

2.4.5 Configuración de PPP con autenticaciónEl comando ppp authentication

Para especificar el orden en que se requieren los protocolos CHAP o PAP en la interfaz, utilice elcomando de configuración de interfaz ppp authentication, como se muestra en la imagen. Usela forma no del comando para inhabilitar esta autenticación.

Luego de habilitar la autenticación CHAP o PAP, o ambas, el router local requiere que el disposi-tivo remoto compruebe su identidad antes de permitir que el tráfico de datos fluya. Esto se hace dela siguiente manera:

■ La autenticación PAP requiere que el dispositivo remoto envíe un nombre y una contraseñapara controlar si hay coincidencias de entradas en la base de datos de nombres de usuariolocal o en la base de datos remota TACACS/TACACS+.

■ La autenticación CHAP envía una comprobación al dispositivo remoto. El dispositivo remotodebe encriptar el valor de la comprobación con un secreto compartido y devolver el valorencriptado y su nombre al router local mediante un mensaje de respuesta. El router localutiliza el nombre del dispositivo remoto para buscar el secreto correspondiente en la base dedatos de nombres de usuario local o la base de datos remota TACACS/TACACS+. Utiliza elsecreto buscado para encriptar la comprobación original y verificar que los valoresencriptados coincidan.

Nota: AAA/TACACS es un servidor dedicado que se utiliza para autenticar usuarios. AAA sig-nifica “autenticación, autorización y contabilidad”. Los clientes TACACS envían una consulta a unservidor de autenticación TACACS. El servidor puede autenticar al usuario, autorizar lo que elusuario puede realizar y registrar lo que el usuario ha hecho.

Usted puede habilitar PAP, CHAP o ambos. Si se habilitan ambos métodos, el primer método es-pecificado se solicita durante la negociación del enlace. Si el peer sugiere el uso del segundométodo o simplemente rechaza el primero, entonces se prueba el segundo método. Algunos dis-positivos remotos soportan sólo CHAP y algunos sólo PAP. El orden en el cual usted especifica losmétodos se basa en su inquietud acerca de la habilidad de los dispositivos remotos para negociarcorrectamente el método apropiado, así como también en su inquietud respecto a la seguridad de lalínea de datos. Los nombres de usuarios y las contraseñas PAP se envían en cadenas de texto sincifrar y pueden ser interceptados y reutilizados. CHAP ha eliminado la mayoría de los agujeros deseguridad conocidos.

Configuración de la autenticación de PPP

El procedimiento que se describe en la tabla detalla la configuración de la encapsulación PPP y losprotocolos de autenticación PAP/CHAP. Es esencial realizar una configuración correcta, ya quePAP y CHAP utilizarán estos parámetros para la autenticación.

Haga clic en el botón Ejemplo de PAP que se muestra en la imagen.

La imagen presenta un ejemplo de una configuración de autenticación PAP de dos vías. Ambosrouters autentican y son autenticados de modo que los comandos de autenticación PAP se reflejan

Capítulo 2: PPP 55

entre sí. El nombre de usuario y la contraseña PAP que cada router envía debe coincidir con aque-llos especificados en el comando username name password password del otro router.

PAP ofrece un método sencillo para que un nodo remoto establezca su identidad, mediante el pro-tocolo de enlace de dos vías. Esto se realiza sólo en el momento del establecimiento inicial del en-lace. El nombre de host de un router debe coincidir con el nombre de usuario que el otro router haconfigurado. Las contraseñas también deben coincidir.

Haga clic en el botón Ejemplo de CHAP que se muestra en la imagen.

CHAP verifica periódicamente la identidad del nodo remoto por medio de un protocolo de enlacede tres vías. El nombre de host de un router debe coincidir con el nombre de usuario que el otrorouter ha configurado. Las contraseñas también deben coincidir. Esto ocurre durante el estableci-miento inicial del enlace y se puede repetir en cualquier momento, una vez establecido el enlace.La imagen es un ejemplo de una configuración CHAP.

2.4.6 Resolución de problemas de una configuración PPPcon autenticaciónResolución de problemas de una configuración PPP con autenticación

La autenticación es una función que requiere ser implementada correctamente para no comprome-ter la seguridad de su conexión serial. Siempre verifique su configuración con el comando showinterfaces serial de la misma manera que lo hizo sin autenticación.

Nunca suponga que su configuración de autenticación funciona sin haberla probado. La depu-ración permite confirmar su configuración y corregir cualquier deficiencia. El comando que se uti-liza para depurar la autenticación de PPP es debug ppp authentication.

La imagen muestra un resultado del ejemplo del comando debug ppp authentication. A conti-nuación, se presenta una interpretación del resultado:

La línea 1 dice que el router no puede autenticar la interfaz Serial0 debido a que el peer no envióun nombre.

La línea 2 dice que el router no pudo validar la respuesta CHAP porque el NOMBRE DEUSUARIO “pioneer” no se encontró.

La línea 3 dice que no se encontró ninguna contraseña para “pioneer”. Las otras posibles respues-tas en esta línea podrían haber sido: ningún nombre recibido para autenticar, nombre desconocido,sin secreto para el nombre dado, respuesta breve MD5 recibida o error de comparación MD5.

En la última línea, el código = 4 significa que ocurrió una falla. Los siguientes son otros valoresde código:

■ 1 = Comprobación

■ 2 = Respuesta

■ 3 = Éxito

■ 4 = Error

id = 3 es el número de identificación por formato de paquete LCP.

len = 48 es la longitud de paquete sin el encabezado.

La encapsulación PPP permite dos tipos diferentes de autenticación: PAP (protocolo de autenti-cación de contraseña) y CHAP (protocolo de autenticación de intercambio de señales). PAP utiliza


una contraseña de texto sin cifrar, mientras que CHAP solicita un hash de una vía que provee másseguridad que PAP. En esta actividad, realizará la configuración de PAP y CHAP, así como tam-bién revisará la configuración de enrutamiento OSPF. Las instrucciones detalladas se proporcionandentro de la actividad, al igual que en el enlace al PDF a continuación.


2.5 Prácticas de laboratorio del capítulo2.5.1 Configuración básica de PPPEn esta práctica de laboratorio, aprenderá a configurar la encapsulación PPP en enlaces serialescon la red que figura en el diagrama de topología. También aprenderá a restaurar enlaces seriales asu encapsulación HDLC predeterminada. Preste especial atención a cómo se ve el resultado delrouter cuando usted interrumpe intencionalmente la encapsulación PPP. Esto le será de ayuda enlas prácticas de laboratorio de resolución de problemas relacionadas con este capítulo. Finalmente,configurará la autenticación PPP PAP y PPP CHAP.

Esta actividad es una variación de la práctica de laboratorio 2.5.1. Quizá Packet Tracer no admitatodas las tareas especificadas en la práctica de laboratorio. Esta actividad no se debe considerarequivalente a la finalización de las prácticas de laboratorio. Packet Tracer no reemplaza la expe-riencia de las actividades de laboratorio con equipo real.

Se proporcionan instrucciones detalladas dentro de la actividad y en el siguiente enlace al PDF.


2.5.2 Configuración de PPP de comprobaciónEn esta práctica de laboratorio, aprenderá a configurar la encapsulación PPP en enlaces seriales conla red que figura en el diagrama de topología. También configurará la autenticación de PPP CHAP.Si necesita ayuda, revise las actividades de laboratorio “Configuración básica de PPP”, pero intentehacer por su cuenta lo más que pueda.

Esta actividad es una variación de la práctica de laboratorio 2.5.2. Packet Tracer, quizá, no admitatodas las tareas especificadas en la práctica de laboratorio. Esta actividad no se debe considerarequivalente a la finalización de las prácticas de laboratorio. Packet Tracer no reemplaza la expe-riencia de las actividades de laboratorio con equipo real.



2.5.3 Resolución de problemas de la configuración PPPLos routers de su empresa fueron configurados por un ingeniero de redes inexperto. Varios erroresen la configuración causaron problemas de conectividad. Su jefe le ha encomendado resolver losproblemas, corregir los errores de configuración y documentar su trabajo. Con su conocimientosobre PPP y métodos de prueba estándar, encuentre los errores y corríjalos. Asegúrese de quetodos los enlaces seriales utilicen autenticación PPP CHAP y que todas las redes sean alcanzables.

Esta actividad es una variación de la práctica de laboratorio 2.5.3. Packet Tracer, quizá, no admitatodas las tareas especificadas en la práctica de laboratorio. Esta actividad no se debe considerarequivalente a la finalización de las prácticas de laboratorio. Packet Tracer no reemplaza la expe-riencia de las actividades de laboratorio con equipo real.

Capítulo 2: PPP 57




Resumen del capítuloAl finalizar este capítulo, podrá describir, en términos conceptuales y prácticos, por qué las comu-nicaciones seriales punto a punto se usan para conectar su LAN a su proveedor de servicio WAN,en lugar de utilizar conexiones paralelas que, intuitivamente, podrían parecen más rápidas. Podráexplicar cómo la mutilplexación permite lograr comunicaciones eficaces y maximiza la cantidadde datos que se pueden transmitir a través de un enlace de comunicaciones. Ha aprendido las fun-ciones de los componentes clave y de los protocolos de comunicaciones seriales y puede configu-rar una interfaz serial con encapsulación HDLC en un router Cisco.

Esto brinda una buena base para comprender el PPP con sus funciones, componentes y arquitectu-ras. Podrá explicar cómo una sesión PPP se establece con las funciones del LCP y los NCP. Apren-dió la sintaxis de los comandos de configuración y el uso de varias opciones necesarias paraconfigurar una conexión PPP, así como también aprendió a utilizar PAP o CHAP para asegurar unaconexión segura. Se describieron los pasos necesarios para la verificación y la resolución de pro-blemas. Ahora, usted está listo para confirmar su conocimiento en la práctica de laboratorio, en lacual configurará su router para utilizar PPP para conectarse a una WAN.

En esta actividad usted diseñará un esquema de direccionamiento, configurará el enrutamiento ylas VLAN y configurará PPP con CHAP. Las instrucciones detalladas se proporcionan dentro de laactividad, al igual que en el enlace al PDF a continuación.




CAPÍTULO 3

Frame Relay

IntroducciónFrame Relay es un protocolo WAN de alto rendimiento que funciona en las capas físicas y de en-lace de datos del modelo de referencia OSI.

Eric Scace, ingeniero de Sprint International, inventó Frame Relay como una versión más simpledel protocolo X.25, para usar en las interfaces de la red digital de servicios integrados (ISDN).Hoy, se usa a través de una variedad de otras interfaces de redes. Cuando Sprint implementó porprimera vez Frame Relay en su red pública, usaron switches StrataCom. La adquisición de Ciscode StrataCom en 1996 marcó su entrada al mercado de las empresas de comunicaciones.

Los proveedores de red comúnmente implementan Frame Relay para voz y datos, como técnicade encapsulación, utilizada entre redes de área local a través de una red de área extensa (WAN,Wide Area Network). Cada usuario final obtiene una línea privada (o línea arrendada) a un nodoFrame Relay. La red Frame Relay administra la transmisión a través de una ruta cambiante trans-parente para todos los usuarios finales.

Frame Relay se ha convertido en uno de los protocolos WAN más utilizados, principalmente yaque es económico en comparación con las líneas dedicadas. Además, la configuración del equipodel usuario en una red Frame Relay es muy simple. Las conexiones Frame Relay se crean al con-figurar routers CPE u otros dispositivos para comunicarse con un switch Frame Relay del provee-dor de servicios. El proveedor de servicio configura el switch Frame Relay, que ayuda a mantenerlas tareas de configuración del usuario final a un nivel mínimo.

En este capítulo, se describe Frame Relay y se explica cómo configurarlo en un router Cisco.

3.1 Conceptos básicos de Frame Relay

3.1.1 Introducción a la tecnología Frame RelayFrame Relay: Una tecnología WAN eficaz y flexible

Frame Relay se ha convertido en la tecnología WAN más utilizada del mundo. Grandes empresas,gobiernos, ISP y pequeñas empresas usan Frame Relay, principalmente a causa de su precio y fle-xibilidad. A medida que las organizaciones crecen y dependen cada vez más de un transporte dedatos fiable, las soluciones de líneas arrendadas tradicionales se vuelven imposibles de costear. Elritmo de los cambios tecnológicos y las fusiones y adquisiciones en la industria de networking de-mandan y exigen más flexibilidad.

Frame Relay reduce los costos de redes a través del uso de menos equipo, menos complejidad yuna implementación más fácil. Aún más, Frame Relay proporciona un mayor ancho de banda,mejor fiabilidad y resistencia a fallas que las líneas privadas o arrendadas. Debido a una mayorglobalización y al crecimiento de excesivas topologías de sucursales, Frame Relay ofrece una ar-quitectura de red más simple y un menor costo de propiedad.


El uso de un ejemplo de una red empresarial grande contribuye a ilustrar los beneficios del uso deuna WAN Frame Relay. En el ejemplo que se muestra en la figura, Span Engineering tiene cincocampus en América del Norte. Al igual que la mayoría de las organizaciones, los requisitos deancho de banda de Span no se adecuan a una solución “talla única”.

Lo primero que se debe considerar es el requisito de ancho de banda de cada sitio. Dado que setrabaja desde las sedes, la conexión de Chicago a Nueva York requiere una velocidad máxima de256 Kbps. Otros tres sitios necesitan una velocidad máxima de 48 kbps para conectarse con lassedes, mientras que la conexión entre las sucursales de Nueva York y Dallas requiere sólo 12 kbps.

Antes de que Frame Relay estuviera disponible, Span arrendó líneas dedicadas.

Haga clic en el botón Líneas dedicadas que se muestra en la figura.

A través del uso de líneas arrendadas, cada sitio de Span se conectaba a través de un switch ubi-cado en la oficina central de la empresa telefónica local, a través del bucle local y luego en toda lared. Los sitios de Chicago y Nueva York usan una línea T1 dedicada (equivalente a 24 canalesDS0) para conectarse al switch, mientras que los otros sitios usan conexiones ISDN (56 kbps).Dado que el sitio de Dallas se conecta con Nueva York y Chicago, tiene dos líneas arrendadas lo-calmente. Los proveedores de red han provisto a Span con un DS0 entre las oficinas centrales respectivas, excepto por el tubo más grande que conecta Chicago con Nueva York, que tiene cuatroDS0. Los DS0 tienen un precio diferente según la región y se ofrecen por lo general a un preciofijo. Estas líneas son verdaderamente dedicadas, el proveedor de red reserva esa línea para el uso exclusivo de Span. No hay uso compartido, y Span paga por el circuito de extremo a extremo,independientemente de la cantidad de ancho de banda que use.

Una línea dedicada proporciona pocas oportunidades prácticas para una conexión de más, sin que senecesiten más líneas del proveedor de red. En el ejemplo, prácticamente todas las comunicacionesdeben fluir a través de las sedes corporativas, simplemente para reducir el costo que implican laslíneas adicionales.

Si analiza los requisitos de casa sitio en relación con el ancho de banda, se observa una falta deeficacia:

■ De los 24 canales DS0 disponibles en la conexión T1, el sitio de Chicago sólo usa siete.Algunas empresas de comunicaciones ofrecen conexiones T1 fraccionales en incrementos de64 kbps, pero esto requiere un multiplexor especializado en el extremo del cliente paracanalizar las señales. En este caso, Span ha optado por el servicio T1 completo.

■ De igual forma, el sitio de Nueva York sólo usa cinco de sus 24 DS0 disponibles.

■ Dado que Dallas necesita conectarse con Chicago y Nueva York, hay dos líneas que seconectan a través de la oficina central con cada sitio.

El diseño de líneas arrendadas también limita la flexibilidad. A menos que los circuitos ya esténinstalados, la conexión con nuevos sitios generalmente requiere instalar nuevos circuitos y exigeun tiempo considerable para la implementación. Desde la perspectiva de fiabilidad de la red,imagine los costos adicionales en dinero y complejidad que implica agregar circuitos de respaldo yredundantes.

Haga clic en el botón Frame Relay que se muestra en la figura.

La red Frame Relay de Span usa circuitos virtuales permanentes (PVC, Permanent Virtual Circuit).El PVC es la ruta lógica en un enlace Frame Relay de origen, a través de la red, y en un enlaceFrame Relay de destino a su destino final. Compare esto con la ruta física utilizada por una cone-xión dedicada. En una red con acceso Frame Relay, el PVC define de forma exclusiva la ruta entre

Capítulo 3: Frame Relay 61

dos puntos finales. El concepto de circuitos virtuales se explica en más detalle más adelante enesta sección.

La solución Frame Relay de Span ofrece rentabilidad y flexibilidad.

Rentabilidad de Frame Relay

Frame Relay es una opción más rentable por dos motivos. En primer lugar, con líneas dedicadas,los clientes pagan por una conexión de extremo a extremo. Esto incluye el bucle local y el enlacede red. Con Frame Relay, los clientes sólo pagan por el bucle local y por el ancho de banda quecompran al proveedor de red. La distancia entre los nodos no es importante. Mientras están en unmodelo de líneas dedicadas, los clientes usan líneas dedicadas proporcionadas en incrementos de64 kbps, los clientes Frame Relay pueden definir sus necesidades de circuitos virtuales con másgranularidad, con frecuencia en incrementos pequeños como 4 kbps.

El segundo motivo de la rentabilidad de Frame Relay es que comparte el ancho de banda en unabase más amplia de clientes. Comúnmente, un proveedor de red puede brindar servicio a 40clientes o más de 56 kbps, en un circuito T1. El uso de líneas dedicadas requeriría más DSU/CSU(uno para cada línea), así como también enrutamiento y conmutación más complicados. Losproveedores de red ahorran dado que hay menos equipos para comprar y mantener.

La flexibilidad de Frame Relay

Un circuito virtual proporciona considerable flexibilidad en el diseño de red. Si observa la figura,puede ver que todas las oficinas de Span se conectan a la nube Frame Relay a través de sus respec-tivos bucles locales. Lo que sucede en la nube no debe preocuparle en este momento. Lo único queimporta es que cuando una oficina de Span desea comunicarse con cualquier otra oficina de Span,no necesita más que conectarse a un circuito virtual que lleve a la otra oficina. En Frame Relay, elextremo de cada conexión tiene un número de identificación denominado identificador de cone-xión de enlace de datos (DLCI, Data Link Connection Identifier). Cualquier estación puede conec-tarse con otra simplemente si escribe la dirección de esa estación y el número de DLCI de la líneaque necesita usar. En una sección posterior, aprenderá que cuando se configura Frame Relay, todoslos datos de todos los DLCI configurados fluyen a través del mismo puerto del router. Intente re-flejar la misma flexibilidad usando líneas dedicadas. No sólo es complicado, sino que también requiere un número considerablemente mayor de equipos.

Haga clic en el botón Costo que se muestra en la figura.

La tabla muestra una comparación del costo representativa para conexiones ISDN y Frame Relaycomparables. Si bien los costos iniciales en el caso de Frame Relay son más altos que para ISDN,el costo mensual es considerablemente más bajo. Frame Relay es más fácil de administrar y con-figurar que ISDN. Además, los clientes pueden incrementar su ancho de banda a medida que susnecesidades crezcan en el futuro. Los clientes de Frame Relay pagan sólo por el ancho de bandaque necesitan. Con Frame Relay, no hay cargos por hora, si bien las llamadas ISDN se miden ypueden dar lugar a altos cargos mensuales no previstos de la empresa telefónica si se mantiene unaconexión de tiempo completo.

Los siguientes temas ampliarán su comprensión de Frame Relay a través de la definición de con-ceptos clave incorporados en el ejemplo.

WAN Frame Relay

A finales de la década de 1970 y principios de la década de 1990, la tecnología WAN que unía lossitios finales usaba con frecuencia el protocolo X.25. Ahora considerado un protocolo heredado, elX.25 era una tecnología de conmutación de paquetes muy popular, dado que ofrecía una conexiónmuy fiable a través de infraestructuras de cableado no fiables. Lo hacía al incluir controles de


errores y flujo adicionales. No obstante, estas funciones adicionales sumaban gastos fijos al proto-colo. Su principal aplicación era el procesamiento de autorizaciones de tarjetas de crédito y paracajeros automáticos. Este curso menciona el X.25 sólo con fines históricos.

Cuando cree una WAN, independientemente del transporte que elija, siempre hay un mínimo detres componentes básicos o grupos de componentes que se conectan en dos sitios. Cada sitio nece-sita su propio equipo (DTE) para acceder a la oficina central de la empresa telefónica que prestaservicios al área (DCE). El tercer componente se encuentra en el medio, y une los dos puntos deacceso. En la figura, ésta es la parte proporcionada por el backbone de Frame Relay.

Frame Relay tiene menores gastos que X.25 dado que cuenta con menos capacidades. Por ejem-plo, Frame Relay no ofrece corrección de errores, las instalaciones modernas WAN ofrecen servi-cios de conexión más confiables y un mayor grado de fiabilidad que otras instalaciones. El nodoFrame Relay simplemente suelta paquetes sin notificar cuando detecta errores. Cualquier correc-ción de errores necesaria, como la retransmisión de datos, se deja a los puntos finales. De estaforma, se agiliza la propagación de extremo a extremo del cliente a través de la red.

Frame Relay administra el volumen y la velocidad de manera eficaz mediante la combinación delas funciones necesarias de las capas de enlace de datos y de red en un simple protocolo. Comoprotocolo de enlace de datos, Frame Relay ofrece acceso a una red, delimita y entrega tramas en el orden adecuado y reconoce los errores de transmisión a través de una comprobación de redun-dancia cíclica estándar. Como protocolo de red, Frame Relay proporciona múltiples conexioneslógicas a través de un único circuito físico y permite que la red enrute datos a través de estasconexiones a sus destinos previstos.

Frame Relay funciona entre un dispositivo de usuario final, como un puente de LAN o router, yuna red. La red en sí puede usar cualquier método de transmisión compatible con la velocidad y eficacia que requieren las aplicaciones de Frame Relay. Algunas redes usan Frame Relay en sí,pero otras usan la conmutación digital de circuitos o los sistemas de relay de celdas ATM. Lafigura muestra un backbone de conmutación de circuitos según se indica por los switches Clase4/5. Los gráficos restantes de esta sección muestran backbones de conmutación de paquetes FrameRelay más actuales.

Funcionamiento de Frame Relay

La conexión entre un dispositivo DTE y un dispositivo DCE comprende un componente de capafísica y un componente de capa de enlace:

■ El componente físico define las especificaciones mecánicas, eléctricas, funcionales y deprocedimiento necesarias para la conexión entre dispositivos. Una de las especificaciones de interfaz de capa física más comúnmente utilizadas es la especificación RS-232.

■ El componente de capa de enlace define el protocolo que establece la conexión entre eldispositivos DTE, como un router, y el dispositivo DCE, como un switch.

Cuando las empresas de comunicaciones usan Frame Relay para interconectar las LAN, un routerde cada LAN es el DTE. Una conexión serial, como una línea arrendada T1/E1, conecta el router alswitch Frame Relay de la empresa de comunicaciones en el punto de presencia (POP) más cercanopara la empresa. El switch Frame Relay es un dispositivo DCE. Los switches de red mueven tra-mas desde un DTE en la red y entregan tramas a otros DTE en forma de DCE. Otros equipos in-formáticos que no se encuentren en la LAN pueden también enviar datos a través de la red FrameRelay. Dichos equipos utilizan como DTE un dispositivo de acceso Frame Relay (FRAD). Amenudo, FRAD hace referencia a un ensamblador/desensamblador de Frame Relay que es un arte-facto dedicado o un router configurado para admitir Frame Relay. Se encuentra en las instalaciones


del cliente y se conecta con el puerto del switch en la red del proveedor de servicio. A su vez, elproveedor de servicio interconecta los switches Frame Relay.

3.1.2 Circuitos virtualesCircuitos virtuales

La conexión a través de una red Frame Relay entre dos DTE se denomina circuito virtual (VC,Virtual Circuit). Los circuitos son virtuales dado que no hay una conexión eléctrica directa de ex-tremo a extremo. La conexión es lógica y los datos se mueven de extremo a extremo, sin circuitoeléctrico directo. Con los VC, Frame Relay comparte el ancho de banda entre varios usuarios, ycualquier sitio puede comunicarse con otro sin usar varias líneas físicas dedicadas.

Hay dos formas de establecer VC:

■ Los SVC, circuitos virtuales conmutados, se definen dinámicamente mediante el envío demensajes de señalización a la red (CALL SETUP, DATA TRANSFER, IDLE, CALLTERMINATION).

■ Los PVC, circuitos virtuales permanentes, son preconfigurados por la empresa decomunicaciones y, una vez configurados, sólo funcionan en los modos DATA TRANSFER eIDLE. Tenga en cuenta que algunas publicaciones hacen referencia a los PVC como VCprivados.

Haga clic en el botón Reproducir que se muestra en la figura.

En la figura, hay un VC entre los nodos emisores y receptores. El VC sigue la ruta A, B, C y D.Frame Relay crea un circuito virtual al almacenar la asignación de puerto de entrada a puerto desalida en la memoria de cada switch y, por lo tanto, vincula un switch con otro hasta identificaruna ruta continua de un extremo del circuito a otro. Un VC puede atravesar cualquier cantidad de dispositivos intermedios (switches) ubicados dentro de la red Frame Relay.

La pregunta que puede surgirle en este momento es: “¿Cómo se identifican los diversos nodos yswitches?”.

Haga clic en el botón Importancia local que se muestra en la figura.

Los VC proporcionan una ruta de comunicación bidireccional de un dispositivo a otro. Los VC seidentifican a través de DLCI. Los valores de DLCI comúnmente son asignados por el proveedor deservicios Frame Relay (por ejemplo, la compañía telefónica). Los DLCI Frame Relay tienen im-portancia local, es decir que los valores en sí no son únicos en la WAN Frame Relay. El DLCIidentifica un VC al equipo en un punto final. El DLCI no tiene importancia más allá del enlaceúnico. Dos dispositivos conectados por un VC pueden utilizar un valor DLCI distinto para referirsea la misma conexión.

Los DLCI con importancia local se han convertido en el principal método de direccionamiento,dado que se puede usar la misma dirección en diferentes ubicaciones al mismo tiempo que se hacereferencia a distintas conexiones. El direccionamiento local evita que un cliente se quede sin DLCIa medida que la red crece.

Haga clic en el botón Identificación de VC y en el botón Reproducir que se muestran en lafigura.

Ésta es la misma red que se presentó en la figura anterior pero, ahora, a medida que la trama semueve por la red, Frame Relay etiqueta cada VC con un DLCI. El DLCI se almacena en el campode dirección de cada trama transmitida, para indicar a la red cómo se debe enrutar la trama. El


proveedor de servicios Frame Relay asigna los números de DLCI. Por lo general, los DLCI 0 a 15y 1008 a 1023 se reservan para fines especiales. Por lo tanto, los proveedores de servicios general-mente asignan los DLCI comprendidos entre 16 y 1007.

En este ejemplo, la trama usa DLCI 102. Sale del router (R1) usando el Puerto 0 y el VC 102. Enel switch A, la trama sale del Puerto 1 mediante el VC 432. Este proceso de asignación de puertosde VC continúa a través de la WAN hasta que la trama alcanza su destino en DLCI 201, según semuestra en la figura. El DLCI se almacena en el campo de direcciones de cada trama transmitida.

VC múltiples

Frame Relay se multiplexa estadísticamente, lo que significa que transmite sólo una trama por vez,pero que pueden coexistir muchas conexiones lógicas en una única línea física. El dispositivo deacceso Frame Relay (FRAD, Frame Relay Access Device) o el router conectado a la red FrameRelay puede tener varios VC que lo conectan a diversos puntos finales. Los VC múltiples de unaúnica línea física se distinguen, dado que cada VC tiene su propio DLCI. Recuerde que el DLCItiene sólo importancia local y puede ser diferente en cada extremo de un VC.

La figura muestra un ejemplo de dos VC en una única línea de acceso, cada uno con su propioDLCI, conectado a un router (R1).

Esta capacidad suele reducir la complejidad del equipo y la red requerida para conectar varios dis-positivos, lo que constituye un reemplazo rentable de una malla de líneas de acceso. Con esta con-figuración, cada punto final necesita sólo una línea de acceso única e interfaz. Se generan ahorrosadicionales ya que la capacidad de la línea de acceso se establece según las necesidades de anchode banda promedio de los VC, y no según las necesidades máximas de ancho de banda.

Haga clic en el botón DLCI de Span que se muestra en la figura.

Por ejemplo, Span Engineering tiene cinco ubicaciones, con sus sedes en Chicago. Chicago estáconectado a la red mediante cinco VC y cada uno de ellos recibe un DLCI. Para ver las asigna-ciones de DCLI respectivas de Chicago, haga clic en la ubicación de la tabla.

Beneficios de costo de los VC múltiples

Recuerde el ejemplo anterior de cómo Span Engineering evolucionó de ser una red de líneas dedi-cadas hasta convertirse en una red Frame Relay. Específicamente, observe la tabla que compara elcosto de una única conexión Frame Relay con el de una conexión ISDN de tamaño similar. Ob-serve que, con Frame Relay, los clientes pagan por el ancho de banda que usan. De hecho, paganpor un puerto Frame Relay. Cuando incrementan la cantidad de puertos, según se ha descrito ante-riormente, pagan por más ancho de banda. No obstante, ¿pagarán por más equipos? La respuestacorta es “no”, dado que los puertos son virtuales. No hay cambios en la infraestructura física.Compare esta situación con la compra de más ancho de banda a través de líneas dedicadas.

3.1.3 Encapsulación Frame RelayEl proceso de encapsulación Frame Relay

Frame Relay toma paquetes de datos de un protocolo de capa de red, como IP o IPX, los encapsulacomo la parte de datos de una trama Frame Relay y, luego, pasa la trama a la capa física para en-tregarla en el cable. Para comprender el funcionamiento, resulta útil entender cómo se relacionacon los niveles más bajos del modelo OSI.

La figura muestra cómo Frame Relay encapsula los datos para su transporte y los mueve hacia lacapa física para su entrega.

En principio, Frame Relay acepta un paquete de un protocolo de capa de red como IP. A continua-ción, lo ajusta con un campo de dirección que incluye el DCLI y una checksum. Se agregan


campos señaladores para indicar el comienzo y el fin de la trama. Los campos señaladores marcanel comienzo y el fin de la trama, y siempre son los mismos. Los señaladores están representadoscomo el número hexadecimal 7E o como el número binario 01111110. Después de haber encapsu-lado el paquete, Frame Relay pasa la trama a la capa física para su transporte.

Haga clic en el botón Formato de trama que se muestra en la figura.

El router CPE encapsula cada paquete de Capa 3 dentro de un encabezado Frame Relay y tráilerantes de enviarlo a través del VC. El encabezado y el tráiler están definidos por la especificaciónde Servicios de portadora del Procedimiento de acceso al enlace para Frame Relay (LAPF), ITUQ.922-A. Específicamente, el encabezado Frame Relay (campo de dirección) incluye lo siguiente:

■ DLCI: el DLCI de 10 bits es la esencia del encabezado Frame Relay. Este valor representa laconexión virtual entre el dispositivo DTE y el switch. Cada conexión virtual multiplexada enel canal físico está representada por un único DLCI. Los valores de DLCI tienen importancialocal solamente, lo que significa que son únicos sólo para el canal físico en el que residen. Porlo tanto, los dispositivos situados en los extremos opuestos de una conexión pueden usarvalores DLCI distintos para referirse a la misma conexión virtual.

■ Dirección extendida (EA): si el valor del campo EA es 1, el byte actual está determinadocomo el último octeto DLCI. Si bien las implementaciones actuales de Frame Relay usan unDLCI de dos octetos, esta capacidad no permite DLCI más largos en el futuro. El octavo bitde cada byte del campo Dirección indica la EA.

■ C/R: es el bit que sigue al byte de DLCI más significativo en el campo Dirección. El bit C/Rno está definido actualmente.

■ Control de congestión: incluye 3 bits que controlan los mecanismos de notificación decongestión de Frame Relay. Los bits FECN, BECN y DE son los últimos tres bits en el campoDirección. El control de congestión se explica en un tema posterior.

La capa física en general es EIA/TIA-232, 449 ó 530, V.35, o X.21. Las tramas Frame Relay sonun subconjunto del tipo de trama HDLC. Por lo tanto, están delimitadas por campos señaladores.El señalador de 1 byte usa el patrón de bits 01111110. La FCS determina si hubo errores en elcampo Dirección de Capa 2 durante la transmisión. La FCS se calcula antes de la transmisión através del nodo emisor, y el resultado se inserta en el campo FCS. En el otro extremo, un segundovalor de FCS se calcula y compara con la FCS de la trama. Si los resultados son iguales, se procesala trama. Si existe una diferencia, la trama se descarta. Frame Relay no notifica el origen cuando sedescarta una trama. El control de errores tiene lugar en las capas superiores del modelo OSI.

3.1.4 Topologías de Frame RelayCuando se requiere conectar más de dos sitios, debe considerar la topología de las conexionesentre ellos. Una topología es el mapa o el diseño visual de la red Frame Relay. Debe considerar latopología desde diferentes perspectivas para comprender la red y el equipo utilizado para crear la red. Complete las topologías en relación con su diseño, implementación, operación y manteni-miento para que incluyan mapas de información general, mapas de conexiones lógicas, mapas fun-cionales y mapas de dirección que muestran el equipo detallado y enlaces de canal.

Las redes rentables Frame Relay vinculan docenas e incluso cientos de sitios. Si se tiene en cuentaque una red corporativa puede abarcar numerosos proveedores de servicio e incluir redes de nego-cios adquiridos que se diferencian en el diseño básico, documentar las topologías puede ser unproceso muy complicado. No obstante, cada red o segmento de red puede verse como uno de lostres tipos de topología: estrella, malla completa o malla parcial.


Topología en estrella (Hub and Spoke)

La topología de WAN más simple es una estrella, como se muestra en la figura. En esta topología,Span Engineering tiene un sitio central en Chicago que actúa como hub y alberga los servicios pri-marios. Observe que Span ha crecido y recientemente abrió una oficina en San José. El uso deFrame Relay hizo que esta expansión sea relativamente fácil.

Las conexiones con cada uno de los cinco sitios remotos actúan como rayos. En una topología enestrella, la ubicación del hub generalmente se elige por el costo más bajo de la línea arrendada. Alimplementar una topología en estrella con Frame Relay, cada ubicación remota tiene un enlace deacceso a la nube de Frame Relay mediante un único VC.

Haga clic en el botón Estrella FR que se muestra en la figura.

De esta forma se muestra la topología en estrella en el contexto de una nube Frame Relay. El hubde Chicago tiene un enlace de acceso con varios VC, uno por cada sitio remoto. Las líneas que vandesde la nube representan las conexiones de un proveedor de servicios Frame Relay y terminan enlas instalaciones del cliente. Por lo general, son líneas cuya velocidad varía de 56 000 bps a E-1(2.048 Mbps) y más. Se asigna uno o más números DLCI a cada punto final de la línea. Debido aque los costos de Frame Relay no se establecen en función de la distancia, no es necesario que elhub esté situado en el centro geográfico de la red.

Topología de malla completa

Esta figura representa una topología de malla completa que usa líneas dedicadas. Se elige unatopología de malla completa cuando los servicios a los que se debe tener acceso están geográfica-mente dispersos y se necesita un acceso altamente fiable. Una topología de malla completaconecta cada uno de los sitios con los demás. El uso de interconexiones de líneas arrendadas, inter-faces seriales adicionales y líneas suma costos. En este ejemplo, se requieren diez líneas dedicadaspara interconectar cada sitio en una topología de malla completa.

Haga clic en Malla completa FR que se muestra en la figura.

Usando Frame Relay, el diseñador de red puede crear varias conexiones simplemente configu-rando VC adicionales en cada enlace existente. Esta actualización de software aumenta la topolo-gía en estrella hasta transformarla en topología de malla completa, sin el costo de hardwareadicional o líneas dedicadas. Dado que los VC usan la multiplexación estadística, varios VC ubi-cados en un enlace de acceso generalmente usan de mejor forma Frame Relay que los VC indivi-duales. La figura muestra cómo Span utilizó cuatro VC en cada enlace para escalar su red sinagregar nuevo hardware. Los proveedores de servicios aplican cargos por el ancho de banda adi-cional, pero esta solución por lo general es más rentable que el uso de líneas dedicadas.

Topología de malla parcial

Para redes grandes, pocas veces se puede acceder a una topología de malla completa, dado que lacantidad de enlaces requerida incrementa considerablemente. El problema no está relacionado conel costo del hardware, sino que existe un límite teórico de menos de 1000 VC por enlace. En lapráctica, el límite es menor.

Por este motivo, las redes más grandes suelen configurarse en una topología de malla parcial. Conla malla parcial, hay más interconexiones que las necesarias para una disposición en estrella, perono tantas como para malla completa. El esquema real depende de las necesidades de flujo de datos.

3.1.5 Asignación de direcciones Frame RelayAntes de que un router Cisco pueda transmitir datos a través de Frame Relay, necesita conocer losmapas de DLCI locales en la dirección de Capa 3 del destino remoto. Los routers Cisco admitentodos los protocolos de capa de red a través de Frame Relay, como IP, IPX y AppleTalk. Esta asi-gnación de dirección a DLCI puede lograrse a través de la asignación estática o dinámica.


ARP inverso

El protocolo de resolución de direcciones inverso (ARP) obtiene direcciones de Capa 3 de otrasestaciones de direcciones de Capa 2, como el DLCI en las redes Frame Relay. Se usa principal-mente en redes Frame Relay y ATM, donde las direcciones de Capa 2 de VC a veces se obtienende la señalización de Capa 2 y las direcciones de Capa 3 correspondientes deben estar disponiblesantes de poder usar estos VC. Mientras ARP traduce las direcciones de Capa 3 a direcciones deCapa 2, ARP inverso efectúa el proceso opuesto.

Asignación dinámica

La asignación de direcciones dinámica depende de ARP inverso para resolver una dirección deprotocolo de red de próximo salto a un valor de DLCI local. El router Frame Relay envía solicitu-des de ARP inverso en su PVC para descubrir la dirección del protocolo del dispositivo remoto co-nectado a la red Frame Relay. El router usa las respuestas para completar una tabla de asignaciónde direcciones a DLCI en el router Frame Relay o servidor de acceso. El router crea y mantieneesta tabla de asignación, que incluye todas las solicitudes ARP inverso resueltas, incluidas las en-tradas de asignación dinámica y estática.

La figura muestra el resultado del comando show frame-relay map. Puede ver que la interfaz estáactiva y que la dirección IP de destino es 10.1.1.2. El DLCI identifica la conexión lógica que seusa para alcanzar esta interfaz. Este valor se muestra de tres formas: su valor decimal (102), suvalor hexadecimal (0x66) y su valor según aparecería en el cable (0x1860). Ésta es una entrada es-tática, no una dinámica. El enlace usa encapsulación Cisco a diferencia de la encapsulación IETF.

En los routers Cisco, el ARP inverso está habilitado de forma predeterminada para todos los proto-colos habilitados en la interfaz física. Los paquetes de ARP inverso no se envían para los protoco-los que no están habilitados en la interfaz.

Haga clic en el botón Asignación estática que se muestra en la figura.

El usuario puede elegir sobrescribir la asignación dinámica de ARP inverso especificando unaasignación estática manual para la dirección de protocolo del próximo salto a un DLCI local. Unmapa estático funciona de igual forma que un ARP inverso dinámico mediante la asociación deuna dirección de protocolo de próximo salto a un DLCI Frame Relay local. No puede usar el ARPinverso y una sentencia de asignación para el mismo DLCI y protocolo.

Un ejemplo del uso de la asignación de direcciones estática es una situación en la que un routersituado en el otro extremo de la red Frame Relay no admite el ARP inverso dinámico para un pro-tocolo de red específico. Para proporcionar accesibilidad, se requiere una asignación estática paracompletar la dirección de capa de red remota a la resolución de DCLI local.

Otro ejemplo es en una red Frame Relay hub-and-spoke. Use la asignación de direcciones estáticaen los routers spoke para permitir la conexión spoke a spoke. Dado que los routers spoke no tienenconectividad directa entre sí, el ARP inverso dinámico no funciona entre ellos. El ARP inversodinámico depende de la presencia de una conexión punto a punto directa entre los dos extremos.En este caso, el ARP inverso dinámico sólo funciona entre hub and spoke, y los spoke requieren laasignación estática para permitir la conexión entre sí.

Configuración de la asignación estática

La definición de la asignación estática depende de las necesidades de su red. A continuación se in-cluyen diversos comandos que puede usar:

Para asignar entre una dirección de protocolo de próximo salto y una dirección destino de DLCI,use este comando: frame-relay map protocol protocol-address dlci [broadcast] [ietf]

[cisco].


Use la palabra clave ietf al conectarse a un router no perteneciente a Cisco.

Puede simplificar en gran medida la configuración para el protocolo Open Shortest Path First(OSPF) mediante la adición de la palabra clave opcional broadcast al efectuar esta tarea.

La figura proporciona un ejemplo de la asignación estática en un router Cisco. En este ejemplo, laasignación estática de direcciones se realiza en la interfaz serial 0/0/0, y la encapsulación FrameRelay utilizada en DLCI 102 es CISCO. Según puede observarse en los pasos de configuración, laasignación estática de la dirección mediante el comando frame-relay map permite a los usuarios se-leccionar el tipo de encapsulación Frame Relay utilizado en función de los VC. En la próxima sec-ción se analiza en más detalle la configuración de la asignación estática.

Interfaz de administración local (LMI)

Una revisión del historial de networking lo ayudará a comprender la función que desempeña la In-terfaz de administración local (LMI, Local Management Interface). El diseño de Frame Relay pro-porciona transferencia de datos conmutados por paquetes con un mínimo retardo de extremo aextremo. El diseño original omite todo aquello que pueda contribuir al retardo.

Cuando los fabricantes implementaron la Frame Relay como tecnología aparte y no como compo-nente de la ISDN, decidieron que era necesario que los DTE pudieran obtener información sobreel estado de la red de forma dinámica. No obstante, el diseño original no incluía esta función. Unconsorcio formado por Cisco, Digital Equipment Corporation (DEC), Northern Telecom y Strata-Com extendió el protocolo Frame Relay para proporcionar capacidades adicionales para entornosde internetworking complejos. En conjunto, se hace referencia a estas extensiones como LMI.

Básicamente, la LMI es un mecanismo activo que proporciona información de estado sobre lasconexiones Frame Relay entre el router (DTE) y el switch Frame Relay (DCE). Cada 10 segundosaproximadamente, el dispositivo final sondea la red en busca de una respuesta de secuencia no in-teligente o información de estado de canal. Si la red no responde con la información solicitada, eldispositivo del usuario puede considerar que la conexión está inactiva. Cuando la red responde conuna respuesta FULL STATUS, incluye información de estado sobre los DLCI que están asignadosa esa línea. El dispositivo final puede usar esta información para determinar si las conexiones lógi-cas pueden transmitir datos.

La figura muestra el resultado del comando show frame-relay lmi. El resultado muestra el tipode LMI utilizado por la interfaz Frame Relay y los contadores de la secuencia de intercambio deestado de la LMI, incluidos los errores como tiempos de espera agotados de LMI.

Es fácil confundir la LMI con la encapsulación. La LMI es una definición de los mensajes usadosentre DTE (R1) y DCE (el switch Frame Relay propiedad del proveedor de servicios). La encapsu-lación define los encabezados utilizados por un DTE para comunicar información al DTE en elotro extremo de un VC. El switch y su router conectado se ocupan de usar la misma LMI. El switchno se ocupa de la encapsulación. Los routers de punto final (DTE) se ocupan de la encapsulación.

Extensiones LMI

Además de las funciones del protocolo Frame Relay para la transferencia de datos, la especifi-cación Frame Relay incluye las extensiones LMI opcionales que son sumamente útiles en un en-torno de internetworking. Algunas de las extensiones son:

■ Mensajes de estado de VC: proporcionan información sobre la integridad de PVC a través de la comunicación y la sincronización entre dispositivos, así como de informes periódicossobre la existencia de nuevos PVC y la eliminación de los PVC ya existentes. Los mensajes deestado de los VC impiden que se envíen datos a agujeros negros (PVC que ya no existen).

■ Multicasting: permite que el emisor transmita una única trama que se entrega a variosdestinatarios. El multicasting admite la entrega eficaz de mensajes de protocolo de


enrutamiento y procedimientos de resolución de direcciones que generalmente se envían amuchos destinos simultáneamente.

■ Direccionamiento global: otorga a los identificadores de conexión una importancia global,más que local, lo que permite que se puedan usar para identificar una interfaz específica enrelación con la red Frame Relay. El direccionamiento global hace que la red Frame Relay seasemeje a una LAN en relación con el direccionamiento, y los ARP se desempeñenexactamente igual que a través de una LAN.

■ Control de flujo simple: proporciona un mecanismo de control de flujo XON/XOFF (deconexión/desconexión) que se aplica a toda la interfaz Frame Relay. Está destinado a losdispositivos cuyas capas superiores no pueden utilizar los bits de notificación de congestión yque necesitan algún nivel de control de flujo.

Haga clic en el botón Identificadores LMI que se muestra en la figura.

El campo DLCI de 10 bits admite 1024 identificadores de VC: de 0 a 1023. Las extensiones LMIse reservan algunos de estos identificadores y, por lo tanto, reducen la cantidad de VC permitidos.Los mensajes LMI se intercambian entre los DTE y los DCE mediante los DLCI reservados.

Existen varios tipos de LMI, todos incompatibles entre sí. El tipo de LMI configurado en elrouter debe coincidir con el utilizado por el proveedor de servicios. Los routers Cisco admitentres tipos de LMI:

■ Cisco: extensión LMI original

■ Ansi: las correspondientes al estándar ANSI T1.617 Anexo D

■ q933a: las correspondientes al estándar UIT Q933 Anexo A

Comenzando con la versión 11.2 del software IOS de Cisco, la función predeterminada de detec-ción automática de LMI detecta el tipo de LMI admitido por el switch Frame Relay conectado directamente. En función de los mensajes de estado de LMI que recibe del switch Frame Relay, elrouter configura automáticamente su interfaz con el tipo de LMI admitido reconocido por elswitch Frame Relay.

Si es necesario configurar el tipo de LMI, use el comando de configuración de interfaz frame-relay lmi-type [cisco | ansi | q933a]. La configuración del tipo de LMI deshabilita la funciónde detección automática.

Cuando configura manualmente el tipo de LMI, debe configurar el intervalo activo en la interfazFrame Relay para evitar que se agote el tiempo de espera de los intercambios de estado entre elrouter y el switch. Los mensajes de intercambio de estado de LMI determinan el estado de laconexión de PVC. Por ejemplo, una gran falta de coincidencia en el intervalo activo en el router yel switch puede hacer que el switch declare al muerto router.

De forma predeterminada, el intervalo activo es de 10 segundos en las interfaces seriales Cisco.Puede cambiar el intervalo activo con el comando de configuración de interfaz keepalive.

En la actividad siguiente, se practica determinar el tipo de LMI y la configuración del mensaje activo.

Formato de trama LMI

Los mensajes LMI se envían a través de una variante de las tramas LAPF. El campo de direcciónlleva uno de los DLCI reservados. Seguido al campo DLCI se encuentran los campos de control,de discriminación de protocolos y de referencia de llamada, los cuales no cambian. El cuartocampo indica el tipo de mensaje LMI.


Los mensajes de estado ayudan a verificar la integridad de los enlaces físicos y lógicos. Esta infor-mación resulta fundamental en un entorno de enrutamiento, ya que los protocolos de enrutamientotoman decisiones según la integridad del enlace.

Uso de LMI y ARP inverso para asignar direcciones

Los mensajes de estado de LMI combinados con los mensajes de ARP inverso permiten al routerasociar direcciones de capa de red y de enlace de datos.

Haga clic en el botón LMI 1 y reproducir para observar cómo comienza el proceso de la LMI.

En este ejemplo, cuando R1 se conecta con la red Frame Relay, envía un mensaje de consulta deestado LMI a la red. La red contesta con un mensaje de estado LMI que contiene detalles de cadaVC configurado en el enlace de acceso.

Periódicamente, el router repite la consulta de estado, pero las respuestas subsiguientes sólo in-cluyen los cambios de estado. Después de una determinada cantidad de respuestas abreviadas, lared envía un mensaje de estado completo.

Haga clic en el botón LMI 2 y reproducir para ver la próxima etapa.

Si el router necesita asignar los VC a las direcciones de capa de red, envía un mensaje de ARP in-verso desde cada VC. El mensaje de ARP inverso incluye la dirección de capa de red del router, demodo que el DTE o el router remoto puedan realizar la vinculación. La respuesta de ARP inversopermite al router hacer los registros necesarios en su tabla de asignaciones de direcciones a DLCI.Si el enlace soporta varios protocolos de capa de red, se envían mensajes de ARP inversos paracada uno de ellos.

Actividad: Conceptos básicos de Frame Relay

3.2 Configuración de Frame Relay3.2.1 Configuración básica de Frame RelayTareas de configuración de Frame Relay

Frame Relay se configura en un router Cisco desde la interfaz de la línea de comando del IOS deCisco (CLI). Esta sección describe los pasos requeridos para habilitar Frame Relay en su red,además de algunos de los pasos opcionales para mejorar o personalizar su configuración.

La figura muestra el modelo de configuración básica utilizado para este debate. Más adelante enesta sección, se agrega hardware adicional al diagrama para ayudar a explicar tareas de configu-ración más complejas. En esta sección, configurará los routers Cisco como dispositivos de accesoFrame Relay o DTE conectados directamente a un switch Frame Relay dedicado, o DCE.

La figura muestra una configuración de Frame Relay típica y enumera los pasos que se debenseguir. Estos pasos se explican y se practican en este capítulo.

Habilitar encapsulación Frame Relay

Esta primera figura muestra cómo se configuró Frame Relay en las interfaces seriales. Implica laasignación de una dirección IP, la configuración del tipo de encapsulación y la asignación deancho de banda. La figura muestra los routers de cada extremo del enlace Frame Relay con las se-cuencias de comandos de configuración para los routers R1 y R2.


Paso 1. Configuración de la dirección IP en la interfaz

En un router Cisco, Frame Relay se admite con mayor frecuencia en las interfaces seriales sín-cronas. Use el comando ip address para definir la dirección IP de la interfaz. Puede ver que se haasignado la dirección IP 10.1.1.1/24 a R1 y la dirección IP 10.1.1.2/24 a R2.

Paso 2. Configuración de encapsulación

El comando de configuración de interfaz encapsulation frame-relay habilita la encapsulaciónFrame Relay y permite el procesamiento Frame Relay en la interfaz admitida. Hay dos opcionesde encapsulación entre las que puede elegir; las cuales se describen a continuación.

Paso 3. Establecimiento del ancho de banda

Use el comando bandwidth para definir el ancho de banda de la interfaz serial. Especifique elancho de banda en kbps. Este comando notifica al protocolo de enrutamiento que el ancho debanda se configura estadísticamente en el enlace. Los protocolos de enrutamiento EIGRP y OSPFusan el valor del ancho de banda para calcular y determinar la métrica del enlace.

Paso 4. Configuración del tipo de LMI (opcional)

Es un paso opcional dado que los routers Cisco detectan automáticamente el tipo de LMI. Re-cuerde que Cisco admite tres tipos de LMI: Cisco, ANSI Anexo D y Q933-A Anexo A, y que eltipo de LMI predeterminado para los routers Cisco es cisco.

Opciones de encapsulación

Recuerde que el tipo de encapsulación predeterminado en una interfaz serial de un router Cisco esla versión de HDLC propiedad de Cisco. Para cambiar la encapsulación de HDLC a Frame Relay,use el comando encapsulation frame-relay [cisco | ietf]. La forma no del comandoencapsulation frame-relay quita la encapsulación Frame Relay de la interfaz y regresa la inter-faz a la encapsulación de HDLC predeterminada.

La encapsulación Frame Relay predeterminada habilitada en las interfaces admitidas es la encap-sulación Cisco. Use esta opción para conectarse a otro router Cisco. Muchos dispositivos de otrasmarcas también soportan este tipo de encapsulación. Usa un encabezado de 4 bytes, 2 bytes identi-fican el DLCI y 2 bytes identifican el tipo de paquete.

El tipo de encapsulación IETF cumple con RFC 1490 y RFC 2427. Use esta opción si se conecta aun router no perteneciente a Cisco.

Haga clic en el botón Verificar configuración que se muestra en la figura.

Este resultado del comando show interfaces serial verifica la configuración.

3.2.2 Configuración de mapas estáticos de Frame RelayConfiguración de un mapa estático de Frame Relay

Los routers Cisco admiten todos los protocolos de capa de red a través de Frame Relay, como IP,IPX y AppleTalk; y la asignación de dirección a DLCI puede lograrse a través de la asignación dedirecciones dinámica o estática.

La asignación dinámica se efectúa a través de la función ARP inverso. Dado que ARP inverso estáhabilitado de forma predeterminada, no se requieren comandos adicionales para configurar la asig-nación dinámica en una interfaz.

La asignación estática se configura manualmente en un router. Establecer la asignación estática de-pende de sus necesidades de red. Para asignar entre una dirección protocolo de próximo salto y


una dirección destino de DLCI, use el comando frame-relay map protocol protocol-address

dlci [broadcast].

Uso de la palabra clave broadcast

Frame Relay, ATM y X.25 son redes de acceso múltiple sin broadcast (NBMA, Non-BroadcastMultiple Access). Las redes NBMA permiten sólo la transferencia de datos de un equipo a otro através de un VC o de un dispositivo conmutado. Las redes NBMA no admiten el tráfico multicastni broadcast, de modo que un único paquete no puede llegar a todos los destinos. Esto requiere en-viar un broadcast para replicar los paquetes manualmente a todos los destinos.

Algunos protocolos de enrutamiento pueden requerir opciones de configuración adicionales.Por ejemplo, RIP, EIGRP y OSPF exigen configuraciones adicionales para ser admitidos enredes NBMA.

Dado que NBMA no admite tráfico de broadcast, el uso de la palabra clave broadcast es unaforma simplificada de enviar actualizaciones de enrutamiento. La palabra clave broadcast per-mite enviar broadcast y multicast a través del PVC y, de hecho, convierte al broadcast en ununicast de modo que el otro nodo obtenga las actualizaciones de enrutamiento.

En el ejemplo de configuración, R1 usa el comando frame-relay map para asignar el VC a R2.

Haga clic en el botón Parámetros que se muestra en la figura.

La figura muestra cómo usar las palabras clave al configurar asignaciones de direcciones estáticas.

Haga clic en el botón Verificar que se muestra en la figura.

Para verificar la asignación de Frame Relay, use el comando show frame-relay map.

En esta actividad, configura dos asignaciones de Frame Relay estáticas en cada router para llegar aotros dos routers. Si bien el tipo de LMI se detecta automáticamente en los routers, usted asignaráestáticamente el tipo a través de la configuración manual de la LMI. Las instrucciones detalladasestán proporcionadas dentro de la actividad, al igual que en el enlace al PDF que sigue.


3.3 Conceptos avanzados de Frame Relay3.3.1 Solución de problemas relacionados a la posibilidadde conexiónHorizonte dividido

De forma predeterminada, una red Frame Relay proporciona conectividad NBMA entre sitios re-motos. Las nubes NBMA generalmente usan una topología hub-and-spoke. Desafortunadamente,el funcionamiento de un enrutamiento básico, basado en el principio de horizonte dividido, puedegenerar problemas relacionados con la posibilidad de conexión en una red NBMA Frame Relay.

Recuerde que el horizonte dividido es una técnica que se usa para evitar un routing loop (bucle deenrutamiento) en redes que usan protocolos de enrutamiento de vector distancia. La actualizaciónmediante horizonte dividido reduce los bucles de enrutamiento, al no permitir que una actual-ización de enrutamiento recibida en una interfaz sea reenviada por la misma interfaz.

La figura muestra R2, un router spoke, que envía una actualización de enrutamiento broadcast aR1, el router hub.

Los routers que admiten varias conexiones a través de una única interfaz física tienen varios PVCque terminan en una única interfaz. R1 debe replicar los paquetes broadcast, por ejemplo, los


broadcasts de actualización de enrutamiento, en todos los PVC y enviarlos a los routers remotos.Los paquetes broadcast replicados pueden consumir ancho de banda y aumentar considerable-mente la latencia en el tráfico de usuario. La cantidad de tráfico de broadcast y la cantidad de VCque terminan en cada router deben evaluarse durante la fase de diseño de una red Frame Relay. Eltráfico excesivo, como las actualizaciones de enrutamiento, pueden afectar la entrega de datoscríticos del usuario, especialmente cuando la ruta de entrega incluye enlaces de bajo ancho debanda (56 kbps).

Haga clic en el botón Problema de horizonte dividido que se muestra en la figura.

R1 tiene varios PVC en una única interfaz física, de modo que la regla de horizonte dividido evitaque R1 reenvíe esa actualización de enrutamiento a través de la misma interfaz física a otrosrouters spoke remotos (R3).

Deshabilitar el horizonte dividido puede parecer una solución simple, ya que permite que las actua-lizaciones de enrutamiento se envíen a la misma interfaz física en la que se originaron. No obstante,sólo IP le permite deshabilitar el horizonte dividido; IPX y AppleTalk no. Además, la deshabilita-ción de horizonte dividido aumenta las posibilidades de bucles de enrutamiento en cualquier red. Elhorizonte dividido puede deshabilitarse para las interfaces físicas con un único PVC.

La siguiente solución evidente para solucionar el problema de horizonte dividido es usar unatopología de malla completa. No obstante, esta solución es costosa, ya que se requieren más PVC.La solución preferida es usar subinterfaces, lo cual se explica en el siguiente tema.

Subinterfaces Frame Relay

Frame Relay puede partir una interfaz física en varias interfaces virtuales denominadas subinter-faces. Una subinterfaz es simplemente una interfaz lógica directamente asociada con una interfazfísica. Por lo tanto, se puede configurar una subinterfaz Frame Relay para cada uno de los PVCque ingresan a una interfaz serial física.

Para habilitar el reenvío de actualizaciones de enrutamiento de broadcast en una red Frame Relay, puede configurar el router con subinterfaces asignadas lógicamente. Una red con mallasparciales puede dividirse en varias redes punto a punto de mallas completas más pequeñas. Sepuede asignar a cada subred punto a punto una dirección de red única, que permite que los paque-tes recibidos en una interfaz física se envíen a la misma interfaz física, dado que se envían en VCde diferentes subinterfaces.

Las subinterfaces Frame Relay pueden configurarse en modo punto a punto y en modo multipunto:

■ Punto a punto: una única subinterfaz punto a punto establece una conexión de PVC a otrainterfaz física o subinterfaz en un router remoto. En este caso, cada pareja de routers punto apunto está en su propia subred y cada subinterfaz punto a punto tiene un solo DLCI. En unentorno punto a punto, cada subinterfaz actúa como interfaz punto a punto. En general, hayuna subred separada para cada VC punto a punto. Entonces, el tráfico de actualización deenrutamiento no está sujeto a la regla del horizonte dividido.

■ Multipunto: una única subinterfaz multipunto establece varias conexiones de PVC a variasinterfaces físicas o subinterfaces de routers remotos. Todas las interfaces involucradas seencuentran en la misma subred. La subinterfaz actúa como interfaz NBMA Frame Relay demodo que el tráfico de actualización de enrutamiento está sujeto a la regla de horizontedividido. En general, todos los VC multipunto pertenecen a la misma subred.

La figura ilustra dos tipos de subinterfaces admitidas por los routers Cisco.

En entornos de enrutamiento con horizonte dividido, es posible reenviar las actualizaciones de en-rutamiento recibidas en una subinterfaz a través de otra subinterfaz. En una configuración desubinterfaces, cada VC puede configurarse como conexión punto a punto. Esto permite que cada


subinterfaz actúe de modo similar a una línea arrendada. Al utilizar una interfaz Frame Relaypunto a punto, cada pareja de routers punto a punto se encuentra en su propia subred.

El comando encapsulation frame-relay está asignado a la interfaz física. Todos los demás as-pectos de la configuración, tales como la dirección de capa de red y los DLCI se asignan a cadasubinterfaz.

Puede usar configuraciones multipunto para conservar las direcciones. Puede resultar especial-mente útil si no se usa la Máscara de subred de longitud variable (VLSM). Sin embargo, las confi-guraciones multipunto podrían funcionar mal, dadas las consideraciones de tráfico de broadcasts ydel horizonte dividido. La opción de subinterfaz punto a punto se creó para evitar esos problemas.

Coloque el mouse sobre la subinterfaz punto a punto y la subinterfaz multipunto de la figurapara conocer un resumen descriptivo.

La configuración de subinterfaces se explica y se practica en la siguiente sección.

3.3.2 Pago de Frame RelayTerminología clave

Los proveedores de servicios crean redes Frame Relay mediante switches muy grandes y eficacespero, como cliente, sus dispositivos sólo ven la interfaz del switch del proveedor de servicios. Losclientes suelen no estar expuestos a los trabajos internos de la red, que pueden crearse en funciónde tecnologías de muy alta velocidad, como T1, T3, SONET o ATM.

Desde la perspectiva de un cliente, Frame Relay es una interfaz y uno o más PVC. Los clientessimplemente compran los servicios de Frame Relay a un proveedor de servicios. No obstante,antes de pensar cómo pagar los servicios de Frame Relay, hay algunos términos y conceptos claveque debe conocer, según se ejemplifica en la figura.

■ Velocidad de acceso o velocidad de puerto: desde la perspectiva del cliente, el proveedor deservicios proporciona una conexión serial o un enlace de acceso a la red Frame Relay a travésde una línea arrendada. La velocidad de la línea es la velocidad de acceso o velocidad depuerto. La velocidad de acceso es la velocidad con la que sus circuitos de acceso se unen a lared Frame Relay. Comúnmente son 56 kbps, T1 (1.536 Mbps) o T1 fraccional (un múltiplo de56 kbps o 64 kbps). Las velocidades de puerto se miden en el switch Frame Relay. No esposible enviar datos a velocidades superiores a la velocidad de puerto.

■ Velocidad de información suscrita (CIR): los clientes negocian la velocidad de informaciónsuscrita (CIR, Committed Information Rate) con proveedores de servicios para cada PVC. LaCIR es la cantidad de datos que una red recibe del circuito de acceso. El proveedor deservicios garantiza que el cliente pueda enviar datos a la CIR. Todas las tramas recibidas a laCIR o por debajo de ella son aceptadas.

Una enorme ventaja de Frame Relay es que la capacidad de cualquier red que no se usa se pone adisposición o se comparte con todos los clientes, por lo general, sin cargos adicionales. Esto per-mite a los clientes usar “ráfagas” a través de sus CIR como beneficio adicional. Las ráfagas se ex-plican en el siguiente tema.

Haga clic en el botón Ejemplo que se muestra en la figura.

En este ejemplo, aparte de los costos de cualquier CPE, el cliente paga por tres componentes deFrame Relay de la siguiente manera:

■ Velocidad de acceso o de puerto: El costo de la línea de acceso de DTE a DCE (cliente aproveedor de servicios). Se aplican los cargos a esta línea en función de la velocidad de puertoque se ha negociado e instalado.


■ PVC: este componente de costo está basado en los PVC. Una vez establecido un PVC, elcosto adicional para aumentar la CIR suele ser pequeño y puede realizarse en pequeñosincrementos (4 kbps).

■ CIR: los clientes normalmente elijen una CIR inferior a la velocidad de puerto o acceso. Estoles permite aprovechar las ráfagas.

En el ejemplo, el cliente paga por lo siguiente:

■ Una línea de acceso con una velocidad de 64 kbps que conecta su DCE al DCE del proveedorde servicios a través del puerto serial S0/0/0.

■ Dos puertos virtuales, uno a 32 kbps y el otro a 16 kbps.

■ Una CIR de 48 kbps en toda la red Frame Relay. Generalmente es una tarifa plana y no estárelacionada con la distancia.

Sobresuscripción

A veces, los proveedores de servicios venden más capacidad de la que tienen, porque suponen queno todos demandan la capacidad a la que tienen derecho todo el tiempo. Esta sobresuscripción seasemeja a las aerolíneas que venden más pasajes de los que tienen porque prevén la posibilidad deque algunos de los clientes que hicieron reservas no se presenten. Dada la sobresuscripción, haymomentos en que la suma de las CIR de varios PVC a una ubicación determinada supera la veloci-dad de puerto o del canal de acceso. Esto puede provocar problemas de tráfico, como la congestióno la pérdida de tráfico.

Ráfagas

Una enorme ventaja de Frame Relay es que la capacidad de cualquier red que no se usa se pone adisposición o se comparte con todos los clientes, por lo general, sin cargos adicionales.

A través del ejemplo anterior, la figura muestra una velocidad de acceso en el puerto serial S0/0/0del router R1 de 64 kbps. Esta velocidad es más alta que las CIR combinadas de los dos PVC. Encircunstancias normales, los dos PVC no deben transmitir más de 32 kbps y 16 kbps, respectiva-mente. Siempre y cuando la cantidad de datos de los dos PVC que se envíen no excedan su CIR,deben transmitirse por la red.

Dado que los circuitos físicos de la red Frame Relay se comparten entre los suscriptores, puedehaber momentos en que haya un exceso de ancho de banda disponible. Frame Relay puede permi-tir que los clientes accedan de forma dinámica a este ancho de banda adicional y usen “ráfagas” através de sus CIR de forma gratuita.

Las ráfagas permiten que los dispositivos que necesitan temporalmente ancho de banda adicionallo pidan prestado, sin costos adicionales, a otros dispositivos que no lo usan. Por ejemplo, si PVC102 transfiere un archivo grande, puede usar cualquiera de los 16 kbps no utilizados por PVC 103.Un dispositivo puede usar una ráfaga equivalente a la velocidad de acceso y suponer que los datosaún se transmitirán. La duración de una transmisión por ráfaga debe ser breve, menos de tres o cuatro segundos.

Se usan diversos términos para describir las velocidades de ráfagas, por ejemplo, velocidad de in-formación de ráfaga suscrita (CBIR, Committed Burst Information Rate) y tamaño de ráfaga ex-cesiva (BE, Excess Burst).

La CBIR es una velocidad negociada superior a la CIR que el cliente puede usar para transmitirdurante una ráfaga breve. Permite que el tráfico se transmita por ráfagas a velocidades más altas,según el ancho de banda disponible de la red. No obstante, no puede exceder la velocidad depuerto del enlace. Un dispositivo puede transmitir por ráfagas equivalentes a la CBIR y suponer la


correcta transmisión de los datos. La duración de una transmisión por ráfaga debe ser breve,menos de tres o cuatro segundos. Si persiste una larga ráfaga, se debe comprar una CIR más alta.

Por ejemplo, DLCI 102 tiene 32 kbps CIR, 16 kbps BE, y 48 kbps CBIR. Las tramas enviadas eneste nivel están marcadas como elegible para descarte (DE, Discard Eligible) en el encabezado de la trama, lo que indica que pueden perderse si hay congestión o si no hay suficiente capacidad enla red. Las tramas ubicadas dentro de la CIR negociada no son susceptibles del descarte (DE = 0).Las tramas superiores a la CIR tienen el bit DE configurado en 1, lo que las marca como suscepti-bles del descarte en el caso de una congestión en la red.

BE es el término utilizado para describir el ancho de banda disponible por encima de la CBIR,hasta la velocidad de acceso del enlace. A diferencia de la CBIR, no se negocia. Las tramaspueden transmitirse en este nivel, pero hay más posibilidades de perderlas.

Haga clic en el botón Ráfaga que se muestra en la figura.

La figura ejemplifica la relación existente entre los diferentes términos de ráfagas.

3.3.3 Control de flujo de Frame RelayFrame Relay reduce la sobrecarga de red mediante la implementación de mecanismos simples decongestión-notificación en lugar de control de flujo explícito por VC. Estos mecanismos de con-gestión-notificación son la notificación explícita de congestión hacia adelante (FECN, ForwardExplicit Congestion Notification) y la notificación explícita de congestión hacia atrás (BECN,Backward Explicit Congestion Notification).

Para comprender mejor los mecanismos, se presenta el gráfico que muestra la estructura de latrama Frame Relay para su revisión. FECN y BECN están controlados por un único bit que se en-cuentra en el encabezado de la trama. Permiten que el router sepa que hay congestión y que debedetener la transmisión hasta revertir esta situación. BECN es una notificación directa. FECN esuna notificación indirecta.

El encabezado de la trama también incluye un bit Elegible para descarte (DE), que identifica trá-fico menos importante que puede perderse durante períodos de congestión. Los dispositivos DTEpueden establecer el valor del bit DE en 1, para indicar que la trama tiene menor importancia queotras tramas. Cuando la red se congestiona, los dispositivos DCE descartan las tramas con el bitDE configurado en 1, antes de descartar aquellas sin esta configuración. De esta forma se reducenlas posibilidades de que se pierdan datos críticos durante períodos de congestión.

En períodos de congestión, el switch Frame Relay del proveedor aplica las siguientes reglas lógi-cas a cada trama entrante en función de si se excede la CIR:

■ si la trama entrante no excede la CIBR, la trama se transmite.

■ Si una trama entrante excede la CIBR, se marca como DE.

■ Si una trama entrante excede la CIBR además de la BE, se descarta.

Haga clic en el botón Cola de la figura y en Reproducir, que se muestra en la animación.

Las tramas que entran a un switch se ponen en cola en el búfer antes de su envío. Como encualquier sistema de colas, es posible que haya una acumulación excesiva de tramas en el switch.Eso provoca retardos. Los retardos acarrean retransmisiones innecesarias que tienen lugar cuandolos protocolos de nivel superior no reciben acuses de recibo dentro de un lapso determinado. Encasos graves, esto puede provocar un descenso importante en la velocidad de la red. Para evitareste problema, Frame Relay incluye una función de control de flujo.


La figura muestra un switch con una cola que se completa. Para reducir el flujo de tramas a la cola,el switch notifica el problema a DTE mediante los bits de la notificación explícita de la congestiónen el campo de dirección de la trama.

■ El bit de FECN, indicado por la letra “F” en la figura, está establecido en cada trama que elswitch recibe en el enlace congestionado.

■ El bit de BECN, indicado por la letra “B” en la figura, está establecido en cada trama que elswitch coloca en el enlace congestionado.

Se espera que los DTE que reciben tramas con el grupo de bits ECN establecidos intenten reducirel flujo de tramas hasta que la congestión desaparezca.

Si la congestión tiene lugar en un enlace troncal interno, los DTE pueden recibir una notificaciónaun cuando ellos no sean la causa.

Actividad: Conceptos avanzados de Frame Relay

3.4 Configuración avanzada de Frame Relay3.4.1 Configuración de las subinterfaces Frame RelayRecuerde que el uso de subinterfaces Frame Relay garantiza que se trata a una sola interfaz físicacomo múltiples interfaces virtuales para sobrellevar las reglas de horizonte dividido. Los paquetesrecibidos en una interfaz virtual pueden enviarse a otra interfaz virtual, incluso si se configuran enla misma interfaz física.

Las subinterfaces resuelven las limitaciones de las redes Frame Relay al proporcionar una formade subdividir una red Frame Relay con mallas parciales en numerosas subredes más pequeñas, conmallas completas (o punto a punto). Se asigna a cada subred su propio número de red y apareceante los protocolos como si pudiera alcanzarse a través de una interfaz separada. Las subinterfacespunto a punto pueden no tener números para usar con IP, lo que reduce la carga de direc-cionamiento que podría generarse de otra forma.

Para crear una subinterfaz, use el comando interface serial. Especifique el número de puerto,seguido de un punto (.), y luego del número de la subinterfaz. Para solucionar problemas con másfacilidad, use el DLCI como número de subinterfaz. También debe especificar si la interfaz espunto a punto o multipunto mediante la palabra clave multipoint o point-to-point, dado que noexiste un valor predeterminado. Estas palabras clave se definen en la figura.

El siguiente comando crea una subinterfaz punto a punto para PVC 103 a R3: R1(config-if)#interface serial 0/0/0.103 point-to-point.

Haga clic en el botón DLCI que se muestra en la figura.

Si la subinterfaz se configura como punto a punto, se debe configurar también el DLCI local parala subinterfaz, para distinguirla de la interfaz física. También se requiere el DLCI para las subinter-faces multipunto en las que se habilita el ARP inverso. No es necesario para las subinterfaces mul-tipunto configuradas con mapas de rutas estáticas.

El proveedor de servicios Frame Relay asigna los números DLCI. Estos números van del 16 al 992y, por lo general, sólo tienen importancia local. El rango varía en función de la LMI utilizada.

El comando frame-relay interface-dlci configura el DLCI local en la subinterfaz. Por ejem-plo: R1(config-subif)#frame-relay interface-dlci 103.


Nota: Desafortunadamente, la modificación de la configuración de una subinterfaz Frame Relayexistente puede no proporcionar el resultado previsto. En estas situaciones, posiblemente sea nece-sario guardar la configuración y volver a cargar el router.

Configuración de ejemplo de subinterfaces

En la figura, R1 tiene dos subinterfaces punto a punto. La subinterfaz s0/0.0.102 se conecta conR2, y la subinterfaz s0/0/0.103 se conecta con R3. Cada subinterfaz está en una subred diferente.

Para configurar las subinterfaces en una interfaz física, siga estos pasos:

Paso 1. Quitar cualquier dirección de capa de red asignada a la interfaz física. Si la interfaz físicatiene una dirección, las subinterfaces locales no reciben las tramas.

Paso 2. Configurar la encapsulación Frame Relay en la interfaz física mediante el comandoencapsulation frame-relay.

Paso 3. Para cada uno de los PVC definidos, crear una subinterfaz lógica. Especifique el númerode puerto, seguido de un punto (.), y luego del número de la subinterfaz. Para solucionar problemascon más facilidad, se sugiere que el número de la subinterfaz coincida con el número de DLCI.

Paso 4. Configurar una dirección IP para la interfaz y el ancho de banda.

En este punto, configuraremos el DLCI. Recuerde que el proveedor de servicios de Frame Relayasigna los números de DLCI.

Paso 5. Configurar el DLCI local en la subinterfaz mediante el comando frame-relay inter-face-dlci.

3.4.2 Verificación del funcionamiento de Frame RelayFrame Relay suele ser un servicio muy confiable. De todas formas, hay ocasiones en las que la red funciona a niveles inferiores a los previstos y se necesita solucionar problemas. Por ejemplo,los usuarios posiblemente notifiquen conexiones lentas e intermitentes en el circuito. Los circui-tos pueden desactivarse. Independientemente del motivo, las interrupciones de la red son muy costosas en relación con la pérdida de la productividad. Una práctica recomendada es verificar su configuración antes de que surjan inconvenientes.

En relación con este tema, sigue un procedimiento de verificación para garantizar el correcto fun-cionamiento, antes de iniciar su configuración en una red activa.

Verificar interfaces Frame Relay

Después de configurar un PVC Frame Relay y al solucionar un problema, verifique que FrameRelay funcione correctamente en esa interfaz mediante el comando show interfaces.

Recuerde que, con Frame Relay, el router se considera normalmente un dispositivo DTE. Sin em-bargo, los routers Cisco pueden configurarse como switches Frame Relay. En tales casos, el routerse convierte en dispositivo DCE cuando se configura como switch Frame Relay.

El comando show interfaces muestra cómo se configura la encapsulación, junto con valiosa in-formación de estado de la Capa 1 y 2, que incluye:

■ Tipo de LMI

■ DLCI de la LMI

■ Tipo de DTE/DCE Frame Relay

El primer paso consiste siempre en confirmar que las interfaces estén bien configuradas. La figuramuestra un ejemplo de resultado del comando show interfaces. Algunos de los datos que puede


ver son los detalles sobre la encapsulación, el DLCI en la interfaz serial configurada por FrameRelay y el DLCI utilizado para la LMI. Debe confirmar que estos valores sean los valores previs-tos. De lo contrario, posiblemente deba efectuar cambios.

Haga clic en el botón LMI que se muestra en la figura para verificar el rendimiento de la LMI.

El siguiente paso consiste en observar algunas estadísticas de LMI mediante el comando showframe-relay lmi. En el resultado, observe si existen elementos “no válidos” diferentes a cero.Esto ayuda a aislar el problema y reducirlo a un problema de comunicaciones de Frame Relayentre el switch de la empresa de comunicaciones y su router.

La figura muestra un ejemplo de resultado que indica la cantidad de mensajes de estado intercam-biados entre el router local y el switch Frame Relay local.

Ahora observe las estadísticas de la interfaz.

Haga clic en el botón Estado de PVC que se muestra en la figura para verificar el estado del PVC.

Use el comando show frame-relay pvc [interface interface] [dlci] para ver las estadísticasdel PVC y del tráfico. Este comando también resulta útil para ver la cantidad de paquetes BECN yFECN que el router recibe. El estado del PVC puede ser activo, inactivo o eliminado.

El comando show frame-relay pvc muestra el estado de todos los PVC configurados en el router.También puede especificar un PVC en particular. Haga clic en Estado de PVC de la figura para ver un ejemplo de resultado del comando show frame-relay pvc 102.

Una vez que haya recopilado todas las estadísticas, use el comando clear counters para restaurarlos contadores de estadísticas. Espere 5 ó 10 minutos después de restablecer los contadores paravolver a ejecutar los comandos show. Observe si hay errores adicionales. Si necesita comunicarsecon la empresa de comunicaciones, estas estadísticas ayudan en la resolución de problemas.

Una tarea final consiste en confirmar si el comando frame-relay inverse-arp resolvió una di-rección IP remota a un DLCI local. Use el comando show frame-relay map para mostrar las en-tradas de las asignaciones actuales y la información sobre las conexiones.

Haga clic en el botón ARP inverso que se muestra en la figura.

El resultado muestra la siguiente información:

■ 10.140.1.1 es la dirección IP de un router remoto, que se aprende de forma dinámica a travésde un proceso de ARP inverso.

■ 100 es el valor decimal del número DLCI local.

■ 0x64 es la conversión hexadecimal del número DLCI, 0x64 = 100 decimal.

■ 0x1840 es el valor tal como se mostraría en el cable, debido a la forma en la que los bits deDLCI se reparten en el campo de dirección de la trama Frame Relay.

■ La capacidad broadcast/multicast está habilitada en el PVC.

■ El estado del PVC es activo.

Para borrar las asignaciones de Frame Relay creadas de forma dinámica mediante el ARP inverso,use el comando clear frame-relay-inarp. Haga clic en el botón Borrar asignaciones para verun ejemplo de este paso.


3.4.3 Resolución de problemas de configuración deFrame RelaySi el procedimiento de verificación indica que su configuración de Frame Relay no funciona co-rrectamente, debe ejecutar la resolución de problemas de configuración.

Use el comando debug frame-relay lmi para determinar si el router y el switch Frame Relay en-vían y reciben paquetes LMI correctamente.

Observe la figura y analice el resultado de un intercambio de LMI.

■ “out” (salida) se refiere a los mensajes de estado de LMI enviados por el router.

■ “in” (entrada) se refiere a los mensajes recibidos del switch Frame Relay.

■ Un mensaje de estado de LMI completo es de “tipo 0” (no se muestra en la figura).

■ Un intercambio de LMI es de “tipo 1”.

■ “dlci 100, estado 0x2” significa que el estado del DLCI 100 es activo (no se muestra en lafigura).

Cuando se efectúa una solicitud de ARP inverso, el router actualiza su tabla de asignación con tresposibles estados de conexión de LMI. Estos estados son activo, inactivo y eliminado.

■ Los estados ACTIVO indican un circuito de extremo a extremo (DTE a DTE) exitoso.

■ El estado INACTIVO indica una conexión con éxito con el switch (DTE a DCE) sin un DTEdetectada en el otro extremo del PVC. Esto puede deberse a una configuración residual oincorrecta en el switch.

■ El estado ELIMINADO indica que el DTE se configura para un DLCI que el switch noreconoce como válido para esa interfaz.

Los valores posibles del campo de estado son los siguientes.

■ 0x0: Significa que el switch tiene el DLCI programado pero por alguna razón no se puedeusar. Es posible que esto ocurra porque el extremo opuesto del PVC está desactivado.

■ 0x2: significa que el switch Frame Relay tiene el DLCI y que todo está en funcionamiento.

■ 0x4: significa que el switch Frame Relay no tiene este DLCI programado para el router, peroque estuvo programado en algún momento en el pasado. Esto puede deberse a una reversióndel DLCI en el router, o que el proveedor de servicios haya eliminado el PVC de la nubeFrame Relay.

Simulación: Configuración de subinterfaces punto a punto Frame Relay

3.5 Prácticas de laboratorio del capítulo3.5.1 Frame Relay básicoEn esta práctica de laboratorio, aprende a configurar la encapsulación Frame Relay en enlaces se-riales mediante la red que se muestra en el diagrama de topología. También aprende a configurarun router como switch Frame Relay. Se aplican estándares de Cisco y estándares abiertos FrameRelay. Usted aprenderá ambos. Preste especial atención en la sección de práctica de laboratorio enla que se interrumpe intencionalmente las configuraciones de Frame Relay. Esto lo ayudará en lapráctica de laboratorio de resolución problemas asociada a este capítulo.


3.5.2 Desafío de configuración de Frame RelayEn esta práctica de laboratorio, configura Frame Relay mediante la red que se muestra en el dia-grama de topología. Si necesita ayuda, consulte la práctica de laboratorio básica de Frame Relay.No obstante, intente hacer lo máximo posible por su cuenta.

3.5.3 Resolución de problemas de Frame RelayEn esta práctica de laboratorio, se trabajará en la resolución de problemas de un entorno de FrameRelay mal configurado. Cargue o indique a su instructor que cargue la configuración a continua-ción en sus routers. Localice y repare todos los errores de configuración y establezca la conectivi-dad de extremo a extremo. La configuración final debe coincidir con el diagrama de topología y latabla de direccionamiento.


Resumen del capítuloFrame Relay proporciona más ancho de banda, fiabilidad y resistencia a las fallas que las líneasprivadas o arrendadas. Frame Relay ha reducido los costos de red a través del uso de menosequipos, menos complejidad y una implementación más fácil. Por estos motivos, Frame Relay seha convertido en la tecnología WAN más utilizada del mundo.

Una conexión Frame Relay entre un dispositivo DTE del extremo de la LAN y un dispositivo DCEubicado en el extremo de la portadora tiene un componente de capa de enlace y un componente decapa física. Frame Relay toma los paquetes de datos y los encapsula en una trama de Frame Relay y,a continuación, transmite la trama a la capa física para su entrega en el cable. La conexión a travésde la red de la portadora es un VC identificado por un DLCI. Se pueden multiplexar varios VC me-diante un FRAD. Las redes Frame Relay generalmente usan una topología de malla parcial opti-mizada para los requisitos de flujo de datos de la base de clientes de la empresa de comunicaciones.

Frame Relay usa el ARP inverso para asignar DCLI a las direcciones IP de las ubicaciones remo-tas. La asignación dinámica de direcciones depende del ARP inverso para resolver una direcciónde protocolo de red de próximo salto a un valor DLCI local. El router Frame Relay envía solici-tudes de ARP inverso en su PVC para descubrir la dirección del protocolo del dispositivo remotoconectado a la red Frame Relay. Los routers DTE Frame Relay usan la LMI para proporcionar in-formación de estado sobre su conexión con el switch DCE Frame Relay. Las extensiones LMI pro-porcionan información de internetworking adicional.

Las primeras dos tareas para configurar Frame Relay en un router Cisco consisten en habilitar laencapsulación Frame Relay en la interfaz y, luego, configurar la asignación estática o dinámica.Después de esto, hay numerosas tareas opcionales que pueden efectuarse según se requieran, in-cluida la configuración de la LMI, los VC, la conformación del tráfico y la personalización deFrame Relay en la red. La supervisión de las conexiones Frame Relay existentes es la tarea final.

La configuración Frame Relay debe considerar el problema de horizonte dividido que surge alconverger varios VC en una única interfaz física. Frame Relay puede partir una interfaz física envarias interfaces virtuales denominadas subinterfaces. También se explicó y se practicó la configu-ración de subinterfaces.

La configuración de Frame Relay se ve afectada por la forma en la que los proveedores de servi-cios aplican cargos por conexiones que usan unidades de velocidades de acceso y velocidades deinformación suscrita (CIR). Una de las ventajas de estos esquemas de cargos es que la capacidadde red no utilizada está disponible o se comparte con todos los clientes, por lo general, sin costosadicionales. Esto les permite a los usuarios usar ráfagas de tráfico durante breves períodos.

La configuración del control de flujo en una red Frame Relay también se ve afectada por los es-quemas de cargos del proveedor de servicios. Puede configurar la cola y la forma del tráfico deacuerdo con la CIR. Se pueden configurar DTE para controlar la congestión en la red mediante laadición de bits BECN y FECN a las direcciones de la trama. También se pueden configurar DTEpara establecer un bit de elegible para descarte que indique que la trama puede descartarse en pre-ferencia a otras tramas en el caso de una congestión. Las tramas que se envían en exceso de la CIRse marcan como “elegibles para descarte” (DE), lo que significa que pueden perderse en el caso decongestión dentro de la red Frame Relay.

Finalmente, una vez configurado Frame Relay, aprendió a verificar y a solucionar los problemasde las conexiones.


Esta actividad le permite poner en práctica una variedad de habilidades, incluida la configuraciónde Frame Relay, PPP con CHAP, enrutamiento estático y predeterminado, VTP y VLAN. Dadoque existen aproximadamente 150 componentes calificados en esta actividad, posiblemente no veaaumentar el porcentaje de finalización siempre que configure un comando calificado. Puede hacerclic en Verificar resultados y en Puntos de evaluación en cualquier momento, para ver si ingresócorrectamente un comando calificado. Las instrucciones detalladas están proporcionadas dentro dela actividad, al igual que en el enlace al PDF que sigue.




CAPÍTULO 4

Seguridad de la red

IntroducciónLa seguridad se ha convertido en un aspecto primordial de la implementación y la administraciónde red. El desafío general de la seguridad es encontrar un equilibrio entre dos requisitos impor-tantes: la necesidad de abrir redes para respaldar las oportunidades comerciales en evolución y lanecesidad de proteger la información comercial privada, personal y estratégica.

La aplicación de una política de seguridad eficaz es el paso más importante que puede dar una or-ganización para proteger su red. Brinda pautas acerca de las actividades que deben llevarse a caboy los recursos que deben utilizarse para proporcionar seguridad a la red de una organización.

En este capítulo no se analiza la seguridad a nivel de la Capa 2. Para obtener información acercade las medidas de seguridad de la LAN de Capa 2, consulte el curso Exploration: LAN inalámbriay conmutada.

4.1 Introducción a la seguridad de la red

4.1.1 ¿Por qué es importante la seguridad de la red?¿Por qué es importante la seguridad de la red?

En muy poco tiempo, las redes informáticas crecieron en tamaño y en importancia. Si la seguridadde la red se encuentra afectada, podría tener consecuencias graves, como la pérdida de privacidad,el robo de información e, incluso, responsabilidad legal. Para que esta situación constituya un de-safío aun mayor, los tipos de amenazas potenciales a la seguridad de la red se encuentran siempreen evolución.

A medida que el comercio electrónico y las aplicaciones de Internet siguen creciendo, es muy difí-cil encontrar el equilibrio entre estar aislado y abierto. Además, el aumento del comercio móvil yde las redes inalámbricas exige soluciones de seguridad perfectamente integradas, más transparen-tes y más flexibles.

En este capítulo, se realiza un recorrido relámpago por el mundo de la seguridad de la red. Apren-derá acerca de los distintos tipos de amenazas, el desarrollo de políticas de seguridad de la organi-zación, técnicas de alivio y herramientas del software IOS de Cisco para ayudar a proteger lasredes. El capítulo termina con un vistazo de la administración de imágenes del software IOS deCisco. Si bien esto quizás no parezca un problema de seguridad, las imágenes y configuracionesdel software IOS de Cisco se pueden eliminar. Los dispositivos comprometidos de esta manerarepresentan riesgos para la seguridad.

La creciente amenaza a la seguridad

Con los años, las herramientas y los métodos de ataque a las redes han evolucionado. Como se ob-serva en la figura, en 1985 los agresores debían tener conocimientos avanzados de informática,programación y networking para utilizar herramientas rudimentarias y realizar ataques básicos.


Con el correr del tiempo, y a medida que los métodos y las herramientas de los agresores mejora-ban, ya no necesitaban el mismo nivel avanzado de conocimientos. Esto, efectivamente, disminuyólos requisitos de nivel inicial para los agresores. Quienes antes no hubieran cometido delitos infor-máticos, ahora pueden hacerlo.

Con la evolución de los tipos de amenazas, ataques y explotaciones, se han acuñado varios térmi-nos para describir a las personas involucradas. Estos son algunos de los términos más comunes:

■ Hacker de sombrero blanco: una persona que busca vulnerabilidades en los sistemas o en lasredes y, a continuación, informa estas vulnerabilidades a los propietarios del sistema para quelas arreglen. Son éticamente opuestos al abuso de los sistemas informáticos. Por lo general, unhacker de sombrero blanco se concentra en proporcionar seguridad a los sistemasinformáticos, mientras que a un hacker de sombrero negro (el opuesto) le gustaría entrar por lafuerza en ellos.

■ Hacker: es un término general que se ha utilizado históricamente para describir a un expertoen programación. Recientemente, este término se ha utilizado con frecuencia con un sentidonegativo, para describir a una persona que intenta obtener acceso no autorizado a los recursosde la red con intención maliciosa.

■ Hacker de sombrero negro: otro término que se aplica a las personas que utilizan suconocimiento de las redes o los sistemas informáticos que no están autorizados a utilizar,generalmente para beneficio personal o económico. Un cracker es un ejemplo de hacker desombrero negro.

■ Cracker: es un término más preciso para describir a una persona que intenta obtener accesono autorizado a los recursos de la red con intención maliciosa.

■ Phreaker: una persona que manipula la red telefónica para que realice una función que noestá permitida. Un objetivo común del phreaking es ingresar en la red telefónica, por logeneral a través de un teléfono público, para realizar llamadas de larga distancia gratuitas.

■ Spammer: persona que envía grandes cantidades de mensajes de correo electrónico nosolicitado. Por lo general, los spammers utilizan virus para tomar control de computadorasdomésticas y utilizarlas para enviar sus mensajes masivos.

■ Estafador: utiliza el correo electrónico u otro medio para engañar a otras personas para quebrinden información confidencial, como números de tarjetas de crédito o contraseñas. Unestafador se hace pasar por una persona de confianza que tendría una necesidad legítima deobtener información confidencial.

Pensar como un agresor

El objetivo del agresor es afectar un objetivo de red o a una aplicación que se ejecuta dentro deuna red. Muchos agresores usan el siguiente proceso de siete pasos para obtener información yplantear un ataque.

Paso 1. Realizar un análisis del perfil (reconocimiento). La página Web de una empresa puede con-ducir a información, como las direcciones IP de los servidores. Desde allí, un agresor puede crearuna imagen del perfil de seguridad o de la “huella” de la empresa.

Paso 2. Enumerar los datos. Un agresor puede ampliar el perfil controlando el tráfico de la red conun programa detector de paquetes, como Wireshark, buscando información como los números deversión de los servidores FTP y de los servidores de correo. Una referencia cruzada con bases de datos de vulnerabilidades expone las aplicaciones de la empresa a explotaciones potenciales.

Capítulo 4: Seguridad de la red 87

Paso 3. Manipular a los usuarios para obtener acceso. Algunas veces, los empleados eligen con-traseñas que se pueden descifrar fácilmente. En otros casos, los empleados pueden ser engañadospor agresores talentosos para revelar información confidencial relacionada con el acceso.

Paso 4. Aumentar los privilegios. Una vez que los agresores obtienen acceso básico, utilizan sushabilidades para aumentar los privilegios de la red.

Paso 5. Recopilar más contraseñas y secretos. Con privilegios de acceso mejorados, los agresoresutilizan su talento para obtener acceso a información confidencial bien protegida.

Paso 6. Instalar virus de puerta trasera. Las puertas traseras proporcionan a los agresores unaforma de ingresar al sistema sin ser detectados. La puerta trasera más común es un puerto de es-cucha TCP o UDP abierto.

Paso 7. Potenciar el sistema comprometido. Una vez que un sistema está comprometido, los agre-sores lo utilizan para llevar a cabo ataques en otros hosts de la red.

Tipos de delitos informáticos

Con la mejora de las medidas de seguridad en el transcurso de los años, algunos de los tipos deataques más comunes disminuyeron en frecuencia, y surgieron nuevos tipos. La concepción de soluciones de seguridad de red comienza con una evaluación del alcance completo de los deli-tos informáticos. Estos son los actos de delitos informáticos denunciados con más frecuencia quetienen implicancias en la seguridad de la red:

■ Abuso del acceso a la red por parte de personas que pertenecen a la organización

■ Virus

■ Robo de dispositivos portátiles

■ Suplantación de identidad en los casos en los que una organización está representada demanera fraudulenta como el emisor

■ Uso indebido de la mensajería instantánea

■ Denegación de servicio

■ Acceso no autorizado a la información

■ Bots dentro de la organización

■ Robo de información de los clientes o de los empleados

■ Abuso de la red inalámbrica

■ Penetración en el sistema

■ Fraude financiero

■ Detección de contraseñas

■ Registro de claves

■ Alteración de sitios Web

■ Uso indebido de una aplicación Web pública

■ Robo de información patentada

■ Explotación del servidor DNS de una organización

■ Fraude en las telecomunicaciones

■ Sabotaje


Nota: En algunos países, es posible que algunas de estas actividades no constituyan un delito, perosiguen siendo un problema.

Redes abiertas versus redes cerradas

El desafío general de seguridad al que se enfrentan los administradores de redes es equilibrar dosnecesidades importantes: mantener las redes abiertas para respaldar los requisitos comerciales enevolución y proteger la información comercial privada, personal y estratégica.

Los modelos de seguridad de la red siguen una escala progresiva, desde “abierto”: se otorga per-miso a cualquier servicio, a menos que esté expresamente denegado, hasta “restrictivo”: se deniegapermiso a servicios de forma predeterminada, a menos que sean considerados necesarios. En elcaso de redes abiertas, los riesgos de seguridad son evidentes. En el caso de las redes cerradas, lasreglas de lo que está permitido son definidas en forma de política por una persona o un grupo den-tro de la organización.

Realizar un cambio en la política de acceso puede ser tan simple como pedirle a un administradorde red que active un servicio. Según la empresa, un cambio podría exigir modificar la política deseguridad de la empresa para permitirle al administrador activar el servicio. Por ejemplo, unapolítica de seguridad podría prohibir el uso de los servicios de mensajería instantánea (IM), pero elreclamo por parte de los empleados podría lograr que la empresa cambie la política.

Una alternativa extrema para administrar la seguridad es cerrar por completo una red al mundo ex-terior. Una red cerrada proporciona conectividad solamente a las personas y sitios conocidos deconfianza. Una red cerrada no permite conectarse a las redes públicas. Como no hay conectividadcon el exterior, las redes diseñadas de esta manera se consideran seguras contra los ataques exter-nos. Sin embargo, todavía hay amenazas internas. Una red cerrada no es de mucha ayuda para im-pedir ataques desde el interior de la empresa.

Desarrollo de una política de seguridad

El primer paso que debe dar una organización para proteger sus datos y a sí misma del reto de laresponsabilidad es desarrollar una política de seguridad. Una política es un conjunto de principiosque guían los procesos de toma de decisiones y permiten que los líderes de una organización dis-tribuyan la autoridad con confianza. RFC2196 establece que “una política de seguridad es una de-claración formal de las normas por las que se deben regir las personas que obtienen acceso a losbienes de tecnología e información de una organización”. Una política de seguridad puede ser tansimple como una breve política de uso aceptable para recursos de red, o puede contener varioscientos de páginas y detallar cada aspecto de conectividad y las políticas asociadas.

Una política de seguridad debe cumplir los siguientes objetivos:

■ Informar a los usuarios, al personal y a los gerentes acerca de los requisitos obligatorios paraproteger los bienes de tecnología e información

■ Especificar los mecanismos a través de los cuales se pueden cumplir estos requisitos

■ Proporcionar una línea de base a partir de la que se pueda adquirir, configurar y auditar redesy sistemas informáticos para que cumplan la política

Definir una política de seguridad puede ser desalentador si se hace sin orientación. Es por ello quela Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Inter-nacional (IEC) han publicado un documento norma de seguridad denominado ISO/IEC 27002.Este documento hace referencia específicamente a la tecnología de la información y esboza uncódigo de prácticas para la administración de la seguridad de la información.


La norma ISO/IEC 27002 pretende ser una base común y una guía práctica para desarrollar nor-mas de seguridad de la organización y prácticas eficaces de administración de seguridad. El docu-mento consta de 12 secciones:

■ Evaluación de riesgos

■ Política de seguridad

■ Organización de la seguridad de la información

■ Administración de activos

■ Seguridad de los recursos humanos

■ Seguridad física y ambiental

■ Administración de las comunicaciones y operaciones

■ Control de acceso

■ Adquisición, desarrollo y mantenimiento de los sistemas informáticos

■ Administración de incidentes de seguridad de la información

■ Administración para la continuidad de la empresa

■ Cumplimiento

El presente capítulo se concentra en la sección de políticas de seguridad. Para leer acerca de todaslas secciones, vaya a http://en.wikipedia.org/wiki/ISO/IEC_27002. En los temas 4.1.5 “La rueda deseguridad de la red” y 4.1.6 “La política de seguridad de la empresa”, se analiza el desarrollo deldocumento de políticas de seguridad de la red.

4.1.2 Amenazas comunes a la seguridadVulnerabilidades

En el análisis de la seguridad de la red, los tres factores comunes son vulnerabilidad, amenaza yataque.

La vulnerabilidad es el grado de debilidad inherente a cada red y cada dispositivo. Esto incluyerouters, switches, equipos de escritorio, servidores e, incluso, dispositivos de seguridad.

Las amenazas son las personas interesadas y calificadas para aprovechar cada una de las debili-dades en materia de seguridad. De dichas personas se puede esperar que busquen continuamentenuevas explotaciones y debilidades.

Las amenazas utilizan una diversidad de herramientas, secuencias de comandos y programas, paralanzar ataques contra redes y dispositivos de red. Por lo general, los dispositivos de red atacadosson los extremos, como los servidores y los equipos de escritorio.

Hay tres vulnerabilidades o debilidades principales:

■ Debilidades tecnológicas

■ Debilidades en la configuración

■ Debilidades en la política de seguridad

Haga clic en el botón Tecnología de la figura.

Las tecnologías informáticas y de red tienen debilidades de seguridad intrínsecas. Entre ellas, lasdebilidades del protocolo TCP/IP, del sistema operativo y de los equipos de red.


Haga clic en el botón Configuración de la figura.

Los administradores o los ingenieros de redes necesitan aprender cuáles son las debilidades de laconfiguración y configurar correctamente sus dispositivos informáticos y de red para compensarlas.

Haga clic en el botón Política de la figura.

Hay riesgos de seguridad en la red si los usuarios no respetan la política de seguridad. En la si-guiente figura, se enumeran algunas debilidades comunes de la política de seguridad y la maneraen que se explotan dichas debilidades.

Amenazas a la infraestructura física

Cuando se piensa en la seguridad de la red, o incluso en la seguridad informática, uno imaginaagresores que explotan las vulnerabilidades del software. Una clase de amenaza menos glamorosa,pero no menos importante, es la seguridad física de los dispositivos. Un agresor puede denegar eluso de los recursos de la red si dichos recursos pueden ser comprometidos físicamente.

Las cuatro clases de amenazas físicas son:

■ Amenazas al hardware: daño físico a los servidores, routers, switches, planta de cableado yestaciones de trabajo

■ Amenazas ambientales: temperaturas extremas (calor o frío extremos) o condicionesextremas de humedad (humedad o sequedad extremas)

■ Amenazas eléctricas: picos de voltaje, voltaje suministrado insuficiente (apagones),alimentación ilimitada (ruido) y pérdida total de alimentación

■ Amenazas por mantenimiento: manejo deficiente de los componentes eléctricos clave(descarga electrostática), falta de repuestos fundamentales, cableado insuficiente y rotuladoincorrecto

Algunos de estos problemas deben ser abordados dentro de una política de la organización. Al-gunos están sujetos a un buen liderazgo y administración dentro de la organización. Las conse-cuencias de la mala suerte pueden desbaratar una red si la seguridad física no está bien preparada.

A continuación, se presentan algunas formas de mitigar las amenazas físicas:

■ Mitigación de amenazas al hardware

■ Mitigación de amenazas ambientales

■ Mitigación de amenazas eléctricas

■ Mitigación de amenazas de mantenimiento

Haga clic en el botón Hardware de la figura.

Mitigación de amenazas al hardware

Cierre el armario del cableado y permita el acceso sólo al personal autorizado. Bloquee el acceso através de techos falsos, pisos falsos, ventanas, conductos o puntos de entrada que no sean el puntode acceso seguro. Use el control de acceso electrónico y registre todas las tentativas de entrada.Controle las instalaciones con cámaras de seguridad.

Haga clic en el botón Ambiental de la figura.

Mitigación de amenazas ambientales

Cree un entorno operativo propicio, a través del control de la temperatura, de la humedad, el flujode aire positivo, las alarmas ambientales remotas, y la grabación y vigilancia.


Haga clic en el botón Eléctrico de la figura.

Mitigación de amenazas eléctricas

Disminuya los problemas de alimentación eléctrica instalando sistemas UPS y conjuntos de gene-radores, mediante un plan de mantenimiento preventivo, la instalación de suministros de energíaredundante y alarmas y vigilancia remotas.

Haga clic en el botón Mantenimiento de la figura.

Mitigación de amenazas al mantenimiento

Mitigación de amenazas relacionadas con el mantenimiento: use tendidos de cables limpios, rotulelos cables y componentes críticos, use procedimientos de descarga electrostática, tenga una pro-visión de repuestos fundamentales y controle el acceso a los puertos de la consola.

Amenazas a las redes

Anteriormente, en este capítulo, se enumeraron los delitos informáticos comunes que repercutensobre la seguridad de la red. Estos delitos se pueden agrupar en cuatro clases principales de ame-nazas a las redes:

Amenazas no estructuradas

Las amenazas no estructuradas consisten principalmente en personas sin experiencia que usan he-rramientas de piratería informática de fácil acceso, como secuencias de comandos de shell y crac-kers de contraseñas. Hasta las amenazas no estructuradas, que se ejecutan con el único propósitode probar las habilidades de un agresor, pueden provocar daños graves a una red. Por ejemplo, sise hackea el sitio Web de una empresa, se puede dañar la reputación de dicha empresa. Aunque elsitio Web esté separado de la información privada que se encuentra detrás de un firewall protector,el público no lo sabe. Lo que el público percibe es que el sitio podría no ser un entorno seguropara realizar negocios.

Amenazas estructuradas

Las amenazas estructuradas provienen de personas o grupos que tienen una mayor motivación yson más competentes técnicamente. Estas personas conocen las vulnerabilidades del sistema y uti-lizan técnicas de piratería informática sofisticadas para introducirse en las empresas confiadas. In-gresan en computadoras de empresas y del gobierno para cometer fraude, destruir o alterarregistros o, simplemente, para crear confusión. Por lo general, estos grupos están involucrados enlos principales casos de fraude y robo denunciados en los organismos de aplicación de la ley. Uti-lizan tácticas de piratería informática tan complejas y sofisticadas que sólo los investigadores espe-cialmente capacitados entienden lo que está ocurriendo.

En 1995, Kevin Mitnick fue condenado por ingresar a computadoras de distintos estados de losEstados Unidos con fines delictivos. Ingresaba en la base de datos del Departamento del Automo-tor de California, rutinariamente tomaba control de los hubs de conmutación telefónica de NuevaYork y California y robaba números de tarjetas de crédito. Inspiró la película “Juegos de guerra”del año 1983.

Amenazas externas

Las amenazas externas pueden provenir de personas u organizaciones que trabajan fuera de una em-presa y que no tienen acceso autorizado a los sistemas informáticos ni a la red. Ingresan a una redprincipalmente desde Internet o desde servidores de acceso telefónico. Las amenazas externaspueden tener distintos grados de gravedad según la experiencia del agresor, ya sea aficionado (noestructurado) o experto (estructurado).


Amenazas internas

Las amenazas internas son las provocadas por una persona que tiene acceso autorizado a la red, yasea mediante una cuenta o acceso físico. Al igual que en el caso de las amenazas externas, lagravedad de una amenaza interna depende de la experiencia del agresor.

Ingeniería social

La piratería informática más sencilla no requiere habilidad informática alguna. Si un intruso puedeengañar a un miembro de una organización para que le proporcione información valiosa, como laubicación de los archivos o de las contraseñas, el proceso de piratería informática se torna muchomás fácil. Este tipo de ataque se denomina ingeniería social, y se aprovecha de las vulnerabili-dades personales que pueden ser descubiertas por agresores talentosos. Puede incluir apelacionesal ego de un empleado, o bien puede tratarse de una persona simulada o un documento falsificadoque logra que una persona proporcione información confidencial.

La suplantación de identidad es un tipo de ataque de ingeniería social que involucra el uso decorreo electrónico u otros tipos de mensajes para intentar engañar a otras personas, de modo que brinden información confidencial, como números de tarjetas de crédito o contraseñas. Elestafador se hace pasar por una persona de confianza que tiene una necesidad aparentemente legítima de obtener información confidencial.

Con frecuencia, los fraudes de suplantación de identidad involucran el envío de correo no deseadoque aparenta provenir de sitios de banca o de subastas en línea. La figura muestra una réplica dedicho correo electrónico. La empresa real utilizada como señuelo de este ejemplo se ha modifi-cado. Estos correos electrónicos contienen hipervínculos que parecen legítimos, pero que, en reali-dad, llevan a los usuarios a un sitio Web falso creado por el estafador para capturar su información.El sitio aparenta pertenecer a la parte cuya identidad se falsificó en el correo electrónico. Cuandoel usuario introduce la información, se registra para que la utilice el estafador.

Los ataques de suplantación de identidad pueden prevenirse educando a los usuarios e implemen-tando pautas de información cuando se reciben correos electrónicos sospechosos. Los administra-dores también pueden bloquear el acceso a determinados sitios Web y configurar filtros quebloqueen el correo electrónico sospechoso.

4.1.3 Tipos de ataques a redesTipos de ataques a redes

Hay cuatro clases de ataques principales.

Reconocimiento

Es el descubrimiento y la asignación no autorizados de sistemas, servicios o vulnerabilidades.También se conoce como recopilación de información y, en la mayoría de los casos, precede a otrotipo de ataque. El reconocimiento es similar a un ladrón que está reconociendo un barrio en buscade casas vulnerables para entrar a robar, como una residencia desocupada, puertas fáciles de abriro ventanas abiertas.

Acceso

El acceso a los sistemas es la capacidad de un intruso de obtener acceso a un dispositivo respectodel cual no tiene cuenta ni contraseña. Por lo general, el ingreso o acceso a los sistemas implicaejecutar un acto de piratería informática, una secuencia de comandos o una herramienta que ex-plota una vulnerabilidad conocida del sistema o de la aplicación que se está atacando.

Denegación de servicio

La denegación de servicio (DoS) se lleva a cabo cuando un agresor desactiva o daña redes, siste-mas o servicios, con el propósito de denegar servicios a los usuarios a quienes están dirigidos. Los


ataques de DoS incluyen colapsar el sistema o desacelerarlo hasta el punto en que queda inutiliza-ble. No obstante, la DoS puede ser tan sencilla como eliminar o dañar información. En la mayoríade los casos, ejecutar el ataque implica simplemente ejecutar un acto de piratería informática o unasecuencia de comandos. Por estas razones, los ataques de DoS son los más temidos.

Virus, gusanos y caballos de Troya

El software malicioso puede ser insertado en un host para perjudicar o dañar un sistema, puedereplicarse a sí mismo, o denegar el acceso a las redes, los sistemas o los servicios. Los nombrescomúnmente utilizados para este tipo de software son gusanos, virus y caballos de Troya.

Ataques de reconocimiento

Los ataques de reconocimiento pueden consistir en uno de los siguientes:

■ Consultas de información en Internet

■ Barridos de ping

■ Escaneos de puertos

■ Programas detectores de paquetes

Los agresores externos pueden utilizar herramientas de Internet, como las utilidades nslookup ywhois, para determinar fácilmente el espacio para la dirección IP asignado a una empresa o enti-dad. Una vez determinado el espacio para la dirección IP, un agresor puede hacer ping en las direc-ciones IP disponibles públicamente para identificar las direcciones que están activas. Para ayudar aautomatizar este paso, el agresor puede utilizar una herramienta de barrido de pings, como fping ogping, que hace ping sistemáticamente a todas las direcciones de red de un alcance o una subreddeterminada. Es similar a revisar una sección de la guía telefónica y llamar a cada número para verquién responde.

Cuando se identifican las direcciones IP activas, el intruso utiliza un escáner de puertos para deter-minar qué puertos o servicios de red están activos en las direcciones IP en uso. Un escáner depuertos es software, como Nmap o Superscan, diseñado para buscar puertos abiertos en un host dered. El escáner de puertos consulta a los puertos para determinar el tipo y la versión de la apli-cación, además del tipo y la versión del sistema operativo (OS) que se está ejecutando en el hostobjetivo. Sobre la base de esta información, el intruso puede determinar si hay una vulnerabilidadque pueda explotarse. Como se muestra en la figura, es posible usar una herramienta de explo-ración de redes, como Nmap, para detectar hosts, escanear puertos, detectar versiones y sistemasoperativos. Muchas de estas herramientas están disponibles y son fáciles de utilizar.

Los agresores internos pueden intentar “infiltrarse” en el tráfico de la red.

Sondeo de redes y detección de paquetes son términos comunes para infiltración. La informacióncompilada mediante la infiltración puede utilizarse para realizar otros ataques a la red.

Los siguientes son dos usos comunes de infiltración:

■ Recopilación de información: los intrusos de la red pueden identificar nombres de usuarios,contraseñas o información que se transportan en un paquete.

■ Robo de información: puede concretarse mientras los datos se transmiten a través de la redinterna o externa. El intruso de la red también puede robar datos de computadoras en redobteniendo acceso no autorizado. Entre los ejemplos, se encuentran ingresar o infiltrarse eninstituciones financieras y obtener números de tarjetas de crédito.

Un ejemplo de datos susceptibles de infiltración son las cadenas comunitarias (SNMP) versión 1,que se envían en texto no cifrado. El SNMP es un protocolo de administración que proporciona un


medio para que los dispositivos de red recopilen información acerca de su estado y la envíen a unadministrador. Un intruso podría infiltrarse en las consultas de SNMP y recopilar datos valiosossobre la configuración de los equipos de la red. Otro ejemplo es la captura de nombres de usuarioy contraseñas a medida que atraviesan una red.

Un método común de infiltrarse en las comunicaciones consiste en capturar TCP/IP u otros paque-tes de protocolos y decodificar los contenidos utilizando un analizador de protocolos o una utile-ría similar. Un ejemplo de dicho programa es Wireshark, que se ha estado utilizando extensamenteen todos los cursos de Exploration. Una vez capturados los paquetes, se les puede examinar enbusca de información vulnerable.

Los siguientes son tres de los métodos más eficaces de contrarrestar la infiltración:

■ Uso de redes conmutadas en lugar de hubs para que el tráfico no se transmita a todos losextremos o hosts de la red.

■ Uso de encriptación que cumpla las necesidades de seguridad de los datos de la organización,sin imponer una carga excesiva en los usuarios o los recursos del sistema.

■ Implementación y aplicación de una directiva de política que prohíba el uso de protocolos conconocida susceptibilidad a la infiltración. Por ejemplo, el SNMP versión 3 puede encriptarcadenas comunitarias, de manera que una empresa podría prohibir el uso de SNMP versión 1,pero permitir SNMP versión 3.

La encriptación proporciona protección para los datos susceptibles de ataques de infiltración,crackers de contraseñas o manipulación. Casi todas las empresas tienen transacciones que podríantener consecuencias negativas si las viera un infiltrado. La encriptación garantiza que cuando losdatos confidenciales pasan a través de un medio susceptible de infiltración, no se puedan alterar niobservar. El descifrado es necesario cuando los datos llegan al host de destino.

Un método de encriptación se denomina encriptación sólo de contenido. Este método encripta lasección de contenido (sección de datos) después de un encabezado del Protocolo de datagrama deusuario (UDP) o TCP. Esto permite que los routers y switches del software IOS de Cisco lean lainformación de la capa de red y envíen el tráfico como cualquier otro paquete IP. La encriptaciónsólo de contenido permite que la conmutación del flujo y todas las características de las listas deacceso funcionen con el tráfico encriptado, al igual que lo harían con el tráfico de texto sin cifrar, yasí preservar la calidad de servicio (QoS) deseada de todos los datos.

Ataques de acceso

Los ataques de acceso explotan las vulnerabilidades conocidas de los servicios de autenticación, losservicios de FTP y los servicios Web para obtener acceso a cuentas Web, bases de datos confiden-ciales y otra información confidencial.

Ataques a las contraseñas

Los ataques a las contraseñas pueden implementarse mediante un programa detector de paquetespara proporcionar cuentas de usuarios y contraseñas que se transmiten como texto sin cifrar. Por logeneral, los ataques a las contraseñas hacen referencia a intentos repetidos de conectarse a un recursocompartido, como un servidor o un router, para identificar una cuenta de usuario, una contraseña oambas. Estos intentos repetidos se denominan ataques de diccionario o ataques de fuerza bruta.

Para llevar a cabo un ataque de diccionario, los agresores pueden utilizar herramientas, comoL0phtCrack o Cain. Estos programas intentan conectarse reiteradamente como usuario mediante eluso de palabras incluidas en un diccionario. Los ataques de diccionario suelen ser exitosos, porquelos usuarios tienden a elegir contraseñas sencillas que son palabras cortas, únicas y fáciles de pre-decir, como el agregado del número 1 a una palabra.


Otro método de ataque a las contraseñas utiliza tablas arco iris. Una tabla arco iris es una serie precalculada de contraseñas que se forma creando cadenas de posibles contraseñas de texto sincifrar. Cada cadena se crea a partir de una “conjetura” seleccionada al azar de la contraseña detexto sin cifrar y, a continuación, se aplican variaciones de ésta. El software de ataque aplica lascontraseñas de la tabla de arco iris hasta resolver la contraseña. Para llevar a cabo un ataque contabla de arco iris, los agresores pueden utilizar una herramienta, por ejemplo, L0phtCrack.

Una herramienta de ataque de fuerza bruta es más sofisticada, porque busca, de manera exhaustiva,mediante combinaciones de conjuntos de caracteres, calcular cada contraseña posible formada poresos caracteres. La desventaja es que se necesita más tiempo para llevar a cabo este tipo de ataque.Las herramientas de ataque de fuerza bruta han logrado resolver contraseñas simples en menos deun minuto. Es posible que, para resolver contraseñas más largas y más complejas, se necesiten díaso semanas.

Los ataques a las contraseñas pueden mitigarse si se instruye a los usuarios para que usen con-traseñas complejas y se especifican longitudes mínimas para éstas. Los ataques de fuerza bruta po-drían mitigarse si se restringe la cantidad de intentos de conexión fallidos. Sin embargo, tambiénes posible realizar un ataque de fuerza bruta en línea. Por ejemplo, si un agresor espía una con-traseña encriptada, ya sea infiltrándose o ingresando a un archivo de configuración, podría intentarresolver la contraseña sin estar realmente conectado al host.

Explotación de confianza

El objetivo de un ataque de explotación de confianza es comprometer un host de confianza, me-diante su uso, con el fin de llevar a cabo ataques en otros hosts de una red. Si un host de una red deuna empresa está protegido por un firewall (host interno), pero un host de confianza que se en-cuentra afuera del firewall (host externo) puede obtener acceso a él, el host interno puede ser ata-cado a través del host externo de confianza.

El medio utilizado por los agresores para obtener acceso al host externo de confianza y los detallesde la explotación de confianza no se analizan en este capítulo. Para obtener información acerca dela explotación de confianza, consulte el curso Seguridad de la Red de la Academia de Networking.

Los ataques basados en la explotación de confianza pueden ser mitigados a través de restriccionesestrictas en los niveles de confianza dentro de una red, por ejemplo, las VLAN privadas pueden serimplementadas en segmentos de servidores públicos en los que hay varios servidores públicosdisponibles. Los sistemas que se encuentran dentro de un firewall no pueden confiar en absolutoen los sistemas que se encuentran afuera. Dicha confianza debe limitarse a protocolos específicosy debe ser autenticada por algo más que una dirección IP, siempre que sea posible.

Redirección de puertos

Un ataque de redirección de puertos es un tipo de ataque de explotación de confianza que utiliza unhost comprometido para pasar tráfico a través de un firewall que, de lo contrario, estaría bloqueado.

Considere un firewall con tres interfaces y un host en cada interfaz. El host externo puede llegar alhost que se encuentra en el segmento de servicios públicos, pero no al host interno. Este segmentode acceso público, normalmente, se conoce como zona desmilitarizada (DMZ). El host que se en-cuentra en el segmento de servicios públicos puede llegar al host externo y al interno. Si los agre-sores pudieran comprometer el host que se encuentra en el segmento de servicios públicos, podríaninstalar software para redirigir el tráfico desde el host externo directamente al interno. Si bienninguna comunicación infringe las normas implementadas en el firewall, ahora, el host externo halogrado conectarse con el host interno a través del proceso de redirección de puertos del host deservicios públicos. Un ejemplo de utilidad que puede proporcionar este tipo de acceso es netcat.

La redirección de puertos puede ser mitigada principalmente mediante el uso de modelos de con-fianza adecuados, específicos para la red (como se mencionó anteriormente). Cuando un sistema


es atacado, un sistema de detección de intrusión (IDS) basado en hosts puede ayudar a detectar aun agresor e impedir la instalación de dichas utilidades en un host.

Ataque del hombre en el medio

Los ataques del hombre en el medio (MITM) son realizados por agresores que logran ubicarseentre dos hosts legítimos. El agresor puede permitir que se realicen transacciones normales entrehosts, y manipular la conversación entre ambos sólo periódicamente.

Hay muchas maneras en las que un agresor puede ubicarse entre dos hosts. Los detalles de estosmétodos se encuentran fuera del alcance de este curso, pero una breve descripción de un métodopopular, el proxy transparente, ayuda a ejemplificar la naturaleza de los ataques MITM.

En el caso de un ataque mediante un proxy transparente, un agresor puede encontrar a una víctimamediante un correo electrónico de suplantación de identidad o alterando un sitio Web. Entonces, laURL de un sitio Web legítimo tiene la URL de los agresores añadida delante de ella (anexada alprincipio). Por ejemplo, http:www.legitimate.com se convierte en http:www.attacker.com/http://www.legitimate.com.

Paso 1. Cuando una víctima solicita una página Web, el host de la víctima realiza la solicitud alhost del agresor.

Paso 2. El host del agresor recibe la solicitud y busca la página verdadera en el sitio Web legítimo.

Paso 3. El agresor puede modificar la página Web legítima y aplicar las transformaciones a losdatos que deseen realizar.

Paso 4. El agresor envía la página solicitada a la víctima.

Otros tipos de ataques MITM son potencialmente aun más perjudiciales. Si los agresores lograncolocarse en una posición estratégica, pueden robar información, apropiarse de una sesión en cursopara obtener acceso a recursos de redes privadas, llevar a cabo ataques de DoS, dañar los datostransmitidos o introducir nuevos datos en las sesiones de la red.

La mitigación de los ataques MITM de la WAN se logra utilizando túneles VPN, lo que permiteque el agresor vea sólo el texto encriptado, indescifrable. Los ataques MITM de la LAN utilizanherramientas tales como ettercap y envenenamiento ARP. Por lo general, la mayor parte de la miti-gación de ataques MITM de la LAN se puede reducir configurando la seguridad de los puertos delos switches de la LAN.

Ataques de DoS

Son la forma más promocionada de ataques y también están entre los más difíciles de eliminar. In-cluso dentro de la comunidad de agresores, los ataques de DoS son clasificados como triviales y seconsideran de mal gusto, porque requieren muy poco esfuerzo para su ejecución. No obstante, de-bido a su fácil implementación y al daño potencialmente significativo, los ataques de DoS merecenespecial atención de los administradores de seguridad.

Los ataques de DoS adoptan muchas formas. En definitiva, impiden que las personas autorizadasutilicen un servicio consumiendo recursos del sistema. A continuación, se incluyen algunos ejem-plos de amenazas DoS comunes:

Haga clic en el botón Ping de la muerte de la figura.

Los ataques de ping de la muerte cobraron popularidad hacia fines de la década de 1990.Aprovecharon las vulnerabilidades de los sistemas operativos más antiguos. Estos ataques modifi-caron la parte IP de un encabezado de paquete de ping para indicar que hay más datos en el pa-quete de los que realmente había. Un ping normalmente tiene de 64 a 84 bytes, mientras que unode la muerte podría tener hasta 65 536 bytes. Enviar un ping de este tamaño puede colapsar una


computadora objetivo más antigua. La mayoría de las redes ya no son susceptibles de sufrir estetipo de ataque.

Haga clic en el botón Saturación SYN de la figura.

Un ataque de saturación SYN explota el protocolo de enlace de tres vías TCP. Implica enviar va-rias peticiones de SYN (más de 1000) a un servidor objetivo. El servidor responde con la respuestahabitual SYN-ACK, pero el host malicioso nunca responde con el ACK final para terminar el pro-tocolo de enlace. Esto paraliza el servidor hasta que finalmente se queda sin recursos y no puederesponder a un pedido válido de host.

Los otros tipos de ataques DoS incluyen:

■ Bombas de correo electrónico: los programas envían mensajes de correo electrónico masivo apersonas, listas o dominios, y monopolizan los servicios de correo electrónico.

■ Applets maliciosos: son los programas Java, JavaScript o ActiveX que destruyen o paralizanlos recursos informáticos.

Ataques DDos

Los ataques de DoS distribuida (DDoS) están diseñados para saturar los enlaces de la red condatos legítimos. Estos datos pueden sobrecargar un enlace de Internet y hacer que el tráfico legí-timo sea descartado. DDoS utiliza métodos de ataque similares a los ataques DoS estándar, peroopera a una escala mucho mayor. Generalmente, cientos o miles de puntos de ataque intentan satu-rar un objetivo.

Haga clic en el botón DDoS de la figura.

Por lo general, un ataque DDoS tiene tres componentes.

■ Hay un Cliente que habitualmente es una persona que lanza el ataque.

■ Un Manipulador es un host comprometido que está ejecutando el programa del agresor y cadaManipulador es capaz de controlar varios Agentes.

■ Un Agente es un host comprometido que ejecuta el programa del agresor y es responsable degenerar un flujo de paquetes que se dirige hacia la víctima deseada.

Entre los ejemplos de ataques DDoS se pueden mencionar los siguientes:

■ Ataque SMURF

■ Red de saturación grupal (TFN)

■ Stacheldraht

■ MyDoom

Haga clic en el botón Ataque Smurf de la figura.

Los ataques Smurf utilizan mensajes ping de broadcast suplantados para saturar un sistema obje-tivo. Comienza cuando un agresor envía una gran cantidad de peticiones de eco ICMP a la direc-ción de broadcast de la red desde direcciones IP de origen suplantadas válidas. Un router podríaejecutar la función broadcast de Capa 3 a broadcast de Capa 2, la mayoría de los hosts respondeuno por uno con una respuesta de eco ICMP, lo cual multiplica el tráfico por la cantidad de hostsque respondan. En una red multiacceso de broadcast, potencialmente podría haber cientos demáquinas que contesten a cada paquete de eco.

Por ejemplo, suponga que la red tiene 100 hosts y que el agresor tiene un enlace T1 de alto rendi-miento. El agresor envía un flujo de 768 kbps de paquetes de solicitud de eco ICMP con una


dirección origen suplantada de la víctima a la dirección de broadcast de una red objetivo (denomi-nada sitio de rebote). Estos paquetes de pings llegan al sitio de rebote de la red de broadcast de100 hosts, y cada uno lleva el paquete y responde a él, lo que crea 100 respuestas de ping de sa-lida. Se utiliza un total de 76.8 megabits por segundo (Mbps) de ancho de banda hacia afueradesde el sitio de rebote después que el tráfico se multiplica. A continuación, esto se envía a la víc-tima o al origen suplantado de los paquetes que se originen.

La desactivación de la capacidad de broadcast dirigido de la infraestructura de la red impide que lared sea utilizada como sitio de rebote. La capacidad de broadcast dirigida viene desactivada demanera predeterminada en el software IOS de Cisco desde la versión 12.0.

Los ataques de DoS y DDoS pueden ser mitigados implementando listas de control de acceso es-peciales contra la suplantación y contra la DoS. Los ISP también pueden implementar una veloci-dad del tráfico que limite la cantidad de tráfico no fundamental que atraviesa los segmentos de lared. Un ejemplo común consiste en limitar la cantidad de tráfico de ICMP cuyo ingreso está per-mitido en una red, porque este tráfico se utiliza sólo a los fines de realizar diagnósticos.

Los detalles del funcionamiento de estos ataques exceden el alcance de este curso. Para obtener in-formación, consulte el curso Seguridad de la Red de la Academia de Networking.

Ataques de código malicioso

Las principales vulnerabilidades de las estaciones de trabajo de los usuarios finales son los ataquesde gusanos, virus y caballos de Troya.

Un gusano ejecuta un código e instala copias de sí mismo en la memoria de la computadora infec-tada, lo que, a su vez, puede infectar a otros hosts.

Un virus es software malicioso asociado a otro programa, con el propósito de ejecutar una funciónparticular no deseada en una estación de trabajo.

Un caballo de Troya es distinto de un gusano o de un virus sólo en el sentido de que toda la aplicaciónfue escrita para que tenga la apariencia de otra cosa, cuando en realidad es una herramienta de ataque.

Gusano

La anatomía de un ataque de un gusano es la siguiente:

■ La vulnerabilidad que lo hace posible: un gusano se instala a sí mismo explotando lasvulnerabilidades conocidas de los sistemas, como usuarios finales ingenuos que abrenarchivos adjuntos ejecutables no verificados de correos electrónicos.

■ Mecanismo de propagación: tras obtener acceso a un host, un gusano se copia a sí mismo endicho host y, a continuación, selecciona nuevos objetivos.

■ Contenido: una vez que el host está infectado con un gusano, el agresor obtiene acceso alhost, frecuentemente como usuario privilegiado. Los agresores podrían utilizar unaexplotación local para elevar su nivel de privilegio al de administrador.

Por lo general, los gusanos son programas independientes que atacan un sistema e intentan ex-plotar una vulnerabilidad específica del objetivo. Si se logra explotar correctamente la vulnerabili-dad, el gusano copia su programa del host agresor al sistema recientemente explotado paracomenzar nuevamente el ciclo. En enero de 2007, un gusano infectó la popular comunidad My-Space. Los usuarios que no sospecharon facilitaron la propagación del gusano, que comenzó a re-producirse a sí mismo en los sitios de los usuarios con la alteración “w0rm.EricAndrew”.

Para mitigar los ataques de gusanos, se requiere agilidad por parte del personal de administracióndel sistema y de la red. La coordinación entre el personal de administración del sistema, de ingeniería de la red y de las operaciones de seguridad es fundamental para responder con eficacia a


un incidente ocasionado por un gusano. Se recomienda llevar a cabo los siguientes pasos para mi-tigar los ataques de gusanos:

■ Contención: contener la propagación del gusano en la red y dentro de ella. Compartimentarlas partes no infectadas de la red.

■ Inoculación: comenzar a colocar parches en todos los sistemas y, si fuera posible, buscarsistemas vulnerables.

■ Cuarentena: realizar un seguimiento de cada máquina infectada dentro de la red.Desconectar, quitar o bloquear las máquinas infectadas de la red.

■ Tratamiento: limpiar y colocar parches en cada uno de los sistemas infectados. Es posible quealgunos gusanos requieran reinstalar todo el sistema central para limpiar el sistema.

Virus y caballos de Troya

Un virus es software malicioso asociado a otro programa para ejecutar una función particular nodeseada en una estación de trabajo. Un ejemplo es un programa asociado a command.com (el in-térprete principal de los sistemas de Windows) y elimina determinados archivos e infecta lasdemás versiones de command.com que puede encontrar.

Un caballo de Troya es distinto sólo en el sentido de que toda la aplicación fue escrita para que tengala apariencia de otra cosa, cuando en realidad es una herramienta de ataque. Un ejemplo de caballo deTroya es una aplicación de software que ejecuta un juego sencillo en una estación de trabajo. Mientrasque el usuario está ocupado con el juego, el caballo de Troya envía por correo una copia de sí mismo acada dirección de la libreta de direcciones del usuario. Los otros usuarios reciben el juego y lo ejecu-tan y, de esa manera, propagan el caballo de Troya a las direcciones de cada libreta de direcciones.

Por lo general, un virus requiere un mecanismo de entrega, un vector, como puede ser un archivocomprimido o algún otro archivo ejecutable adjunto a un correo electrónico para transportar el código del virus de un sistema a otro. El elemento clave que distingue un gusano informático deun virus informático es que, para la propagación de un virus, se necesita interacción humana.

Estos tipos de aplicaciones pueden ser contenidos a través del uso eficaz de software antivirus anivel del usuario y, potencialmente, a nivel de la red. El software antivirus puede detectar la mayo-ría de los virus y muchas aplicaciones de caballos de Troya e impedir su propagación en la red.Estar actualizado en materia de las últimas evoluciones de estos tipos de ataques también puedeayudar a adoptar una postura más eficaz respecto de estos ataques. A medida que se lanzan nuevasaplicaciones de virus o caballos de Troya, las empresas necesitan mantenerse actualizadas con las últimas versiones de software antivirus.

Sub7, o subseven, es un caballo de Troya común que instala un programa de puerta trasera en lossistemas de los usuarios. Es muy común, tanto en el caso de los ataques estructurados como en elde los no estructurados. Como amenaza no estructurada, los agresores sin experiencia pueden uti-lizar el programa para hacer desaparecer los cursores del mouse. Como amenaza estructurada, loscrackers pueden utilizarlo para instalar capturadores de pulsaciones (programas que registran todaslas pulsaciones de teclas de los usuarios) para capturar información confidencial.

4.1.4 Técnicas generales de mitigaciónSeguridad basada en hosts y en servidores

Aseguramiento de dispositivos

Cuando se instala un nuevo sistema operativo en una computadora, la configuración de seguridadse establece en los valores predeterminados. En la mayoría de los casos, este nivel de seguridad


no es apropiado. Se deben adoptar algunos pasos sencillos, que se aplican a todos los sistemasoperativos:

■ Los nombres de usuario y las contraseñas predeterminados deben cambiarse de inmediato.

■ Se debe restringir el acceso a los recursos del sistema exclusivamente a las personasautorizadas para utilizar esos recursos.

■ Se deben desconectar y desinstalar los servicios y las aplicaciones innecesarios, siempre quesea posible.

En la Sección 4.2 “Protección de los routers Cisco”, se describe el aseguramiento de los disposi-tivos en forma más detallada.

Es fundamental proteger los hosts de la red, como las PC y los servidores de la estación de trabajo.Estos hosts deben asegurarse cuando se agregan a la red, y deben actualizarse con parches de se-guridad, a medida que estas actualizaciones estén disponibles. Se pueden adoptar pasos adi-cionales para asegurar estos hosts. Los antivirus, firewalls y la detección de intrusiones sonherramientas valiosas que se pueden utilizar para asegurar los hosts de la red. Dado que muchosrecursos de la empresa pueden estar contenidos en un único servidor de archivos, es particular-mente importante que se pueda acceder a los servidores y que estén disponibles.

Software antivirus

Instale software antivirus de host para protegerse contra virus conocidos. El software antiviruspuede detectar la mayoría de los virus y muchas aplicaciones de caballos de Troya e impedir su propagación en la red.

El software antivirus hace esto de dos maneras:

■ Escanea archivos y compara su contenido con virus conocidos en un diccionario de virus. Lascoincidencias se marcan de una manera definida por el usuario final.

■ Controla los procesos sospechosos que se ejecutan en un host que podrían ser indicativos de lapresencia de una infección. Este control podría incluir capturas de datos, monitoreo de puertosy otros métodos.

La mayoría del software antivirus comercial utiliza estos dos enfoques.

Haga clic en el botón Antivirus de la figura.

Actualice el software antivirus prestando mucha atención.

Firewall personal

Las PC conectadas a Internet mediante una conexión dialup, DSL o cable módem son tan vulnera-bles como las redes empresariales. Los firewalls personales residen en la PC del usuario e intentanimpedir ataques. Los firewalls personales no están diseñados para las implementaciones de laLAN, como firewalls basados en aplicaciones o basados en servidores, y pueden impedir el accesoa la red si se instalan con otros clientes, servicios, protocolos o adaptadores de networking.

Haga clic en el botón Firewalls personales de la figura.

Algunos de los proveedores de software de firewalls personales incluyen McAfee, Norton, Syman-tec y Zone Labs.


Parches para sistemas operativos

La forma más eficaz de mitigar un gusano y sus variantes es descargar las actualizaciones de segu-ridad del proveedor del sistema operativo e instalar parches en todos los sistemas vulnerables. Esdifícil en el caso de sistemas de usuarios no controlados de la red local, y es aun más problemáticosi estos sistemas están conectados de manera remota a la red mediante una red privada virtual(VPN) o un servidor de acceso remoto (RAS). La administración de varios sistemas implica la creación de una imagen estándar del software (sistema operativo y aplicaciones reconocidas cuyouso está autorizado en sistemas cliente implementados) que se implementa en sistemas nuevos oactualizados. Es posible que estas imágenes no contengan los últimos parches, y el proceso de vol-ver a crear la imagen continuamente para integrar el parche más reciente puede convertirse rápida-mente en una tarea que demanda mucho tiempo desde un punto de vista administrativo. Colocarparches en todos los sistemas requiere que dichos sistemas estén de alguna manera conectados a lared, lo que puede no ser posible.

Una solución a la administración de parches de seguridad críticos consiste en crear un servidorcentral de parches con el cual todos los sistemas deben comunicarse después de un período deter-minado. Los parches que no se aplican a un host se descargan automáticamente del servidor deparches y se instalan sin la intervención del usuario.

Además de realizar actualizaciones de seguridad desde el proveedor del SO, la determinación dequé servicios se pueden explotar puede ser simplificada por el uso de herramientas de auditoría de seguridad que buscan vulnerabilidades.

Haga clic en el botón Parches de SO de la figura.

Detección y prevención de intrusiones

Los sistemas de detección de intrusión (IDS) detectan ataques contra una red y envían registros a unaconsola de administración. Los sistemas de prevención de intrusión (IPS) impiden ataques contra lared y deben proporcionar los siguientes mecanismos activos de defensa además de la detección:

■ Prevención: impide la ejecución del ataque detectado.

■ Reacción: inmuniza el sistema contra ataques futuros de origen malicioso.

Cada tecnología puede ser implementada a nivel de la red o a nivel del host, o a ambos nivelespara brindar máxima protección.

Sistemas de detección de intrusión basada en hosts

Por lo general, la intrusión basada en hosts se implementa como tecnología de línea interna o pa-siva, según el proveedor.

La tecnología pasiva, que fue la tecnología de primera generación, se denomina sistema de detec-ción de intrusión basada en hosts (HIDS). HIDS envía registros a una consola de administraciónuna vez que se produjo el ataque y se provocó el daño.

La tecnología de línea interna, denominada sistema de prevención de intrusión basada en hosts(HIPS), realmente detiene el ataque, impide el daño y bloquea la propagación de gusanos y virus.

La detección activa puede configurarse para apagar la conexión de la red o para detener los servi-cios afectados automáticamente. Se pueden tomar medidas correctivas inmediatamente. Cisco pro-porciona HIPS mediante el software del agente de seguridad de Cisco.

El software del HIPS debe ser instalado en cada host, ya sea el servidor o la pc de escritorio, para con-trolar las actividades realizadas en el host y en contra de éste. Este software se denomina softwareagente. El software agente realiza el análisis de la detección y la prevención de intrusión. El soft-ware agente también envía registros y alertas a un servidor centralizado de política/administración.


La ventaja del HIPS es que puede controlar los procesos del sistema operativo y proteger los recur-sos críticos del sistema, incluidos los archivos que pueden existir sólo en ese host específico. Estosignifica que puede notificar a los administradores de la red cuando un proceso externo intentamodificar un archivo del sistema para incluir un programa oculto de puerta trasera.

La figura ejemplifica una implementación típica del HIPS. Los agentes se instalan en los servidoresde acceso público y en los servidores empresariales de correo y de aplicaciones. El agente denunciaeventos a un servidor de consola central ubicado en el interior del firewall corporativo. Como alter-nativa, los agentes del host pueden enviar registros como correo electrónico a un administrador.

Aplicaciones y dispositivos de seguridad comunes

La seguridad es un aspecto primordial que se debe tener en cuenta al planificar una red. En elpasado, el único dispositivo que se tenía en cuenta con respecto a la seguridad de la red era el fire-wall. El firewall, por sí solo, ya no es apropiado para garantizar la seguridad de la red. Se requiereun enfoque integrado que incluya un firewall, prevención de intrusión y VPN.

Un enfoque integrado en cuanto a la seguridad (además de los dispositivos necesarios para lo-grarla) respeta los siguientes bloques básicos:

Control de amenazas: regula el acceso a la red, aísla los sistemas infectados, previene intrusionesy protege los bienes al contrarrestar el tráfico malicioso, como los gusanos y los virus. Los siguien-tes dispositivos proporcionan soluciones para el control de amenazas:

■ Aplicaciones de seguridad adaptables ASA de la serie 5500 de Cisco

■ Routers de servicios integrados (ISR)

■ Control de admisión a la red

■ Agente de seguridad de Cisco para equipos de escritorio

■ Sistemas de prevención de intrusión de Cisco

Comunicaciones seguras: asegura los extremos de la red con VPN. Los dispositivos que permitenque una organización implemente una VPN son los routers ISR Cisco con la solución de VPN delIOS de Cisco, los dispositivos de la serie ASA 5500 de Cisco y los switches Catalyst 6500 de Cisco.

Control de admisión a la red (NAC): proporciona un método basado en funciones que impideel acceso no autorizado a una red. Cisco ofrece una aplicación de NAC.

El Software IOS de Cisco de los Routers de servicios integrados (ISR) de Cisco

Cisco proporciona muchas de las medidas de seguridad necesarias para los clientes dentro del soft-ware IOS de Cisco. El software IOS de Cisco cuenta con el Firewall IOS de Cisco, IPsec, VPN deSSL y servicios de IPS.

Aplicación de seguridad adaptable ASA de la serie 5500 de Cisco

En un momento, el firewall PIX era el único dispositivo que una red segura podía implementar. ElPIX evolucionó hasta convertirse en una plataforma que integra muchas características de seguri-dad diferentes, denominada Aplicación de seguridad adaptable (ASA) de Cisco. El ASA de Ciscocuenta con un firewall, seguridad de voz, VPN de SSL e IPsec, IPS y servicios de seguridad decontenidos en un solo dispositivo.

Sensores IPS de la serie 4200 de Cisco

En las redes más grandes, los sensores IPS de la serie 4200 de Cisco proporcionan un sistema deprevención de intrusiones de línea interna. Este sensor identifica, clasifica y detiene el tráfico mali-cioso de la red.


Aplicación de NAC de Cisco

La aplicación de NAC de Cisco utiliza la infraestructura de la red para hacer cumplir la política deseguridad respecto de todos los dispositivos que intentan obtener acceso a los recursos informáti-cos de la red.

Agente de seguridad de Cisco (CSA)

El software del Agente de seguridad de Cisco ofrece capacidades de protección contra amenazaspara sistemas informáticos de servidor, escritorio y punto de servicio (POS). CSA defiende estossistemas contra ataques planificados, spyware, rootkits y ataques de día cero.

La cobertura exhaustiva de estas aplicaciones excede el alcance de este curso. Consulte el CCNPpara obtener más información sobre los cursos: Implementación de redes seguras y convergentesde área amplia y Seguridad de la red 1 y 2.

4.1.5 La rueda de seguridad de la redLa mayoría de los incidentes de seguridad se producen porque los administradores de sistemas noimplementan las medidas correctivas disponibles, y los agresores o los empleados descontentosexplotan el descuido. Por lo tanto, el problema no es solamente confirmar la existencia de una vul-nerabilidad técnica y encontrar una medida correctiva que funcione, también es fundamental veri-ficar que dicha medida se implemente y funcione correctamente.

Para ayudar en el cumplimiento de una política de seguridad, la Rueda de seguridad, un procesocontinuo, ha demostrado ser un enfoque eficaz. La Rueda de seguridad promueve la repetición delas pruebas y de la aplicación de medidas de seguridad actualizadas continuamente.

Para comenzar con el proceso de la Rueda de seguridad, en primer lugar, desarrolle una política de seguridad que permita la aplicación de medidas de seguridad. Una política de seguridad tienelas siguientes funciones:

■ Identificar los objetivos de seguridad de la organización.

■ Documentar los recursos que se deben proteger.

■ Identificar la infraestructura de la red con mapas e inventarios actuales.

■ Identificar los recursos críticos que deben protegerse, como recursos de investigación ydesarrollo, financieros y humanos. Esto se denomina análisis de riesgo.

La política de seguridad es el hub en el cual se basan los cuatro pasos de la Rueda de seguridad.Los pasos son asegurar, controlar, probar y mejorar.

Paso 1: Asegurar

Asegurar la red mediante la aplicación de la política de seguridad y de las siguientes soluciones deseguridad:

■ Defensa contra amenazas

■ Inspección con estado y filtrado de paquetes: filtre el tráfico de la red para permitirsolamente tráfico y servicios válidos.

Nota: La inspección con estado hace referencia a un firewall que mantiene la información del es-tado de una conexión en una tabla de estados, a fin de que pueda reconocer los cambios en laconexión que podrían indicar que un agresor está intentando apropiarse de una sesión o manipularuna conexión.


■ Sistemas de prevención de intrusión: impleméntelos a nivel de la red y del host para detenerel tráfico malicioso en forma activa.

■ Parches para vulnerabilidades: aplique modificaciones o medidas para detener la explotaciónde las vulnerabilidades conocidas.

■ Desactivación de los servicios innecesarios: cuanto menor sea la cantidad de serviciosactivados, más difícil será para los agresores obtener acceso.

Conectividad segura

■ VPN: encripte el tráfico de la red para impedir la divulgación no deseada a personas noautorizadas o maliciosas.

■ Confianza e identidad: implemente restricciones estrictas sobre los niveles de confianzadentro de una red. Por ejemplo, los sistemas que se encuentran dentro de un firewall nopueden confiar completamente en los sistemas que se encuentran fuera de un firewall.

■ Autenticación: proporcione acceso sólo a los usuarios autorizados. Un ejemplo de esto es eluso de contraseñas que se pueden utilizar por única vez.

■ Cumplimiento de políticas: asegúrese de que los usuarios y los dispositivos finales cumplancon la política de la empresa.

Paso 2: Controlar

Controlar la seguridad involucra métodos activos y pasivos de detectar violaciones de seguridad.El método activo más utilizado es la auditoría de los archivos de registro a nivel del host. La mayo-ría de los sistemas operativos incluyen la función de auditoría. Los administradores de sistemasdeben activar el sistema de auditoría para cada uno de los hosts de la red y tomarse el tiempo nece-sario para controlar e interpretar las entradas de los archivos de registro.

Entre los métodos pasivos se encuentra el uso de dispositivos IDS para detectar intrusiones au-tomáticamente. Este método requiere menos atención por parte de los administradores de seguri-dad de la red que los métodos activos. Estos sistemas pueden detectar violaciones a la seguridad entiempo real y se pueden configurar para responder automáticamente antes de que un intrusoprovoque daños.

Un beneficio adicional del control de la red es la verificación de que las medidas de seguridadimplementadas en el paso 1 de la Rueda de seguridad se hayan configurado y estén funcionandocorrectamente.

Paso 3: Probar

En la fase de pruebas de la Rueda de seguridad, las medidas de seguridad se someten a pruebas demanera proactiva. Particularmente, se verifica la funcionalidad de las soluciones de seguridad im-plementadas en el paso 1 y los métodos de auditoría y detección de intrusión del sistema imple-mentados en el paso 2. Las herramientas de evaluación de las vulnerabilidades, como SATAN,Nessus o Nmap son útiles para probar las medidas de seguridad de la red periódicamente a nivelde la red o del host.

Paso 4: Mejorar

La fase de mejoras de la Rueda de seguridad implica el análisis de los datos recopilados durantelas fases de control y de prueba. Este análisis contribuye al desarrollo y a la implementación demecanismos de mejoras que intensifican la política de seguridad y tiene como consecuencia la adi-ción de ítems al paso 1. Para mantener una red lo más segura posible, el ciclo de la Rueda de


seguridad debe repetirse continuamente, porque todos los días aparecen nuevas vulnerabilidades yriesgos en la red.

Con la información compilada a partir de las fases de control y de pruebas, los IDS pueden ser uti-lizados para implementar mejoras a la seguridad. La política de seguridad debe modificarse a me-dida que se descubren nuevas vulnerabilidades y nuevos riesgos.

4.1.6 La política de seguridad de la empresa¿Qué es una política de seguridad?

Una política de seguridad es un conjunto de pautas establecidas para proteger a la red de losataques, ya sean desde el interior o desde el exterior de una empresa. Para elaborar una política sedebe comenzar por formular preguntas. ¿De qué manera la red ayuda a la organización a lograr suvisión, su misión y su plan estratégico? ¿Cuáles son las implicaciones que tienen los requisitos de la empresa en la seguridad de la red y de qué manera esos requisitos se traducen en la compra deequipos especializados y en las configuraciones que se cargan en los dispositivos?

Una política de seguridad favorece a una organización de las siguientes maneras:

■ Proporciona un medio para auditar la seguridad actual de la red y compara los requisitos conlo que se encuentra instalado.

■ Planifica mejoras de seguridad, incluidos equipos, software y procedimientos.

■ Define las funciones y las responsabilidades de los ejecutivos, administradores y usuarios dela empresa.

■ Define qué comportamientos están permitidos y cuáles no.

■ Define un proceso para manejar los incidentes de seguridad de la red.

■ Permite la implementación y el cumplimiento de la seguridad global al funcionar como normaentre los sitios.

■ Crea una base para fundar acciones legales, en caso de ser necesario.

Una política de seguridad es un documento dinámico, en el sentido de que se trata de un docu-mento que nunca está terminado y que se actualiza constantemente con los cambios operados enlos requisitos de la tecnología y de los empleados. Actúa como puente entre los objetivos de ad-ministración y los requisitos específicos de la seguridad.

Funciones de una política de seguridad

Una política de seguridad integral cumple las siguientes funciones esenciales:

■ Protege a las personas y a la información

■ Establece las normas de comportamiento esperado de los usuarios, de los administradores desistemas, de la dirección y del personal de seguridad

■ Autoriza al personal de seguridad a realizar controles, sondeos e investigaciones

■ Define y autoriza las consecuencias de las violaciones

La política de seguridad es para todos, incluso para los empleados, contratistas, proveedores yclientes que tienen acceso a la red. Sin embargo, debe tratar a cada uno de estos grupos de maneradiferente. A cada grupo sólo se le debe mostrar la parte de la política correspondiente a su trabajoy a su nivel de acceso a la red.


Por ejemplo, no siempre es necesario dar una explicación de por qué se hace algo. Puede suponerque el personal técnico ya sabe por qué se incluye un requisito particular. Es probable que los di-rectivos no estén interesados en los aspectos técnicos de un requisito particular; ellos puedenquerer sólo una descripción general de alto nivel o el principio en el cual se basa el requisito. Sinembargo, cuando los usuarios finales conocen la razón por la que se incluyó un control particularde seguridad, es más probable que respeten la política. Por lo tanto, seguramente un documento nova a satisfacer las necesidades de toda la audiencia de una organización grande.

Componentes de una política de seguridad

El Instituto SANS (http://www.sans.org) proporciona pautas desarrolladas con la colaboración deuna cantidad de empresas líderes de la industria, incluida Cisco, para desarrollar políticas de se-guridad integrales para pequeñas y grandes organizaciones. No todas las organizaciones necesitantodas estas políticas.

A continuación, se describen las políticas de seguridad generales que pueden ser invocadas poruna organización:

■ Declaración de autoridad y alcance: define qué persona dentro de la organización propone lapolítica de seguridad, quién es responsable de implementarla y qué áreas están contempladaspor la política.

■ Política de uso aceptable (AUP): define el uso aceptable de los equipos y serviciosinformáticos y las medidas de seguridad de los empleados adecuadas para proteger los recursos corporativos y la información confidencial de la organización.

■ Política de identificación y autenticación: define qué tecnologías usa la empresa paragarantizar que sólo el personal autorizado obtenga acceso a sus datos.

■ Política de acceso a Internet: define qué es lo que la empresa tolera y lo que no tolera conrespecto al uso de su conectividad a Internet por parte de empleados e invitados.

■ Política de acceso al campus: define el uso aceptable de los recursos tecnológicos del campuspor parte de los empleados y de los invitados.

■ Política de acceso remoto: define la forma en la que los usuarios remotos pueden utilizar lainfraestructura de acceso remoto de la empresa.

■ Procedimiento para el manejo de incidentes: especifica quién responde ante incidentes deseguridad y cómo se deben manejar.

Además de estas secciones clave de políticas de seguridad, otras que pueden ser necesarias en de-terminadas organizaciones incluyen:

■ Política de solicitud de acceso a las cuentas: formaliza el proceso de solicitud de cuentas yde acceso dentro de la organización. Los usuarios y los administradores de sistemas que nocumplen los procesos estándar de solicitudes de cuentas y de acceso pueden dar lugar al iniciode acciones legales contra la organización.

■ Política de evaluación de adquisiciones: define las responsabilidades respecto de lasadquisiciones de la empresa y los requisitos mínimos de las evaluaciones de adquisiciones queel grupo de seguridad de la información debe llevar a cabo.

■ Política de auditoría: define las políticas de auditoría para garantizar la integridad de lainformación y de los recursos. Incluye un proceso para investigar incidentes, garantizar el cumplimiento de las políticas de seguridad y controlar la actividad de los usuarios y delsistema donde corresponda.


■ Política de confidencialidad de la información: define los requisitos necesarios paraclasificar y asegurar la información de la manera correspondiente en cuanto a su nivel deconfidencialidad.

■ Política de contraseñas: define las normas para crear, proteger y modificar contraseñassólidas.

■ Política de evaluación de riesgos: define los requisitos y otorga la facultad al equipo deseguridad de la información a identificar, evaluar y subsanar riesgos de la infraestructura de lainformación asociados con la conducción de los negocios.

■ Política global de servidores Web: define las normas exigidas por todos los hosts Web.

Con el uso generalizado del correo electrónico, es posible que una organización también deseetener políticas específicamente relacionadas con el correo electrónico, como:

■ Política de correos electrónicos enviados automáticamente: documenta la política querestringe el envío automático de correos electrónicos a un destino externo sin aprobaciónprevia del gerente o director que corresponda.

■ Política de correo electrónico: define las normas relativas al contenido a fin de impedir que semanche la imagen pública de la organización.

■ Política de spam: define cómo denunciar y tratar el spam.

Las políticas de acceso remoto podrían incluir:

■ Política de acceso telefónico: define el acceso telefónico adecuado y su uso por personalautorizado.

■ Política de acceso remoto: define las normas para conectarse a la red de la organización desdecualquier host o red externos a la organización.

■ Política de seguridad de las VPN: define los requisitos de las conexiones de las VPN a la redde la organización.

Debe observarse que los usuarios que desafían o infringen las reglas de una política de seguridadpueden ser sometidos a medidas disciplinarias, que incluyen la rescisión del contrato de trabajo.

Página de actividades

4.2 Protección de los routers Cisco4.2.1 Problemas con la seguridad de los routersLa función de los routers en la seguridad de la red

Usted sabe que puede crear una LAN mediante la conexión de dispositivos con switches básicosde la LAN de Capa 2. A continuación, puede utilizar un router para enrutar el tráfico entre las diferentes redes según direcciones IP de Capa 3.

La seguridad de los routers es un elemento crítico de las implementaciones de seguridad. Losrouters son objetivos definidos de los agresores de las redes. Si un agresor puede comprometer yobtener acceso a un router, puede ser una ayuda potencial para ellos. Conocer las funciones quecumplen los routers en la red le ayudará a comprender sus vulnerabilidades.


Los routers cumplen las siguientes funciones:

■ Publicar las redes y filtrar a quienes pueden utilizarlas.

■ Proporcionar acceso a los segmentos de las redes y a las subredes.

Los routers son objetivos

Dado que los routers proporcionan gateways a otras redes, son objetivos obvios y están sujetos auna diversidad de ataques. A continuación, se dan algunos ejemplos de los diversos problemas deseguridad:

■ El compromiso del control de acceso puede exponer los detalles de configuración de la red y,de este modo, se facilita la concreción de ataques contra otros componentes de la red.

■ El compromiso de las tablas de enrutamiento puede disminuir el rendimiento, denegar losservicios de comunicación de la red y exponer información confidencial.

■ La configuración incorrecta de un filtro de tráfico del router puede exponer los componentesinternos de la red a escaneos y ataques, lo que ayuda a los agresores a evitar su detección.

Los agresores pueden comprometer a los routers de diferentes maneras, de modo que no hay unenfoque que los administradores puedan utilizar para combatirlos. Las maneras en las que losrouters pueden ser comprometidos son similares a los tipos de ataques que aprendió anteriormenteen este capítulo, incluidos los ataques de explotación de confianza, suplantación de identidad deIP, apropiación de sesiones y ataques MITM.

Nota: Esta sección se centra en la protección de los routers. La mayoría de las mejores prácticasanalizadas también se pueden utilizar para proteger los switches. Sin embargo, esta sección nocontempla las amenazas de Capa 2, como los ataques de flooding de direcciones MAC y ataquesde STP, porque están contemplados en CCNA Exploration: Conmutación y transmisión inalám-brica de LAN.

Protección de su red

La protección de los routers que se encuentran dentro del perímetro de la red es un primer pasoimportante para protegerla.

Piense en la seguridad de los routers en función de las siguientes categorías:

■ Seguridad física

■ Actualización del IOS de los routers cuando sea conveniente

■ Copia de seguridad de la configuración y del IOS de los routers

■ Aseguramiento del router para eliminar el abuso potencial de los puertos y servicios noutilizados

Para proporcionar seguridad física, ubique el router en un cuarto cerrado con llave, donde sólopueda ingresar personal autorizado. Asimismo, dicho cuarto no debe tener interferencia elec-trostática ni magnética y debe tener controles de temperatura y humedad. Para disminuir la posi-bilidad de DoS debido a una falla de alimentación, instale una fuente de energía ininterrumpible(UPS) y mantenga los componentes de repuesto disponibles.

Los dispositivos físicos utilizados para conectarse al router se deben guardar en un local cerradocon llave, o deben permanecer en poder de una persona de confianza para que no se vean compro-metidos. Un dispositivo que se deja al aire libre podría tener troyanos o algún otro tipo de archivoejecutable almacenado en él.


Provea al router de la máxima cantidad de memoria posible. La disponibilidad de memoria puedeservir como protección contra algunos ataques DoS, mientras que admite la gama más amplia de servicios de seguridad.

Las características de seguridad de un sistema operativo evolucionan con el tiempo. Sin embargo,la última versión de un sistema operativo puede no ser la versión más estable disponible. Paraobtener el mejor rendimiento de la seguridad de su sistema operativo, utilice la versión estable másreciente que cumpla los requisitos de las características de su red.

Debe tener siempre una copia de seguridad de una configuración y el IOS a mano para el caso deque se produzca una falla en un router. Mantenga una copia segura de la imagen del sistema opera-tivo del router y del archivo de configuración del router en un servidor TFTP como respaldo.

Asegure el router para hacerlo tan seguro como sea posible. Un router tiene muchos servicios acti-vados de forma predeterminada. Muchos de estos servicios son innecesarios y pueden ser utiliza-dos por un agresor para compilar o explotar información. Debe asegurar la configuración de surouter mediante la desactivación de los servicios innecesarios.

4.2.2 Aplicación de las características de seguridad delIOS de Cisco a los routersAntes de configurar las características de seguridad del router, debe planificar todos los pasos de laconfiguración de seguridad del IOS de Cisco.

La figura muestra los pasos que se deben seguir para proteger un router. Los primeros cuatro pasosse analizan en este capítulo. Si bien las listas de control de acceso (ACL) se analizan en el capítulosiguiente, son una tecnología crítica y deben configurarse para controlar y filtrar el tráfico de la red.

4.2.3 Administración de la seguridad de los routersLa seguridad básica de los routers consiste en la configuración de contraseñas. Una contraseña só-lida es el elemento más fundamental para controlar el acceso seguro a un router. Por este motivo,siempre se deben configurar contraseñas sólidas.

Entre las buenas prácticas en materia de contraseñas se incluyen las siguientes:

■ No escribir las contraseñas ni dejarlas en lugares obvios, como el escritorio o monitor.

■ Evitar el uso de palabras del diccionario, nombres, números de teléfono y fechas. El uso depalabras del diccionario hace que las contraseñas sean vulnerables a los ataques dediccionario.

■ Combinar letras, números y símbolos. Incluir, por lo menos, una letra minúscula, una letramayúscula, un dígito y un carácter especial.

■ Escribir mal una contraseña deliberadamente. Por ejemplo, Smith se puede escribir Smyth otambién puede incluir números, como 5mYth. Otro ejemplo podría ser Seguridad escrita5ecur1dad.

■ Crear contraseñas largas. La mejor práctica es tener, como mínimo, ocho caracteres. Puedehacer cumplir la longitud mínima si se utiliza una característica que poseen los routers delIOS de Cisco, que se analiza más adelante en este tema.

■ Modificar las contraseñas con la mayor frecuencia posible. Debe tener una política que definacuándo y con qué frecuencia se deben modificar las contraseñas. La modificación de lascontraseñas suele tener dos ventajas. Esta práctica limita la ventana de oportunidad en que un


pirata informático puede descifrar una contraseña y limita la ventana de exposición una vezque se ha comprometido una contraseña.

Nota: Los espacios anteriores a la contraseña se ignoran, pero todos los espacios posteriores alprimer carácter no se ignoran.

Contraseñas con frases

Un método recomendado para crear contraseñas complejas sólidas es utilizar contraseñas confrases. Una contraseña con frase es básicamente una oración o frase que sirve como contraseñamás segura. Asegúrese de que la frase sea lo suficientemente larga como para que sea difícil deadivinar pero fácil de recordar y de escribir correctamente.

Utilice una oración, una cita de un libro o la letra de una canción que pueda recordar fácilmentecomo base de su contraseña sólida o contraseña con frase. La figura proporciona ejemplos de con-traseñas con frases.

De forma predeterminada, el software IOS de Cisco deja contraseñas en texto sin cifrar cuando seintroducen en un router. Esto no es seguro, ya que cualquiera que pase por detrás suyo mientrasobserva la configuración de un router podría espiar por encima de su hombro y ver la contraseña.

Si se usa el comando enable password o el comando username username password password

estas contraseñas se mostrarían al observar la configuración en ejecución.

Por ejemplo:

R1(config)# username Student password cisco123

R1(config)# do show run | include username

username Student password 0 cisco123R1(config)#

El 0 que aparece en la configuración en ejecución indica que la contraseña no está oculta.

Por este motivo, todas las contraseñas deben estar encriptadas en un archivo de configuración. ElIOS de Cisco ofrece dos esquemas de protección de contraseñas:

■ Encriptación simple, que se denomina esquema de tipo 7. Utiliza el algoritmo deencriptación definido por Cisco y oculta la contraseña mediante el uso de un algoritmo deencriptación simple.

■ Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 más seguro.

La encriptación del tipo 7 puede ser utilizada por los comandos enable password, username yline password, incluidos vty, line console y aux port. No ofrece una gran protección, ya que sólooculta la contraseña utilizando un algoritmo de encriptación simple. Pese a que no es tan seguracomo la encriptación de tipo 5, sigue siendo mejor que no utilizar ninguna encriptación.

Para encriptar contraseñas mediante la encriptación de tipo 7, use el comando de configuraciónglobal service password-encryption como se lo muestra en la figura. Mediante este comandolas contraseñas que aparecen en la pantalla no son legibles.

Por ejemplo:

R1(config)# service password-encryption


username Student password 7 03075218050061R1(config)#

El 7 que aparece en la configuración en ejecución indica que la contraseña está oculta. En lafigura, se puede ver que la contraseña de la consola de línea ahora está oculta.


Haga clic en el botón Configurar la contraseña de la figura.

Cisco recomienda utilizar la encriptación de Tipo 5 en lugar de la de Tipo 7, cuando sea posible.La encriptación MD5 es un método de encriptación fuerte. Debe ser utilizado siempre que seaposible. Se configura reemplazando la palabra clave password por secret.

Por lo tanto, para proteger el nivel privilegiado EXEC tanto como sea posible, siempre debe con-figurar el comando enable secret como se observa en la figura. También debe asegurarse de quela contraseña secreta sea única y no coincida con ninguna otra.

Un router siempre utiliza la contraseña secreta antes que la contraseña de enable. Por este motivo,el comando enable password nunca se debe configurar, ya que puede revelar la contraseña de unsistema.

Nota: Si se olvida la contraseña privilegiada EXEC, entonces tendrá que ejecutar el procedimientode recuperación de contraseña. Este procedimiento se aborda más adelante en este capítulo.

Los nombres de usuario de la base de datos local también deben estar configurados mediante elcomando de configuración global username username secret password. Por ejemplo:

R1(config)# username Student secret cisco


username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/R1(config)#

Nota: Es posible que algunos procesos no puedan utilizar contraseñas encriptadas de tipo 5. Porejemplo, PAP y CHAP requieren contraseñas en texto sin cifrar y no pueden utilizar contraseñasencriptadas MD5.

Haga clic en el botón Longitud de la contraseña de la figura.

El software IOS de Cisco Versión 12.3(1) y posteriores permite que los administradores definan lalongitud mínima en caracteres de todas las contraseñas de los routers utilizando el comando deconfiguración global security passwords min-length, como se observa en la figura. Este co-mando proporciona acceso con mayor seguridad al router, al permitirle que especifique una longi-tud mínima para las contraseñas, y elimina las contraseñas comunes que predominan en la mayoríade las redes, como “lab” y “cisco”.

Este comando afecta a las contraseñas de usuario nuevas, las de enable y las secretas, y las contrase-ñas de línea creadas una vez que el comando fue ejecutado. El comando no afecta las contraseñas derouters actuales.

4.2.4 Protección del acceso remoto administrativo a losroutersProtección del acceso administrativo a los routers

Los administradores de redes pueden conectarse a un router o conmutar de forma local o remota.El acceso local a través del puerto de la consola es el método preferido por un administrador paraconectarse a un dispositivo a fin de manejarlo, porque es seguro. A medida que las empresas cre-cen y aumenta la cantidad de routers y switches de la red, la carga de trabajo del administradorpara conectarse a todos los dispositivos a nivel local puede ser abrumadora.

El acceso administrativo remoto es más conveniente que el acceso local para los administradoresque tienen que manejar muchos dispositivos. Sin embargo, si no se implementa de manera segura,un agresor podría recopilar información confidencial valiosa. Por ejemplo, implementar el accesoadministrativo remoto mediante Telnet puede ser muy inseguro porque Telnet envía todo el tráfico


de la red en forma de texto sin cifrar. Un agresor podría capturar el tráfico de la red, mientras unadministrador se encuentra conectado remotamente a un router, y descubrir las contraseñas del ad-ministrador o la información de configuración del router. Por lo tanto, el acceso remoto adminis-trativo debe ser configurado con mayores precauciones de seguridad.

Para proteger el acceso administrativo a los routers y switches, primero debe proteger las líneasadministrativas (VTY, AUX), y después configurar el dispositivo de red para que encripte el tráficoen un túnel SSH.

Acceso remoto administrativo con Telnet y SSH

Tener acceso remoto a los dispositivos de la red es fundamental para manejar una red de maneraeficaz. El acceso remoto generalmente implica permitir conexiones de Telnet, Shell Seguro (SSH),HTTP, HTTP seguro (HTTPS) o SNMP al router desde un equipo que se encuentra en la mismainternetwork que el router.

Si se requiere acceso remoto, sus opciones son las siguientes:

■ Establecer una red de administración dedicada. La red de administración debe incluir sólo hostsde administración identificados y conexiones a dispositivos de infraestructura. Podría lograrsesi se utiliza una VLAN de administración u otra red física a la cual se deben conectar losdispositivos.

■ Encriptar todo el tráfico entre la computadora del administrador y el router. En cualquiera deesos casos, se puede configurar un filtro de paquetes que permita que solamente el protocolo ylos hosts de administración identificados obtengan acceso al router. Por ejemplo, permitir quesólo la dirección IP del host de administración inicie una conexión SSH con los routers de la red.

El acceso remoto no sólo se aplica a la línea de VTY del router, también se aplica a las líneas deTTY y al puerto auxiliar (AUX). Las líneas de TTY proporcionan acceso asíncrono a un router através de un módem. Si bien son menos comunes que lo que fueron en otro momento, todavíaexisten en algunas instalaciones. Proteger estos puertos es aun más importante que proteger lospuertos del terminal local.

La mejor manera de proteger un sistema es garantizar que se apliquen controles adecuados entodas las líneas, incluidas las líneas de VTY, TTY y AUX.

Los administradores deben asegurarse de que las conexiones en todas las líneas estén controladasmediante un mecanismo de autenticación, incluso en las máquinas supuestamente inaccesiblesdesde redes no confiables. Esto es especialmente importante en el caso de las líneas de VTY y delas líneas conectadas a módems u otros dispositivos de acceso remoto.

Las conexiones se pueden evitar por completo en cualquier línea mediante la configuración delrouter con los comandos login y no password. Ésta es la configuración predeterminada de losVTY, pero no de los TTY ni del puerto AUX. Por lo tanto, si estas líneas no son exigidas,asegúrese de que estén configuradas con la combinación de comandos login y no password.

Haga clic en Config en el botón Evitar conexiones para ver un ejemplo.

Controles en los puertos VTY

De manera predeterminada, todas las líneas de VTY están configuradas para aceptar cualquier tipode conexión remota. Por razones de seguridad, las líneas de VTY se deben configurar para aceptarconexiones sólo con los protocolos realmente necesarios. Esto se hace mediante el comandotransport input. Por ejemplo, un VTY que debe recibir sólo sesiones de Telnet estaría configu-rado con transport input telnet, y un VTY que permite las sesiones de Telnet y de SSH estaríaconfigurado con transport input telnet ssh.


Haga clic en el botón Acceso VTY de la figura.

El primer ejemplo de configuración muestra la forma de configurar el VTY para que acepte sola-mente conexiones de Telnet y de SSH, mientras que el segundo ejemplo muestra la manera de con-figurar el VTY para que acepte solamente conexiones de SSH. Si la imagen del IOS de Cisco deun router admite SSH, se recomienda enfáticamente activar solamente ese protocolo.

Un dispositivo del IOS de Cisco tiene una cantidad limitada de líneas de VTY, por lo general,cinco. Cuando todos los VTY están en uso, no se pueden establecer más conexiones remotas. Estocrea la posibilidad de realizar un ataque DoS. Si un agresor puede abrir sesiones remotas paratodos los VTY del sistema, es posible que el administrador legítimo no se pueda conectar. El agre-sor no tiene que conectarse para hacer esto. Las sesiones simplemente se pueden dejar en la ven-tana de inicio de sesión.

Una forma de disminuir esta exposición es configurar la última línea de los VTY para que aceptensólo las conexiones provenientes de una única estación de trabajo administrativa específica, mientrasque los otros VTY pueden aceptar conexiones de cualquier dirección de una red corporativa. Esto ga-rantiza que, por lo menos, una línea de VTY esté a disposición del administrador. Para implementaresto, las ACL, junto con el comando ip access-class de la última línea de VTY, deben estar confi-gurados. Esta implementación se analiza en el Capítulo 5.

Otra táctica útil es configurar los tiempos de espera de los VTY mediante el comando exec-time-out. Esto impide que una sesión inactiva consuma el VTY en forma indefinida. A pesar de que sueficacia contra los ataques deliberados es relativamente limitada, proporciona algo de proteccióncontra las sesiones que se dejan accidentalmente inactivas. Del mismo modo, la activación de losmensajes de actividad de TCP en las conexiones entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de los ataques maliciosos y de las sesiones huérfanasprovocadas por colapsos del sistema remoto.

Haga clic en el botón VTY seguro de la figura.

La configuración muestra la manera en la que se debe configurar el tiempo de espera ejecutivo en3 minutos y activar los mensajes de actividad del TCP.

Implementación de SSH para proteger el acceso administrativo remoto

Tradicionalmente, al acceso administrativo remoto de los routers se configuraba mediante Telneten el puerto TCP 23. Sin embargo, Telnet se desarrolló en un tiempo en el que la seguridad no eraun problema. Por este motivo, todo el tráfico de Telnet se envía en forma de texto sin cifrar.

SSH reemplazó a Telnet como la mejor práctica para proporcionar administración remota de losrouters con conexiones que admiten una sólida privacidad e integridad de las sesiones. SSH utilizael puerto TCP 22. Brinda una funcionalidad similar a la de una conexión Telnet saliente, con la ex-cepción de que la conexión se encuentra encriptada. Mediante la autenticación y la encriptación,SSH hace posibles las comunicaciones seguras a través de una red insegura.

No todas las imágenes del IOS de Cisco admiten SSH. Sólo lo hacen las imágenes criptográficas.Por lo general, los ID de imagen de los nombres de estas imágenes son k8 o k9. Los nombres delas imágenes se analizan en la Sección 5.

La característica de acceso de línea de terminal SSH permite a los administradores configurar losrouters con acceso seguro y realizar las siguientes tareas:

■ Conectarse a un router que tiene varias líneas de terminales conectadas a consolas o puertosseriales de otros routers, switches y dispositivos.

■ Simplificar la conectividad a un router desde cualquier lugar mediante la conexión segura alservidor de terminales de una línea específica.


■ Permitir que los módems conectados a los routers sean utilizados para realizar marcadosaliente de manera segura.

■ Exigir autenticación a cada una de las líneas a través de un nombre de usuario y unacontraseña definidos a nivel local, o un servidor de seguridad, como TACACS+ o RADIUS.

Los routers Cisco pueden actuar como cliente y servidor SSH. De manera predeterminada, ambasfunciones se encuentran activadas en el router cuando se activa SSH. Como cliente, un routerpuede realizar un SSH a otro router. Como servidor, un router puede aceptar conexiones SSHcliente.

Configuración de la seguridad de SSH

Para permitir SSH en el router, se deben configurar los siguientes parámetros:

■ Nombre de host

■ Nombre de dominio

■ Claves asimétricas

■ Autenticación local

Entre los parámetros de configuración opcionales se encuentran:

■ Tiempos de espera

■ Reintentos

Los siguientes pasos configuran el SSH en un router.

Paso 1: Defina los parámetros de los routers

Configure el nombre de host del router con el comando hostname hostname del modo de configu-ración.

Paso 2: Defina el nombre de dominio

Se debe crear un nombre de dominio para activar el SSH. En este ejemplo, escriba el comando ipdomain-name del modo de configuración global.

Paso 3: Genere claves asimétricas

Debe crear una clave que el router pueda utilizar para encriptar su tráfico de administración de SSHcon el comando crypto key generate rsa del modo de configuración. El router responde con unmensaje que muestra la norma de denominación de las claves. Elija el tamaño del módulo de la clave que debe estar entre 360 y 2048 para sus Claves de propósito general. Elegir un módulo de cla-ve mayor a 512 puede llevar algunos minutos. Como mejor práctica, Cisco recomienda utilizar unalongitud de módulo mínima de 1024. Debe saber que la creación y el uso de un módulo más largollevan más tiempo, pero ofrece mayor seguridad.

Puede obtener más información sobre el comando crypto key en el curso Seguridad de la red.

Paso 4: Configure la autenticación local y el vty

Debe definir un usuario local y asignar una comunicación de SSH a las líneas de vty, como se ob-serva en la figura.

Paso 5: Configure tiempos de espera de SSH (opcional)

Los tiempos de espera brindan seguridad adicional a la conexión, pues finalizan las conexionesprolongadas e inactivas. Use el comando ip ssh time-out seconds y el comando authentica-


tion-retries integer para activar los tiempos de espera y los reintentos de autenticación. Con-figure el tiempo de espera del SSH en 15 segundos y la cantidad de reintentos en 2:

Para conectarse a un router configurado con un SSH, debe utilizar una aplicación de SSHcliente como PuTTY o TeraTerm. Debe asegurarse de elegir la opción SSH y de que utilice elpuerto TCP 22.

Haga clic en el botón Usar SSH de la figura.

Al usar TeraTerm para conectarse de manera segura al router R2 con SSH, una vez que se inició laconexión, el R2 muestra una ventana en la que se solicita el nombre de usuario, seguida por otraque solicita la contraseña. Si suponemos que se proporcionan las credenciales correctas, TeraTermmuestra el indicador de EXEC del usuario del router R2.

Actividad flash compleja

4.2.5 Actividad de registro de los routersLos registros le permiten verificar que un router esté funcionando correctamente o determinar si elrouter está comprometido. En algunos casos, un registro puede mostrar qué tipos de sondeos oataques se están intentando perpetrar contra el router o la red protegida.

La configuración del registro (syslog) en el router se debe realizar con cuidado. Envíe los registrosdel router a un host de registro designado. El host de registro debe estar conectado a una red con-fiable o protegida, o a una interfaz de router aislada y dedicada. Asegure el host de registro elimi-nando todas las cuentas y todos los servicios innecesarios. Los routers admiten distintos niveles deregistro. Los ocho niveles van desde 0, emergencias que indican que el sistema es inestable, hasta7 para depurar mensajes que incluyen toda la información del router.

Los registros se pueden enviar a una variedad de ubicaciones, incluida la memoria del router o unservidor syslog dedicado. Los servidores syslog brindan una mejor solución porque todos los dis-positivos de red pueden enviar sus registros a una estación central en donde un administrador puedeanalizarlos. Un ejemplo de aplicación de servidores syslog es Kiwi Syslog Daemon.

Considere también la posibilidad de enviar los registros a un segundo dispositivo de almace-namiento, por ejemplo, a medios de escritura única o a una impresora dedicada, para manejar elpeor de los casos (por ejemplo, un compromiso del host de registro).

El dato más importante que debe recordar acerca del registro es que los registros se deben revisarcon regularidad. Si controla los registros regularmente, podrá apreciar el comportamiento normalde su red. Una sólida compresión del funcionamiento normal y su reflejo en los registros lo ayudaa identificar las condiciones anormales o de ataque.

Las marcas horarias precisas son importantes para el registro. Las marcas horarias le permiten ras-trear los ataques a la red de manera más creíble. Todos los routers pueden mantener su propia horadel día, pero, por lo general, esto no es suficiente. En cambio, dirija el router a, por lo menos, dosservidores de tiempo diferentes confiables para garantizar la precisión y la disponibilidad de la in-formación sobre el tiempo. Es posible que un servidor del Protocolo de hora de red (NTP) debaconfigurarse para proporcionar una fuente de tiempo sincronizada para todos los dispositivos. La configuración de esta opción excede el alcance de este curso.

Por ejemplo:

R2(config)#service timestamps ?

debug Timestamp debug messages

log Timestamp log messages

<cr>R2(config)#service timestamps


Más adelante, en este capítulo, aprende acerca del comando debug. Los resultados del comandodebug también pueden ser enviados a los registros.

4.3 Servicios de red de router seguro4.3.1 Servicios e interfaces de routers vulnerablesServicios e interfaces de routers vulnerables

Los routers Cisco admiten una gran cantidad de servicios de red en las capas 2, 3, 4 y 7, como sedescribe en la figura. Algunos de estos servicios son protocolos de Capa de aplicación que per-miten a los usuarios y a los procesos del host a conectarse al router. Otros son procesos automáti-cos y configuraciones destinados a admitir configuraciones heredadas o especializadas querepresentan riesgos de seguridad. Algunos de estos servicios pueden restringirse o desactivarsepara mejorar la seguridad sin distorsionar el uso operativo del router. Debe utilizarse la práctica deseguridad general de los routers para respaldar sólo el tráfico y los protocolos que una red necesita.

Generalmente, la mayoría de los servicios enumerados en esta sección no son necesarios. La tablade la figura describe servicios generales de los routers vulnerables y enumera las mejores prácticasasociadas a esos servicios.

Desconectar un servicio de red en el router mismo no le impide respaldar una red en que se utilizaese protocolo. Por ejemplo, una red puede requerir servicios TFTP para respaldar los archivos deconfiguración y las imágenes del IOS. Por lo general, este servicio es proporcionado por un servi-dor TFTP dedicado. En algunos casos, un router también podría configurarse como servidor TFTP.Sin embargo, esto es muy poco frecuente. Por lo tanto, en la mayoría de los casos, el servicioTFTP del router debe desactivarse.

En muchos casos, el software IOS de Cisco admite la desactivación total de un servicio o la res-tricción del acceso a segmentos particulares de una red o a conjuntos de hosts. Si una parte deter-minada de una red necesita un servicio, pero el resto no, se deben utilizar las características de larestricción para limitar el alcance del servicio.

Normalmente, desactivar una característica de red automática impide que un tipo determinado detráfico sea procesado por el router, o le impide viajar a través del router. Por ejemplo, el en-rutamiento de origen IP es una característica poco utilizada del IP que se puede usar en los ataquescontra la red. A menos que sea necesario para el funcionamiento de la red, el enrutamiento de ori-gen IP debe estar desactivado.

Nota: El CDP se potencia en algunas implementaciones de Teléfono IP. Debe tenerse en cuentaantes de desactivar el servicio en general.

Hay una variedad de comandos necesarios para desactivar servicios. El resultado show running-con-

fig de la figura proporciona una configuración de muestra de varios servicios que se han desactivado.

A continuación, se enumeran los servicios que, normalmente, deben desactivarse. Entre éstos sedestacan:

■ Los servicios pequeños tales como echo, discard y chargen: use el comando no service tcp-small-servers o no service udp-small-servers.

■ BOOTP: use el comando no ip bootp server.

■ Finger: use el comando no service finger.

■ HTTP: use el comando no ip http server.

■ SNMP: use el comando no snmp-server.


También es importante desactivar los servicios que permiten que determinados paquetes pasen através del router, envíen paquetes especiales o se utilicen para la configuración del router remoto.Los comandos correspondientes para desactivar estos servicios son:

■ Protocolo de descubrimiento de Cisco (CDP): use el comando no cdp run.

■ Configuración remota: use el comando no service config.

■ Enrutamiento de origen: use el comando no ip source-route.

■ Enrutamiento sin clase: use el comando no ip classless.

Las interfaces del router pueden ser más seguras si se utilizan determinados comandos en el modode configuración de interfaz:

■ Interfaces no utilizadas: use el comando shutdown.

■ Prevención de ataques SMURF: use el comando no ip directed-broadcast.

■ Enrutamiento ad hoc: use el comando no ip proxy-arp.

Vulnerabilidades de SNMP, NTP y DNS

La figura describe tres servicios de administración que también deben estar protegidos. Los méto-dos para desactivar o ajustar las configuraciones de estos servicios exceden el alcance de estecurso. Estos servicios están contemplados en el CCNP: Curso Implementación de redes seguras yconvergentes de área amplia.

Las descripciones y las pautas para proteger estos servicios se enumeran a continuación.

SNMP

SNMP es el protocolo de Internet estándar del monitoreo y la administración remotos automatiza-dos. Hay varias versiones distintas de SNMP con propiedades de seguridad diferentes. Las ver-siones de SNMP anteriores a la versión 3 transportan información en forma de texto sin cifrar.Normalmente, se debe utilizar la versión 3 de SNMP.

NTP

Los routers Cisco y otros hosts utilizan NTP para mantener sus relojes con la hora del día exacta.Si es posible, los administradores de la red deben configurar todos los routers como parte de unajerarquía de NTP, lo que convierte a un router en el temporizador maestro y proporciona su hora aotros routers de la red. Si no hay una jerarquía de NTP disponible en la red, debe desactivar NTP.

Desactivar NTP en una interfaz no impide que los mensajes de NTP viajen a través del router. Pararechazar todos los mensajes de NTP en una interfaz determinada, use una lista de acceso.

DNS

El software IOS de Cisco admite la búsqueda de nombres de hosts con el Sistema de nombres dedominios (DNS). DNS proporciona la asignación entre nombres, como central.mydomain.com alas direcciones IP, como 14.2.9.250.

Desafortunadamente, el protocolo DNS básico no ofrece autenticación ni aseguramiento de la inte-gridad. De manera predeterminada, las consultas de nombres se envían a la dirección de broadcast255.255.255.255.

Si hay uno o más servidores de nombres disponibles en la red y se desea utilizar nombres en loscomandos del IOS de Cisco, defina explícitamente las direcciones del servidor de nombres uti-lizando el comando de configuración global ip name-server addresses. De lo contrario, desac-tive la resolución de nombres DNS con el comando no ip domain-lookup. También es


conveniente asignarle un nombre al router mediante el uso del comando hostname. El nombreasignado al router aparece en el indicador.

4.3.2 Protección de los protocolos de enrutamientoDescripción general de la autenticación del protocolo de enrutamiento

Como administrador de la red, debe saber que sus routers corren el riesgo de sufrir ataques en lamisma medida que sus sistemas de usuario final. Las personas que cuentan con un programa de-tector de paquetes, como Wireshark pueden leer la información que se propaga entre routers. Engeneral, los sistemas de enrutamiento pueden sufrir ataques de dos maneras:

■ Interrupción de pares

■ Falsificación de información de enrutamiento

La interrupción de pares es el menos crítico de los dos ataques, porque los protocolos de en-rutamiento se reparan a sí mismos, lo que hace que la interrupción dure solamente un poco másque el ataque mismo.

Una clase más sutil de ataque se centra en la información que se transporta dentro del protocolo deenrutamiento. La información de enrutamiento falsificada, generalmente, puede utilizarse parahacer que los sistemas se proporcionen información errónea (mientan) entre sí, para provocar unDoS o hacer que el tráfico siga una ruta que, normalmente, no seguiría. Las consecuencias de falsi-ficar información de enrutamiento son las siguientes:

Paso 1. El tráfico se redirecciona para crear routing loops, como se observa en la figura

Paso 2. El tráfico se redirecciona para que pueda monitorearse en un enlace inseguro

Paso 3. El tráfico se redirecciona para descartarlo

Una forma sencilla de atacar el sistema de enrutamiento es atacar a los routers, mediante la ejecu-ción de los protocolos de enrutamiento, obtener acceso a los routers e introducir información falsa.Tenga en cuenta que cualquier persona que esté “escuchando” puede capturar actualizaciones deenrutamiento.

Haga clic en el botón Reproducir de la figura para ver una animación de un ataque de routing loop.

La animación muestra un ejemplo de un ataque que crea un routing loop. Un agresor logró conectardirectamente el enlace entre los routers R2 y R3. El agresor inyecta información de enrutamiento falsadirigida al router R1 solamente, e indica que R3 es el destino preferido para la ruta del host192.168.10.10/32. Pese a que R1 tiene una entrada de tabla de enrutamiento a la red 192.168.10.0/24conectada directamente, agrega la ruta inyectada a su tabla de enrutamiento debido a la mayor lon-gitud de la máscara de subred. Una ruta que tiene una correspondiente máscara de subred demayor longitud se considera superior a una ruta con una máscara de subred más corta. En conse-cuencia, cuando un router recibe un paquete, selecciona la máscara de subred de mayor longitudporque constituye una ruta más precisa hacia el destino.

Cuando PC3 envía un paquete a PC1 (192.168.10.10/24), R1 no envía el paquete al host PC1. Encambio, enruta el paquete hacia el router R3, porque, en lo que a ello respecta, la mejor ruta hacia192.168.10.10/32 es a través de R3. Cuando R3 obtiene el paquete, observa su tabla de en-rutamiento y envía el paquete nuevamente hacia R1, lo que crea el loop.

La mejor manera de proteger la información de enrutamiento en la red es autenticar los paquetesdel protocolo de enrutamiento mediante el algoritmo message digest 5 (MD5). Un algoritmo comoMD5 permite a los routers comparar las firmas que deben ser todas iguales.


Haga clic en el botón Proteger actualización de la figura.

La figura muestra la manera en la que cada router de la cadena de actualización crea una firma.Los tres componentes de dicho sistema incluyen:

Paso 1. Algoritmo de encriptación que, por lo general, es de conocimiento público

Paso 2. Clave utilizada en el algoritmo de encriptación, que es un secreto compartido por losrouters que autentican sus paquetes

Paso 3. Contenidos del paquete en sí mismo

Haga clic en el botón Operación de la figura.

Haga clic en Reproducir para ver una animación.

En la animación, vemos la manera en la que cada router autentica la información de enrutamiento.Por lo general, el creador de la información de enrutamiento produce una firma mediante la clavey los datos de enrutamiento que está por enviar como entradas al algoritmo de encriptación. Losrouters que reciben estos datos de enrutamiento pueden repetir el proceso utilizando la misma clave,los datos que recibió y los mismos datos de enrutamiento. Si la firma que el receptor computa es lamisma que la que computa el remitente, los datos y la clave deben ser los mismos que transmitió elremitente y la actualización se autentica.

RIPv2, EIGRP, OSPF, IS-IS y BGP, todos ellos admiten diversas formas de autenticación MD5.

Configuración de RIPv2 con autenticación del protocolo de enrutamiento

La topología de la figura muestra una red configurada con el protocolo de enrutamiento RIPv2.RIPv2 admite la autenticación del protocolo de enrutamiento. Para proteger las actualizaciones deenrutamiento, cada router debe configurarse para admitir la autenticación. Los pasos para protegerlas actualizaciones de RIPv2 son los siguientes:

Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP

Paso 2. Impida la recepción de actualizaciones RIP no autorizadas

Paso 3. Verifique el funcionamiento del enrutamiento RIP

Impedir la propagación de actualizaciones de enrutamiento RIP

Debe impedir que un intruso que esté escuchando en la red reciba actualizaciones a las que notiene derecho. Debe hacerlo forzando todas las interfaces del router a pasar al modo pasivo y, acontinuación, activando sólo aquellas interfaces que son necesarias para enviar y recibir actualiza-ciones RIP. Una interfaz en modo pasivo recibe actualizaciones pero no las envía. Debe configurarlas interfaces en modo pasivo en todos los routers de la red.

Haga clic en el botón Config del Paso 1.

La figura muestra los comandos de configuración necesarios para controlar qué interfaces partici-pan en las actualizaciones de enrutamiento. Las actualizaciones de enrutamiento nunca deben serpublicadas en interfaces que no están conectadas a otros routers. Por ejemplo, las interfaces LANdel router R1 no se conectan a otros routers y, por lo tanto, no deben publicar actualizaciones deenrutamiento. Sólo la interfaz S0/0/0 del router R1 debe publicar actualizaciones de enrutamiento.

En los resultados de la pantalla, el comando passive-interface default desactiva las publica-ciones de routers en todas las interfaces. Esto también incluye la interfaz S0/0/0. El comando nopassive-interface s0/0/0 activa la interfaz S0/0/0 para enviar y recibir actualizaciones RIP.

Haga clic en el botón Paso 2 de la figura.


Impedir la recepción de actualizaciones RIP no autorizadas

En la figura, se impide que el intruso intercepte actualizaciones RIP porque la autenticación MD5ha sido activada en los routers, R1, R2 y R3; los routers que participan en las actualizaciones RIP.


Los resultados muestran los comandos necesarios para configurar la autenticación del protocolo deenrutamiento en el router R1. Los routers R2 y R3 también deben ser configurados con estos co-mandos en las interfaces adecuadas.

El ejemplo muestra los comandos necesarios para crear una cadena de claves denominadaRIP_KEY. Pese a que es posible considerar varias claves, nuestro ejemplo muestra sólo una clave.La clave 1 está configurada para contener una cadena de claves denominada cisco. La cadena declaves es similar a una contraseña y los routers que intercambian claves de autenticación debenestar configurados con la misma cadena de claves. La interfaz S0/0/0 está configurada para admitirla autenticación MD5. La cadena RIP_KEY y la actualización de enrutamiento se procesan me-diante el algoritmo MD5 para producir una firma única.

Una vez que R1 está configurado, los otros routers reciben actualizaciones de enrutamiento encrip-tadas y, en consecuencia, ya no pueden descifrar las actualizaciones provenientes de R1. Estacondición se mantiene hasta que cada router de la red esté configurado con autenticación del pro-tocolo de enrutamiento.


Verificar el funcionamiento del enrutamiento RIP

Después de configurar todos los routers de la red, debe verificar el funcionamiento del en-rutamiento RIP en la red.


Al usar el comando show ip route, el resultado confirma que el router R1 se ha autenticado conlos demás routers y ha logrado adquirir las rutas provenientes de los routers R2 y R3.

Descripción general de la autenticación del protocolo de enrutamiento de EIGRP y OSPF

La autenticación del protocolo de enrutamiento también debe ser configurada para otros protoco-los de enrutamiento, como EIGRP y OSPF. Para obtener más detalles acerca de la autenticacióndel protocolo de enrutamiento de EIGRP y OSPF, consulte CCNP2: Implementación de redes se-guras y convergentes de área amplia.

Haga clic en el botón EIGRP de la figura.

EIGRP

La figura muestra los comandos necesarios para configurar la autenticación del protocolo de en-rutamiento de EIGRP en el router R1. Estos comandos son muy similares a los que utilizó para laautenticación MD5 de RIPv2. Los pasos necesarios para configurar la autenticación del protocolode enrutamiento de EIGRP en el router R1 son los siguientes:

Paso 1. El área superior resaltada muestra cómo crear una cadena de claves para ser utilizada portodos los routers de la red. Estos comandos crean una cadena de claves denominada EIGRP_KEYy coloca su terminal en el modo de configuración de cadena de claves, un número de clave 1 y unvalor de cadena de claves de cisco.

Paso 2. El área inferior resaltada muestra cómo activar la autenticación MD5 de los paquetes deEIGRP que viajan a través de una interfaz.


Haga clic en el botón OSPF de la figura.

OSPF

La figura muestra los comandos necesarios para configurar la autenticación del protocolo de en-rutamiento de OSPF en el router R1 de la interfaz S0/0/0. El primer comando especifica la claveque se utilizará para la autenticación MD5. El comando siguiente activa la autenticación MD5.

Esta actividad contempla la autenticación sencilla de OSPF y la autenticación MD5 (message di-gest 5) de OSPF. Puede activar la autenticación en OSPF para intercambiar información de actuali-zaciones de enrutamiento de manera segura. Con la autenticación sencilla, se envía la contraseñacomo texto sin cifrar a través de la red. La autenticación sencilla se utiliza cuando los dispositivosdentro de un área no pueden admitir la autenticación MD5 más segura. Con la autenticación MD5,la contraseña no se envía a través de la red. MD5 se considera el modo de autenticación de OSPFmás seguro. Cuando configura la autenticación, debe configurar un área completa con el mismotipo de autenticación. En esta actividad, configura la autenticación sencilla entre R1 y R2, y la au-tenticación MD5 entre R2 y R3.



4.3.3 Bloqueo de su router con Auto Secure de CiscoAutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no esencialesdel sistema y elimina amenazas de seguridad potenciales. Puede configurar AutoSecure en elmodo EXEC privilegiado mediante el comando auto secure en uno de estos dos modos:

■ Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otrascaracterísticas de seguridad. Es el modo predeterminado.

■ Modo no interactivo: ejecuta automáticamente el comando auto secure con la configuraciónpredeterminada recomendada de Cisco. Este modo se activa con la opción del comandono-interact.

Haga clic en el botón Resultados del router de la figura.

AutoSecure en un router Cisco

Los resultados de la pantalla muestran un resultado parcial de la configuración de AutoSecure deCisco. Para iniciar el proceso de proteger un router, emita el comando auto secure. AutoSecurede Cisco le pide una cantidad de elementos, entre los que se incluyen:

■ Detalles de la interfaz

■ Títulos

■ Contraseñas

■ SSH

■ Características del firewall del IOS

Nota: El Administrador de routers y dispositivos de seguridad (SDM, Security Device Manager)proporciona una característica similar al comando AutoSecure de Cisco. Esta característica se des-cribe en la sección “Uso del SDM de Cisco”.


4.4 Uso del SDM de Cisco

4.4.1 Descripción general del SDM de Cisco¿Qué es el SDM de Cisco?

El Administrador de routers y dispositivos de seguridad (SDM) es una herramienta de adminis-tración de dispositivos basada en la Web y fácil de usar, diseñada para configurar la LAN, la WANy las características de seguridad en los routers basados en el software IOS de Cisco.

La figura muestra la pantalla principal del SDM. La interfaz ayuda a los administradores de redesde empresas pequeñas a medianas a realizar las operaciones cotidianas. Proporciona asistentes in-teligentes fáciles de usar, automatiza la administración de seguridad de los routers y brinda ayudaen línea y tutoriales integrales.

SDM de Cisco admite una amplia gama de versiones de software IOS de Cisco. Viene preinstaladoen todos los nuevos routers de servicios integrados de Cisco. Si no está preinstalado, debe insta-larlo. Los archivos del SDM se pueden instalar en el router, en una PC o en ambos. Una ventaja deinstalar el SDM en la PC es que ahorra memoria del router y le permite utilizar el SDM para ad-ministrar otros routers de la red. Si el SDM de Cisco se encuentra preinstalado en el router, Ciscorecomienda utilizar el SDM de Cisco para realizar la configuración inicial.

Características del SDM de Cisco

El SDM de Cisco simplifica la configuración de los routers y de la seguridad mediante el uso devarios asistentes inteligentes que permiten la configuración eficiente de la red privada virtual(VPN) de los routers clave y los parámetros del firewall del IOS de Cisco. Esta capacidad permitea los administradores rápida y fácilmente implementar, configurar y controlar los routers de accesode Cisco.

Los asistentes inteligentes del SDM de Cisco guían a los usuarios paso por paso a través del flujode trabajo de la configuración de router y de seguridad mediante la configuración sistemática delas interfaces LAN y WAN, el firewall, IPS y las VPN.

Los asistentes inteligentes del SDM de Cisco pueden detectar configuraciones incorrectas de ma-nera inteligente y proponer modificaciones, como permitir el tráfico DHCP a través de un firewallsi la interfaz WAN está dirigida al DHCP. La ayuda en línea incorporada al SDM de Cisco con-tiene información de respaldo adecuada, además de los procedimientos paso a paso necesariospara ayudar a los usuarios a introducir los datos correctos en el SDM de Cisco.

4.4.2 Configuración de su router para que sea compatiblecon el SDM de CiscoEl SDM de Cisco debe estar instalado en todos los routers de Cisco nuevos. Si tiene un router queya está en uso, pero no tiene SDM de Cisco, puede instalarlo y ejecutarlo sin interrumpir el tráficode la red. Antes de instalarlo en un router en funcionamiento, debe asegurarse de que el archivo deconfiguración del router cuente con algunos valores de configuración. La figura muestra unatopología en la que el administrador del sistema instala el SDM de Cisco en el router R1.

Para configurar el SDM de Cisco en un router que ya está en uso, sin interrumpir el tráfico de lared, siga estos pasos:

Paso 1. Obtenga acceso a la interfaz CLI de Cisco del router mediante la conexión Telnet o de consola

Paso 2. Active los servidores HTTP y HTTPS en el router

Paso 3. Cree una cuenta de usuario configurada con nivel de privilegio 15 (active los privilegios)

Paso 4. Configure SSH y Telnet para la conexión local y nivel de privilegio 15


Haga clic en el botón Resultado del router de la figura.

Los resultados de la pantalla muestran un ejemplo de la configuración necesaria para asegurarleque puede instalar y ejecutar el SDM de Cisco en un router de producción sin interrumpir el trá-fico de la red.

4.4.3 Inicio del SDM de CiscoEl SDM de Cisco se almacena en la memoria flash del router. También se puede almacenar en unaPC local. Para iniciar el SDM de Cisco utilice el protocolo HTTPS y coloque la dirección IP delrouter en el explorador. La figura muestra el explorador con la dirección https://198.162.20.1 y lapágina de inicio del SDM de Cisco. El prefijo http:// puede ser utilizado si no hay SSL disponible.Cuando aparece el cuadro de diálogo de nombre de usuario y contraseña (no se muestra), escribaun nombre de usuario y una contraseña para la cuenta privilegiada (nivel de privilegio 15) en elrouter. Una vez que aparece la página de inicio, aparece un applet Java con signo del SDM deCisco que debe permanecer abierto mientras se ejecuta el SDM de Cisco. Dado que se trata de unapplet Java con signo del SDM de Cisco, es posible que se le solicite que acepte un certificado. La alerta de seguridad del certificado aparece en el extremo inferior derecho de la figura.

Nota: Los pasos de la secuencia de inicio de sesión pueden variar según si ejecuta SDM de Ciscodesde una PC o, directamente, desde un router ISR de Cisco.

4.4.4 La interfaz SDM de CiscoDescripción general de la página de inicio de SDM de Cisco

Después de iniciar el SDM de Cisco y una vez conectado, la primera página que se muestra es lapágina Descripción general.

Esta página muestra el modelo del router, la cantidad total de memoria, las versiones de flash, IOSy SDM, el hardware instalado y un resumen de algunas características de seguridad, como estadodel firewall y la cantidad de conexiones de VPN activas.

Específicamente, proporciona información básica sobre el hardware, el software y la configuracióndel router:

■ Barra de menú: la parte superior de la pantalla tiene una barra de menú típica con loselementos de menú Archivo, Edición, Ver, Herramientas y Ayuda.

■ Barra de herramientas: debajo de la barra de menú, están los asistentes y modos de SDM quese pueden seleccionar.

■ Información del router: el modo actual se muestra del lado izquierdo, debajo de la barra deherramientas.

Nota: La barra de menú, la barra de herramientas y el modo actual se muestran siempre en la partesuperior de cada pantalla. Las demás áreas de la pantalla cambian de acuerdo con el modo y lafunción que se está ejecutando.

■ Descripción general de la configuración: resume los valores de con-

figuración. Para visualizar la configuración en ejecución, haga clic en el botón

Ver configuración en ejecución


Área Acerca de su router

Al hacer clic en los botones de la figura, puede ver los detalles asociados con cada uno de los si-guientes elementos de la GUI:

Acerca de su router: el área de la página de inicio del SDM de Cisco que le muestra informaciónbásica sobre el hardware y el software del router e incluye los siguientes elementos:

■ Nombre de host: esta área muestra el nombre de host configurado para el router, que esRouterX.

■ Hardware: esta área muestra el número de modelo del router, las cantidades disponibles ytotales de RAM disponible y la cantidad de memoria Flash disponible.

■ Software: esta área describe el software IOS de Cisco y las versiones de SDM de Cisco que seestán ejecutando en el router.

■ La barra Disponibilidad de características, que se encuentra en la parte inferior de la ficha Acercade su router muestra las características disponibles en la imagen del IOS de Cisco que estáutilizando el router. Si el indicador que se encuentra al lado de cada característica es verde, lacaracterística está disponible. Si es rojo, no está disponible. Las marcas de verificación indicanque la característica está configurada en el router. En la figura, el SDM de Cisco muestra que lascaracterísticas IP, firewall, VPN, IPS y NAC están disponibles, pero sólo IP está configurada.

Área Descripción general de la configuración

La figura muestra el área de la descripción general de la configuración de la página de inicio delSDM de Cisco. Al hacer clic en los botones de la figura, puede ver los detalles asociados con cadauno de los siguientes elementos de la GUI:

■ Interfaces y conexiones: esta área muestra información relacionada con las interfaces yconexiones, incluidas la cantidad de conexiones que se encuentran activas e inactivas, la cantidadtotal de interfaces LAN y WAN que están presentes en el router y la cantidad de interfaces LAN yWAN actualmente configuradas en el router. También muestra información de DHCP.

■ Políticas del firewall: esta área muestra información relativa al firewall, por ejemplo, si hayun firewall implementado, la cantidad de interfaces confiables (internas), interfaces noconfiables (externas) e interfaces de la DMZ. También muestra el nombre de la interfaz a lacual se ha aplicado un firewall, si la interfaz está diseñada como interfaz interna o externa y sila regla de NAT se ha aplicado a esta interfaz.

■ VPN: esta área muestra información relacionada con las VPN, incluidas la cantidad deconexiones VPN activas, la cantidad de conexiones VPN configuradas sitio a sitio y lacantidad de clientes VPN activos.

■ Enrutamiento: esta área muestra la cantidad de rutas estáticas, y qué protocolos deenrutamiento están configurados.

4.4.5 Asistentes del SDM de CiscoEl SDM de Cisco proporciona una cantidad de asistentes que lo ayudan a configurar un router ISRde Cisco. Una vez seleccionada una tarea en el área de tareas de la GUI del SDM de Cisco, elpanel de tareas le permite seleccionar un asistente. La figura muestra varias pantallas de la GUI delSDM de Cisco para el asistente de NAT básica. La NAT se analiza más adelante en las seccionesde Servicios de direccionamiento IP.

Consulte http://www.cisco.com/go/sdm para obtener la información más reciente acerca de losasistentes del SDM de Cisco y las interfaces que admiten.


4.4.6 Bloqueo de un router con el SDM de CiscoEl asistente para el bloqueo del SDM de Cisco en un paso implementa casi todas las configura-ciones de seguridad que ofrece AutoSecure de Cisco. El acceso al asistente para el bloqueo en unpaso se logra desde Configurar interfaz de la GUI al hacer clic en la tarea Auditoría de seguridad.El asistente para el bloqueo en un paso prueba la configuración de su router para detectar poten-ciales problemas de seguridad y automáticamente realiza los cambios necesarios en la configu-ración a fin de corregir los problemas detectados.

No dé por sentado que la red es segura sencillamente porque ejecutó un bloqueo en un paso.Además, no todas las características de AutoSecure de Cisco están implementadas en el SDM deCisco. Las características de AutoSecure que se encuentran implementadas de manera diferente enel SDM de Cisco incluyen las siguientes:

■ Desactiva SNMP y no configura la versión 3 de SNMP.

■ Activa y configura SSH en las imágenes encriptadas del IOS de Cisco.

■ No activa el Punto de control de servicio ni desactiva otros servicios de acceso ytransferencia de archivos, como el FTP.

Haga clic en los botones de la figura para explorar los pasos del asistente de bloqueo en un pasode Cisco.

4.5 Administración segura de routers4.5.1 Mantenimiento de las imágenes del software IOSde CiscoPeriódicamente, el router requiere que se carguen actualizaciones en el sistema operativo o en elarchivo de configuración. Estas actualizaciones son necesarias para reparar vulnerabilidades de se-guridad conocidas, admitir nuevas características que permiten implementar políticas de seguridadmás avanzadas o mejorar el rendimiento.

Nota: No siempre resulta conveniente actualizar a la última versión del software IOS de Cisco.Muchas veces esa versión no es estable.

Hay pautas determinadas que debe seguir al modificar el software IOS de Cisco en un router. Lasmodificaciones se clasifican en actualizaciones o cambios de versión. Una actualización reemplazauna versión con otra sin actualizar el conjunto de características. El software podría ser actualizadopara reparar un defecto o para reemplazar una versión que ya no es compatible. Las actualiza-ciones son gratis.

Un cambio de versión reemplaza una versión con otra que tiene un conjunto de características ac-tualizado. El software podría ser reemplazado por una nueva versión para agregar nuevas carac-terísticas o tecnologías, o para reemplazar una versión que ya no sea compatible. Los cambios deversión no son gratuitos. Cisco.com ofrece pautas para ayudar a determinar qué método se aplica.

Cisco recomienda seguir un proceso de migración de cuatro fases para simplificar las operacionesy la administración de la red. Cuando sigue un proceso que se puede repetir, también puede benefi-ciarse de los menores costos de las operaciones, la administración y la capacitación. Las cuatrofases son:

■ Planificar: establecer metas, identificar recursos, definir el perfil del hardware y el softwarede la red y crear un cronograma preliminar para migrar a nuevas versiones.


■ Diseñar: elegir nuevas versiones del IOS de Cisco y crear una estrategia para migrar a lasversiones.

■ Implementar: programar y ejecutar la migración.

■ Operar: controlar el progreso de la migración y realizar copias de seguridad de las imágenesque se están ejecutando en su red.

En Cisco.com hay una gran cantidad de herramientas disponibles para ayudar a migrar el softwareIOS de Cisco. Puede utilizarlas para obtener información sobre versiones, conjuntos de caracterís-ticas, plataformas e imágenes. Las siguientes herramientas no requieren conectarse a Cisco.com:

■ Guía de referencia del IOS de Cisco: cubre los aspectos básicos de la familia del softwareIOS de Cisco

■ Documentos técnicos del software IOS de Cisco: documentación de cada una de lasversiones del software IOS de Cisco

■ Feature Navigator de Cisco: busca las versiones compatibles con un conjunto decaracterísticas de software y con el hardware, y compara las versiones

Las siguientes herramientas requieren cuentas de conexión válidas en Cisco.com:

■ Centro de descargas: ofrece descargas del software IOS de Cisco

■ Juego de herramientas para reparar defectos: busca modificaciones de software conocidasbasadas en la versión de software, el conjunto de características y las palabras clave

■ Software Advisor: compara las versiones, compara las características del software IOS deCisco y del SO Cisco Catalyst con las versiones y averigua qué versión del software escompatible con un determinado dispositivo de hardware

■ Planificador de actualizaciones del IOS de Cisco: busca las versiones por hardware, versióny conjunto de características, y descarga las imágenes del software IOS de Cisco

Para una lista completa de las herramientas disponibles en Cisco.com, valla a http://www.cisco.com/

en/US/support/tsd_most_requested_tools.html.

4.5.2 Administración de las imágenes del IOS de CiscoSistemas de archivos y dispositivos del IOS de Cisco

La disponibilidad de la red puede estar en riesgo si se compromete el sistema operativo o la con-figuración de un router. Los agresores que obtienen acceso a los dispositivos de infraestructurapueden modificar o eliminar archivos de configuración. También pueden cargar imágenes del IOSno compatibles o eliminar la imagen del IOS. Las modificaciones se invocan automáticamente o seinvocan una vez que se reinicia el dispositivo.

Para mitigar estos problemas, debe poder guardar, hacer una copia de seguridad y restaurar la con-figuración y las imágenes del IOS. Para ello, debe aprender a realizar algunas operaciones de ad-ministración de archivos en el software IOS de Cisco.

Los dispositivos del IOS de Cisco cuentan con una característica denominada Sistema de archivosintegrados (IFS) del IOS de Cisco. Este sistema le permite crear, navegar y manipular directorios enun dispositivo Cisco. Los directorios disponibles dependen de la plataforma.

Por ejemplo, la figura muestra el resultado del comando show file systems que enumera todoslos sistemas de archivos disponibles en un router Cisco 1841. Este comando proporciona informa-


ción útil, como la cantidad de memoria disponible y libre, el tipo de sistema de archivos y sus per-misos. Los permisos incluyen sólo lectura (ro), sólo escritura (wo) y lectura y escritura (rw).

Si bien hay varios sistemas de archivos enumerados, a nosotros nos interesan los sistemas dearchivos tftp, flash y nvram. Los demás sistemas de archivos enumerados exceden el alcance de este curso.

Los sistemas de archivos de la red incluyen el uso de FTP, FTP trivial (TFTP) o Protocolo decopia remota (RCP). Este curso se centra en el TFTP.

Tenga en cuenta que el sistema de archivos flash también está precedido por un asterisco que in-dica que se trata del actual sistema de archivos predeterminado. Recuerde que el IOS de arranqueestá ubicado en flash; por lo tanto, el símbolo numeral (#) agregado al listado de flash indica que se trata de un disco de arranque.

Haga clic en el botón Flash de la figura.

Esta figura enumera el contenido del sistema de archivos predeterminado actual, en este caso flash,como indicaban los asteriscos que precedían la lista de la figura anterior. Hay varios archivos ubi-cados en flash, sin embargo, lo que nos interesa específicamente es el último listado, que es elnombre de las imágenes de archivos del IOS actual que se ejecutan en RAM.

Haga clic en el botón NVRAM de la figura.

Para ver el contenido de NVRAM, debe modificar el sistema de archivos predeterminado actualmediante el comando de cambio de directorio cd. El comando de directorio en uso actual pwd veri-fica que estemos ubicados en el directorio NVRAM. Por último, el comando dir enumera los con-tenidos de NVRAM. Pese a que hay varios archivos de configuración enumerados, lo que nosinteresa específicamente es el archivo de configuración de inicio.

Prefijos de URL para los dispositivos Cisco

Cuando el administrador de una red desea mover los archivos dentro de un equipo, el sistema ope-rativo ofrece una estructura visible de archivos para especificar orígenes y destinos. Los adminis-tradores no necesitan tener claves visuales cuando trabajan en la CLI de un router. El comandoshow file systems del tema anterior muestra los diversos sistemas de archivos disponibles en laplataforma del Cisco 1841.

Las ubicaciones de los archivos se especifican en el IFS de Cisco que utiliza la convención URL. LasURL utilizadas por las plataformas IOS de Cisco tienen una apariencia similar al formato que ustedconoce de la Web.

Por ejemplo, el TFTP de muestra de la figura es: tftp://192.168.20.254/configs/backup-config.

■ La expresión “tftp”: se denomina prefijo.

■ Todo lo que aparece después de la doble barra oblicua (//) define la ubicación.

■ 192.168.20.254 es la ubicación del servidor TFTP.

■ “configs” es el directorio maestro.

■ “backup-configs” es el nombre del archivo.

El prefijo URL especifica el sistema de archivos. Desplácese sobre los diversos botones de lafigura para ver los prefijos comunes y la sintaxis asociada a cada uno.

Comandos para administrar los archivos de configuración

Una buena práctica para mantener la disponibilidad del sistema es asegurarse de tener siemprecopias de seguridad de los archivos de configuración de inicio y de los archivos de imagen del


IOS. El comando copy del software IOS de Cisco se utiliza para mover los archivos de configu-ración de un componente o dispositivo a otro, como RAM, NVRAM o un servidor TFTP. Lafigura resalta la sintaxis del comando.

A continuación, se proporcionan ejemplos del uso común del comando copy. Los ejemplos enu-meran dos métodos que se pueden utilizar para realizar las mismas tareas. El primer ejemplo esuna sintaxis sencilla, y el segundo proporciona un ejemplo más explícito.

Copiar la configuración en ejecución de la RAM a la configuración de inicio de NVRAM:

R2# copy running-config startup-config

R2# copy system:running-config nvram:startup-config

Copiar la configuración en ejecución de la RAM a una ubicación remota:

R2# copy running-config tftp:

R2# copy system:running-config tftp:

Copiar una configuración desde un origen remoto a la configuración en ejecución:

R2# copy tftp: running-config

R2# copy tftp: system:running-config

Copiar una configuración de un origen remoto a la configuración de inicio:

R2# copy tftp: startup-config

R2# copy tftp: nvram:startup-config

Normas de denominación de archivos del IOS de Cisco

El archivo de la imagen IOS de Cisco se basa en una norma de denominación especial. El nombredel archivo de imagen del IOS de Cisco contiene varias partes, cada una con un significado especí-fico. Es importante que comprenda esta norma de denominación al actualizar y seleccionar un IOS.

Por ejemplo, el nombre de archivo de la figura se explica de la siguiente manera:

La primera parte, c1841, identifica la plataforma en la que se ejecuta la imagen. En este ejemplo, laplataforma es una Cisco 1841.

La segunda parte, ipbase, especifica el conjunto de características. En este caso, “ipbase” hace refe-rencia a la imagen básica de internetworking de IP. Otros posibles conjuntos de características son:

i: designa el conjunto de características IP

j: designa el conjunto de características empresariales (todos los protocolos)

s: designa un conjunto de características PLUS (más colas, manipulación o traducciones)

56i: designa la encriptación DES de IPsec de 56 bits

3: designa el firewall/IDS

k2: designa la encriptación 3DES de IPsec (168 bits)

La tercera parte, mz, indica el lugar en que se ejecuta la imagen y si el archivo está comprimido.En este ejemplo, “mz” indica que el archivo se ejecuta desde la RAM y está comprimido.

La cuarta parte, 12.3-14.T7, es el número de versión.

La parte final, bin, es la extensión del archivo. La extensión .bin indica que se trata de un archivobinario ejecutable.


4.5.3 Administración de las imágenes del IOS de CiscoUso de los servidores TFTP para administrar imágenes del IOS

Por lo general, las internetworks de producción abarcan áreas extensas y contienen varios routers.Una tarea importante del administrador consiste en actualizar continuamente la versión de las imá-genes del IOS de Cisco IOS cada vez que se descubren explotaciones y vulnerabilidades. Asegu-rarse de que todas sus plataformas estén ejecutando la misma versión del software IOS de Cisco,cada vez que sea posible, también es una práctica atinada. Por último, en todas las redes, siemprees prudente conservar una copia de seguridad de la imagen del software IOS de Cisco para el casode que la imagen del sistema que se encuentra en el router se dañe o se borre por accidente.

Los routers de amplia distribución necesitan un sitio para ubicar el origen o la copia de seguridadde las imágenes de software. El uso de un servidor TFTP de red permite que se carguen y descar-guen imágenes y configuraciones a través de la red. El servidor TFTP de red puede ser otro router,una estación de trabajo o un sistema de hosts.

Con el crecimiento de las redes, el almacenamiento de las imágenes y los archivos de configu-ración del software IOS de Cisco, en el servidor TFTP central, permite controlar la cantidad y elnivel de revisión de las imágenes y los archivos de configuración del software IOS de Cisco que sedeben conservar.

Antes de modificar una imagen del software IOS de Cisco en el router, debe llevar a cabo las si-guientes tareas:

■ Determinar la memoria necesaria para la actualización y, si fuera necesario, instalar másmemoria.

■ Configurar y probar la capacidad de transferencia de archivos entre el host del administrador yel router.

■ Programar el tiempo de inactividad necesario, normalmente, fuera del horario laboral, paraque el router lleve a cabo la actualización.

Cuando esté listo para completar la actualización, siga estos pasos:

■ Cierre todas las interfaces del router que no sean necesarias para realizar la actualización.

■ Realice una copia de seguridad del sistema operativo actual y del archivo de configuraciónactual en un servidor TFTP.

■ Cargue la actualización para el sistema operativo o el archivo de configuración.

■ Realice una prueba para confirmar que la actualización funciona correctamente. Si elresultado de las pruebas es satisfactorio, puede volver a activar las interfaces que desactivó. Siel resultado de las pruebas no es satisfactorio, salga de la actualización, determine dóndeestuvo el error y comience nuevamente.

Para los operadores de red, constituye un gran desafío minimizar el tiempo de inactividad que segenera después de que un router ha sido comprometido, y el software operativo y los datos de con-figuración se han borrado del almacenamiento persistente. El operador debe recuperar una copia ar-chivada (si es que existe) de la configuración y restaurar una imagen de trabajo al router. Acontinuación, se debe llevar a cabo la recuperación de cada router afectado, lo que contribuye altiempo de inactividad total de la red.

Tenga en cuenta que la característica de configuración flexible del software IOS de Cisco permitea un router proteger y mantener una copia de trabajo de la imagen y de la configuración del


sistema operativo en ejecución, de manera que esos archivos puedan tolerar intentos maliciosos deborrar los contenidos del almacenamiento persistente (NVRAM y flash).

4.5.4 Realización de una copia de seguridad y unaactualización de la imagen del softwareRealización de una copia de seguridad de la imagen del software IOS

Entre las tareas básicas de administración, se incluyen guardar copias de seguridad de sus archivosde configuración y descargar e instalar archivos de configuración actualizados cuando se indique.Un archivo de imagen de copia de seguridad de software se crea copiando el archivo de imagen deun router a un servidor TFTP de red.

Para copiar una imagen del software IOS de Cisco de la memoria flash al servidor TFTP de red,debe seguir los pasos que se sugieren a continuación.

Haga clic en los botones Topología y Config de la figura, a medida que completa cada paso.

Paso 1. Haga ping en el servidor TFTP para asegurarse de que tiene acceso a él.

Paso 2. Verifique que el servidor TFTP tenga suficiente espacio en disco para contener la imagendel software IOS de Cisco. Use el comando show flash: del router para determinar el tamaño delarchivo de imagen del software IOS de Cisco.

El comando show flash: es una herramienta importante para recopilar información acerca de lamemoria del router y del archivo de imagen. Puede determinar los siguientes elementos:

■ Cantidad total de memoria flash en el router

■ Cantidad de memoria flash disponible

■ Nombre de todos los archivos almacenados en la memoria flash

Una vez completados los pasos 1 y 2, realice una copia de seguridad de la imagen del software.

Paso 3. Copie el archivo de imagen del sistema actual del router en el servidor TFTP de red me-diante el comando copy flash: tftp: en el modo EXEC privilegiado. El comando requiere queescriba la dirección IP del host remoto y el nombre de los archivos de imagen del sistema de ori-gen y destino.

Durante el proceso de copia, los signos de exclamación (!) indican el progreso. Cada signo de ex-clamación significa que un segmento del UDP se ha transferido con éxito.

Actualización de las imágenes del software IOS

Actualizar un sistema a una versión de software más nueva requiere descargar un archivo de ima-gen del sistema diferente en el router. Use el comando copy tftp: flash: para descargar lanueva imagen desde el servidor TFTP de red.

Haga clic en el botón Config de la figura.

El comando le solicita que escriba la dirección IP del host remoto y el nombre del archivo de ima-gen del sistema de origen y destino. Escriba el nombre de archivo de la imagen de la actualizacióncorrespondiente, tal como aparece en el servidor.

Una vez confirmadas estas entradas, aparece el indicador Erase flash: . Borrar la memoria flashdeja espacio para la nueva imagen. Borre la memoria flash si ésta no es suficiente para más de unaimagen del IOS de Cisco. Si no hay memoria flash libre disponible, se debe llevar a cabo la rutina deborrado para poder copiar nuevos archivos. El sistema le informa acerca de estas condiciones y le so-licita una respuesta.


Cada signo de exclamación (!) significa que un segmento del UDP se ha transferido con éxito.

Nota: Asegúrese de que la imagen del IOS de Cisco cargada sea adecuada para la plataforma delrouter. Si se carga una imagen incorrecta del IOS de Cisco, el router podría no arrancar, lo que re-queriría intervención del monitor de la ROM (ROMmon).

En esta actividad, configura el acceso a un servidor TFTP y carga una imagen del IOS de Ciscomás nueva y más avanzada. Pese a que Packet Tracer simula una actualización de la imagen delIOS de Cisco en un router, no simula una copia de seguridad de la imagen del IOS de Cisco en el servidor TFTP. Además, pese a que la imagen a la que está actualizando es más avanzada,esta simulación de Packet Tracer no refleja la actualización al activar comandos más avanzados. Sesigue utilizando el mismo conjunto de comandos de Packet Tracer.



4.5.5 Recuperación de las imágenes del softwareRestauración de las imágenes del software IOS

Un router no funciona sin su software IOS de Cisco. Si se elimina o se daña el IOS, un administra-dor debe copiar una imagen en el router para que funcione nuevamente.

Una forma de lograrlo sería utilizar la imagen del IOS de Cisco que se guardó anteriormente en elservidor TFTP. En el ejemplo de la figura, se hizo una copia de seguridad de la imagen del IOS de R1en un servidor TFTP conectado a R2. R1 no logra conectarse a ese servidor TFTP en su estado actual.

Cuando un IOS de un router se elimina accidentalmente de la memoria flash, el router sigue fun-cionando porque IOS se está ejecutando en la memoria RAM. Sin embargo, es esencial que elrouter no se reinicie en este momento, ya que no podría encontrar un IOS válido en flash.

En la figura, el IOS del router R1 se ha eliminado accidentalmente de la memoria flash. Desafortu-nadamente, el router se ha reiniciado y ya no puede cargar un IOS. Ahora está cargando el indi-cador de ROMmon predeterminado. Mientras se encuentra en este estado, el router R1 necesitarecuperar el IOS que se había copiado anteriormente en el servidor TFTP conectado a R2. En estasituación, el servidor TFTP se conecta directamente al router R1. Una vez realizados los prepara-tivos con el servidor TFTP, lleve a cabo el siguiente procedimiento.

Paso 1. Conecte los dispositivos.

■ Conecte la PC del administrador del sistema al puerto de consola del router afectado.

■ Conecte el servidor TFTP al primer puerto Ethernet del router. En la figura, R1 es un routerCisco 1841; por lo tanto, el puerto es Fa0/0. Active el servidor TFTP y configúrelo con ladirección IP estática 192.168.1.1/24.

Paso 2. Inicie el router y defina las variables de ROMmon.

Dado que el router no tiene una imagen del IOS de Cisco válida, el router arranca automática-mente en el modo ROMmon. Hay muy pocos comandos disponibles en el modo ROMmon. Puedeverlos al escribir ? en el indicador de comando rommon>.

Debe escribir todas las variables que se enumeran en la figura. Cuando escribe las variables deROMmon, tenga en cuenta lo siguiente:

■ Los nombres de variables hacen distinción entre mayúsculas y minúsculas.

■ No incluya ningún espacio antes o después del símbolo =.


■ Cuando sea posible, use un editor de texto para cortar y pegar las variables en la ventana determinal. Debe escribir la línea completa correctamente.

■ Las teclas de navegación no funcionan.

Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al servidorTFTP. La sintaxis de los comandos de ROMmon es esencial. Si bien las direcciones IP, la máscarade subred y el nombre de la imagen de la figura son sólo ejemplos, es esencial respetar la sintaxisque se muestra al configurar el router. Tenga en cuenta que las variables reales cambian según suconfiguración.

Cuando haya escrito las variables, continúe con el paso siguiente.

Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon.

El comando muestra las variables de entorno necesarias y advierte que se borran todos los datosexistentes en la memoria flash. Escriba y para seguir y presione Intro. El router intenta conectarseal servidor TFTP para comenzar la descarga. Cuando esté conectado, la descarga comienza segúnlo indicado por las marcas del signo de exclamación (!). Cada ! indica que el router ha recibido un segmento UDP.

Puede utilizar el comando reset para volver a cargar el router con la nueva imagen del IOS de Cisco.

Uso de xmodem para restaurar una imagen del IOS

Usar el comando tftpdnld es una forma muy rápida de copiar el archivo de imagen. Otro métodopara restaurar una imagen del IOS de Cisco en un router es utilizar Xmodem. Sin embargo, latransferencia del archivo se logra mediante el cable de la consola y, por lo tanto, es muy lenta encomparación con el comando tftpdnld.

Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando arranca.ROMmon es compatible con Xmodem. Con esa capacidad, el router puede comunicarse con unaaplicación de emulación de terminal, como HyperTerminal, en la PC del administrador del sis-tema. Un administrador del sistema que tiene una copia de la imagen del IOS de Cisco en una PCpuede restaurarla al router estableciendo una conexión de consola entre la PC y el router, y ejecu-tando Xmodem desde HyperTerminal.

Los pasos que sigue el administrador se muestran en la figura.

Paso 1. Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abrauna sesión de emulación de terminal entre el router R1 y la PC del administrador del sistema.

Paso 2. Inicie el router y emita el comando xmodem en el indicador de ROMmon.

La sintaxis del comando es xmodem [-cyr] [nombre de archivo]. La opción cyr varía según laconfiguración. Por ejemplo, -c especifica CRC-16, y especifica el protocolo Ymodem y r copia la imagen a la memoria RAM. Filename es el nombre del archivo que se debe transferir.

Acepte todas las solicitudes cuando se le indique, como se muestra en la figura.

Paso 3. La figura muestra el proceso para enviar un archivo mediante HyperTerminal. En estecaso, seleccione Transfer > Send File.

Paso 4. Explore la ubicación de la imagen del IOS de Cisco que desea transferir y elija el proto-colo Xmodem. Haga clic en Send. Aparece un cuadro de diálogo en donde se muestra el estado dela descarga. El host y el router comienzan a transferir la información después de varios segundos.

Cuando comienza la descarga, los campos Paquete y Transcurrido aumentan. Preste atención al in-dicador del tiempo restante estimado. El tiempo de descarga podría mejorarse drásticamente simodifica la velocidad de la conexión de HyperTerminal y del router de 9600 bps a 115 000 bps.


Cuando finaliza la transferencia, el router se vuelve a cargar automáticamente con el nuevo IOSde Cisco.

4.5.6 Resolución de problemas de las configuraciones delIOS de CiscoComandos para la resolución de problemas del IOS de Cisco

Cuando tiene una imagen válida del IOS de Cisco ejecutándose en todos los routers de la red ytiene copias de seguridad de todas las configuraciones, puede ajustar manualmente las configura-ciones de los dispositivos individuales para mejorar el rendimiento de éstos en la red.

Dos comandos que se usan frecuentemente en la administración de redes cotidiana son show ydebug. La diferencia entre ambos es significativa. Un comando show enumera los parámetros con-figurados y sus valores. El comando debug le permite realizar un seguimiento de la ejecución deun proceso. Use el comando show para verificar las configuraciones. Use el comando debug paraidentificar los flujos de tráfico a través de las interfaces y los procesos del router.

La figura resume las características de los comandos show y debug. El mejor momento para cono-cer los resultados generados por estos comandos es cuando la red funciona a la perfección. De estamanera, puede reconocer qué falta o cuáles son los errores al utilizar los comandos para resolverlos problemas de una red.

Uso del comando show

El comando show muestra información estática. Use los comandos show al compilar hechos paraaislar los problemas de una internetwork, incluidos los problemas con interfaces, nodos, medios,servidores, clientes o aplicaciones. También puede utilizarlo con frecuencia para confirmar la im-plementación de las modificaciones de la configuración.

El ejemplo de la figura proporciona una muestra de los resultados del comando show protocols.La guía de comandos del IOS de Cisco enumera 1463 comandos show. Cuando se encuentre en laventana de comandos, escriba show ? para obtener una lista de los comandos show disponiblespara el nivel y el modo en que está operando.

Uso del comando debug

Cuando configura un router, los comandos que ingresa inician muchos más procesos que los queve en la línea de código simple. Por lo tanto, un seguimiento de las configuraciones escritas líneapor línea no revela todas las posibilidades de error. En cambio, necesita alguna manera de capturardatos desde el dispositivo a medida que se inicia cada paso de un proceso en ejecución.

De forma predeterminada, el servidor de red envía el resultado desde los comandos debug y losmensajes de error del sistema a la consola. Recuerde que puede redireccionar los resultados del comando debug a un servidor syslog.

Nota: Al resultado de la depuración se le asigna una alta prioridad en la cola del proceso de laCPU y, por lo tanto, puede interferir con los procesos de producción normales de una red. Por estemotivo, use los comandos debug durante las horas de tranquilidad y sólo para resolver problemasespecíficos.

El comando debug muestra los sucesos y datos dinámicos. Use debug para verificar el flujo del trá-fico del protocolo, a fin de detectar problemas, defectos del protocolo o configuraciones erróneas.El comando debug proporciona un flujo de información acerca del tráfico que se ve (o no se ve) enuna interfaz, mensajes de error generados por los nodos de una red, paquetes de diagnóstico es-pecíficos del protocolo y otros datos útiles para el diagnóstico de fallas. Use los comandos debug


cuando las operaciones del router o de la red deban verse para determinar si los eventos o los pa-quetes funcionan correctamente.

Todos los comandos debug se introducen en el modo EXEC privilegiado y la mayoría de los co-mandos debug no toman argumentos. Para enumerar y ver una breve descripción de todas las op-ciones de los comandos de depuración, introduzca el comando debug ? en el modo EXECprivilegiado.

Precaución: Es importante desactivar la depuración cuando haya terminado su resolución de pro-blemas. La mejor manera de asegurarse de que no haya operaciones de depuración prolongadas enejecución es utilizar el comando no debug all.

Consideraciones al utilizar el comando debug

Una cosa es utilizar los comandos debug para solucionar los problemas de una red de laboratorioque no tiene tráfico de aplicaciones para usuarios finales. Otra cosa es utilizar los comandos debugen una red de producción de la cual los usuarios dependen para el flujo de datos. Sin las precau-ciones adecuadas, el impacto de un comando debug centrado en sentido amplio podría empeorarlas cosas.

Con el uso adecuado, selectivo y temporario de los comandos debug, puede obtener informaciónpotencialmente útil sin la necesidad de un analizador de protocolos u otra herramienta de terceros.

Otras consideraciones para utilizar los comandos debug son las siguientes:

■ Cuando la información que necesita del comando debug se interpreta y la depuración (y todootro valor de configuración relacionado, si corresponde) finaliza, el router puede reanudar suconmutación más rápida. Se puede reanudar la resolución de problemas, crear un plan deacción mejor encaminado y resolver el problema de la red.

■ Tenga en cuenta que los comandos debug pueden generar demasiados datos de poca utilidadpara un problema específico. Normalmente, el conocimiento del protocolo o de los protocolosque se están depurando es necesario para interpretar correctamente los resultados de debug.

■ Cuando utilice las herramientas de resolución de problemas de debug, tenga en cuenta que losformatos de los resultados varían con cada protocolo. Algunas generan una única línea deresultados por paquete, otras generan varias líneas de resultados por paquete. Algunos comandosdebug generan grandes cantidades de resultados; otros sólo generan resultados ocasionales.Algunos generan líneas de texto y otros generan información en el formato de los campos.

Comandos relacionados con el comando debug

Para utilizar las herramientas de depuración de manera eficaz, debe tener en cuenta lo siguiente:

■ El impacto que tiene una herramienta de resolución de problemas en el rendimiento del router

■ Un uso más selectivo y centrado de la herramienta de diagnóstico

■ Cómo minimizar el impacto de la resolución de problemas en otros procesos que compitenpor recursos en el dispositivo de red

■ Cómo detener la herramienta de resolución de problemas cuando el diagnóstico se completó,a fin de que el router pueda reanudar su conmutación más eficiente

Los siguientes comandos pueden ayudarlo a optimizar el uso eficiente del comando debug:

■ El comando service timestamps se utiliza para agregar una marca de tiempo a unadepuración o mensaje de registro. Esta característica puede proporcionar información valiosa


acerca del momento en que se suscitaron los elementos de la depuración y la duración deltiempo transcurrido entre los sucesos.

■ El comando show processes muestra el uso de la CPU para cada proceso. Estos datos puedeninfluir en las decisiones relativas al uso de un comando debug si indican que el sistema deproducción ya se utiliza demasiado para agregar un comando debug.

■ El comando no debug all desactiva todos los comandos debug. Este comando puede liberarrecursos del sistema después de finalizar la depuración.

■ El comando terminal monitor muestra los resultados de la depuración y los mensajes deerror del sistema para el terminal y la sesión actuales. Cuando hace Telnet a un dispositivo yse emite un comando debug, no se ven resultados a menos que se introduzca este comando.

4.5.7 Recuperación de una contraseña de router perdidaAcerca de la recuperación de contraseñas

¿Alguna vez olvidó la contraseña de un router? Tal vez no, pero en algún momento de su profe-sión, puede esperar que alguien la olvide y tendrá que recuperarla.

Lo primero que debe saber acerca de la recuperación de contraseñas es que, por razones de seguri-dad, necesita acceso físico al router. Conecte su PC al router a través de un cable de consola.

Las contraseñas enable y enable secret protegen el acceso a los modos EXEC privilegiado y deconfiguración. La contraseña enable se puede recuperar, pero la contraseña enable secret de enableestá encriptada y debe reemplazarse con una nueva contraseña.

El registro de configuración es un concepto que conocerá más detalladamente a medida queavance en sus estudios. El registro de configuración es similar a la configuración del BIOS de suPC, que controla el proceso de arranque. Entre otras cosas, el BIOS le indica a la PC desde quédisco duro debe arrancar. En un router, un registro de configuración, representado por un valorhexadecimal único, le indica al router qué pasos específicos debe seguir cuando se enciende. Losregistros de configuración tienen muchos usos y, probablemente, la recuperación de contraseñas esel más frecuente.

Procedimiento de recuperación de contraseña del router

Para recuperar la contraseña de un router, siga estos pasos:

Prepare el dispositivo

Paso 1. Conéctelo al puerto de consola.

Paso 2. Si perdió la contraseña enable, todavía tendrá acceso al modo EXEC de usuario. Escribael comando show version cuando aparezca la indicación y guarde los parámetros de registro deconfiguración.

R>#show version

<show command output omitted>

El registro de configuración es 0x2102R1>

Generalmente, el registro de configuración se define en 0x2102 ó 0x102. Si ya no puede obteneracceso al router (debido a que perdió la contraseña TACACS o de conexión), puede suponer conseguridad que su registro de configuración está definido en 0x2102.

Paso 3. Use el interruptor de alimentación para apagar el router y, a continuación, vuelva a encen-der el router.


Paso 4. Presione Pausa en el teclado del terminal dentro de los 60 segundos desde el encendidopara colocar el router dentro de ROMmon.

Haga clic en Ignorar inicio en la figura.

Paso 5. Escriba confreg 0x2142 en la ventana rommon 1>. Esto hace que el router ignore la con-figuración de inicio donde se almacena la contraseña enable olvidada.

Paso 6. Escriba reset en la ventana rommon 2>. El router se reinicia, pero ignora la configuraciónguardada.

Paso 7. Escriba no después de cada pregunta de configuración, o presione Ctrl-C para saltear elprocedimiento de configuración inicial.

Paso 8. Escriba enable cuando aparezca el indicador Router>. Esto lo coloca en el modo enable ydebe poder ver el indicador Router#.

Haga clic en Acceder a NVRAM en la figura.

Paso 9. Escriba copy startup-config running-config para copiar la NVRAM en la memoria.Tenga cuidado. No escriba copy running-config startup-config porque borra su configuraciónde inicio.

Paso 10. Escriba show running-config. En esta configuración, el comando shutdown aparece de-bajo de todas las interfaces, porque todas están actualmente cerradas. Lo que es más importante,ahora puede ver las contraseñas (contraseña enable, enable secret, vty, contraseñas de consola) yasea en formato encriptado o no encriptado. Puede volver a usar las contraseñas sin encriptar. Debecambiar las contraseñas encriptadas por una nueva contraseña.

Haga clic en Restablecer contraseñas en la figura.

Paso 11. Escriba configure terminal. Aparece la ventana R1(config)#.

Paso 12. Escriba enable secret password para modificar la contraseña enable secret. Por ejemplo:

R1(config)# enable secret cisco

Paso 13. Emita el comando no shutdown en cada interfaz que desee utilizar. Puede emitir un co-mando show ip interface brief para confirmar que la configuración de su interfaz sea correcta.Cada interfaz que desee utilizar debe mostrar activado activado.

Paso 14. Escriba config-register configuration_register_setting.configuration_register_setting es el valor que registró en el Paso 2 o 0x2102 . Por ejemplo:

R1(config)#config-register 0x2102

Paso 15. Presione Ctrl-Z o escriba end para abandonar el modo de configuración. Aparece la ven-tana R1#.

Paso 16. Escriba copy running-config startup-config para realizar los cambios.

Ha finalizado la recuperación de contraseñas. Al introducir el comando show version confirmaque el router utilizará los parámetros del registro de configuración establecidos la próxima vez quese reinicie.


4.6 Prácticas de laboratorio del capítulo4.6.1 Configuración de seguridad básicaEn esta práctica de laboratorio, aprende a configurar la seguridad básica de la red mediante la redque se muestra en el diagrama de topología. Aprende a configurar la seguridad de los routers detres maneras diferentes: utilizando la CLI, la característica auto-secure y el SDM de Cisco. Tam-bién aprende a administrar el software IOS de Cisco.

4.6.2 Desafío de configuración de seguridadEn esta práctica de laboratorio, configura la seguridad utilizando la red que se muestra en el dia-grama de topología. Si necesita ayuda, consulte la práctica de laboratorio Seguridad básica. Noobstante, intente hacer lo máximo posible por su cuenta. Para esta práctica de laboratorio, no usela protección de conexión o contraseña en las líneas de consola, porque podrían provocar una des-conexión accidental. No obstante, todavía debe proteger la línea de consola utilizando otros me-dios.Use ciscoccna para todas las contraseñas de esta práctica de laboratorio.

4.6.3 Configuración de la seguridad de la resolución deproblemasSu empresa acaba de contratar a un nuevo ingeniero de redes que ha provocado algunos problemasde seguridad en la red mediante configuraciones incorrectas y descuidos. Su jefe le ha solicitadoque corrija los errores provocados por el nuevo ingeniero al configurar los routers. Mientras co-rrige los problemas, asegúrese de que todos los dispositivos sean seguros, pero que todavía los ad-ministradores puedan obtener acceso a ellos, y de que se pueda llegar a todas las redes. Se debepoder acceder a todos los routers con SDM desde PC1. Verifique que un dispositivo sea seguromediante el uso de herramientas, como Telnet y ping. Se debe bloquear el uso no autorizado deestas herramientas, pero también debe asegurarse de que el uso autorizado esté permitido. Para estapráctica de laboratorio, no use la protección de contraseña o conexión en las líneas de consola paraimpedir el bloqueo accidental. Use ciscoccna para todas las contraseñas de esta situación.


Resumen del capítuloNo se puede subestimar la importancia de la seguridad de la red. En este capítulo, se hizo hincapiéen la importancia de desarrollar una política de seguridad eficaz y, luego, en cumplir lo que ésta le exige que haga. Usted conoce las amenazas de su red, tanto las provenientes del interior comodel exterior, y conoce los pasos básicos que debe seguir para protegerse de estas amenazas.Además, ahora comprende los requisitos para equilibrar la seguridad contra el acceso.

Los ataques a la red provienen de todas las direcciones y se manifiestan de muchas formas. Losataques a las contraseñas son fáciles de iniciar, pero también es fácil defenderse de ellos. Las tácti-cas de la ingeniería social requieren que los usuarios desarrollen un grado de desconfianza y decuidado. Una vez que un agresor obtiene acceso a una red, literalmente puede abrir todas las puer-tas. Pero los agresores no siempre necesitan obtener acceso para provocar estragos. Se pueden lan-zar ataques de denegación de servicio que pueden sobrecargar los recursos de la red hasta el puntode ya no poder funcionar. Los gusanos, virus y caballos de Troya pueden ingresar a las redes yseguir propagándose e infectando dispositivos.

Una tarea clave para proteger una red es proteger los routers. Los routers son la puerta de entradahacia el interior de la red y son objetivos obvios. Las tareas administrativas básicas como buenaseguridad física, mantener el IOS actualizado y realizar una copia de seguridad de los archivos deconfiguración son un comienzo. El software IOS de Cisco proporciona una gran cantidad de carac-terísticas de seguridad para asegurar los routers y cerrar las puertas abiertas por los puertos y servi-cios utilizados, la mayoría de las cuales se pueden finalizar utilizando la característica de bloqueoen un paso del SDM de Cisco.

Esta actividad es una revisión acumulativa del capítulo que contempla el enrutamiento OSPF, laautenticación y actualización de la imagen del IOS de Cisco.





CAPÍTULO 5

ACL

IntroducciónLa seguridad de la red es un tema muy amplio y una buena parte de él va más allá del alcance deeste curso. No obstante, una de las capacidades más importantes que un administrador de red nece-sita es el dominio de las listas de control de acceso (ACL). Los administradores utilizan las ACLpara detener el tráfico o permitir sólo el tráfico específico y, al mismo tiempo, para detener el restodel tráfico en sus redes. Este capítulo brinda la oportunidad de desarrollar su dominio de las ACLcon una serie de lecciones, actividades y prácticas de laboratorio.

Los diseñadores de red utilizan firewalls para proteger las redes contra el uso no autorizado. Losfirewalls son soluciones de hardware o software que hacen cumplir las políticas de seguridad de lared. Es como la cerradura de la puerta de la habitación de un edificio. La cerradura sólo permiteque ingresen los usuarios autorizados con una llave o tarjeta de acceso. Del mismo modo, los fire-walls filtran el ingreso a la red de los paquetes no autorizados o potencialmente peligrosos. En unrouter Cisco, puede configurar un simple firewall que proporcione capacidades básicas de filtradode tráfico mediante las ACL.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direccioneso protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el tráfico de en-trada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados.

El motivo más importante para configurar las ACL es brindar seguridad a la red. En este capítulo,se explica cómo utilizar las ACL estándar y extendidas como parte de una solución de seguridad y se enseña a configurarlas en un router Cisco. Se incluyen sugerencias, consideraciones, re-comendaciones y pautas generales sobre el uso de las ACL.

5.1 Cómo utilizar las ACL para la protección de redes

5.1.1 Una conversación TCPLas ACL le permiten controlar el tráfico de entrada y de salida de la red. Este control puede ser tansimple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL tambiénpueden configurarse para controlar el tráfico de red según el puerto TCP que se utiliza. Para com-prender cómo funciona una ACL con TCP, observemos el diálogo durante una conversación TCPcuando descarga una página Web a su equipo.

Cuando solicita datos de un servidor Web, IP se encarga de la comunicación entre la PC y el servi-dor. TCP se encarga de la comunicación entre su navegador Web (aplicación) y el software deservidor de red. Cuando envía un correo electrónico, visita una página Web o descarga un archivo,TCP es el responsable de desglosar los datos en paquetes para IP, antes de enviarlos, y de integrarlos datos de los paquetes al recibirlos. El proceso de TCP es muy similar a una conversación,donde dos nodos de una red aceptan transferir datos entre sí.


Recuerde que TCP ofrece un servicio orientado a la conexión, confiable y de stream de bytes. El término “orientado a la conexión” significa que las dos aplicaciones que utilizan TCP deben establecer una conexión TCP entre sí antes de intercambiar datos. TCP es un protocolo full-du-plex, que significa que cada conexión TCP admite un par de streams de bytes, y cada stream flu-ye en una dirección. TCP incluye un mecanismo de control de flujo para cada stream de bytes que permite al receptor limitar la cantidad de datos que el transmisor puede enviar. TCP tambiénimplementa un mecanismo de control de congestión.

Haga clic en el botón Reproducir que se muestra en la figura para ver la animación.

La animación muestra cómo se lleva a cabo una conversación TCP/IP. Los paquetes TCP se mar-can con señalizadores que indican su finalidad. SYN inicia (sincroniza) la sesión; ACK es unacuse de recibo de que se recibió el paquete esperado, y FIN finaliza la sesión. SYN/ACK acusarecibo de que la transferencia se sincronizó. Los segmentos de datos TCP incluyen el protocolo denivel superior necesario para orientar los datos de la aplicación hacia la aplicación correcta.

Haga clic en el botón Números de puerto TCP/UDP que se muestra en la figura.

El segmento de datos TCP identifica, además, el puerto que coincide con el servicio solicitado. Porejemplo, HTTP es puerto 80, SMTP es puerto 25 y FTP es puerto 20 y puerto 21. La figura mues-tra ejemplos de puertos UDP y TCP.

Haga clic en los botones de la figura para explorar los puertos TCP/UDP.

5.1.2 Filtrado de paquetesEl filtrado de paquetes, a veces denominado filtrado estático de paquetes, controla el acceso a lared, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso según un criterioestablecido.

Un router actúa como filtro de paquetes cuando reenvía o deniega paquetes según las reglas de fil-trado. Cuando un paquete llega al router de filtrado de paquetes, éste extrae determinada informa-ción del encabezado del paquete y toma decisiones según las reglas de filtrado, ya sea autorizar elingreso del paquete o descartarlo. El filtrado de paquetes actúa en la capa de red del modelo de inter-conexión de sistema abierto (OSI, Open Systems Interconnection) o en la capa Internet de TCP/IP.

Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la au-torización o denegación del tráfico según las direcciones IP de origen y de destino, el puerto ori-gen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas decontrol de acceso o ACL.

Recuerde que una ACL es una lista secuencial de sentencias de permiso o denegación que se apli-can a direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente informacióndel encabezado del paquete, probarla respecto de las reglas y decidir si “permitir” o “denegar” elingreso según los siguientes criterios:

■ Dirección IP de origen

■ Dirección IP de destino

■ Tipo de mensaje ICMP

La ACL también puede extraer información de las capas superiores y probarla respecto de las re-glas. La información de las capas superiores incluye:

■ Puerto TCP/UDP de origen

■ Puerto TCP/UDP de destino

Capítulo 5: ACL 141

Haga clic en los botones de la figura para obtener un panorama general sobre la manera en la queuna ACL permite o deniega el paquete. Si bien las animaciones muestran el filtrado de paquetes enla Capa 3, debe aclararse que el filtrado puede tomar lugar también en la Capa 4.

Ejemplo de filtrado de paquetes

Para comprender el concepto de cómo el router utiliza el filtrado de paquetes, imagine a unguardia ubicado delante de una puerta cerrada. Las instrucciones del guardia son permitir el in-greso sólo a las personas que aparezcan en una lista. El guardia filtra las personas según el criteriode la lista de nombres autorizados.

Por ejemplo, puede decir: “Sólo permitir el acceso Web a usuarios de la red A. Denegar el accesoWeb a usuario de la red B, pero permitirles los otros accesos”. Consulte la figura a fin de analizarla ruta de decisión que utiliza el filtro de paquetes para realizar esta tarea.

Para esta situación, el filtro de paquetes observa cada paquete de la siguiente manera:

■ Si el paquete tiene el señalizador TCP SYN de la red A y utiliza el puerto 80, está autorizadoa ingresar. Se deniega todo otro acceso a esos usuarios.

■ Si el paquete tiene el señalizador TCP SYN de la red B y utiliza el puerto 80, no puedeingresar. Sin embargo, se le permiten todos los demás accesos.

Éste es sólo un ejemplo. El usuario puede configurar varias reglas para luego permitir o denegarotros servicios a determinados usuarios. También puede filtrar paquetes a nivel de puerto con unaACL extendida, que se incluye en la Sección 3.

5.1.3 ¿Qué es una ACL?La ACL es una configuración de router que controla si un router permite o deniega paquetes segúnel criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos más común-mente utilizados en el software IOS de Cisco. Las ACL también se utilizan para seleccionar lostipos de tráfico por analizar, reenviar o procesar de otras maneras.

Como cada paquete llega a través de una interfaz con una ACL asociada, la ACL se revisa dearriba a abajo, una línea a la vez, y se busca un patrón que coincida con el paquete entrante. LaACL hace cumplir una o más políticas de seguridad corporativas al aplicar una regla de permiso odenegación para determinar el destino del paquete. Es posible configurar las ACL para controlar elacceso a una red o subred.

De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra eltráfico. El tráfico que ingresa al router es enrutado según la tabla de enrutamiento. Si no utiliza unaACL en el router, todos los paquetes que pueden enrutarse a través del router lo atraviesan hacia elpróximo segmento de la red.

A continuación, le presentamos pautas para el uso de las ACL:

■ Utilice las ACL en routers firewall entre su red interna y su red externa, como Internet.

■ Utilice las ACL en un router situado entre dos partes de la red a fin de controlar el tráfico queentra o sale de una parte específica de su red interna.

■ Configure las ACL en routers de borde situados en los extremos de la red. Esto proporcionaun búfer muy básico desde la red externa, o entre un área menos controlada y un área mássensible de su red.

■ Configure las ACL para cada protocolo de red configurado en las interfaces del router de borde.Puede configurar las ACL en una interfaz para filtrar el tráfico entrante, saliente o ambos.


Haga clic en el botón Las ACL en un router que muestra la figura.

Las tres P

Puede recordar una regla general para aplicar las ACL en un router mediante las tres P. Puede con-figurar una ACL por protocolo, por dirección y por interfaz.

■ Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe definir unaACL para cada protocolo habilitado en la interfaz.

■ Una ACL por dirección: las ACL controlan el tráfico en una dirección a la vez de unainterfaz. Deben crearse dos ACL por separado para controlar el tráfico entrante y saliente.

■ Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, FastEthernet 0/0.

Escribir una ACL puede ser una tarea desafiante y compleja. Cada interfaz puede tener varios pro-tocolos y direcciones definidos. El router del ejemplo tiene dos interfaces configuradas para IP:AppleTalk e IPX. Es probable que este router necesite 12 ACL por separado, una ACL para cadaprotocolo, multiplicada por dos por cada dirección y por dos por la cantidad de puertos.

Las ACL realizan las siguientes tareas:

■ Limitar el tráfico de red para mejorar el rendimiento de ésta. Por ejemplo, si la políticacorporativa no permite el tráfico de video en la red, pueden configurarse y aplicarse las ACLque bloquean el tráfico de video. Esto reduce considerablemente la carga de la red y aumentasu rendimiento.

■ Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizacionesde enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, sepreserva el ancho de banda.

■ Proporcionar un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitirque un host acceda a una parte de la red y evitar que otro acceda a la misma área. Por ejemplo,el acceso a la red de Recursos Humanos puede restringirse a determinados usuarios.

■ Se debe decidir qué tipos de tráfico enviar o bloquear en las interfaces del router. Por ejemplo,una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.

■ Controlar las áreas de la red a las que puede acceder un cliente.

■ Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL puedenpermitir o denegar el acceso de un usuario a tipos de archivos, como FTP o HTTP.

Las ACL inspeccionan los paquetes de la red según un criterio, como dirección de origen, de des-tino, protocolos y números de puerto. Además de permitir o denegar el tráfico, una ACL puedeclasificar el tráfico para darle prioridad en la línea. Esta capacidad es similar a tener un pase VIPpara un concierto o evento deportivo. El pase VIP le da a determinados invitados privilegios queno se ofrecen al público en general, como el ingreso a áreas restringidas y asientos en el palco.

5.1.4 Funcionamiento de las ACLCómo funcionan las ACL

Las listas de acceso definen el conjunto de reglas que proporcionan control adicional para los pa-quetes que ingresan a las interfaces de entrada, paquetes que pasan a través del router y paquetes quesalen de las interfaces de salida del router. Las ACL no actúan sobre paquetes que se originan en elmismo router.


Las ACL se configuran para ser aplicadas al tráfico entrante o saliente.

■ ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz desalida. Una ACL de entrada es eficaz porque guarda la carga de búsquedas de enrutamiento siel paquete se descarta. Si el paquete está autorizado por las pruebas, luego se procesa para elenrutamiento.

■ ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesadosa través de la ACL de salida.

Las sentencias de la ACL operan en orden secuencial. Comparan los paquetes con la ACL, dearriba hacia abajo, una sentencia a la vez.

La figura muestra la lógica para una ACL de entrada. Si coinciden un encabezado de paquete y unasentencia de ACL, se omite el resto de las sentencias de la lista y el paquete tiene permitido pasar ono, según la sentencia coincidente. Si el encabezado del paquete no coincide con una sentencia deACL, el paquete se prueba según la siguiente sentencia de la lista. Este proceso de coincidenciacontinúa hasta el final de la lista.

Una sentencia implícita final cubre todos los paquetes para los cuales las condiciones no resultanverdaderas. Esta última prueba coincide con todos los demás paquetes y produce una “dene-gación” del paquete. En lugar de salir o entrar a una interfaz, el router descarta todos los paquetesrestantes. La última sentencia generalmente se denomina “implicit deny any statement” (denegarimplícitamente una sentencia) o “deny all traffic” (denegar todo el tráfico). Debido a esta senten-cia, una ACL debe contar con, al menos, una sentencia de permiso; de lo contrario, la ACL blo-quea todo el tráfico.

Puede aplicar una ACL a varias interfaces. Sin embargo, sólo puede haber una ACL por protocolo,por dirección y por interfaz.

Haga clic en el botón ACL de salida que se muestra en la figura.

La figura muestra la lógica para una ACL de salida. Antes de reenviar un paquete a una interfaz desalida, el router verifica la tabla de enrutamiento para ver si el paquete es enrutable. Si no lo es, sedescarta. A continuación, el router verifica si la interfaz de salida se agrupa a una ACL. Si la inter-faz de salida no se agrupa a una ACL, el paquete puede enviarse al búfer de salida. Algunos ejem-plos del funcionamiento de las ACL de salida son los siguientes.

■ Si la interfaz de salida no se agrupa a una ACL de salida, el paquete se envía directamente a lainterfaz de salida.

■ Si la interfaz de salida se agrupa a una ACL de salida, el paquete no se envía a una interfaz desalida hasta probarlo según la combinación de sentencias de ACL asociadas a la interfaz. Deacuerdo con el resultado de las pruebas realizadas por la ACL, el paquete se puede permitir odenegar.

Para las listas de salida, “permitir” significa enviar el paquete al búfer de salida y “denegar” sig-nifica descartarlo.

Las ACL y el enrutamiento, y los procesos de las ACL en un router

La figura muestra la lógica de enrutamiento y los procesos de las ACL en un router. Cuando un pa-quete llega a la interfaz del router, el proceso del router es el mismo se utilicen o no las ACL. Amedida que una trama ingresa a una interfaz, el router verifica si la dirección de destino de Capa 2concuerda con la propia o si es una trama de broadcast.

Si se acepta la dirección de la trama, la información de la trama se elimina y el router busca unaACL en la interfaz de entrada. Si existe una ACL, entonces se verifica si el paquete cumple o nolas condiciones de la lista.


Si el paquete coincide con la sentencia, se acepta o se rechaza. Si se acepta el paquete en la inter-faz, se lo compara con las entradas de la tabla de enrutamiento para determinar la interfaz destinoy conmutarlo a aquella interfaz.

A continuación, el router verifica si la interfaz de destino tiene una ACL. Si existe una ACL, en-tonces se verifica si el paquete cumple o no las condiciones de la lista.

Si el paquete coincide con la sentencia, se acepta o se rechaza.

Si no hay ACL o se acepta el paquete, el paquete se encapsula en el nuevo protocolo de Capa 2 yse envía por la interfaz hacia el dispositivo siguiente.

La sentencia de criterios implícita “Deny All Traffic” (Denegar todo el tráfico)

Al final de cada lista de acceso, se encuentra la sentencia de criterios implícita “deny all traffic”. Al-gunas veces se denomina “implicit deny any” (denegar implícitamente todo el tráfico). Por lo tanto,si un paquete no coincide con ninguna de las entradas de la ACL, se bloquea automáticamente. Lasentencia implícita “deny all traffic” (denegar todo el tráfico) es el comportamiento predeterminadode las ACL y no puede modificarse.

Hay una advertencia clave relacionada con el comportamiento “deny all” (denegar todo): para lamayoría de los protocolos, si define una lista de acceso de entrada para el filtrado del tráfico, debeincluir sentencias de criterios de lista de acceso explícitas, a fin de permitir las actualizaciones deenrutamiento. Si no lo hace, puede, de hecho, perder la comunicación desde la interfaz cuando lasentencia implícita “deny all traffic” (denegar todo el tráfico) bloquea las actualizaciones de en-rutamiento al final de la lista de acceso.

5.1.5 Tipos de ACL de CiscoHay dos tipos de ACL Cisco: estándar y extendidas.

ACL estándar

Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de origen. Noimportan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el tráficodesde la red 192.168.30.0/24. Debido a la sentencia implícita “deny any” (denegar todo) al final,todo el otro tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configu-ración global.

Haga clic en el botón ACL extendidas que se muestra en la figura.

ACL extendidas

Las ACL extendidas filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de pro-tocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertosTCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad decontrol. En la figura, la ACL 103 permite el tráfico que se origina desde cualquier dirección en lared 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas secrean en el modo de configuración global.

Los comandos para las ACL se explican en los próximos temas.

5.1.6 ¿Cómo funciona una ACL estándar?La ACL estándar es una colección secuencial de condiciones de permiso o denegación que aplicana las direcciones IP. No se incluyen el destino del paquete ni los puertos involucrados.

En la figura, aparece el proceso de decisión. El software IOS de Cisco prueba las direcciones una auna con las condiciones. La primera coincidencia determina si el software acepta o rechaza la


dirección. El orden de las condiciones es muy importante, ya que el software detiene las condi-ciones de prueba luego de la primera coincidencia. Si no coinciden ningunas de las condiciones, serechaza la dirección.

Las dos tareas principales involucradas al utilizar las ACL son:

Paso 1. Crear una lista de acceso que especifique un número o nombre de lista de acceso y lascondiciones de acceso.

Paso 2. Aplicar la ACL a las interfaces o líneas de terminal.

5.1.7 Numeración y denominación de las ACLUtilizar ACL numeradas es un método eficaz para determinar el tipo de ACL en redes más pe-queñas con más tráfico definido de manera homogénea. Sin embargo, un número no le informa el propósito de la ACL. Por ello, si se parte del IOS de Cisco Versión 11.2, puede utilizar un nom-bre para identificar una ACL de Cisco.

La figura resume la regla para especificar las ACL numeradas y las ACL denominadas.

En cuanto a las ACL numeradas, si se pregunta por qué se saltean los números del 200 al 1299, larespuesta es porque esos números son utilizados por otros protocolos. Este curso se centra sólo enlas ACL IP. Por ejemplo, los números del 600 al 699 son utilizados por AppleTalk y los númerosdel 800 al 899 por IPX.

5.1.8 Dónde ubicar las ACLLa ubicación adecuada de las ACL para filtrar el tráfico no deseado proporciona un fun-cionamiento más eficiente de la red. Las ACL pueden actuar como firewalls para filtrar paquetes yeliminar el tráfico no deseado. El lugar donde ubique las ACL puede reducir el tráfico innecesario.Por ejemplo, el tráfico que se deniega en un destino remoto no debe usar los recursos de la red enel camino hacia ese destino.

Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son:

■ Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De estamanera, el tráfico no deseado se filtra sin atravesar la infraestructura de red.

■ Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más posiblecerca del destino.

Consideremos un ejemplo de dónde colocar las ACL en nuestra red. La ubicación de la interfaz yla red depende de lo que desee que realice la ACL.

En la figura, el administrador desea que el tráfico que se origina en la red 192.168.10.0/24 no in-grese a la red 192.168.30.0/24. Una ACL en la interfaz de salida de R1 deniega a R1 la posibili-dad de enviar tráfico a otros lugares. La solución es colocar una ACL estándar en la interfaz deentrada de R3 para detener todo el tráfico desde la dirección de origen 192.168.10.0/24. Una ACLestándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen.

Haga clic en el botón ACL extendida que se muestra en la figura.

Considere que los administradores sólo pueden colocar las ACL en los dispositivos que ellos con-trolan. Por lo tanto, su ubicación debe determinarse según la extensión del control del administra-dor de red. En esta figura, el administrador de las redes 192.168.10.0/24 y 192.168.11.0/24(designadas en este ejemplo Diez y Once, respectivamente) desea denegar el tráfico Telnet y FTPdesde Once a la red 192.168.30.0/24 (Treinta en este ejemplo). Al mismo tiempo, se debe permitirtodo el tráfico restante desde Diez.


Hay varias maneras de realizar esta tarea. Una ACL extendida en R3 que bloquea el tráfico Telnety FTP desde Once podría realizar la tarea, pero el administrador no controla R3. Esa soluciónsigue permitiendo, además, que el tráfico no deseado atraviese toda la red, sólo para bloquearlo enel destino. Esto afecta la eficacia general de la red.

Una solución es utilizar una ACL extendida de salida que especifique las direcciones de origen yde destino (Diez y Treinta respectivamente), y diga “El tráfico Telnet y FTP desde Diez no puedellegar hasta Treinta”. Coloque esta ACL extendida en el puerto de salida S0/0/0 de R1.

Una desventaja de esta solución es que el tráfico desde Once también está sujeto a cierto proce-samiento de la ACL, incluso si se permite el tráfico Telnet y FTP.

La mejor solución es acercarse al origen y colocar una ACL extendida en la interfaz de entradaFa0/2 de R1. Esto garantiza que los paquetes desde Diez no ingresen a R1 y que luego no puedanatravesar hacia Once ni incluso ingresar a R2 o R3. Aún se permite el tráfico con otras direccionesy puertos de destino hacia R1.

5.1.9 Pautas generales para la creación de las ACLMejores prácticas de las ACL

Utilizar las ACL requiere atención al detalle y un gran cuidado. Los errores pueden ser costosos enlo que respecta a tiempo de inactividad, tareas de resolución de problemas y un servicio de red de-ficiente. Antes de comenzar a configurar una ACL, se requiere una planificación básica. La figurapresenta pautas que conforman la base de la lista de mejores prácticas de una ACL.

Actividad: Cómo utilizar las ACL para la protección de redes

5.2 Configuración de las ACL estándar5.2.1 Cómo ingresar sentencias de criteriosAntes de comenzar a configurar una ACL estándar, revisaremos conceptos importantes sobre lasACL que abarcamos en la Sección 1.

Recuerde que cuando el tráfico ingresa al router, se lo compara con las sentencias de ACL en fun-ción del orden de las entradas en el router. El router continúa procesando las sentencias de ACLhasta lograr una coincidencia. Por ello, debe colocar la ACL más utilizada al principio de la lista.Si no se encuentran coincidencias cuando el router llega al final de la lista, el tráfico es denegadoporque las ACL tienen una sentencia de denegación implícita para todo el tráfico que no cumplecon los criterios de prueba. Una ACL de una única entrada con sólo una entrada de denegaciónllega a denegar todo el tráfico. Debe tener al menos una sentencia de permiso en una ACL o sebloquea todo el tráfico.

Por ejemplo, las dos ACL (101 y 102) de la figura tienen el mismo efecto. La red 192.168.10.0puede acceder a la red 192.168.30 mientras que 192.168.11.0 no puede.

5.2.2 Configuración de las ACL estándarLógica de las ACL estándar

En la figura, se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255


access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Si los paquetes tienen permiso, se enrutan a través del router hacia una interfaz de salida. Si se lesniega el permiso, se los descarta en la interfaz de entrada.

Configuración de las ACL estándar

Para configurar las ACL estándar numeradas en un router Cisco, primero debe crear la ACL están-dar y, luego, activarla en una interfaz.

El comando de configuración global access-list define una ACL estándar con un número entre 1y 99. El software IOS de Cisco Versión 12.0.1 extendió el rango y permite desde 1300 a 1999 parabrindar un máximo de 798 ACL estándar posibles. Estos números adicionales son denominadosACL IP expandidos.

La sintaxis completa del comando ACL estándar es:

Router(config)#access-list número-lista-acceso deny permit remark origen [wildcard

origen] [log]

La figura muestra una explicación detallada de la sintaxis para una ACL estándar.

Por ejemplo, para crear una ACL numerada nombrada 10 que permita la red 192.168.10.0 /24,debe ingresar:

R1(config)# access-list 10 permit 192.168.10.0/.0.0.255

Haga clic en el botón Eliminar ACL que se muestra en la figura.

La forma no de este comando elimina la ACL estándar. En la figura, el resultado del comandoshow access-list muestra las ACL actuales configuradas en el router R1.

Para eliminar la ACL, se utiliza el comando de configuración global no access-list. La ejecu-ción del comando show access-list confirma que la lista de acceso 10 ha sido eliminada.

Haga clic en el botón Observaciones que se muestra en la figura.

Por lo general, los administradores crean las ACL y comprenden plenamente el propósito de cadasentencia dentro de la ACL. Sin embargo, cuando se vuelve a revisar una ACL más adelante, puedeno ser tan evidente como antes.

La palabra clave remark se utiliza para la documentación y facilita considerablemente la compren-sión de las listas de acceso. Cada observación está limitada a 100 caracteres. Si bien es bastante sim-ple, la ACL de la figura se utiliza como ejemplo. Al revisar la ACL en la configuración, se muestratambién la observación.

El siguiente tema explica cómo utilizar la máscara wildcard para identificar redes y hosts específicos.

5.2.3 Máscara wildcard de las ACLMáscaras wildcard

Las sentencias de las ACL incluyen máscaras, también denominadas máscaras wildcard. Unamáscara wildcard es una secuencia de dígitos binarios que le indican al router qué partes delnúmero de subred observar. Aunque las máscaras wildcard no tienen una relación funcional con las máscaras de subred, sí proporcionan una función similar. La máscara determina qué parte de ladirección IP de origen y destino aplicar a la concordancia de direcciones. Los números 1 y 0 de la máscara identifican cómo considerar los bits de direcciones IP correspondientes. Sin embargo,se utilizan con distintos propósitos y siguen distintas reglas.


Las máscaras wildcard y máscaras de subred tienen una longitud de 32 bits y utilizan unos (1) yceros (0) binarios. Las máscaras de subred utilizan unos y ceros binarios para identificar la red,subred y porción de host de una dirección IP. Las máscaras wildcard utilizan unos y ceros binariospara filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursossegún la dirección IP. Al configurar cuidadosamente las máscaras wildcard, puede permitir o dene-gar una o varias direcciones IP.

Las máscaras wildcard y máscaras de subred difieren en la forma en la que concuerdan sus unos yceros binarios. Las máscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros binarios.

■ Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección

■ Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección

La figura muestra la forma en la que las diferentes máscaras wildcard filtran direcciones IP. Comopuede observar en el ejemplo, recuerde que el 0 binario representa una coincidencia, y el 1 binario,ignorar.

Nota: Las máscaras wildcard generalmente son denominadas máscaras inversas. El motivo es que,a diferencia de una máscara de subred cuyo 1 binario representa una coincidencia y el 0 binario lafalta de coincidencia, lo inverso es verdadero.

Haga clic en el botón Ejemplo de máscara wildcard en la figura.

Uso de la máscara wildcard

La tabla de la figura muestra los resultados de aplicar una máscara wildcard 0.0.255.255 a una di-rección IP de 32 bits. Recuerde que un 0 binario indica un valor coincidente.

Máscaras wildcard para hacer coincidir subredes IP

Calcular la máscara wildcard puede ser un tanto confuso al principio. La figura proporciona tresejemplos de máscaras wildcard.

En el primer ejemplo, la máscara wildcard indica que cada bit de la dirección IP 192.168.1.1 debecoincidir en forma exacta. La máscara wildcard es equivalente a la máscara de subred255.255.255.255.

En el segundo ejemplo, la máscara wildcard indica que todo coincide. La máscara wildcard esequivalente a la máscara de subred 0.0.0.0.

En el tercer ejemplo, la máscara wildcard indica que coincide cualquier host dentro de la red192.168.1.0 /24. La máscara wildcard es equivalente a la máscara de subred 255.255.255.0.

Estos ejemplos eran bastante sencillos. Sin embargo, el cálculo de las máscaras wildcard puede serun poco más complicado.

Haga clic en el botón Máscara wildcard 2 que se muestra en la figura.

Los dos ejemplos de la figura son más complicados que los últimos tres que se mostraron. En elejemplo 1, los primeros dos octetos y los primeros cuatro bits del tercer octeto deben coincidir demanera exacta. Los últimos cuatro bits del tercer octeto y el último octeto pueden ser cualquiernúmero válido. Esto da como resultado una máscara que verifica de 192.168.16.0 a 192.168.31.0.

El ejemplo 2 muestra una máscara wildcard que coincide con los primeros dos octetos y el bit másinsignificante del tercero. El último octeto y los primeros siete bits del tercer octeto pueden sercualquier número válido. El resultado es una máscara que permite o deniega todos los hosts desdesubredes impares de la red principal 192.168.0.0.


Calcular máscaras wildcard puede ser complicado, pero puede hacerlo fácilmente restando la más-cara de subred de 255.255.255.255.

Haga clic en el botón Ejemplo 1 que se muestra en la figura.

Por ejemplo, supongamos que desea permitir el acceso a todos los usuarios de la red 192.168.3.0.Si la máscara de subred es 255.255.255.0, puede tomar 255.255.255.255 y restar de la máscara desubred 255.255.255.0 o como se muestra en la figura. La solución genera la máscara wildcard0.0.0.255.


Supongamos que desea permitir el acceso a la red a los 14 usuarios de la subred 192.168.3.32 /28.La máscara de subred para la subred IP es 255.255.255.240; tome 255.255.255.255 y reste de lamáscara de subred 255.255.255.240. Esta vez la solución genera la máscara wildcard 0.0.0.15.


En este tercer ejemplo, supongamos que desea hacer coincidir sólo las redes 192.168.10.0 y192.168.11.0. Nuevamente, tome 255.255.255.255 y reste la máscara de subred regular que, eneste caso, es 255.255.252.0. El resultado es 0.0.1.255.

Puede obtener el mismo resultado con las siguientes dos sentencias:

R1(config)# access-list 10 permit 192.168.10.0.0.0.0.255


Es más eficaz configurar la máscara wildcard de la siguiente manera:

R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255

No parece ser más eficaz, pero considere hacer coincidir la red 192.168.16.0 a 192.168.31.0 de lasiguiente manera:

















Puede ver que es más eficiente al configurar la siguiente máscara wildcard:

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255

Palabras clave de la máscara de bits wildcard

Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy te-diosa. Para simplificarla, las palabras clave host y any ayudan a identificar los usos más comunesde las máscaras wildcard. Con estas palabras clave no necesita ingresar las máscaras wildcard al


identificar un host o red específicos. También facilitan la lectura de una ACL al proporcionar pistasvisuales en cuanto al origen o destino del criterio.

■ La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits dedirecciones IP deben coincidir o que sólo un host coincide.

■ La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara indicaque debe ignorarse toda la dirección IP o que deben aceptarse todas las direcciones.

Ejemplo 1: Proceso de las máscaras wildcard con una única dirección IP

En el ejemplo, en lugar de ingresar 192.168.10.10 0.0.0.0, puede utilizar host 192.168.10.10.

Ejemplo 2: Proceso de las máscaras wildcard con una dirección IP que coincide con todas

En el ejemplo, en lugar de ingresar 0.0.0.0 255.255.255.255, puede usar la palabra clave any.

Palabras clave any y host

En la figura tenemos dos ejemplos. El Ejemplo 1 muestra cómo utilizar la opción any para reem-plazar 0.0.0.0 por la dirección IP con máscara wildcard de 255.255.255.255.

El Ejemplo 2 muestra cómo utilizar la opción host para reemplazar la máscara wildcard.

5.2.4 Cómo aplicar las ACL estándar a las interfacesProcedimientos de configuración de las ACL estándar

Luego de configurar una ACL estándar, se la vincula a una interfaz con el comando ip access-group:

Router(config-if)#ip access-group {número-lista-acceso | número-lista-acceso}

{in | out}

Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la in-terfaz y luego el comando global no access-list para eliminar toda la ACL.

En la figura aparecen los pasos y la sintaxis para configurar y aplicar una ACL estándar numeradaen un router.

Haga clic en el botón Ejemplo 1 que aparece en la figura para obtener un ejemplo de una ACLque permite una única red.

Esta ACL sólo permite que el tráfico de la red de origen 192.168.10.0 sea enviado por la interfazS0/0/0. Se bloquea el tráfico de las demás redes, excepto la 192.168.10.0.

La primera línea identifica la ACL como lista de acceso 1. Permite el tráfico que coincide con losparámetros seleccionados. En este caso, la dirección IP y la máscara wildcard que identifica la redde origen es 192.168.10.0 0.0.0.255. Recuerde que existe la sentencia implícita y oculta “denyall”, equivalente a agregar la línea access-list 1 deny 0.0.0.0 255.255.255.255.

El comando de configuración de interfaz ip access-group 1 out vincula y adjunta la ACL 1 a lainterfaz Serial 0/0/0 como filtro de salida.

Por ello, la ACL 1 sólo permite hosts de la red 192.168.10.0 /24 para salir del router R1. Deniegacualquier otra red, incluso la 192.168.11.0.

Haga clic en el botón Ejemplo 2 que aparece en la figura para obtener un ejemplo de una ACLque deniega un host específico.


Esta ACL reemplaza el ejemplo anterior, pero además bloquea el tráfico de una dirección específica.El primer comando borra la versión anterior de la ACL 1. La siguiente sentencia de ACL deniega elhost PC1 ubicado en 192.168.10.10. Está permitido cualquier otro host de la red 192.168.10.0 /24.Nuevamente, la sentencia implícita de denegación coincide con cualquier otra red.

Nuevamente se aplica la ACL a la interfaz S0/0/0 en dirección saliente.

Haga clic en el botón Ejemplo 3 que aparece en la figura para obtener un ejemplo de una ACLque deniega una subred específica.

Esta ACL reemplaza el ejemplo anterior pero aún bloquea tráfico del equipo host PC1. Permite,además, que todo el tráfico de LAN salga del router R1.

Los primeros dos comandos son los mismos que el ejemplo anterior. El primer comando borra laversión anterior de la ACL 1 y la siguiente sentencia de ACL deniega el host PC1 ubicado en192.168.10.10.

La tercera línea es nueva y permite todos los hosts de las redes 192.168.x.x /16. Ahora, esto sig-nifica que todos los hosts de la red 192.168.10.0 /24 sí coinciden, pero ahora también coincidenlos hosts de la red 192.168.11.0.

Nuevamente se aplica la ACL a la interfaz S0/0/0 en dirección saliente. Por ello, las dos LANconectadas al router R1 pueden salir de la interfaz S0/0/0, a excepción del host PC1.

Uso de las ACL para controlar el acceso VTY

Cisco recomienda utilizar SSH para conexiones administrativas a routers y switches. Si la imagendel software IOS de Cisco en su router no admite SSH, puede mejorar parcialmente la seguridad delas líneas administrativas restringiendo el acceso VTY. Restringir el acceso VTY es una técnicaque le permite definir qué direcciones IP tienen acceso Telnet al proceso EXEC del router. Puedecontrolar la estación de trabajo o red administrativa que administra su router con una ACL y unasentencia access-class a sus líneas VTY. También puede utilizar esta técnica con SSH para mejo-rar más la seguridad del acceso administrativo.

El comando access-class del modo de configuración de línea restringe las conexiones entrantes ysalientes entre una VTY particular (en un dispositivo Cisco) y las direcciones de una lista de acceso.

Las listas de acceso extendidas y estándar se aplican a paquetes que viajan a través de un router.No están diseñadas para bloquear paquetes que se originan dentro del router. De forma predetermi-nada, la ACL Telnet extendida de salida no impide las sesiones Telnet iniciadas por el router.

Filtrar el tráfico de Telnet generalmente es una función de una ACL IP extendida, porque filtra unprotocolo de nivel superior. Sin embargo, como usted utiliza el comando access-class para filtrarsesiones de Telnet entrantes y salientes mediante direcciones de origen y para aplicar filtros a laslíneas VTY, puede utilizar las sentencias de ACL estándar para controlar el acceso VTY.

La sintaxis del comando access-class es:

access-class número-lista-acceso {in [vrf-also] | out}

El parámetro in restringe las conexiones entrantes entre un dispositivo Cisco particular y las direc-ciones de la lista de acceso, mientras que el parámetro out restringe las conexiones salientes entreun dispositivo Cisco particular y las direcciones de la lista de acceso.

En la figura se muestra un ejemplo donde se permite VTY 0 y 4. Por ejemplo, la ACL de la figurase configura para permitir el acceso de las redes 192.168.10.0 y 192.168.11.0 a las VTY 0 - 4.Todas las demás redes no tienen acceso a las VTY.


Cuando configure las listas de acceso en las VTY, tenga en consideración lo siguiente:

■ Sólo se pueden aplicar listas de acceso numeradas a las VTY.

■ Deben establecerse las mismas restricciones en todas las VTY porque un usuario puedeintentar conectarse a cualquiera de ellas.

5.2.5 Edición de ACL numeradasEdición de las ACL numeradas

Al configurar una ACL, se agregan sentencias en el orden en el que se ingresan al final de la ACL.Sin embargo, no hay una función de edición incorporada que le permita editar un cambio en laACL. No puede insertar o borrar líneas de manera selectiva.

Es muy recomendable crear una ACL en un editor de texto, como el Bloc de notas de Microsoft. Estole permite crear o editar una ACL y luego pegarla en el router. En el caso de una ACL existente,puede usar el comando show running-config para visualizar la ACL, copiarla y pegarla en el editorde texto, hacer los cambios necesarios y volver a cargarla.

Por ejemplo, supongamos que la dirección IP del host de la figura fue ingresada incorrectamente.En lugar del host 192.168.10.100, debería haberse ingresado 192.168.10.11. A continuación, lemostramos los pasos que se deben seguir para editar y corregir la ACL 20:

Paso 1. Visualice la ACL ingresando el comando show running-config. El ejemplo de la figurautiliza la palabra clave include para visualizar sólo las sentencias de la ACL.

Paso 2. Resalte la ACL, cópiela y luego péguela en el Bloc de notas de Microsoft. Edite la listacomo sea necesario. Cuando visualice correctamente la ACL en el Bloc de notas de Microsoft,resáltela y cópiela.

Paso 3. En el modo de configuración global, deshabilite la lista de acceso con el comando no ac-cess-list 20. De lo contrario, se agregan las nuevas sentencias a la ACL actual. Luego pegue lanueva ACL en la configuración del router.

Se debe aclarar que al utilizar el comando no access-list, ninguna ACL protege su red. Tenga encuenta, además, que si comete un error en la nueva lista, debe deshabilitarla y solucionar el pro-blema. En ese caso, una vez más su red no contará con una ACL durante el proceso de corrección.

Comentarios en las ACL

Puede usar la palabra clave remark para incluir comentarios (observaciones) sobre entradas encualquier ACL IP estándar o extendida. Las observaciones facilitan la comprensión y el análisis dela ACL. Cada línea de observación está limitada a 100 caracteres.

La observación puede ir antes o después de una sentencia permit o deny. Debe ser consecuente conla ubicación de las observaciones para que quede claro qué observación describe qué sentenciapermit o deny. Por ejemplo, sería confuso tener algunas observaciones antes de la sentencia permito deny asociada y algunas después.

Para incluir un comentario en una ACL IP numerada estándar o extendida, use el comando de con-figuración global access-list nuúmero de lista de acceso remark comentario. Para eliminarla observación, utilice la forma no de este comando.

En el primer ejemplo, la ACL estándar permite el acceso a la estación de trabajo que pertenece aJones y deniega el acceso a la estación de trabajo que pertenece a Smith.

Para una entrada en una ACL nombrada, use el comando de configuración remark. Para eliminar laobservación, utilice la forma no de este comando. El segundo ejemplo muestra una ACL extendida


nombrada. Recuerde de la definición anterior de las ACL extendidas que se utilizan para controlarnúmeros de puerto y servicios específicos. En el segundo ejemplo, la observación indica que la subredde Jones no tiene permitido utilizar Telnet saliente.

5.2.6 Creación de ACL estándar nombradasAsignar un nombre a una ACL facilita la comprensión de su función. Por ejemplo, una ACL quedeniega FTP puede denominarse NO_FTP. Al identificar una ACL con un nombre en lugar de unnúmero, el modo de configuración y la sintaxis del comando son un tanto diferentes.

La figura muestra los pasos para crear una ACL estándar nombrada.

Paso 1. Desde el modo de configuración global, use el comando ip access-list para crear unaACL nombrada. Los nombres de las ACL son alfanuméricos, deben ser únicos y no deben comen-zar con un número.

Paso 2. Desde el modo de configuración de una ACL nombrada, use las sentencias permit o denypara especificar una o más condiciones que determinen si se envía o descarta un paquete.

Paso 3. Regrese al modo EXEC privilegiado con el comando end.

Haga clic en el botón Ejemplo que se muestra en la figura.

En la figura, el resultado en pantalla muestra los comandos utilizados para configurar una ACL es-tándar nombrada en el router R1, la interfaz Fa0/0 que deniega el acceso del host 192.168.11.10 ala red 192.168.10.0.

No necesita que los nombres de las ACL estén en mayúsculas, pero se destacan al visualizar el re-sultado de running-config.

5.2.7 Monitoreo y verificación de ACLAl finalizar la configuración de una ACL, use los comandos show del IOS de Cisco para verificarla configuración. En la figura, el ejemplo de la parte superior muestra la sintaxis del IOS de Ciscopara visualizar los contenidos de todas las ACL. El ejemplo de la parte inferior muestra el resul-tado del comando show access-lists en el router R1. Los nombres en mayúscula de las ACL,SALES y ENG, se destacan en el resultado que se muestra en la pantalla.

Recuerde por qué comenzó a configurar las ACL en primer lugar: deseaba implementar las políti-cas de seguridad de su organización. Ahora que comprobó que las ACL se configuraron como pre-tendía, el siguiente paso es confirmar que funcionen según lo planeado.

Las pautas analizadas al principio de esta sección sugieren que configure las ACL en una red deprueba y, luego, las implemente en la red de producción. Si bien el análisis sobre cómo prepararuna situación de prueba de las ACL no está dentro del alcance de este curso, debe saber que confir-mar que las ACL funcionen según lo planeado puede ser un proceso complejo y lento.

5.2.8 Edición de las ACL con nombreLas ACL nombradas tienen una gran ventaja sobre las ACL numeradas porque son más fáciles deeditar. A partir del software IOS de Cisco versión 12.3, las ACL IP nombradas le permiten borrarentradas individuales en una ACL específica. Puede usar secuencias de números para insertar sen-tencias en cualquier parte de la ACL nombrada. Si utiliza una versión anterior del software IOS deCisco, puede agregar sentencias sólo al final de la ACL nombrada. Como puede borrar entradas in-dividuales, puede modificar su ACL sin necesidad de borrar y luego reconfigurar toda la ACL.


El ejemplo de la figura muestra una ACL aplicada a la interfaz S0/0/0 de R1. Restringió el accesoal servidor Web. Si observamos este ejemplo, puede ver dos elementos que aún no se incluyeronen este curso:

Haga clic en el botón Resultados del router de la figura.

■ En el primer resultado del comando show, puede ver que la ACL con el nombre WEBSERVERtiene tres líneas numeradas que indican las reglas de acceso para el servidor Web.

■ Para otorgar acceso a otra estación de trabajo de la lista sólo debe ingresar una líneanumerada. En el ejemplo, se agrega la estación de trabajo con la dirección IP 192.168.11.10.

■ El último resultado del comando show verifica que la nueva estación de trabajo tenga acceso.

Las ACL estándar son configuraciones de router que controlan si un router permite o deniega pa-quetes según la dirección de origen. Esta actividad se concentra en definir los criterios de filtrado,configurar las ACL estándar, aplicar las ACL a las interfaces del router y verificar y probar la im-plementación de las ACL.



5.3 Configuración de las ACL extendidas5.3.1 ACL extendidasPrueba de paquetes con ACL extendidas

Para lograr un control más preciso del filtrado del tráfico, puede usar ACL extendidas numeradasdel 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. A lasACL extendidas también se les puede asignar un nombre.

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque proporcionan unmayor control y, por lo tanto, complementan su solución de seguridad. Al igual que las ACL están-dar, las extendidas verifican la dirección de origen del paquete, pero también verifican la direcciónde destino, los protocolos y los números de puerto (o servicios). Esto ofrece un criterio más ampliosobre el cual fundamentar la ACL. Por ejemplo, una ACL extendida puede permitir de manera si-multánea el tráfico de correo electrónico de una red a un destino específico y, a la vez, denegar latransferencia de archivos y la navegación Web.

La figura muestra la ruta de decisión lógica utilizada por una ACL extendida creada para filtrar di-recciones de origen y de destino, números de puerto y protocolo. En este ejemplo, la ACL filtraprimero la dirección de origen, luego el puerto y el protocolo de origen. Luego filtra la direcciónde destino; posteriormente, el puerto y el protocolo de destino y toma una decisión final de per-miso o denegación.

Recuerde que las entradas de las ACL se procesan una después de la otra, por lo que la decisión‘No’ no necesariamente significa ‘Denegar’. Mientras recorre la ruta de decisión lógica, observeque ‘No’ significa continuar hasta la siguiente entrada hasta probar todas las entradas. Una vez quese hayan procesado todas las entradas, se toma la decisión final de ‘Permitir’ o ‘Denegar’.

La siguiente página muestra un ejemplo de una ACL extendida.


Prueba de puertos y servicios

La posibilidad de filtrar protocolos y números de puerto le permite crear ACL extendidas muy es-pecíficas. Mediante el número de puerto adecuado, puede especificar una aplicación al configurarel número de puerto o el nombre de un puerto bien conocido.

La figura muestra algunos ejemplos de la forma en la que el administrador especifica un númerode puerto TCP o UDP colocándolo al final de la sentencia de la ACL extendida. Pueden utilizarseoperaciones lógicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt).

Haga clic en el botón Números de puerto que se muestra en la figura.

La figura muestra cómo generar una lista de números de puerto y palabras clave que puede utilizaral crear una ACL con el comando R1(config)#access-list 101 permit tcp any eq ?.

5.3.2 Configuración de las ACL extendidasLos procedimientos para configurar las ACL extendidas son los mismos que para las ACL están-dar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la sintaxis y losparámetros del comando tienen más complejidades para admitir las funciones adicionales de lasACL extendidas.

La figura muestra la sintaxis de comando común para las ACL extendidas. El campo de desplaza-miento proporciona detalles de las palabras clave y los parámetros. A medida que avance este capí-tulo, encontrará explicaciones y ejemplos que le permitirán entender mejor.

Haga clic en el botón Configuración de ACL extendidas que se muestra en la figura.

La figura muestra un ejemplo de cómo se puede crear una ACL extendida específica para lasnecesidades de su red. En este ejemplo, el administrador de red debe restringir el acceso a Internetpara permitir sólo la navegación Web. La ACL 103 se aplica al tráfico que sale de la red192.168.10.0, y la ACL 104 al tráfico que ingresa a la red.

La ACL 103 cumple con la primera parte del requisito. Permite el tráfico que ingresa de cualquierdirección en la red 192.168.10.0 para dirigirse a cualquier destino, sujeto a la limitación que el trá-fico se dirige solo a los puertos 80 (HTTP) y 443 (HTTPS).

La naturaleza de HTTP requiere que el tráfico regrese a la red, pero el administrador de red desearestringirlo a intercambios HTTP desde los sitios Web solicitados. La solución de seguridad debedenegar cualquier otro tráfico que ingrese a la red. La ACL 104 lo hace bloqueando el tráfico en-trante, a excepción de las conexiones establecidas. HTTP establece conexiones a partir de la solici-tud original y luego mediante el intercambio de mensajes ACK, FIN y SYN.

Observe que el ejemplo utiliza el parámetro established.

Este parámetro permite respuestas al tráfico que se origina desde la red 192.168.10.0 /24 a la inter-faz de entrada s0/0/0. Se produce una coincidencia si el datagrama TCP tiene ajustados los bitsACK o reset (RST) que indican que el paquete pertenece a una conexión existente. Sin elparámetro established en la sentencia de ACL, se permitiría todo el tráfico TCP para la red192,168.100/24.

5.3.3 Cómo aplicar las ACL extendidas a las interfacesAprendamos cómo configurar una lista de acceso extendida a partir del ejemplo anterior. Recuerdeque deseamos permitir a los usuarios navegar en sitios Web seguros y no seguros. Primero con-sidere si el tráfico que desea filtrar es entrante o saliente. Intentar acceder a sitos Web de Internetimplica la salida de tráfico. Recibir correos electrónicos de Internet implica la entrada de tráfico a


la empresa. Sin embargo, al considerar cómo aplicar una ACL a una interfaz, el ingreso y la salidatienen significados diferentes, según el punto de vista.

En el ejemplo de la figura, R1 tiene dos interfaces. Tiene un puerto serial, S0/0/0, y uno Fast Ether-net, Fa0/0. El tráfico entrante de Internet ingresa a la interfaz S0/0/0, pero sale de la interfaz Fa0/0para llegar a PC1. El ejemplo aplica la ACL a la interfaz serial en ambas direcciones.

Haga clic en el botón Denegar FTP que se muestra en la figura.

Es un ejemplo de denegación de tráfico FTP desde la subred 192.168.11.0 hacia la subred192.168.10.0, pero permite todo el otro tráfico. Observe el uso de máscaras wildcard y la sentenciaexplícita “deny all”. Recuerde que FTP requiere puertos 20 y 21, por eso necesita especificar eq20 y eq 21 para denegar FTP.

En el caso de las ACL extendidas, puede elegir utilizar números de puerto como se muestra en elejemplo o denominar un puerto bien conocido. En un ejemplo anterior de una ACL extendida, lassentencias se redactaron de la siguiente manera:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

Observe que para FTP es preciso mencionar ftp y ftp-data.

Haga clic en el botón Denegar Telnet que se muestra en la figura.

Este ejemplo deniega el tráfico de Telnet desde 192.168.11.0 hacia la interfaz Fa0/0, pero permitetodo el otro tráfico IP de cualquier otro origen a cualquier destino desde la interfaz Fa0/0. Observeel uso de la palabra clave any que significa desde cualquier lado hacia cualquier lado.

5.3.4 Creación de las ACL extendidas nombradasPuede crear ACL extendidas nombradas básicamente de la misma manera que crea las ACL están-dar nombradas. Los comandos para crear una ACL nombrada son diferentes según si es estándar oextendida.

Desde el modo EXEC privilegiado, siga estos pasos para crear una ACL extendida con nombres.

Paso 1. Desde el modo de configuración global, use el comando ip access-list extendednombre para definir una ACL extendida nombrada.

Paso 2. En el modo de configuración de ACL nombrada, especifique las condiciones que deseapermitir o denegar.

Paso 3. Regrese al modo EXEC privilegiado y verifique su ACL con el comando show access-lists [número | nombre].

Paso 4. Como opción y paso recomendado, guarde sus entradas en el archivo de configuración conel comando copy running-config startup-config.

Para eliminar una ACL extendida nombrada, use el comando de configuración global no ip ac-cess-list extended nombre.

La figura muestra la versión designada de la ACL que creó antes.

Las ACL nombradas son guiones de configuración de router que controlan si un router permite odeniega paquetes según la dirección de origen y de destino, y los protocolos y puertos. Las ACLextendidas brindan una mayor flexibilidad y disparidad que las ACL estándar. Esta actividad seconcentra en definir los criterios de filtrado, configurar las ACL extendidas, aplicar las ACL a lasinterfaces del router y verificar y probar la implementación de las ACL.




5.4 Configuración de ACL complejas5.4.1 ¿Qué son las ACL complejas?Tipos de ACL complejas

Las ACL estándar y extendidas pueden ser la base de las ACL complejas que brindan mayor fun-cionalidad. La tabla de la figura resume las tres categorías de ACL complejas.

5.4.2 ACL dinámicas¿Qué son las ACL dinámicas?

El bloqueo es una característica de seguridad de filtrado de tráfico que utiliza ACL dinámicas, aveces denominadas ACL de bloqueo. Está disponible sólo para tráfico IP. Las ACL dinámicas de-penden de la conectividad Telnet, de la autenticación (local o remota) y de las ACL extendidas.

La configuración de las ACL dinámicas comienza con la aplicación de una ACL extendida parabloquear tráfico que atraviesa de router. Los usuarios que deseen atravesar el router son bloquea-dos por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. Enese momento, se interrumpe la conexión a Telnet, y se agrega una ACL dinámica de única entradaa la ACL extendida existente. Esta entrada permite el tráfico por un período determinado; es posi-ble que se produzcan errores por inactividad y superación del tiempo de espera.

Cuándo utilizar las ACL dinámicas

Las siguientes son algunas razones comunes para utilizar ACL dinámicas:

■ Cuando desea un usuario remoto o grupo de usuarios remotos específico para acceder al hostdentro de la red, conectándose desde sus hosts remotos a través de Internet. El bloqueoautentica al usuario y luego permite el acceso limitado a través de su router firewall para unhost o subred por un período limitado.

■ Cuando desea que un subconjunto de hosts de una red local acceda a un host de una red remotaprotegida por un firewall. Con el bloqueo, puede permitir el acceso al host remoto sólo a losconjuntos de hosts locales que desee. El bloqueo requiere que los usuarios se autentiquen através de AAA, servidor TACACS+ u otro servidor de seguridad, antes de que permita a sushosts el acceso a los hosts remotos.

Beneficios de las ACL dinámicas

Las ACL dinámicas tienen los siguientes beneficios de seguridad comparadas con las ACL están-dar y estáticas extendidas:

■ Uso de un mecanismo de desafío para autenticar los usuarios individuales

■ Administración simplificada en internetworks más grandes

■ En muchos casos, reducción de la cantidad de procesamiento de un router necesario para lasACL

■ Reducción de la oportunidad de intromisiones a la red por parte de piratas informáticos


■ Creación de acceso dinámico al usuario a través de un firewall, sin comprometer otrasrestricciones de seguridad configuradas

En la figura, el usuario de PC1 es un administrador que requiere acceso de puerta trasera a la red192.168.30.0 /24 ubicada en el router R3. Se configuró una ACL dinámica para permitir el accesoFTP y HTTP al router R3 sólo por tiempo limitado.

Ejemplos de ACL dinámicas

Considere un requerimiento para que un administrador de red en PC1 obtenga acceso periódico ala red (192.168.30.0 /24) a través del router R3. Para facilitar este requerimiento, se configura unaACL dinámica en la interfaz serial S0/0/1 del router R3.

Si bien la descripción detallada de la configuración de una ACL dinámica está fuera del alcance deeste curso, es útil revisar los pasos de configuración.

Haga clic en el botón Config de la figura para ver un ejemplo de configuración de ACLdinámica.

Pase el cursor del mouse sobre cada Paso que se muestra en la figura para revisar los pasos deconfiguración de las ACL dinámicas.

5.4.3 ACL reflexivas¿Qué son las ACL reflexivas?

Las ACL reflexivas obligan al tráfico de respuesta del destino, de un reciente paquete salienteconocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor control del tráfico quese permite ingresar a la red e incrementa las capacidades de las listas de acceso extendidas.

Los administradores de red utilizan las ACL reflexivas para permitir el tráfico IP en sesiones que seoriginan en su red y, al mismo tiempo, denegar el tráfico IP en sesiones que se originan fuera de lared. Estas ACL permiten que el router administre el tráfico de sesión en forma dinámica. El routerexamina el tráfico saliente y, cuando ve una conexión, agrega una entrada a una ACL temporal parapermitir la devolución de respuestas. Las ACL reflexivas contienen sólo entradas temporales. Estasentradas se crean automáticamente cuando se inicia una nueva sesión IP (con un paquete saliente,por ejemplo) y las entradas se eliminan automáticamente cuando finaliza la sesión.

Las ACL reflexivas proporcionan una forma más exacta de filtrado de sesión que una ACL exten-dida que utiliza el parámetro established presentado anteriormente. Si bien son similares encuanto al concepto del parámetro established, las ACL reflexivas también funcionan para UDP eICMP, que no tienen bits ACK ni RST. La opción established tampoco funciona con aplica-ciones que alteran de forma dinámica el puerto de origen para el tráfico de sesión. La sentenciapermit established sólo verifica los bits ACK y RST, no la dirección de origen ni la de destino.

Las ACL reflexivas no se aplican directamente a una interfaz, están “anidadas” dentro de una ACLIP extendida nombrada que se aplica a la interfaz.

Las ACL reflexivas sólo pueden definirse con ACL IP extendidas nombradas. No pueden definirsecon ACL numeradas ni estándar nombradas ni con otras ACL protocolo. Las ACL reflexivaspueden utilizarse con otras ACL estándar y extendidas estáticas.

Beneficios de las ACL reflexivas

Las ACL reflexivas tienen los siguientes beneficios:

■ Ayudan a proteger la red de piratas informáticos y pueden incluirse en un firewall.


■ Proporcionan un nivel de seguridad contra ataques de suplantación de identidad y de denegaciónde servicios. Las ACL reflexivas son mucho más resistentes a los ataques de suplantación deidentidad porque deben coincidir más criterios de filtro antes de dejar ingresar un paquete. Porejemplo, se verifican las direcciones de origen y de destino y los números de puerto, nosolamente los bits ACK y RST.

■ Son fáciles de utilizar y, comparadas con las ACL básicas, proporcionan un mayor control delos paquetes que ingresan a la red.

Ejemplo de ACL reflexivas

La figura muestra un ejemplo donde un administrador necesita una ACL reflexiva que permita trá-fico ICMP entrante y saliente, y que permita sólo el tráfico TCP que se inició desde el interior dela red. Supongamos que todo el otro trafico será denegado. La ACL reflexiva se aplica a la interfazde salida de R2.


Si bien la configuración completa de las ACL reflexivas está fuera del alcance de este curso, lafigura muestra un ejemplo de los pasos necesarios para configurar una ACL reflexiva.

Pase el cursor del mouse sobre cada Paso que se muestra en la figura para revisar los pasos deconfiguración de las ACL reflexivas.

5.4.4 ACL basadas en el tiempo¿Qué son las ACL basadas en el tiempo?

La ACL basada en el tiempo es similar en función a la ACL extendida, pero admite control de ac-ceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe crear un rangohorario que defina la hora específica del día y la semana. Debe identificar el rango de tiempo conun nombre y, luego, remitirse a él mediante una función. Las restricciones temporales son impues-tas en la misma función.

Las ACL basadas en el tiempo tienen muchos beneficios.

■ Ofrecen al administrador de red más control de los permisos y denegaciones de acceso a losrecursos.

■ Permiten a los administradores de red controlar los mensajes de registro. Las entradas de lasACL pueden registrar el tráfico en determinados momentos del día, pero no de formapermanente. De esta manera, los administradores pueden simplemente denegar el acceso, sintener que analizar los diferentes registros que se generan durante las horas pico.

Ejemplo de ACL basadas en tiempo

Si bien los detalles de la configuración completa de las ACL basadas en tiempo están fuera del al-cance de este curso, el siguiente ejemplo muestra los pasos necesarios. En el ejemplo, se permiteuna conexión Telnet desde la red interna hacia la red externa los lunes, miércoles y viernes duranteel horario comercial.


Paso 1. Defina el rango de tiempo para implementar la ACL y darle el nombre EVERYOTHER-DAY, en este caso.

Paso 2. Aplique el rango de tiempo a la ACL.

Paso 3. Aplique la ACL a la interfaz.


El rango de tiempo depende del reloj del sistema del router. La característica funciona mejor conla sincronización del protocolo de hora de red (NTP), pero puede utilizarse el reloj del router.

5.4.5 Resolución de problemas relacionados con loserrores comunes de las ACLEl uso de los comandos show descritos anteriormente revela la mayoría de los errores más co-munes de las ACL antes de que causen problemas en su red. Afortunadamente, el usuario utilizaun buen procedimiento de prueba para proteger su red de errores durante la etapa de desarrollo dela implementación de las ACL.

Cuando observe una ACL, compárela con las reglas que aprendió sobre la creación correcta deACL. La mayoría de los errores se produce porque se omiten las reglas básicas. De hecho, loserrores más comunes suceden al ingresar las sentencias de ACL en el orden incorrecto y sin aplicarun criterio adecuado de las reglas.

Observemos una serie de problemas comunes y sus soluciones. Haga clic en cada ejemplo mien-tras lee las explicaciones.

Haga clic en el botón Error 1 que se muestra en la figura.

El host 192.168.10.10 no tiene conectividad con 192.168.30.12. ¿Puede ver el error en el resultadodel comando show access-lists?

Solución: observe el orden de las sentencias de ACL. El host 192.168.10.10 no tiene conectividadcon 192.168.30.12 por el orden de la regla 10 de la lista de acceso. Debido a que el router procesalas ACL de arriba hacia abajo, la sentencia 10 deniega el host 192.168.10.10 y la sentencia 20 nollega a procesarse. Las sentencias 10 y 20 deben aparecer invertidas. La última línea permite todoel otro tráfico que no sea TCP que esté clasificado como IP (ICMP, UDP, etc.).


La red 192.168.10.0 /24 no puede usar TFTP para conectarse a la red 192.168.30.0 /24. ¿Puede verel error en el resultado del comando show access-lists?

Solución: la red 192.168.10.0 /24 no puede usar TFTP para conectarse a la red 192.168.30.0 /24porque TFTP utiliza el protocolo de transporte UDP. La sentencia 30 de la lista de acceso 120 per-mite el resto del tráfico TCP. Como TFTP utiliza UDP, está implícitamente denegado. La sentencia30 debe ser ip any any.

Esta ACL funciona si se aplica a Fa0/0 de R1 o a S0/0/1 de R3, o a S0/0/0 o a R2 en dirección en-trante. Sin embargo, según la regla que indica ubicar las ACL extendidas lo más cerca del origen, lamejor opción es en Fa0/0 de R1 porque permite que el tráfico no deseado se filtre sin atravesar la in-fraestructura de la red.


La red 192.168.10.0 /24 puede usar Telnet para conectarse a 192.168.30.0 /24, pero no se permiteesta conexión. Analice el resultado del comando show access-lists e intente encontrar una solu-ción. ¿Dónde aplicaría esta ACL?

Solución: la red 192.168.10.0 /24 puede usar Telnet para conectarse a la red 192.168.30.0 /24porque el número de puerto Telnet en la sentencia 10 de la lista de acceso 130 aparece en la ubi-cación incorrecta. La sentencia 10 actualmente deniega cualquier origen con un número de puertoigual al de Telnet que intente establecer una conexión a cualquier dirección IP. Si desea denegar eltráfico Telnet que ingresa a S0, debe denegar el número de puerto de destino igual al de Telnet, porejemplo, deny tcp any any eq telnet.



El host 192.168.10.10 puede usar Telnet para conectarse a 192.168.30.12, pero no se permite estaconexión. Analice el resultado del comando show access-lists.

Solución: el host 192.168.10.10 puede usar Telnet para conectarse a 192.168.30.12 porque no hayreglas que denieguen el host 192.168.10.10 o su red como el origen. La sentencia 10 de la lista deacceso 140 deniega la interfaz del router desde donde parte el tráfico. Sin embargo, como estos pa-quetes parten del router, tienen una dirección de origen de 192.168.10.10 y no la dirección de lainterfaz del router.

Como la solución para el Error 2, esta ACL debe aplicarse a Fa0/0 de R1 en dirección entrante.


El host 192.168.30.12 puede usar Telnet para conectarse a 192.168.10.10, pero no se permite estaconexión. Observe el resultado del comando show access-lists y encuentre el error.

Solución: el host 192.168.30.12 puede usar Telnet para conectarse a 192.168.10.10 por la direcciónen la que se aplica la lista de acceso 150 a la interfaz S0/0. La sentencia 10 deniega la dirección deorigen de 192.168.30.12, pero esa dirección sólo sería el origen si el tráfico fuera saliente y no en-trante en la interfaz S0/01.

Actividad flash compleja: Configuración de ACL complejas

5.5 Prácticas de laboratorio del capítulo5.5.1 Listas básicas de control de accesoUna parte esencial de la seguridad de red puede controlar el tipo de tráfico permitido para alcanzarsu red y de dónde proviene ese tráfico. Esta práctica de laboratorio le enseña cómo configurar laslistas de control básicas y extendidas para alcanzar este objetivo.

Esta actividad es una variante de la práctica de laboratorio 5.5.1. Es posible que Packet Tracer noadmita todas las tareas especificadas en la práctica de laboratorio. Esta actividad no se debe con-siderar equivalente a la finalización de las prácticas de laboratorio. Packet Tracer no reemplaza laexperiencia práctica de laboratorio con equipo real.



5.5.2 Desafío de las listas de control de accesoEn la práctica de laboratorio Listas básicas de control de acceso, configuró por primera vez las lis-tas de control de acceso básicas y extendidas como medida de seguridad de red. En esta prácticade laboratorio intente configurar la mayor cantidad posible de medidas de seguridad de red, sin re-mitirse a la práctica de laboratorio básica. Esto le permite medir lo que aprendió en la práctica delaboratorio básica. Cuando sea necesario, controle su trabajo con la práctica de laboratorio básicao con la hoja de repuestas proporcionada por su instructor.

Esta actividad es una variante de la práctica de laboratorio 5.5.2. Es posible que Packet Tracer noadmita todas las tareas especificadas en la práctica de laboratorio. Esta actividad no se debe con-siderar equivalente a la finalización de las prácticas de laboratorio. Packet Tracer no reemplaza laexperiencia práctica de laboratorio con equipo real.




5.5.3 Resolución de problemas de las listas de controlde accesoUsted trabaja para un proveedor de servicios regional que últimamente sufrió varias violaciones deseguridad. Su departamento tuvo la tarea de proteger los routers de borde del cliente para que sólolos equipos de administración local pudieran acceder a las líneas VTY. Para solucionar este pro-blema, debe configurar las ACL en R2 para que las redes directamente conectadas a R3 no puedancomunicarse con las redes directamente conectadas a R1, pero también debe permitir el resto deltráfico.


Resumen del capítuloLa ACL es un guión de configuración de router que utiliza el filtrado de paquetes para controlar siun router permite o deniega el ingreso de paquetes, según el criterio ubicado en el encabezado delpaquete. Las ACL también se utilizan para seleccionar los tipos de tráfico por analizar, reenviar oprocesar de otras maneras. Las ACL son uno de los objetos más comúnmente utilizados en el soft-ware IOS de Cisco.

Existen distintos tipos de ACL: estándar, extendidas, nombradas y numeradas. En este capítuloaprendió la finalidad de cada tipo de ACL y dónde deben colocarse en su red. Aprendió a configu-rar las ACL en interfaces de entrada y de salida. Se describieron los tipos especiales de ACL:dinámicas, reflexivas y temporizadas. Se destacaron las pautas y mejores prácticas para desarrollarACL funcionales y eficaces.

Con el conocimiento y las habilidades que adquirió en este capítulo, puede configurar con todaconfianza, pero con cuidado, ACL estándar, extendidas y complejas, verificar esas configuracionesy solucionar sus problemas.

En esta actividad, demuestra su habilidad para configurar las ACL que hacen cumplir las cincopolíticas de seguridad. Además, configura el enrutamiento PPP y OSPF. Los dispositivos ya estánconfigurados con el direccionamiento IP.





CAPÍTULO 6

Servicios de trabajadores a distancia

IntroducciónEl trabajo a distancia significa trabajar lejos de un lugar de trabajo tradicional, a menudo desdeuna oficina doméstica. Los motivos para la elección del trabajo a distancia son variados e incluyentodo, desde la conveniencia personal hasta las oportunidades que se les otorgan a los empleadoscon lesiones o discapacidades de seguir trabajando durante los períodos de convalecencia.

El trabajo a distancia es un término amplio que hace referencia a realizar un trabajo mediante laconexión al lugar de trabajo desde una ubicación remota, con la ayuda de las telecomunicaciones.El trabajo a distancia eficaz es posible debido a conexiones de Internet de banda ancha, redes pri-vadas virtuales (VPN) y tecnologías más avanzadas, incluidas Voz sobre IP (VoIP) y videoconfe-rencias. El trabajo a distancia permite ahorrar dinero que de otro modo se gasta en viajes,infraestructura y soporte de instalaciones.

Las empresas modernas emplean a quienes no pueden trasladarse al trabajo todos los días o paraquienes es más práctico trabajar desde una oficina doméstica. Estas personas, denominadas traba-jadores a distancia, deben conectarse a la red de la empresa para poder trabajar desde sus oficinasdomésticas.

Este capítulo explica cómo las organizaciones pueden brindar conexiones de red remotas confia-bles, rápidas y seguras para los trabajadores a distancia.

6.1 Requisitos comerciales para los servicios de trabajo a distancia

6.1.1 Los requisitos comerciales para los servicios de trabajo a distanciaCada vez más empresas consideran beneficioso tener trabajadores a distancia. Con los avances enlas tecnologías de conexiones de banda ancha e inalámbricas, el trabajo lejos de la oficina ya nopresenta los mismos desafíos que en el pasado. Los empleados pueden trabajar de manera remotacasi como si estuvieran en el despacho o la oficina de al lado. Las organizaciones pueden distribuirde manera rentable aplicaciones de datos, voz, video y en tiempo real a través de una conexión dered común que alcance a todos los empleados, sin importar cuán lejos o separados estén.

Las ventajas del trabajo a distancia se extienden mucho más allá de la habilidad de las empresaspara obtener ganancias. El trabajo a distancia afecta la estructura social de las sociedades y puedetener efectos positivos en el medioambiente.

Para las operaciones comerciales de todos los días, es una ventaja poder mantener la continuidaden caso de que el clima, la congestión del tráfico, los desastres naturales u otros eventos imprede-cibles les impidan a los empleados llegar al lugar de trabajo. En una escala más amplia, la habili-dad de las empresas para proporcionar un aumento en el servicio a través de zonas horarias y los


límites internacionales se mejora notablemente por medio de los trabajadores a distancia. Las solu-ciones de contratación y subcontratación de terceros son más fáciles de implementar y administrar.

Desde una perspectiva social, las opciones de trabajo a distancia aumentan las oportunidades de em-pleo para varios grupos; entre ellos, padres con hijos pequeños, discapacitados y personas que vivenen áreas lejanas. Los trabajadores a distancia disfrutan de más tiempo de calidad con su familia,menos estrés generado por los viajes y, en general, proporcionan a sus empleadores una mayor pro-ductividad, satisfacción y retención. En la época de cambios climáticos, el trabajo a distancia repre-senta otra manera en la que las personas pueden reducir la cantidad de dióxido de carbono.

Cuando se diseñan las arquitecturas de redes que admiten una solución de trabajo a distancia, losdiseñadores deben lograr un equilibrio entre los requisitos de la organización de seguridad, admi-nistración de infraestructura, escalabilidad y viabilidad económica, y las necesidades prácticas delos trabajadores a distancia de facilidad de uso, velocidades de conexión y fiabilidad del servicio.

Para permitir que las empresas y los trabajadores a distancia funcionen de manera eficaz, debemosequilibrar la selección de tecnologías y diseñar cuidadosamente los servicios de trabajo a distancia.

6.1.2 La solución del trabajador a distanciaLas organizaciones necesitan redes seguras, confiables y rentables para conectar sedes corporati-vas, sucursales y proveedores. Con el aumento en la cantidad de trabajadores a distancia, las em-presas tienen una creciente necesidad de maneras seguras, confiables y rentables de conectar a laspersonas que trabajan en pequeñas oficinas y oficinas domésticas (SOHO) y otras ubicaciones re-motas, con los recursos existentes en las oficinas corporativas.

La figura muestra las topologías de las conexiones remotas que usan las redes modernas paraconectar las ubicaciones remotas. En algunos casos, las ubicaciones remotas sólo se conectan a lassedes, mientras que en otros, las ubicaciones remotas se conectan a varios lugares. La sucursal queaparece en la figura se conecta a la sede central y las oficinas de los socios, mientras que el traba-jador a distancia tiene una sola conexión a la sede central.

Haga clic en el botón Opciones de la figura.

La figura muestra tres tecnologías de conexiones remotas disponibles para organizaciones a fin deadmitir los servicios de trabajadores a distancia:

■ Las tecnologías de Capa 2 de WAN privada tradicionales, que incluyen Frame Relay, ATM ylíneas alquiladas, proporcionan muchas soluciones para conexiones remotas. La seguridad deestas conexiones depende del proveedor del servicio.

■ Las redes privadas virtuales (VPN) con IPSec ofrecen conectividad flexible y escalable. Lasconexiones de sitio a sitio pueden brindar una conexión remota confiable, rápida y segura paralos trabajadores a distancia. Ésta es la opción mas frecuente para los trabajadores a distancia,combinada con el acceso remoto por banda ancha, para obtener una VPN segura a través deInternet pública. (Un medio de conectividad menos confiable que usa Internet es la conexiónde acceso telefónico).

■ El término banda ancha hace referencia a los sistemas avanzados de comunicaciones capacesde proporcionar una transmisión de servicios de alta velocidad como datos, voz y video, através de Internet y otras redes. Un amplio rango de tecnologías proporciona la transmisión,incluida la línea de suscriptor digital (DSL) y el cable de fibra óptica, el cable coaxial, latecnología inalámbrica y de satélite. Las velocidades de transmisión de datos del servicio debanda ancha, en general, superan los 200 kilobits por segundo (kbps), en al menos unadirección: descendente (desde Internet a la computadora del usuario) o ascendente (desde lacomputadora del usuario a Internet).

Capítulo 6: Servicios de trabajadores a distancia 167

Este capítulo describe cómo funciona cada una de estas tecnologías y presenta algunos de lospasos necesarios para garantizar que las conexiones del trabajador a distancia estén seguras.

Para conectarse efectivamente a las redes de la organización, los trabajadores a distancia necesitandos conjuntos de componentes clave: componentes de la oficina doméstica y componentes corpo-rativos. La opción de incorporar componentes de telefonía IP se está volviendo más común debidoa que los proveedores extienden los servicios de banda ancha a más áreas. Pronto, los compo-nentes de voz sobre IP (VoIP) y videoconferencias serán parte esperada de las herramientas de lostrabajadores a distancia.

Como se muestra en la figura, el trabajo a distancia requiere de los siguientes componentes:

■ Componentes de la oficina doméstica: los componentes de la oficina doméstica requeridos sonuna laptop o PC, acceso a banda ancha (cable o DSL) y un router VPN o software cliente deVPN instalado en la computadora. Algunos componentes adicionales podrían incluir un puntode acceso inalámbrico. Durante los viajes, los trabajadores a distancia necesitan una conexióna Internet y un cliente VPN para conectarse a la red corporativa por medio de cualquierconexión de banda ancha, red o acceso telefónico disponible.

■ Componentes corporativos: los componentes corporativos son routers con capacidad de VPN, concentradores VPN, aplicaciones de seguridad de varias funciones, autenticación ydispositivos de administración central para la unificación y la terminación flexibles de lasconexiones VPN.

En general, la provisión de asistencia técnica para VoIP y videoconferencia requiere actualiza-ciones de estos componentes. Los routers necesitan la funcionalidad de calidad de servicio (QoS).La calidad de servicio se refiere a la capacidad de una red de proporcionar un mejor servicio parael tráfico de la red seleccionado, como lo requieren las aplicaciones de voz y video. El análisis de-tallado de la calidad de servicio (QoS) no se encuentra dentro del alcance de este curso.

La figura muestra un túnel VPN encriptado que conecta al trabajador a distancia con la red corpora-tiva. Éste es el centro de las conexiones seguras y confiables del trabajador a distancia. La VPN esuna red privada de datos que usa la infraestructura pública de telecomunicaciones. La seguridad dela VPN mantiene la privacidad mediante un protocolo de tunneling y procedimientos de seguridad.

Este curso presenta el protocolo IPSec (Seguridad IP) como el enfoque elegido para la construc-ción de túneles VPN seguros. A diferencia de los enfoques anteriores de seguridad que aplican laseguridad en la capa de aplicación del modelo de Interconexión de sistema abierto (OSI), IPSecfunciona en la red o en la capa de procesamiento de paquetes.

6.2 Servicios de banda ancha6.2.1 Conexión a la WAN de los trabajadores a distanciaLos trabajadores a distancia, a menudo, usan distintas aplicaciones (por ejemplo, correo electrónico,aplicaciones Web, aplicaciones críticas, colaboración en tiempo real, voz, video y videoconferen-cias) que requieren una conexión de un ancho de banda elevado. La elección de la tecnología de redde acceso y la necesidad de garantizar el ancho de banda adecuado son las primeras consideracionesque deben tenerse en cuenta cuando se conecta a los trabajadores a distancia.

El cable residencial, DSL y el acceso inalámbrico de banda ancha son tres opciones que proporcio-nan un ancho de banda elevado a los trabajadores a distancia. El ancho de banda bajo propor-cionado por una conexión de acceso telefónico por módem no es suficiente, aunque resulta útilpara el acceso móvil cuando se está de viaje. Una conexión dialup por módem sólo debe consider-arse cuando no hay otras opciones disponibles.


Para acceder a Internet, los trabajadores a distancia necesitan una conexión con un ISP. Los ISPofrecen varias opciones de conexión. Los métodos principales de conexión que utilizan los usua-rios domésticos y de pequeñas empresas son los siguientes:

■ Acceso telefónico: opción económica que utiliza cualquier línea telefónica y un módem. Paraconectarse al ISP, el usuario llama al número telefónico de acceso del ISP. El accesotelefónico es la opción más lenta de conexión y, generalmente, los trabajadores móviles lautilizan en zonas donde no están disponibles opciones de conexión de mayor velocidad.

■ DSL: generalmente, es más costoso que el acceso telefónico, pero ofrece una conexión másrápida. El DSL también utiliza líneas telefónicas, pero a diferencia del acceso telefónico, elDSL proporciona una conexión continua a Internet. La opción de DSL emplea un módemespecial de alta velocidad que separa la señal de DSL de la señal telefónica y proporciona unaconexión Ethernet a una computadora host o LAN.

■ Módem por cable: los proveedores del servicio de televisión por cable ofrecen esta opción. Laseñal de Internet es transportada en el mismo cable coaxial que suministra televisión por cable.Un módem por cable especial separa la señal de Internet de las otras señales transportadas enel cable y proporciona una conexión Ethernet a una computadora host o LAN.

■ Satélite: los proveedores del servicio de satélite ofrecen esta opción. La computadora seconecta a través de Ethernet a un módem satelital que transmite señales de radio al punto depresencia (POP) más cercano dentro de la red satelital.

En esta sección, aprende de qué manera los servicios de banda ancha, como DSL, cable y accesoinalámbrico de banda ancha, extienden las redes empresariales para permitir el acceso de los traba-jadores a distancia.

6.2.2 CableEl acceso a Internet a través de una red de cable es una opción frecuente usada por los trabajadoresa distancia para acceder a la red empresarial. El sistema de cable usa un cable coaxial que trans-porta las señales de radiofrecuencia (RF) a través de la red. El cable coaxial es el medio principalusado para construir sistemas de televisión por cable.

La televisión por cable surgió por primera vez en Pensilvania en 1948. John Walson, el dueño deuna tienda de electrodomésticos de una pequeña ciudad en las montañas, necesitaba resolver losproblemas de la mala recepción por aire que experimentaban los clientes, quienes intentabanrecibir la señal de televisión desde Filadelfia a través de las montañas. Walson construyó una an-tena en un poste de la empresa de servicios públicos ubicado en la cima de una montaña local, quele permitió mostrar los televisores en su tienda con transmisiones potentes que llegaban desde tresestaciones de Filadelfia. Conectó la antena a su tienda de electrodomésticos a través de un cable yun amplificador de señal modificado. Luego, conectó a varios de sus clientes ubicados a lo largodel recorrido del cable. Éste fue el primer sistema de televisión por antena comunitario (CATV) delos Estados Unidos.

La empresa de Walson creció con los años y a él se lo reconoce como el fundador de la televisiónpor cable. También, fue el primer operador de cable en usar microondas para importar estacionesde televisión distantes, el primero en usar el cable coaxial para mejorar la calidad de la imagen y elprimero en distribuir la programación de la televisión con programación por pago.

La mayor parte de los operadores de cable usan antenas parabólicas para recopilar señales televisi-vas. Las primeros sistemas eran unidireccionales, con varios amplificadores ubicados en series a lolargo de la red para compensar la pérdida de la señal. Estos sistemas usaban conexiones interme-dias para conectar las señales de video del tronco principal a los hogares de los abonados, a travésde cables de derivación.


Los sistemas de cable modernos proporcionan una comunicación bidireccional entre los abonadosy el operador de cable. Los operadores de cable ofrecen ahora servicios de telecomunicacionesavanzados a los clientes que incluyen acceso a Internet de alta velocidad, televisión digital porcable y servicio de telefonía residencial. Los operadores de cable en general implementan redes defibra coaxial híbrida (HFC) para permitir la transmisión de datos a alta velocidad a los módemspor cable ubicados en las pequeñas oficinas y oficinas domésticas.

La figura muestra los componentes de un típico sistema de cable moderno.

Coloque el cursor sobre cada componente de la figura para ver una descripción de lo que hace.

El espectro electromagnético incluye un amplio rango de frecuencias.

La frecuencia es la velocidad a la cual ocurren los ciclos de corriente (o voltaje), computadoscomo la cantidad de “ondas” por segundo. La longitud de onda es la velocidad de propagación dela señal electromagnética dividida por su frecuencia en ciclos por segundo.

Las ondas de radio, generalmente denominadas RF, constituyen una parte del espectro electromag-nético entre 1 kilohercio (kHz) hasta 1 terahercio, aproximadamente. Cuando los usuarios sin-tonizan una radio o televisor para buscar distintas estaciones de radio o canales de televisión, estánsintonizando diferentes frecuencias electromagnéticas a través del espectro de la RF. El mismoprincipio se aplica al sistema por cable.

La industria de la televisión por cable usa una parte del espectro electromagnético de RF. Dentrodel cable, frecuencias diferentes llevan datos y canales de televisión. En el extremo del suscriptor,los equipos, tales como televisores, videograbadoras y decodificadores de televisión de alta defini-ción, sintonizan ciertas frecuencias que permiten que el usuario vea el canal o, si se usa un módempor cable, que reciba acceso a Internet de alta velocidad.

Una red por cable es capaz de transmitir señales en el cable en cualquier dirección al mismotiempo. Se utiliza el siguiente ámbito de frecuencia:

■ Descendente: la dirección de una transmisión de señal de RF (datos y canales de televisión)desde el origen (cabecera) hacia el destino (suscriptores). La transmisión desde el origen haciael destino se denomina ruta de envío. Las frecuencias descendentes se encuentran en el rangode 50 a 860 megahercios (MHz).

■ Ascendente: la dirección de una transmisión de señal de RF desde los suscriptores hacia lacabecera o la ruta inversa o de regreso. Las frecuencias ascendentes se encuentran en el rangode 5 a 42 MHz.

La especificación sobre interfaz del servicio de datos por cable (DOCSIS) es un estándar internacio-nal desarrollado por CableLabs, un consorcio sin fines de lucro dedicado a la investigación y el desarrollo de las tecnologías relacionadas con el cable. CableLabs prueba y certifica dispositivos deproveedores de equipos de cable, como módems por cable y sistemas de terminación de módems de cable, y otorga el estado calificado o certificado por DOCSIS.

DOCSIS define los requisitos de interfaz de soporte de operaciones y comunicaciones para el sis-tema de datos por cable y permite la incorporación de transferencia de datos de alta velocidad a unsistema CATV existente. Los operadores de cable emplean DOCSIS para proporcionar acceso aInternet por la infraestructura existente de fibra coaxial híbrida (HFC).

DOCSIS especifica los requisitos de Capa 1 y Capa 2 del modelo OSI:

■ Capa física: para las señales de datos que el operador de cable puede usar, DOCSISespecifica los anchos de canales (anchos de banda de cada canal) como 200 kHz, 400 kHz,800 kHz, 1.6 MHz, 3.2 MHz y 6.4 MHz. DOCSIS también especifica las técnicas demodulación (la manera de usar señales de RF para transmitir los datos digitales).


■ Capa Mac: define un método de acceso determinista, acceso múltiple por división temporal(TDMA) o el método de acceso múltiple por división de código síncrono (S-CDMA).

Para comprender los requisitos de capa MAC para DOCSIS, es útil una explicación de cómovarias tecnologías de comunicación dividen el acceso al canal. El TDMA divide el acceso portiempo. El acceso múltiple de división por frecuencia (FDMA) divide el acceso por frecuencia. Elacceso múltiple por división de código (CDMA) emplea una tecnología de espectro disperso y unesquema de codificación especial en el que se asigna un código específico a cada transmisor.

Una analogía que ilustra estos conceptos comienza con una sala que representa un canal. La salaestá llena de personas que necesitan hablar entre ellas, en otras palabras, necesitan acceso al canal.Una solución es que las personas se turnen para hablar (división por tiempo). Otra es que cada per-sona hable en tonos diferentes (división por frecuencia). En CDMA, hablarían diferentes idiomas.Las personas que hablan el mismo idioma pueden entenderse entre ellas, pero el resto no. EnCDMA de radio usado por las redes de teléfonos móviles de Norteamérica, cada grupo de usuariostiene un código compartido. Muchos códigos ocupan el mismo canal, pero sólo los usuarios aso-ciados con un código particular pueden entenderse entre ellos. S-CDMA es una versión propietariade CDMA desarrollada por Terayon Corporation para la transmisión de datos a través de redes decable coaxial. S-CDMA dispersa datos digitales arriba y abajo de una banda de frecuencia ampliay permite que varios suscriptores conectados a la red trasmitan y reciban de forma simultánea. S-CDMA es seguro y extremadamente resistente al ruido.

Los planes para las bandas de asignación de frecuencias difieren entre los sistemas de cable euro-peos y norteamericanos. Euro-DOCSIS está adaptado para su uso en Europa. Las diferencias prin-cipales entre DOCSIS y Euro-DOCSIS se relacionan con los anchos de banda del canal. Losestándares técnicos de televisión varían en el mundo, lo que afecta cómo se desarrollan las varian-tes de DOCSIS. Los estándares de televisión internacionales incluyen NTSC en Norteamérica ypartes de Japón; PAL en la mayor parte de Europa, Asia, África, Australia, Brasil y Argentina; y SECAM en Francia y algunos países de Europa del Este.

En los siguientes sitios Web obtendrá más información:

■ Acerca de DOCSIS: http://www.cablemodem.com/specifications

■ Acerca de Euro-DOCSIS: http://eurocablelabs.com

La provisión de servicios a través de una red por cable requiere distintas frecuencias de radio. Lasfrecuencias descendentes están en el rango de 50 a 860 MHz y las frecuencias ascendentes estánen el rango de 5 a 42 MHz.

Se requieren dos tipos de equipos para enviar señales de módem digitales ascendentes y descen-dentes en un sistema por cable:

■ Sistema de terminación de módems de cable (CMTS) en la cabecera del operador de cable

■ Módem por cable (CM) en el extremo del suscriptor

Coloque el cursor sobre los componentes de la figura y observe la función de cada uno.

Un CMTS de cabecera se comunica con los CM ubicados en los hogares de los suscriptores. Lacabecera es, en realidad, un router con bases de datos para proporcionar servicios de Internet a losabonados de cable. La arquitectura es relativamente simple y usa una red coaxial óptica combi-nada, en la cual la fibra óptica reemplaza el coaxial de ancho de banda menor.

Una malla de cables troncales de fibra conecta la cabecera a los nodos donde ocurre la conversiónde señales ópticas en señales de RF. La fibra transporta el mismo contenido de banda ancha para


conexiones de Internet, servicios telefónicos y streaming video que el cable coaxial. Los cables dealimentación coaxial se originan en el nodo que transporta las señales de RF a los suscriptores.

En una red HFC moderna, en general, se conectan entre 500 y 2000 suscriptores de datos activos aun segmento de red por cable y todos comparten el ancho de banda ascendente y descendente. Elancho de banda real para el servicio de Internet a través de una línea de CATV puede ser de hasta27 Mbps en la ruta de descarga al suscriptor y de 2.5 Mbps de ancho de banda aproximado en laruta de carga. Basado en la arquitectura de red por cable, las prácticas de provisión del operador de cable y la carga de tráfico, un abonado individual generalmente puede obtener una velocidad deacceso de 256 kbps a 6 Mbps.

Cuando el uso elevado causa congestión, el operador de cable puede agregar un ancho de bandaadicional para los servicios de datos mediante la asignación de un canal de televisión adicionalpara los datos de alta velocidad. Esta incorporación puede duplicar de manera efectiva el ancho debanda descendente disponible para los suscriptores. Otra opción es reducir la cantidad de suscrip-tores a los que cada segmento de red presta servicios. Para reducir la cantidad de suscriptores, eloperador de cable subdivide aún más la red mediante la colocación de conexiones de fibra ópticamás cerca y dentro de los barrios.

6.2.3 DSLDSL es una forma de proveer conexiones de alta velocidad mediante cables de cobre instalados.En esta sección, analizamos DSL como una de las soluciones clave disponibles para el trabajador adistancia.

Hace varios años, los laboratorios de Bell identificaron que una conversación de voz común por unbucle local solamente requería un ancho de banda de 300 Hz a 3 kHz. Durante varios años, lasredes telefónicas no usaron un ancho de banda superior a 3 kHz. Los avances en tecnología permi-tieron que DSL use el ancho de banda adicional desde 3 kHz up hasta 1 MHz para proporcionarservicios de datos de alta velocidad mediante las líneas de cobre comunes.

Como ejemplo, DSL asimétrica (ADSL) usa un rango de frecuencia de 20 kHz a 1 MHz aproxi-madamente. Por suerte, sólo se requieren cambios relativamente pequeños en la infraestructura existente de las empresas telefónicas para ofrecer velocidades de datos de ancho de banda elevadoa los suscriptores. La figura muestra una representación de la asignación del espacio de ancho debanda en un cable de cobre para ADSL. El área de color azul identifica el rango de frecuenciausado por el servicio telefónico de grado de voz, el cual se denomina en general servicio tele-fónico analógico (POTS). Los demás espacios en colores representan el espacio de frecuenciausado por las señales DSL ascendentes y descendentes.

Existen dos tipos básicos de tecnología DSL: la asimétrica (ADSL) y la simétrica (SDSL). Todaslas formas de servicio DSL se pueden clasificar como ADSL o SDSL y existen muchas variedadesde cada tipo. ADSL brinda un mayor ancho de banda descendente al usuario que el ancho debanda de carga. SDSL ofrece la misma capacidad en ambas direcciones.

Los distintos tipos de DSL brindan diferentes anchos de banda, algunos con capacidades que exce-den aquellas de la línea alquilada T1 o E1. La velocidad de transferencia depende de la longitudreal del bucle local y del tipo y la condición de su cableado. Para obtener un servicio satisfactorio,el bucle debe ser menor a 5.5 kilómetros (3.5 millas).

Los proveedores de servicio implementan conexiones DSL en el último paso de una red telefónicalocal, lo que se denomina bucle local o última milla. Se instala la conexión entre un par demódems ubicados en cualquier extremo de un cable de cobre que se extiende entre el equipo localdel cliente (CPE) y el multiplexor de acceso DSL (DSLAM). El DSLAM es el dispositivo ubicado


en la oficina central (CO) del proveedor, que concentra las conexiones desde los distintos suscrip-tores DSL.

Haga clic en el botón Conexiones DSL de la figura.

La figura muestra el equipo clave necesario para brindar una conexión DSL a una oficina pequeñau oficina doméstica. Los dos componentes clave son el transceptor DSL y el DSLAM:

■ Transceptor: conecta la computadora del trabajador a distancia con el DSL. Generalmente,el transceptor es un módem DSL conectado a la computadora mediante un cable USB oEthernet. Los transceptores DSL más nuevos pueden integrarse en routers pequeños convarios puertos de switch 10/100 para que usen las oficinas pequeñas.

■ DSLAM: ubicado en la oficina central de la empresa de telecomunicaciones, el DSLAMcombina conexiones DSL individuales de los usuarios en un enlace de alta capacidad al ISP y,por lo tanto, a Internet.

Haga clic en el botón Router DSL y DSLAM de la figura.

La ventaja que tiene DSL sobre la tecnología por cable es que no es un medio compartido. Cadausuario tiene una conexión directa separada al DSLAM. La incorporación de usuarios no afecta elrendimiento, a menos que la conexión de Internet DSLAM al ISP o Internet se sature.

La mayor ventaja de ADSL es la habilidad de proporcionar servicios de datos junto con serviciosde voz POTS.

Cuando el proveedor del servicio coloca voz analógica y ADSL en el mismo cable, divide el canalPOTS desde el módem ADSL por medio de filtros o divisores de señal. Esta configuración garan-tiza el servicio telefónico normal sin interrupciones, aun si ocurre una falla en el ADSL. Cuandolos filtros o divisores de señal están en su lugar, el usuario puede usar la línea de teléfono y laconexión ADSL al mismo tiempo, sin afectar ninguno de los servicios.

Las señales ADSL distorsionan la transmisión de voz y se dividen o filtran en las instalaciones delcliente. Hay dos maneras de separar ADSL de la voz en las instalaciones del cliente: mediante unmicrofiltro o un divisor de señal.

Un microfiltro es un filtro de paso bajo con dos extremos. Un extremo se conecta al teléfono y elotro al jack de pared. Esta solución elimina la necesidad de que un técnico visite las instalacionesy permite que el usuario use cualquier jack de la casa para el servicio de voz o ADSL.

Los divisores de señal POTS separan el tráfico DSL del tráfico POTS. El divisor de señal POTS esun dispositivo pasivo. Si se produjera un corte de energía eléctrica, el tráfico de voz aún se despla-zaría al switch de voz en la oficina central de la empresa de telecomunicaciones. Los divisores deseñal se ubican en la oficina central y, en algunas implementaciones, en las instalaciones delcliente. En la oficina central, el divisor de señal POTS separa el tráfico de voz, destinado para lasconexiones POTS, y el tráfico de datos destinado para DSLAM.

La figura muestra el bucle local que termina en las instalaciones del cliente en el punto de demar-cación. El dispositivo real es el dispositivo de interfaz de red (NID). Este punto es, generalmente,donde la línea telefónica ingresa a las instalaciones del cliente. En este punto, puede colocarse undivisor de señal en la línea telefónica. El divisor de señal desvía la línea telefónica; una parte pro-porciona el cableado telefónico de la casa original para los teléfonos y la otra parte se conecta almódem ADSL. El divisor de señal actúa como un filtro de paso bajo y solamente permite que lasfrecuencias de 0 a 4 kHz pasen al teléfono o desde él. La instalación del divisor de señal POTS enel NID en general significa que un técnico debe ir a las instalaciones del cliente.


Debido al servicio de asistencia técnica y mano de obra adicionales, hoy en día, la mayor parte delas instalaciones domésticas usa microfiltros, como se muestra en la figura. El uso de microfiltrostambién ofrece la ventaja de proporcionar una conectividad mayor a través del hogar. Debido a queel divisor de señal POTS separa las señales de voz y ADSL en el NID, generalmente, hay una solatoma ADSL disponible en la casa.

Haga clic en el botón Microfiltro que aparece en la figura.

La figura muestra un diseño DSL típico de oficinas pequeñas u oficinas domésticas mediante micro-filtros. En esta solución, el usuario puede instalar microfiltros de línea interna en cada teléfono, o ins-talar microfiltros montados en la pared en vez de jacks de teléfono comunes. Si coloca el cursorsobre los microfiltros que aparecen en el gráfico, se muestran las fotografías de los productos Cisco.

Haga clic en el botón Divisor de señal de la figura.

Si el proveedor de servicio hubiera instalado un divisor de señal, éste se ubicaría entre el NID y el sistema interno de distribución telefónica. Un cable iría directamente al módem DSL y el otrotransportaría la señal DSL a los teléfonos. Si coloca el cursor sobre la caja de divisores de señalque se encuentra en el gráfico, se muestra un esquema de cableado frecuente.

6.2.4 Conexión inalámbrica de banda anchaEl acceso de banda ancha por ADSL o cable proporciona conexiones más rápidas a los traba-jadores a distancia que el servicio de acceso telefónico sin embargo, hasta hace poco, los equiposde las oficinas pequeñas y domésticas debían conectarse a un módem o router por un cable Cat 5(Ethernet). Las conexiones de red inalámbricas, o Wi-Fi (del inglés, Wireless Fidelity), han mejo-rado esa situación no sólo para las oficinas pequeñas u oficinas domésticas, sino también en loscampus empresariales.

Mediante los estándares de networking 802.11, los datos se desplazan de un lugar a otro en ondasde radio. Lo que hace que el networking 802.11 sea relativamente fácil de implementar es que usael espectro de radio sin licencia para enviar y recibir datos. La mayoría de las transmisiones detelevisión y radio están reguladas por el gobierno, y se necesita licencia para poder usarlas.

A partir de 2007, los fabricantes de computadoras comenzaron a incorporar adaptadores de redinalámbrica en la mayoría de los equipos portátiles. Como el precio de los conjuntos de chip paraWi-Fi sigue disminuyendo, se está convirtiendo en una opción de networking muy económica tam-bién para las PC.

Las ventajas de Wi-Fi se extienden más allá del hecho de no tener que usar o instalar conexionesde red por cable. Las conexiones de red inalámbricas proporcionan movilidad. Las conexiones inalámbricas proporcionan una mayor flexibilidad y productividad al trabajador a distancia.

Hasta hace poco, una limitación importante de acceso inalámbrico había sido la necesidad de estardentro de un rango de transmisión local (en general menor a 30.5 metros) de un router inalámbricoo punto de acceso inalámbrico que tiene una conexión con cable a Internet. Una vez que el traba-jador abandonaba la oficina o el hogar, el acceso inalámbrico no se encontraba fácilmentedisponible.

Sin embargo, con los avances tecnológicos, se ha extendido el alcance de las conexiones inalám-bricas. El concepto de puntos de conexión ha aumentado el acceso a las conexiones inalámbricasen el mundo. Un punto de conexión es el área cubierta por uno o más puntos de acceso interconec-tados. Los lugares de reuniones públicas, como cafeterías, parques y bibliotecas, han creado pun-tos de conexión Wi-Fi con la esperanza de aumentar el negocio. Mediante la superposición depuntos de acceso, los puntos de conexión pueden cubrir muchos metros cuadrados.


Los desarrollos recientes en la tecnología de conexión inalámbrica de banda ancha están aumen-tando la disponibilidad inalámbrica. Entre otros, se encuentran los siguientes:

■ Wi-Fi municipal

■ WiMAX

■ Internet satelital

Los gobiernos municipales también se han unido a la revolución Wi-Fi. A menudo, junto con losproveedores de servicios, las ciudades están implementando redes inalámbricas municipales. Algu-nas de estas redes proporcionan acceso a Internet de alta velocidad sin costo o por un preciomucho menor al de los demás servicios de banda ancha. Otras ciudades reservan las redes Wi-Fipara uso oficial y proporcionan acceso remoto a Internet y a las redes del municipio a la policía,los bomberos y los trabajadores municipales.

Haga clic en el botón Router único de la figura.

La figura muestra una implementación doméstica típica mediante un único router inalámbrico.Esta implementación usa el modelo hub-and-spoke. Si ocurre una falla en el único router inalám-brico, se pierde la conectividad. Use el mouse para colocar el cursor sobre el cuadro de texto.

Haga clic en el botón Malla de la figura.

La mayor parte de las redes inalámbricas municipales usa una topología de malla en vez del mo-delo hub-and-spoke. Una malla es una serie de puntos de acceso (transmisores de radio) como apa-rece en la figura. Cada punto de acceso está dentro del rango y puede comunicarse con al menosotros dos puntos de acceso. La malla cubre su área con señales de radio. Las señales se desplazandesde un punto de acceso a otro, a través de esta nube.

Una red en malla tiene varias ventajas en comparación con los puntos de conexión de router único.La instalación es más fácil y puede ser más económica porque hay menos cables. Es más rápida laimplementación sobre un área urbana grande. Desde el punto de vista operativo, es más confiable.Si ocurre una falla en un nodo, los restantes de la malla lo compensan.

Haga clic en el botón WiMAX de la figura.

WiMAX (Interoperatividad mundial para el acceso por microondas) es una tecnología de teleco-municaciones que tiene como objetivo la provisión de datos inalámbricos sobre una gran distanciade diferentes maneras, desde enlaces punto a punto hasta el acceso completo de tipo celular móvil.WiMAX funciona a velocidades mayores, sobre distancias más grandes y para una cantidad deusuarios superior que Wi-Fi. Debido a su velocidad mayor (ancho de banda) y a la reducción de losprecios de los componentes, se predice que WiMAX pronto reemplazará las redes en malla munici-pales por las implementaciones inalámbricas.

Una red WiMAX consta de dos componentes principales:

■ Una torre conceptualmente similar a una torre de telefonía celular. Una sola torre WiMAXpuede brindar cobertura a un área de 7500 kilómetros cuadrados, aproximadamente, o 3000millas cuadradas.

■ Un receptor WiMAX similar en tamaño y forma a una tarjeta PCMCIA o se incorpora a unalaptop o a otro dispositivo inalámbrico.

Una estación de torre WiMAX se conecta directamente a Internet mediante una conexión de anchode banda elevado (por ejemplo, una línea T3). Una torre también puede conectarse a otras torres WiMAX mediante enlaces de microondas de línea de visión. Por lo tanto, WiMAX puede


proporcionar cobertura a las áreas rurales situadas fuera del alcance del cable de “última milla” yde las tecnologías DSL.

Haga clic en el botón Satélite de la figura.

Los servicios de Internet satelital se usan en lugares donde no está disponible el acceso a Internetterrestre o en instalaciones temporarias que están en continuo movimiento. El acceso a Internet pormedio de satélites se encuentra disponible mundialmente, incluso para los barcos en el mar, losaviones durante el vuelo y los vehículos que viajan por tierra.

Hay tres formas de conectarse a Internet por medio de satélites: multicast unidireccional, retornoterrestre unidireccional y bidireccional.

■ Los sistemas de Internet satelital multicast unidireccional se usan para la distribución devideo, audio y datos basados en IP multicast. Aunque la mayoría de los protocolos IPrequieren una comunicación bidireccional, para el contenido de Internet, incluidas las páginasWeb, los servicios de Internet satelital unidireccional pueden ser páginas enviadas alalmacenamiento local en los sitios del usuario final por medio de Internet satelital. No esposible la interactividad total.

■ Los sistemas de Internet satelital de retorno terrestre unidireccional usan el acceso telefónicotradicional para enviar datos salientes a través de un módem o recibir descargas desde el satélite.

■ Los sistemas de Internet satelital bidireccional envían datos desde lugares remotos a través delsatélite a un hub, el cual luego envía los datos a Internet. Las antenas parabólicas de cadalugar necesitan una ubicación precisa para evitar interferencias con otros satélites.

La figura muestra un sistema de Internet satelital bidireccional. Las velocidades de carga sonalrededor de un décimo de las velocidades de descarga, lo que está en un rango de 500 kbps.

El requisito clave de instalación es que la antena tenga una vista clara hacia el Ecuador, donde seencuentra la mayoría de los satélites. Los árboles y las lluvias copiosas pueden afectar la recepciónde las señales.

El sistema de Internet satelital bidireccional usa tecnología multicast IP, la cual permite que unsatélite brinde servicios a 5000 canales de comunicación de manera simultánea. IP Multicast envíadatos desde un punto a varios puntos al mismo tiempo mediante el envío de datos en un formatocomprimido. La compresión reduce el tamaño de los datos y del ancho de banda.

Las conexiones de redes inalámbricas cumplen con un rango de estándares que usan los routers ylos receptores para comunicarse entre sí. Los estándares más frecuentes se incluyen en el estándarIEEE 802.11 para redes de área local inalámbrica (WLAN), el cual direcciona las bandas de es-pectro público (sin licencia) de 5 GHz y 2.4 GHz.

Los términos 802.11 y Wi-Fi se usan de manera intercambiable, pero no es correcto. Wi-Fi es unacertificación de interoperatividad de la industria que se basa en un subconjunto de 802.11. La es-pecificación Wi-Fi apareció porque la demanda del mercado llevó a que Wi-Fi Alliance comenzaracon la certificación de productos antes de que se completaran las modificaciones al estándar802.11. Desde ese momento, el estándar 802.11 ha alcanzado y superado a Wi-Fi.

Desde el punto de vista de los trabajadores a distancia, los enfoques de acceso más populares a laconectividad son aquellos definidos por los protocolos IEEE 802.11b y IEEE 802.11g. En unprincipio, la seguridad era intencionalmente débil en estos protocolos debido a los requisitos deexportación restrictivos de varios gobiernos. El estándar más reciente, 802.11n, es una modifi-cación propuesta que se basa en los estándares 802.11 anteriores por medio de la incorporación de entrada múltiple, salida múltiple (MIMO).


El estándar 802.16 (o WiMAX) permite transmisiones de hasta 70 Mbps y tiene un rango de hasta50 km (30 millas). Puede funcionar en bandas con licencia o sin licencia del espectro desde 2hasta 6 GHz.

En esta actividad, debe demostrar su capacidad para incorporar conexiones y dispositivos de bandaancha a Packet Tracer. Aunque no puede configurar DSL y los módems por cable, puede simular la conectividad de extremo a extremo con los dispositivos del trabajador a distancia.



6.3 Tecnología VPN6.3.1 Las redes VPN y sus beneficiosInternet es una red IP de acceso público en todo el mundo. Debido a su amplia proliferaciónglobal, se ha convertido en una manera atractiva de interconectar sitios remotos. Sin embargo, elhecho de que sea una infraestructura pública conlleva riesgos de seguridad para las empresas y susredes internas. Afortunadamente, la tecnología VPN permite que las organizaciones creen redesprivadas en la infraestructura de Internet pública que mantienen la confidencialidad y la seguridad.

Las organizaciones usan las redes VPN para proporcionar una infraestructura WAN virtual queconecta sucursales, oficinas domésticas, oficinas de socios comerciales y trabajadores a distancia atoda la red corporativa o a parte de ella. Para que permanezca privado, el tráfico está encriptado.En vez de usar una conexión de Capa 2 exclusiva, como una línea alquilada, la VPN usa conex-iones virtuales que se enrutan a través de Internet.

Anteriormente en este curso, se presentó una analogía que incluía la obtención de entradas prefe-renciales para un espectáculo en un estadio. Una ampliación de esa analogía ayuda a explicarcómo funciona la VPN. Imagine el estadio como un lugar público, al igual que Internet es un lugarpúblico. Cuando el espectáculo termina, el público abandona el estadio a través de los pasillos ylas puertas, se empuja y abre paso a lo largo del camino. Los robos menores son amenazas quedeben soportarse.

Tenga en cuenta cómo salen los actores. Su comitiva une los brazos y forma cordones entre lagente y protege a las celebridades de los empujones. De hecho, estos cordones forman túneles. Lascelebridades se trasladan a través de túneles hacia las limusinas que las llevan protegidas a sus destinos. Esta sección describe cómo funcionan las VPN de una manera muy parecida; agrupandatos y los desplazan de manera segura a través de Internet por túneles protectores. Comprender latecnología VPN es esencial para poder implementar servicios seguros para trabajadores a distanciaen las redes empresariales.

Analogía: Cada LAN es una isla

Usaremos otra analogía para ilustrar el concepto de la VPN desde un punto de vista diferente. Ima-gine que vive en una isla en un gran océano. Hay miles de otras islas alrededor, algunas cerca yotras lejos. La manera normal de viajar es tomar el transbordador desde su isla a cualquier otra quedesee visitar. El viaje en el transbordador significa que casi no tiene privacidad. Otra persona puedeobservar todo lo que haga.

Suponga que cada isla representa una LAN privada y que el océano es Internet. Cuando viaja en eltransbordador, es similar a cuando se conecta a un servidor Web o a otro dispositivo a través de In-ternet. No tiene control sobre los cables ni routers que forman Internet, de igual manera que no


tiene control sobre el resto de las personas que viajan en el transbordador. Esto lo vuelve vulnera-ble a los problemas de seguridad si intenta conectarse entre dos redes privadas por medio de un re-curso público.

Su isla decide construir un puente a otra isla para que sea un medio más fácil, seguro y directopara que las personas viajen entre ellas. Es caro construir y mantener el puente, aunque la isla a laque se está conectando es muy cercana. Pero la necesidad de una ruta segura y confiable es tangrande que decide hacerlo de todos modos. Su isla quisiera conectarse a una segunda isla quequeda mucho más lejos, pero decide que es demasiado caro.

Esta situación es muy similar a tener una línea alquilada. Los puentes (líneas alquiladas) están se-parados del océano (Internet), pero aun así pueden conectar las islas (redes LAN). Muchas empre-sas han elegido esta ruta debido a la necesidad de seguridad y fiabilidad para la conexión de susoficinas remotas. Sin embargo, si las oficinas están muy lejos, el costo puede ser demasiado alto,igual que intentar construir un puente que cubra una gran distancia.

Entonces, ¿cómo encaja una VPN en esta analogía? Podríamos darle a cada habitante de las islassu propio submarino con estas propiedades:

■ Veloz

■ Fácil de llevar con usted donde sea que vaya

■ Permite ocultarse por completo de otros botes o submarinos

■ Confiable

■ Cuesta poco agregar submarinos adicionales a la flota una vez que se compró el primero

Aunque están viajando en el océano junto con más tráfico, los habitantes de nuestras dos islas po-drían viajar entre ellas cuando lo deseen con privacidad y seguridad. Esencialmente, así funcionala VPN. Cada miembro remoto de la red puede comunicarse de manera segura y confiable a travésde Internet como medio para conectarse a la LAN privada. La VPN puede desarrollarse para alojarmás usuarios y ubicaciones diferentes de manera mucho más fácil que una línea alquilada. Dehecho, la escalabilidad es una ventaja principal que tienen las VPN sobre las líneas alquiladas co-munes. A diferencia de las líneas alquiladas, donde aumenta el costo en proporción a las distanciasen cuestión, las ubicaciones geográficas de cada oficina tienen poca importancia en la creación deuna VPN.

Las organizaciones que usan las VPN se benefician con el aumento en la flexibilidad y la produc-tividad. Los sitios remotos y los trabajadores a distancia pueden conectarse de manera segura a lared corporativa desde casi cualquier lugar. Los datos de la VPN están encriptados y ninguna per-sona que no esté autorizada puede descifrarlos. Las VPN traen a los hosts remotos dentro del fire-wall y les brindan casi los mismos niveles de acceso a los dispositivos de red como si estuvieranen una oficina corporativa.

La figura muestra las líneas alquiladas en rojo. Las líneas azules representan las conexiones deVPN. Tenga en cuenta estos beneficios al usar las VPN:

■ Económicos: las organizaciones pueden usar transporte de Internet de terceros y económicopara conectar oficinas y usuarios remotos al sitio corporativo principal. Esto elimina losenlaces WAN exclusivos y caros, y los bancos de módems. Mediante el uso de banda ancha,las VPN reducen los costos de conectividad mientras aumenta el ancho de banda de lasconexiones remotas.

■ Seguridad: los protocolos de autenticación y encriptación avanzados protegen los datos contrael acceso no autorizado.


■ Escalabilidad: las VPN usan la infraestructura de Internet dentro de los ISP y las empresas detelecomunicaciones, y es más fácil para las organizaciones agregar usuarios nuevos. Lasorganizaciones, grandes y pequeñas, pueden agregar grandes cantidades de capacidad sinincorporar una infraestructura significativa.

6.3.2 Tipos de VPNLas organizaciones usan las VPN de sitio a sitio para conectar ubicaciones remotas, tal como seusa una línea alquilada o conexión Frame Relay. Debido a que la mayoría de las organizacionesahora tiene acceso a Internet, es lógico aprovechar los beneficios de las VPN de sitio a sitio. Comose muestra en la figura, las VPN de sitio a sitio también admiten intranets de la empresa y ex-tranets de los socios comerciales.

De hecho, una VPN de sitio a sitio es una extensión de una networking WAN clásica. Las VPN desitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden conectar la red de una sucursala la red de la sede central corporativa.

En una VPN de sitio a sitio, los hosts envían y reciben tráfico TCP/IP a través de un gateway VPN,el cual podría ser un router, una aplicación firewall PIX o una aplicación de seguridad adaptable(ASA). El gateway VPN es responsable de la encapsulación y encriptación del tráfico saliente paratodo el tráfico desde un sitio particular y de su envío a través de un túnel VPN por Internet a ungateway VPN par en el sitio objetivo. Al recibirlo, el gateway VPN par elimina los encabezados,descifra el contenido y retransmite el paquete hacia el host objetivo dentro de su red privada.

Los usuarios móviles y trabajadores a distancia usan mucho las VPN de acceso remoto. En elpasado, las empresas admitían usuarios remotos con redes telefónicas. En general, esto implicabauna llamada de larga distancia y los costos correspondientes para lograr el acceso a la empresa.

La mayoría de los trabajadores a distancia ahora tienen acceso a Internet desde sus hogares ypueden establecer VPN remotas por medio de las conexiones de banda ancha. De manera similar,un trabajador móvil puede realizar una llamada local a un ISP local para lograr el acceso a la em-presa a través de Internet. De hecho, esto marca un avance de evolución en las redes. Las VPN deacceso remoto pueden admitir las necesidades de los trabajadores a distancia, los usuarios móviles,además de las extranets de consumidores a empresas.

En una VPN de acceso remoto, cada host en general tiene software cliente de VPN. Cuando el hostintenta enviar tráfico, el software cliente de VPN encapsula y encripta ese tráfico antes del envío através de Internet hacia el gateway VPN en el borde de la red objetivo. Al recibirlo, el gatewayVPN maneja los datos de la misma manera en que lo haría con los datos de una VPN de sitio asitio.

6.3.3 Componentes de la VPNLa VPN crea una red privada a través de una infraestructura de red pública, mientras mantiene laconfidencialidad y la seguridad. Las VPN usan protocolos de tunneling criptográficos para brindarprotección contra detectores de paquetes, autenticación de emisores e integración de mensajes.

La figura muestra una topología de VPN típica. Los componentes necesarios para establecer estaVPN incluyen lo siguiente:

■ Una red existente con servidores y estaciones de trabajo

■ Una conexión a Internet

■ Gateways VPN, como routers, firewalls, concentradores VPN y ASA, que actúan comoextremos para establecer, administrar y controlar las conexiones VPN


■ Software adecuado para crear y administrar túneles VPN

La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos mediante encapsu-lación o encriptación. La mayoría de las VPN puede hacer las dos cosas.

■ La encapsulación también se denomina tunneling, porque transmite datos de maneratransparente de red a red a través de una infraestructura de red compartida.

■ La encriptación codifica los datos en un formato diferente mediante una clave secreta. Ladecodificación vuelve los datos encriptados al formato original sin encriptar.

La encapsulación y la encriptación se analizan con detalle más adelante durante este curso.

6.3.4 Características de las VPN segurasLas VPN utilizan técnicas de encriptación avanzada y tunneling para permitir que las conexionesde red privadas de extremo a extremo que establezcan las organizaciones a través de Internet seanseguras.

Las bases de una VPN segura son la confidencialidad, la integridad de datos y la autenticación:

■ Confidencialidad de datos: una cuestión de seguridad que suele despertar preocupación es laprotección de datos contra personas que puedan ver o escuchar subrepticiamente informaciónconfidencial. La confidencialidad de datos, que es una función de diseño, tiene el objetivo deproteger los contenidos de los mensajes contra la intercepción de fuentes no autenticadas o noautorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulación yencriptación.

■ Integridad de datos: los receptores no tienen control sobre la ruta por la que han viajado losdatos y, por lo tanto, no saben si alguien ha visto o ha manejado los datos mientras viajabanpor Internet. Siempre existe la posibilidad de que los datos hayan sido modificados. Laintegridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en los datosmientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes paragarantizar la integridad de los datos. El hash es como una checksum o un sello (pero másrobusto) que garantiza que nadie haya leído el contenido. En el próximo tema se incluye laexplicación de los hashes.

■ Autenticación: la autenticación garantiza que el mensaje provenga de un origen auténtico y sedirija a un destino auténtico. La identificación de usuarios brinda al usuario la seguridad deque la persona con quien se comunica es quien cree que es. Las VPN pueden utilizarcontraseñas, certificados digitales, tarjetas inteligentes y biométricas para establecer laidentidad de las partes ubicadas en el otro extremo de la red.

6.3.5 Tunneling de VPNLa incorporación de capacidades de confidencialidad de datos adecuadas en una VPN garantizaque sólo los orígenes y los destinos indicados sean capaces de interpretar los contenidos del men-saje original.

El tunneling permite el uso de redes públicas como Internet para transportar datos para usuarios,siempre que los usuarios tengan acceso a una red privada. El tunneling encapsula un paquete en-tero dentro de otro paquete y envía por una red el nuevo paquete compuesto. Esta figura contieneuna lista de las tres clases de protocolos que utiliza el tunneling.

Para ilustrar el concepto de tunneling y las clases de protocolos de tunneling, veamos un ejemplode un envío de una tarjeta navideña por correo tradicional. La tarjeta navideña tiene un mensaje


adentro. La tarjeta es el protocolo pasajero. El emisor coloca la tarjeta dentro de un sobre (pro-tocolo de encapsulación) y escribe las direcciones correctas. Luego, deposita el sobre en el buzónde correo para que sea entregado. El sistema postal (protocolo portador) busca y entrega el sobreen el buzón del receptor. Los dos extremos del sistema portador son las “interfaces del túnel”. Elreceptor quita la tarjeta navideña (extrae el protocolo pasajero) y lee el mensaje.

Haga clic en el botón Encapsulación de la figura para ver una ilustración del proceso de encap-sulación.

Esta figura muestra un mensaje de correo electrónico que viaja por Internet a través de una cone-xión VPN. PPP transmite el mensaje al dispositivo VPN, donde el mensaje se encapsula dentro deun paquete de Encapsulamiento de enrutamiento genérico (GRE). El GRE es un protocolo de tun-neling desarrollado por Cisco Systems que puede encapsular una amplia variedad de tipos de pa-quetes de protocolo dentro de túneles IP, lo que crea un enlace virtual punto a punto con losrouters Cisco en puntos remotos, a través de una internetwork IP. En la figura, el direccionamientodel paquete de origen y de destino externo se asigna a “interfaces del túnel” y se hace enrutable a través de la red. Una vez que el paquete compuesto llega a la interfaz del túnel de destino, se ex-trae el paquete interno.

6.3.6 Integridad de datos de la VPNSi por Internet pública se transporta texto sin formato, puede ser interceptado y leído. Para man-tener la privacidad de los datos, es necesario encriptarlos. La encriptación VPN encripta los datosy los vuelve ilegibles para los receptores no autorizados.

Para que la encriptación funcione, tanto el emisor como el receptor deben conocer las reglas que seutilizan para transformar el mensaje original en la versión codificada. Las reglas de encriptaciónde la VPN incluyen un algoritmo y una clave. Un algoritmo es una función matemática que com-bina mensaje, texto, dígitos o los tres con una clave. El resultado es una cadena de cifrado ilegible.El descifrado es extremadamente difícil o imposible sin la clave correcta.

En el ejemplo, Gail desea enviar un documento de finanzas a Jeremy por Internet. Gail y Jeremyhan acordado previamente una clave secreta compartida. En el extremo de Gail, el software decliente de la VPN combina el documento con la clave secreta compartida y lo pasa por un algo-ritmo de encriptación. El resultado es un texto cifrado indescifrable. El texto cifrado se envía me-diante un túnel de la VPN o por Internet. En el otro extremo, el mensaje se vuelve a combinar conla misma clave secreta compartida y se lo procesa con el mismo algoritmo de encriptación. El re-sultado es el documento de finanzas original, que ahora es legible para Jeremy.

El grado de seguridad que proporciona un algoritmo de encriptación depende de la longitud de laclave. Para cualquier longitud de clave, el tiempo que lleva el procesamiento de todas las posibili-dades de descifrar texto cifrado es una función de la potencia de cómputo del equipo. Por lo tanto,cuanto más corta sea la clave, más fácil será romperla; pero, a su vez, más fácil pasar el mensaje.

Algunos de los algoritmos de encriptación más comunes y la longitud de claves que se utilizan sonlos siguientes:

■ Algoritmo Estándar de cifrado de datos (DES): DES, desarrollado por IBM, utiliza unaclave de 56 bits para garantizar una encriptación de alto rendimiento. El DES es un sistema deencriptación de clave simétrica. Las claves simétricas y asimétricas se explican más adelante.

■ Algoritmo Triple DES (3DES): una variante más reciente del DES que realiza la encriptación con una clave, descifra con otra clave y realiza la encriptación por última vez con


otra clave también diferente. 3DES le proporciona mucha más fuerza al proceso deencriptación.

■ Estándar de encriptación avanzada (AES): el Instituto Nacional de Normas yTecnología (NIST) adoptó el AES para reemplazar la encriptación DES en los dispositivoscriptográficos. AES proporciona más seguridad que DES y es más eficaz en cuanto asu cálculo que 3DES. AES ofrece tres tipos de longitudes de clave: claves de 128, 192y 256 bits.

■ Rivest, Shamir y Adleman (RSA): sistema de encriptación de clave asimétrica. Las clavesutilizan una longitud de bits de 512, 768, 1024 o superior.

Encriptación simétrica

Los algoritmos de encriptación como DES y 3DES requieren que una clave secreta compartida realice la encriptación y el descifrado. Los dos equipos deben conocer la clave para decodificar la información. Con la encriptación de clave simétrica, también llamada encriptación de clave secreta, cada equipo encripta la información antes de enviarla por la red al otro equipo. La encrip-tación de clave simétrica requiere el conocimiento de los equipos que se comunicarán para poderconfigurar la misma clave en cada uno.

Por ejemplo, un emisor crea un mensaje codificado en el cual cada letra se sustituye con la letraque se encuentra dos posiciones adelante en el alfabeto; “A” se convierte en “C” y “B” se con-vierte en “D” y así sucesivamente. En este caso, la palabra SECRETO se convierte en UGETGVQ.El emisor le ha informado al receptor que la clave secreta es “saltear 2”. Cuando el receptor recibeel mensaje UGETGVQ, su equipo decodifica el mensaje al calcular las dos letras anteriores a lasdel mensaje y llega al código SECRETO. Cualquier otra persona que vea el mensaje sólo verá elmensaje cifrado, que parece una frase sin sentido a menos que la persona conozca la clave secreta.

La pregunta es, ¿cómo el dispositivo de encriptación y el de descifrado tienen la misma clave se-creta compartida? Puede utilizar el correo electrónico, un mensajero o un correo de 24 horas paraenviar las claves secretas compartidas a los administradores de los dispositivos. Otro método másfácil y más seguro es la encriptación asimétrica.

Encriptación asimétrica

La encriptación asimétrica utiliza diferentes claves para la encriptación y el descifrado. Elconocimiento de una de las claves no es suficiente para que un pirata informático deduzca la se-gunda clave y decodifique la información. Una clave realiza la encriptación del mensaje y otra, eldescifrado. No es posible realizar ambos con la misma clave.

La encriptación de clave pública es una variante de la encriptación asimétrica que utiliza una com-binación de una clave privada y una pública. El receptor le da una clave pública a cualquier emisorcon quien desee comunicarse el receptor. El emisor utiliza una clave privada junto con la clavepública del receptor para encriptar el mensaje. Además, el emisor debe compartir la clave públicacon el receptor. Para descifrar un mensaje, el receptor utiliza la clave pública del emisor y supropia clave privada.

Los hashes contribuyen a la autenticación y la integridad de los datos, ya que garantizan que per-sonas no autorizadas no alteren los mensajes transmitidos. Un hash, también denominado messagedigest, es un número generado a partir de una cadena de texto. El hash es menor que el texto. Segenera mediante una fórmula, de forma tal que es extremadamente improbable que otro texto pro-duzca el mismo valor de hash.

El emisor original genera un hash del mensaje y lo envía junto con el mensaje mismo. El receptordescifra el mensaje y el hash, produce otro hash a partir del mensaje recibido y compara los doshashes. Si son iguales, puede estar seguro de que la integridad del mensaje no ha sido afectada.


En la figura, alguien está intentando enviarle a Jeremy un cheque por 100 dólares. En el extremoremoto, Alex Jones (probablemente un delincuente) está intentando cobrar el cheque en efectivopor 1000 dólares. El cheque fue alterado a medida que avanzaba mediante Internet. Se cambiaronel receptor y el monto en dólares. En este caso, si se hubiera utilizado el algoritmo de integridad dedatos, los hashes no habrían coincidido y la transacción no habría tenido validez.

Los datos de la VPN se transportan por Internet pública. Tal como se mostró, hay posibilidades deque estos datos sean interceptados y modificados. Como protección frente a esta amenaza, loshosts pueden agregarle un hash al mensaje. Si el hash transmitido coincide con el recibido, sig-nifica que se ha preservado la integridad del mensaje. Sin embargo, si no coinciden, el mensaje hasido alterado.

Las VPN utilizan un código de autenticación de mensajes para verificar la integridad y la autentici-dad de un mensaje, sin utilizar mecanismos adicionales. Un código de autenticación de mensajesde hash (HMAC) en clave es un algoritmo de integridad de datos que garantiza la integridad delmensaje.

El HMAC tiene dos parámetros: un mensaje de entrada y una clave secreta que sólo conocen elcreador del mensaje y los receptores adecuados. El emisor del mensaje utiliza una función HMACpara producir un valor (el código de autenticación del mensaje) que se forma al condensar la clavesecreta y el mensaje de entrada. El código de autenticación del mensaje se envía junto con el men-saje. El receptor calcula el código de autenticación del mensaje en el mensaje recibido con lamisma clave y la misma función HMAC que utilizó el emisor y compara los resultados calculadoscon el código de autenticación del mensaje. Si los dos valores coinciden, el mensaje se ha recibidocorrectamente y el receptor está seguro de que el emisor es un miembro de la comunidad de usua-rios que comparten la clave. La fuerza criptográfica de HMAC depende de la fuerza criptográficade la función hash subyacente en cuanto al tamaño y a la calidad de la clave, y en el tamaño de lalongitud del resultado de hash en bits.

Hay dos algoritmos HMAC comunes:

■ Message Digest 5 (MD5): utiliza una clave secreta compartida de 128 bits. El mensaje delongitud variable y la clave secreta compartida de 128 bits se combinan y se ejecutanmediante el algoritmo de hash HMAC-MD5. El resultado es un hash de 128 bits. El hash seagrega al mensaje original y se envía al extremo remoto.

■ Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160 bits. El mensaje delongitud variable y la clave secreta compartida de 160 bits se combinan y se ejecutanmediante el algoritmo de hash HMAC-SHA-1. El resultado es un hash de 160 bits. El hash seagrega al mensaje original y se envía al extremo remoto.

Haga clic en el botón Autenticación de VPN de la figura.

Cuando se realizan negocios a larga distancia, es necesario saber quién está del otro lado del telé-fono, correo electrónico o fax. Lo mismo sucede con las redes VPN. Se debe autenticar el disposi-tivo ubicado en el otro extremo del túnel de la VPN antes de que la ruta de comunicación seconsidere segura. Hay dos métodos pares de autenticación:

■ Clave compartida previamente (PSK): una clave secreta compartida entre dos partes queutilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan algoritmoscriptográficos de clave simétrica. Una PSK se especifica en cada par manualmente y se utilizapara autenticar al par. En cada extremo, la PSK se combina con otra información para formarla clave de autenticación.

■ Firma RSA: utiliza el intercambio de certificados digitales para autenticar los pares. Eldispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado (firma


digital) se adjunta al mensaje y se envía al extremo remoto. En el extremo remoto, el hashencriptado se descifra mediante la clave pública del extremo local. Si el hash descifradocoincide con el hash recalculado, la firma es verdadera.

Observe una demostración de RSA como ejemplo de una encriptación RSA.

6.3.7 Protocolos de seguridad IPsecEl IPsec es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporcionaencriptación, integridad y autenticación. IPsec ingresa el mensaje necesario para proteger las co-municaciones VPN, pero se basa en algoritmos existentes.

Existen dos protocolos de estructura IPsec.

■ Encabezado de autenticación (AH): se utiliza cuando no se requiere o no se permite laconfidencialidad. AH proporciona la autenticación y la integridad de datos para paquetes IPintercambiados entre dos sistemas. Verifica que cualquier mensaje intercambiado de R1 a R2no haya sido modificado en el camino. También verifica que el origen de los datos sea R1 oR2. AH no proporciona la confidencialidad de datos (encriptación) de los paquetes. Si se utiliza solo, el protocolo AH proporciona poca protección. Por lo tanto, se utiliza junto con el protocolo ESP para brindar las funciones de seguridad de la encriptación de los datos y elalerta contra alteraciones.

■ Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y autenticaciónmediante la encriptación del paquete IP. La encriptación del paquete IP oculta los datos y lasidentidades de origen y de destino. ESP autentica el paquete IP interno y el encabezado ESP.La autenticación proporciona autenticación del origen de datos e integridad de datos. Aunquetanto la encriptación como la autenticación son opcionales en ESP, debe seleccionar unacomo mínimo.

Haga clic en el botón Estructura IPsec de la figura.

IPsec se basa en algoritmos existentes para implementar la encriptación, la autenticación y el inter-cambio de claves. Algunos de los algoritmos estándar que utiliza IPsec son:

■ DES: encripta y descifra los datos del paquete.

■ 3DES: proporciona una fuerza de encriptación importante superior al DES de 56 bits.

■ AES: proporciona un rendimiento más rápido y una encriptación más fuerte según la longitudde la clave utilizada.

■ MD5: autentica datos de paquetes con una clave secreta compartida de 128 bits.

■ SHA-1: autentica datos de paquetes con una clave secreta compartida de 160 bits.

■ DH: permite que dos partes establezcan una clave secreta compartida mediante la encriptacióny los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro.

La figura muestra cómo se configura IPsec. IPsec proporciona la estructura y el administradorelige los algoritmos utilizados para implementar los servicios de seguridad dentro de esa estruc-tura. Existen cuatro apartados de estructura IPsec que deben completarse.

■ Cuando configura un gateway de IPsec para proporcionar servicios de seguridad, primero elijaun protocolo IPsec. Las opciones son ESP o ESP con AH.

■ El segundo apartado es un algoritmo de encriptación si IPsec se implementa con ESP.Seleccione el algoritmo de encriptación adecuado para el nivel de seguridad deseado: DES,3DES o AES.


■ El tercer apartado es la autenticación. Seleccione un algoritmo de autenticación paraproporcionar la integridad de los datos: MD5 o SHA.

■ El último apartado es el grupo de algoritmos Diffie-Hellman (DH). Establece que los parescompartan la información de clave. Seleccione el grupo que desea utilizar: DH1 o DH2.

Actividad: Tecnología VPN


Resumen del capítuloEn este capítulo aprendió la importancia cada vez mayor de los trabajadores a distancia. Puede des-cribir los requisitos de una organización para proporcionar servicios de trabajadores a distancia,según las necesidades de los propios trabajadores a distancia y lo que debe otorgarles la organiza-ción: conectividad confiable y rentable. Entre las formas elegidas para conectar trabajadores a dis-tancia, puede describir cómo usar los servicios de banda ancha como DSL, cable y tecnologíainalámbrica. Además, sabe cómo se puede utilizar la tecnología VPN para proporcionar servicios detrabajo a distancia seguros en organizaciones; incluso conoce la importancia, los beneficios, el papely el impacto de la tecnología VPN y los tipos de acceso, componentes, tunneling y encriptación.

Esta actividad requiere que configure una ruta predeterminada y un enrutamiento dinámico con laversión 2 de RIP. También debe agregar dispositivos de banda ancha a la red. Por último, configuraACL en dos routers para controlar el tráfico de la red.





CAPÍTULO 7

Servicios de direccionamiento IP

IntroducciónInternet y las tecnologías de IP han crecido con rapidez. Una de las razones de este crecimiento esen parte la flexibilidad del diseño original. Sin embargo, ese diseño no anticipó la popularidad deInternet con la demanda resultante de direcciones IP. Por ejemplo, cada host y cada dispositivo co-nectado a Internet requiere una dirección IP versión 4 (IPv4) única. A causa del enorme creci-miento, la cantidad de direcciones IP disponibles se está acabando con rapidez.

Para poder compensar esta falta de direcciones IP, se desarrollaron diferentes soluciones a cortoplazo. Dos de estas soluciones a corto plazo son las direcciones privadas y la traducción de direc-ciones de red (NAT, Network Address Translation).

Normalmente un host interno recibe su dirección IP, máscara de subred, dirección IP del gatewaypredeterminado, dirección IP del servidor DNS y otra información de un servidor de protocolo deconfiguración dinámica de host (DHCP, Dynamic Host Configuration Protocol). En lugar de pro-porcionar a los hosts internos direcciones IP de Internet válidas, el servidor de DHCP normal-mente proporcionas direcciones IP de un conjunto de direcciones privado. El problema es quepuede ocurrir que estos hosts necesiten direcciones IP válidas para poder tener acceso a los recur-sos de Internet. Aquí es donde entra en juego NAT.

NAT permite a los hosts de red internos tomar prestada una dirección IP de Internet legítima alconectarse a los recursos de Internet. Cuando el tráfico solicitado regresa, la dirección IP legítimase libera y vuelve a estar disponible para la siguiente solicitud de Internet que haga un host in-terno. Al usar NAT, los administradores de red sólo necesitan una o algunas direcciones IP paraque el router proporcione a los hosts, en lugar de una dirección IP única para cada cliente que seune a la red. Si bien este método no parece ser eficaz, en realidad sí lo es, porque el tráfico de loshosts se traslada con mucha rapidez.

Si bien las direcciones privadas con DHCP y NAT han colaborado para reducir la necesidad de di-recciones IP, se estima que para el año 2010 se agotarán las direcciones IPv4 únicas. Por este mo-tivo, a mediados de la década del 90, el IETF solicitó propuestas para un nuevo esquema dedireccionamiento IP. Así recibió la respuesta del grupo IP de próxima generación (IPng, IP NextGeneration). Para 1996, el IETF comenzó a publicar una serie de RFC que definen el IPv6.

La principal característica del IPv6 que impulsa su adopción en la actualidad es el mayor espaciode direcciones: las direcciones IPv6 tienen 128 bits en comparación con los 32 bits de IPv4.

Este capítulo describe cómo implementar DHCP, NAT e IPv6 en redes empresariales.

7.1 DHCP

7.1.1 Introducción a DHCP¿Qué es DHCP?

Cada dispositivo que se conecta a una red necesita una dirección IP. Los administradores de red asig-nan direcciones IP estáticas a los routers, los servidores y otros dispositivos de red que es poco proba-


ble que cambien de ubicación (física y lógica). Los administradores ingresan las direcciones IP estáti-cas de manera manual al configurar los dispositivos que se conectarán a la red. Las direcciones está-ticas también permiten a los administradores administrar esos dispositivos de manera remota.

Sin embargo, las computadoras de una organización con frecuencia cambian de ubicación, tantofísica como lógica. Los administradores no pueden asignar nuevas direcciones IP cada vez que unempleado se muda a otra oficina o cubículo. Los clientes de escritorio no requieren direcciones es-táticas. Por el contrario, una estación de trabajo puede utilizar cualquier dirección perteneciente aun rango de direcciones. Este rango se encuentra por lo general dentro de una subred IP. Unaestación de trabajo perteneciente a una subred específica puede recibir cualquier direcciónperteneciente a un rango especificado. Otros elementos, como la máscara de subred, el gatewaypredeterminado y el servidor del sistema de nombres de dominios (DNS, Domain Name System)reciben un valor que es común para esa subred o toda la red administrada. Por ejemplo, todos loshosts dentro de la misma subred reciben diferentes direcciones IP de host, pero reciben la mismamáscara de subred y la misma dirección IP de gateway predeterminado.

Recuerde que en CCNA Exploration: Aspectos básicos de redes DHCP hace que el proceso deasignación de nuevas direcciones IP sea casi transparente. DHCP asigna direcciones IP y otra in-formación de configuración de la red de manera dinámica. Como los clientes de escritorio por logeneral conforman la mayoría de los nodos de red, DHCP es una herramienta muy útil y que aho-rra tiempo a los administradores de red. RFC 2131 describe DHCP.

Los administradores en general prefieren que los servidores de red ofrezcan servicios DHCPporque estas soluciones facilitan el crecimiento y la administración. Sin embargo, en una sucursalpequeña o una ubicación SOHO, se puede configurar un router Cisco para brindar proporcionarDHCP sin necesidad de contar con un servidor dedicado y caro. Un conjunto de funciones de IOSde Cisco, llamado Easy IP, permite ofrecer un servidor de DHCP opcional con todas las funciones.

7.1.2 Funcionamiento de DHCPFuncionamiento de DHCP

La asignación de direcciones IP a los clientes es la tarea más fundamental que realiza un servidorde DHCP. DHCP incluye tres mecanismos diferentes para la asignación de direcciones a fin deproporcionar flexibilidad al momento de asignar direcciones IP:

■ Asignación manual: El administrador asigna una dirección IP asignada previamente al clientey DHCP sólo comunica la dirección IP al dispositivo.

■ Asignación automática: DHCP asigna automáticamente una dirección IP estática permanentea un dispositivo; la dirección es seleccionada de un conjunto de direcciones disponibles. Nohay arrendamiento y la dirección se asigna permanentemente al dispositivo.

■ Asignación dinámica: DHCP asigna automáticamente una dirección IP dinámica, oarrendada, tomada de un grupo de direcciones IP por un período limitado seleccionado por elservidor o hasta que el cliente informe al servidor de DHCP que ya no necesita la dirección.

Esta sección se centra en la asignación dinámica.

DHCP funciona en un modo de cliente/servidor y opera como cualquier otra relación cliente/servi-dor. Cuando una PC se conecta a un servidor de DHCP, el servidor asigna o arrienda una direcciónIP a esa PC. La PC se conecta a la red con esa dirección IP arrendada hasta que el arrendamientovence. El host debe comunicarse periódicamente con el servidor de DHCP para extender el arren-

Capítulo 7: Servicios de direccionamiento IP 189

damiento. Este mecanismo de arrendamiento garantiza que si se traslada o apaga un host, éste nobloquee direcciones que no necesita. El servidor de DHCP devuelve estas direcciones al conjuntode direcciones y las vuelve a asignar según sea necesario.

Haga clic en el botón Descubrir que se muestra en la figura.

Cuando el cliente inicia sesión o desea unirse a una red de alguna otra manera, realiza cuatro pasospara obtener un arrendamiento. En el primer paso, el cliente envía un mensaje DHCPDISCOVERen forma de broadcast. El mensaje DHCPDISCOVER detecta servidores de DHCP en la red.Como el host no tiene información de IP válida, utiliza las direcciones de broadcast L2 y L3 paracomunicarse con el servidor.

Haga clic en el botón Ofrecer que se muestra en la figura.

Cuando el servidor de DHCP recibe un mensaje DHCDISCOVER, busca una dirección IPdisponible para arrendar, crea una entrada ARP que incluye la dirección MAC del host solicitantey la dirección IP arrendada, y transmite una oferta vinculante con un mensaje DHCPOFFER. Elmensaje DHCPOFFER se envía como unicast mediante la dirección MAC L2 del servidor comodirección de origen y la dirección L2 del cliente como destino.

Nota: En determinadas circunstancias, el intercambio de mensajes DHCP del servidor puede en-viarse como broadcast y no unicast.

Haga clic en el botón Solicitar que se muestra en la figura.

Cuando el cliente recibe el mensaje DHCPOFFER del servidor, responde con un mensaje DHCPREQUEST. Este mensaje tiene dos propósitos: el origen del arrendamiento y la verificaciónde la renovación del arrendamiento. Cuando se utiliza como origen del arrendamiento, el mensajeDHCPREQUEST del cliente solicita que la información de IP se verifique justo después de habersido asignada. El mensaje proporciona una verificación de errores para asegurarse de que la asig-nación siga siendo válida. El mensaje DHCPREQUEST también actúa como aviso de aceptaciónvinculante para el servidor seleccionado y como rechazo implícito para los demás servidores quepuedan haber enviado al host una oferta vinculante.

Muchas redes empresariales utilizan varios servidores de DHCP. El mensaje DHCPREQUEST seenvía en forma de broadcast para informar a este servidor de DHCP y a los demás servidores deDHCP acerca de la oferta aceptada.

Haga clic en el botón Acusar recibo que se muestra en la figura.

Al recibir el mensaje DHCPREQUEST, el servidor verifica la información de arrendamiento, crea unanueva entrada ARP para el arrendamiento del cliente y responde con un mensaje DHCPACK unicast.El mensaje DHCPACK es una reproducción del mensaje DHCPOFFER, excepto por un cambio en elcampo del tipo de mensaje. Cuando el cliente recibe el mensaje DHCPACK, registra la información dela configuración y realiza una búsqueda ARP para la dirección asignada. Si no recibe una respuesta,sabe que la dirección IP es válida y comienza a utilizarla como propia.

Los clientes arriendan la información de los servidores por un período definido administrativa-mente. Los administradores configuran los servidores de DHCP para que los arrendamientos expiren una vez transcurridos ciertos intervalos. La mayoría de los ISP y las redes grandes utili-zan duraciones de arrendamiento predeterminadas de hasta tres días. Cuando el período de arrendamiento finaliza, el cliente debe pedir otra dirección, aunque en general, se le reasigna lamisma dirección.

El mensaje DHCPREQUEST también se encarga del proceso DHCP dinámico. La información de IPenviada en el mensaje DHCPOFFER puede haber sido ofrecida a otro cliente durante la asignacióndinámica. Cada servidor de DHCP crea conjuntos de direcciones IP y parámetros asociados. Los


conjuntos están dedicados a subredes IP lógicas individuales. Estos conjuntos permiten que variosservidores de DHCP respondan y que los clientes IP sean móviles. Si varios servidores responden,el cliente puede elegir sólo una de las ofertas.

7.1.3 BOOTP y DHCPBOOTP y DHCP

El protocolo Bootstrap (BOOTP), definido en RFC 951, es el predecesor del protocolo DHCP ycomparte con éste algunas características funcionales. BOOTP es una manera de descargar confi-guraciones de dirección e inicio para estaciones de trabajo sin disco. Una estación de trabajo sindisco no tiene unidad de disco duro ni sistema operativo. Por ejemplo, muchos sistemas de cajasregistradoras automatizadas de los supermercados son estaciones de trabajo sin disco. TantoDHCP como BOOTP se basan en la relación cliente/servidor y utilizan los puertos UDP 67 y 68.Estos puertos todavía se conocen como puertos BOOTP.

DHCP y BOOTP tienen dos componentes, como se muestra en la figura. El servidor es un hostcon dirección IP estática que asigna, distribuye y administra las asignaciones de IP y los datos de configuración. Cada asignación (IP y datos de configuración) se almacena en el servidor en unconjunto de datos llamado asignación. El cliente es algún dispositivo que utilice DHCP comométodo de obtención de direccionamiento IP o soporte de información de configuración.

Para comprender las diferencias funcionales entre BOOTP y DHCP, tenga en cuenta los cuatro pará-metros básicos de IP necesarios para conectarse a una red:

■ Dirección IP

■ Dirección de gateway

■ Máscara de subred

■ Dirección de servidor DNS

Existen tres diferencias principales entre DHCP y BOOTP:

■ La diferencia principal es que BOOTP se diseñó para la configuración previa manual de la información del host en una base de datos del servidor, mientras que DHCP permite laasignación dinámica de direcciones y configuraciones de red a hosts recientementeconectados. Cuando un cliente BOOTP solicita una dirección IP, el servidor BOOTP bus-ca una entrada que coincida con la dirección MAC del cliente en una tabla predefinida. Si laentrada existe, la dirección IP correspondiente a esa entrada se envía al cliente. Esto significaque el enlace entre las direcciones MAC e IP se tiene que haber configurado previamente en elservidor BOOTP.

■ DHCP permite la recuperación y la reasignación de direcciones de red a través de unmecanismo de arrendamiento. Específicamente, DHCP define mecanismos por medio de loscuales se puede asignar una dirección IP a los clientes por un período de arrendamientodeterminado. Este período de arrendamiento permite la reasignación de la dirección IP a otrocliente más tarde, o que el cliente reciba otra asignación si se cambia a otra subred. Además,los clientes pueden renovar los arrendamientos y mantener la misma dirección IP. BOOTP noutiliza arrendamientos. Sus clientes tienen direcciones IP reservadas que no se pueden asignara ningún otro host.

■ BOOT proporciona una cantidad limitada de información a un host. DHCP proporcionaparámetros de configuración IP adicionales, por ejemplo WINS y nombre de dominio.


Formato del mensaje DHCP

Los desarrolladores de DHCP necesitaban mantener la compatibilidad con BOOTP, de manera queutilizaron el mismo formato de mensaje que usa BOOTP. Sin embargo, como DHCP tiene más fun-cionalidades que BOOTP, se agregó el campo de opciones de DHCP. Al comunicarse con clientesBOOTP más antiguos se omite el campo de opciones de DHCP.

La figura muestra el formato de un mensaje DHCP. Los campos son los siguientes:

■ Código de operación (OP, Operation Code): especifica el tipo general de mensaje. Si el valores 1, indica que se trata de un mensaje de solicitud; si el valor es 2, se trata de un mensaje derespuesta.

■ Tipo de hardware: identifica el tipo de hardware utilizado en la red. Por ejemplo, 1 esEthernet, 15 es Frame Relay y 20 es una línea serial. Se utilizan los mismos códigos que enlos mensajes de ARP.

■ Longitud de la dirección de hardware: 8 bits para especificar la longitud de la dirección.

■ Saltos: el cliente asigna a este parámetro un valor de 0 antes de transmitir una solicitud. Losagentes de relay lo utilizan para controlar el reenvío de los mensajes de DHCP.

■ Identificador de transacción: identificación de 32 bits generada por el cliente para poderequiparar la solicitud con las respuestas recibidas de los servidores de DHCP.

■ Segundos: cantidad de segundos transcurridos desde que el cliente comenzó a intentaradquirir o renovar un arrendamiento. Los servidores de DHCP ocupados utilizan este númeropara establecer un orden de prioridad de respuesta cuando hay varias solicitudes de clientestodavía pendientes.

■ Señaladores: se utiliza sólo uno de los 16 bits, que es el señalador de broadcast. Un clienteque no conoce su dirección IP cuando envía la solicitud, asigna el valor 1 al señalador. Estevalor indica al servidor de DHCP o agente de relay que recibe la solicitud que debe enviar larespuesta como broadcast.

■ Dirección IP del cliente: el cliente coloca su propia dirección IP en este campo únicamente sitiene una dirección IP válida mientras se encuentra en el estado de enlace; de lo contrario,asigna el valor 0 al campo. El cliente sólo utiliza este campo cuando su dirección es válida ypuede utilizarse, no durante el proceso de adquisición de una dirección.

■ Su dirección IP: dirección IP que el servidor asigna al cliente.

■ Dirección IP del servidor: dirección del servidor que el cliente debe utilizar para el siguientepaso en el proceso bootstrap, que puede ser el servidor que envía esta respuesta o no. Elservidor de envío siempre incluye su propia dirección IP en un campo especial, llamadoOpción de DHCP del identificador de servidor.

■ Dirección IP del gateway: enruta los mensajes de DHCP cuando participan agentes relayDHCP. La dirección del gateway permite las comunicaciones de solicitudes y respuestas DHCPentre un cliente y un servidor que se encuentran en subredes o redes diferentes.

■ Dirección del hardware del cliente: especifica la capa física del cliente.

■ Nombre del servidor: el servidor que envía un mensaje DHCPOFFER o DHCPACK puede,de manera opcional, colocar su nombre en este campo. Puede tratarse de un apodo de textosimple o un nombre de dominio DNS, por ejemplo, dhcpserver.netacad.net.

■ Nombre de archivo de inicio: el cliente utiliza este campo de manera opcional para solicitarun tipo específico de archivo de inicio en un mensaje DHCPDISCOVER. Utilizado por un


servidor en un mensaje DHCPOFFER para especificar por completo un nombre de archivo ydirectorio de archivo de inicio.

■ Opciones: alberga las opciones de DHCP, que incluyen varios parámetros necesarios para elfuncionamiento básico de DHCP. La longitud de este campo es variable. Tanto el cliente comoel servidor pueden utilizar este campo.

Métodos de oferta y descubrimiento de DHCP

Estas figuras proporcionan información detallada sobre el contenido del paquete de los mensajesde oferta y descubrimiento de DHCP.

Cuando un cliente desea conectarse a la red, solicita valores de direccionamiento al servidor deDHCP de la red. Si el cliente está configurado para recibir su configuración IP de maneradinámica, transmite un mensaje DHCPDISCOVER a través de su subred física local al iniciarsesión o cuando detecta una conexión de red activa. Como el cliente no tiene manera de saber aqué subred pertenece, el mensaje DHCPDISCOVER se transmite como broadcast (dirección IP dedestino 255.255.255.255). El cliente no tiene una dirección IP configurada, de manera que se uti-liza la dirección IP de origen 0.0.0.0. Como se puede ver en la figura, la dirección IP del cliente(CIADDR), la dirección del gateway predeterminado (GIADDR) y la máscara de subred estánmarcadas con signos de interrogación.

Haga clic en el botón Oferta de DHCP que se muestra en la figura.

El servidor de DHCP administra la asignación de las direcciones IP y responde a las solicitudes deconfiguración de los clientes.

Cuando el servidor de DHCP recibe el mensaje DHCPDISCOVER, responde con un mensajeDHCPOFFER. Este mensaje contiene la información de configuración inicial para el cliente, in-cluida la dirección MAC del cliente, seguida de la dirección IP que ofrece el servidor, la máscarade subred, la duración del arrendamiento y la dirección IP del servidor de DHCP que hace laoferta. La máscara de subred y el gateway predeterminado se especifican en el campo de opciones,la máscara de subred y las opciones de router, respectivamente. El mensaje DHCPOFFER sepuede configurar de manera que incluya otra información, por ejemplo, el tiempo de renovacióndel arrendamiento, el servidor del nombre de dominio y el servicio de nombres NetBIOS (serviciode nombres para Internet de Microsoft Windows [Microsoft WINS, Microsoft Windows InternetName Service]).

El servidor determina la configuración en función de la dirección del hardware del cliente según seespecifica en el campo CHADDR.

Como se muestra en el diagrama, el servidor de DHCP ha respondido al mensaje DHCPDISCOVERcon la asignación de valores a CIADDR y la máscara de subred.

Los administradores configuran los servidores de DHCP para asignar direcciones de conjuntospredefinidos. La mayoría de los servidores de DHCP también permiten que el administrador de-fina de forma específica cuáles direcciones MAC de cliente se pueden servir y asignarles cada vezla misma dirección IP de forma automática.

DHCP utiliza el protocolo de datagramas de usuario (UDP, User Datagram Protocol) como su pro-tocolo de transporte. El cliente envía mensajes al servidor en el puerto 67. El servidor envía men-sajes al cliente en el puerto 68.

El cliente y el servidor acusan recibo de los mensajes y el proceso finaliza. El cliente establece elCIADDR sólo cuando un host se encuentra en el estado de enlace, lo que significa que el clienteha confirmado la dirección IP y la está utilizando.

Para obtener más información acerca de DHCP, consulte “Servidor de DHCP de IOS de Cisco” en:http://www.cisco.com/en/US/docs/ios/12_0t/12_0t1/feature/guide/Easyip2.html.


7.1.4 Configuración de un servidor de DHCPConfiguración de un servidor de DHCP

Los routers Cisco que ejecutan el software IOS de Cisco son plenamente compatibles para actuarcomo servidores de DHCP. El servidor de DHCP que ejecuta IOS de Cisco administra direccionesIP de conjuntos de direcciones especificados en el router y las asigna a los clientes de DHCP.

Los pasos para configurar un router como servidor de DHCP son los siguientes:

Paso 1. Definición de un rango de direcciones que DHCP no debe asignar. Normalmente estas di-recciones son las direcciones estáticas reservadas para la interfaz del router, la dirección IP de ad-ministración del switch, los servidores y las impresoras de red locales.

Paso 2. Creación del pool de DHCP con el comando ip dhcp pool.

Paso 3. Configuración de los parámetros específicos del pool.

Es necesario especificar las direcciones IP que el servidor de DHCP no debe asignar a los clientes.Normalmente, algunas direcciones IP pertenecen a dispositivos estáticos de la red, por ejemplo,servidores o impresoras. DHCP no debe asignar estas direcciones IP a otros dispositivos. Unamejor práctica consiste en configurar las direcciones excluidas en un modo de configuración globalantes de crear el pool de DHCP. Esto garantiza que DHCP no asigne direcciones reservadas por ac-cidente. Para excluir direcciones específicas, utilice el comando ip dhcp excluded-address.

Haga clic en el botón Pool de DHCP que se muestra en la figura.

La configuración de un servidor de DHCP implica la definición de un conjunto de direcciones para asig-nar. El comando ip dhcp pool crea un conjunto con el nombre especificado y coloca el router en elmodo de configuración de DHCP, que se identifica con indicador de comando Router(dhcp-config)#.

Haga clic en el botón Tareas de DHCP que se muestra en la figura.

Esta figura enumera las tareas que se deben realizar para completar la configuración del pool deDHCP. Algunas son opcionales, pero otras son obligatorias.

Debe configurar las direcciones disponibles y especificar el número de red de subred y la máscaradel conjunto de direcciones de DHCP. Use la sentencia network para definir el rango de direc-ciones disponibles.

También debe utilizar el comando default-router para definir el gateway predeterminado o elrouter que deben utilizar los clientes. Normalmente, el gateway es la interfaz LAN del router. Serequiere una dirección, pero puede incluir hasta ocho direcciones.

Los siguientes comandos del pool de DHCP se consideran opcionales. Por ejemplo, puede confi-gurar la dirección IP del servidor DNS que está disponible para un cliente DHCP con el comandodns-server. Para configurarlo se necesita una dirección, pero es posible incluir hasta ocho.

Otros parámetros incluyen la configuración de la duración del arrendamiento de DHCP. La confi-guración predeterminada es un día, pero puede utilizar el comando lease para modificarla. Tam-bién puede configurar un servidor NetBIOS WINS que está disponible para un cliente DHCP deMicrosoft. Este tipo de servidores normalmente se configura en un entorno que admite clientes an-teriores a Windows 2000. Como la mayoría de las instalaciones ahora tienen clientes con sistemasoperativos Windows más recientes, este parámetro no suele ser necesario.


Haga clic en el botón Ejemplo de DHCP que se muestra en la figura.

Esta figura muestra una configuración modelo con parámetros de DHCP básicos configurados enel router R1.

Desactivación de DHCP

El servidor de DHCP se habilita de forma predeterminada en las versiones del software IOS deCisco que lo admiten. Para desactivar el servicio, utilice el comando no service dhcp. Utilice elcomando de configuración global service dhcp para volver a activar el proceso del servidor deDHCP. La habilitación del servicio no tiene efecto si no se configuran los parámetros.

Verificación de DHCP

En la figura se ilustra cómo se puede configurar un router Cisco para proporcionar servicios deDHCP. La PC1 no está encendida y, por lo tanto, no tiene una dirección IP.

El router R1 se configuró con los siguientes comandos:

ip dhcp excluded-address 192.168.10.1 192.168.10.9

ip dhcp excluded-address 192.168.10.254

ip dhcp pool LAN-POOL-1

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

domain-name span.com

Para verificar el funcionamiento de DHCP, utilice el comando show ip dhcp binding. Este co-mando muestra una lista de todas las asignaciones de direcciones IP a direcciones MAC que pro-porcionó el servicio de DHCP.

Para verificar que el router esté recibiendo o enviando los mensajes, utilice el comando show ipdhcp server statistics. Este comando muestra información numérica acerca de la cantidad demensajes de DHCP que se envían y reciben.

Haga clic en el botón DHCP-1 que se muestra en la figura.

Como puede observar en la figura, actualmente no hay asignaciones y no se muestran estadísticas.

Ahora, supongamos que la PC1 se enciende y completa el proceso de inicio.

Haga clic en el botón DHCP-2 que se muestra en la figura.

Observe que la información de asignación ahora muestra que la dirección IP 192.168.10.10 estávinculada a una dirección MAC. Las estadísticas también muestran que hay actividad deDHCPDISCOVER, DHCPREQUEST, DHCPOFFER y DHCPACK.

Haga clic en el botón Cliente DHCP que se muestra en la figura.

El comando ipconfig /all muestra los parámetros de TCP/IP configurados en la PC1. Como laPC1 se conectó al segmento de red 192.168.10.0 /24, recibió automáticamente una dirección IP, unsufijo DNS y un gateway predeterminado de ese conjunto. No es necesario configurar la interfazDHCP. Si una PC se conecta a un segmento de red que tiene un pool de DHCP disponible, puedeobtener una dirección IP automáticamente.

Entonces ¿cómo hace la PC2 para recibir una dirección IP? El router R1 tendría que estar configu-rado para proporcionar un pool de DHCP 192.168.11.0 /24 de la siguiente manera:

ip dhcp excluded-address 192.168.11.1 192.168.11.9

ip dhcp excluded-address 192.168.11.254

ip dhcp pool LAN-POOL-2

network 192.168.11.0 255.255.255.0

default-router 192.168.11.1

domain-name span.com


Una vez que la PC2 haya completado su proceso de inicio, recibe una dirección IP para el seg-mento de red al que se conectó.

Haga clic en el botón Verificación de DHCP-3 que se muestra en la figura.

Observe que las asignaciones DHCP ahora indican que hay dos hosts que recibieron direccionesIP. Las estadísticas de DHCP también muestran el intercambio de mensajes de DHCP.

Otro comando útil para ver varios pools es el comando show ip dhcp pool.

Haga clic en el botón Pools de DHCP que se muestra en la figura.

Este comando resume la información del pool de DHCP.

7.1.5 Configuración del cliente DHCPConfiguración del cliente DHCP

Normalmente, los routers de ancho de banda reducido para uso doméstico, como los routersLinksys, se pueden configurar para que se conecten a un ISP a través de un módem DSL o unmódem por cable. En la mayoría de los casos, los routers domésticos pequeños se configuran paraadquirir direcciones IP de manera automática de los ISP. Por ejemplo, la figura muestra la páginade configuración de WAN predeterminada para un router Linksys WRVS4400N. Observe que eltipo de conexión a Internet está definido como Configuración automática: DHCP. Esto significaque cuando el router está conectado a un módem por cable, por ejemplo, actúa como clienteDHCP y solicita una dirección IP al ISP.

A veces, es necesario configurar los routers Cisco en entornos de SOHO y sucursales de manerasimilar. El método utilizado depende del ISP. Sin embargo, en la configuración más simple se uti-liza la interfaz Ethernet para conectarse a un módem por cable. Para configurar una interfaz Ether-net como cliente DHCP, se debe configurar el comando ip address dhcp.

Haga clic en el botón Cliente DHCP que se muestra en la figura.

En la figura, suponga que se ha configurado un ISP para proporcionar direcciones IP del rango209.165.201.0 / 27 a clientes selectos. El resultado confirma la dirección asignada.

7.1.6 Relay DHCP¿Qué es el relay DHCP?

En una red jerárquica compleja, los servidores empresariales normalmente están contenidos en unagranja de servidores. Estos servidores pueden proporcionar servicios de DHCP, DNS, TFTP y FTPpara los clientes. El problema es que los clientes de red normalmente no están en la misma subredque esos servidores. Por lo tanto, los clientes deben localizar a los servidores para poder utilizarlos servicios, lo que con frecuencia hacen mediante mensajes broadcast.

En la figura, la PC1 está intentado adquirir una dirección IP del servidor de DHCP ubicado en192.168.11.5. En esta situación, el router R1 no está configurado como servidor de DHCP.

Haga clic en el botón Problema de host que se muestra en la figura.

En la figura, la PC1 está intentando renovar su dirección IP. Para hacerlo, se ejecuta el comandoipconfig /release. Observe que se libera la dirección IP y que la dirección actual es 0.0.0.0. A con-tinuación, se ejecuta el comando ipconfig /renew. Esto hace que el host envíe el mensaje broad-cast DHCPDISCOVER. Sin embargo, la PC1 no puede localizar al servidor de DHCP. ¿Qué


sucede cuando el servidor y el cliente se encuentran separados por un router y, por lo tanto, noestán en el mismo segmento de red? Recuerde, los routers no reenvían mensajes broadcast.

Nota: Ciertos clientes de Windows tienen una función llamada direccionamiento automático de IPprivada (APIPA, Automatic Private IP Addressing). Con esta función, una computadora Windowspuede asignarse automáticamente una dirección IP en el rango 169.254.x.x si el servidor de DHCPno está disponible o no existe en la red.

Para empeorar las cosas aún más, DHCP no es el único servicio crítico que utiliza broadcasts. Porejemplo, los routers Cisco y otros dispositivos pueden utilizar broadcasts para localizar servidoresTFTP o un servidor de autenticación, como un servidor TACACS.

Como solución a este problema, el administrador puede agregar servidores de DHCP en todas lassubredes. Sin embargo, la ejecución de estos servicios en varias computadoras genera costos ygastos administrativos.

Una solución más simple es configurar la función dirección de ayudante de IOS de Cisco en losrouters y switches participantes. Esta solución permite a los routers reenviar broadcasts DHCP alos servidores de DHCP. Cuando un router reenvía solicitudes de parámetros y asignación de di-recciones, actúa como agente relay DHCP.

Por ejemplo, la PC1 enviaría una solicitud por broadcast para localizar un servidor de DHCP. Si elrouter R1 estuviera configurado como agente relay DHCP, interceptaría esta solicitud y la reen-viaría al servidor de DHCP que se encuentra en la subred 192.168.11.0.

Para configurar el router R1 como agente relay DHCP, debe configurar la interfaz más cercana alcliente con el comando de configuración de interfaz ip helper-address. Este comando transfieresolicitudes de broadcast de servicios clave a una dirección configurada. Configure la dirección IPde helper en la interfaz que recibe el broadcast.

Haga clic en el botón Configuración de relay que se muestra en la figura.

El router R1 ahora está configurado como agente relay DHCP. Acepta solicitudes de broadcastpara el servicio de DHCP y después las reenvía como unicast a la dirección IP 192.168.11.5.

Haga clic en el botón Renovación de host que se muestra en la figura.

Como puede ver, la PC1 ahora puede adquirir una dirección IP del servidor de DHCP.

DHCP no es el único servicio para el que se puede configurar el router como relay. De forma pre-determinada, el comando ip helper-address envía los siguientes ocho servicios de UDP:

■ Puerto 37: Tiempo

■ Puerto 49: TACACS

■ Puerto 53: DNS

■ Puerto 67: Servidor DHCP/BOOTP

■ Puerto 68: Cliente DHCP/BOOTP

■ Puerto 69: TFTP

■ Puerto 137: Servicio de nombres NetBIOS

■ Puerto 138: Servicio de datagrama NetBIOS

Para especificar puertos adicionales, use el comando ip forward-protocol y especifique exacta-mente qué tipos de paquetes broadcast desea reenviar.


7.1.7 Configuración de un servidor de DHCP con SDMConfiguración de un servidor de DHCP con SDM

Los routers Cisco también se pueden configurar como servidor de DHCP con SDM. En este ejem-plo, el router R1 se configurará como servidor de DHCP en las interfaces Fa0/0 y Fa0/1.

Haga clic en el botón Tareas de DHCP que se muestra en la figura.

La función del servidor de DHCP se habilita en la sección Tareas adicionales de la ficha Configu-ración. Desde la lista de tareas, haga clic en la carpeta DHCP y seleccione Pools de DHCP paraagregar un nuevo pool. Haga clic en Agregar para crear un nuevo pool de DHCP.

Haga clic en el botón Agregar Conjunto que se muestra en la figura.

La ventana Agregar pool de DHCP contiene las opciones que necesita para configurar el conjunto dedirecciones IP de DHCP. Las direcciones IP que asigna el servidor de DHCP se extraen de un con-junto común. Para configurar el conjunto, especifique las direcciones IP final y de inicio del rango.

El SDM de Cisco configura el router para excluir automáticamente la dirección IP de la interfazLAN del conjunto. No debe utilizar la dirección IP de la red ni la de la subred ni la dirección debroadcast de la red en el rango de direcciones que especifique.

Si necesita excluir otras direcciones IP del rango de direcciones, puede ajustar las direcciones IPfinal y de inicio. Por ejemplo, si necesita excluir las direcciones IP de 192.168.10.1 a192.168.10.9, configuraría la dirección IP de inicio como 192.168.10.10. De esta manera el routercomienza a asignar direcciones a partir de 192.168.10.10.

Las otras opciones disponibles son:

■ Servidor DNS 1 y servidor DNS 2: el servidor DNS normalmente es un servidor que establecela correlación entre el nombre de un dispositivo y la dirección IP correspondiente. Si configuróun servidor DNS para la red, ingrese la dirección IP del servidor en este campo. Si hay unservidor DNS adicional en la red, puede ingresar la dirección IP de ese servidor en este campo.

■ Servidor WINS 1 y servidor WINS 2: recuerde que la configuración WINS normalmente seutiliza en entornos que admiten clientes anteriores a Windows 2000.

■ Importar todas las opciones de DHCP a la base de datos del servidor de DHCP: permiteimportar las opciones de DHCP de un servidor de un nivel superior. Normalmente se utilizaen combinación con un servidor de DHCP de Internet. Esta opción le permite obtenerinformación de un nivel más alto sin necesidad de configurarla para este conjunto.

Haga clic en el botón Conjuntos de DHCP que se muestra en la figura.

Esta pantalla le brinda un resumen de los pools configurados en el router. En este ejemplo se con-figuraron dos pools, uno para cada interfaz Fast Ethernet del router R1.

7.1.8 Resolución de problemas de DHCPResolución de problemas relacionados con la configuración de DHCP

Pueden surgir problemas de DHCP por una variedad de motivos, por ejemplo, defectos de soft-ware en sistemas operativos, controladores NIC o agentes relay DHCP/BOOTP, pero los más co-munes son ocasionados por problemas de configuración. Debido a la cantidad de áreaspotencialmente problemáticas, se requiere un enfoque sistemático para la resolución de problemas.


Tarea 1 de la resolución de problemas: Solucione los conflictos de direcciones IP

Un arrendamiento de dirección IP puede expirar mientras el cliente todavía está conectado a la red.Si el cliente no renueva el arrendamiento, el servidor de DHCP puede reasignar la dirección IP aotro cliente. Cuando el cliente se reinicia, solicita una dirección IP. Si el servidor de DHCP no res-ponde con rapidez, el cliente utiliza la última dirección IP. Así surge una situación en la que dosclientes utilizan la misma dirección IP, lo que crea un conflicto.

El comando de conflictos show ip dhcp conflict muestra todos los conflictos de direccionesregistrados por el servidor de DHCP. El servidor utiliza el comando ping para detectar conflictos.El cliente utiliza el protocolo de resolución de direcciones (ARP, Address Resolution Protocol)para detectar clientes. Si se detecta un conflicto de direcciones, la dirección se elimina del con-junto y no se asigna hasta que un administrador resuelva el conflicto.

Este ejemplo muestra el método y la hora de detección para todas las direcciones IP que el servi-dor de DHCP ha ofrecido y que tienen conflictos con otros dispositivos.

R2# show ip dhcp conflict

Método de detección de la dirección IP Hora de detección

192.168.1.32 Ping Feb 16 2007 12:28 PM

192.168.1.64 ARP gratuito Feb 23 2007 08:12 AM

Tarea 2 de la resolución de problemas: Verifique la conectividad física

Primero utilice el comando de interfaz show interface para confirmar que la interfaz del routerque está actuando como gateway predeterminado para el cliente esté funcionando bien. Si el es-tado de la interfaz es diferente de activo, el puerto no deja pasar el tráfico, incluidas las solicitudesde los clientes DHCP.

Tarea 3 de la resolución de problemas: Pruebe la conectividad de la red mediante la configu-ración de una estación de trabajo cliente con dirección IP estática

Al resolver cualquier problema de DHCP, verifique la conectividad de la red mediante la configu-ración de una dirección IP estática en una estación de trabajo cliente. Si la estación de trabajo nopuede conectarse con los recursos de la red a través de una dirección IP configurada estáticamente,la causa raíz del problema no es DHCP. En este punto, se necesita resolver el problema de conec-tividad de la red.

Tarea 4 de la resolución de problemas: Verifique la configuración de los puertos del switch(STP Portfast y otros comandos)

Si el cliente DHCP no puede obtener una dirección IP del servidor de DHCP al iniciar, intenteobtener una dirección IP del servidor de DHCP forzando manualmente al cliente a enviar una so-licitud de DHCP.

Si hay un switch entre el cliente y el servidor de DHCP, verifique que el puerto tenga la opción STPPortFast activada y la opción de enlace troncal y canales desactivada. La configuración predetermi-nada consiste en que PortFast esté desactivado y la opción de enlace troncal y canales esté en el modoautomático, si corresponde. Estos cambios de configuración resuelven los problemas más comunes declientes DHCP que ocurren con la instalación inicial de un switch Catalyst. Repase CCNA Explora-tion: Conmutación de LAN y redes inalámbricas como ayuda para resolver este problema.

Tarea 5 de la resolución de problemas: Distinga si los clientes DHCP obtienen la dirección IPen la misma subred o VLAN que el servidor de DHCP

Es importante distinguir si DHCP está funcionando correctamente cuando el cliente está en lamisma subred o VLAN que el servidor de DHCP. Si DHCP está funcionando bien, el problema


puede residir en el agente relay DHCP/BOOTP. Si el problema persiste aún después de probarDHCP en la misma subred o VLAN que el servidor de DHCP, el problema puede ser el servidor de DHCP.

Verifique la configuración de relay del router DHCP/BOOTP

Cuando el servidor de DHCP se encuentra en una LAN separada del cliente, la interfaz del routercon la que se conecta el cliente debe estar configurada para retransmitir solicitudes de DHCP. Estose logra mediante la configuración de la dirección IP de helper. Si la dirección IP de helper no estábien configurada, las solicitudes de DHCP del cliente no se reenvían al servidor de DHCP.

Siga estos pasos para verificar la configuración del router:

Paso 1. Verifique que el comando ip helper-address esté configurado en la interfaz correcta.Debe estar presente en la interfaz de entrada de la LAN que contiene las estaciones de trabajoclientes DHCP y debe estar dirigido al servidor de DHCP correcto. En la figura, el resultado del comando show running-config verifica que la dirección IP de relay DHCP hace referencia a la dirección IP del servidor de DHCP 192.168.11.5.

Paso 2. Verifique que el comando de configuración global no service dhcp no se haya configu-rado. Este comando desactiva el servidor de DHCP y las funciones de relay en el router. El co-mando service dhcp no aparece en la configuración porque es la configuración predeterminada.

Verifique que el router esté recibiendo las solicitudes de DHCP mediante los comandos debug.

En los routers configurados como servidores de DHCP, el proceso DHCP falla si el router norecibe solicitudes del cliente. Como tarea de resolución de problemas, verifique que el router esté recibiendo las solicitudes de DHCP del cliente. Este paso de la resolución de problemas in-cluye la configuración de una lista de control de acceso para el resultado de la depuración. La listade control de acceso de depuración no es intrusiva para el router.

En el modo de configuración global, cree la siguiente lista de control de acceso:

access-list 100 permit ip host 0.0.0.0 host 255.255.255.255

Comience la depuración con ACL 100 como parámetro de definición. En modo exec, introduzca elsiguiente comando debug:

debug ip packet detail 100

El resultado que se muestra en la figura indica que el router está recibiendo las solicitudes deDHCP del cliente. La dirección IP de origen es 0.0.0.0 porque el cliente todavía no tiene una di-rección IP. La dirección de destino es 255.255.255.255 porque el mensaje de descubrimiento deDHCP enviado por el cliente es un broadcast. Los puertos UDP de origen y destino, 68 y 67, sonlos puertos que DHCP utiliza normalmente.

Este resultado sólo muestra un resumen del paquete, pero no el paquete en sí. Por lo tanto, no esposible determinar si el paquete es correcto. No obstante, el router recibió un paquete broadcastcon la dirección IP y los puertos UDP de origen y destino que son correctos para DHCP.

Verifique que el router esté recibiendo y reenviando las solicitudes de DHCP mediante el co-mando debug ip dhcp server packet.

El comando debug ip dhcp server events es útil para resolver problemas de funcionamientode DHCP. Este comando informa sucesos del servidor, por ejemplo, asignaciones de direcciones yactualizaciones de bases de datos. También se utiliza para decodificar recepciones y transmisionesde DHCP.

DHCP asigna direcciones IP y otra información de configuración de la red de manera dinámica.Los routers Cisco pueden utilizar el conjunto de funciones de IOS de Cisco, que se llama Easy IP,


como servidor de DHCP opcional con todas las funciones. Easy IP arrienda las configuracionespor 24 horas de forma predeterminada. En esta actividad, configurará los servicios de DHCP endos routers y probará la configuración.



7.2 Escalamiento de redes con NAT7.2.1 Direccionamiento IP público y privadoTodas las direcciones de Internet públicas deben registrarse en un registro de Internet regional(RIR, Regional Internet Registry). Las organizaciones pueden arrendar direcciones públicas através de un ISP. Sólo el titular registrado de una dirección de Internet pública puede asignar esadirección a un dispositivo de red.

Tal vez haya notado que todos los ejemplos de este curso utilizan una cantidad algo restringida dedirecciones IP. Tal vez también haya notado la similitud entre estos números y los números queutilizó en una red pequeña para ver la configuración de las páginas Web de muchas marcas de im-presoras, routers DSL y por cable y otros periféricos. Son direcciones de Internet privadas reser-vadas que se toman de los tres bloques que se muestran en la figura. Estas direcciones son sólopara el uso particular de la red interna. Los paquetes que contienen estas direcciones no se enrutana través de Internet y se conocen como direcciones no enrutables. RFC 1918 proporciona informa-ción detallada.

A diferencia de las direcciones IP públicas, las direcciones IP privadas son un bloque reservado denúmeros y cualquiera las puede utilizar. Eso quiere decir que dos redes, o dos millones de redes,pueden utilizar las mismas direcciones privadas. Para evitar conflictos de direccionamiento, losrouters nunca deben enrutar direcciones IP privadas. Para proteger la estructura de direcciones deInternet públicas, los ISP normalmente configuran los routers de borde para impedir que el tráficocon direcciones privadas se reenvíe a través de Internet.

Al proporcionar más espacio de direcciones de lo que la mayoría de las organizaciones puedenobtener a través de un RIR, el direccionamiento privado brinda a las empresas una flexibilidadconsiderable en materia de diseño de red. Esto permite implementar esquemas de direc-cionamiento convenientes desde un punto de vista funcional y administrativo, además de facilitarel crecimiento.

Sin embargo, como no es posible enrutar direcciones privadas a través de Internet, y como no haysuficientes direcciones públicas como para permitir a las organizaciones que proporcionen una acada uno de sus hosts, las redes necesitan un mecanismo para traducir las direcciones privadas endirecciones públicas en el extremo de la red y que funcione en ambas direcciones. Sin un sistemade traducción, los hosts privados que se encuentran detrás de un router en la red de una organi-zación no pueden conectarse con otros hosts privados que se encuentran en otras organizaciones através de Internet.

La traducción de direcciones de red (NAT, Network Address Translation) proporciona este meca-nismo. Antes del desarrollo de NAT, un host con dirección privada no podía acceder a Internet.Con NAT, las empresas individuales pueden direccionar algunos o todos sus hosts con direccionesprivadas y utilizar NAT para proporcionar acceso a Internet.

Para obtener un análisis más detallado del desarrollo del sistema RIR, consulte el artículo de CiscoInternet Protocol Journal en http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_4-4/regional_internet_registries.html.


7.2.2 ¿Qué es NAT?¿Qué es NAT?

NAT es como el recepcionista de una oficina grande. Imagine que le indica al recepcionista que nole pase ninguna llamada a menos que se lo solicite. Más tarde, llama a un posible cliente y le dejaun mensaje para que le devuelva el llamado. A continuación, le informa al recepcionista que estáesperando una llamada de este cliente y le solicita que le pase la llamada a su teléfono.

El cliente llama al número principal de la oficina, que es el único número que el cliente conoce.Cuando el cliente informa al recepcionista a quién está buscando, el recepcionista se fija en unatabla de búsqueda que indica cuál es el número de extensión de su oficina. El recepcionista sabeque el usuario había solicitado esta llamada, de manera que la reenvía a su extensión.

Entonces, mientras que el servidor de DHCP asigna direcciones IP dinámicas a los dispositivosque se encuentran dentro de la red, los routers habilitados para NAT retienen una o varias direc-ciones IP de Internet válidas fuera de la red. Cuando el cliente envía paquetes fuera de la red, NATtraduce la dirección IP interna del cliente a una dirección externa. Para los usuarios externos, todoel tráfico que entra a la red y sale de ella tiene la misma dirección IP o proviene del mismo con-junto de direcciones.

NAT tiene muchos usos, pero la utilidad clave es el ahorro de direcciones IP al permitir que lasredes utilicen direcciones IP privadas. NAT traduce direcciones internas, privadas y no enrutables adirecciones públicas enrutables. NAT tiene el beneficio adicional de agregar un nivel de privacidady seguridad a una red porque oculta las direcciones IP internas de las redes externas.

Un dispositivo que ejecuta NAT generalmente opera en la frontera de una red de conexión única.En nuestro ejemplo, R2 es el router de borde. Una red de conexión única es una red que posee unasola conexión a su red vecina. Como se ve en el ISP, R2 forma una red de conexión única.

Cuando un host perteneciente a una red de conexión única, por ejemplo, la PC1, la PC2 o la PC 3,desea transmitir información a un host externo, el paquete se envía a R2, el router del gateway deborde. R2 realiza el proceso de NAT y traduce así la dirección privada interna del host a una direc-ción pública, externa y enrutable.

En la terminología de NAT, la red interna es el conjunto de redes que está sujeto a traducción. Lared externa se refiere a todas las otras direcciones. Las direcciones IP tienen diferentes designa-ciones según se encuentren en la red privada o en la red pública (Internet) y el tráfico sea entranteo saliente.

Haga clic en el botón Terminología de NAT que se muestra en la figura.

La figura muestra cómo hacer referencia a las interfaces al configurar NAT. Supongamos que elrouter R2 se configuró para proporcionar funciones de NAT. Tiene un conjunto de direccionesdisponibles públicamente para arrendar a los hosts internos. Esta sección usa los siguientes térmi-nos al hablar sobre NAT:

■ Dirección local interna: normalmente no es una dirección IP asignada por un RIR o unproveedor de servicios; lo más probable es que sea una dirección RFC 1918 privada. En lafigura, la dirección IP 192.168.10.10 está asignada al host PC1 dentro de la red.

■ Dirección global interna: dirección pública válida que se asigna al host interno cuando saledel router NAT. Cuando el tráfico de la PC1 está dirigido al servidor Web 209.165.201.1, elrouter R2 debe traducir la dirección. En este caso, la dirección IP 209.165.200.226 se utilizacomo dirección global interna para la PC1.

■ Dirección global externa: dirección IP a la que se puede acceder y que fue asignada a un hosten Internet. Por ejemplo, se puede acceder al servidor Web en la dirección IP 209.165.201.1.


■ Dirección local externa: dirección IP local asignada a un host en la red externa. En lamayoría de las situaciones, esta dirección es idéntica a la dirección global externa de esedispositivo externo.

Nota: En este curso, haremos referencia a la dirección local interna, la dirección global interna yla dirección global externa. El uso de la dirección local externa está fuera del ámbito de este curso.

El “interior” de una configuración NAT no es sinónimo de las direcciones privadas según la defini-ción de RFC 1918. Las direcciones a las que llamamos “no enrutables” no siempre son no enruta-bles. Un administrador puede configurar cualquier router para que pase el tráfico a través desubredes privadas. Sin embargo, si intentan pasar al ISP un paquete destinado a una dirección pri-vada, el ISP lo descarta. No enrutable significa que no se puede enrutar a través de Internet.

¿Cómo funciona NAT?

En este ejemplo, un host interno (192.168.10.10) desea comunicarse con un servidor Web externo(209.165.200.1). Envía un paquete a R2, el gateway de borde configurado con NAT para la red.

Use los controles de la figura para comenzar la animación.

R2 lee la dirección IP de destino del paquete y controla que el paquete cumpla los criterios especi-ficados para la traducción. R2 tiene una ACL que identifica la red interna como hosts válidos parala traducción. Por lo tanto, traduce una dirección IP local interna a una dirección IP global interna,que en este caso es 209.165.200.226. Almacena esta asignación de la dirección local a global en latabla NAT.

Después el router envía el paquete a su destino. Cuando el servidor Web responde, el paquete re-gresa a la dirección global de R2 (209.165.200.226).

R2 consulta su tabla NAT y ve que se trata de una dirección IP que había traducido con anteriori-dad. Por lo tanto, traduce la dirección global interna a la dirección local interna y el paquete se envía a la PC1 a la dirección IP 192.168.10.10. Si no encuentra una asignación, el paquete sedescarta.

Asignación dinámica y asignación estática

Hay dos tipos de traducción NAT: dinámica y estática.

La traducción NAT dinámica usa un conjunto de direcciones públicas y las asigna en orden de lle-gada. Cuando un host con una dirección IP privada solicita acceso a Internet, la traducción NATdinámica elije una dirección IP del conjunto de direcciones que no esté siendo utilizada por otrohost. Éste es el tipo de asignación que hemos descrito hasta ahora.

La traducción NAT estática utiliza un sistema de asignación de uno a uno entre las direcciones lo-cales y las globales, y estas asignaciones son constantes. La traducción NAT estática resulta parti-cularmente útil para los servidores Web o los hosts que necesitan tener una dirección uniforme a laque se pueda tener acceso desde Internet. Estos hosts internos pueden ser servidores de empresas odispositivos de networking.

Tanto la traducción NAT estática como la dinámica necesitan que haya una cantidad suficiente dedirecciones públicas disponibles para cubrir la cantidad total de sesiones de usuario simultáneas.

Si desea ver el funcionamiento de la traducción NAT dinámica desde otra perspectiva, vaya a http://www.cisco.com/warp/public/556/nat.swf.

Sobrecarga de NAT

La sobrecarga de NAT (a veces llamada Traducción de la dirección del puerto, [PAT, Port AddressTranslation]) asigna varias direcciones IP privadas a una única dirección IP pública o a un grupopequeño de direcciones IP públicas. Es lo que hacen la mayoría de los routers. El ISP asigna una


dirección al router doméstico, y varios integrantes de la familia pueden navegar por Internet demanera simultánea.

Con la sobrecarga de NAT, es posible asignar varias direcciones a una o sólo algunas direccionesporque cada dirección privada también se identifica por un número de puerto. Cuando un clienteabre una sesión TCP/IP, el router NAT asigna un número de puerto a la dirección de origen corres-pondiente. La sobrecarga de NAT asegura que los clientes utilicen un número de puerto TCP dife-rente para cada sesión de cliente con un servidor en Internet. Cuando se recibe una respuesta delservidor, el número de puerto de origen, que pasa a ser el número de puerto de destino en la res-puesta, determina a qué cliente se enrutan los paquetes. Además valida que los paquetes entrantesfueron solicitados, lo que agrega seguridad a la sesión.

Haga clic en los controles para iniciar la animación o hacer una pausa.

La animación ilustra el proceso. La sobrecarga de NAT utiliza números únicos de puerto origen en la dirección IP global interna para distinguir entre las traducciones. A medida que NAT procesacada paquete, utiliza un número de puerto (en este ejemplo, 1331 y 1555) para identificar al clientedesde donde se originó el paquete. La dirección de origen (SA, Source Address) es la dirección IPlocal interna con el número de puerto TCP/IP asignado adjuntado a ella. La dirección de destino(DA, Destination Address) es la dirección IP local externa con el número de puerto del servicio ad-juntado a ella, en este caso el puerto 80: HTTP.

En el router del gateway de borde (R2), la sobrecarga de NAT cambia la SA por la dirección IP glo-bal del cliente, nuevamente con el número de puerto adjuntado a ella. La DA es la misma dirección,pero ahora hace referencia a la dirección IP global externa. Cuando el servidor Web responde, sesigue la misma ruta pero en sentido inverso.

Los números de puerto se codifican en 16 bits. En teoría, la cantidad total de direcciones internasque se pueden traducir a una dirección externa podría ser de hasta 65 536 por dirección IP. Sin em-bargo, en realidad, la cantidad de direcciones internas que se pueden asignar a una única direcciónIP es de aproximadamente 4000.

Haga clic en el botón Siguiente puerto disponible que se muestra en la figura.

En el ejemplo anterior, los números de los puertos de cliente de las dos SA, 1331 y 1555, no cam-bian en el gateway de borde. No es muy probable que se presente esta situación porque existe unaalta probabilidad de que esos números ya hayan sido adjuntados a otras sesiones en desarrollo.

La sobrecarga de NAT intenta conservar el puerto de origen original. Sin embargo, si este puertoorigen está en uso, la sobrecarga de NAT asigna el primer número de puerto disponible, desde elprincipio del grupo de puertos correspondiente 0-511, 512-1023, ó 1024-65535. Cuando no haymás puertos disponibles y hay más de una dirección IP externa configurada, la sobrecarga de NATutiliza la próxima dirección IP para tratar de asignar nuevamente el puerto de origen original. Esteproceso continúa hasta que no haya puertos ni direcciones IP externas disponibles.

En la figura, los dos hosts han elegido el mismo número de puerto, 1444. Esto es aceptable para ladirección interna, porque ambos tienen direcciones IP privadas únicas. Sin embargo, en el gatewayde borde, los números de los puertos deben cambiarse; de lo contrario, dos paquetes de los doshosts saldrían de R2 con la misma dirección de origen. La sobrecarga de NAT ha asignado a la se-gunda dirección el primer número de puerto disponible, que en este caso es 1445.

Diferencias entre NAT y la sobrecarga de NAT

Un resumen de las diferencias entre NAT y la sobrecarga de NAT lo ayudará a comprender mejoreste tema. NAT generalmente sólo traduce direcciones IP en una correspondencia de 1:1 entre di-recciones IP expuestas públicamente y direcciones IP privadas. La sobrecarga de NAT modifica la


dirección IP privada y el número de puerto del emisor. La sobrecarga de NAT elije los números depuerto que ven los hosts de la red pública.

NAT enruta los paquetes entrantes hasta el destino interno mediante la consulta a la dirección IPde origen entrante dada por el host de la red pública. Con la sobrecarga de NAT, en general sólohay una o algunas direcciones IP expuestas públicamente. Los paquetes entrantes de la red públicase enrutan a sus destinos de la red privada mediante la consulta a una tabla del dispositivo de la so-brecarga de NAT que lleva un control de los pares de puertos públicos y privados. Esto se deno-mina seguimiento de la conexión.

7.2.3 Ventajas y desventajas del uso de NATVentajas y desventajas del uso de NAT

NAT proporciona muchos beneficios y ventajas. Sin embargo, el uso de NAT tiene algunas desven-tajas, entre ellas, la incompatibilidad con algunos tipos de tráfico.

Entre los beneficios del uso de NAT se encuentran los siguientes:

■ NAT conserva el esquema de direccionamiento legalmente registrado, lo que permite laprivatización de redes internas. NAT conserva las direcciones mediante la multiplexación a nivel de puerto de la aplicación. Con la sobrecarga de NAT, los hosts internos puedencompartir una sola dirección IP pública para toda comunicación externa. En este tipo de configuración se requieren muy pocas direcciones externas para admitir muchos hostsinternos.

■ NAT aumenta la flexibilidad de las conexiones con la red pública. Se pueden implementarvarios conjuntos, conjuntos de respaldo y de balanceo de carga para asegurar que lasconexiones de red pública sean confiables.

■ NAT proporciona uniformidad en los esquemas de direccionamiento internos de red. En unared sin direcciones IP privadas y NAT, cambiar de direcciones IP públicas requiere larenumeración de todos los hosts en la red existente. El costo de renumerar los host puede serelevado. NAT permite que permanezca el esquema existente, al mismo tiempo que admite unnuevo sistema de direccionamiento público. Esto significa que una organización puedecambiar de ISP y no tener que cambiar ninguno de sus clientes internos.

■ NAT proporciona seguridad de red. Debido a que las redes privadas no publicitan susdirecciones o topología interna, éstas son razonablemente seguras cuando se las utiliza enconjunto con NAT para tener un acceso externo controlado. Sin embargo, NAT no reemplazalos firewalls.

No obstante, NAT tiene algunas desventajas. El hecho de que los hosts de Internet parezcan comu-nicarse directamente con el dispositivo NAT en lugar de hacerlo con el verdadero host pertene-ciente a la red privada crea una serie de problemas. En teoría, una única dirección IP globalmenteúnica puede representar a muchos hosts con direcciones privadas. Esto tiene ventajas desde elpunto de vista de la privacidad y la seguridad, pero en la práctica hay desventajas.

La primera desventaja es que el rendimiento se ve afectado. NAT aumenta los retrasos en la con-mutación porque la traducción de cada dirección IP dentro de los encabezados del paquete llevatiempo. El primer paquete es de conmutación de procesos, lo que significa que siempre va por laruta más lenta. El router tiene que inspeccionar cada paquete para decidir si es necesario tra-ducirlo. El router debe modificar el encabezado IP, y posiblemente el encabezado TCP o UDPtambién. Los paquetes restantes van por la ruta de conmutación rápida si hay una entrada de caché;en el caso contrario, también sufren retrasos.


Muchos protocolos y aplicaciones de Internet dependen de que la funcionalidad se aplique de extremo a extremo y que los paquetes se reenvíen sin modificaciones desde el origen al destino. Alcambiar las direcciones de extremo a extremo, NAT impide el funcionamiento de algunas aplica-ciones que utilizan direccionamiento IP. Por ejemplo, algunas aplicaciones de seguridad, como las firmas digitales, fallan porque la dirección IP de origen cambia. Las aplicaciones que utilizanlas direcciones físicas en vez de un nombre de dominio calificado no llegan a los destinos que setraducen en el router NAT. Algunas veces, este problema puede evitarse implementando asignaciones NAT estáticas.

También se pierde la capacidad de rastreo de extremo a extremo. Se hace mucho más difícil ras-trear paquetes que sufren varios cambios en la dirección del paquete al atravesar múltiples saltosNAT, lo que dificulta la resolución de problemas. Por otra parte, los piratas informáticos que de-seen determinar la fuente del paquete, descubrirán que es muy difícil rastrear u obtener la direc-ción origen o destino original.

El uso de NAT también complica el funcionamiento de los protocolos de tunneling, por ejemploIPsec, porque NAT modifica valores de los encabezados e interfiere así con los controles de inte-gridad que ejecutan IPsec y otros protocolos de tunneling.

Los servicios que requieren el inicio de conexiones TCP desde el exterior de la red, o protocolos sinestado como los que usan UDP, pueden verse interrumpidos. A menos que el router NAT haga un es-fuerzo específico para admitir estos protocolos, los paquetes entrantes no pueden llegar a destino. Al-gunos protocolos pueden acomodar una instancia de NAT entre hosts participantes (por ejemplo, FTPen modo pasivo), pero fallan cuando los dos sistemas están separados de Internet por NAT.

7.2.4 Configuración de NAT estáticaNAT estática

Recuerde que la asignación NAT estática es una asignación uno a uno entre una dirección interna yuna dirección externa. La NAT estática permite conexiones iniciadas por dispositivos externos diri-gidas a dispositivos internos. Por ejemplo, puede asignar una dirección global interna a una direc-ción local interna específica que está asignada al servidor Web.

La configuración de las traducciones NAT estáticas es una tarea simple. Debe definir las direc-ciones que desea traducir y a continuación configurar NAT en las interfaces correspondientes. Lospaquetes que llegan a una interfaz interna provenientes de la dirección IP identificada se sometenal proceso de traducción. Los paquetes que llegan a una interfaz externa dirigidos a la dirección IPidentificada se someten al proceso de traducción.

La figura explica los comandos para los pasos. Las traducciones estáticas se introducen directa-mente en la configuración. A diferencia de las traducciones dinámicas, estas traducciones siempreestán en la tabla NAT.

Haga clic en el botón Ejemplo en la figura.

La figura es una configuración NAT estática simple aplicada a ambas interfaces. El router siempretraduce los paquetes provenientes del host interno de la red con la dirección privada de192.168.10.254 a una dirección externa de 209.165.200.254. El host de Internet dirige las solici-tudes Web a la dirección IP pública 209.165.200.254 y el router R2 siempre reenvía ese tráfico alservidor a la dirección 192.168.10.254.


7.2.5 Configuración de NAT dinámicaConfiguración de NAT dinámica

Mientras que la NAT estática proporciona una asignación permanente entre una dirección interna yuna dirección pública específica, la NAT dinámica asigna direcciones IP privadas a direccionespúblicas. Estas direcciones IP públicas provienen de un conjunto de NAT. La configuración NATdinámica difiere de la NAT estática, pero también tiene algunas similitudes. Como la NAT estática,requiere que la configuración identifique cada interfaz como interfaz interna o externa. Sin em-bargo, en lugar de crear una asignación estática a una única dirección IP, se utiliza un conjunto dedirecciones globales internas.

Haga clic en el botón Comandos en la figura para ver los pasos de la configuración de NATdinámica.

Para configurar NAT dinámica, necesita una ACL que permita sólo las direcciones que se tra-ducirán. Al desarrollar la ACL, recuerde que hay una opción implícita “denegar todo” al final decada ACL. Una ACL que es demasiado permisiva puede desencadenar resultados impredecibles.Cisco no recomienda configurar listas de control de acceso con el comando permit any si los comandos NAT se refieren a esas listas. El uso de permit any puede hacer que NAT consuma de-masiados recursos de los routers, lo que puede provocar problemas en la red.


Esta configuración permite la traducción para todos los hosts de las redes 192.168.10.0 y192.168.11.0 cuando generan tráfico que entra por S0/0/0 y sale por S0/1/0. Estos hosts se tra-ducen a una dirección disponible del rango 209.165.200.226 a 209.165.200.240.

7.2.6 Configuración de la sobrecarga de NATConfiguración de la sobrecarga de NAT para una única dirección IP pública

Hay dos maneras posibles de configurar la sobrecarga, según la manera en la que el ISP asigne lasdirecciones IP públicas. En el primero de los casos, el ISP asigna una dirección IP pública a la or-ganización, mientras que en el segundo, asigna más de una dirección IP pública.

La figura muestra los pasos a seguir para configurar la sobrecarga de NAT con una única direcciónIP. Con una única dirección IP pública, la configuración con sobrecarga normalmente asigna esadirección pública a la interfaz externa que se conecta con el ISP. Todas las direcciones internas setraducen a la única dirección IP al abandonar la interfaz externa.

Haga clic en el botón Comandos en la figura para ver los pasos de la configuración de la sobre-carga de NAT.

La configuración es similar a la de NAT dinámica, excepto que en lugar de haber un conjunto dedirecciones, se utiliza la palabra clave interface para identificar la dirección IP externa. Esto sig-nifica que no se define un conjunto de NAT. La palabra clave overload permite el agregar elnúmero de puerto a la traducción.


Este ejemplo muestra cómo se configura la sobrecarga de NAT. En el ejemplo, todos los hosts dela red 192.168.0.0 /16 (que coinciden con ACL 1) que envían tráfico a Internet a través del routerR2 se traducen a la dirección IP 209.165.200.225 (interfaz S0/1/0 dirección IP). Los flujos de trá-fico se identifican por los números de los puertos porque se utilizó la palabra clave overload.


Configuración de la sobrecarga de NAT para un conjunto de direcciones IP públicas

En las situaciones en las que el ISP proporciona más de una dirección IP pública, la sobrecarga deNAT se configura para usar un conjunto de direcciones. La diferencia principal entre esta configu-ración y la configuración NAT dinámica uno a uno es que se utiliza la palabra clave overload. Re-cuerde que la palabra clave overload posibilita la traducción de la dirección del puerto.

Haga clic en el botón Comandos que se muestra en la figura para ver los pasos de la configu-ración de la sobrecarga de NAT con un conjunto de direcciones.


En este ejemplo, la configuración establece la traducción con sobrecarga para el conjunto de NATNAT-POOL2. El conjunto de NAT contiene las direcciones 209.165.200.226 a 209.165.200.240 yse traduce con PAT. Los hosts de la red 192.168.0.0 /16 se someten al proceso de traducción. Fi-nalmente, se identifican las interfaces internas y externas.

7.2.7 Configuración de reenvío de puertosReenvío de puertos

El reenvío de puertos (a veces conocido como tunneling) es el acto de reenviar un puerto de la redde un nodo de la red a otro. Esta técnica puede permitir a un usuario externo alcanzar un puerto deuna dirección IP privada (perteneciente a una LAN) desde el exterior a través de un router habili-tado para NAT.

Normalmente, los programas para compartir archivos y operaciones clave entre peers, por ejemplo,servidor Web y FTP de salida, requieren que los puertos del router se reenvíen o abran para permi-tir el funcionamiento de estas aplicaciones. Como NAT oculta las direcciones internas, las cone-xiones entre peers funcionan solamente desde el interior hacia afuera, ya que NAT puede asignarlas solicitudes de salida contra las respuestas entrantes.

El problema es que NAT no permite las solicitudes iniciadas desde el exterior. Esta situación sepuede resolver con intervención manual. El reenvío de puertos le permite identificar puertos es-pecíficos que se pueden reenviar a hosts internos.

Recuerde que las aplicaciones de software de Internet interactúan con los puertos de los usuariosque deben estar abiertos o disponibles para esas aplicaciones. Diferentes aplicaciones utilizandiferentes puertos. Por ejemplo, Telnet utiliza el puerto 23, FTP utiliza los puertos 20 y 21, HTTPel puerto 80 y SMTP el puerto 25. Esto hace que las aplicaciones y los routers puedan predecir eidentificar los servicios de red. Por ejemplo, HTTP opera a través del puerto conocido 80. Al es-cribir la dirección http://cisco.com, el explorador muestra el sitio Web de Cisco Systems, Inc. Ob-serve que no es necesario especificar el número de puerto de HTTP para las solicitudes de páginasporque la aplicación supone que es el puerto 80.

Configuración de reenvío de puertos

El reenvío de puertos permite a los usuarios de Internet tener acceso a servidores internos me-diante el uso de la dirección del puerto WAN y el número de puerto externo correspondiente.Cuando los usuarios envían este tipo de solicitudes a la dirección del puerto WAN a través de In-ternet, el router reenvía las solicitudes a los servidores correspondientes de la LAN. Por cuestionesde seguridad, los routers de banda ancha no permiten, de forma predeterminada, el reenvío de nin-guna solicitud de red externa a un host interno.

Por ejemplo, la figura muestra la ventana de reenvío de un único puerto de un router SOHOLinksys WVRS4400N para empresas. El reenvío de puertos no está configurado.


Haga clic en el botón Ejemplo de reenvío de puertos que se muestra en la figura.

Se puede habilitar el reenvío de puertos para aplicaciones y especificar la dirección local interna ala que se deben reenviar las solicitudes. Por ejemplo, en la figura, las solicitudes de servicio HTTPque llegan a este router Linksys ahora se reenvían al servidor Web que tiene la dirección local in-terna 192.168.1.254. Si la dirección IP WAN externa del router SOHO es 209.165.200.158, elusuario externo podría escribir http://209.165.202.158 y el router Linksys redireccionaría la solici-tud HTTP al servidor Web interno que tiene la dirección IP 192.168.1.254 a través del número depuerto predeterminado 80.

Se podría especificar un puerto que no sea el puerto predeterminado 80. Sin embargo, el usuarioexterno debería saber qué número específico de puerto utilizar.

El enfoque que se siga para configurar el reenvío de puertos depende de la marca y el modelo delrouter de banda ancha que utilice la red. No obstante, hay algunos pasos generales que se debenseguir. Si las instrucciones proporcionadas por el ISP o incluidas con el router no proporcionanuna orientación adecuada, el sitio Web www.portforward.com brinda guías para varios routers debanda ancha. Puede seguir las instrucciones para agregar o eliminar puertos según sea necesariopara satisfacer las necesidades de las aplicaciones que desee permitir o denegar.

7.2.8 Verificación y resolución de problemas de configuraciones NATVerificación de NAT y de la sobrecarga de NAT

Es importante verificar el funcionamiento de NAT. Hay varios comandos de router útiles para ver yeliminar traducciones NAT. Este tema explica cómo verificar el funcionamiento de NAT con lasherramientas disponibles en los routers Cisco.

Uno de los comandos más útiles para verificar el funcionamiento de NAT es el comando show ipnat translations. Antes de usar los comandos show para verificar NAT, debe eliminar todas lasentradas de traducción dinámica que pueda haber, porque las traducciones de direcciones dinámi-cas, de forma predeterminada, expiran y se eliminan de la tabla de traducción NAT después de unperíodo sin utilizarse.

En la figura, el router R2 se configuró para proporcionar la sobrecarga de NAT a los clientes192.168.0.0 /16. Cuando los hosts internos salen a Internet a través del router R2, se traducen a ladirección IP de la interfaz serial con un número de puerto de origen único.

Supongamos que los dos hosts de la red interna se conectan a servicios Web de Internet.

Haga clic en el botón Traducciones NAT que se muestra en la figura.

Observe que el resultado del comando show ip nat translations muestra los detalles de las dosasignaciones NAT. Si agrega verbose al comando, se muestra información adicional acerca decada traducción, incluida la antigüedad y el uso de la entrada.

El comando muestra todas las traducciones estáticas que se configuraron y todas las traduccionesdinámicas que creó el tráfico. Cada traducción se identifica por protocolo además de las direc-ciones internas y externas locales y globales.

Haga clic en el botón Estadísticas de NAT que se muestra en la figura.

El comando show ip nat statistics muestra información acerca de la cantidad total de traduc-ciones activas, los parámetros de configuración de NAT, la cantidad de direcciones que hay en elconjunto y la cantidad de direcciones que se asignaron.

En la figura, los hosts iniciaron tráfico Web y tráfico ICMP.


Otra alternativa es utilizar el comando show run y buscar los comandos de NAT, lista de control deacceso, interfaz o conjunto con los valores requeridos. Examínelos atentamente y corrija los erro-res que observe.

De forma predeterminada, las entradas de traducción expiran después de 24 horas a menos que sehaya modificado la configuración de los temporizadores con el comando ip nat translationtimeout timeout_ seconds en el modo de configuración global.

Haga clic en el botón NAT eliminada que se muestra en la figura.

A veces resulta útil eliminar las entradas dinámicas antes de que se cumpla el tiempo predetermi-nado. Esto es particularmente válido cuando se está probando la configuración de NAT. Para eli-minar las entradas dinámicas antes de que hayan expirado, use el comando global clear ip nattranslation.

La tabla de la figura muestra las diferentes maneras en las que se pueden eliminar traduccionesNAT. Puede indicar de manera muy específica qué traducciones eliminar o puede eliminar todas lastraducciones de la tabla con el comando global clear ip nat translation *, como se muestra enel ejemplo.

Sólo se eliminan las traducciones dinámicas de la tabla. Las traducciones estáticas no se puedeneliminar de la tabla de traducciones.

Resolución de problemas de configuración de NAT y de la sobrecarga de NAT

Cuando tiene problemas de conectividad IP en un entorno NAT, muchas veces resulta difícil deter-minar la causa del problema. El primer paso para resolver el problema es descartar que la causasea la NAT. Siga estos pasos para verificar que la NAT esté funcionando según lo esperado:

Paso 1. Según la configuración, defina con claridad lo que la NAT debe lograr. De esta manerapuede detectar si hay problemas con la configuración.

Paso 2. Verifique que haya traducciones correctas en la tabla de traducciones con el comando showip nat translations.

Paso 3. Use los comandos clear y debug para verificar que la NAT esté operando correctamente.Verifique si después de eliminar las entradas dinámicas se vuelven a crear.

Paso 4. Revise detalladamente lo que le está pasando al paquete y verifique que los routers tenganla información de enrutamiento correcta para enviar el paquete.

Utilice el comando debug ip nat para verificar el funcionamiento de la NAT mediante la visuali-zación de la información de cada paquete que el router traduce. El comando debug ip nat de-tailed genera una descripción de cada paquete considerado para su traducción. Este comandotambién muestra información sobre ciertos errores o condiciones de excepción, como la imposibi-lidad de asignar una dirección global.

La figura muestra un resultado modelo de debug ip nat. En el resultado se puede ver que el hostinterno 192.168.10.10 inició tráfico hacia el host externo 209.165.200.254 y que se tradujo a la di-rección 209.165.200.225.

Al decodificar el resultado de la depuración, observe lo que indican los siguientes símbolos y valores:

■ *: el asterisco que se encuentra al lado de la NAT indica que la traducción se está realizandoen la ruta de conmutación rápida. El primer paquete de una conversación siempre es deconmutación de procesos, lo que significa que es más lento. Los otros paquetes se envían porla ruta de conmutación rápida, si existe una entrada de caché.

■ s=: hace referencia a la dirección IP de origen.


■ a.b.c.d—->w.x.y.z: indica que la dirección de origen a.b.c.d se traduce a w.x.y.z.

■ d=: hace referencia a la dirección IP de destino.

■ [xxxx]: el valor entre corchetes corresponde al número de identificación IP. Esta informaciónpuede ser útil para la depuración porque permite establecer una correlación con otros rastreosde paquetes de analizadores de protocolos.

Puede ver las siguientes demostraciones acerca de la verificación y la resolución de problemas deNAT en estos sitios:

Estudio de caso en animación Flash: se puede hacer ping al host, pero no telnet: se trata de unaanimación Flash que dura siete minutos y muestra por qué un dispositivo puede hacer ping a unhost pero no puede hacer telnet: http://www.cisco.com/warp/public/556/index.swf.

Estudio de caso en animación Flash: no se puede hacer ping después de NAT: se trata de una ani-mación Flash que dura diez minutos y muestra por qué un dispositivo no puede hacer ping másallá del punto de NAT: http://www.cisco.com/warp/public/556/TS_NATcase2/index.swf.

La NAT traduce direcciones internas, privadas y no enrutables a direcciones públicas enrutables. LaNAT tiene el beneficio adicional de proporcionar un nivel de privacidad y seguridad a la red porqueoculta las direcciones IP internas de las redes externas. En esta actividad, configurará NATdinámica y estática.



7.3 IPv67.3.1 Motivos para utilizar IPv6Por qué se necesita más espacio de direcciones

Para comprender los problemas de direccionamiento IP que enfrentan los administradores de reden la actualidad, hay que tener en cuenta que el espacio de direcciones de IPv4 proporciona apro-ximadamente 4 294 967 296 direcciones únicas. De éstas, sólo es posible asignar 3700 millones de direcciones porque el sistema de direccionamiento IPv4 separa las direcciones en clases y re-serva direcciones para multicast, pruebas y otros usos específicos.

A partir de cifras muy recientes dadas a conocer en enero de 2007, aproximadamente 2400 millo-nes de las direcciones IPv4 disponibles ya están asignadas a usuarios finales o ISP. Esto deja unas1300 millones de direcciones disponibles del espacio de direcciones IPv4. Si bien parece ser unacifra importante, el espacio de direcciones IPv4 se está agotando.

Haga clic en el botón Reproducir que se muestra en la figura para ver con qué rapidez ocurrióesto en los últimos 14 años.

En la última década, la comunidad de Internet ha analizado el problema del agotamiento de las di-recciones IPv4 y se han publicado enormes cantidades de informes. Algunos de ellos predicen quelas direcciones IPv4 se agotarán para el año 2010, otros dicen que esto no ocurrirá hasta el 2013.

Haga clic en el botón Reducción que se muestra en la figura para ver cómo se está encogiendoel espacio de direcciones disponibles.

El crecimiento de Internet, acompañado por una capacidad informática en crecimiento, ha exten-dido el alcance de las aplicaciones basadas en IP.


Haga clic en el botón ¿Por qué IPv6? que se muestra en la figura y considere los hechos queestán forzando la adopción de IPv6.

El conjunto de números se está reduciendo por los siguientes motivos:

■ Crecimiento de la población: la población de Internet está creciendo. En noviembre de 2005,Cisco estimó que había aproximadamente 973 millones de usuarios. Desde entonces, esta cifrase ha duplicado. Además, los usuarios permanecen conectados durante más tiempo, lo que haceque reserven direcciones IP durante períodos más prolongados y se comuniquen con unacantidad creciente de peers cada día.

■ Usuarios móviles: la industria ha colocado más de mil millones de teléfonos móviles. Se hanvendido más de 20 millones de dispositivos móviles habilitados para IP, incluidos losasistentes digitales personales (PDA, Personal Digital Assistants), pen tablets, blocs de notasy lectores de código de barras. Cada día se conectan más dispositivos habilitados para IP. Losteléfonos antiguos no necesitaban direcciones IP, pero los nuevos sí las necesitan.

■ Transporte: actualmente más de mil millones de automóviles. Los modelos más recientesestán habilitados para IP, para permitir el monitoreo remoto y proporcionar manteni-miento yasistencia con rapidez. Lufthansa ya brinda conectividad a Internet en sus vuelos. Másempresas de transporte, incluido el transporte marítimo, proporcionarán servicios similares.

■ Productos electrónicos para los consumidores: los dispositivos para el hogar permiten lasupervisión remota mediante la tecnología IP. Las grabadoras de video digital (DVR, DigitalVideo Recorders) que descargan y actualizan guías de programas de Internet son un ejemplo.Las redes domésticas pueden conectar estos dispositivos.

Motivos para usar IPv6

El movimiento para pasar de IPv4 a IPv6 ya comenzó, en particular en Europa, Japón y la regióndel Pacífico asiático. Estas áreas están agotando las direcciones IPv4 que tienen asignadas, lo quehace que IPv6 sea más atractivo y necesario. Japón comenzó el cambio oficialmente en el año2000, cuando el gobierno japonés exigió la incorporación de IPv6 y estableció una fecha límite enel año 2005 para actualizar los sistemas existentes de todas las empresas del sector público. Corea,China y Malasia han lanzado iniciativas similares.

En el año 2002, el grupo de trabajo de IPv6 de la Comunidad Europea estableció una alianza es-tratégica para fomentar la adopción de IPv6 en todo el mundo. Se creó también el grupo de trabajode IPv6 de América del Norte para comprometer a los mercados de América del Norte a queadopten IPv6. Los primeros avances importantes en América del Norte provienen delDepartamento de Defensa (DoD, Department of Defense) de E.U. Con vistas a futuro y cono-ciendo las ventajas de los dispositivos habilitados para IP, el DoD exigió ya en el año 2003 quetodos los equipos que se adquirieran a partir de esa fecha no sólo estuvieran habilitados para IPsino que además fueran compatibles con IPv6.

La posibilidad de expandir las redes para exigencias futuras requiere un suministro ilimitado de di-recciones IP y una mayor movilidad que no se pueden satisfacer sólo con DHCP y NAT. IPv6 sa-tisface los requisitos cada vez más complejos del direccionamiento jerárquico que IPv4 noproporciona.

Dada la enorme base instalada de IPv4 en todo el mundo, no es difícil apreciar que la transición de IPv4 a IPv6 es un desafío. Sin embargo, hay una variedad de técnicas, entre ellas una opción de


configuración automática, para facilitar la transición. El mecanismo de transición que debe utilizardepende de las necesidades de su red.

La figura compara las representaciones binarias y alfanuméricas de las direcciones IPv4 e IPv6. Unadirección IPv6 es un valor binario de 128 bits, que se puede mostrar como 32 dígitos hexadecimales.IPv6 debería proporcionar una cantidad de direcciones suficiente para las necesidades de crecimientofuturas de Internet durante muchos años más. La cantidad de direcciones IPv6 disponibles permitenasignar a cada persona del planeta un espacio de direcciones de Internet equivalente al espacio totalde IPv4.

Haga clic en el botón Perspectiva que se muestra en la figura.

¿Y qué ocurrió con IPv5? IPv5 se utilizó para definir un protocolo de transmisión en tiempo real ex-perimental. Para evitar confusiones, se decidió no utilizar IPv5 y llamar IPv6 al nuevo protocolo IP.

IPv6 no existiría si no fuera por el agotamiento evidente de las direcciones IPv4 disponibles. Sinembargo, más allá del mayor espacio de direcciones IP, el desarrollo de IPv6 presentó oportu-nidades para aplicar lo aprendido a partir de las limitaciones de IPv4 y crear así un protocolo confunciones nuevas y mejoradas.

La mayor simplicidad de la arquitectura de encabezados y el funcionamiento del protocolo sig-nifica que se reducen los gastos operativos. Las funciones de seguridad incorporadas posibilitanprácticas de seguridad más sencillas que muchas redes actuales necesitan. Sin embargo, tal vez lamejora más importante ofrecida por IPv6 son las funciones de configuración automática de direc-ciones que ofrece.

Internet está evolucionando con rapidez de un conjunto de dispositivos estacionarios a una redfluida de dispositivos móviles. IPv6 permite a los dispositivos móviles adquirir direcciones y pasarde una dirección a otra con rapidez a medida que se conectan a diferentes redes externas, sin nece-sidad de contar con un agente externo. (Un agente externo es un router que puede funcionar comopunto de conexión para un dispositivo móvil cuando éste hace roaming desde la red propia a unared externa).

La configuración automática de direcciones también significa que la conectividad en red plug-and-play es más sólida. La configuración automática admite consumidores que pueden tener una com-binación indistinta de computadoras, impresoras, cámaras digitales, radios digitales, teléfonos IP,dispositivos del hogar habilitados para Internet y juguetes robóticos conectados a las redes domés-ticas. Muchos fabricantes ya integran IPv6 en sus productos.

Muchas de las mejoras que ofrece IPv6 se explican en esta sección, entre ellas:

■ Direccionamiento IP mejorado

■ Encabezado simplificado

■ Movilidad y seguridad

■ Intensidad de transición

Direccionamiento IP mejorado

Un espacio de direcciones más grande ofrece varias mejoras, entre ellas:

■ Más posibilidad de conexión y flexibilidad global.

■ Mejor agrupación de los prefijos IP anunciados en las tablas de enrutamiento.

■ Hosts con múltiples conexiones. La multiconexión es una técnica para aumentar laconfiabilidad de la conexión a Internet de una red IP. Con IPv6, un host puede tener varias


direcciones IP a través de un enlace ascendente físico. Por ejemplo, un host puede conectarsea varios ISP.

■ Autoconfiguración que puede incluir direcciones de capa de enlace de datos en el espacio dela dirección.

■ Más opciones plug-and-play para más dispositivos.

■ Redireccionamiento de extremo a extremo de público a privado sin traducción de direcciones.Esto hace que las redes entre peers (P2P) sea más funcional y fácil de implementar.

■ Mecanismos simplificados para renumeración y modificación de direcciones.

Haga clic en el botón Encabezado simple que se muestra en la figura.

La figura compara la estructura de encabezado simplificada de IPv6 con la del encabezado deIPv4. El encabezado de IPv4 tiene 20 octetos y 12 campos de encabezado básicos, seguidos por uncampo de opciones y una sección de datos (normalmente el segmento de la capa de transporte). Elencabezado de IPv6 tiene 40 octetos, tres campos de encabezado de IPv4 básicos y cinco camposde encabezado adicionales.

El encabezado simplificado de IPv6 ofrece varias ventajas con respecto a IPv4:

■ Mayor eficacia de enrutamiento para obtener mejor rendimiento y más escalabilidad develocidad de reenvío.

■ Ausencia de broadcasts, de manera que no existe peligro potencial de tormentas debroadcasts.

■ No hay necesidad de procesar checksums.

■ Mecanismos de encabezado de extensión más simples y eficaces.

■ Rótulos de flujo en función del procesamiento de flujo sin necesidad de abrir el paqueteinterno de transporte para identificar los diferentes flujos de tráfico.

Mayor movilidad y seguridad

La movilidad y la seguridad ayudan a asegurar el cumplimiento con las funciones de los estándaresde IP móvil y seguridad de IP (IPsec). La movilidad permite a las personas que tienen dispositivos dered móviles, muchos de ellos con conectividad inalámbrica, conectarse a diferentes redes.

■ El estándar de IP móvil del IETF está disponible tanto para IPv4 como IPv6. El estándarpermite que los dispositivos móviles puedan desplazarse sin que se generen interrupciones enlas conexiones de red establecidas. Los dispositivos móviles utilizan una dirección propia yuna dirección de respaldo para lograr esta movilidad. Con IPv4, estas direcciones seconfiguran de manera manual. Con IPv6 las configuraciones son dinámicas, lo que hace quelos dispositivos habilitados para IPv6 tengan movilidad incorporada.

■ IPsec está disponible tanto para IPv4 como IPv6. Aunque las funciones son básicamenteidénticas para los dos entornos, IPsec es obligatorio en IPv6, lo que hace que Internet IPv6 seamás segura.

Intensidad de transición

IPv4 no desaparecerá de la noche a la mañana. En realidad, coexistirá durante un tiempo con IPv6y será reemplazado gradualmente por éste. Por este motivo, IPv6 incluye técnicas de migraciónque abarcan cada caso de actualización de IPv4 concebible. Sin embargo, muchas de estas técnicasfueron en última instancia rechazadas por la comunidad tecnológica.


En la actualidad hay tres enfoques principales:

■ Stack doble

■ Tunneling 6a4

■ NAT-PT, tunneling ISATAP y tunneling Teredo (métodos de último recurso)

Algunos de estos enfoques se describen en mayor detalle más adelante en este capítulo.

El consejo actual para hacer la transición a IPv6 se trata de “usar stack doble cuando pueda y tun-neling cuando no tenga otra opción”.

7.3.2 Direccionamiento IPv6Representación de direcciones IPv6

Las direcciones IPv4 conocidas tienen 32 bits representados como una serie de cuatro campos de 8 bits separados por puntos. Sin embargo, las direcciones IPv6 de 128 bits son más largas y necesi-tan una representación diferente a causa de su tamaño. Las direcciones IPv6 utilizan dos puntos (:)para separar entradas en una serie hexadecimal de 16 bits.

Haga clic en el botón Representación que se muestra en la figura.

La figura muestra la dirección 2031:0000:130F:0000:0000:09C0:876A:130B. IPv6 no requiereuna notación de cadena de dirección explícita. La figura muestra cómo acortar la dirección me-diante la aplicación de las siguientes pautas:

■ Los ceros iniciales de los campos son opcionales. Por ejemplo, el campo 09C0 es igual a 9C0y el campo 0000 es igual a 0. De manera que 2031:0000:130F:0000:0000:09C0:876A:130Bpuede escribirse como 2031:0:130F:0000:0000:9C0:876A:130B.

■ Los campos sucesivos de ceros pueden representarse con doble dos puntos “::”. Sin embargo,este método de abreviación sólo puede utilizarse una vez en una dirección. Por ejemplo2031:0:130F:0000:0000:9C0:876A:130B puede escribirse como2031:0:130F::9C0:876A:130B.

■ Una dirección no especificada se escribe “::” porque sólo contiene ceros.

El uso de la notación “::” reduce en gran medida el tamaño de la mayoría de las direcciones que semuestran. Un analizador de direcciones identifica la cantidad de ceros faltantes mediante la sepa-ración de dos partes de una dirección y la adición de ceros hasta completar los 128 bits.

Haga clic en el botón Ejemplos que se muestra en la figura para ver más ejemplos.

Dirección unicast global de IPv6

IPv6 tiene un formato de direcciones que permite la agrupación ascendente hasta llegar finalmenteal ISP. Las direcciones unicast globales normalmente están compuestas por un prefijo de en-rutamiento global de 48 bits y un ID de subred de 16 bits. Las organizaciones individuales puedenutilizar un campo de subred de 16 bits para crear su propia jerarquía de direccionamiento local.Este campo permite a la organización utilizar hasta 65535 subredes individuales.

En la parte superior de la figura se puede observar cómo se agrega una jerarquía adicional al prefijode enrutamiento global de 48 bits con el prefijo del registro, el prefijo del ISP y el prefijo del sitio.

La dirección unicast global actual asignada por IANA utiliza el rango de direcciones que comien-zan con el valor binario 001 (2000::/3), que es 1/8 del espacio de la dirección IPv6 y es el bloque


más grande de direcciones asignadas. IANA está asignando espacio de direcciones IPv6 en losrangos de 2001::/16 a los cinco registros RIR (ARIN, RIPE, APNIC, LACNIC y AfriNIC).

Para obtener más información, consulte RFC 3587, el formato de dirección unicast global de IPv6,que reemplaza a RFC 2374.

Direcciones reservadas

IETF reserva una parte del espacio de direcciones de IPv6 para diferentes usos, tanto presentescomo futuros. Las direcciones reservadas representan 1 de 256 partes del espacio total de direc-ciones de IPv6. Algunos de los otros tipos de direcciones IPv6 provienen de este bloque.

Direcciones privadas

Se separó un bloque de direcciones IPv6 para direcciones privadas, igual que lo que se hizo conIPv4. Estas direcciones privadas son locales solamente en un enlace o sitio en particular y, por lotanto, nunca se enrutan fuera de la red de una empresa particular. Las direcciones privadas tienenun primer valor de octeto de “FE” en la notación hexadecimal y el siguiente dígito hexadecimal es un valor de 8 a F.

Estas direcciones se subdividen en dos tipos, según su ámbito.

■ Las direcciones locales de un sitio son direcciones similares a la asignación de direccionespara Internets privadas de RFC 1918 en IPv4. El ámbito de estas direcciones es un sitio o unaorganización completa. Sin embargo, el uso de direcciones locales de un sitio es problemáticoy RFC 3879 lo desaprueba desde 2003. En notación hexadecimal, las direcciones locales deun sitio comienzan con “FE” y el tercer dígito hexadecimal está entre “C” y “F”. Es así comoestas direcciones comienzan con “FEC”, “FED”, “FEE” o “FEF”.

■ Las direcciones unicast de enlace local son nuevas dentro del concepto de direccionamientocon IP en la capa de red. Estas direcciones tienen un ámbito más pequeño que las direccioneslocales de un sitio, ya que hacen referencia solamente a un enlace físico en particular (redfísica). Los routers directamente no reenvían datagramas con direcciones link-local, nisiquiera dentro de la organización. Sólo se utilizan para comunicaciones en un segmento enparticular de la red física. Se utilizan para comunicaciones de enlace, por ejemplo,configuración automática de direcciones, detección de vecinos y detección de routers. Muchosprotocolos de enrutamiento IPv6 también utilizan direcciones link-local. En notaciónhexadecimal, las direcciones link-local comienzan con “FE” y el tercer dígito hexadecimal esun valor entre “8” y “B”. Así es como estas direcciones comienzan con “FE8”, “FE9”, “FEA”o “FEB”.

Dirección de loopback

Igual que en IPv4, se hizo una reserva de una dirección especial de loop back IPv6 para hacerpruebas: los datagramas que se envían a esta dirección regresan al dispositivo emisor y forman asíun bucle de retorno o “loopback”. Sin embargo, en IPv6 hay sólo una dirección y no todo unbloque para esta función. La dirección de loopback es 0:0:0:0:0:0:0:1, que normalmente se expresamediante la compresión de ceros como “::1”.

Dirección no especificada

En IPv4, una dirección IP compuesta únicamente por ceros tiene un significado especial: hace re-ferencia al mismo host y se utiliza cuando un dispositivo no conoce su propia dirección. En IPv6,este concepto se formalizó y la dirección compuesta únicamente por ceros (0:0:0:0:0:0:0:0) se de-nomina dirección “no especificada”. Normalmente se utiliza en el campo de origen de un data-grama que envía un dispositivo que desea configurar su dirección IP. Es posible aplicarcompresión de direcciones en esta dirección, lo que la convierte simplemente en “::”.


Administración de direcciones IPv6

Las direcciones IPv6 utilizan identificadores de interfaz para identificar las interfaces de un enlace.Considérelos como la porción de host de una dirección IPv6. Los identificadores de la interfazdeben ser únicos en un vínculo específico. Los identificadores de la interfaz siempre tienen 64 bitsy se pueden derivar dinámicamente de una dirección de Capa 2 (MAC).

Puede asignar un ID de dirección IPv6 de manera estática o dinámica:

■ Asignación estática con un ID de interfaz manual

■ Asignación estática con un ID de interfaz EUI-64

■ Autoconfiguración sin estado

■ DHCP para IPv6 (DHCPv6)

Asignación de ID de interfaz manual

Una manera de asignar estáticamente una dirección IPv6 a un dispositivo consiste en asignar ma-nualmente tanto el prefijo (red) como la porción del ID de la interfaz (host) de la dirección IPv6.Para configurar una dirección IPv6 en una interfaz de un router Cisco, use el comando ipv6 ad-dress ipv6-address/prefix-length en el modo de configuración de la interfaz. El siguienteejemplo muestra la asignación de una dirección IPv6 a la interfaz de un router Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::72/64

Asignación de ID de interfaz EUI-64

Otra manera de asignar una dirección IPv6 consiste en configurar la porción del prefijo (red) de ladirección IPv6 y derivar la porción del ID de la interfaz (host) de la dirección MAC de Capa 2 del dispositivo, que se conoce como ID de la interfaz EUI-64.

Haga clic en el botón EUI-64 que se muestra en la figura.

El estándar EUI-64 explica cómo extender las direcciones MAC de 48 a 64 bits mediante la inser-ción del valor 0xFFFE de 16 bits en centro de la dirección MAC para crear un identificador de in-terfaz único de 64 bits.

Para configurar una dirección IPv6 en una interfaz de un router Cisco y habilitar el procesamientode IPv6 con EUI-64 en esa interfaz, use el comando ipv6 address ipv6-prefix/prefix-length

eui-64 en el modo de configuración de la interfaz. El siguiente ejemplo muestra la asignación deuna dirección EUI-64 a la interfaz de un router Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64

Configuración automática sin estado

La autoconfiguración como su nombre lo indica, configura automáticamente la dirección IPv6. En IPv6 se supone que los dispositivos que no son PC, así como las terminales de compu-tadoras, están conectados a la red. El mecanismo de autoconfiguración se introdujo para permitirnetworking plug-and-play de estos dispositivos a fin de lograr la reducción de los gastos adminis-trativos.

DHCPv6 (con estado)

DHCPv6 permite que los servidores de DHCP pasen parámetros de configuración, por ejemplo,direcciones de red IPv6, a nodos IPv6. Ofrece la capacidad de asignación automática de direc-ciones de red reutilizables y mayor flexibilidad de configuración. Este protocolo es una contra-parte con estado de la configuración automática sin estado de direcciones IPv6 (RFC 2462) y se


puede utilizar por separado o de manera concurrente con la autoconfiguración de direcciones IPv6sin estado para obtener parámetros de configuración.

Para obtener más información acerca de la asignación de direcciones IPv6, visite el siguiente sitio:http://www.netbsd.org/docs/network/ipv6/.

7.3.3 Estrategias de transición a IPv6Estrategias de transición a IPv6

La transición de IPv4 no requiere que las actualizaciones de todos los nodos sean simultáneas. Haymuchos mecanismos de transición que permiten una integración fluida de IPv4 e IPv6. Hay otrosmecanismos que permiten que los nodos IPv4 se comuniquen con nodos IPv6. Para diferentessituaciones se requieren diferentes estrategias. La figura muestra la riqueza de las estrategias detransición disponibles.

Recuerde el consejo: “Use stack doble cuando pueda y tunneling cuando no tenga otra opción”.Estos dos métodos son las técnicas más comunes de transición de IPv4 a IPv6.

Stack doble

El método de stack doble es un método de integración en el que un nodo tiene implementación yconectividad para redes IPv4 e IPv6. Es la opción recomendada y requiere que se ejecuten IPv4 eIPv6 simultáneamente. El router y los switches se configuran para admitir ambos protocolos; elprotocolo preferido es IPv6.

Tunneling

La segunda técnica de transición más importante es el tunneling. Existen varias técnicas de tunne-ling, entre ellas:

■ Tunneling manual de IPv6 sobre IPv4: un paquete de IPv6 se encapsula dentro del protocoloIPv4. Este método requiere routers de stack doble.

■ Tunneling dinámico 6to4: establece automáticamente la conexión de islas de IPv6 a través dela red IPv4, normalmente Internet. Aplica dinámicamente un prefijo IPv6 válido y único acada isla de IPv6, lo que posibilita la implementación rápida de IPv6 en una red corporativasin recuperación de direcciones de los ISP o los registros.

Otras técnicas de tunneling menos utilizadas y que están más allá del ámbito de este curso incluyen:

■ Tunneling del protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP,Intra-Site Automatic Tunnel Addressing Protocol): mecanismo de tunneling de capa superiorautomática que utiliza la red IPv4 subyacente como capa de enlace para IPv6. Los túneles delISATAP permiten que los hosts de stack doble individuales IPv4 o IPv6 de un sitio secomuniquen con otros hosts similares a través de un enlace virtual y creen así una red IPv6mediante la infraestructura IPv4.

■ Tunneling Teredo: tecnología de transición a IPv6 que proporciona tunneling automático dehost a host en lugar de tunneling de gateway. Este enfoque transmite tráfico IPv6 unicast sihay hosts de stack doble (hosts que ejecutan tanto IPv6 como IPv4) detrás de una o variasNAT IPv4.

Traducción de protocolos NAT (NAT-Protocol Translation, NAT-PT)

Cisco IOS versión 12.3(2)T y posteriores (con el conjunto de funciones apropiado) también in-cluyen NAT-PT entre IPv6 e IPv4. Esta traducción permite la comunicación directa entre hosts que


utilizan versiones diferentes del protocolo IP. Estas traducciones son más complejas que IPv4NAT. En este momento, esta técnica de traducción es la opción menos favorable y debe utilizarsecomo último recurso.

7.3.4 Stack doble del IOS de CiscoStack doble del IOS de Cisco

El método de stack doble es un método de integración que permite que un nodo tenga conectividadcon redes IPv4 e IPv6 de manera simultánea. Cada nodo tiene dos stacks de protocolos con la con-figuración en la misma interfaz o en varias interfaces.

El enfoque de stack doble para la integración de IPv6, en el que los nodos tienen stacks de IPv4 eIPv6, será uno de los métodos de integración más comúnmente utilizados. Un nodo de stack do-ble elige qué stack utilizar en función de la dirección de destino del paquete. Un nodo de stackdoble debe preferir utilizar IPv6 cuando esté disponible. Las aplicaciones antiguas que sólo admi-ten IPv4 siguen funcionando igual que antes. Las aplicaciones nuevas y las modificadas aprove-chan las dos capas IP.

Se ha definido una nueva interfaz de programación de aplicaciones (API, Application Program-ming Interface) para admitir direcciones y solicitudes DNS de IPv4 e IPv6. Una API facilita el in-tercambio de mensajes o datos entre dos o más aplicaciones de software diferentes. Un ejemplo deAPI es la interfaz virtual entre dos funciones de software, por ejemplo, un procesador de textos yuna hoja de cálculo. La API se integra en las aplicaciones de software para traducir IPv4 a IPv6 y viceversa mediante la aplicación del mecanismo de conversión IP. Las aplicaciones nuevaspueden utilizar tanto IPv4 como IPv6.

La experiencia en la conversión de aplicaciones IPv4 a IPv6 sugiere que para la mayoría de lasaplicaciones hay un cambio mínimo en algunos lugares puntuales del código fuente. Esta técnicaes conocida y se ha aplicado en el pasado para otras transiciones de protocolo. Permite la actuali-zación gradual de las aplicaciones, una por una, a IPv6.

Haga clic en el botón Configuración de interfaz IPv6 que se muestra en la figura.

Cisco IOS versión 12.2(2)T y posteriores (con el conjunto de funciones apropiado) ya admitenIPv6. Tan pronto como configure IPv4 básico e IPv6 en la interfaz, la interfaz es de stack doble yreenvía el tráfico IPv4 e IPv6 en esa interfaz. Observe que se configuró una dirección IPv4 y unadirección IPv6.

El uso de IPv6 en un router IOS de Cisco requiere el uso del comando de configuración globalipv6 unicast-routing. Este comando habilita el reenvío de datagramas IPv6.

Debe configurar todas las interfaces que reenvían tráfico IPv6 con una dirección IPv6 mediante elcomando de interfaz ipv6 address IPv6-address [/prefix length].

7.3.5 Tunneling IPv6Tunneling IPv6

El tunneling es un método de integración en el que un paquete IPv6 se encapsula dentro de otroprotocolo, por ejemplo, IPv4. Este método permite la conexión de islas de IPv6 sin necesidad deconvertir las redes intermediarias a IPv6. Cuando se utiliza IPv4 para encapsular el paquete IPv6,se especifica el tipo de protocolo 41 en el encabezado de IPv4 y el paquete incluye un encabeza-do de IPv4 de 20 bytes sin opciones y un encabezado y contenido de IPv6. También requiererouters de stack doble.


El tunneling presenta estos dos problemas. La unidad máxima de transmisión (MTU, MaximumTransmission Unit) se reduce 20 octetos si el encabezado de IPv4 no contiene ningún campo op-cional. Además, los problemas de las redes que utilizan tunneling normalmente son difíciles deresolver.

El tunneling es una técnica de integración y transición intermedia, y no debe considerarse comouna solución definitiva. El objetivo final debe ser una arquitectura IPv6 nativa.

Túnel IPv6 configurado manualmente

Un túnel configurado en forma manual equivale a un enlace permanente entre dos dominios IPv6sobre un enlace troncal IPv4. El uso principal es para conexiones estables que requieren comuni-cación segura periódica entre dos routers de borde, entre un sistema final y un router de borde o paraconexión con redes IPv6 remotas. Los routers de borde deben ser de stack doble y la configuraciónno puede cambiar dinámicamente a medida que cambian las necesidades de la red y de enrutamiento.

Los administradores configuran una dirección IPv6 estática de manera manual en una interfaz detúnel y asignan las direcciones IPv4 estáticas configuradas manualmente al origen y al destino del túnel. El host o el router de cada extremo de un túnel configurado debe admitir stacks de pro-tocolos IPv4 e IPv6. Los túneles configurados manualmente pueden establecerse entre dos routersde borde o entre un router de borde y un host.

7.3.6 Consideraciones de enrutamiento con IPv6Configuraciones de enrutamiento con IPv6

Al igual que el enrutamiento entre dominios sin clase (CIDR, Classless Interdomain Routing) deIPv4, IPv6 utiliza un enrutamiento de concordancia de prefijo más largo. IPv6 utiliza versionesmodificadas de la mayoría de los protocolos de enrutamiento comunes para administrar las direc-ciones IPv6 más largas y las diferentes estructuras de encabezado.

Los espacios de dirección más grandes permiten asignaciones de direcciones grandes a los ISP y lasorganizaciones. Un ISP agrupa todos los prefijos de sus clientes en un único prefijo y lo anuncia enInternet IPv6. El mayor espacio de direcciones es suficiente para permitir a las organizacionesdefinir un único prefijo para toda su red.

¿Pero cómo se ve afectado el rendimiento del router con esto? Un resumen del funcionamiento deun router en una red será útil para mostrar cómo IPv6 afecta el enrutamiento. Conceptualmente, unrouter tiene tres áreas funcionales:

■ El plano de control administra la interacción del router con los demás elementos de la red yproporciona la información necesaria para tomar decisiones y controlar el funcionamientogeneral del router. Este plano ejecuta procesos, tales como protocolos de enrutamiento yadministración de red. Estas funciones en general son complejas.

■ El plano de datos administra el reenvío de paquetes de una interfaz física o lógica a otra. Utilizadiferentes mecanismos de conmutación, por ejemplo, la conmutación de procesos y el envíoexpress de Cisco (CEF, Cisco Express Forwarding) en routers con el software IOS de Cisco.

■ Los servicios mejorados incluyen funciones avanzadas que se aplican al reenviar datos, porejemplo, filtrado de paquetes, calidad de servicio (QoS, Quality Of Service), encriptación,traducción y contabilidad.

IPv6 presenta nuevos desafíos específicos para cada una de estas funciones.


Plano de control de IPv6

Al habilitar IPv6 en un router se inicia el proceso operativo del plano de control específicamentepara IPv6. Las características del protocolo definen el rendimiento de estos procesos y la cantidadde recursos necesarios para operarlos:

■ Tamaño de la dirección IPv6: el tamaño de la dirección afecta las funciones deprocesamiento de la información de un router. Los sistemas que utilizan una estructura de memoria, bus o CPU de 64 bits pueden transmitir una dirección IPv4 de origen y destinoen un único ciclo de procesamiento. Para IPv6, las direcciones de origen y destino requierendos ciclos cada una, o sea cuatro ciclos, para procesar la información de las direcciones deorigen y destino. Como resultado, los routers que utilizan exclusivamente procesamiento de software probablemente tengan un rendimiento más lento que en un entorno IPv4.

■ Varias direcciones de nodos IPv6: como los nodos IPv6 pueden usar varias direcciones unicastIPv6, el consumo de memoria caché para la detección de vecinos puede verse afectado.

■ Protocolos de enrutamiento IPv6: los protocolos de enrutamiento IPv6 son similares a suscontrapartes IPv4, pero como un prefijo IPv6 es cuatro veces más grande que un prefijo IPv4,las actualizaciones de enrutamiento deben transportar más información.

■ Tamaño de la tabla de enrutamiento: el mayor espacio de dirección IPv6 genera redes másgrandes y hace que aumente mucho el tamaño de Internet. Esto hace que se necesiten tablas deenrutamiento más grandes y más requisitos de memoria para su funcionamiento.

Plano de datos IPv6

El plano de datos reenvía paquetes IP en función de las decisiones tomadas por el plano de control. Elmotor de reenvío analiza la información relevante del paquete IP y hace una búsqueda para estableceruna equivalencia entre la información analizada y las políticas de reenvío definidas por el plano decontrol. IPv6 afecta el rendimiento de las funciones de análisis y búsqueda:

■ Análisis de los encabezados de extensión IPv6: las aplicaciones, incluido IPv6 móvil, confrecuencia utilizan información de la dirección IPv6 en los encabezados de extensión, lo quehace que aumenten de tamaño. Estos campos adicionales requieren procesamiento adicional. Porejemplo, un router que utiliza ACL para filtrar información de Capa 4 necesita aplicar las ACLtanto a los paquetes que tienen encabezados de extensión como a los que no los tienen. Si lalongitud del encabezado de extensión excede la longitud fija del registro de hardware del router,la conmutación por hardware genera un error y los paquetes pueden ser derivados a conmutaciónpor software o descartados. Esto afecta seriamente el rendimiento de reenvío del router.

■ Búsqueda de direcciones IPv6: IPv6 realiza una búsqueda en los paquetes que ingresan alrouter para encontrar la interfaz de salida correcta. En IPv4, el proceso de decisión de reenvíoanaliza una dirección de destino de 32 bits. En IPv6, la decisión de reenvío puede requerir el análisis de una dirección de destino de 128 bits. La mayoría de los routers actuales realizanbúsquedas mediante un circuito integrado de aplicación específica (ASIC, Application-Specific Integrated Circuit) con una configuración fija que realiza las funciones para las quefue diseñado originalmente: IPv4. Nuevamente, esto puede dar como resultado que lospaquetes sean derivados a un procesamiento por software que es más lento o que seandescartados por completo.

Protocolo de enrutamiento RIPNg

Las rutas de IPv6 usan los mismos protocolos y las mismas técnicas que IPv4. Si bien las direc-ciones son más largas, los protocolos utilizados en el enrutamiento IPv6 son simplemente exten-siones lógicas de los protocolos utilizados en IPv4.


RFC 2080 define el protocolo de información de routing de siguiente generación (RIPng, RoutingInformation Protocol Next Generation) como un protocolo de enrutamiento simple basado en RIP.RIPng no es ni más ni menos potente que RIP, pero proporciona una manera sencilla de crear unared IPv6 sin necesidad de crear un nuevo protocolo de enrutamiento.

RIPng es un protocolo de enrutamiento vector distancia con un límite de 15 saltos que usaActualizaciones de envenenamiento en reversa y horizonte dividido para evitar routing loops. Susimplicidad proviene del hecho de que no requiere ningún conocimiento global de la red. Sólo losrouters vecinos intercambian mensajes locales.

RIPng incluye las siguientes características:

■ Basado en IPv4 RIP versión 2 (RIPv2) y es similar a RIPv2

■ Usa IPv6 para el transporte

■ Incluye el prefijo IPv6 y la dirección IPv6 del siguiente salto

■ Usa el grupo multicast FF02::9 como dirección de destino para las actualizaciones de RIP(similar a la función de broadcast que realiza RIP en IPv4)

■ Envía actualizaciones por el puerto UDP 521

■ Es compatible con Cisco IOS versión 12.2(2)T y posteriores

En implementaciones de stack doble, se necesitan RIP y RIPng.

7.3.7 Configuración de direcciones IPv6Habilitación de IPv6 en routers Cisco

Hay dos pasos básicos para activar IPv6 en un router. Primero, debe activar el reenvío de tráficoIPv6 en el router y, a continuación, debe configurar cada una de las interfaces que requiere IPv6.

De forma predeterminada, el reenvío de tráfico IPv6 está deshabilitado en los routers Cisco. Paraactivarlo entre interfaces, debe configurar el comando global ipv6 unicast-routing.

El comando ipv6 address puede configurar una dirección IPv6 global. La dirección link-local seconfigura automáticamente cuando se asigna una dirección a la interfaz. Debe especificar la direcciónIPv6 completa de 128 bits o debe especificar el uso de un prefijo de 64 bits con la opción eui-64.

Ejemplo de configuración de dirección IPv6

Puede especificar la dirección IPv6 por completo o calcular el identificador del host (los 64 bitsdel extremo derecho) a partir del identificador EUI-64 de la interfaz. En el ejemplo, la direcciónIPv6 de la interfaz se configuró con el formato EUI-64.

De manera alternativa, puede especificar la dirección IPv6 completa de la interfaz de un router con elcomando ipv6 address ipv6-address/prefix-length en el modo de configuración de la interfaz.

La configuración de una dirección IPv6 en una interfaz configura automáticamente la direcciónlink-local para esa interfaz.

Resolución de nombres IPv6 de IOS de Cisco

Hay dos maneras de realizar la resolución de nombres desde el proceso de software IOS de Cisco:

■ Definición de un nombre estático para una dirección IPv6 mediante el comando ipv6 hostname [port] ipv6-address1 [ipv6-address2...ipv6-address4]. Puede definir hasta cuatro


direcciones IPv6 para un nombre de host. La opción del puerto hace referencia al puertoTelnet que se utilizará para el host asociado.

■ Especificación del servidor DNS utilizado por el router con el comando ip name-serveraddress. La dirección puede ser IPv4 o IPv6. Con este comando puede especificar hasta seisservidores DNS.

7.3.8 Configuración de RIPng con IPv6Configuración de RIPng con IPv6

Al configurar los protocolos de enrutamiento admitidos en IPv6, debe crear el proceso de enruta-miento, habilitar el proceso de enrutamiento en las interfaces y personalizar el protocolo de enru-tamiento para su red en particular.

Antes de configurar el router para que ejecute IPv6 RIP, habilite IPv6 de manera global con el co-mando de configuración global ipv6 unicast-routing y habilite IPv6 en las interfaces en las quehaya que habilitar IPv6 RIP.

Para habilitar el enrutamiento RIPng en el router, use el comando de configuración global ipv6router rip name. El parámetro name identifica el proceso RIP. Este nombre de proceso se utilizamás adelante al configurar RIPng en las interfaces participantes.

Para RIPng, en lugar de utilizar el comando network para identificar qué interfaces deben ejecutarRIPng, se utiliza el comando ipv6 rip name enable en el modo de configuración de la interfazpara habilitar RIPng en una interfaz. El parámetro name debe coincidir con el mismo parámetro enel comando ipv6 router rip.

La habilitación dinámica de RIP en una interfaz crea un proceso de “router rip” si es necesario.

Ejemplo: RIPng para la configuración de IPv6

El ejemplo muestra una red de dos routers. El router R1 está conectado a la red predeterminada.Tanto en el router R2 como en el router R1, el nombre RT0 identifica el proceso RIPng. RIPngestá habilitado en la primera interfaz Ethernet del router R1 mediante el comando ipv6 rip RT0enable. El router R2 muestra que RIPng está habilitado en ambas interfaces Ethernet mediante elcomando ipv6 rip RT0 enable.

Esta configuración permite que las interfaces Ethernet 1 del router R2 y Ethernet 0 de ambosrouters intercambien información de enrutamiento RIPng.

7.3.9 Verificación y resolución de problemas de RIPngVerificación y resolución de problemas de RIPng para IPv6

Después de configurar RIPng, es necesario hacer una verificación. La figura enumera los diferen-tes comandos que puede utilizar.

Haga clic en el botón Resolución de problemas que se muestra en la figura.

Si durante la verificación detecta que RIPng no está funcionando bien, debe resolver el problema.

La figura enumera los comandos utilizados para resolver problemas de RIPng.

Actividad Flash


7.4 Prácticas de laboratorio del capítulo

7.4.1 Configuración básica de DHCP y NATEn esta práctica de laboratorio, configurará los servicios IP de DHCP y NAT. Un router es el servi-dor de DHCP. El otro router reenvía las solicitudes de DHCP al servidor. También configurará lasconfiguraciones estática y dinámica de NAT, incluida la sobrecarga de NAT. Cuando haya finali-zado las configuraciones, verifique la conectividad entre las direcciones interna y externa.

Esta actividad es una variación de la práctica de laboratorio 7.4.1. Packet Tracer, quizás, no admitatodas las tareas especificadas en la práctica de laboratorio. Esta actividad no se debe considerarequivalente a la finalización de las prácticas de laboratorio. Packet Tracer no reemplaza la expe-riencia práctica de laboratorio con equipo real.



7.4.2 Desafío de configuración de DHCP y NATEn esta práctica de laboratorio, configure los servicios de dirección IP con la red que se muestra enel diagrama de topología. Si necesita ayuda, consulte la práctica de laboratorio sobre configura-ciones básicas de DHCP y NAT. Sin embargo, intente hacer lo máximo posible por su cuenta.




7.4.3 Resolución de problemas de DHCP y NATLos routers de su compañía fueron configurados por un ingeniero de redes inexperto. Varios erroresen la configuración causaron problemas de conectividad. Su jefe le ha encomendado resolver losproblemas, corregir los errores de configuración y documentar su trabajo. Con su conocimientos deDHCP, NAT y los métodos de prueba estándar, encuentre los errores y corríjalos. Asegúrese de quetodos los clientes tengan conectividad completa.





Resumen del capítuloEste capítulo analizó las soluciones clave para el problema de la reducción del espacio de direc-ciones de Internet. Aprendió a utilizar DHCP para asignar direcciones IP privadas dentro de la red.Esto conserva el espacio de direcciones públicas y genera ahorros importantes de gastos adminis-trativos en la administración de adiciones, traslados y cambios. Aprendió a implementar NAT y lasobrecarga de NAT para conservar el espacio de direcciones públicas y a construir intranets pri-vadas seguras sin afectar la conexión del ISP. Sin embargo, NAT tiene desventajas en términos desus efectos negativos sobre el rendimiento de los dispositivos, la seguridad, la movilidad y laconectividad de extremo a extremo.

En general, la posibilidad de expandir las redes para exigencias futuras requiere un suministroilimitado de direcciones IP y una mayor movilidad que no se pueden satisfacer sólo con DHCP yNAT. IPv6 satisface los requisitos cada vez más complejos del direccionamiento jerárquico queIPv4 no proporciona. La aparición de IPv6 no sólo soluciona el agotamiento de direcciones IPv4 ylas limitaciones de NAT, sino que además proporciona funciones nuevas y mejoradas. En la breveintroducción a IPv6 de este capítulo, aprendió cómo es la estructura de las direcciones IPv6, cómomejorarán la seguridad y la movilidad de la red y cómo el mundo IPv4 hará la transición a IPv6.

Verifique su comprensión

En esta actividad final, configurará PPP, OSPF, DHCP, NAT y el enrutamiento predeterminado alISP. Después verificará la configuración.





CAPÍTULO 8

Resolución de problemas de red

IntroducciónUna vez que una red está en funcionamiento, los administradores deben supervisar su fun-cionamiento para mantener la productividad de la organización. De vez en cuando pueden ocurririnterrupciones en la red. En algunos casos, son planificadas y su impacto sobre la organización semaneja fácilmente. En otros, no son planificadas y su impacto sobre la organización puede sergrave. En el caso de que ocurra una interrupción inesperada de la red, los administradores debenpoder resolver el problema y hacer que la red vuelva a su producción total. En este capítulo, apren-derá un proceso sistemático para la solución de problemas cuando ocurren interrupciones en la red.

8.1 Establecimiento de la línea de base de rendimiento de la red

8.1.1 Documentación de la redDocumentación de la red

Para diagnosticar y corregir de manera eficaz problemas de la red, un ingeniero de red debe sabercómo se ha diseñado una red y cuál es el rendimiento esperado para dicha red en condiciones nor-males de funcionamiento. Esta información se denomina línea de base de red y se registra en ladocumentación, por ejemplo, en las tablas de configuración y los diagramas de topología.

La documentación de configuración de la red proporciona un diagrama lógico de la red e informa-ción detallada acerca de cada componente. Esta información debe mantenerse en una ubicaciónúnica, ya sea como una copia impresa o en la red en un sitio Web protegido. La documentación dela red debe incluir estos componentes:

■ Tabla de configuración de la red

■ Tabla de configuración del sistema final

■ Diagrama de topología de la red

Tabla de configuración de la red

Contiene registros actualizados y precisos del hardware y software usados en una red. La tabla de configuración de la red debe proporcionar al ingeniero de red toda la información necesariapara identificar y corregir la falla de la red.

Haga clic en el botón Documentación de router y switch en la figura.

La tabla de la figura ilustra el conjunto de datos que debe incluirse para todos los componentes:

■ Tipo de dispositivo, designación del modelo

■ Nombre de la imagen del IOS

■ Nombre de host de la red del dispositivo


■ Ubicación del dispositivo (edificio, piso, sala, bastidor, panel)

■ Si es un dispositivo modular, incluya todos los tipos de módulos y en qué ranura del módulose ubican

■ Direcciones de capa de enlace de datos

■ Direcciones de capa de red

■ Cualquier información importante adicional acerca de los aspectos físicos del dispositivo

Haga clic en el botón Documentación del sistema final en la figura.

Tabla de configuración del sistema final

Contiene registros de línea de base del hardware y software usados en los dispositivos del sistemafinal, tales como servidores, consolas de administración de la red y estaciones de trabajo de es-critorio. La configuración incorrecta del sistema final puede tener un impacto negativo sobre elrendimiento general de una red.

Para la resolución de problemas, debe documentarse la siguiente información:

■ Nombre del dispositivo (objetivo)

■ Sistema operativo y versión

■ Dirección IP

■ Máscara de subred

■ Direcciones de gateway predeterminado, servidor DNS y servidor WINS

■ Todas las aplicaciones de red de ancho de banda elevado que ejecuta el sistema final

Haga clic en el botón Diagrama de topología de la red en la figura.

Diagrama de topología de la red

Representación gráfica de una red que ilustra cómo se conecta cada dispositivo en una red y su ar-quitectura lógica. Un diagrama de topología comparte muchos componentes con la tabla de confi-guración de la red. Cada dispositivo de red debe representarse en el diagrama con una notación co-herente o un símbolo gráfico. Además, cada conexión lógica y física debe representarse medianteuna línea simple u otro símbolo adecuado. Los protocolos de enrutamiento también pueden mos-trarse.

Como mínimo, el diagrama de topología debe incluir:

■ Símbolos para todos los dispositivos y cómo se conectan

■ Números y tipos de interfaz

■ Direcciones IP

■ Máscaras de subred

8.1.2 Documentación de la redProceso de documentación de la red

La figura muestra el proceso de documentación de la red.

Coloque el cursor sobre cada etapa en la figura para obtener más información sobre el proceso.

Capítulo 8: Resolución de problemas de red 227

Al documentar la red, puede ser necesario recopilar información directamente de routers yswitches. Los comandos útiles para el proceso de documentación de la red incluyen:

■ El comando ping, que se usa para probar la conectividad con los dispositivos vecinos antes de conectarse a ellos. Al hacer ping a otras PC en la red también se inicia el proceso dedescubrimiento automático de direcciones MAC.

■ El comando telnet, que se usa para conectarse de manera remota a un dispositivo paraobtener acceso a la información de configuración.

■ El comando show ip interface brief, que se usa para mostrar el estado activo o no activoy la dirección IP de todas las interfaces en un dispositivo.

■ El comando show ip route, que se usa para mostrar la tabla de enrutamiento en un routerpara conocer los vecinos conectados directamente, más dispositivos remotos (a través de lasrutas conocidas) y los protocolos de enrutamiento que se han configurado.

■ El comando show cdp neighbor detail, que se usa para obtener información detalladaacerca de los dispositivos vecinos Cisco conectados en forma directa.

Esta actividad cubre los pasos necesarios para descubrir una red mediante el uso, principalmente,de los comandos telnet, show cdp neighbors detail y show ip route. Ésta es la Parte I deuna actividad que consta de dos partes.

La topología que se observa cuando se abre la actividad de Packet Tracer no muestra todos los de-talles de la red. Se han ocultado los detalles por medio de la función de grupo de Packet Tracer. Seha colapsado la infraestructura de la red, y la topología en el archivo muestra sólo los dispositivosfinales. Su tarea consiste en usar su conocimiento sobre comandos de networking y descubri-miento para obtener más información sobre la topología de la red completa y documentarla.



8.1.3 ¿Por qué es importante establecer una línea de base de red?El establecimiento de una línea de base de rendimiento de la red implica la recopilación de datosclave del rendimiento de los puertos y los dispositivos que son esenciales para el funcionamientode la red. Esta información ayuda a determinar la “personalidad” de la red y proporciona respues-tas a las siguientes preguntas:

■ ¿Cómo funciona la red durante un día normal o promedio?

■ ¿Dónde se encuentran las áreas utilizadas en exceso y las áreas utilizadas insuficientemente?

■ ¿Dónde ocurre la mayoría de los errores?

■ ¿Qué niveles hay que establecer para los dispositivos que deben supervisarse?

■ ¿La red puede proporcionar las políticas identificadas?

La medición del rendimiento inicial y la disponibilidad de los enlaces y dispositivos de red críticospermiten que el administrador de red establezca la diferencia entre el comportamiento anormal y elrendimiento adecuado de la red a medida que la red crece o cambian los patrones de tráfico. Lalínea de base también permite establecer si el diseño de red actual puede proporcionar las políticasnecesarias. Sin una línea de base, no existe un estándar para medir el estado óptimo de los nivelesde tráfico y congestión de la red.


Además, el análisis posterior a una línea de base inicial suele revelar problemas ocultos. Los datosrecopilados revelan la naturaleza verdadera de la congestión o la posible congestión en una red.También puede revelar las áreas de una red que no se están utilizando suficientemente y, con fre-cuencia, puede llevar al rediseño de la red según las observaciones de capacidad y calidad.

8.1.4 Pasos para establecer una línea de base de redPlanificación de la primera línea de base

Debido a que la línea de base de rendimiento de la red inicial prepara el camino para medir losefectos de los cambios en la red y los posteriores esfuerzos de resolución de problemas, es impor-tante planificarla cuidadosamente. Aquí se presentan los pasos recomendados para la planificaciónde la primera línea de base:

Paso 1. Determinar los tipos de datos que deben recopilarse

Cuando realice la línea de base inicial, comience con la selección de algunas variables que repre-senten las políticas definidas. Si se seleccionan demasiados puntos de datos, la cantidad de datospuede ser abrumadora y, por lo tanto, dificultar el análisis de los datos recopilados. Comience conun diseño simple y realice ajustes a medida que avanza. En general, algunas buenas medidas ini-ciales son la utilización de interfaces y CPU. La figura muestra algunas capturas de pantalla de los datos de utilización de interfaces y CPU, como los muestra un sistema de administración de red de Fluke Networks.

Haga clic en el botón Dispositivos y puertos de interés en la figura.

Paso 2. Identificar los dispositivos y puertos de interés

El próximo paso es la identificación de los dispositivos y puertos clave cuyos datos de rendimientodeben medirse. Los dispositivos y puertos de interés incluyen:

■ Puertos de dispositivos de red que se conectan a otros dispositivos de red

■ Servidores

■ Usuarios clave

■ Cualquier otro elemento que se considere fundamental para las operaciones.

En la topología que se muestra en la figura, el administrador de red ha destacado los dispositivos ypuertos de interés que se supervisarán durante la prueba de línea de base. Los dispositivos de in-terés incluyen los routers R1, R2 y R3, PC1 (terminal de administración) y SRV1 (el servidorWeb/TFTP). Los puertos de interés incluyen los puertos en R1, R2 y R3 que se conectan a losotros routers o switches y, en el router R2, el puerto que se conecta a SRV1 (Fa0/0).

Al reducir los puertos sondeados, los resultados son concisos y se minimiza la carga de adminis-tración de la red. Recuerde que una interfaz en un router o switch puede ser una interfaz virtual, talcomo una interfaz virtual de switch (SVI).

Este paso es más fácil si se han configurado los campos de descripción de puertos del dispositivode forma que indiquen qué elemento se conecta al puerto. Por ejemplo, para un puerto de routerque se conecta al switch de distribución en el grupo de trabajo Ingeniería, se podría configurar ladescripción “Switch de distribución de LAN de Ingeniería”.

Haga clic en el botón Determinar la duración de línea de base en la figura.

Paso 3. Determinar la duración de la línea de base

Es importante que la duración y la información de la línea de base recopilada sean suficientes paraestablecer una imagen típica de la red. Este período debe ser de al menos siete días a fin de capturar


cualquier tendencia diaria o semanal. Las tendencias semanales son tan importantes como las ten-dencias por horas o días.

La figura muestra ejemplos de varias capturas de pantalla de las tendencias de utilización de CPUobtenidas durante un período diario, semanal, mensual y anual. Las tendencias de la semana labo-ral son demasiado escasas para reflejar de manera precisa la naturaleza recurrente de los picos deutilización que ocurren durante el fin de semana, los sábados a la tarde, cuando una importanteoperación de copia de seguridad de base de datos consume ancho de banda de la red. Este patrónrecurrente se muestra en la tendencia mensual. La tendencia anual presentada en el ejemplo es deuna duración demasiado extensa para proporcionar detalles de rendimiento significativos para lalínea de base. Una línea de base no debe durar más de seis semanas, a menos que deban medirsetendencias específicas a largo plazo. En general, una línea de base de dos a cuatro semanas resultaadecuada.

No se debe realizar una medición de línea de base durante momentos de patrones de tráfico no ha-bituales, ya que los datos proporcionarían una imagen inexacta de las operaciones normales de lared. Se obtendría una medición inexacta del rendimiento de la red si realizara una medición delínea de base durante un día inhábil o durante un mes en el cual la mayor parte de la empresa estáde vacaciones.

El análisis de la línea de base de la red debe realizarse de manera regular. Realice un análisisanual de toda la red o establezca líneas de base de diferentes secciones de la red de forma rota-tiva. Debe realizarse el análisis regularmente para comprender cómo el crecimiento y otros cam-bios afectan a la red.

Medición de los datos de rendimiento de la red

En general, se usa software de administración de redes sofisticado para evaluar redes grandes ycomplejas. Por ejemplo, el módulo SuperAgent de Fluke Networks permite a los administradorescrear y revisar informes automáticamente mediante una función de líneas de base inteligentes. Estafunción compara los niveles de rendimiento actuales con las observaciones anteriores y puedeidentificar automáticamente problemas de rendimiento y aplicaciones que no proporcionan losniveles de servicio esperados.

Haga clic en el botón Comandos manuales en la figura.

En redes más simples, las tareas de establecimiento de línea de base pueden requerir una combina-ción de recopilación de datos manual e inspectores de protocolos de red simples. La determinaciónde una línea de base inicial o la realización de un análisis de supervisión de rendimiento puede de-morar varias horas o días para reflejar de manera precisa el rendimiento de la red. El software de administración de red o los inspectores de protocolos y programas detectores pueden ejecutarsecontinuamente durante el proceso de recopilación de datos. La recopilación manual mediante los co-mandos show en dispositivos de red individuales consume mucho tiempo y debe limitarse a los dis-positivos de red críticos.

8.2 Herramientas y metodologías de resolución de problemas

8.2.1 Enfoque general para la resolución de problemasLos ingenieros y administradores de red y el personal de soporte saben que la resolución de pro-blemas es el proceso que consume el mayor porcentaje de su tiempo. El uso de técnicas eficaces


para la resolución de problemas reduce el tiempo total de resolución cuando se trabaja en un en-torno de producción.

Dos enfoques opuestos para resolver problemas casi siempre terminan en desilusión, retraso o fra-caso. En un extremo, está el enfoque teórico o de científico espacial. En el otro extremo, está el en-foque poco práctico o de cavernícola.

El científico espacial analiza la situación una y otra vez hasta identificar la causa exacta en la raízdel problema y corregirla con precisión quirúrgica. Mientras que este proceso es claramente con-fiable, pocas empresas pueden permitirse tener sus redes inactivas durante las horas o los días quepuede demorar este análisis exhaustivo.

El primer instinto del cavernícola es comenzar a intercambiar tarjetas, cables, hardware y softwarehasta que, milagrosamente, la red empiece a funcionar de nuevo. Esto no significa que la red fun-cione adecuadamente, sólo que está en funcionamiento. Si bien este enfoque puede lograr un cam-bio más rápido en los síntomas, no es muy confiable y es posible que la causa raíz del problemasiga presente.

Dado que los dos enfoques son extremos, el mejor enfoque es un punto intermedio que combineelementos de ambos. Es importante analizar la red completa en vez de en partes. Un enfoque sis-temático minimiza la confusión y reduce el tiempo que se desperdicia en prueba y error.

8.2.2 Uso de modelos en capas para la resolución de problemasComparación de modelos en capas OSI y TCP/IP

Los modelos de networking lógicos, como los modelos OSI y TCP/IP, separan la funcionalidad dered en capas de módulos. Cuando se realiza la resolución de problemas, estos modelos en capaspueden aplicarse a la red física para aislar los problemas de la red. Por ejemplo, si los síntomas su-gieren un problema de conexión física, el técnico de red puede concentrarse en la resolución de pro-blemas del circuito que funciona en la capa física. Si ese circuito funciona adecuadamente, el téc-nico observa las áreas de otra capa que podrían causar el problema.

Modelo de referencia OSI

El modelo OSI proporciona un lenguaje común para los ingenieros de red y se usa con frecuenciaen la resolución de problemas de redes. Típicamente, los problemas se describen en términos delas capas de un modelo OSI dado.

El modelo de referencia OSI describe cómo la información de una aplicación de software en unacomputadora se desplaza a través de una red a una aplicación de software en otra computadora.

Las capas superiores del modelo OSI (5 a 7) se ocupan de los problemas de las aplicaciones y ge-neralmente se implementan sólo en software. La capa de aplicación es la capa más cercana alusuario final. Los procesos de la capa de usuario y de aplicación interactúan con las aplicacionesde software que contienen un componente de comunicaciones.

Las capas inferiores (1 a 4) del modelo OSI manejan los problemas relacionados con el transportede datos. Las capas 3 y 4 se implementan, generalmente, sólo en software. La capa física (capa 1)y la capa de enlace de datos (capa 2) se implementan en el hardware y el software. La capa físicaes la más cercana al medio de red físico, como el cableado de red, y es responsable de la transmi-sión real de la información en el medio.


Modelo TCP/IP

De manera similar al modelo de networking OSI, el modelo TCP/IP también divide la arquitecturade red en capas de módulos. La figura muestra la correspondencia del modelo de networkingTCP/IP con las capas del modelo de networking OSI. Esta asignación cercana permite que el con-junto de protocolos TCP/IP se comunique satisfactoriamente con tantas tecnologías de networking.

La capa de aplicación en el conjunto de aplicaciones TCP/IP combina, de hecho, las funciones delas tres capas del modelo OSI: sesión, presentación y aplicación. La capa de aplicación propor-ciona comunicación entre aplicaciones tales como FTP, HTTP y SMTP en hosts separados.

Las capas de transporte de TCP/IP y OSI se corresponden directamente en cuanto a la función. Lacapa de transporte es responsable del intercambio de segmentos entre dispositivos en una red TCP/IP.

La capa de Internet de TCP/IP se relaciona con la capa de red del modelo OSI. La capa de Internetes responsable de la ubicación de mensajes en un formato fijo que permita que los dispositivos losmanejen.

La capa de acceso de red de TCP/IP corresponde a las capas física y de enlace de datos del modeloOSI. La capa de acceso de red se comunica directamente con los medios de red y proporciona unainterfaz entre la arquitectura de la red y la capa de Internet.

Haga clic en el botón Dispositivos en las capas de OSI en la figura.

Coloque el cursor sobre cada dispositivo para ver qué capas de OSI se necesitan, en general, pararesolver problemas de cada tipo de dispositivo.

8.2.3 Procedimientos generales de resolución de problemasLas etapas del proceso general de resolución de problemas son las siguientes:

■ Etapa 1. Recopilación de síntomas: la resolución de problemas comienza con el proceso derecopilación y documentación de los síntomas de la red, los sistemas finales y los usuarios.Además, el administrador de red determina cuáles componentes de la red se vieron afectados ycómo cambió la funcionalidad de la red en comparación con la línea de base. Los síntomaspueden aparecer en varias formas diferentes, incluso en alertas del sistema de administraciónde redes, mensajes de la consola y quejas de usuarios. Mientras se recopila información sobrelos síntomas, deben realizarse preguntas para reducir el problema a un rango menor deposibilidades.

■ Etapa 2. Aislamiento del problema: el problema no se aísla realmente hasta que se identificaun solo problema o un conjunto de problemas relacionados. Para esto, el administrador de redexamina las características de los problemas en las capas lógicas de la red de manera que puedaseleccionarse la causa más probable. En esta etapa, el administrador de red puede recopilar ydocumentar más síntomas según las características del problema que se identifiquen.

■ Etapa 3. Corrección del problema: una vez que se identificó y aisló la causa del problema, eladministrador de red trabaja para corregir el problema mediante la implementación, prueba ydocumentación de una solución. Si el administrador de red determina que la acción correctivaha generado otro problema, se documenta el intento de solución, se eliminan los cambios y eladministrador de red vuelve a recopilar síntomas y a aislar el problema.

Estas etapas no se excluyen mutuamente. En cualquier momento del proceso, puede ser necesariovolver a las etapas anteriores. Por ejemplo, es posible que sea necesario recopilar más síntomasmientras se aísla el problema. Además, cuando se intenta corregir un problema, podría crearse otro


problema no identificado. Como resultado, sería necesario recopilar síntomas, aislar y corregir elnuevo problema.

Debe establecerse una política de resolución de problemas para cada etapa. Una política propor-ciona una manera sistemática para llevar a cabo cada etapa. Parte de la política debe incluir la docu-mentación de toda la información importante.

8.2.4 Métodos de resolución de problemasMétodos de resolución de problemas

Hay tres métodos principales para resolver problemas en las redes:

■ Ascendente

■ Descendente

■ Divide y vencerás

Cada enfoque tiene sus ventajas y desventajas. Este tema describe los tres métodos y proporcionapautas para la selección del mejor método para una situación específica.

Método ascendente de resolución de problemas

En la resolución de problemas ascendente se comienza con los componentes físicos de la red y seasciende por las capas del modelo OSI hasta que se logra identificar la causa del problema. La re-solución de problemas ascendente es un buen enfoque cuando se sospecha que el problema es fí-sico. La mayor parte de los problemas de networking se encuentra en los niveles inferiores; poreste motivo, la implementación del enfoque ascendente a menudo tiene resultados efectivos. La fi-gura muestra el enfoque ascendente para resolver problemas.

La desventaja del enfoque ascendente para la resolución de problemas es que requiere la revisiónde cada dispositivo e interfaz de la red hasta que se descubra la posible causa del problema. Re-cuerde que debe documentarse cada conclusión y posibilidad, por lo que este enfoque puede im-plicar mucho trabajo administrativo. Un desafío mayor es determinar qué dispositivos examinarprimero.

Haga clic en el botón Método descendente en la figura.

Método descendente de resolución de problemas

En la resolución de problemas descendente se comienza con las aplicaciones de usuario final y sedesciende por las capas del modelo OSI hasta que se logra identificar la causa del problema. Lasaplicaciones de usuario final de un sistema final se prueban antes de abordar las elementos de net-working más específicos. Use este enfoque para problemas más simples o cuando crea que elproblema corresponde a un elemento de software.

La desventaja del enfoque descendente es que requiere la revisión de cada aplicación de red hastaque se descubra la posible causa del problema. Cada conclusión o posibilidad debe documentarse,y el desafío es determinar qué aplicación se examinará primero.

Haga clic en el botón Método divide y vencerás en la figura.

Método de resolución de problemas divide y vencerás

Cuando se aplica el enfoque divide y vencerás para solucionar un problema de red, se seleccionauna capa y se realizan pruebas en las dos direcciones desde la capa inicial.

En la resolución de problemas con el método divide y vencerás, se comienza por recopilar la expe-riencia del usuario acerca del problema, documentar los síntomas y, luego, con esa información,realizar una suposición informada sobre en cuál capa de OSI se comenzará la investigación. Una


vez que se verifica que una capa funciona correctamente, se supone que las capas debajo de esaestán funcionando y se sigue con las capas de OSI superiores. Si una capa de OSI no funciona co-rrectamente, es necesario desplazarse en sentido descendente por el modelo de capa OSI.

Por ejemplo, si los usuarios no pueden acceder al servidor Web y es posible hacer ping al servidor,se sabe que el problema está por encima de la capa 3. Si no se puede hacer ping al servidor, se sabeque el problema está en una capa de OSI inferior.

Pautas para seleccionar un método de resolución de problemas

Para resolver rápidamente problemas de red, dedique un tiempo a seleccionar el método más efi-caz para la resolución de problemas. Examine la figura. Use el proceso que se muestra en la figuracomo ayuda para seleccionar el método más eficaz para la resolución de problemas.

Aquí se presenta un ejemplo de cómo se seleccionaría un método para la resolución de un problemaespecífico. Dos routers IP no están intercambiando información de enrutamiento. La última vez queocurrió este tipo de problema, fue debido a un problema de protocolo. Por lo tanto, se selecciona elmétodo divide y vencerás para la resolución de problemas. El análisis muestra que hay conectividadentre los routers, por lo que se comienzan los esfuerzos de resolución de problemas en la capa físicao de enlace de datos, se confirma la conectividad y se empieza la prueba de las funciones relaciona-das con TCP/IP en la capa superior siguiente del modelo OSI, la capa de red.

8.2.5 Recopilación de síntomasRecopilación de síntomas

Para determinar el alcance del problema, recopile (y documente) los síntomas. La figura muestrael diagrama de flujo de este proceso. A continuación, se describe brevemente cada paso de esteproceso:

Paso 1. Análisis de los síntomas actuales: se analizan los síntomas recopilados de los informes deproblemas, usuarios o sistemas finales afectados por el problema a fin de obtener una definiciónde éste.

Paso 2. Determinación de propiedad: si el problema se encuentra dentro de su sistema, puedepasar a la etapa siguiente. Si el problema está fuera de los límites bajo su control, por ejemplo, lapérdida de conectividad a Internet fuera del sistema autónomo, debe comunicarse con un adminis-trador para el sistema externo antes de recopilar síntomas adicionales de la red.

Paso 3. Reducción del alcance: se debe determinar si el problema está en la capa núcleo, de dis-tribución o de acceso de la red. En la capa identificada, analice los síntomas existentes y use suconocimiento de la topología de la red para determinar qué elementos de equipamiento son lacausa más probable.

Paso 4. Recopilación de síntomas de dispositivos sospechosos: mediante un enfoque de resoluciónde problemas en capas, se recopilan síntomas del hardware y software de los dispositivos sospe-chosos. Comience con la posibilidad más probable y use el conocimiento y la experiencia para de-terminar si es más probable que el problema sea de configuración de hardware o software.

Paso 5. Documentación de síntomas: a veces, el problema puede resolverse utilizando los sínto-mas documentados. En caso contrario, se comienza con la etapa de aislamiento del proceso gene-ral de resolución de problemas.

Haga clic en el botón Comandos que aparece en la figura.

Use los comandos del IOS de Cisco para recopilar síntomas acerca de la red. La tabla de la figuradescribe los comandos comunes del IOS de Cisco que pueden usarse como ayuda para recopilarlos síntomas de un problema de red.


Aunque el comando debug es una herramienta importante para recopilar síntomas, genera una grancantidad de tráfico de mensajes de consola y puede afectar significativamente el rendimiento de undispositivo de red. Asegúrese de advertir a los usuarios de la red que se está realizando un intentode resolución de problemas y que el rendimiento de la red puede verse afectado. Recuerde desha-bilitar la depuración cuando haya terminado.

Preguntas a usuarios finales

Cuando formule preguntas a usuarios finales acerca de un problema de red que pueden estar expe-rimentando, use técnicas de interrogación efectivas. De esta manera, obtendrá la información nece-saria para documentar de forma eficaz los síntomas de un problema La tabla de la figura propor-ciona algunas pautas y preguntas de ejemplo para los usuarios finales.

8.2.6 Herramientas de resolución de problemasHerramientas de resolución de problemas de software

Existe una gran variedad de herramientas de software y hardware disponibles para facilitar la reso-lución de problemas. Estas herramientas pueden emplearse para recopilar y analizar los síntomasde los problemas de red y, a menudo, proporcionan funciones de supervisión y generación de in-formes que pueden usarse para establecer la línea de base de la red.

Herramientas de NMS

Las herramientas del sistema de administración de red (NMS) incluyen herramientas de super-visión, configuración y administración de fallas de los dispositivos. La figura muestra una pantallade ejemplo del software de NMS What’s Up Gold. Estas herramientas pueden usarse para investi-gar y corregir problemas de red. El software de supervisión de redes presenta de manera gráficauna vista física de los dispositivos de la red y permite que los administradores de red supervisenlos dispositivos remotos sin necesidad de revisarlos físicamente. El software de administración dedispositivos proporciona el estado dinámico, estadísticas e información de configuración de losproductos conmutados. Algunos ejemplos de herramientas de administración de redes usadas confrecuencia son CiscoView, HP Openview, Solar Winds y What’s Up Gold.

Haga clic en el botón Base de conocimientos en la figura para ver un ejemplo de un sitio Webde base de conocimientos.

Bases de conocimientos

Las bases de conocimientos en línea de los proveedores de dispositivos de red se han convertido enfuentes indispensables de información. Cuando las bases de conocimientos de los proveedores secombinan con motores de búsqueda de Internet, como Google, el administrador de red tiene ac-ceso a un amplio conjunto de información basada en experiencias.

La figura muestra la página Herramientas y recursos de Cisco, que se encuentra enhttp://www.cisco.com. Ésta es una herramienta gratuita que proporciona información sobre hard-ware y software relacionado con Cisco. Contiene procedimientos de resolución de problemas,guías de implementación e informes originales acerca de la mayoría de los aspectos de la tec-nología de networking.

Haga clic en el botón Herramientas de línea de base en la figura para ver algunos ejemplos deherramientas para establecer líneas de base.

Herramientas de línea de base

Están disponibles muchas herramientas para la automatización del proceso de creación de líneasde base y documentación de la red. Estas herramientas están disponibles para los sistemas opera-tivos Windows, Linux y AUX. La figura muestra una captura de pantalla de las aplicaciones de


software SolarWinds LANsurveyor y CyberGauge. Las herramientas de línea de base ofrecenayuda con tareas frecuentes de documentación de línea de base. Por ejemplo, pueden servir co-mo ayuda para dibujar diagramas de red, mantener actualizada la documentación de software yhardware de la red y medir de manera rentable el uso de ancho de banda de línea de base.

Haga clic en el botón Analizador de protocolo en la figura para ver un ejemplo de una apli-cación de analizador de protocolo típica.

Analizadores de protocolo

Un analizador de protocolo decodifica las distintas capas de protocolo en una trama registrada ypresenta esta información en un formato relativamente fácil de usar. La figura muestra una capturade pantalla del analizador de protocolo Wireshark. La información que muestra el analizador deprotocolo incluye datos de la capa física, de enlace de datos y de protocolo, y las descripcionespara cada trama. La mayoría de los analizadores de protocolo pueden filtrar el tráfico que cumplecon ciertos criterios de manera que, por ejemplo, pueda capturarse todo el tráfico desde un disposi-tivo particular y hacia éste.

Herramientas de resolución de problemas de hardware

Haga clic en los botones de la figura para ver ejemplos de diversas herramientas de resoluciónde problemas de hardware.

Módulo de análisis de red

Es posible instalar un módulo de análisis de red (NAM) en los switches de la serie Cisco Catalyst6500 y en los routers de la serie Cisco 7600 a fin de obtener una representación gráfica del tráficodesde los switches y routers locales y remotos. El NAM es una interfaz integrada basada en el ex-plorador que genera informes sobre el tráfico que consume recursos críticos de la red. Además, elNAM puede capturar y decodificar paquetes y rastrear los tiempos de respuesta para detectar unproblema de aplicación en la red o el servidor.

Multímetros digitales

Los multímetros digitales (DMM) son instrumentos de prueba que se usan para medir directa-mente valores eléctricos de voltaje, corriente y resistencia. En la resolución de problemas de red,la mayoría de las pruebas multimedia incluyen la verificación de los niveles de voltaje de la fuentede energía y la comprobación de que los dispositivos de red están recibiendo energía.

Probadores de cable

Los probadores de cable son dispositivos de mano especializados diseñados para probar los distin-tos tipos de cableado para la comunicación de datos. Los probadores de cable pueden usarse paradetectar cables dañados o cruzados, conexiones en corto y conexiones asignadas incorrectamente.Estos dispositivos pueden ser probadores de continuidad económicos, probadores de cable dedatos no demasiado caros o reflectómetros de dominio de tiempo (TDR) caros.

Los TDR se usan para establecer la distancia hasta una ruptura en un cable. Estos dispositivos en-vían señales a lo largo del cable y esperan a que éstas se reflejen. El tiempo entre el envío de laseñal y su devolución se convierte a una medida de distancia. La función del TDR en general se in-cluye en los probadores de cable de datos. Los TDR que se usan para probar los cables de fibra óp-tica se denominan reflectómetros ópticos de dominio de tiempo (OTDR).

Analizadores de red

Los analizadores de cable son dispositivos de mano multifuncionales que se usan para probar ycertificar los cables de cobre y fibra para diferentes servicios y estándares. Las herramientas mássofisticadas incluyen el diagnóstico avanzado para resolución de problemas, que permite medir ladistancia al defecto de rendimiento (NEXT, RL), identificar las acciones correctivas y mostrar


gráficamente el comportamiento de crosstalk y de impedancia. Los analizadores de cable tambiénincluyen, en general, software de PC. Una vez que se recopilan los datos de campo, el dispositivode mano puede cargar los datos y permite crear informes actualizados y precisos.

Analizadores de red portátiles

Dispositivos portátiles que se usan para la resolución de problemas en redes conmutadas y VLAN.Mediante la conexión del analizador de red en cualquier lugar de la red, un ingeniero de red puedever el puerto del switch al cual está conectado el dispositivo y la utilización máxima y promedio.También puede usarse el analizador para detectar la configuración de VLAN, identificar los princi-pales sistemas de comunicación de red, analizar el tráfico de red y ver detalles de la interfaz. Eldispositivo puede, generalmente, mostrar los resultados en una PC con software de supervisión deredes instalado a fin de permitir el análisis detallado y la resolución de problemas.

Actividad de investigación

Los siguientes son enlaces a varias herramientas de resolución de problemas.

Herramientas de software

Sistemas de administración de redes:

http://www.ipswitch.com/products/whatsup/index.asp?t=demo

http://www.solarwinds.com/products/network_tools.aspx

Herramientas de línea de base:

http://www.networkuptime.com/tools/enterprise/

Bases de conocimientos:

http://www.cisco.com

Analizadores de protocolo:

http://www.flukenetworks.com/fnet/en-us/products/OptiView+Protocol+Expert/

Herramientas de hardware

Módulo analizador de red (NAM) de Cisco:

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/3.5/user/guide/user.html

Probadores de cable:

http://www.flukenetworks.com/fnet/en-us/products/CableIQ+Qualification+Tester/Demo.htm

Analizadores de cable:

http://www.flukenetworks.com/fnet/en-us/products/DTX+CableAnalyzer+Series/Demo.htm

Analizadores de red:

http://www.flukenetworks.com/fnet/en-us/products/OptiView+Series+III+Integrated+Network+Analyzer/Demos.htm


8.3 Problemas frecuentes en la implementaciónde WAN

8.3.1 Comunicaciones en las WANUn proveedor de comunicaciones o una empresa de comunicaciones común, en general, es dueñode los enlaces de datos que componen una WAN. Los enlaces están disponibles a los suscriptorespor una tarifa y se utilizan para interconectar las LAN o conectar redes remotas. La velocidad detransmisión de datos en una WAN (ancho de banda) es mucho menor al ancho de banda común de una LAN. Los costos de provisión de enlace son el elemento más caro, por lo tanto, la imple-mentación de WAN debe buscar proveer un máximo de ancho de banda a un costo aceptable. Conla presión por parte de los usuarios para obtener mayor acceso al servicio a velocidades más altasy la presión de los administradores para contener los costos, el determinar la configuración óptimade una WAN no es una tarea fácil.

Las WAN transportan varios tipos de tráfico, tales como datos, voz y video. El diseño seleccionadodebe ofrecer capacidad adecuada y tiempos de tránsito que cumplan con las necesidades de lasempresas. Entre las especificaciones, el diseño debe tener en cuenta la topología de las conexionesentre varias ubicaciones, la naturaleza de aquellas conexiones y la capacidad del ancho de banda.

Las WAN más antiguas a menudo consistían de enlaces de datos directamente conectados a compu-tadoras centrales remotas. En la actualidad, las WAN conectan las LAN que están geográficamenteseparadas. Las tecnologías WAN funcionan en las tres capas inferiores del modelo de referenciaOSI, las estaciones de usuarios finales, servidores y routers se comunican a través de las LAN, ylos enlaces de datos WAN terminan en los routers locales.

Los routers determinan la ruta más adecuada hacia el destino de los datos a partir de los encabeza-dos de la capa de red y transfieren los paquetes a la conexión de enlace de datos indicada para suenvío en la conexión física. Los routers pueden también ofrecer manejo de la calidad de servicio(QoS), que asigna prioridades a los diferentes flujos de tráfico.

8.3.2 Pasos en el diseño de las WANLas empresas instalan conectividad WAN para satisfacer los requisitos comerciales estratégicosdel traspaso de datos entre sucursales externas. Puesto que la conectividad WAN es importantepara la empresa y es cara, se debe diseñar la WAN de manera sistemática. Esta figura muestra los pasos para el diseño de una WAN.

Cada vez que se considere hacer una modificación a una WAN existente, se deben seguir estospasos. Sin embargo, debido a que muchas WAN han evolucionado con el tiempo, es posible que nose hayan considerado muchas de las pautas aquí presentadas. Las modificaciones a las WANpueden surgir de la expansión de los servidores WAN de la empresa o de la inclusión de nuevasprácticas de trabajo y métodos comerciales.

Éstos son los pasos para el diseño o la modificación de una WAN:

Paso 1. Ubicar las LAN: establezca los puntos finales de origen y destino que se conectarán através de la WAN.

Paso 2. Analizar el tráfico: conozca qué tipo de tráfico de datos debe transportarse, su origen y su destino. Las WAN transportan varios tipos de tráfico con requisitos variables en términos deancho de banda, latencia y fluctuación de fase. Para cada par de puntos finales y para cada tipo de tráfico, se necesita información sobre las distintas características del tráfico.

Paso 3. Planificar la topología: las cuestiones geográficas y los requisitos, como la disponibilidad,tendrán influencia en la topología. Un alto requisito de disponibilidad requiere de enlaces adi-cionales que ofrezcan rutas de datos alternativas y balanceo de carga.


Paso 4. Calcular el ancho de banda necesario: el tráfico en los enlaces puede tener distintos requi-sitos de latencia y fluctuación.

Paso 5. Seleccionar la tecnología de WAN: se deben seleccionar las tecnologías de enlace adecuadas.

Paso 6. Evaluar los costos: cuando todos los requisitos se hayan establecido, los costos de insta-lación y operación de la WAN se pueden determinar y comparar con la necesidad comercial quellevó a la implementación de WAN.

Como se muestra en la figura, las pasos de diseño que se describen aquí no representan un procesolineal. Es posible que sea necesario repetir estos pasos varias veces antes de finalizar el diseño.Para mantener el rendimiento óptimo de la WAN, son necesarias la supervisión y reevaluacióncontinuas.

8.3.3 Consideraciones sobre el tráfico de WANLa tabla en la figura muestra la gran variedad de tipos de tráfico y los diferentes requisitos deancho de banda, latencia y fluctuación que deben transportar los enlaces WAN.

Para determinar las condiciones del flujo de tráfico y la temporización de un enlace WAN, sedeben analizar las características del tráfico específicas para cada LAN conectada a la WAN. Esposible que para determinar las características del tráfico se deba consultar a los usuarios de la redy evaluar sus necesidades.

8.3.4 Consideraciones sobre la topología de WANLuego de establecer las características del tráfico y los puntos finales de la LAN, el paso siguienteen la implementación de una WAN es diseñar una topología adecuada. El diseño de una topologíade WAN consiste básicamente en lo siguiente:

Seleccionar un diseño o patrón de interconexión para los enlaces entre las diferentes ubicaciones

Seleccionar las tecnologías para que esos enlaces cumplan las necesidades de la empresa a uncosto razonable

Haga clic en los botones de la figura para ver un ejemplo de cada tipo de topología de WAN.

Muchas WAN utilizan una topología en forma de estrella. A medida que la empresa crece y seagregan nuevas sucursales, éstas se conectan con la oficina central y producen una topología enforma de estrella. Algunas veces se establece una conexión cruzada con los puntos finales de la estrella y se crea, así, una topología en malla o en malla parcial. Esto posibilita muchas combina-ciones de interconexión. Al diseñar, reevaluar o modificar una WAN, se debe seleccionar unatopología que cumpla con los requisitos de diseño.

Al seleccionar un diseño, se deben tener en cuenta varios factores. Más enlaces aumentan el costode los servicios de red, pero la existencia de varias rutas entre los destinos aumenta la confiabili-dad. La incorporación de más dispositivos a la ruta de datos aumenta la latencia y disminuye laconfiabilidad. Por lo general, cada paquete debe recibirse por completo en un nodo, antes de quese envíe al siguiente.

Haga clic en el botón Jerárquica en la figura.

Cuando deben unirse muchas ubicaciones, se recomienda una solución jerárquica. Por ejemplo,imagine una empresa que opera en todos los países de la Unión Europea y que tiene una sucursalen cada ciudad con una población superior a los 10000 habitantes. Cada sucursal tiene una LAN,y la empresa ha decidido interconectar las sucursales. Claramente, no es posible implementar unared en malla, ya que serían necesarios cientos de miles de enlaces.

La respuesta es implementar una topología jerárquica. Se agrupan las LAN ubicadas en cada áreay se las interconecta para formar una región; luego, se interconectan las regiones para formar el


núcleo de la WAN. El área puede basarse en la cantidad de ubicaciones que se deben conectar, conun límite máximo entre 30 y 50. El área tendría una topología en estrella, con los hubs de las es-trellas conectados para formar la región. Las regiones pueden ser geográficas y conectar entre tresy diez áreas, y el hub de cada región puede tener un enlace punto a punto.

Una jerarquía de tres capas a menudo es útil cuando el tráfico de red refleja la estructura de las su-cursales de la empresa y se divide en regiones, áreas y sucursales. También es útil cuando hay unservicio central al que todas las sucursales deben tener acceso, pero los niveles de tráfico son insu-ficientes para justificar la conexión directa de la sucursal al servicio.

La LAN del centro del área puede tener servidores que provean servicio local y del área. Según losvolúmenes y tipos de tráfico, las conexiones de acceso pueden ser telefónicas arrendadas o deFrame Relay. El Frame Relay facilita el enmallado para redundancia sin requerir conexiones físi-cas adicionales. Los enlaces de distribución pueden ser de Frame Relay o ATM, y el núcleo de lared puede ser ATM o de línea arrendada.

Al planear redes más sencillas, aún se debe considerar una topología jerárquica ya que ofrece unamejor escalabilidad de la red. El hub en el centro del modelo de dos capas es también un núcleo,pero no tiene otros routers núcleo conectados a él. De la misma forma, en una solución de una solacapa, el hub del área funciona como hub regional y como hub núcleo. Esto permite un crecimientorápido y fácil en un futuro, ya que se puede reproducir el diseño básico para agregar nuevas áreasde servicio.

Tecnologías de conexión WAN

Una WAN privada típica utiliza una combinación de tecnologías que se eligen, en general, según eltipo y el volumen del tráfico. ISDN, DSL, Frame Relay o las líneas arrendadas se utilizan paraconectar sucursales individuales en una sola área. Frame Relay, ATM o las líneas arrendadas seutilizan para conectar áreas externas nuevamente al backbone. ATM o las líneas arrendadas formanel backbone de la WAN. Las tecnologías que requieren el establecimiento de una conexión antesde transmitir los datos, como el servicio telefónico básico, ISDN o X.25, no son adecuadas paralas WAN que requieren un tiempo de respuesta rápido o baja latencia.

Las diferentes partes de la empresa pueden conectarse de forma directa por medio de líneas arren-dadas o pueden conectarse con un enlace de acceso al punto de presencia más cercano (POP) deuna red compartida. Frame Relay y ATM son ejemplos de redes compartidas. En general, las líneasarrendadas son más caras que los enlaces de acceso, pero están disponibles en casi cualquier anchode banda y proporcionan fluctuación y latencia muy bajas.

Las redes ATM y Frame Relay transportan el tráfico de varios clientes en los mismos enlaces inter-nos. La empresa no tiene control sobre el número de enlaces o saltos que los datos deben atravesaren la red compartida. No puede controlar el tiempo que los datos deben esperar en cada nodo antesde pasar al enlace siguiente. Esta incertidumbre en la latencia y la fluctuación hace que estas tec-nologías no sean adecuadas para algunos tipos de tráfico de red. Sin embargo, los costos reducidosde una red compartida con frecuencia pueden compensar las desventajas que éstas tienen. Dadoque varios clientes comparten el enlace, el costo de cada uno es, en general, menor al costo de unenlace directo de la misma capacidad.

Aunque ATM es una red compartida, se diseñó para producir latencia y fluctuación mínimas através de enlaces internos de alta velocidad que envían unidades de datos fácilmente administra-bles que se denominan celdas. Las celdas ATM tienen una longitud fija de 53 bytes, 48 bytes dedatos y 5 bytes de encabezado. ATM se usa con frecuencia en el transporte de tráfico sensible a lasdemoras.

Frame Relay también se puede utilizar para el transporte de tráfico sensible a las demoras, y confrecuencia utiliza mecanismos QoS para dar prioridad a los datos más sensibles.


Muchas WAN de empresas están conectadas a Internet. Aunque Internet puede acarrear problemas de seguridad, es también una alternativa para el tráfico entre sucursales. Parte del tráfico que se de-be considerar durante el diseño va o viene por Internet. Las implementaciones frecuentes incluyenconectar cada red de la empresa a un ISP diferente o conectar todas las redes de la empresa a un soloISP desde una conexión de capa núcleo.

8.3.5 Consideraciones sobre el ancho de banda de WANRecuerde que una red soporta las necesidades comerciales de una empresa. Muchas empresas de-penden de la transferencia de datos a alta velocidad entre ubicaciones remotas. Como consecuen-cia, un ancho de banda más elevado es fundamental, porque permite que se transmitan más datosen un momento dado. Cuando el ancho de banda no es adecuado, la competencia entre los distin-tos tipos de tráfico causa un aumento en los tiempos de respuesta, lo que reduce la productividadde los empleados y hace más lentos los procesos comerciales críticos basados en la Web.

La figura muestra cómo se clasifican los enlaces WAN, generalmente, en alta velocidad o baja ve-locidad.

8.3.6 Problemas frecuentes en la implementación de WANLa figura resume los problemas frecuentes en la implementación de WAN y las preguntas quedeben responderse antes de implementar una WAN de manera eficaz.

8.3.7 Estudio de caso: resolución de problemas de WANdesde la perspectiva de un ISPEl gráfico ilustra las preguntas típicas que debe realizar el personal de soporte técnico de un ISP aun cliente que llama en busca de asistencia.

Una parte significativa de las llamadas de soporte que recibe un ISP se refieren a la lentitud de lared. Para resolver este problema eficazmente, se deben aislar los componentes individuales y pro-bar cada uno como se indica a continuación:

Host de PC individual: una gran cantidad de aplicaciones de usuario abiertas en la PC al mismotiempo puede ser la causa de la lentitud que se le atribuye a la red. Las herramientas como el Admi-nistrador de tareas en una PC con Windows pueden ser útiles para determinar la utilización de CPU.

LAN: si el cliente tiene software de supervisión de redes en su LAN, el administrador de red debepoder indicar si el ancho de banda de la LAN alcanza con frecuencia una utilización del 100%.Éste es un problema que la empresa cliente debería resolver internamente. Por este motivo es tanimportante establecer una línea de base de red y realizar una supervisión constante.

Enlace desde el punto extremo de la red del usuario hasta el punto extremo del ISP: pruebe elenlace desde el router extremo del cliente hasta el router extremo del ISP pidiéndole al cliente quese conecte a su router y envíe cien pings de 1500 bytes (pings de esfuerzo) a la dirección IP delrouter extremo del ISP. Este problema no es algo que pueda arreglar el cliente, es responsabilidaddel ISP hacer que el proveedor de enlaces lo solucione.

Backbone del ISP: el representante de servicio al cliente del ISP puede ejecutar pings de esfuerzodesde el router extremo del ISP hasta el router extremo del cliente. También pueden ejecutarsepings de esfuerzo a través de cada enlace que atraviesa el tráfico del cliente. Mediante el ais-lamiento y la prueba de cada enlace, el ISP puede determinar qué enlace está causando el problema.


Acceso al servidor: en algunos casos, la lentitud que se atribuye a la red puede estar causada porla congestión del servidor. Este problema es el más difícil de diagnosticar y debe ser la última op-ción que se considera, luego de que todas las demás opciones se hayan descartado.

En esta actividad, usted junto con otro estudiante construirá la red que se muestra en el diagramade topología. Configurarán NAT, DHCP y OSPF, y luego verificarán la conectividad. Cuando lared funcione completamente, un estudiante introducirá varios errores. Luego, el otro estudianteusará las técnicas de resolución de problemas para aislar y resolver el problema. A continuación,los estudiantes invertirán los roles y repetirán el proceso. Esta actividad puede realizarse enequipos reales o con Packet Tracer.

8.4 Resolución de problemas de red8.4.1 Interpretación de diagramas de red para identificarproblemasEs casi imposible resolver cualquier tipo de problema de conectividad de la red sin un diagrama dered que muestre direcciones IP, rutas IP, dispositivos como firewalls y switches, y demás. En gene-ral, tanto las topologías lógicas y como las físicas ayudan en la resolución de problemas.

Diagrama de red físico

Un diagrama de red físico muestra el diseño físico de los dispositivos conectados a la red. Es nece-sario saber cómo están conectados físicamente los dispositivos para resolver problemas en la capafísica, como problemas de cableado o hardware. La información registrada en el diagrama general-mente incluye lo siguiente:

■ Tipo de dispositivo

■ Modelo y fabricante

■ Versión del sistema operativo

■ Tipo de cable e identificador

■ Especificación del cable

■ Tipo de conector

■ Extremos de cableado

La figura muestra un ejemplo de diagrama de red físico que proporciona información sobre laubicación física de los dispositivos de red, los tipos de cableado entre ellos y los números deidentificación de los cables. Esta información se usaría, principalmente, para resolver problemasfísicos de los dispositivos o el cableado. Además del diagrama de red físico, algunos administra-dores también incluyen fotografías reales de sus armarios de cableado como parte de la documen-tación de la red.

Diagrama de red lógico

Un diagrama de red lógico muestra cómo se transfieren los datos en la red. Se usan símbolos pararepresentar elementos de la red, como routers, servidores, hubs, hosts, concentradores VPN y dis-positivos de seguridad. La información registrada en el diagrama de red lógico puede incluir losiguiente:

■ Identificadores de dispositivos.


■ Subred y dirección IP.

■ Identificadores de interfaz.

■ Tipo de conexión.

■ DLCI para circuitos virtuales.

■ VPN de sitio a sitio.

■ Protocolos de enrutamiento.

■ Rutas estáticas.

■ Protocolos de enlace de datos.

■ Tecnologías WAN usadas.

Haga clic en el botón Lógico de la figura para ver un ejemplo de un diagrama de red lógico.

La figura muestra la misma red, pero esta vez proporciona información lógica, como direccionesIP de dispositivos específicos, números de red, números de puertos, tipos de señal y asignacionesDCE para los enlaces seriales. Esta información puede usarse para resolver problemas en todas lascapas de OSI.

8.4.2 Resolución de problemas de la capa físicaSíntomas de los problemas de capa física

La capa física transmite bits de una computadora a otra y regula la transmisión de un stream de bitsa través del medio físico. La capa física es la única capa con propiedades físicamente tangibles,como cables, tarjetas y antenas.

Las fallas y las condiciones subóptimas en la capa física no sólo molestan a los usuarios sino quetambién pueden afectar la productividad de toda la empresa. Las redes que experimentan estostipos de condiciones, en general, se detienen completamente. Debido a que las capas superioresdel modelo OSI dependen de la capa física para funcionar, un técnico de redes debe tener la habi-lidad para aislar y corregir los problemas en esta capa de manera eficaz.

Un problema de la capa física ocurre cuando las propiedades físicas de la conexión están por de-bajo del estándar y causan, así, que los datos se transfieran a una velocidad consistentementemenor a la velocidad del flujo de datos establecidos en la línea de base. Si hay un problema confuncionamiento subóptimo en la capa física, la red puede funcionar, pero el rendimiento es signi-ficativamente o intermitentemente menor al nivel especificado en la línea de base.

Los síntomas frecuentes de los problemas de la red en la capa física incluyen:

■ Rendimiento menor a la línea de base: si el rendimiento no resulta satisfactorio en ningúnmomento, el problema probablemente esté relacionado con una mala configuración, capacidadinadecuada en algún punto u otro problema del sistema. Si el rendimiento varía y no essiempre insatisfactorio, el problema probablemente esté relacionado con una condición deerror o esté siendo afectado por tráfico desde otros orígenes. Las razones más frecuentes parael rendimiento lento o inadecuado incluyen la sobrecarga o la falta de potencia de losservidores, configuraciones de switch o router inadecuadas, congestión de tráfico en un enlacede baja capacidad y pérdida crónica de trama.

■ Pérdida de conectividad: si un cable o dispositivo falla, el síntoma más obvio es la pérdida deconectividad entre los dispositivos que se comunican a través de ese enlace o con la interfaz o


el dispositivo dañado, lo cual puede indicarse mediante una simple prueba de ping. La pérdidaintermitente de conectividad podría indicar una conexión floja u oxidada.

■ Altos conteos de colisión: los problemas de dominio de colisiones afectan al medio local einterrumpen las comunicaciones con dispositivos de infraestructura de capa 2 y capa 3,servicios o servidores locales. Las colisiones son normalmente un problema mássignificativo en los medios compartidos que en los puertos de switch. Los conteos decolisiones promedio en los medios compartidos, generalmente, deben ser inferiores al 5%,aunque este número sea conservador. Asegúrese de que las determinaciones se basan en elpromedio y no en los picos en las colisiones. En general, los problemas causados porcolisiones pueden rastrearse a un solo origen. Puede ser un cable inadecuado en una solaestación, un cable uplink inadecuado en un hub o un puerto de un hub, o un enlace expuestoa ruido eléctrico externo. Una fuente de ruido cerca de un cable o hub puede causarcolisiones, aun cuando no hay tráfico evidente para causarlas. Si las colisiones empeoran deforma directamente proporcional al nivel de tráfico, si la cantidad de colisiones alcanza el100% o si no hay nada de tráfico correcto, el sistema de cable puede haber fallado.

■ Cuellos de botella o congestión en la red: si un router, una interfaz o un cable falla, losprotocolos de enrutamiento pueden redireccionar el tráfico hacia otras rutas que no estándiseñadas para transportar la capacidad extra. Esto puede causar congestión o cuellos debotella en aquellas partes de la red.

■ Altos porcentajes de utilización de CPU: los altos porcentajes de utilización de CPUrepresentan un síntoma de que un dispositivo, como un router, switch o servidor, estáfuncionando en los límites de su diseño o los está superando. Si no se resuelve rápidamente, lasobrecarga de CPU puede hacer que un dispositivo falle o se desactive.

■ Mensajes de error de la consola: los mensajes de error informados en la consola deldispositivo indican un problema en la capa física.

Causas de los problemas de capa física

Los temas que suelen causar problemas de red en la capa física incluyen los siguientes:

Relacionados con la energía

Los problemas de energía son una de las principales razones de fallas en las redes. La energía CAprincipal pasa a un módulo transformador CC o CA interno o externo dentro de un dispositivo. Eltransformador proporciona la corriente CC modulada correctamente que permite alimentar cir-cuitos de dispositivos, conectores, puertos y ventiladores usados para el enfriamiento de disposi-tivos. Si se sospecha la existencia de un problema relacionado con la energía, a menudo se lleva acabo una inspección física del módulo de energía. Verifique el funcionamiento de los ventiladoresy asegúrese de que las ventilaciones de entrada y salida del chasis estén libres de obstrucciones. Siotras unidades cercanas también se han apagado, puede existir una falla de energía en la fuente deenergía principal.

Fallas de hardware

Las tarjetas de interfaz de red (NIC) con fallas pueden causar errores de transmisión de red de-bido a colisiones tardías, tramas cortas y jabber. El jabber se define en general como la condiciónen la cual un dispositivo de red transmite continuamente datos sin sentido y al azar a través de lared. Otras causas posibles del jabber son los archivos de los controladores de NIC dañados o falla-dos, el cableado incorrecto o los problemas de conexión a tierra.

Fallas de cableado

Muchos problemas pueden corregirse, simplemente, al reacomodar los cables que se han desco-nectado parcialmente. Cuando se realiza una inspección física, deben buscarse cables dañados,


tipos incorrectos de cables y RJ-45 mal engarzados. Los cables sospechosos deben probarse o intercambiarse por un cable de funcionamiento comprobado.

Busque cables cruzados que se usan de manera inadecuada o puertos de hub o switch configuradosincorrectamente como cruzados. Los cables de par dividido funcionan mal o no funcionan, según lavelocidad de Ethernet usada, la longitud del segmento dividido y la distancia hasta el otro extremo.

Los problemas con los cables de fibra óptica pueden estar causados por conectores sucios, aco-damientos excesivamente ajustados y conexiones RX/TX intercambiadas cuando se polarizan.

Los problemas con el cable coaxial a menudo ocurren en los conectores. Cuando el conductor delcentro en el extremo del cable coaxial no está derecho o no posee la longitud correcta, no se lograuna conexión adecuada.

Atenuación

Un stream de bits atenuado se produce cuando la amplitud de los bits se reduce al desplazarse por un cable. Si la atenuación es grave, el dispositivo receptor no siempre puede distinguir de ma-nera satisfactoria los bits del componente del stream. Esto da lugar a una transmisión confusa yhace que el dispositivo receptor solicite al emisor la retransmisión del tráfico perdido. La atenua-ción puede causarse si la longitud de un cable supera el límite de diseño para los medios (porejemplo, un cable Ethernet está limitado a 100 metros [328 pies] para un buen rendimiento) ocuando existe una mala conexión debido a un cable flojo o a contactos oxidados o sucios.

Ruido

La interferencia electromagnética (EMI) local con frecuencia se denomina ruido. Hay cuatrotipos de ruidos que son los más importantes para las redes de datos:

■ El ruido de impulso causado por fluctuaciones de voltaje o picos de tensión inducidos en elcableado.

■ El ruido aleatorio (blanco) generado por varias fuentes, como estaciones de radio FM, radiosde policía, seguridad de edificios y el aterrizaje automático de aviones.

■ El acoplamiento de crosstalk se produce cuando el ruido es inducido por otros cables en lamisma ruta.

■ La paradiafonía, o crosstalk de extremo cercano (NEXT), es el ruido originado por elcrosstalk desde otros cables adyacentes o el ruido de cables eléctricos cercanos, dispositivoscon motores eléctricos grandes o cualquier elemento que incluya un trasmisor más potenteque un teléfono celular.

Errores de configuración de interfaz

Muchas opciones pueden configurarse incorrectamente en una interfaz y hacer que ésta deje defuncionar, lo cual causa una pérdida de la conectividad con los segmentos de red conectados. Losejemplos de errores de configuración que afectan la capa física incluyen:

■ Enlaces seriales reconfigurados como asíncronos en vez de síncronos

■ Frecuencia de reloj incorrecta

■ Fuente de reloj incorrecta

■ Interfaz no activada

Superación de los límites de diseño

Un componente puede estar funcionando en condiciones subóptimas en la capa física porque se loestá utilizando a una velocidad promedio superior a la que debe funcionar según su configuración.


Cuando se resuelve este tipo de problema, resulta evidente que los recursos para el dispositivoestán funcionando a la capacidad máxima, o cerca de ella, y que se produce un aumento en la can-tidad de errores de interfaz.

Sobrecarga de CPU

Los síntomas incluyen procesos con porcentajes altos de utilización de CPU, caídas en la cola deentrada, rendimiento lento, servicios de router, como Telnet y ping, que responden con lentitud ono responden, o falta de actualizaciones de enrutamiento. Una de las causas de la sobrecarga deCPU en un router es el tráfico elevado. Si algunas interfaces están habitualmente sobrecargadas contráfico, considere la posibilidad de rediseñar el flujo de tráfico en la red o actualizar el hardware.

Para aislar problemas en las capas físicas haga lo siguiente:

Buscar conexiones o cables inadecuados

Verifique la correcta conexión del cable proveniente de la interfaz de origen y su buen estado. Elprobador de cables podría revelar la existencia de un cable abierto. Por ejemplo, en la figura,el probador Fluke CableIQ reveló que los cables 7 y 8 presentan una falla. Cuando dude acerca dela integridad de un cable, cambie los cables sospechosos por un cable en buen funcionamiento. Siduda acerca de la conexión, quite el cable, realice una inspección física del cable y la interfaz y,luego, vuelva a colocar el cable. Use un probador de cables con los jacks de pared sospechosospara asegurarse de que el jack esté conectado correctamente.

Verificar que el estándar de cableado correcto se cumple en toda la red

Verifique que se está usando el cable adecuado. Puede ser necesario un cable cruzado para lasconexiones directas entre algunos dispositivos. Compruebe que el cable esté conectado correcta-mente. Por ejemplo, en la figura, el medidor Fluke CableIQ ha detectado que, aunque un cable eracorrecto para Fast Ethernet, no admitía 1000BASE-T porque los cables 7 y 8 no estaban conecta-dos adecuadamente. Estos cables no se necesitan para Fast Ethernet, pero sí se necesitan enGigabit Ethernet.

Verificar que el cableado de los dispositivos sea correcto

Compruebe que todos los cables estén conectados a sus puertos o interfaces adecuados. Asegúreseque todas las conexiones cruzadas estén conectadas adecuadamente a la ubicación correcta. Es eneste momento cuando tener un armario de cableado organizado y prolijo ahorra una gran cantidadde tiempo.

Verificar las configuraciones de interfaz adecuadas

Compruebe que todos los puertos de switch estén configurados en la VLAN correcta y que las con-figuraciones de spanning-tree, velocidad y dúplex sean correctas. Confirme que los puertos e inter-faces activos no estén desactivados.

Comprobar las estadísticas operativas y los índices de error de datos

Use los comandos show de Cisco para comprobar las estadísticas, como errores de colisión, de en-trada y de salida. Las características de estas estadísticas varían según los protocolos usados en la red.

8.4.3 Resolución de problemas de la capa de enlace de datosSíntomas de los problemas en la capa de enlace de datos

La resolución de problemas en la capa 2 puede ser un proceso desafiante. La configuración y elfuncionamiento de estos protocolos son críticos para la creación de una red funcional y ajustadacorrectamente.


Los problemas en la capa de enlace de datos causan síntomas comunes que ayudan a identificar losinconvenientes de la capa 2. El reconocimiento de estos síntomas ayuda a reducir la cantidad decausas posibles. Los síntomas frecuentes de los problemas de la red en la capa de enlace de datosincluyen:

Falta de funcionalidad o conectividad en la capa de red o en capas superiores

Algunos problemas de la capa 2 pueden detener el intercambio de tramas a través de un enlace,mientras que otros sólo empeoran el rendimiento de la red.

Funcionamiento de la red por debajo de los niveles de rendimiento de la línea de base

Hay dos tipos diferentes de funcionamiento de capa 2 subóptimo que pueden ocurrir en la red:

■ Las tramas toman una ruta ilógica a su destino, pero llegan. Un ejemplo de un problema quepodría causar que las tramas tomen una ruta subóptima es una topología de spanning-tree decapa 2 mal diseñada. En este caso, la red podría experimentar un uso de ancho de bandaelevado en enlaces que no deberían tener ese nivel de tráfico.

■ Algunas tramas se descartan. Estos problemas pueden identificarse a través de las estadísticasde los contadores de errores y los mensajes de error de la consola que aparecen en el switch orouter. En un entorno Ethernet, un ping extendido o continuo también revela si se estándescartando tramas.

Exceso de broadcasts

Los sistemas operativos modernos usan broadcasts de manera frecuente para detectar servicios de redy otros hosts. Donde se observa un exceso de broadcasts, es importante identificar el origen de talesbroadcasts. En general, el exceso de broadcasts es ocasionado por una de las siguientes situaciones:

■ Aplicaciones mal configuradas o programadas

■ Grandes dominios de broadcast de capa 2

■ Problemas de red subyacentes, como bucles STP o rutas sacudidas.

Mensajes de consola

En algunos casos, un router reconoce que ha ocurrido un problema de capa 2 y envía mensajes dealerta a la consola. En general, un router hace esto cuando detecta un problema en la interpretaciónde tramas entrantes (problemas de encapsulación o entramado) o cuando se esperan mensajes deactividad, pero éstos no llegan. El mensaje de consola más frecuente que indica un problema de capa 2 es un mensaje de inactividad del protocolo de línea.

Causas de los problemas de la capa de enlace de datos

Las condiciones en la capa de enlace de datos que, en general, causan problemas de rendimiento oconectividad en la red incluyen las siguientes:

Errores de encapsulación

Un error de encapsulación se produce porque los bits que el emisor ubica en un campo determi-nado no son lo que el receptor espera ver. Esta condición ocurre cuando la encapsulación en un ex-tremo de un enlace WAN se configura de manera diferente a la encapsulación usada en el otro extremo.

Errores de asignación de direcciones

En las topologías, como punto a multipunto, Frame Relay o Ethernet de broadcast, es esencial quese asigne a la trama una dirección de destino de capa 2 adecuada. Esto garantiza su llegada al


destino correcto. Para lograrlo, el dispositivo de red debe hacer coincidir una dirección de capa 3de destino con la dirección de capa 2 correcta mediante mapas dinámicos o estáticos.

Cuando se usan asignaciones estáticas en Frame Relay, una asignación incorrecta es un error frecuente. Pueden producirse errores de configuración simples por una discordancia de la informa-ción de direccionamiento de capa 2 y capa 3.

En un entorno dinámico, la asignación de la información de capa 2 y capa 3 puede fallar por lassiguientes razones:

■ Es posible que los dispositivos se hayan configurado específicamente para no responder asolicitudes de ARP o ARP inverso.

■ La información de capa 2 y capa 3 que se almacena en caché puede haberse modificadofísicamente.

■ Se reciben respuestas de ARP no válidas debido a un error de configuración o un ataque deseguridad.

Errores de entramado

Las tramas, en general, funcionan en grupos de bytes de 8 bits. Un error de entramado ocurrecuando una trama no termina en un límite de byte de 8 bits. Cuando esto sucede, el receptor puedetener problemas para determinar dónde termina una trama y dónde comienza la trama siguiente.Según la gravedad del problema de entramado, la interfaz puede interpretar algunas de las tramas.Una cantidad excesiva de tramas no válidas puede impedir el intercambio de mensajes de actividadválidos.

Los errores de entramado pueden deberse a una línea serial con ruido, un cable mal diseñado (de-masiado largo o blindado inadecuadamente) o un reloj de línea de la unidad de servicio de canal(CSU) configurado incorrectamente.

Bucles o fallas STP

El objetivo del protocolo spanning tree (STP) es resolver una topología física redundante en unatopología de árbol mediante el bloqueo de los puertos redundantes. La mayoría de los problemasde STP se relacionan con estos temas:

■ El reenvío de bucles que ocurre cuando no se bloquea ningún puerto de una topologíaredundante y cuando se reenvía el tráfico en círculos de manera indefinida. Cuando comienzael reenvío de bucles, generalmente se congestionan los enlaces de menor ancho de banda a lolargo de la ruta. Si todos los enlaces tienen el mismo ancho de banda, todos los enlaces secongestionan. Esta congestión causa la pérdida de paquetes y desactiva la red en el dominioafectado de capa 2.

■ Exceso de flooding debido a un alto índice de cambios en la topología de STP. La función delmecanismo de cambios en la topología es corregir las tablas de reenvío de capa 2 cuandocambia la topología de reenvío. Esto es necesario para evitar las interrupciones en laconectividad porque, luego de un cambio en la topología, algunas direcciones MAC a las queantes era posible acceder mediante puertos específicos podrían volverse accesibles a través depuertos diferentes. En una red correctamente configurada, un cambio en la topología deberíaser un episodio excepcional. Cuando un enlace en un puerto de switch se activa o desactiva,ocurre un cambio en la topología cuando el estado de STP del puerto está pasando al estadode reenviar o saliendo de ese estado. Sin embargo, cuando un puerto es inestable (oscila entrelos estados activo e inactivo) causa flooding y cambios de topología repetitivos.


■ La convergencia o reconvergencia de STP lenta, que puede ser causada por una discordanciaentre la topología real y la documentada, un error de configuración, tal como un configuracióninconsistente de los temporizadores de STP, sobrecarga de CPU del switch durante laconvergencia o un defecto de software.

Resolución de problemas de capa 2: PPP

La dificultad para resolver problemas de tecnologías de capa 2, como PPP y Frame Relay, es lafalta de disponibilidad de herramientas de resolución de problemas frecuentes de capa 3, comoping, para utilizar como ayuda, excepto para la identificación redes inactivas. Solamente a travésde una comprensión integral de los protocolos y su funcionamiento puede un técnico de redes se-leccionar la metodología adecuada de resolución de problemas y los comandos de IOS de Ciscopara resolver el problema de manera eficaz.

La mayoría de los problemas que ocurren con PPP incluyen la negociación de enlaces. Los pasospara la resolución de problemas de PPP son los siguientes:

Paso 1. Verificar que se usa la encapsulación adecuada en los dos extremos mediante el comandoshow interfaces serial. En la figura para el paso 1, el resultado del comando muestra que R2se ha configurado incorrectamente para usar la encapsulación HDLC.

Paso 2. Confirmar que las negociaciones del protocolo de control de enlace (LCP) se realizaroncorrectamente; para ello, revise el resultado para el mensaje de LCP abierto.


En la figura, la encapsulación en R2 se ha cambiado por PPP. El resultado del comando show in-terfaces serial muestra el mensaje de LCP abierto, el cual indica que las negociaciones de LCPfueron satisfactorias.

Paso 3. Verificar la autenticación en ambos lados del enlace mediante el comando debug ppp au-

thentication.


En la figura, el resultado del comando debug ppp authentication muestra que R1 no puede au-tenticar R2 mediante CHAP, porque el nombre de usuario y la contraseña para R2 no se han confi-gurado en R1.

Consulte el capítulo 2, “PPP”, para obtener más detalles sobre la resolución de problemas en im-plementaciones de PPP.

Resolución de problemas de capa 2: Frame Relay

La resolución de problemas de red de Frame Relay puede dividirse en cuatro pasos:

Paso 1. Verificar la conexión física entre la CSU/unidad de servicios de datos (DSU) y el router.En la figura, las conexiones físicas entre los routers R1 y R2 y sus CSU/DSU correspondientespueden verificarse mediante un probador de cables y la comprobación de que todos los LED de es-tado en la unidad CSU/DSU estén en color verde. En la figura, algunas de las luces de estado parala CSU/DSU en R3 están en rojo, lo que indica un posible problema de conectividad entre laCSU/DSU y el router R3.

Paso 2. Utilizar el comando show frame-relay lmi para verificar que el router y el proveedor deFrame Relay estén intercambiando información LMI de manera adecuada.


En la figura, el resultado del comando show frame-relay lmi en R2 muestra que no hay erroresni mensajes perdidos. Esto indica que R2 y el switch del proveedor de Frame Relay están inter-cambiando información LMI de manera adecuada.


Paso 3. Utilizar el comando show frame-relay pvc para verificar que el estado de PVC sea activo.


En la figura, el resultado del comando show frame-relay pvc en R2 verifica que el estado PVCes activo.

Paso 4. Utilizar el comando show interfaces serial para verificar que la encapsulación deFrame Relay coincida en los dos routers.


En la figura, el resultado del comando show interfaces serial en los routers R2 y R3 muestraque hay una discordancia de encapsulación entre ellos. R3 se ha configurado incorrectamente parausar la encapsulación HDLC en vez de Frame Relay.

Para obtener más detalles sobre la resolución de problemas de las implementaciones de FrameRelay, consulte el capítulo 3, “Frame Relay”.

Resolución de problemas de capa 2: Bucles STP

Si sospecha que un bucle STP está causando un problema de capa 2, verifique si se está ejecutandoel protocolo spanning tree en cada uno de los switches. Un switch sólo debe tener desactivado STPsi no es parte de una topología de bucle física. Para verificar el funcionamiento de STP, use el co-mando show spanning-tree en cada switch. Si descubre que STP no está funcionando, puede ac-tivarlo mediante el comando spanning-tree vlan ID.

Use estos pasos para resolver problemas de reenvío de bucles:

Paso 1. Identificar que esté ocurriendo un bucle STP.

Cuando se ha desarrollado un bucle de reenvío en la red, éstos son los síntomas frecuentes:

■ Pérdida de conectividad hacia, desde y a través de las regiones afectadas de la red.

■ Nivel elevado de uso de la CPU en routers que están conectados a los segmentos o VLANafectados.

■ Nivel elevado de uso de enlaces (a menudo 100%).

■ Nivel elevado de uso de backplane del switch (en comparación con el uso de la línea de base).

■ Mensajes Syslog que indican que los paquetes hacen un recorrido en bucle en la red (porejemplo, mensajes con direcciones IP duplicadas del protocolo Hot Standby Router Protocol).

■ Mensajes Syslog que indican un reaprendizaje constante de direcciones o mensajes inestablesde direcciones MAC.

■ Cada vez más caídas de productividad en muchas interfaces.

Paso 2. Descubrir la topología (alcance) del bucle.

La prioridad más alta es detener el bucle y restaurar el funcionamiento de la red. Para detener elbucle, debe conocer qué puertos están involucrados. Observe los puertos con el nivel de utilizaciónde enlaces más elevado (paquetes por segundo), El comando show interface muestra la uti-lización de cada interfaz. Asegúrese de registrar esta información antes de continuar con el pasosiguiente. De lo contrario, más tarde podría ser difícil determinar la causa del bucle.

Paso 3. Interrumpir el bucle.

Desactive o desconecte los puertos comprometidos, uno por vez. Luego de deshabilitar o desco-nectar cada puerto, verifique si la utilización del backplane del switch volvió al nivel normal. Do-cumente los descubrimientos. Tenga en cuenta que es posible que algunos puertos no sostengan el


bucle, sino que inunden el tráfico que llega con el bucle. Cuando se deshabilitan los puertos conflooding, sólo se reduce levemente la utilización de backplane, pero no se detiene el bucle.

Paso 4. Descubrir y solucionar la causa del bucle.

Determinar el motivo por el que comenzó el bucle es, a menudo, la parte más difícil del proceso,porque las razones pueden variar. También es difícil formalizar un procedimiento exacto que funcioneen todos los casos. Primero, investigue el diagrama de topología para buscar una ruta redundante.

Para cada switch de la ruta redundante, compruebe lo siguiente:

■ ¿Conoce el switch la raíz STP correcta?

■ ¿El puerto raíz está correctamente identificado?

■ ¿Se reciben regularmente las unidades de datos del protocolo de puente (BPDU) en el puertoraíz y en los puertos que se supone que deben bloquearse?

■ ¿Se envían frecuentemente las BPDU en los puertos designados que no son puertos raíz?

Paso 5. Restaurar la redundancia.

Una vez encontrado el dispositivo o enlace que está causando el bucle y resuelto el problema,restaure los enlaces redundantes que se desconectaron.

Sólo se ha tratado brevemente el tema de la resolución de problemas de bucles STP. La resoluciónde problemas de bucles y otros problemas de STP es compleja, y su análisis detallado se encuentrafuera del alcance de este curso. Sin embargo, si desea obtener más información sobre la resoluciónde problemas de STP, se encuentra disponible una excelente nota técnica en: http://cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080136673.shtml#troubleshoot.

8.4.4 Resolución de problemas de la capa de redSíntomas de los problemas de la capa de red

Los problemas de la capa de red incluyen todos los problemas que implican un protocolo de capa3, tanto protocolos enrutados como de enrutamiento. Este tema se enfoca principalmente en losprotocolos de enrutamiento IP.

Los problemas de la capa de red pueden causar fallas en la red o un rendimiento subóptimo. Unafalla en la red ocurre cuando la red casi no funciona o deja de funcionar por completo, lo cualafecta a todos los usuarios y las aplicaciones que usan la red. En general, los usuarios y los admi-nistradores de red notan rápidamente estas fallas que, por supuesto, son críticas para la productivi-dad de una empresa. Los problemas de optimización de la red suelen implicar un subconjunto deusuarios, aplicaciones, destinos o un tipo particular de tráfico. Los problemas de optimización engeneral pueden ser más difíciles de detectar y aún más complicados para aislar y diagnosticar por-que, a menudo, incluyen varias capas o hasta la computadora host. Llegar a determinar que el pro-blema es un problema de capa de red puede demorar tiempo.

Resolución de problemas de capa 3

En la mayoría de las redes, las rutas estáticas se usan en combinación con protocolos de enruta-miento dinámico. La configuración incorrecta de las rutas estáticas puede llevar a un enrutamientono óptimo y, en algunos casos, puede crear bucles de enrutamiento o hacer que partes de la red sevuelvan inalcanzables.

La resolución de problemas de protocolos de enrutamiento dinámico requiere una comprensión integral del funcionamiento del protocolo de enrutamiento específico. Algunos problemas son


comunes a todos los protocolos de enrutamiento, mientras que otros son específicos de un pro-tocolo de enrutamiento individual.

No hay una plantilla única para resolver problemas de capa 3. Los problemas de enrutamiento seresuelven con un proceso metódico, mediante una serie de comandos para aislar y diagnosticar elproblema.

A continuación, se presentan algunas áreas que deben explorarse al diagnosticar un posible pro-blema con los protocolos de enrutamiento:

Problemas de red generales

A menudo, un cambio en la topología, como un enlace desactivado, puede también tener impactosobre otras áreas de la red que podrían no resultar evidentes en ese momento. Esto puede incluir lainstalación de nuevas rutas, estáticas o dinámicas, la eliminación de otras rutas, etc.

Algunos aspectos que se deben considerar son los siguientes:

■ ¿Se realizó alguna modificación en la red recientemente?

■ ¿Actualmente hay algún usuario trabajando en la infraestructura de la red?

Problemas de conectividad

Busque problemas con los equipos y de conectividad, incluso de energía, como interrupciones oincluso ambientales, como el recalentamiento. También compruebe si hay problemas de capa 1,como problemas de cableado, puertos incorrectos o de ISP.

Problemas de vecinos

Si el protocolo de enrutamiento establece una adyacencia con un vecino, compruebe si hay proble-mas con los routers que forman las relaciones de vecinos.

Base de datos de topología

Si el protocolo de enrutamiento usa una tabla o una base de datos de topología, comprueba siaparece algún elemento inesperado en la tabla, como entradas faltantes o inesperadas.

Tabla de enrutamiento

Verifique si hay elementos inesperados en la tabla de enrutamiento, como rutas faltantes o inespe-radas. Use los comandos debug para ver las actualizaciones de enrutamiento y el mantenimientode la tabla de enrutamiento.

8.4.5 Resolución de problemas de la capa de transporteProblemas frecuentes de listas de acceso

Los problemas de red pueden surgir de problemas de la capa de transporte en el router, especial-mente en el borde de la red donde las tecnologías de seguridad examinan y modifican el tráfico. Eneste tema, se analizan dos de las tecnologías de seguridad de la capa de transporte que se imple-mentan con mayor frecuencia: las listas de control de acceso (ACL) y la traducción de direccionesde red (NAT).

Haga clic en el botón Problemas de listas de acceso en la figura.

La configuración incorrecta causa los problemas más frecuentes de las ACL. Existen ocho áreasdonde se producen con frecuencia configuraciones incorrectas:


Selección del flujo de tráfico

La configuración incorrecta del router más frecuente es la aplicación de la ACL al tráfico erróneo.El tráfico se define por la interfaz del router a través de la cual el tráfico se desplaza y por la direc-ción en la cual se desplaza este tráfico. Para que funcione de manera adecuada, una ACL debe apli-carse a la interfaz correcta y debe seleccionarse la dirección correcta del tráfico.

Si el router ejecuta ACL y NAT, el orden en el cual se aplica cada una de estas tecnologías a unflujo de tráfico es importante:

■ La ACL entrante procesa el tráfico entrante antes de que sea procesado por la NAT de afuerahacia adentro.

■ La ACL saliente procesa el tráfico saliente después de que es procesado por la NAT de adentrohacia afuera.

Orden de los elementos de control de acceso

Los elementos de una ACL deben ordenarse de los más específicos a los generales. Aunque unaACL incluya un elemento para permitir específicamente un flujo de tráfico particular, los paquetesnunca coincidirán con ese elemento si otro elemento anterior de la lista los deniega.

Deny all implícito

En una situación donde no se requiere un alto nivel de seguridad en la ACL, no incluir este ele-mento de control de acceso implícito puede ser la causa de una configuración incorrecta de la ACL.

Direcciones y máscaras wildcard

Las máscaras wildcard complejas proporcionan mejoras notables en la eficacia, pero son máspropensas a errores de configuración. Un ejemplo de máscara wildcard compleja es utilizar la di-rección 10.0.32.0 y la máscara wildcard 0.0.32.15 para seleccionar las primeras 15 direccioneshost en la red 10.0.0.0 o en la red 10.0.32.0.

Selección del protocolo de la capa de transporte

Cuando se configuran las ACL, es importante que sólo se especifiquen los protocolos de capa detransporte correctos. Muchos ingenieros de redes, cuando dudan acerca de si un flujo de tráficoparticular usa un puerto TCP o un puerto UDP, configuran los dos. La especificación de ambospuertos abre un agujero en el firewall y posiblemente otorga acceso a los intrusos hacia la red.También introduce un elemento adicional en la ACL, por lo que el procesamiento de la ACLdemora más y, así, se agrega más latencia a las comunicaciones de red.

Puertos de origen y destino

El control adecuado del tráfico entre dos hosts requiere elementos de control de acceso simétricopara las ACL de entrada y de salida. La información del puerto y la dirección para el tráfico gene-rado por un host que responde es el reflejo de la información del puerto y la dirección para el trá-fico generado por el host que inicia la transmisión.

Uso de la palabra clave established

La palabra clave established aumenta la seguridad provista por una ACL. Sin embargo, si seaplica la palabra clave a una ACL saliente, pueden obtenerse resultados inesperados.

Protocolos poco frecuentes

A menudo, las ACL configuradas incorrectamente causan problemas con los protocolos menos fre-cuentes que TCP y UDP. Los protocolos poco frecuentes que están aumentando su popularidadson VPN y los protocolos de encriptación.


Resolución de problemas de las listas de control de acceso

Un comando útil para observar el funcionamiento de la ACL es la palabra clave log en las entradasde ACL. Esta palabra clave le indica al router que coloque una entrada en el registro del sistemacuando hay una coincidencia con esa condición de entrada. El evento registrado incluye detallesdel paquete que coincidió con el elemento de la ACL.

La palabra clave log es especialmente útil para la resolución de problemas y, además, proporcionainformación sobre los intentos de intrusión bloqueados por la ACL.

Problemas frecuentes de NAT

El mayor problema de las tecnologías de NAT es la interoperatividad con otras tecnologías de red, enespecial con aquellas que contienen o derivan información de direccionamiento de red del host en elpaquete. Entre estas tecnologías se incluyen:

■ BOOTP y DHCP: ambos protocolos administran la asignación automática de direcciones IP aclientes. Recuerde que el primer paquete que envía un cliente nuevo es un paquete IP debroadcast de solicitud de DHCP. El paquete de solicitud de DHCP tiene la dirección IP de origen0.0.0.0. Como la NAT requiere una dirección IP de origen y de destino válidas, puede haberproblemas con el funcionamiento de BOOTP y DHCP sobre un router que ejecuta NAT estáticao dinámica. La configuración de la función auxiliar de IP puede ayudar a resolver este problema.

■ DNS y WINS: dado que un router que ejecuta NAT dinámica cambia la relación entre lasdirecciones internas y externas regularmente a medida que las entradas de la tabla vencen y serecrean, un servidor DNS o WINS fuera del router NAT no tiene una representación exacta dela red dentro del router. La configuración de la función auxiliar de IP puede ayudar a resolvereste problema.

■ SNMP: de forma similar a los paquetes DNS, NAT no puede modificar la información dedireccionamiento almacenada en el contenido de datos del paquete. Por este motivo, esposible que una estación de administración de SNMP en un lado de un router NAT no puedaponerse en contacto con los agentes SNMP del otro lado del router NAT. La configuración dela función auxiliar de IP puede ayudar a resolver este problema.

■ Protocolos de tunneling y encriptación: los protocolos de tunneling y encriptación a menudorequieren que el tráfico se origine desde un puerto UDP o TCP específico o que se use unprotocolo en la capa de transporte que la NAT no puede procesar. Por ejemplo, la NAT nopuede procesar los protocolos de tunneling IPsec y los protocolos de encapsulación deenrutamiento genéricos que usan las implementaciones de VPN.

Si los protocolos de tunneling y encriptación deben ejecutarse a través de un router NAT, eladministrador de red puede crear una entrada de NAT estática para el puerto necesario parauna sola dirección IP dentro del router NAT.

Uno de los errores de configuración de NAT más frecuente es el olvido de que la NAT afecta tantoal tráfico entrante como al saliente. Un administrador de redes sin experiencia podría configuraruna entrada de NAT estática para redireccionar el tráfico entrante a un host de respaldo interno es-pecífico. Esta sentencia de NAT estática también cambia la dirección de origen del tráfico desdeese host y, posiblemente, cause comportamientos inesperados e indeseados o un funcionamientosubóptimo.

Los temporizadores configurados de manera incorrecta también pueden causar comportamientoinesperado en la red y funcionamiento subóptimo de la NAT dinámica. Si los temporizadores deNAT son demasiado cortos, las entradas en la tabla NAT pueden vencer antes de que se reciban lasrespuestas y, por lo tanto, se descartan los paquetes. La pérdida de paquetes genera retransmisio-nes que consumen más ancho de banda. Si los temporizadores son demasiado largos, las


entradas pueden permanecer más tiempo del necesario en la tabla NAT y consumir las conexionesdisponibles. En las redes ocupadas, esto puede causar problemas de memoria en el router, y es po-sible que los hosts no puedan establecer conexiones si la tabla NAT dinámica está completa.

Consulte el capítulo 7, “Servicios de direccionamiento IP”, para obtener más detalles sobre la re-solución de problemas de configuración de NAT.

8.4.6 Resolución de problemas de la capa de aplicaciónDescripción general de la capa de aplicación

La mayor parte de los protocolos de la capa de aplicación proporciona servicios a los usuarios. Losprotocolos de la capa de aplicación se usan en general para administración de la red, la transferen-cia de archivos, los servicios de archivos distribuidos, la emulación de terminal y el correo elec-trónico. Sin embargo, a menudo se agregan nuevos servicios de usuario, como VPN, VoIP, etc.

Entre los protocolos de capa de aplicación TCP/IP que más se conocen e implementan se incluyen:

■ Telnet: permite a los usuarios establecer conexiones de sesión de terminal con hosts remotos.

■ HTTP: admite el intercambio de texto, imágenes gráficas, sonido, video y otros archivosmultimedia en la Web.

■ FTP: realiza transferencias interactivas de archivos entre hosts.

■ TFTP: realiza transferencias interactivas básicas de archivos entre hosts y dispositivos de red.

■ SMTP: brinda soporte para los servicios básicos de envío de mensajes.

■ POP: se conecta con servidores de correo y descarga correo electrónico.

■ Protocolo de administración de red simple (SNMP): recopila información de administraciónde los dispositivos de red.

■ DNS: asigna direcciones IP a los nombres asignados a los dispositivos de red.

■ Sistema de archivos de red (NFS): permite a las computadoras montar unidades en hostsremotos y manejarlas como si fueran unidades locales. Desarrollado originalmente por SunMicrosystems, se combina con otros dos protocolos de capa de aplicación, representación dedatos externa (XDR) y llamada de procedimiento remoto (RPC) para permitir el accesotransparente a los recursos de red remotos.

Haga clic en el botón Protocolos de aplicación y puertos de la figura para ver una lista de losprotocolos de aplicación y los puertos asociados.

Síntomas de los problemas de la capa de aplicación

Los problemas de la capa de aplicación impiden que se proporcionen servicios a los programas deaplicación. Un problema en la capa de aplicación puede hacer que los recursos se vuelvan inutili-zables o inalcanzables cuando las capas física, de enlace de datos, de red y de transporte están enfuncionamiento. Es posible tener conectividad de red completa, pero la aplicación simplemente nopuede proporcionar datos.

Otro tipo de problema en la capa de aplicación ocurre cuando las capas física, de enlace de datos,de red y de transporte están en funcionamiento, pero la transferencia de datos y las solicitudes deservicios de red de un solo servicio de red o aplicación no cumplen las expectativas normales de un usuario.

Un problema en la capa de aplicación puede originar quejas de los usuarios porque la red o la apli-cación particular con la que están trabajando funciona más lento de lo normal cuando se transfierendatos o se solicitan servicios de red.


La figura muestra algunos de los síntomas posibles de los problemas de la capa de aplicación.

Resolución de problemas de la capa de aplicación

El mismo proceso de resolución de problemas general que se usa para aislar problemas en lascapas inferiores puede usarse para aislar problemas en la capa de aplicación. Los conceptos son losmismos, pero el enfoque tecnológico ha cambiado para incluir aspectos como conexiones rechaza-das o con el tiempo de espera agotado, listas de acceso y problemas de DNS.

Los pasos para la resolución de problemas de la capa de aplicación son los siguientes:

Paso 1. Hacer ping al gateway predeterminado.

Si se realiza adecuadamente, los servicios de capa 1 y capa 2 están funcionando correctamente.

Paso 2. Verificar la conectividad de extremo a extremo.

Use un ping extendido si intenta hacer ping desde un router Cisco. Si se realiza adecuadamente, lacapa 3 está funcionando correctamente. Si las capas 1 a 3 funcionan correctamente, el problemadebe estar en una capa superior.

Paso 3. Verificar el funcionamiento de la NAT y las listas de acceso.

Para resolver problemas en las listas de control de acceso, realice los siguientes pasos:

■ Use el comando show access-list. ¿Existen ACL que podrían estar deteniendo el tráfico?Observe cuáles listas de acceso tienen coincidencias.

■ Borre los contadores de la lista de acceso con el comando clear access-list counters eintente establecer una conexión nuevamente.

■ Verifique los contadores de la lista de acceso. ¿Alguno aumentó? ¿Deben aumentar?

Para resolver problemas de NAT, realice los siguientes pasos:

■ Use el comando show ip nat translations. ¿Existen traducciones? ¿Las traducciones sonlas esperadas?

■ Borre las traducciones NAT con el comando clear ip nat translation * e intente accederal recurso externo nuevamente.

■ Use el comando debug ip nat y examine el resultado.

■ Observe el archivo de configuración en ejecución. ¿Los comandos ip nat inside e ip natoutside están ubicados en las interfaces correctas? ¿El conjunto de NAT está configuradocorrectamente? ¿La ACL está identificando los hosts de manera correcta?

Si las ACL y la NAT están funcionando de la manera esperada, el problema debe estar en una capasuperior.

Paso 4. Solucionar problemas de conectividad del protocolo de capa superior.

Aunque haya conectividad IP entre un origen y un destino, aún pueden existir problemas para unprotocolo de capa superior específico, como FTP, HTTP o Telnet. Estos protocolos se ejecutansobre el transporte IP básico, pero están sujetos a problemas específicos de cada protocolo rela-cionados con filtros de paquetes y firewalls. Es posible que todas las funciones, excepto el correo,funcionen entre un origen y un destino dados.

La resolución de un problema de conectividad del protocolo de capa superior requiere la compren-sión del proceso del protocolo. En general, esta información se encuentra en la RFC más recientepara el protocolo o en la página Web del desarrollador.


Corrección de problemas de la capa de aplicación

Los pasos para la corrección de problemas de la capa de aplicación son los siguientes:

Paso 1: Hacer una copia de seguridad. Antes de continuar, asegúrese de que se haya guardadouna configuración válida para todos los dispositivos cuya configuración pueda modificarse. Estopermite la recuperación a un estado inicial conocido.

Paso 2: Hacer un cambio en la configuración inicial del hardware o software. Si la correcciónrequiere más de un cambio, haga sólo un cambio por vez.

Paso 3: Evaluar y documentar cada cambio y sus resultados. Si los resultados de alguno de lospasos para la resolución de problemas no son satisfactorios, deben deshacerse los cambios inme-diatamente. Si el problema es intermitente, aguarde para ver si el problema vuelve a ocurrir antesde evaluar el efecto de algún cambio.

Paso 4: Determinar si el cambio resuelve el problema. Verifique que el cambio realmente re-suelve el problema sin introducir nuevos problemas. La red debe volver al funcionamiento de línea de base y no deben presentarse síntomas nuevos o antiguos. Si el problema no se re-suelve, deben deshacerse todos los cambios. Si se descubren problemas nuevos o adicionales,modifique el plan de corrección.

Paso 5: Detenerse cuando se resuelva el problema. Deje de hacer cambios cuando parezca queel problema original está resuelto.

Paso 6: De ser necesario, solicitar la ayuda de recursos externos. Puede ser un compañero detrabajo, un consultor o el Centro de asistencia técnica (TAC) de Cisco. En algunas ocasiones,puede ser necesario un volcado de memoria, el cual genera un resultado que puede analizar un es-pecialista de Cisco Systems.

Paso 7: Documentar. Una vez que se soluciona el problema, debe documentarse la solución.

Para completar satisfactoriamente esta actividad, se necesita la documentación final de la Activi-dad PT 8.1.2: Descubrimiento y documentación de redes, que completó anteriormente en estecapítulo. Esta documentación debe tener un diagrama de topología y una tabla de direc-cionamiento precisos. Si no tiene esta documentación, solicite a su instructor las versiones exactas.



8.5 Prácticas de laboratorio del capítulo8.5.1 Resolución de problemas de redes empresariales 1Se le solicitó que corrija los errores de configuración de la red de la empresa. Para esta práctica delaboratorio, no use la protección de contraseña o conexión en las líneas de consola para impedir elbloqueo accidental. Use ciscoccna para todas las contraseñas de esta situación.

Nota: Como esta práctica de laboratorio es acumulativa, se usará todo el conocimiento y las técni-cas de resolución de problemas adquiridas en el material anterior para completar esta práctica demanera satisfactoria.

Esta actividad es una variación de la práctica de laboratorio 8.5.1. Packet Tracer, quizás, no admitatodas las tareas especificadas en la práctica de laboratorio. Esta actividad no se debe considerarequivalente a la finalización de las prácticas de laboratorio. Packet Tracer no reemplaza la expe-riencia de las actividades de laboratorio con equipo real.




8.5.2 Resolución de problemas de redes empresariales 2Para esta práctica de laboratorio, no use la protección de contraseña o conexión en las líneas deconsola para impedir el bloqueo accidental. Use ciscoccna para todas las contraseñas de esta prác-tica de laboratorio.





8.5.3 Resolución de problemas de redes empresariales 3Para esta práctica de laboratorio, no use la protección de contraseña o conexión en las líneas deconsola para impedir el bloqueo accidental. Use ciscoccna para todas las contraseñas de estasituación.






Resumen del capítuloEn este capítulo, aprendió que se requiere una línea de base de red para una resolución eficaz deproblemas. Para comenzar a crear una línea de base, se debe garantizar que la documentación de lared está actualizada y es precisa. La documentación de red adecuada incluye una tabla de configu-ración de la red para todos los dispositivos y un diagrama de topología que refleje el estado actualde la red. Cuando se ha documentado completamente la red, debe llevarse a cabo una medición delínea de base del rendimiento de la red durante un período de varias semanas a un mes para es-tablecer la personalidad de la red. La primera línea de base se crea durante un tiempo de fun-cionamiento estable y normal.

La manera más eficaz de resolver problemas es con un enfoque sistemático mediante un modeloen capas, como el modelo OSI o el modelo TCP/IP. Los tres métodos que se usan con frecuenciapara resolver problemas incluyen: ascendente, descendente y divide y vencerás. Cada método tienesus ventajas y desventajas. Aquí se otorgaron pautas para seleccionar qué método aplicar. Tambiénaprendió acerca de las diversas herramientas de software y hardware que usan los profesionales deredes para recopilar síntomas y resolver problemas de red.

Aunque operan principalmente en las tres primeras capas de OSI, las WAN tienen problemas deimplementación que pueden afectar el funcionamiento del resto de la red. Aprendió acerca de al-gunas consideraciones para la implementación de las WAN y los problemas frecuentes que intro-ducen las WAN en las redes, como amenazas contra la seguridad, problemas de ancho de banda,latencia y problemas de calidad de servicio.

Por último, se exploraron los síntomas y las causas de los problemas frecuentes en cada una de lascapas de OSI y los pasos para resolverlos.

Verifique su comprensión

En esta actividad integral de habilidades de CCNA, la empresa XYZ usa una combinación deFrame Relay y PPP para las conexiones WAN. El router HQ proporciona acceso a la granja de ser-vidores y a Internet a través de NAT. HQ también usa una ACL de firewall básico para filtrar el trá-fico entrante. Cada router de sucursal está configurado para el enrutamiento entre VLAN y DHCP.El enrutamiento se logra a través de EIGRP, además de las rutas estáticas predeterminadas. Seconfiguraron VLAN, VTP y STP en cada una de las redes conmutadas. La seguridad de puertosestá activada y se proporciona acceso inalámbrico. Su tarea es implementar exitosamente todasestas tecnologías, aprovechando lo que ha aprendido en los cuatro cursos de Exploration que fina-lizan con esta actividad.





Glosario

10BASE-FEspecificación Ethernet de banda base de 10 Mbps que se refiere a los estándares 10BASE-FB,10BASE-FL y 10BASE-FP para Ethernet sobre cableado de fibra óptica.

10BASE-FBEspecificación Ethernet de banda base de 10 Mbps que usa cableado de fibra óptica. 10BASE-FBforma parte de la especificación IEEE 10BASE-F. No se utiliza para conectar estaciones deusuario; en cambio, suministra un backbone de señalización síncrona que permite conectar seg-mentos y repetidores adicionales a la red. Los segmentos 10BASE-FB pueden tener hasta 6560pies (2000 m) de longitud.

10BASE-FLEspecificación Ethernet de banda base de 10 Mbps que usa cableado de fibra óptica. 10BASE-FLforma parte de la especificación IEEE 10BASE-F y, aunque puede interoperar con FOIRL, estádiseñado para reemplazar a la especificación FOIRL. Los segmentos 10BASE-FL pueden tenerhasta 3280 pies (1000 m) de longitud si se usan con FOIRL, y hasta 6560 pies (2000 m) si se usanexclusivamente con 10BASE-FL.

10BASE-FPEspecificación Ethernet de banda base de fibra pasiva de 10 Mbps que usa cableado de fibra óp-tica. La 10BASE-FP forma parte de la especificación IEEE 10BASE-F. Organiza una cantidad deequipos en una topología en estrella, sin necesidad de usar repetidores. Los segmentos 10BASE-FP pueden tener hasta 1640 pies (500 m) de longitud.

10BASE-TEspecificación Ethernet de banda base de 10 Mbps que usa dos pares de cables de par trenzado(Categoría 3, 4 o 5): un par para transmitir datos y el otro para recibir datos. 10BASE-T, que formaparte de la especificación IEEE 802.3, tiene una limitación de distancia de aproximadamente 328pies (100 m) por segmento.

10BASE2Especificación Ethernet de banda base de 10 Mbps que usa un cable coaxial fino de 50 ohmios.10BASE2, que forma parte de la especificación IEEE 802.3, tiene una limitación de distancia de600 pies (185 m) por segmento.

10BASE5Especificación Ethernet de banda base de 10 Mbps que usa un cable coaxial de banda base están-dar (grueso) de 50 ohmios. 10BASE5, que forma parte de la especificación de capa física de bandabase IEEE 802.3, tiene una limitación de distancia de 1640 pies (500 m) por segmento.

10Broad36Especificación Ethernet de banda ancha de 10 Mbps que usa cable coaxial de banda ancha.10Broad36, que forma parte de la especificación IEEE 802.3, tiene una limitación de distancia de 11 810 pies (3600 m) por segmento.


10 Mbps10 millones de bits por segundo.

Unidad de velocidad de transferencia de información. Ethernet transporta 10 Mbps.

100BASE-FXEspecificación Fast Ethernet de banda base de 100 Mbps que usa dos hebras de cable de fibra óptica multimodo por enlace. Para garantizar una temporización de señal adecuada, el enlace100BASE-FX no debe exceder una longitud de 1310 pies (400 m). Basado en el estándar IEEE 802.3.

100BASE-TEspecificación Fast Ethernet de banda base de 100 Mbps que usa cableado UTP. Al igual que latecnología 10BASE-T en la que se basa, 100BASE-T envía pulsos de enlace a través del segmentode red cuando no hay tráfico presente. Sin embargo, estos pulsos de enlace contienen más informa-ción que los que se usan en 10BASE-T. Basado en el estándar IEEE 802.3.

100BASE-T4Especificación Fast Ethernet de banda base de 100 Mbps que usa cuatro pares de cableado UTP deCategoría 3, 4 o 5. Para garantizar una temporización de señal adecuada, el segmento 100BASE-T4no debe exceder una longitud de 325 pies (100 m). Basado en el estándar IEEE 802.3.

100BASE-TXEspecificación Fast Ethernet de banda base de 100 Mbps que usa dos pares de cableado UTP oSTP. El primer par se usa para recibir datos; el segundo, para transmitir. Para garantizar una tem-porización de señal adecuada, el segmento 100BASE-TX no debe exceder una longitud de 325pies (100 m). Basado en el estándar IEEE 802.3.

100BASE-XEspecificación Ethernet de banda base de 100 Mbps que se refiere a los estándares 100BASE-FX y100BASE-TX para Fast Ethernet por cableado de fibra óptica. Basado en el estándar IEEE 802.3.

100VG-AnyLANTecnología de medios Fast Ethernet y Token Ring de 100 Mbps que usa cuatro pares de cableadoUTP de Categoría 3, 4 o 5. La tecnología de transporte de alta velocidad, desarrollada por Hewlett-Packard, se puede hacer funcionar en las redes Ethernet 10BASE-T existentes. Basado en el están-dar IEEE 802.12.

500-CSServidor de comunicación de la serie 500.

Servidor de comunicación multiprotocolo Cisco que combina las capacidades de un servidor determinal, un servidor de teleconmutación, un traductor de protocolo y un router asíncrono enuna unidad.

6a4Mecanismo común de transición para habilitar la integración sin complicaciones de IPv4 a IPv6.Este mecanismo utiliza el prefijo reservado 2002::/16 para permitir que un sitio IPv4 conectado aInternet cree y utilice un prefijo /48 IPv6 basado en una única dirección IPv4 globalmente en-rutable o alcanzable. 6a4 también es conocido como tunneling.

A unidad de switchVer TSU.

Glosario 261

AAAAuthentication, Authorization, and Accounting, autenticación, autorización y contabilidad.

El AAA es un protocolo, especificado en RFC 2903 y varias otras RFC, para especificar quiénpuede acceder a un sistema o a una red, cómo puede acceder a estos y qué hizo mientras estuvoconectado.

ABR1) velocidad de bits disponible. Clase de QOS (calidad de servicio) definida por el ATM Forumpara redes ATM. Se usa la ABR para conexiones que no requieren relaciones de temporizaciónentre origen y destino. La ABR no brinda ninguna garantía en términos de pérdida o retardo decelda, y solo brinda servicio de máximo esfuerzo. Las fuentes de tráfico ajustan su velocidad de transmisión en respuesta a la información que reciben en la que se describe el estado de la red ysu capacidad de entregar datos con éxito. Comparar con CBR, UBR y VBR.

2) router de borde de área. Router ubicado en el borde de una o más áreas OSPF que las conectacon la red backbone. Se consideran a las ABR miembros tanto del backbone OSPF como de lasáreas conectadas. Por lo tanto, mantienen tablas de enrutamiento que describen tanto la topologíade backbone como la topología de las otras áreas.

AbsorciónLa absorción es el fenómeno físico que se produce cuando las ondas de radiofrecuencia son ab-sorbidas por objetos como paredes.

Acceso al enlace común para estaciones de trabajoVer CLAW.

Acceso directo a la memoriaVer DMA.

Acceso local y área de transporteVer LATA.

Acceso múltiple con detección portadora/detección colisionesVer CSMA/CD.

Acceso múltiple sin broadcastVer NBMA.

Acceso protegido Wi-FiVer WPA.

ACKAcuse de recibo

Notificación que se envía desde un dispositivo de red a otro para acusar recibo de que se ha pro-ducido algún evento (por ejemplo, que se ha recibido un mensaje). Comparar con NAK.

Acondicionamiento de la líneaUso de equipo en canales de grado de voz arrendados para mejorar las características analógicas,lo cual permite, por lo tanto, velocidades de transmisión más altas.


ACRVelocidad de celda permitida.

Parámetro definido por el ATM Forum para la administración de tráfico ATM. La ACR varía entre laMCR y la PCR y se controla de forma dinámica usando los mecanismos de control de congestión.

ACSEElemento de servicio de control de asociación.

Una convención OSI que se usa para establecer, mantener o finalizar una conexión entre dosaplicaciones.

Actualización flashActualización de enrutamiento enviada de forma asíncrona en respuesta a un cambio en latopología de la red. Comparar con actualización de enrutamiento.

Actualización de enrutamientoMensaje que se envía desde un router para indicar la accesibilidad de la red y la información decosto asociada. Las actualizaciones de enrutamiento generalmente se envían a intervalos regularesy luego de un cambio en la topología de la red. Comparar con actualización flash.

Actualizaciones de envenenamiento en reversaActualizaciones de enrutamiento que indican explícitamente que una red o subred es inalcanzable,en lugar de dar a entender que una red es inalcanzable al no incluirla en las actualizaciones. Lasactualizaciones de envenenamiento en reversa se envían para dejar sin efecto los grandes routingloops. La implementación del IGRP de Cisco usa actualizaciones de envenenamiento en reversa.

Actualizaciones de horizonte divididoTécnica de enrutamiento en la que se evita que la información acerca de las rutas salga de la inter-faz del router a través del cual se recibió dicha información. Las actualizaciones del horizonte divi-dido son útiles para evitar los loops de enrutamiento.

Acuse de reciboVer ACK.

Acuse de recibo de expectativaTipo de esquema de acuse de recibo en el que el número de acuse de recibo se refiere al siguienteocteto esperado.

Acuse de recibo localMétodo por el cual un nodo de red intermedio, como ser un router, genera los acuses de recibo enlugar de un host final remoto. El uso de acuses de recibo locales reduce el encabezado de red y,por lo tanto, los riesgos de que se retrase la información más allá de los límites de tiempo.

También se conoce el acuso de recibo local como terminación local.

Acuse de recibo negativoVer NAK.

Adaptación de velocidadCaracterística que suministra suficiente capacidad de buffering en un dispositivo de destino comopara permitir que una fuente de alta velocidad transmita datos a máxima velocidad, incluso si eldispositivo de destino es un dispositivo de velocidad más baja.

Glosario 263

AdaptadorVer NIC (tarjeta de interfaz de red).

Adaptador de grupo de trabajo de CiscoConjunto de adaptadores de grupo de trabajo de Cisco que permiten que las estaciones de trabajose conecten con interfaces CDDI o FDDI que operan a 100 Mbps.

Adaptador de terminalDispositivo que se usa para conectar las conexiones BRI RDSI a interfaces existentes, por ejem-plo, EIA/TIA-232. Esencialmente, un módem RDSI.

Ad hocAd hoc describe una topología de WLAN, también denominada conjunto de servicio básico inde-pendiente, donde los clientes móviles se conectan directamente sin un punto de acceso intermedio.

Administración ATMVer ATMM.

Administración contableUna de las cinco categorías de la administración de red definidas por ISO para la administraciónde redes OSI. Los subsistemas de administración contable tienen la responsabilidad de recopilardatos de red relacionados con el uso de los recursos.

Administración de conexiónVer CMT.

Administración de configuraciónUna de las cinco categorías de la administración de red definidas por ISO para la administraciónde redes OSI. Los subsistemas de administración de la configuración son responsables de detectary determinar el estado de una red.

Administración de datos distribuidosVer DDM.

Administración de estaciónVer SMT.

Administración de fallasUna de las cinco categorías de la administración de red definidas por ISO para la administraciónde redes OSI. La administración de fallas trata de garantizar que las fallas de la red se detecten ycontrolen.

Administración de Internet OSIVer OIM.

Administración de redTérmino genérico que se usa para describir sistemas o acciones que ayudan a mantener, caracteri-zar o diagnosticar las fallas de una red.

Administración de red StreamViewConjunto de herramientas de administración de red basadas en el SNMP de Cisco, que se usa deforma conjunta con el switch ATM LightStream 2020. El conjunto StreamView incluye tres aplica-ciones administradas por GUI: un programa de configuración (el configurador), un mapa de latopología de red (el mapa de topología) y un programa para monitorear nodos (el monitor); y unainterfaz de línea de comando (CLI).


Administración de rendimientoUna de las cinco categorías de la administración de red definidas por ISO para la administración deredes OSI. Los subsistemas de administración de rendimiento tienen la responsabilidad de analizary controlar el rendimiento de la red incluidos el rendimiento de la red y los porcentajes de error.

Administración de seguridadUna de las cinco categorías de la administración de red definidas por ISO para la administraciónde redes OSI. Los subsistemas de administración de seguridad tienen la responsabilidad de contro-lar el acceso a los recursos de red.

Administración de tráficoVer administración del tráfico ControlStream.

Administración del tráfico ControlStreamEsquema de administración del tráfico que utiliza el switch ATM LightStream 2020. Incluye pre-vención de congestión, conformación del tráfico, directivas del tráfico y permite que los enlacesoperen a niveles altos de uso al adaptar el tráfico de prioridad más baja, tolerante al retardo, en elextremo de la red cuando se comienza a producir la congestión.

Administrador de redResponsable de la operación, el mantenimiento y la administración de una red.

Administrador de red LANVer LNM.

ADSUUnidad de servicio de datos ATM.

Adaptador de terminal utilizado para acceder a una red ATM a través de un dispositivo compatiblecon HSSI.

ADUUtilidad de escritorio Aironet.

La utilidad de escritorio Aironet (ADU) es una utilidad que utilizan las tarjetas de red de CiscoAironet 802.11a/b/g para la configuración inalámbrica.

AdyacenciaRelación que se establece entre routers vecinos seleccionados, con el propósito de intercambiar in-formación de enrutamiento. La adyacencia se basa en el uso de un segmento común.

AESEstándar de encriptación avanzada.

El AES reemplazó a WEP como método más seguro de encriptación de datos. AES es una opciónpara WPA2.

AFI1) ID de autoridad y formato. Un byte de la dirección NSAP, realmente un valor binario compren-dido ente 0 y 99, utilizado para especificar el formato IDI y la sintaxis DSP de la dirección y la au-toridad que asignaron la dirección. Ver dirección NSAP.

2) Identificador de familia de direcciones. Un campo de 2 bytes en un mensaje RIP. Identifica elprotocolo enrutado y está normalmente configurado en dos por IP. La única excepción es una

Glosario 265

solicitud para la tabla completa de enrutamiento del router (o host), en cuyo caso está configuradaen cero. Se configura la AFI como todos 1 si la autenticación está habilitada en RIPv2.

Agencia de Comunicaciones para la DefensaVer DCA.

Agencia de Inteligencia de DefensaVer DIA.

Agencia de Proyectos de Investigación AvanzadaVer ARPA.

Agencia de Proyectos de Investigación Avanzada para DefensaVer DARPA.

Agencia de Sistemas de Defensa de la InformaciónVer DISA.

Agente1) Por lo general, software que procesa consultas y envía respuestas en nombre de una aplicación.

2) En NMS, proceso que reside en todos los dispositivos administrados y declara los valores de lasvariables especificadas a las estaciones de administración.

3) En la arquitectura de hardware Cisco, una tarjeta de procesador individual que brinda una o másinterfaces de medios.

Agente de administración maestroVer MMA.

AGS+Router Cisco multiprotocolo de extremo superior optimizado para internetworks corporativas degran envergadura. El AGS+ ejecuta el software Cisco IOS y proporciona un enfoque modular quebrinda escalabilidad sencilla y eficiente.

Agujero negroTérmino que se usa en enrutamiento para referirse a un área de internetwork donde los paquetesingresan, pero no salen, dadas las condiciones adversas o la mala configuración del sistema en unaparte de la red.

AISSeñal de indicación de alarma.

En una transmisión T1, una señal de todos unos (1) transmitida en lugar de la señal normal paramantener la continuidad de la transmisión e indicar a la terminal receptora que hay una falla en latransmisión que está ubicada en la terminal transmisora o más arriba de ésta.

AislanteCualquier material con alta resistencia a la corriente eléctrica. Ver conductor.

AlarmaMensaje que notifica al operador o administrador la existencia de un problema de red.


AlgoritmoNorma o proceso bien definidos para llegar a la solución de un problema. En networking, suelenusarse los algoritmos para determinar la mejor ruta para el tráfico desde un origen en particular aun destino en particular.

Algoritmo de actualización difusaVer DUAL.

Algoritmo de DijkstraVer SPF.

Algoritmo de enrutamiento Bellman-FordVer algoritmo de enrutamiento vector-distancia.

Algoritmo de enrutamiento de estado de enlaceAlgoritmo de enrutamiento en el que cada router emite información a todos los nodos de la internet-work, utilizando broadcasts o multicasts, con respecto al costo que implica alcanzar a cada uno desus vecinos. Los algoritmos de estado de enlace crean una visión coherente de la red y, por lo tanto,no son propensos a sufrir loops de enrutamiento; sin embargo, lo logran a costa de una dificultadde cálculo relativamente mayor y a un tráfico más difundido (si se lo compara con los algoritmos deenrutamiento vector-distancia). Comparar con el algoritmo de enrutamiento vector-distancia.

Algoritmo de enrutamiento por vector distanciaClase de algoritmos de enrutamiento que iteran sobre el número de saltos de una ruta para encon-trar el spanning tree de ruta más corta. Los algoritmos de enrutamiento por vector distancia pidenque cada router envíe toda su tabla de enrutamiento en cada actualización pero sólo a sus routersvecinos. Los algoritmos de enrutamiento por vector distancia son propensos a sufrir loops de en-rutamiento, pero son más simples en cuanto a su cálculo que los algoritmos de enrutamiento de es-tado de enlace.

El algoritmo de enrutamiento basado en el vector-distancia también se conoce como algoritmo deenrutamiento Bellman-Ford.

Algoritmo de KarnAlgoritmo que mejora las estimaciones de tiempo de recorrido de ida y vuelta al ayudar a los pro-tocolos de capa de transporte a distinguir entre muestras buenas y malas de tiempo de recorrido deida y vuelta.

Algoritmo de NagleEn realidad, dos algoritmos de control de congestión independientes que se pueden usar en redesbasadas en TCP. Un algoritmo reduce la ventana de transmisión; el otro limita los datagramas pe-queños.

Algoritmo shortest path firstVer SPF.

Algoritmo spanning-treeVer STA.

AliasVer entidad.

Almacenamiento de nombre en cachéMétodo por el cual un router guarda los nombres de host detectados de forma remota para ser usa-dos en decisiones de envío de paquetes futuras para permitir un acceso más veloz.

Glosario 267

AMModulación de amplitud.

Técnica de modulación por la cual la información se transmite a través de la amplitud de la señalde portadora. Comparar con FM y PAM.

American National Standards InstituteInstituto Nacional Americano de Estandarización. Ver ANSI.

AMIInversión de marca alternada (Alternate mark invers).

Tipo de código de línea que se usa en los circuitos T1 y E1. En AMI, los ceros se representan con01 durante cada celda de bit, y los unos se representan con 11 ó 00, alternativamente, durante cadacelda de bit. AMI requiere que el dispositivo emisor mantenga la densidad de los unos. La densi-dad de los unos no se mantiene independientemente del flujo de datos. Comparar con B8ZS.

También se conoce la AMI como inversión de marca alternativa codificada en binario.

Amplif. de luz por emisión estimulada de radiaciónVer láser.

AmplitudValor máximo de una forma de onda analógica o digital.

Analizador de protocoloVer analizador de red.

Analizador de puerto conmutadoVer SPAN.

Analizador de redDispositivo de monitoreo de red que mantiene información estadística con respecto al estado de lared y de cada dispositivo conectado a ésta. Las versiones más sofisticadas que utilizan inteligenciaartificial pueden detectar, definir y corregir los problemas de la red.

Analizador del índice de error en bitVer BERT.

Ancho de bandaLa diferencia entre las frecuencias más altas y más bajas disponibles para señales de red. El tér-mino también se usa para describir la capacidad nominal de rendimiento de un medio o un proto-colo de red específico.

AnilloConexión de una o más estaciones en una topología lógicamente circular. La información se envíade forma secuencial entre las estaciones activas. Token Ring, FDDI y CDDI se basan en estatopología.

Anillo ranuradoArquitectura LAN que se basa en una topología de anillo en la que el anillo se divide en ranurasque circulan de forma continua. Las ranuras pueden estar vacías o llenas, y las transmisiones sedeben iniciar al comienzo de la ranura.


Anillo virtualEntidad de una red SRB que conecta dos o más anillos físicos entre sí de forma lógica, ya sea deforma local o remota. El concepto de anillos virtuales se puede ampliar más allá de los límitesdel router.

Anillos contrarrotativos doblesTopología de red en la que dos rutas de señales, cuyas direcciones son opuestas entre sí, existen enuna red de transmisión de tokens. FDDI y CDDI se basan en este concepto.

ANSIAmerican National Standards Institute (Instituto Nacional Americano de Estandarización).

Organización voluntaria compuesta por miembros corporativos, gubernamentales y de otro tipoque coordina las actividades relacionadas con los estándares, aprueba los estándares nacionales es-tadounidenses y desarrolla las posturas de los Estados Unidos con respecto a las organizaciones deestándares internacionales. ANSI ayuda a desarrollar los estándares internacionales y esta-dounidenses que se relacionan con las comunicaciones y el networking, entre otras cosas. ANSI esmiembro de IEC e ISO.

ANSI X3T9.5Ver X3T9.5.

AnycastTipo de direccionamiento de red IPv6 y esquema de enrutamiento por los cuales los datos se en-rutan al destino “más cercano” o “mejor” como es visto por la topología de enrutamiento. Un pa-quete enviado a una dirección anycast es entregado a la interfaz más cercana, según lo definen losprotocolos de enrutamiento en uso, identificados por la dirección anycast. Comparte el mismo for-mato de dirección que una dirección unicast global IPv6.

AONNetworking orientada a aplicación.

Tecnología que modifica la implementación, integración y administración de las aplicaciones. Lohace brindando funciones comunes de infraestructura de aplicación como servicios basados en lared. Cisco AON ayuda drásticamente a reducir los costos y la complejidad de instrumentar aplica-ciones y mantener infraestructura de aplicación reubicando estas funciones repetibles, como la se-guridad de aplicación, mensajería, conexión y captura de evento en la red y en los routers yswitches.

APPunto de acceso.

Dispositivo que conecta dispositivos de comunicación inalámbrica para formar una red inalám-brica, análoga a un hub que conecta dispositivos alámbricos para formar una LAN. El AP usual-mente conecta una red alámbrica y puede transmitir datos entre dispositivos inalámbricos y dispo-sitivos con cables. Varios AP pueden enlazarse para formar una red más grande que permita eldesplazamiento.

APaRTReconocimiento/conversión automatizada de paquete.

Tecnología que permite que un servidor se conecte a CDDI o FDDI sin necesidad de reconfigurarlas aplicaciones o los protocolos de red. APaRT reconoce los tipos de paquetes de encapsula-miento de capa de enlace de datos específicos y, cuando estos tipos de paquetes se transfieren deun medio a otro, los convierte al formato nativo del dispositivo de destino.

Glosario 269

APIInterfaz de programación de aplicaciones.

Especificación de convenciones de función de llamada que define una interfaz hacia un servicio.

AplicaciónPrograma que realiza una función directamente para un usuario. Los clientes FTP y Telnet sonejemplos de aplicaciones de red.

APPCComunicación avanzada de programa a programa.

Software del sistema IBM SNA que permite la comunicación a alta velocidad entre programas dedistintos equipos en un entorno informático distribuido. APPC establece e interrumpe las conexio-nes entre programas que se comunican y está compuesto por dos interfaces, una interfaz de progra-mación y una interfaz de intercambio de datos. La primera responde a los pedidos de programasque requieren comunicación; la segunda establece sesiones entre programas. APPC se ejecuta endispositivos LU 6.2.

AppleTalkSerie de protocolos de comunicaciones diseñados por Apple Computer. En la actualidad existendos fases. La Fase 1, que es la versión más antigua, admite una sola red física que puede tener sóloun número de red y estar en una zona. La Fase 2, que es la versión más reciente, admite múltiplesredes lógicas en una sola red física y permite que las redes se ubiquen en más de una zona.

Aprendizaje de direcciones MACServicio que caracteriza a un puente con capacidad de aprender, en el que la dirección MAC ori-gen de cada paquete recibido se guarda de modo que los futuros paquetes destinados a esa direc-ción se puedan enviar sólo hacia la interfaz del puente en la que está ubicada esa dirección. Lospaquetes cuyo destino son direcciones no reconocidas se envían a través de todas las interfaces delpuente. Este esquema ayuda a minimizar el tráfico en las LAN conectadas. El aprendizaje de di-rección MAC se define en el estándar IEEE 802.1.

ARCnetRed informática de recursos conectada.

Una LAN token-bus de 2.5 Mbps desarrollada a fines de la década del ‘70 y a principios de la dé-cada del ‘80 por Datapoint Corporation.

ARMModo de respuesta asíncrona.

Modo de comunicación HDLC que involucra una estación primaria y por lo menos una estaciónsecundaria, donde la estación primaria o una de las estaciones secundarias puede iniciar lastransmisiones.

Armario de cableadoHabitación diseñada especialmente para el cableado de una red de datos o voz. Los armarios parael cableado actúan como punto de unión central para el cableado y el equipo de cableado que seusa para interconectar dispositivos.

ARPProtocolo de resolución de direcciones.

Protocolo de Internet usado para asignar una dirección IP a una dirección MAC. Definido en laRFC 826. Comparar con RARP.


ARP inversoProtocolo de resolución de direcciones inverso.

Método para crear rutas dinámicas en una red. Permite que un servidor de acceso detecte la direc-ción de red de un dispositivo asociado con un circuito virtual.

ARP proxyProtocolo proxy de resolución de direcciones.

Variante del protocolo ARP en la que un dispositivo intermedio (p. ej., un router) envía una res-puesta ARP, de parte de un nodo final, hacia el host que realiza la petición. El ARP proxy puededisminuir el uso de ancho de banda en enlaces WAN de baja velocidad.

ARPAAgencia de Proyectos de Investigación Avanzada.

Organización de investigación y desarrollo que forma parte de DoD. ARPA es responsable de va-rios avances tecnológicos en comunicaciones y networking. ARPA se convirtió en DARPA y luegovolvió a convertirse en ARPA en 1994.

ARPANETRed de Agencias de Proyectos de Investigación Avanzada.

Red básica de conmutación de paquetes establecida en 1969. ARPANET fue desarrollada en la dé-cada del ‘70 por BBN y respaldada por ARPA (y posteriormente DARPA). Finalmente, se convir-tió en Internet. El término ARPANET fue oficialmente retirado en 1990.

ARQ1) petición de repetición automática. Técnica de comunicación en la que el dispositivo receptor de-tecta errores y solicita retransmisiones.

2) solicitud de admisión. En VoIP, ARQ se utiliza con el protocolo H.323.

Arquitectura abiertaArquitectura con la que los desarrolladores de terceros pueden desarrollar legalmente productos, ypara la que existen especificaciones de dominio público.

Arquitectura de administración empresarialVer EMA.

Arquitectura de documento abiertoVer ODA.

Arquitectura de documentos de oficinaVer ODA.

Arquitectura de intercambio de documentosVer DIA.

Arquitectura de interfaz de cliente nativoVer NCIA.

Arquitectura de microcanalVer MCA.

Glosario 271

Arquitectura de Red DigitalVer DNA.

Arquitectura de red orientada al servicioVer SONA.

Arquitectura de sistemas de redVer SNA.

Arquitectura estándar industrial ampliadaVer EISA.

ASConjunto de redes bajo una administración común que comparte una estrategia de enrutamientocomún. Los sistemas autónomos se subdividen por áreas. IANA debe asignarle un número exclu-sivo de 16 bits al sistema autónomo.

ASBRRouter de borde del sistema autónomo.

ABR ubicado entre un sistema autónomo OSPF y una red que no sea OSPF. Los ASBR ejecutantanto OSPF como otros protocolos de enrutamiento como, por ejemplo, RIP. Los ASBR deben re-sidir en un área OSPF sin conexión única.

ASCIICódigo normalizado estadounidense para el intercambio de la información.

Código de 8 bits para la representación de caracteres (7 bits más paridad).

Asignación de direccionesTécnica que permite que distintos protocolos interoperen traduciendo direcciones de un formato aotro. Por ejemplo, al enrutar IP a través de una red X.25, las direcciones IP se deben mapear a lasdirecciones X.25 de modo que los paquetes IP se puedan transmitir por la red.

Asignación del ancho de bandaVer reserva del ancho de banda.

Asistente digital personalVer PDA.

ASM-CSServidor de comunicación multiprotocolo Cisco diseñado para conectar dispositivos asíncronoscon cualquier LAN o WAN usando TCP/IP, LAT o SLIP. Se puede configurar para que haga inter-faz con las LAN Ethernet o Token Ring o con redes seriales síncronas.

ASN.1Notación uno de la sintaxis abstracta.

Lenguaje OSI que se usa para describir los tipos de datos independientemente de las estructuras in-formáticas y técnicas de representación en particular. Descrito en el estándar internacional ISO 8824.

Asociación de Industrias ElectrónicasVer EIA.


Asociación de la Industria de las TelecomunicacionesVer TIA.

Asociación de Mensajería ElectrónicaVer EMA.

Asociación Europea de Fabricantes de InformáticaVer ECMA.

AsociadoUna estación está configurada correctamente para permitirle comunicarse de manera inalámbricacon un punto de acceso.

ASTSpanning tree automático.

Función que admite la resolución automática de spanning trees en redes SRB, y brinda una únicaruta para que las tramas de exploración spanning recorran la distancia desde un nodo determinadode la red a otro. El AST se basa en el estándar IEEE 802.1.

Ataduras para cablesAtaduras de plástico que se usan para mantener unidos los cables o para sostener cables en su lugar.

ATDMMultiplexación asíncrona por división temporal.

Método de envío de información que semeja la TDM normal, excepto que las divisiones tempo-rales se asignan según sea necesario en lugar de preasignarlas a transmisores específicos.Comparar con FDM, multiplexación estadística y TDM.

AtenuaciónPérdida de la energía de la señal de comunicación.

ATMModo de transferencia asíncrona.

El estándar internacional para relay de celdas en el que múltiples tipos de servicio (por ejemplo,voz, video o datos) se transmiten en celdas de longitud fija (53 bytes). Las celdas de longitud fijapermiten que el procesamiento de celdas se lleve a cabo en el hardware, lo cual disminuye los re-tardos en el tránsito. La ATM está diseñada para sacar provecho de los medios de transmisión dealta velocidad, como ser, E3, SONET y T3.

ATM ForumOrganización internacional fundada en 1991 en forma conjunta por Cisco Systems, NET/ADAP-TIVE, Northern Telecom y Sprint, que desarrolla y promueve los acuerdos de implementaciónbasados en estándares para la tecnología ATM. El ATM Forum se expande sobre estándares ofi-ciales desarrollados por ANSI y UIT-T y desarrolla acuerdos de implementación anteriores a losestándares oficiales.

ATMMAdministración ATM.

ATM UNIVer UNI.

Glosario 273

Proceso que se ejecuta en un switch ATM que controla la conversión VCI y el cumplimiento de lavelocidad.

AtributoDatos de configuración que definen las características de los objetos de la base de datos, por ejemplo,el chasis, las tarjetas, los puertos o los circuitos virtuales de un dispositivo en particular. Los atributospueden estar predefinidos o ser configurados por el usuario. En un switch ATM LightStream 2020,los atributos se definen usando el programa de configuración o los comandos CLI.

AUIInterfaz de unidad de conexión.

La interfaz IEEE 802.3 entre una MAU y una tarjeta de interfaz de red (network interface card,NIC). El término AUI también puede referirse al puerto del panel posterior en el cual se puedeconectar un cable AUI, por ejemplo aquellos que se encuentran en una tarjeta de acceso EthernetCisco LightStream.

También se conoce la AUI como cable transreceptor.

AutenticaciónEn seguridad, la verificación de la identidad de una persona o proceso.

Autocomprobación de encendidoVer POST.

Autoconfiguración sin estadoCaracterística plug-and-play del IPv6 que habilita a los dispositivos a conectarse a la red sin con-figuración y sin servidores (como los servidores DHCP). Esta característica clave permite la im-plementación de nuevos dispositivos en Internet, como teléfonos celulares, dispositivos inalámbri-cos, dispositivos domésticos y redes domésticas.

AutoQoSCisco AutoQoS es una característica que automatiza el empleo coherente de las características deQoS a través de los routers y switches Cisco para garantizar un rendimiento de aplicación de altacalidad. Una vez habilitado, configura automáticamente el dispositivo con las características yvariables de QoS que están basadas en las recomendaciones de optimizaciones de Cisco.Subsiguientemente los usuarios pueden sintonizar parámetros que se generan por medio deAutoQoS de Cisco para adaptar sus necesidades particulares de aplicación, según se desee.

AutoreconfiguraciónProceso ejecutado por los nodos situados dentro del dominio de error de una red Token Ring. Losnodos automáticamente ejecutan diagnósticos en un intento por reconfigurar la red alrededor delas áreas en las que hay errores.

Autoridad de números asignada por InternetVer IANA.

ÁreaConjunto lógico de segmentos de red (ya sea basado en CLNS, DECnet u OSPF) y los dispositivosconectados. Por lo general, las áreas se conectan con otras áreas a través de routers, lo cual con-forma un único sistema autónomo.


Área de conexión únicaÁrea OSPF que transporta una ruta predeterminada, rutas intra-área y rutas inter-áreas, pero queno transporta rutas externas. No se pueden configurar enlaces virtuales a través de un área deconexión única, y no pueden contener ningún ASBR. Comparar con área sin conexión única.

Área de servicios básicosVer BSA.

Área sin conexión únicaÁrea OSPF que hace uso intensivo de los recursos y transporta una ruta predeterminada, rutas es-táticas, rutas intra-áreas, rutas inter-áreas y rutas externas. Las áreas sin conexión única son lasúnicas áreas OSPF que pueden tener enlaces virtuales configurados a través de ellas, y son las úni-cas áreas que pueden contener un ASBR. Comparar con área de conexión única.

Área totalmente de conexión únicaÁrea que no acepta rutas del sistema autónomo (AS) externo y rutas de resumen de otras áreas in-ternas al sistema autónomo. En cambio, si el router necesita enviar un paquete a una red externa alárea, lo envía utilizando una ruta predeterminada.

Áreas de captaciónZona que se ubica dentro de un área que puede recibir servicio de un dispositivo de internetwor-king, como ser de un hub.

B8ZSSustitución de 8 ceros binarios.

Tipo de código de línea, que se usa en circuitos T1, en los que se envía un código especial en lugarde enviar 8 ceros consecutivos a través del enlace. Este código luego es interpretado en el extremoremoto de la conexión. Esta técnica garantiza una densidad de unos independientemente del flujode datos. A veces denominada sustitución bipolar de 8 ceros. Comparar con AMI.

Back endNodo o programa de software que suministra servicios a un front end.

BackboneLa parte de la red que actúa como la ruta principal para el tráfico que se origina en otras redes oque las tienen como destino.

Backbone colapsadoBackbone no distribuido en el que todos los segmentos de red se interconectan a través de un dis-positivo de internetworking. El backbone colapsado puede ser un segmento de red virtual existenteen un dispositivo como un hub, un router o un switch.

Backbone multicastVer MBONE.

BackplaneConexión física entre un procesador o tarjeta de interfaz y los buses de datos y los buses de dis-tribución de la alimentación dentro de un chasis Cisco.

Baja de voltajeCualquier disminución por debajo del 80% en el voltaje normal que transporta una línea de ali-mentación. Una baja de voltaje a veces se denomina apagón parcial.

Glosario 275

Balanceo de cargaEn enrutamiento, la capacidad de un router de distribuir tráfico a través de todos los puertos de redque están ubicados a la misma distancia de la dirección destino. Los buenos algoritmos de balan-ceo de carga usan información tanto de la velocidad de línea como de fiabilidad. El balanceo decarga aumenta el uso de segmentos de red, con lo cual aumenta el ancho de banda efectivo de red.

Banda ampliaVer banda ancha.

Banda anchaSistema de transmisión que permite multiplexar múltiples señales independientes en un cable. Enla terminología de telecomunicaciones, cualquier canal que tenga un ancho de banda mayor que elde un canal con calidad de voz (4 kHz). En la terminología LAN, un cable coaxial en el que se usala señalización analógica. También se denomina banda amplia. Comparar con banda base.

Banda baseCaracterística de una tecnología de red en la que se usa sólo una frecuencia de portadora. Ethernetes un ejemplo de una red de banda base. Ver la diferencia con banda ancha.

Banda base, también conocida como banda angosta.

Banda de guardaBanda de frecuencia no utilizada entre dos canales de comunicación que brinda separación de loscanales para evitar interferencias mutuas.

Banda estrechaVer banda base.

Bandeja de alimentaciónSistema de alimentación para un switch ATM LightStream 2020. El switch LightStream 2020 puedetener una o dos bandejas de alimentación a granel. En un sistema redundante, las dos bandejas dealimentación comparten la carga, pero cada una puede alimentar a todo el sistema en caso de que laotra falle. La bandeja de alimentación puede suministrar energía eléctrica de CA o CC al switch.

BARRNetRed de Investigación Regional del área de la bahía.

Red regional que brinda servicios al área de la bahía de San Francisco. El backbone BARRNetestá compuesto por los cuatro campus de la Universidad de California (Berkeley, Davis, SantaCruz y San Francisco), la Universidad de Stanford, el Laboratorio Nacional Lawrence Livermore yel Centro de Investigaciones AMES de la NASA. BARRNet ahora forma parte de BBN Planet.

Base de datos PDU de estado de enlaceVer LSPD.

Base de información de administraciónVer MIB.

BashBourne-again shell

Shell interactivo de UNIX basado en el shell Bourne tradicional, pero con mayor funcionalidad. Elshell bash LynxOS se presenta cuando se establece la conexión con un switch ATM LightStream2020 como root (bash#) o fldsup (bash$).


BaudioUnidad de velocidad de señalización que es igual a la cantidad de elementos discretos de la señaltransmitidos por segundo. Baudio es sinónimo de bits por segundo (bps), si cada elemento de laseñal representa exactamente 1 bit.

BBNBolt, Beranek y Newman, Inc.

Empresa ubicada en Massachusetts que se dedica a la alta tecnología; desarrolló y mantuvo el sis-tema de gateway central de ARPANET (y posteriormente, Internet).

BBN PlanetEmpresa subsidiaria de BBN que opera una red de acceso a Internet a nivel nacional compuesta enparte por las anteriores redes regionales BARRNET, NEARNET y SURAnet.

BcRáfaga suscrita.

Métrica de tarifa negociada en internetworks de Frame Relay. La cantidad máxima de datos (enbits) que una internetwork de Frame Relay debe aceptar y transmitir en la CIR.

BERáfaga excesiva.

Métrica de tarifa negociada en internetworks de Frame Relay. La cantidad de bits que una internet-work de Frame Relay intenta transmitir luego de que se ha enviado la Bc. Los datos Be, en gene-ral, tienen una probabilidad menor de ser entregados que los datos Bc, dado que los datos Be sepueden marcar como DE por la red.

Beacon1) Trama de un dispositivo Token Ring o FDDI que indica la existencia de un problema grave conel aro, como un cable roto. Una trama de beacon contiene la dirección de la estación que se suponeque está inactiva. Ver dominio de error.

2) En la tecnología inalámbrica, un beacon es un paquete LAN inalámbrico que señala la disponi-bilidad y presencia de un dispositivo inalámbrico. Los paquetes beacon son enviados por puntos deacceso y estaciones base: sin embargo, las tarjetas de radio del cliente envían beacons cuando seopera en modo de equipo a equipo (Ad Hoc).

Because It’s Time NetworkVer BITNET.

BECNNotificación explícita de congestión retrospectiva.

Bit establecido por una red Frame Relay en las tramas que viajan en dirección opuesta a las tramasque encuentran una ruta congestionada. Los DTE que reciben tramas con el bit BECN ya estable-cido pueden solicitar que los protocolos de mayor nivel tomen las acciones de control de flujo quesean necesarias. Comparar con FECN.

Bell Communications ResearchVer Bellcore.

Glosario 277

BellcoreBell Communications Research.

Organización que realiza investigaciones y desarrollos en nombre de los RBOC.

BER1) índice de error en bit. El porcentaje de bits recibidos que contiene errores.

2) normas de codificación básicas. Normas para codificar las unidades de datos descritas en el es-tándar ISO ASN.1.

BERTAnalizador del índice de error en bit.

Dispositivo que determina el BER de un canal de comunicación determinado.

BGPProtocolo de border gateway.

Protocolo de enrutamiento entre dominios que reemplaza al EGP. El BGP intercambia informaciónde alcance con otros sistemas BGP. BGP se define por RFC 1163.

BGP4Versión 4 de BGP.

La Versión 4 del protocolo de enrutamiento entre dominios predominante que se usa en Internet.El BGP4 admite CIDR y usa mecanismos de agregación de rutas para disminuir el tamaño de lastablas de enrutamiento.

Big-endianMétodo que se usa para guardar o transmitir datos en el que el bit o byte más significativo se pre-senta en primer lugar. Comparar con little-endian.

BinarioSistema de numeración que se caracteriza por los unos y los ceros (1 = activado, 0 = desactivado)

BISDNISDN de banda ancha. Estándares de comunicación UIT-T diseñados para manejar las aplica-ciones de ancho de banda alto como ser el video. El BISDN actualmente usa tecnología ATM encircuitos de transmisión basados en SONET para brindar velocidades de datos que van desde 155a 622 Mbps y superiores. Ver la diferencia con N-ISDN.

BitDígito binario que se usa en el sistema de numeración binario. Un bit puede ser 0 o 1.

Bit de sondeo/finalVer P/F.

BITNETBecause It’s Time Network.

Red académica de bajo costo y baja velocidad que está compuesta principalmente por mainframesIBM y líneas arrendadas de 9600-bps. BITNET ahora es parte de CREN.


BITNET IIIServicio de acceso telefónico que suministra conectividad a los miembros de CREN.

Bits de códigoFunciones de control, como configuración y terminación de una sesión.

Bits por segundoSe abrevia bps.

Bloque de mensajes del servidorVer SMB.

BloqueoEn un sistema de conmutación, condición en la que no hay ninguna ruta disponible para completarun circuito. El término también se usa para describir una situación en la que no se puede iniciaruna actividad hasta tanto se haya completado la otra.

BNNNodo de red de borde.

En la terminología SNA, nodo de subárea que brinda soporte de función fronteriza para los nodosperiféricos adyacentes. Este soporte incluye secuenciamiento, pacing y conversión de direcciones.

El BNN también se conoce como nodo de borde.

BOCAbreviatura de Bell Operating Company.

Bolt, Beranek y Newman, Inc.Ver BBN.

BOOTPProtocolo utilizado por un nodo de red para determinar la dirección IP de sus interfaces Ethernet, aefectos de comprometer el arranque desde la red.

BotAplicación que ejecuta tareas automatizadas.

BPDUUnidad de datos del protocolo de puentes.

Paquete de saludo del protocolo del spanning-tree que se envía a intervalos configurables para in-tercambiar información entre los puentes de la red.

BRIInterfaz de acceso básico.

Interfaz RDSI compuesta por dos canales B y un canal D para la comunicación conmutada por cir-cuitos de voz, video y datos. Comparar con PRI.

BroadcastPaquete de datos que se envía a todos los nodos de una red. Los broadcasts se identifican a travésde una dirección de broadcast. Comparar con multicast y unicast.

Glosario 279

BSAÁrea de servicios básicos.

Área de cobertura de frecuencia de radio provista por un punto de acceso. Para extender la BSA, osimplemente agregar dispositivos inalámbricos y extender el rango de un sistema de cables exis-tente, se puede agregar un punto de acceso.

La BSA también se conoce como microcelda.

BSDDistribución estándar de Berkeley.

Término que se usa para describir cualquiera de los distintos sistemas operativos de tipo UNIXbasados en el sistema operativo UC Berkeley BSD.

BSSConjunto de servicios básicos.

El modo de infraestructura de WLAN donde los clientes móviles usan un solo punto de accesopara la conectividad con el otro o a recursos de red con cable.

BTTolerancia de ráfaga.

Parámetro definido por el ATM Forum para la administración de tráfico ATM. Para conexionesVBR, la BT determina el tamaño de la ráfaga máxima de celdas contiguas que se puede transmitir.

BucleRuta en la que los paquetes nunca llegan a destino, sino que simplemente hacen bucles repetitivosa través de un conjunto constante de nodos de red.

Bucle con conexión a tierraDisposición que existe cuando hay múltiples conexiones entre equipos. Generalmente, esto se pro-duce cuando, por una parte, los equipos se conectan entre sí a través de un conductor a tierra de se-guridad y, por otra parte, están conectados a la misma red usando cable de par trenzado.

Bucle localLínea que va desde las instalaciones del abonado telefónico a la oficina central de la compañíatelefónica.

Bus1) Ruta de señal física común compuesta por cables u otros medios a través de los cuales puedenenviarse señales desde una parte del equipo a otra. El bus también es conocido como autopista.

2) Ver topología de bus.

Bus de tokens (token bus)Arquitectura LAN que usa acceso de transmisión de tokens a través de una topología de bus. Estaarquitectura LAN es la base de la especificación LAN DEL IEEE 802.4.

Bus dual de cola distribuidaVer DQDB.

Buscador de paquetesVer ping.


BúferÁrea de almacenamiento que se usa para administrar los datos en tránsito. En internetworking, losbúferes se usan para compensar las diferencias de las velocidades de procesamiento entre los dis-positivos de red. Las ráfagas de datos pueden guardarse en búferes hasta que los dispositivos deprocesamiento más lento puedan administrarlas.

También se conoce al búfer como búfer de paquete.

Búfer de paqueteVer búfer.

Búsqueda de broadcastPropagación de una petición de búsqueda a todos los nodos de la red si el solicitador desconoce laubicación de un recurso.

Búsqueda dirigidaPetición de búsqueda que se envía a un nodo específico que se sabe contiene un recurso. Labúsqueda dirigida se usa para determinar la existencia continua del recurso y para obtener infor-mación de enrutamiento específica para el nodo. Ver también búsqueda de broadcast.

ByteTérmino utilizado para referirse a una serie de dígitos binarios consecutivos sobre los que se operacomo si fueran una unidad (por ejemplo, un byte de 8 bits).

CACorriente alterna.

Corriente eléctrica que invierte su dirección de forma regular y continua. Es la forma de ali-mentación eléctrica que se encuentra en los edificios residenciales y comerciales.

Evitar la congestión.

Mecanismo por el cual una red ATM basada en LightStream controla el tráfico que ingresa a la redpara minimizar los retrasos. Para usar los recursos de modo más eficiente, se descarta el tráfico deprioridad más baja en el extremo de la red si las condiciones indican que no se puede enviar.

CableMedio de transmisión de hilo de cobre o fibra óptica envuelto en una cubierta protectora.

Cable blindadoCable que posee una capa de aislamiento blindado para reducir la interferencia electromagnética.

Cable calienteCable conductor sin conexión a tierra que conecta el transformador y los dispositivos y artefactoseléctricos a través de una toma de alimentación eléctrica y un tomacorriente.

Cable coaxialCable compuesto por un conductor cilíndrico exterior hueco que rodea un conductor de alambreinterno único. En la actualidad, se usan dos tipos de cable coaxial en las LAN: cable de 50 ohmios,para la señalización digital, y cable de 75 ohmios, para señales analógicas y señalización digital dealta velocidad.

Glosario 281

Cable de conexión a tierraCable del circuito que se conecta a una conexión a tierra local y al chasis de un artefacto o disposi-tivo eléctrico a través de un tomacorrientes y un conector. Se usa para garantizar que no existaninguna diferencia de voltaje entre el chasis de un dispositivo eléctrico y tierra.

Cable de derivaciónPor lo general, un cable que conecta un dispositivo de red (como ser un equipo) con un mediofísico. Tipo de AUI.

Cable de fibra ópticaMedio físico que puede conducir una transmisión de luz modulada. Si se compara con otrosmedios de transmisión, el cable de fibra óptica es más caro, sin embargo no es susceptible a la in-terferencia electromagnética y es capaz de brindar velocidades de datos más altas.

El cable de fibra óptica también se conoce como fibra óptica.

Cable de neutroCable de circuito que se conecta a la conexión a tierra en la central de energía y en el transformador.

Cable transreceptorVer AUI.

Cableado backboneCableado que proporciona interconexiones entre los armarios de cableado, entre los centros de ca-bleado y el POP, y entre los edificios que forman parte de la misma LAN.

Cableado backbone, también conocido como cableado vertical.

Cableado de Categoría 1Una de las cinco clases de cableado UTP que se describen en el estándar EIA/TIA-568B. El ca-bleado de Categoría 1 se usa para comunicaciones telefónicas y no es adecuado para transmitirdatos. Comparar con cableado de Categoría 2, cableado de Categoría 3, cableado de Categoría 4 ycableado de Categoría 5.

Cableado de Categoría 2Una de las cinco clases de cableado UTP que se describen en el estándar EIA/TIA-568B. El ca-bleado de Categoría 2 es capaz de transmitir datos a velocidades de hasta 4 Mbps. Comparar concableado de Categoría 1, cableado de Categoría 3, cableado de Categoría 4 y cableado deCategoría 5.

Cableado de Categoría 3Una de las cinco clases de cableado UTP que se describen en el estándar EIA/TIA-568B. El ca-bleado de Categoría 3 se usa en las redes 10BASE-T y puede transmitir datos a velocidades dehasta 10 Mbps. Comparar con cableado de Categoría 1, cableado de Categoría 2, cableado de Categoría 4 y cableado de Categoría 5.

Cableado de Categoría 4Una de las cinco clases de cableado UTP que se describen en el estándar EIA/TIA-568B. El ca-bleado de Categoría 4 se usa en redes Token Ring y puede transmitir datos a velocidades de hasta16 Mbps. Comparar con cableado de Categoría 1, cableado de Categoría 2, cableado de Categoría3 y cableado de Categoría 5.


Cableado de Categoría 5Una de las cinco clases de cableado UTP que se describen en el estándar EIA/TIA-568B. El ca-bleado de Categoría 5 se usa para ejecutar CDDI y puede transmitir datos a velocidades de hasta100 Mbps. Comparar con cableado de Categoría 1, cableado de Categoría 2, cableado de Categoría3 y cableado de Categoría 4.

Cableado verticalVer cableado backbone.

CachingForma de duplicación en la que la información aprendida durante una transacción previa se utilizapara procesar transacciones posteriores.

Cadena comunitariaCadena de texto que actúa como contraseña y se usa para autenticar mensajes que se envían entreuna estación de administración y un router que contiene un agente SNMP. La cadena comunitariase envía en cada paquete entre el administrador y el agente.

Calidad de servicioVer QOS.

CAMMemoria de contenido direccionable. Ver memoria asociativa.

Campo de información de enrutamientoVer RIF.

Campo de máscara de subredEl campo de la máscara de subred contiene una máscara de 32 bits que identifica a la porción dered y subred de la dirección IP. El agregado de este campo es el único cambio más importantehecho a la estructura de mensaje de RIP v2.

Canal1) Ruta de comunicación. Se pueden multiplexar múltiples canales en un solo cable en determina-dos entornos.

2) En IBM, la ruta específica entre equipos de gran envergadura (por ejemplo, mainframes) y losdispositivos periféricos conectados.

Canal BCanal de portadora.

En ISDN, un canal full duplex de 64 kbps que se usa para enviar datos del usuario. Comparar concanal D, canal E y canal H.

Canal DCanal de datos.

1) Canal RDSI full duplex, de 16 kbps (BRI) o 64 kbps (PRI). Comparar con canal B, canal E ycanal H.

2) En SNA, un dispositivo que conecta el procesador y el almacenamiento principal con los dis-positivos periféricos.

Glosario 283

Canal de bus y etiquetaCanal IBM, desarrollado en la década de 1960, que incorpora la tecnología de múltiples hilos de cobre. Reemplazado por el canal ESCON.

Canal de conexión del sistema empresarialVer canal ESCON.

Canal de datosVer canal D.

Canal de ecoVer canal E.

Canal de envíoRuta de comunicación que transporta información desde donde se inicia la llamada hasta la partereceptora.

Canal de portadoraVer canal B.

Canal ECanal de eco.

Canal de control de conmutación por circuito RDSI de 64kbps. El canal E se definió en la especi-ficación RDSI de la UIT-T de 1984, pero se descartó en la especificación de 1988. Comparar concanal B, canal E y canal H.

Canal ESCONCanal IBM para conectar mainframes a los dispositivos periféricos, por ejemplo, dispositivos dealmacenamiento, unidades de copia de respaldo e interfaces de red. Este canal incorpora tec-nología de canal por medio de fibra. El canal ESCON reemplaza el canal de bus y etiqueta.Comparar con canal paralelo.

Canal HCanal de alta velocidad.

Canal de acceso principal RDSI full duplex que opera a 384 Kbps. Comparar con canal B, canal Dy canal E.

Canal lógicoRuta de comunicación conmutada por paquetes, no dedicada, entre dos o más nodos de red. Laconmutación por paquetes permite que existan varios canales lógicos de forma simultánea en unsolo canal físico.

Canal multiplexor de bloqueCanal de estilo IBM que implementa el canal FIPS-60, un estándar de canal de E.U. Este canaltambién se denomina canal OEMI y canal mux de bloque 370.

Canal mux del bloque 370Ver canal multiplexor de bloque.

Canal OEMIVer canal multiplexor de bloque.


Canal paraleloCanal que usa cables de bus y etiqueta como medio de transmisión. Comparar con canal ESCON.

Canal virtualVer circuito virtual (VC).

CanaletaCanal montado en la pared que tiene una cubierta removible utilizado para dar apoyo al cableadohorizontal.

Tipo de canal adosado a la pared que tiene una cubierta removible para dar apoyo al cableado hori-zontal. La canaleta es lo suficientemente grande como para contener varios cables.

Canaleta decorativaTipo de canal adosado a la pared que tiene una cubierta removible para dar apoyo al cableado hori-zontal. La canaleta decorativa es de un tamaño suficiente para alojar dos cables.

Capa de aplicaciónLa Capa 7 del modelo de referencia OSI. Esta capa suministra servicios a los procesos de apli-cación (por ejemplo, correo electrónico, transferencia de archivos y emulación de terminal) queestán fuera del modelo OSI. La capa de aplicación identifica y establece la disponibilidad de lossocios de comunicaciones deseados (y los recursos que se requieren para conectarse con ellos),sincroniza las aplicaciones colaboradoras y establece acuerdos con respecto a los procedimientospara la recuperación de errores y el control de la integridad de los datos. Corresponde aproximada-mente a la capa de servicios de transacción del modelo SNA.

Capa de control de enlace de datosLa Capa 2 del modelo de arquitectura SNA. Tiene la responsabilidad de transmitir datos a travésde un enlace físico determinado. Corresponde aproximadamente a la capa de enlace de datos delmodelo OSI.

Capa de control de flujo de datosLa Capa 5 del modelo de arquitectura SNA. Esta capa determina y administra las interaccionesentre los socios de sesión, en especial el flujo de datos. Corresponde a la capa de sesión del mo-delo OSI.

Capa de control de rutaLa Capa 3 del modelo de arquitectura SNA. Esta capa ejecuta servicios de secuenciamiento rela-cionados con el reensamblaje adecuado de los datos. La capa de control de ruta también tiene a sucargo el enrutamiento. Corresponde aproximadamente a la capa de red del modelo OSI.

Capa de control de transmisiónLa Capa 4 del modelo de arquitectura SNA. Esta capa es responsable de establecer, mantener yterminar sesiones SNA, secuenciar mensajes de datos y controlar el flujo de nivel de sesión.Corresponde a la capa de transporte del modelo OSI.

Capa de control físicaLa Capa 1 del modelo de arquitectura SNA. Esta capa tiene a su cargo las especificaciones físicasde los enlaces físicos entre los sistemas finales. Corresponde a la capa física del modelo OSI.

Capa de enlaceVer capa de enlace de datos.

Capa de enlace de datosLa Capa 2 del modelo de referencia OSI. Esta capa suministra un tránsito confiable de datos através de un enlace físico. La capa de enlace de datos se ocupa del direccionamiento físico, latopología de red, la disciplina de línea, la notificación de errores, el envío ordenado de tramas y elcontrol de flujo. El IEEE ha dividido esta capa en dos subcapas: la subcapa MAC y la subcapaLLC. A veces denominada simplemente capa de enlace. Corresponde aproximadamente a la capade control de enlace de datos del modelo SNA.

Capa de presentaciónLa Capa 6 del modelo de referencia OSI. Esta capa garantiza que la información enviada por lacapa de aplicación de un sistema puede ser leída por la capa de aplicación de otro sistema. La capade presentación también se encarga de las estructuras de datos que usan los programas y, por lotanto, negocia la sintaxis de transferencia de datos para la capa de aplicación. Corresponde aproxi-madamente a la capa de servicios de presentación del modelo SNA.

Capa de redLa Capa 3 del modelo de referencia OSI. Esta capa proporciona conectividad y selección de rutasentre dos sistemas finales. La capa de red es la capa en la que se produce el enrutamiento.Corresponde aproximadamente a la capa de control de ruta del modelo SNA.

Capa de servicios de presentaciónLa Capa 6 del modelo de arquitectura SNA. Esta capa suministra administración de recursos de red, servicios de presentación de sesión y algo de administración de aplicaciones. Correspondeaproximadamente a la capa de presentación del modelo OSI.

Capa de servicios de transacciónLa Capa 7 del modelo de arquitectura SNA. Representa funciones de aplicación del usuario comohojas de cálculo, procesamiento de texto o correo electrónico, mediante las cuales los usuarios in-teractúan con la red. Corresponde aproximadamente a la capa de aplicación del modelo de referen-cia OSI.

Capa de sesiónLa Capa 5 del modelo de referencia OSI. Esta capa establece, administra y termina sesiones entreaplicaciones y administra el intercambio de datos entre entidades de capa de presentación.Corresponde a la capa de control de flujo de datos del modelo SNA.

Capa de transporteLa Capa 4 del modelo de referencia OSI. Esta capa es responsable de la comunicación confiablede red entre nodos finales. La capa de transporte suministra mecanismos para establecer, mantenery terminar los circuitos virtuales, detección y recuperación de errores de transporte y control delflujo de información. Corresponde a la capa de control de transmisión del modelo SNA.

Capa físicaLa Capa 1 del modelo de referencia OSI. La capa física define las especificaciones eléctricas,mecánicas, de procedimiento y funcionales para activar, mantener y desactivar el enlace físicoentre sistemas finales. Corresponde a la capa de control física del modelo SNA.

Carga de la tarjeta de funciónVer fcload.

Glosario 285

CASSeñalización asociada al canal.

La transmisión de información de señalización dentro del canal de voz. Con frecuencia se refiere ala señalización CAS como la señalización de robo de bits porque la banda ancha del usuario estásiendo robada por la red para otros fines.

Catalyst 5000Sistema de conmutación modular de Cisco que permite la conexión con Ethernet, CDDI, FDDI ylas LAN y backbones ATM. El switch Catalyst 5000 ejecuta conmutación por paquetes de almace-namiento y reenvío (store-and-forward) y permite que el usuario dedique conexiones de 10 o 100Mbps a los segmentos LAN o a las estaciones finales de alto rendimiento existentes.

CatenetRed en la que los hosts están conectados a diversas redes, que, a su vez, están conectadas con otrosrouters. Internet es un ejemplo conspicuo de una catenet.

CATVTelevisión por cable.

Sistema de comunicación en el que múltiples canales de material de programación se transmiten alos hogares utilizando cable coaxial de banda ancha. Anteriormente denominada Televisión por an-tena comunitaria.

CBDSServicio de datos de banda ancha no orientado a conexión.

Tecnología europea de networking de WAN basada en datagramas, conmutada por paquetes, dealta velocidad. Similar a SMDS.

CBRVelocidad de bit constante.

Clase de QOS (calidad de servicio) definida por el ATM Forum para redes ATM. Se utiliza la CBRpara conexiones que dependen de la temporización precisa para garantizar una entrega sin distor-siones. Comparar con ABR, UBR y VBR.

CBWFQCola equitativa ponderada basada en clases.

Extiende la funcionalidad de WFQ estándar para proveer admisión para las clases de tráficodefinidas por el usuario. Para CBWFQ, defina clases de tráfico basadas en criterios de concordan-cia incluidos protocolos, listas de control de acceso (ACL) e interfaces de entrada.

CCCorriente continua.

Corriente eléctrica que viaja en una sola dirección. La corriente continua generalmente se usa encircuitos electrónicos.


CCITTComité Consultivo Internacional Telegráfico y Telefónico.

Organización internacional responsable del desarrollo de los estándares de comunicaciones.

Ahora se conoce el CCITT como ITU-T.

CCKColocación de claves de código complementarias.

La CCK es una técnica de modulación utilizada en IEEE 802.11b-compatible con LAN inalámbri-cas para la transmisión a 5.5 y 11 Mbps.

CCSSeñalización de canal común.

Sistema de señalización usado en las redes telefónicas que separa la información de señalizaciónde los datos del usuario. Se designa exclusivamente un canal determinado para transportar la infor-mación de señalización de todos los otros canales del sistema.

CCXExtensiones compatibles con Cisco.

El programa CCX para dispositivos de WLAN es un conjunto cambiante de especificaciones parala interoperabilidad, que facilita la comprobación de los clientes fabricantes y provee compatibili-dad comprobada con las innovaciones de infraestructura con licencia de Cisco.

CDDetección de portadora.

Señal que indica si una interfaz está activa. También, una señal generada por un módem que indicaque se ha conectado una llamada.

CDDIInterfaz de datos distribuida por cobre.

Implementación de los protocolos FDDI sobre cableado STP y UTP. La CDDI transmite a travésde distancias relativamente cortas, alrededor de 325 pies (100 m), y suministra velocidades dedatos de 100 Mbps usando una arquitectura de anillo doble para brindar redundancia. Basado en elestándar ANSI de par trenzado que depende del medio físico (TPPMD). Comparar con FDDI.

CDPProtocolo de descubrimiento de Cisco.

Protocolo de descubrimiento de dispositivos independiente de los medios y protocolos que se eje-cuta en todos los equipos fabricados por Cisco, incluyendo routers, servidores de acceso, puentes yswitches. Al usar CDP, el dispositivo puede advertir de su existencia a otros dispositivos y recibirinformación acerca de otros dispositivos ubicados en la misma LAN o en el lado remoto de unaWAN. Se ejecuta en todos los medios que admitan SNAP, incluidas las LAN, Frame Relay y ATM.

Glosario 287

CDPDDatos del paquete digital celular.

Estándar abierto para comunicación de datos inalámbrica de dos vías a través de canales telefóni-cos celulares de alta frecuencia. Permite transmisiones de datos entre un enlace celular remoto yun NAP. Opera a 19.2 Kbps.

CDVTTolerancia a la variación de retardos de las celdas.

Parámetro definido por el ATM Forum para la administración de tráfico ATM. En las transmi-siones CBR, determina el nivel de fluctuación de fase que se puede tolerar para las muestras dedatos tomadas por el PCR.

Celda1) La unidad básica de conmutación y multiplexación ATM. Las celdas contienen identificadoresque especifican el flujo de datos al que pertenecen. Cada celda está compuesta por un encabezadode 5 bytes y 48 bytes de carga. Ver también relay de celda.

2) En la tecnología inalámbrica, una celda es un área de rango o cobertura de radio en la que los dispositivos inalámbricos pueden comunicarse con la estación base. El tamaño de la celda de-pende de la velocidad de transmisión, el tipo de antena utilizada y el entorno físico, como tambiénde otros factores.

Celda de operación, administración y mantenimientoVer celda OAM.

Celda OAMCelda de operación, administración y mantenimiento.

Especificación de ATM Forum para celdas, que se usa para monitorear circuitos virtuales. Las celdas OAM suministran loopback a nivel del circuito virtual en el que el router responde a las cel-das, lo que demuestra que el circuito está activo y que el router está en funcionamiento.

Celdas por segundoVer cps.

CEMACTarjeta de acceso de emulación de circuito.

La tarjeta de emulación del circuito T1 o E1 en el switch LightStream 2020 ATM.

Central telefónica privadaVer PBX.

CentrexUn AT y T PBX que proporciona discado directo interno e identificación de número automáticadel PBX que hace la llamada.

Centro de asistencia técnicaVer TAC.

Centro de información de redVer NIC.


Centro de Investigaciones de Palo AltoVer PARC.

Centro de operaciones de redVer NOC.

Centro de Operaciones de Red de InternetVer INOC.

CFRADVer Cisco FRAD.

CGMPProtocolo de Administración de Grupo de Internet.

Un protocolo desarrollado por Cisco que se ejecuta entre los routers Cisco y switches Catalystpara potenciar la información IGMP en los routers Cisco para hacer que la Capa 2 envíe deci-siones en los puertos del switch Catalyst que están conectados a los receptores interesados.

CGSServidor de gateway compacto.

Router multiprotocolo Cisco de rango medio, diseñado para entornos regionales y de distritos me-dianos y pequeños. El CGS es un router de 2 ranuras que admite hasta cuatro interfaces (todas delmismo tipo).

CHAPProtocolo de autenticación de intercambio de señales.

Característica de seguridad que se admite en las líneas que usan encapsulamiento PPP, que evita elacceso no autorizado. El CHAP en sí mismo no evita el acceso no autorizado, simplemente identi-fica el extremo remoto. Luego el router o servidor de acceso determinan si se permite el acceso aese usuario. Comparar con PAP.

Chat scriptCadena de texto que define la “conversación” de conexión que se produce entre dos sistemas. Estácompuesto por pares de espera-envío que definen la cadena que el sistema local espera recibir delsistema remoto y lo que el sistema local debe enviar como respuesta.

CheapernetTérmino industrial que se usa para referirse al estándar IEEE 802.3 10BASE2 o al cable especifi-cado en ese estándar. Comparar con Thinnet.

Checksum1) Método para controlar la integridad de los datos transmitidos. La checksum es el valor de unnúmero entero que se calcula a partir de una secuencia de octetos a través de una serie de opera-ciones aritméticas. El valor se vuelve a calcular en el extremo receptor y se compara para verificarlo.

2) La checksum calculada de los campos encabezado y datos.

Checksum del encabezadoCampo dentro de un datagrama IP que indica la verificación de integridad del encabezado.

Glosario 289

CIAEspecificación para ejecutar IP a través de ATM de modo tal que saque provecho de todas las ca-racterísticas de ATM. Definido en RFC 1577.

Ciclos por segundoVer hercio.

CICNetRed regional que conecta a las organizaciones académicas, de investigación, sin fines de lucro ycomerciales de los estados centrales de Estados Unidos de Norteamérica. Fundada en 1988,CICNet formó parte de NSFNET y contó con el respaldo de NSF hasta que la NSFNET se disol-vió en 1995.

CIDREnrutamiento entre dominios sin clase.

Técnica admitida por BGP4 y basada en la unificación de rutas. El CIDR permite que los routersagrupen rutas para reducir la cantidad de información de enrutamiento que transportan los rou-ters centrales. Con el CIDR, varias redes IP aparecen como una entidad única, de mayor enver-gadura, para las redes que no pertenecen al grupo.

CIOInformación en línea de Cisco.

Servicio en línea disponible para los clientes de Cisco que brinda servicios electrónicos e informa-ción en línea relacionada con los productos Cisco. Los servicios CIO incluyen información acercadel producto, actualizaciones de software, notas de versión, consejos técnicos, notas de configu-ración, folletos y ofertas de elementos para descargar.

CIPProcesador de interfaz de canal.

Interfaz de conexión de canal para los routers Cisco de la serie 7000. El CIP se usa para conectarun mainframe host con una unidad de control, y elimina la necesidad de contar con un FEP para laconexión de canal.

CIRVelocidad de información suscrita.

Velocidad a la cual una red Frame Relay acepta transferir información en condiciones normales,con un promedio sobre un incremento de tiempo mínimo. La CIR, que se mide en bits por se-gundo, es una de las métricas clave del tráfico negociado.

CircuitoRuta de comunicación entre dos o más puntos.

Circuito abiertoRuta interrumpida a lo largo de un medio de transmisión. Los circuitos abiertos generalmenteimpiden la comunicación en la red.

Circuito virtualAgrupación lógica de circuitos virtuales que conectan dos sitios.

Ver VC.


Circuito virtual conmutadoVer SVC.

Circuito virtual permanenteVer PVC.

Cisco 1000Cualquiera de los routers y extensores de LAN Cisco de la serie 1000. La serie 1000 de Cisco estácompuesta por productos de acceso multiprotocolo económicos, fáciles de instalar, diseñados parapequeñas oficinas y otros sitios remotos. La serie 1000 de Cisco incluye un router RDSI, un routerasíncrono y extensores de LAN.

Cisco 2500Cualquiera de los routers y servidores de acceso Cisco de la serie 2500, incluidos los routers LANindividuales; routers de extremo inferior específicos para la misión; combinaciones de router/hub;servidores de acceso y routers LAN duales. El Cisco 2500 está diseñado para pequeñas oficinas yotros sitios remotos y ejecuta el software Cisco IOS.

La serie Cisco 2500 también es conocida como la serie Cisco Access Server 2500.

Cisco 4000Cualquiera de los routers Cisco de la serie 4000 diseñado para una amplia variedad de entornos in-formáticos de red. Los routers Cisco de la serie 4000 ejecutan el software Cisco IOS y se puedenoptimizar para entornos específicos mediante configuraciones personalizadas.

Cisco 5100Plataforma de comunicación de datos de Cisco que combina las funciones de un servidor de ac-ceso Cisco con módems analógicos y digitales, CSU y bancos de canal T1. El Cisco 5100 está op-timizado para el acceso de alta velocidad por módem y es adecuado para las aplicaciones de ac-ceso telefónico, incluidos acceso de host, correo electrónico, transferencia de archivos y accesotelefónico a una LAN.

El Cisco 5100 es también conocido como Cisco Access Server 5100.

Cisco 7000Cualquiera de los routers Cisco de la serie 7000 (Cisco 7000 o Cisco 7010), una plataforma derouter de extremo superior que admite una amplia gama de interfaces de red y tipos de medios yestá diseñada para ser utilizada en redes empresariales. Los routers Cisco de la serie 7000 ejecutanel software Cisco IOS y admiten reconfiguración de software en línea, OIR, arranque rápido, mo-nitoreo del entorno, autodiagnósticos, fuentes de alimentación redundantes y memoria Flash.

Cisco 7500Cualquiera de los routers Cisco de la serie 7500, una plataforma de router multiprotocolo de ex-tremo superior diseñada para ser utilizada en redes empresariales. Los routers Cisco de la serie7500 ejecutan el software Cisco IOS e implementan una arquitectura de multiprocesadores dis-tribuida compuesta por CyBus, RSP y VIP.

Cisco Extended BusVer CxBus.

Cisco FRADDispositivo de acceso Cisco Frame Relay.

Glosario 291

Producto de Cisco que admite los servicios SNA Frame Relay de Cisco IOS, y que se puede actuali-zar para convertirse en un router multiprotocolo con todas las funciones. Cisco FRAD conecta losdispositivos SDLC con Frame Relay sin necesidad de que exista una LAN. Sin embargo, CiscoFRAD admite las LAN conectadas y puede ejecutar la conversión de SDLC a Ethernet y Token Ring.

CiscoFusionArquitectura de internetworking de Cisco que “fusiona” las ventajas de escalabilidad, estabilidad yseguridad que brindan las tecnologías de enrutamiento más recientes con los beneficios derendimiento de ATM y conmutación LAN y los beneficios de administración de las VLAN.

Cisco LightStream 100Switch ATM Cisco LightStream 100.

Un switch ATM completamente no bloqueante que opera hasta 2.4 Gbps y admite múltiples líneasATM de velocidad de datos de 155 Mbps así como una gran cantidad de interfaces LAN y WAN.El switch LightStream 100 puede brindar servicio como parte de un grupo de trabajo ATM o de unpequeño backbone de un campus que conecta una cantidad de routers ATM, switches LAN multi-capas y servidores y clientes de alto rendimiento.

Cisco LightStream 2020Switch ATM empresarial Cisco LightStream 2020.

Para aplicaciones en campus y áreas amplias. El switch ATM LightStream 2020 admite enlacestroncales que operan a velocidades de datos T1/E1 y suministra una ruta de migración a través deT3/E3 hacia el enlace troncal SONET/SDH OC-3. Los módulos de extremo inteligenteLightStream 2020 admiten una diversidad de servicios, incluido el envío de tramas, Frame Relay,ATM UNI e internetworking LAN.

CiscoViewAplicación de software para administración de dispositivos basada en GUI que brinda estadodinámico, estadísticas y amplia información acerca de la configuración para los dispositivos de in-ternetworking de Cisco. Además de suministrar una vista física del chasis del dispositivo Cisco,CiscoView también brinda funciones de monitoreo de dispositivo y capacidades básicas de diag-nóstico de fallas, y se puede integrar con varias de las plataformas líderes de administración de redbasadas en SNMP.

CiscoWorksConjunto de aplicaciones de software para administración de internetwork basadas en SNMP. Cisco-Works incluye aplicaciones para monitorear el estado del router y del servidor de acceso, gestionarlos archivos de configuración y diagnosticar los problemas de las redes. Las aplicacionesCiscoWorks se integran en varias plataformas de administración de red basadas en SNMP, incluidasSunNet Manager, HP OpenView e IBM NetView.

CKIPProtocolo Cisco de integridad de clave.

CKIP es la implementación Cisco de PPK.

Clase de servicioVer COS.

CLAWAcceso al enlace común para estaciones de trabajo.


Protocolo de la capa de enlace de datos que usa el sistema RISC conectado al canal/sistemas dela serie 6000 y dispositivos IBM 3172 que ejecutan TCP/IP de circuito abierto. El CLAW mejora laeficiencia del uso del canal y permite que CIP brinde la funcionalidad de un 3172 en entornosTCP/IP y admita la conexión directa con el canal. El resultado del procesamiento mainframe TCP/IPes un conjunto de datagramas IP que el router puede conmutar sin que se produzcan modificaciones.

CLCTarjeta de línea de celda.

Tarjeta del switch ATM LightStream 2020 que, junto con una tarjeta de acceso, admite hasta dospuertos extremos OC-3c o un puerto troncal OC-3c. Una CLC puede configurarse como tarjeta deextremo o tarjeta troncal.

CLECPortadora competitiva de intercambio local.

Una compañía que construye y opera redes de comunicación en áreas metropolitanas y provee asus clientes de una alternativa a la compañía telefónica local.

CLIInterfaz de la línea de comando.

Interfaz de la línea de comando del LightStream 2020 que se ejecuta en las estaciones NP y SunSPARC y se usa para monitorear y controlar una red ATM.

Cliente1) Nodo o programa de software (dispositivo front-end) que solicita servicios a un servidor. Vertambién back end, front end y servidor.

2) En la tecnología inalámbrica, un cliente es un dispositivo de radio que usa los servicios de unPunto de acceso para comunicarse de manera inalámbrica con otros dispositivos de una red deárea local.

Cliente de emulación de LANVer LEC.

CLNPProtocolo de red no orientado a conexión.

La pila del protocolo desarrollado originalmente como reemplazo para el TCP/IP con la anticipa-ción que este conjunto OSI asumiría estando basado en el modelo estándar de la capa 7 de OSI.Esto no ha sucedido. Sin embargo, un protocolo dentro del CLNP llamado IS-IS se ha populari-zado mucho dentro de la comunidad de Internet debido a su escalabilidad a medida que creceInternet.

CLNSServicio de red no orientado a conexión.

El servicio de capa de red OSI es similar al servicio IP básico. Una entidad CLNS se comunicasobre el Protocolo de red sin conexión (CLNP) con su entidad CLNS par. CLNP es el equivalenteOSI de IP. CLNP provee la interfaz entre CLNS y capas superiores. CLNS no realiza configu-ración o terminación de conexión porque los pasos son determinados independientemente paracada paquete que se transmite a través de la red. Además, CLNS provee entrega con mejor

Glosario 293

esfuerzo, lo que significa que no existe garantía de que los datos no se pierdan, corrompan, desor-denen o dupliquen. CLNS se basa en los protocolos de capa de transporte para realizar la detec-ción y corrección de errores.

CLPPrioridad de pérdida de celda.

Campo del encabezado de celda ATM que determina la probabilidad de que una celda se descartesi la red se congestiona. Las celdas cuyo CLP = 0 tienen el tráfico garantizado, y es poco probableque se lo descarte. Las celdas con CLP = 1 tienen tráfico de máximo esfuerzo, que posiblementese descarte en condiciones en las que hay congestión para liberar recursos y poder manejar el trá-fico asegurado.

CMIInversión de marca codificada.

Técnica de codificación de línea UIT-T especificada para transmisiones STS-3c. También se usaen los sistemas DS-1.

CMICControl Cisco de integridad del mensaje.

La implementación Cisco de MIC.

CMIPProtocolo de información administrativa común.

Protocolo de administración de red del modelo OSI creado y estandarizado por ISO para el moni-toreo y control de redes heterogéneas.

CMISServicios de información administrativa común.

Interfaz de servicio de administración de red del modelo OSI creado y estandarizado por ISO parael monitoreo y control de redes heterogéneas.

CMNSServicio de red en modo conexión.

Extiende la conmutación X.25 local a una diversidad de medios (Ethernet, FDDI, Token Ring).

CMTAdministración de conexión.

Proceso FDDI que gestiona la transición del anillo a través de sus diversos estados (apagado, ac-tivo, conectado, etc.), tal como se define en la especificación ANSI X3T9.5.

COOficina central.

Oficina de la compañía telefónica local con la que se conectan todos los loops locales en un áreadeterminada y en la que se produce la conmutación de circuitos de las líneas del abonado.


CODECCodificador-decodificador.

Dispositivo que generalmente usa PCM para transformar las señales analógicas en un flujo de bitsdigital, y las señales digitales en señales analógicas.

CodificaciónProceso por el cual los bits se representan a través de voltajes.

Técnicas eléctricas que se usan para transmitir señales binarias.

Codificación bifaseEsquema de codificación bipolar desarrollado originalmente para su uso en Ethernet. La informa-ción de temporización se encuentra incorporada en el flujo de datos síncronos y se recupera de allí,sin necesidad de contar con conductores de temporización individuales. La señal bifase no con-tiene energía de corriente continua.

Codificación de forma de ondaTécnicas eléctricas que se usan para transmitir señales binarias.

Codificación de la carga de la celdaTécnica utilizada en el switch ATM LightStream 2020 para mantener el entramado en algunas in-terfaces troncales y de extremo de mediana velocidad.

Codificación diferencialTécnica de codificación digital en la que se denota un valor binario a través de un cambio de señalen lugar de un nivel de señal determinado.

Codificación diferencial de ManchesterEsquema de codificación digital en el que se usa una transición de tiempo medio del bit para latemporización, y una transición al comienzo de cada tiempo del bit denota un cero. Esquema decodificación utilizado por las redes IEEE 802.5 y Token Ring.

Codificación ManchesterEsquema de codificación digital, utilizado por IEEE 802.3 y Ethernet, en el que se usa una transi-ción de tiempo medio de bit para la temporización y el 1 se denota por un nivel alto durante laprimera mitad del tiempo de bit.

CodificadorDispositivo que modifica la información al formato de transmisión requerido.

Codificador-decodificadorVer CODEC.

Cola1) Generalmente, una lista ordenada de elementos que esperan ser procesados.

2) En enrutamiento, conjunto de paquetes que esperan ser enviados a través de una interfaz de router.

Cola de baja latenciaVer LLQ.

Glosario 295

Cola de prioridadVer PQ.

Cola equitativa ponderadaVer WFQ.

Cola equitativa ponderada basada en clasesVer CBWFQ.

Cola equitativa ponderada distribuidaVer dWFQ.

Cola FIFOCola First In First Out.

Algoritmo clásico para la transmisión de paquetes. Con FIFO, la transmisión se produce en el mismoorden en que se reciben los mensajes. Hasta hace poco tiempo, la cola FIFO es la predeterminadapara todas las interfaces de router con banda ancha mayor a 2.048 Mbps.

Cola First In First OutVer cola FIFO.

Cola personalizadaVer CQ.

ColisiónEn Ethernet, el resultado de dos nodos que transmiten de forma simultánea. Las tramas de cadauno de los dispositivos chocan y se dañan cuando se encuentran en el medio físico.

Comisión Electrotécnica InternacionalVer IEC.

Comisión Federal de ComunicacionesVer FCC.

Comité Consultivo Internacional TelegráficoVer CCITT.

Companding (compansión)Contracción que deriva de los procesos opuestos de compresión y expansión. Parte del procesoPCM por el que los valores de la señal analógica se redondean de forma lógica para obtener valo-res discretos en pasos de escalón en una escala no lineal. Luego, el número decimal discreto se codifica a su equivalente binario antes de la transmisión. El proceso se invierte en la terminal receptora usando la misma escala no lineal. Comparar con compresión y expansión.

Compañía Operadora BellVer BOC.

Compañía Operativa Regional BellVer RBOC.

Compañía Regional Bell HoldingVer RBHC.


CompresiónEl paso de un conjunto de datos a través de un algoritmo que reduce el espacio que se requierepara guardar o el ancho de banda que se requiere para transmitir el conjunto de datos. Compararcon compansión y expansión.

Comprobación de redundancia cíclicaVer CRC.

ComunicaciónTransmisión de la información.

Comunicación avanzada de programa a programaVer APPC.

Comunicación síncrona binariaVer BSC.

ComunidadEn SNMP, grupo lógico de dispositivos administrados y NMS en el mismo dominio administrativo.

Comunidades SNMPEsquema de autenticación que permite que un dispositivo de red inteligente valide las peticionesSNMP de fuentes tales como un NMS. Un switch ATM LightStream 2020, por ejemplo, respondesólo a las peticiones SNMP que provienen de miembros de comunidades conocidas y que tienenlos privilegios de acceso requeridos para dicha petición.

Concentración DSPUVer DSPU y PU.

ConcentradorVer hub.

Concentrador de grupo de trabajo CDDI/FDDIVer Concentrador de grupo de trabajo de Cisco.

Concentrador de grupo de trabajo de CiscoConjunto de concentradores de grupo de trabajo de Cisco que combinan el factor de forma com-pacta de los concentradores de grupo de trabajo con la versatilidad de los hubs modulares. Admitede 4 a 32 combinaciones de puertos CDDI o FDDI.

ConductorCualquier material con baja resistencia a la corriente eléctrica. Cualquier material capaz de trans-portar una corriente eléctrica.

Conectado al canalSe refiere a la conexión de dispositivos directamente a través de canales de datos (canales de en-trada/salida) a un equipo.

Conector BNCConector estándar utilizado para conectar el cable coaxial IEEE 802.3 10BASE2 a una MAU.

Glosario 297

Conector DBConector del bus de datos.

Tipo de conector que se usa para conectar cables seriales y paralelos con un bus de datos. Losnombres del conector DB tienen un formato DB-x, donde x representa la cantidad de (hilos) dentrodel conector. Cada línea está conectada a un pin del conector pero, en muchos casos, no todos lospins tienen una función asignada. Los conectores DB se definen a través de diversos estándaresEIA/TIA.

Conector de interfaz de mediosVer MIC.

Conector del bus de datosVer conector DB.

Conector Deutsche Industrie NormVer conector DIN.

Conector DINConector Deutsche Industrie Norm.

Conector de múltiples pins que se usa en algunos equipos Macintosh y PC IBM compatibles y enalgunos paneles del procesador de red.

Conector macho registradoVer conector RJ.

Conector RJConector macho registrado.

Conectores estándar que se usaban originalmente para conectar las líneas telefónicas. En la actua-lidad, los conectores RJ se usan para conexiones telefónicas y para conexiones 10BASE-T y otrotipo de conexiones de red. Los RJ-11, RJ-12 y RJ-45 son tipos populares de conectores RJ.

Conexión cruzada horizontalVer HCC.

Conexión cruzada intermediaVer ICC.

Conexión cruzada principalVer MCC.

Conexión de canal virtualVer VCC.

Conexión de ruta virtualVer VPC.

Conexión del circuito virtualVer VCC.

Conexión del sistema empresarialVer ESCON.


Conexión punto a multipuntoUno de dos tipos fundamentales de conexión. En ATM, una conexión punto a multipunto es unaconexión unidireccional en la que un sistema de extremo de un solo origen (conocido como nodoraíz) se conecta a sistemas de extremo de múltiples destinos (conocidos como terminales).Comparar con conexión punto a punto.

Conexión punto a puntoUno de dos tipos fundamentales de conexión. En ATM, una conexión punto a punto puede ser unaconexión unidireccional o bidireccional entre dos sistemas de extremo de ATM. Comparar con co-nexión punto a multipunto.

Conexión remotaVer rlogin.

Conexión virtual conmutadaVer SVC.

Conexión virtual permanenteVer PVC.

Configuración balanceadaEn HDLC, una configuración de red punto a punto con dos estaciones combinadas.

Configuración básicaLa información de configuración mínima que se introduce cuando se instala un nuevo router,switch u otro dispositivo de red configurable en una red. La configuración básica del switch ATMLightStream 2020, por ejemplo, incluye direcciones IP, la fecha y los parámetros para al menosuna línea troncal. La configuración básica permite que el dispositivo reciba una configuracióncompleta del NMS.

Configuración no balanceadaConfiguración HDLC con una estación primaria y múltiples estaciones secundarias.

ConformaciónVer conformación del tráfico.

Conformación del tráficoUso de colas para limitar las ráfagas de alto tráfico que pueden congestionar una red. Los datos secolocan en un búfer y luego se envían a la red en cantidades reguladas para garantizar que el trá-fico se encuadre dentro del tráfico prometido para esa conexión en particular. La conformación deltráfico se usa en ATM, Frame Relay y otro tipo de redes.

A la conformación del tráfico se la conoce como medición, modelado o aproximación.

CongestiónTráfico que excede la capacidad de la red.

Conjunto de datos listoVer DSR.

Conjunto de discosLa combinación de una unidad de disco duro, una unidad de disquete y el suministro de energíadel disco en un switch ATM LightStream 2020. Cada tarjeta NP de un chasis LigthtStream 20202tiene su propio conjunto de discos.

Glosario 299

Conjunto de servicios básicosVer BSS.

Conjunto de servicios extendidosVer ESS.

Conmutación de circuitosSistema de conmutación en el que debe existir un circuito físico dedicado entre el emisor y el re-ceptor durante la “llamada”. Se usa mucho en las redes de las compañías telefónicas. La conmuta-ción de circuitos se puede contrastar con la contención y la transmisión de tokens como método de acceso al canal, y con la conmutación de mensajes y conmutación de paquetes como técnica deconmutación.

Conmutación de etiqutas de multiprotocolo/Ingeniería de tráficoVer MPLS/TE.

Conmutación de etiquetas del multiprotocolo (MPLS)Ver MPLS.

Conmutación de mensajesTécnica de conmutación que involucra la transmisión de mensajes de nodo a nodo a través de lared. El mensaje se guarda en cada nodo hasta el momento en el que la ruta de envío estédisponible. Ver la diferencia con conmutación de circuito y conmutación de paquetes.

Conmutación de paquetesMétodo de networking en el que los nodos comparten el ancho de banda entre ellos mediante elenvío de paquetes. Comparar con conmutación de circuito y conmutación de mensajes.

Conmutación de paquetes al instanteVer conmutación de paquetes por método de corte.

Conmutación de paquetes por almacenamiento y envíoTécnica de conmutación de paquetes en la que las tramas se procesan completamente antes de serenviadas a través del puerto adecuado. Este procesamiento incluye el cálculo de CRC y la verifi-cación de la dirección destino. Además, las tramas se deben guardar temporalmente hasta que losrecursos de red (por ejemplo, un enlace no utilizado) están disponibles para enviar el mensaje.Contrastar con conmutación de paquetes por método de corte.

Conmutación de paquetes por método de corteMétodo de conmutación de paquetes que dirige los datos a través de un switch de modo que el ex-tremo inicial de un paquete salga del switch en el puerto de salida, antes de que el paquete terminede ingresar al puerto de entrada. Un dispositivo que usa la conmutación de paquetes por método decorte lee, procesa y envía paquetes en cuanto se detecta la dirección destino y se determina elpuerto de salida. Ver la diferencia con conmutación de paquetes por almacenamiento y envío.

La conmutación de paquetes por método de corte también es conocida como conmutación instan-tánea de paquetes.

Conmutación de procesoOperación que suministra evaluación completa de ruta y balanceo de carga por paquete a través deenlaces WAN paralelos. Involucra la transmisión de tramas completas hacia la CPU del routerdonde se las vuelve a empaquetar para su envío a o desde una interfaz WAN, donde el router haceuna selección de ruta para cada paquete. La conmutación de proceso es la operación de con-mutación que utiliza mayor cantidad de recursos que la CPU puede ejecutar.


Conmutación lentaProcesamiento de paquetes que se ejecuta a velocidades de nivel de proceso, sin que se use cachéde ruta. Contrastar con conmutación rápida.

Conmutación por enlace de datosVer DLSw.

Conmutación por silicioConmutación basada en SSE, que permite el procesamiento de paquetes independientes del proce-sador del Sistema procesador de switch de silicio (SSP). La conmutación por silicio suministraconmutación por paquetes dedicada, de alta velocidad.

Conmutación rápidaCaracterística de Cisco por la cual la memoria caché de la ruta se usa para acelerar la conmutaciónde paquetes a través de un router. Ver la diferencia con conmutación lenta.

CONPProtocolo de red orientado a conexión.

Protocolo del modelo OSI que brinda operación orientada a conexión a los protocolos de capasuperior.

Consejo de Arquitectura de InternetVer IAB.

Consejo Federal de RedesVer FNC.

ConsolaDTE a través del cual se introducen los comandos en un host.

ConsultaMensaje que se usa para consultar el valor de alguna variable o conjunto de variables.

ContenciónMétodo de acceso en el que los dispositivos de red compiten para obtener permiso para acceder almedio físico. Ver la diferencia con conmutación de circuito y transmisión de token.

ContenidoParte de la trama que contiene información (datos) de capa superior.

Conteo de saltosMétrica de enrutamiento que se usa para medir la distancia entre un origen y un destino. El RIPusa el número de saltos como única métrica.

Control de acceso al medioVer MAC.

Control de admisiónVer políticas con respecto al tráfico.

Control de admisión de llamadaMecanismo de administración del tráfico utilizado en las redes ATM que determina si la red puedebrindar una ruta con ancho de banda suficiente para una VCC solicitada.

Glosario 301

Control de admisión de redVer NAC.

Control de enlace de datos de alto nivelVer HDLC.

Control de enlace de datos síncronoVer SDLC.

Control de enlace lógicoVer LLC.

Control de enlace lógico calificadoVer QLLC.

Control de enlace lógico, tipo 2Ver LLC2.

Control de erroresTécnica para detectar y corregir errores en las transmisiones de datos.

Control de flujo de la ventana deslizanteMétodo de control de flujo en el que un receptor le otorga permiso al transmisor para transmitirdatos hasta que una ventana esté completa. Cuando la ventana está completa, el transmisor debe de-tener la transmisión hasta que el receptor publique una ventana más grande. TCP, otros protocolosde transporte y varios protocolos de capa de enlace de datos usan este método de control de flujo.

Control de flujo isarrítmicoTécnica de control de flujo en la que viajan permisos a través de la red. La posesión de estos per-misos otorga el derecho de transmitir datos. El control de flujo isarrítmico no se implementa muya menudo.

Control de paridadProceso para verificar la integridad de un caracter. La verificación de paridad implica agregar unbit que hace que el total de dígitos binarios de valor 1 en un caracter o palabra (incluido el bit deparidad) sea impar (para paridad impar) o par (para paridad par).

Control de parámetros de usoVer UPC.

Control de tarjeta de extremoVer ECC.

Control de tarjeta de líneaVer LCC.

Control del flujoTécnica que garantiza que una entidad que realiza la transmisión, por ejemplo, un módem, noabrume a la entidad receptora con datos. Cuando los búferes del dispositivo receptor están llenos,se envía un mensaje al dispositivo emisor indicando que se debe suspender la transmisión hastaque los datos del búfer se hayan procesado. En las redes IBM, esta técnica se denomina pacing(ritmo).

Controlador CiscoBusVer SP.


Controlador de acceso de terminalVer TAC.

Controlador de clúster1) Por lo general, un dispositivo inteligente que suministra las conexiones para un clúster de termi-nales con un enlace de datos.

2) En SNA, dispositivo programable que controla las operaciones de entrada/salida de los disposi-tivos conectados. Generalmente, un dispositivo IBM 3174 ó 3274.

Controlador de comunicaciónEn SNA, nodo de subárea (por ejemplo, un dispositivo IBM 3745) que contiene un NCP.

Controlador inalámbricoDispositivo utilizado en una topología WAN centralizada que maneja la autenticación, asociación,movilidad y traducción y puenteo de trama.

ConvergenciaLa velocidad y la capacidad de un grupo de dispositivos de networking que ejecutan un protocolode enrutamiento específico para concordar acerca de la topología de una internetwork después deque se produce un cambio en dicha topología.

ConversaciónEn SNA, una sesión LU 6.2 entre dos programas de transacción.

Conversor de protocoloPermite que equipos con distintos formatos de datos se comuniquen al convertir el código de trans-misión de datos de un dispositivo en el código de transmisión de datos del otro dispositivo.

Corporación para Investigación y Redes EducacionalesVer CREN.

Correo electrónicoServicio de correo electrónico.

Aplicación de red utilizada ampliamente en la que los mensajes de correo se transmiten electrónica-mente entre los usuarios finales a través de diversos tipos de redes usando diversos protocolos de red.

Correo, teléfono y telégrafoVer PTT.

COS1) Clase de servicio. Indicación que se refiere a la forma en la que un protocolo de capa superiorrequiere que un protocolo de capa inferior maneje sus mensajes. En el enrutamiento de subáreaSNA, los nodos de subárea utilizan las definiciones COS para determinar la ruta óptima para es-tablecer una sesión específica. La definición COS abarca un número de ruta virtual y un campo deprioridad de transmisión. También conocido como tipo de servicio (TOS).

2) Empresa para sistemas abiertos. Organización que promueve el uso de protocolos del modeloOSI mediante verificación de cumplimiento, certificación y actividades relacionadas.

Glosario 303

CostoValor arbitrario, generalmente basado en el número de saltos, ancho de banda de los medios uotras medidas, que se asigna a través de un administrador de red y que se usa para comparar variasrutas a través de un entorno de internetwork. Los protocolos de enrutamiento usan los valores de costo para determinar la ruta más favorable hacia un destino en particular: cuanto menor sea elcosto, mejor será la ruta.

El costo también se denomina costo de ruta.

Costo de la rutaVer costo.

CPEEquipo local del cliente.

Equipo terminal, por ejemplo, terminales, teléfonos y módems, suministrados por la compañíatelefónica, instalado en el sitio del cliente y conectado a la red de la compañía telefónica.

CPI-CInterfaz de programación común para comunicaciones.

API de plataforma independiente desarrollado por IBM y utilizado para proporcionar portabilidada las aplicaciones APPC.

CpsCeldas por segundo.

CPUUnidad de procesamiento central.

La parte del equipo que controla todas las demás. Busca instrucciones en la memoria y las decodi-fica. Esto puede provocar la transferencia de datos hacia la memoria o desde ésta, o activar dispo-sitivos periféricos para ejecutar la entrada o salida.

CQCola personalizada.

Método de cola que se utiliza para garantizar el ancho de banda para el tráfico asignando un espa-cio de cola para cada protocolo.

CRCComprobación de redundancia cíclica.

Técnica de verificación de errores en la que el receptor de la trama calcula el resto dividiendo elcontenido de la trama por un divisor binario primo y compara el resto calculado con un valor al-macenado en la trama por el nodo emisor.

Creación de superredesEl agregado de direcciones de red IP se publicó como dirección única de red sin clase. Por ejem-plo: dadas cuatro redes Clase C IP-192.0.8.0, 192.0.9.0, 192.0.10.0 y 192.0.11.0-cada una te-niendo la máscara intrínseca de 255.255.255.0, una puede publicar la dirección 192.0.8.0 con unamáscara de subred de 255.255.252.0.


CRENCorporación para Investigación y Redes Educacionales.

El resultado de la fusión de BITNET y CSNET. CREN está dedicada a brindar conectividad deInternet a sus miembros, entre los que se incluyen ex alumnos, estudiantes, docentes y otros afilia-dos de las instituciones educativas y de investigación participantes, a través de BITNET III.

CSLIPProtocolo Internet de línea serial comprimido.

Extensión del SLIP que, cuando es necesario, permite que sólo la información del encabezado seenvíe a través de una conexión SLIP, y así disminuye el gasto de encabezado y aumenta elrendimiento de los paquetes a través las líneas SLIP.

CSMA/CDAcceso múltiple con detección de portadora/detección de colisiones.

Mecanismo de acceso a los medios en que los dispositivos que están listos para transmitir datosverifican primero el canal en busca de una portadora. Si no se detecta ninguna portadora duranteun período determinado, el dispositivo puede comenzar a transmitir. Si dos dispositivos transmitenal mismo tiempo, se produce una colisión que es detectada por todos los dispositivos que hantenido una colisión. Esta colisión retarda las transmisiones desde aquellos dispositivos durante unperíodo aleatorio. El acceso CSMA/CD se usa en Ethernet e IEEE 802.3.

CSNETRed informática.

Internetwork de gran tamaño, compuesta principalmente por universidades, instituciones y empre-sas comerciales. CSNET se fusionó con BITNET para crear CREN.

CSUUnidad de servicio de canal.

Dispositivo de interfaz digital que conecta el equipo del usuario final con el loop telefónico digitallocal. A menudo se denomina, de forma conjunta con la DSU, como CSU/DSU.

CsumonHerramienta disponible en el switch ATM LightStream 2020, a la que se puede acceder desde elshell (intérprete de comandos) bash. Csumon permite la conexión con una CSU/DSU externa enuna línea de baja velocidad para fines de monitorización y control, y puede mostrar estadísticasacerca de una CSU/DSU interna de línea de velocidad intermedia.

CTSPreparado para enviar. Circuito de la especificación EIA/TIA-232 que se activa cuando el DCEestá listo para aceptar datos del DTE.

Cuenta a infinitoProblema que se puede producir en los algoritmos de enrutamiento cuya convergencia es lenta, enel que los routers incrementan continuamente el número de saltos para redes particulares. En gene-ral, se impone algún límite arbitrario en el número de saltos para evitar este problema.

Glosario 305

Cuenta fldsup (fldsup account)Cuenta del personal de servicio de campo.

Una de las cuatro cuentas de usuario predeterminadas que se crean en fábrica en cada switch ATMLightStream 2020. La cuenta fldsup es para uso exclusivo del personal de servicio de campo. Suinterfaz por defecto es el shell (intérprete de comandos) bash.

Cuenta npadminUna de las cuatro cuentas de usuario predeterminadas que se crean en fábrica en cada switch ATMLightStream 2020. La npadmin account es una cuenta para usuarios privilegiados. Su interfaz pre-determinada es CLI.

Cuenta operUna de las cuatro cuentas de usuario predeterminadas que se crean en fábrica en cada switch ATMLightStream 2020. La cuenta oper es una cuenta para usuarios generales. Su interfaz predetermi-nada es CLI.

Cuenta raíz1) Cuenta privilegiada de los sistemas UNIX utilizada exclusivamente por la red o los administra-dores de sistemas.

2) Una de las cuatro cuentas predeterminadas de usuario que se crean en fábrica en cada switchATM LightStream 2020. La cuenta raíz es para uso exclusivo del administrador de red o de sis-temas. Su interfaz predeterminada es el shell (intérprete de comandos) bash. Ver también bash.

Cuerda para tendido de cablesCuerda sólida y pesada que se usa para tender cables en múltiples tendidos.

Cumplimiento de velocidadVer políticas con respecto al tráfico.

CxBusCisco Extended Bus.

Bus de datos para procesadores de interfaz de los routers Cisco de la serie 7000 que operan a533 Mbps.

CyBusBus de datos de 1.067 Gbps para procesadores de interfaz. Se utiliza en los routers Cisco de laserie 7500.

Código ampliado de caracteres decimal codificados en binarioCódigo ampliado de caracteres decimal codificados en binario. Ver EBCDIC.

Código de corrección de erroresCódigo que posee la suficiente inteligencia e incorpora la suficiente información de señalizaciónpara permitir la detección y corrección de varios errores en el receptor.

Código de detección de erroresCódigo que puede detectar errores de transmisión a través del análisis de los datos recibidosbasándose en el cumplimiento de las pautas estructurales adecuadas por parte de los datos.

Código normalizado estadounidense para el intercambio de la informaciónVer ASCII.


Daemon de descubrimiento de ubicaciónVer ND.

Daemon de distribución de información globalVer GID.

Daemon de impresora de líneasVer LPD.

DARPAAgencia de Proyectos de Investigación Avanzada para la Defensa.

Organismo gubernamental estadounidense que respalda la investigación y experimentación conInternet. Se desarrolló a partir de ARPA y luego, en 1994, volvió a formar parte de ARPA.

DARPA InternetTérmino obsoleto que se usa para referirse a Internet. Ver Internet.

DatagramaAgrupación lógica de información que se envía como una unidad de capa de red a través de unmedio de transmisión, sin establecer con anterioridad un circuito virtual. Los datagramas IP sonlas unidades principales de información de Internet. Los términos trama, mensaje, paquete y seg-mento también se usan para describir las agrupaciones de información lógica en las diversas capasdel modelo de referencia OSI y en los diversos círculos tecnológicos.

Datagrama IPUnidad fundamental de información pasada a través de Internet. Contiene direcciones de origen ydestino junto con datos y un número de campos que define, entre otros, la longitud del datagrama,la checksum del encabezado y etiquetas que indican si el datagrama puede ser (o fue) fragmentado.

DatosDatos del protocolo de capa superior.

Datos del paquete digital celularVer CDPD.

dBDecibelios.

La velocidad entre dos niveles de señal. Es una medida física sin unidad de fuerza de señal.

dBiUna velocidad de decibeles a una antena isotrópica que comúnmente se utiliza para medir la efec-tividad de la antena. Cuanto mayor es el valor de dBi, más alta es la efectividad y más preciso elángulo de cobertura.

DCAAgencia de Comunicaciones para la Defensa.

Organización gubernamental de E.U. responsable de las redes DDN, por ejemplo, MILNET.

En la actualidad se conoce a la DCA como DISA.

Glosario 307

DCEEquipo de comunicación de datos.

Equipo de comunicación de datos (expansión EIA) o equipo de terminación de circuito de datos(expansión ITU-T). El dispositivo y las conexiones de una red de comunicaciones que abarca el ex-tremo de la red de la interfaz usuario a red. El DCE proporciona una conexión física con la red, envíatráfico y suministra una señal de temporización que se usa para sincronizar la transmisión de datosentre los dispositivos DCE y DTE. Los módems y las tarjetas de interfaz son ejemplos de DCE.

DCEFEnvío expreso de Cisco.

Tecnología de avanzada de reenvío IP de Capa 3 diseñada para optimizar el rendimiento y la esca-labilidad de la red.

DDMAdministración de datos distribuidos.

Software de un entorno IBM SNA que proporciona comunicación entre pares y archivos compar-tidos. Uno de los tres servicios de transacción SNA.

DDNRed de Datos de la Defensa.

Red militar de E.U. compuesta por una red no clasificada (MILNET) y diversas redes secretas yultrasecretas. DISA mantiene y opera la DDN.

DDREnrutamiento por llamada telefónica bajo demanda.

Técnica en la que un router Cisco puede iniciar y cerrar automáticamente una sesión conmutadapor circuito en la medida que las estaciones transmisoras lo demanden. El router emite mensajesde actividad de modo que las estaciones terminales traten a la sesión como activa. El DDR permiteel enrutamiento a través de una RDSI o líneas telefónicas usando un adaptador de terminal RDSIexterno o módem.

DEElegible para descarte. Ver tráfico etiquetado.

DecibeliosVer dB.

DECnetRed de Digital Equipment Corporation.

Grupo de productos de comunicaciones (incluido un conjunto de protocolo) desarrollado y respal-dado por Digital Equipment Corporation. DECnet/OSI (también denominado DECnet Phase V) esla iteración más reciente y admite tanto protocolos OSI como protocolos propietarios de Digital.Phase IV Prime admite direcciones MAC inherentes que permiten que los nodos DECnet coexis-tan con sistemas que ejecutan otros protocolos que tienen restricciones para las direcciones MAC.

DemarcPunto de demarcación entre los equipos de la empresa telefónica y el CPE.


DemodulaciónProceso que consiste en devolver una señal modulada a su forma original. Los módems ejecutandemodulación al tomar una señal analógica y convertirla a su forma original (digital).

Densidad de impulsosVer densidad de unos.

Densidad de unosEsquema que permite que una CSU/DSU recupere la función de reloj de datos de forma confiable.La CSU/DSU deriva la función de reloj de datos de los datos que lo atraviesan. Para recuperar lafunción de reloj, el hardware de la CSU/DSU debe recibir por lo menos un valor de bit 1 por cada8 bits de datos que pasan por él.

También se conoce la densidad de unos como densidad de pulso.

Departamento de DefensaVer DoD.

Departamento de sistemas de información de intelig. de defensaVer DNSIX.

Dependiente del medio físicoVer PMD.

DerivaciónPunto de un canal multipunto en el que se realiza la conexión con un dispositivo de red.

DESEstándar de cifrado de datos.

Algoritmo criptográfico estándar desarrollado por la NBS de E.U.

Descarga electrostáticaVer ESD.

DescifradoLa aplicación inversa de un algoritmo de encriptado a los datos cifrados, que restaura, por lo tanto,los datos a su estado original, sin encriptar.

Descubrimiento de ubicaciónVer ND.

Desde unidad de switchVer FSU.

DesmultiplexaciónEl acto de separar múltiples flujos de entrada que se han multiplexado en una señal física comúnnuevamente en múltiples flujos de salida.

Desplazamiento de faseSituación en la que la posición relativa en el tiempo entre la señal de reloj y la señal de datos deuna transmisión pierden la sincronización. En los sistemas que usan cables largos a velocidades de transmisión altas, las variaciones leves en la construcción del cable, la temperatura y otros fac-tores pueden provocar desplazamientos de fase, lo que da como resultado altos porcentajes deerror.

Glosario 309

Detección de colisionesVer CSMA/CD.

Detección de portadoraVer CD.

Deutsche Industrie NormVer DIN.

DFSSelección de frecuencia dinámica.

El DFS instruye dinámicamente a un transmisor para que conmute a otro canal siempre que se en-cuentre una condición particular (como la presencia de una señal de radar). Antes de transmitir, elmecanismo del DFS de un dispositivo monitorea su espectro operativo disponible, escuchando poruna señal de radar. Si se detecta una señal, el canal asociado con la señal del radar está desocupadoo dando una señal de no disponible para que el transmisor lo utilice.

DIAArquitectura de intercambio de documentos.

Define los protocolos y los formatos de datos que se necesitan para el intercambio transparente dedocumentos en una red SNA. Uno de los tres servicios de transacción SNA.

Digitación de cambio de fase cuádrupleTécnica de modulación utilizada por IEEE 802.11b que cumple con las LAN inalámbricas para latransmisión a 2 Mbps.

DINDeutsche Industrie Norm.

Organización de estándares nacionales alemanes.

Diodo emisor de luzVer LED.

DipoloTipo de antena de bajo rendimiento (2.2-dBi) que consta de dos elementos (a menudo internos).Comparar con isotrópico.

DirecciónEstructura de datos o convención lógica utilizada para identificar una entidad exclusiva, por ejem-plo, un proceso o dispositivo de red particular.

DireccionalidadLa cobertura que rodea la antena. Una antena WLAN omnidireccional transmite y recibe señalesen todas las direcciones horizontales equitativamente. La antena direccional concentra la señaldesde el punto de acceso a un área de cobertura más pequeña que produce una señal más fuerte enesa dirección.

Direcciones IP de origen y de destinoCampo dentro de un datagrama IP que indica las direcciones IP origen y destino de 32 bits.


Dirección de ayudanteDirección que se configura en una interfaz hacia la que se envían los broadcasts que se reciben endicha interfaz.

Dirección de broadcastDirección especial que se reserva para enviar un mensaje a todas las estaciones. Por lo general, unadirección de broadcast es una dirección MAC destino compuesta por todos unos. Comparar con di-rección multicast y dirección unicast.

Dirección de capa de enlaceVer dirección MAC.

Dirección de capa MACVer dirección MAC.

Dirección de control de acceso al medioVer dirección MAC.

Dirección de grupoVer dirección multicast.

Dirección de hardwareVer dirección MAC.

Dirección de InternetVer dirección IP.

Dirección de presentación OSIDirección utilizada para localizar una entidad de aplicación OSI. Consiste en una dirección de redOSI y hasta tres selectores, cada uno para uso por entidades de transporte, sesión y presentación.

Dirección de protocoloVer dirección de red.

Dirección de redDirección de capa de red que se refiere a un dispositivo de red lógico, más que físico. Compararcon dirección MAC.

A la dirección de red también se la conoce como dirección de protocolo.

Dirección de subredParte de una dirección IP que se especifica como la subred a través de la máscara de subred.

Dirección destinoDirección de un dispositivo de red que recibe datos.

Dirección físicaVer dirección MAC.

Dirección hostVer número de host.

Glosario 311

Dirección IP1) dirección de 32 bits asignada a los hosts que usan TCP/IP. Una dirección IP pertenece a una delas cinco clases (A, B, C, D o E) y se escribe como 4 octetos separados por puntos (formato deci-mal separado por puntos). Cada dirección está compuesta por un número de red, un número desubred opcional y un número de host. Los números de red y subred de forma conjunta se usan parael enrutamiento, mientras que el número de host se usa para direccionar a un host individual dentrode la red o subred. La máscara de subred se usa para extraer información de red y subred de la di-rección IP. A la dirección IP también se la conoce como dirección de Internet.

2) Comando que se usa para establecer la dirección de red lógica de esta interfaz. Ver también IP ymáscara de subred.

Dirección lógicaVer dirección de red.

Dirección MACDirección de control de acceso al medio.

Dirección de capa de enlace de datos estandarizada que se requiere para cada puerto o dispositivo quese conecta a una LAN. Otros dispositivos de la red usan estas direcciones para localizar puertosespecíficos en la red y crear y actualizar tablas de enrutamiento y estructuras de datos. Las direccionesMAC tienen 6 bytes de largo y se controlan a través de la IEEE. Comparar con dirección de red.

También se conoce la dirección MAC como dirección de hardware, dirección de capa MAC o di-rección física.

Dirección multicastDirección individual que se refiere a múltiples dispositivos de red. Sinónimo de dirección degrupo. Comparar con dirección broadcast y dirección unicast.

Dirección NSAPDirección de punto de acceso al servicio de red.

Dirección de capa de red para paquetes CLNS. Un NSAP describe una conexión a un servicio par-ticular en la capa de red de un nodo, similar a la combinación de la dirección de destino IP y elnúmero de protocolo IP en un paquete IP. La codificación y el formato de NSAP son especificadospor la ISO 8348/Ad2. La dirección NSAP tiene dos partes importantes: la parte inicial del dominio(IDP) y la parte específica del dominio (DSP). La IDP consiste de una autoridad de 1 byte e identi-ficador de formato (AFI) y un identificador de dominio inicial de longitud variable (IDI) y la DPSes una cadena de dígitos que identifica una implementación de transporte particular de una autori-dad AFI especificada. Se puede pensar que todo lo que está a la izquierda del sistema ID es comola dirección de área de un nodo de red.

Dirección origenDirección de un dispositivo de red que envía datos.

Dirección separada por puntosSe refiere a la notación común para direcciones IP que tienen la forma de <a.b.c.d> donde cadaletra representa, en notación decimal, 1 byte de los 4 bytes de la dirección IP.

Dirección separada por puntos que también se conoce como notación punteada o notación pun-teada de cuatro partes.


Dirección unicastDirección que especifica un solo dispositivo de red. Comparar con dirección broadcast y direcciónmulticast.

Dirección unicast de enlace localIPv5 que usa direcciones de enlace local para verificar interfaces en un enlace que se suponequedan dentro de un dominio de broadcast dado. También se las puede conocer como “porción dehost” de una dirección IPv6. Estas direcciones se utilizan para características comoAutoconfiguración sin estado. Las direcciones de enlace local comienzan con el prefijo FE80::/10y luego incluyen una ID de interfaz. Comparar con dirección unicast de sitio local.

Dirección unicast de sitio localUna dirección IPv6 que es muy similar en función al espacio de dirección privada IPv4 que in-cluye rangos. Estas direcciones son para comunicaciones internas y no son enrutables en Internetpública. Las direcciones de sitio local comienzan con el prefijo FEC0::/10. Comparar con direc-ción unicast de enlace local.

Dirección unicast globalUna dirección unicast IPv6 que es globalmente única. Puede ser enrutada globalmente sin modifi-cación. Comparte el mismo formato de dirección como una dirección anycast IPv6. Las direc-ciones unicast globales están asignadas por la Autoridad de Números Asignados de Internet(IANA). Comparar con la dirección unicast local.

Dirección unicast localUna dirección IPv6 cuyo ámbito está configurado a un solo enlace. La dirección es única sólo eneste enlace y no se puede enrutar fuera del enlace. Comparar con la dirección unicast global.

Dirección virtualVer dirección de red.

DISSistema intermedio designado.

El DIS es análogo para el router designado en el Protocolo Abrir primero la ruta libre más corta(Open Shortest Path First) (OSPF), incluso si los detalles que incluyen el proceso de elección yadyacencias dentro de los medios de acceso múltiple difieren significativamente. El DIS es elegidopor prioridad. La prioridad más alta se convierte en el DIS. Éste es configurable en una base de in-terfaz. En el caso de que haya una equivalencia, el router con la dirección SNPA (MAC) más altaes el DIS.

DISAAgencia de Sistemas de Defensa de la Información.

Organización militar de E.U. responsable de implementar y operar los sistemas de informaciónmilitar, incluida la DDN.

DispersiónFenómeno físico que se produce cuando las ondas de radiofrecuencia golpean una superficie dis-pareja (por ejemplo, una superficie dura) y se reflejan en varias direcciones.

DispositivoVer nodo.

Glosario 313

Dispositivo de acceso Cisco Frame RelayVer Cisco FRAD.

Dispositivo de acceso Frame RelayVer FRAD.

Dispositivo de extremoEntidad de redes como un segmento LAN, host o router que conecta a un switch LightStream2020 ATM por medio de una tarjeta de extremo. Los dispositivos de extremo envían y reciben losdatos que pasan a través de la red ATM.

Distancia administrativaCalificación para determinar la fiabilidad de una fuente de información de enrutamiento. En losrouters Cisco, la distancia administrativa se expresa como valor numérico de 0 a 255. Cuantomayor el valor, menor la calificación de fiabilidad.

Distorsión de multirutaLos ecos creados como señal de radio rebotan en objetos físicos. La distorsión de rutas múltiplesse produce cuando una señal RF tieme más de una ruta entre un receptor y un transmisor. Lasondas RF pueden tomar más de una ruta cuando van desde una antena transmisora a un receptora.Estas señales múltiples llegan a la antena receptora a diferentes tiempos y fases, lo que causa ladistorsión de la señal.

Distribución de información globalVer GID.

Distribución determinística de la cargaTécnica usada para distribuir el tráfico entre dos puentes a través de un grupo de circuitos.Garantiza el orden de los paquetes entre los pares origen-destino y siempre envía tráfico para unpar origen-destino del mismo segmento de un grupo de circuitos para una configuración circuito-grupo determinada.

Distribución estándar de BerkeleyVer BSD.

DLCIIdentificador de conexión de enlace de datos.

Valor que especifica un PVC o SVC en una red Frame Relay. En la especificación Frame Relaybásica, los DLCI son significativos a nivel local (los dispositivos conectados pueden usar distintosvalores para especificar la misma conexión). En la especificación LMI extendida, los DLCI sonsignificativos a nivel global (los DLCI especifican dispositivos finales individuales).

DLSwConmutación de enlace de datos.

Estándar de interoperabilidad, descrito en la RFC 1434, que proporciona un método para enviartráfico SNA y NetBIOS a través de redes TCP/IP usando encapsulamiento y conmutación de capade enlace de datos. El DLSw usa el Protocolo switch con switch en lugar de SRB, y elimina laslimitaciones principales de SRB, incluidos los límites del número de saltos, broadcast y tráfico in-necesario, límite de tiempo excedido, falta de control de flujo y falta de esquemas de prioridad.


DLSw+Conmutación por enlace de datos Plus.

Implementación de Cisco del estándar DLSw para el envío de tráfico SNA y NetBIOS. DLSw+ vamás allá del estándar e incluye las características avanzadas de la implementación RSRB Cisco yproporciona funcionalidad adicional para aumentar la escalabilidad general de la conmutación porenlace de datos.

DLUUnidad lógica dependiente.

Una LU que depende de SSCP para brindar servicios para establecer sesiones con otras LU.

DMAAcceso directo a la memoria.

La transferencia de datos desde un dispositivo periférico como ser una unidad de disco duro, a lamemoria sin que los datos atraviesen el microprocesador. La DMA transfiere los datos a la memo-ria a altas velocidades, sin intervención del procesador.

DMACMAC de destino.

Dirección MAC que se especifica en el campo Dirección Destino de un paquete. Comparar conSMAC.

DMPProcesador de movimiento de datos.

Procesador del Catalyst 5000 que, junto con la interfaz de la memoria del búfer del paquete multi-puerto, ejecuta la función de conmutación de tramas para el switch. El DMP también gestiona el puenteo de conversión entre las interfaces Ethernet y FDDI, segmentación IP y puenteo in-teligente con filtrado basado en el protocolo.

DNAArquitectura de Red Digital.

Arquitectura de red desarrollada por Digital Equipment Corporation. Los productos que incorpo-ran DNA (incluso los protocolos de comunicación) se denominan colectivamente DECnet.

DNISServicio de identificación de número por marcación.

El DNIS también es conocido como número al que se llama.

DNSSistema de denominación de dominios.

Sistema que se usa en Internet para convertir los nombres de los nodos de red en direcciones.

DNS ALGGateway de nivel de aplicación del sistema de denominación de dominios.

Protocolo que se puede usar en traducciones NAT-PT para asignar direcciones de red dinámica-mente basadas en consultas DNS. Comparar con NAT-TP y SIIT.

Glosario 315

DNSIXSeguridad de la Red del Sistema de Información de Inteligencia para el Intercambio deInformación del Departamento de Defensa.

Conjunto de requisitos de seguridad para networking definidos por la Agencia de Inteligencia parala Defensa de E.U.

Doble conexiónTopología de red en la que un dispositivo se conecta a la red por medio de dos puntos de acceso(puntos de conexión) independientes. Uno de los puntos de acceso es la conexión principal y elotro es una conexión de reserva que se activa en caso de que se produzca una falla en la conexiónprincipal.

DoDDepartamento de Defensa.

Organización gubernamental de E.U. responsable de la defensa nacional. El DoD frecuentementeha respaldado el desarrollo de protocolos de comunicación.

Dominio1) En Internet, una parte del árbol de jerarquía de denominación que se refiere a las agrupacionesgenerales de redes basadas en el tipo de organización o geografía.

2) En SNA, un SSCP y los recursos que controla.

3) En IS-IS, un conjunto lógico de redes.

4) Sistema de networking desarrollado por Apollo Computer (que en la actualidad forma parte deHewlett-Packard) para ser utilizado en las estaciones de trabajo de ingeniería.

Dominio ApolloConjunto de protocolos de red propietarios desarrollado por Apollo Computer para la comuni-cación a través de redes propietarias de Apollo.

Dominio de broadcastConjunto de todos los dispositivos que reciben tramas de broadcast que se originan en cualquierdispositivo del conjunto. Los dominios de broadcast generalmente están limitados por routers dadoque los routers no reenvían tramas de broadcast.

Dominio de colisionesEn Ethernet, el área de la red dentro del cual las tramas que han sufrido colisiones se propagan.Los repetidores y los hubs propagan las colisiones; los switches LAN, los puentes y los routers, no.

Dominio de enrutamientoGrupo de sistemas finales e intermedios que operan bajo el mismo conjunto de normas administra-tivas. Dentro de cada dominio de enrutamiento hay una o más áreas, cada una identificada deforma exclusiva mediante una dirección de área.

Dominio de fallasÁrea en la que se ha producido una falla en una red Token Ring, definida por la información con-tenida en una trama beacon. Cuando una estación detecta la existencia de un problema grave en lared (por ejemplo, un cable roto), envía una trama de beacon que incluye la estación que informaacerca de la falla, su NAUN (vecino corriente arriba activo más cercano) y todo lo que se encuen-tra entre ellos. A su vez, el beaconing inicia un proceso denominado autoreconfiguración.


DPS de orden superiorVer HODSP.

DQDBBus dual de cola distribuida.

Protocolo de comunicación de la capa de enlace de datos, especificado en el estándar IEEE 802.6,diseñado para su uso en las MAN. DQDB, que permite que múltiples sistemas se interconectenmediante dos buses lógicos unidireccionales, es un estándar abierto que está diseñado para sercompatible con los estándares de transmisión usados por las empresas telefónicas, y está alineadocon los estándares emergentes para BISDN. SMDS (Protocolo de interfaz SIP) se basa en DQDB.

DRAMMemoria dinámica de acceso aleatorio.

La RAM guarda información en capacitores, la cual se debe refrescar periódicamente. Se puedenproducir retardos dado que las DRAM se tornan inaccesibles para el procesador cuando están re-frescando su contenido. Sin embargo, las DRAM son menos complejas y tienen mayor capacidadque las SRAM.

DS-0 o DSOSeñal digital de nivel 0.

Especificación de entramado que se usa para transmitir señales digitales a través de un solo canal a64kbps en una instalación T1. Comparar con DS-1 y DS-3.

DS-1Señal digital de nivel 1.

Especificación de entramado que se usa para transmitir señales digitales a 1.544 Mbps en una ins-talación T1 (en los Estados Unidos de Norteamérica) o a 2.048 Mbps en una instalación E1 (enEuropa). Comparar con DS-0 y DS-3.

DS-1/DTInivel 1 de señal digital/interfaz troncal doméstica.

Circuito de interfaz que se usa para aplicaciones DS-1 con 24 enlaces troncales.

DS-3Señal digital de nivel 3.

Especificación de entramado que se usa para transmitir señales digitales a 44.736 Mbps en unainstalación T3. Comparar con DS-0 y DS-1.

DSAPPunto de acceso al servicio destino.

El SAP de un nodo de red designado en el campo Destino de un paquete. Comparar con SSAP.

DSPParte específica del dominio.

La parte de una dirección CLNS que contiene un identificador de área, un identificador de estacióny un byte selector.

Glosario 317

DSPUUnidad física downstream.

1) En SNA, una PU que está ubicada downstream (corriente abajo) del host.

2) Función del software Cisco IOS que permite que un router funcione como concentrador PUpara nodos SNA PU 2. La concentración de PU en el router simplifica la tarea de definición de PU en el vecino corriente arriba y brinda, al mismo tiempo, flexibilidad y movilidad adicional alos dispositivos PU corriente abajo. Esta función a veces se denomina concentración DSPU. Vertambién PU y SNA.

DSRConjunto de datos listo.

Circuito de interfaz EIA/TIA-232 que se activa cuando un DCE se enciende y está listo para su uso.

DSSSEspectro de difusión de secuencia directa.

DSSS es una de las técnicas de modulación provistas por el EEE 802.11 y la elegida por el Grupode Trabajo 802.11 para dispositivos EEE 802.11b ampliamente utilizados.

DSUUnidad de servicio de datos.

Dispositivo que se usa en la transmisión digital que adapta la interfaz física de un dispositivo DTEa una instalación de transmisión como T1 y E1. La DSU también es responsable de funciones talescomo temporización de señal. A menudo se denomina, de forma conjunta con CSU, comoCSU/DSU.

DSX-1Punto de conexión cruzada para señales DS-1.

DTEEquipo terminal de datos.

Dispositivo situado en el extremo del usuario de una interfaz usuario-red que actúa como origen de datos, destino de datos o ambas. El DTE se conecta a una red de datos a través de un dispositivoDCE (por ejemplo, un módem) y por lo general usa señales de temporización generadas por el DCE. El DTE incluye dispositivos como equipos, traductores de protocolo y multiplexores.Comparar con DCE.

DTMFMultifrecuencia de dos tonos.

Uso de dos tonos simultáneos de banda de voz para marcación (por ejemplo, llamada por tonos).

DTRTerminal de datos preparada.

Circuito EIA/TIA-232 que se activa para permitir que el DCE sepa que el DTE está listo para en-viar y recibir datos.


DUALAlgoritmo de actualización difusa.

Algoritmo de convergencia que se usa en EIGRP el cual proporciona operación libre de loops entodo momento durante el cálculo de rutas. Permite que los routers involucrados en un cambio de topología se sincronicen al mismo tiempo, sin involucrar a los routers que no se ven afectadospor el cambio.

DVMRPProtocolo de enrutamiento multicast por vector-distancia.

Protocolo de gateway de internetwork, basado en gran parte en RIP, que implementa un esquemaIP multicast de modo denso típico. El DVMRP usa IGMP para intercambiar datagramas de en-rutamiento con sus vecinos.

dWFQCola equitativa ponderada distribuida.

Versión especial de alta velocidad de WFQ que provee ubicaciones de ancho de banda y límites dedemora a fuentes de tráfico IP especificadas segregando el tráfico en flujos o clases y luegoproveyendo un servicio de no first-in, first-out (primero en entrar, primero en salir, FIFO por sussiglas en inglés) para las diversas colas según sus pesos asignados. Para utilizar dWFQ, se debehabilitar la conmutación dCEF en la interfaz.

E.164Recomendación de la UIT-T para la numeración de las telecomunicaciones internacionales, espe-cialmente en RDSI, BISDN y SMDS. Evolución de los números telefónicos estándar.

E/SAbreviatura de entrada/salida.

E1Esquema de transmisión digital de área amplia que se usa predominantemente en Europa y trans-porta datos a una velocidad de 2.048 Mbps. Las líneas E1 para uso privado pueden arrendarse a lascompañías telefónicas. Comparar con T1.

E1 canalizadoEnlace de acceso que opera a 2.048 Mbps y está subdividido en 30 canales B y 1 canal D. AdmiteDDR, Frame Relay y X.25. Comparar con T1canalizado.

E3Esquema de transmisión digital de área amplia que se usa predominantemente en Europa y trans-porta datos a una velocidad de 34.368 Mbps. Las líneas E3 para uso privado se pueden arrendar alas empresas telefónicas. Comparar con T3.

EAPProtocolo de autenticación extensible.

Marco de autenticación universal, a menudo utilizado en redes inalámbricas definidas por RFC3748. Aunque el protocolo EAP no está limitado a las WLAN y se lo puede utilizar para la autenti-cación de la LAN cableada, se usa con mayor frecuencia en las WLAN. Los estándares WPA yWPA2 han adoptado cinco tipos de EAP como mecanismos oficiales de autenticación.

Glosario 319

EBCDICCódigo ampliado de intercambio decimal codificado en binario.

Cualquiera de una cantidad de conjuntos de caracteres codificados desarrollados por IBM com-puestos por caracteres codificados de 8 bits. Este código de caracteres se usa en los sistemas IBMy máquinas de telex antiguos. Comparar con ASCII.

ECCControl de tarjeta de extremo.

Proceso en el NP de un switch LightStream 2020 ATM que realiza un procesamiento por tarjetapara una tarjeta de extremo. Tal procesamiento incluye administración de protocolos (adminis-tración de conexión ATM) y tareas de administración de medios específicos (Ethernet y FDDI),operaciones de internetworking como envío y filtro de paquetes y tareas de administración de red.

ECMAAsociación Europea de Fabricantes de Informática.

Grupo de fabricantes europeos de equipos que han hecho un trabajo sustancial de estandarizacióndel modelo OSI.

ECNMModelo de red compuesta para empresas.

Estructura utilizada por profesionales en redes para describir y analizar cualquier red moderna paraempresas. Toma un diseño de red de empresa complejo y lo divide en tres áreas funcionales inclui-dos el Campus de la empresa, los Extremos de la empresa y el Extremo del proveedor de servicios.

EcualizaciónTécnica que se usa para compensar las distorsiones del canal de comunicaciones.

EDIIntercambio electrónico de datos.

Comunicación electrónica de datos operativos, por ejemplo, pedidos y facturas entre las organiza-ciones.

EDIFACTIntercambio electrónico de datos para administración, comercio y transporte.

Estándar de intercambio de datos administrado por las Naciones Unidas que es un estándar EDIpara múltiples industrias.

EEPROMMemoria program. de sólo lect. borrable eléctricam.

EPROM que se puede borrar usando señales eléctricas aplicadas a pins específicos.

EIAAsociación de Industrias Electrónicas.

Grupo que especifica los estándares de transmisiones eléctricas. La EIA y la TIA han desarrolladovarios estándares de comunicación conocidos, incluidos EIA/TIA-232 y EIA/TIA-449.


EIA-530Asociación de Industrias Electrónicas 530.

Se refiere a dos implementaciones eléctricas de EIA/TIA-449: RS-422 (para transmisión balanceada)y RS-423 (para transmisión no balanceada).

EIA/TIA-232Asociación de industrias electrónicas/Asociación de la industria de telecomunicaciones 232.

Estándar de la interfaz de la capa física, desarrollado por EIA y TIA, que admite circuitos no ba-lanceados a velocidades de señal de hasta 64 kbps. Se asemeja bastante a la especificación V.24.

EIA/TIA-232 antes era conocida como RS-232.


Interfaz de la capa física de uso generalizado desarrollada por EIA y TIA. Esencialmente, es unaversión más veloz (hasta 2 Mbps) de EIA/TIA-232, que admite tendidos de cable más extensos.

EIA/TIA-449 antes era conocida como RS-449.


Estándar que describe las características y aplicaciones para diversos grados de tendido de ca-bleado UTP.


Estándar de administración para la infraestructura de telecomunicaciones de edificios comerciales.Incluye las siguientes áreas de administración: terminaciones, medios, canaletas, espacios y en-laces y conexión a tierra.

EIGRPProtocolo de enrutamiento gateway interior mejorado.

Versión avanzada del IGRP desarrollado por Cisco. Suministra convergencia y eficiencia de opera-ción superiores y combina las ventajas de los protocolos de estado de enlace con las de los proto-colos de vector distancia.

EIPProcesador de interfaz Ethernet.

Tarjeta de procesador de interfaz en los routers de la serie Cisco 7000. EL EIP suministra puertosAUI de alta velocidad (10 Mbps) que admiten las interfaces Versión 1 de Ethernet y Versión 2 deEthernet o IEEE 802.3, y una ruta de datos de alta velocidad hacia otros procesadores de interfaz.

Glosario 321

EIRPEfectiva energía isotrópica radiada.

La EIRP es la energía efectiva en frente de la antena. La EIRP de un transmisor es la energía queparece que el transmisor tiene en caso de ser un radiador isotrópico (si la antena radiara igual-mente en todas las direcciones). Por la virtud de la ganancia de la antena de una radio (o satélite),se forma un haz que preferentemente transmite la energía en una dirección. La EIRP se estimaagregando la ganancia (de la antena) y la energía del transmisor (de la radio).

EISAArquitectura estándar industrial ampliada.

Interfaz de bus de 32 bits utilizada en PC, servidores basados en PC, y algunas estaciones de tra-bajo y servidores UNIX.

ELANRed de área local emulada.

Red ATM en la que se emulan las LAN Ethernet o Token Ring mediante un modelo cliente-servi-dor. Las ELAN están compuestas por un LEC, un LES, un BUS y un LECS. Pueden existir múlti-ples ELAN en una sola red ATM de forma simultánea. Las ELAN se definen a través de la especi-ficación LANE.

Electricidad estáticaCargas eléctricas impredecibles en la atmósfera que interfieren con la recepción radial, el networ-king informático y elementos similares.

Elegible para descarteVer DE.

Elemento de servicio de control de asociaciónVer ACSE.

Elemento del servicio de operaciones remotasVer ROSE.

EMA1) Arquitectura de Administración de Empresas. Arquitectura de administración de red de DigitalEquipment Corporation, basada en el modelo OSI para administración de red.

2) Asociación de Mensajería Electrónica. Foro dedicado al trabajo con estándares y directivas,educación y desarrollo de los sistemas de mensajería electrónica, como ser, correo electrónico, co-rreo de voz y fax.

EMIInterferencia electromagnética.

Interferencia por señales electromagnéticas que puede provocar una reducción en la integridad delos datos y un aumento en los índices de error en los canales de transmisión.

EMIFInstalación de múltiples imágenes ESCON.

Función del software E/S mainframe que permite que un canal ESCON se comparta entre múlti-ples particiones lógicas del mismo mainframe.


EMPImpulso electromagnético.

Provocado por los rayos y otros fenómenos con alto nivel de energía. Capaz de acoplar suficienteenergía dentro de los conductores no blindados como para destruir los dispositivos electrónicos.

Empresa de comunicacionesEmpresa privada de servicios autorizada que suministra servicios de comunicación al público aprecios regulados.

Empresa para sistemas abiertosVer COS.

Emulación de LANVer LANE.

Emulación de terminalAplicación de red en la que un equipo ejecuta software que lo hace aparecer ante un host remotocomo terminal conectada directamente.

EncabezadoInformación de control que se coloca antes de los datos al encapsularlos para su transmisión por lared. Comparar con tráiler.

Encabezado de transmisiónVer TH.

EncapsulaciónEl proceso por el cual se envuelven datos en un encabezado de protocolo en particular. Por ejem-plo, los datos Ethernet se envuelven en un encabezado Ethernet específico antes de que se unan altránsito de la red. También, cuando se puentean redes que no son similares, toda la trama de unared simplemente se coloca en el encabezado que utiliza el protocolo de la capa de enlace de datosde la otra red.

Encapsulamiento de enrutamiento genéricoVer GRE.

EncriptaciónLa aplicación de un algoritmo específico sobre los datos para alterar la apariencia de los mismos, ylos hace incomprensibles para aquellas personas que no están autorizadas para ver la información.

Energía de transmisiónTecnología de transmisión de radio que dispersa la información del usuario a través de un anchode banda mucho más amplio que el requerido para obtener beneficios como tolerancia de interfe-rencia mejorada y operación sin licencia.

EnlaceCanal de comunicaciones de red compuesto por un circuito o ruta de transmisión y todo el equiporelacionado entre un emisor y un receptor. Se utiliza con mucha frecuencia para referirse a unaconexión WAN.

Un enlace también se conoce como línea o enlace de transmisión.

Glosario 323

Enlace de canal virtualVer VCL.

Enlace de fibra óptica entre repetidoresVer FOIRL.

Enlace de recursos limitadosRecurso definido por el operador de un dispositivo para que permanezca activo sólo mientrasestá en uso.

Enlace de ruta virtualVer VPL.

Enlace de transmisiónVer enlace.

Enlace troncalConexión física y lógica entre dos switches ATM a través de la cual se transmite el tráfico en unared ATM. El backbone ATM está compuesto por una cantidad de enlaces troncales.

Enlace troncal arriba-abajo.Ver TUD.

EnrutamientoProceso para encontrar una ruta hacia un host destino. El enrutamiento en redes de gran tamaño esmuy complejo, dada la gran cantidad de destinos intermedios potenciales que debe atravesar unpaquete antes de llegar al host destino.

Enrutamiento adaptableVer enrutamiento dinámico.

Enrutamiento basado en políticasVer enrutamiento por políticas.

Enrutamiento de políticas entre dominiosVer IDPR.

Enrutamiento de ruta libre más cortaEnrutamiento que minimiza la distancia o el costo de la ruta mediante la aplicación de un algoritmo.

Enrutamiento DECnetEnrutamiento de Red de Digital Equipment Corporation

Esquema de enrutamiento propietario presentado por Digital Equipment Corporation en DECnetPhase III. En DECnet Phase V, DECnet completó su transición hacia los protocolos de en-rutamiento del modelo OSI (ES-IS e IS-IS).

Enrutamiento dentro del áreaTérmino que se usa para describir el enrutamiento dentro de un área lógica. Comparar con en-rutamiento entre áreas.

Enrutamiento dinámicoEnrutamiento que se adapta automáticamente a los cambios de la topología de la red o del tráfico.

Enrutamiento dinámico, también conocido como enrutamiento adaptable.


Enrutamiento entre áreasTérmino que se usa para describir el enrutamiento entre dos o más áreas lógicas. Comparar conenrutamiento dentro del área.

Enrutamiento entre dominios sin claseVer CIDR.

Enrutamiento instantáneoMétodo de recolectar información de enrutamiento durante un tiempo activo tomando una instan-tánea de la información y utilizando esa información de enrutamiento para una longitud de tiempoconfigurada (se conoce como el tiempo tranquilo).

Enrutamiento jerárquicoEnrutamiento basado en un sistema de direccionamiento jerárquico. Por ejemplo, los algoritmos de enrutamiento IP usan direcciones IP, que contienen números de red, números de subred ynúmeros de host.

Enrutamiento por llamada telefónica bajo demandaVer DDR.

Enrutamiento por políticasEsquema de enrutamiento que envía paquetes a interfaces específicas según las políticas configu-radas a nivel de usuario. Dichas políticas pueden especificar que el tráfico que se envía desde unared en particular se debe enviar a través de una interfaz, mientras que el resto del tráfico se debeenviar a través de otra interfaz.

Ensamblador/desensamblador de paquetesVer PAD.

EntidadPor lo general, un dispositivo de red administrable individual.

Una entidad también es conocida como un alias.

Entorno de desarrollo ISOVer ISODE.

Entrada/salidaVer E/S.

Entramado D4Ver SF.

Entrega aceleradaOpción establecida por una capa específica del protocolo que le indica a otras capas del protocolo(o a la misma capa del protocolo en otro dispositivo de red) que administre datos específicos demanera más rápida.

Entrega de máximo esfuerzoDescribe un sistema de red que no emplea ningún sistema sofisticado de acuse de recibo paragarantizar la entrega fiable de la información.

Glosario 325

Entrega de tokenMétodo de acceso mediante el cual los dispositivos de red acceden al medio físico de forma orde-nada basándose en la posesión de una pequeña trama denominada token. Ver la diferencia con con-mutación de circuito y contención.

Envío anticipado del tokenTécnica utilizada en las redes Token Ring que permite que una estación libere un nuevo token enel anillo, inmediatamente después de transmitir, en lugar de esperar a que regrese la primera trama.Esta característica puede aumentar el ancho de banda total del anillo.

EOTFin de la transmisión.

Por lo general, un carácter que significa el fin de un grupo de caracteres o bits lógicos.

EPROMMemoria borrable programable de sólo lectura.

Chips de memoria no volátil que se programan luego de que se fabrican y, de ser necesario, sepueden borrar por algún medio y volver a programar. Comparar con EEPROM y PROM.

Equipo de comunicación de datosVer DCE.

Equipo de terminación de circuito de datosVer DCE.

Equipo local del clienteVer CPE.

Equipo terminal de datosVer DTE.

ESSistema final.

Cualquier host o nodo sin routing. ES existe en un área particular.

ES-ISSistema final a sistema intermedio.

Los protocolos del discovery Es-IS utilizados para el enrutamiento entre sistemas finales y sis-temas intermedios. ES-IS es un análogo para ARP en IP. Aunque no es técnicamente un protocolode enrutamiento, ES-IS se utiliza comúnmente con protocolos de enrutamiento para proveermovimiento de datos de extremo a extremo a través de una internetwork. Al routing entre sistemasfinales y sistemas intermedios a veces se lo denomina routing de nivel 0.

ESCONConexión del sistema empresarial.

Arquitectura de canal IBM que especifica un par de cables de fibra óptica, con LED o láser comotransmisores y una velocidad de señalización de 200 Mbps.


ESDDescarga electrostática.

Flujo o chispa de electricidad que se origina de una fuente estática, por ejemplo, una alfombra, yhace un arco sobre una brecha hacia otro objeto.

ESFFormato de supertrama extendida.

Tipo de entramado que se usa en los circuitos T1 que está compuesto por 24 tramas de 192 bitscada una, en la que el bit 193 suministra temporización y otras funciones. ESF es una versiónmejorada de SF.

ESHSaludo de sistema final.

Un tipo de paquete de saludo IS-IS. Es parte del ES-IS spec 9542; similar a RDP en TCP/IP;usado para routers (IS) y Sistemas finales (ES) para detectarse uno al otro y formar adyacencias.

ESnetRed de Ciencias de la Energía.

Red de comunicación de datos gestionada y respaldada por el Ministerio de Energía de E.U.,Oficina de Investigación de Energía (DOE/OER). Interconecta a DOE con los institutos educativosy otras instalaciones de investigación.

Especificación de interfaz del controlador de redVer NDIS.

Espectro dispersoTecnología de transmisión de radio que dispersa la información del usuario a través de un anchode banda mucho más amplio que el requerido para obtener beneficios como tolerancia de interfe-rencia mejorada y operación sin licencia.

EsperaEstado en el que se coloca una ruta de modo que los routers no publiquen la ruta ni acepten publi-caciones acerca de la ruta durante un período determinado (período de espera). La espera se usapara purgar la información defectuosa acerca de una ruta de todos los routers de la red. Una rutageneralmente se coloca en espera cuando falla un enlace de esa ruta.

ESSConjunto de servicios extendidos.

El modo de infraestructura de WLAN en la que dos o más conjuntos de servicios básicos estánconectados por un sistema común de distribución. Un ESS generalmente incluye un SSID comúnpara permitir roaming de punto de acceso a punto de acceso sin requerir la configuración delcliente.

Estación Clase AVer DAS.

Estación Clase BVer SAS.

Glosario 327

Estación de conexión dobleDispositivo que se conecta a múltiples anillos de la FDDI para proporcionar redundancia.

Estación para el enlace de bajadaVer estación terrestre.

Estación primariaEn los protocolos de capa de enlace de datos síncronos al bit, como HDLC y SDLC, una estaciónque controla la actividad de transmisión de las estaciones secundarias y ejecuta otras funciones deadministración como control de errores a través de sondeos u otros medios. Las estaciones princi-pales envían comandos a las estaciones secundarias y reciben respuestas.

También se conoce la estación primaria como primaria.

Estación secundariaEn los protocolos de capa de enlace de datos de bits síncronos, por ejemplo, HDLC, una estaciónque responde a los comandos de la estación primaria.

También se conoce la estación secundaria como secundaria.

Estación terrenaConjunto de equipo de comunicaciones diseñado para recibir señales de (y generalmente transmitirseñales a) los satélites.

La estación terrena también es conocida como estación de enlace descendente.

EstándarConjunto de normas o procedimientos que se usan ampliamente o que están oficialmente especifi-cados.

Estándar de cifrado de datosVer DES.

Estándar de hechoEstándar que existe en virtud de su uso generalizado. Comparar con estándar de jure.

Estándar de jureEstándar que existe dada su aprobación a través de un cuerpo de estándares oficial. Comparar conestándar de hecho.

EthernetEspecificación de LAN de banda base inventada por Xerox Corporation y desarrollada de formaconjunta por Xerox, Intel y Digital Equipment Corporation. Las redes Ethernet usan CSMA/CD yse ejecutan a través de varios tipos de cable a 10 Mbps. Ethernet es similar al conjunto de están-dares IEEE 802.3.

Estructura de la información de administraciónVer SMI.

ETSIInstituto Europeo de Estándares de Telecomunicación

Organización creada por los PTT europeos y la Comunidad Europea (EC) para proponer están-dares de telecomunicaciones para Europa.


EUI-64Identificador extendido universal (EUI) de 64 direcciones.

Éste es un formato de dirección IPv6 creado tomando una dirección MAC de la interfaz (que tiene48 bits de longitud) e insertando otra cadena hexadecimal de 16 bits (FFFE) entre el OUI (losprimeros 24 bits) y número serial único (últimos 24 bits) de la dirección MAC. Para asegurase deque la dirección elegida es desde la única dirección MAC de Ethernet, el séptimo bit en el byte de orden superior es configurado en 1 (equivalente al bit IEEE G/L) para indicar la unicidad de la dirección de 48 bits.

EUnetInternet europea.

Proveedor de servicios de Internet comercial europeo. EUnet está diseñada para suministrar correoelectrónico, noticias y otros servicios de Internet a los mercados europeos.

EventoMensaje de red que indica las irregularidades operativas en los elementos físicos de una red o unarespuesta a la ocurrencia de una tarea significativa, generalmente la terminación de una petición deinformación.

Evitar la congestiónVer CA.

Excitador de líneaAmplificador y conversor de señales económico que acondiciona las señales digitales para garanti-zar las transmisiones confiables a través de grandes distancias.

EXECProcesador de comando interactivo del software Cisco IOS.

ExpansiónProceso mediante el cual se hace pasar un conjunto de datos comprimido a través de un algoritmoque restaura el conjunto de datos a su tamaño original. Comparar con compansión y compresión.

ExploradorVer Explorador Web.

Extensión de rutaEn SNA, ruta desde el nodo de subárea de destino a través del equipo periférico hasta una NAU.

Extremo finalExtremo final de una red de banda ancha. Todas las estaciones transmiten hacia el headend; luego,éste transmite hacia las estaciones de destino.

FaseUbicación de una posición en una forma de onda alterna.

Fast EthernetCualquiera de una cantidad de especificaciones Ethernet de 100 Mbps. Fast Ethernet brinda un au-mento de velocidad que es diez veces el de la especificación Ethernet 10BASE-T, que preserva, almismo tiempo las cualidades como ser formato de trama, mecanismos MAC y MTU. Dichas

Glosario 329

similitudes permiten el uso de las aplicaciones y herramientas de administración de red 10BASE-Texistentes en las redes Fast Ethernet. Se basa en una extensión de la especificación IEEE 802.3.Comparar con Ethernet.

FCCComisión Federal de Comunicaciones.

Entidad gubernamental de E.U. que supervisa, otorga licencias y controla los estándares de trans-misión electrónicos y electromagnéticos.

fcloadCarga de la tarjeta de función.

Módulo de software de bajo nivel del switch ATM LightStream 2020 que se invoca a través de los módulos de niveles más altos para cargar software desde NP hasta una tarjeta de función.

FCSSecuencia de verificación de trama.

Se refiere a los caracteres adicionales que se agregan a una trama para fines de control de errores. Seusa en HDLC, Frame Relay y otros protocolos de la capa de enlace de datos.

FDDIInterfaz de datos distribuida por fibra óptica.

Estándar LAN, definido en ANSI X3T9.5, que especifica una red de transmisión de tokens de 100Mbps que usa cable de fibra óptica, con distancias de transmisión de hasta 2 km. FDDI usa una ar-quitectura de anillo doble para proporcionar redundancia. Comparar con CDDI y FDDI II.

FDDI IIInterfaz II de datos distribuida por fibra óptica.

Estándar ANSI que mejora FDDI. FDDI II proporciona transmisión isócrona para circuitos de datosno orientados a conexión y circuitos de viídeo y voz orientados a conexión. Comparar con FDDI.

FDMMultiplexación por división de frecuencia.

Técnica por la cual se puede asignar ancho de banda a la información de múltiples canales en unúnico cable basándose en la frecuencia. Comparar con ATDM, multiplexación estadística y TDM.

FECNNotificación explícita de congestión hacia adelante.

Bit establecido por una red Frame Relay para informar al DTE que recibe la trama que se ha ex-perimentado congestión en la ruta desde el origen hacia el destino. Los DTE que reciben tramascon el bit FECN establecido pueden solicitar que los protocolos de mayor nivel tomen las accionesde control de flujo que sean necesarias. Comparar con BECN.

Federación Internacional para el Procesamiento de la InformaciónVer IFIP.


FEIPProcesador de interfaz Fast Ethernet.

Procesador de interfaz de los routers Cisco de la serie 7000. El FEIP admite hasta dos puertos100BASE-T de 100 Mbps.

FEPProcesador front-end.

Dispositivo o placa que suministra capacidades de interfaz de red a un dispositivo de red. En SNA,generalmente un dispositivo IBM 3745.

FFReenvío de trama.

Interfaz del switch ATM LightStream 2020 que permite que cualquier tráfico basado en tramasHDLC o SDLC atraviese la red ATM. Los circuitos de reenvío de tramas son puerto a puerto, ysólo se permite un PVC entre un par de puertos. El reenvío de tramas se admite en el módulo deinterfaz de baja velocidad, que brinda interfaces físicas V.35, EIA/TIA-449 o X.21.

FF02::1Dirección multicast IPv6 que identifica todos los nodos en un enlace.

FF02::2Dirección multicast IPv6 que identifica todos los routers de un enlace.

FF02::5Dirección multicast IPv6 que identifica todos los routers OSPF en alcance de enlace local. Esequivalente a la dirección multicast 224.0.0.5 en OSPFv2.

FF02::6Dirección multicast IPv6 que identifica todos los OSPF designados en alcance de enlace local. Esequivalente a la dirección multicast 224.0.0.6 en OSPFv2.

FF02::9Dirección multicast IPv6 que identifica todos los routers RIPng en enlace.

FF05::101Dirección multicast IPv6 que identifica todos los servidores NTP en el sitio (alcance de sitio local).

FF05::1:FFXX:XXXXLa dirección multicast IPv6 utilizada para crear mensajes de solicitud al vecino que se envían enun enlace local cuando un nodo desea determinar la dirección de capa de enlace de otro nodo en el mismo enlace local. Similar a ARP en IPv4.

FiabilidadRelación entre los mensajes de actividad esperados y recibidos de un enlace. Si la relación es alta,la línea es confiable. Se usa como métrica de enrutamiento.

Fibra de modo únicoCable de fibra óptica con un núcleo estrecho que permite que la luz entre sólo en un ángulo. Dichocableado tiene mayor ancho de banda que la fibra multimodo, pero requiere una fuente de luz conuna anchura espectral más angosta (por ejemplo, un láser).

A la fibra de modo único también se la conoce como fibra monomodo.

Glosario 331

Fibra de modo únicoVer fibra de modo único.

Fibra local 4B/5BFibra local de 4 bytes/5 bytes.

Medio físico del canal de fibra que se usa para FDDI y ATM. Admite velocidades de hasta 100Mbps a través de fibra multimodo.

Fibra local 8B/10BFibra local de 8 bytes/10 bytes.

Medio físico del canal de fibra que admite velocidades de hasta 149.76 Mbps a través de fibramultimodo.

Fibra local de 4 bytes/5 bytesVer fibra local de 4B/5B.

Fibra local de 8 bytes/10 bytesVer fibra local de 8B/10B.

Fibra multimodoFibra óptica que permite la propagación de múltiples frecuencias de luz.

Fibra ópticaVer cable de fibra óptica.

FID0Indicador de formato 0.

Uno de los varios formatos que puede usar un SNA TH. Un FID0 TH se usa para comunicacionesentre un nodo SNA y un nodo que no sea SNA.


Uno de los varios formatos que puede usar un SNA TH. Un FID1 TH encapsula mensajes entredos nodos de subárea que no admiten rutas virtuales y explícitas.


Uno de los varios formatos que puede usar un SNA TH. Se utiliza el FID2 TH para transferir men-sajes entre un nodo de subárea y un PU 2, con direcciones locales.


Uno de los varios formatos que puede usar un SNA TH. Se usa el FID3 TH para transferir men-sajes entre un nodo de subárea y un PU 1, con direcciones locales.



Uno de los varios formatos que puede usar un SNA TH. El FID4 TH encapsula mensajes entre dosnodos de subárea que pueden admitir rutas virtuales y explícitas.

FiltradoVer conformación del tráfico.

Filtrado de tráfico localProceso por el cual un puente filtra (descarta) tramas cuyas direcciones MAC de origen y de des-tino están ubicadas en la misma interfaz del puente, y así impide que se envíe tráfico innecesario através del puente. Se define en el estándar IEEE 802.1.

Filtrado estático realizado por un puenteProceso en el cual un puente mantiene una base de datos de filtrado compuesta por entradas estáti-cas. Cada entrada estática equivale a una dirección MAC destino con un puerto que puede recibirtramas con esta dirección MAC destino y un conjunto de puertos en los que se pueden transmitir las tramas. Se define en el estándar IEEE 802.1.

FiltroGeneralmente, un proceso o dispositivo que evalúa el tráfico de red en busca de determinadas ca-racterísticas, como ser: dirección origen, dirección destino o protocolo, y determina si ese tráficose debe enviar o descartar basándose en los criterios establecidos.

Fin de la transmisiónVer EOT.

FIPProcesador de interfaz FDDI.

Procesador de interfaz de los routers Cisco de la serie 7000. El FIP admite SAS, DAS, doble basey derivación óptica, y contiene un procesador de 16 mips para velocidades de interfaz de alta ve-locidad (100 Mbps). El FIP cumple con los estándares ANSI e ISO FDDI.

FirewallRouter o servidor de acceso, o varios routers o servidores de acceso, designados como un búferentre cualquier red pública conectada y una red privada. El router firewall usa listas de acceso yotros métodos para garantizar la seguridad de la red privada.

FirmwareInstrucciones de software que se graban de forma permanente o semi-permanente en la ROM.

FloodingTécnica de transmisión de tráfico que usan los switches y los puentes en la que el tráfico que serecibe en una interfaz se envía a través de todas las interfaces de ese dispositivo, salvo la interfazen la que la información se recibió originalmente.

Fluctuación de faseDistorsión analógica de la línea de comunicación provocada por la variación de una señal de susposiciones de temporización de referencia. La fluctuación de fase puede provocar la pérdida dedatos, especialmente a altas velocidades.

Glosario 333

FlujoCadena de datos que viaja entre dos puntos de terminación a través de una red (por ejemplo, deuna estación de LAN a otra). Se pueden transmitir múltiples flujos en un solo circuito.

Flujo de datosTodos los datos que se transmiten a través de la línea de comunicaciones en una sola operación delectura o escritura.

FMFrecuencia modulada. Técnica de modulación en la que señales de distintas frecuencias represen-tan distintos valores de datos. Comparar con AM y PAM.

FNCConsejo Federal de Redes.

Grupo responsable de evaluar y coordinar las necesidades y políticas de networking de la agenciafederal de E.U.

FOIRLEnlace de fibra óptica entre repetidores.

Metodología de señalización de fibra óptica basada en la especificación de fibra óptica IEEE 802.3.FOIRL es una precursora de la especificación 10BASE-FL, que fue diseñada para reemplazarla.

Formato de supertrama extendidaVer ESF.

FRADDispositivo de acceso Frame Relay.

Cualquier dispositivo de red que proporciona una conexión entre una LAN y una WAN Frame Relay.

FragmentaciónProceso por el cual un paquete se divide en unidades más pequeñas al realizar la transmisión através de un medio de red que no puede admitir el tamaño original del paquete.

FragmentoParte de un paquete de mayor tamaño que se ha dividido en unidades más pequeñas.

Frame RelayProtocolo estándar industrial de capa de enlace de datos conmutado que maneja múltiples circuitosvirtuales mediante el encapsulamiento HDLC entre los dispositivos conectados. Frame Relay esmás eficiente que X.25, el protocolo para el cual se considera generalmente un reemplazo.

FRASSoporte de acceso Frame Relay.

Característica del software Cisco IOS que permite que los dispositivos IBM conectados a SDLC,Token Ring, Ethernet y Frame Relay se conecten a otros dispositivos IBM a través de una redFrame Relay.

FrecuenciaCantidad de ciclos, medidos en hercios, de una señal de corriente alterna por unidad de tiempo.


Frecuencia moduladaVer FM.

Front-endNodo o programa de software que solicita servicios al back end.

FRUUnidad de reemplazo de campo.

Componente del hardware que los proveedores de servicio certificados por Cisco pueden retirar yreemplazar. Las FRU típicas incluyen tarjetas, fuentes de alimentación y componentes del chasis.

FSIPProcesador de interfaz serial rápido.

El procesador de interfaz serial predeterminado para los routers Cisco de la serie 7000. El FSIPsuministra cuatro u ocho puertos seriales de alta velocidad.

FSTTransporte de secuencia rápida.

Protocolo de transporte secuenciado, no orientado a conexión, que se ejecuta sobre el protocolo IP.El tráfico SRB se encapsula dentro de los datagramas IP y se transmite a través de una conexiónFST entre dos dispositivos de red (por ejemplo, routers). Acelera el envío de datos, reduce el trá-fico de control y mejora el tiempo de respuesta del tráfico SRB.

FSUDesde unidad de switch.

Subsistema de cada línea de tarjeta de un switch ATM LightStream 2020 que acepta llamadasdesde la tarjeta de switch, verifica las checksums (sumas de comprobación) y las transmite hacia launidad de reensamblaje. FSU descarta celdas de forma selectiva si la red se congestiona.

FTAMTransferencia, acceso y administración de archivos.

En el modelo OSI, protocolo de capa de aplicación desarrollado para el intercambio y la adminis-tración de archivos de red entre distintos tipos de equipos.

FTPProtocolo de transferencia de archivos (File Transfer Protocol).

Protocolo de aplicación, parte de la pila de protocolo TCP/IP, que se usa para transferir archivosentre nodos de la red. El FTP se define en la RFC 959.

Fuerza de Tareas de Ingeniería de InternetVer IETF.

Fuerza de Tareas de Investigación de InternetVer IRTF.

Full duplexCapacidad de transmitir datos de forma simultánea entre una estación emisora y una estación re-ceptora. Comparar con half duplex y simplex.

Glosario 335

Fundación Nacional de CienciasVer NSF.

FuzzballLSI-11, un sistema computacional de Digital Equipment Corporation que ejecuta software de gate-way IP. La NSFnet usaba estos sistemas como switches de paquetes en el backbone.

G.804Estándar de entramado UIT-T que define la asignación de celdas ATM al medio físico.

G0,703/G0,704Especificaciones mecánicas y eléctricas recomendadas por la UIT-T para la conexión entre elequipo de la compañía telefónica y el DTE que utiliza conectores BNC y que opera a velocidadesde datos E1.

GananciaLa cantidad de aumento en energía que una antena parece agregar a una señal RF. Existen diferen-tes métodos para medir esto, según el punto de referencia elegido.

GatewayEn la comunidad IP, un término antiguo que se refiere a un dispositivo de enrutamiento. En la ac-tualidad, el término router se usa para describir nodos que ejecutan esta función, y gateway se re-fiere a un dispositivo con fines especiales que ejecuta conversión de capa de aplicación de la infor-mación de una pila de protocolo a otra. Comparar con router.

Gateway centralRouters principales de Internet.

Gateway de accesoGateway que admite tanto el tráfico portador como el tráfico de señalización. Por ejemplo:una gateway que termina el ISDN es una gateway de acceso.

Gateway de bordeRouter que se comunica con routers de otros sistemas autónomos.

GDPGateway Discovery Protocol.

Protocolo propietario de Cisco que permite que los hosts detecten dinámicamente el arribo denuevos routers así como también determinen si un router deja de funcionar. Basado en el UDP.

Generación de sistemaVer sysgen.

GGPProtocolo de gateway a gateway

Protocolo MILNET que especifica cómo los routers principales (gateways) deben intercambiar in-formación de alcance y enrutamiento. El GGP usa un algoritmo de ruta libre más corta distribuido.


GIDDistribución de información global.

Proceso que se ejecuta en el NP de cada switch ATM LightStream 2020 en una red. GID mantieneuna base de datos y da parte a los nodos de la red de los cambios en la topología, como ser, puer-tos, tarjetas y nodos que se agregan o retiran, y los enlaces troncales que están en funcionamientoo que dejan de funcionar. Esta información se suministra a través del proceso ND.

La distribución de información global es también conocida como daemon de distribución de infor-mación global (GIDD).

GIDDDaemon de distribución global de la información. Ver GID.

GigabitAbreviado como Gb.

Gigabits por segundoAbreviado como Gbps.

GigabyteAbreviado como GB.

Gigabytes por segundoAbreviado como GBps.

GigaherciosAbreviado como GHz.

GLBPProtocolo de balanceo de carga de la gateway.

GLBP es una mejora a HSRP y VRRP, que permite la selección automática y uso simultáneo de múl-tiples gateways disponibles como también de failover entre esas gateways. Con GLBP, los recursosse pueden utilizar plenamente sin la carga administrativa de configurar grupos múltiples y adminis-trar múltiples configuraciones de gateway predeterminadas, según se requiera con HSRP y VRRP.

GNSObtener servidor más cercano.

Paquete de petición enviado por un cliente en una red IPX para ubicar al servidor activo más cer-cano de un tipo determinado. El cliente de la red IPX emite una petición GNS para solicitar unarespuesta directa del servidor conectado o una respuesta del router que le indique dónde se puedeubicar el servicio en la internetwork. GNS forma parte de IPX SAP.

GOSIPPerfil del modelo OSI gubernamental.

Especificación de adquisiciones del gobierno de E.U. para los protocolos OSI. A través del GOSIP,el gobierno ha ordenado que todas las entidades gubernamentales adopten el modelo OSI como es-tándar e implementen sistemas basados en el modelo OSI a medida que estén disponibles a nivelcomercial.

Glosario 337

Grado de servicioMedida de la calidad del servicio telefónico basada en la probabilidad de que una llamada recibaun tono de ocupado durante las horas de máxima utilización del día.

GREEncapsulamiento de enrutamiento genérico.

Protocolo de tunneling desarrollado por Cisco que puede encapsular una amplia variedad de tiposde paquetes de protocolo dentro de túneles IP, y crea un enlace virtual punto a punto con losrouters Cisco en puntos remotos a través de una internetwork IP. Al conectar subredes multiproto-colo en un entorno de backbone de un solo protocolo, el IP tunneling que usa GRE permite unaampliación de la red a través de un entorno de backbone de un solo protocolo.

Grupo de circuitosAgrupación de líneas seriales asociadas que enlazan dos puentes. Si uno de los enlaces seriales deun grupo de circuitos es el spanning tree de una red, se puede usar cualquiera de los enlaces seria-les del grupo de circuitos para realizar el balanceo de carga. Esta estrategia de balanceo de cargaevita que se produzcan problemas para ordenar los datos al asignar cada dirección destino a un en-lace serial específico.

Grupo de puentesCaracterística de puenteo de Cisco que asigna interfaces de red a un grupo de spanning-tree deter-minado. Los grupos de puentes pueden ser compatibles con la especificación IEEE 802.1 o la DEC.

Grupo de trabajoConjunto de estaciones de trabajo y servidores de una LAN diseñados para comunicarse e inter-cambiar datos entre sí.

Grupo de transmisiónEn enrutamiento SNA, uno o más enlaces paralelos de comunicaciones que se tratan como unainstalación de comunicaciones.

Grupo del Comité Directivo de Ingeniería de InternetVer IESG.

Grupo del Comité Directivo de Investigación de InternetVer IRSG.

Grupo multicastGrupo de hosts IP que se determina de forma dinámica y se identifica con una sola dirección IPmulticast.

GUIInterfaz gráfica del usuario.

Entorno del usuario que utiliza representaciones gráficas y textuales de las aplicaciones de entraday salida y la estructura jerárquica u otra estructura de datos en la que se almacena la información.Las convenciones, por ejemplo, botones, iconos y ventanas son típicas y muchas acciones se eje-cutan utilizando un dispositivo que se usa para señalar (por ejemplo, el mouse). MicrosoftWindows y Apple Macintosh son ejemplos destacados de plataformas que usan la GUI.

H.323H.323 permite diferenciar los dispositivos de comunicación para comunicarse entre sí usando unprotocolo de comunicación estandarizado. El H.323 define un conjunto común de CODEC, con-figuración de llamada y procedimientos de negociación y métodos de transporte básicos de datos.


Half duplexCapacidad de transmitir los datos en una sola dirección a la vez entre una estación emisora y unaestación receptora. Comparar con full duplex y simplex.

HBD3Tipo de código de línea que se usa en los circuitos E1.

HCCConexión cruzada horizontal.

Armario de cableado en el que el cableado horizontal se conecta a un panel de conexión que, a suvez, se conecta a través de cableado backbone al servicio de distribución principal.

HDLCControl de enlace de datos de alto nivel.

Protocolo de capa de enlace de datos síncrono, orientado a bits, desarrollado por ISO. HDLC, quederiva de SDLC, especifica un método para encapsular datos en enlaces seriales síncronos usandocaracteres de trama y checksums (sumas de comprobación).

HELLOProtocolo de enrutamiento interior que utilizan principalmente los nodos NSFnet. HELLO permiteque los switches de paquetes particulares detecten rutas de retardo mínimo. No se debe confundircon el protocolo Hello.

HEPnetRed de física de alta energía.

Red de investigación que se originó en los Estados Unidos de Norteamérica, pero que se ha difun-dido a la mayoría de los lugares dedicados a la física de alta energía. Los sitios conocidos incluyenLaboratorio Nacional Argonne, Laboratorio Nacional Brookhaven, Laboratorio LawrenceBerkeley y el Stanford Linear Accelerator Center (SLAC).

Herramienta de punciónHerramienta accionada por resorte que se usa para cortar y conectar cables en un jack o en unpanel de conexión.

HertzMedida de frecuencia. Un sinónimo sería ciclos por segundo. Se abrevia Hz.

HexadecimalBase 16. Representación numérica que usa los dígitos 0 a 9, con su significado habitual, y las le-tras A a F para representar dígitos hexadecimales con valores de 10 a 15. El dígito ubicado más a

la derecha cuenta unos, el siguiente cuenta múltiplos de 16, luego 162=256, etc.

HighwayVer bus.

HIPProcesador de interfaz HSSI.

Procesador de interfaz de los routers Cisco de la serie 7000. El HIP suministra un puerto HSSI queadmite conexiones con ATM, SMDS, Frame Relay o líneas privadas a velocidades de hasta T3 o E3.

Glosario 339

HipertextoTexto que se guarda electrónicamente y permite el acceso directo a otros textos a través de los en-laces codificados. Se pueden crear documentos de hipertexto usando HTML y, a menudo, integrarimágenes, sonido y otros medios que se visualizan comúnmente usando un navegador Web.

HIPPIInterfaz paralela de alto rendimiento.

Estándar de interfaz de alto rendimiento definido por el ANSI. La HIPPI generalmente se usa paraconectar supercomputadores con dispositivos periféricos y otros dispositivos.

HLENLa cantidad de palabras de 32 bits del encabezado.

HODSPDPS de orden superior.

Campo de dirección NASP que se usa para subdividir el domino en áreas. Es, en líneas generales,equivalente a subred en IP.

HomologaciónConformidad de un producto o especificación con los estándares internacionales, por ejemplo,UIT-T, CSA, TUV, UL o VCCI. Habilita la portabilidad a través de los límites internacionales y dela empresa.

HostSistema informático ubicado en una red. Es similar al término nodo, salvo que el host general-mente implica un sistema informático, mientras que el nodo generalmente se aplica a cualquiersistema conectado a la red, incluidos los servidores de acceso y routers.

Host con múltiples conexionesHost conectado a múltiples segmentos de la red física en una red OSI CLNS.

Host gatewayEn SNA, un nodo host que contiene un SSCP gateway.

Hot Standby Router ProtocolVer HSRP.

HSCIInterfaz de comunicaciones de alta velocidad.

Interfaz de un solo puerto, desarrollada por Cisco, que brinda capacidad de comunicaciones seria-les síncronas full-duplex a velocidades de hasta 52 Mbps.

HSRPHot Standby Router Protocol.

Suministra alta disponibilidad de red y cambios transparentes en la topología de la red. El HSRPcrea un grupo con un router activo que brinda servicio a todos los paquetes enviados a una direc-ción “virtual”. El router activo es monitoreado por todos los otros routers del grupo y, en caso deque falle, uno de estos routers de reserva hereda la posición de activo y la dirección “virtual”.


HSSIInterfaz serial de alta velocidad.

Estándar de red para conexiones seriales de alta velocidad (de hasta 52 Mbps) en los enlaces WAN.

HTMLLenguaje de etiquetas por hipertexto.

Lenguaje de formato de documentos por hipertexto simple que usa etiquetas para indicar cómodebe interpretar una parte determinada de un documento una aplicación de visualización, porejemplo, un navegador de la Web. Ver también hipertexto y navegador Web.

Hub1) Por lo general, término que se usa para describir un dispositivo que actúa como el centro de unared de topología en estrella.

2) Dispositivo de hardware o software que contiene módulos de red y equipo de internetworkmúltiples, independientes pero conectados. Los hubs pueden ser activos (cuando repiten señalesque se envían a través de ellos) o pasivos (cuando no repiten, sino que simplemente dividen, lasseñales que se envían a través de ellos).

3) En Ethernet e IEEE 802.3, un repetidor multipuerto Ethernet, a veces denominado concentrador.

Hub activoDispositivo multipuerto que amplifica las señales de transmisión de la LAN.

IABConsejo de Arquitectura de Internet.

Consejo de investigadores de internetwork que discuten temas pertinentes a la arquitectura deInternet. Es responsable de designar una diversidad de grupos relacionados con Internet, por ejem-plo, IANA, IESG e IRSG. El IAB es designado por los miembros del directorio de ISOC.

IANAAutoridad de números asignada por Internet.

Organización que opera bajo el auspicio de la ISOC como parte del IAB. La IANA delega autori-dad para la asignación de espacio de direcciones IP y asignación de nombre de dominio al NIC yotras organizaciones. La IANA también mantiene una base de datos de identificadores de proto-colo asignados que se usan en la pila TCP/IP, incluidos los números del sistema autónomo.

IBNSServicios de red basados en identidad.

Solución integrada que combina varios productos Cisco que ofrecen autenticación, control de ac-ceso y políticas de usuario para asegurar la conectividad y los recursos de la red.

ICCConexión cruzada intermedia.

IDF que conecta la conexión cruzada horizontal con la conexión cruzada principal. Ver HCC y MCC.

Glosario 341

ICMPProtocolo de mensajes de control de Internet.

Protocolo de Internet de capa de red que informa sobre los errores y proporciona otra informaciónpertinente para el procesamiento de paquetes IP. Documentado en la RFC 792.

ID del sistemaEl ID del sistema es un campo de dirección NSAP que identifica un dispositivo OSI individual. EnOSI, un dispositivo tiene una dirección, como en DECnet, mientras que en IP una interfaz tieneuna dirección.

Identificación de intercambioVer XID.

Identificación, señaladores, compensación de fragmentosIdentificación, señaladores, compensación de fragmentos. Campo dentro de un datagrama IP quesuministra fragmentación de datagramas para permitir distintas MTU en la internetwork.

Identificador de canal lógicoVer LCI.

Identificador de canal virtualVer VCI.

Identificador de conexión de enlace de datosVer DLCI.

Identificador de dominio inicialVer IDI.

Identificador de información de enrutamientoVer RII.

Identificador de perfil de servicioVer SPID.

Identificador de ruta virtualVer VPI.

Identificador de ruta virtual/identif. de canal virtualVer VPI/VCI.

Identificador Exclusivo de OrganizaciónVer OUI.

Identificador extendido universal (EUI) de 64Ver EUI-64.

IDFInstalación de distribución intermedia.

Recinto de comunicación secundaria para un edificio que usa una topología de red en estrella. ElIDF depende del MDF.


IDIInterdominio ID.

Campo de dirección NSAP que identifica el dominio.

IDNNúmero de datos internacional. Ver X.121.

IDPParte del interdominio.

Campo de dirección NSAP que consta del AFI y del IDI juntos. Es, en líneas generales, equiva-lente a una red IP con clase en formato decimal.

IDPREnrutamiento de políticas entre dominios.

Protocolo de enrutamiento entre dominios que intercambia políticas entre sistemas autónomos deforma dinámica. El IDPR encapsula el tráfico del sistema interautónomo y lo enruta según las políti-cas de cada sistema autónomo a lo largo de la ruta. El IDPR actualmente es una propuesta IETF.

Protocolo de enrutamiento entre dominios IS-IS.

Protocolo OSI que especifica cómo los routers se comunican con los routers de dominios diferentes.

IECComisión Electrotécnica Internacional.

Grupo industrial que redacta y distribuye estándares para productos y componentes eléctricos.

IEEEInstituto de ingenieros eléctricos y electrónicos.

Organización profesional cuyas actividades incluyen el desarrollo de estándares de comunica-ciones y de redes. Los estándares LAN del IEEE son los estándares de LAN predominantes en elmundo actual.

IEEE 802.11Especificación IEEE desarrollada para eliminar los problemas inherentes a las tecnologías propie-tarias de WLAN. Comenzó con un estándar de 1 Mbps y ha evolucionado a otros varios estánda-res, incluidos el 802.11a, 802.11b y 802.11g.

IEEE 802.1Especificación del IEEE que describe un algoritmo que evita los loops de capa dos mediante lacreación de un spanning tree. El algoritmo fue inventado por Digital Equipment Corporation. Elalgoritmo de Digital y el IEEE 802.1 no son exactamente iguales, ni tampoco son compatibles.

IEEE 802.11aEstándar IEEE de WLAN para 54 Mbps a 5 GHz.

IEEE 802.11bEstándar IEEE de WLAN para 11 Mbps a 2.4 GHz.

Glosario 343

IEEE 802.11gEstándar IEEE de WLAN para 54 Mbps a 2.4 GHz.

IEEE 802.11hEspecificación IEEE con la que las radios deben cumplir para utilizar los 11 canales para el están-dar 802.11a. IEEE 802.11h incluye las características de TPC y DFS.

IEEE 802.11iEspecificación IEEE 802.11 para WPA.

IEEE 802.12Estándar LAN del IEEE que especifica la capa física y la subcapa MAC de la capa de enlace dedatos. El IEEE 802.12 usa el esquema de acceso a los medios de prioridad de demanda a 100Mbps a través de una diversidad de medios físicos.

IEEE 802.1xEstándar IEEE que especifica protocolos de autenticación como el EAP.

IEEE 802.2Protocolo LAN del IEEE que especifica una implementación de la subcapa LLC de la capa de en-lace de datos. IEEE 802.2 administra errores, entramado, control de flujo y la interfaz de serviciode la capa de red (Capa 3). Se usa en las LAN IEEE 802.3 e IEEE 802.5.

IEEE 802.3Protocolo LAN del IEEE que especifica una implementación de la capa física y la subcapa MACde la capa de enlace de datos. IEEE 802.3 usa acceso CSMA/CD a diversas velocidades sobre di-versos medios físicos. Las extensiones del estándar IEEE 802.3 especifican las implementacionesde Fast Ethernet. Las variantes físicas de la especificación IEEE 802.3 original incluyen10BASE2, 10BASE5, 10BASE-F, 10BASE-T y 10Broad36. Las variantes físicas de Fast Ethernetincluyen 100BASE-T, 100BASE-T4 y 100BASE-X.

IEEE 802.3iVariante física de la especificación IEEE 802.3 original que requiere el uso de la señalización de tipo Ethernet a través de medios de red de par trenzado. El estándar establece la velocidad deseñalización en 10 megabits por segundo usando un esquema de señalización de banda base que setransmite a través de cable de par trenzado usando una topología en estrella o en estrella extendida.

IEEE 802.4Protocolo LAN del IEEE que especifica una implementación de la capa física y la subcapa MACde la capa de enlace de datos. El IEEE 802.4 usa acceso por transmisión de tokens a través de unatopología de bus y está basada en la arquitectura LAN token bus.

IEEE 802.5Protocolo LAN del IEEE que especifica una implementación de la capa física y la subcapa MACde la capa de enlace de datos. IEEE 802.5 usa acceso por transmisión de tokens a 4 ó 16 Mbps através de cableado STP y es similar al Token Ring de IBM.

IEEE 802.6Especificación MAN del IEEE basada en tecnología DQDB. El IEEE 802.6 admite velocidades dedatos de 1.5 a 155 Mbps.

IESGGrupo del Comité Directivo de Ingeniería de Internet.

Organización, designada por el IAB, que administra la operación de IETF.


IETFFuerza de Tareas de Ingeniería de Internet.

Fuerza de tareas compuesta por alrededor de 80 grupos de trabajo responsables de desarrollar es-tándares de Internet. La IETF opera bajo el auspicio de ISOC.

IFIPFederación Internacional para el Procesamiento de la Información.

Organización dedicada a la investigación que ejecuta tareas de pre-estandarización OSI. Entreotros logros, la IFIP formalizó el modelo MHS original.

IGMPProtocolo de administración de grupos de Internet.

Utilizado por los host IP para informar al router multicast adyacente su pertenencia a los grupos demulticast.

IGPProtocolo de gateway interior.

Protocolo de Internet que se usa para intercambiar información de enrutamiento dentro de un sis-tema autónomo. Entre los ejemplos de protocolos IGP Internet comunes se incluyen el IGRP,OSPF y RIP.

IGRPProtocolo de enrutamiento de gateway interior.

El IGP desarrollado por Cisco para tratar los problemas asociados con el enrutamiento en redesgrandes, heterogéneas. Comparar con IGRP mejorado.

IGRP mejoradoVer EIGRP.

IIHSistema intermedio a Sistema intermedio Hello.

Utilizado por routers para detectar vecinos y formar adyacencias. Además del IIH, que es un IS-ISPDY, existe un ISH y un ESH, que son ES-IS PDU.

IINRed de información inteligente.

Red que admite sin obstáculos nuevas estrategias de IP, incluyendo arquitectura orientada al servi-cio (SOA), servicios de Web y virtualización. Se implementa usando SONA. Comparar con SONA.

ILECOperadora de incumbencia de intercambio local.

Compañía telefónica tradicional. En E.U., las Compañías Bell de operación regional (RBOC) que seformaron después del despojo de AT y T y Compañías Independientes Operativas (IOC) que usual-mente están ubicadas en zonas más rurales o ciudades únicas son ILEC. En otras áreas del mundo,las ILEC son los monopolios administrados por el gobierno, Correo, Teléfono y Telégrafo (PTT).

Glosario 345

ILMIInterfaz de administración local provisoria.

Especificación desarrollada por el ATM Forum para incorporar capacidades de administración dered en ATM UNI.

IMPProcesador de mensajes de interfaz.

Antiguo nombre de los switches de paquetes ARPANET.

En la actualidad, a los IMP se los denomina nodo conmutado por paquete (PSN).

Impulso electromagnéticoVer EMP.

Indicador de formato 0Ver FID0.





Índice de error en bitVer BER.

Información de control de protocoloVer PCI.

Información en línea de CiscoVer CIO.

Informática (procesamiento) distribuidaVer informática cliente-servidor.

Informática cliente-servidorTérmino que se usa para describir los sistemas de red informáticos distribuidos (de procesamiento)en los que las responsabilidades de transacción se dividen en dos partes: cliente (front end) y servi-dor (back end). Ambos términos (cliente y servidor) pueden aplicarse a los programas de softwareo a los dispositivos informáticos actuales. Comparar con informática entre pares.

La informática cliente-servidor también es conocida como informática distribuida.

Informática de red abiertaVer ONC.


Informática entre paresLa informática entre pares requiere que cada dispositivo de red ejecute tanto la parte de clientecomo la de servidor de una aplicación. También describe las comunicaciones entre las imple-mentaciones de la misma capa del modelo de referencia OSI en dos dispositivos de red distintos.

Informe de base de información de administraciónVer informe MIB.

InfraestructuraEl modo de infraestructura indica una topología WLAN donde los clientes se conectan a través deun punto de acceso.

InfrarrojoOndas electromagnéticas cuya banda de frecuencias es superior al de las microondas, pero inferioral del espectro visible. Los sistemas LAN que se basan en esta tecnología representan una tec-nología emergente.

INOCCentro de Operaciones de Red de Internet.

Grupo de BBN que en la primera época de Internet monitoreaba y controlaba los gateways cen-trales (routers) de Internet. El INOC, como tal, ya no existe.

Inserción y retiro en líneaVer OIR.

Instalación de distribución intermediaVer IDF.

Instalación de distribución principalVer MDF.

Instalación de múltiples imágenes ESCONVer EMIF.

Instituto de ingenieros eléctricos y electrónicosVer IEEE.

Instituto Europeo de Estándares de TelecomunicaciónVer ETSI.

Instituto Nacional de Normas y TecnologíaVer NIST.

Intercambio en calienteVer OIR y servicios de encendido.

Intercambio de conmutación de paquetesVer PSE.

Intercambio de paquetes de internetworkingVer IPX.

Glosario 347

Intercambio de señalesSecuencia de mensajes que se intercambia entre dos o más dispositivos de red para garantizar lasincronización de la transmisión.

Intercambio electrónico de datosVer EDI.

Intercambio electrónico datos para administración, comercio y transporteVer EDIFACT.

Interconexión de red SNAVer SNI.

Interconexión de sistemas abiertosVer OSI.

Interconexión NCP/Token RingVer NTRI.

Interdominio IDVer IDI.

Interfaz1) Conexión entre dos sistemas o dispositivos.

2) En la terminología de enrutamiento, una conexión de red.

3) En telefonía, un límite compartido definido por características de interconexión física comunes,características de señal y significados de las señales intercambiadas.

4) El límite entre capas adyacentes del modelo OSI.

Interfaz de acceso básicoVer BRI.

Interfaz de acceso principalVer PRI.

Interfaz de administración localVer LMI.

Interfaz de administración local provisoriaVer ILMI.

Interfaz de colocación de mensajes en colasVer MQI.

Interfaz de comunicaciones de alta velocidadVer HSCI.

Interfaz de comunicaciones multipuertoVer MCI.

Interfaz de datos distribuida por cobreVer CDDI.


Interfaz de datos distribuida por fibra ópticaVer FDDI.

Interfaz de enlace de datos abiertaEspecificación de Novell que suministra una interfaz estandarizada para las NIC, que permite quemúltiples protocolos usen una sola NIC.

Interfaz de líneaVer LINF.

Interfaz de la línea de comandoVer CLI.

Interfaz de nodo de red privadaVer PNNI.

Interfaz de programación común para comunicacionesVer CPI-C.

Interfaz de programación de aplicacionesVer API.

Interfaz de redLímite entre la red de la compañía telefónica y una instalación que pertenece a una empresa privada.

Interfaz de red de usuarioVer UNI.

Interfaz de red del suscriptorVer SNI.

Interfaz de sistema de inter-switchingVer ISSI.

Interfaz de unidad de conexiónVer AUI.

Interfaz gráfica del usuarioVer GUI.

Interfaz II de datos distribuida por fibra ópticaVer FDDII.

Interfaz paralela de alto rendimientoVer HIPPI.

Interfaz pasivaLa interfaz pasiva recibe actualizaciones pero no las envía. Se utiliza para controlar la actualiza-ción del routing. El comando de interfaz pasiva puede usarse con todos los protocolos de IP de ga-teway interiores. Es decir, que se puede usar con RIP, IGRP, EIGRP, OSPF e IS-IS.

Interfaz red a redVer NNI.

Glosario 349

Interfaz Red-Red PrivadaVer PNNI.

Interfaz serial de alta velocidadVer HSSI.

Interfaz troncal doméstica DS-1Ver DS-1/DTI.

Interfaz virtual de grupo de puentesVer BVI.

InterferenciaRuido no deseado del canal de comunicación.

Interferencia electromagnéticaVer EMI.

Interferencia radioeléctricaVer RFI.

Internet1) Internet. Término utilizado para referirse a la internetwork global de mayor envergadura, queconecta cientos de miles de redes a nivel mundial y que tiene una “cultura” que se centra en la in-vestigación y los estándares que se basan en el uso de la vida real. Varias de las tecnologías de redlíderes provienen de la comunidad Internet. En cierta medida, Internet se desarrolló a partir deARPANET. En una época, se la denominó DARPA Internet. No se debe confundir con el términogeneral internet (entre redes). Ver también ARPANET.

2) internet. No se debe confundir con la Internet. Ver internetwork.

Internet europeaVer EUnet.

InternetworkConjunto de redes interconectadas por routers y otros dispositivos que funcionan (generalmente)como una sola red.

Al término internetwork se lo conoce también como internet, que no debe confundirse con la redInternet.

Internetwork de LAN virtualVer VLI.

Internetwork terminalEn una topología en estrella, una internetwork cuyo único acceso a otra internetwork de la estrellase produce a través de un router central.

InternetworkingTérmino general utilizado para referirse a la industria que ha surgido alrededor del problema deconectar redes entre sí. El término puede referirse a productos, procedimientos y tecnologías.


InterNICOrganización que brinda servicio a la comunidad Internet suministrando asistencia al usuario, docu-mentación, capacitación, servicio de registro para nombres de dominio de Internet y otros servicios.

InterNIC era antes conocido como Centro de Información de la Red (NIC).

InteroperabilidadCapacidad de los equipo informáticos manufacturados por distintos fabricantes para comunicarseentre sí de forma exitosa a través de una red.

Intervalo activoPeríodo entre cada mensaje de actividad enviado por un dispositivo de red.

Intervalo de retardo de envíoCantidad de tiempo que pasa una interfaz en esperar la información de cambio de topología luegode que una interfaz se ha activado para el puenteo y antes de que comience realmente el envío.

Inversión de byteProceso utilizado para guardar datos numéricos colocando en primer lugar el byte menos significa-tivo. Se usa para números enteros y direcciones de dispositivos que cuentan con microproce-sadores Intel.

Inversión de marca alternada (Alternate mark invertion)Ver AMI.

Inversión de marca alternada codificada en binarioVer AMI.

Inversión de marca codificadaVer CMI.

Inversión del sentido de transmisión de la líneaTiempo necesario para cambiar la dirección de la transmisión de datos en una línea telefónica.

Investigación de comunicaciones avanzadas en EuropaVer RACE.

Inyector de señalesDispositivo que se usa para medir la atenuación de una señal en una red.

IOSSistema operativo de internetworking.

Ver software IOS de Cisco.

IP clásico a través de ATMVer CIA.

IP multicastTécnica de enrutamiento que permite que el tráfico IP se propague desde un origen hacia unnúmero de destinos o desde varios orígenes hacia varios destinos. En lugar de enviar un paquete acada destino, se envía un paquete a un grupo de multicast que se identifica mediante una sola di-rección de grupo de destino IP.

Glosario 351

IP móvilUn estándar IEFT para IPv4 e IPv6 que permite a los dispositivos móviles moverse sin romper lasconexiones actuales, En IPv6 la movilidad está incorporada, lo que significa que cualquier nodo deIPv6 se puede utilizar según sea necesario.

IP sin estado/Protocolo de mensaje de control Internet (IC)Ver SIIT.

IP virtualVer VIP.

IPngProtocolo de Internet de la próxima generación. Ver IPv6.

IPSOOpción de seguridad de IP.

Especificación del gobierno de E.U. que define un campo opcional en el encabezado de los paque-tes IP, que define niveles jerárquicos de seguridad para los paquetes, interfaz por interfaz.

IPv4Protocolo Internet Versión 4.

Protocolo de capa de red en la pila TCP/IP que brinda un servicio de internetworking no orientadoa conexión. El IPv4 suministra características de direccionamiento, especificación de tipo de servi-cio, fragmentación y reensamblaje y seguridad. Documentado en la RFC 791.

IPv6Protocolo Internet Versión 6.

Estándar IP de capa de red utilizado por dispositivos electrónicos para intercambiar datos a travésdel internetwork conmutado por paquetes. Sigue al IPv4 como la segunda versión del Protocolo deInternet para adoptarse formalmente al uso general. IPv6 incluye soporte para flujo ID en el en-cabezado de paquetes, que se puede utilizar para identificar flujos.

Al IPv6 antes se lo conocía como el IP de la próxima generación (IPng).

IPXIntercambio de paquetes de internetworking.

Protocolo de capa de red (Capa 3) de NetWare que se usa para transferir datos desde servidores aestaciones de trabajo. El IPX es similar al IP y al XNS.

IPXWANIntercambio de paquetes de internetworking.

Protocolo que negocia las opciones de extremo a extremo para nuevos enlaces. Cuando un enlacese activa, los primeros paquetes IPX que se envían son los paquetes IPXWAN que negocian las op-ciones para el enlace. Cuando se han determinado con éxito las opciones, el IPXWAN, comienzala transmisión IPX normal. Definido por RFC 1362.

IRDPProtocolo ICMP de descubrimiento de routers (ICMP Router Discovery Protocol).

Permite que un host determine la dirección de un router el cual puede utilizar como gateway pre-determinada. Similar al ESIS, pero se usa con IP.


IRNNodo de enrutamiento intermedio.

En SNA, un nodo de subárea con capacidad de enrutamiento intermedio.

IRSGGrupo del Comité Directivo de Investigación de Internet.

Grupo que forma parte del IAB y que supervisa las actividades del IRTF.

IRTFFuerza de Tareas de Investigación de Internet.

Comunidad de expertos en redes que consideran los temas de investigación relacionados conInternet. La IRTF se rige por el IRSG y es considerada una subsidiaria del IAB.

ISSistema intermedio.

El router que participa en la información ISIS de enrutamiento.

IS de Nivel 1Sistema intermedio de Nivel 1.

Provee el enrutamiento dentro de un área. Mantiene el seguimiento del enrutamiento dentro de supropia área. Para un paquete destinado a otra área, un IS de Nivel 1 envía el paquete al IS del Nivel2 más próximo en su propia área, sin considerar qué área de destino es.


Provee enrutamiento entre áreas de Nivel 1 y forma una backbone de enrutamiento intradominio.Mantiene el seguimiento de las rutas a las áreas de destino. Un nivel 1 debe atravesar un IS denivel 2 para comunicarse con otra área.


Provee el enrutamiento entre dominios separados.

IS-ISSistema intermedio a Sistema intermedio.

Protocolo de enrutamiento jerárquico de estado-enlace del modelo OSI basado en el enrutamientoDECnet de Fase V por la que los IS (routers) intercambian información de enrutamiento basándoseen una sola métrica para determinar la topología de la red. Comparar con IS-IS integrado.

IS-IS dobleVer IS-IS integrado.

IS-IS HelloVer IIH.

Glosario 353

IS-IS integradoSistema intermedio a Sistema intermedio integrado.

Protocolo de enrutamiento basado en el protocolo IS-IS de OSI, pero con soporte para IP y otros protocolos. Las implementaciones de IS-IS integrado envían solamente un conjunto de actua-lizaciones de enrutamiento, lo que las hace más eficientes que dos implementaciones individuales.Comparar con IS-IS.

A IS-IS integrado se lo conocía como IS-IS dual.

ISAArquitectura estándar de la industria.

Bus de 16 bits que se usa para PC con Intel.

ISA (Arquitectura estándar de la industria)Ver ISA.

ISATAPProtocolo de direccionamiento de túnel automático dentro del sitio.

Permite una intranet IPv4 privada (que puede o no estar utilizando direcciones RFC 1918) paraimplementar de manera incrementada los nodos IPv6 sin mejorar la red.

ISDNRed digital de servicios integrados.

Protocolo de comunicación, que ofrecen las compañías telefónicas, el cual permite que las redestelefónicas transporten datos, voz y otras fuentes de tráfico.

ISDN de banda anchaVer BISDN.

ISHSistema intermedio Hello.

Los paquetes ISH son un tipo de paquete de saludo. Es parte del ES-IS spec 9542; similar a RDPen TCP/IP; usado para IS y ES para detectarse uno al otro y formar adyacencias. Los paquetes ISHse envían a todas las interfaces IS-IS habilitadas. En las LAN se envían periódicamente, destinadasa una dirección multicast especial. Los routers se vuelven vecinos cuando se ven en los paquetesde saludo del vecino y enlazan las combinaciones de información de autenticación.

ISMIndustrial, Científico y Médico.

Las bandas de 900 MHz y 2.4 GHz son denominadas bandas ISM.

ISO 3309Procedimientos HDLC desarrollados por la ISO. La ISO 3309:1979 especifica la estructura detrama HDLC que se debe usar en los entornos síncronos. La ISO 3309:1984 especifica las modifi-caciones propuestas para permitir el uso de HDLC también en entornos asíncronos.

ISO 9000Conjunto de estándares internacionales de administración de calidad definido por la ISO. Los es-tándares, que no son específicos para ningún país, industria o producto, permiten que las empresas


demuestren que han puesto en marcha procesos específicos para mantener un sistema de calidadeficiente.

ISOCSociedad Internet.

Organización internacional sin fines de lucro, fundada en 1992, que coordina la evolución y el usode la Internet. Además, la ISOC delega autoridad en otros grupos relacionados con la Internetcomo, por ejemplo, el IAB. La ISOC tiene su sede en Reston, Virginia, E.U.

ISODEOrganización internacional para el entorno de desarrollo de la estandarización.

Conjunto de bibliotecas y utilidades de gran tamaño que se usa para desarrollar aplicaciones y pro-tocolos OSI de la capa superior.

IsotrópicoUna antena que irradia su señal en un patrón esférico. Comparar con dipolo.

ISSIInterfaz de sistema de inter-switching.

Interfaz estándar entre switches SMDS.

ITU-TSector de Normalización de las Telecomunicaciones de la Unión Internacional deTelecomunicaciones.

Sector de Normalización de las Telecomunicaciones de la Unión Internacional deTelecomunicaciones (UIT-T), (antiguamente denominado Comité Consultivo InternacionalTelegráfico y Telefónico ([CCITT]). Organización internacional que desarrolla estándares decomunicación.

Jabber1) Condición de error en la que un dispositivo de red transmite continuamente datos aleatorios, sinsentido, a la red.

2) En el estándar IEEE 802.3, un paquete de datos cuya longitud excede la prescrita en el estándar.

JANETRed académica conjunta.

WAN X.25 que conecta las instituciones universitarias y de investigación del Reino Unido.

Jerarquía digital síncronaVer SDH.

Jumper1) Término que se usa para los cables de interconexión que se encuentran en el armario de cableado.

2) Interruptor eléctrico compuesto por una cantidad de pines y un conector que se puede conectara los pines de varias formas distintas. Se crean distintos circuitos al fijar el conector a los diferen-tes pines.

Glosario 355

JUNETRed UNIX de Japón.

Red sin fines comerciales, a nivel nacional, de Japón, diseñada para promover la comunicaciónentre los investigadores japoneses y los investigadores de otras nacionalidades.

JvNCnetRed informática John von Neumann.

Red regional, que pertenece y es atendida por Global Enterprise Services, Inc., compuesta por en-laces seriales T1 y más lentos, que brinda servicios de networking de nivel medio a sitios delnoreste de los Estados Unidos.

KermitPopular programa de transferencia de archivos y emulación de terminal.

KERNServicio de conexión kernel trap. Proceso que se ejecuta en cada NP de cada switch ATMLightStream 2020 en una red. El KERN convierte los mensajes kernel de LynxOS, enviados a laconsola, en mensajes SNMP.

KilobitAproximadamente 1000 bits. Se abrevia kb.

Kilobits por segundoVelocidad de bits expresada en miles de bits por segundo. Se abrevia kbps.

KilobyteAproximadamente 1000 bytes. Se abrevia KB.

Kilobytes por segundoVelocidad de bits expresada en miles de bytes por segundo. Se abrevia KBps.

LANRed de área local.

Redes de datos de alta velocidad y bajo nivel de errores que abarcan un área geográfica relativa-mente pequeña (hasta unos pocos miles de metros). Las LAN conectan estaciones de trabajo, dis-positivos periféricos, terminales y otros dispositivos que se encuentran en un mismo edificio uotras áreas geográficas limitadas. Los estándares de LAN especifican el cableado y la señalizaciónen las capas física y de enlace de datos del modelo OSI. Ethernet, FDDI y Token Ring son tec-nologías LAN de uso muy difundido. Comparar con MAN y WAN.

LAN conmutadaLAN que se implementa con switches LAN.

LAN dedicadaSegmento de red que se asigna a un solo dispositivo. Se usa en las topologías de red LAN conmu-tadas.

LAN emuladaVer ELAN.


LAN ExtenderCualquiera de los productos Cisco de la serie 1000. Los extensores de LAN Cisco suministran unaconexión transparente entre un sitio central y un sitio remoto, y extienden de forma lógica la redcentral para incluir la LAN remota. Los productos LAN Extender admiten todos los protocolos dered estándar y están configurados y administrados a través de un router host en el sitio central, queno requiere ninguna experiencia técnica en el extremo remoto. Ver también Cisco 1000.

LAN ManagerSistema operativo de red distribuido, desarrollado por Microsoft, que admite diversos protocolos yplataformas.

LAN Manager para UNIXVer LM/X.

LAN ServerSistema operativo de red basado en servidor desarrollado por IBM y derivado de LNM.

LAN virtualVer VLAN.

LANEEmulación de LAN.

Tecnología que permite que una red ATM funcione como backbone de LAN. La red ATM debebrindar soporte multicast y broadcast, asignación de direcciones (MAC a ATM), administraciónSVC y formato de paquetes utilizable. LANE también define las ELAN Ethernet y Token Ring.

LAPBProcedimiento de acceso al enlace balanceado.

Protocolo de capa de enlace de datos de la pila de protocolo X.25. El LAPB es un protocolo orien-tado a bits que deriva de HDLC.

LAPDProcedimiento de acceso al enlace del canal D.

Protocolo de capa de enlace de datos RDSI para el canal D. El LAPD se deriva del protocoloLAPB y está diseñado principalmente para satisfacer los requisitos de señalización del accesobásico RDSI. Definido en las recomendaciones UIT-T Q.920 y Q.921.

LAPMProcedimiento de acceso al enlace para módems.

Los ARQ que usan los módems que implementan el protocolo V.42 de corrección de errores.

LATTransporte de área local.

Protocolo de terminal virtual de red desarrollado por Digital Equipment Corporation.

LATAAcceso local y área de transporte.

Área geográfica de marcación telefónica atendida por una sola compañía telefónica local. Las lla-madas dentro de las LATA se denominan “llamadas locales”. Hay más de 100 LATA en losEstados Unidos de Norteamérica.

Glosario 357

Latencia1) Retardo entre el momento en el que el dispositivo solicita acceso a una red y el momento en elque se le otorga permiso para transmitir.

2) Retardo entre el momento en el que un dispositivo recibe una trama y el momento en el que latrama sale desde el puerto destino.

LCCControl de tarjeta de línea.

Proceso que se ejecuta en el NP de cada CLC, LSC y MSC de un switch ATM LightStream 2020.El LCC establece las VCC, mantiene el protocolo de administración de enlace para la tarjeta delínea, monitorea continuamente la calidad de la línea en cada enlace troncal usando TUD y ejecutaotras funciones.

LCIIdentificador de canal lógico. Ver VCN.

LCNNúmero de canal lógico. Ver VCN.

LCPProtocolo de control de enlace.

Protocolo que establece, configura y prueba las conexiones de enlace de datos que usa PPP.

LEC1) Cliente de emulación de LAN. Entidad de un sistema final que ejecuta envío de datos, resolu-ción de direcciones y otras funciones de control para un solo ES dentro de una sola ELAN. UnLEC también suministra interfaz de servicio LAN estándar a cualquier entidad de capa superiorque hace interfaz con el LEC. Cada LEC se identifica con una dirección ATM exclusiva y se aso-cia con una o más direcciones MAC que se pueden alcanzar a través de esa dirección ATM. Vertambién ELAN y LES.

2) portadora de intercambio local. Compañía telefónica local o regional que es propietaria de unared telefónica y las líneas de los clientes que se conectan a ella, y que las opera.

LECSServidor de configuración para emulación de LAN.

Entidad que asigna clientes LANE individuales a ELAN particulares direccionándolos a los LESque corresponden a la ELAN. Existe un LECS lógico por dominio administrativo y éste brindaservicio a todas las ELAN dentro de ese dominio.

LEDDiodo emisor de luz.

Dispositivo semiconductor que emite luz producida por la conversión de energía eléctrica. Laslámparas de estado de los dispositivos de hardware suelen ser LED.

Lenguaje de etiquetas por hipertextoVer HTML.

LESServidor para emulación de LAN.


Entidad que implementa la función de control para una ELAN en particular. Existe un solo LESlógico por ELAN y se identifica por su dirección ATM exclusiva.

Ley-aEstándar de compresión-expansión UIT-T utilizado en la conversión de señales analógicas y digi-tales en sistemas PCM. El ley-a se usa principalmente en las redes telefónicas europeas y es simi-lar al estándar ley-mu norteamericano.

Ley-muEstándar de compansión norteamericano que se usa en la conversión entre señales analógicas ydigitales en sistemas PCM. Similar al ley-a europeo.

LINFInterfaz de línea.

Tarjeta de interfaz que se usa en el switch ATM LigthStream 100. La LINF recibe celdas que seenvían a través de una línea, verifica si tienen errores y las envía hacia su destino.

Lista de control de accesoLista que mantienen los routers Cisco para controlar el acceso hacia o desde el router para diversosservicios (por ejemplo, para evitar que los paquetes que tienen una determinada dirección IP sal-gan de una interfaz específica del router).

Listo para enviarVer CTS.

Ver RTS.

Little-endianMétodo que se usa para guardar o transmitir datos en el que el bit o byte menos significativo sepresenta en primer lugar. Comparar con big-endian.

Llamada de procedimiento remotoVer RPC.

LLCControl de enlace lógico.

La más alta de las dos subcapas de la capa de enlace de datos definidas por el IEEE. La subcapaLLC administra el control de errores, el control de flujo, el entramado y el direccionamiento de lasubcapa MAC. El protocolo LLC de uso más generalizado es el IEEE 802.2, que incluye tantovariantes no orientadas a conexión como orientadas a conexión.

LLC 2Protocolo de la subcapa LLC del modelo OSI orientado a conexión.

LLQCola de baja latencia.

Otorga estricta cola de prioridad a la Cola equitativa ponderada basada en clases (CBWFQ).

LM/XLAN Manager para UNIX.

Monitorea los dispositivos LAN en entornos UNIX.

Glosario 359

LMIInterfaz de administración local.

Conjunto de mejoras para la especificación Frame Relay básica . La LMI incluye soporte para unmecanismo de mensajes de actividad, que verifica que los datos fluyan; un mecanismo de multi-cast, que proporciona al servidor de red su DLCI local y el DLCI multicast; direccionamientoglobal, que proporciona a los DLCI significado global en lugar de simplemente significado localen la red Frame Relay; y un mecanismo de estado, que indica el estado en curso en los DLCI queel switch conoce.

En la terminología ANSI, la LMI se denomina LMT.

LMTVer LMI.

LNMAdministrador de red LAN.

Paquete de administración de redes SRB y Token Ring suministrado por IBM. Por lo general, seejecuta en un PC y monitorea los dispositivos SRB y Token Ring, y puede transmitir alertas haciaNetView.

Localizador de Recursos UniversalVer URL.

Longitud totalCampo dentro de un datagrama IP que indica la longitud total del encabezado más los datos.

Lossy (Con tendencia a pérdidas)Característica de una red que es propensa a perder paquetes cuando se carga en exceso.

LPDDaemon de impresora de línea.

Protocolo utilizado para enviar tareas de impresión entre sistemas UNIX.

LSAPublicación de estado de enlace.

Paquete de broadcast que usan los protocolos de estado de enlace que contiene informaciónacerca de los vecinos y los costos de la ruta. Los routers receptores usan las LSA para mantenersus tablas de enrutamiento.

También se conoce la publicación de estado de enlace conoce como paquete de estado de enlace(LSP).

LSCTarjeta de línea de baja velocidad.

La tarjeta del switch LightStream 2020 ATM que se puede configurar como tarjeta de extremo otroncal. Una LSC, junto con una tarjeta de acceso, admite ocho puertos troncales o de extremo(Frame Relay o envío de trama) a velocidades de puertos individuales hasta 3.584 Mbps o una ve-locidad agregada de 6 Mbps por tarjeta de línea.


LSPPaquete de estado de enlace.

Base de datos PDU de estado de enlace.

Base de datos mantenida por cada router que ejecuta un protocolo de link-state routing. Provee unavisión global del área en particular y los puntos de salida a las áreas vecinas.

LUUnidad lógica.

La LU, componente principal de SNA, es una NAU que permite que los usuarios finales se comu-niquen entre sí y obtengan acceso a los recursos de red SNA.

LU 6.2Unidad lógica 6.2.

En SNA, una LU que suministra comunicación entre pares entre programas en un entorno infor-mático distribuido. La APPC se ejecuta en dispositivos LU 6.2.

LU dependienteVer DLU.

LU principalVer PLU.

LWAPPProtocolo de punto de acceso liviano.

El LWAPP encapsula y encripta (con AES) el tráfico de control entre puntos de acceso y contro-ladores inalámbricos. El tráfico de datos entre los puntos de acceso y controladores también es en-capsulado por LWAPP pero no encriptado.

LynxOSSistema operativo de tipo UNIX, de tiempo real, que se ejecuta en el NP de un switch ATMLightStream 2020.

LáserAmplificación de luz por emisión estimulada de radiación.

Dispositivo de transmisión analógica en el que un material activo adecuado se excita a través de unestímulo externo para producir un haz angosto de luz coherente que se puede modular en pulsospara transportar datos. Las redes basadas en tecnología láser a veces se ejecutan a través de SONET.

Línea1) En SNA, una conexión a la red.

2) Ver enlace.

Línea arrendadaLínea de transmisión reservada por una empresa de telecomunicaciones para uso privado de uncliente. Una línea arrendada es un tipo de línea dedicada.

Glosario 361

Línea de acceso telefónicoCircuito de comunicaciones que se establece mediante una conexión de circuito conmutada usandola red de la compañía telefónica.

Línea de comunicaciónEnlace físico (por ejemplo, un cable o circuito de teléfono) que conecta uno o más dispositivos conuno o más dispositivos.

Línea de miraCaracterística de determinados sistemas de transmisión, por ejemplo, los sistemas láser, de mi-croondas e infrarrojos, en los que no puede existir ninguna obstrucción en la ruta directa entre eltransmisor y el receptor.

Línea dedicadaLínea de comunicaciones que se reserva indefinidamente para transmisiones, en lugar de conmu-tarse cuando se requiere transmitir.

MACControl de acceso al medio.

La más baja de las dos subcapas de la capa de enlace de datos definida por el IEEE. La subcapaMAC administra acceso al medio compartido, por ejemplo, si se debe usar transmisión de tokens ocontención.

MAC destinoVer DMAC.

MAC origenVer SMAC.

MallaTopología de red en la que los dispositivos se organizan de una manera administrable, segmentada,con varias interconexiones, a menudo redundantes, ubicadas estratégicamente entre nodos de la red.

Malla completaTérmino que describe a una red en la que los dispositivos están organizados en una topología demalla, en la que cada nodo de la red tiene un circuito físico o un circuito virtual que lo conecta atodos los otros nodos de la red. Una malla completa brinda una gran cantidad de redundancia pero,dado que su implementación puede resultar excesivamente cara, generalmente se la reserva paralos backbones de la red.

Malla parcialTérmino que describe una red en la que los dispositivos se organizan en una topología de malla,con algunos nodos de red organizados en una malla completa, pero otros sólo se conectan a uno odos de los otros nodos de la red. Una malla parcial no suministra el nivel de redundancia de la to-pología de malla completa, pero su implementación es más barata. Las topologías de malla parcialse usan generalmente en las redes periféricas que se conectan a un backbone de malla completa.

MANRed de área metropolitana.

Red que abarca un área metropolitana. Por lo general, una MAN abarca un área geográfica másgrande que una LAN, pero más pequeña que una WAN. Comparar con LAN y WAN.

MAPProtocolo de automatización de fabricación.


Arquitectura de red creada por General Motors para satisfacer las necesidades específicas de lasinstalaciones fabriles. El MAP especifica una LAN de transmisión de tokens similar a IEEE 802.4.

Mapa de cableadoCaracterística suministrada por la mayoría de los analizadores de cable. Se usa para probar las ins-talaciones de cableado de par trenzado, y muestra cuáles hilos están conectados a cuáles pines, enconectores macho y hembra.

Mapa de rutaMétodo para controlar la redistribución de rutas entre dominios de enrutamiento.

Mapa de topologíaHerramienta para administrar un switch ATM LightStream 2020 que examina una red y muestra elestado de sus nodos y enlaces troncales. El mapa de topología es una aplicación basada en HPOpenView que se ejecuta en un NMS.

MAUUnidad de conexión al medio.

Dispositivo utilizado en las redes Ethernet e IEEE 802.3 que suministra la interfaz entre el puertoAUI de una estación y el medio común de Ethernet. La MAU, que se puede incorporar a unaestación o puede ser un dispositivo individual, ejecuta funciones de capa física, incluida la conver-sión de datos digitales desde la interfaz Ethernet, detección de colisiones e inyección de bits en lared. A veces denominada unidad de acceso al medio o transceptor; también se abrevia MAU. EnToken Ring, la MAU se denomina unidad de acceso de estación múltiple y suele abreviarse MSAUpara evitar confusiones.

MBONEBackbone multicast.

El backbone multicast de Internet. MBONE es una red virtual multicast compuesta por LAN mul-ticast y túneles punto a punto que las interconectan.

MCAArquitectura de microcanal.

Interfaz de bus que se usa comúnmente en los PC y en algunas estaciones de trabajo y servi-dores UNIX.

MCCConexión cruzada principal.

Armario de cableado que actúa como el punto central de una topología en estrella y donde el ca-bleado de backbone LAN se conecta a Internet.

MCIInterfaz de comunicaciones multipuerto.

Tarjeta de AGS+ que suministra dos interfaces Ethernet y hasta dos interfaces seriales síncronas.El MCI procesa paquetes rápidamente, sin los retardos de intertrama típicos de otras interfacesEthernet.

MCRVelocidad mínima de celda.

Glosario 363

Parámetro definido por el ATM Forum para la administración de tráfico ATM. La MCR se definesólo para transmisiones ABR, y especifica el valor mínimo para la ACR.

MD5Message Digest 5.

Algoritmo usado para autenticación de mensaje en SNMP v.2. El MD5 verifica la integridad de lacomunicación, autentica el origen y controla la puntualidad.

MDFInstalación principal de distribución.

Recinto de comunicación principal de un edificio. El punto central de una topología de networkingen estrella donde están ubicados los paneles de conexión, el hub y el router.

MediciónVer conformación del tráfico.

MedioVer medios.

Medio físicoVer medios.

MediosLos diversos entornos físicos a través de los cuales pasan las señales de transmisión. Los mediosde red comunes incluyen par trenzado, cable coaxial, fibra óptica y la atmósfera (a través de lacual se produce la transmisión por microondas, láser e infrarrojos).

También se conocen los medios como medios físicos. Media (Medios) es el plural de medium(medio).

Medios físicosVer medios.

MegabitSe abrevia Mb.

Megabits por segundoSe abrevia Mbps.

MegabyteSe abrevia MB.

Memoria asociativaMemoria a la que se accede basándose en su contenido y no en su dirección de memoria.

También se conoce a la memoria asociativa como memoria direccionable de contenido (CAM).

Memoria borrable programable de sólo lecturaVer EPROM.

Memoria de acceso aleatorioVer RAM.


Memoria de acceso aleatorio no volátilVer NVRAM.

Memoria de arranque programable de sólo lecturaVer PROM de arranque.

Memoria de contenido direccionableVer memoria asociativa.

Memoria de sólo lecturaVer ROM.

Memoria de tiempo de ejecuciónMemoria a la que se accede mientras un programa está funcionando. En un switch ATM LightStream,esta memoria contiene datos de configuración a los que se accede mientras opera el switch.

Memoria dinámica de acceso aleatorioVer DRAM.

Memoria FlashTecnología desarrollada por Intel y cuya licencia le ha sido otorgada a otras empresas de semicon-ductores. La memoria Flash es un almacenamiento no volátil que se puede borrar y reprogramar deforma eléctrica. Permite que las imágenes de software se guarden, arranquen y rescriban según seanecesario.

Memoria programable de sólo lecturaVer PROM.

Memoria programble de sólo lectura borrable eléctricamenteVer EEPROM.

MensajeAgrupación lógica de información de la capa de aplicación (Capa 7), a menudo compuesta por unacantidad de agrupaciones lógicas de capa inferior, por ejemplo, paquetes. Los términos datagrama,trama, paquete y segmento también se usan para describir las agrupaciones de información lógicaen las diversas capas del modelo de referencia OSI y en los diversos círculos tecnológicos.

Mensaje de actividadMensaje enviado por un dispositivo de red para informar a otro que el circuito virtual entre ambossigue estando activo.

Message Digest 5Ver MD5.

MHSSistema de administración de mensajes.

Recomendaciones UIT-T X.400 que suministran servicios de administración de mensajes para lascomunicaciones entre aplicaciones distribuidas. NetWare MHS es una entidad distinta (aunquesimilar) que también proporciona servicios de administración de mensajes.

MIBBase de información de administración.

Base de datos de información de administración de red que se usa y mantiene mediante un proto-colo de administración de red, por ejemplo, SNMP o CMIP. El valor de un objeto MIB se puede

Glosario 365

cambiar o recuperar usando comandos SNMP o CMIP. Los objetos MIB se organizan en una es-tructura de árbol que incluye ramificaciones públicas (estándar) y privadas (propietarias).

MIC1) conector de interfaz al medio. El FDDI es el conector estándar de hecho.

2) control de integridad del mensaje. El MIC es un método usado para superar la explotación declaves de encriptación utilizando controles de integridad.

MicrocódigoCapa de conversión entre las instrucciones de la máquina y las operaciones elementales delequipo. El microcódigo se guarda en la ROM y permite la adición de nuevas instrucciones de lamáquina, sin necesidad de que estén diseñadas en circuitos electrónicos cuando las nuevas instruc-ciones sean necesarias.

MicroondaOndas electromagnéticas dentro de la banda de 1 a 30 GHz. Las redes basadas en microondasconstituyen una tecnología en desarrollo que va ganando aceptación dado su gran ancho de banday su costo relativamente económico.

MicrosegmentaciónDivisión de una red en segmentos más pequeños, generalmente con la intención de aumentar elancho de banda agregado en los dispositivos de red.

Millones de instrucciones por segundoVer mips.

MILNETRed militar.

Porción no restringida de la DDN. Operada y mantenida por la DISA.

MIPProcesador de interfaz de múltiples canales.

Procesador de interfaz de los routers Cisco de la serie 7000 que suministran hasta dos conexionesT1 o E1 canalizadas a través de cables seriales a una CSU. Cada uno de los dos controladores delMIP puede suministrar hasta 24 grupos de canal T1 o 30 grupos de canal E1, donde cada uno de los grupos de canales se presenta al sistema como una interfaz serial que se puede configurar deforma individual.

MipsMillones de instrucciones por segundo.

Cantidad de instrucciones que ejecuta un procesador por segundo.

MMAAgente de administración maestro.

Agente SNMP que se ejecuta en el NP de un switch ATM LightStream 2020. El MMA realiza laconversión entre un administrador de red externo que usa SNMP y los mecanismos de adminis-tración internos del switch.


Modelo cliente-servidorForma común para describir los servicios de red y los procesos modelos del usuario (programas)de esos servicios. Los ejemplos incluyen el paradigma nameserver/nameresolver del DNS y lasrelaciones fileserver/file-client como NFS y hosts sin disco.

Modelo de red compuesta para empresasVer ECNM.

Modelo de red empresarialTambién es conocida como Modelo compuesto de red empresarial. Ver ECNM.

Modelo referencia interconexión sistemas abiertosVer modelo de referencia OSI.

Modelo de referencia OSIModelo referencia interconexión sistemas abiertos.

Modelo de arquitectura de red desarrollado por la ISO y la UIT-T. Está compuesto por siete capas,cada una de las cuales especifica funciones de red particulares, por ejemplo: direccionamiento,control de flujo, control de error, encapsulamiento y transferencia confiable de mensajes. La capasuperior (la de aplicación) es la más cercana al usuario; la capa inferior (la física) es la más cer-cana a la tecnología de medios. La capa que le sigue a la capa inferior se implementa en el hard-ware y software, mientras que las cinco capas superiores se implementan sólo en el software. Elmodelo de referencia OSI se usa de forma universal como método para la enseñanza y la compren-sión de la funcionalidad de la red. Es similar en algunos aspectos a SNA.

Modo comúnTérmino utilizado para describir problemas que involucran ya sea al cable con corriente o al cableneutro y al cable de conexión a tierra de una línea de alimentación.

Modo de bypassModo de operación de las redes FDDI y Token Ring en el que una interfaz ha sido retirada del anillo.

Modo de emulaciónFunción de un NCP que le permite ejecutar actividades equivalentes a aquellas ejecutadas poruna unidad de control de transmisión. Por ejemplo, con CiscoWorks, el NetView PU 2 emula alIBM 3274.

Modo de respuesta asíncronaVer ARM.

Modo de respuesta normalVer NRM.

Modo de transferencia asíncronaVer ATM.

Modo denso de PIMUno de los dos modos operativos de PIM. El PIM modo denso se activa a través de datos y es si-milar a los protocolos de enrutamiento multicast típicos. Los paquetes se envían por todas las in-terfaces de salida hasta que se produce la depuración y algunas salidas se truncan. En modo denso,los receptores están densamente poblados, y se supone que las redes aguas abajo desean recibir yprobablemente usen los datagramas que se les envían. El costo del uso de modo denso es su com-portamiento de inundación predeterminado. Contrastar con PIM de modo disperso.

El PIM de modo denso también se conoce como modo denso de PIM o PIM DM.

Glosario 367

Modo disperso de PIMUno de los dos modos operativos de PIM. El PIM de modo disperso trata de restringir la distribu-ción de datos de modo que una cantidad mínima de routers de la red los reciban. Los paquetes seenvían sólo si se los solicita explícitamente en el RP. En modo disperso, los receptores están muydistribuidos, y se supone que las redes downstream no necesariamente usan los datagramas que lesenvían. El costo de usar el modo disperso es su dependencia de la renovación periódica de losmensajes explícitos de incorporación y su necesidad de RP. A veces se denomina PIM de mododisperso o PIM SM. Ver la diferencia con PIM de modo denso.

Modo normalTérmino que se usa para describir problemas entre el cable con corriente/vivo y el cable neutro deuna línea de alimentación.

ModulaciónCualquiera de las varias técnicas para combinar la información del usuario con una señal portadoradel transmisor. Es el proceso por el cual las características de las señales eléctricas se transformanpara representar información. Los tipos de modulación incluyen AM, FM y PAM.

Modulación de amplitudVer AM.

Modulación de amplitud de impulsosVer PAM.

Modulación de pulsos codificadosVer PCM.

Modulador-demoduladorVer módem.

MonitorHerramienta de administración del switch ATM LightStream 2020 que permite que un usuarioexamine los nodos individuales de la red y aprenda cuál es el estado de los módulos de interfaz ylos sistemas de alimentación. El monitor es una aplicación basada en HP OpenView que se eje-cuta en un NMS.

Monitoreo remotoVer RMON.

MOPProtocolo de operación de mantenimiento

Protocolo de Digital Equipment Corporation, un subconjunto de los cuales admite Cisco, que propor-ciona una forma de ejecutar operaciones primitivas de mantenimiento en los sistemas DECnet. Porejemplo, el MOP se puede usar para descargar una imagen de sistema en una estación sin disco.

MosaicNavegador Web de dominio público, desarrollado en el Centro Nacional de AplicacionesSuperinformáticas (NCSA).

Motor de conmutación por silicioVer SSE.

MP-BGPMultiprotocolo - Protocolo de border gateway.


Utilizado para habilitar el BGP4 a llevar información a otros protocolos, por ejemplo,Conmutación de Etiquetas del Mutilprotocolo (MPLS) y IPv6.

MPLSConmutación de etiquetas del multiprotocolo.

Técnica de etiquetado utilizada para incrementar la velocidad del flujo del tráfico. Cada paqueteestá etiquetado con la secuencia de ruta hacia el destino. Esto ahorra tiempo al no tener que buscaren la tabla de enrutamiento. En otras palabras, la conmutación de paquetes se lleva a cabo en lacapa 2 en lugar de en la capa 3. El MPLS admite protocolos múltiples como IP, ATM y FrameRelay.

MPLS/TEConmutación de etiquetas de multiprotocolo/Ingeniería de tráfico.

Provee una forma de integrar las capacidades TE (como aquellas utilizadas en los protocolos de laCapa2 como ATM) dentro de protocolos de la Capa 3 (IP). El MPLS TE usa una extensión hacialos protocolos existentes (Protocolo de Reserva de Recursos (RSVP), IS-IS, primero la ruta libremás corta (OSPF) para calcular y establecer túneles unidireccionales que se configuran según lasrestricciones de la red. El flujo del tráfico es asignado en los diferentes túneles, según su destino.

MQIInterfaz de colocación de mensajes en colas.

API estándar internacional que suministra funcionalidad similar a la de la interfaz RPC. A diferen-cia de RPC, MQI se implementa estrictamente en la capa de aplicación.

MSAUUnidad de acceso de estación múltiple.

Concentrador de cableado al que se conectan todas las estaciones finales de una red Token Ring.La MSAU suministra una interfaz entre estos dispositivos y la interfaz Token Ring de, por ejem-plo, un TRIP Cisco 7000.

La MSAU también se abrevia MAU.

MSCTarjeta de línea de velocidad media.

La tarjeta del switch LightStream 2020 ATM que se puede configurar como tarjeta de extremo otroncal. El MSC, junto con una tarjeta de acceso, admite dos puertos troncales o de extremo a ve-locidades de datos hasta T3 o E3.

MTUUnidad máxima de transmisión.

Tamaño máximo de paquete, en bytes, que puede administrar una interfaz en particular.

MulticastPaquetes individuales que la red copia y envía a un subconjunto específico de direcciones de red.Estas direcciones se especifican en el campo de dirección destino. Comparar con broadcast y unicast.

Multicast independiente del protocoloVer PIM.

Glosario 369

Multicasting de ruta inversaVer RPM.

MulticonexiónEsquema de asignación de direcciones en un enrutamiento IS-IS que permite la asignación demúltiples direcciones de área.

Multifrecuencia de dos tonosVer DTMF.

MultiplexaciónEsquema que permite que múltiples señales lógicas se transmitan simultáneamente a través de unsolo canal físico. Comparar con demultiplexación.

Multiplexación asíncrona por división temporalVer ATDM.

Multiplexación estadísticaTécnica por la cual la información de múltiples canales lógicos se puede transmitir a través de unsolo canal físico. La multiplexación estadística asigna ancho de banda de forma dinámica sólo alos canales de entrada activos, utilizando mejor el ancho de banda disponible, lo que permite queuna mayor cantidad de dispositivos se conecte que si se usaran otras técnicas de multiplexación.También denominada multiplexacuón estadística por división temporal o stat mux. Comparar conATDM, FDM y TDM.

Multiplexación estadística por división temporalVer multiplexación estadística.

Multiplexación por división de frecuenciaVer FDM.

Multiplexación por división temporalVer TDM.

Mutiplexor de división de frecuencia ortogonal (OFDM)Una técnica de modulación inalámbrica utilizada por IEEE 802.11a que cumple con las LAN in-alámbricas para la transmisión a 6, 9, 12, 18, 24, 36, 48 y 54 Mbps.

Multiprotocolo BGPVer MP-BGP.

MáscaraVer máscara de dirección y máscara de subred.

Máscara de direcciónCombinación de bits que se usa para describir qué parte de la dirección se refiere a la red o subredy qué parte se refiere al host.

La máscara de dirección también se conoce como máscara.

Máscara de subredMáscara de dirección de 32 bits que se usa en IP para indicar los bits de una dirección IP que estánsiendo utilizados para la dirección de subred.

A la máscara de subred también se la conoce como máscara.


Máscara de subred de longitud variableVer VLSM.

Máscara wildcardCantidad de 32 bits que se usan de forma conjunta con una dirección IP para determinar cuáles sonlos bits de una dirección IP que se deben ignorar al comparar esa dirección con otra dirección IP.La máscara wildcard se especifica al configurar las listas de acceso.

Método de acceso1) Por lo general, la forma en la que los dispositivos de red acceden al medio.

2) Software instalado dentro de un procesador SNA que controla el flujo de información a travésde una red.

Método de acceso por telecomunicaciones virtualesVer VTAM.

MétricaVer métrica de enrutamiento.

Métrica de enrutamientoMétodo por el cual un algoritmo de enrutamiento determina que una ruta es mejor que otra. Estainformación se guarda en las tablas de enrutamiento. Las métricas incluyen ancho de banda, costode comunicación, retardo, número de saltos, carga, MTU, costo de la ruta y fiabilidad.

A la métrica de enrutamiento también se la conoce como métrica.

MódemModulador-demodulador.

Dispositivo que convierte señales digitales y analógicas. En el origen, el módem convierte lasseñales digitales a una forma adecuada para su transmisión a través de las instalaciones de comu-nicación analógica. En el destino, las señales analógicas se devuelven a su forma digital. Losmódems permiten que los datos se transmitan a través de líneas telefónicas de grado de voz.

Módem nuloPequeña caja o cable que se usa para unir dispositivos informáticos directamente, en lugar de ha-cerlo a través de una red.

Módulo de control NP TCSVer NPTMM.

Módulo de interfazCombinación de una tarjeta de línea y una tarjeta de acceso que, de forma conjunta, le permitenconectar un switch ATM LightStream 2020 con otros dispositivos.

Módulo de NetWare que se puede cargarVer NLM.

Módulo de transporte síncrono de nivel 1Ver STM-1.

Módulo NPEn un switch ATM LightStream 2020, la combinación de una tarjeta NP, la tarjeta de acceso NP yel conjunto de discos.

Glosario 371

N-ISDNRDSI de banda estrecha.

Estándares de comunicación desarrollados por UIT-T para las redes de banda base. Basada encanales B de 64 kbps y canales D de 16 ó 64 kbps. Ver la diferencia con BISDN.

NACControl de admisión de red.

Método para controlar el acceso a una red para evitar la introducción de virus informáticos.Usando una variedad de protocolos y productos de software, el NAC evalúa la condición de hostscuando intentan ingresar a la red y maneja la solicitud basada en la condición de host, denominadapostura. Los hosts infectados pueden colocarse en cuarentena; los hosts sin software de proteccióncontra virus actualizado pueden ser dirigidos para obtener actualizaciones y los hosts no infectadoscon protección anti-virus actualizada pueden ingresar a la red.

NAKAcuse de recibo negativo.

Respuesta que se envía desde un dispositivo receptor a uno emisor, que indica que la informaciónrecibida contiene errores. Comparar con ACK.

NAPPunto de acceso a la red.

Ubicación donde se produce la interconexión de proveedores de servicio de Internet en los EstadosUnidos, para el intercambio de paquetes.

NATTraducción de direcciones de red.

Sólo globalmente única en términos de internet pública. Mecanismo para traducir direcciones pri-vadas en direcciones utilizables públicamente para ser usadas dentro de Internet pública. Medioeficaz para ocultar el direccionamiento real del dispositivo dentro de una red privada.

A la Traducción de dirección de red también se la conoce como Traductor de dirección de red.

NAT-PTTraducción de direcciones de red: traducción de protocolos.

Mecanismo de traducción que se ubica entre una red IPv6 y una red IPv4. El trabajo del traductores traducir los paquetes de IPv6 en paquetes IPv4 y viceversa. Comparar con IP sin estado/algo-ritmo (ICMP) de Traducción de protocolo de mensaje de control de Internet (SIIT) y DNS ALG.

NAUUnidad de red direccionable.

Término SNA para una entidad direccionable. Entre los ejemplos se incluyen LU, PU y SSCP.Las NAU generalmente suministran servicios de red de nivel superior. Comparar con red de con-trol de ruta.

NAUNVecino activo más cercano ubicado arriba.

En las redes Token Ring o IEEE 802.5, el dispositivo de red corriente arriba más cercano decualquier dispositivo determinado que todavía está activo.


Navegador WebAplicación de cliente de hipertexto basada en GUI como Mosaic, que se usa para acceder a docu-mentos de hipertexto y otros servicios ubicados en innumerables servidores remotos a través de laWWW e Internet.

NBMAAcceso múltiple sin broadcast.

Término que describe una red de acceso múltiple que no admite broadcasts (por ejemplo, X.25) oen la que no es factible utilizar broadcasts (por ejemplo, un grupo de broadcast SMDS o unaEthernet ampliada que es demasiado grande).

NBSOficina Nacional de Normas.

Organización que formaba parte del Departamento de Comercio de E.U.

Oficina Nacional de Estándares. También conocida como Instituto Nacional de Estándares yTecnología (NIST).

NCIAArquitectura de interfaz de cliente nativo.

Arquitectura de acceso a las aplicaciones SNA, desarrollada por Cisco, que combina toda la fun-cionalidad de las interfaces SNA nativas, tanto de host como de cliente, con la flexibilidad parasacar provecho de los backbones TCP/IP. La NCIA encapsula el tráfico SNA en el PC o la estaciónde trabajo de un cliente, y así brinda acceso TCP/IP directo a la vez que preserva la interfaz SNAnativa a nivel del usuario final. En muchas redes, esta capacidad obvia la necesidad de contar conun gateway autónomo y puede brindar acceso TCP/IP flexible al preservar la interfaz SNA nativacon el host.

NCPProtocolo de control de red.

En SNA, un programa que enruta y controla el flujo de datos entre un controlador de comunica-ciones (en el que reside) y otros recursos de red.

NCP gatewayNCP que conecta dos o más redes SNA y ejecuta conversión de direcciones para permitir tráficode sesión entre redes cruzadas.

NDDescubrimiento de ubicación.

Proceso que se ejecuta en el NP de cada switch ATM LightStream 2020 en la red ATM. Para finesde enrutamiento de llamada, cada nodo de la red debe conocer los cambios en la topología de lared, por ejemplo, enlaces troncales y puertos que se activan o desactivan. El ND detecta dichoscambios a nivel del chasis y envía esta información al proceso GID, que envía la información através de la red.

Al descubrimiento de vecindad también se lo conoce como daemon de descubrimiento de vecin-dad (NDD).

Glosario 373

NDDDaemon de descubrimiento de vecindad.

NDISEspecificación de interfaz del controlador de red.

Especificación para un controlador de dispositivo genérico, independiente del hardware y del pro-tocolo, para las NIC: Fabricado por Microsoft.

NEARNETRed regional de Nueva Inglaterra (Estados Unidos) que enlaza la Universidad de Boston, laUniversidad de Harvard y MIT. En la actualidad forma parte de BBN Planet.

NETTítulo de entidad de red.

NSAP con un selector n de cero. Todas las NET de router tienen un selector n de cero, que implicala capa de red del propio IS (0 significa sin capa de transporte). Por esta razón, al NSAP de unrouter siempre se lo denomina como NET.

NetBEUIInterfaz de usuario NetBIOS extendida (NetBEUI).

Versión mejorada del protocolo NetBIOS que utilizan los sistemas operativos de red como LANManager, LAN Server, Windows for Workgroups y Windows NT. NetBEUI formaliza la trama detransporte e implementa el protocolo OSI LLC2.

NetBIOSSistema básico de entrada/salida de red.

API que usan las aplicaciones de una LAN IBM para solicitar servicios de procesos de red de nivelinferior. Estos servicios pueden incluir establecimiento y terminación de sesión y transferencia de información.

NetViewArquitectura de administración de red de IBM y las aplicaciones relacionadas. NetView es unaaplicación VTAM que se usa para administrar mainframes en las redes SNA.

NetWareNOS distribuido de uso generalizado desarrollado por Novell. Suministra acceso remoto transpa-rente a archivos, y muchos otros servicios de red distribuida.

NetworkingConexión de cualquier conjunto de equipos, impresoras, routers, switches y otros dispositivos conel propósito de comunicarse a través de algún medio de transmisión.

Networking orientada a aplicaciónVer AON.

NFSSistema de archivos de red

Tal como se utiliza comúnmente, conjunto de protocolos de sistema de archivos distribuido desarro-llado por Sun Microsystems que permite el acceso remoto a archivos a través de una red. En reali-dad, el NFS es simplemente uno de los protocolos del conjunto. Los protocolos NFS incluyen NFS,


RPC, Representación de datos externa (XDR) y otros. Estos protocolos forman parte de una arqui-tectura de mayor envergadura a la que Sun denomina ONC.

NHRPProtocolo de resolución del siguiente salto. Protocolo usado por los routers para detectar dinámica-mente la dirección MAC de otros routers y hosts conectados a la red NBMA. Entonces estos sis-temas pueden comunicarse sin necesidad de que el tráfico use un salto intermedio, aumentando elrendimiento en los entornos ATM, Frame Relay, SMDS y X.25.

NIC1) Tarjeta de interfaz de red. Placa que suministra capacidades de comunicación de red hacia elsistema informático y desde éste. También se conoce la tarjeta de interfaz de red como adaptador.

2) Centro de información de red. Organización cuyas funciones han sido asumidas por laInterNIC. Ver InterNIC.

NISServicio de información de red.

Protocolo desarrollado por Sun Microsystems para la administración de bases de datos que abar-can toda la red. Esencialmente, el servicio usa dos programas: uno para detectar el servidor NIS yotro para acceder a las bases de datos NIS.

NISTInstituto Nacional de Normas y Tecnología.

Antiguamente denominado NBS, organización gubernamental que admite y cataloga diversosestándares.

NLMMódulo de NetWare que se puede cargar.

Programa individual que se puede cargar en la memoria y funciona como parte del NOS deNetWare.

NLRIInformación sobre alcance de la capa de red.

BGP envía mensajes actualizados de routing que contienen NLRI para describir una ruta y cómo lle-gar hasta allí. En este contexto, un NLRI es un prefijo. Un mensaje actualizado BGP lleva uno o másprefijos NLRI y los atributos de una ruta para los prefijos NLRI; los atributos de la ruta incluyen unadirección de gateway de próximo salto BGP, valores de la comunidad y otra información.

NLSPProtocolo de servicios de enlace de Netware.

Protocolo de enrutamiento de estado de enlace basado en IS-IS. La implementación de Cisco delNLSP también incluye variables MIB y herramientas para redistribuir la información de SAP y en-rutamiento entre el NLSP y otros protocolos de enrutamiento IPX.

NMPProcesador de administración de red.

Módulo del procesador del switch Catalyst 5000 que se usa para controlar y monitorear el switch.

Glosario 375

NMSSistema de administración de red.

Sistema que tiene la responsabilidad de administrar al menos parte de una red. El NMS general-mente es un equipo razonablemente poderoso y bien equipado como ser una estación de trabajo deingeniería. Los NMS se comunican con los agentes para ayudar a mantener un registro de las es-tadísticas y los recursos de red.

NMVTTransporte de vector de administración de red.

Mensaje SNA compuesto por un conjunto de vectores que transportan información específica deadministración de red.

NNIInterfaz red a red.

Estándar de ATM Forum que define la interfaz entre dos switches ATM, ambos ubicados en unared privada o ambos ubicados en una red pública. La interfaz entre un switch público y uno pri-vado se define a través del estándar UNI. También, la interfaz estándar entre dos switches FrameRelay que satisfacen los mismos criterios.

NOCCentro de operaciones de red.

Organización que tiene la responsabilidad de mantener una red.

Nodo1) Extremo final de una conexión de red o unión común a dos o más líneas de una red. Los nodospueden ser procesadores, controladores o estaciones de trabajo. Los nodos, que varían en cuanto alenrutamiento y otras capacidades funcionales, se pueden interconectar a través de enlaces y actuarcomo puntos de control en la red. Nodo a veces se usa de forma genérica para referirse a cualquierentidad que puede acceder a una red y se usa frecuentemente de modo intercambiable con la pala-bra “dispositivo”. Ver también host.

2) En SNA, el componente básico de una red, y el punto en el que una o más unidades funcionalesconectan canales o circuitos de datos.

Nodo de bordeVer BNN.

Nodo de conmutación de paquetesVer PSN.

Nodo de enrutamiento intermedioVer IRN.

Nodo de hostNodo de subárea SNA que contiene un SSCP.

Nodo de red de bordeVer BNN.

Nodo de subáreaControlador o host de comunicación SNA que administra direcciones de red completas.


Nodo periféricoEn SNA, un nodo que usa direcciones locales y, por lo tanto, no se ve afectado por los cambios enlas direcciones de red. Los nodos periféricos requieren asistencia de la función límite de un nodode subárea adyacente.

Nombre de la rutaNombre completo de un archivo o directorio UNIX, DOS o LynxOS, incluidos todos los nombresde directorio y subdirectorio. Los nombres consecutivos en una denominación de ruta general-mente se separan con una barra inclinada hacia la derecha (/) o hacia la izquierda (\), como en in/usr/app/base/config.

Normas de codificación básicasVer BER.

NOSSistema operativo de red.

Término genérico utilizado para referirse a lo que en realidad son sistemas de archivos distribui-dos. Los ejemplos de NOS incluyen LAN Manager, NetWare, NFS y VINES.

Notación de cuatro partes separadas por puntosVer dirección separada por puntos.

Notación separada por puntosVer dirección separada por puntos.

Notación uno de la sintaxis abstractaVer ASN1.

Notificación de tiempoVer TNotify.

Notificación explícita de congestión hacia adelanteVer FECN.

Notificación explícita de congestión hacia atrásVer BECN.

Novell IPXVer IPX.

NPTMMPrueba del procesador de red y módulo de monitoreo del sistema de control.

Proceso que se ejecuta en el NP de cada switch ATM LightStream 2020 en una red ATM. NPTMMmonitorea la salud del sistema a través de TCS y coordina la puesta en servicio del switch cuandohay tarjetas de switch redundantes.

NRMModo de respuesta normal.

Modo HDLC que se usa en enlaces con una estación primaria y una o más estaciones secundarias.En este modo, las estaciones secundarias pueden transmitir sólo si primero reciben un sondeo de laestación primaria.

Glosario 377

NSAPPunto de acceso al servicio de red.

Punto conceptual en el límite entre red y capas de transporte. El NSAP es la ubicación en la quelos servicios de red OSI se proveen a la capa de transporte. A cada entidad de capa de transporte sele asigna un único NSAP.

NSELSelector de punto de acceso al servicio de red.

Parte del campo de la dirección NSAP que identifica un proceso en el dispositivo. En líneas gene-rales, equivale a un socket o un número de puerto TCP en TCP/IP. NSEL no se utiliza en decisio-nes de enrutamiento. Parte de dominio específico (DSP): compuesto por el HODSP, el sistema IDy el NSEL en formato binario. El último byte es el Selector N (NSEL) y debe ser especificadocomo una longitud de byte única precedida por un ‘.’. Una definición NET debe configurar elSelector N a ‘00’.

NSFFundación Nacional de Ciencias.

Organismo gubernamental estadounidense que respalda la investigación científica en los EstadosUnidos. La NSFNET, que ya no existe, fue fundada por la NSF.

NSFnetRed de la Fundación Nacional de Ciencias.

Red de gran tamaño que era controlada por la NSF y que brindaba servicios de networking enrespaldo de la educación y la investigación en Estados Unidos, de 1986 a 1995. NSFnet ha dejadode estar en servicio.

NTPProtocolo de tiempo de red.

Protocolo construido en la parte superior del TCP que garantiza conservar la hora local precisa con referencia a los relojes de radio y atómicos ubicados en Internet. Este protocolo puede sin-cronizar relojes distribuidos dentro de milisegundos sobre períodos largos.

NVRAMRAM no volátil.

RAM que retiene su contenido cuando una unidad se apaga. En los productos Cisco, la NVRAMse usa para guardar la información de configuración.

NYSERNetRed de Nueva York (Estados Unidos) con un backbone T1 que conecta NSF, varias universidades yvarias empresas comerciales.

Número de acuse de reciboSiguiente octeto TCP esperado.

Número de canal lógicoVer LCN.

Número de datos internacionalVer X.121.


Número de hostParte de una dirección IP que designa qué nodo de la subred se está direccionando.

El número de host también se conoce como dirección de host.

Número de puenteNúmero que identifica a cada puente de una LAN SRB. Los puentes paralelos deben tener distin-tos números de puente.

Número de redParte de una dirección IP que especifica la red a la que pertenece el host.

Número de secuenciaNúmero que se usa para asegurar el secuenciamiento correcto de los datos entrantes.

Número del circuito virtualVer VCN.

Número parcial de la secuencia del PDUVer PSNP.

Objeto administradoEn administración de red, dispositivo de red que se puede administrar a través de un protocolo deadministración de red.

Obtener servidor más cercanoVer GNS.

OCPortadora óptica.

Conjunto de protocolos físicos (OC-1, OC-2, OC-3, etcétera), definidos para las transmisiones deseñal óptica SONET. Los niveles de señal OC colocan las tramas STS en una línea de fibra ópticamultimodo a diversas velocidades. La velocidad base es de 51.84 Mbps (OC-1); de allí en ade-lante, cada nivel de señal opera a una velocidad divisible por ese número (de este modo, OC-3 seejecuta a 155.52 Mbps).

Octeto8 bits. En networking, suele utilizarse el término octeto (en lugar de byte) porque algunas arquitec-turas de máquinas utilizan bytes que no tienen 8 bits de largo.

ODAArquitectura de documento abierto.

Estándar ISO que especifica cómo se representan y transmiten los documentos de forma electrónica.

Arquitectura de documento abierto era la Arquitectura de documento de oficina.

ODIInterfaz de enlace de datos abierta.

Especificación de Novell que suministra una interfaz estandarizada para las NIC que permite quemúltiples protocolos usen una sola NIC.

Glosario 379

OFDMMultiplexación por división de frecuencia ortogonal.

La OFDM es una técnica de modulación usada con IEEE 802.11g.

Oficina centralVer CO.

Oficina Nacional de NormasVer NBS.

OIEOrganización Internacional de Normalización.

Organización internacional responsable por una amplia gama de estándares, incluidos aquéllospertinentes para el networking. ISO desarrolló el modelo de referencia OSI, un modelo de referen-cia de networking sumamente popular.

OIMAdministración de Internet OSI.

Grupo cuya tarea es especificar formas en las que los protocolos de administración de red OSI sepueden usar para administrar redes TCP/IP.

OIRInserción y retiro en línea.

Característica que permite la adición, el reemplazo o el retiro de procesadores de interfaz en unrouter Cisco, sin interrumpir la alimentación del sistema, introducir comandos de consola o provo-car el cierre de otras interfaces o software.

También se conoce a la inserción y el retiro en línea como intercambio en caliente.

Omni-direccionalSuele referirse al patrón de radiación de la antena circular.

ONCInformática de red abierta.

Arquitectura de aplicaciones distribuidas diseñada por Sun Microsystems, actualmente controladapor un consorcio liderado por Sun. Los protocolos NFS forman parte de ONC.

Opciones IPCampo dentro de un datagrama IP que se ocupa de la verificación de la red, depuración, seguridady otras opciones.

Open Shortest Path FirstVer OSPFv2 y OSPFv3.

Operación de Tipo 1Operación no orientada a conexión IEEE 802.2 (LLC).

Operación de Tipo 2Operación orientada a conexión IEEE 802.2 (LLC).


Operador de redPersona que monitorea y controla una red de forma continua, ejecutando tareas como revisar y res-ponder a traps, monitorear el rendimiento, configurar nuevos circuitos y solucionar problemas.

Operadora de intercambio localVer LEC.

Orden de byte de la redEl orden estándar de Internet de los bytes correspondientes a valores numéricos.

Organización de Estándares InternacionalesExpansión errónea de la sigla ISO. Ver ISO.

Organización Internacional de NormalizaciónVer OIE.

Orientado a conexiónTérmino utilizado para describir la transferencia de datos que requiere que se establezca un cir-cuito virtual.

OscilaciónSeñal secundaria superpuesta a la onda de 60 Hz. Tiene una magnitud que varía entre el 15% y el100% del voltaje normal de la línea de alimentación.

OSIInterconexión de sistemas abiertos.

Programa internacional de estandarización creado por la ISO y la UIT-T para desarrollar están-dares de interconexión que faciliten la interoperabilidad de equipos de múltiples fabricantes.

OSINETAsociación internacional diseñada para promover OSI en las arquitecturas de los fabricantes.

OSPFv2Versión 2 de Open Shortest Path First.

OSPFv2 es un estado de enlace IPv4, algoritmo de enrutamiento IGP jerárquico propuesto comosucesor de RIP en la comunidad Internet. Las características de OSPF incluyen enrutamiento pormenor costo, enrutamiento de múltiples rutas y balanceo de carga. El OSPF deriva de una versióninicial del protocolo ISIS.

OSPFv3Versión 3 de Open Shortest Path First.

Implementación del protocolo para IPv6. Se basa en la versión 2 de OSPF (OSPFv2) con mejoras.

OUIIdentificador Exclusivo de Organización.

Los 3 octetos asignados por IEEE en un bloque de direcciones LAN de 48 bits.

P/FBit de sondeo/final.

Glosario 381

Bit en los protocolos de capa de enlace de datos síncronos al bit, que indica la función de unatrama. Si la trama es un comando, un 1 en este bit indica un sondeo. Si la trama es una respuesta,un 1 en este bit indica que la trama actual es la trama final de la respuesta.

PacingVer control de flujo.

PADEnsamblador/desensamblador de paquetes.

Dispositivo que se usa para conectar dispositivos simples (como terminales de modo de caracter) auna red, los cuales no admiten toda la funcionalidad de un protocolo específico. Los PAD almace-nan los datos en el búfer de los PAD y ensamblan y desensamblan los paquetes que se envían a di-chos dispositivos finales.

PAMModulación de amplitud de impulsos.

Esquema de modulación en el que la onda moduladora provoca la modulación de la amplitud deun flujo de impulsos. Comparar con AM y FM.

Panel de conexiónConjunto de ubicaciones de pin y puertos que se puede montar en un bastidor o una consola depared en el armario de cableado. Los paneles de conexión actúan como conmutadores queconectan los cables de las estaciones de trabajo entre sí y con el exterior.

PAPProtocolo de autenticación de contraseña.

Protocolo de autenticación que permite que los pares PPP se autentiquen entre sí. El router remotoque intenta conectarse al router local debe enviar una petición de autenticación. A diferencia delCHAP, el PAP envía la contraseña y el nombre de host o nombre de usuario en texto claro sincifrar. El PAP en sí mismo no evita el acceso no autorizado, sino que simplemente identifica el ex-tremo remoto. Luego el router o servidor de acceso determinan si se permite el acceso a eseusuario. El PAP se admite sólo en las líneas PPP. Comparar con CHAP.

PaqueteAgrupación lógica de información que incluye un encabezado que contiene información de controly (generalmente) datos del usuario. Los paquetes a menudo se usan para referirse a las unidades dedatos de la capa de red. Los términos datagrama, trama, mensaje y segmento también se usan paradescribir las agrupaciones de información lógica en las diversas capas del modelo de referenciaOSI y en los diversos círculos tecnológicos.

Paquete de choquePaquete que se envía al transmisor para informarle que hay congestión y que debe reducir su ve-locidad de envío.

Paquete de estado de enlaceVer LSA.

Paquete de saludoPaquete multicast que usan los routers para la detección y recuperación de vecinos. Los paquetesde saludo también indican que un cliente todavía está operando y conectado a la red.


Paquete de señalizaciónGenerado por un dispositivo ATM conectado que desea establecer una conexión con otro disposi-tivo de ese tipo. El paquete de señalización contiene la dirección NSAP ATM del punto final ATMdeseado, así como también cualquier parámetro de calidad de servicio que se requiere para laconexión. Si el punto final puede admitir la calidad de servicio deseada, responde enviando unmensaje de aceptación y se inicia la conexión.

Par trenzadoMedio de transmisión de relativa baja velocidad compuesto por dos cables aislados dispuestos enun patrón en espiral regular. Los cables pueden ser blindados o no blindados. El uso del par tren-zado es común en aplicaciones de telefonía y es cada vez más común en las redes de datos.

Par trenzado blindadoVer STP.

Par trenzado no blindadoVer UTP.

ParadiafoníaEnergía de interferencia transferida de un circuito a otro.

ParalelismoIndica que existen múltiples rutas entre dos puntos de una red. Estas rutas pueden tener o no elmismo costo. A menudo, el paralelismo es un objetivo del diseño de red: si una ruta falla, hay re-dundancia en la red como para garantizar que existe una ruta alternativa hacia el mismo punto.

PARCCentro de Investigaciones de Palo Alto.

Centro de investigación y desarrollo operado por XEROX. Una cantidad de tecnologías utilizadasampliamente se concibieron originalmente en PARC, incluidos los primeros equipos PC y LAN.

Parte de dominio inicialVer IDP.

Parte del interdominioVer IDP.

Parte específica del dominioVer DSP.

Parámetros de QOSParámetro de la calidad de servicio

Parámetros que controlan la cantidad de tráfico que el router origen de una red ATM envía a travésde un SVC. Si cualquiera de los switches ubicados a lo largo de la ruta no puede cumplir con losparámetros QOS solicitados, la petición se rechaza y el mensaje de rechazo se envía de vueltahacia el lugar donde se originó la petición.

PBXCentral telefónica privada.

Conmutador telefónico digital o analógico ubicado en las instalaciones del abonado, que se usapara interconectar redes telefónicas privadas y públicas.

Glosario 383

PCIInformación de control de protocolo.

Información de control que se agrega a los datos del usuario para formar un paquete OSI. Elequivalente OSI del término “encabezado”.

PCMModulación de pulsos codificados.

Transmisión de información analógica en formato digital a través de la toma de muestras y su co-dificación en una cantidad fija de bits.

PCRVelocidad pico de celda.

Parámetro definido por el ATM Forum para la administración de tráfico ATM. En las transmi-siones CBR, PCR determina con qué frecuencia se envían muestras de datos. En las transmisionesABR, PCR determina el valor máximo de ACR.

PDAAsistente digital personal.

Dispositivos de mano. Según el modelo y la versión, pueden ofrecer una cantidad variable de ca-racterísticas, entre las que se incluyen algunas de las siguientes: organizadores personales, libro dedirecciones, calculadoras, funciones de reloj y calendario, juegos informáticos, acceso a Internet,correo electrónico, radio y reproductor de MP3, grabación de videos, GPS, teléfonos móviles(smartphone), navegadores Web o reproductores de medios.

PDNRed de datos pública.

Red operada ya sea por un gobierno (como en Europa) o por una empresa privada para suministrarcomunicaciones informáticas al público, generalmente cobrando una tarifa. Las PDN permiten quepequeñas organizaciones creen una WAN sin todos los costos de equipamiento de los circuitos delarga distancia.

PDUUnidad de datos de protocolo.

Término OSI para paquete. Ver también BPDU y paquete.

Perfil de tráficoConjunto de valores de atributo COS asignado a un puerto determinado de un switch ATMLightStream 2020. El perfil afecta a diversos parámetros de los datos que se transmiten desde elpuerto, incluida velocidad, elegibilidad de descarte de celda, prioridad de transmisión y tempo-rizador de inactividad.

Perfil del modelo OSI gubernamentalVer GOSIP.

Petición de repetición automáticaVer ARQ.

Petición para recibir comentariosVer RFC.


PGPPrivacidad bastante buena (Pretty Good Privacy).

Aplicación de encriptación de clave pública que permite asegurar el intercambio de archivos ymensajes. Existen algunas controversias con respecto al uso y desarrollo de esta aplicación, enparte debido a las preocupaciones con respecto a la seguridad nacional de E.U.

PHYSubcapa física.

Una de las dos subcapas de la capa física FDDI. Ver también PMD.

Pico de voltajeCualquier impulso eléctrico que dura entre 0.5 y 100 microsegundos y que posee una amplitud demás del 100% de voltaje pico de la línea de alimentación.

PilaVer pila de protocolo.

Pila de protocoloConjunto de protocolos de comunicación relacionados que operan de forma conjunta y, como ungrupo, cumplen con la comunicación en alguna o en las siete capas del modelo de referencia OSI.No todas las pilas de protocolo abarcan cada capa del modelo y, a menudo, un solo protocolo de lapila se dirige a una cantidad de capas a la vez. El TCP/IP es una típica pila de protocolo.

PIMMulticast independiente del protocolo.

Arquitectura de enrutamiento multicast que permite la adición de enrutamiento multicast IP enredes IP existentes. El PIM es independiente del protocolo de enrutamiento unicast y se puedeoperar en dos modos: modo denso y modo disperso.

PIM de modo densoVer modo denso de PIM.

PIM de modo dispersoVer Modo disperso de PIM.

PIM DMVer PIM de modo denso.

PIM SMVer PIM de modo disperso.

PingBuscador de paquetes.

Utilidad para determinar si una dirección IP específica es accesible. Funciona enviando un paquetea la dirección especificada y esperando una respuesta. El PING se usa principalmente para diag-nosticar las fallas de las conexiones de Internet.

También se lo conoce como Packet Inter-network Groper.

PixelElemento de imagen.

Glosario 385

El elemento más pequeño de una imagen en una pantalla, el cual corresponde a un punto único o auna tríada de puntos de colores, y en el caso de una cámara, a un único punto de lectura.

Plan de distribuciónDiagrama simple que indica dónde están ubicados los tendidos de cable y la cantidad de habita-ciones hacia las que se dirigen.

PLCTarjeta de línea de paquetes.

Tarjeta del switch LightStream 2020 ATM que se puede configurar como tarjeta de extremo. UnPLC, junto con una tarjeta de acceso, admite hasta ocho Ethernet o dos puertos de extremo de FDDI.

PLCPProcedimiento de convergencia de la capa física.

Especificación que asigna celdas ATM al medio físico, como T3 o E3, y define determinada infor-mación de administración.

PLPProtocolo a nivel de paquete.

Protocolo de capa de red de la pila de protocolo X.25.

Al Protocolo de nivel de paquete también se lo conoce como Protocolo X.25 Nivel 3 o X.25.

PLUUnidad lógica principal.

La LU que inicia una sesión con otra LU.

PMDDependiente del medio físico.

Subcapa de la capa física FDDI que hace interfaz directamente con el medio físico y ejecuta lasfunciones de transmisión de bits más esenciales de la red.

PNNIInterfaz Red-Red Privada.

Especificación de ATM Forum que describe un protocolo de enrutamiento de circuito virtual ATM,así como también un protocolo de señalización entre los switches ATM. Se usa para permitir quelos switches ATM que hay dentro de una red privada se comuniquen.

A la Interfaz de red-red privada se la conoce también como Interfaz de nodo de red privada.

PoEPower over Ethernet.

PoE es el poder de los dispositivos de red sobre el cable de Ethernet. IEEE 802.3af y Cisco especi-fican dos métodos de PoE distintos. El equipo de contratación externa de potencia de Cisco (PSE)y los dispositivos potenciados (PD) admiten ambos métodos PoE.


PolarizaciónLa polarización es la orientación física del elemento en la antena que realmente emite la energíaRF. Todas las antenas Aironet de Cisco están configuradas para una polarización vertical. Una an-tena bipolo vertical está verticalmente polarizada.

Políticas con respecto al tráficoProceso que se usa para medir el flujo de tráfico real a través de una conexión determinada y com-pararlo con el flujo total de tráfico admisible para dicha conexión. El tráfico que excede el flujoacordado se puede rotular (donde el bit CLP se establece en 1) y descartar durante el trayecto si seproduce congestión. La política con respecto al tráfico se usa en ATM, Frame Relay y otro tipo deredes. También denominado control de admisión, procesamiento de permisos, cumplimiento de lavelocidad (UPC).

POPPunto de presencia.

Punto de interconexión entre las instalaciones de comunicación suministradas por la empresa tele-fónica y el servicio de distribución principal del edificio.

PortadoraOnda electromagnética o corriente alterna de una sola frecuencia, adecuada para modulación porparte de otra señal portadora de datos.

Portadora TMétodo de transmisión TDM que generalmente se refiere a una línea o un cable que transporta unaseñal DS-1.

Portadora ópticaVer OC.

POSReparación con equipo activo.

Característica del switch ATM LightStream 2020 que permite que se efectúe un diagnóstico de loscomponentes defectuosos, se los retire y se los reemplace, mientras el resto del switch continúaoperando normalmente.

A la reparación con equipo activo también se la conoce como intercambio en caliente.

POSTAutocomprobación de encendido.

Conjunto de diagnósticos de hardware que se ejecutan en un dispositivo de hardware cuando esedispositivo se enciende. En un switch ATM LightStream 2020, por ejemplo, el NP, la tarjeta deswitch y la tarjeta de línea pueden ejecutar una POST.

PostergaciónEl retardo de retransmisión que se aplica cuando se produce una colisión.

POTSServicio telefónico analógico. Ver PSTN (Red pública de telefonía conmutada).

PPKDigitación por paquete

Método para superar la explotación de las claves de encriptación con hash de claves.

Glosario 387

PPPProtocolo punto a punto.

El PPP, sucesor del SLIP, suministra conexiones de router a router y de host a red a través de cir-cuitos síncronos y asíncronos.

PQCola de prioridad.

Característica de enrutamiento en la que se da prioridad a las tramas de una cola de salida de inter-faz basándose en diversas características, por ejemplo, tamaño del paquete y tipo de interfaz.

PRIInterfaz de acceso principal.

Interfaz RDSI al acceso de velocidad principal. El acceso de velocidad principal consta de uncanal D de 64 Kbps y 23 (T1) o 30 (E1) canales B para voz o datos. Comparar con BRI.

PrincipalVer estación primaria.

Prioridad de demandaMétodo de acceso a los medios utilizado en 100VG-AnyLAN, que emplea un hub que puede ad-ministrar múltiples peticiones de transmisión y procesar el tráfico según la prioridad, haciendo quesea útil para tráfico sensible a los tiempos de servicio, como ser multimedia y video. La prioridadde demanda elimina el gasto que representan las colisiones de paquetes, la recuperación en caso decolisión y el tráfico de broadcast, típico en las redes Ethernet.

Prioridad de envíoVer prioridad de transmisión.

Prioridad de llamadaPrioridad que se asigna a cada puerto origen de los sistemas conmutados por circuito. Esta priori-dad define el orden en el que las llamadas se vuelven a conectar. La prioridad de llamada tambiéndefine cuáles son las llamadas que se pueden colocar o no durante la reserva del ancho de banda.

Prioridad de pérdida de celdaVer CLP.

Prioridad de transferenciaVer prioridad de transmisión.

Prioridad de transmisiónEsquema de colocación en colas en el que cada TOS interno de un switch ATM LightStream 2020 secorrelaciona con una prioridad relativa en la colas de una red ATM. Esta prioridad determina cuál esel tráfico al que se le brinda servicio en primer lugar en caso de contención para un recurso de red.

También se conoce la prioridad de transmisión como prioridad de envío o de transferencia.

Privacidad bastante buena (Pretty Good Privacy)Ver PGP.

Procedimiento de acceso al enlace balanceadoVer LAPB.


Procedimiento de acceso al enlace del canal DVer LAPD.

Procedimiento de acceso al enlace para Frame RelayVer LAPF.

Procedimiento de acceso al enlace para módemsVer LAPM.

Procedimiento de convergencia de la capa físicaVer PLCP.

Procesador de administración de redVer NMP.

Procesador de interfazCualquiera de una cantidad de módulos de procesador que se usan en los routers Cisco de laserie 7000.

Procesador de interfaz de canalVer CIP.

Procesador de interfaz de múltiples canalesVer MIP.

Procesador de interfaz EthernetVer EIP.

Procesador de interfaz Fast EthernetVer FEIP.

Procesador de interfaz FDDIVer FIP.

Procesador de interfaz HSSIVer HIP.

Procesador de interfaz serialVer SIP.

Procesador de interfaz serial rápidoVer FSIP.

Procesador de interfaz versátilVer VIP.

Procesador de mensaje de interfazVer IMP.

Procesador de movimiento de datosVer DMP.

Procesador de ruta/switchVer RSP.

Glosario 389

Procesador de supervisiónVer RP (Procesador de ruta).

Procesador de switchVer SP.

Procesador de switch de silicioVer SSP.

Procesador front-endVer FEP.

Procesamiento de permisosVer políticas con respecto al tráfico.

Programa de control de redVer NCP.

PROMMemoria programable de sólo lectura.

ROM que se puede programar usando un equipo especial. Las PROM se pueden programar sólouna vez. Comparar con EPROM.

PROM de arranqueMemoria de arranque programable de sólo lectura.

Chip montado en una tarjeta de circuitos impresos que se usa para suministrar instrucciones dearranque ejecutables a un dispositivo informático.

Protocolo1) Descripción formal de un conjunto de normas y convenciones que rigen de qué forma los dis-positivos de una red intercambian información.

2) Campo dentro de un datagrama IP que indica el protocolo de capa superior (Capa 4) que envíael datagrama.

Protocolo a nivel de paqueteVer PLP.

Protocolo BootstrapVer BOOTP.

Protocolo de acceso a la subredVer SNAP.

Protocolo de actualización de enrutamiento secuenciadoVer SRTP.

Protocolo de administración de grupos de InternetVer IGMP.

Protocolo de administración de red simpleVer SNMP.


Protocolo de autenticación de contraseñaVer PAP.

Protocolo de autenticación de intercambio de señalesVer CHAP.

Protocolo de autenticación extensibleVer EAP.

Protocolo de automatización de fabricaciónVer MAP.

Protocolo de border gatewayVer BGP.

Protocolo de capa superiorVer ULP.

Protocolo de control de transmisiónVer TCP.

Protocolo de control de transmisión/Protocolo InternetVer TCP/IP.

Protocolo de copia remotaVer rcp.

Protocolo de datagrama de usuarioVer UDP.

Protocolo de descubrimiento de CiscoVer CDP.

Protocolo descubrimiento gateway (Gateway Discovery Protocol)Ver GDP.

Protocolo de enrutamientoProtocolo que logra el enrutamiento a través de la implementación de un algoritmo de enrutamientoespecífico. Los ejemplos de protocolos de enrutamiento incluyen el IGRP, el OSPF y el RIP.

Protocolo de enrutamiento de gateway interiorVer IGRP.

Protocolo de enrutamiento gateway interior mejoradoVer EIGRP.

Protocolo de enrutamiento entre dominios IS-ISVer IDRP.

Protocolo de enrutamiento multicast por vector-distanciaVer DVMRP.

Protocolo de enrutamiento multicast simpleVer SMRP.

Glosario 391

Protocolo de gateway a gatewayVer GGP.

Protocolo de gateway exteriorCualquier protocolo de internetwork que se usa para intercambiar información de enrutamientoentre sistemas autónomos.

Protocolo de gateway interiorVer IGP.

Protocolo de información administrativa comúnVer CMIP.

Protocolo de información de enrutamientoVer RIP.

Protocolo de interfaz SMDSVer SIP.

Protocolo de Internet1) Ver IP.

2) Cualquier protocolo que forma parte de la pila de protocolos TCP/IP. Ver TCP/IP.

Protocolo de mensajes de control de InternetVer ICMP.

Protocolo de monitoreo de gateway simpleVer SGMP.

Protocolo de oficina técnicaVer TOP.

Protocolo de operación de mantenimientoVer MOP.

Protocolo de publicación de servicioVer SAP.

Protocolo de red no orientado a conexiónVer CLNP.

Protocolo de red orientado a conexiónVer CONP.

Protocolo de resolución de direcciones (ARP)Ver ARP.

Protocolo de resolución de direcciones inversoVer ARP inverso.

Protocolo de resolución del siguiente saltoVer NHRP.


Protocolo de resolución inversa de direccionesVer RARP.

Protocolo de servicios de enlace de NetwareVer NLSP.

Protocolo de shell remotoVer rsh.

Protocolo de switch a switchVer SSP.

Protocolo de tabla de enrutamientoVer RTP.

Protocolo de terminal virtualVer VTP.

Protocolo de transferencia de archivos (FTP)Ver FTP.

Protocolo de transferencia de archivos trivialVer TFTP.

Protocolo enrutadoProtocolo que se puede enrutar a través de un router. El router debe ser capaz de interpretar la in-ternetwork lógica tal como se especifica en ese protocolo enrutado. Entre los ejemplos de protoco-los enrutados se pueden incluir AppleTalk, DECnet e IP.

Protocolo HelloProtocolo que utilizan los sistemas OSPF para establecer y mantener relaciones con los vecinos.No se debe confundir con HELLO.

Protocolo ICMP de descubrimiento de routers (IRDP)Ver IRDP.

Protocolo Internet de línea serialVer SLIP.

Protocolo Internet de línea serial comprimidoVer CSLIP.

Protocolo orientado a bitsClase de protocolos de comunicación de la capa de enlace de datos que puede transmitir tramas in-dependientemente del contenido de la trama. Si se los compara con los protocolos orientados abytes, los protocolos orientados a bits brindan operación full duplex y son más eficientes y fiables.Comparar con protocolo orientado a bytes.

Protocolo orientado a bytesClase de protocolo de comunicación de enlace de datos que usa un carácter específico del conjuntode caracteres de usuario para delimitar tramas. Estos protocolos han sido reemplazados por losprotocolos orientados a bits. Comparar con protocolo orientado a bits.

Protocolo proxy de resolución de direccionesVer ARP proxy.

Glosario 393

Protocolo punto a puntoVer PPP.

Protocolo simple de transferencia de correoVer SMTP.

Protocolo Spanning TreeVer STP.

Protocolo universal PARCVer PUP.

Protocolo X.25Ver PLP.

ProxyEntidad que, en aras de la eficiencia, representa esencialmente a otra entidad.

Proxy del sondeoTécnica que alivia la carga a través de una red SDLC al permitir que los routers actúen comoproxys en los nodos primario y secundario, y mantiene así el tráfico sondeado fuera de los enlacescompartidos. El proxy de sondeo ha sido reemplazado por el Transporte SDLC.

Prueba de loopbackVerificación en la que las señales se envían y luego se vuelven a dirigir hacia el origen desde algúnpunto a lo largo de la ruta de comunicación. Suelen usarse las pruebas de loopback para verificarlas condiciones de utilización de la interfaz de red.

PSDNRed de datos conmutada por paquetes. Ver PSN (red conmutada por paquetes).

PSEIntercambio de conmutación de paquetes.

Esencialmente, un switch. El término PSE se usa generalmente para referirse a un switch de unaPSN X.25.

PSN1) red conmutada por paquetes. Red que usa la tecnología de conmutación por paquetes para latransferencia de datos. A la red conmutada por paquetes también se la conoce como red de datosconmutada por paquetes (PSDN).

2) nodo de conmutación de paquetes. Nodo de red capaz de ejecutar funciones de conmutación depaquetes.

PSNPUnidad parcial de datos del protocolo de número de secuencia.

Las PSNP se utilizan para solicitar uno o más LSP y recibos de acuse de recibo de uno o más LSP.

PSTNRed pública de telefonía conmutada.

Término general que se refiere a las diversas redes y servicios telefónicos que existen a nivelmundial.


Tambié se conoce la PSTN como servicio telefónico simple antiguo (POTS).

PTTCorreo, teléfono y telégrafo.

Organismo gubernamental que suministra servicios telefónicos. Las PTT existen en la mayoría delas áreas fuera de América del Norte y suministran servicios telefónicos tanto locales como delarga distancia.

PUUnidad física.

Componente SNA que administra y monitorea los recursos de un nodo, según lo solicitado por unSSCP. Existe una PU por nodo.

PU 2Unidad Física 2.

Nodo periférico SNA que puede admitir sólo DLU que requieren servicios de un host VTAM yque sólo son capaces de ejecutar el rol LU secundario en sesiones SNA.

PU 4Unidad física 4.

Componente de un FEP IBM que puede ejecutar transferencia de datos full-duplex. Cada uno deestos dispositivos SNA emplea una ruta de datos y control individual en los búferes de transmisióny recepción del programa de control.

PU 5Unidad física 5.

Componente de un mainframe o equipo host IBM que administra una red SNA. Los nodos PU 5están involucrados con el enrutamiento dentro de la capa de control de ruta SNA.

PublicaciónProceso del router en el que las actualizaciones de enrutamiento o servicio se envían a intervalos es-pecificados, de modo que los otros routers de la red puedan mantener listas de las rutas utilizables.

Publicación de estado de enlaceVer LSA.

PuenteDispositivo que conecta y transfiere paquetes entre dos segmentos de red que usan el mismo proto-colo de comunicaciones. Los puentes operan en la capa de enlace de datos (capa 2) del modelo dereferencia OSI. En general, el puente filtra, reenvía o inunda una trama entrante basándose en ladirección MAC de esa trama.

Puente con capacidad de aprenderPuente que ejecuta aprendizaje de direcciones MAC para reducir el tráfico en la red. Los puentesde aprendizaje administran una base de datos de direcciones MAC y de las interfaces asociadascon cada dirección.

Puente designadoPuente que incurre en el costo de ruta más bajo al enviar una trama desde un segmento hacia el puente de ruta.

Glosario 395

Puente localPuente que interconecta directamente redes de la misma área geográfica.

Puente raízIntercambia información de topología con puentes designados en una implementación spanning-tree para notificar a todos los demás puentes de la red si es necesario implementar cambios en latopología. Evita los loops y suministra un medio de defensa contra las fallas de enlace.

Puente remotoPuente que conecta segmentos de red físicamente dispares a través de enlaces WAN.

Puenteo de encapsulamientoTransporta tramas Ethernet de un router a otro a través de medios dispares como, por ejemplo,líneas seriales y FDDI. Ver la diferencia con puenteo de traslación.

Puenteo de origen-rutaVer SRB.

Puenteo de origen-ruta remotoVer RSRB.

Puenteo de origen-ruta transparenteVer SRT.

Puenteo de traslaciónPuenteo entre redes con protocolos de subcapa MAC distintos. La información MAC se convierteal formato de la red de destino en el puente. Ver la diferencia con puenteo de encapsulamiento.

Puenteo de traslación origen-rutaVer SR/TLB.

Puenteo de tránsitoPuenteo que usa encapsulamiento para enviar una trama entre dos redes similares a través de unared distinta.

Puenteo Frame RelayTécnica de puenteo, que se describe en la RFC 1490, que usa el mismo algoritmo spanning-treeque otras funciones de puenteo, pero permite que los paquetes se encapsulen para su transmisión através de la red Frame Relay.

Puenteo transparenteEsquema de puenteo que se usa a menudo en redes Ethernet e IEEE 802.3 en el que los puentestransmiten tramas a través un salto a la vez basándose en tablas que asocian los nodos finales conlos puertos del puente. El nombre de puenteo transparente se le otorga dado que la presencia depuentes es transparente para los nodos finales de la red. Contrastar con SRB.

Puerto1) Interfaz de un dispositivo de internetworking (por ejemplo, un router).

2) En terminología IP, proceso de capa superior que recibe información de las capas inferiores.

3) Reescribir software o un microcódigo para que se ejecute en una plataforma de hardware dis-tinta o en un entorno de software distinto de aquél para el que ha sido originalmente diseñado.


4) Un conector hembra de un panel de conexión que acepta el mismo tamaño de conector que el deun jack RJ45. Los cables de conexión se usan en estos puertos para realizar interconexiones entrelos equipos conectados al panel. Es esta interconexión cruzada que permite la operación de laLAN.

Puerto destinoEl número del puerto al que se realiza la llamada.

Puerto origenEl número del puerto que realiza la llamada.

Punto de accesoVer AP.

Punto de acceso a la redVer NAP.

Punto de acceso al servicioVer SAP.

Punto de acceso al servicio de redVer NSAP.

Punto de acceso al servicio destinoVer DSAP.

Punto de acceso al servicio fuenteVer SSAP.

Punto de acceso autónomoUn punto de acceso autónomo es el tipo utilizado en una solución distribuida de WLAN. Cada puntode acceso autónomo está configurado individualmente y no se basa en un controlador inalámbrico.

Punto de acceso livianoEl punto de acceso liviano es el tipo de acceso utilizado en una solución de WLAN centralizadadonde un controlador inalámbrico monitorea y administra los puntos de acceso.

Punto de conexión de la subredVer SNPA.

Punto de encuentroVer RP.

Punto de presenciaVer POP.

Punto de servicioInterfaz entre dispositivos que no son SNA y NetView que envía alertas desde un equipo descono-cido para el entorno SNA.

Punto finalDispositivo en el que comienza o termina un circuito virtual o ruta virtual.

Puntos de control de servicios del sistemaVer SSCP.

Glosario 397

PUPProtocolo universal PARC.

Protocolo similar al IP desarrollado en PARC.

PVCCircuito virtual permanente.

Circuito virtual que se establece de forma permanente. Los PVC permiten ahorrar ancho de bandaasociado con el establecimiento y corte de circuitos si determinados circuitos virtuales deben exis-tir en todo momento. Comparar con SVC.

Al circuito virtual permanente se lo conoce como conexión virtual permanente en terminología deATM.

PVPRuta virtual permanente.

Ruta virtual compuesta por PVC. Ver también PVC y ruta virtual.

Q.920/Q.921Especificaciones de UIT-T para la capa de enlace de datos de la interfaz de red de usuario RDSI.

Q.922AEspecificación de la UIT-T para el encapsulamiento Frame Relay.

Q.931Especificación de la UIT-T para que la señalización establezca, mantenga y limpie las conexionesde red RDSI.

Q.93BEspecificación de la UIT-T para que la señalización establezca, mantenga y limpie las conexionesde red BRDSI. Evolución de la recomendación Q.931 de la UIT-T.

QLLCControl de enlace lógico calificado.

Protocolo de la capa de enlace de datos definido por IBM que permite que los datos SNA se trans-porten a través de redes X.25.

QOSCalidad de servicio.

Medida del rendimiento de un sistema de transmisión que refleja la calidad de transmisión y ladisponibilidad de servicio.

RACEInvestigación de comunicaciones avanzadas en Europa.

Proyecto patrocinado por la Comunidad Europea (EC) para el desarrollo de capacidades de net-working de banda ancha.

Radio celularTecnología que usa transmisiones de radio para acceder a las redes de la empresa telefónica. Elservicio se suministra en un área determinada a través de un transmisor de baja potencia.


RadiofrecuenciaVer RF.

RAMMemoria de acceso aleatorio.

Memoria volátil que pueder ser leída y escrita por un microprocesador.

RangoMedida lineal de la distancia a la que un transmisor inalámbrico puede enviar una señal.

RARPProtocolo de resolución inversa de direcciones.

Protocolo de la pila TCP/IP que suministra un método para detectar direcciones IP basándose enlas direcciones MAC. Comparar con ARP.

RBHCCompañía Regional Bell Holding.

Una de las siete empresas telefónicas creadas como consecuencia de la división de AT y T en 1984.

RBOCCompañía Operativa Regional Bell.

Compañía telefónica local o regional que posee y opera líneas telefónicas y switches en una de lassiete regiones de los E.U. Las RBOC fueron creadas por la división de AT y T.

La Compañía operativa regional Bell también es conocida como Compañía operativa Bell (BOC).

RcpProtocolo de copia remota.

Protocolo que permite que los usuarios copien archivos a un sistema de archivos que reside en unhost o servidor remoto de la red, y también que los copien desde éste. El protocolo rcp usa TCPpara garantizar el envío confiable de los datos.

RDSI de banda estrechaVer N-ISDN.

Receptor de datosEquipo de red que acepta transmisiones de datos.

Reconexión de llamada automáticaFunción que admite el reenrutamiento automático de llamada desde una línea troncal en la que hayerrores.

Reconocimiento/conversión automatizada de paqueteVer APaRT.

Recopilación de base de información de administradorVer recopilación MIB.

Red1) Conjunto de equipos, impresoras, routers, switches y otros dispositivos que se pueden comu-nicar entre sí a través de algún medio de transmisión.

Glosario 399

2) El comando network asigna una dirección que depende de la NIC a la cual el router se encuen-tra directamente conectado.

3) El comando network especifica cualquier red directamente conectada que se vaya a incluir.

Red académica conjuntaVer JANET.

Red con claseRed que utiliza las direcciones tradicionales de red IP de clase A, B y C.

Red conmutada por paquetesVer PSN.

Red de acceso múltipleRed que permite que múltiples dispositivos se conecten y comuniquen de forma simultánea.

Red de asociación de investigación de universidades del SuresteVer SURAnet.

Red de Ciencias de la EnergíaVer ESnet.

Red de conexión únicaRed que tiene una sola conexión con un router.

Red de control de rutaConcepto SNA que consta de componentes de nivel inferior que controlan el enrutamiento y elflujo de datos a través de una red SNA y administra la transmisión de datos física entre los nodosSNA. Comparar con NAU.

Red de datos conmutada por paquetesVer PSN.

Red de Datos de la DefensaVer DDN.

Red de datos públicaVer PDN.

Red de dominio múltipleRed SNA con múltiples SSCP.

Red de Educación Superior de TexasVer THEnet.

Red de físicaVer PHYSNET.

Red de información inteligenteVer IIN.

Red de Investigación Académica europeaVer EARN.


Red de Investigación Regional del área de la bahíaVer BARRNet.

Red de Agencia de Proyectos de Investigación AvanzadaVer ARPANET.

Red de la Fundación Nacional de CienciasVer NSFNET.

Red de área extensaVer WAN.

Red de área localVer LAN.

Red de área metropolitanaVer MAN.

Red digital de servicios integradosVer ISDN.

Red empresarialRed diversa y de gran tamaño que conecta la mayoría de los puntos principales de una empresa uotra organización. Se diferencia de una WAN en el sentido de que pertenece y es mantenida deforma privada.

Red heterogéneaRed compuesta por dispositivos diferentes que ejecutan protocolos diferentes y, en muchos casos,admiten funciones y aplicaciones distintas.

Red híbridaInternetwork compuesta por más de un tipo de tecnología de red, incluidas LAN y WAN.

Red informáticaVer CSNET.

Red informática de recursos conectadaVer ARCnet.

Red informática John von NeumannVer JvNCnet.

Red militarVer MILNET.

Red pública de telefonía conmutadaVer PSTN.

Red sin claseRed que no utiliza las direcciones tradicionales de red IP (clase A, clase B y clase C) pero definela red fronteriza usando un valor de prefijo que indica el número de bits utilizados para la por-ción de red.

Red UNIX de JapónVer JUNET.

Glosario 401

Red óptica síncronaVer SONET.

RedireccionarParte de los protocolos ICMP y ES-IS que permiten que un router le indique a un host que puedeser más efectivo usar otro router.

RedirectorSoftware que intercepta peticiones para recursos dentro de un equipo y las analiza con respecto alos requisitos de acceso remoto. Si se requiere acceso remoto para satisfacer la petición, el redirec-tor crea un RPC y envía el RPC al software de protocolo de capa inferior para su transmisión através de la red hacia el nodo que puede satisfacer la petición.

RedistribuciónPermitir que la información de enrutamiento detectada a través de un protocolo de enrutamientosea distribuida en los mensajes de actualización de otro protocolo de enrutamiento.

También se conoce la redistribución como redistribución de ruta.

Redistribución de rutaVer redistribución.

Redundancia1) En internetworking, la duplicación de dispositivos, servicios o conexiones de modo que, en casode falla, los dispositivos, servicios o conexiones redundantes puedan ejecutar el trabajo de aquellosque han fallado. Ver también sistema redundante.

2) En telefonía, la parte de la información total contenida en un mensaje que se puede eliminar sinque se pierda la información o el significado esencial.

ReensamblajeVolver a ensamblar un datagrama IP en el destino luego de que se ha fragmentado, ya sea en el ori-gen o en un nodo intermedio.

ReenvíoProceso que se usa para enviar una trama hacia su destino final a través de un dispositivo de inter-networking.

Reenvío de tramaVer FF.

Reenvío mediante puenteProceso que usa las entradas de una base de datos de filtrado para determinar si las tramas quetienen una dirección MAC destino determinada pueden reenviarse a uno o más puertos determina-dos. Se describe en el estándar IEEE 802.1.

Reflectometría de dominio de tiempoTécnica que envía una señal eléctrica por un cable y luego mide el tiempo que tarda en recibirse lareflexión de la señal desde el final del cable.

Reflectómetro de dominio de tiempoVer TDR.

ReflexiónFenómeno físico que se produce cuando ondas de frecuencia de radio rebotan en objetos (porejemplo, superficies de metal o vidrio).


RefracciónLa medida que indica cuánto se dobla un rayo luminoso al atravesar un material determinado.

Registro de configuraciónEn los routers Cisco, un valor de 16 bits, que el usuario puede configurar, y determina cómo fun-ciona el router durante la inicialización. Es posible guardar el registro de configuración en el hard-ware o en el software. En el hardware, la posición del bit se establece usando un jumper. En elsoftware, la posición del bit se establece especificando un valor hexadecimal mediante los coman-dos de configuración.

Relay bypassPermite que una interfaz Token Ring determinada se cierre y, de este modo, se retira efectivamentedel anillo.

Relay de celdaTecnología de red basada en el uso de pequeños paquetes, o celdas, de tamaño fijo. Dado que la longi-tud de las celdas es fija, se pueden procesar y conmutar en el hardware a altas velocidades. El relay decelda es la base de varios protocolos de red de alta velocidad, incluidos ATM, IEEE 802.6 y SMDS.

RendimientoVelocidad de la información que llega a un punto particular de un sistema de red y posiblemente loatraviesa.

Reparación con equipo activoVer POS.

RepetidorDispositivo que regenera y propaga señales eléctricas entre dos segmentos de red.

Reserva del ancho de bandaProceso por el que se asigna ancho de banda a los usuarios y las aplicaciones a los que una redbrinda servicio. Involucra la asignación de prioridad a distintos flujos de tráfico basándose en cuánsensibles a los retardos y cuán críticos son. Esto permite obtener el mejor uso del ancho de bandadisponible y, en caso de que la red se congestione, descartar el tráfico de menor prioridad.

La reserva del ancho de banda también se denomina asignación de ancho de banda.

ReservadoSe establece en cero.

Resolución de direccionesPor lo general, método para resolver las diferencias entre los esquemas de direccionamiento delequipo. La resolución de direcciones generalmente especifica un método para asignar direccionesde la capa de red (Capa 3) a las direcciones de la capa de enlace de datos (Capa 2).

Resolución de nombresPor lo general, el proceso por el cual se asocia un nombre con una ubicación de red.

Resolución dinámica de direccionesUso de un protocolo de resolución de direcciones para determinar y guardar información acerca delas direcciones a pedido.

Respaldo usando una línea telefónicaCaracterística admitida por los routers Cisco que protege contra el tiempo de inactividad de laWAN al permitir que el administrador de red configure una línea serial de respaldo a través de unaconexión conmutada por circuito.

Glosario 403

Retardo1) El tiempo que hay entre el inicio de una transacción por parte del emisor y la primera respuestarecibida por el emisor.

2) El tiempo que se requiere para mover un paquete desde el origen hacia el destino, a través deuna ruta específica.

Retardo de distorsiónProblema con una señal de comunicación producto de las velocidades de transmisión no uniformesde los componentes de una señal a través de un medio de transmisión. También denominado re-tardo de grupo.

Retardo de encolamientoEl período que deben esperar los datos antes de que se puedan transmitir a través de un circuitofísico multiplexado estadísticamente.

Retardo de grupoVer retardo de distorsión.

Retardo de propagaciónTiempo que se requiere para que los datos viajen a través de una red, desde su origen hacia su des-tino final.

RetransmisiónTerminología de OSI que se usa para un dispositivo que conecta dos o más redes o sistemas dered. Un relay de capa de enlace de datos (Capa 2) es un puente; un relay de capa de red (Capa 3)es un router.

RFRadiofrecuencia.

Término genérico que se refiere a las frecuencias que corresponden a las transmisiones de radio.Las redes de televisión por cable y de banda ancha usan tecnología RF.

RFCPetición para recibir comentarios.

Conjunto de documentos que se usan como el medio principal para comunicar información acercade Internet. Algunos RFC son designados por el IAB como estándares de Internet. La mayoría delas RFC documentan especificaciones de protocolo, por ejemplo, Telnet y FTP, pero algunas sonhumorísticas o históricas. Las RFC están disponibles en línea en varias fuentes.

RFIInterferencia radioeléctrica.

Radiofrecuencias que crean ruido que interfiere con la información que se transmite a través decable de cobre no blindado.

RIFCampo de información de enrutamiento.

Campo del encabezado IEEE 802.5 que se usa en un puente origen-ruta para determinar cuáles sonlos segmentos de una red Token Ring por los que el paquete debe transitar. El RIF está compuestopor números de anillo y puente, como así también por otra información.


RIIIdentificador de información de enrutamiento.

Bit que usan los puentes SRT para distinguir entre tramas que se deben puentear de forma trans-parente y tramas que se deben enviar al módulo SRB para su administración.

RIPProtocolo de información de enrutamiento.

IGP que se suministra con los sistemas UNIX BSD. El IGP más común de Internet. El RIP usa elnúmero de saltos como métrica de enrutamiento.

RIPngProtocolo de próxima generación de información de enrutamiento.

Protocolo de enrutamiento vector-distancia con un límite de 15 saltos que utiliza un horizonte divi-dido y envenenamiento en reversa para evitar los routing loops. Se basa en IPv4 RIP v2 y es simi-lar a RIPv2 pero usa IPv6 para el transporte. La dirección de grupo multicast FF02::9 identificatodos los routers RIPng habilitados.(RIPng, RFC 2080).

RIPv2Protocolo de información de enrutamiento versión 2.

Definido en RFC 1723 y admitido en las versiones 11.1 y posteriores de IOS. El RIPv2 no es unprotocolo nuevo, sólo el RIPv1 con algunas extensiones para actualizarlo con entornos modernosde enrutamiento. El RIPv2 ha sido actualizado para admitir actualizaciones de VLSM, autenti-cación y multicast.

rloginConexión remota.

Programa de emulación de terminal, similar a Telnet, que se suministra en la mayoría de las imple-mentaciones UNIX.

RMONSupervisión remota.

Especificación de agente MIB que se describe en la RFC 1271 que define las funciones para la su-pervisión remota de los dispositivos conectados a la red. La especificación RMON brinda nu-merosas capacidades de monitoreo, detección de problemas y generación de informes.

ROMMemoria de sólo lectura.

Memoria no volátil que un microprocesador puede leer, pero no escribir.

ROSEElemento del servicio de operaciones remotas.

Mecanismo OSI RPC utilizado por varios protocolos de aplicación de red OSI.

Route Processor (Procesador de ruta)Ver RP.

Glosario 405

RouterDispositivo de capa de red que usa una o más métricas para determinar la ruta óptima a través dela cual se debe enviar el tráfico de red. Los routers envían paquetes desde una red a otra basándoseen la información de la capa de red. Ocasionalmente se denomina gateway (aunque esta definiciónde gateway se está tornando cada vez más desactualizada). Comparar con gateway.

Router de borde de áreaVer ABR.

Router de borde del sistema autónomoVer ASBR.

Router de Nivel 1Dispositivo que enruta el tráfico dentro de una sola área DECnet u OSI.

Router de Nivel 2Dispositivo que enruta el tráfico entre áreas DECnet u OSI. Todos los routers de nivel 2 deben for-mar una red contigua.

Router designadoRouter OSPF que genera LSA para una red de acceso múltiple y tiene otras responsabilidades es-peciales al ejecutar OSPF. Cada red OSPF de acceso múltiple que tiene por lo menos dos routersconectados tiene un router designado que se selecciona mediante el protocolo OSPF Hello. Elrouter designado permite una reducción en la cantidad de adyacencias que se requieren en una redde acceso múltiple que, a su vez, reduce la cantidad de tráfico de protocolo de enrutamiento y eltamaño de la base de datos topológica.

Router multicastRouter que se usa para enviar mensajes de petición IGMP en las redes locales conectadas. Loshosts que son miembros de un grupo multicast responden a la petición enviando informes IGMPen los que se indican los grupos multicast a los que pertenecen. El router multicast asume la res-ponsabilidad de enviar datagramas multicast de un grupo multicast a todas las demás redes quetengan miembros en el grupo.

Router núcleoEn una topología en estrella conmutada por paquetes, el router que forma parte del backbone y quesirve como tubería exclusiva a través de la cual debe pasar el tráfico de las redes periféricas en sucamino hacia otras redes periféricas.

Routers vecinosEn OSPF, dos routers que tienen interfaces en una red común. En redes de acceso múltiple, los ve-cinos se detectan de forma dinámica a través del protocolo Hello OSPF.

RP1) procesador de ruta. Módulo del procesador de los routers Cisco de la serie 7000 que contiene laCPU, el software del sistema y la mayoría de los componentes de la memoria que se usan en elrouter. Al procesador de ruta también se lo conoce como procesador supervisor.

2) punto de encuentro. Router que se especifica en las implementaciones PIM de modo dispersopara rastrear la pertenencia en grupos multicast y enviar mensajes a las direcciones de grupo multi-cast conocidas. Ver también PIM de modo disperso.

RP-TNCTipo de conector único para las radios y antenas Aironet de Cisco. Parte 15.203 de las reglas deFCC que cubren dispositivos de amplio espectro limita los tipos de antenas que se pueden usar con


el equipo de transmisión. En cumplimiento con esta regla, Cisco Aironet, como otros proveedoresde LAN inalámbrica, equipa sus radios y antenas con un conector único para evitar la conexión deantenas no aprobadas a radios.

RPCLlamada de procedimiento remoto.

Base tecnológica de la informática cliente-servidor. Las RPC son llamadas de procedimiento quelos clientes crean o especifican y que los servidores ejecutan, y los resultados se devuelven a losclientes a través de la red.

RPMMulticasting de ruta inversa.

Técnica de multicast en la que un datagrama multicast se envía a través de todas las interfaces,salvo la interfaz receptora, si ésta es la utilizada para enviar datagramas unicast al origen del data-grama multicast.

Ruta estáticaRuta que está configurada e ingresada en la tabla de enrutamiento de forma explícita. Las rutas es-táticas tienen prioridad sobre las rutas elegidas por los protocolos de enrutamiento dinámicos.

RS-232Interfaz de capa física popular.

La RS-232 es conocida como EIA/TIA-232.

RS-422Implementación eléctrica balanceada de EIA/TIA-449 para transmisión de datos a alta velocidad.

Se refiere colectivamente al RS-422 con RS-423 como EIA-530.

RS-423Implementación eléctrica no balanceada de EIA/TIA-449 para compatibilidad EIA/TIA-232.

Se refiere colectivamente al RS-423 con RS-422 como EIA-530.

RS-449Interfaz de capa física popular.

La RS-449 es conocida como EIA/TIA-449.

rshProtocolo de shell remoto.

Protocolo que permite que un usuario ejecute comandos en un sistema remoto sin tener que conec-tarse al sistema. Por ejemplo, rsh se puede usar para examinar de forma remota el estado de unacantidad de servidores de acceso sin conectarse con cada servidor de comunicación, ejecutar el co-mando y luego desconectarse del servidor de comunicación.

RSPProcesador de ruta/switch.

Módulo del procesador que se usa en los routers Cisco de la serie 7500 que integra las funcionesde RP y SP.

Glosario 407

RSRBPuenteo de origen-ruta remoto.

SRB a través de enlaces WAN.

RSVPProtocolo de reserva de recursos.

Protocolo que admite la reserva de recursos a través de la red IP. Las aplicaciones que se ejecutanen los sistemas de extremo IP pueden utilizar RSVP para indicar a otros nodos la naturaleza(ancho de banda, fluctuación, ráfaga máxima, etc.) de los stream de paquetes que desean recibir.

Al Protocolo de reserva de recursos también se lo conoce como Protocolo de configuración dereserva de recursos.

RTP1) Protocolo de tabla de enrutamiento. Protocolo de enrutamiento VINES basado en RIP.Distribuye información de la topología de red y ayuda a los servidores VINES a detectar clientes,servidores y routers vecinos. Usa el retardo como métrica de enrutamiento. Ver también SRTP.

2) Protocolo de transporte en tiempo real. Comúnmente utilizado con redes IP. El RTP está dise-ñado para proveer funciones de transporte de red de extremo a extremo para aplicaciones de trans-misión de datos en tiempo real como audio, video o datos de simulación a través de los servicios dered multicast o unicast. RTP provee servicios como identificación de tipo de carga, numeración de secuencia, marca horaria y monitoreo de entrega a aplicaciones en tiempo real.

RTSListo para enviar.

Señal de control EIA/TIA-232 que solicita transmisión de datos en una línea de comunicación.

RTTTiempo de ida y vuelta.

Tiempo necesario para que una comunicación de red viaje desde el origen hasta el destino y re-grese. El RTT incluye el tiempo que se requiere para que el destino procese el mensaje del origeny genere una respuesta. El RTT es utilizado por algunos algoritmos de enrutamiento para ayudar acalcular las rutas óptimas.

RUUnidad de petición/respuesta.

Mensajes de petición y respuesta que se intercambian entre las NAU en una red SNA.

RuidoSeñales no deseadas del canal de comunicaciones.

RutaRuta a través de una internetwork.

Ruta explícitaEn SNA, una ruta desde una subárea de origen hacia una subárea de destino, tal como se especificaen una lista de nodos de subárea y grupos de transmisión que los conectan a ambos.


Ruta predeterminadaEntrada de la tabla de enrutamiento que se utiliza para dirigir tramas para las cuales el salto si-guiente no aparece explícitamente en la tabla de enrutamiento.

Ruta virtualEn SNA, una conexión lógica entre nodos de subárea que se ejecuta de forma física como una rutaexplícita en particular. Terminología SNA para circuito virtual. Ver también circuito virtual.

Ruta virtual permanenteVer PVP.

Ráfaga excesivaVer Be.

Ráfaga garantizadaLa ráfaga de datos más grande por encima de la velocidad garantizada que se acepta temporal-mente en un PVC y que no se etiqueta mediante la función de políticas de tráfico para ser descar-tadas en caso de que se produzca congestión en la red. La ráfaga garantizada se especifica en byteso celdas. Comparar con ráfaga máxima.

Ráfaga máximaEspecifica la ráfaga más grande de datos por encima de la velocidad garantizada que se permitetemporalmente en un PVC ATM, pero no se descarta en el extremo por la función de políticas detráfico, incluso si excede la velocidad máxima. Esta cantidad de tráfico se acepta sólo temporal-mente; en promedio, la fuente de tráfico debe estar dentro de la velocidad máxima. Especificadoen bytes o celdas. Comparar con ráfaga garantizada.

Ráfaga suscritaVer Bc.

SacudidaProblema de enrutamiento en el que una ruta publicada entre dos nodos alterna (flapea) entre dosrutas debido a un problema de red que provoca fallas intermitentes de la interfaz.

SaltoTérmino que describe la transmisión de paquetes de datos entre dos nodos de red (por ejemplo,entre dos routers).

Saludo de sistema finalVer ESH.

SAP1) punto de acceso al servicio. Campo definido por la especificación IEEE 802.2 que forma partede una especificación de dirección. De este modo, el destino y el DSAP definen al destinatario deun paquete. Lo mismo se aplica para el SSAP. Ver también DSAP y SSAP.

2) Protocolo de publicación de servicio. Protocolo IPX que suministra un medio para informar alos clientes de red, a través de los routers y servidores, acerca de los recursos y servicios de reddisponibles. Ver también IPX.

SbusTecnología de bus que se usa en estaciones de trabajo y servidores basados en Sun SPARC. La es-pecificación Sbus ha sido adoptada por IEEE como nuevo estándar de bus.

Glosario 409

SCRVelocidad de celda sustentable.

Parámetro definido por el ATM Forum para la administración de tráfico ATM. Para conexionesVBR, SCR determina la velocidad de celda promedio a largo plazo que se puede transmitir.

SCTETransmisión externa del reloj serial.

Señal de temporización que un DTE replica a un DCE para mantener la sincronización. El SCTEestá diseñado para compensar el desplazamiento de fase de reloj en los cables largos. Cuando el dispositivo DCE usa SCTE en lugar de su reloj interno para realizar un muestreo de datos delDTE, está más capacitado para tomar una muestra de los datos sin error aunque se produzca undesplazamiento de fase en el cable.

SDHJerarquía digital síncrona.

Estándar europeo que define un conjunto de estándares de velocidad y formato que se transmitenusando señales ópticas a través de fibra óptica. El SDH es similar a SONET, con una velocidadSDH básica de 155.52 Mbps, designada en STM-1.

SDLCControl de enlace de datos síncrono.

Protocolo de comunicaciones de capa de enlace de datos SNA. El SDLC es un protocolo serialfull-duplex, orientado a bits, a partir del que se han desarrollado varios protocolos similares, in-cluidos HDLC y LAPB.

SDLLCCaracterística que ejecuta la conversión entre SDLC e IEEE 802.2 tipo 2.

SDSUServicio de datos multimegabit conmutado DSU.

DSU para acceder a SMDS a través de las HSSI y otras interfaces seriales.

Secuencia de verificación de tramaVer FCS.

SecundariaVer estación secundaria.

Segmento1) La sección de una red que está limitada por puentes, routers o switches.

2) En una LAN que usa una topología de bus, un segmento es un circuito eléctrico continuo que amenudo se conecta a otros segmentos de ese tipo con repetidores.

3) Término que se usa en la especificación TCP para describir una unidad de información de lacapa de transporte. Los términos datagrama, trama, mensaje y paquete también se usan para des-cribir las agrupaciones de información lógica en las diversas capas del modelo de referencia OSI yen los diversos círculos tecnológicos.


Sensibilidad del receptorMedida de la señal inalámbrica más débil que un receptor puede recibir y hasta traducir correcta-mente en datos.

Servicio de correo electrónicoVer correo electrónico.

Servicio de datos de banda ancha no orientado a conexiónVer CBDS.

Servicio de datos multimegabit conmutadoVer SMDS.

Servicio de información de redVer NIS.

Servicio de red en modo conexiónVer CMNS.

Servicio de red no orientado a conexiónVer CLNS.

Servicio de red virtual integradoVer VINES.

Servicio telefónico analógicoVer PSTN.

Servicios de administraciónFunciones SNA que se distribuyen entre los componentes de la red para administrar y controlaruna red SNA.

Servicios de directorioServicios que ayudan a los dispositivos de red a ubicar a los proveedores de servicios.

Servicios de distribución SNAVer SNADS.

Servicios de información administrativa comúnVer CMIS.

Servicios de monitoreo mejoradosConjunto de herramientas de análisis del switch Catalyst 5000, compuesto por un agente RMONintegrado y el SPAN. Estas herramientas suministran monitoreo de tráfico y análisis y adminis-tración de red.

Servicios de red basados en identidadVer IBNS.

ServidorNodo o programa de software que brinda servicios a los clientes.

Servidor de accesoProcesador de comunicaciones que conecta dispositivos asíncronos con una LAN o WAN a travésde la red y de software de emulación de terminal. Ejecuta tanto enrutamiento síncrono como asín-

Glosario 411

crono de los protocolos admitidos. A veces denominado servidor de acceso de red. Comparar conservidor de comunicación.

Servidor de acceso a la redVer servidor de acceso.

Servidor de acceso Cisco 2500Ver Cisco 2500.

Servidor de acceso Cisco 5100Ver Cisco 5100.

Servidor de comunicaciónProcesador de comunicaciones que conecta dispositivos asíncronos con una LAN o WAN a travésde la red y de software de emulación de terminal. Ejecuta solamente enrutamiento asíncrono de IPe IPX. Comparar con servidor de acceso.

Servidor de configuración para emulación de LANVer LECS.

Servidor de gateway compactoVer CGS.

Servidor de impresiónSistema informático conectado a la red que administra y ejecuta (o envía para que se ejecuten) laspeticiones de impresión de otros dispositivos de red.

Servidor de nombreServidor que se conecta a una red que resuelve los nombres de red en direcciones de red.

Servidor de terminalesProcesador de comunicaciones que conecta dispositivos asíncronos, como terminales, impresoras,hosts y módems a cualquier LAN o WAN que usa protocolos TCP/IP, X.25 o LAT. Los servidoresde terminales suministran la inteligencia de internetworking que no está disponible en los disposi-tivos conectados.

Servidor multicastEstablece una conexión uno-a-muchos con todos los dispositivos de una VLAN, con lo cual es-tablece un dominio de broadcast para cada segmento de la VLAN. El servidor multicast reenvíalos broadcasts entrantes sólo a la dirección multicast que corresponde a la dirección broadcast.

Servidor para emulación de LANVer LES.

Servidor rcpRouter u otro dispositivo que actúa como servidor para rcp.

Sesión1) Conjunto de transacciones de comunicación relacionadas entre dos o más dispositivos de red.

2) En SNA, una conexión lógica que permite que dos NAU se comuniquen.

Sesión SSCP-PUPuntos de control de servicios del sistema - sesión física de unidad.


Sesión que usa SNA para permitir que SSCP administre los recursos de un nodo a través de la PU.Los SSCP pueden enviar peticiones a nodos individuales para controlar la configuración de la re, yrecibir respuestas de ellos.

Señal de indicación de alarmaVer AIS.

Señal de transporte síncrono de nivel 1Ver STM-1.

Señal de transporte síncrono de nivel 3, concatenadaVer STS-3c.

Señal digitalLenguaje de los equipos que abarca sólo dos estados, activado y desactivado, que se indican através de una serie de pulsos de voltaje.

Señal digital de nivel 0Ver DS-0.



Señalador urgenteIndica el final de los datos urgentes.

SeñalizaciónProceso que se usa para enviar una señal de transmisión a través de un medio físico con fines decomunicación.

Señalización de canal comúnVer CCS.

Señalización de octetoTécnica de señalización que se usa en las redes 100VG-AnyLAN que permite la transmisión dedatos a 100 Mbps a través de cuatro pares de cables UTP en las mismas frecuencias que se usan enlas redes 10BASE-T.

Señalización dentro de bandaTransmisión de información de señalización dentro de una banda de frecuencias que se usan nor-malmente para la transmisión de información. Comparar con señalización fuera de banda.

Señalización fuera de bandaTransmisión que usa frecuencias o canales fuera de las frecuencias o canales que se usan normal-mente para la transferencia de información. La señalización fuera de banda se usa a menudo paradeclarar errores en situaciones en las que la señalización dentro de la banda se puede ver afectadapor los problemas que la red pueda estar experimentando. Ver la diferencia con señalización dentrode la banda.

SFSuper Frame (Super trama).

Glosario 413

Tipo de entramado común que se usa en circuitos T1. La SF está compuesta por 12 tramas de 192bits cada una, donde el bit 193 suministra verificación de errores y otras funciones. La SF ha sidoreemplazada por ESF, pero todavía se utiliza ampliamente.

También se conoce la Super Frame como entramado D4.

SGMPProtocolo de monitoreo de gateway simple.

Protocolo de administración de red que se tuvo en cuenta para la normalización de Internet y queposteriormente se convirtió en el SNMP. Documentado en la RFC 1028.

ShipwormVer Teredo.

SIITTraducción IP/ICMP sin estado.

Algoritmo usado en NAT-PT que traduce los campos del encabezado IP. Comparar con NAT-PT yDNS ALG.

SimplexCapacidad de transmitir los datos en una sola dirección entre una estación emisora y una estaciónreceptora. Comparar con full duplex y half duplex.

Simultánea de dos víasVer TWS.

Sin conexiónTérmino utilizado para describir la transferencia de datos sin que exista un circuito virtual.Comparar con orientado a conexión.

SincronizaciónEstablecimiento de temporización común entre el emisor y el receptor.

SIP1) Protocolo de interfaz SMDS. Se usa en comunicaciones entre CPE y equipo de red SMDS.Permite que el CPE use el servicio SMDS para internetworking WAN de alta velocidad. Basado enel estándar IEEE 802.6 DQDB. Ver también DQDB.

2) Procesador de interfaz serial. Procesador de interfaz obsoleto para los routers Cisco de la serie7000 que suministra ya sea puertos independientes de dos o cuatro canales para conexiones seria-les síncronas a velocidades que van desde 2.4 Kbps hasta 4 Mbps. El SIP ha sido reemplazado porFSIP. A veces denominado SX-SIP o Pre-FSIP. Ver también FSIP.

Sistema autónomoVer AS.

Sistema básico de entrada/salida de redVer NetBIOS.

Sistema de administración de mensajesVer MHS.

Sistema de administración de redVer NMS.


Sistema de archivos de redVer NFS.

Sistema de control de acceso del controlador de acceso a terminalVer TACACS.

Sistema de denominación de dominiosVer DNS.

Sistema de señalización número 7Ver SS7.

Sistema de verificación y controlVer TCS.

Sistema finalVer ES.

Sistema final a sistema intermedioVer ES-IS.

Sistema intermedioVer IS.

Sistema intermedio a Sistema intermedioVer IS-IS.

Sistema intermedio a Sistema intermedio HelloVer IIH.

Sistema intermedio designadoVer DIS.

Sistema intermedio HelloVer ISH.

Sistema operativo de redVer NOS.

Sistema redundanteEquipo, router, switch u otro sistema informático que contiene dos o más de cada uno de los sub-sistemas más importantes, como: dos unidades de disco, dos CPU o dos sistemas de alimentación.Por ejemplo, en un switch ATM LightStream 20202 completamente redundante, hay dos tarjetasNP con discos, dos tarjetas de switch y dos bandejas de alimentación. Un switch LightStream2020 parcialmente redundante puede tener dos NP, una tarjeta de switch y una bandeja de ali-mentación.

SLIPProtocolo Internet de línea serial.

Protocolo estándar para conexiones seriales punto a punto que usa una variante de TCP/IP.Antecesor de PPP.

SMACMAC de origen.

Glosario 415

Dirección Mac que se especifica en el campo Dirección Origen de un paquete. Comparar con DMAC.

SMBBloque de mensajes del servidor.

Protocolo de sistema de archivos que se usa en LAN Manager y NOS similares para empaquetardatos e intercambiar información con otros sistemas.

SMDSServicio de datos multimegabit conmutado.

Tecnología de networking WAN basada en datagramas, conmutada por paquetes, de alta velocidadque brindan las compañías telefónicas.

SMIEstructura de la información de administración..

Documento (RFC 1155) que especifica normas que se usan para definir objetos administradosen el MIB.

SMRPProtocolo de enrutamiento multicast simple.

Protocolo de red multicast especializado para enrutar flujos de datos multimedia en redes empre-sariales. El SMRP trabaja de forma conjunta con las extensiones multicast del protocoloAppleTalk.

SMTAdministración de estación.

Especificación ANSI FDDI que define cómo se administran las estaciones del anillo.

SMTPProtocolo simple de transferencia de correo.

Protocolo de Internet que presta servicios de correo electrónico.

SNAArquitectura de sistemas de red.

Arquitectura de red grande, compleja, con muchas características, desarrollada en la década de1970 por IBM. Es similar en algunos aspectos al modelo de referencia OSI pero tiene varias dife-rencias. La SNA está compuesta esencialmente por siete capas.

SNADSServicios de distribución SNA.

Compuestos por un conjunto de programas de transacción SNA que interconectan y cooperan parabrindar distribución asíncrona de la información entre los usuarios finales. Uno de los tres servi-cios de transacción SNA.

SNAPProtocolo de acceso a la subred.

Protocolo de Internet que opera entre una entidad de red de la subred y una entidad de red del sis-tema final. El SNAP especifica un método estándar para encapsular datagramas IP y mensajes


ARP en redes IEEE. La entidad SNAP del sistema final hace uso de los servicios de la subred yejecuta tres funciones clave: transferencia de datos, administración de conexión y selección deQOS (calidad de servicio).

SNI1) Interfaz de red del abonado. Interfaz para redes basadas en SMDS que conectan el CPE y unswitch SMDS. Ver también UNI.

2) Interconexión de red SNA. Gateway IBM que conecta múltiples redes SNA.

SNMPProtocolo de administración de red simple.

Protocolo de administración de red que se usa casi exclusivamente en redes TCP/IP. El SNMP su-ministra un medio para monitorear y controlar los dispositivos de red, y para administrar configu-raciones, recopilación de estadísticas, rendimiento y seguridad.

SNMP2Versión 2 del Protocolo de administración de red simple.

Versión 2 del conocido protocolo de administración de red. El SNMP2 admite estrategias de ad-ministración de red tanto centralizada como distribuida, e incluye mejoras en SMI, operaciones deprotocolo, arquitectura de administración y seguridad.

SNPAPunto de subred de dirección de conexión.

La dirección SNPA es el punto en el que se proveen los servicios de subred. Es equivalente a la di-rección de la Capa 2 correspondiente a la Capa 3, NET o NSAP, dirección y, por lo tanto, es usual-mente una dirección MAC en una LAN o ID de circuito virtual en X.25, Frame Relay o ATM.

SobrevoltajeCualquier aumento del voltaje por encima del 110% del voltaje normal transportado por la línea dealimentación eléctrica.

Sociedad InternetVer ISOC.

SocketEstructura de software que opera como punto de terminación de comunicaciones dentro de un dis-positivo de red.

Software del sistema operativo de internetworking CiscoVer software IOS de Cisco.

Software IOS de CiscoSoftware del sistema operativo de internetworking de Cisco.

Software del sistema Cisco que brinda funcionalidad, escalabilidad y seguridad común para todoslos productos de la arquitectura CiscoFusion. El software IOS de Cisco permite instalación y ad-ministración centralizada, integrada y automatizada de internetworks, lo que garantiza, al mismotiempo, soporte para una amplia variedad de protocolos, medios, servicios y plataformas.

SONAArquitectura de red orientada al servicio.

Glosario 417

La estructura de la arquitectura que guía la evolución de la red a una Red de información in-teligente (IIN). Permite a las empresas optimizar aplicaciones, procesos y recursos para brindarmayores beneficios comerciales.

SondaBobina de cinta de acero retráctil que se usa para guiar el cable a través de una pared desde arribao abajo.

SondeoMétodo de acceso en el que el dispositivo de red principal pregunta, en forma ordenada, si los se-cundarios tienen algún dato para transmitir. La pregunta se realiza en forma de mensaje que seenvía a cada dispositivo secundario, lo que le otorga al secundario el derecho de transmitir.

SONETRed óptica síncrona.

Especificación de red síncrona de alta velocidad (hasta 2.5 Gbps) desarrollada por Bellcore y dise-ñada para ejecutarse en fibra óptica. El STS-1 es el bloque de creación básico de SONET. Fueaprobado como estándar internacional en 1988.

Soporte de acceso Frame RelayVer FRAS.

SPProcesador del switch.

Módulo de procesador Cisco de la serie 7000 que actúa como administrador para todas las activi-dades CxBus.

También se conoce al procesador del switch como controlador ciscoBus.

SPAN1) Analizador de puerto conmutado. Característica del switch Catalyst 5000 que amplía las capaci-dades de monitoreo de los analizadores de red existentes en un entorno Ethernet conmutado. ElSPAN refleja el tráfico de un segmento conmutado en un puerto SPAN predefinido. Un analizadorde red conectado al puerto SPAN puede monitorear el tráfico desde cualquiera de los otros puertosconmutados del switch.

2) Línea de transmisión digital full-duplex entre dos instalaciones digitales.

Spanning treeSubconjunto libre de loops de una topología de red.

Spanning tree automáticoVer AST.

SPFAlgoritmo shortest path first.

Algoritmo de enrutamiento que itera sobre la longitud de la ruta para determinar un spanning-treehacia la ruta más corta. Generalmente se usa en algoritmos de routing de estado de enlace.

También se conoce el SPF como algoritmo de Dijkstra.

SPIDIdentificador de perfil de servicio.


Número que usan algunos proveedores de servicio para definir los servicios a los que se suscribeun dispositivo RDSI. El dispositivo RDSI usa el SPID para acceder al switch que inicializa laconexión con el proveedor de servicio.

SR/TLBRuta origen/puenteo de traslación.

Método de puenteo en el que la estaciones origen-ruta se pueden comunicar con las estaciones depuente transparentes con la ayuda de un puente intermedio que realiza la conversión entre los dosprotocolos de puente. Comparar con SRT.

SRAMTipo de RAM que retiene su contenido mientras se le suministre energía. La SRAM no requiereuna renovación constante, como sucede con la DRAM. Comparar con DRAM.

SRBPuenteo de origen-ruta.

Método de puenteo originado por IBM y popular en las redes Token Ring. En una red SRB, toda laruta hacia un destino se determina previamente, en tiempo real, antes de enviar los datos hacia eldestino. Contrastar con puenteo transparente.

SRTPuenteo transparente de origen-ruta.

Esquema de puenteo de IBM que fusiona las dos estrategias de puenteo predominantes, puenteoSBR y transparente. SRT emplea ambas tecnologías en un dispositivo para satisfacer las necesi-dades de todos los EN. No es necesario realizar ninguna conversión entre los protocolos depuenteo. Comparar con SR/TLB.

SRTPProtocolo de actualización de enrutamiento secuenciado.

Protocolo que ayuda a los servidores VINES a detectar clientes, servidores y routers vecinos.

SS7Sistema de señalización número 7.

Sistema CCS estándar utilizado con BISDN e ISDN. Desarrollado por Bellcore.

SSAPPunto de acceso al servicio fuente.

El SAP de un nodo de red designado en el campo Origen de un paquete. Comparar con DSAP.

SSCPPuntos de control de servicios del sistema.

Puntos focales dentro de una red SNA para administrar la configuración de red, coordinar las peti-ciones del operador de red y de determinación de problemas, y suministrar servicios de directorioy otros servicios de sesión para los usuarios finales de la red.

SSEMotor de conmutación por silicio.

Glosario 419

Mecanismo de enrutamiento y conmutación que compara el encabezado de la capa de red o de enlace de datos de un paquete que entra con un caché de conmutación por silicio, determina cuáles la acción adecuada (enrutamiento o conmutación) y envía el paquete hacia la interfaz adecuada.El SSE se codifica directamente en el hardware del Procesador de switch de silicio (SSP) de unrouter Cisco de la serie 7000. Puede, por lo tanto, ejecutar conmutación independientemente delprocesador de sistema, lo que hace que la ejecución de decisiones de enrutamiento sea mucho másveloz que si estuvieran codificadas en el software.

SSIDIdentificador de conjunto de servicios.

El SSID es un código anexado a todos los paquetes en una red inalámbrica para identificar cadapaquete como parte de esa red. El código es una cadena de texto que distingue entre mayúsculas yminúsculas, de un máximo de 32 caracteres alfanuméricos. Todos los dispositivos inalámbricosque intentan comunicarse entre sí deben compartir el mismo SSID. Aparte de identificar a cada pa-quete, el SSID también sirve para identificar de forma exclusiva el grupo de dispositivos inalám-bricos de la red usados en un conjunto del servicio dado.

SSP1) Procesador de switch de silicio. Switch de silicio de alto rendimiento para los routers Cisco dela serie 7000 que suministra procesamiento y control distribuidos para los procesadores de inter-faz. El SSP aprovecha las capacidades de conmutación y enrutamiento de alta velocidad del SSEpara aumentar drásticamente el rendimiento agregado del router, minimizar los cuellos de botellade rendimiento en los puntos de interfaz entre el router y un backbone de alta velocidad.

2) Protocolo de switch a switch. Protocolo especificado en el estándar DLSw que usan los routerspara establecer conexiones DLSw, localizar recursos, enviar datos y administrar el control de flujoy la recuperación de errores.

STAAlgoritmo usado por el protocolo Spanning-Tree para crear un spanning tree.

Stack dobleMecanismo común de transición para habilitar la integración sin complicaciones de IPv4 a IPv6.Compare con túneles IPv6 a través de IPv4.

StarLANLAN CSMA/CD, basada en IEEE 802.3, desarrollada por AT y T.

Stat muxVer multiplexación estadística.

STM-1Módulo de transporte síncrono de nivel 1.

Uno de una cantidad de formatos SDH que especifica la estructura de trama para las líneas de155.52 Mbps que se usan para transportar celdas ATM.

STP1) Par trenzado blindado. Medio de cableado de dos pares que se usa en diversas implementacionesde red. El cableado STP posee una capa de aislamiento blindado para reducir la interferencia elec-tromagnética. Comparar con UTP.

2) Ver Protocolo Spanning-Tree. Protocolo que usa el algoritmo spanning-tree, para permitir queun puente rompa de forma dinámica los bucles que se producen en una topología de red. Los


puentes intercambian mensajes BPDU con otros puentes para detectar bucles, y luego los eliminanapagando interfaces seleccionadas de algunos puentes. Se refiere tanto al protocolo Spanning-TreeIEEE 802.1 como al protocolo Spanning-Tree anterior de Digital Equipment Corporation en el queestá basado. La versión IEEE admite dominios de puente y permite que el puente construya unatopología sin bucles a través de una LAN extendida. La versión IEEE generalmente se prefiere enlugar de la versión de Digital.

STS-1Señal de transporte síncrono de nivel 1.

Señal de bloque de creación básica de SONET, operando a 51.84 Mbps. Las velocidades SONETmás rápidas se definen como STS-n, donde n es un múltiplo de 51.84 Mbps.

STS-3cSeñal de transporte síncrono de nivel 3, concatenada.

Formato SONET que especifica la estructura de trama para las líneas de 155.52 Mbps que se usanpara transportar celdas ATM.

STUNTúnel serial.

Característica del router que permite que dos dispositivos compatibles con SDLC o HDLC seconecten entre sí a través de una topología multiprotocolo arbitraria (usando routers Cisco) enlugar de hacerlo a través de un enlace serial directo.

SubáreaParte de una red SNA que está compuesta por un nodo de subárea y cualquier enlace y nodos peri-féricos conectados.

SubcanalEn terminología de banda ancha, una subdivisión basada en frecuencias que crea un canal de co-municaciones individual.

Subcapa físicaVer PHY.

SubinterfazUna de las interfaces virtuales de una sola interfaz física.

Subred1) En redes IP, una red que comparte una dirección de subred en particular. Las subredes son redessegmentadas de forma arbitraria por un administrador de red para suministrar una estructura de en-rutamiento jerárquica, de múltiples niveles, que resguarda, al mismo tiempo la subred de la com-plejidad del direccionamiento de las redes conectadas. Ver también dirección IP, dirección de sub-red y máscara de subred.

2) En redes OSI, un conjunto de ES e IS bajo el control de un solo dominio administrativo y queusa un solo protocolo de acceso de red.

SubvectorSegmento de datos de un vector en un mensaje SNA. Un subvector está compuesto por un campode longitud, una clave que describe el tipo de subvector y datos específicos del subvector.

Glosario 421

Sumarización de rutaConsolidación de rutas publicadas en OSPF e IS-IS. En OSPF, esto provoca que se publique unsolo resumen de ruta para las otras áreas a través de un router de borde de área.

Super Frame (Super trama)Ver SF.

Suplantación de identidad1) Esquema que usan los routers Cisco para hacer que un host considere una interfaz como si estu-viera activada y permitiera una sesión. El router de suplantación envía respuestas a los mensajes deactividad del host para convencerlo de que la sesión todavía existe. La suplantación de identidad esútil para los entornos de enrutamiento como DDR, en el que un enlace conmutado por circuito sedesactiva cuando no hay tráfico que se deba enviar a través de él para ahorrarse los gastos de lla-mada. Ver también DDR.

2) El acto ilegal por parte de un paquete de indicar que proviene de una dirección de la cual real-mente no se envió. La suplantación de identidad (spoofing) está diseñada para frustrar los meca-nismos de seguridad de la red, por ejemplo, filtros y listas de acceso.

Supresión del código ceroEsquema de codificación de línea que se usa para la temporización de transmisión. La supresiónde la línea cero sustituye un uno en el séptimo bit de una cadena de ocho ceros consecutivos.

SURAnetRed de Asociaciones de Investigación de Universidades del sudeste.

Red que conecta universidades y otras organizaciones del sudeste de los Estados Unidos deNorteamérica. SURAnet, originalmente fundada por NSF y que formaba parte de NSFNET, ahoraforma parte de BBN Planet.

Sustitución de 8 ceros binariosVer B8ZS.

Sustitución de 8 ceros bipolarVer B8ZS.

SVCCircuito virtual conmutado.

Circuito virtual que se establece de forma dinámica a pedido y que se interrumpe cuando la trans-misión se completa. Los SVC se utilizan cuando la transmisión de datos es esporádica.

Al circuito virtual conmutado se lo conoce como conexión virtual conmutada en terminología deATM.

Switch1) Dispositivo de red que filtra, reenvía o inunda tramas basándose en la dirección destino de cadatrama. El switch opera en la capa de enlace de datos del modelo OSI.

2) Término general que se aplica a un dispositivo electrónico o mecánico que permite que se es-tablezca una conexión según sea necesario y que se termine cuando ya no haya ninguna sesión quese deba mantener.

Switch de grupo de trabajo CatalystSerie de los switches de grupo de trabajo de Cisco que mejoran el rendimiento de red de los gru-pos de trabajo cliente/servidor Ethernet. El switch de grupo de trabajo Catalyst integra las mejoras


de software para administración de red y proporciona una interfaz de 100 Mbps a los servidores yestaciones de trabajo Ethernet a escritorio dedicadas.

Switch de paquetesDispositivo WAN que dirige paquetes a lo largo de la ruta más eficiente y permite que múltiplesconexiones compartan el canal de comunicaciones.

Un switch de paquetes también es conocido como nodo de switch de paquetes (PSN) y anterior-mente se lo conocía como procesador de mensajes de la interfaz (IMP).

Switch de tramaVer switch LAN.

Switch LANSwitch de alta velocidad que envía paquetes entre segmentos de enlace de datos. La mayoría delos switches LAN envían tráfico basándose en las direcciones MAC. Esta variedad de switch LANa veces de denomina switch de trama. Los switches LAN a menudo se clasifican de acuerdo con elmétodo de envío de tráfico: conmutación de paquetes por método de corte y conmutación de pa-quetes por almacenamiento y envío. Los switches multicapas son un subconjunto inteligente de losswitches LAN. Un ejemplo de un switch LAN es el Cisco Catalyst 5000. Comparar con switchmulticapa.

Switch multicapaSwitch que filtra y envía paquetes basándose en direcciones MAC y direcciones de red. Un sub-conjunto de un switch LAN. El Catalyst 6500 es un ejemplo de switch multicapa. Comparar conswitch LAN.

Switch Token Ring Catalyst 1600Switch Token Ring de Cisco que brinda segmentos LAN full-duplex dedicados a servidores indi-viduales y otras estaciones de trabajo que requieren acceso de conmutación de alta velocidad. ElCatalyst 1600 proporciona hasta 12 interfaces Token Ring conmutadas y conmutación de latenciabaja entre servidores y clientes a través de un backbone.

SwitchVisionSoftware de administración de red Cisco basado en SNMP, que se ejecuta en Microsoft Windows,que suministra un conjunto de herramientas poderoso para administrar toda una red, incluyendoswitches, hubs, routers y puentes. SwitchVision puede detectar y asignar automáticamentecualquier dispositivo SNMP de la red y mostrar el estado de los dispositivos de red. SwitchVisionpermite que los administradores de red establezcan umbrales de eventos, activen acciones cuandose producen condiciones de error y establezcan tablas y gráficos personalizados para visualizarvariables críticas de la red.

SysgenGeneración de sistema.

Proceso por el cual se definen los recursos de una red.

T1Servicio de portadora de WAN digital. T1 transmite datos con formato DS-1 a 1.544 Mbps a travésde la red de conmutación telefónica, usando codificación AMI o B8ZS. Comparar con E1.

T1 canalizadoEnlace de acceso que opera a 1.544 Mbps y está subdividido en 24 canales (23 canales B y 1 canalD) de 64 Kbps cada uno. Los canales individuales o grupos de canales se conectan con los diferen-tes destinos. Admite DDR, Frame Relay y X.25. Comparar con E1 canalizado.

Glosario 423

El T1 canalizado también es conocido como fraccional T1.

T1 fraccionalVer T1 canalizado.

T3Servicio de portadora de WAN digital. T3 transmite datos con formato DS-3 a 44.736 Mbps através de la red de conmutación telefónica. Comparar con E3.

Tabla de enrutamientoTabla que se guarda en un router o en algún otro dispositivo de internetworking que ayuda a iden-tificar las rutas hacia destinos de red en particular y, en algunos casos, las métricas asociadas conesas rutas.

TAC1) Controlador de acceso de terminales. Host Internet que acepta conexiones de terminal de líneasde acceso telefónico.

2) Centro de asistencia técnica. Los TAC de Cisco suministran asistencia técnica a los socios yusuarios finales, y conforman el hub de soporte global de Cisco.

TACACSSistema de control de acceso del controlador de acceso a terminal.

Protocolo de autenticación, desarrollado por la comunidad DDN, que suministra autenticación de acceso remoto y servicios relacionados, por ejemplo, registro de eventos. Las contraseñas deusuarios se administran en una base de datos central en lugar de routers individuales, lo cualbrinda una solución de seguridad de red fácilmente escalable.

TACACS+Sistema plus de control de acceso del controlador de acceso a terminal.

Mejora de TACACS patentada por Cisco. Suministra soporte adicional para autenticación, autori-zación y contabilidad.

Taladro de percusiónHerramienta que semeja un taladro eléctrico de gran tamaño, utilizada para perforar la mam-postería. Mientras gira, el taladro golpea rápidamente.

Tamaño de ventanaCantidad de mensajes que se pueden transmitir mientras se espera un acuse de recibo.

Tarjeta de accesoTarjeta de E/S del switch ATM LightStream 2020. Junto con las tarjetas de línea asociadas, las tar-jetas de acceso brindan servicios de transferencia de datos para el switch usando interfaces físicas,por ejemplo, OC-3c. El switch LightStream 2020 puede tener hasta 10 tarjetas de acceso.

También se conocen las tarjetas de acceso como tarjeta paddle.

Tarjeta de acceso de emulación de circuitoVer CEMAC.

Tarjeta de enlace troncalTarjeta de línea de un switch ATM LightStream 2020 que se configura para comunicarse con otrosswitches ATM. Las tarjetas de enlace troncal LightStream 2020 brindan diversos tipos de interfaz.CLC, LSC y MSC pueden operar como tarjetas de enlace troncal.


Tarjeta de extremoTarjeta de línea de un switch ATM LightStream 2020 que se configura para comunicarse con losdispositivos que están fuera de la red ATM. Las tarjetas de extremo brindan interfaces Ethernet,FDDI, envío de trama, Frame Relay, OC-3c y UNI.

Tarjeta de funciónTarjeta de línea o una tarjeta NP de un switch ATM LightStream 2020.

Tarjeta de interfaz de redVer NIC.

Tarjeta de líneaTarjeta del switch ATM LightStream 2020 que, junto con su tarjeta de acceso, suministra serviciosI/O al switch. Hay cuatro tipos de tarjetas de línea: CLC, LSC, MSC y PLC.

Tarjeta de línea de baja velocidadVer LSC.

Tarjeta de línea de celdaVer CLC.

Tarjeta de línea de paquetesVer PLC.

Tarjeta de línea de velocidad mediaVer MSC.

Tarjeta de procesador de redVer tarjeta NP.

Tarjeta de switchTarjeta del switch ATM LightStream 2020 que administra la comunicación entre las demás tarjetasdel switch. Cada switch LightStream 2020 tiene una o dos tarjetas de switch. La segunda tarjeta,en caso de que la hubiera, sirve como respaldo de la primera.

Tarjeta NPTarjeta de procesador de red.

Recurso de cálculo y almacenamiento informático principal del switch ATM LightStream 2020.Cada switch LightStream 2020 tiene una o dos NP. La segunda tarjeta, en caso de que la hubiera,sirve como respaldo de la primera. Cada NP se asocia con una unidad de disquete para cargar soft-ware y una unidad de disco duro para guardar datos de software y configuración. Cada NP tambiéntiene una tarjeta de acceso que suministra un puerto Ethernet.

Tarjeta paddleVer tarjeta de acceso.

Tasa garantizadaEl rendimiento de datos a largo plazo, en bits o celdas por segundo, que una red ATM se compro-mete a admitir en condiciones de red normales. La velocidad garantizada se asigna en un 100 porciento; la cantidad total se deduce del ancho de banda troncal total a lo largo de la ruta del circuito.Comparar con velocidad excesiva y velocidad máxima.

TAXI 4B/5BInterfaz de transmisor/receptor asíncrono transparente de 4 bytes/5 bytes.

Glosario 425

Esquema de codificación usado por las redes LAN FDDI así como también por las ATM. Admitevelocidades de hasta 100 Mbps a través de fibra multimodo. El TAXI es el chipset que genera co-dificación de 4B/5B a través de fibra multimodo.

TCPProtocolo de control de transmisión.

Protocolo de capa de transporte orientado a conexión que suministra transmisión de datos full-du-plex confiable. TCP forma parte de la pila del protocolo TCP/IP.

TCP/IPProtocolo de control de transmisión/Protocolo Internet.

Nombre común para el conjunto de protocolos desarrollado por el DoD de E.U. en la década de1970 para permitir la creación de redes interconectadas a nivel mundial. El TCP y el IP son los dosprotocolos más conocidos del conjunto.

TCSSistema de verificación y control.

Subsistema alimentado de forma independiente que se usa para inicializar, monitorear y diagnos-ticar los problemas del hardware en un switch ATM LightStream 2020. El TCS está compuesto porun hub que reside en la tarjeta de switch y esclavos en los NP y las tarjetas de línea.

TCUUnidad de acoplamiento del enlace troncal.

En las redes Token Ring, dispositivo físico que permite que una estación se conecte al cable delenlace troncal.

TDMMultiplexación por división temporal.

Técnica por la cual se puede asignar ancho de banda a la información de múltiples canales en unúnico cable basándose en las ranuras de tiempo asignadas previamente. El ancho de banda seasigna a cada canal sin tener en cuenta si la estación tiene datos para transmitir. Comparar conATDM, FDM y multiplexación estadística.

TDRReflectómetro de dominio de tiempo.

Dispositivo capaz de enviar señales a través de un medio de red para verificar la continuidad, longi-tud y otros atributos del cable. Los TDR se usan para detectar problemas en la capa física de la red.

TelcoAbreviatura de compañía telefónica.

TelecomunicacionesTérmino que se refiere a las comunicaciones (generalmente se refieren a sistemas informáticos) através de la red telefónica.

Telecomunicaciones del Sindicato Internacional de TelecomunicacionesVer ITU-T.


Telecomunicaciones por satéliteUso de satélites en órbita para retransmitir datos entre múltiples estaciones terrenas. Las telecomu-nicaciones por satélite suministran ancho de banda alto y un costo que no tiene relación con la dis-tancia entre las estaciones terrestres, los retardos de propagación prolongados o la capacidad debroadcast.

TelefoníaCiencia que se ocupa de la conversión del sonido en señales eléctricas y de transmitirlas entre pun-tos ampliamente distribuidos.

TeleposteVara telescópica con un gancho en la punta. Se usa para tender rápidamente un cable a través de untecho o en un ático.

Televisión por antena comunitariaEn la actualidad se conoce como CATV. Ver CATV.

Televisión por cableVer CATV.

TelexServicio de teleimpresor que permite que los abonados envíen mensajes a través de la PSTN.

TelnetComando que se usa para verificar el software de capa de aplicación entre las estaciones origen ydestino. Mecanismo de prueba más completo disponible.

TempestEstándar militar de E.U. Los productos electrónicos que adhieren a la especificación Tempestestán diseñados para soportar los EMP.

Teoría de colasPrincipios científicos que rigen la formación o la falta de formación de congestión en una red ouna interfaz.

TeredoMecanismo cuyos datagramas de túneles IPv6 están dentro del UDP IPv4. Este método estableceel uso de la dirección privada IPv4 y la NAT IPv4 negativa.

Teredo fue antes conocido como Shipworm.

TermidIdentificación del controlador de clúster SNA. Termid es significativo sólo para las líneas conmu-tadas.

Termid también se conoce como Xid.

Terminación localVer acuse de recibo local.

TerminadorDispositivo que suministra resistencia eléctrica al final de una línea de transmisión para absorberseñales en la línea, y así evita que reboten y sean recibidas nuevamente por las estaciones de red.

Glosario 427

TerminalDispositivo simple en el que los datos se pueden introducir o recuperar desde una red.Generalmente, las terminales tienen un monitor y un teclado pero no tienen ningún procesador niunidad de disco local.

Terminal de datos preparadaVer DTR.

TFTPProtocolo de transferencia de archivos trivial.

Versión simplificada del FTP que permite que los archivos se transfieran desde un equipo a otro através de una red.

THEncabezado de transmisión.

Encabezado SNA que se adjunta a la unidad de información básica (BIU) SNA. El TH usa uno deuna cantidad de formatos de encabezado SNA disponibles.

THC sobre X.25Característica que suministra compresión de encabezado TCP/IP a través de enlaces X.25, parafines de eficiencia del enlace.

THEnetRed de Educación Superior de Texas.

Red regional que abarca más de 60 instituciones académicas y de investigación en el área de Texas(Estados Unidos).

ThinnetTérmino que se usa para definir una versión del estándar IEEE 802.3 10BASE2 que usa un cablemás económico y delgado. Comparar con Cheapernet.

TIAAsociación de la Industria de las Telecomunicaciones.

Organización que desarrolla estándares relacionados con las tecnologías de telecomunicaciones.TIA y EIA, de forma conjunta, han formalizado estándares como EIA/TIA-232, con respecto a lascaracterísticas eléctricas de la transmisión de datos.

Tiempo de espera terminadoEvento que se produce cuando un dispositivo de red espera recibir una comunicación de otro dis-positivo de red dentro de un período determinado, pero no ocurre. El tiempo de espera terminadoresultante suele hacer que la información se vuelva a transmitir o que la sesión entre los dos dis-positivos se disuelva.

Tiempo de establecimiento de llamadaEl tiempo que se requiere para establecer una llamada conmutada entre dispositivos DTE.

Tiempo de existenciaVer TTL.

Tiempo de ida y vueltaVer RTT.


TierraPunto de contacto eléctricamente neutro.

Tipo de código de líneaUno de los múltiples esquemas de codificación que se usan en las líneas seriales para mantener laintegridad y fiabilidad de los datos. El proveedor de servicios determina el tipo de código de línea.

Tipo de servicioVer TOS.

Tipo, Longitud, ValorVer TLV.

TKIPProtocolo de integridad de clave temporal.

El TKIP es una característica utilizada para asegurar la integridad en la transmisión inalámbricade datos.

TLVTipo, Longitud, Valor.

TLV está en las PDU de IS-IS y ES-IS que contienen campos de longitud variable, según la fun-ción de la PDU. Cada campo contiene un código tipo y longitud seguidos por los valores adecua-dos. Estos campos se identifican por un octeto de tipo (T), un octeto de longitud (L) y “L” octetosde valor (V). El campo Tipo indica el tipo de ítems en el campo Valor. El campo Longitud indicala longitud del campo Valor. El campo Valor es la porción de datos del paquete. No todas las im-plementaciones de routers admiten todos los TLV pero se les requiere ignorar y retransmitir lostipos ignorados.

TN3270Software de emulación de terminal que permite que una terminal aparezca ante un host IBM comoterminal 3278 Modelo 2. La implementación Cisco TN3270 permite que los usuarios accedan a unhost IBM sin usar ningún servidor IBM especial ni ningún host UNIX que actúe como servidor.

TNotifyNotificación de tiempo.

Especifica cuán a menudo SMT inicia broadcasts de notificación de vecinos.

TokenTrama que contiene información de control. La posesión del token permite que un dispositivotransmita datos en la red.

Token RingLAN de entrega de token desarrollada y apoyada por IBM. Las Token Ring operan a 4 ó 16 Mbpsmediante una topología de anillo. Similar a IEEE 802.5.

Tolerancia a la variación de retardos de las celdasVer CDVT.

Tolerancia de ráfagaVer BT.

TOPProtocolo de oficina técnica.

Glosario 429

Arquitectura basada en OSI desarrollada para comunicaciones de oficina.

TopologíaDisposición física de los nodos y medios de red dentro de una estructura de networking empresarial.

Topología de anilloTopología de red que consta de un conjunto de repetidores conectados entre sí mediante enlaces detransmisión unidireccionales para formar un solo bucle cerrado. Cada estación de la red se conectaa la red en el repetidor. Aunque lógicamente están organizadas en anillo, las topologías de anillo amenudo están organizadas en una estrella de bucle cerrado. Comparar con topología de bus,topología en estrella y topología en árbol.

Topología de busArquitectura LAN lineal en la que las transmisiones procedentes de las estaciones de red se propa-gan a lo largo del medio y son recibidas por todas las demás estaciones. Comparar con topologíade anillo, topología en estrella y topología en árbol.

Topología en árbolTopología LAN similar a la topología bus, salvo que las redes en árbol pueden tener ramifica-ciones con múltiples nodos. Las transmisiones desde una estación atraviesan la longitud del medioy son recibidas por todas las otras estaciones. Comparar con topología de bus, topología de anillo ytopología en estrella

Topología en estrellaTopología LAN en la que los puntos de terminación de una red se conectan a un switch centralcomún mediante enlaces punto a punto. Topología de anillo que está organizada como estrella im-plementa una estrella de loop cerrado unidireccional en lugar de enlaces punto a punto. Compararcon topología de bus, topología de anillo y topología de árbol.

Topología en estrella jerárquicaTopología en estrella extendida en la que un hub central se conecta a través de cableado verticalcon otros hubs que dependen de éste.

Tormenta de broadcastEvento de red indeseable en el que se envían muchos broadcasts de manera simultánea a través detodos los segmentos de la red. Una tormenta de broadcast hace uso sustancial del ancho de bandade la red y, por lo general, causa retrasos mayores que los límites de tiempo.

ToSTipo de servicio.

Campo dentro de un datagrama IP que indica la forma en que se debe administrar el datagrama.

TPCControl de energía de transmisión.

TPC es una especificación IEEE 802.11h que ha sido utilizada en la industria de los teléfonoscelulares por años. TCP configura la energía de transmisión del punto de acceso y el adaptador delcliente para que permitan diferentes tamaños de área de cobertura y conservar la vida de la batería.

Trabajador a distanciaDistribución de trabajo en que los empleados disfrutan de flexibilidad limitada en el lugar yhoras de trabajo. El traslado diario a un lugar central de trabajo es reemplazado por los enlacesen telecomunicaciones.


También se lo conoce como Sucursal de uno, teletraslado, traslado electrónico, teletrabajo o tra-bajo desde el hogar (WFH).

Trace routePrograma disponible en muchos sistemas que rastrea la ruta que un paquete toma hasta el destino.Se usa mayormente para depurar problemas de enrutamiento entre los hosts. También existe unprotocolo traceroute definido en RFC 1393.

Traductor de protocoloDispositivo de red o software que convierte un protocolo en otro protocolo similar.

TramaAgrupación lógica de información que se envía como una unidad de capa de enlace de datos através de un medio de transmisión. A menudo, se refiere al encabezado y a la información final,que se usan para la sincronización y el control de errores, que rodean a los datos del usuario con-tenidos en la unidad. Los términos datagrama, mensaje, paquete y segmento también se usan paradescribir las agrupaciones de información lógica en las diversas capas del modelo de referenciaOSI y en los diversos círculos tecnológicos.

Trama de exploraciónTrama enviada por un dispositivo de red en un entorno SRB para determinar cuál es la ruta óptimahacia otro dispositivo de red.

Trama pendienteCantidad máxima de tramas pendientes permitidas en cualquier momento en un servidor SNA PU 2.

Tramas sin numerarTramas HDLC que se usan para diversos fines de control y administración, incluyendo activar ydesactivar enlaces y especificación de modo.

TransacciónUnidad orientada a resultados del procesamiento de comunicación.

TransceptorVer MAU.

Transferencia de archivosAplicación de red de uso generalizado que permite mover archivos de un dispositivo de red a otro.

Transferencia, acceso y administración de archivosVer FTAM.

Transformada de FourierTécnica que se usa para evaluar la importancia de los diversos ciclos de frecuencia en un patrónde tiempo.

Transmisión analógicaTransmisión de señal a través de cables o por aire en la que la información se transmite a través deuna variante de alguna combinación de amplitud, frecuencia y fase de señal.

Transmisión asíncronaTérmino que describe las señales digitales que se transmiten sin una temporización precisa. Dichasseñales suelen tener distintas frecuencias y relaciones de fase. Las transmisiones asíncronas gene-ralmente encapsulan caracteres individuales en bits de control (denominados bits de inicio y parada) que designan el comienzo y el final de cada carácter. Comparar con transmisión isócrona,transmisión plesiócrona y transmisión síncrona.

Glosario 431

Transmisión de arranque-paradaVer transmisión asíncrona.

Transmisión externa del reloj serialVer SCTE.

Transmisión isócronaTransmisión asíncrona a través de un enlace de datos síncrono. Las señales isócronas requierenuna velocidad de bits constante para un transporte confiable. Comparar con transmisión asíncrona,transmisión plesiócrona y transmisión síncrona.

Transmisión paralelaMétodo de transmisión de datos en el que los bits de un carácter de datos se transmiten simultánea-mente a través de una serie de canales. Comparar con transmisión serial.

Transmisión plesiócronaTérmino que describe las señales digitales que se originan de distintos relojes con precisión y estabili-dad comparables. Comparar con transmisión asíncrona, transmisión isócrona y transmisión síncrona.

Transmisión serialMétodo de transmisión de datos en el que los bits de un carácter de datos se transmiten secuencial-mente a través de un solo canal. Comparar con transmisión paralela.

Transmisión síncronaTérmino que describe las señales digitales que se transmiten con temporización precisa. Dichasseñales tienen la misma frecuencia, con caracteres individuales en bits de control (denominadosbits de inicio y bits de parada) que designan el comienzo y el fin de cada carácter. Comparar contransmisión asíncrona, transmisión isócrona y transmisión plesiócrona.

Transmisor asíncrono transparente/Inte receptorVer TAXI 4B/5B.

Transmisor/Receptor asíncrono universalVer UART.

TRANSPACGran red de datos provista por France Telecom.

Transporte de secuencia rápidaVer FST.

Transporte de vector de administración de redVer NMVT.

Transporte de área localVer LAT.

Transporte SDLCCaracterística del router Cisco mediante el cual entornos dispares pueden integrarse en una solared de alta velocidad que abarca a toda la organización. El tráfico SDLC nativo se puede enviar através de enlaces seriales punto a punto con tráfico de otros protocolos multiplexado por los mis-mos enlaces. Los routers Cisco también pueden encapsular tramas SDLC dentro de datagramas IPpara su transporte a través de redes arbitrarias (que no sean SDLC). Reemplaza el sondeo de proxy.


TrapMensaje que envía un agente SNMP a un NMS, consola o terminal para indicar que se ha pro-ducido un hecho significativo, como una condición definida específicamente o un umbral que seha alcanzado.

Tráfico garantizadoTráfico dentro de la velocidad garantizada que se especifica para el PVC. La red no debe descartareste tráfico en condiciones de red normales.

Tráfico no garantizadoTráfico dentro de la velocidad excedida (la diferencia entre la velocidad garantizada y la velocidadmáxima) para una VCC. Este tráfico puede ser descartado por la red si se produce congestión.

Tráfico rotuladoCeldas ATM que tienen el bit CLP establecido en 1. Si la red está congestionada, el tráfico rotu-lado se puede descartar para garantizar el envío de tráfico de alta prioridad.

Al tráfico rotulado también se lo conoce como elegible para descarte (DE).

TráilerInformación de control que se agrega después de los datos al encapsular los datos para su trans-misión por la red. Comparar con encabezado.

TSUA unidad de switch.

Subsistema en cada tarjeta de línea de switch ATM LightStream 2020 que adjunta información deenrutamiento ATM a las celdas salientes y envía las celdas a la tarjeta de switch.

TTLTiempo de existencia

Campo en un encabezado IP que indica durante cuánto tiempo se considera que el paquete es válido.

TUDEnlace troncal arriba-abajo.

Protocolo que se usa en las redes ATM que monitorea los enlaces troncales y detecta cuando unose desactiva o se activa. Los switches ATM envían mensajes de prueba regularmente para cadapuerto troncal para probar la calidad de la línea del enlace troncal. Si un enlace troncal pierde unacantidad determinada de estos mensajes, TUD declara que el enlace troncal está desactivado.Cuando un enlace troncal se vuelve a activar, TUD reconoce que el enlace troncal se ha activado,declara que el enlace troncal está activado y lo vuelve a incorporar al servicio.

TunnelingArquitectura diseñada para suministrar los servicios necesarios para implementar cualquier es-quema de encapsulamiento punto a punto estándar.

TUVAgencia de prueba alemana que certifica los productos según los estándares de seguridad europeos.

TWSSimultánea de dos vías

Modo que permite que un router configurado como estación SDLC primaria logre una mejor uti-lización de una línea serial full-duplex. Cuando se habilita TWS en un entorno multipunto, el

Glosario 433

router puede sondear a una estación secundaria y recibir datos de esa estación mientras envía orecibe datos desde una estación secundaria distinta en la misma línea serial.

Título de entidad de redVer NET.

Túnel serialVer STUN.

Túneles IPv6 a través de IPv4Ver 6a4.

UARTTransmisor/Receptor asíncrono universal.

Circuito integrado, conectado al bus paralelo de un equipo, que se usa para comunicaciones seria-les. El UART realiza la conversión entre señales seriales y paralelas, suministra temporización detransmisión y coloca los datos enviados hacia o desde el equipo en búferes.

Ubicación del pinRanura codificada en color en un panel de conexión. Los hilos de los cables se colocan por presiónusando una herramienta de punción para realizar una conexión eléctrica que permita que la redfuncione.

UBRVelocidad de bit no especificada.

Clase de QOS (calidad de servicio) definida por el ATM Forum para redes ATM. UBR permite quese envíe cualquier cantidad de datos hasta un máximo especificado a través de la red, pero noexiste ninguna garantía en términos de retardo y velocidad de pérdida de la celda. Comparar convelocidad de bits disponible (ABR), CBR y VBR.

UDPProtocolo datagramas usuario (User Datagram Protocolo).

Protocolo de la capa de transporte no orientado a conexión de la pila de protocolos TCP/IP. ElUDP es un protocolo simple que intercambia datagramas sin acuses de recibo ni garantía de envío,que requiere que el procesamiento de errores y la retransmisión sean administrados por otros pro-tocolos. El UDP se define en la RFC 768.

ULUnderwriters Laboratories.

Agencia independiente dentro de los Estados Unidos que prueba la seguridad de los productos.

ULPProtocolo de capa superior.

Protocolo que opera en una capa superior del modelo de referencia OSI, relativa a otras capas. ElULP a veces se usa para referirse al siguiente protocolo de nivel más alto (relativo a un protocoloen particular) de la pila de protocolo.

Underwriters LaboratoriesVer UL.


UNIInterfaz de red de usuario

Especificación de ATM Forum que define un estándar de interoperabilidad para la interfaz entreproductos basados en ATM (un router o un switch ATM) ubicados en una red privada y losswitches ATM ubicados dentro de las redes públicas de las empresas telefónicas. También se usapara describir conexiones similares en redes Frame Relay.

UnicastMensaje que se envía a un solo destino de red. Comparar con broadcast y multicast.

Unidad de acceso al medioVer MAU.

Unidad de acceso de estación múltipleVer MSAU.

Unidad de acoplamiento del enlace troncalVer TCU.

Unidad de conexión al medioVer MAU.

Unidad de datos de protocoloVer PDU.

Unidad de datos del protocolo de puentesVer BPDU.

Unidad de mensajesUnidad de datos procesados por cualquier capa de red.

Unidad de petición/respuestaVer RU.

Unidad de red direccionableVer NAU.

Unidad de reemplazo de campoVer FRU.

Unidad de servicio de canalVer CSU.

Unidad de servicio de datosVer DSU.

Unidad de servicio de datos ATMVer ADSU.

Unidad fan-outDispositivo que permite que múltiples dispositivos de una red se comuniquen usando una solaconexión a la red.

Unidad físicaVer PU.

Glosario 435

Unidad Física 2Ver PU 2.



Unidad física downstreamVer DSPU.

Unidad lógicaVer LU.

Unidad lógica 6.2.Ver LU 6.2.

Unidad máxima de transmisiónVer MTU.

UNIXSistema operativo desarrollado en 1969 en Bell Laboratories. UNIX ha atravesado varias iteracio-nes desde su concepción. Esto incluye UNIX 4.3 BSD (Distribución Estándar de Berkeley), desa-rrollado en la universidad de California en Berkeley, y UNIX System V, versión 4.0, desarrolladopor AT y T.

UPCControl de parámetros de uso. Ver políticas con respecto al tráfico.

UPSSistema de alimentación ininterrumpida.

Dispositivo de respaldo diseñado para suministrar una fuente de alimentación ininterrumpida encaso de que se produzca un corte de energía eléctrica. Generalmente se instalan en todos los servi-dores de archivo y hubs de cableado.

URLLocalizador de Recursos Universal.

Esquema de direccionamiento estandarizado para acceder a documentos de hipertexto y otros ser-vicios usando un navegador Web.

USENETIniciada en 1979, una de las redes cooperativas más antiguas y grandes, con más de 10000 hosts yun cuarto de millón de usuarios. Su servicio principal es un servicio de conferencia distribuido de-nominado noticias.

UTPPar trenzado no blindado.

Medio de cableado de cuatro pares que se usa en diversas redes. El UTP no requiere el espacio fijoentre conexiones que es necesario en el caso de conexiones de tipo coaxial. Hay cinco tipos de cableado UTP que se usan habitualmente: cableado de Categoría 1, cableado de Categoría 2, ca-bleado de Categoría 3, cableado de Categoría 4 y cableado de Categoría 5. Comparar con STP.


V.24Estándar de la UIT-T para una interfaz de capa física entre el DTE y el DCE. Esencialmente, V.24es igual al estándar EIA/TIA-232.

V.35Estándar de la UIT-T que describe un protocolo de la capa física, síncrono, que se utiliza para lascomunicaciones entre un dispositivo de acceso de red y una red de paquetes. V.35 es el estándar deuso más generalizado en Estados Unidos y en Europa, y se recomienda para velocidades de hasta48 kbps.

V.42Protocolo estándar de la UIT-T para corrección de errores que usa LAPM.

Valor de tierra de referencia de la señalPunto de referencia que usan los dispositivos informáticos para medir y comparar las señales digi-tales entrantes. Punto de referencia que usan los dispositivos informáticos para medir y compararlas señales digitales entrantes.

VBRVelocidad variable de bits.

Clase de QOS (calidad de servicio) definida por el ATM Forum para redes ATM. VBR se subdi-vide en clase de tiempo real (RT) y clase de tiempo no real (NRT). VBR (RT) se usa para conexio-nes en las que existe una relación de temporización fija entre muestras. VBR (NRT) es usa paraconexiones en las que no existe ninguna relación de temporización fija entre muestras, pero quenecesitan de una QOS (calidad de servicio) garantizada. Comparar con ABR, CBR, y UBR.

VCCircuito virtual.

Circuito lógico que se crea para garantizar la comunicación confiable entre dos dispositivos de red.Un circuito virtual se define por un par VPI/VCI, y puede ser permanente (PVC) o conmutado(SVC). Los circuitos virtuales se usan en Frame Relay y X.25. En ATM, un circuito virtual se de-nomina canal virtual.

VCCConexión de canal virtual.

Circuito lógico, conformado por VCL, que transporta datos entre dos puntos finales de una red ATM.

La conexión de canal virtual también se conoce como conexión de circuito virtual.

VCIIdentificador de canal virtual.

Campo de 16 bits en el encabezado de una celda ATM. El VCI, junto con el VPI, se usan paraidentificar el siguiente destino de una celda a medida que atraviesa una serie de switches ATMhacia su destino. Los switches ATM usan los campos VPI/VCI para identificar el siguiente VCL dered que necesita una celda para transitar hacia su destino final. La función del VCI es similar a lade DLCI en Frame Relay. Comparar con DLCI.

VCLEnlace de canal virtual.

Conexión entre dos dispositivos ATM. Una VCC está formado por uno o más VCL.

Glosario 437

VCNNúmero del circuito virtual.

Campo de 12 bits en un encabezado PLP X.25 que identifica un circuito virtual X.25. Permite queDCE determine cómo enrutar un paquete a través de la red X.25.

Al número de circuito virtual también se lo conoce como identificador de canal lógico (LCI) onúmero de canal lógico (LCN).

Vecino activo más cercano ubicado arribaVer NAUN.

VectorSegmento de datos de un mensaje SNA. Un vector está compuesto por un campo de longitud, unaclave que describe el tipo de vector y datos específicos del vector.

Velocidad de bit constanteVer CBR.

Velocidad de bit no especificadaVer UBR.

Velocidad de bitsVelocidad a la cual se transmiten los bits, generalmente expresada en bits por segundo (bps).

Velocidad de bits disponibleVer ABR.

Velocidad de celda permitidaVer ACR.

Velocidad de celda sustentableVer SCR.

Velocidad de colaValor que se asocia con uno o más circuitos virtuales y que define la velocidad a la que un circuitovirtual individual transmite datos hacia el extremo remoto. Cada velocidad de cola representa unaparte del ancho de banda general disponible en un enlace ATM. El ancho de banda combinado detodas las velocidades de cola configuradas no debe exceder el ancho de banda total disponible.

Velocidad de información suscritaVer CIR.

Velocidad de medioRendimiento máximo del tráfico para un tipo de medio en particular.

Velocidad de muestreoVelocidad a la cual se toman muestras de la amplitud de una forma de onda en particular.

Velocidad excesivaTráfico que excede la velocidad garantizada para una conexión determinada. Específicamente, lavelocidad excedida es igual a la velocidad máxima menos la velocidad garantizada. El tráfico exce-dido se envía sólo si los recursos de la red están disponibles. El tráfico excedido se puede descartardurante los períodos de congestión. Comparar con velocidad garantizada y velocidad máxima.


Velocidad máximaRendimiento máximo total de datos que se permite en un circuito virtual determinado, igual a lasuma del tráfico garantizado y no garantizado de la fuente de tráfico. Los datos no garantizados sepueden descartar si la red se congestiona. La velocidad máxima, que no puede exceder la veloci-dad media, representa el rendimiento de datos más alto que el circuito virtual puede enviar, medidoen bits o celdas por segundo. Comparar con velocidad excedida y velocidad garantizada.

Velocidad mínima de celdaVer MCR.

Velocidad picoVelocidad máxima, en kilobits por segundo, a la que puede transmitir un circuito virtual.

Velocidad pico de celdaVer PCR.

Velocidad promedioVelocidad promedio, en kilobits por segundo (kbps), a la cual un circuito virtual determinado rea-liza la transmisión.

Velocidad variable de bitsVer VBR.

VentanaLa cantidad de octetos que el receptor está dispuesto a aceptar.

Ventana deslizanteSe refiere al hecho de que el tamaño de la ventana se negocia de formar dinámica durante lasesión TCP.

VentiladorVentilador de refrigeración interno que se usa en el chasis de routers y switches de gran tamaño,como ser, Cisco AGS+, Cisco 7000 y LightStream 2020.

VERSCampo de número de versión en un datagrama IP.

Video a pedido (Video On Demand).Ver VoD.

VINESServicio de red virtual integrado.

NOS desarrollado y comercializado por Banyan Systems.

VINES BanyanVer VINES.

VIP1) Procesador de interfaz versátil. Tarjeta de interfaz que se usa en los routers Cisco de las series7000 y 7500. El VIP suministra conmutación multicapa y ejecuta el software Cisco IOS.

2) IP virtual. Función que permite la creación de distintos grupos de trabajo IP conmutados lógica-mente a través de los puertos de switch de un Catalyst 5000 que ejecuta el software VirtualNetworking Services.

Glosario 439

Virtual Networking ServicesSoftware de algunos switches Catalyst 5000 que permite que se definan múltiples grupos de tra-bajo a través de switches y suministra segmentación de tráfico y control de acceso.

VLANLAN virtual.

Grupo de dispositivos en una LAN que se configuran (usando software de administración) demodo que se puedan comunicar como si estuvieran conectados al mismo cable cuando, de hecho,están ubicados en una cantidad de segmentos LAN distintos. Dado que las VLAN se basan enconexiones lógicas y no físicas, son muy flexibles.

VLSMMáscara de subred de longitud variable.

Capacidad de especificar una máscara de subred distinta para el mismo número de red en distintassubredes. Las VLSM pueden ayudar a optimizar el espacio de dirección disponible.

VoDVideo a pedido (Video On Demand).

Sistemas que permiten a los usuarios seleccionar y mirar el contenido de un video a través de lared como parte de un sistema interactivo de televisión. Sistemas VOD son aquellos en los quetanto el contenido “stream” que permite ver mientras se descarga el video como el de “descarga”en el que el programa es traído íntegramente a un cuadro de configuración superior antes decomenzar la visualización.

VoIPVoz sobre IP.

La capacidad de llevar la voz normal estilo telefonía sobre una red basada en IP con funcionalidadparecida a POTS, fiabilidad y calidad de voz. VoIP habilita al router a llevar tráfico de voz (porejemplo: llamadas y faxes telefónicos) sobre una red IP. En VoIP, el DSP segmenta la señal de vozen tramas que luego se acoplan en grupos de dos y se guardan en paquetes de voz. Estos paquetesde voz se transportan usando IP en cumplimiento con la especificación ITU-T H.323.

VPCConexión de ruta virtual.

Agrupación de VCC que comparte una o más VPL contiguas.

VPIIdentificador de ruta virtual.

Campo de 8 bits en el encabezado de una celda ATM. El VPI, junto con el VCI, se usa para identi-ficar el siguiente destino de una celda a medida que atraviesa una serie de switches ATM hacia sudestino. Los switches ATM usan los campos VPI/VCI para identificar el siguiente VCL que nece-sita una celda para transitar hacia su destino final. La función del VPI es similar a la de DLCI enFrame Relay. Comparar con DLCI.

VPI/VCIIdentificador de ruta virtual/identificador de canal virtual.

Ver VCI y VPI.


VPLEnlace de ruta virtual.

Dentro de una ruta virtual, un grupo de VCL unidireccionales con los mismos puntos finales. Laagrupación de los VCL en los VPL reduce la cantidad de conexiones que se deben administrar, dis-minuyendo por lo tanto el costo y el tráfico de control. Un VPC está formado por uno o más VPL.

VRRPProtocolo de redundancia de router virtual.

VRRP es un fabricante neutral alternativo para HSRP y GLBP, que provee redundancia de routerpara el tráfico saliente al entorno de una LAN. El VRRP permite a un grupo de routers formar unsolo router virtual. Se elige un router para que maneje todas las solicitudes enviadas a la direcciónIP virtual. Un grupo VRRP tiene un router maestro y uno o más routers de respaldo.

VTAMMétodo de acceso por telecomunicaciones virtuales.

Conjunto de programas que controlan la comunicación entre las LU. VTAM controla la trans-misión de datos entre dispositivos conectados al canal y ejecuta funciones de enrutamiento.

VTP1) Protocolo de terminal virtual. Aplicación ISO para establecer una conexión de terminal virtual através de una red.

2) Protocolo de enlaces troncales VLAN. Protocolo de propiedad de Cisco que usa tramas de en-laces troncales de Capa 2 para comunicar la información de VLAN entre un grupo de switches ypara manejar el agregado, borrado y renombrado de las VLAN a través de la red desde un punto decontrol central.

WANRed de área extensa.

Red de comunicación de datos que sirve a usuarios dentro de un área geográficamente extensa y amenudo usa dispositivos de transmisión provistos por un servicio público de comunicaciones.Frame Relay, SMDS y X.25 son ejemplos de WAN.

WCSSistema de control inalámbrico.

El WCS permite la configuración centralizada de los controladores WLAN de Cisco junto con lospuntos de acceso livianos (modelo WLAN centralizado).

WDSServicios de dominio inalámbrico.

Punto de acceso que provee WDS en su LAN inalámbrica mantiene una caché de credencialespara dispositivos cliente capaces de CCKM en su LAN inalámbrica. Cuando un cliente conCCKM se traslada desde un punto de acceso a otro, el punto de acceso WDS envía las credencialesdel cliente al nuevo punto de acceso con la clave multicast. Sólo dos paquetes pasan ente el clientey el nuevo punto de acceso, y así acortan en gran medida el tiempo de reasociación.

WEPPrivacidad equivalente por cable.

Glosario 441

Mecanismo opcional de seguridad definido dentro del estándar 802.11 diseñado para hacer que laintegridad del enlace del dispositivo inalámbrico sea equivalente a la de un cable.

WFQCola equitativa ponderada

Método de puesta en cola que prioriza el tráfico interactivo a través de transferencias de archivopara garantizar tiempo de respuesta satisfactorio para aplicaciones de usuario común.

Wi-Fi AllianceWi-Fi Alliance ofrece certificación para la interoperabilidad entre fabricantes de productos 802.11.Auyda a comercializar la tecnología WLAN y fomenta la interoperabilidad entre fabricantes. Lacertificación incluye las tres tecnologías 802.11 RF y WPA.

WLANLAN inalámbrica

La LAN es la red inalámbrica de área local que permite una conexión a la red enre dos o más computadoras sin utilizar cables. Usa una comunicación radial para realizar la misma funcionali-dad que la de una LAN cableada.

WLSEMotor de solución de LAN inalámbrica

WLSE es una opción de CiscoWorks que permite una configuación centralizada y monitoreo delos puntos de acceso autónomos de Cisco Aironet y provee administración RF, detección de puntode acceso malicioso y detección de interferencia. Se utiliza con puntos de acceso autónomo en elmodelo de WLAN distributivo.

World Wide WebVer WWW.

WPAAcceso protegido Wi-Fi

WPA es un modelo de seguridad para las WLAN lanzadas en 2003 basadas en el estándar IEEE802.11i. Mejora de seguridad interoperable basada en estándares que incrementa sólidamente elnivel de protección de datos y el control de acceso para los sistemas LAN inalámbricos existentesy futuros. Se originó en el estándar IEEE 802.11i y será compatible en el futuro con él. WPA po-tencia el Protocolo de integridad de claves temporales (TKIP) para la protección de datos y 802.1Xpara la administración autenticada de claves.

WWWWorld Wide Web

Gran red de servidores de Internet la cual suministra servicios de hipertexto y otros a terminalesque ejecutan aplicaciones de clientes, como ser un navegador Web.

X.21Estándar de la UIT-T para la comunicación serial a través de líneas digitales síncronas. El proto-colo X.21 se utiliza principalmente en Europa y Japón.

X.21bisEstándar de la UIT-T que define el protocolo de capa física para la comunicación entre DCE yDTE en una red X.25. Equivalente virtualmente a EIA/TIA-232.


X.25Estándar de la UIT-T que define cómo se mantienen las conexiones entre DTE y DCE para el ac-ceso remoto de treminales y las comunicaciones informáticas en las PDN. X.25 especifica LAPB,un protocolo de enlace de datos, y PLP, un protocolo de capa de red. Frame Relay, en alguna me-dida, ha suplantado a X.25.

X.25 de nivel 3Ver PLP.

X.28Recomendación de la UIT-T que define la interfaz de terminal a PAD en las redes X.25.

X.29Recomendación de la UIT-T que define la forma para la información de control en la interfaz determinal a PAD que se usa en las redes X.25.

X.3Recomendación de la UIT-T que define los diversos parámetros de PAD que se usan en lasredes X.25.

X.75Especificación de la UIT-T que define el sistema de señalización entre dos PDN. La X.75 es esen-cialmente una NNI.

X.121Estándar UIT-T que describe un esquema de direccionamiento que se usa en las redes X.25. Lasdirecciones X.121 a veces se denominan IDN (Números de datos internacionales).

X.400Recomendación de la UIT-T que especifica un estándar para la transferencia de correo electrónico.

X.500Recomendación de la UIT-T que especifica un estándar para el mantenimiento distribuido dearchivos y directorios.

X3T9.5Número que se asigna al Grupo de Tareas de la Comisión de Normas Acreditadas de ANSI para sudocumento de trabajo interno, en el que se describe FDDI.

XID1) identificación de intercambio. Paquetes de petición y respuesta que se intercambian antes deuna sesión entre un router y un host Token Ring. Si los parámetros del dispositivo serial contenidoen el paquete XID no concuerdan con la configuración del host, la sesión se descarta.

2) Ver termid.

XMLLenguaje de etiquetas eXtensible

Un estándar mantenido por el Consorcio de la WWW (W3C). Define una sintaxis que le permitecrear lenguajes de etiquetas para especificar estructuras de información. Las estructuras de infor-mación definen el tipo de información, por ejemplo, el nombre o la dirección del abonado, nocómo aparece la información (negrita, itálica, etc.). Los procesos externos pueden manipular estasestructuras de información y publicarlas en una variedad de formatos. El lenguaje de etiquetas detexto diseñado para permitir el uso de SGMl en la www. XLM permite definir su propio lenguajede etiquetas personalizado.

Glosario 443

XNSXerox Network Systems

Conjunto de protocolo originalmente diseñado por PARC. Varias empresas de networking de PCcomo, por ejemplo, 3Com, Banyan, Novell y UB Networks usaban o usan actualmente una variantede XNS como su protocolo de transporte principal.

Zona de autoridadAsociada con DNS, la zona de autoridad es una sección del árbol del nombre de dominio para elque un servidor de nombre es la autoridad.


Acceso a la WAN

Documents

Transcript of Acceso a la WAN