Buenas, siguiendo el hilo http://foro.hackhispano.com/showthread.php?t=32191
Primeramente, no quiero hacer apología sobre ningun fabricante que pueda ser nombrado, ni sobre ningun proveedor de servicios que se pueda mencionar. Todo lo que se dice sobre fabricantes y proveedores son meros ejemplos.
Primero, bucles en ethernet. Al ser ethernet un protocolo no orientado a la conexión, necesita de una dirección de destino y una gateway para el siguiente salto y llegar a ese destino. Cuando no se conoce el destino, se lanza un paquete broadcast (a todas las direcciones/puertos) hasta que, por funcionamiento del protocolo, responde un dispositivo.Iniciado por ethersalIniciado por miguel86
El problema es que ethernet no tiene TTL, como bien dijiste. Si existe una conexión física en el que a un dispositivo se puede llegar por dos caminos, se puede producir un bucle que de menos a más, consume el ancho de banda de la red, porque ese paquete nunca termina de estar dando vueltas y además se repite.
Para evitar esto en ethernet, se usa Spanning tree (STP). Este solo funciona cuando hay posibilidad de que haya bucles, es decir, cuando hay dos caminos para llegar a todos los switches. STP es un protocolo diseñado para evitar bucles de ethernet, haciendo (por defecto) que el switch con la MAC mas baja controle la red como root de la misma y bloquee aquellos enlaces más alejados, según el número de saltos que haya.
Hasta aquí, esto es aplicable con pleno funcionamiento cuando hablamos de una red en forma de anillo. De hecho, para hacerlo sencillo, basta con tres switches conectados entre sí. Lo que podemos dibujarnos mentalmente como un triangulo equilátero... ese típico que siempre hemos visto en el colegio.
Pero, ¿Y si nuestra red no tiene forma de anillo, porque los requisitos de nuestra red requieren que no tenga forma de anillo? Es más, ¿y si tengo un backup? ¿Y si en vez de backup simple, quiero balanceo de carga?
Balanceo de carga... ¿¿¿ETHERNET??? y yo te digo... pue sí.
Imaginate ahora esos tres switches. Uno de ellos, el del vertice superior, además, está conectado a un router por ethernet, y ese router tiene salida a internet con telefónica. Estamos en una universidad, por ejemplo. Pero resulta que tengo poco ancho de banda y he de ampliar mi red. Mis switches son de 48 puertos cada uno, y necesito poner otros dos para las nuevas aulas. Por tanto, necesito más infraestructura de red y mas conexión a internet. Y encima quiero estabilidad, no quiero quedarme sin servicio de cara a los alumnos y profesores. Por tanto, estoy pidiendo backup y uso del ancho de banda total.
Pues bien. Ahora imaginate otros tres, en su misma situación, el del vertice superior conectado a otro router, este con salida a internet de Ono. Y yo, que soy más chulo que pitate, quiero usar ambas conexiones de internet para tener más ancho de banda práctico para toda mi red.
Tenemos esto. Y supongamos que ambas redes son internet, pero las tomamos como infraestructuras distintas. Primer punto, fíjate que aleatoriamente un switch se ha elegido, concretamente por MAC mas baja, cual es el root para spanning tree. En cada caso, es el más alejado del interfaz bloqueado (naranja).
Segundo punto. Queremos unir nuestra red para que, en primer lugar, todos los equipos que estarán detrás de los switches, esten en la misma red y no tengan que salir a internet. Pues tenemos que unir los switches por algún sitio. Y además, queremos que si se cae algo, no se forme un estropicio. Que solo se caiga un switch y los enlaces directos que haya en el switch, si se casca.
Nos queda una red en forma de estrella redundada.
He marcado en rojo el switch que por defecto se ha elegido como root para spanning tree. Como ves es una estructura en forma de estrella con dos centros.
Tambien he marcado en verde los que vamos a configurar como roots para multiple spanning tree, porque estos serán los agregadores de internet a la red. Uno con mayor prioridad que el otro. ¿Porque estos? porque así no se bloquean los puertos entre ellos, sino que escogerán los más lejanos, que se ubican en los switches de acceso.
Ahi podemos hacer pasar X tráfico por un switch y Z por el otro switch, y spanning tree, al estar en modo multiple, bloqueará puertos de forma independiente para cada tráfico. ¿Cómo? haciendo troncales y eligiendo que VLANs pasarán por un puerto hacia un siwtch agregador, y las otras hacia el otro switch.
Bien, ya tenemos balanceo de carga a nivel 2, y tambien redundancia, porque si se cae uno de los agregadores, el trafico ira hacia el otro. Ahora solo queda que este balanceo sea a nivel 3. Primero Se habilita routing en los switches root, para poder ver a nivel 3 los pcs en otras vlans, (por eso dije que al menos esos dos agregadores habian de ser switches L3, aunque en el dibujo lo son todos). Con Multiple VRRP, ips loopback en los switches con pesos invertidos en cada switch. Esas loopbacks son las puertas de enlace de nuestros pcs, anunciadas como direcciones /32 hacia la red por RIP, o por estática, es igual. Y voila. Balanceo de carga a nivel 3, usando todos los accesos para aprovechar el ancho de banda, y cuando el switch-router tiene una salida a internet, sale por su router de internet. Unos usarán ONO, otros, Telefonica. Si se pierde la conexión de Ono, convergerán por la de Telefónica.
No, arp spoofing no guarda relación con la MAC, pero si intentas suplantar la MAC, port security se encarga de bloquearte el acceso.Iniciado por ethersalIniciado por miguel86
No. Port security no se usa para eso, aunque podría usarse indirectamente. Cito un párrafo de una web, para al menos apoyarme en algoIniciado por ethersalIniciado por miguel86
"Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, port-security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto."
Link externo
Además, tiene otras muchas posibilidades, como ya dije, bloquear el puerto si directamente quitas el cable físico del puerto.
No. Puse el ejemplo de VLANs por poner uno, no creo que sea demasiado complejo, pero no quita lo que quiero decir. A modo más sencillo, un puerto puede tener en su tabla de forwarding más de 1 direccion MAC. Se usa en enlaces troncales para saltar de un switch a otro switch. Y esto es aplicable a diversas VLANs si se quiere. Los enlaces troncales tambien transportan más de una VLAN. Los de acceso, solo 1.Iniciado por ethersalIniciado por miguel86
Marcadores