Spanning-tree protocol

Hoy veremos el funcionamiento del protocolo Spanning-tree para ello nos ayudaremos de nuestra herramienta estrella Packet tracer. En primer lugar crearemos una red que esté formada por varios switches y que se encuentren conectados entre ellos por un buen número de conexiones nos quedará algo como esto.

Los puntos naranjas que se observan en la fotografía no significa que esté mal la red, sino todo lo contrario: no está mostrando que Spanning tree está funcionando correctamente lo que hace este protocolo es deshabilitar algunas de las bocas de conexión de los switches para evitar que haya ciclos en la red evitando así que se provoque una tormenta de broadcast. Si no fuera por este protocolo la información de un ordenador hacia el otro no se podría transmitir porque se crearía un colapso en la red y no llegaría ningún paquete al destinatario para comprobar esto haremos lo siguiente.

  Mediante un cable de consola hemos conectado el pc 0 al Switch 2 y ahora entrando en la configuración del switch a través de terminal veremos cómo desactivar el protocolo Spanning-tree.

Entramos en la configuración global y una vez aquí escribimos no spanning tree
Una vez ya hemos desactivado el protocolo Spanning-tree mediante el cable de consola os mostraré una manera más rápida y sencilla de hacer este mismo proceso.

Directamente pinchando en el switch y entrando en la pestaña de CLI y también accederemos a la consola tal y como se muestra en la pantalla. Entramos en la configuración global y escribimos no spanning tree vlan 1 Bueno pues ahora haremos el mismo proceso en todos los switches y una vez hayamos terminado con esto podremos borrar el cable de consola del pc 0. y tendrá que quedar algo asi.

Tal como podemos observar en la foto ahora vemos que está desactivado el protocolo de Spanning-tree por eso todos los puntos ahora están en verde, en la foto no se aprecia pero en realidad están todos parpadeando. Si en este punto se intentase hacer ping al pc 1 se provocaría una tormenta de broadcast y por tanto no llegarían los paquetes.

Tal como podemos observar hemos hecho ping al pc 1 y como se ve no ha llegado ningún paquete a su destinatario esto solo ocurre porque hemos desactivado el Spanning tree.

Ahora volveremos a activar el protocolo Spaning tree de nuevo en todos los ordenadores el comando a usar es el mismo que antes solamente que ahora en lugar de escribir no spanning tree vlan 1 solo escribiremos spanning tree vlan 1.

Ahora haremos lo mismo a través del cable de consola.

Una vez que ya tenemos otra vez operativo el protocolo de Spanning tree en toda la red borraremos la caché de arp de todos los switches  y de los pcs.

Para borrar la caché de arp de los switches haremos lo siguiente:

 Para visualizar que la hemos borrado correctamente usaremos el comando show mac-address-table

Hay que tener en cuenta que estos comandos los tendremos que meter en el modo usuario privilegiado y no en configuración - haremos este proceso de nuevo en todos los switches.

Ahora borraremos la caché de arp de los pcs para ello usaremos los siguientes comandos.

Una vez que ya nos hemos cerciorado de que las tablas han sido borradas y una vez que ya hemos restituido nuevamente el protocolo spanning-tree en todos los switches volvemos a hacer ping y comprobamos como ahora si que llegan todos los paquetes sin que se pierda ninguno demostrando así que spanning tree funciona.

Ahora vamos a ver cómo podemos localizar el switch raíz 

Para ello lo primero que haremos será determinar un punto en la red que sabemos de seguro no es el switch raíz. En este caso hemos elegido el switch0 porque sabemos que no es el raíz ya que no tiene todos los puertos habilitados

Una vez ya hemos elegido uno entraremos en la consola y escribiremos
Enable
Show spanning-tree

En rojo en primer lugar observamos la mac del switch raíz y en azul vemos que no coincide con la de este switch con lo cual podemos determinar que no es el switch raíz. En la segunda parte en rojo observamos la ruta que podemos seguir para llegar al switch raíz. Vamos a seguirla a ver que pasa.

Tal como pasaba antes volvemos a ver en rojo la mac del switch raíz y la comparamos con la que aparece en azul y nuevamente no coinciden con lo que podemos determinar que este tampoco es el switch raíz seguiremos buscando siguiendo la ruta en este caso pasa por un puerto de Gigabit ethernet ya que es un camino más rápido en lugar de ir por puertos Fast ethernet como se observa este puerto tiene un coste de 4 mientras que los Fast ethernet tienen un coste de 19.

Tal como vemos en la foto las mac coinciden con lo cual podemos deducir que este es el switch raíz además en gris podemos ver como nos dice claramente This bridge is the root que sería algo así como Este es el puente raíz en definitiva el switch raíz. La forma que tiene spanning tree de elegir el switch raíz por defecto es mediante la mac seleccionando como raíz que el tenga la mac más baja.

Ahora haremos una prueba del tiempo que tarda en mandar los paquetes y luego veremos cómo cambia cuando asignemos otro switch como raíz.

Vemos que los 4 paquetes han llegado correctamente y que el que más tiempo a tardado en llegar han sido 14ms y el que menos 0ms obteniendo una media de 3ms

Ahora vamos a ver cómo podemos elegir manualmente cual queremos que sea el switch raíz en lugar de que lo elija por defecto.

Para cambiar el switch raíz lo primero que debemos hacer es entrar en la consola del switch que queremos que sea el raíz.
Una vez ya estamos aquí entraremos en el apartado que tenemos subrayado. Dando así prioridad a este switch.

Este es ahora el switch raíz

Como pasaba anteriormente, vemos que la ip coincide con la del switch raíz por tanto podemos deducir que es el switch raíz.

Ahora haremos de nuevo ping y comprobaremos nuevamente la velocidad a ver si hay algún cambio.

Otra vez vemos que los paquetes han llegado correctamente pero el tiempo que tarda en enviar los paquetes ha descendido sustancialmente de 14ms de máximo que tenía con el switch anterior a 1ms que tarda ahora.

Enlaces troncales en las vlans

En primer lugar crearemos una topología simulando un edificio de 4 plantas en Packet Tracer. Cada planta estará compuesta por un switch y cada switch estará conectado a su vez a tres ordenadores excepto en la última planta que solo habrá un switch y un ordenador que se corresponderá con el del administrador.
Cada uno de los ordenadores de las otras plantas pertenecerá a un departamento distinto.

Una vez que ya tenemos nuestra topología creada, lo que haremos será asignarle a cada equipo una ip en este caso hemos elegido el mismo rango de ip las vlan que crearemos en cada switch.

Planta 4
Administrador Ip 192.168.40.100 Los administradores se comunicarán a través de la vlan 40

Planta 3
I+D+I(3): Ip 192.168.10.103 Los usuarios de este departamento se comunican a través de la vlan 10
Ventas(3): Ip 192.168.20.103 Los usuarios de este departamento se comunican a través de la vlan 20
R.R.H.H(3): Ip 192.168.30.103 Los usuarios de este departamento se comunican a través de la vlan 30

Planta 2
I+D+I(2): Ip 192.168.10.102 Los usuarios de este departamento se comunican a través de la vlan 10
Ventas(2): Ip 192.168.20102 Los usuarios de este departamento se comunican a través de la vlan 20
R.R.H.H(2): Ip 192.168.30.102 Los usuarios de este departamento se comunican a través de la vlan 30


Planta 1
I+D+I(1): Ip 192.168.10.101 Los usuarios de este departamento se comunican a través de la vlan 10
Ventas(1): Ip 192.168.20101 Los usuarios de este departamento se comunican a través de la vlan 20
R.R.H.H(1): Ip 192.168.30.101 Los usuarios de este departamento se comunican a través de la vlan 30

Una vez que ya tenemos los puertos de cada departamento asignados a sus correspondientes vlan para que pueda existir comunicación entre ordenadores del mismo departamento (al encontrarse conectados a distintos switches de plantas distintas no existiría comunicación) la solución es la de crear un enlace troncal.

Para ello usaremos la siguiente serie de comandos:

Dentro de configuración global del switch de la planta 4
interface fast ethernet 0/2 Puerto por el que se conecta un switch a otro
switchport mode trunk
switchport trunk allowed vlan 10-40

Dentro de configuración global del switch de la planta 3
interface fast ethernet 0/5 Puerto por el que se conecta un switch a otro
switchport mode trunk
switchport trunk allowed vlan 10-40

Dentro de configuración global del switch de la planta 2
interface fast ethernet 0/4 Puerto por el que se conecta un switch a otro
switchport mode trunk
switchport trunk allowed vlan 10-40

Dentro de configuración global del switch de la planta 1
interface fast ethernet 0/4 Puerto por el que se conecta un switch a otro
switchport mode trunk
switchport trunk allowed vlan 10-40

Gracias al protocolo DTP (Dynamic Trunk Protocol) no es necesario que configuremos como troncales todos los puertos mediante los que se conectan los switches entre sí, siempre que los dos sean Switch Cisco, este protocolo lo que hace es que simplemente cuando le asignamos un puerto automáticamente él reconoce el otro extremo y no es necesario asignarle dicho puerto aunque se recomienda por seguridad hacerlo manualmente para restringir las VLAN permitidas y por seguridad.

Una vez que ya tengamos todo esto ya sí podremos establecer comunicación entre los ordenadores que pertenecen a los mismos departamentos.

Cuando ya hemos conseguido que se establezca conexión entre los ordenadores del mismo departamento, ahora lo que queremos conseguir es que el administrador pueda conectarse a cada uno de los switches de la instalación mediante telnet para ello configuraremos los switches es decir les asignaremos una ip a la interfaz virtual de los mismos. Esta ip se tendrá que encontrarse en el mismo rango que la vlan del administrador.Para que esto sea posible usaremos una serie de comandos.

enable secret 1234
interface vlan 40
ip address 192.168.40.104 255.255.255.0
no shutdown
line vty 0 15
password 1234
login

Este mismo proceso lo haremos con cada uno de los switches y cuando hayamos completado esta fase con cada uno de los switches ya podemos comunicarnos con ellos desde el pc administrador mediante telnet.

En primer lugar nos pide contraseña de acceso a telnet que es la que se corresponde con la de line vty 0 15

Y la segunda contraseña es la que nos da acceso a la configuración del switch

Si intentamos hacer telnet desde cualquier otro ordenador distinto al de administrador en este caso uno del departamento de R.R.H.H vemos que no es posible establecer conexión.

Introducción a las VLAN

Para explicar como funcionan las vlan nos valdremos del programa Cisco Packet tracer. Una vez ya tenemos el programa crearemos una topología sencilla compuesta de un switch y tres ordenadores.

Asignaremos ips que se encuentren en la misma vlan a dichos ordenadores y hacemos ping entre ellos para ver que se pueden comunicar.

Tal y como vemos en la foto hemos establecido conexión correctamente, esto es debido a que los dos ordenadores se encuentran en la misma vlan en este caso en la vlan 1 que es la que viene por defecto y nosotros lo que queremos hacer es a cada ordenador asignarle una vlan distinta.
Para ello aprenderemos a crear dichas vlan.

Para crear vlan nos iremos al switch y en CLI

Una vez aquí entraremos al modo configuración global

En primer lugar escribiremos enable para acceder al modo usuario privilegiado
En segundo lugar escribiremos configure t para entrar en el modo configuración global

Ya dentro del modo configuración global nos pondremos manos a la obra a crear las vlan.

Para ello una vez que estamos en el modo de configuración global usaremos el comando
vlan y el número que queramos entre 1-1005 de no existir una vlan con dicho nombre se crearía y si ya existiera no metería en la configuración específica de la misma.

Tal como observamos en la foto hemos creado 3 vlan de nombre servicios telnet y alumnos. Para cambiar el nombre de dichas vlan solo tenemos que meternos en la configuración específica de la vlan que queremos renombrar y una vez aquí escribir el comando:

name (nombre)

Una vez que ya tenemos las vlan creadas lo siguiente que tenemos que hacer es asignarle el puerto al que se encuentran conectados al switch para ello iremos al modo configuración global y una vez allí escribiremos el siguiente comando.

interface fastethernet 0/2* 
*Este número nos indica la interfaz en la que queremos asignar el puerto
switchport mode access
switchport access (idvlan) 

Tal y como vemos en la foto podemos apreciar que a cada vlan le hemos asignado una interfaz de puerto diferente y por tanto es como si se encontraran conectados a distintos switch sin estarlo.

Una vez que ya tenemos asignados los puertos lo que haremos será intentar establecer una comunicación entre los dos ordenadores de la izquierda como hicimos al comienzo del ejercicio para verificar si se pueden seguir comunicando.

Como se puede apreciar en la foto hemos intentado hacer ping de alumnos a servicios y como podemos ver no existe comunicación esto es debido precisamente a que no se encuentran en la misma vlan y por tanto no se puede establecer comunicación entre los equipos.

Ahora veremos como conseguimos que el tercer ordenador que hasta ahora se a mantenido al margen consiga establecer comunicación mediante telnet con el switch para ello tendremos que hacer algunos cambios en la configuración del mismo.

Entramos en el modo configuración global del switch y una vez aquí escribiremos una serie de comandos:

enable secret 1234          Esto es simplemente para ponerle una contraseña de acceso y que nadie excepto los que sepan dicha contraseña puedan tener acceso al switch
interface vlan 30             Para entrar en la configuración específica de la interface del switch
ipaddress 192.168.30.101 255.255.255.0    Para asignarle al switch una ip
no shutdown                    Con este comando levantamos la interface
line vty 0 15                    Este comando sirve para crear una contraseña para acceder mediante telnet
password   12345              Con este comando establecemos dicho password
login                                 Con este comando habilitamos el servicio de login no ser así no podríamos acceder

Como podemos ver en la foto escribiendo telnet y la ip que le asignamos nos pide la contraseña de acceso a telnet (12345)  y si intentamos acceder al modo privilegiado nos pide la contraseña que le creamos anteriormente también (1234) una vez que la escribimos ya tenemos acceso completo al switch de forma remota.
 

    
   Lo último que tenemos que comprobar es que si intentamos acceder a telnet mediante otro ordenador que no sea este no podremos acceder al switch ya que no se encuentran en la misma vlan en este caso la 30 ahora lo veremos.

                                       
Al no encontrarse en el mismo campo que el switch no podemos acceder de forma remota al switch.

Simulación de redes con Packet Tracer

Red equipada de un switch y 5 pcs

En primer lugar lo que vamos a hacer es crear una red en estrella compuesta por un switch y 5 equipos y nos tendría que quedar algo así. Es una red que esta formada por un switch PT y equipos genéricos el tipo de conexión que hemos utilizado es cable directo Ethernet.

 Si por algún casual una vez que hemos terminado de hacer las conexiones alguno de los puntos verdes estuviera rojo nos estaría indicando que algo no está bien conectado y habría que revisar las conexiones. Como el switch que hemos elegido solamente dispone de 4 puertos tendremos que añadir uno más. 

Pinchamos en el switch y dentro de la pestaña Físico cogemos el puerto que esta marcado en la foto y lo arrastramos hasta uno de los 4 huecos disponibles antes de hacer esto tendremos que apagar el switch en botón que está arriba a la derecha.

Una vez que ya tenemos la red conexionada  lo que vamos a hacer es configurarla en primer lugar le asignaremos una dirección ip y una dirección mac a cada equipo. 

Para ello pinchamos en uno de los equipos en este caso el pc0 y en la pestaña de configuración entramos en FastEthernet0 y una vez aquí le asignaremos una dirección ip y una mac 

Realizaremos este mismo proceso con cada uno de los equipos.

Ya con nuestra red perfectamente configurada lo vamos a hacer es una simulación para ello nos iremos a la pestaña de simulación.

El primer paso que haremos será el de ver la tabla de arp mediante el comando arp -a esto para acceder a la consola de símbolo de sistema pincharemos en un pc y una vez dentro de este pincharemos en la pestaña de escritorio y una vez aquí en simbolo de sistema.

Una vez aquí se nos abrirá una ventana como esta

 Y cuando escribamos el comando arp -a nos tendrá que salir algo como esto.

Esto nos está indicando que aun no existen datos en la tabla de arp con lo que podemos deducir que aun no hay asignada ninguna dirección física a nuestras direcciones ip para que esta tabla se rellene con datos a continuación veremos como hacerlo.

El primer paso es entrar en modo simulación.

Ahora lo que vamos a hacer es mandar paquetes icmp desde el pc 0 al pc 1 para ello entramos en la consola y ponemos la dirección ip mediante el comando  ping 192.168.1.3

Como se ve observa en la fotografía vemos que ha enviado 4 paquetes y que no a perdido ninguno lo que conseguimos con esto es intentar establecer conexión con el pc 1 que es que tiene la ip 192.168.1.3. Realizaremos el mismo proceso con las direcciones de los siguientes pc 192.168.1.4 192.168.1.5 192.168.1.6

A continuación veremos el proceso que siguen los paquetes para llegar a su destino.

En la primera foto vemos como el pc 0 manda un paquete icmp al switch.

En respuesta a esta petición el switch manda el mismo paquete a todos los ordenadores

Los pcs que no se corresponden con esa dirección rechazan el paquete y solamente el que se corresponde con dicha dirección se lo queda.

A su vez el pc que era el destinatario de dicho paquete enviará una confirmación de que él es el destinatario correcto.

Una vez se ha hecho este proceso se habrá generado una tabla de arp de este tipo

Como observamos en la fotografía solamente existe una dirección ip asociada a una dirección física que es:
192.168.1.3---------------------------0090.0c6c.35ea                                                                           para acceder a esta tabla usaremos el comando  arp -a 

Para asociar el resto de los ordenadores cada uno a una dirección física tendríamos que realizar todo el proceso anterior con cada uno de los ordenadores restantes y una vez hemos terminado de hacer ping a todos los ordenadores se nos habrá creado otra tabla de arp como esta.

Como podemos observar en la foto ya tenemos nuestra tabla de arp con todas las direcciones ip asociadas cada una con sus correspondientes direcciones físicas. Si en cualquier momento quisiéramos borrar dicha tabla podríamos hacerlo mediante el comando arp -d .

Red equipada de un hub y 5 pcs

La única diferencia que se puede apreciar del hub con respecto al switch es que una vez que hacemos ping con el ordenador 0 al ordenador 1 lo hace el hub es que recibe la petición del pc 0 y se la envía a todos los pcs los que no son los destinatarios de ese paquete lo rechazan y el que si es destinatario lo aceptará y en respuesta le enviará una confirmación al hub. Aquí justo en este punto es donde se encuentra la diferencia entre el hub y el switch mientras que el switch enviaba la confirmación del pc 1 solamente al pc 1 el hub vuelve a enviar el paquete a todos los ordenadores excepto al pc 1 que tiene que esperar porque en ese momento el está enviando y no permite enviar y recibir información al mismo tiempo por lo demás el comportamiento de ambos aparatos es idéntico excepto eso.