Apunte Rápido CCNA 200-301 versión 7.2 - Presentación

El siguiente es el video de presentación de la versión 7.2 del Apunte Rápido CCNA 200-301 que corresponde al nuevo temario versión 1.1 publicado por Cisco Systems.

Presentación del manual en este blog: https://librosnetworking.blogspot.com/2025/02/apunte-rapido-ccna-200-301-version-72.html

Para cualquier consulta, como siempre, escribí a libros.networking@gmail.com 

Para la compra:

Apunte Rápido CCNA versión 7.2 ya está disponible en formato e-book y se puede comprar en línea ingresando al sitio de Ediciones EduBooks.
Próximamente estará disponible la versión impresa.

Para revisar las características de los ebooks de EduBooks ingresar aquí.

Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O también podés seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Apunte Rápido CCNA 200-301 versión 7.2 (nuevo)

En abril del año 2024 Cisco publicó una actualización del temario del examen de certificación CCNA 200-301 identificado como versión 1.1. Una revisión menor del contenido del examen que significó la introducción de algunos temas nuevos y la reformulación de otros.

Este es el temario del examen CCNA 200-301 disponible desde el 20 de agosto de 2024.

Para el temario versión 1.0 había publicado el Apunte Rápido CCNA 200-301 versión 7.1. Para responder a la actualización de la versión 1.1 del temario, en su momento, realicé una serie de publicaciones en este mismo blog a fin de que quienes adquirieron el Apunte Rápido CCNA versión 7.1 tuvieran los materiales necesarios para complementar su estudio.

Ahora, publico una nueva versión del mismo Apunte Rápido CCNA 200-301 revisada y con la incorporación de los temas que se introdujeron en esa versión 1.1 del temario. El Apunte Rápido CCNA 200-301 versión 7.2.

Como en sus versiones anteriores, el manual está concebido en un lenguaje sencillo y directo que permite encontrar a quien está preparando su examen de certificación, en un único texto de estudio, la totalidad del temario teórico requerido para obtener su objetivo. 

Todo aquello que debés estudiar para el examen de certificación está en este manual. 

No tiene requisitos previos.

Si eres un alumno de Academia o de Learning Partner, es posible que este manual te sea suficiente y al momento de estudiar utilices los materiales oficiales que recibiste durante tu cursada para aclarar dudas o buscar referencias necesarias.

Para quienes estudian por sí mismos (auto-estudio), este manual desarrolla el temario íntegro del examen de certificación de modo claro, preciso y completo; y junto a la Guía de Laboratorios CCNA versión 7.1 es suficiente para preparar el examen de certificación.

El Apunte Rápido no incluye laboratorios o ejercicios prácticos para poner en acción los conceptos desarrollados. La dimensión práctica la encontrarás en la Guía de Laboratorios CCNA 200-301 versión 7.1 (que no tendrá revisión ya que la actualización de temario no modificó ese aspecto del examen).

Fecha de publicación: 12 de febrero de 2025

Autor: Oscar A. Gerometta
CCSI / CCNA / CCNP enterprise / CCNP seccurity / CCBF / AI+ Cert Executive.

Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking Academy program que se preparan a rendir su examen de certificación CCNA y una larga trayectoria como desarrollador de cursos y autor de materiales de estudio para diferentes exámenes de certificación.

Texto:

Se trata de un manual de estudio que incluye la totalidad del temario comprendido en el examen de certificación CCNA 200-301.

Está alineado al examen CCNA 200-301 versión 1.1.

Contenidos:

• El Examen de certificación CCNA
• 1. Principios de operación de redes TCP/IP
• 2. Direccionamiento IP (IPv4/IPv6)
• 3. Operación de dispositivos Cisco IOS
• 4. Conmutación LAN
• 5. Fundamentos de redes inalámbricas
• 6. Enrutamiento IP
• 7. Servicios IP
• 8. Tecnologías WAN
• 9. Introducción a la seguridad

Temas incorporados en esta versión:

• Se actualizó toda la información de la sección introductoria referida al examen de certificación, su temario y los caminos de certificación propuestos por Cisco.
• Se agregó una sección destinada a Inteligencia Artificial Generativa y Machine Learning.
• Se agregó una sección de Cloud Management.
• Se incorporó Terraform
• Se reformuló todo el contenido referido a mitigación de ataques de capa 2 (BPDU Filter, BPDU Guard, etc.)

Cantidad de páginas: 685 (versión ebook)

Para la compra: 

Apunte Rápido CCNA versión 7.2 ya está disponible en formato e-book y se puede comprar en línea ingresando al sitio de Ediciones EduBooks.
Próximamente estará disponible la versión impresa.

Para revisar las características de los ebooks de EduBooks ingresar aquí.

Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Para facilitar la compra de ebooks desde Bolivia contactar a: libros.networking.bolivia@gmail.com

• Temario del examen CCNA 200-301 versión 1.1
• Guía de Laboratorios CCNA 200-301 versión 7.1
• Biblioteca CCNA en EduBooks

 

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O también podés seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Gestión desde la nube (cloud management)

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

La gestión desde la nube, también conocida como cloud management, hace referencia al conjunto de procesos, herramientas y estrategias que permiten planificar, provisionar, monitorear, optimizar y proteger los recursos de red desde un servicio de nube. Abarca una amplia gama de actividades que van desde la gestión de la infraestructura y los servicios de red hasta la seguridad, el cumplimiento de políticas y la optimización de costos.

Componentes clave

• Planificación y aprovisionamiento
  Se definen los requerimientos en la nube, se seleccionan los servicios adecuados, y se establecen los procesos para aprovisionar y gestionar recursos.
• Monitoreo
  Recopila y analiza datos sobre rendimiento, utilización y estado de los recursos para identificar problemas potenciales y optimizar el uso.
• Gestión de seguridad
  Puede implementar medidas de seguridad para proteger los datos y las aplicaciones desde la nube, incluyendo el control de acceso, la detección de intrusiones y la prevención de malware.
• Cumplimiento
  Garantiza que el uso de gestión en la nube adhiera a las regulaciones y políticas internas y externas.

Beneficios

• Aumenta la agilidad y escalabilidad
  
  Permite a la administración de la red aprovisionar rápidamente nuevos recursos y escalar para satisfacer las demandas cambiantes.
• Reducción de costos
  Puede ayudar a las organizaciones a reducir los costos de TI al eliminar la necesidad de comprar y mantener hardware y software local.
• Mayor eficiencia operativa
  Se pueden automatizar tareas y proporcionar una visión centralizada de los recursos en la nube, lo que mejora la eficiencia operativa.
• Mejora de la seguridad
  Facilita la implementación de medidas de seguridad robustas para proteger los datos y las aplicaciones en la nube.

Cisco Meraki y la gestión desde la nube

Es una plataforma de gestión de redes desde la nube que simplifica la administración de redes LAN, WAN, inalámbricas y su seguridad. La plataforma Meraki se basa en la arquitectura de nube Cisco Cloud, que proporciona gestión centralizada, visibilidad y analítica para toda la red.

Las principales características de la gestión desde la nube de Cisco Meraki incluyen:

• Provisionamiento sin contacto
  Los administradores pueden aprovisionar nuevos dispositivos de red de forma rápida y sencilla desde la nube.
• Gestión centralizada
  Ofrece una interfaz única para gestionar todos los dispositivos de red Meraki, independientemente de su ubicación.
• Visibilidad y análisis
  Proporciona información detallada sobre el rendimiento, la utilización y la salud de la red.
• Actualizaciones automáticas
  Garantiza que los dispositivos de red Meraki siempre estén actualizados con la última versión de firmware.

Cisco Meraki es una solución ideal para organizaciones que buscan una plataforma de gestión de redes en la nube simple, escalable y segura.

Proporciona una plataforma de gestión desde la nube que puede ayudar a simplificar la administración de las redes y mejorar su eficiencia operativa.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Terraform

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Terraform es una herramienta para la gestión de infraestructura de nube (cloud) que propone un enfoque declarativo y automatizado, y que simplifica y optimiza los procesos de provisionamiento, administración y control de recursos en la nube.

Se trata de una herramienta de infraestructura como código (IaC) de código abierto que permite definir y gestionar la infraestructura en la nube de manera declarativa (utiliza un lenguaje de configuración denominado HashiCorp Configuration Language - HCL). A diferencia de los enfoques tradicionales basados en scripts, Terraform se centra en definir el estado deseado de la infraestructura, y la herramienta se encarga de automatizar los pasos necesarios para alcanzar ese estado. Esta aproximación declarativa agrega al proceso simplicidad, consistencia y confiabilidad en la gestión de la infraestructura.

Ha sido creado para administrar recursos externos (como infraestructura de nube pública, infraestructura de nube privada, dispositivos de red, etc.) con "proveedores". 

HashiCorp (empresa responsable del desarrollo) mantiene una extensa lista de proveedores oficiales y también puede integrarse con proveedores desarrollados por la comunidad.

Terraform admite varios proveedores de infraestructura en la nube: Amazon Web Services, Cloudflare, Microsoft Azure, IBM Cloud, Serverspace, Google Cloud Platform, DigitalOcean, Oracle Cloud Infrastructure, Yandex Cloud, VMware vSphere y OpenStack.

Beneficios

• Automatización
  Automatiza la creación, modificación y eliminación de recursos en la nube, lo que reduce el riesgo de errores humanos y agiliza los procesos de provisionamiento.
• Consistencia
  Garantiza que la infraestructura se provisione de manera consistente en todos los entornos, lo que minimiza las configuraciones divergentes y facilita la administración.
• Repetibilidad
  Permite replicar la infraestructura de manera rápida y sencilla en diferentes entornos, acelerando el desarrollo, las pruebas y la implementación de aplicaciones.
• Rastreabilidad
  Registra todos cambio realizado en la infraestructura, proporcionando un historial completo y facilitando la auditoría y el seguimiento del estado de la infraestructura.
• Colaboración
  Facilita la colaboración entre equipos de desarrollo y operaciones ya que la infraestructura se define en código y puede ser revisada y aprobada por múltiples personas.

Casos de uso

• Provisionamiento de infraestructura en la nube de manera rápida y eficiente.
• Administración de infraestructuras complejas con múltiples recursos y dependencias.
• Implementación de entornos de desarrollo, pruebas y producción consistentes.
• Automatización de la creación y destrucción de entornos temporales.
• Ejecución de cambios en la infraestructura de manera controlada y segura.

Es una herramienta muy importante para la gestión de infraestructura en la nube, ofreciendo un enfoque declarativo, automatizado y consistente que simplifica y optimiza los procesos de provisionamiento, administración y control de recursos.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

DHCP relay

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Dado que el inicio de la operación del protocolo se realiza sin contar con una dirección de origen y utilizando broadcast como destino, las solicitudes DHCP (discovery) no son de suyo ruteables hacia otras redes o subredes. De aquí que en principio el protocolo supone que el servidor y el cliente DHCP están conectados a la misma red o subred.

Cuando se desea utilizar servidores DHCP que se encuentran alojados en una red o subred diferente de aquella en la que se encuentran las terminales a las que debe servir, se puede utilizar un agente DHCP relay. Un DHCP relay es un dispositivo que recibe las solicitudes de los clientes en formato de broadcast y las reenvía como unicast a la dirección del servidor DHCP.

1. DHCP Discovery.
   El cliente DHCP envía una solicitud en formato de broadcast.
   
   
2. DHCP Relay
   El agente DHCP relay que recibe el broadcast lo retransmite a uno o más servidores DHCP remotos utilizando formato unicast e incluyendo la dirección de la interfaz en la cual recibió la solicitud como opción 82 de la solicitud que se tomará como dirección de gateway.
   
   
3. DHCP Offer
   El servidor utiliza la dirección de gateway que recibe en la solicitud para determinar a qué subred pertenece el host solicitante y asigna entonces una configuración que corresponda esa red o subred.
   El servidor DHCP reserva una dirección IP para el cliente y envía la respuesta en un paquete unicast a la dirección del gateway.
   
   
4. El DHCP relay recibe la respuesta del servidor y la reenvía al cliente.
   
   
5. DHCP Request
   El cliente responde en formato broadcast realizando la solicitud explícita de la configuración ofrecida por el servidor.
   
   
6. El agente DHCP relay interviene nuevamente reenviando la solicitud al servidor DHCP en formato unicast.
   
   
7. DHCP Acknowledgement
   El servidor marca la dirección como utilizada y envía un paquete en formato unicast al DHCP relay confirmando los parámetros.
   
   
8. El relay reenvía la confirmación al cliente.
   Esto completa el proceso.

En estos casos el servidor DHCP responde al DHCP relay y este se ocupa de reenviarlo al cliente DHCP. El servidor DHCP puede estar alojado en cualquier punto de la red, ya que al convertirse los paquetes a unicast, son completamente ruteables.

Configuración de un router como DHCP relay

En dispositivos Cisco IOS el servicio de DHCP relay se habilita en la interfaz de capa 3 más cercana al cliente DHCP (usualmente la que opera como default-gateway de la red o subred).

En la configuración es necesario especificar la dirección IP de uno o más servidores DHCP que han de responder las solicitudes. Si hay varios servidores DHCP en una misma subred se puede especificar directamente la dirección reservada de broadcast de la subred, de este modo responderá cualquiera de los servidores DHCP de esa subred.

Router#configure terminal

Router(config)#interface GigabitEthernet 0/0

La configuración debe realizarse en la interfaz que recibirá las solicitudes DHCP en formato broadcast.

Router(config-if)#ip helper-address 172.16.100.50

El comando permite a la interfaz actuar como proxy para reenviar solicitudes de servicio realizadas sobre UDP. Por defecto reenvía solicitudes DHCP, Time, TACACS, DNS, TFTP y NetBios. 

Las solicitudes son reenviadas en formato unicast a la (o las) dirección IP especificada en el comando.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

DHCP client en IOS

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Configuración de la interfaz de un dispositivo IOS como cliente DHCP

Cisco IOS incluye tanto un servicio DHCP como también un cliente DHCP que puede ser activado en cualquiera de sus interfaces.

La activación del cliente DHCP se realiza en la interfaz que se desee reciba configuración IP de un servidor DHCP a través de este mecanismo:

Router#configure terminal

Router(config)#interface GigabitEthernet0/0

Router(config-if)#ip address dhcp

El comando ip address dhcp activa el cliente DHCPv4 en la interfaz en cuyo modo de configuración se encuentra.
Tenga en cuenta que estamos hablando de configuración de interfaces IPv4. En IPv6 hay otras variantes a considerar, como es la autoconfiguración stateless, que se pueden aplicar a interfaces IPv6.

Si en la configuración IPv4 que se recibe del servicio DHCP se incluye la dirección IP de un gateway, IOS generará automáticamente una ruta por defecto apuntando a esa dirección IP y la agregará en la tabla de enrutamiento.

Verificación de la operación del cliente

Router#show ip interface brief

Interface          IP-Address   OK? Method Stat Prot

GigabitEthernet0/0 192.168.1.10 YES DHCP   up     up

GigabitEthernet0/1 10.1.1.1     YES NVRAM  up     up

La columna “Method” marcará “DHCP” cuando la interfaz esté operando como cliente DHCP y haya tomado configuración IP por este mecanismo.

Operación de un cliente DHCP en Microsoft Windows

Los sistemas operativos Microsoft Windows incluyen el comando ipconfig que no sólo permite verificar la operación de la conexión de red sino también controlar el funcionamiento del cliente DHCP.

Sus principales comandos son:

C:\>ipconfig /all

Muestra la configuración TCP/IP completa de todas las interfaces de red del dispositivo.

C:\>ipconfig /renew

Renueva la negociación de DHCP para todas las interfaces (si no se especifica una en particular).
Este comando solo está disponible en terminales con adaptadores configurados para obtener una dirección IP por DHCP.

C:\>ipconfig /release

Envía un mensaje DHCPRELEASE al servidor DHCP para liberar la configuración DHCP actual y descartar la configuración de la dirección IP para todas las interfaces (si no se especifica una en particular).
Este comando desactiva TCP / IP en las interfaces que están configuradas para obtener una dirección IP automáticamente.

C:\>ipconfig /displaydns

Muestra el contenido de la caché DNS del host.

C:\>ipconfig /flushdns

Elimina la caché de DNS del host.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Root Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

STP es el responsable de calcular la topología activa de la red conmutada a nivel de enlaces capa 2. Ese cálculo se basa en la posición del bridge raíz, entre otros parámetros. Cualquier switch puede, en principio, ser el bridge raíz en la red. 

Una topología activa óptima es la que selecciona como bridge raíz el switch que ocupa una ubicación específica determinada por diseño de la red para optimizar los flujos de tráfico. Con el STP estándar, cualquier switch con un Bridge ID más bajo puede tomar el rol de bridge raíz. El Bridge ID es la única herramienta con la que cuenta el Administrador para plasmar ese diseño a través de la selección del bridge raíz.

La función Root Guard nos proporciona una manera de forzar la elección del bridge raíz en la red para que responda siempre al diseño inicial.

Root Guard garantiza que el puerto en el que está habilitado sea el puerto designado del switch no raíz. Si un switch no raíz recibe BPDUs STP con un ID de bridge raíz mejor (más bajo) en un puerto en el que se ha habilitado Root Guard, ese puerto transiciona a un estado STP denominado “root-inconsistent”. Este estado es efectivamente equivalente a un estado de listening. No se reenvía tráfico a través de este puerto. De esta manera, Root Guard obliga a respetar la posición original del bridge raíz.

De esta forma, si se agrega un switch intruso cuya prioridad es cero (o cualquier valor inferior a la prioridad del bridge raíz) para forzar presentarse como el nuevo Bridge Root, los enlaces que conectan con ese dispositivo se bloquearán automáticamente.

Root Guard no permite que el puerto en que se ha configurado se convierta en un puerto raíz STP. Si una BPDU con un ID de bridge raíz más bajo llega a ese puerto, Root Guard no tiene en cuenta esa BPDU y coloca el puerto en estado STP root-inconsistent. 

Root Guard debería activarse en todos los puertos donde que de acuerdo al diseño de la red no deben convertirse en puertos raíz. El puerto recupera su estado forwarding cuando cesa la llegada de BPDUs maliciosas.

Este mensaje aparece cuando Root Guard bloquea un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. Moved to root-inconsistent state.

Root Guard se implementa mejor en puertos que se conectan a switches que no deberían ser el switch raíz de la topología. El feature se habilita mediante el comando spanning-tree guard root en el modo de configuración de la interfaz.

Configuración de Root Guard

La configuración de Root Guard se realiza por puerto.

Switch#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)# interface GigabitEthernet 0/8

Switch(config-if)#spanning-tree rootguard

Switch(config-if)#^Z

*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on port GigabitEthernet0/8 VLAN 1.

Switch#

Diferencia entre STP BPDU Guard y STP Root Guard

BPDU Guard y Root Guard son similares pero su impacto es diferente. BPDU Guard opera sobre puertos en los que se implementa PorftFast y desactiva el puerto si recibe una BPDU. A partir de esta desactivación niega efectivamente a los dispositivos detrás de dichos puertos la participación en el cálculo STP de la topología. Para que el puerto sea activo nuevamente deberá ser habilitado manualmente

BPDU Guard colocará el puerto en estado de error. Se deberá reactivar manualmente o configurar errdisable-timeout .

Root Guard, en cambio, permite que un dispositivo agregado a la red participe en STP siempre que ese dispositivo no intente convertirse en el bridge root. Si Root Guard bloquea el puerto, la recuperación posterior es automática; ocurrirá tan pronto como el dispositivo que origina el problema deje de enviar BPDUs con un mejor ID de bridge root.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

BPDU Filter

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Mecanismo que previene el ingreso o envío de BPDUs en una interfaz específica sin remover su condición operativa de PortFast cuando en ese puerto se recibe una BPDU.

Es una herramienta importante para la seguridad de la red, un atacante podría enviar BPDUs maliciosos para intentar interrumpir el tráfico de red o tomar el control de la topología activa de la red. BPDU Filter puede ayudar a proteger la red de este tipo de ataques al filtrar los BPDUs en puertos que no debieran enviarlos o recibirlos por su rol en la red.

NOTA: BPDU Filter es un mecanismo que debe ser utilizado con cuidado ya que operativamente equivale a desactivar STP en el puerto y por lo tanto puede derivar en la generación de bucles.

Puede decirse que en cierta forma BPDU Filter funciona de manera similar a BPDU Guard ya que bloquea la recepción de BPDUs maliciosas. La diferencia entre ambos es que BPDU Guard colocará la interfaz en modo err-disable cuando recibe una BPDU mientras que BPDU Filter solo filtra. No genera un estado de error.

BPDU Filter se puede configurar globalmente o a nivel de la interfaz:

• Configuración global:
  Si se activa BPDU Filter globalmente, cualquier interfaz con PortFast habilitado no enviará ni recibirá ninguna BPDU.
  
  
• Configuración en la interfaz:
  Si se activa BPDU Filter a nivel de la interfaz, esa interfaz ignorará las BPDUs entrantes, y no enviará BPDUs. Es el equivalente a desactivar STP en esa interfaz.
  Debiera utilizarse en interfaces de acceso destinadas a dar conectividad a dispositivos terminales; nunca en interfaces que conectan a otros switches.
  En este caso el filtrado se efectúa siempre, independientemente del estado de PortFast.

Configuración

Para activar BPDU Filter en la interfaz:

Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#spanning-tree bpdufilter enable

La configuración global es más compleja. Cuando se configura a nivel global se aplica solo en las interfaces que están operando en modo PortFast, y filtra los BPDU que se reciben sin desactivar la operación de PortFast en ese puerto (sin BPDU Filter, si un puerto PortFast recibe una BPDU desactiva PortFast y pasa a operar como puerto STP regular y se bloquea).

Para configurar globalmente BPDU Filter:

Switch(config)#spanning-tree portfast bpdufilter default

Sintetizando

• PortFast coloca inmediatamente el puerto en estado forwarding, pasando por alto los estados listening y learning.
• Un puerto con PortFast habilitado continua enviando BPDUs.
• Si se recibe un BPDU, PortFast se deshabilita y la interfaz pasa a comportarse como una interfaz STP regular.
• El switch nunca genera un TCN cuando un puerto habilitado con PortFast cambia entre up o down.
• Hay una diferencia importante entre estado administrativo (o lo configurado) y estado operacional. No debemos olvidarlo.
• BPDU Guard y BPDU Filter en modo global son dependientes del estado operacional de PortFast.
• BPDU Guard y BPDU Filter en modo interfaz es incondicional.
• Un BPDU Filter mal configurado es mas peligroso que un PortFast mal configurado, aun así IOS no genera un mensaje de advertencia acerca de esto.
• PortFast puede crear un loop temporal de máximo 2 segundos (intervalo por defecto del BPDU) hasta que el siguiente BPDU se recibe y el PortFast queda deshabilitado. 

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Loop Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Mecanismo de protección de STP destinado a mejorar la estabilidad de las redes de capa 2.

 

Loop Guard proporciona protección adicional para prevenir la formación de bucles de capa 2. Esta posibilidad surge, aún con STP implementado, cuando un puerto STP bloqueado en una topología redundante pasa erróneamente al estado forwarding. Esto generalmente sucede cuando uno de los puertos de una topología físicamente redundante (no necesariamente el puerto STP bloqueado) ya no recibe BPDUs. En su funcionamiento, STP se basa en la recepción o transmisión continua de BPDUs según cual sea el estado del puerto. Los puertos designados transmiten BPDUs, y los puertos no designados reciben BPDUs.

Cuando uno de los puertos de la topología deja de recibir BPDUs, STP interpreta que la topología está libre de bucles y consecuentemente el puerto bloqueado o de backup transiciona al estado de forwarding. Esta situación crea un bucle.

Para evitar esta situación Loop Guard realiza comprobaciones adicionales. Si las BPDUs dejan de recibirse en un puerto no designado, y Loop Guard está habilitado, ese puerto pasa a un estado específico: “loop guard blocking”, en lugar de pasar a listening/learning/forwarding. Sin Loop Guard, el puerto asumiría la función de puerto designado. El puerto se hubiera movido al estado de STP forwarding y podría crear un bucle.

Cuando Loop Guard bloquea un puerto inconsistente, se genera este mensaje:

%SPANTREE-2-LOOPGUARD_BLOCK: Loop guard blocking port FastEthernet0/24 on VLAN0050.

Una vez que la BPDU se recibe nuevamente en un puerto en estado STP inconsistente el puerto cambia a otro estado STP. Cuando se recibe la BPDU la recuperación del puerto es automática y no es necesaria intervención del Administrador. Después de la recuperación, se genera el siguiente mensaje:

%SPANTREE-2-LOOPGUARD_UNBLOCK: Loop guard unblocking port FastEthernet0/24 on VLAN0050.

Configuración

Loop Guard es un feature que se habilita por puerto. Sin embargo, siempre y cuando bloquee el puerto a causa de un fallo de STP, Loop Guard coloca las interfaces en estado inconsistente por VLAN (cuando opera PVST), no la interfaz completa. Es decir, si una BPDU no se reciben en el puerto troncal en una sola VLAN en particular, solo esa VLAN se bloquea (cambia al estado STP inconsistente). Por la misma razón, si está habilitado en una interfaz EtherChannel, todo el canal será bloqueado para esa VLAN específica, no sólo un enlace (porque EtherChannel es considerado como una interfaz lógica desde la perspectiva de STP).

¿En qué puertos se habilitaría Loop Guard? 

Se sugiere que se habilite Loop Guard en los puertos no designados más precisamente, en los puertos raíz y puertos alternativos para todas las combinaciones posibles de topologías activas (considerando las múltiples VLANs en una implementación de PVST.

No se encuentra habilitado por defecto. Para habilitar lo es necesario ingresar la siguiente configuración:

Router(config)#interface gigabitEthernet 1/1

Router(config-if)#spanning-tree guard loop

Loop Guard también puede ser activado globalmente para cambiar la operación por defecto de modo que todos los enlaces punto a punto tengan Loop Guard operativo. Se utiliza el estado de negociación de dúplex para determinar que se trata de un enlace punto a punto; si el enlace está en full dúplex se considera un enlace punto a punto.

Router(config)#spanning-tree loopguard default 

Activa la operación de Loop Guard como opción por defecto para todos los enlaces punto a punto.

Activada esta forma de operación, es posible anularla por interfaz:

Router(config)#interface gigabitEthernet 1/1

Router(config-if)#no spanning-tree guard loop

Desactiva Loop Guard en la interfaz específica en la que se ejecuta.

Verificación

Router#show spanning-tree summary

Switch is in pvst mode

Root bridge for: none

EtherChannel misconfig guard is enabled

Extended system ID           is disabled

Portfast Default             is disabled

PortFast BPDU Guard Default  is disabled

Portfast BPDU Filter Default is disabled

Loopguard Default            is enabled

UplinkFast                   is disabled

BackboneFast                 is disabled

Pathcost method used         is short

Name      Blocking Listening Learning Forwar STP Active

--------- -------- --------- -------- ------ ----------

Total      0         0        0          0          0

 

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.