Saltar al contenido
CQ
CertifyQuiz

Repaso rápido

Repaso rápido: Switching – CCNA

Esta ficha de repaso te ayuda a revisar los conceptos fundamentales de switching Cisco CCNA antes de afrontar el quiz.

🚀 Ir al quiz← Volver al tema

Lo que realmente debes saber

El switching es uno de los bloques más importantes de la certificación CCNA. Trata sobre el funcionamiento de los switches Ethernet, la segmentación con VLAN, los enlaces trunk, la prevención de bucles con STP, la agregación de enlaces con EtherChannel y varios controles de seguridad Layer 2.

Para CCNA debes entender no solo las definiciones, sino también por qué existen estos mecanismos: separar el tráfico, reducir dominios de broadcast, evitar bucles, mejorar la fiabilidad y controlar el acceso a la red.

Conceptos clave

  • Switch Layer 2: reenvía tramas Ethernet usando la tabla de direcciones MAC.
  • Tabla de direcciones MAC: asocia direcciones MAC a puertos del switch.
  • VLAN: separa lógicamente una red Layer 2 en múltiples dominios de broadcast.
  • Access port: puerto asignado a una sola VLAN.
  • Trunk port: puerto que transporta tráfico de varias VLAN usando tagging 802.1Q.
  • Native VLAN: VLAN no etiquetada en un trunk 802.1Q.
  • STP: protocolo que previene bucles Layer 2 bloqueando caminos redundantes.
  • Root bridge: switch de referencia elegido por STP.
  • EtherChannel: agrega varios enlaces físicos en un único enlace lógico.
  • Port security: limita qué direcciones MAC pueden usar un puerto.
  • DHCP snooping: protege contra servidores DHCP no autorizados.
  • DAI: Dynamic ARP Inspection, protege contra ataques ARP spoofing.

Diferencias que no debes confundir

ConceptoSignificado principal
Access portPuerto para una sola VLAN
Trunk portPuerto que transporta varias VLAN
VLANDominio de broadcast lógico
Native VLANVLAN no etiquetada en trunk
Tabla MACTabla usada por el switch para reenviar tramas
STPPreviene bucles Layer 2
Root bridgeSwitch central en la topología STP
EtherChannelAgrega varios enlaces físicos
Port securityLimita direcciones MAC en un puerto
DHCP snoopingBloquea DHCP no autorizados
DAIProtege contra ARP spoofing

Cómo funciona un switch

Un switch Ethernet reenvía tramas en función de las direcciones MAC.

Cuando recibe una trama, el switch lee:

  • MAC de origen;
  • MAC de destino;
  • puerto de entrada;
  • VLAN asociada.

El switch aprende la MAC de origen y la inserta en la tabla de direcciones MAC. Si conoce el puerto asociado a la MAC de destino, reenvía la trama solo por ese puerto. Si no lo conoce, realiza flooding dentro de la VLAN correcta.

Para CCNA debes recordar que un switch no reenvía en función de direcciones IP cuando trabaja como switch Layer 2. El forwarding Layer 2 se basa en direcciones MAC.

VLAN

Una VLAN separa lógicamente una red Layer 2. Cada VLAN representa un dominio de broadcast separado.

Ejemplo:

  • VLAN 10 = usuarios;
  • VLAN 20 = servidores;
  • VLAN 30 = voice;
  • VLAN 99 = management.

La ventaja de las VLAN es que permiten separar el tráfico sin tener switches físicos separados para cada red.

Las VLAN ayudan a:

  • reducir tráfico broadcast;
  • separar departamentos o servicios;
  • mejorar seguridad y organización;
  • aplicar políticas diferentes;
  • facilitar troubleshooting y gestión.

Access port

Un access port pertenece normalmente a una sola VLAN. Se usa para conectar dispositivos finales como PC, impresoras, teléfonos IP o endpoints.

Ejemplo conceptual:

  • un puerto conectado a un PC puede ser access en la VLAN 10;
  • un puerto conectado a una impresora puede ser access en la VLAN 20.

Un puerto access normalmente no transporta etiquetas VLAN hacia el dispositivo final.

Trunk port

Un trunk port transporta tráfico de varias VLAN entre switches, routers, firewalls u otros dispositivos de red.

El trunk usa normalmente el estándar IEEE 802.1Q, que añade una etiqueta a la trama Ethernet para indicar a qué VLAN pertenece.

Ejemplos típicos de trunk:

  • switch hacia switch;
  • switch hacia router para router-on-a-stick;
  • switch hacia firewall;
  • switch hacia hypervisor;
  • switch hacia access point que gestiona varios SSID/VLAN.

Para CCNA debes distinguir claramente access port y trunk port.

Native VLAN

La native VLAN es la VLAN que viaja sin etiqueta en un trunk 802.1Q.

Este concepto aparece a menudo en los quiz porque puede crear problemas de seguridad o configuración si no es coherente en ambos lados del trunk.

Buenas prácticas comunes:

  • evitar usar la VLAN 1 como native VLAN;
  • usar una VLAN no utilizada como native VLAN;
  • mantener la native VLAN igual en ambos lados del trunk;
  • no usar la native VLAN para tráfico importante de usuarios.

Routing inter-VLAN

Las VLAN separan el tráfico Layer 2. Para que dispositivos en VLAN diferentes se comuniquen, se necesita routing.

Las soluciones más comunes son:

  • router-on-a-stick;
  • switch Layer 3 con SVI;
  • firewall o router que enruta entre VLAN.

Ejemplo:

  • un PC en VLAN 10 no se comunica directamente con un servidor en VLAN 20;
  • se necesita un dispositivo Layer 3 que haga routing entre las VLAN.

Para CCNA es importante recordar que el switch Layer 2 separa las VLAN, pero el routing entre VLAN requiere funcionalidad Layer 3.

STP

STP, Spanning Tree Protocol, sirve para prevenir bucles Layer 2.

Los bucles Layer 2 son peligrosos porque Ethernet no tiene TTL como IP. Un bucle puede generar:

  • broadcast storm;
  • duplicación de tramas;
  • inestabilidad de la tabla de direcciones MAC;
  • red lenta o completamente inutilizable.

STP crea una topología lógica sin bucles bloqueando algunos caminos redundantes. Los enlaces redundantes siguen siendo útiles porque pueden activarse en caso de fallo.

Root bridge

El root bridge es el switch de referencia en la topología STP.

STP elige el root bridge según el Bridge ID, compuesto principalmente por:

  • bridge priority;
  • dirección MAC.

Gana el Bridge ID más bajo.

Para controlar la topología STP, a menudo se configura manualmente la priority del switch que se quiere convertir en root bridge.

Puertos STP

En CCNA debes conocer al menos el significado general de los roles principales:

  • Root port: mejor puerto hacia el root bridge.
  • Designated port: puerto que reenvía tráfico en un segmento.
  • Blocked/alternate port: puerto bloqueado para prevenir bucles.

El punto importante no es memorizar cada detalle avanzado, sino entender que STP decide qué puertos reenvían y cuáles se bloquean para evitar bucles.

EtherChannel

EtherChannel permite combinar varios enlaces físicos en un único enlace lógico.

Ventajas:

  • mayor ancho de banda agregado;
  • redundancia;
  • mejor utilización de los enlaces;
  • STP ve el bundle como una sola conexión lógica.

EtherChannel puede configurarse:

  • estáticamente;
  • con PAgP;
  • con LACP.

Para CCNA debes recordar que los enlaces miembros deben tener configuraciones coherentes: velocidad, dúplex, VLAN, modo trunk/access y parámetros compatibles.

Port security

Port security limita qué direcciones MAC pueden usar un puerto del switch.

Puede ser útil para impedir que dispositivos no autorizados se conecten a puertos access.

Puede usar:

  • MAC estáticas;
  • MAC dinámicas;
  • sticky MAC address.

Las acciones típicas en caso de violación incluyen:

  • protect;
  • restrict;
  • shutdown.

En los quiz CCNA, shutdown suele ser el comportamiento predeterminado más severo: el puerto puede pasar a estado err-disabled.

DHCP snooping

DHCP snooping protege la red contra servidores DHCP no autorizados.

El concepto clave es la distinción entre:

  • puertos trusted;
  • puertos untrusted.

Los puertos hacia servidores DHCP legítimos o uplinks controlados pueden ser trusted. Los puertos hacia usuarios finales normalmente permanecen untrusted.

DHCP snooping puede bloquear respuestas DHCP provenientes de puertos no autorizados.

Dynamic ARP Inspection

Dynamic ARP Inspection, o DAI, ayuda a proteger contra ARP spoofing y ARP poisoning.

DAI controla los mensajes ARP y verifica que sean coherentes con información confiable, a menudo derivada de la tabla de DHCP snooping.

El punto clave es que DHCP snooping y DAI trabajan a menudo juntos: DHCP snooping construye una base de confianza, DAI la usa para validar ARP.

Errores comunes en los quiz

  • Confundir access port y trunk port.
  • Pensar que una VLAN permite automáticamente comunicación con otras VLAN.
  • Olvidar que para comunicarse entre VLAN hace falta routing.
  • Confundir native VLAN y management VLAN.
  • Pensar que STP aumenta la velocidad de la red.
  • Olvidar que STP sirve para prevenir bucles.
  • Pensar que EtherChannel es solo redundancia y no también agregación lógica.
  • Configurar EtherChannel con parámetros incoherentes entre puertos.
  • Confundir port security con ACL.
  • Pensar que DHCP snooping bloquea todos los DHCP, incluso los legítimos.
  • Olvidar que DAI protege contra ataques ARP, no contra todos los ataques Layer 2.

Mini escenario de examen

Una empresa tiene dos switches conectados con varios enlaces físicos. Sin un mecanismo de protección, la topología puede crear bucles Layer 2 y causar broadcast storms. La solución principal para prevenir bucles es usar STP.

Si en cambio el objetivo es usar varios enlaces físicos como una única conexión lógica aumentando ancho de banda y redundancia, la solución más adecuada es EtherChannel.

Mini checklist antes del quiz

Antes de empezar el quiz deberías saber explicar:

  • cómo un switch usa la tabla de direcciones MAC;
  • qué significa VLAN;
  • la diferencia entre access port y trunk port;
  • para qué sirve la native VLAN;
  • por qué hace falta routing entre VLAN diferentes;
  • por qué STP previene bucles Layer 2;
  • qué significa root bridge;
  • para qué sirve EtherChannel;
  • por qué los puertos EtherChannel deben tener configuraciones coherentes;
  • qué hace port security;
  • para qué sirve DHCP snooping;
  • por qué DAI protege contra ARP spoofing.

FAQ

¿Qué es switching en CCNA?

Switching trata sobre el funcionamiento de los switches Ethernet, el reenvío de tramas mediante la tabla de direcciones MAC, VLAN, trunks, STP, EtherChannel y controles Layer 2.

¿Cuál es la diferencia entre access port y trunk port?

Un access port normalmente pertenece a una sola VLAN y se usa para dispositivos finales. Un trunk port transporta tráfico de varias VLAN usando tagging 802.1Q.

¿Para qué sirve una VLAN?

Una VLAN separa lógicamente una red Layer 2 en diferentes dominios de broadcast. Ayuda a organizar el tráfico, reducir broadcasts y separar usuarios o servicios.

¿Por qué hace falta STP?

STP sirve para prevenir bucles Layer 2. Sin STP, enlaces redundantes entre switches pueden causar broadcast storms e inestabilidad de red.

¿Para qué sirve EtherChannel?

EtherChannel agrega varios enlaces físicos en un único enlace lógico, ofreciendo más ancho de banda, redundancia y una gestión más ordenada por parte de STP.

¿Qué hace port security?

Port security limita qué direcciones MAC pueden usar un puerto del switch y puede bloquear o deshabilitar el puerto en caso de violación.

¿Para qué sirve DHCP snooping?

DHCP snooping protege contra servidores DHCP no autorizados distinguiendo puertos trusted y untrusted.

¿Para qué sirve Dynamic ARP Inspection?

Dynamic ARP Inspection ayuda a prevenir ARP spoofing comprobando que los mensajes ARP sean coherentes con información confiable.

Ahora pon a prueba lo que has repasado

Después del repaso, pasa al quiz para comprobar si realmente has entendido los conceptos principales.

🚀 Ir al quiz