Protocol de verificació de xarxa: capa lògica - Araceli Saldaña Martinez

01 // Justificació Tècnica

La capa lògica d’una xarxa empresarial engloba totes les configuracions que permeten la comunicació ordenada, segura i eficient entre dispositius: l’adreçament IP, la segmentació per VLANs, el routing inter-VLAN, els serveis de DHCP i DNS, i les polítiques de seguretat lògica. A diferència de la capa física, els errors lògics no es detecten visualment i poden causar interrupcions totals del servei sense cap indicació aparent.

En la xarxa LAN Party d’aquest repte s’ha implementat una arquitectura Router-on-a-Stick: el Router1 (2811) gestiona el routing entre les 5 VLANs (99, 101, 102, 103, 104) mitjançant subinterfícies 802.1Q sobre un únic enllaç trunk. Verificar periòdicament la capa lògica és essencial per quatre raons:

1. Detecció d’errors de configuració — Una IP incorrecta o un port VLAN mal assignat pot aïllar completament un segment sense cap senyal física.
2. Garantia de seguretat lògica — Verificar credencials, ports oberts i accés als panells d’administració per detectar vulnerabilitats.
3. Correlació de resultats — Un ping fallat té múltiples causes possibles; la checklist guia el tècnic per descartar-les de forma sistemàtica.
4. Cobertura multiplataforma — El protocol documenta comandes equivalents per a Windows (ipconfig, tracert) i Linux (ip addr, traceroute), aplicable a qualsevol entorn empresarial.

✓ GO — Verificació Necessària

IPs privades correctes i dins del rang VLAN
Gateway configurat i accessible per ping
VLANs actives amb ports assignats al switch
Routing inter-VLAN funcional (tracert 2 salts)
DNS resol noms externs correctament
Credencials d’administració canviades

✗ NO-GO — Errors Crítics

PC amb IP 0.0.0.0, de xarxa o broadcast
Gateway incorrecte o inaccessible per ping
VLAN sense ports assignats al switch
Ping inter-VLAN falla (routing trencat)
DNS no resol o retorna IPs errònies
Credencials per defecte sense canviar

02 // Checklist Estandarditzada — Capa Lògica

FASE A — Verificació d’Adreçament IP

A.1

Verificar IP privada de cada host ALTA

Win: ipconfig · Linux: ip addr show — Comprovar IP dins rang VLAN, màscara /24, no és IP de xarxa ni broadcast.

CLI

A.2

Verificar gateway per defecte ALTA

Win: ipconfig · Linux: ip route show — Gateway = subinterfície router per a la VLAN (ex. VLAN101 → 192.168.101.1).

CLI

A.3

Verificar assignació manual vs DHCP MITJA

Win: ipconfig /all (camp «DHCP activat») · Linux: ip addr show (text «dynamic» = DHCP). Verificar absència de conflictes d’adreça.

CLI

A.4

Verificar subinterfícies del router ALTA

Router CLI: show ip interface brief — Totes les subinterfícies han d’estar up/up. Verificar IP i encapsulació 802.1Q per cada VLAN.

CLI ROUTER

FASE B — Verificació de Segmentació (VLANs)

B.1

Verificar VLANs actives al switch ALTA

Switch CLI: show vlan brief — Totes les VLANs (99,101,102,103,104) han d’apareixer com «active» amb els ports correctes assignats.

CLI SWITCH

B.2

Verificar ports trunk entre switches i router ALTA

Switch CLI: show interfaces trunk — Ports trunk en mode trunking, encapsulació 802.1q, Native VLAN 99, VLANs 99,101-104 permeses i actives.

CLI SWITCH

B.3

Verificar ports oberts per VLAN MITJA

Linux (entorn real): nmap -sV 192.168.X.0/24 — Identificar serveis actius per VLAN, tancar ports innecessaris. No disponible a Packet Tracer.

ENTORN REAL

FASE C — Verificació de Connectivitat

C.1

Ping al gateway de la VLAN pròpia ALTA

Win: ping 192.168.X.1 · Linux: ping -c 4 192.168.X.1 — 4/4 paquets, 0% pèrdua. Si falla: verificar IP/màscara/gateway del host.

CLI

C.2

Ping inter-VLAN (verificació de routing) ALTA

Win: ping 192.168.Y.1 · Linux: ping -c 4 192.168.Y.1 — Verifica que el Router-on-a-Stick encamina entre VLANs. Si falla: revisar subinterfícies i trunk.

CLI

C.3

Tracert/traceroute inter-VLAN ALTA

Win: tracert 192.168.Y.Z · Linux: traceroute 192.168.Y.Z — 2 salts: Salt 1 = gateway VLAN origen, Salt 2 = host destí. Confirma el pas pel router.

CLI

C.4

Ping a Internet / DNS extern MITJA

Win: ping 8.8.8.8 · Linux: ping -c 4 8.8.8.8 — Si pinga IP però no nom → problema exclusiu de DNS.

CLI

FASE D — Verificació de DNS i DHCP

D.1

Resolució DNS de noms externs ALTA

Win/Linux: nslookup google.com — Ha de retornar IPs públiques vàlides. Verificar el servidor DNS configurat (camp «Server»).

CLI

D.2

Verificar assignació DHCP MITJA

Router CLI: show ip dhcp binding · Win: ipconfig /all — En entorn real amb DHCP: verificar IPs assignades dins del rang correcte per cada VLAN.

CLI ROUTER

FASE E — Verificació d’Amplada de Banda

E.1

Mesura d’ample de banda amb iperf3 BAIXA

Servidor: iperf3 -s · Client: iperf3 -c [IP_SERVIDOR] — Valors normals LAN Gigabit: >900 Mbps. No disponible a Packet Tracer; aplicar en entorn físic real.

ENTORN REAL

E.2

Test de velocitat Internet (speedtest) BAIXA

Linux: speedtest-cli · Win: speedtest.net o CLI — Alerta automàtica recomanada si baixa del 80% de l’ample de banda contractat.

ENTORN REAL

FASE F — Seguretat Lògica (PRO+)

F.1

Verificar canvi de credencials per defecte ALTA

Intentar accés amb credencials per defecte (admin/admin, cisco/cisco). Si funcionen → CRÍTIC: enable secret [pwd] + username admin secret [pwd].

SEGURETAT

F.2

Verificar accés als panells d’administració ALTA

Accés web (HTTP/HTTPS) accessible només des de VLAN 99 (Administrador). Recomanació: no ip http server — deshabilitar HTTP, usar només HTTPS.

SEGURETAT

F.3

Correlació de resultats entre comandes ALTA

Ping falla + show ip int brief up/up → problema VLAN/gateway al host. Ping GW OK + inter-VLAN falla → problema routing router. nslookup falla + ping IP OK → problema DNS.

DECISIÓ

↓ Descarregar Checklist PDF

03 // Taula de Comandes: Windows vs Linux

Verificació	Windows (CMD)	Linux (Terminal)	Dispositiu Xarxa
Adreçament IP	`ipconfig`	`ip addr show`	`show ip int brief`
Gateway / Rutes	`ipconfig`	`ip route show`	`show ip route`
Ping gateway	`ping 192.168.X.1`	`ping -c 4 192.168.X.1`	—
Ping inter-VLAN	`ping 192.168.Y.Z`	`ping -c 4 192.168.Y.Z`	—
Traça de ruta	`tracert 192.168.Y.Z`	`traceroute 192.168.Y.Z`	—
Resolució DNS	`nslookup google.com`	`nslookup google.com`	—
VLANs actives	—	—	`show vlan brief`
Ports trunk	—	—	`show interfaces trunk`
Ample de banda	`speedtest / iperf3`	`iperf3 -c [IP]`	—
Ports oberts	`netstat -an`	`nmap -sV [xarxa]`	—

04 // Fitxa d’Incidència Tipus

Registre d’Incidència — Capa Lògica

Núm. Incidència

Data i hora

Tècnic/a responsable

VLAN(s) afectada(s)

Símptoma observat

Causa arrel identificada

Solució aplicada

Resultat verificació

Resolució final

↓ Descarregar Fitxa PDF (en blanc)

05 // Evidències de Verificació

► Entorn Simulat — Packet Tracer (LAN Party)

EV-01Topologia LAN Party

Diagrama complet: Router1 (2811), Switch0-Central i 3 switches d’accés (2960-24TT), 11 PCs distribuïts en 4 VLANs (101–104) i VLAN de gestió (99).

Packet Tracer — Vista lògica

EV-02Subinterfícies Router1

Subinterfícies Fa0/0.1–Fa0/0.5 en estat up/up. Confirma el Router-on-a-Stick actiu per a les 5 VLANs amb IPs 192.168.99.1–104.1.

Router1# show ip interface brief

EV-03VLANs Switch0-Central

Les 5 VLANs (99 Administrador, 101–104) actives. Ports Fa0/5 (VLAN104) i Fa0/6 (VLAN103) assignats correctament al switch central.

Switch0-Central# show vlan brief

EV-04Ports Trunk Switch0-Central

Ports Fa0/1–Fa0/4 en mode trunking, 802.1q, Native VLAN 99. VLANs 99,101–104 permeses, actives i en Spanning Tree Forwarding.

Switch0-Central# show interfaces trunk

EV-05ipconfig — PC0 (VLAN 101)

PC0: IP 192.168.101.2/24, màscara 255.255.255.0, gateway 192.168.101.1. Configuració estàtica correcta dins VLAN 101 (Recursos-Humans).

C:\> ipconfig

EV-06Ping Gateway VLAN 101

Ping a 192.168.101.1: 4/4 paquets, 0% pèrdua, temps <1ms. Confirma connectivitat local a la VLAN pròpia correcta.

C:\> ping 192.168.101.1

EV-07Ping Inter-VLAN 101→102

Ping de VLAN101 a gateway VLAN102 (192.168.102.1): 4/4, 0% pèrdua. Demostra routing inter-VLAN via Router-on-a-Stick operatiu.

C:\> ping 192.168.102.1

EV-08Ping Inter-VLAN 101→103

Ping de VLAN101 a gateway VLAN103 (192.168.103.1): 4/4, 0% pèrdua. Confirma que la segmentació no impedeix la comunicació controlada entre VLANs.

C:\> ping 192.168.103.1

EV-09Tracert Gateway VLAN103

Tracert a 192.168.103.1: 1 salt directe al router. Confirma accessibilitat directa del gateway sense salts intermedis.

C:\> tracert 192.168.103.1

EV-10Tracert Inter-VLAN — 2 salts

Tracert a PC destí VLAN103 (192.168.103.2): Salt 1 → 192.168.101.1 (router), Salt 2 → 192.168.103.2. Prova visual del Router-on-a-Stick en funcionament.

C:\> tracert 192.168.103.2

► Entorn Real — Linux (PC Institut smx1-117)

EV-11Ping Internet — Linux

ping -c 4 8.8.8.8: 4/4 paquets, 0% pèrdua, latència ~15ms. Confirma connectivitat a Internet i ruta de sortida operativa.

$ ping -c 4 8.8.8.8

EV-12Resolució DNS — Linux

nslookup google.com: servidor 127.0.0.53 (systemd-resolved). Resol IPv4 216.58.204.174 i IPv6. Servei DNS operatiu.

$ nslookup google.com

EV-13ip addr show — Linux

eth0 activa (BROADCAST, MULTICAST, UP). IP 172.24.117.11/16 per DHCP, MAC f8:e4:3b:3a:21:d6. Equivalent Linux de ipconfig.

$ ip addr show

EV-14ip route show — Linux

Ruta per defecte via 172.24.130.254 (gateway DHCP). Xarxa 172.24.0.0/16 accessible directament. Equivalent Linux de route print.

$ ip route show

06 // Taula d’Incidències Típiques

Símptoma	Causa probable	Comanda diagnòstic	Solució
Ping gateway falla	IP/màscara incorrecta o gateway mal configurat	`ipconfig` / `ip addr`	Corregir IP estàtica o renovar DHCP
Ping inter-VLAN falla	Subinterfície router down o VLAN no al trunk	`show ip int brief` / `show int trunk`	`no shutdown` o afegir VLAN al trunk
PC no obté IP per DHCP	Port switch en VLAN incorrecta o pool exhaurit	`show vlan brief` / `show ip dhcp binding`	Reassignar port VLAN o ampliar pool DHCP
DNS no resol noms	Servidor DNS incorrecte o inaccessible	`nslookup google.com`	Corregir IP del servidor DNS al host
Tracert mostra >2 salts	Ruta subòptima o gateway incorrecte al host	`tracert` / `show ip route`	Revisar taula routing i gateway dels hosts
Accés amb credencials defecte	Dispositiu no securitzat post-instal·lació	Intent accés SSH/Telnet/Web	`enable secret` + `username admin secret`

07 // Reflexió i Conclusions

L’elaboració d’aquest protocol de verificació de la capa lògica m’ha permès comprendre que verificar una xarxa no és un procés lineal, sinó una metodologia de correlació: cada comanda aporta una peça del diagnòstic, i és la combinació de resultats la que permet localitzar l’error amb precisió. Un ping fallat pot tenir origen a la IP del host, al gateway, al trunk del switch o a les subinterfícies del router — sense una checklist estructurada, el tècnic pot perdre hores revisant el lloc equivocat.

Treballant sobre la xarxa LAN Party amb arquitectura Router-on-a-Stick, he pogut comprovar en primera persona com el tracert entre VLANs revela exactament el camí del paquet: primer salta al gateway de la VLAN d’origen (192.168.101.1) i després arriba al host destí (192.168.103.2). Aquesta visualització del routing inter-VLAN és impossible de detectar amb un simple ping, i demostra la importància d’usar les eines adequades en cada fase de la verificació.

Quant a la cobertura multiplataforma, he après que les comandes equivalents entre Windows i Linux no fan exactament el mateix: ip addr show a Linux mostra informació de capa 2 (MAC) i capa 3 (IP) juntes, mentre que ipconfig a Windows les separa. Conèixer aquestes diferències és fonamental per a un tècnic de xarxes que treballi en entorns mixtos.

Finalment, la incorporació del bloc de seguretat lògica (canvi de credencials, restricció d’accés als panells d’administració) m’ha recordat que la verificació tècnica no és només funcional: una xarxa que respon al ping però que manté les credencials per defecte és una xarxa vulnerable. El protocol complet cobreix tant la funcionalitat com la seguretat de la infraestructura de xarxa.