Professional Documents
Culture Documents
de redes VLAN.
(V. 1.0)
Orientado a la titulacin CISCO CCNA Exploration 3.
Este obra est bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported.
Puede ver las condiciones completas de la licencia en esta direccin:
http://creativecommons.org/licenses/by-nc-sa/3.0/
NDICE.
Licencia de Uso y Distribucin................................................................................................ 4
Comentarios del Autor............................................................................................................. 5
1. Introduccin: Los Catalyst de CISCO................................................................................ 7
2. Arquitectura Interna de un Catalyst 2960....................................................................... 9
2.1. Las Lneas de un Catalyst................................................................................................ 9
2.2. Las Interfaces de un Catalyst......................................................................................... 10
2.2.1. Nomenclatura de la Interfaces en el IOS.............................................................11
2.3. El Sistema de Memoria de un Catalyst........................................................................... 12
3. Acceso a la CLI del IOS..................................................................................................... 14
3.1. Acceso a la CLI mediante la lnea de Consola................................................................14
3.2. Acceso a la CLI mediante una lnea virtual.....................................................................18
3.2.1. Diferencias entre el acceso al CLI mediante la lnea de consola y las lneas
virtuales........................................................................................................... 18
3.3. Modos de acceso del IOS............................................................................................... 19
3.4. Secuencia de Arranque de un CISCO Catalyst................................................................22
4. Gestin de la Configuracin de un Catalyst........................................................23
4.1. Los Ficheros de Configuracin del Switch....................................................................... 23
4.2. Comandos de Gestin de la Configuracin.....................................................................24
5. Configuracin Bsica de un Switch Catalyst.......................................................26
5.1. Configuraciones globales............................................................................................... 27
5.2. Configuracin de lneas................................................................................................. 29
5.3. Configuracin de VLANs................................................................................................. 29
5.4. Configuracin fsica de las interfaces Ethernet..............................................................29
5.5. Modos de las Interfaces o Puertos. El protocolo DTP......................................................30
5.5.1. Operational Mode............................................................................................... 31
5.5.2. Administrative Mode........................................................................................... 31
5.5.3. Administrative Trunking Encapsulation...............................................................32
5.5.4. Negotiation of Trunking...................................................................................... 32
5.5.5. Combinaciones de las configuraciones de Puerto...............................................33
5.5.6. Revisin de las configuraciones de Puerto..........................................................33
5.5.7. Resultados del Modo de Operacin.....................................................................34
5.5.8. Consejos a la hora de configurar los puertos......................................................35
5.6. Asignacin de VLANs a los Puertos de acceso esttico..................................................36
Pgina 2.
joaquin.dominguez@regionalcit.es
Pruebas tpicas........................................................................................................ 56
A1.2.
A1.3.
A1.4.
Pgina 3.
joaquin.dominguez@regionalcit.es
Este obra est bajo una licencia de Creative Commons Reconocimiento-NoComercialCompartirIgual 3.0 Unported.
Puede ver las condiciones completas de la licencia en esta direccin:
http://creativecommons.org/licenses/by-nc-sa/3.0/
Si no quieres leer el texto entero, te resumo lo que puedes hacer (legalmente) con este
documento:
1.
2.
Copiarlo y redistribuirlo tal cul est sin lmite alguno, salvo que no puedes obtener
beneficios econmicos por ello.
3.
4.
Redistribuir las modificaciones, pero en este caso cumpliendo estos sencillos requisitos:
1.
2.
En tu nueva obra debes aadir el nombre de todos los autores que hayan colaborado
en el documento, desde la primera versin hasta la tuya.
3.
Recuerda que ests obligado a redistribuir la obra resultante con la misma licencia
que la primera versin (CC by-nc-sa).
Pgina 4.
joaquin.dominguez@regionalcit.es
Pgina 5.
joaquin.dominguez@regionalcit.es
Por ltimo, quiero dedicar este documento a mis compaeros de la Academia Regional Crculos
de Innovacin y Tecnologa, especialmente a Enrique Montero quien, inasequible al
desaliento, siempre nos empuja a mejorar.
Un cordial saludo.
Pgina 6.
joaquin.dominguez@regionalcit.es
Dentro de la familia de switches CISCO, que se denomina Catalyst2, hay aparatos pensados
para dar servicio en las distintas capas, segn el tamao de la organizacin que haya que cubrir.
En el siguiente esquema se organizan los Catalyst segn su uso:
Podemos ver que en organizaciones de tamao pequeo o casi medio, el aparato recomendado
para la capa de acceso es el Catalyst 2960. Este es adems, el modelo ms utilizado en los
laboratorios de las Networking Academies de CISCO y por lo tanto es el que vamos a tratar en
este manual.
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/bord_net_switching_poster.pdf
Pgina 7.
joaquin.dominguez@regionalcit.es
En cualquier caso, aunque nos centremos en este modelo, todo lo que veamos aqu ser
aplicable a cualquier Catalyst, ya que su programacin y uso depende de la versin de IOS que
instalemos. El hardware slo aportar ms o menos rendimiento y la posibilidad de programar
algunas cuestiones ms avanzadas en los modelos ms altos.
De la serie Catalyst 2960 se venden distintas versiones 3, que se diferencian bsicamente en el
nmero de puertos y en los tipos de puertos que soporta 4, aunque todos son switches de la
familia Ethernet a 100/1000 Mbps. CISCO los cataloga como switches de bajo coste, pero fullfeatured, es decir, con todas las caractersticas incluidas. Podemos resumir sus capacidades
generales en estas:
VLAN.
QoS.
Seguridad de puerto.
PoE.
Agregado de enlace.
Filtrado de tramas.
100/1000 Mbps.
Si bien las caractersticas concretas dependen de cada modelo fsico y del sistema operativo que
se le instale5.
http://www.cisco.com/en/US/products/ps6406/prod_models_comparison.html
El IOS de CISCO tiene diversas versiones con ms o menos funcionalidades, as podemos elegir el que ms se ajuste a
nuestras necesidades.
Pgina 8.
joaquin.dominguez@regionalcit.es
DE UN
CATALYST.
Las lneas son entradas para realizar una conexin de terminal al switch, con el fin de
programarlo (no debemos de olvidar que un switch no tiene ni teclado ni pantalla propios). Hay
dos tipos de lneas:
Lneas virtuales: Pueden ser conexiones Telnet o SSH. Estas lneas son virtuales y no
reales, ya que las conexiones llegarn al switch a travs de alguno de los puertos del
Pgina 9.
joaquin.dominguez@regionalcit.es
Switch. La conexin se puede realizar desde cualquier ordenador remoto que tenga
acceso TCP/IP con el switch.
A continuacin mostramos un esquema de las lneas de un Switch:
Cada lnea tiene un nombre en el IOS. La lnea de consola se llama console 0, aunque se puede
abreviar por con 0, por ejemplo. Un Catalyst 2960 admite hasta 16 conexiones simultneas
Telnet o SSH, por lo que se denominan vty 0 hasta vty 15.
DE UN
CATALYST.
Las interfaces son los puertos por los cuales el switch recibe y reenva las tramas de red. Un
Catalyst 2960 las interfaces se agrupan en dos mdulos distintos:
El primer mdulo contendr un buen nmero de interfaces Fast Ethernet (12, 24, 48
dependiendo del modelo concreto). Se dedican al acceso de los ordenadores de los
usuarios a la red.
Pgina 10.
joaquin.dominguez@regionalcit.es
Pgina 11.
joaquin.dominguez@regionalcit.es
2.3. EL SISTEMA
DE
MEMORIA
DE UN
CATALYST.
Pgina 12.
joaquin.dominguez@regionalcit.es
2.3.Otros ficheros: La memoria flash est disponible para que el administrador de la red
almacene otros ficheros, como varias versiones distintas del IOS, ficheros de
configuracin alternativos, etc.
3. La NVRAM, o RAM No Voltil: Funcionalmente es idntica a la memoria flash, si bien es
un espacio de memoria distinto. Sirve para almacenar
3.1.El fichero de configuracin inicial, o Startup-Config: Es un fichero de texto plano
que guarda la configuracin del aparato. Al arrancar, despus de cargar el IOS, el
aparato busca este fichero, lo carga en memoria y lo ejecuta, haciendo efectiva la
configuracin que incluye.
4. La memoria RAM: Es una memoria voltil, que pierde su contenido al ser apagada. Sirve
para almacenar
4.1.El fichero de configuracin activo, o Running-Config: Contiene la configuracin que
est activa en ese momento.
4.2.Datos de trabajo: Como la tabla de conmutacin, la tabla ARP, etc.
4.3.El sistema operativo ejecutndose.
Pgina 13.
joaquin.dominguez@regionalcit.es
3.1. ACCESO
A LA
CLI MEDIANTE
LA
LNEA
DE
CONSOLA.
La conexin se realiza entre la lnea de consola del Catalyst, que es un conector hembra RJ-45 y
un puerto serie de un ordenador, que tendr un conector macho DB-9 o DB-25. Para ello se
pueden usar dos cables distintos:
Pgina 14.
joaquin.dominguez@regionalcit.es
El latiguillo es un cable UTP de red, normal y corriente, salvo que las conexiones
entre los pines son totalmente cruzadas, tal y como se muestra en el siguiente
esquema:
Como el latiguillo tiene dos conectores macho RJ-45, en el extremo que debemos
conectar en el puerto serie del ordenador, necesitaremos un adaptador hembra
RJ-45 a macho DB-9 o DB-25. Vemos uno en la siguiente fotografa:
Una vez que hayamos conectado fsicamente el Catalyst con el ordenador, tendremos que
realizar la conexin lgica. Para ello, en el ordenador ejecutaremos un software de emulacin de
terminal, como el hyperterminal de Windows, o el putty en sistemas Windows o Linux Nosotros
pondremos el ejemplo con el hyperterminal.
En el software de emulacin elegiremos una nueva conexin a travs del puerto serie (el
adecuado, un ordenador de sobremesa suele tener dos COM1 y COM2) y elegiremos las
siguientes opciones de comunicacin:
9600 bps.
8 bits de datos.
0 bits de paridad.
Pgina 15.
joaquin.dominguez@regionalcit.es
PressRETURNtogetstarted.
Switch>
En este caso, al no tener configuracin, no pide contrasea, entra directamente al CLI y muestra
el prompt Switch>
A continuacin se muestra el proceso de arranque de un Catalyst 2960 visto desde una conexin
por consola:
C2960BootLoader(C2960HBOOTM)Version12.2(25r)FX,RELEASESOFTWARE(fc4)
CiscoWSC296024TT(RC32300)processor(revisionC0)with21039Kbytesofmemory.
296024TTstarting...
BaseethernetMACAddress:0001.4343.1BC4
Xmodemfilesystemisavailable.
Pgina 16.
joaquin.dominguez@regionalcit.es
InitializingFlash...
flashfs[0]:1files,0directories
flashfs[0]:0orphanedfiles,0orphaneddirectories
flashfs[0]:Totalbytes:64016384
flashfs[0]:Bytesused:4414921
flashfs[0]:Bytesavailable:59601463
flashfs[0]:flashfsfscktook1seconds.
...doneInitializingFlash.
BootSectorFilesystem(bs:)installed,fsid:3
ParameterBlockFilesystem(pb:)installed,fsid:4
Loading"flash:/c2960lanbasemz.12225.FX.bin"...
##########################################################################[OK]
RestrictedRightsLegend
Use,duplication,ordisclosurebytheGovernmentis
subjecttorestrictionsassetforthinsubparagraph
(c)oftheCommercialComputerSoftwareRestricted
RightsclauseatFARsec.52.22719andsubparagraph
(c)(1)(ii)oftheRightsinTechnicalDataandComputer
SoftwareclauseatDFARSsec.252.2277013.
ciscoSystems,Inc.
170WestTasmanDrive
SanJose,California951341706
CiscoIOSSoftware,C2960Software(C2960LANBASEM),Version12.2(25)FX,RELEASESOFTWARE
(fc1)
Copyright(c)19862005byCiscoSystems,Inc.
CompiledWed12Oct0522:05bypt_team
Imagetextbase:0x80008098,database:0x814129C4
CiscoWSC296024TT(RC32300)processor(revisionC0)with21039Kbytesofmemory.
24FastEthernet/IEEE802.3interface(s)
2GigabitEthernet/IEEE802.3interface(s)
63488Kbytesofflashsimulatednonvolatileconfigurationmemory.
BaseethernetMACAddress:0001.4343.1BC4
Motherboardassemblynumber:73983206
Powersupplypartnumber:341009702
Motherboardserialnumber:FOC103248MJ
Powersupplyserialnumber:DCA102133JA
Modelrevisionnumber:B0
Motherboardrevisionnumber:C0
Modelnumber:WSC296024TT
Systemserialnumber:FOC1033Z1EY
TopAssemblyPartNumber:8002667102
TopAssemblyRevisionNumber:B0
VersionID:V02
CLEICodeNumber:COM3K00BRA
HardwareBoardRevisionNumber:0x01
SwitchPortsModelSWVersionSWImage
*126WSC296024TT12.2C2960LANBASEM
Pgina 17.
joaquin.dominguez@regionalcit.es
CiscoIOSSoftware,C2960Software(C2960LANBASEM),Version12.2(25)FX,RELEASESOFTWARE
(fc1)
Copyright(c)19862005byCiscoSystems,Inc.
CompiledWed12Oct0522:05bypt_team
PressRETURNtogetstarted!
3.2. ACCESO
A LA
CLI MEDIANTE
UNA
LNEA VIRTUAL.
Para poder conectarnos por este mtodo, podemos utilizar cualquier software de nuestro agrado
para implementar la conexin remota, si bien es necesario que se cumplan los siguientes
requisitos:
1. El switch debe estar arrancado correctamente.
2. El switch debe tener bien configurada su direccin IP, mscara de red y puerta de
enlace.
3. El switch debe tener bien configurado el acceso remoto, ya sea por telnet o por ssh 8.
Esto incluye obligatoriamente la configuracin de una contrasea. Un switch que no
tenga configurada contrasea en las lneas virtuales NO permitir las conexiones
virtuales.
4. El ordenador con el que nos queramos conectar al switch debe tener acceso IP al switch.
Si se cumplen todos estos requisitos, la conexin se podr llevar a cabo sin problema alguno.
3.2.1. Diferencias entre el acceso a la CLI mediante la lnea de consola y las lneas
virtuales.
Las diferencias entre ambos mtodos son las siguientes:
Desde consola se necesita tener acceso fsico al aparato, desde las lneas virtuales no.
Desde consola se puede acceder a un aparato en blanco o sin configuracin, desde las
lneas virtuales no.
Las conexiones mediante TELNET no cifran las comunicaciones, por lo que son 100% inseguras. Se recomienda el uso
exclusivo de las conexiones por SSH y nunca por TELNET.
Pgina 18.
joaquin.dominguez@regionalcit.es
Desde consola se tiene acceso al ROM Monitor, que es la versin reducida del IOS que se
arranca cuando el aparato no tiene ninguna IOS cargada. Desde las lneas virtuales, no.
3.3. MODOS
DE
ACCESO
DEL
IOS.
El IOS tiene diversos modos de acceso, que son como niveles de acceso distintos, donde en
cada nivel se puede usar un conjunto exclusivo de comandos. Son niveles jerrquicos y hay que
ir pasando de un modo a otro.
Empecemos por ver un esquema completo y luego lo iremos explicando:
Pgina 19.
joaquin.dominguez@regionalcit.es
Prompt: nombreswitch>
Comandos:
Prompt: nombreswitch#
Comandos:
Depuracin y pruebas.
Prompt: nombreswitch(Config)#
Comandos:
Pgina 20.
joaquin.dominguez@regionalcit.es
Comandos:
Exit: Sube un nivel (en el sentido del esquema anterior). Si est en usuario privilegiado,
o en usuario restringido, sale de la consola.
El modo de usuario privilegiado incorpora todos los comandos del modo de usuario
restringido y le aade muchos ms. El resto de modos no hereda los comandos del
modo anterior. Es decir, a partir del modo de usuario privilegiado, cada modo del IOS tiene su
propio conjunto de comandos, cada vez que se avanza un nivel NO se tienen disponibles los
comandos del nivel anterior.
Pgina 21.
joaquin.dominguez@regionalcit.es
3.4. SECUENCIA
DE
ARRANQUE
DE UN
CISCO CATALYST.
Pgina 22.
joaquin.dominguez@regionalcit.es
DE
CONFIGURACIN
DEL
SWITCH.
La configuracin de todos los aparatos CISCO, tanto routers como switches, se basan en lo
mismo: textos planos escritos en lenguaje IOS. Veamos cmo se gestionan estos ficheros y por
lo tanto, cmo se gestiona la configuracin de los aparatos CISCO.
En la NVRAM (RAM no voltil, que no pierde su contenido cuando el aparato se apaga), se
almacena el STARTUP-CONFIG12, o fichero de configuracin inicial. Su misin es poder guardar de
forma permanente la configuracin del aparato.
En la RAM se encuentra el RUNNING-CONFIG13, o fichero de configuracin actual. Como est en
la RAM, se pierde si se apaga el aparato. Este fichero contiene la configuracin activa, la que el
aparato est ejecutando.
Fijmonos en que los contenidos del STARTUP-CONFIG y del RUNNING-CONFIG no tienen por qu
ser iguales. Y para aprender a usarlos, lo mejor ser enunciar estas normas de funcionamiento:
1. El fichero STARTUP-CONFIG no se puede editar de ninguna manera.
2. El fichero RUNNING-CONFIG se edita desde el CLI. Cada vez que introducimos una lnea
de configuracin, al darle al RETURN se carga en el RUNNING-CONFIG y por tanto se
ejecuta de forma inmediata.
3. Al arrancar, si todo va bien y tenemos un STARTUP-CONFIG guardado en la NVRAM, se
copiar su contenido sobre el RUNNING-CONFIG y comenzar a ejecutarse.
4. En cualquier momento se puede copiar el contenido del RUNNING-CONFIG en el
STARTUP-CONFIG, lo que equivale a salvar la configuracin actual.
5. En cualquier momento se puede copiar el contenido del STARTUP-CONFIG en el
RUNNING-CONFIG, lo que equivale a volver a una configuracin anterior a los ltimos
cambios. Para esto es necesario que exista el STARTUP-CONFIG.
6. En cualquier momento se puede borrar el fichero STARTUP-CONFIG.
12 Tambin se puede referenciar como nvram:startupconfig
13 Tambin se puede referenciar como system:runningconfig
Pgina 23.
joaquin.dominguez@regionalcit.es
4.2. COMANDOS
Vamos
DE
GESTIN
DE LA
CONFIGURACIN.
2.
2.2.Borrar el startup-config
Switch#erasestartupconfig
2.5.Reiniciar el aparato
Switch#reload
Los tres primeros casos son ubicaciones, por lo que al ejecutar el comando nos
preguntar por los nombres de los ficheros. Adems, en el caso de tftp, nos pedir la IP
del servidor.
2.7.Borrar ficheros.
Switch#deleteflash:nombre_fichero
Pgina 24.
joaquin.dominguez@regionalcit.es
Switch#showrunningconfig
Consejos:
1.
En un Switch, las VLAN se almacenan en el fichero flash:vlan.dat. Si borramos el startupconfig y reiniciamos, no borraremos por tanto las VLAN, para ello habr que borrar el fichero
y reiniciar:
Switch#deleteflash:vlan.dat
Switch#reload
2.
Cuando estemos configurando un aparato, debemos recordar ir salvando los cambios que
vamos realizando, puesto que no hay un guardado automtico.
Switch#copyrunningconfigstartupconfig
4.
editar el running-config no es
sencillo,
as que
es
5.
6.
Debemos tener mucho cuidado al usar el comando delete, pues podemos borrar algn
fichero importante. Recordemos que el IOS est comprimido en un fichero almacenado en la
flash y que all se guarda tambin el fichero con las configuraciones de las VLAN.
Pgina 25.
joaquin.dominguez@regionalcit.es
Configuracin IP: Para que el Switch sea accesible a travs de la red, necesita
una direccin IP, una mscara y la direccin de la puerta de enlace. Esto no es
imprescindible, pero si no lo hiciramos, la nica manera de acceder al CLI sera
mediante puerto de consola.
2.
3.
4.
Una vez realizadas estas configuraciones, nuestro Switch estar operativo y plenamente
funcional... Veamos ahora cmo se realizan estas configuraciones, por supuesto, con ejemplos,
que es ms claro.
Pgina 26.
joaquin.dominguez@regionalcit.es
Que el switch tenga, al menos, una conexin activa con protocolo trunk (ya sea con otro
switch, o con un router).
Pgina 27.
joaquin.dominguez@regionalcit.es
Es decir, que la interface virtual se levantar si es accesible desde algn aparato externo.
Ahora se nos plantea un problema de seguridad: Es conveniente que no haya ningn
ordenador conectado a la VLAN de administracin, salvo los de los administradores
de la red. Como todas las interfaces estn configuradas por defecto dentro de la VLAN 1,
conviene decidir entre una de estas dos opciones de configuracin:
1. Opcin 1: Si usamos la VLAN 1 como la VLAN de administracin y le asignamos IP a la
interface virtual VLAN 1, entonces nos preocuparemos de no dejar ningn puerto asignado a
la VLAN 1, salvo los correspondientes a las conexiones de los administradores de la red.
2. Opcin 2: Cambiar la VLAN de administracin de VLAN 1 a otra, como por ejemplo VLAN
99. No darle configuracin IP a la interface VLAN 1 y desactivar la interface. Darle la
configuracin IP a la interface virtual VLAN 99 y levantarla. No asignar ningn puerto a la
VLAN 99, salvo los correspondientes a las conexiones de los administradores de la red.
Switch>enable
Entraenelmodoprivilegiado.
Switch#configureterminal
Entraenelmododeconfiguracinglobal.
Switch(config)#interfacevlan99
Crealainterfacevirtualvlan99,crealaVLAN99
yentraaconfigurarlainterfacevlan99.
Switch(configif)#ipaddress172.16.20.10255.255.255.0
LeasignaunadireccinIPyunamscara.
Switch(configif)#noshutdown
Levantalainterface.
Switch(config)#interfacevlan1
Entraaconfigurarlainterfacevlan1.
Switch(configif)#noipaddress
Seaseguradequevlan1notengadireccinIP.
Switch(configif)#shutdown
Desactivalainterfacevlan1.
En la prctica, el switch admite tener varias interfaces virtuales levantadas y varias VLAN de
administracin, pero esto no es aconsejable en absoluto.
Veamos ahora el resto de configuraciones globales:
Switch>enable
Entraenelmodoprivilegiado.
Switch#configureterminal
Entraenelmododeconfiguracinglobal.
Switch(Config)#hostnamePractica
Estableceelnombredelaparato.
Practica(config)#banner motd # Unauthorized access strictly prohibited and
prosecuted to the full extent of the law. El acceso no autorizado est
estrictamenteprohibidoyseraperseguidocontodalafuerzadelaley.#
Estableceelmensajedebienvenida.
Practica(config)#enablesecretclass
Definelacontraseadelmodoprivilegiado.
Practica(config)#ipdefaultgateway172.16.1.1
Definelapuertadeenlacequeusarelswitch.
Pgina 28.
joaquin.dominguez@regionalcit.es
De esta manera seleccionamos las lneas vty0, vty1, , vty 15 todas a la vez, para
configurarlas juntas:
Practica(configline)#linevty015
Entraaconfigurarlaslneasvirtualesvty0avty15.
Practica(configline)#passwordcisco54321
Lesconfiguraatodaslacontraseacisco12345.
Practica(configline)#login
Activaelaccesoatravsdelas16lneasvty.
5.3. CONFIGURACIN
DE
VLANS.
Una VLAN se crea con el comando vlan ms el nmero de la VLAN que deseemos crear.
El comando name le asigna nombre. Estos comandos crean las VLAN 2, 3, 4 y 5 y les
asigna un nombre a cada una:
Practica(config)#vlan2
CrealaVLAN2yentraaconfigurarla.
Practica(configvlan)#nameALUMNOS
LeasignaalaVLAN2elnombreALUMNOS.
Practica(configvlan)#vlan3
CrealaVLAN3yentraaconfigurarla.
Practica(configvlan)#namePROFESORES
LeasignaalaVLAN3elnombrePROFESORES.
Practica(configvlan)#vlan4
CrealaVLAN4yentraaconfigurarla.
Practica(configvlan)#nameDIRECCION
LeasignaalaVLAN4elnombreDIRECCION.
Practica(configvlan)#
DE LAS
INTERFACES ETHERNET.
No es necesario configurar las interfaces del Catalyst, ya que estn correctamente configuradas
por defecto. Esta configuracin garantiza que una interface usar la autonegociacin para
garantizar que funcionar en el modo ms rpido que permita el hardware y el cable.
Sin embargo, tenemos la posibilidad de forzar una configuracin manual de las interfaces, con
los siguientes comandos:
Pgina 29.
joaquin.dominguez@regionalcit.es
El comando speed {auto | 10 | 100 | 1000} sirve para configurar una velocidad fija
o la autonegociacin de velocidad. Una interface Gigabit permitir seleccionar entre las
cuatro opciones. Una interface FastEthernet, permitir elegir entre auto, 10 o 100.
Si deseamos fijar una interface Gigabit a 1Gbps fulldplex, y aadirle una descripcin, se hara
as:
Practica(config)#interfaceg1/1
Entraenelmododeconfiguracindelainterfacef0/1.
Practica(configif)#speed1000
Configuralavelocidaden1Gbps.
Practica(configif)#duplexfull
Configuraelmododplexenfulldplex.
Practica(configif)#descriptionConexindelWebServer.
Leasignaunadescripcinalainterface.
Para comprobar que esta configuracin surte efecto, podemos ver el running-config o ver el
estado de las interfaces con el comando show interfaces status (funciona dependiendo de la
versin del IOS).
5.5. MODOS
DE LAS
INTERFACES
Las interfaces o puertos de un Catalyst tienen cuatro configuraciones distintas, cada una de
ellas con distintas opciones. Las configuraciones son las siguientes:
1.
Operational Mode.
2.
Administrative Mode.
3.
4.
Negotiation of Trunking.
Pgina 30.
joaquin.dominguez@regionalcit.es
En Modo Trunk: En este caso, el puerto funciona como enlace troncal. Esto significa
(como ya debes saber14) que transporta el trfico de todas las VLAN por l. El protocolo
usado no es Ethernet, sino un protocolo de trunking, que actualmente es el 802.1q y que
aade a la trama Ethernet una etiqueta con la VLAN a la que pertenece cada trama. Esta
es la forma de prolongar las comunicaciones VLAN ms all de un nico switch.
14 Recuerda que antes de usar este documento debes haber estudiado el curriculum de CISCO...
15 Se ver ms adelante...
Pgina 31.
joaquin.dominguez@regionalcit.es
Switch(Configif)#switchportmodeaccess
2.
3.
Modo
Dynamic Auto, o
Modo
Dinmico
Automtico.
Activa el modo de
4.
OJO! Esto slo se usa en los modelos de Catalyst que admiten ms de un protocolo
de trunking, como el Catalyst 3550. En nuestro caso, como los Catalyst 2960,
admiten slo el protocolo IEEE 802.1q, NO hay que configurar este modo.
Pgina 32.
joaquin.dominguez@regionalcit.es
1.
2.
Autonegociacin de Trunking On
Imposible.
Independientemente de la configuracin, Se
bloquea en Off.
Posible
Trunk
Posible
Posible
Dynamic auto
Posible
Incompatible
Dynamic desirable
Posible
Incompatible
Pgina 33.
joaquin.dominguez@regionalcit.es
Access
Puerto de Switch 2
Autonegociacin de
Trunk
Off
Modo Administrativo
Autonegociacin de
Trunk
Access
Off
Dynamic auto
On
Dynamic desirable
On
On
On
Off
Access
Off
Acceso Esttico
Dynamic auto
On
Acceso Esttico
Dynamic desirable
On
Trunk
On
Trunk
Off
Resultados
Inesperados.
Access
Off
Acceso Esttico
Dynamic auto
On
Trunk
Dynamic desirable
On
Trunk
On
Trunk
Off
Resultados
Inesperados.
Access
Off
Resultados
Inesperados.
Dynamic auto
On
Trunk
Dynamic desirable
On
Trunk
On
Trunk
Trunk
Dynamic desirable
On
Trunk
On
Trunk
Trunk
Off
Acceso Esttico
Resultados
Inesperados.
Posibles errores.
Trunk
Dynamic auto
Modo de Operacin
de los puertos de
ambos Switches
Off
Trunk
Access
Off
Resultados
Inesperados.
Dynamic auto
On
Resultados
Inesperados.
Dynamic desirable
On
Resultados
Inesperados.
On
Trunk
Off
Trunk
Trunk
Debemos considerar aqu una cuestin ms: Si en lugar de unir dos Catalyst entre s, unimos un
Catalyst con un ordenador, o con un switch simple no gestionable sin VLAN, entonces el
resultado es como si uniramos el puerto de nuestro Catalyst con un puerto de otro Catalyst en
modo administrativo de acceso esttico.
Pgina 34.
joaquin.dominguez@regionalcit.es
Los modos dinmicos pueden dar serios problemas de seguridad, ya que permite a un
puerto cambiar su estado. Tengamos en cuenta que un puerto trunk transportar todo el
trfico de todas las VLAN, por lo que es goloso para un posible espa.
Hay que evitar los modos que provocan resultados inesperados, pues pueden causar
problemas en las comunicaciones de red. Sobre todo la combinacin access-trunk, que
puede producir errores graves.
En este caso, hay que tener especial cuidado de no conectarle NUNCA un puerto de otro
switch en modo administrativo trunk.
2.
Un puerto que forme un enlace troncal debe ser configurado con el modo
administrativo trunk. Y es conveniente activar la autonegociacin de enlace.
Switch(Config)#interfaceg0/1
Entraenelmododeconfiguracindelainterfaceg0/1.
Switch(Configif)#switchportmodetrunk
Configuralainterfaceenelmodoadministrativotrunk.
Switch(Configif)#noswitchportnonegotiate
ConfiguraelmododeautonegociacinaOn.(PordefectoestaOn).
Pgina 35.
joaquin.dominguez@regionalcit.es
En este caso, hay que tener especial cuidado de no conectarle NUNCA un puerto de otro
switch en modo administrativo access, ni tampoco un cliente de red.
5.6. ASIGNACIN
DE
VLANS
A LOS
PUERTOS
DE
ACCESO ESTTICO.
Pgina 36.
joaquin.dominguez@regionalcit.es
En los Catalyst modernos, se utiliza exclusivamente el protocolo estndar IEEE 802.1q para
implementar los enlaces troncales, sin embargo, en aparatos antiguos, podremos elegir entre
ste y el protocolo ISL (propietario de CISCO y obsoleto).
Hay otras opciones que podemos configurar en un enlace troncal, vemoslas, pero antes
empecemos por una definicin bsica...
6.2. OPCIONES
DEL
ENLACE TRONCAL.
Pgina 37.
joaquin.dominguez@regionalcit.es
Configuracin:
Switch3550(Config)#interfacef0/1e
Switch3550(Configif)#switchportmodetrunk
Configuraelpuertoenmododeenlacetroncal.
Switch3550(Configif)#switchporttrunkencapsulationdot1q
Configuraelprotocoloqueusarenelenlacetroncal:802.1q
La VLAN Nativa del enlace. Hay que tener especial cuidado en que los dos extremos
del enlace usen la misma VLAN Nativa, o el enlace no funcionar.
Configuracin:
Switch(Config)#interfacef0/1
Switch(Configif)#switchportmodetrunk
Configuraelpuertoenmododeenlacetroncal.
Switch(Configif)#switchporttrunknativevlan75
EstablecelaVLAN75comoVLANNativa.
Switch(Configif)#noswitchporttrunknativevlan
VuelveaestablecerlaVLAN1comoVLANNativa.
Las VLAN que se pueden transportar a travs del enlace. Se puede establecer una
lista de VLANs permitidas en el enlace. Si la lista est vaca, se permite el transporte de
todas las VLANs.
Configuracin:
Switch(Config)#interfacef0/1
Switch(Configif)#switchportmodetrunk
Configuraelpuertoenmododeenlacetroncal.
Switch(Configif)#switchporttrunkallowedvlan10,20,30
EstablecelalistadeVLANspermitidas,borrandolalistaanterior.
Switch(Configif)#switchporttrunkallowedvlanadd40
AadealalistadeVLANspermitidaslaVLAN40.
Switch(Configif)#switchporttrunkallowedvlanremove20
BorraLAVLANindicadadelalistadeVLANspermitidas.
Switch(Configif)#switchporttrunkallowedvlanexcept20
BorralalistadeVLANspermitidasyaadetodas,salvolaindicada.
Switch(Configif)#switchporttrunkallowedvlannone
NopermiteeltransportedeningunaVLANenelenlacetroncal.
Switch(Configif)#switchporttrunkallowedvlanall
PermiteeltransportedetodaslasVLANsenelenlacetroncal.
Pgina 38.
joaquin.dominguez@regionalcit.es
7. CONFIGURACIN DE VTP.
Dentro de una red, la estructura organizativa enVLANs es un diseo comn. Por lo tanto, todos
los switches deben compartir la misma configuracin de VLANs, es decir, qu VLANs se usan,
qu nmeros tienen y qu nombres tienen asignados.
VTP (VLAN Trunking Protocol), o protocolo de enlace troncal de VLAN, no es un protocolo
de enlace troncal, sino que se encarga de controlar la gestin de las VLANs en una red,
centralizando en un aparato la configuracin comn detodas las VLAN de nuestra red.
Como ya sabemos por la teora, VTP se organiza en dominios. Cada dominio estar formado por
varios switches entre los que habr al menos un servidor de dominio VTP y los dems sern
clientes del dominio VTP. De esta forma, las VLANs de todo el dominio se crearn y
administrarn en el switch servidor y los switches clientes tomarn esa configuracin. En un
switch cliente no se puede crear ni modificar ninguna VLAN.
Junto con un dominio VTP, pueden coexistir uno o varios switches conectados en modo VTP
transparente. Esto hace que dichos switches funcionen de forma independiente al dominio
VTP, pero propagan los mensajes VTP. Dichos switches no toman la configuracin de VLANs del
servidor VTP, se deben gestionar sus VLANs, en cada uno de ellos, de forma independiente.
Como ejemplo, vemos que en el grfico siguiente, sw4 puede estar configurado como cliente en
el dominio laboratorio, pues sw3 le enviar los mensajes VTP que reciba de sw2.
SW1
01 02 03 04 05 06 07 08 09 10 11 12
SW2
01 02 03 04 05 06 07 08 09 10 11 12
SW3
01 02 03 04 05 06 07 08 09 10 11 12
SW4
01 02 03 04 05 06 07 08 09 10 11 12
Pgina 39.
joaquin.dominguez@regionalcit.es
switch>enable
switch#configureterminal
switch(config)#vtpmodeserver
ConfiguraelswitchcomoservidorVTP.
switch(config)#vtpdomainLABORATORIO
ConfiguraLABORATORIOcomoeldominiodetrabajodeVTP.
switch>enable
switch#configureterminal
switch(config)#vtpmodeclient
ConfiguraelswitchcomoclienteVTP.
switch(config)#vtpdomainLABORATORIO
ConfiguraLABORATORIOcomoeldominiodetrabajodeVTP.
switch>enable
switch#configureterminal
switch(config)#vtpmodetransparent
ConfiguraelswitchcomotransparenteaVTP.
7.2. AADIR
UN
CLIENTE VTP
A UN
DOMINIO VTP
YA
EXISTENTE
Antes de aadir un switch como cliente VTP a un dominio VTP existente, hay que verificar
siempre que el n de revisin de configuracin del aparato que queremos aadir sea menor que
el del servidor VTP del dominio.
Para asegurarnos de que se cumple esta condicin, ejecutaremos en el switch que queremos
aadir el comando:
switch#showvtpstatus
Con esto podemos ver el valor del configuration revision number. Si es 0, podemos conectar
tranquilamente el switch al dominio, pues 0 ser menor o igual que el configuration revision
Pgina 40.
joaquin.dominguez@regionalcit.es
number del servidor. Si no es as, tendremos que poner a 0 el valor... Para ello ejecutaramos
estos comandos en el switch a aadir:
switch#configureterminal
switch(config)#vtpdomainnombre_dominio_falso
Configuraunnombrededominiofalso(cualquiera).
switch(config)#vtpdomainnombre_dominio_correcto
Configuraelnombrededominiocorrecto.
Conestasoperacioneshemosconseguidoqueelconfigurationrevisionnumber
sepongaacero.
switch#showvtpstatus
Verificamosqueelnombrededominioescorrecto
yqueelconfigurationrevisionnumbervalecero.
Por el motivo que hemos visto en este apartado, para configurar una red con varios switches
VLAN en un mismo dominio VTP, es recomendable seguir estos pasos:
1.
2.
3.
4.
DE
VTP.
La versin de VTP que se va a utilizar. Para que la red funcione, todos los switches
deben usar la misma configuracin VTP. Por defecto es la versin 1, aunque pueden usar
la versin 2.
Configuracin:
switch#configureterminal
switch(config)#vtpversion1
Establecelaversin1deVTP.
switch(config)#vtpdomainnombre_dominio_correcto
Configuraelnombrededominiocorrecto.
Pgina 41.
joaquin.dominguez@regionalcit.es
Configuracin:
switch#configureterminal
switch(config)#vtppasswordskywalker
EstableceskywalkercomolacontraseadeVTP.
Con ese conocimiento, cuando deba propargar un broadcast de red local a travs de
un enlace troncal, NO lo har si sabe que al otro lado NO hay equipos de la VLAN
correspondiente.
Esta funcionalidad consigue evitar trfico intil de tipo broadcast, adems de ahorrar
tiempo de proceso en algunos switches, con lo que aumenta el ancho de banda efectivo
de nuestra red. Debe activarse o desactivarse en el servidor de dominio VTP.
Configuracin:
switch#configureterminal
switch(config)#vtpmodeserver
Configuraelnombrededominiocorrecto.
switch(config)#vtpdomainLABORATORIO
Configuraelnombrededominiocorrecto.
switch(config)#vtppruning
ActivaelVTPpruningeneldominioLABORATORIO.
Pgina 42.
joaquin.dominguez@regionalcit.es
8. CONFIGURACIN DE LA SEGURIDAD.
Una de las cuestiones ms importantes a la hora de garantizar el buen funcionamiento de una
red, es la de garantizar su seguridad. En este apartado veremos cmo implementar y revisar
una mnima seguridad en un switch CISCO. Para configuraciones de seguridad ms avanzadas y
eficaces, se deben consultar los contenidos de CISCO CCNA Security.
8.1. CONFIGURACIONES
DE
CONTRASEA.
En primer lugar hay que hacer especial hincapi en que tanto las contraseas, como su uso y
gestin, deben cumplir la poltica de seguridad de contraseas de la organizacin. Esto es algo
imprescindible y de vital importancia.
Hoy en da una contrasea para considerarse segura debe cumplir estos requisitos:
Debe tener una fecha de caducidad y no deben repetirse ni ser parecidas unas con
otras.
En el caso de los aparatos CISCO, las contraseas deben estar convenientemente encriptadas.
Ya vimos cmo la contrasea del modo privilegiado se genera directamente encriptada con el
comando:
Switch(config)#enablesecretclass
Un algoritmo de tipo hash es una funcin criptogrfica que, dada una palabra en claro, produce una cadena
cifrada, de tal manera que es imposible obtener la palabra en claro a partir de la cadena cifrada
Pgina 43.
joaquin.dominguez@regionalcit.es
Switch(config)#servicepasswordencryption
El 7 indica el algoritmo empleado para el cifrado, que resulta ser un antiguo algoritmo de
cifrado, muy dbil y fcilmente hackeable. Desgraciadamente el comando no puede emplear
otro algoritmo de cifrado17. A la derecha del 7 vemos el cifrado de la contrasea introducida y no
la contrasea en claro.
8.2. CONFIGURACIN
DEL
ACCESO TELNET/SSH
El acceso remoto a los aparatos de red puede hacerse por Telnet o por SSH. Ambos son
protocolos de la capa de aplicacin que sirven para establecer una conexin remota de consola
con un equipo cualquiera, sin embargo los diferencian algo muy importante: Todas las
transmisiones que se realizan por Telnet se realizan en claro, por lo que cualquiera que
intercepte la comunicacin, puede ver lo transmitido (incluidos el nombre de usuario y la
contrasea). Sin embargo, las transmisiones por SSH son seguras, es decir, en primer lugar
exigen una autenticacin segura del usuario y en segundo lugar cifra todas las comunicaciones
entre los extremos, incluidos el nombre de usuario y la contrasea.
Por este motivo podemos enunciar el siguiente principio de seguridad: En las conexiones
remotas no debe usarse nunca, bajo ningn concepto, el protocolo Telnet y en su
lugar debe usarse el protocolo SSH18.
El protocolo SSH est orientado a la conexin, por lo que primero debe establecer una conexin
segura entre los extremos. Para ello debe reconocer al usuario y lo puede hacer de dos maneras:
17 Esto hace que en instalaciones reales se utilicen sistemas de proteccin mucho ms avanzados, que estn
completamente fuera de los contenidos del ICND1 e incluso del ICND2, ubicndose en el CCNA Security.
18 Este principio es aplicable a redes en produccin, no a prcticas de laboratorio, donde se puede emplear Telnet por
comodidad y sencillez.
Pgina 44.
joaquin.dominguez@regionalcit.es
Utilizando al propio aparato al que nos conectemos como base de datos de usuarios y
contraseas.
SSH utiliza para el cifrado un sistema de claves asimtricas, una pblica y una privada. Por lo
tanto, debemos crear dicho par de contraseas en cada aparato donde queramos activar el
acceso por ssh.
Veamos la configuracin del acceso por ssh:
Switch(config)#servicepasswordencryption
Activaelguardadocifradodelascontraseas.
Switch(config)#usernameusuario1passwordclave1
Creaunusuariolocalysucontrasea.
Switch(config)#linevty015
Switch(configline)#loginlocal
Indicaqueenlaslneasvty015,laautenticacinutilizarlos
usuariosycontraseasintroducidosenlocalconelcomandousername.
Switch(configline)#transportinputtelnetssh
Indicaqueelaccesoalaslneasvty015puedehacerseporTelneto
porssh.SiseomiteTelnetyseescribeslossh,sepermitirslo
elaccesossh.Siseescribenone,nopermitirelaccesoporningn
protocolo.
Pordefecto,admitesloTelnet.
Switch(configline)#exit
Switch(config)#ipdomainnameejemplo.es
Defineelnombredeldominioactualcomoejemplo.es
Switch(config)#cryptokeygeneratersa
OrdenalacreacindelpardeclavesRSA
Thenameforthekeyswillbe:Switch.ejemplo.es
LaparejadeclavesrecibeelnombredeSwitch1.ejemplo.es
Choosethesizeofthekeymodulusintherangeof360to2048foryour
GeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytake
afewminutes.
Howmanybitsinthemodulus[512]:1024
Pidequeintroduzcamoselmdulo(unparmetrodelalgoritmoRSA,que
puedeser512,1024,o2048
%Generating1024bitRSAkeys,keyswillbenonexportable...[OK]
*mar10:27:41.970:%SSH5ENABLED:SSH1.99hasbeenenabled
YaestlaparejadeclavescreadayyaestactivoelaccesoporSSH.
Switch(config)#
A partir de ahora podremos acceder al Switch usando SSH. Al acceder nos pedir un usuario y
una clave y debemos usar el que introdujimos con el comando username usuario1 password
clave1.
Pgina 45.
joaquin.dominguez@regionalcit.es
Veamos el resultado de acceder desde un PC al Switch por SSH usando Packet Tracer:
En Packet Tracer, el comando que simula en los PCs el acceso SSH es: ssh l usuario dir_ip.
As que una vez configurado el acceso por ssh y con un PC conectado al switch, abrimos el
Command Prompt de la pestaa de Desktop del PC e introducimos:
PC>sshlusuario1192.168.1.10
Open
Password:******Introducimoslacontrasea,queennuestrocasoesclave1
Switch1>
Por ltimo debemos saber que podemos configurar el tiempo mximo de inactividad de la lnea,
de manera que cuando una conexin permanece inactiva ms de dicho tiempo, se cierra
automticamente. Por defecto, el tiempo mximo es de cinco minutos, pero se puede modificar
con el comando:
Switch(config)#linevty015
Switch(config)#exectimeoutminutossegundos
8.3. SEGURIDAD
DE
VLAN
ASIGNACIN
DE
PUERTOS.
Las configuraciones por defecto relativas a los puertos y a las VLAN son estas:
Pgina 46.
joaquin.dominguez@regionalcit.es
Todos los puertos asignados a una VLAN, si se elimina dicha VLAN se vuelven a asignar a
la VLAN 1.
En un Catalyst 2950, todos los puertos por defecto estn en modo administrativo de
dynamic desirable.
En un Catalyst 2960, todos los puertos por defecto estn en modo administrativo de
dynamic auto.
Estas configuraciones por defecto plantean varios problemas de seguridad que vamos a analizar
junto con su solucin.
1.
Es peligroso que la VLAN de Administracin, la VLAN por defecto y la VLAN Nativa sean
la misma VLAN, deberan ser VLANs separadas.
2.
Es peligroso que los puertos sin usar estn en modo dynamic, deberan etar en modo de
acceso.
3.
Es peligroso que los puertos sin usar pertenezcan a alguna VLAN activa, deberan estar
en una VLAN que no se use (esta VLAN suele recibir el nombre de VLAN de agujero
negro).
Por lo tanto, debemos hacer estas operaciones para evitar los problemas:
1.
2.
3.
No se utilizar.
Pgina 47.
joaquin.dominguez@regionalcit.es
Todos los puertos sin usar del switch se configurarn en el modo de acceso
esttico, en la VLAN 1 (la de agujero negro) y se deshabilitarn.
Switch(Config)#interfacerangef0/1015
Alasinterfacessinusar.
Switch(Configif)#switchportmodeaccess
Switch(Configif)#switchportaccessvlan1
Switch(Configif)#shutdown
8.4. SEGURIDAD
DE
PUERTO.
Un tipo de ataque que podemos sufrir en nuestra red local tiene su origen en que un posible
atacante externo se consiga conectar a una roseta de nuestra red y pueda entonces realizar
diversos ataques desde dentro de nuestra red local.
Otro posible ataque consiste en que desde un terminal interno de la red, se ejecute un ataque
de man in the middle escuchando trfico supuestamente protegido. Para dicho ataque se realiza
un spoofing ARP, lo que supone cambiar la tabla de conmutacin del switch.
Para intentar evitar estos accesos indeseados y aumentar la seguridad de los puertos de
nuestros switches, podemos usar la funcionalidad de seguridad de puerto, que se encarga de
auditar el uso de los puertos y actuar en caso de que se produzca alguna conexin indeseada, o
algn cambio en la tabla de conmutacin.
Esta funcionalidad se puede configurar para que acte de estas maneras:
Pgina 48.
joaquin.dominguez@regionalcit.es
Pgina 49.
joaquin.dominguez@regionalcit.es
Las interfaces f0/1 a la f0/24, aceptarn una sola MAC, pero al usar el modo sticky, dicha
MAC la aprendern cuando se conecte algn equipo a la interface. Si se produce una
violacin de puerto, simplemente se ignorarn las tramas ilegales.
8.5. REVISIN
DE LA
TABLA
DE
DIRECCIONES MAC
VlanMacAddressTypePorts
10007.ecd9.6a6bSTATICFa0/1
1000c.cfe4.5801STATICFa0/1
20001.c733.a831STATICFa0/3
20003.e416.918bSTATICFa0/2
200060.7001.1101DYNAMICFa0/20
Las direcciones de tipo esttico son las correspondientes a las interfaces que tienen
activada la seguridad de puerto. Tanto si se introducen manualmente, como si se trata
de direcciones aprendidas con la opcin sticky.
Las direcciones dinmicas se corresponden con las interfaces que no tienen definida la
seguridad de puerto y por lo tanto sus conexiones no estn limitadas.
Pgina 50.
joaquin.dominguez@regionalcit.es
Show macaddresstable static: Muestra solo las entradas que aprendi de forma
esttica.
Pgina 51.
joaquin.dominguez@regionalcit.es
9. CONFIGURACIN DE ETHERCHANNELS.
CISCO incorpora la funcin de Agregado de Enlace en sus Switches, denominndolos
Etherchannels. Esta funcionalidad consiste en definir un nmero de lneas de enlace entre
switches que funcionarn de forma conjunta, como un nico canal de comunicaciones.
La ventaja de este sistema es evidente, pues en los uplinks verticales es en donde se suele
precisar de un aumento del ancho de banda y con esta tecnologa se puede consguir de fomra
sencilla y barata, tal y como se muestra en la siguiente grfica:
Esta funcionalidad no est incluida en el curriculum del CCNA Exploration, as que NO te van a
preguntar cmo se hace... Pero la incluyo aqu porque... Mola! A que s? Adems, en su versin
bsica es hipersencilla de configurar.
Como es normal, cada aparato impone sus limitaciones. Por ejemplo, los Catalyst 2950 y 2955
permiten un mximo de 6 EtherChannels con un mximo de 8 lneas cada uno. Adems,
evidentemente han de incluir capacidades de EtherChannel los dos aparatos que se conecten
por este medio.
Para configurar los Etherchannels debemos definir un agregado de n puertos, todos con la
misma velocidad, de la siguiente manera:
Pgina 52.
joaquin.dominguez@regionalcit.es
switch>enable
switch#configureterminal
switch(config)#interfacerangefa0/18
switch(configint)#channelgroup1modeauto
Estableceelagregadodeenlaceentrelospuertos1a8.
Evidentemente, aqu slo hemos visto una configuracin muy bsica de los EtherChannels. En
realidad, esta es una funcionalidad mucho ms compleja que admite muchas configuraciones,
hay diversas formas de establecer los canales y de configurar cmo viajarn los datos. Inclusive,
se pueden definir funciones de balanceo de carga. Para ms informacin conviene remitirse a los
manuales oficiales de CISCO, como por ejemplo el documento Catalyst 2950 Configuration
Guide.pdf, apartado Configuring EtherChannels, en la pgina 601.
Pgina 53.
joaquin.dominguez@regionalcit.es
S1
F0
F0.1 F0.2 F0.3
S0
ROUTER
F0
TRUNK
CATALYST 2950
1
10
11
V1
V2
V2
V2
V2
V2
V3
V3
V3
V3
V3 TRUNK
PC-1
PC-2
PC-3
PC-4
12
PC-5
Haciendo esto conseguimos que el router funcione como si tuviera muchas interfaces reales,
enrutando entre todas ellas.
Pgina 54.
joaquin.dominguez@regionalcit.es
Veamos ahora los pasos para crear tres subinterfaces virtuales en una sola interface real:
1.
2.
Crear las subinterfaces, configurarlas para que usen el protocolo IEEE 802.1q y
asignarles una VLAN y una direccin IP:
router(config)#interfacef0.1
Crealasubinterfacevirtualf0.1yentraaconfigurarla.
router(configif)#encapsulationdot1q1
Configuralasubinterfaceparaqueuseelprotocolo802.1q
yleasignalaVLAN1.
router(configif)#ipaddress192.168.1.1255.255.255.0
RealizalaconfiguracinIPdelasubinterface.
router(configif)#noshutdown
Levantalasubinterface.
router(config)#interfacef0.2
Crealasubinterfacevirtualf0.1yentraaconfigurarla.
router(configif)#encapsulationdot1q2
Configuralasubinterfaceparaqueuseelprotocolo802.1q
yleasignalaVLAN1.
router(configif)#ipaddress192.168.2.1255.255.255.0
RealizalaconfiguracinIPdelasubinterface.
router(configif)#noshutdown
Levantalasubinterface.
router(config)#interfacef0.3
Crealasubinterfacevirtualf0.1yentraaconfigurarla.
router(configif)#encapsulationdot1q3
Configuralasubinterfaceparaqueuseelprotocolo802.1q
yleasignalaVLAN1.
router(configif)#ipaddress192.168.3.1255.255.255.0
RealizalaconfiguracinIPdelasubinterface.
router(configif)#noshutdown
Levantalasubinterface.
Pgina 55.
joaquin.dominguez@regionalcit.es
anexo
aprenderemos
a solucionar los
problemas
que
pueden
surgir
en el
manetenimiento de una red local con VLAN, basada en Swtiches Catalyst de CISCO. Haremos un
compendio de las herramientas y tcnicas de que disponemos para detectar los problemas y
veremos algunos fallos tpicos.
La observacin fsica de las interfaces. Tanto las tarjetas de red, como los switches
y routers, disponen de LEDs que indican si hay enlace de datos en la lnea. Si hay
enlace, indica que todo va bien a nivel de red local y por lo tanto hay que buscar el error
en las capas superiores.
El comando ping, que prueba si hay conexin IP entre dos terminales 19. Si es correcto
indica que todo va bien a nivel IP y a niveles inferiores, por lo que sita el problema en la
capa de transporte o de aplicacin.
La traza de un paquete. Dependiendo del sistema tiene una u otra sintaxis. Por
ejemplo, en Windows es tracert y en Linux y en IOS es traceroute. Nos devuelve
una lista por donde va pasando un paquete antes de llegar a su destino. Si el camino se
interrumpe, veremos dnde.
19 Hay que tener cuidado, ya que la respuesta al ping se puede desactivar, por lo que un equipo que est realmente
accesible, no respondera.
Pgina 56.
joaquin.dominguez@regionalcit.es
A1.2. EL PROTOCOLO
DE
DESCUBRIMIENTO
DE
CISCO (CDP).
2.
3.
4.
Identificador del puerto que usa el aparato vecino para enviarnos informacin.
5.
Es evidente que CDP aumenta la exposicin a un posible ataque. Por este motivo, CDP se puede
activar o desactivar por cada interface. Es decir, si en una interface tenemos conectada nuestra
red local y en otra un enlace WAN, activaramos CDP slo en la interface que se conecta a
nuestra LAN.
Pgina 57.
joaquin.dominguez@regionalcit.es
2.
Activa CDP para todo el aparato (se har caso a la configuracin de cada interface):
Switch(config)#cdprun
10. Muestra el trfico de CDP (este comando no est disponible en Packet Tracer):
Switch#showcdptraffic
A1.3 ANOMALAS
EN LAS
TRANSMISIONES ETHERNET.
Las anomalas que pueden afectar a las transmisiones Ethernet son muchas y de diversos
orgenes. Puede haber fallos en el cableado, ya sea por errores en el diseo de la red, o por
averas; puede haber aparatos averiados; puede haber aparatos mal configurados
Pgina 58.
joaquin.dominguez@regionalcit.es
Nuestra misin es conocer los principales problemas que pueden afectar a las redes Ethernet,
para as poder detectarlos, diagnosticarlos y solucionarlos en lo posible.
A1.3.1. Incompatibilidad dplex.
Ya vimos que por defecto el modo de una interface es el de autonegociacin, proceso por el cual
se establece de forma automtica la configuracin de velocidad y de dplex ms alta que puede
establecerse en una conexin.
En la autonegociacin se intenta siempre establecer el enlace en un modo ptimo, siendo el
orden: 1Gbps-full, 1Gbps-half, 100Mbps-full, 100Mbps-half, 10Mbps-full y finalmente 10Mbpshalf. Sin embargo tambin podemos forzar el modo mediante la configuracin manual, con los
comandos speed y duplex que vimos en el captulo anterior.
Lo normal es que en ambos extremos la autonegociacin est activa, pero esto no tiene porqu
ser as. Y aqu tenemos un caso curioso: Cuando se conecta al switch un terminal con la
autonegociacin desactivada (es decir, con la configuracin de velocidad y de dplex fija), el
switch es capaz de detectar en cualquier caso la velocidad del terminal, pero no puede detectar
el mdo de dplex que usa.
Por lo tanto, cuando conectamos a un switch un terminal con la autonegociacin desactivada, el
switch detecta la velocidad del terminal y elige uno de estos tres modos:
5. Si no detect la velocidad o si detecta 10 Mbps, se autoconfigura en 10Mbps-half.
6. Si detecta 100 Mbps, se autoconfigura a 100Mbps-half.
7. Si detecta 1 Gbps, se autoconfigura a 1Gbps-full.
Supongamos que en un extremo tenemos un ordenador configurado de forma fija para
conectarse a 10Mbps-full. El switch intentar ejecutar el proceso de autonegociacin, pero el
terminal no responder a dicho proceso. Sin embargo, el switch detecta que la velocidad del
terminal es de 10Mbps y en consecuencia se autoconfigurar a 10Mbps-half, como ya vimos
antes.
Esto provoca una discordancia en el modo dplex de la conexin. El terminal funciona en modo
full-dplex, pero el switch lo hace en modo half-dplex. En este caso, veremos que el estado de
la interface es correcto (up/up, o connect), sin embargo el funcionamiento ser deficiente y
puede dar problemas intermitentes. Expliquemos por qu:
Pgina 59.
joaquin.dominguez@regionalcit.es
El extremo half-dplex ejecuta el protocolo CSMA/CD y el extremo full-dplex, no. Esto provoca
dos tipos de situaciones errneas:
El extremo half-dplex esperar a que el canal est libre antes de emitir, por lo que
cuando recibe no emite, perdiendo velocidad efectiva.
Mientras que el extremo half-dplex est emitiendo, si empieza a recibir una trama, cree
que ha habido una colisin, por lo que aborta la emisin y ejecuta el mtodo de
recuperacin de colisiones.
Pgina 60.
joaquin.dominguez@regionalcit.es
2.
3.
Para contener la atenuacin y la diafona, basta con respetar las normas fsicas del cableado. Por
ejemplo, un segmento 1000BaseT debe tener una longitud mxima de 100 metros y debe usar
cable UTP Cat. 5e o superior. Si usamos un cable de categora inferior, o de longitud mayor, la
atenuacin y la diafona provocaran errores en la transmisin.
Para evitar en lo posible las EMI, se seguirn las normas de tendido de cableado EIA/TIA y en
casos de entornos muy agresivos (con altas interferencias) se puede utilizar cableado STP,
siempre que TODA la instalacin sea STP: cables, conectores, rosetas, paneles, switches, etc
NOTA:
STP es el acrnimo de Shielded Twisted Pair, o par trenzado apantallado. Es un
cable UTP con una cobertura de malla metlica que absorbe las interferencias
antes de que lleguen a los cables de datos. La malla debe estar conectada a la
toma tierra, por lo que en el cable la malla se conecta a los conectores RJ-45
(que en STP son metlicos). El interior de las hembras de conexin RJ-45 en las
rosetas, paneles de parcheo y switches son tambin metlicos, para garantizar
la continuidad y finalmente los switches realizan la derivacin a tierra.
ES MUY PELIGROSO utilizar cable STP sin que toda la instalacin sea
STP, puesto que la malla hace de antena y absorbe muchas ms interferencias
de las que le llegaran al UTP y al no estar conectada a tierra dichas
interferencias se induciran elctricamente a los cables de datos, con lo que sus
prestaciones seran peores que un cable UTP.
La fibra ptica, al transportar seales luminosas, no se ve afectada por las EMI ni por la diafona.
Sin embargo, s que sufre el fenmeno de la atenuacin. Y ambas tecnologas (la elctrica y la
20 Por ejemplo, el encendido de un tubo fluorescente provoca un fortsimo pulso electromagntico que puede afectar a
cables Ethernet que pasen cerca del tubo.
Pgina 61.
joaquin.dominguez@regionalcit.es
ptica) son muy sensibles a la calidad de construccin del cableado, sobre todo en los
conectores y empalmes
Un empalme de fibra mal hecho puede provocar muchas prdidas de tramas con la consiguiente
prdida
de
efectividad.
un
conector
RJ-45
mal
crimpado
puede
tambin
mermar
Colisiones tardas: Es aquella que se produce despus del byte 64. La longitud mnima
de una trama de Ethernet es precisamente de 64 bytes, por lo que las redes Ethernet
estn diseadas para que si hay una colisin sta se detecte antes de dicho byte (esto
se consigue limitando la longitud de los cables y el nmero de hubs en cascada 21). Por lo
tanto, si a pesar de esto se detectan colisiones tardas significa que est sucediendo una
anomala en algn equipo o que no se han respetado las longitudes de cableado.
21 No existe lmite en el nmero de switches que se pueden conectar en cascada, pero s en el nmero de hubs conectados
en cascada. No entramos en los detalles de esta limitacin, pues como hoy en da no se usan los hubs, estas reglas se
han eliminado del curriculum de CCNA.
Pgina 62.
joaquin.dominguez@regionalcit.es
A1.4. ANLISIS
DE LAS
INTERFACES
DE UN
SWITCH
Las interfaces de un switch deben estar operativas para que pueda haber comunicacin en ellas.
Para ello se necesita que tanto el switch, como el equipo que se le conecta y el cableado que los
une, estn en buen estado y bien configurados.
En una instalacin real, esto no suceder siempre y se darn errores en las comunicaciones.
Estos pueden ser errores permanentes o intermitentes (que son los ms difciles de detectar).
En esta seccin aprenderemos a analizar el funcionamiento de las interfaces del switch. Para ello
podremos utilizar determinados comandos que nos van a dar bastante informacin sobre el
funcionamiento de la red.
A1.4.1. Estados de las interfaces.
Como un switch trabaja en dos capas (la capa fsica y la capa de enlace de datos), para que el
enlace funcione debe estar correcto en las dos capas. Es decir, un switch distingue entre el
estado de lnea y el estado de protocolo, vemoslo:
1. El estado de lnea se refiere al estado de la capa fsica. Tiene tres posibles estados:
1.1. Si hay conexin en la capa fsica, el estado de lnea ser correcto y se dice que
la lnea est levantada, o up en ingls.
Pgina 63.
joaquin.dominguez@regionalcit.es
1.2. Si no hay conexin en la capa fsica, se dice que la lnea est cada, o
down.
1.3. Si la interface del switch est desactivada por el administrador (comando
shutdown), entonces se dice que la lnea est administrativamente
desactivada o administratively down.
2. El estado de protocolo se refiere al estado de la capa de enlace de datos.
Evidentemente necesita que previamente la capa fsica tenga conexin, entonces
intentar establecer la conexin a nivel de enlace de datos. Tiene tres posibles
estados:
2.1. Si hay conexin a nivel de enlace de datos, el estado de protocolo ser correcto
y se dice que el protocolo est levantado, o up en ingls.
2.2. Si no hay conexin a nivel de enlace de datos, el estado de protocolo ser
incorrecto y se dice que el protocolo est cado, o down.
2.3. Si la seguridad de puerto del switch ha desactivado la interface, entonces se
dice que el protocolo est desactivado por la seguridad de puerto o
down (err-disabled).
Las posibles combinaciones del estado de lnea y el estado de protocolo dan lugar a cuatro
posibles estados de la interface, que son disabled, notconnect, err-disabled y
connect. Vemoslo resumido en una tabla:
Estado de
lnea
Estado de
Protocolo
Estado de la
Interface
Administratively
Down
Down
Disabled
Down
Down
Notconnect
Up
Down
Notconnect
Down
Down
(err-disabled)
Err-Disabled
Up
Up
Connect
Motivo
La interface ha sido deshabilitada por
el administrador, con el comando
shutdown.
No consigue encontrar una conexin
fsica adecuada. (El otro extremo est
mal configurado o apagado, o el cable
est averiado o es incorrecto)
No debe producirse si el switch y el
terminal que se conecta funcionan
correctamente22. Si hay conexin fsica,
debe establecer la conexin de enlace
de datos.
La seguridad de puerto ha
deshabilitado la interface.
La interface est funcionando
correctamente.
22 Si se diera este extrao caso, podra deberse a una avera fsica en el switch o a un malfuncionamiento (de origen fsico
o del driver) de la tarjeta de red del ordenador que se conecta al switch.
Pgina 64.
joaquin.dominguez@regionalcit.es
2.
4.
Pgina 65.
joaquin.dominguez@regionalcit.es
Este es el resultado de una interface que no est conectada. Analicemos la primera parte de los
resultados:
1. Vemos en rojo el estado de lnea (down), el estado de protocolo (down) y el estado de la
interface (disabled).
2. En morado estamos viendo la direccin MAC de la interface (0001.632c.040c)
3. En verde estamos viendo que esta interface est pre-configurada a Half-dplex y a
100Mbps. Pero cuando se conecte ejecutar la autonegocacin.
4. En azul vemos las estadsticas de los ltimos 5 minutos, entre estos datos destacamos:
a.
b.
c.
d.
Bytes recibidos.
e.
N de broadcasts recibidos.
f.
g.
h.
i.
j.
k.
Bytes enviados.
l.
Pgina 66.
joaquin.dominguez@regionalcit.es
En funcin de los valores que indican alguna anomala podemos sacar conclusiones sobre los
posibles problemas de la red. Lo mostraremos resumido en la siguiente TABLA DE SNTOMAS,
DIAGNSTICOS Y SOLUCIONES:
Sntoma
Diagnstico
Posibles Soluciones.
Valores elevados de
Input errors, o de
errores CRC
No debera haber
colisiones tardas, son
un error.
Alguna interface
funciona mal
Elevado nmero de
runts, giants,
colisiones tardas
Pgina 67.
joaquin.dominguez@regionalcit.es
Pgina 68.
joaquin.dominguez@regionalcit.es
DE UN
En esta prctica debes instalar y configurar una red compuesta por un nico Catalyst con VLANs
y luego analizar su funcionamiento.
1.
10
11
12
V1
V2
V2
V2
V2
V3
V3
V3
V4
V4
V4
V2
PC-1
2.
PC-2
PC-3
PC-4
PC-5
DISPOSITIVO
VLAN
DIR. IP
MSCARA SUBRED
SWITCH
VLAN 99
192.168.99.1
255.255.255.0
PC-1
VLAN 10
192.168.10.100
255.255.255.0
PC-2
VLAN 20
192.168.20.100
255.255.255.0
PC-3
VLAN 20
192.168.20.101
255.255.255.0
PC-4
VLAN 30
192.168.30.100
255.255.255.0
PC-5
VLAN 99
192.168.99.100
255.255.255.0
Deja la VLAN 1 como la VLAN de agujero negro, de forma que englobe a todas las
interfaces no utilizadas.
Pgina 69.
joaquin.dominguez@regionalcit.es
3.
CUESTIN
RESPUESTA (SI
NO).
MOTIVO:
Se puede acceder de PC-2 al Switch?
MOTIVO:
Se puede acceder de PC-1 a PC-2?
MOTIVO:
Se puede acceder de PC-2 a PC-3?
MOTIVO:
Se puede acceder del Switch a PC-1?
MOTIVO:
4.
5.
Comprueba los comandos bsicos de revisin del switch, anotando qu hace cada uno
de ellos:
show running-config
show startup-config
show vlan
show interfaces
show flash:
show mac-address-table
Pgina 70.
joaquin.dominguez@regionalcit.es
DE DOS
SWITCHES VLAN
EN
CASCADA.
En esta prctica debes instalar y configurar una red compuesta por dos Catalyst en cascada con
VLANs y luego analizar su funcionamiento.
1.
PC-1
PC-2
PC-3
PC-4
SW-1
1
10
11
V1
V2
V2
V2
V2
V3
V3
V3
V4
V4
V4
10
11
V1
V2
V2
V2
V2
V3
V3
V3
V4
V4
V4
12
Trunk
SW-2
PC-5
2.
PC-6
PC-7
12
Trunk
PC-8
DISPOSITIVO
VLAN
DIR. IP
MSCARA SUBRED
SW-1
VLAN 99
192.168.1.1
255.255.255.0
SW-2
VLAN 99
192.168.1.2
255.255.255.0
PC-1
VLAN 99
192.168.1.100
255.255.255.0
PC-2
VLAN 2
192.168.2.100
255.255.255.0
PC-3
VLAN 3
192.168.3.100
255.255.255.0
PC-4
VLAN 4
192.168.4.100
255.255.255.0
PC-5
VLAN 99
192.168.1.101
255.255.255.0
PC-6
VLAN 2
192.168.2.101
255.255.255.0
PC-7
VLAN 3
192.168.3.101
255.255.255.0
PC-8
VLAN 2
192.168.2.102
255.255.255.0
VLAN 2: TECNICOS
VLAN 3: COMERCIALES
Pgina 71.
joaquin.dominguez@regionalcit.es
VLAN 4: RRHH
Deja la VLAN 1 como la VLAN de agujero negro, de forma que englobe a todas
las interfaces no utilizadas.
Las interfaces f0/12, que implementan el enlace troncal, usarn como VLAN
Nativa la 50.
3.
RESPUESTA
Pgina 72.
joaquin.dominguez@regionalcit.es
4.
5.
Comprueba que la seguridad de puerto funciona como debe... Explica aqu cmo lo
haces.
Pgina 73.
joaquin.dominguez@regionalcit.es
DEL
ENRUTAMIENTO
ENTRE
VLANS.
En esta prctica debes instalar y configurar una red compuesta por un Catalyst con VLANs y un
router que debe enrutar entre todas las VLANs, usando una sola interface fsica. Luego debes
analizar su funcionamiento.
1.
S1
F0
F0.1 F0.2 F0.3
S0
ROUTER
F0
TRUNK
CATALYST 2950
1
10
11
V1
V2
V2
V2
V2
V2
V3
V3
V3
V3
V3 TRUNK
PC-1
2.
PC-2
PC-3
PC-4
12
PC-5
DE
DISPOSITIVO
VLAN
DIR. IP
MSCARA SUBRED
SWITCH
VLAN 10
192.168.10.2
255.255.255.0
192.168.10.1
PC-1
VLAN 20
192.168.20.100
255.255.255.0
192.168.20.1
PC-2
VLAN 20
192.168.20.101
255.255.255.0
192.168.20.1
PC-3
VLAN 20
192.168.20.102
255.255.255.0
192.168.20.1
PC-4
VLAN 30
192.168.30.100
255.255.255.0
192.168.30.1
PC-5
VLAN 30
192.168.30.101
255.255.255.0
192.168.30.1
ENLACE
ROUTER
INTERFACE
FASTETHERNET0
(F0)
SUBINTERFACE
VLAN
DIR. IP
MSCARA SUBRED
F0.1
VLAN 10
192.168.10.1
255.255.255.0
F0.2
VLAN 20
192.168.20.1
255.255.255.0
F0.3
VLAN 30
192.168.30.1
255.255.255.0
Pgina 74.
joaquin.dominguez@regionalcit.es
Todas las interfaces del switch, salvo la 12, hay que configurarlas en modo de
Acceso Esttico (Static Access).
Usa la VLAN 1 como la VLAN de agujero negro y la VLAN 99 como la VLAN Nativa.
3.
4.
5.
RESPUESTA (SI
NO).
Pgina 75.
joaquin.dominguez@regionalcit.es