CCNA3: CAP 2: Configuraciones basicas del Switch

Elemetos Clave de 802.3/Ethernet:

CSMA/CD

Las seales de Ethernet se transmiten a todos los hosts que estn conectados a la LAN mediante un
conjunto de normas especiales que determinan cul es la estacin que puede tener acceso a la red.
CSMA/CD se utiliza solamente con la comunicacin half-duplex que suele encontrarse en los hubs.
Los switches full-duplex no utilizan CSMA/CD. Cuando no se detecta trfico alguno, el dispositivo
transmite su mensaje. Mientras se produce dicha transmisin, el dispositivo contina atento al trfico
o a posibles colisiones en la LAN.

Acceso mltiple

Si la distancia entre los dispositivos es tal que la latencia de las seales de un dispositivo supone la
no deteccin de stas por parte de un segundo dispositivo, ste tambin podra comenzar a
transmitirlas. De este modo, los medios contaran con dos dispositivos transmitiendo seales al
mismo tiempo. Los mensajes se propagan en todos los medios hasta que se encuentran. En ese
momento, las seales se mezclan y los mensajes se destruyen: se ha producido una colisin. Aunque
los mensajes se daan, la mezcla de seales contina propagndose en todos los medios.

Deteccin de colisiones

Cuando un dispositivo est en el modo de escucha, puede detectar cuando se produce una colisin en
los medios compartidos, ya que todos los dispositivos pueden detectar un aumento en la amplitud de
la seal que est por encima del nivel normal.

Seal de congestin y postergacin aleatoria

Cuando se detecta una colisin, los dispositivos de transmisin envan una seal de
congestionamiento. La seal de congestionamiento avisa a los dems dispositivos acerca de la
colisin para que stos invoquen un algoritmo de postergacin. La funcin de ste es hacer que todos
los dispositivos detengan su transmisin durante un perodo aleatorio, con lo cual se reducen las
seales de colisin. Una vez que finaliza el retraso asignado a un dispositivo, dicho dispositivo
regresa al modo "escuchar antes de transmitir".

Comunicaciones Ethernet

Unicast: Comunicacin en la que un host enva una trama a un destino especfico. En la transmisin
unicast slo existe un emisor y un receptor.Ej: HTTP, SMTP, FTP y Telnet.

Broadcast: Comunicacin en la que se enva una trama desde una direccin hacia todas las dems
direcciones. Un ejemplo de transmisin broadcast es la consulta de resolucin de direcciones que
enva el protocolo de resolucin de direcciones (ARP) a todas las computadoras en una LAN.

Multicast: Comunicacin en la que se enva una trama a un grupo especfico de dispositivos o

clientes. Los clientes de la transmisin multicast deben ser miembros de un grupo multicast lgico
para poder recibir la informacin. Un ejemplo de transmisin multicast son las transmisiones de voz
y vdeo relacionadas con las reuniones de negocios en conferencia basadas en la red.

Trama de Ethernet

La estructura de la trama de Ethernet agrega encabezados y trilers alrededor de la Capa 3 PDU para
encapsular el mensaje que debe enviarse. Tanto el triler como el encabezado de Ethernet cuentan
con varias secciones (o campos) que el protocolo Ethernet utiliza. La figura muestra la estructura del
estndar de la trama actual de Ethernet, versin revisada IEEE 802.3 (Ethernet).

Campos Prembulo y Delimitador de inicio de trama

Los campos Prembulo (7 bytes) y Delimitador de inicio de trama (SFD) (1 byte) se utilizan para la
sincronizacin entre los dispositivos emisores y receptores. Estos primeros 8 bytes de la trama se
emplean para captar la atencin de los nodos receptores. Bsicamente, los primeros bytes sirven para
que los receptores se preparen para recibir una nueva trama.

El campo Direccin MAC de destino (6 bytes) es el identificador del receptor deseado.

El campo Direccin MAC de origen (6 bytes) identifica la NIC o interfaz que origina la trama.
Campo Longitud/tipo

El campo Longitud/Tipo (2 bytes) define la longitud exacta del campo Datos de la trama. Este
campo se utiliza ms adelante como parte de la Secuencia de verificacin de trama (FCS) con el
objeto de asegurar que se haya recibido el mensaje de manera adecuada. Si el valor de los dos
octetos es igual o mayor que el hexadecimal de 0x0600 o decimal de 1536, el contenido del campo

Datos se descifra segn el protocolo indicado. Si el valor de dos bytes es menor que 0x0600,
entonces el valor representa la longitud de los datos de la trama.

Campos Datos y Relleno

Los campos Datos y Relleno (de 46 a 1500 bytes) contienen la informacin encapsulada de una capa
superior, que es una PDU de Capa 3 genrica, o, ms comnmente, un paquete de IPv4. Todas las
tramas deben tener una longitud mnima de 64 bytes (longitud mnima que colabora en la deteccin
de colisiones). Si se encapsula un paquete menor, el campo Relleno se utiliza para incrementar el
tamao de la trama hasta alcanzar el tamao mnimo.

Campo Secuencia de verificacin de trama

El campo FCS (4 bytes) detecta errores en una trama. Utiliza una comprobacin de redundancia
cclica (CRC). El dispositivo emisor incluye los resultados de la CRC en el campo FCS de la trama.
El dispositivo receptor recibe la trama y genera una CRC para buscar errores. Si los clculos
coinciden, no se ha producido ningn error. Si los clculos no coinciden, la trama se descarta.

MAC

Una direccin Ethernet MAC es un valor binario de 48 bits que se compone de dos partes y se
expresa como 12 dgitos hexadecimales. Los formatos de las direcciones pueden ser similares a 00-
05-9A-3C-78-00, 00:05:9A:3C:78:00 0005.9A3C.7800.

El OUI (Organization Unique Identifier) es la primera parte de una direccin MAC. Tiene una
longitud de 24 bits e identifica al fabricante de la tarjeta NIC. El estndar IEEE regula la asignacin
de los nmeros de OUI. Dentro del OUI, existen 2 bits que slo tienen significado cuando se utilizan
en la direccin de destino, como se describe a continuacin:
Bit multicast o broadcast: Indica a la interfaz receptora que la trama est destinada a un grupo o a
todas las estaciones finales del segmento de la LAN.

Bit de direcciones administrado de manera local: Si la direccin MAC asignada por el fabricante
puede modificarse en forma local, ste es el bit que debe configurarse.

Adems estn las limitaciones del half duplex (bidireccional, pero 1 equipo transmite a la vez). Los
Hubs fueron muy usados para eso, tienen un alto potencial para las colisiones si ambos nodos
deciden transmitir a la vez. En Full duplex ambos pueden transmitir a la vez, solo para punto a punto
y ambos equipos tienen que ser compatibles. El puerto de switch es dedicado y no hay colisiones.

El rendimiento de una configuracin de red compartida Ethernet estndar basada en hubs es

generalmente del 50% al 60% del ancho de banda de 10 Mb/s. Una red Fast Ethernet full-duplex, en
comparacin con un ancho de banda de 10 Mb/s, ofrece un rendimiento del 100% en ambas
direcciones (transmisin de 100 Mb/s y recepcin de 100 Mb/s).

Configuracion de Switch (Cisco Catalyst):

La opcin auto (predeterminado para puertos 10/100/1000 y Fast Ethernet,) establece el modo
autonegociacin de duplex. Cuando este modo se encuentra habilitado, los dos puertos se comunican
para decidir el mejor modo de funcionamiento.
La opcin full (predeterminado para puertos 100BASE-FX)establece el modo full-duplex.
La opcin half establece el modo half-duplex.
10/100 pueden funcionar para full y half, pero 1000 solo funciona en full.
Nota: El modo autonegociacin puede producir resultados impredecibles. De manera
predeterminada, cuando la autonegociacin falla, el switch Catalyst establece el correspondiente
puerto del switch en el modo half-duplex. Si existe half en un switch y full (manualmente
configurado)en el otro, puede producir colisiones.

Auto-MDIX

Al habilitar el comando mdix auto, el switch detecta el tipo de cable que se requiere para las
conexiones Ethernet de cobre y, conforme a ello, configura las interfaces. Por lo tanto, se puede
utilizar un cable de conexin directa o cruzada para realizar la conexin con un puerto 10/100/1000
de cobre situado en el switch, independientemente del tipo de dispositivo que se encuentre en el otro
extremo de la conexin. Esta predeterminada en los switches con Cisco IOS, versin 12.2(18)SE o
posterior. Si si es una versin anterior,est deshabilitado.

Direccionamiento MAC y Tablas de direcciones MAC de los switches

El switch determina cmo manejar las tramas de datos entrantes mediante una tabla de direcciones
MAC. El switch genera su tabla de direcciones MAC grabando las direcciones MAC de los nodos
que se encuentran conectados en cada uno de sus puertos. Una vez que la direccin MAC de un nodo
especfico en un puerto determinado queda registrada en la tabla de direcciones, el switch ya sabe
enviar el trfico destinado a ese nodo especfico desde el puerto asignado a dicho nodo para
posteriores transmisiones.
Cuando un switch recibe una trama de datos entrantes y la direccin MAC de destino no figura en la
tabla, ste reenva la trama a todos los puertos excepto al que la recibi en primer lugar (inundacion).
Cuando el nodo de destino responde, el switch registra la direccin MAC de ste en la tabla de
direcciones del campo direccin de origen de la trama.
(Bsicamente, el mismo proceso que hace el router en trminos de adyacencia).

Dominios de Colision

El rea de red donde se originan las tramas y se producen las colisiones se denomina dominio de
colisiones. Todos los entornos de los medios compartidos, como aquellos creados mediante el uso de
hubs, son dominios de colisin. Cuando un host se conecta a un puerto de switch, el switch crea una
conexin dedicada. Esta conexin se considera como un dominio de colisiones individual
Si host A y B de un mismo switch necesitan comunicarse:switch crea la conexin a la que se
denomina microsegmento. El microsegmento se comporta como una red de slo dos hosts, un host
que enva y otro que recibe, y se utiliza el mximo ancho de banda disponible.

Dominios de broadcast

Los switches filtran la mayora de las tramas segn las direcciones MAC, pero para que otros
switches de la LAN obtengan tramas de broadcast, stas deben ser reenviadas por switches. Una
serie de switches interconectados forma un dominio de broadcast simple, broadcast MAC (capa 2)..
Slo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un
dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar los dominios
de colisin y de broadcast.
Cuando un dispositivo desea enviar un broadcast de Capa 2, la direccin MAC destino en la trama se
establece en slo unos. Al configurar el destino en este valor, todos los dispositivos aceptan y
procesarn la trama de broadcast. Esto ocurre entre host conectados al switch, as como si un switch
enva el broadcast a otro. El segundo switch aplicar inundacin entre sus puertos y enviar el
broadcast a sus host (como si el mismo lo hubiese originado).

Latencia de red

La latencia es el tiempo que una trama o paquete tarda en hacer el recorrido desde la estacin origen
hasta su destino final. Tiene al menos 3 componentes:

1ro:, el tiempo que toma la NIC origen en colocar pulsos de voltaje en el cable y el tiempo que tarda
la NIC destino en interpretar estos pulsos(o sea, el inverso). Esto se denomina a veces retraso de la
NIC (por lo general, es de 1 microsegundo para una NIC 10BASE-T)
2d:, el retardo de propagacin real, ya que la seal tarda un tiempo en recorrer el cable.
Normalmente, ste es de unos 0,556 microsegundos por 100 m para Cat 5 UTP. Si la longitud del
cable es mayor y la velocidad nominal de propagacin (NVP, Nominal Velocity of Propagation) es
menor, el retraso de propagacin ser mayor.
3ro: la latencia aumenta segn los dispositivos de red que se encuentren en la ruta entre dos
dispositivos.

La latencia no solo depende de la cantidad de dispositivos entre los host, sino tambin de los
dispositivos mismos. Ej:si dos computadoras estn separadas por tres switches correctamente
configurados, es probable que stas experimenten una latencia menor que la que se producira si
estuvieran separadas por dos routers correctamente configurados. Esto se debe a que los routers
ejecutan funciones ms complejas y que llevan ms tiempo. Ademas, podria haber una latencia
interna dentro del switch por la capacidad de manejar el ancho de banda en todos los puertos a la
vez. Aunque los switches han avanzado y esto ya no debe(ria) suponer un problema. Tpicamente la
latencia se relaciona con los protocolos de enrutamiento y otros problemas de la red.

Congestin de red
-Las causas ms comunes son:
Tecnologa de redes y computadoras cada vez ms potente =Volumen de trfico de la red cada vez
mayor (incluido el trfico de control).
-Aplicaciones con alta demanda de ancho de banda.

Segmentacion:
Puentes y Switches: Los puentes tienen slo un par de puertos para la conectividad de la LAN,
mientras que los switches cuentan con varios.

Routers: Todos los hosts conectados al switch pertenecen al mismo dominio de broadcast. Los
routers pueden utilizarse para crear dominios de broadcast, ya que no reenvan trfico de broadcast
predeterminado. Si se crean pequeos dominios de broadcast adicionales con un router, se reducir
el trfico de broadcast y se proporcionar mayor disponibilidad de ancho de banda para las
comunicaciones unicast.

Control de Latencia

Si un switch central tiene que brindar soporte a 48 puertos, siendo cada uno capaz de funcionar a
1000 Mb/s full duplex, el switch tendra que admitir aproximadamente 96 Gb/s de rendimiento
interno para mantener la velocidad plena del cable en todos los puertos al mismo tiempo. En este
ejemplo, los requisitos de rendimiento mencionados son tpicos de los switches de nivel central y no
de los switches de nivel de acceso.
El empleo de dispositivos de capas superiores tambin puede aumentar la latencia en la red. Cuando
un dispositivo de Capa 3, como un router, debe examinar la informacin de direccionamiento que
contiene la trama, debe realizar una lectura ms profunda de la trama que un dispositivo de Capa 2,
lo cual se traduce en mayor cantidad de tiempo de procesamiento. Al limitar el uso de dispositivos
de capas superiores, se reducir el nivel de latencia de la red!!!
Eliminar cuellos de botella:

En esta imagen se muestra una forma de reducir el

cuello de botella que se formara si solo hubiese una NIC del servidor conectada al switch.

Hay un ejercicio muy bueno en 2.1.3.2

Metodos de Reenvio del Switch

Conmutacin de almacenamiento y envo

En este tipo de conmutacin, cuando el switch recibe la trama, la almacena en los buffers de datos
hasta recibir la trama en su totalidad. Durante el proceso de almacenamiento, el switch analiza la
trama para buscar informacin acerca de su destino. En este proceso, el switch tambin lleva a cabo
una verificacin de errores utilizando la porcin del triler de comprobacin de redundancia cclica
(CRC). Si hay errores, se descarta (igual que en el router) La conmutacin por almacenamiento y
envo se requiere para el anlisis de calidad de servicio (QoS) en las redes convergentes, en donde se
necesita una clasificacin de la trama para decidir el orden de prioridad del trfico. Este mtodo es el
nico que usan los Cisco Catalyst actualmente.

Conmutacin por mtodo de corte

El Switch conmuta y enva la trama apenas tenga la direccin MAC, sin siquiera haberla recibido
completa. Esta conmutacin es mas rapida, pero permite enviar tramas daadas que necesitan ancho
de banda y luego sern descartadas por la NIC del dispositivo receptor. Puede ser de dos formas:
Conmutacin por envio rapido que el metodo tipico aqu descrito y Conmutacin Libre de
fragmentos, donde el switch almacena slo los primeros 64 bits de la trama y hace la comprobacin
de errores ah antes de enviarla.

Algunos switches se configuran para realizar una conmutacin por mtodo de corte por puerto hasta
llegar a un umbral de error definido por el usuario y, luego, cambian la conmutacin al modo de
almacenamiento y envo. Si el ndice de error est por debajo del umbral, el puerto vuelve
automticamente a la conmutacin por mtodo de corte.

Conmutacion Simetrica: Todos los puertos tienen acceso al mismo ancho de banda.

Conmutacion Asimetrica: Un servidor tiene acceso a mas ancho de banda para evitar cuellos de
botella. La mayora de switches son asimtricos por ser ms flexibles.

Bfer de memoria basado en puerto y bfer de memoria compartida

Como se describi en el tema anterior, el switch analiza parte del paquete, o su totalidad, antes de
reenviarlo al host de destino mediante el mtodo de reenvo.

Bfer de memoria basada en puerto

En el bfer de memoria basado en puerto, las tramas se almacenan en colas conectadas a puertos de
entrada especficos. Las tramas se transmiten hasta que las tramas delante se han transmitido.

Bfer de memoria compartida

El bfer de memoria compartida deposita todas las tramas en un bfer de memoria comn que
comparten todos los puertos del switch (como una bolsa). La cantidad de memoria de bfer que
requiere un puerto se asigna de forma dinmica. Las tramas en el bfer se vinculan de forma
dinmica al puerto de destino. Usado en la conmutacin asimtrica.

Conmutacion de Capa 2 y 3:

Un switch LAN de Capa 2 lleva a cabo los procesos de conmutacin y filtrado basndose
solamente en la direccin MAC de la Capa de enlace de datos (Capa 2) del modelo OSI.

Un switch de Capa 3, como el Catalyst 3560, funciona de modo similar a un switch de Capa 2,
como el Catalyst 2960, pero en lugar de utilizar slo la informacin de las direcciones MAC para
determinar los envos, el switch de Capa 3 puede tambin emplear la informacin de la direccin IP.
Normalmente, pueden enviar datos con la misma rapidez con la que pueden conmutar. Sin embargo,
los switches de Capa 3 no reemplazan completamente la necesidad de utilizar routers en una red.

Ambos pueden: Enrutar por capa 3, Administrar el trfico, enrutar por velocidad de cable. Pero solo
los router pueden soportar enrutamiento avanzado y soportar WIC (WAN Interface Card)

(Hay una actividad en 2.2.4.3)

Modos de la interfaz de linea de comandos

(Bsicamente un repaso de CCNA2)

Modo Exec Usuario: pocos comandos (se ve asi: Router> )

(se ve asi: Switch> enable) (aparece password si hubiera una contrasea previa)
Modo exec privilegiado se ve asi: Switch#. disable para devolvernos al modo usuario.
Alternativas GUI
(Imagenes en 2.3.1.2)

Asistente de red Cisco

El asistente de red Cisco es una aplicacin de la GUI basada en PC para la administracin de redes y
optimizada para las LAN pequeas y medianas. Puede configurar y administrar grupos de switches o
switches independientes.

Aplicacin CiscoView

La aplicacin de administracin de dispositivos CiscoView proporciona una vista fsica del switch
que se puede utilizar para establecer parmetros de configuracin y para ver la informacin de
funcionamiento y el estado del switch. La aplicacin CiscoView, que se compra por separado, puede
ser una aplicacin independiente o bien formar parte de una plataforma de Protocolo de
administracin de red simple (SNMP).
Administrador de dispositivos Cisco

El administrador de dispositivos Cisco es un software basado en Web que se encuentra almacenado

en la memoria del switch. Puede utilizar el Administrador de dispositivos y administrar los switches.
Se puede obtener acceso al administrador de dispositivos desde cualquier sitio de la red a travs del
explorador Web.

Administracin de red SNMP

Se pueden administrar switches desde una estacin de administracin compatible con SNMP, como
HP OpenView. El switch es capaz de proporcionar amplia informacin de administracin y ofrece
cuatro grupos de Monitoreo remoto (RMON).
Ayudas de Cisco IOS (Interfaz de comandos)

Historial de comandos
(switch#show history)
El historial de comandos permite llevar a cabo las siguientes tareas:
Mostrar los contenidos del bfer de comandos.
Establecer el tamao del bfer del historial de comandos.
Recordar comandos previamente ingresados y almacenados en el bfer del historial. Cada modo de
configuracin cuenta con un bfer exclusivo. Es configurable:
Sequencia de Arranque del Switch

Configuracion del Switch

Antes de Empezar, revisar que los cables (incluido el de consola) estn bien conectados. Revisar que
Hyper Terminal (o el software que vayamos a usar para emular este bien conectado). Algunos
switches como la serie Cisco Catalyst 2960 no tienen botn de encendido.

Cuando se enciende el switch, se inicia la prueba POST. Durante la POST, los indicadores de los
LED parpadean mientras una serie de pruebas determina si el switch est funcionando
correctamente. Cuando la POST finaliza, el LED SYST parpadea rpidamente en color verde. Si el
switch no pasa la POST, el LED SYST se vuelve de color mbar. Si un switch no aprueba la POST,
ser necesario repararlo.

Un switch de capa de acceso se parece mucho a una PC en que se necesita configurar una direccin
IP, una mscara de subred y una gateway predeterminada. Para manejar un switch en forma remota
mediante TCP/IP, se necesita asignar al switch una direccin IP. Se recomienda que la VLAN no sea
1.

Interfaz de Administracin:

Tenga en cuenta que un switch de Capa 2, como el Cisco Catalyst 2960, permite que slo una
interfaz de la VLAN se encuentre activa por vez. Ello significa que la interfaz de Capa 3 VLAN 99
est activa pero la interfaz de Capa 3 VLAN 1 no lo est.

Gateway:
Para verificar la configuracin, usamos S#show runing-config y S#show ip interface brief. Adems
de que mdix auto est activado automticamente (por dicha!!).

Configurar duplex y velocidad

Se puede utilizar el comando de configuracin de interfaz duplex para establecer el modo de

operacin dplex en los puertos del switch. Nota: El modo auto puede causar problemas con otros
fabricantes.
Interfaz Web

Para controlar las personas que obtienen acceso a los servicios HTTP del switch, puede configurarse
de manera opcional la autenticacin. Los mtodos de autenticacin pueden ser complejos. Es
probable que sean tantas las personas que utilizan los servicios HTTP que se requerira un servidor
independiente utilizado especficamente para administrar la autenticacin de los usuarios. Los modos
de autenticacin AAA (Authentication, Authorization and Accounting quien y como acceder y que
hizo) y TACACS (Sistema de control de acceso del controlador de acceso al terminal) son ejemplos
que utilizan este tipo de mtodo de autenticacin remota.. Posiblemente se necesite un mtodo de
autenticacin menos complejo. El mtodo enable requiere que los usuarios utilicen la contrasea de
enable del servidor.

Administracin de la tabla de direcciones MAC

Los switches utilizan tablas de direcciones MAC para determinar cmo enviar trfico de puerto a
puerto. Estas tablas de direcciones MAC incluyen direcciones estticas y dinmicas. La figura
muestra un ejemplo de tabla de direcciones MAC, en el resultado del comando show mac-address-
table, que incluye direcciones MAC estticas y dinmicas.
El tiempo por defecto que esas direcciones estn en la Tabla MAC es 300 segundos, se puede
modificar para mas o para menos, con las implicaciones que eso tendra en ambos casos.

Un administrador de red puede asignar direcciones MAC estticas a determinados puertos de manera
especfica. Las direcciones estticas no expiran y el switch siempre sabe a qu puerto enviar el
trfico destinado a esa direccin MAC en particular. Una razn para implementar direcciones MAC
estticas es de proporcionar al administrador de red un completo control sobre el acceso a la red.
Slo los dispositivos conocidos por el administrador de red podrn conectarse a la red.

Para crear una asignacin esttica en la tabla de direcciones MAC, ingrese el comando mac-
address-table static <direccin MAC> vlan {1-4096, ALL} interface -id de la interfaz-
Para eliminar una asignacin esttica en la tabla de direcciones MAC, use el comando no mac-
address-table static <direccin MAC> vlan {1-4096, ALL} interface -id de la interfaz-

El tamano maximo de tabla MAC puede variar de un switch a otro.

Nota: Al usar show interfaces se muestra una linea (mas o menos la cuarta o quinta) que dice;
Auto duplex, Auto Speed, media type is 10/100 BaseTX
indicando que esas caractersticas estn activadas.

Administracion Basica de Switch

 Al introducir el comando copy running-config startup-config, el software IOS de Cisco copia la
configuracin en ejecucin en la NVRAM, de modo que cuando el switch arranque, la configuracin
de inicio se cargue con la nueva configuracin. Si el usuario desea mantener varios archivos de
configuracin de inicio en el dispositivo, puede copiar la configuracin en archivos de distinto
nombre utilizando el comando copy startup-config flash:nombre de archivo. El almacenamiento de
varias versiones de configuracin de inicio brinda la posibilidad de recurrir a ellos en caso de tener
dificultades con la configuracin en determinado momento.
Nota: No puede recargarse desde un terminal virtual si el switch no est configurado para reiniciar
automticamente. Esta restriccin evita que el sistema se desconecte del monitor ROM (ROMMON)
y quede, por consiguiente, el sistema fuera del control del usuario remoto.

Se puede utilizar TFTP para realizar la copia de seguridad de los archivos de configuracin en la red.
El software IOS de Cisco viene con un cliente de TFTP incorporado que permite que el usuario se
conecte con un servidor TFTP en su red.

Para hacer copia de seguridad:

Paso 1.
Verifique que el servidor TFTP se est ejecutando en la red

Paso 2. Inicie sesin en el switch a travs del puerto de consola o sesin Telnet. Habilite el switch y
luego haga ping al servidor TFTP.

Paso 3.
Suba la configuracin del switch en el servidor TFTP. Especifique la direccin IP o el nombre de
host del servidor TFTP y el nombre del archivo de destino. El comando del IOS de Cisco es: #copy
system:running-config tftp://ubicacin]/directorio]/nombre de archivo] o #copy nvram:startup-config
tftp://ubicacin]/directorio]/nombre de archivo]. Se ve asi:

S1#copy system:running-config tftp://172.16.2.155/tokyo_confg

Write file on tokyo_confg (y mas texto).
Para restaurar la configuracin:
Se repiten pasos 1 y 2.
Paso 3. Inicie sesin en el switch a travs del puerto de consola o sesin Telnet. Habilite el switch y
luego haga ping al servidor TFTP.

Paso 4. Descargue el archivo de configuracin del servidor TFTP para configurar el switch.
Especifique la direccin IP o el nombre de host del servidor TFTP y el nombre del archivo que desea
descargar. El comando del IOS de Cisco es: #copy tftp://ubicacin]/directorio]/nombre de archivo]
system:running-config o #copy tftp://ubicacin]/directorio]/nombre de archivo] nvram:startup-
config.

Para Eliminar un archivo de configuracin (no se podr restaurar luego, debe guardarse una copia
de seguridad si va a necesitarse mas adelante):
S1#erase nvram (o erase startup)

Para eliminar un archivo de configuracin almacenado en el RAM (no se podr restaurar luego,
debe guardarse una copia de seguridad si va a necesitarse ms adelante):
S1# delete flash:-nombre de archivo-

Una vez que se ha borrado o eliminado la configuracin, se puede volver a cargar el switch con una
nueva configuracin.

(Actividad en 2.3.8.4)
 Configuracin de Contraseas

Consola:

Para eliminar la contrasea, se siguen los mismos comandos, pero se usa no password y no login.
Terminal Virtual

Para eliminar la contrasea, se siguen los mismos comandos, pero se usa no password y no login.

Modo EXEC: Se utilizan los comandos anteriores con el nombre enable. Para eliminar la
contrasea, se siguen los mismos comandos, pero se usa no password y no login.

Contrasenas Encriptadas:

Cuando se ingresa el comando service password-encryption desde el modo de configuracin global,

todas las contraseas del sistema se almacenan en formato encriptado. Tan pronto se ingresa el
comando, todas las contraseas establecidas en el momento se convierten en contraseas
encriptadas. En la parte inferior de la figura, las contraseas encriptadas estn resaltadas en color
naranja. (para quitarlo: no service password-encryption).
Recuperar contrasea enable:

No se puede recuperar, pero se podra crear una nueva, se requiere acceso consola:
Paso 1. Conecte un terminal o PC, con el software de emulacin de terminal, al puerto de consola del
switch.

Paso 2. Establezca la velocidad de lnea del software de emulacin en 9600 baudios.

Paso 3. Apague el switch. Vuelva a conectar el cable de alimentacin al switch y, en no ms de 15

segundos, presione el botn Mode mientras la luz verde del LED del sistema est parpadeando. Siga
presionando el botn Mode hasta que el LED del sistema cambie al color mbar durante unos
segundos y luego a verde en forma permanente. Suelte el botn Mode.

Paso 4. Inicialice el sistema de archivos Flash a travs del comando flash_init.

Paso 5. Cargue archivos helper mediante el comando load_helper.

Paso 6. Visualice el contenido de la memoria Flash a travs del comando dir flash:

Se muestra el sistema de archivos del switch:

Directory of flash:/
13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX
11 -rwx 5825 Mar 01 1993 22:31:59 config.text
18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat
16128000 bytes total (10003456 bytes free)

Paso 7. Cambie el nombre del archivo de configuracin por config.text.old, que contiene la
definicin de la contrasea, mediante el comando rename flash:config.text flash:config.text.old.

Paso 8. Reinicie el sistema con el comando boot.

Paso 9. Se solicitar que ejecute el programa de configuracin inicial. Ingrese N ante la solicitud y
luego cuando el sistema pregunte si desea continuar con el dilogo de configuracin, ingrese N.

Paso 10. Ante la indicacin de switch, ingrese al modo EXEC privilegiado por medio del comando
enable.

Paso 11. Cambie el nombre del archivo de configuracin y vuelva a colocarle el nombre original
mediante el comando rename flash:config.text.old flash:config.text.

Paso 12. Copie el archivo de configuracin en la memoria a travs del comando copy
flash:config.text system:running-config. Despus de ingresar este comando, se mostrar el siguiente
texto en la consola:
Source filename [config.text]?

Destination filename [running-config]?

Oprima Regresar en respuesta al indicador de confirmacin. El archivo de configuracin est

cargado nuevamente y usted puede modificar la contrasea.

Paso 13. Ingrese al modo de configuracin global mediante el comando configure terminal.
Paso 14. Cambie la contrasea mediante el comando enable secret -contrasea-.

Paso 15. Regrese al modo EXEC privilegiado mediante el comando exit.

Paso 16. Escriba la configuracin en ejecucin en el archivo de configuracin de inicio mediante el

comando copy running-config startup-config.

Paso 17. Vuelva a cargar el switch mediante el comando reload.

Notas: Estos comandos pueden variar segn el switch. flash_init, load_helper, boot son comandos
para inicializar el sistema de archivos flash y terminar de cargar IOS, en caso de que el inicio se
interrumpa antes de iniciar los archivos flash.

Titulo de inicio de sesion:

S1(config terminal)# banner login Authorized Personnel Only

Para quitarlo: no banner login.

Mensaje MODT
El mensaje MOTD se muestra en todos los terminales conectados en el inicio de sesin y es til para
enviar mensajes que afectan a todos los usuarios de la red (como desconexiones inminentes del
sistema). Si se configura, el mensaje MOTD se muestra antes que el mensaje de inicio de sesin.

S1(config terminal)# banner motd System Maintenance Today

Para quitarlo: no banner login.
Telnet y SSH

Como Telnet es el transporte predeterminado para las lneas vty, no necesita especificarlo despus de
que se lleve a cabo la configuracin inicial del switch. Sin embargo, si ha conmutado el protocolo de
transporte en las lneas vty para permitir slo SSH, debe habilitar el protocolo de Telnet para
permitir el acceso manual de Telnet.
S1(config)# line vty 0 15
S1(config-line)# transport input telnet
o:
S1(config-line)# transport input all

SSH:

Para salir de la configuracion: end

Muestre el estado del servidor SSH en el switch utilizando el comando show ip ssh o show ssh.

Paso 1. Ingrese al modo de configuracin global mediante el comando configure terminal.

Paso 2. Configure un nombre de host para su switch utilizando el comando hostname -nombre del
host-

Paso 3. Configure un dominio de host para su switch utilizando el comando ip domain-name-

nombre del dominio-

Paso 4. Habilite el servidor SSH para la autenticacin remota y local en el switch y genere un par de
claves RSA utilizando el comando crypto key generate rsa.
Cuando genera claves RSA se le indica que ingrese una longitud de mdulo. Cisco recomienda
utilizar un tamao de mdulo de 1024 bits. Una longitud de mdulo ms larga puede ser ms segura,
pero demora ms en generar y utilizar.

Paso 5. Regrese al modo EXEC privilegiado utilizando el comando end.

Paso 6. Muestre el estado del servidor SSH en el switch utilizando el comando show ip ssh o show
ssh.

Para eliminar el par de claves RSA, utilice el comando crypto key zeroize rsa de configuracin
global. Despus de eliminarse el par de claves RSA, el servidor SSH se deshabilita automticamente.

Configuracin del servidor SSH

Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el servidor SSH.

Paso 1. Ingrese al modo de configuracin global mediante el comando configure terminal.

Paso 2. (Opcional) Configure el switch para ejecutar SSHv1 o SSHv2 utilizando el comando ip ssh
version [1 | 2].

Si no ingresa este comando o no especifica una palabra clave, el servidor SSH selecciona la ltima
versin admitida por el cliente SSH. Por ejemplo: si el cliente SSH admite SSHv1 y SSHv2, el
servidor SSH selecciona SSHv2.
Si no ingresa este comando o no especifica una palabra clave, el servidor SSH selecciona la ltima
versin admitida por el cliente SSH. Por ejemplo: si el cliente SSH admite SSHv1 y SSHv2, el
servidor SSH selecciona SSHv2.

Paso 3. Configure los parmetros de control de SSH:

Especifique el valor del tiempo de espera terminado en segundos; la opcin predeterminada es 120
segundos. El intervalo es de 0 a 120 segundos.
De manera predeterminada, estn disponibles hasta cinco conexiones SSH simultneas encriptadas
para varias sesiones basadas en CLI sobre la red (sesin 0 a sesin 4).
Repita este paso cuando configure ambos parmetros. Para configurar ambos parmetros utilice el
comandoip ssh {timeout segundos | authentication-retries nmero}.

Paso 4. Regrese al modo EXEC privilegiado mediante el comando end.

Paso 5. Muestre el estado de las conexiones del servidor SSH en el switch utilizando el comando
show ip ssh o show ssh.

Paso 6. (Opcional) Guarde sus entradas en el archivo de configuracin utilizando el comando copy
running-config startup-config.

Si quiere evitar conexiones que no sean de SSH, agregue el comando transport input ssh en el modo
configuracin en lnea para limitar al switch a conexiones slo de SSH.

Ataques de seguridad
Basicamente consisten en:
-Switch aprende la direccin MAC de un host y la agrega a su tabla MAC.
-El atacante llena la tabla MAC del switch con direcciones inexistentes.
-El switch tiene dificultad para encontrar las direcciones vlidas en medio de la inundacin y
comienza a actuar como un Hub, enviando todas las tramas por todos los puertos.
Suplantacion de Identidad (DHCP)

Paso 1. Habilitar el snooping de DHCP mediante el comando de configuracin global ip dhcp

snooping.

Paso 2. Habilitar el snooping de DHCP para VLAN especficas mediante el comando ip dhcp
snooping vlan -numero de vlan-

Paso 3. Definir los puertos como confiables o no confiables a nivel de interfaz identificando los
puertos confiables mediante el comando ip dhcp snooping trust

Paso 4. (Opcional) Limitar la tasa a la que un atacante puede enviar solicitudes de DHCP bogus de
manera continua a travs de puertos no confiables al servidor de DHCP mediante el comando ip
dhcp snooping limit rate -rate-

Ataques en CDP

El Protocolo de descubrimiento de Cisco (CDP) es un protocolo de propiedad de Cisco que puede

configurarse en todos los dispositivos de Cisco. CDP descubre otros dispositivos de Cisco
conectados directamente, lo que permite que configuren sus conexiones en forma automtica,
simplificando la configuracin y la conectividad. Los mensajes de CDP no estn encriptados.
CDP contiene informacin sobre el dispositivo, como la direccin IP, la versin del software, la
plataforma, las capacidades y la VLAN nativa. Cuando esta informacin est disponible para el
atacante, puede utilizarla para encontrar vulnerabilidades para atacar la red, en general en la forma
de ataque de Denegacin de servicio (DoS). Adems el atacante puede generar CDP bogus. La mejor
forma de combatirlo es desactivarlo en los dispositivos que no se necesite.
La auditora de seguridad permite llenar la tabla MAC con direcciones bogus (como un ataque real)
para determinar cules puertos no han sido protegidos contra ese tipo de ataque.
Seguridad de puerto:

La seguridad de puerto limita la cantidad de direcciones MAC vlidas permitidas en el puerto.

Cuando se asignan direcciones MAC seguras a un puerto seguro, el puerto no enva paquetes con
direcciones origen que se encuentren fuera del grupo de direcciones definidas.

Hay 3 formas de asegurar el puerto:

Direcciones MAC seguras estticas: Las direcciones MAC se configuran manualmente mediante el
comando de configuracin de interfaz switchport port-security mac-address mac-address.
Direcciones MAC seguras dinmicas: Las direcciones MAC se aprenden de manera dinmica y se
almacenan slo en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se
eliminan cuando el switch se reinicia.
Direcciones MAC seguras sin modificacin: Se puede configurar un puerto para que aprenda de
manera dinmica las direcciones MAC y luego guardarlas en la configuracin en ejecucin.

Cuando se habilita el aprendizaje sin modificacin en una interfaz mediante el comando de

configuracin de interfaz switchport port-security mac-address sticky, la interfaz convierte todas las
direcciones MAC seguras dinmicas. Se quita con no switchport port-security mac-address sticky=
se eliminan de la configuracin activa, pero permanecen como parte de la tabla MAC (mientras el
switch est encendido).
Cuando se configuran direcciones MAC seguras sin modificacin mediante el comando de
configuracin de interfaz switchport port-security mac-address sticky mac-address, stas se agregan
a la tabla de direcciones y a la configuracin en ejecucin. Si se deshabilita la seguridad de puerto,
las direcciones MAC seguras sin modificacin permanecen en la configuracin en ejecucin. Si se
guardan las direcciones MAC seguras sin modificacin en el archivo de configuracin, el switch ya
la sabe y no necesita re-aprenderlas.
Si se deshabilita el aprendizaje sin modificacin y se ingresa el comando de configuracin de
interfaz switchport port-security mac-address sticky mac-address, aparece un mensaje de error.
Hay 3 modos de proteccin:
Proteccin: Cuando la cantidad de direcciones MAC seguras alcanza el lmite permitido para
el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una
cantidad suficiente de direcciones MAC seguras o se aumente la cantidad mxima de direcciones
permitida. El usuario no advierte que se ha producido una violacin de seguridad. En el modo
Restriccin , sucede lo mismo pero el usuario si advierte la violacin. De manera especfica, se
enva una trampa de SNMP, se registra un mensaje de syslog y se aumenta el contador de
violaciones.
Desactivacin: En este modo, una violacin de seguridad de puerto produce que la interfaz de
deshabilite por error de manera inmediata y se apaga el LED del puerto. Este es el modo
predeterminado y se puede volver a levantar el puerto con no shutdown.
Verificar la seguridad del puerto:

Para aumentar la seguridad:

Es simple deshabilitar varios puertos en un switch. Explore todos los puertos no utilizados y emita el
comando IOS de Cisco shutdown. Una forma alternativa de desactivar varios puertos es mediante el
comando interface range. Si un puerto debe ser activado, se puede ingresar el comando no shutdown
en forma manual para esa interfaz.