Resumen CHAP 6-10 ICND1 (Español)
of 103
-
Upload
jonathan-eric-donoso-gomez -
Category
Documents
-
view
33 -
download
1
description
Resumen y traducción español de los Chapter 6-10 del libro Cisco ICND1 100-101 Official Cert Guide
Transcript of Resumen CHAP 6-10 ICND1 (Español)
Captulo 6.Building Ethernet LANs with Switches
Progresin histrica: Hubs, bridges y switches
La Figura 6-1muestra la topologa tpica antigua para10BASE-T con un hub
Varios inconvenientes continuaron existiendo con 10BASE-T el uso de hubs:
Cuando hubs reciben una seal elctrica en un puerto (paso 1 Figura 6-1), el hub repite la seal a todos los dems puertos (paso 2 figura).
Cuando dos o ms dispositivos envan al mismo tiempo, un choque elctrico se produce, creando ambos seales corruptas.
Como resultado, los dispositivos deben turnarse con la logica (CSMA / CD), de modo que los dispositivos comparten los (10 Mbps) de ancho de banda.
Broadcast enviadas por un dispositivo se escuchan y procesados por todos los dems dispositivos de la LAN.
Unicast Frames son escuchadas por todos los dems dispositivos de la LAN.
Con el tiempo, el rendimiento de muchas redes Ethernet basada en hubs empez a degradarse.Los dispositivos de la misma Ethernet no podan enviar (en conjunto) ms de 10 Mbps de trfico, ya que todos compartan los 10 Mbps de ancho de banda.Adems, el aumento del trfico de volmenes resultaron un aumento del nmero de colisiones, lo que requiere ms retransmisiones y desperdiciando ms capacidad de LAN.
Ethernet transparent bridges, o simplemente puentes, ayudaron a resolver este problema con rendimiento de 10BASE-T.Despus de que se aadieron a un 10BASE-T LAN, se hicieron las siguientes mejoras:
Bridges separa en grupos llamadosdominios de colisin.
Bridges redujo el nmero de colisiones que se produjeron en la red, ya que dentro de los frames un dominio de colisin no chocan con frames de otro dominio de colisin.
Puentes incrementa el bandwidth, dando a cada dominio de colisin su propio ancho de banda independiente, con un remitente a la vez por dominio de colisin.
El puente en este caso separa la red en dos dominios de colisin (CD).
El bridge, un predecesor del switch Ethernet LAN de hoy, utiliza la lgica para que los frame de un CD no choquen con frames de otro CD.El puente reenvia frames entre sus dos interfaces, y a diferencia de un hub, un puente aguantara o en cola la trama hasta que la interfaz de salida pueda enviar la trama. Por ejemplo, Fred y Betty pueden enviar una trama a Barney al mismo tiempo, y el puente con Queue (en cola) de la trama enviada por Betty, esperando que lo transmita al CD de la izquierda, hasta que el CD de la izquierda no este ocupado.
Agregar el puente enla Figura 6-2realmente crea dos redes separadas 10BASE-T. La red 10BASE-T de la izquierda tiene sus propios 10 Mbps para compartir, como lo hace el la red a la derecha.Por lo tanto, en este ejemplo, el ancho de banda total de la red se duplica a 20 Mbps como en comparacin con la red 10BASE-T enla Figura 6-1, Porque los dispositivos en cada lado de la red puede enviar a 10 Mbps al mismo tiempo.
Switches LAN mejoran las mismas funciones bsicas como bridges, pero a velocidades mucho ms rpidas y con muchas funciones mejoradas.Al igual que los puentes, los switches segmentan una LAN en dominios de colisin, cada uno con su propia capacidad.Y si la red no tiene un hub, cada enlace se considera su propio CD.
Por ejemplo,la Figura 6-3muestra una LAN con un switch y cuatro PC.El parmetro genera cuatro CD, con la posibilidad de enviar a 100 Mbps en cada uno de los cuatro enlaces.Y sin hubs, cada enlace puede funcionar a full-duplex, duplicando la capacidad de cada enlace.
Switching Logic (conmutacion)
El papel de un switch LAN es para reenviar tramas Ethernet.Para lograr ese objetivo, switches utiliza la lgica basada en el origen y destino direccin MAC en la cabecera Ethernet de cada frame.
Unicast frames tienen una direccin unicast como destino;estas direcciones representan un solo dispositivo.Una broadcast frame tiene una direccin MAC de destino de FFFF.FFFF.FFFF;esta frame debe ser entregada a todos los dispositivos de la LAN.
Switch LAN recibe tramas Ethernet y luego toman una decisin de conmutacin: o bien transmitir la frame a algunon otro puerto (s) o ignorar el frame.Para lograr esto, transparent bridges realiza 3 acciones:
1.Decidir cundo enviar una trama o cuando filtrar (no forward) un frame, basado en el direccin MAC de destino.2.Aprender direcciones MAC examinando la direccin MAC de origen de cada trama recibida por el switch3.Creando un (Capa 2) entorno libre de bucles con otros bridges mediante el Protocolo de rbol de expansin (STP).
La primera accin es el trabajo principal del switch, mientras que los otros dos elementos son funciones generales.
La Decisin Forward-Versus-Filter
Para decidir si se debe enviar una trama, un switch utiliza una tabla incorporada de forma dinmica que enumera MAC direcciones y las interfaces de salida.Switches comparan direccin MAC de destino de la trama en esta tabla para decidir si el switch debe enviar una trama o simplemente ignorarlo.Por ejemplo, Figura 6-4, con Fred enviar una trama a Barney.
En esta figura, Fred enva una trama con la direccin de destino 0200.2222.2222 (direccin MAC de Barney). El switch compara la direccin MAC de destino (0200.2222.2222) en la tabla de direcciones MAC, emparejando la entrada en negrita de la tabla.Esa entrada de la tabla emparejada le dice al switch reenviar la trama al puerto F0/2, y slo puerto F0/2.
En redes LAN con mltiples switches, cada switch toma una decisin de reenvo independiente basado en su propia Tabla de direcciones MAC.Juntos, se enva la trama para que finalmente llegue a su destino.
Por ejemplo,la Figura 6-5muestra los mismos cuatro PC Figura 6-4, Pero ahora con dos switches LAN. En este caso, Fred enva una trama a Wilma, con destino MAC 0200.3333.3333. SW1 enva la trama a su / puerto G0 1, segn la tabla de direcciones MAC de SW1.Luego, en el paso 2, SW2 enva la trama a su puerto F0 / 3, sobre la base de la tabla de direcciones MAC de SW2.
Cmo switches aprenden las direcciones MAC
La segunda funcin principal de un switch es aprender las direcciones e interfaces para poner en su tabla de direcciones MAC.Con una tabla de direcciones MAC completa y precisa, el switch puede hacer reenvo exacto y tomar decisiones de filtrado.
Switch construye la tabla de direcciones al escuchar las tramas entrantes y examinamdo ladireccion source MAC en el frame.Si un frame entra en el switch y la direccin MAC de origen no est en el MAC tabla de direcciones, el switch crea una entrada en la tabla.Esa entrada de la tabla muestra el interfaz desde llego la trama.
La figura muestra las dos primeras tramas enviadas en esta red. Primero un frame desde Fred, dirigida a Barney, y luego la respuesta de Barney, se dirigi a Fred.
Como se muestra en la figura, despus que Fred enva su primera trama (etiqueta "1") para Barney, l switch agrega una entrada para 0200.1111.1111, la MAC de Fred, asociada con la interfaz F0/1.Cuando Barney responde en el paso 2, el switch agrega una segunda entrada, ste para 0200.2222.2222,MAC de Barney, junto con la interfaz F0/2, que es la interfaz en la que el switch recibela trama. El aprendizaje siempre se produce al ver la direccin MAC de origen en la trama.
Switches mantienen un temporizador para cada entrada de la tabla de direcciones MAC, llamado inactivity timer.El Switch ajusta el temporizador a 0 para las nuevas entradas.Cada vez que el switch recibe otra frame con la misma fuente Direccin MAC, el temporizador se resetea a 0. Los temporizador cuenta hacia arriba.El switch elimina las entradas desde la tabla cuando se hacen viejos.O, si el switch se queda sin espacio paraentradas MAC tabla, el switch puede entonces eliminar entradas de la tabla con los ms antiguos tiempos inactivos.
Flooding Frames: trama Inundaciones
Cuando no hay ninguna entrada coincidente en la tabla. Switches reenvian la trama a todas las interfaces (excepto la interfaz de entrada) mediante un procesollamadoflooding.
Switches inundanunknown unicast frames(frames cuyo destino MACno son an de la tabla de direcciones).Las inundaciones significan que el switch enva copias de la trama a todos lospuertos, excepto el puerto en el que se recibi la trama.
Los switches tambin reenvian tramas broadcast de LAN, ya que este proceso ayuda a entregaruna copia de la trama todos los dispositivos de la LAN.
Por ejemplo,la Figura 6-6muestra el primer frame, enviado a la direccin MAC de Barney. En realidad, el switch inunda esta trama a F0/2, F0/3, y F0/4, aunque 0200.2222.2222 (Barney) es slo de F0/2.El switch no reenva la tramade vuelta F0 / 1, porque un switch nunca enva una trama a la misma interfaz en la que se llega.
Evitar Loops utilizando el protocolo Spanning Tree
La tercera caracterstica principal de switches LAN es la prevencin de bucle, tal como se aplica porSpanning Tree Protocolo(STP).Sin STP, cualquier trama inundada hara bucle por un perodo indefinido de tiempo en Redes Ethernet con enlaces fsicamente redundantes.Para evitar los frames de bucle, STP bloquea algunos puertos de reenvio de tramas de forma que slo existe una ruta activa entre cualquier par de segmentos LAN.
Sin embargo, STP tiene caractersticas negativas, as, como el hecho de que se necesita algo de trabajo para equilibrar el trfico a travs de los enlaces alternativos redundante.
Recuerde, switches inunda tramas enviando tanto direcciones unknown unicast MAC y direcciones de broadcast.Figura 6-7muestra un unknown unicast frame, enviado por Larry a Bob, con bucles para siempre porque la red tiene redundancia pero no STP.
Debido a que ninguno de los switches lista la direccin MAC de Bob en sus tablas de direcciones, cada switch inunda la frame.Un bucle fsico existe a travs de los tres switches.Los switches mantienen el reenvio de la trama fuera de todos los puertos, y copias de la trama van dando vueltas y vueltas.
Para evitar bucles de Capa 2, todos los switches necesitan utilizar STP.STP hace que cada interfaz en un switch se configure en estado de bloqueo o de un estado de reenvo.El Blockingsignifica que la interfaz no puede avanzar o recibir tramas de datos, mientras queforwardingsignifica que la interfaz puede enviar y recibir tramas de datos.
Procesamiento interno en conmutadores Cisco
Tres mtodos de procesamiento Interno en switches y bridges-transparentes.
Resumen LAN Switching
En particular, switches LAN proporcionar los siguientes beneficios:
Los puertos del switch conectados a un nico dispositivo microsegmenta la LAN, ofreciendo dedicated bandwidth para ese nico dispositivo.
Los switches permiten mltiples conversaciones simultneas entre dispositivos en puertos diferentes.
Los puertos del switch conectados a un nico dispositivo full-duplex, duplica la cantidad de ancho de banda disponible para el dispositivo.
Switches soporta adaptacin de velocidad, lo que significa que los dispositivos que utilizan diferentes velocidades de Ethernet puede comunicarse a travs del switch (hubs no puede).
Switches utilizan logica Capa 2. Los switches toman decisiones para enviar y filtrar tramas, para aprender direcciones MAC, y el uso STP para evitar bucles, como sigue:
Paso 1.Switches reenvian tramas basados en la direccin de destino:
A.Si la direccin de destino es un broadcast, multicast o unicast destino desconocido (un unicast que no figuran en la tabla MAC), el switch inunda la trama.B.Si la direccin de destino es una direccin unicast conocido (una direccin unicast que se encuentra en el MAC tabla):i.Si la interfaz de salida que aparece en la tabla MAC es diferente de la interfaz en el que se recibe la trama, el switch enva la trama a la salida interfaz.ii.Si la interfaz de salida es la misma que la interfaz en la que se recibe la trama, el switch filtra el frame, lo que significa ignorar el frame y no reenviarlo.Paso 2.Switches utilizan la siguiente lgica para aprender entradas de la tabla de direcciones MAC:
A.Para cada trama recibida, examine la direccin MAC de origen y tenga en cuenta la interfaz donde se recibi la trama.B.Si no est en la tabla, agregar la direccin MAC y la interfaz por donde aprendio, ajustar el temporizador de inactividad a 0.C.Si ya est en la tabla, reiniciar el temporizador de inactividad para la entrada a 0.
Paso 3.Switches utilizan STP para evitar bucles haciendo que algunas interfaces se bloqueen, lo que significa que no pueden enviar o recibir tramas.
Elecciones de diseo de redes LAN Ethernet
Dominios de colisin, Broadcast Dominios, y VLANs
Eltermino collision domainybroadcast domaindefinen dos efectos importantes del proceso de segmentar las LAN utilizando diversos dispositivos.
Dominios de colisin
Eltermino dominio de colisinhace referencia a un concepto Ethernet de todos los puertos transmitiendo los frame causaran una colisin con tramas enviadas por otros dispositivos en el CD. La figura 6-8ilustra los CD
De los cuatro tipos de dispositivos de red en la figura, slo el hub permite un CD se extienda desde un lado del dispositivo al otro.El resto de la dispositivos de red (routers, switches, puentes) todos los separan de la LAN en puertos distintos. Hoy en da, las redes modernas no podra permitir una colisin ocurra fsicamente
Broadcast Dominios
Undominio de broadcastEthernetes el conjunto de dispositivos a los que se entregue esa broadcast.
De todos los dispositivos de red que se muestran enla Figura 6-8, Slo los routers separan la LAN en mltiples dominios broadcast.LAN switches amplian el dominio de broadcast.Routers no reenvian ethernet broadcast frames.
Por definicin, broadcast enviado por un dispositivo en un dominio de difusin no se envan a los dispositivos de otro dominio.En este ejemplo, hay dos dominios de broadcast. El router no envia un broadcast de un PC de la izquierda al segmento de red a la derecha.
Definiciones generales para un dominio de colisin y un dominio de broadcast son los siguientes:
Undominio de colisines un conjunto de tarjetas de interfaz de red (NIC) para que una trama enviada por una NIC podra resultar en una colisin con un frame enviado por otra NIC en el mismo dominio de colisin.
Undominio de broadcastes un conjunto de tarjetas de red para que un broadcast frame enviada por una NIC se reciba a todas las dems tarjetas de red en el mismo dominio de broadcast.
El impacto de la colisin y de broadcast Dominios on LAN Diseo
En primer lugar, considerar los dispositivos con un solo colisin dominio.
Los dispositivos comparten el ancho de banda disponible. Los dispositivos pueden utilizar de manera ineficiente el ancho de banda debido a los efectos de las colisiones, en particular bajo una mayor utilizacin.
Considere un diseo con diez ordenadores, con cada enlace que utilice 100BASE-T.Con un hub, un solo PC puede enviar a la vez, para un mximo de capacidad de 100 Mbps para toda la LAN.Al cambiar el hub por un switch, se obtiene:
100 Mbps por enlace, para un total de 1,000 Mbps (1 Gbps) La capacidad de utilizar full-diplex en cada enlace, duplicando la capacidad de 2000 Mbps (2 Gbps)
Consideremos ahora el problema de los broadcasts.Cuando un host recibe una broadcast, el host debe procesar la trama recibida.Esto significa que la NIC debe interrumpir CPU de la computadora, y la CPU debe pasartiempo pensando en el frame de la transmisin recibida.
Considerando una LAN grande con varios switches, con 500 pc. Los switches crean un nico dominio de broadcast, por lo que una emisin de broadcast enviada por un host, debe ser enviados a los 499 host. Esto afecta el rendimiento de los usuarios finales.Ideal separar por routers para crear mas dominios de brodcast, para mejorar el rendimiento del PC
LAN virtuales (VLAN)
La mayora de cada red empresa hoy en da utiliza el concepto deredes de rea local virtuales(VLAN).Una LAN se compone de todos los dispositivos en el mismo dominio de broadcast.
Sin VLANs, un switch considera todas las interfaces del switch, y los dispositivos conectados a los enlaces, para estar en el mismo dominio de broadcast.En otras palabras, todos los dispositivos conectados estn en la misma LAN. (Switches Cisco todas las interfaces estn en VLAN 1 por defecto.)
Con VLAN, Interfaces de un grupo de switches en diferentes VLANs (dominios broadcast).En esencia, los switchs generan mltiples dominios broadcast poniendo algunas interfaces en una VLAN y otras interfaces en otras VLAN.
Las siguientes dos figuras comparan dos redes locales:
Primera figura: dos dominios de broadcast separados, dos switches utilizados, uno con cada dominio broadcast, FIG: 6-10
Alternativamente, puede crear varios dominios de broadcast que utilizan un solo switch.Figura 6-11. Ahora implementado dos VLANs diferentes en un solo switch se crea 2 dominios de broadcast
La eleccin de la tecnologa Ethernet para una LAN Campus
El trminocampus LANse refiere a la LAN creada para apoyar a los edificios ms grandes, o mltiples edificios en estrecha proximidad entre s. Al planificar y disear un campus LAN, los ingenieros deben tener en cuenta los tipos de Ethernet disponible y las longitudes de cableado soportadas por cada tipo.Tambin necesitan elegir las velocidades requeridas para cada segmento Ethernet.Adems, alguna idea que algunos switches deben utilizarse para conectarse directamente a dispositivos de usuario final, y otros switches conectarse a estos switches que conectan usuarios finales.Por ltimo, considerar el tipo de equipo que ya est instalado y si un aumento de la velocidad en algunos segmentos de la red vale la pena el costo de la compra de nuevos equipos.
Campus Diseo Terminologa
Figura 6-12muestra un diseo tpico de un gran campus LAN, con la terminologa incluida en la figura.Este LAN tiene alrededor de 1.000 ordenadores personales conectados a switches que soportan alrededor de 25 puertos cada uno.
Cisco utiliza tres trminos para describir la funcin de cada swtich en un diseo de campus:el acceso,distribucin, yncleo.Los roles difieren en funcin de si los switches envan trfico desde un dispositivo de usuario y al resto de la LAN (access) o si el switch enva el trfico entre otros switch LAN (Distribucin y ncleo).
Acceso:Proporciona un punto de conexin (acceso) para los dispositivos de usuario final.No envian tramas entre otros dos switches de acceso en circunstancias normales.Distribucin:Proporciona un punto de agregacin para los switches de acceso, reenviar tramas entre switches, pero no se conecta directamente a dispositivos de usuario final.Ncleo:switches de distribucin agregados en grandes redes de rea local del campus, proporcionando muy altas tasas de transmisin.
Ethernet LAN Medios y longitudes de cable
Se debe tener en cuenta la longitud de cada tramo de cable y luego encontrar el mejor tipo de Ethernet y el cableado tipo que apoya que la longitud del cable.
Los tres tipos ms comunes de Ethernet hoy (10BASE-T, 100BASE-T, y 1000BASE-T)
Cables UTP incluyen cables de cobre sobre cual corrientes elctricas pueden fluir, mientras que los cables pticos incluyen hebras ultra finas de vidrio el cual la luz puede pasar.Para enviar los bits, los switches pueden alternar entre el envo luz brillante y oscura para codificar 0s y 1s en el cable.
Los cables pticos soportan una variedad de distancias mucho ms largar que los cables UTP.Los cables pticos experimentan mucho menos interferencias Adems, los swtiches pueden utilizar lseres para generar la luz, as como emisor de luz diodos (LED).Los lseres permiten mayores distancias de cableado, miles metros, a mayor costo, mientras que los LEDs, menos costosos soportar distancia para LAN de campus (parques de oficinas).
Por ltimo, el tipo de cableado ptico tambin puede afectar las distancias maximas por cable.De los dos tipos, fibra multimodo soporta distancias ms cortas, pero es cableado ms barato y funciona bien con LEDs menos costosos.El otro tipo de cableado ptico, fibra monomodo, soporta ms distancias, pero es ms caro.Tambin el hardware base de LED (multimodo fibra) es mucho menos caro que el hardware basado en lser (monomodo fibra)
Tabla 6-4enumera los tipos ms comunes de Ethernet y sus tipos de cable y las limitaciones de longitud.
Autonegotiation
Dispositivos ethernet en cada extremo de un enlace deban utilizar el mismo estndar o no podan enviar correctamente datos. Ejem: Nic 100Base-T conectado con un cable utp de velocidad 100-mbps o 1000-mbps a un puerto de un switch que trabaja con 1000base-T.
Solucion IEEE : negociacin automtica.(Estndar IEEE 802.3u) define un protocolo que permite que el Ethernet UTP de dos nodos en un enlace negocien utilizar la misma configuracin de velocidad y dplex.Bsicamente, cada nodo indica lo que puede hacer, y luego cada nodo recoge la mejor opcion que soportan ambos nodos: la velocidad ms rpida y la mejor configuracin dplex.
Muchas redes usan negociacin automtica, en particular entre dispositivos de usuario y switches LAN (Figura 6-13).La empresa instal cuatro de par trenzado, por lo que el cableado trabaja 10 Mbps, 100 Mbps y 1000 Mbps Ethernet.Ambos nodos en cada enlace envan mensajes de autonegociacin el uno al otro.El switch en este caso tiene todos los puertos 10/100/1000, mientras que las tarjetas de red de PC soportan diferentes opciones.
Autonegotiation Results When Only One Node Uses Autonegotiation
Desactivar la negociacin automtica no es siempre una mala idea, pero se debe usar en ambos extremos del enlace o desactivarlo en ambos.Desactivar negociacin automtica se configura la velocidad deseada y dplex en ambos switches.Si est habilitado, ambos extremos de la conexin eligen la mejor velocidad y dplex.Sin embargo, cuando est habilitado en un solo extremo, muchos problemas pueden surgir: El vnculo podra no funcionar en absoluto, o que podra funcionar mal.
IEEE negociacin automtica define algunas reglas (por defecto) que los nodos deben utilizar cuando falla la negociacin automtica, como sigue:
Velocidad:Use su velocidad mas lenta soportada (a menudo 10 Mbps).Dplex:Si la velocidad = 10 o 100, utilice half-duplex;de lo contrario, utilice full-duplex.
Cisco switches tambin se suman a la lgica IEEE, porque los switches de Cisco pueden detectar la velocidad utilizado por otro nodo, incluso sin la negociacin automtica IEEE.Como resultado, Cisco cambia la logica cuando falla la negociacin automtica:
Velocidad:detectar la velocidad (sin necesidad de utilizar la negociacin automtica), o si eso no funciona, utilice el IEEE defecto (Ms lento soportado velocidad, a menudo 10 Mbps).Dplex:Utilice los valores predeterminados IEEE: Si la velocidad = 10 o 100, utilice half-duplex;de lo contrario, utilice completodplex.
La figura 6-14muestra tres usuarios que cambian sus opciones de NIC y desactivar negociacin automtica.El swtich tiene todos los puertos 10/100/1000 con negociacin automtica activada.Decisiones tomadas por el switch
Revisar cada enlace, de izquierda a derecha:
PC1:El switch no recibe autonegociacin, por lo que detecta la seal elctrica que PC1 est enviando datos a 100Mbps.El switch utiliza el dplex predeterminado basado en la velocidad de 100 Mbps (half-duplex).PC2:El switch utiliza la misma lgica que PC1, a excepcin de que el switch opta por utilizar full-duplex, ya que la velocidad es de 1000 Mbps.PC3:El usuario escoge la velocidad ms lenta (10 Mbps) y el peor dplex (half).Sin embargo, el switch Cisco detecta la velocidad sin necesidad de utilizar la negociacin automtica y luego utiliza el valor por defecto duplex IEEE para 10 Mbps (half-duplex).
PC1 muestra undesajuste duplex.
La negociacin automtica y LAN Hubs
Hubs LAN tambin afectan cmo funciona la negociacin automtica.Bsicamente, los hubs no reaccionan a los mensajes negociacin automtica, y no reenvian los mensajes.Como resultado, los dispositivos conectados a un hub deben utilizar las Normas IEEE para la configuracin predeterminada que eligen, que a menudo se traduce en los dispositivos utilizando 10 Mbps y half dplex.
Figura 6-15 En esta LAN, todos los dispositivos y puertos de switch son puertos 10/100/1000.El hub slo admite 10BASE-T.
Tenga en cuenta que los dispositivos de la derecha necesitan utilizar half-duplex, porque el hub requiere el uso de la CSMA / CD algorithmto para evitar colisiones.
Captulo 7.Instalacin y funcionamiento de Cisco LAN Switches
Acceso al switch Cisco Catalyst 2960 CLI
Cisco utiliza el concepto de command-line interface (CLI)en sus LAN productos. El CLI es una interfaz basada en texto.Al pulsar Enter enva el comando a cambiar, que le dice al dispositivo hacer algo, en algunos casos, el dispositivo contesta con algunos mensajes que indican los resultados del comando.
Un switch puede proporcionar una interfaz web, de modo que se puede abrir un navegador web para conectarse a un servidor Web que se ejecuta en el switch.Los switches tambin se pueden controlar y operarn utilizando software de gestin de red.
Switches Catalyst de Cisco y el swtich2960
Cisco produce una amplia variedad de series switches o familias.Cada serie de switches incluye varios modelos especficos de swtiches que tienen caractersticas similares, precio-vs-el rendimiento, y sus componentes internos similares. Se puede usar un 2960 como switch de acceso.
Figura 7-1muestra una foto de la serie 2960 switch de Cisco.
Cisco se refiere a los conectores fsicos de un switch, como interfacesopuertos.Cada interfaz tiene un nmero (estilo numerosx/y).Ejemplo: 0/1, el segundo 0/2, y as sucesivamente.Las interfaces tambin tienen nombres;por ejemplo,"Interfaz FastEthernet 0/1", GigabitEthernet".
Estado del Interruptor de LEDs
Cuando un ingeniero necesita examinar cmo un switch est trabajando para verificar su estado actual y para solucionar cualquier problema, la mayora de las veces lo hace mediante CLI Cisco IOS.Sin embargo, el hardware del switch s incluye varios LEDs proporciona algn status y resolucin de problemas, durante el momento de encendido y durante las operaciones en curso.
Figura 7-2
La figura seala los distintos LEDs, con diversos significados.Tabla 7-2resume los LEDs, yexplicaciones adicionales siguen la mesa.
Tabla 7-2.LED
Considere el LED SYST.Este LED ofrece un estado general rpida del switch, con tres estados simples:
Off:El switch no est encendido.Encendido (verde):El switch est encendido y operativo (Cisco IOS se ha cargado).On (mbar):El sistema esta encendido, pero no est funcionando correctamente.
Para el caso (LED mbar) la respuesta es accionar al reinicio power del switch.Si se produce el mismo fallo, una llamada al Centro de Asistencia Tcnica de Cisco (TAC) es el paso siguiente.
Por ejemplo, en el modo STAT (estado), cada puerto LED implica el estado de puerto de adaptacin, como de la siguiente manera:
Off:El enlace actualmente no est trabajando (incluyendo si apagar).Verde fijo:El enlace funciona, pero no hay trfico actual.Verde intermitente:El enlace funciona, y el trfico est pasando por encima de la interfaz.mbar intermitente:El puerto est bloqueado por el rbol de expansin.
En el puerto Speed, los LED del puerto implican la velocidad de funcionamiento de la interfaz, con un LED que significa 10 Mbps, una luz verde fija significa 100 Mbps, y parpadeantes significa 1000 Mbps (1 Gbps).
Acceso a la CLI de Cisco IOS
Cisco llama su SO The Internetwork Operating System (IOS).
Software Cisco IOS controla la lgica/comportamiento y rendimiento y funciones desempeadas por equipos Cisco. La CLI de Cisco IOS permite al usuario utilizar un terminal programa de emulacin, que acepta el texto introducido por el usuario (comandos).
La CLI switch se puede acceder a travs de tres mtodos: Consola, Telnet y SecureShell (SSH).Dos de estos mtodos (Telnet y SSH) utilizan la red IP en la que reside el switch para llegar al switch.La consola es un puerto fsico construido especficamente para permitir el acceso a la CLI. Figura 7-3muestra las opciones.
Acceso por consola requiere una conexin fsica entre un PC y el puerto de consola del switch, junto con algn tipo de software en el PC.Telnet y SSH requieren software en el dispositivo del usuario y dependen de la red TCP / IP
Cableado de la conexin de consola
La conexin de la consola fsica utiliza tres componentes principales: 1 puerto fsico consola, 1 puerto fsico serial en el PC, y un cable que funciona con puertos consola y serial.
Conexiones de consola ms antiguos utilizan un puerto serial del PC, un cable consola y un conector RJ-45 en el switch.El puerto serial del PC normalmente tiene un conector D-shell (ms o menos rectangular) con nueve pines(A menudo llamado DB-9).Switches modelos actuales, utilizan un conector RJ-45 para el puerto de consola.
Puede utilizar un cable de consola especialmente diseada (que viene con nuevos switches y routers Cisco) o hacer su propio cable de consola mediante cables UTP y un enchufe estndar de convertidor de RJ-45 a DB-9.Para el cableado UTP, el cable utiliza pinouts rollover.En su lugar, utiliza ocho cables, rodando el cable en el pin 1 a pin 8, pin 2 a 7, la 3 a la 6, y as sucesivamente.
PCs han migrado desde usar puertos serial para usar Universal Serial Bus (USB).Cisco tambin ha comenzado la construccin de los nuevos routers y switches con puertos USB para acceso a la consola tambin.
Muchos PC ya no tienen puertos serial, pero muchos routers y switches Cisco existentes slo tienen un puerto de consola RJ-45 y no USB puerto de consola.Para conectar un PC como a una consola de router o switch, necesita algn tipo de convertidor que convierte el cable de consola a un conector USB, como se muestra en el medio dela Figura 7-4.
Configuracin del emulador de terminal para la Consola
Despus de que el PC est conectado fsicamente al puerto de consola, un software de emulacin de terminal debe ser instalado y configurado en el PC.El terminal trata a todos los datos como texto. El emulador debe estar configurado para utilizar el puerto serial del PC para que coincida con la configuracin del switch de configuracin del puerto de consola.La configuracin del puerto de consola por defecto en un switch son las siguientes.Tenga en cuenta que el ltimo tres parmetros se conocen colectivamente como "8N1":
Acceso a la CLI con Telnet y SSH
La aplicacin TCP / IP Telnet permite un emulador de terminal para comunicarse con otro dispositivo. Telnet utiliza una red IP para enviar y recibir los datos, en lugar de un cable especializado y puerto fsico en el dispositivo.TCP-protocolo de capa de aplicacin basada en que utiliza el puerto 23 conocido.
Para utilizar Telnet, el usuario debe instalar un paquete de software de cliente Telnet en su PC. El switch ejecuta software de servidor Telnet por defecto, pero el switch necesita una direccin IP configurada de manera que pueda enviar y recibir paquetes IP.
Cliente Telnet monitorea switches de forma remota.Tambien se utilizaSecure Shell (SSH)para superar el grave problema de seguridad de Telnet.Telnet enva todos los datos (incluyendo cualquier nombre de usuario y contrasea para iniciar sesin en el switch) como datos de texto claro.SSH encripta el contenido de todos los mensajes, incluyendo contraseas, evitando la posibilidad de capturar los paquetes de alguien en la red y el robo de la contrasea para los dispositivos de red. Asi SSH trabaja al igual que telnet pero con mayor seguridad.
El usuario utiliza un emulador de terminal que soporte SSH.Al igual que Telnet, SSH utiliza TCP, utilizando el puerto 22 en lugar de Telnet de 23.
Seguridad de la contrasea para el acceso CLI
Por defecto las configuraciones de swtich slo permiten acceso mediante la consola.Sin embargo, cuando se habilita Telnet y / o Acceso SSH, necesita habilitar seguridad de la contrasea para que slo las personas autorizadas tengan acceso a la CLI.Adems, slo para estar seguro, usted debe proteger con contrasea la consola tambin.
Para aadir contrasea para la consola y para Telnet, el ingeniero tiene que configurar un par de comandos bsicos. Tabla 7-3. Despus de que se ha configurado, el switch suministra una solicitud de contrasea sencilla (como resultado de logincommand).
Switches Cisco se refieren a la consola como una console line 0. Switches soportan 16 sesiones Telnet simultneas, referenciado como terminal virtual (vty) lne de 0 a 15. Elcomando line vty 0 15 indica al switch que los comandos que siguen se aplican a 16 conexiones virtuales de terminal (de 0 a 15), que incluye Telnet, as como el acceso con SSH.
SSH utiliza la criptografa de clave pblica para intercambiar una clave de sesin compartida, que a su vez se utiliza para el cifrado.Adems, SSH requiere mejor seguridad de inicio de sesin, que requiere al menos una contrasea y un nombre de usuario.
User and Enable (Privileged) Modes
Los tres mtodos de acceso a la CLI cubiertos hasta el momento (consola, Telnet y SSH) colocan al usuario en una zona de la CLI llamadomodo EXEC usuario.Modo EXEC usuario, a veces tambin llamadouser mode, Permite al usuario mirar a su alrededor, pero no rompe nada.
Cisco IOS admite un modo EXEC ms poderoso llamadomodo enable (tambin privileged EXEC mode).Activar el modo enable, que mueve el modo de usuario al enable mode, como se muestra enla Figura 7-6.
CLI Ayuda Caractersticas
Tabla 7-4resume ayuda de comandos disponibles en la CLI.
Tabla 7-4.Cisco IOS Software Comando Ayuda
Al entrar en el?, la CLI de Cisco IOS reacciona inmediatamente;es decir, no es necesario pulsar Enter o cualquier otra clave. Si pulsa Intro inmediatamente despus de la?, Cisco IOS intenta ejecutar el comando con slo los parmetros que ha introducido hasta el momento.Cisco IOS almacena los comandos que se introducen en una memoria histrica, almacena diez comandos de forma predeterminada. La CLI le permite avanzar y retroceder en la lista histrica de comandos y luego editar el comando antes de volverla a emitir.Estas secuencias de teclas pueden ayudarle a utilizar la CLI con mayor rapidez en los exmenes.Tabla 7-5enumera los comandos que se utilizan para manipular los comandos introducidos anteriormente.
The debug and show Commands
El nico comando ms popular Cisco IOS es show.Elshowcuenta con un comando gran variedad de opciones, el cual usted puede encontrar el estado de casi todas las caractersticas de Cisco IOS (funcionamiento).
Debugcomando tiene un papel similar en comparacin con elshow. Sin embargo, en lugar de limitarse a enumerar los mensajes sobre el estado actual, debug monitorea los diferentes procesos en el switch.
Unshow muestra lo que es verdad en un solo punto en el tiempo, y necesita menos esfuerzo.Unadebugmuestra en tiempo real y requiere ms esfuerzo.
Las opciones habilitadas por un debug no estn desactivadas hasta que el usuario tome medidas o hasta que se vuelve a cargar el switch.Unreloaddel switch desactiva todas las opciones de debug o el comando no debug.Adems, elno debug allyundebug all comandos desactivan todas depura actualmente habilitadas.
Tenga en cuenta que algunosdebugopciones crean tantos mensajes que Cisco IOS no puede procesar todos ellos, posiblemente resultando una degradacion del rendimiento de Cisco IOS.Es posible que desee comprobar la CPU del switch actual utilizacin el comando show process antes de emitir cualquierdebugcomandos. Configuracin del software Cisco IOS
Configuration modees otro modo para la CLI Cisco, Modo de configuracin aceptacomandos de configuracin- que le dicen al switch los detalles de lo que hacen y cmo lo hacen.La Figura 7-7ilustra la relacin entre la configuracin modo, el modo EXEC usuario, y el modo EXEC privilegiado.
Los comandos introducidos en el modo de configuracin actualiza el archivo de configuracin activo.Estos cambios en la configuracin se producen inmediatamente cada vez que se pulsa la tecla Intro al final de un comando.
Submodos configuracin y Contextos
Lainterfazde comandos es uno de los comandos de configuracin de uso ms frecuente. Por ejemplo, el usuario CLI podra entrar en el modo de configuracin de interfaz mediante la introduccin de la interface FastEthernet 0/1.Comandos utilizados en este contexto se llamansubcomandos o, en este caso especfico,subcomandos de interfaz. Para Ahora, consideremosel Ejemplo 7-2, que muestra lo siguiente:
Archivos de configuracin del switch Almacenamiento
Al configurar un switch, es necesario utilizar la configuracin.Tambin tiene que ser capaz de retener la configuracin en caso de que el switch se queda sin alimentacin.Switches Cisco contienen memoria de acceso aleatorio (RAM) para almacenar datos mientras Cisco IOS se utilizando, pero RAM pierde su contenido cuando el switch se queda sin alimentacin.Para almacenar la informacin switches Cisco utilizan varios ms tipos de memoria permanente, ninguno de los cuales tiene ninguna pieza mvil.Al evitar componentes con partes (tales como unidades de disco tradicionales) que se mueve, switches pueden mantener mejor el tiempo de actividad y disponibilidad.
La siguiente lista detalla los cuatro tipos principales de la memoria que se encuentra en los switches de Cisco:
RAM:A veces llamado DRAM, para la memoria dinmica de acceso aleatorio, RAM es utilizado por el switch para el almacenamiento de trabajo.La ejecucin (activa) archivo de configuracin se almacena aqu.ROM:Memoria de slo lectura (ROM) guarda un arranque (o boothelper) programa que es cargado Cuando el switch inicia (power on).En este bootstrap luego encuentra la imagen de Cisco IOS y gestiona el proceso de carga de Cisco IOS en la memoria RAM.Flash Memory:almacena completamente imgenes IOS de Cisco y es la ubicacin predeterminada donde switch recibe su Cisco IOS en el arranque.La memoria flash tambin se puede utilizar para almacenar cualquier otro archivo, incluyendo copias de seguridad de archivos de configuracin.NVRAM:RAM no voltil (NVRAM) almacena el archivo de configuracin inicial o startup que es utilizado cuando el switch se enciende por primera vez y cuando se vuelve a cargar el switch.
Figura 7-9resume esta misma informacin en un breve y ms conveniente la memorizacin formfory el estudio.
Cisco IOS guarda el grupo de comandos de configuracin en unarchivo de configuracin. Existen 2 tipos de archivo de configuracin
En esencia, cuando se utiliza el modo de configuracin, se cambia slo elarchivo (Running Config).Esto significa si el switch perdi su energa despus de todo lo que se configuro se perdera.Si desea mantener esa configuracin, usted tiene que copiar o subcribir el archivo de configuracin en ejecucin en la NVRAM. ( Startup Config)
La copia y borrado de archivos de configuracion
Si desea mantener la nueva configuracin de los comandos, es necesario utilizar el comandocopy running-config startup-config.Este comando sobrescribe el archivo de configuracin de inicio actual con lo que actualmente se encuentra en el archivo de configuracin en ejecucin.
El comando copyse puede utilizar para copiar archivos en un switch, un archivo de configuracin o una nueva versin del software Cisco IOS.Utilizar copy para copiar archivos entre la memoria RAM o NVRAM de un switch y un TFTP servidor.Los archivos se pueden copiar entre cualquier par, como se muestra enla figura 7-10.
Los comandos para copiar configuraciones de Cisco IOS se pueden resumir como sigue:
Copy {tftp | running-config | startup-config} {tftp| running-config | startup-config}
El primer conjunto es la ubicacin;el siguiente conjunto de parmetros es el destino.Una manera de garantizar que los dos archivos de configuracin coinciden es emitir el comando reload, que vuelve a cargar o se reinicia, el switch, que borra la memoria RAM y despus copia el inicio config en la RAM como parte del proceso de recarga.
Puede utilizar tres comandos diferentes para borrar el contenido de la NVRAM.Los viejos comandos write erasey erase startup-config, mientras que el comando erase nvram es el ms reciente, y recomendado, comando. Por supuesto, si el interruptor se vuelve a cargar en este punto, no hay ninguna configuracin inicial.
Configuracin inicial (modo de configuracin)
Cisco IOS Software soporta dos mtodos principales para dar un switch una configuracin bsica inicial. Setup mode conduce haciendo preguntas que pedir al administrador para la configuracin bsica.
Cuando un switch o router Cisco inicializa, pero el archivo de configuracin de inicio est vaca, el switch o router pregunta al usuario si quiere utilizar el modo setup.Figura 7-11muestra las sucursales en el proceso.
Francamente, la mayora de los ingenieros de red nunca utilizan el modo de configuracin, sobre todo porque la configuracin slo es compatible con un pequeo porcentaje de los valores de configuracin del switch modernas.
IOS versin y Otros Datos Actualizar
Cuando un switch carga el IOS, debe hacer muchas tareas.El software IOS en s debe ser cargado en la RAM.La IOS debe tomar conciencia de que el hardware disponible (ejem: interfaces del switch).
Show version
Comando Referencias
Captulo 8.Configuracin de conmutacin Ethernet
Securing the Switch CLI
El primer paso para asegurar un switch es asegurar el acceso a la CLI. Securing CLI incluye la proteccin al enable mode, porque un atacante podra reload ql switch o cambiar la configuracin.Al mismo tiempo, la proteccin de user mode tambin es importante, porque los atacantes pueden ver el estado del switch, aprender acerca de la red, y encontrar nuevas formas de atacar la red.
Por otro lado, los valores de configuracin por defecto no permiten un vty (Telnet o SSH) sesin en un switch, ya sea a modo de usuario o al modo enable.Para permitir que estos usuarios llegar a modo de usuario, el switch primero necesita una configuracin IP de trabajo, as como la conexin de la seguridad en las lneas vty.Para permitir el acceso a enable mode este debe estar configurado y la seguridad tambin.
En particular, en esta seccin se tratan los siguientes temas:
Seguridad de contrasea simple a modo de usuario a partir de (a) la consola y (b) Telnet Secure Shell (SSH) Password encryption Enable mode passwords
Proteccin del acceso con contraseas simples
Los switches de Cisco pueden proteger modo usuario con una contrasea simple-sin-username para la consola y los usuarios Telnet.Usuarios deben proporcionar laconsole password y telnet password (contrasea vty) configuradas en modo configuracion
Switches Cisco protegen enable mode para cualquier usuario con laenable password.El usuario en user mode escribe elcomando enable y se le solicita esta contrasea enable;si el usuario escribe la contrasea correcta, el IOS se mueve al modo usuario.Figura 8-1muestra los nombres de stos contraseas y los modos de configuracin asociados.
La configuracin password de consola y vty utiliza los mismos dos subcomandos.Elcomando login le dice al IOS utilizar la seguridad de contrasea simple, y el comandopassword define la contrasea.IOS protege el modo enable usando el comandoenable secretpassword.
Ejemplo 8-1
Y los usuarios de SSH an no pueden iniciar sesin en este switch, ya que necesita ms configuracin para apoyar SSH.
Ejemplo 8-2muestra la configuracin resultante en el switch Emma.Las lneas grises destacanla nueva configuracin.
Ejemplo 8-2.Resultando Ejecucin de archivos de configuracin de interruptor de Emma
Securing access whit local usernames and passwords
Un mtodo de inicio de sesin que utiliza contraseas de texto simple (sin los nombres de usuario) funciona, pero todo usarian la misma contrasea para ingresar via telnet a un switch.
Cisco switches soportan otros mtodos de autenticacin de inicio de sesin que utilizan un username y password para que cada usuario tenga acceso nico.Un mtodo configura pares username/password localmente en el switch, y el otro se basa en un servidor externo llamado autenticacin, autorizacin y accounting (AAA).Por ejemplo,la Figura 8-2muestra el concepto y configuracin para migrar al uso de nombres de usuario locales para los usuarios de Telnet.
Securing Access whit External Authentication Servers
Switches y routers Cisco admiten una forma alternativa de llevar un registro de los nombres de usuario vlidos y contraseas mediante el uso de un servidor AAA externo.Si utiliza un servidor AAA para la autenticacin, el switch (O router) simplemente enva un mensaje al servidor AAA preguntando si el nombre de usuario y la contrasea son permitidos, as como las respuestas del servidor AAA.La figura 8-3muestra un ejemplo.
Tenga en cuenta que la informacin fluye con un par de diferentes protocolos.A la izquierda, la conexin entre el usuario y el switch o router utiliza Telnet o SSH. A la derecha, el servidor AAA y el switch suelen utilizar tanto el radius como protocolo TACACS +, ambos de los cuales cifran las contraseas a medida que atraviesan la red.
Configuracin de Secure Shell (SSH)
Para apoyarSSH, switches Cisco requieren la configuracin base utilizada para inicio de sesin Telnet con usernames, adems de configuracin adicional.En primer lugar, el switch ya ejecuta un servidor SSH por defecto, aceptar conexiones SSH clientes desde SSH entrantes.Adems, el switch necesita una criptografa clave, que se utiliza para cifrar los datos.La siguiente lista detalla los pasos para un switch Cisco apoyar SSH utilizandolocal usernames. En el paso 3, se enumera los nuevos comandos SSH:
Paso 1.Configure las lneas vty para utilizar usernames, (usandologin localcomando) o un servidor AAA.Paso 2.Si utiliza usernames definidos localmente, agregar uno o msusernamede configuracin global para configurar pares de nombre de usuario / contrasea.Paso 3.Configure el switch para generar un par de claves pblica y privada adaptado en cifrado, utilizando dos comandos:A.Como requisito previo para el siguiente comando, configurar un nombre de dominio DNS con el comando (conf-global)ipdomain-namenombre B.Crear las claves de cifrado utilizando el comando globalcrypto key generate rsa.Paso 4.(Opcional) Habilitar SSH versin 2 usando comando globalip ssh version 2 para mejorar laseguridad.
La figura 8-4muestra los tres pasos, con ejemplos de los comandos de configuracin requeridos, sumados las configuracines mostrada en laFigura 8-2, con slo dos comandos ms aadido a SSH apoyo.
El comando crypto key en realidad pide al usuario para obtener ms informacin y genera algunos mensajes mientras se genera la clave.Ejemplo 8-3muestra los comandos en Figura 8-4est configurado, con la clave de cifrado como el paso final.
Show ip sshmuestra informacin del estado de las listas de mando sobre el servidor SSH en s.Elcomano show sshlistas informacin acerca de cada cliente SSH actualmente conectado en el switch.Ejemplo 8-4
SSH v2 mejora los algoritmos de seguridad subyacentes que SSHv1 y aade algunas otras pequeas ventajas, como banner support.
Por ltimo, el switch soporta tanto Telnet y SSH en las lneas vty, pero se puede desactivar una o ambas para la seguridad an ms. Los switchs pueden controlar Telnet y / o SSH en las lneas vty utilizando el subcomando vtytransport input {all | none | telnet | ssh} con las siguientes opciones:
Transport input all or transport input telnet ssh: soporta ambosTransport input none: soporta ningunoTransport input telnet:soporta solo telnetTransport input ssht: soporta solo SSH
Cifrar y ocultar contraseas
Slo elcomando enable secretoculta automticamente el valor de la contrasea.Los otros comando de lineas consola y vty con lapassworddel sistema, adems de la contrasea en elusername password son en texto sin cifrar de forma predeterminada.
Encrypting Passwords whit the service password Command
Para evitar la vulnerabilidad contrasea en la salida del archivo de configuracin, o en una copia de seguridad del archivo de configuracin almacenado en el servidor, puede cifrar algunas contraseas utilizando elcomando global service password-encryption.Este comando afecta a todas las contraseas del comandopassword, tanto en modo consola y vty, y el comando global username password.Las reglas para el comando service password-config son los siguientes:
En el momento en que service password-encryption est configurado, el IOS de inmediato cifra todos los existentes password (modos de consola y vty) yusername password. (Comando global) Mientras service password-encryption permanezca en la configuracin, el IOS encripta estas mismas contraseas si se cambian sus valores. El comando no service password-encryption se utiliza para deshabilitar contraseas cifradas, IOS no hace nada para las contraseas ya existentes, dejando todas como cifrado. A partir de ese momento en adelante, mientras service password-encryption no esta configurada, cualquier cambio de contrasea para estos comandos son en texto claro.
Ejemplo 8-5.Cifrado y elservice password-encryptionComando
Ejemplo 8-5El signo | al final de unshow enva la salida del comando a otro Funcin. Ejemplo show running-config|begin line vtyMuestra la salida que comienza cuando la primera aparicin del texto que aparece ("vty" este.El |section vty, muestra slo la seccin de salida sobre las lneas vty.
Ocultar el Enable Password
Los switches pueden proteger enable mode para exigir que el usuario suministre enable password despus de usar el comando EXEC enable.Sin embargo, la configuracin se puede basar en dos rdenes diferentes: el comando global viejo enable passwordpassword y el nuevo (y preferido)enable secret contrasea.
IOS le permite configurar ninguno, uno o el otro, o incluso ambos comandos.Entonces el switch elige qu contrasea requerira de un usuario en base a las siguientes reglas:
Both commands configured:Use elcomando enable secretpasswordOnly one command configured:Utilice la contrasea en un comandoNeither command configured (por defecto):los usuarios de la consola se permite en el modo enable sin una solicitud de contrasea, mientras que otros son rechazados.
Enable secretcomando proporciona mejor seguridad en comparacin con la enable password.El viejo comando enable password almacena la contrasea en texto plano, y la nica opcin para cifrar es la dbilservice password-encryption.El nuevo comando enable secretcodifica automticamente la contrasea, usando un proceso diferente que elservice password-encryption.Este comando enable secret se aplica una funcin matemtica a la contrasea, llamado (MD5) de hash Message Digest 5.
En el modo enable, puede eliminar la enable secret mediante el comandono secret password.
Por ltimo, cabe destacar que Cisco ha aadido otro hash algorithmto en enable secret para routers: SHA-256.Este algoritmoes ms fuerte que MD5, con IOS anunciando este algorithm cifrado de tipo 4.
Cmo ocultar las contraseas para los nombres de usuario local
Cisco ha aadido elcomando global usernameusuariosecretcontrasea como alternativa alusernameusuariopasswordcontrasea.Tenga en cuenta que este comando utiliza un SHA-256 (tipo 4) hash.
Hoy en da, elusername secretse prefiere sobreusername password. Sin embargo, note que un nombre de usuario se puede configurar con username secret o username password, pero no ambos.
Configuracin de la consola y vty
Banners
Un banner es simplemente un texto que aparece en la pantalla para el usuario.Se puede configurar en un router o switch para mostrar mltiples banners, algunos antes de inicio de sesin y algunos despus.Tabla 8-2enumera la tres banners ms populares y su uso tpico.
Ejemplo 8-7muestra el proceso de configuracin de los tres tipos de banners dela Tabla 8-2, Los dos primerosbannerscomandos utilizan un # como el carcter delimitador.La tercerabanner utiliza un Z como delimitador, slo para mostrar que cualquier caracter puede ser utilizado
History Buffer Commands
Los ltimos comandos se guardan en la memoria histrica. Se puede utilizar la tecla flecha hacia arriba o pulse Ctrl + P, para retroceder en el memoria histrica para recuperar un comando que introdujo.Esta caracterstica hace que sea muy fcil y rpido de usar un conjunto de comandos varias veces.La Tabla 8-3enumera algunos de los comandos de teclado relacionado con la memoria intermedia history.
The logging synchronous and exec-timeout Commands
Un par de maneras de hacer uso de la consola un poco ms fcil, pidiendole al switch no interrumpir con mensajes de registro, y para controlar cunto tiempo puede estar conectado a la consola antes de ser forzado a salir.
La consola recibe automticamente copias de todos los mensajes syslog en un switch.La idea es que si el switch tiene que decirle algo importante y quizas informacin urgente, el administrador podra estar en la consola y puede observar el mensaje.
La visualizacin de estos mensajes en la consola se puede desactivar y activar con el comando global no logging console and logging console.Por ejemplo, cuando se trabaja desde la consola, si quieres temporalmente no ser molestado por los mensajes de registro, puede desactivar la visualizacin de estos mensajes.
Desafortunadamente, IOS (por defecto) muestra estos mensajes Syslog en la pantalla de la consola en cualquier tiempo- incluyendo justo en el medio de un comando que desea introducir, o en medio de la salida de unshow.
IOS proporciona una solucin a este problema diciendo la opcin de mostrar los mensajes de registro del sistema a tiempos convenientes, como al final de unshow.Para ello, basta con configurar el subcomando logging synchronous.
De forma predeterminada, el switch se desconecta automticamente a los usuarios de la consola y vty (Telnet y SSH) despus de 5 minutos de inactividad.El subcomandoexec-timeoutminutos segundos le permite ajustar la longitud de ese temporizador de inactividad, con el valor especial de 0 minutos y 0 segundos para nunca desconertarla.
Ejemplo 8-8muestra la sintaxis para estos dos comandos, tanto en la lnea de consola como lineas vty.Tenga en cuenta que en ambos se pueden aplicar.
LAN Switch Configuration and Operation
Switches Cisco al salir de la fbrica tienen por defecto, con todas las interfaces habilitadas (no shutdown) y con la autonegotiation enable para los puertos que pueden utilizarlo (dplex autoyspeed auto).Todas las interfaces por defecto son parte de la VLAN 1 (switchport access vlan 1).
IP Habilitacin de acceso remoto
Para permitir Telnet o SSH acceso al switch y para permitir otros protocolos de gestin basados en IP (por ejemplo, Simple Network Management Protocol) el switch necesita una IP direccin.La direccin IP no tiene nada que ver cmo envia tramas Ethernet;simplemente existe para apoyar el trfico de administracin por encima.
La configuracin IP de un switch funciona como un PC con una nica interfaz Ethernet.
Un Switch utiliza conceptos similares a un host, excepto que el switch se puede utilizar una NIC virtual. El switch utiliza un concepto NIC- llamado switched virtual interface (SVI), o ms comnmente, unainterfaz de VLAN, Que acta como el switch poseyera NIC para conectar a una red local para enviar paquetes IP.
Un switch capa 2 slo puede utilizar una interfaz VLAN para su administracion. Por ejemplo,la Figura 8-6muestra dos VLANs diferentes (1 y 2).Se debe elegir si la direccin IP del switch, utilizado para acceder y gestionar cambios, debe tener una direccin IP en la subred 192.168.1.0 (VLAN 1), o en la subred 192.168.2.0 (VLAN 2).
Configuracin de IPv4 en un switch
Un switch configura su direccin IPv4 y la mscara en la interfaz VLAN.Los pasos siguientes indican los comandos utilizados para configurar IPv4 en un switch, si se asume que la direccin IP es configurado para estar en VLAN 1. Ejemplo 8-9
Paso 1.Entrar a VLAN 1 con el comando configuracin global interface VLAN 1Paso 2.Asigne una direccin IP y la mscara utilizando el subcomando interfaceip addressdireccin-ip mscara.Paso 3.Si no esta enable, active la interfaz VLAN 1 utilizando el subcomando interfaceno shutdown.Paso 4.Aadir el comando globalip default-gatewaydireccin-ip para configurar la puerta de enlace predeterminada.Paso 5.(Opcional) Agregue laip name-serverip-address1 ip-address2...comando global para configurar el switch para utilizar DNS para resolver los nombres en su direccin IP correspondiente.
Para habilitar administrativamente una interfaz en un switch, utilice no shutdown (se visualiza syslog mensajes);desactivar una interfaz, utilice elshutdown.
El switch tambin puede utilizar DHCP para obtener dinmicamente su configuracin IPv4.Bsicamente, todo lo que tienes que hacer es decirle al switch para usar DHCP en la interfaz, y activar la interfaz.Ejemplo 8-10
Paso 1.Entre en el modo de configuracin VLAN 1 usando interface VLAN 1 y activar la interfaz mediante no shutdown.Paso 2.Asigne una direccin IP y la mscara con elip address dhcp.
Nota: Al reiniciar el switch la direccin obtenida por dhcp no se guarda en la configuracin- runnig
Ejemplo 8-10.Cambiar Configuracin de la direccin IP dinmica con DHCP
Verificacin de IPv4 en un switch
La configuracin del switch IPv4 se puede comprobar en varios lugares. show running-config : configuracin actual show interface vlan: informacin direccin IP y mscara utilizado, muestra el estado detallado sobre la interfaz VLAN x. show dhcp lease: si utiliza DHCP
Ejemplo 8-11
Configuracin de interfaces de conmutacin
IOS utiliza el trminointerfacepara referirse a los puertos fsicos utilizados para reenviar datos a dispositivos a otros.Cada interfaz se puede configurar con varias configuraciones.
IOS utiliza subcomandos de interfaz para configurar estos ajustes.Por ejemplo, las interfaces pueden ser configurado para utilizar dplexyspeed de forma esttica,o una interfaz puede utilizar la autonegotation (por defecto).Ejemplo 8-12
Ejemplo 8-12.Conceptos bsicos de configuracin de la interfaz
Ver detalles de configuracin de la interfaz show running-config y show interfaces (Este ultimo comando enumera una sola lnea para cada interfaz), descripcin de la interfaz, velocidad y configuracin dplex.
FastEthernet 0/1 (Fa0 / 1):Este resultado muestra la velocidad configurada de 100 y dplex full.El estado notconnect significa que el enlace fsico no esta actualmente trabajando, razones como ningn cable conectado, o el dispositivo apagado, o el dispositivo de poner el puerto en un estado de cierre.
FastEthernet 0/2 (Fa0 / 2):Este puerto tambin no tiene cable instalado, pero utiliza todo la configuracin por defecto (auto) (autonegotiate).
FastEthernet 0/4 (Fa0 / 4):Al igual que Fa0 /2, este puerto tiene toda la configuracin por defecto, pero tiene cable a otro dispositivo que esta arriba, haciendo que el estado pasar a "connect". Este dispositivo tambin tiene autonegotiation. Speed and dplex(a-full and a-100), a- se refiere autonegociacion..
Se puede configurar un comando de rango de interfaces, utilizando interface range.Ejemplo, interfacerange FastEthernet0/11 - 20, el siguiente subcomando (s) se aplica a las interfaces Fa0 / 11 a Fa0 / 20.
Port Security
El ingeniero puede utilizarport securitypara restringir esa interfaz para que slo el esperado dispositivos puedan usarlo.Esto reduce la exposicin a los ataques que se conecta en algn puerto del switch sin usar.
Port security puede identificar los dispositivos basados en la direccin MAC de origen de las tramas Ethernet a los dispositivos enviar.
La siguiente lista resume estas ideas comunes a todas las variantes de la seguridad del puerto:
Definir un numero maximo de direcciones MAC de origen permitido para todos los frames que vienen en la interfaz.
Observe todas las tramas entrantes, y mantener una lista de todas las direcciones MAC de origen, adems de un contador del nmero de direcciones sources MAC diferentes.
Al agregar una direccin source MAC nueva a la lista y si el nmero de direcciones MAC empuja el mximo configurado, se ha producido una violacin de la proteccin portuaria.El switch toma medidas (La accin predeterminada es apagar la interfaz).
Port Security permite otras opciones, permite configurar la direccin MAC especfica (s) permitido para enviar tramas en una interfaz.Por ejemplo, enFigura 8-7, El SW1 conecta a travs de la interfaz F0 / 1 a PC1, Se puede predefinir seguridad de puerto todas las direcciones MAC, uno, ninguno, o un subconjunto de las direcciones MAC.
Puede ser molesto encontrar las MAC direccin de cada dispositivo para configurar el port security. La seguridad del puerto puede ofrece una manera fcil utilizadando la funcin llamadasticky secure MAC addresses.Con esta caracterstica, portsecurity aprende las direcciones MAC de cada puerto y almacena estos en la configuracin port security (archivo running config).Esta caracterstica ayuda a reducir el gran esfuerzo de descubrir la Direccin MAC de cada dispositivo.
Configuracin Port Security
Configuracin de seguridad del puerto implica varios pasos.En primer lugar, portsecurity requiere un puerto ser configurado acceso o un enlace troncal. El resto de los comandos habilitar la seguridad de puertos, establecer maximun permitido por puerto las direcciones MAC, y configurar las direcciones MAC reales, como se detalla en la siguiente lista:
Paso 1.Haga la interfaz del switch una interfaz de acceso o trunk, utilizando elswitchport mode accesso switchport mode trunk subcomandos interfaz.
Paso 2.Habilitar la seguridad del puerto medianteswitchport port-security interfaz subcomando.
Paso 3.(Opcional) Anular por defecto el numero maximo predeterminado de direcciones MAC permitidas asociados con la interfaz (1) mediante el uso switchport port-security maximunnmerointerfaz subcomando.
Paso 4.(Opcional) Anular la accin predeterminada para tomar sobre una violacin de seguridad (shutdown) utilizando switchport port-securityviolation {protect|restrict|shutdown} interfaz subcomando.
Paso 5.(Opcional) predefinir cualquier direccin source MAC permitido(s) para esta interfaz, utilizando switchport port-securitymac-address mac-address.Utilice el comando mltiple veces para definir ms de una direccin MAC.
Paso 6.(Opcional) Decirle al switch que "learn sticky" aprender direcciones MAC dinmicamente con el subcomando interfaz switchportport-security mac-address sticky
Figura 8-8yEjemplo 8-13muestran cuatro ejemplos de la seguridad del puerto.
En las cuatro interfaces coinciden 2 sub-comandos: switchport mode access y switchport port-security
Verificacin Port Security
Ejemplo 8-14muestra dos ejemplos de show port-securityinterface.
Los dos primeros comandos Ejemplo 8-14confirman que una violacin de seguridad se ha producido en FastEthernet 0/1, pero no hay violacines en FastEthernet 0/2.Elshow port-security interface FastEthernet0/1 muestra que la interfaz est en secure-shutdown, que significa que la interfaz ha sido deshabilitado debido a la seguridad del puerto.En este caso, otro dispositivo conectado al puerto F0 / 1, envo una trama con una direccin source MAC distinta a la 0200.1111.1111 (ejemplo8-13), causando una violacin.Sin embargo, el puerto Fa0 / 2, que utiliza el aprendizaje sticky, simplemente aprendi la MAC direccin utilizada por el servidor 2.El running-config muestra el aprendizaje sticky, con elswitchport port-securitymac-address sticky0200.2222.2222
Port Security Actions
Por ltimo, el switch puede ser configurado para utilizar una de las tres acciones cuando se produce una violacin.Tabla 8-4enumera la Opciones de switchport port-security violation {protect | restrict | shutdown}y sus significados.
Tenga en cuenta que la opcin de shutdown pone a la interfaz en un estado error disabled (err-disabled), lo que hace detener el switch todas las tramas entrantes y salientes.Para recuperar este estado, alguien debe manualmente desactivar la interfaz con elshutdowny luego habilitar con no shutdown
Securing unused Switch Interfaces
Cisco hace algunas recomendaciones generales para anular la configuracin predeterminada de la interfaz para que los puertos no utilizados ms seguro, de la siguiente manera:
desactivar Administrativamente la interfaz mediante el subcomando interface shutdown Prevenir la VLAN trunking, haciendo que el puerto de una interfaz nontrunking utilizando switchport mode Access. Asignar el puerto no utilizado a una VLAN con switchport access vlannmero. Establezca la VLAN nativa para que no sea la VLAN 1(defecto), utilizando subcomando interface switchport trunk nativeVLAN id_vlan.
Captulo 9.Ejecucin Ethernet LAN virtuales
Conceptos LAN virtuales
Una LAN incluye todos los dispositivos en el mismo dominio de broadcast
Un dominio de broadcast incluye el conjunto de todos los dispositivos conectados a la LAN, de modo que cuando cualquiera de los dispositivos enva una frame broadcast, todos los otros dispositivos reciben una copia de esa frame.Lan y dominio de broadcast basicamente es lo mismo.
Sin VLAN, un switch considera todas sus interfaces para estar en el mismo dominio de broadcast.Es decir, para un switch, cuando una frame de broadcast entr en un puerto de switch, el switch reenva esa emisin a todos los dems puertos.Con esa lgica, para crear dos dominios de broadcast LAN diferentes, haba que comprar dos swtiches Ethernet LAN diferentes, como se muestra enla Figura 9-1.
Con VLAN, un switch puede configurar mltiples dominios de broadcast. Estos dominios de broadcast creados por el switch se llamanvirtual LANs (VLAN).
Por ejemplo, enla figura 9-2, El switch crea dos VLAN siendo completamentes independientes.El switch nunca enviara una frame enviada por Dino (VLAN 1) sobre cualquiera de Wilma o Betty (VLAN 2).
Limitar el nmero de hosts que reciben una frame de broadcast reduce el nmero de los ejrcitos de procesamiento innecesarias.Tambin reduce los riesgos de seguridad, debido a un menor nmero de hosts ver tramas enviadas por cualquier host.La siguiente lista resume las razones ms comunes para la eleccin de crear ms pequea de difusin dominios (VLAN):
Reducir la sobrecarga de la CPU en cada dispositivo mediante la reduccin del nmero de dispositivos que reciben cada frame de broadcast
Reducir los riesgos de seguridad al reducir el nmero de hosts que reciben copias de los frames que los switch inundan (broacast, multicast y unicasts desconocidos)
Para mejorar la seguridad para los hosts que envan datos sensibles manteniendo los hosts separadas en VLAN
Para crear diseos ms flexibles para los usuarios del grupo por departamento, o por grupos que trabajan juntos, en lugar de por ubicacin fsica
Resolver problemas con mayor rapidez, ya que el dominio de error para muchos problemas es el mismo conjunto de los dispositivos como los que en el mismo dominio de broadcast
Para reducir la carga de trabajo para el protocolo Spanning Tree (STP) limitando una VLAN a un solo switch de acceso
Creacin Multiswitch VLANs Using Trunking
Configurar VLAN es configurar cada puerto para decirle que nmero de VLAN pertenece.Con mltiples switches, usted tiene que considerar conceptos adicionales sobre cmo reenviar el trfico entre los switches
Cuando se utiliza en las redes VLAN, con varios switches interconectados, los switches deben utilizar VLAN trunking entre los switch.Trunking VLAN hace que los swich utilizen el proceso llamadoVLAN tagging, por el cual el switch aade otra cabecera para el frame antes enviarlo a travs del troncal.Esta cabecera trunking adicional incluye un campo VLANidentifier (ID de VLAN) para que el switch pueda asociar el frame con un ID de VLAN en particular.
El diseo enla Figura 9-3(no trunking) funciona perfectamente.Por ejemplo, PC11 (en la VLAN 10) puede enviar una trama a PC14.El flujo de frame en SW1, sobre el enlace de la parte superior y a SW2. Pero el diseo no escala muy bien.Se requiere un enlace fsico entre los switches para apoyar cada VLAN.
Conceptos VLAN Tagging
VLANtrunking crea un enlace entre switch que soporta la mayor cantidad de VLAN como usted necesita.Con VLAN troncal, los switch tratan el enlace como si fuera una parte de todas las VLAN.Al mismo tiempo, el troncal mantiene el trfico VLAN separada, por lo que los frames en la VLAN 10 no iran a los dispositivos en la VLAN 20, y viceversa. Figura 9-4muestra la idea, con un nico enlace fsico entre los dos switches.
El uso de trunking permite a los switchs pasar tramas desde multiples VLANs sobre una sola conexin fsica aadiendo una pequea cabecera en la trama Ethernet.Por ejemplo,la Figura 9-5muestra PC11 enva una trama de broadcast en la interfaz Fa0 /1 (paso 1). Para inundar la frame, SW1 necesita reenviar la trama de broadcast para SW2.Sin embargo, SW1 necesita dejar saber a SW2 que la frame es parte de VLAN 10, de modo que despus de que se recibe la trama, SW2 inundar la trama slo a VLAN 10, y no en VLAN 20. Por lo tanto, como se muestra en el paso 2, antes de enviar el frame, SW1 aade una cabecera de VLAN a la trama Ethernet original, con el encabezado VLAN lista un ID de VLAN de 10 en este caso.
Cuando SW2 recibe la trama, se entiende que el frame est en VLAN 10. SW2 luego le retira el Encabezado VLAN, reenvia la trama original de sus interfaces VLAN 10 (Paso 3).
The 802.1Q and ISL VLAN Trunking Protocols
Cisco ha apoyado dos protocolos de trunking diferentes en los ltimos aos: Enlace Inter-Switch (ISL) y IEEE 802.1Q.Hoy en da, se ha convertido 802.1Q trunking en el ms popular protocolo.
802.1Q inserta 4 bytes extra de cabecera VLAN 802.1Q en la cabecera Ethernet de la trama original Figura 9-6.El campo VLAN ID es de 12 bits dentro de la header 802.1Q. 2ex12 (4096) VLAN, y en la prctica, un mximum de 4094. (Ambos 802.1Q y ISL usa 12 bits para etiquetar el ID de VLAN, con dos valores reservados [0 y 4095].)
Switches Cisco romper el rango de ID de VLAN (1-4094) en dos gamas: la gama normal y el rango extendido.Todos los swtich pueden utilizar VLAN de rango normal con valores a partir del 1 de 1005. Slo algunos switches pueden utilizar VLAN de rango extendido con VLAN IDs desde 1005 a 4094. Las reglas para que el switch pueda utilizar VLAN extendida dependen de la configuracin de la VLAN Trunking Protocol (VTP).
802.1Qdefine tambin un ID de VLAN especial en cada troncal como lanative VLAN(por defecto VLAN1).Por definicin, 802.1Q simplemente no aadie una cabecera 802.1Q a los frame en la VLAN nativa.Tenga en cuenta que ambos switches deben estar de acuerdo en que la VLAN es la VLAN nativa.
La VLAN nativa 802.1Q proporciona algunas funciones interesantes, principalmente para apoyar las conexiones a dispositivos que no entienden de trunking.Por ejemplo, un switch Cisco podra ser cableado a un switch que no entiende trunking 802.1Q.El switch Cisco podra enviar tramas en la VLAN- nativa lo que significa que la frame no tiene cabecera, de modo trunking que en el otro switch entendera el frame. La VLAN nativa permite la funcion de accesibilidad a telnet en un switch.
Forwarding Data Between VLANs
Todo las funciones swtiches Ethernet utilizan los detalles y la lgica definidos por Capa 2 protocolos OSI.
Sin embargo, algunos otros switches pueden hacer algunas funciones como un router, usando la lgica adicional definida por protocolos de nivel 3.Estos switches van por el nombre multilayer switich, oCapa 3 switch.
Enrutamiento paquetes entre VLAN con un Router
Al incluir las VLAN en un diseo de campus LAN, los dispositivos de una VLAN deben estar en la misma subred.Siguiendo la misma lgica de diseo, los dispositivos en diferentes VLANs necesitan estar en diferentes subredes.Por ejemplo, enla Figura 9-7
Switches de capa 2 no transmitir datos entre dos VLAN.De hecho, un objetivo de la VLAN es separar el trfico de a la otra VLAN.Por ejemplo, cuando Dino (en la VLAN 10) enva una trama Ethernet, si SW1 es capa 2, el switch no reenviar el frame a los PCs en la VLAN 20.
La Figura 9-8muestra un router que puede enrutar paquetes entre subredes 10 y 20. Router R1 dispone de una interfaz fsica LAN conectado al swtich y asignado a VLAN 10, y una segunda interfaz fsica asignada a la VLAN 20. Con una interfaz conectada a cada subred, el switch de capa 2 puede seguir haciendo su trabajo de reenvo de tramas dentro de una VLAN, mientras que el router puede hacer su trabajo de enrutamiento de packetes ip entre las subredes.
La figura muestra un paquete IP desde Fred, que se encuentra en una VLAN / subred, hacia Betty, que se encuentra en la otra.El switch capa 2 reenva dos diferentes tramas Ethernet Capa 2: uno en VLAN 10, de FRED a la interfaz F0 /0 de R1, y el otro en la VLAN 20, de la interfaz R1 F0/1 a Betty. Desde una perspectiva Layer 3, Fred enva el paquete IP a su router por defecto (R1), y R1 enruta el paquete a otra interfaz (F0 / 1) en otra subred donde reside Betty.
El diseo que se muestra en laFigura 9-8funciona, pero utiliza demasiados interfaces fsicas, uno por cada VLAN.La mejor opcin utiliza un troncal de VLAN entre el switch (conmutador) y el router (enrutador), que slo requiere una conexin fsica entre el router y el switch, mientras apoyan a todas las VLAN.
Figura 9-9muestra R1 utiliza VLAN trunking en lugar de un enlace independiente para cada VLAN.
El concepto se llama"Enrutamiento de paquetes entre redes VLAN."
Routing Packets witth a Layer 3 switch
Enrutamiento de paquetes utilizando un router fsico, incluso con un troncal de VLAN en el modelo de router-on-a-stick Figura 9-9, todava tiene un problema importante: el rendimiento.El enlace fsico pone un lmite superior en la cantidad de bits que puede enrutar y routers menos costosos tienden a ser menos potente, y podra no ser capaz de encaminar un nmero suficientemente grande de paquetes por segundo (pps) para mantenerse al da con el trfico volmenes.
La solucin definitiva mueve las funciones de enrutamiento dentro del hardware del switch LAN.Combinando las caractersticas de hardware y software de capa 2 switches LAN, mas capa3 routers denominadosswitches capa 3(tambin conocido comoswitches multicapa).Capa 3 switches se pueden configurar para actuar slo como un switch capa 2, o pueden ser configurados para Capa 2 conmutacin y enrutamiento capa 3.
VLAN y configuracin VLAN Trunking y Verificacin
Switches Cisco no requieren ninguna configuracin para que funcione.Pero si usted desea utilizar VLAN tendra que aadir un poco de configuracines.
Creacin de VLAN y asignar VLAN de acceso a una interfaz
Paso 1.Para configurar una nueva VLAN, siga estos pasos:A.modo configuration, utilice comando global vlanvlan-id para crearla VLAN y para mover el usuario en el modo de configuracin VLAN.B.(Opcional) Utilice namenombresubcomando VLAN para dar nombre de la VLAN.Sino esta configurado, el nombre de la VLAN es la VLANZZZZ, dondeZZZZes la VLAN ID decimal de 4 dgitos.
Paso 2.Para cada interfaz de acceso (cada interfaz no troncal) siga estos pasos:A.Utilice comandointerface para entrar en el modo de configuracin de interfaz.B.Uso subcomando interfazswitchport access vlanid-nmero para especificar la VLAN nmero asociado a esa interfaz.C.(Opcional) Para desactivar el enlace troncal en la misma interfaz, por lo que la interfaz no negocia convertirse en un troncal, utiliceswitchport mode Access.
VLAN configuration Example 1: FULL VLAN configuration
Ejemplo 9-1muestra el proceso de configuracin de agregar una nueva VLAN y la asignacin de interfaces de acceso a la VLAN.
Ejemplo 9-1.Configuracin de VLAN y asignar VLANs a Interfaces
-
Show vlan briefconfirma la configuracin predeterminada de cincoVLAN nondeletable, con todas las interfaces asignados a VLAN 1. (VLAN 1 no se pueden eliminar, pero puede ser utilizado.VLAN 1002-1005 no se puede eliminar y no se puede utilizar como VLAN de acceso).
Despus se ha aadido a la configuracin, una nueva VLAN, se repite elshow vlanbrief. VLAN 2, name FREDS-VLAN, y las interfaces asignadas a esa VLAN (Fa0 / 13 y Fa0 / 14).
El ejemplo figura 9-11utiliza seis puertos del switch, todos los cuales necesitan operar como puerto acceso.Es decirswitchport access vlanvlanidcomandos.Sin embargo estas interfaces podran negociar para convertirse ms tarde en puertos troncales, porque los valores por defecto del switch permitir al puerto negociar trunking y decidir si actuar como una interfaz de acceso o como unainterfaz de troncal.
Para los puertos que siempre deben actuar como puertos de acceso, agregue la interfaz subcomando opcionalswitchport mode access.Este comando le dice al switch slo permitir que la interfaz sea una interfaz de acceso.
VLAN Ejemplo de configuracin 2: Configuracin de VLAN Shorter
Ejemplo 9-2.Shorter Ejemplo de configuracin de VLAN (VLAN 3)
Ejemplo 9-2muestra cmo un switch puede crear dinmicamente una VLAN, SW1 no saber acerca de VLAN 3. Cuando se utilizo el subcomando interfaz switchport access vlan 3, el switch se dio cuenta de que la VLAN 3 no existe, y como se indica en el mensaje sombreada en el ejemplo, el switch a creado la VLAN 3, utilizando un valor predeterminado (VLAN 0003)
VLAN Trunking Protocol (VTP)
VTP es una herramienta Cisco-propietario en Switches Cisco que anuncia que cada VLAN configurada en un switch (vlannmero) los tres switches en el campus aprenden de esa VLAN.Sin embargo, para varias razones, muchas empresas optan por no utilizar VTP.
Cada switch puede utilizar uno de los tres modos VTP: servidor, cliente o transparente.Switches utilizan VTP modo cliente o servidor cuando el switch quiere utilizar VTP para de forma dinmica obneter informacion de configuracion VLAN.Sin embargo, muchos switches Cisco y versiones de IOS, VTP no se puede desactivar por completo, en su lugar, se desactiva VTP mediante el uso de Modo transparente VTP o vtp mode off
Compruebe el estado del VTP con el comando show VTPstatus.Si su switch utiliza servidor VTP o modo de cliente.
Los servidores switches pueden configurar VLAN en el rango estndar solamente (1-1005). Los switches de cliente no pueden configurar las VLANs. Elshow running-configcomando no muestra ningnvlancomandos.
Configuracin VLAN Trunking
Configuracin Trunking entre dos switches Cisco aadir el subcomando en cada lado del enlace (switchport mode trunk), y se creara un troncal VLAN
La configuracin puede ya sea predefinir diferentes ajustes o decir al switch a negociar los ajustes, de la siguiente manera:
El tipo de trunking: IEEE 802.1Q, ISL, o negociar cul usar Eladministrative mode: Ya sea para siempre en troncal, no siempre troncal, o negociar
Switches Cisco soporta ISL y 802.1Q para negociar, utilizando the Dynamic Trunking Protocol (DTP).Si ambos switches soportan ambos protocolos, ellos utilizan ISL;de lo contrario, utilizan el protocolo que ambos soportan. Los switches que soportan ambos tipos de trunking utilizan el switchport trunkencapsulation {dot1q|isl|negotiate} interfaz subcomando.
DTP tambin puede negociar si los dos dispositivos en el vnculo acuerdan troncal en absoluto, como guiado por el modo de administracin del puerto de switch local. Swithces Cisco utilizan elsubcomando interfaz switchport modepara definir el modo de enlace administrativo, la Tabla 9-2.
Enla figura 9 12. En este caso, el troncal no forma dinmicamente por defecto, porque ambos switches (2960) por defecto administrativamente estan modo dynamic auto, lo que significa que ninguno de los swtiches inicia el proceso de negociacin del troncal. El cambio de un switch para usarmodo dynamic desirable, que no inicia la negociacin, los swtiches negocian para usar trunking, especficamente 802.1Q porque 2960S soporta slo 802.1Q.
Ejemplo 9-3.Inicial (por defecto) Estado: No Trunking Entre SW1 y SW2
El resultado muestra el ajuste del modo de administracin predeterminada dynamic auto. Debido SW2 tambin predeterminada en dynamic auto, el comando muestra el estado operativo de SW1 como el access, lo que significa que no es trunking.("Dynamic Auto" le dice a los dos switches para sentarse all y esperar por el otro switch a iniciar las negociaciones.) La tercera lnea seala que soporta slo el tipo de trunking (802.1Q) en este switch 2960.(En un switch que soporta tanto ISL y 802.1Q, este valor por defecto es "negotiate. Por ltimo, la operativa Tipo trunking aparece como "native", que es una referencia a la VLAN nativa 802.1Q.
Show interfaces trunklista informacion sobre todas las interfaces que actualmente troncal operan.
Ejemplo 9-4, muestra la nueva configuracin que permite trunking.En este caso, SW1 se configura con elswitchport mode dynamic desirable que pide al switch que ambos negocien.
Para verificar que los troncales estn trabajando ahora, show interfaces gigabit switchport muestra, SW1 est en modo operacional trunk, Con encapsulacin de dot1Q.
Tabla 9-3enumera las combinaciones detrunking administrative modes y el expected operational mode (trunk o access) resultando desde ajustes configurados.La tabla muestra el modo administrativo utilizado en un extremo del enlace (vertical), y el modo de administracin en el otro extremo del enlace (horizontal superior)
Cisco recomienda deshabilitar troncal negotiation en la mayora de los puertos para una mejor seguridad.La mayora de los puertos de switch ser utilizada para conectar a los usuarios.Puede desactivar negociaciones DTP por completo utilizando switchport nonegotiatesubcomando interfaz.
Controlar qu VLAN puede ser apoyado en un troncal
La caracterstica allowed VLAN list proporciona desactivar administrativamente una VLAN desde un troncal.Por defecto, los switches incluyen todas las VLAN posibles (1-4094) en cada troncal.Sin embargo se puede limitar las VLAN permitidas en un troncal mediante el uso del siguiente subcomando de interfaz:
Switchport trunk allowed vlan {add|all|except|remove}vlan-lista
Este comando proporciona una manera de aadir y eliminar VLAN.Por ejemplo, laopcin add permite al switch aadir una VLAN a la lista de VLAN permitidas existentes, remove permite al switch eliminar las VLAN de la lista existente.All significa todas las VLAN, por lo que puede utilizarlo para restaurar el dispositivo a su configuracin predeterminada (permitiendo VLAN 1-4094 en el tronco). Exceptes bastante complicado: Aade todas las VLAN a la lista que no son parte del comando.Por ejemplo, switchport trunk allowed vlan except 100-200interfaz subcomando aade VLAN 1 a 99 y 201 a 4094 a la lista de VLAN permitidos existentes en ese troncal.
En adicin a la lista VLAN permitidos, un switch tiene otras razones para evitar una VLAN en particular de trfico cruzando un troncal.Las cinco razones se resumen en la siguiente lista:
Una VLAN se ha eliminado desde the trunks allowed VLAN list Una VLAN no existe en la configuracin del switch (vershow vlan). Una VLAN s existe, pero se ha deshabilitado administrativamente (shutdown). Una VLAN se ha pruned automticamente por VTP. Instancia STP de una VLAN se ha colocado la interfaz troncal en un estado de bloqueo.
VLAN puede ser administrativamente cerrado mediante el uso del comando global shutdown vlanid_vlan o el uso de shutdown en el modo de configuracin VLAN.Cuando est desactivada la VLAN los switches no reenvian tramas en las VLAN inexistentes o una VLAN apagado sobre cualquiera troncal del switch.
Show interfaces trunkEste comando incluye una progresin de tres listas de la VLAN admitidas sobre un troncal.Estas tres listas son los siguientes:
VLAN allowed on the trunk, 1-4094 por defecto VLAN desde el primer grupo que tambin se configura y activado (not shutdown) VLAN desde el segundo grupo que no estn VTP pruned y no STP bloqueado
Ejemplo9-5muestra cmo las VLAN pueden ser descartadas en un troncal por varias razones (SW1 figura 9-12). Paso 1.VLAN 4 est configurado.Paso 2.VLAN 2 esta shutdown.Paso 3.3 VLAN 3 se elimina de la lista permitida en el troncal.
Ejemplo 9-5.Mascotas Lista VLAN y la lista de VLANs activas
Tabla 9-6.Captulo 9 EXEC Referencia de comandos
Captulo 10.Solucin de problemas de redes LAN Ethernet
Preparacin para usar un proceso organizado de solucin de problemas
Los tres pasos principales en el proceso de solucin de problemas organizada son los siguientes:
Paso 1Anlisis / predecir el normal funcionamiento:Predecir los detalles de lo que debera suceder si la red est funcionando correctamente, sobre la base de la documentacin, configuracin ysalida del comando showydebug
Paso 2.Problem isolation:Determinar que tan avanzado la trayectoria esperada va la trama / paquete antes de que no se puede reenviar mas lejos, de nuevo basado en la documentacin, configuracin y salida del comando show y debug
Paso 3.Root cause analysis:Identificar las causas subyacentes de los problemas identificados en el anterior paso concreto, las causas que tienen una accin especfica con la que el problema puede ser fijo.
Es necesario recordar la teora de cmo las redes deben trabajar, as como la forma de interpretar show que confirma cmo los dispositivos estn actualmente comportandose.Este proceso requiere el uso de herramientas de prueba, tales comopingy traceroute, para aislar el problema.
Por ejemplo, Figura 10-1.PC1 y PC2 supuestamente en la misma VLAN (10).En un momento, el comando ping 10.1.1.2en PC1 worked;ahora no lo hace.
Si usted duda de si la figura es an correcta, usted podra mirar la salida del comando showpara confirmar la topologa de la red.Despus de que se confirme, se poda predecir su comportamiento normal de trabajo basado en su conocimiento de la conmutacin LAN.Como resultado, se puede predecir donde una trama se envia por PC1 a PC2 debe fluir.Para aislar el problema, usted podra mirar en el switch Tablas MAC para confirmar las interfaces que la frame debe estar reenviando, posiblemente luego encontrar que la interfaz conectada a PC2 ha fallado.Si todava no se sabe la causa fundamental: Qu caus que la interfaz falle?Qu podras hacer para arreglar ese problema subyacente?En ese caso particular, tendr que ampliar su pensamiento y todas las razones por las que una interfaz puede fallar desde el cable desconectado, a la interferencia elctrica, port security deshabilitar la interfaz.Show puede confirmar que una de las causas especficas es el problema o al menos dar algunas pistas en cuanto a la raz del problema.
Por ejemplo, el usuario de PC1 en la figura 10-2 actualmente se puede conectar al servidor web www.example.com por el navegador web. Sin embargo, ese intento de navegacin por web falla ahora.
Para comenzar el anlisis, comenzar con las primeras tareas que tendran que suceder para una sesin de navegacin web con xito se produzca.Por ejemplo, el ingeniero intentara confirmar que PC1 puede resolver el nombre de host (www.example.com) a la direccin IP correcta utilizado por el servidor en la derecha.En ese punto, el problema IP de capa 3 puede proceder, para determinar cul de los seis pasos de enrutamiento que se muestran en la figura ha fallado.Los pasos de enrutamiento que se muestran enla Figura 10-2son de la siguiente manera:
Paso 1.PC1 envar el paquete default gateway (R1) ya que la direccin IP de destino (servidor web) se encuentra en una subred diferente.Paso 2.R1 enva el paquete a R2 basado en la tabla de enrutamiento de R1.Paso 3.R2 reenva el paquete al servidor web basado en la tabla de enrutamiento de R2.Paso 4.El servidor web enva un paquete de vuelta hacia PC1 basado en el configuracion servidor web defaul gateway (R2).Paso 5.R2 reenva el paquete destinado a PC1 enviando el paquete a R1 segn R2 detabla de enrutamiento.Paso 6.R1 enva el paquete a la PC1 basado en la tabla de enrutamiento de R1.
El anlisis de la trayectoria de Capa 3 a travs de la red, salto a salto, en ambas direcciones. Cuando el anlisis muestra que el salto falla en la ruta.En este caso el proceso problemisolation Capa 3 descubre que el paso 1, 3, 4, o 6 falla, la causa de la raz podra estar relacionado con Ethernet.
Por ejemplo, imagine que el anlisis de la Capa 3 determina que PC1 no puede incluso enviar un paquete a
![Cours Phy Nu - Chap II Final - Pr SABIR [Mode de ......Title: Cours Phy Nu - Chap II Final - Pr SABIR [Mode de compatibilité] Author: Administrateur Created Date: 3/7/2012 10:24:50](https://static.fdocuments.ec/doc/165x107/6112f07b33afab4ddc7bf5c2/cours-phy-nu-chap-ii-final-pr-sabir-mode-de-title-cours-phy-nu-chap.jpg)
