Cisco CCNA3 Resumen

Cisco CCNA3 Contents [hide]        

1 TEMA1 o 1.1 Conceptos Clave 2 TEMA2: Configuración de un switch 3 TEMA3: VLANs 4 TEMA4: VTP 5 TEMA5: STP (IEE 802.1D) 6 TEMA6: Enrutamiento entre VLANS 7 TEMA7: Wireless 8 TEMA4: VTP

TEMA1 Conceptos Clave Diametro de la Red: #switch a recorrer en el camino mas largo. Máximo CISCO = 7 2seg por sw establece un Testablecimiento de 14 segundos. Agregado de Ancho de Banda: (Agregado de enlace) Etherchannel. Permite agregar caminos redundantes entre switches. Permite reducir cuellos de botella. Permite que el STP no lo desconecte. Redundancia: Puede haber múltiples caminos pero el STP lo corta. Peligrod e saturación si STP no está activado. En la trama ethernet no hay TTL y por tanto hay riesgo de bucles infinitos. Red Convergente: Red que integra Datos+Voz+Otros Servicios. QoS Densidad de Puertos: #de puertos del switch * Analizar Flujo de tráfico * Crecimiento Futuro

Switches (tipos): 1. Configuración Fija (24 bocas y punto) 2. Configuración Modular (posibilidad de tarjetas ampliables) 3. Apilables: Stackwise: Permite la interconexión de hasta 9 switches apilables mediante un BACKPLANE (Cable entre switches) totalmente redundante (conexión tipo Cable IDE donde el cable va parando en todos)

Diseño Jerarquico de la Red: * Acceso

o o o o o o

Seguridad de Puerto VLAN Fast o GiB PoE Agregado de Enlaces QoS

* Distribución o (Switch de Cabecera) o Soporte Capa3 o Tasa de Envio Alta o GiB/ 10GiB o Componentes Redundantes o ACL's (Políticas de Seguridad) o Agregado de Enlaces o QoS

* Nucleo o red troncal de alta velocidad de la internetwork o Soporte Capa3 o Tasa de Envio Muy Alta o GiB/ 10GiB o Componentes Redundantes o Agregado de Enlaces o QoS o Intercambiable en caliente

TEMA2: Configuración de un switch * IEEE 802.3

CSMA/CD

Métodos de envio de switch * Latencia: o Tiempo que se pierde por el procesado del switch.

* Métodos de envio de switch (no es controlable, depende de Switch) o Almacenamiento y envio: 1) llega la trama - 2) el SW la lee - 3) comprueba CRC - 4) Consulta tabla CAM - 5) Envio o Método de corte (se usa en SW de nucleo donde seguro que no hay tramas incorrectas y reducir la laténcia es un factor clave) + Reenvio Rápido: 1) lee sólo hasta MAC destino - 2) Consulta tabla CAM - 3) Conmutación (si la trama es erronea, incluso una trama cortada por una colisión puede reenviarse si la mac está correcta)

+ Libre de Fragmentos: 1) lee sólo hasta MAC destino 2) almacena 64b para asegurar que no es un fragnmento de una trama cortada por una colisión - 3) Consulta tabla CAM - 4) Conmutación

Tipos de conmutación * Conmutación Simétrica: Todas las bocas del SW conmutan a la misma Velocidad. Tráfico distribuido de manera uniforme. * Conmutación Asimétrica: Un puerto a GiB para el troncal por ejemplo. Requiere de buffers internos para regular la Velocidad del sistema.

Buffers de Memoria * Basados en Puerto: Un buffer por puerto * De memoria compartida: Buffer conjunto para todos los puertos.

Switch Capa 3 Switch Capa 3 Router Enrutamiento Capa3 (IP) Enrutamiento Capa3 (IP) Administración de tráfico Administración de tráfico Enrutamiento a Velocidad del Cable NO NO Protocolos de Enrutamiento Avaanzados NO Soporte a WAN

Secuencia de arranque de un Switch Capítulo 2.3.4.1 Configurando un Switch Cisco Crear VLAN Switch#configure terminal Switch(config)#interface vlan 99 Switch(config-if)#ip address 172.17.99.11 255.255.0.0 Switch(config-if)#no shutdown Comandos Show Router# show running-config Router# show startup-config Router# show memory Router# show stacks Router# show buffers Router# show arp Router# show processes Router# show nvram Router# show flas Router# show version Router# show processes cpu Router# show tech-support Switch# show vlan Comandos Copy Router# copy running-config startup-config / Router# wr Router# copy running-config tftp Router# copy tftp running-config Router# copy flsh tftp Router# copy tftp flash

Configuración de Mensaje del día Nombre#configure terminal Nombre(config)#banner motd # Enter TEXT message. End with the carácter ‘#’ Mensaje # Nombre(config)#Ctrl+z Nombre# Configurar acceso Telnet

* Para poder acceder al SW desde cualquier PC que esté en su misma VLAN

Nombre#configure terminal Nombre(config)#line vty 0 4 (hay 5 lineas de Telnet simultanias, de este modo configuras las 5, de la 0 a la 4) Nombre(config-line)#login Nombre(config-line)#password [password] Nombre(config-line)#Ctrl + z Nombre#

Seguridad Básica del Switch Ataques: Flooding de direcciones MAC * Inundar la CAM con MACs Falsas. Un Atacante se cambia la MAC y hace peticiones al SW hasta que se se llena la tabla CAM y entonces el switch no es capaz de usarla y se comporta como un HUB.

Suplantación de Identidad * Suplantando el Server DHP asigno configuraciones a los clientes en las que la máquina atacante es el Gateway, así controla todo el tráfico que pasa por el GW en la red.

Ataques CDP * Cisco Discover Protocol * Alguien que capture los paquetes CDP conocerá todos los detalles sobre la Red

Ataque telnet * Fuerza Bruta (intentando encontrar la pws) * DoS (por inundación de intentos saturo el equipo)

Soluciones: Asignación de MACs seguras: * Defino que macs hay en cada interficie * Defines estáticamente la tabla CAM * sólo en casos muy críticos

TEMA3: VLANs Tipos de VLAN Vlan Nativa: Si entra por un puerto Trunk sin etiquetar se marca como Nativa. Se recomienda no usar esta VLAN para tráfico de Datos. Vlan Administración: Vlan que tiene una IP asignada para administración del Switch. Vlan Datos: Para tráfico generado por los usuarios Vlan Predeterminada: VLAN 1, no se puede borrar. Por

defecto es la Nativa, pero eso se puede cambiar. Vlan por defecto si el puerto no tiene VLAN configurada

Si se borra una VLAN los puertos se bloquean, no cambian de VLAN, si luego vuelov a crearla los puertos vuelven a estar activos en la VLAN correspondiente. Modos de Membresia Como definir en que VLAN está un puerto. VLAN ESTÁTICA: Por CLI * (config-if)# Switchport mode access * (config-if)# Switchport access VLAN 80 o De este modo si la VLAN no existe la creará * Crear una VLAN: o (config)# Vlan 80 o (config-vlan)# name Alumnos o (config-vlan)# exit

VMPS: Servidor de políticas de membresia de manera dinámica * Te asigna a una VLAN determinada dependiendo de tu dirección MAC

Cada VLAN supone un Dominio de Broadcast, para unir varios Dom.Broad necesitamos un Router o un SW de Capa3 Enlaces Troncales (Trunk) * (config-if)#switchport mode trunk

Hay dos protocolos: * 802.1Q (el tráfico no etiquetado se va para la VLAN nativa) * ISL (ya no se utiliza) (el tráfico no etquetado se descarta)

DTP (troncal dinámico) Dynamic Trunking Protocol (DTP). If a port can become a trunk, it may also have the ability to trunk automatically, and in some cases even negotiate what type of trunking to use on the port. DTP provides this ability to negotiate the trunking method with the other device. * Es el tercer modo de funcionamiento, después de acces y trunk * Hay dos configuraciones posibles: o (config-if)#switchport mode dynamic auto + será Trunk si el otro es TRUNK o DYNAMIC DESIRABLE + será Access si el otro es ACCESS (en la VLAN que sea el ACCESS) o DYNAMIC AUTO (en la VLAN1) + si se conecta a una máquina que no soporte VLAN será ACCESS en la 1 o (config-if)#switchport mode dynamic desirable + será Trunk si el otro es TRUNK, DYNAMIC DESIRABLE ó DYNAMIC AUTO

+ será Access si el otro es ACCESS (en la VLAN que sea el ACCESS) o Access en la 1 si conecto una máquina que no soporte VLAN

* (config-if)#switchport no negociate (desactiva el TTP en el puerto)

TEMA4: VTP Propietario de Cisco El VTP sólo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN denominada vlan.dat. Las publicaciones del VTP no se intercambiarán si el enlace troncal entre los switches está inactivo. Dominio del VTP: consiste en uno o más switches interconectados. Todos los switches en un dominio comparten los detalles de configuración de la VLAN con las publicaciones del VTP. Un router o switch de Capa 3 define el límite de cada dominio. (coincide con el dominio Broadcast?) Publicaciones del VTP: el VTP usa una jerarquía de publicaciones para distribuir y sincronizar las configuraciones de la VLAN a través de la red. Modos del VTP: un switch se puede configurar en uno de tres modos: * Servidor del VTP: los servidores del VTP publican la información VLAN del dominio del VTP a otros switches habilitados por el VTP en el mismo dominio del VTP. Los servidores del VTP guardan la información de la VLAN para el dominio completo en la NVRAM. El servidor es donde la VLAN puede ser creada, eliminada o redenominada para el dominio. Es el modo predeterminado * Cliente del VTP: los clientes VTP funcionan de la misma manera que los servidores VTP pero no pueden crear, cambiar ni eliminar las VLAN en un cliente VTP. Un cliente del VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de la VLAN. Debe configurar el modo de cliente VTP en un switch. * VTP transparente: los switches transparentes envían publicaciones del VTP a los clientes VTP y servidores VTP. Los switches transparentes no participan en el VTP. Las VLAN que se crean, redenominan o se eliminan en los switches transparentes son locales a ese switch solamente.

Depuración del VTP: la depuración del VTP aumenta el ancho de banda disponible para la red mediante la restricción del tráfico saturado a esos enlaces troncales que el tráfico debe utilizar para alcanzar los dispositivos de destino. Sin la depuración del VTP, un switch satura el broadcast, el multicast y el tráfico desconocido de unicast a través de los enlaces troncales dentro de un dominio del VTP aunque los switches receptores podrían descartarlos. Puede haber mas de un server y cada uno publicará sus VLANs el nombre de Dominio tiene que ser igual en todos los SW y diferencia entre MAY y min. Si agregamos un Switch la info que ya haya en el dominio machacará a la del sw nuevo.

* #show vtp status

TEMA5: STP (IEE 802.1D) * Switch Raiz (puenteRaiz) Switch Root: Se negocia y se escoge la mas baja Prioridad del Switch (#entre 1 y 65536. Por defecto son todas 32768) y si no la MAC mas baja.

Tipos de Puertos en un Switch o Puerto Root (puertoRaiz) Es el puerto que se comunica con el SW raiz. o Puerto Designado: El Resto de puertos o Puertos No designados: Puertos desactivados por ser redundantes.

* Se desactivan (No Designados) los enlaces redundantes que tengan mayor coste, dependiendo este coste del numero de saltos y la velocidad de los mismos. * Si los dos caminos son igualmente óptimos se escoge la mas baja Prioridad del Switch (#entre 1 y 65536. Por defecto son todas 32768) y si no la MAC mas baja. * BPDU: tramas gestión STP (Bridge Protocol Data Unit) * El diametro máximo de la Red segun cisco son 7 SW, esto implica que con intervalos de saludo de 2s en 14s la red está consolidada.

Para cambiar la Prioridad de un SW: * confterm# spanning-tree vlan 1 priority 0 (mutliple de 40...) * confterm# spanning-tree vlan 1 root primary // Cambia la prioridad a 24577

* Se puede definir un Root diferente para cada VLAN

Estado de los puertos: Bloqueado: sólo recibe BPDU, pero no envia Tramas (En naranja en el Packetracer) Escuchar: Envia y recibe BPDUs. A punto de entrar en la topologia. Aprender: Llenando la Tabla de MACs. Haciendo Broadcast (verde) Enviar: Participa y conmuta. Envía las cosas donde toca. Forzar el SW para que pase directamente de Bloqueado a Enviar, se usa con puertos que no van a estar conectados a otros SW, y por tanto no vana a tener negociaaciones BPDU por esa pata. Al aconfigurarlo así es mas rápido y permite por ejemplo que un PC coja

la IP del DHCP antes de esperar esos 20s. Hay que tener cudado no ponerlo en un puerto que vaya a estar conectado a la topologia STP * (config-if)#Spanning-tree portfast

Cuando soportan VLANS quiere decir que permiten determinar un Root diferente para cada VLAN Variants del STP Propietarios Cisco permiten VLANs: * PVST (con ISL, en desuso) * PVST+ (802.1Q, mejoras de protección de BPDU y Root) [4bits Prioridad + 12bits VLAN + 6bytes MAC] Variante del RSTP y el MSTP * PVST+ rápido (convergencia mas rápida) Basado en 802.1w

IEEE * STP (explicado antes) [2bytes Prioridad + 6bytes MAC]

* RSTP (como el STP pero mas rápido) o Puerto Extremo: o Estado de los Puertos: # Descarte (Bloqueado+Escuchar) # Aprender # Enviar o Tipo de Puertos: + Raiz (igual que con STP) + Designado (igual que con STP) + Extremo: Es un Puerto Fast, pero si se conecta a otro switch se integra en la topología. + Alternativo (Redundante) + Respaldo (Alternativo pero de igual coste que el Designado)

* MSTP (permite VLANs) [4bits Prioridad + 12bits VLAN + 6bytes MAC]

Ejemplos y comandos ESTE SW ES EL ROOT: Switch#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 00D0.582B.D60B This bridge is the root Hello Time 2 sec Max Age 20 sec

#prioridad #mac Forward Delay 15 sec

Bridge ID

Priority Address Hello Time Aging Time

32769 (priority 32768 sys-id-ext 1) 00D0.582B.D60B 2 sec Max Age 20 sec Forward Delay 15 sec 20

Interface Role Sts Cost Prio.Nbr Type

---- --- --------- -------- -------------------------------Fa0/2 Desg FWD 19 128.2 P2p #Puerto Designado // Prioridad 128.2 Fa0/1 Desg FWD 19 128.1 P2p #Puerto Designado // Prioridad 128.1 ESTE SW NO ES EL ROOT: Switch#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 00D0.582B.D60B Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 00E0.8FA2.4ED3 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---- --- --------- -------- -------------------------------Fa0/1 Root FWD 19 128.1 P2p #Puerto Root // Prioridad 128.1 Fa0/5 Altn BLK 19 128.5 P2p #Puerto Alternativo // Prioridad 128.5 Fa0/3 Altn BLK 19 128.3 P2p #Puerto Alternativo

TEMA6: Enrutamiento entre VLANS Opción 1 (muy guarra) n interficies de salida en el SW, una como access de cada VLAN conectadas a n interficies en el router, cada una como GW de la VLAN correspondiente. Opción 2: Router on a stick (menos guarra): una interficie del SW en Trunk conectada a una interficie del Router, con n interficies virtuales, cada una de ellas como GW de la VLAN correspondiente Router(config)#interface fastEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.10 Router(configsubif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastEthernet 0/0.20

Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#exit

Opción 3: Switch de Capa 3

TEMA7: Wireless TEMA4: VTP