Switch
May 30, 2016 | Author: liron78 | Category: N/A
Short Description
Download Switch...
Description
SWITCH CISCO CATALYST 2950 ESTRUCTURA DE UN SWITCH CISCO Los switch tienen que ser capaces de ejecutar comandos por lo que integran un microprocesador. Por ejemplo, un procesador Motorola a 20MHz. Además, los switchs necesitan de capacidad de almacenamiento, por lo que disponen de distintos tipos de memorias: •
ROM. Contiene el Autotest de Encendido (POST) y el programa de carga del switch. Los chips de la ROM también contienen parte o todo el sistema operativo (IOS) del switch.
•
NVRAM. Almacena el archivo de configuración de arranque para el switch y mantiene la información incluso si se interrumpe la corriente en el switch. El fichero de configuración es config.text
•
Flash RAM. Es un tipo especial de ROM que puede borrarse y reprogramarse, utilizada para almacenar el IOS que ejecuta el switch. Algunos switchs ejecutan la imagen IOS directamente desde la Flash sin cargarlo en la RAM. Habitualmente, el fichero del IOS almacenado en la memoria Flash, se almacena en formato comprimido.
•
RAM. Proporciona el almacenamiento temporal de la información (los paquetes se guardan en la RAM mientras el switch examina su información de direccionamiento), además de mantener otro tipo de información, como las tablas de direcciones que se esté utilizando en ese momento.
•
Registro de Configuración. Se utiliza para controlar la forma en que arranca el switch. Es un registro de 16 bits, donde los cuatro bits inferiores forman el campo de arranque, el cual puede tomar los siguientes valores: o 0x0. Para entrar en el modo de monitor ROM automáticamente en el siguiente arranque. En este modo el switch muestra los símbolos > o rommon>. Para arrancar manualmente puede usar la b o el comando reset. o 0x1. Para configurar el sistema de modo que arranque automáticamente desde la ROM. En este modo el switch muestra el símbolo Switch(boot)>. o 0x2 a 0xF. Configura el sistema de modo que utilice el comando boot system de la NVRAM. Este es el modo predeterminado (0x2).
El resto de bits del registro de configuración llevan a cabo funciones que incluyen la selección de velocidad en baudios de la consola, y si se ha de usar la configuración de la NVRAM. Es posible cambiar el registro de configuración mediante el comando de configuración global config-register, como por ejemplo config-register 0x2102. Este comando establece los 16 bits del registro de configuración, por lo que tendremos que tener cuidado para mantener los bits restantes. Para conocer en cualquier momento el valor del registro de configuración, utilizaremos el comando show version. Cuando el dispositivo conectado permite autonegocición la velocidad y modo duplex que se establece es la máxima soportada por ambos equipos. Sin embargo si el equipo conectado no soporta autonegociación estos parámetros deben ser especificados por el administrador. Cuando se conectan servidores, estaciones de trabajo y routers se utiliza cable de conexión directa. Cuando se conectan switches o hubs se utiliza cable de conexión cruzada. Los puertos disponen de indicadores luminosos que indican la actividad del mismo, puede tomar los siguientes valores:
• • •
Verde : Se ha establecido conexión entre el switch y la otra máquina. Ambar: El protocolo Spanning Tree (STP) está trabajando buscando bucles, este proceso puede durar 30 sg y posteriormente se torna verde. Apagado: No está encendida la máquina conectada, o hay problemas con el cable o con el adaptador de la otra máquina.
INDICADORES LUMINOSOS DEL SWITCH. Son utilizados para monitorizar la actividad y funcionamiento del switch. Existe un botón de Modo que se usa para determinar la actividad que deseamos monitorizar cambiando la información mostrada por los indicadores. El indicador de System indica si el switch está recibiendo corriente y si funciona correctamente: • Apagado: El sistema no recibe corriente. • Verde: El sistema funciona correctamente. • Ambar: El sistema recibe corriente pero su funcionamiento es defectuoso. Indicadores de Puertos proporcionan información sobre los puertos individuales del switch y la información mostrada dependerá de la opción elegida con el botón de Modo: • • • •
STAT es el modo por defecto y indica estado del puerto visto anteriormente. UTIL indica la utilización del ancho de banda de los puertos. DUPLX indica el modo duplex en el que se trabaja. SPEED Indica la velocidad del puerto.
Cuando se cambia el modo del puerto el significado de los colores cambian. Por ejemplo: •
STAT colores: o ApagadoNo hay conexión. o Verde Hay conexión. o Verde Intermitente Se están transmitiendo o recibiendo datos. o Verde-Ambar Problemas en la conexión que pueden ser debidos a una cantidad excesiva de colisiones o de paquetes defectuosos. o Ambar El puerto está bloqueado porque hay una violación de acceso o porque lo ha bloqueado el protocolo (STP). Cuando un puerto es reconfigurado, la luz es ambar durante unos 30 segundos por la acción del STP.
•
DUPLX colores: o Apagado El puerto opera en Half Duplex. o Verde El puerto opera en Full Duplex.
•
SPEED colores: o Apagado El puerto opera a 10 Mbps. o Verde El puerto opera a 100 Mbps.
PUERTO DE CONSOLA Si queremos conectar un PC al puerto de consola debemos usar un cable rollover y adapatadores RJ-45/DB-9. El PC debe soportar el emulador de terminal VT100. El programa de emulación utilizado suele ser HyperTerminal o Procomm Plus. Es necesario configurar el ancho de banda y el formato de los caracteres que se van a enviar en la comunicación del PC con el puerto de la consola y los valores adecuados son: • •
•
Velocidad 9600
Bits de datos Bits de parada
• •
8
1
Paridad Ninguna. Control de flujo Hardware.
ARRANQUE DEL SWITCH Cuando se enciende un switch, los chips de la memoria ROM ejecutan un Auto-Test de Encendido (Power On Self Test o POST) que comprueba el hardware del switch como el procesador, las interfaces y la memoria. A continuación se procede a ejecutar el programa de carga (bootstrap), que también se encuentra almacenado en la ROM, y se encarga de buscar el IOS del switch, el cual se puede encontrar en la memoria ROM, la memoria Flash (habitualmente), o en un servidor TFTP. Una vez cargado el IOS del switch, este pasa a buscar el archivo de configuración, que normalmente se encuentra en la memoria NVRAM, aunque también puede obtenerse de un servidor TFTP. CONFIGURACIÓN DEL SWITCH Los Switches Catalyst 2950 utilizan el sistema operativo Cisco IOS versión 12.0(5)WC(1). Los switches están preconfigurados y comienzan enviando paquetes tan pronto como estén conectados a una máquina compatible. Por defecto todos los puertos pertenecen a una misma VLAN que es la VLAN-1 que es considerada la red virtual por defecto. Existen distintas formas de llevar a cabo la configuración del switch, pero para establecer la configuración básica de un switch desconfigurado, se aconseja utilizar el puerto de la consola. •
Consola del switch. El switch puede configurarse directamente desde un PC conectado al puerto de la consola del switch por medio del cable enrollado que incorporta el switch. Antes de iniciar el switch, verificamos la alimentación, el cableado y la conexión de la consola, de forma que al arrancar el switch, si se produjese algún error aparecería en la consola.
• Terminal virtual. Se puede conectar con el switch vía Telnet por medio de una terminal virtual. •
Servidor TFTP. Se puede cargar una configuración de switch desde un servidor TFTP incluido en la red. Para ello utilizaremos el comando de modo de activación config net.
INTERFACE DE LINEA DE COMANDOS (CLI) Cuando configuramos un Switch usando el software Cisco IOS es necesario saber que existen diferentes modos de trabajo y que en función del modo en el que nos encontremos podremos hacer unas tareas u otras. Los modos son: • • • • • •
Modo Usuario. Modo Privilegiado. Modo Base datos VLAN. Modo de Configuración Global. Modo de Configuración de Interface. Modo de Configuración de Línea.
MODO USUARIO Proporciona un acceso limitado al switch, mediante el cual se puede examinar la configuración del switch, sin permitir cambiar su configuración. Es el modo que se activa por defecto al volver a arrancar el switch, apreciándose al aparecer como indicador el nombre del switch seguido del signo > (mayor que). Switch > Los comandos utilizados son un subconjunto de los utilizados en modo privilegiado, no obstante siempre dependerá de la versión del SO utilizado. Para salir se utiliza el comando “logout”. MODO PRIVILEGIADO Los comandos utilizados en este modo pueden variar el comportamiento del Switch por lo que suele ser habitual que su acceso sea restringido por lo que es posible que exista una clave de acceso que es pedida cuando intentamos entrar en este modo de trabajo.Para entrar en este nivel se debe ejecutar el comando enable. el indicador que aparece viene con el nombre del switch seguido del carácter # (almohadilla). Switch #
Una vez finalizado el trabajo en el modo privilegiado, debe volver al modo usuario para no dejar la configuración del router al descubierto, para lo cual ejecutaremos el comando disable. MODO VLAN Este modo sirve para modificar los parámetros de las redes Virtuales definidas en el Switch. Esta información es almacenada en un fichero que sirve como base de datos de las redes virutales definidas. La forma de acceder es desde el modo Privilegiado con el comando vlan database. El indicador que aparece es Nom_Switch(vlan)# Para salir y entrar en modo privilegiado se puede usar dos comandos: abort que se utiliza para salir sin hacer efectivos los cambios realizados en la base de datos. exit utilizado para salir manteniendo los cambios realizados.
MODO CONFIGURACIÓN GLOBAL Sus comandos se aplican sobre características generales de la máquina, permitiendo establer todos los parámetros relacionados con el hardware y el software del switch (interfaces, contraseñas, etc).. Se accede desde el modo privilegiado mediante el comando configure terminal o de manera abreviada config t. El indicador que aparece es Switch(config)#
Para salir de este privilegiado podemos usar exit, end o
pulsar ctrl.-Z
MODO
CONFIGURACION DE INTERFACE
Sus comandos una interface del configuración Global mediante el número de que aparece
modo y volver al modo
afectan al modo de funcionamiento de switch. Se accede desde el modo de comando interface o int seguido del tipo y interface (interface fa0/0). El indicador
Para salir y volver al modo de configuración global: Switch(config-if)# exit Para salir y volver al modo privilegiado Switch(config-if)# end Para salir y configurar otra interface Switch(config-if)# int tipo_número de interface. MODO CONFIGURACION DE LINEA Sus comandos se aplican a las conexiones en línea que se efectúen con el Switch para su configuración. Para acceder a este modo se realiza desde configuración global y va a depender de que tipo de conexión queremos controlar. Para las conexiones desde consola: Switch(config)# line con 0 (sólo hay una conexión desde consola) Switch(config-line)# Para las conexiones telnet Switch(config)# line vty 0 15 (Puede haber un máximo de 16 conexiones telnet) Switch(cofig-line)# Para salir al modo de configuración global usamos exit y para salir al modo privilegiado usamos end. Tras finalizar la configuración del switch y para establecer la nueva configuración como configuración de arranque, se debe ejecutar el comando copy running-config startup-config (write memory o write en versiones anteriores). Si esto no se realiza la nueva configuración tendrá efecto sólo hasta que se vuelva a reiniciar el switch. (running-config hace referencia a la configuración del switch actual que permanece en memoria RAM, startup-config hace referencia a la configuración del switch grabada en la memoria NVRAM y es con la que arrancó el switch y será con la que vuelva a arrancar si no ejecutamos el comando anterior). También es válido lo contrario, es decir, si por algún motivo deseamos volver a cargar la configuración de inicio como configuración actual, ejecutaremos copy startup-config running-config, teniendo siempre en cuenta que la configuración de inicio es la almacenada en la memoria NVRAM, y la configuración de ejecución es la actualmente
almacenada en la memoria RAM. COPIAR LA CONFIGURACIÓN DEL SWITCH EN UN PC Cuando realizamos cambios en la configuración de un switch, éstos formarán parte de la running-configuration. Cuando introducimos el comando para salvar esos cambios al la startup-configuration, el switch copia la configuración en la memoria Flash en un fichero llamado config.text. Para asegurarnos que podemos restaurar la configuración anterior si el switch falla con la nueva, debemos hacer una copia del fichero config.text desde el switch hacia un PC. Para realizarlo necesitamos configurar al PC como un servidor TFTP (Protocolo de transferencia de archivos trivial) para guardar una copia del archivo de configuración, siendo posible guardar hasta una copia del IOS del switch. TFTP es más sencillo de utilizar que FTP ya que no necesita que el usuario tenga una contraseña o que se mueva por los directorios del PC. TFTP utiliza al igual que FTP tramas UDP en lugar de TCP. Tras configurar el PC como servidor TFTP y ponerlo operativo, debemos comprobar si podemos acceder a él desde el switch, para ello entramos en modo privilegiado en el switch y ejecutamos el comando ping dir_ip_PC, este comando utiliza el Protocolo de Mensajes de Control de Internet (ICMP) que tiene la capacidad de diagnosticar la conectividad de red básica (fallas de la capa 1 a 3 del modelo OSI), enviando un paquete ICMP al host especificado y luego esperando un paquete de respuesta. El número de paquetes enviados por el switch es de 5 con un tamaño de 100 bytes cada uno, por cada uno de ellos puede mostrar el símbolo “!” si tuvo éxito y “.” si falla. Posteriormente copia el fichero de la memoria Flash, ( para comprobar el contenido de la memora Flash se utiliza el comando privilegiado dir flash: ), al directorio raíz del servidor TFTP mediante el comando copy flash:config.text tftp , algunos sistemas permiten el comando copy startup-config tftp (copy star tftp). Seguidamente se solicita la dirección IP del PC remoto y el nombre con el que grabaremos el fichero en el servidor. Finalmente verificaremos la copia consultando el contenido del directorio raiz del PC usado como servidor. Si deseamos restaurar la copia guardada en un servidor TFTP al switch sólo tenemos que copiar el archivo config.text en la memoria Flash el comando a utilizar tendría el siguiente formato copy tftp://host//directorio/fichero flash:config.text Podemos comprobar el contenido del fichero config.text almacenado en el switch mediante el comando de modo privilegiado show startup-config (show star). Entre la información que nos muestra podemos ver: • • • •
Nombre lógico dado al switch. Nombre del archivo que contiene el IOS del switch. Palabras claves de acceso al switch. Configuración de las Interfaces y de las VLANs.
Esta información puede ser comparada con la que está activa actualmente en memoria que podemos obtener con el comando de modo privilegiado show running-config (show run). Los niveles de seguridad pueden ser de distinto tipo desde no activar la seguridad de acceso, hasta establecer una clave de acceso general o establecer claves de acceso personalizadas. Los comandos que permiten estos niveles son (no login, login, login local ). Para los accesos mediante Telnet es posible limitar los equipos que están autorizados a realizarlos.
Si no deseamos hacer restricciones de acceso al sistema utilizaremos las siguiente secuencia de comandos suponiendo que nos encontramos en modo privilegiado: Switch# config T Switch(config) # line con 0 Switch(config-line)# no login Switch(config-line)# end Switch(config)# line vty 0 15 Switch(config-line)# no login Switch(config-line)# exit Si suponemos que nos encontramos en el modo privilegiado y queremos configurar la seguridad de los accesos desde la consola y telnet, con una clave general para todos los usuarios: Switch# config T Switch(config) # line con 0 Switch(config-line)# login (Activa seguridad clave única) Switch(config-line)# password xxxxxxx (Password para consola) Switch(config-line)# end Switch(config)# line vty 0 15 Switch(config-line)# login (Activa seguridad clave única) Switch(config-line)# password yyyyyyyy
Si consultamos la configuración actual con el comando show running-config podemos comprobar que se han incorporado las claves, pero estas son perfectamente legibles. Para evitarlo y que las claves aparezcan encriptadas es recomendable ejecutar el comando de configuración global service password-encryption. En este caso cuando un usuario establece una conexión bien sea desde consola o desde telnet el sistema le solicita una clave, tras ser suministrada el usuario accede al modo cliente básico. Desde este nivel puede acceder al modo privilegiado con el comando enable para restringir este acceso podemos establecer una clave para ello podemos utilizar dos comandos enable secret password, y el enable password password. De estos dos es recomendable utilizar sólo el primero ya que encripta la clave introducida, mientras el segundo no lo hace. Si deseamos activar la seguridad para que sea personalizada según el usuario debemos proceder de la siguiente forma: Switch# config T Switch(config)# line con 0 Switch(config-line)# login local Switch(config-line)# end Switch(config)# line vty 0 15 Switch(config-line)# login local Switch(config-line)# exit Previamente deberíamos haber definido una base de datos de usuarios y claves. Para ello se utiliza el comando de configuración global username usuario password xxxxxxx Con este comando también es posible establecer el nivel de acceso del usuario, los niveles de acceso varian desde 1 que es el nivel de usuario normal hasta el nivel 15 que es el
modo privilegiado máximo. En principio sólo están configurados estos dos niveles y la forma de utilizarlos es username usuario privilege nivel password xxxxxxx Es posible establecer otros niveles de acceso indicando los comandos que podrán ser ejecutados, para ello se utiliza el comando de configuración global privilege mode level nivel comando. Si deseamos ver los niveles definidos en el sistema utilizaremos el comando show privilege. Si el sistema lo permite es posible limitar los ordenadores que pueden hacer uso del acceso telnet para ello es necesario definir las denominadas listas de acceso mediante el comando global access-list númerolista permit dir_ip_red máscara esta lista indica que los ordenadores pertenecientes a la red indicada en dir_ip_red tienen permiso, aunque todavía no se ha indicado de qué. La máscara utilizada en este comando se escribe de manera inversa a la máscara de subred ya que se ponen a cero los bits de red y a uno los bits de host. Por ejemplo si la red es 192.85.55.0 la máscara es 0.0.0.255. Una vez definida la lista de acceso en el modo de configuración de terminal virtual utilizaremos el comando access-class númerolista in. Por ejemplo: Switch# config T Switch(config)# access-list 12 permit 192.85.55.0 0.0.0.255 Switch(config)# line vty 0 15 Switch(config-line)# access-class 12 in Switch(config-line)# exit El uso de estas listas de acceso no es incompatible con lo visto hasta el momento por lo que es posible establecer cualquiera de las medidas de acceso vistas anteriormente, junto a estas listas. Por otro lado es posible limitar el tiempo en el que permanecerá una conexión de terminal virtual operativa sin ninguna actividad, mediante el comando de configuración global exec-timeout minutos segundos por defecto el tiempo establecido es de 10 minutos. CONFIGURAR PARÁMETROS GENERALES DEL SWITCH Antes de proseguir con los comandos de configuración del switch sería conveniente conocer las características del hardware ydel sistema operativo (firmware) existentes en el switch, para ello podemos ejecutar el comando privilegiado show version que proporciona esa información, entre las que destacamos la versión del sistema operativo, el tiempo de encendido del switch, el nombre del fichero donde está guardado el sistema opertivo actualmente en uso en el switch, el tipo de procesador y memoria instalada, número y tipo de puertos instalados, así como la dirección mac del switch... Una de las primeras cosas que debemos configurar en un switch es la asignación de un nombre lógico para él, para ello utilizamos el comando de configuración global hostname nombre_switch. Así mismo se suele establecer un mensaje de entrada que será visible cuando conectemos con el switch para ello utilizaremos el comando de configuración global banner motd carácter mensaje carácter. Donde carácter es un delimitador que marca el inicio y el fin del mensaje de salida y debe ser el mismo, así mismo el mensaje puede estar formado por varias líneas. Ejemplo : Switch(config)# hostname ALBA Switch(config)# banner motd # Hola ha contactado con el Switch principal del CUM # Otra de las características generales que se suelen instalar al comienzo es el reloj del sistema para ello se utiliza el comando de modo privilegiado clock set hora:minutos:seg dia mes año. Por ejemplo:
Switch# clock set 9:39:23 16 May 2003 En ocasiones puede interesarnos asignar una dirección IP al switch, sobre todo si queremos acceder en un futuro mediante Telnet o mediate un navegador web. Para ello debemos ejecutar el comando de configuración de Interface para la red virtual VLAN 1 ip address dir_ip máscara_subred, además si fuera necesario podríamos asignarle una puerta de enlace con ip default-gateway dir_ip_router. Por ejemplo: Switch# config terminal Switch(config)# interface vlan 1 Switch(config-int)# ip address 192.0.168.10 255.255.255.0 Switch(config-int)# ip default-gateway 192.0.168.1 Si deseamos eliminar las direcciones ip podemos usar la variante no del comando ip address o bien el comando de configuración global clear ip address vlan 1 Para que podamos cofigurar el switch desde un navegador web además de establecer una dirección IP es necesario activar el sevicio web dentro del switch, para ello deberíamos utilizar el comando de configuración global ip http server por el contrario si deseamos desinstalarlo es podemos utilizar la variante no de dicho comando. Switch# configure terminal Switch(config)# ip http server Uno de los elementos con los que un switch trabaja permanentemente es la tabla de direcciones físicas donde almacena las direcciones de los dispositivos que forman parte de la red, para poder realizar la conmutación de paquetes. El contenido de esta tabla podemos obtenerlo con el comando privilegiado show mac-address-table entre los datos que nos suministra podemos observar unos contadores que indican: • • • • •
Número de direcciones MAC aprendidas dinámicamente. Número de direcciones MAC introducidas estáticamente por el usuario. Número de direcciones MAC seguras introducidas por el usuario. Número de direcciones MAC propias de las interfaces del Switchs. Número total de direcciones MAC aprendidas por el switch.
Además visualiza el contenido de su tabla de direcciones mostrado por columnas que indican la dirección MAC del dispositivo, la forma en la que aprendió la dirección, la red virtual a la que pertenece y el puerto por el que está conectado. Esta información podemos filtrarla para obtener datos concretos así podemos tener las siguientes variantes: Show mac-address-table static sólo direcciones estáticas. Show mac-address-table dinamic Show mac-address-table secure Show mac-address-table self Show mac-address-table aging-time Show mac-address-table count Show mac-address-table address hw-addr (Muestra la entrada para la dirección MAC indicada) Show mac-address-table vlan vlan-id (Muestra las entradas de las MAC´s de la vlan indicada)
Algunas de las entradas de la tabla de direcciones MAC del switch pueden ser variadas, así si deseamos variar el tiempo de caducidad de las nuevas entradas de la tabla podemos usar el comando de configuración global mac-address-table aging-time tiempo_segundos. Por otro lado si deseamos restablecer el tiempo por defecto (300 seg) de las entradas usaremos la variante no del comando. Si deseamos añadir direcciones seguras a la tabla lo podemos hacer con el comando de configuración global mac-address- table secure dir-mac interface-entrada. Por ejemplo: Switch# config t Switch(config)# mac-address-table secure 1212.15aa.bacd fa0/1 Las direcciones seguras limitarán los dispositivos conectados al switch. No obstante si deseamos eliminar alguna dirección segura en particular podemos usar la versío no del comando anterior. Por ejemplo: Switch# config t Switch(config)# no mac-address-table secure 1212.15aa.bacd Lo mismo que borramos direcciones seguras podemos borrar direcciones dinámicas particulares simplemente cambiando la palabra secure del comando anterior por dinamic: Switch# config t Switch(config)# no mac-address-table dynamic 1212.15aa.bacd Si deseamos eliminar todas las entradas dinámicas aprendidas por el switch utilizaremos el comando privilegiado clear mac- address-table dynamic. Lo mismo si se trata de direcciones estáticas o direcciones seguras, cambiando sólo la palabra dynamic por static o secure respectivamente. CONFIGURACIÓN DE PUERTOS O INTERFACES DEL SWITCH Una de las tareas más importantes en la configuración de un switch es la configuración de sus interfaces, esta configuración se realiza para cada una de las interfaces, la forma de acceder a las mismas es mediante el comando global interface tipo número. El tipo de la interface hace referencia a si es ethernet (e), fastethernet (fa) o Giga (Gi) . Por ejemplo: Switch# config t Switch(config)# interface fa 0/1 Antes de proceder a la configuración de las interfaces sería necesario ver su configuración actual para ello podemos utilizar el comando de modo privilegiado show interface que muestra el estado actual de todas las interfaces del switch. Una forma de comprobar una interfaz es utilizar el comando show interfaces. Los problemas relacionados con Ethernet pueden derivarse de un exceso de colisiones en red, debidos habitualmente a roturas en el cable, cables que superan la longitud máxima permitida, a un excesivo tráfico de difusión, o al funcionamiento defectuoso de alguna tarjeta de red. Entre la información que suministra podemos encontrar:
•
Ethernet 0 is up, Line Protocol is Up. Esto indica que la interfaz está activada y que los protocolos Ethernet creen que se puede utilizar la línea, respectivamente. Si la interfaz está desactivada, compruebe la conexión LAN con la interfaz. Puede utilizar el comando shut (para desactivar la interfaz), y después el comando no shut para volver a activarla.
•
Hardware Address. Muestra la dirección MAC de la interface.
•
Internet Address. Muestra la dirección IP y la máscara de subred.
•
MTU. Es la unidad máxima de Transmisión para la interfaz, expresada en bytes.
• BW. Corresponde al ancho de banda para la interfaz expresado en kilobits por segundo. •
Rely. Se trata de un parámetro para evaluar la fiabilidad de la línea, siendo 255/255 el máximo de fiabilidad. La fiabilidad suele estar afectada debido a cortes en la línea y otros problemas.
•
Load. Este parámetro mide la carga actual que soporta la interfaz, representando un valor de 255/255 una interfaz totalmente saturada.
•
Encapsulation. Indica el tipo de trama asignado a la interfaz. ARPA es la opción predeterminada para Ethernet, y corresponde con el tipo de trama 802.2.
•
Collisions. Muestra el número de colisiones controladas por la interfaz. Un número grande de colisiones indica que puede existir algún tipo de problema físico en la red, como un corte en un cable o un funcionamiento defectuoso de la tarjeta de interfaz.
•
CRC. Este parámetro muestra el número de pruebas de redundancia cíclica que han fallado en los paquetes entrantes. Normalmente indica si la línea está soportando muchas interferencias.
•
Last input. Número de horas, minutos y segundos desde que fue recibido con éxito el último paquete por una interfaz. Es útil para saber cuando ha fallado una interfaz.
•
Output. Número de horas, minutos y segundos desde que fue transmitido con éxito el último paquete por una interfaz. Es útil para conocer cuándo ha fallado una interfaz.
•
5 minute input rate, 5 minute output rate. Velocidades de entrada y salida de los últimos 5 minutos. Permiten obtener una media aproximada del tráfico por segundo en un momento concreto.
•
Output queue, Input queue Número de paquetes en las colas de entrada y de salida. El número seguido del slash indica tamaño máximo de la cola.
•
Packets input. Número total de paquetes recibidos sin error por el sistema.
• Bytes input. Número total de bytes, incluido encapsulado MAC y datos, en paquetes recibidos sin errores. •
No buffer. Número de paquetes recibidos que han sido descartados por no haber espacio suficiente en el búfer para la interfaz.
• Received…broadcasts. Número total de difusiones recibidas por la interfaz. Un umbral aproximado podría ser menor del 20 por 100 del número de paquetes recibidos. • Runts. Número de paquetes que han sido descartados debido a que su tamaño es menor del tamaño mínimo de paquete permitido, por ejemplo cualquier paquete Ethernet menor de 64 bytes. Suelen estar causados por colisiones.
•
Giants. Número de paquetes que han sido descartados por sobrepasar el tamaño máximo de paquete, por ejemplo cualquier paquete Ethernet mayor de 1518 bytes.
La información suministrada por este comando puede ser resumida, de tal forma que sólo muestre parte de la información. Por ejemplo: Show interface inteface-id: Muestra la información anterior pero sólo de la interface indicada. Show interface vlan número: Muestra la información anterior pero sólo de la vlan indicada. Show interface status: Muestra un resumen del estado actual de los puertos del switch. Recomendado. Entre los parámetros que podemos configurar dentro de una interface tenemos la posibilidad de activarla o desactivarla. Para ello utilizaremos el comando de interface shutdown, este comado deja bloqueada la interface. Si queremos activar la interface utilizarermos su variante no. También podemos establecer la velocidad y el modo duplex en el que trabajará para ello utilizaremos los comandos de interface speed y duplex respecivamente. En el primero los valores que podemos introducir son ( auto, 10, 100, 1000 ) y para el segundo ( auto, full, half ). Donde auto significa que el puerto negociará la velocidad con el dispositivo que tenga conectado. Switch(config-int)# speed 10 Switch(config-int)# duplex auto Otra de las cosas que debemos establecer es si la interface o puerto es troncal o no. Es decir si va a permitir tráfico de distintas redes virtuales o no. Para ello utilizaremos los siguientes comandos de configuración de interface. Para indicar que sólo pase información de la red virtual a la que pertenece el puerto usamos el comando de interface switchport mode access. Este comando suele ir acompañado de otro que indica la red virtual a la que pertenecerá el puerto que por defecto es la VLAN 1 la sintaxis es switchport access vlan número. Por ejemplo: Switch(config)# interface fa 0/1 Switch(config-int)# switchport access vlan 2 Switch(config-int)# switchport mode access Si lo que deseamos es que el puerto sea troncal el comando a utilizar es switchport mode trunk, este comando debe ir acompañado de otro que indique el formato de encapsulamiento que van a seguir los paquetes de datos que pasen por él, el comando es switchport trunk encapsulation tipo , el tipo puede ser dot1q o isl, aunque en algunos sistemas es posible poner como tipo negotiate, con lo cual el encapsulamiento irá en función del encapsulamiento utilizado por el otro dispositivo conectado. Por ejemplo:
Switch(config)#interface fa 0/1 Switch(config-int)# switchport mode trunk Switch(config-int)# switchport trunk encapsulation dot1q Como los puertos definidos como troncales permiten el paso de cualquier paquete procedente de cualquier red virtual sería posible impedir el paso de paquetes de una
determinada red virtual. Para ello podemos utilizar el comando de interface switchport trunk allowed vlan remove número. Donde el número indica la red virtual a la que vedamos el paso. Por ejemplo: Switch(config-int)# switchport trunk allowed vlan remove 2 Impide que los paquetes procedentes de dispositivos de la red virtual vlan 2 puedan utilizar este puerto troncal. La sintaxis completa es : Switchport trunk allowed vlan { add | all | except | remove } nº_de_redes Si deseamos que un puerto deje de ser troncal y vuelva a ser de acceso normal utilizamos la versión no del comando switchport mode trunk. Por ejemplo: Switch(config-int)# no switchport mode trunk En el caso que deseemos que sólo ciertos equipos puedan pasar paquetes por un determinado puerto podemos establecer el puerto como seguro, para poder hacerlo debemos por un lado el número de puertos seguros que va a tener como máximo y que es lo que sucederá si un dispositivo no autorizado pretende enviar información por él existiendo dos posibilidades (bloquear el interface o enviar un mensaje de aviso a la consola). Para establecer el puerto como seguro usaremos el comando de interface port security action tipo-acción, donde acción puede ser shutdown para bloquearlo o trap para enviar un mensaje de aviso. Por ejemplo: Switch(config)# interface fa 0/1 Switch(config-int)# port security action shutdown En este ejemplo indicamos que el puerto 1 tiene activada la seguridad y que si se producen acceso no autorizados se bloquee. Este permanecerá bloqueado hasta que el administrador lo desbloquee mediante el comando no shutdown. Para establecer el número máximo de direcciones seguras permitidas por el puerto podemos usar el comando de interface port security max-mac-coutn número, donde número indica el máximo. Switch(config)# interface fa 0/1 Switch(config-int)# port security max-mac-count 5 En este ejemplo indicamos el número máximo de direcciones seguras es de 5. Toda la información de configuración de seguridad de un puerto la podemos ver con el comando privilegiado show port security , que nos muestra todos los puertos seguros que hemos definido y si está seguido de un número de interface o de red virtual se limita a esa interface indicada. Por ejemplo: Switch# show port security fa 0/1 Las direcciones seguras a las que se hace referencia son las introducidas por el administrador con el comando mac-address- table secure visto anteriormente. No obstante si el puerto está activado las direcciones que aprenda automáticamente serán consideradas como seguras hasta llegar al límite establecido. Por lo que es
recomendable bloquearlo previamente para así impedir que aprenda direcciones mientras se configura la seguridad del puerto e incluso si fuera necesario borrar aquellas direcciones aprendidas anteriormente por el puerto. Cisco dispone de un protocolo denominado CDP que permite a los dispositivos cisco indicar las direcciones de los equipos que tiene conectados a sus puertos e informar a otros dispositivos cisco sobre ellos, este protocolo se activa en cada interface. Para activarlo debemos usar el comando de interface cdp enable y para desactivarlo usaremos su versión no. Cuando tenemos activo el protocolo spanning tree para evitar bucles formados por switches, los puertos de esos switchs deben pasar por múltiples estados (Bloquear, Escuchar, Aprender y Enviar), este proceso tarda algún tiempo, para reducirlo es posible usar en los puertos el metodo de puerto rápido, mediante el cual un puerto pasa directamente del estado bloqueado al de enviar. En aquellos puertos donde no se vaya a conectar un switch o un hub podemos hacerlo mediante el comando de interface spanning tree portfast. Switch(config)#interface fa0/1 Switch(config-int)#spanning tree portfast Es recomendable utilizar por motivos de seguridad el parámetro bpduguard, ya que un puerto de usuario no necesita recibir mensajes bpdu y si los recibe sabremos que son de un acceso no autorizado. También es recomendable que los puertos de usuario no tengan asignada una dirección ip, para ello usamos el comando de interface no ip address. CONFIGURACIÓN DE REDES VIRTUALES Una de las características de trabajo con switchs es la posibilidad de agrupar hosts en redes virtuales o lógicas dando una distribución funcional del sistema y limitando el dominio de broadcast de la red. La información referente a las redes virtuales se guarda en una Base de Datos almacenada en un fichero llamado vlan.dat en la memoria NVRAM y la forma de acceder a su contenido es mediante el comando de modo privilegiado show vlan que propociona información sobre las redes virtuales existentes así como de los puertos que las integran. El formato general es show vlan [ brief | id nº | name nombre] , con la opción brief vemos la información resumida, con id sólo la de la vlan indicada y lo mismo con name. Por defecto la red virtual existente en el switch es la número 1 y a ella pertenecen todos los puertos del switch. Si deseamos crear nuevas redes virtuales debemos entrar desde el modo privilegiado en la base de datos para ello usamos el comando vlan database, una vez dentro podemos crearnos redes virtuales con el comando vlan nº_de_red name nombre. El parámetro name es opcional y si no se pone el nombre asignado a la red virtual es VLAN000nº_de_red. Por ejemplo: Switch# vlan database Switch(vlan)# vlan 2 name biblioteca Para salirnos de la base de datos existen dos posibles comandos que son abort o exit. El primero nos permite salir sin hacer efectivos los cambios en la base de datos y el segundo nos permite salir haciéndolos efectivos. Si deseamos ver, antes de salir, los cambios sufridos por la base de datos podemos usar
el comando show changes que nos muestra la diferencia entre el contenido inicial de la base de datos original y la propuesta. Si lo que deseamos es ver la base de datos propuesta podemos usar el comando show proposed y si lo que deseamos es ver la configuración actual podemos usar show current. Es posible eliminar redes locales para ello usaremos la versión no del comando vlan visto anteriormente. Los puertos que estuvieran asignados a la red borrada serán reasignados de forma automática a la red virtual 1. La asignación de puertos a las redes virtuales se hace desde la propia interface del puerto como vimos anteriormente. Para interrumpir el tráfico local de una red virtual podemos usar el comando global shutdown vlan nº_de_red. Si en la definición de redes locales se van a ver involucrados varios switches o algún router o algunos servidores de archivos o bases de datos, la conexión entre ellos se realizará mediante puertos troncales los cuales se definen en la interface del puerto como se vió. No obstante es recomendable activar el protocolo VTP que se verá seguidamente. Son enlaces (puertos) de 100 a 1000 Mbps que conectan punto a puntos dos switches, un switch con un router o con un servidor. Transportan el tráfico de hasta 1005 VLANs. Al habilitar un puerto troncal, por defecto transporta todas las VLANs configuradas en el switch. Para diferenciar la información entre las Vlans se encapsula normalmente con uno de los siguientes protocolos: ISL (Inter.-Switch Link) Propietario de Cisco. Sólo funciona sobre enlaces Fast Ethernet o Gigabit Ethernet. Funciona tanto en interfaces de switches como de routers y servidores. IEEE 802.1q Estándart. Inserta un campo dentro del frame para identificar la VLAN. Por otro lado para cada una de las redes virtuales definidas sería necesario tener activado el protocolo Spanning-tree, que lo activa por defecto. Para asegurarnos podemos usar el comando de usuario show Spanning-tree que nos muestra toda la información relativa a este protocolo, aunque podemos limitarla a una red virtual añadiendo vlan nº_de_red. Si estuviera deshabilitado para habilitarlo usaríamos el comando de configuración global Spanning-tree vlan nº_de_red. Y si por el contrario deseáramos deshabilitarlo usaríamos la versión no del mismo. Si deseamos que el switch actual sea designado como raíz por el protocolo Spanning-tree para una determinada red virtual podemos usar el comando de configuración global Spanning-tree vlan nº_de_red root. VLAN Trunk Protocol (VTP) Protocolo propietario de Cisco. Utilizado en redes divididas en Vlans formadas por varios switches conectados. VTP maneja la adición, eliminación y reubicación de VLAN´s en el sistema sin tener que realizarlo manualmente en cada Switch. La información VTP circula por los enlaces (puertos) troncales a través de mensajes multicast periódicos dándola a conocer a los otros switches que conforman el dominio. Este mensaje contiene el dispositivo que administra el dominio, las VLAN´s que el dispositivo conoce y los parámetros para cada VLAN conocida. Al escuchar estos avisos, todos los dispositivos que están en el mismo dominio de administración aprenden alguna nueva VLAN que se haya configurado. Usando este método una VLAN sólo es necesario crearla o configurarla una sola vez en el dominio de administración y la información automáticamente es aprendida por todos los demás dispositivos que conforman el dominio. Por ejemplo cuando un nuevo switch es agregado a la red, éste recibe
notificaciones VTP y es automáticamente configurado para manejar las VLAN´s existentes dentro de la red. Todas las familias de los Switches manejan este protocolo y es necesario configurar cada uno de los switches de acuerdo a la función que vaya a realizar ya se como Server, Client o Transparent. Servidor Comparte la información con los demás dispositivos VTP que integran el mismo dominio VTP. Es el modo en el que se crean VLANs y se realizan cambios. Toda modificación en el switch servidor es transmitida a todo el dominio. Es el estado por defecto. Es recomendable que sólo exista uno. Cliente Envía y recibe información VTP, pero no puede introducir ningún cambio. Transparente Envía y recibe información de VTP, pero no la incluye en su base de datos. No participa del dominio VTP. Es recomendable en switchs que están conectados pero que no participan de las redes virtuales definidas en otros switchs o simplemente están sólos. La administración y configuración de VLAN se facilita en gran medida con este protocolo, pero sobre todo la agregación de Switches se hace más eficiente y se garantiza una congruencia en las configuraciones de VLAN´s. La configuración del protocolo VTP se realiza desde la base de datos de redes virtuales. Como hemos visto los switchs que deseamos que participen de este protocolo deben pertenecer al mismo dominio administrativo. Para indicar el dominio administrativo de un switch usamos el comando vtp domain nombre_dominio. Por otro lado debemos especificar si el switch será servidor, cliente o transparente para ello usamos el comando vtp {server | client | transparent} . Por ejemplo: Switch# vlan database Switch(vlan)# vtp domain uno Switch(vlan)# vtp server Existe una versión mejorada del protocolo vtp que podemos activarla mediante el comando vtp v2-mode. Si hacemos esto debemos hacerlo en todos los switchs que comparten dominio. Si deseamos ver la información actual del protocolo VTP podemos usar dos comandos de modo privilegiado que son show vtp status y el show vtp counters. Si lo deseamos podemos establecer una password para el protocolo VTP y todos los switches participantes en el mismo dominio administrativo tendrán definida la misma. Esto se hace con el comando vtp password clave. Para limpiar los contadores ofrecidos por show vtp counters podemos usar el comando privilegiado clear vtp counters. Recomendaciones finales • Los puertos definidos como troncales, deberán formar parte de una red virtual dedicada en exclusiva para ellos.
• Si en el switch hay puertos no usados se deberían deshabilitar y asignarlos a una red virtual. •
Evitar que la red virtual 1 tenga puertos de usuario.
ACTUALIZACIÓN DEL SOFTWARE DEL IOS DEL SWITCH. Lo primero que debemos hacer para realizar el proceso de actualización es obtener una nueva versión del software. Para ello cisco dispone de la dirección CISCO.COM donde hay disponible para los usuarios autorizados una lista de posibles ficheros de actualización. Los ficheros que podemos obtener pueden tener dos tipos de extensiones : •
.tar que indica un fichero compactado que contiene los ficheros HTML y la imagen del sistema operativo. Para extraerlos es necesario usar el comando tar .
• .bin que contiene sólo la imagen del sistema operativo IOS que podemos copiar al switch mediante TFTP.
Por ejemplo: c2950-c3hs-mz.120-5.3.WC.1.bin
este fichero sólo contiene la imagen del S.O.
c2950-c3hs-mz.120-5.3.WC.1.tar este fichero contiene la imagen del S.O. y de HTML. C2950-html-plus.120-5.3.WC.1.bin
este
fichero sólo contiene los ficheros HTML. El software hay que bajarlo a un PC que funcione como servidor TFTP y posteriormente mediante el CLI del switch hacer una transferencia TFTP. Tras bajar el nuevo software los pasos a seguir son los siguientes: 1. Acceder al modo privilegiado del switch. 2. Ver el contenido de la memoria flash donde se almacenan los ficheros del IOS, configuración inicial y redes virtuales, mediante el comando dir flash. 3. Si el espacio disponible para cargar la nueva versión es insuficiente debemos renombrar el fichero del IOS con el nuevo nombre del fichero bajado, en este proceso debemos utilizar exactamente los mismos caracteres mayúsculas y minúsculas del fichero bajado. Para ello utilizamos el comando privilegiado rename flash:nombre-actual flash:nombre-nuevo. Por ejemplo: Switch# rename 5.3.WC.1.bin
flash:c2950-c3h2-mz.120-5.2.WC.1.bin
flash:c2950-c3h2-mz.120-
4. Ver los parámetros de arranque del switch mediante el comando privilegiado show boot. Este comando muestra el fichero IOS y de configuración con el que arranca (campos BOOT path-list y Config file). 5. Si el parámetro BOOT path-list está relleno debemos cambiarlo para indicar el nuevo sistema operativo a utilizar, para ello utilizaremos el comando de configuración global boot system flash:nombre-actual. Por ejemplo: Switch(config)# boot system flash: c2950-c3h2-mz.120-5.3.WC.1.bin
Si no había indicado ningun fichero por defecto del IOS y en la flash sólo hay uno fichero de IOS no es necesario realizar éste paso ya que el sistema lo encuentra automáticamente cuando se reinicie. 6. Si el proceso de actualización incluye los ficheros de páginas HTML es necesario desactivar este servicio mediante el comando de configuración global no ip http server. Posteriormente deberemos borrar todos los ficheros de HTML de la memoria flash que se encuentran en la carpeta HTML, mediante el comando privilegiado delete flash:html/*. 7. Si nos hemos bajado desde internet el fichero .tar que almacena la combinación del los ficheros de imagen y de html debemos usar el comando de modo privilegiado tar /x tftp://ip-servidor-tftp//carpeta/nombre-fichero.tar flash: 8. Si nos hemos bajado desde internet por separado los ficheros de imagen del IOS y de HTML debemos hacer una transferencia tftp para el IOS mediante el comando privilegiado copy tftp://host//directorio/fichero flash: y el comando tar para el de ficheros HTML. 9. Finalmente volvemos a restaurar el servicio http mediante el comando ip http server de configuración global y reiniciamos el sistema con el comando privilegiado reload. 10. Para comprobar que la actualización ha tenido éxito ejecutamos el comando show versión del modo privilegiado.
RECUPERACIÓN DE LA CONTRASEÑA 1. Conectarse al switch desde la consola. 2. Desconectar el cable de corriente. 3. Pulsar el botón de modo situado a la izquierda del panel frontal mientras reconectamos el cable de corriente al switch. Para 2950 Series switches: soltar el botón de modo después que el LED STAT quede desactivado.
Catalyst 2950-24
Las siguientes instrucciones aparecerán:
The system has been interrupted prior to initializing the flash filesystem. The following commands will initialize the flash filesystem, and finish loading the operating system software: flash _init load_ helpe r boot switch: !--- This output is from a 3500XL switch. Output from a 2900XL, 2950 or 3550 will vary slightly. 4. Introducir el comando flash_init . switch: flash_init Initializing Flash... flashfs[0]: 143 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672 flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck took 86 seconds ....done Initializing Flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 switch: 5. Introducir el comando load_helper. switch: load_helper switch: 6. renombramos el fichero de configuración inicial config.text switch: rename flash:config.text flash:config.old witch: 7. Introducir el comando boot para arrancar nuevamente el sistema. switch: boot Loading "flash:c3500xl-c3h2s-mz.120WC7.bin"...############################### ### File "flash:c3500xl-c3h2s-mz.120-5.WC7.bin" uncompressed and installed, entry po int: 0x3000 executing... 8. Introducir "n" para no iniciar el programa Setup. --- System Configuration Dialog ---
At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Continue with configuration dialog? [yes/no]: n Press RETURN to get started. Switch> 9. Entrar en modo privilegiado Switch>en Switch# 10.Renombrar el fichero config.old a su nombre original. Switch#rename flash:config.old flash:config.text Destination filename [config.text] Switch# 11.Copiar la configuración a la memoria Switch#copy flash:config.text system:running-config Destination filename [running-config]? !--- Pulsar Intro 1131 bytes copied in 0.760 secs Switch# 12.Cambiar la password: Switch#configure terminal Switch(config)#no enable secret !--- This step is necessary if the switch had an enable secret password. Switch(config)#enable password Cisco Switch#(config)#^Z 13.Escribir la configuración actual en el fichero de configuración config.text mediante el comando write memory: Switch#write memory Building configuration... [OK]
View more...
Comments