Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Switch PDF
Switch PDF
El resto de bits del registro de configuracin llevan a cabo funciones que incluyen la
seleccin de velocidad en baudios de la consola, y si se ha de usar la configuracin de la
NVRAM.
Es posible cambiar el registro de configuracin mediante el comando de configuracin global
config-register, como por ejemplo config-register 0x2102. Este comando establece los 16
bits del registro de configuracin, por lo que tendremos que tener cuidado para mantener los
bits restantes. Para conocer en cualquier momento el valor del registro de configuracin,
utilizaremos el comando show version.
Cuando el dispositivo conectado permite autonegocicin la velocidad y modo duplex que se
establece es la mxima soportada
por ambos equipos. Sin embargo si el equipo conectado no soporta autonegociacin estos
parmetros deben ser especificados por el administrador.
Cuando se conectan servidores, estaciones de trabajo y routers se utiliza cable de
conexin directa. Cuando se conectan switches o hubs se utiliza cable de conexin cruzada.
Los puertos disponen de indicadores luminosos que indican la actividad del mismo, puede
tomar los siguientes valores:
STAT es el modo por defecto y indica estado del puerto visto anteriormente.
UTIL indica la utilizacin del ancho de banda de los puertos.
DUPLX indica el modo duplex en el que se trabaja.
SPEED Indica la velocidad del puerto.
Cuando se cambia el modo del puerto el significado de los colores cambian. Por ejemplo:
STAT colores:
o ApagadoNo hay conexin.
o Verde Hay conexin.
o Verde Intermitente Se estn transmitiendo o recibiendo datos.
o Verde-Ambar Problemas en la conexin que pueden ser debidos a
una cantidad excesiva de
colisiones o de paquetes defectuosos.
o Ambar El puerto est bloqueado porque hay una violacin de acceso o
porque lo ha bloqueado el protocolo (STP).
Cuando un puerto es reconfigurado, la luz es ambar durante unos 30 segundos
por la accin del STP.
DUPLX colores:
o Apagado El puerto opera en Half Duplex.
o Verde El puerto opera en Full Duplex.
SPEED colores:
o Apagado El puerto opera a 10 Mbps.
o Verde El puerto opera a 100 Mbps.
PUERTO DE CONSOLA
Si queremos conectar un PC al puerto de consola debemos usar un cable rollover y
adapatadores RJ-45/DB-9.
El PC debe soportar el emulador de terminal VT100. El programa de emulacin utilizado
suele ser HyperTerminal o Procomm Plus. Es necesario configurar el ancho de banda y el
formato de los caracteres que se van a enviar en la comunicacin del PC con el puerto de
la consola y los valores adecuados son:
Velocidad 9600
Bits de datos
Bits de parada
Paridad Ninguna.
Control de flujo Hardware.
Terminal virtual. Se puede conectar con el switch va Telnet por medio de una
terminal virtual.
Servidor TFTP. Se puede cargar una configuracin de switch desde un servidor TFTP
incluido en la red. Para ello utilizaremos el comando de modo de activacin config net.
Modo Usuario.
Modo Privilegiado.
Modo Base datos VLAN.
Modo de Configuracin Global.
Modo de Configuracin de Interface.
Modo de Configuracin de Lnea.
MODO USUARIO
Proporciona un acceso limitado al switch, mediante el cual se puede examinar la configuracin
del switch, sin permitir cambiar
su configuracin. Es el modo que se activa por defecto al volver a arrancar el switch,
aprecindose al aparecer como indicador
el nombre del switch seguido del
signo > (mayor que). Switch >
Los comandos utilizados son un subconjunto de los utilizados en modo privilegiado, no
obstante siempre depender de la versin del SO utilizado. Para salir se utiliza el comando
logout.
MODO PRIVILEGIADO
Los comandos utilizados en este modo pueden variar el comportamiento del Switch por lo que
suele ser habitual que su acceso
sea restringido por lo que es posible que exista una clave de acceso que es pedida cuando
intentamos entrar en este modo de
trabajo.Para entrar en este nivel se debe ejecutar el comando enable. el indicador que
aparece viene con el nombre del switch seguido del carcter # (almohadilla).
Switch #
Una vez finalizado el trabajo en el modo privilegiado, debe volver al modo usuario para no
dejar la configuracin del router al descubierto, para lo cual ejecutaremos el comando disable.
MODO VLAN
Este modo sirve para modificar los parmetros de las redes Virtuales definidas en el Switch.
Esta informacin es almacenada
en un fichero que sirve como base de datos de las redes virutales definidas. La forma de
acceder es desde el modo Privilegiado con el comando vlan database. El indicador que
aparece es Nom_Switch(vlan)#
Para salir y entrar en modo privilegiado se puede usar dos comandos:
abort que se utiliza para salir sin hacer efectivos los cambios realizados en la base de
datos.
exit utilizado para salir manteniendo los cambios realizados.
pulsar ctrl.-Z
MODO
CONFIGURACION DE INTERFACE
Sus comandos
una interface del
configuracin
Global mediante el
nmero de
que aparece
Esta informacin puede ser comparada con la que est activa actualmente en memoria que
podemos obtener con el comando de modo privilegiado show running-config (show run).
Los niveles de seguridad pueden ser de distinto tipo desde no activar la seguridad de
acceso, hasta establecer una clave de acceso general o establecer claves de acceso
personalizadas. Los comandos que permiten estos niveles son (no login, login, login
local ).
Para los accesos mediante Telnet es posible limitar los equipos que estn autorizados a
realizarlos.
modo privilegiado mximo. En principio slo estn configurados estos dos niveles y la forma
de utilizarlos es username usuario privilege nivel password xxxxxxx
Es posible establecer otros niveles de acceso indicando los comandos que podrn ser
ejecutados, para ello se utiliza el comando de configuracin global privilege mode level
nivel comando. Si deseamos ver los niveles definidos en el sistema utilizaremos el
comando show privilege.
Si el sistema lo permite es posible limitar los ordenadores que pueden hacer uso del acceso
telnet para ello es necesario definir las denominadas listas de acceso mediante el comando
global access-list nmerolista permit dir_ip_red mscara esta lista indica que los
ordenadores pertenecientes a la red indicada en dir_ip_red tienen permiso, aunque todava no
se ha indicado de qu. La mscara utilizada en este comando se escribe de manera inversa a
la mscara de subred ya que se ponen a cero los bits de red y a uno los bits de host. Por
ejemplo si la red es 192.85.55.0 la mscara es 0.0.0.255.
Una vez definida la lista de acceso en el modo de configuracin de terminal virtual
utilizaremos el comando access-class nmerolista in. Por ejemplo:
Switch# config T
Switch(config)# access-list 12 permit 192.85.55.0 0.0.0.255
Switch(config)# line vty 0 15
Switch(config-line)# access-class 12 in
Switch(config-line)# exit
El uso de estas listas de acceso no es incompatible con lo visto hasta el momento por lo que
es posible establecer cualquiera de las medidas de acceso vistas anteriormente, junto a estas
listas.
Por otro lado es posible limitar el tiempo en el que permanecer una conexin de
terminal virtual operativa sin ninguna actividad, mediante el comando de configuracin global
exec-timeout minutos segundos por defecto el tiempo establecido es
de 10 minutos.
CONFIGURAR PARMETROS GENERALES DEL SWITCH
Antes de proseguir con los comandos de configuracin del switch sera conveniente conocer
las caractersticas del hardware ydel sistema operativo (firmware) existentes en el switch, para
ello podemos ejecutar el comando privilegiado show version que proporciona esa
informacin, entre las que destacamos la versin del sistema operativo, el tiempo de
encendido del switch, el nombre del fichero donde est guardado el sistema opertivo
actualmente en uso en el switch, el tipo de procesador y memoria instalada, nmero y tipo de
puertos instalados, as como la direccin mac del switch...
Una de las primeras cosas que debemos configurar en un switch es la asignacin de un
nombre lgico para l, para ello utilizamos el comando de configuracin global hostname
nombre_switch. As mismo se suele establecer un mensaje de entrada que ser visible
cuando conectemos con el switch para ello utilizaremos el comando de configuracin global
banner motd carcter mensaje carcter. Donde carcter es un delimitador que marca el inicio
y el fin del mensaje de salida y debe ser el mismo, as mismo el mensaje puede estar formado
por varias lneas. Ejemplo :
Switch(config)# hostname ALBA
Switch(config)# banner motd # Hola ha contactado con el Switch principal del CUM #
Otra de las caractersticas generales que se suelen instalar al comienzo es el reloj del sistema
para ello se utiliza el comando de modo privilegiado clock set hora:minutos:seg dia mes ao.
Por ejemplo:
Algunas de las entradas de la tabla de direcciones MAC del switch pueden ser variadas,
as si deseamos variar el tiempo de caducidad de las nuevas entradas de la tabla podemos
usar el comando de configuracin global mac-address-table aging-time tiempo_segundos.
Por otro lado si deseamos restablecer el tiempo por defecto (300 seg) de las entradas
usaremos la variante no del comando.
Si deseamos aadir direcciones seguras a la tabla lo podemos hacer con el comando de
configuracin global mac-address- table secure dir-mac interface-entrada. Por ejemplo:
Switch# config t
Switch(config)# mac-address-table secure 1212.15aa.bacd fa0/1
Las direcciones seguras limitarn los dispositivos conectados al switch. No obstante si
deseamos eliminar alguna direccin segura en particular podemos usar la verso no del
comando anterior. Por ejemplo:
Switch# config t
Switch(config)# no mac-address-table secure 1212.15aa.bacd
Lo mismo que borramos direcciones seguras podemos borrar direcciones dinmicas
particulares simplemente cambiando la palabra secure del comando anterior por dinamic:
Switch# config t
Switch(config)# no mac-address-table dynamic 1212.15aa.bacd
Si deseamos eliminar todas las entradas dinmicas aprendidas por el switch utilizaremos el
comando privilegiado clear mac- address-table dynamic. Lo mismo si se trata de
direcciones estticas o direcciones seguras, cambiando slo la palabra dynamic por
static o secure respectivamente.
CONFIGURACIN DE PUERTOS O INTERFACES DEL SWITCH
Una de las tareas ms importantes en la configuracin de un switch es la configuracin de sus
interfaces, esta configuracin se realiza para cada una de las interfaces, la forma de acceder a
las mismas es mediante el comando global interface tipo nmero.
El tipo de la interface hace referencia a si es ethernet (e), fastethernet (fa) o Giga (Gi) . Por
ejemplo:
Switch# config t
Switch(config)# interface fa 0/1
Antes de proceder a la configuracin de las interfaces sera necesario ver su configuracin
actual para ello podemos utilizar el comando de modo privilegiado show interface que
muestra el estado actual de todas las interfaces del switch. Una forma de comprobar una
interfaz es utilizar el comando show interfaces. Los problemas relacionados con Ethernet
pueden derivarse de un exceso de colisiones en red, debidos habitualmente a roturas en el
cable, cables que superan la longitud mxima permitida, a un excesivo trfico de difusin, o
al funcionamiento defectuoso de alguna tarjeta de red. Entre la informacin que suministra
podemos encontrar:
Ethernet 0 is up, Line Protocol is Up. Esto indica que la interfaz est activada y
que los protocolos Ethernet creen que se puede utilizar la lnea, respectivamente. Si
la interfaz est desactivada, compruebe la conexin LAN con la interfaz. Puede
utilizar el comando shut (para desactivar la interfaz), y despus el comando no
shut para volver a activarla.
Load. Este parmetro mide la carga actual que soporta la interfaz, representando un
valor de 255/255 una interfaz totalmente saturada.
CRC. Este parmetro muestra el nmero de pruebas de redundancia cclica que han
fallado en los paquetes entrantes. Normalmente indica si la lnea est soportando
muchas interferencias.
Last input. Nmero de horas, minutos y segundos desde que fue recibido con
xito el ltimo paquete por una interfaz. Es til para saber cuando ha fallado una
interfaz.
Output. Nmero de horas, minutos y segundos desde que fue transmitido con
xito el ltimo paquete por una interfaz. Es til para conocer cundo ha fallado una
interfaz.
5 minute input rate, 5 minute output rate. Velocidades de entrada y salida de los
ltimos 5 minutos. Permiten obtener una media aproximada del trfico por segundo en
un momento concreto.
Output queue, Input queue Nmero de paquetes en las colas de entrada y de salida.
El nmero seguido del slash indica tamao mximo de la cola.
Packets input. Nmero total de paquetes recibidos sin error por el sistema.
Bytes input. Nmero total de bytes, incluido encapsulado MAC y datos, en paquetes
recibidos sin errores.
No buffer. Nmero de paquetes recibidos que han sido descartados por no haber
espacio suficiente en el bfer para la interfaz.
Giants. Nmero de paquetes que han sido descartados por sobrepasar el tamao
mximo de paquete, por ejemplo cualquier paquete Ethernet mayor de 1518 bytes.
La informacin suministrada por este comando puede ser resumida, de tal forma que slo
muestre parte de la informacin. Por ejemplo:
Show interface inteface-id: Muestra la informacin anterior pero slo de la interface
indicada.
Show interface vlan nmero: Muestra la informacin anterior pero slo de la vlan
indicada.
Show interface status: Muestra un resumen del estado actual de los puertos del switch.
Recomendado.
Entre los parmetros que podemos configurar dentro de una interface tenemos la posibilidad
de activarla o desactivarla. Para ello utilizaremos el comando de interface shutdown, este
comado deja bloqueada la interface. Si queremos activar la interface utilizarermos su variante
no.
Tambin podemos establecer la velocidad y el modo duplex en el que trabajar para
ello utilizaremos los comandos de interface speed y duplex respecivamente. En el primero
los valores que podemos introducir son ( auto, 10, 100, 1000 ) y para el segundo ( auto, full,
half ). Donde auto significa que el puerto negociar la velocidad con el dispositivo que tenga
conectado.
Switch(config-int)# speed 10
Switch(config-int)# duplex auto
Otra de las cosas que debemos establecer es si la interface o puerto es troncal o no. Es decir
si va a permitir trfico de distintas redes virtuales o no. Para ello utilizaremos los siguientes
comandos de configuracin de interface.
Para indicar que slo pase informacin de la red virtual a la que pertenece el puerto
usamos el comando de interface switchport mode access. Este comando suele ir
acompaado de otro que indica la red virtual a la que pertenecer el puerto que por
defecto es la VLAN 1 la sintaxis es switchport access vlan nmero. Por ejemplo:
Switch(config)# interface fa 0/1
Switch(config-int)# switchport access vlan 2
Switch(config-int)# switchport mode access
Si lo que deseamos es que el puerto sea troncal el comando a utilizar es switchport
mode trunk, este comando debe ir acompaado de otro que indique el formato de
encapsulamiento que van a seguir los paquetes de datos que pasen por l, el comando es
switchport trunk encapsulation tipo , el tipo puede ser dot1q o isl, aunque en algunos
sistemas es posible poner como tipo negotiate, con lo cual el encapsulamiento ir en
funcin del encapsulamiento utilizado por el otro dispositivo conectado. Por ejemplo:
Switch(config)#interface fa 0/1
Switch(config-int)# switchport mode trunk
Switch(config-int)# switchport trunk encapsulation dot1q
Como los puertos definidos como troncales permiten el paso de cualquier paquete
procedente de cualquier red virtual sera posible impedir el paso de paquetes de una
determinada red virtual. Para ello podemos utilizar el comando de interface switchport
trunk allowed vlan remove nmero. Donde el nmero indica la red virtual a la que vedamos
el paso. Por ejemplo:
Switch(config-int)# switchport trunk allowed vlan remove 2
Impide que los paquetes procedentes de dispositivos de la red virtual vlan 2
puedan utilizar este puerto troncal. La sintaxis completa es :
Switchport trunk allowed vlan { add | all | except | remove } n_de_redes
Si deseamos que un puerto deje de ser troncal y vuelva a ser de acceso normal
utilizamos la versin no del comando switchport mode trunk. Por ejemplo:
Switch(config-int)# no switchport mode trunk
En el caso que deseemos que slo ciertos equipos puedan pasar paquetes por un
determinado puerto podemos establecer el puerto como seguro, para poder hacerlo debemos
por un lado el nmero de puertos seguros que va a tener como mximo y que
es lo que suceder si un dispositivo no autorizado pretende enviar informacin por l
existiendo dos posibilidades (bloquear el interface o enviar un mensaje de aviso a la consola).
Para establecer el puerto como seguro usaremos el comando de interface port security
action tipo-accin, donde accin puede ser shutdown para bloquearlo o trap para enviar un
mensaje de aviso. Por ejemplo:
Switch(config)# interface fa 0/1
Switch(config-int)# port security action shutdown
En este ejemplo indicamos que el puerto 1 tiene activada la seguridad y que si se producen
acceso no autorizados se bloquee. Este permanecer bloqueado hasta que el administrador lo
desbloquee mediante el comando no shutdown.
Para establecer el nmero mximo de direcciones seguras permitidas por el puerto podemos
usar el comando de interface port security max-mac-coutn nmero, donde nmero indica el
mximo.
Switch(config)# interface fa 0/1
Switch(config-int)# port security max-mac-count 5
En este ejemplo indicamos el nmero mximo de direcciones seguras es de 5.
Toda la informacin de configuracin de seguridad de un puerto la podemos ver con
el comando privilegiado show port security , que nos muestra todos los puertos seguros
que hemos definido y si est seguido de un nmero de interface o de red virtual se limita a
esa interface indicada.
Por ejemplo:
Switch# show port security fa 0/1
Las direcciones seguras a las que se hace referencia son las introducidas por el
administrador con el comando mac-address- table secure visto anteriormente. No
obstante si el puerto est activado las direcciones que aprenda automticamente sern
consideradas como seguras hasta llegar al lmite establecido. Por lo que es
el comando show changes que nos muestra la diferencia entre el contenido inicial de la
base de datos original y la propuesta. Si lo que deseamos es ver la base de datos
propuesta podemos usar el comando show proposed y si lo que deseamos es ver la
configuracin actual podemos usar show current.
Es posible eliminar redes locales para ello usaremos la versin no del comando vlan visto
anteriormente. Los puertos que estuvieran asignados a la red borrada sern reasignados de
forma automtica a la red virtual 1.
La asignacin de puertos a las redes virtuales se hace desde la propia interface del
puerto como vimos anteriormente. Para interrumpir el trfico local de una red virtual
podemos usar el comando global shutdown vlan n_de_red.
Si en la definicin de redes locales se van a ver involucrados varios switches o algn router
o algunos servidores de archivos o bases de datos, la conexin entre ellos se realizar
mediante puertos troncales los cuales se definen en la interface del puerto como se vi. No
obstante es recomendable activar el protocolo VTP que se ver seguidamente. Son enlaces
(puertos) de 100 a 1000 Mbps que conectan punto a puntos dos switches, un switch con
un router o con un servidor. Transportan el trfico de hasta 1005 VLANs. Al habilitar un
puerto troncal, por defecto transporta todas las VLANs configuradas en el switch. Para
diferenciar la informacin entre las Vlans se encapsula normalmente con uno de los
siguientes protocolos:
ISL (Inter.-Switch Link) Propietario de Cisco. Slo funciona sobre enlaces Fast
Ethernet o Gigabit Ethernet. Funciona tanto en interfaces de switches como de
routers y servidores.
IEEE 802.1q Estndart. Inserta un campo dentro del frame para identificar la VLAN.
Por otro lado para cada una de las redes virtuales definidas sera necesario tener activado
el protocolo Spanning-tree, que lo activa por defecto. Para asegurarnos podemos usar el
comando de usuario show Spanning-tree que nos muestra toda la informacin relativa
a este protocolo, aunque podemos limitarla a una red virtual aadiendo vlan n_de_red.
Si estuviera deshabilitado para habilitarlo usaramos el comando de configuracin global
Spanning-tree vlan n_de_red. Y si por el contrario deseramos deshabilitarlo usaramos la
versin no del mismo.
Si deseamos que el switch actual sea designado como raz por el protocolo Spanning-tree
para una determinada red virtual podemos usar el comando de configuracin global
Spanning-tree vlan n_de_red root.
VLAN Trunk Protocol (VTP)
Protocolo propietario de Cisco. Utilizado en redes divididas en Vlans formadas por varios
switches conectados. VTP maneja la adicin, eliminacin y reubicacin de VLANs en el
sistema sin tener que realizarlo manualmente en cada Switch. La informacin VTP circula
por los enlaces (puertos) troncales a travs de mensajes multicast peridicos dndola a
conocer a los otros switches que conforman el dominio.
Este mensaje contiene el dispositivo que administra el dominio, las VLANs que el
dispositivo conoce y los parmetros para cada VLAN conocida. Al escuchar estos avisos,
todos los dispositivos que estn en el mismo dominio de administracin aprenden
alguna nueva VLAN que se haya configurado. Usando este mtodo una VLAN slo
es necesario crearla o configurarla una sola vez en el dominio de administracin y la
informacin automticamente es aprendida por todos los dems dispositivos que conforman
el dominio. Por ejemplo cuando un nuevo switch es agregado a la red, ste recibe
.tar que indica un fichero compactado que contiene los ficheros HTML y la imagen
del sistema operativo. Para extraerlos es necesario usar el comando tar .
.bin que contiene slo la imagen del sistema operativo IOS que podemos copiar al
switch mediante TFTP.
Por ejemplo:
c2950-c3hs-mz.120-5.3.WC.1.bin
este
flash:c2950-c3h2-mz.120-5.2.WC.1.bin
flash:c2950-c3h2-mz.120-
4. Ver los parmetros de arranque del switch mediante el comando privilegiado show
boot. Este comando muestra el fichero IOS y de configuracin con el que arranca
(campos BOOT path-list y Config file).
5. Si el parmetro BOOT path-list est relleno debemos cambiarlo para indicar el
nuevo sistema operativo a utilizar, para ello utilizaremos el comando de configuracin
global boot system flash:nombre-actual. Por ejemplo:
Switch(config)# boot system flash: c2950-c3h2-mz.120-5.3.WC.1.bin
Si no haba indicado ningun fichero por defecto del IOS y en la flash slo hay uno
fichero de IOS no es necesario realizar ste paso ya que el sistema lo encuentra
automticamente cuando se reinicie.
6. Si el proceso de actualizacin incluye los ficheros de pginas HTML es necesario
desactivar este servicio mediante el comando de configuracin global no ip http
server. Posteriormente deberemos borrar todos los ficheros de HTML de
la memoria flash que se encuentran en la carpeta HTML, mediante el comando
privilegiado delete flash:html/*.
7. Si nos hemos bajado desde internet el fichero .tar que almacena la combinacin del los
ficheros de imagen y de html debemos usar el comando de modo privilegiado tar /x
tftp://ip-servidor-tftp//carpeta/nombre-fichero.tar flash:
8. Si nos hemos bajado desde internet por separado los ficheros de imagen del IOS
y de HTML debemos hacer una transferencia tftp para el IOS mediante el
comando privilegiado copy tftp://host//directorio/fichero flash: y el comando tar
para el de ficheros HTML.
9. Finalmente volvemos a restaurar el servicio http mediante el comando ip http
server de configuracin global y reiniciamos el sistema con el comando privilegiado
reload.
10. Para comprobar que la actualizacin ha tenido xito ejecutamos el comando show
versin del modo privilegiado.
RECUPERACIN DE LA CONTRASEA
1. Conectarse al switch desde la consola.
2. Desconectar el cable de corriente.
3. Pulsar el botn de modo situado a la izquierda del panel frontal mientras reconectamos
el cable de corriente al switch.
Para 2950 Series switches: soltar el botn de modo despus que el LED STAT
quede desactivado.
Catalyst 2950-24