SWITCH CISCO CATALYST 2950

ESTRUCTURA DE UN SWITCH CISCO

Los switch tienen que ser capaces de ejecutar comandos por lo que integran un
microprocesador. Por ejemplo, un procesador
Motorola a 20MHz.
Adems, los switchs necesitan de capacidad de almacenamiento, por lo que disponen de
distintos tipos de memorias:

ROM. Contiene el Autotest de Encendido (POST) y el programa de carga del switch.

Los chips de la ROM tambin contienen parte o todo el sistema operativo (IOS) del
switch.

NVRAM. Almacena el archivo de configuracin de arranque para el switch y mantiene

la informacin incluso si se interrumpe la corriente en el switch. El fichero de
configuracin es config.text

Flash RAM. Es un tipo especial de ROM que puede borrarse y reprogramarse,

utilizada para almacenar el IOS que ejecuta el switch. Algunos switchs ejecutan la
imagen IOS directamente desde la Flash sin cargarlo en la RAM. Habitualmente, el
fichero del IOS almacenado en la memoria Flash, se almacena en formato
comprimido.

RAM. Proporciona el almacenamiento temporal de la informacin (los paquetes se

guardan en la RAM mientras el switch examina su informacin de direccionamiento),
adems de mantener otro tipo de informacin, como las tablas
de direcciones que se est utilizando en ese momento.

Registro de Configuracin. Se utiliza para controlar la forma en que arranca el

switch. Es un registro de 16 bits, donde los cuatro bits inferiores forman el campo de
arranque, el cual puede tomar los siguientes valores:
o 0x0. Para entrar en el modo de monitor ROM automticamente en el siguiente
arranque. En este modo el switch muestra los smbolos > o rommon>. Para
arrancar manualmente puede usar la b o el comando reset.
o 0x1. Para configurar el sistema de modo que arranque automticamente
desde la ROM. En este modo el switch muestra el smbolo Switch(boot)>.
o 0x2 a 0xF. Configura el sistema de modo que utilice el comando boot
system de la NVRAM. Este es el modo predeterminado (0x2).

El resto de bits del registro de configuracin llevan a cabo funciones que incluyen la
seleccin de velocidad en baudios de la consola, y si se ha de usar la configuracin de la
NVRAM.
Es posible cambiar el registro de configuracin mediante el comando de configuracin global
config-register, como por ejemplo config-register 0x2102. Este comando establece los 16
bits del registro de configuracin, por lo que tendremos que tener cuidado para mantener los
bits restantes. Para conocer en cualquier momento el valor del registro de configuracin,
utilizaremos el comando show version.
Cuando el dispositivo conectado permite autonegocicin la velocidad y modo duplex que se
establece es la mxima soportada
por ambos equipos. Sin embargo si el equipo conectado no soporta autonegociacin estos
parmetros deben ser especificados por el administrador.
Cuando se conectan servidores, estaciones de trabajo y routers se utiliza cable de
conexin directa. Cuando se conectan switches o hubs se utiliza cable de conexin cruzada.
Los puertos disponen de indicadores luminosos que indican la actividad del mismo, puede
tomar los siguientes valores:

Verde : Se ha establecido conexin entre el switch y la otra mquina.

Ambar: El protocolo Spanning Tree (STP) est trabajando buscando bucles, este
proceso puede durar 30 sg y posteriormente se torna verde.
Apagado: No est encendida la mquina conectada, o hay problemas con el cable
o con el adaptador de la otra mquina.

INDICADORES LUMINOSOS DEL SWITCH.

Son utilizados para monitorizar la actividad y funcionamiento del switch. Existe un botn de
Modo que se usa para determinar
la actividad que deseamos monitorizar cambiando la informacin mostrada por los
indicadores.
El indicador de System indica si el switch est recibiendo corriente y si funciona
correctamente:
Apagado: El sistema no recibe corriente.
Verde: El sistema funciona correctamente.
Ambar: El sistema recibe corriente pero su funcionamiento es defectuoso.
Indicadores de Puertos proporcionan informacin sobre los puertos individuales del
switch y la informacin mostrada depender de la opcin elegida con el botn de Modo:

STAT es el modo por defecto y indica estado del puerto visto anteriormente.
UTIL indica la utilizacin del ancho de banda de los puertos.
DUPLX indica el modo duplex en el que se trabaja.
SPEED Indica la velocidad del puerto.

Cuando se cambia el modo del puerto el significado de los colores cambian. Por ejemplo:

STAT colores:
o ApagadoNo hay conexin.
o Verde Hay conexin.
o Verde Intermitente Se estn transmitiendo o recibiendo datos.
o Verde-Ambar Problemas en la conexin que pueden ser debidos a
una cantidad excesiva de
colisiones o de paquetes defectuosos.
o Ambar El puerto est bloqueado porque hay una violacin de acceso o
porque lo ha bloqueado el protocolo (STP).
Cuando un puerto es reconfigurado, la luz es ambar durante unos 30 segundos
por la accin del STP.

DUPLX colores:
o Apagado El puerto opera en Half Duplex.
o Verde El puerto opera en Full Duplex.

SPEED colores:
o Apagado El puerto opera a 10 Mbps.
o Verde El puerto opera a 100 Mbps.

PUERTO DE CONSOLA
Si queremos conectar un PC al puerto de consola debemos usar un cable rollover y
adapatadores RJ-45/DB-9.
El PC debe soportar el emulador de terminal VT100. El programa de emulacin utilizado
suele ser HyperTerminal o Procomm Plus. Es necesario configurar el ancho de banda y el
formato de los caracteres que se van a enviar en la comunicacin del PC con el puerto de
la consola y los valores adecuados son:

Velocidad 9600

Bits de datos
Bits de parada

Paridad Ninguna.
Control de flujo Hardware.

ARRANQUE DEL SWITCH

Cuando se enciende un switch, los chips de la memoria ROM ejecutan un Auto-Test de
Encendido (Power On Self Test o
POST) que comprueba el hardware del switch como el procesador, las interfaces y la
memoria. A continuacin se procede a ejecutar el programa de carga (bootstrap), que
tambin se encuentra almacenado en la ROM, y se encarga de buscar el IOS del switch, el
cual se puede encontrar en la memoria ROM, la memoria Flash (habitualmente), o en un
servidor TFTP. Una vez cargado el IOS del switch, este pasa a buscar el archivo de
configuracin, que normalmente se encuentra en la memoria NVRAM, aunque tambin
puede obtenerse de un servidor TFTP.
CONFIGURACIN DEL SWITCH
Los Switches Catalyst 2950 utilizan el sistema operativo Cisco IOS versin 12.0(5)WC(1).
Los switches estn preconfigurados y comienzan enviando paquetes tan pronto como
estn conectados a una mquina compatible. Por defecto todos los puertos pertenecen a
una misma VLAN que es la VLAN-1 que es considerada la red virtual
por defecto.
Existen distintas formas de llevar a cabo la configuracin del switch, pero para establecer la
configuracin bsica de un switch desconfigurado, se aconseja utilizar el puerto de la consola.

Consola del switch. El switch puede configurarse directamente desde un PC

conectado al puerto de la consola del switch por medio del cable enrollado que
incorporta el switch. Antes de iniciar el switch, verificamos la alimentacin,
el cableado y la conexin de la consola, de forma que al arrancar el switch, si se
produjese algn error aparecera en la consola.

Terminal virtual. Se puede conectar con el switch va Telnet por medio de una
terminal virtual.

Servidor TFTP. Se puede cargar una configuracin de switch desde un servidor TFTP
incluido en la red. Para ello utilizaremos el comando de modo de activacin config net.

INTERFACE DE LINEA DE COMANDOS (CLI)

Cuando configuramos un Switch usando el software Cisco IOS es necesario saber que
existen diferentes modos de trabajo y
que en funcin del modo en el que nos encontremos podremos hacer unas tareas u otras.
Los modos son:

Modo Usuario.
Modo Privilegiado.
Modo Base datos VLAN.
Modo de Configuracin Global.
Modo de Configuracin de Interface.
Modo de Configuracin de Lnea.

MODO USUARIO
Proporciona un acceso limitado al switch, mediante el cual se puede examinar la configuracin
del switch, sin permitir cambiar
su configuracin. Es el modo que se activa por defecto al volver a arrancar el switch,
aprecindose al aparecer como indicador
el nombre del switch seguido del
signo > (mayor que). Switch >
Los comandos utilizados son un subconjunto de los utilizados en modo privilegiado, no
obstante siempre depender de la versin del SO utilizado. Para salir se utiliza el comando
logout.
MODO PRIVILEGIADO
Los comandos utilizados en este modo pueden variar el comportamiento del Switch por lo que
suele ser habitual que su acceso
sea restringido por lo que es posible que exista una clave de acceso que es pedida cuando
intentamos entrar en este modo de
trabajo.Para entrar en este nivel se debe ejecutar el comando enable. el indicador que
aparece viene con el nombre del switch seguido del carcter # (almohadilla).
Switch #

Una vez finalizado el trabajo en el modo privilegiado, debe volver al modo usuario para no
dejar la configuracin del router al descubierto, para lo cual ejecutaremos el comando disable.
MODO VLAN
Este modo sirve para modificar los parmetros de las redes Virtuales definidas en el Switch.
Esta informacin es almacenada
en un fichero que sirve como base de datos de las redes virutales definidas. La forma de
acceder es desde el modo Privilegiado con el comando vlan database. El indicador que
aparece es Nom_Switch(vlan)#
Para salir y entrar en modo privilegiado se puede usar dos comandos:
abort que se utiliza para salir sin hacer efectivos los cambios realizados en la base de
datos.
exit utilizado para salir manteniendo los cambios realizados.

MODO CONFIGURACIN GLOBAL

Sus comandos se aplican sobre caractersticas generales de la mquina, permitiendo establer
todos los parmetros relacionados
con el hardware y el software del switch (interfaces, contraseas, etc).. Se accede desde
el modo privilegiado mediante el comando configure terminal o de manera abreviada config
t. El indicador que aparece es Switch(config)#

Para salir de este

privilegiado podemos usar exit, end o

pulsar ctrl.-Z

MODO

CONFIGURACION DE INTERFACE

Sus comandos
una interface del
configuracin
Global mediante el
nmero de
que aparece

modo y volver al modo

afectan al modo de funcionamiento de

switch. Se accede desde el modo de
comando interface o int seguido del tipo y
interface (interface fa0/0). El indicador

Para salir y volver al modo de configuracin global:

Switch(config-if)# exit
Para salir y volver al modo privilegiado
Switch(config-if)# end
Para salir y configurar otra interface
Switch(config-if)# int tipo_nmero de interface.
MODO CONFIGURACION DE LINEA
Sus comandos se aplican a las conexiones en lnea que se efecten con el Switch para su
configuracin. Para acceder a este modo se realiza desde configuracin global y va a
depender de que tipo de conexin queremos controlar. Para las conexiones desde consola:
Switch(config)# line con 0 (slo
hay
una
conexin desde consola) Switch(config-line)#
Para las conexiones telnet
Switch(config)# line vty 0 15 (Puede haber un mximo de 16 conexiones telnet)
Switch(cofig-line)#
Para salir al modo de configuracin global usamos exit y para salir al modo privilegiado
usamos end.
Tras finalizar la configuracin del switch y para establecer la nueva configuracin como
configuracin de arranque, se debe ejecutar el comando copy running-config startup-config
(write memory o write en versiones anteriores). Si esto no se realiza la nueva configuracin
tendr efecto slo hasta que se vuelva a reiniciar el switch. (running-config hace referencia
a la configuracin del switch actual que permanece en memoria RAM, startup-config hace
referencia a la configuracin del switch grabada en la memoria NVRAM y es con la que
arranc el switch y ser con la que vuelva a arrancar si no ejecutamos el comando anterior).
Tambin es vlido lo contrario, es decir, si por algn motivo deseamos volver a cargar la
configuracin de inicio como configuracin actual, ejecutaremos copy startup-config
running-config, teniendo siempre en cuenta que la configuracin de inicio es la
almacenada en la memoria NVRAM, y la configuracin de ejecucin es la actualmente

almacenada en la memoria RAM.

COPIAR LA CONFIGURACIN DEL SWITCH EN UN PC
Cuando realizamos cambios en la configuracin de un switch, stos formarn parte de
la running-configuration. Cuando introducimos el comando para salvar esos cambios al la
startup-configuration, el switch copia la configuracin en la memoria Flash en un fichero
llamado config.text. Para asegurarnos que podemos restaurar la configuracin anterior si
el switch falla con la nueva, debemos hacer una copia del fichero config.text desde el switch
hacia un PC.
Para realizarlo necesitamos configurar al PC como un servidor TFTP (Protocolo de
transferencia de archivos trivial) para guardar una copia del archivo de configuracin,
siendo posible guardar hasta una copia del IOS del switch. TFTP es ms sencillo de
utilizar que FTP ya que no necesita que el usuario tenga una contrasea o que se mueva
por los directorios del PC. TFTP utiliza al igual que FTP tramas UDP en lugar de TCP.
Tras configurar el PC como servidor TFTP y ponerlo operativo, debemos comprobar si
podemos acceder a l desde el switch, para ello entramos en modo privilegiado en el
switch y ejecutamos el comando ping dir_ip_PC, este comando utiliza el Protocolo de
Mensajes de Control de Internet (ICMP) que tiene la capacidad de diagnosticar la
conectividad de red bsica (fallas de la capa 1 a 3 del modelo OSI), enviando un paquete
ICMP al host especificado y luego esperando un paquete de respuesta. El nmero de
paquetes enviados por el switch es de 5 con un tamao de 100 bytes cada uno, por cada
uno de ellos puede mostrar el smbolo ! si tuvo xito y . si falla.
Posteriormente copia el fichero de la memoria Flash, ( para comprobar el contenido de la
memora Flash se utiliza el comando privilegiado dir flash: ), al directorio raz del
servidor TFTP mediante el comando copy flash:config.text tftp , algunos sistemas
permiten el comando copy startup-config tftp (copy star tftp).
Seguidamente se solicita la direccin IP del PC remoto y el nombre con el que
grabaremos el fichero en el servidor. Finalmente verificaremos la copia consultando el
contenido del directorio raiz del PC usado como servidor.
Si deseamos restaurar la copia guardada en un servidor TFTP al switch slo tenemos que
copiar el archivo config.text en la memoria Flash el comando a utilizar tendra el siguiente
formato copy tftp://host//directorio/fichero flash:config.text
Podemos comprobar el contenido del fichero config.text almacenado en el switch mediante el
comando de modo privilegiado show startup-config (show star). Entre la informacin que nos
muestra podemos ver:

Nombre lgico dado al switch.

Nombre del archivo que contiene el IOS del switch.
Palabras claves de acceso al switch.
Configuracin de las Interfaces y de las VLANs.

Esta informacin puede ser comparada con la que est activa actualmente en memoria que
podemos obtener con el comando de modo privilegiado show running-config (show run).
Los niveles de seguridad pueden ser de distinto tipo desde no activar la seguridad de
acceso, hasta establecer una clave de acceso general o establecer claves de acceso
personalizadas. Los comandos que permiten estos niveles son (no login, login, login
local ).
Para los accesos mediante Telnet es posible limitar los equipos que estn autorizados a
realizarlos.

Si no deseamos hacer restricciones de acceso al sistema utilizaremos las siguiente secuencia

de comandos suponiendo que nos encontramos en modo privilegiado:
Switch# config
T
Switch(config)
# line con 0
Switch(config-line)# no login
Switch(config-line)# end
Switch(config)# line vty 0 15
Switch(config-line)# no login
Switch(config-line)# exit
Si suponemos que nos encontramos en el modo privilegiado y queremos configurar la
seguridad de los accesos desde la consola y telnet, con una clave general para todos los
usuarios:
Switch# config
T
Switch(config)
# line con 0
Switch(config-line)# login
(Activa seguridad
clave nica) Switch(config-line)# password xxxxxxx
(Password para consola)
Switch(config-line)# end
Switch(config)# line vty 0 15
Switch(config-line)# login
(Activa seguridad clave nica)
Switch(config-line)# password yyyyyyyy

Si consultamos la configuracin actual con el comando show running-config podemos

comprobar que se han incorporado las claves, pero estas son perfectamente legibles. Para
evitarlo y que las claves aparezcan encriptadas es recomendable ejecutar el comando de
configuracin global service password-encryption.
En este caso cuando un usuario establece una conexin bien sea desde consola o desde
telnet el sistema le solicita una clave, tras ser suministrada el usuario accede al modo
cliente bsico. Desde este nivel puede acceder al modo privilegiado con el comando
enable para restringir este acceso podemos establecer una clave para ello podemos
utilizar dos comandos enable secret password, y el enable password password. De
estos dos es recomendable utilizar slo el primero ya que encripta la clave introducida,
mientras el segundo no lo hace.
Si deseamos activar la seguridad para que sea personalizada segn el usuario
debemos proceder de la siguiente forma: Switch# config T
Switch(config)# line con 0
Switch(config-line)# login local
Switch(config-line)# end
Switch(config)# line vty 0 15
Switch(config-line)# login local
Switch(config-line)# exit
Previamente deberamos haber definido una base de datos de usuarios y claves.
Para ello se utiliza el comando de configuracin global username usuario password
xxxxxxx
Con este comando tambin es posible establecer el nivel de acceso del usuario, los niveles
de acceso varian desde 1 que es el nivel de usuario normal hasta el nivel 15 que es el

modo privilegiado mximo. En principio slo estn configurados estos dos niveles y la forma
de utilizarlos es username usuario privilege nivel password xxxxxxx
Es posible establecer otros niveles de acceso indicando los comandos que podrn ser
ejecutados, para ello se utiliza el comando de configuracin global privilege mode level
nivel comando. Si deseamos ver los niveles definidos en el sistema utilizaremos el
comando show privilege.
Si el sistema lo permite es posible limitar los ordenadores que pueden hacer uso del acceso
telnet para ello es necesario definir las denominadas listas de acceso mediante el comando
global access-list nmerolista permit dir_ip_red mscara esta lista indica que los
ordenadores pertenecientes a la red indicada en dir_ip_red tienen permiso, aunque todava no
se ha indicado de qu. La mscara utilizada en este comando se escribe de manera inversa a
la mscara de subred ya que se ponen a cero los bits de red y a uno los bits de host. Por
ejemplo si la red es 192.85.55.0 la mscara es 0.0.0.255.
Una vez definida la lista de acceso en el modo de configuracin de terminal virtual
utilizaremos el comando access-class nmerolista in. Por ejemplo:
Switch# config T
Switch(config)# access-list 12 permit 192.85.55.0 0.0.0.255
Switch(config)# line vty 0 15
Switch(config-line)# access-class 12 in
Switch(config-line)# exit
El uso de estas listas de acceso no es incompatible con lo visto hasta el momento por lo que
es posible establecer cualquiera de las medidas de acceso vistas anteriormente, junto a estas
listas.
Por otro lado es posible limitar el tiempo en el que permanecer una conexin de
terminal virtual operativa sin ninguna actividad, mediante el comando de configuracin global
exec-timeout minutos segundos por defecto el tiempo establecido es
de 10 minutos.
CONFIGURAR PARMETROS GENERALES DEL SWITCH
Antes de proseguir con los comandos de configuracin del switch sera conveniente conocer
las caractersticas del hardware ydel sistema operativo (firmware) existentes en el switch, para
ello podemos ejecutar el comando privilegiado show version que proporciona esa
informacin, entre las que destacamos la versin del sistema operativo, el tiempo de
encendido del switch, el nombre del fichero donde est guardado el sistema opertivo
actualmente en uso en el switch, el tipo de procesador y memoria instalada, nmero y tipo de
puertos instalados, as como la direccin mac del switch...
Una de las primeras cosas que debemos configurar en un switch es la asignacin de un
nombre lgico para l, para ello utilizamos el comando de configuracin global hostname
nombre_switch. As mismo se suele establecer un mensaje de entrada que ser visible
cuando conectemos con el switch para ello utilizaremos el comando de configuracin global
banner motd carcter mensaje carcter. Donde carcter es un delimitador que marca el inicio
y el fin del mensaje de salida y debe ser el mismo, as mismo el mensaje puede estar formado
por varias lneas. Ejemplo :
Switch(config)# hostname ALBA
Switch(config)# banner motd # Hola ha contactado con el Switch principal del CUM #
Otra de las caractersticas generales que se suelen instalar al comienzo es el reloj del sistema
para ello se utiliza el comando de modo privilegiado clock set hora:minutos:seg dia mes ao.
Por ejemplo:

Switch# clock set 9:39:23 16 May 2003

En ocasiones puede interesarnos asignar una direccin IP al switch, sobre todo si
queremos acceder en un futuro mediante Telnet o mediate un navegador web. Para ello
debemos ejecutar el comando de configuracin de Interface para la red virtual VLAN 1 ip
address dir_ip mscara_subred, adems si fuera necesario podramos asignarle una
puerta de enlace con ip default-gateway dir_ip_router. Por ejemplo:
Switch# config terminal
Switch(config)# interface vlan 1
Switch(config-int)# ip address 192.0.168.10 255.255.255.0
Switch(config-int)# ip default-gateway 192.0.168.1
Si deseamos eliminar las direcciones ip podemos usar la variante no del comando ip
address o bien el comando de configuracin global clear ip address vlan 1
Para que podamos cofigurar el switch desde un navegador web adems de establecer una
direccin IP es necesario activar el sevicio web dentro del switch, para ello deberamos
utilizar el comando de configuracin global ip http server por el contrario si deseamos
desinstalarlo es podemos utilizar la variante no de dicho comando.
Switch# configure terminal
Switch(config)# ip http server
Uno de los elementos con los que un switch trabaja permanentemente es la tabla de
direcciones fsicas donde almacena las direcciones de los dispositivos que forman parte de
la red, para poder realizar la conmutacin de paquetes. El contenido de esta tabla podemos
obtenerlo con el comando privilegiado show mac-address-table entre los datos que nos
suministra podemos observar unos contadores que indican:

Nmero de direcciones MAC aprendidas dinmicamente.

Nmero de direcciones MAC introducidas estticamente por el usuario.
Nmero de direcciones MAC seguras introducidas por el usuario.
Nmero de direcciones MAC propias de las interfaces del Switchs.
Nmero total de direcciones MAC aprendidas por el switch.

Adems visualiza el contenido de su tabla de direcciones mostrado por columnas que

indican la direccin MAC del dispositivo, la forma en la que aprendi la direccin, la red
virtual a la que pertenece y el puerto por el que est conectado.
Esta informacin podemos filtrarla para obtener datos concretos as podemos tener las
siguientes variantes:
Show mac-address-table static slo direcciones estticas.
Show mac-address-table dinamic
Show mac-address-table secure
Show mac-address-table self
Show mac-address-table aging-time
Show mac-address-table count
Show mac-address-table address hw-addr
(Muestra la entrada para la direccin MAC indicada)
Show mac-address-table vlan vlan-id
(Muestra las entradas de las MACs de la vlan indicada)

Algunas de las entradas de la tabla de direcciones MAC del switch pueden ser variadas,
as si deseamos variar el tiempo de caducidad de las nuevas entradas de la tabla podemos
usar el comando de configuracin global mac-address-table aging-time tiempo_segundos.
Por otro lado si deseamos restablecer el tiempo por defecto (300 seg) de las entradas
usaremos la variante no del comando.
Si deseamos aadir direcciones seguras a la tabla lo podemos hacer con el comando de
configuracin global mac-address- table secure dir-mac interface-entrada. Por ejemplo:
Switch# config t
Switch(config)# mac-address-table secure 1212.15aa.bacd fa0/1
Las direcciones seguras limitarn los dispositivos conectados al switch. No obstante si
deseamos eliminar alguna direccin segura en particular podemos usar la verso no del
comando anterior. Por ejemplo:
Switch# config t
Switch(config)# no mac-address-table secure 1212.15aa.bacd
Lo mismo que borramos direcciones seguras podemos borrar direcciones dinmicas
particulares simplemente cambiando la palabra secure del comando anterior por dinamic:
Switch# config t
Switch(config)# no mac-address-table dynamic 1212.15aa.bacd
Si deseamos eliminar todas las entradas dinmicas aprendidas por el switch utilizaremos el
comando privilegiado clear mac- address-table dynamic. Lo mismo si se trata de
direcciones estticas o direcciones seguras, cambiando slo la palabra dynamic por
static o secure respectivamente.
CONFIGURACIN DE PUERTOS O INTERFACES DEL SWITCH
Una de las tareas ms importantes en la configuracin de un switch es la configuracin de sus
interfaces, esta configuracin se realiza para cada una de las interfaces, la forma de acceder a
las mismas es mediante el comando global interface tipo nmero.
El tipo de la interface hace referencia a si es ethernet (e), fastethernet (fa) o Giga (Gi) . Por
ejemplo:
Switch# config t
Switch(config)# interface fa 0/1
Antes de proceder a la configuracin de las interfaces sera necesario ver su configuracin
actual para ello podemos utilizar el comando de modo privilegiado show interface que
muestra el estado actual de todas las interfaces del switch. Una forma de comprobar una
interfaz es utilizar el comando show interfaces. Los problemas relacionados con Ethernet
pueden derivarse de un exceso de colisiones en red, debidos habitualmente a roturas en el
cable, cables que superan la longitud mxima permitida, a un excesivo trfico de difusin, o
al funcionamiento defectuoso de alguna tarjeta de red. Entre la informacin que suministra
podemos encontrar:

Ethernet 0 is up, Line Protocol is Up. Esto indica que la interfaz est activada y
que los protocolos Ethernet creen que se puede utilizar la lnea, respectivamente. Si
la interfaz est desactivada, compruebe la conexin LAN con la interfaz. Puede
utilizar el comando shut (para desactivar la interfaz), y despus el comando no
shut para volver a activarla.

Hardware Address. Muestra la direccin MAC de la interface.

Internet Address. Muestra la direccin IP y la mscara de subred.

MTU. Es la unidad mxima de Transmisin para la interfaz, expresada en bytes.

BW. Corresponde al ancho de banda para la interfaz expresado en kilobits por

segundo.

Rely. Se trata de un parmetro para evaluar la fiabilidad de la lnea, siendo

255/255 el mximo de fiabilidad. La fiabilidad suele estar afectada debido a cortes en
la lnea y otros problemas.

Load. Este parmetro mide la carga actual que soporta la interfaz, representando un
valor de 255/255 una interfaz totalmente saturada.

Encapsulation. Indica el tipo de trama asignado a la interfaz. ARPA es la opcin

predeterminada para Ethernet, y corresponde con el tipo de trama 802.2.

Collisions. Muestra el nmero de colisiones controladas por la interfaz. Un nmero

grande de colisiones indica que puede existir algn tipo de problema fsico en la red,
como un corte en un cable o un funcionamiento defectuoso de la tarjeta de interfaz.

CRC. Este parmetro muestra el nmero de pruebas de redundancia cclica que han
fallado en los paquetes entrantes. Normalmente indica si la lnea est soportando
muchas interferencias.

Last input. Nmero de horas, minutos y segundos desde que fue recibido con
xito el ltimo paquete por una interfaz. Es til para saber cuando ha fallado una
interfaz.

Output. Nmero de horas, minutos y segundos desde que fue transmitido con
xito el ltimo paquete por una interfaz. Es til para conocer cundo ha fallado una
interfaz.

5 minute input rate, 5 minute output rate. Velocidades de entrada y salida de los
ltimos 5 minutos. Permiten obtener una media aproximada del trfico por segundo en
un momento concreto.

Output queue, Input queue Nmero de paquetes en las colas de entrada y de salida.
El nmero seguido del slash indica tamao mximo de la cola.

Packets input. Nmero total de paquetes recibidos sin error por el sistema.

Bytes input. Nmero total de bytes, incluido encapsulado MAC y datos, en paquetes
recibidos sin errores.

No buffer. Nmero de paquetes recibidos que han sido descartados por no haber
espacio suficiente en el bfer para la interfaz.

Receivedbroadcasts. Nmero total de difusiones recibidas por la interfaz. Un umbral

aproximado podra ser menor del 20 por 100 del nmero de paquetes recibidos.
Runts. Nmero de paquetes que han sido descartados debido a que su tamao
es menor del tamao mnimo de paquete permitido, por ejemplo cualquier paquete
Ethernet menor de 64 bytes. Suelen estar causados por colisiones.

Giants. Nmero de paquetes que han sido descartados por sobrepasar el tamao
mximo de paquete, por ejemplo cualquier paquete Ethernet mayor de 1518 bytes.

La informacin suministrada por este comando puede ser resumida, de tal forma que slo
muestre parte de la informacin. Por ejemplo:
Show interface inteface-id: Muestra la informacin anterior pero slo de la interface
indicada.
Show interface vlan nmero: Muestra la informacin anterior pero slo de la vlan
indicada.
Show interface status: Muestra un resumen del estado actual de los puertos del switch.
Recomendado.
Entre los parmetros que podemos configurar dentro de una interface tenemos la posibilidad
de activarla o desactivarla. Para ello utilizaremos el comando de interface shutdown, este
comado deja bloqueada la interface. Si queremos activar la interface utilizarermos su variante
no.
Tambin podemos establecer la velocidad y el modo duplex en el que trabajar para
ello utilizaremos los comandos de interface speed y duplex respecivamente. En el primero
los valores que podemos introducir son ( auto, 10, 100, 1000 ) y para el segundo ( auto, full,
half ). Donde auto significa que el puerto negociar la velocidad con el dispositivo que tenga
conectado.
Switch(config-int)# speed 10
Switch(config-int)# duplex auto
Otra de las cosas que debemos establecer es si la interface o puerto es troncal o no. Es decir
si va a permitir trfico de distintas redes virtuales o no. Para ello utilizaremos los siguientes
comandos de configuracin de interface.
Para indicar que slo pase informacin de la red virtual a la que pertenece el puerto
usamos el comando de interface switchport mode access. Este comando suele ir
acompaado de otro que indica la red virtual a la que pertenecer el puerto que por
defecto es la VLAN 1 la sintaxis es switchport access vlan nmero. Por ejemplo:
Switch(config)# interface fa 0/1
Switch(config-int)# switchport access vlan 2
Switch(config-int)# switchport mode access
Si lo que deseamos es que el puerto sea troncal el comando a utilizar es switchport
mode trunk, este comando debe ir acompaado de otro que indique el formato de
encapsulamiento que van a seguir los paquetes de datos que pasen por l, el comando es
switchport trunk encapsulation tipo , el tipo puede ser dot1q o isl, aunque en algunos
sistemas es posible poner como tipo negotiate, con lo cual el encapsulamiento ir en
funcin del encapsulamiento utilizado por el otro dispositivo conectado. Por ejemplo:

Switch(config)#interface fa 0/1
Switch(config-int)# switchport mode trunk
Switch(config-int)# switchport trunk encapsulation dot1q
Como los puertos definidos como troncales permiten el paso de cualquier paquete
procedente de cualquier red virtual sera posible impedir el paso de paquetes de una

determinada red virtual. Para ello podemos utilizar el comando de interface switchport
trunk allowed vlan remove nmero. Donde el nmero indica la red virtual a la que vedamos
el paso. Por ejemplo:
Switch(config-int)# switchport trunk allowed vlan remove 2
Impide que los paquetes procedentes de dispositivos de la red virtual vlan 2
puedan utilizar este puerto troncal. La sintaxis completa es :
Switchport trunk allowed vlan { add | all | except | remove } n_de_redes
Si deseamos que un puerto deje de ser troncal y vuelva a ser de acceso normal
utilizamos la versin no del comando switchport mode trunk. Por ejemplo:
Switch(config-int)# no switchport mode trunk
En el caso que deseemos que slo ciertos equipos puedan pasar paquetes por un
determinado puerto podemos establecer el puerto como seguro, para poder hacerlo debemos
por un lado el nmero de puertos seguros que va a tener como mximo y que
es lo que suceder si un dispositivo no autorizado pretende enviar informacin por l
existiendo dos posibilidades (bloquear el interface o enviar un mensaje de aviso a la consola).
Para establecer el puerto como seguro usaremos el comando de interface port security
action tipo-accin, donde accin puede ser shutdown para bloquearlo o trap para enviar un
mensaje de aviso. Por ejemplo:
Switch(config)# interface fa 0/1
Switch(config-int)# port security action shutdown
En este ejemplo indicamos que el puerto 1 tiene activada la seguridad y que si se producen
acceso no autorizados se bloquee. Este permanecer bloqueado hasta que el administrador lo
desbloquee mediante el comando no shutdown.
Para establecer el nmero mximo de direcciones seguras permitidas por el puerto podemos
usar el comando de interface port security max-mac-coutn nmero, donde nmero indica el
mximo.
Switch(config)# interface fa 0/1
Switch(config-int)# port security max-mac-count 5
En este ejemplo indicamos el nmero mximo de direcciones seguras es de 5.
Toda la informacin de configuracin de seguridad de un puerto la podemos ver con
el comando privilegiado show port security , que nos muestra todos los puertos seguros
que hemos definido y si est seguido de un nmero de interface o de red virtual se limita a
esa interface indicada.
Por ejemplo:
Switch# show port security fa 0/1
Las direcciones seguras a las que se hace referencia son las introducidas por el
administrador con el comando mac-address- table secure visto anteriormente. No
obstante si el puerto est activado las direcciones que aprenda automticamente sern
consideradas como seguras hasta llegar al lmite establecido. Por lo que es

recomendable bloquearlo previamente para as impedir que aprenda direcciones

mientras se configura la seguridad del puerto e incluso si fuera necesario borrar
aquellas direcciones aprendidas anteriormente por el puerto.
Cisco dispone de un protocolo denominado CDP que permite a los dispositivos cisco indicar
las direcciones de los equipos que tiene conectados a sus puertos e informar a otros
dispositivos cisco sobre ellos, este protocolo se activa en cada interface. Para activarlo
debemos usar el comando de interface cdp enable y para desactivarlo usaremos su versin
no.
Cuando tenemos activo el protocolo spanning tree para evitar bucles formados por
switches, los puertos de esos switchs deben pasar por mltiples estados (Bloquear,
Escuchar, Aprender y Enviar), este proceso tarda algn tiempo, para reducirlo es posible
usar en los puertos el metodo de puerto rpido, mediante el cual un puerto pasa
directamente del estado bloqueado al de enviar.
En aquellos puertos donde no se vaya a conectar un switch o un hub podemos hacerlo
mediante el comando de interface spanning tree portfast.
Switch(config)#interface fa0/1
Switch(config-int)#spanning tree portfast
Es recomendable utilizar por motivos de seguridad el parmetro bpduguard, ya que un
puerto de usuario no necesita recibir mensajes bpdu y si los recibe sabremos que son de un
acceso no autorizado.
Tambin es recomendable que los puertos de usuario no tengan asignada una direccin ip,
para ello usamos el comando de interface no ip address.
CONFIGURACIN DE REDES VIRTUALES
Una de las caractersticas de trabajo con switchs es la posibilidad de agrupar hosts en
redes virtuales o lgicas dando una distribucin funcional del sistema y limitando el dominio
de broadcast de la red.
La informacin referente a las redes virtuales se guarda en una Base de Datos almacenada
en un fichero llamado vlan.dat en la memoria NVRAM y la forma de acceder a su
contenido es mediante el comando de modo privilegiado show vlan que propociona
informacin sobre las redes virtuales existentes as como de los puertos que las integran.
El formato general es show vlan [ brief | id n | name nombre] , con la opcin brief
vemos la informacin resumida, con id slo la de la vlan indicada y lo mismo con name.
Por defecto la red virtual existente en el switch es la nmero 1 y a ella pertenecen todos
los puertos del switch. Si deseamos crear nuevas redes virtuales debemos entrar desde el
modo privilegiado en la base de datos para ello usamos el comando vlan database, una
vez dentro podemos crearnos redes virtuales con el comando vlan n_de_red name
nombre. El parmetro name es opcional y si no se pone el nombre asignado a la red virtual
es VLAN000n_de_red.
Por ejemplo:
Switch# vlan database
Switch(vlan)# vlan 2 name biblioteca
Para salirnos de la base de datos existen dos posibles comandos que son abort o exit. El
primero nos permite salir sin hacer efectivos los cambios en la base de datos y el segundo
nos permite salir hacindolos efectivos.
Si deseamos ver, antes de salir, los cambios sufridos por la base de datos podemos usar

el comando show changes que nos muestra la diferencia entre el contenido inicial de la
base de datos original y la propuesta. Si lo que deseamos es ver la base de datos
propuesta podemos usar el comando show proposed y si lo que deseamos es ver la
configuracin actual podemos usar show current.
Es posible eliminar redes locales para ello usaremos la versin no del comando vlan visto
anteriormente. Los puertos que estuvieran asignados a la red borrada sern reasignados de
forma automtica a la red virtual 1.
La asignacin de puertos a las redes virtuales se hace desde la propia interface del
puerto como vimos anteriormente. Para interrumpir el trfico local de una red virtual
podemos usar el comando global shutdown vlan n_de_red.
Si en la definicin de redes locales se van a ver involucrados varios switches o algn router
o algunos servidores de archivos o bases de datos, la conexin entre ellos se realizar
mediante puertos troncales los cuales se definen en la interface del puerto como se vi. No
obstante es recomendable activar el protocolo VTP que se ver seguidamente. Son enlaces
(puertos) de 100 a 1000 Mbps que conectan punto a puntos dos switches, un switch con
un router o con un servidor. Transportan el trfico de hasta 1005 VLANs. Al habilitar un
puerto troncal, por defecto transporta todas las VLANs configuradas en el switch. Para
diferenciar la informacin entre las Vlans se encapsula normalmente con uno de los
siguientes protocolos:
ISL (Inter.-Switch Link) Propietario de Cisco. Slo funciona sobre enlaces Fast
Ethernet o Gigabit Ethernet. Funciona tanto en interfaces de switches como de
routers y servidores.
IEEE 802.1q Estndart. Inserta un campo dentro del frame para identificar la VLAN.
Por otro lado para cada una de las redes virtuales definidas sera necesario tener activado
el protocolo Spanning-tree, que lo activa por defecto. Para asegurarnos podemos usar el
comando de usuario show Spanning-tree que nos muestra toda la informacin relativa
a este protocolo, aunque podemos limitarla a una red virtual aadiendo vlan n_de_red.
Si estuviera deshabilitado para habilitarlo usaramos el comando de configuracin global
Spanning-tree vlan n_de_red. Y si por el contrario deseramos deshabilitarlo usaramos la
versin no del mismo.
Si deseamos que el switch actual sea designado como raz por el protocolo Spanning-tree
para una determinada red virtual podemos usar el comando de configuracin global
Spanning-tree vlan n_de_red root.
VLAN Trunk Protocol (VTP)
Protocolo propietario de Cisco. Utilizado en redes divididas en Vlans formadas por varios
switches conectados. VTP maneja la adicin, eliminacin y reubicacin de VLANs en el
sistema sin tener que realizarlo manualmente en cada Switch. La informacin VTP circula
por los enlaces (puertos) troncales a travs de mensajes multicast peridicos dndola a
conocer a los otros switches que conforman el dominio.
Este mensaje contiene el dispositivo que administra el dominio, las VLANs que el
dispositivo conoce y los parmetros para cada VLAN conocida. Al escuchar estos avisos,
todos los dispositivos que estn en el mismo dominio de administracin aprenden
alguna nueva VLAN que se haya configurado. Usando este mtodo una VLAN slo
es necesario crearla o configurarla una sola vez en el dominio de administracin y la
informacin automticamente es aprendida por todos los dems dispositivos que conforman
el dominio. Por ejemplo cuando un nuevo switch es agregado a la red, ste recibe

notificaciones VTP y es automticamente configurado para manejar las VLANs existentes

dentro de la red.
Todas las familias de los Switches manejan este protocolo y es necesario configurar cada
uno de los switches de acuerdo a la funcin que vaya a realizar ya se como Server, Client o
Transparent.
Servidor Comparte la informacin con los dems dispositivos VTP que integran el mismo
dominio VTP. Es el modo en el que se crean VLANs y se realizan cambios. Toda
modificacin en el switch servidor es transmitida a todo el dominio. Es el estado por
defecto. Es recomendable que slo exista uno.
Cliente Enva y recibe informacin VTP, pero no puede introducir ningn cambio.
Transparente
Enva y recibe informacin de VTP, pero no la incluye en su base de
datos. No participa del dominio VTP.
Es recomendable en switchs que estn conectados pero que no participan de las redes
virtuales definidas en otros switchs o simplemente estn slos.
La administracin y configuracin de VLAN se facilita en gran medida con este protocolo,
pero sobre todo la agregacin de Switches se hace ms eficiente y se garantiza una
congruencia en las configuraciones de VLANs.
La configuracin del protocolo VTP se realiza desde la base de datos de redes virtuales.
Como hemos visto los switchs que deseamos que participen de este protocolo deben
pertenecer al mismo dominio administrativo. Para indicar el dominio administrativo de
un switch usamos el comando vtp domain nombre_dominio. Por otro lado debemos
especificar si el switch ser servidor, cliente o transparente para ello usamos el comando
vtp {server | client | transparent} . Por ejemplo:
Switch# vlan
database
Switch(vlan)# vtp
domain uno
Switch(vlan)# vtp
server
Existe una versin mejorada del protocolo vtp que podemos activarla mediante el comando
vtp v2-mode. Si hacemos esto debemos hacerlo en todos los switchs que comparten
dominio.
Si deseamos ver la informacin actual del protocolo VTP podemos usar dos comandos de
modo privilegiado que son show vtp status y el show vtp counters.
Si lo deseamos podemos establecer una password para el protocolo VTP y todos los
switches participantes en el mismo dominio administrativo tendrn definida la misma. Esto se
hace con el comando vtp password clave.
Para limpiar los contadores ofrecidos por show vtp counters podemos usar el comando
privilegiado clear vtp counters.
Recomendaciones finales
Los puertos definidos como troncales, debern formar parte de una red virtual
dedicada en exclusiva para ellos.

 Si en el switch hay puertos no usados se deberan deshabilitar y asignarlos a una red

virtual.

Evitar que la red virtual 1 tenga puertos de usuario.

ACTUALIZACIN DEL SOFTWARE DEL IOS DEL SWITCH.

Lo primero que debemos hacer para realizar el proceso de actualizacin es obtener una
nueva versin del software. Para ello cisco dispone de la direccin CISCO.COM donde hay
disponible para los usuarios autorizados una lista de posibles ficheros de actualizacin. Los
ficheros que podemos obtener pueden tener dos tipos de extensiones :

.tar que indica un fichero compactado que contiene los ficheros HTML y la imagen
del sistema operativo. Para extraerlos es necesario usar el comando tar .

.bin que contiene slo la imagen del sistema operativo IOS que podemos copiar al
switch mediante TFTP.

Por ejemplo:
c2950-c3hs-mz.120-5.3.WC.1.bin

este fichero slo contiene la imagen del S.O.

c2950-c3hs-mz.120-5.3.WC.1.tar este fichero contiene la imagen

del S.O. y de HTML. C2950-html-plus.120-5.3.WC.1.bin

este

fichero slo contiene los ficheros HTML.

El software hay que bajarlo a un PC que funcione como servidor TFTP y posteriormente
mediante el CLI del switch hacer una transferencia TFTP.
Tras bajar el nuevo software los pasos a seguir son los siguientes:
1. Acceder al modo privilegiado del switch.
2. Ver el contenido de la memoria flash donde se almacenan los ficheros del IOS,
configuracin inicial y redes virtuales, mediante el comando dir flash.
3. Si el espacio disponible para cargar la nueva versin es insuficiente debemos
renombrar el fichero del IOS con el nuevo nombre del fichero bajado, en este
proceso debemos utilizar exactamente los mismos caracteres maysculas y
minsculas del fichero bajado. Para ello utilizamos el comando privilegiado
rename flash:nombre-actual flash:nombre-nuevo. Por ejemplo:
Switch# rename
5.3.WC.1.bin

flash:c2950-c3h2-mz.120-5.2.WC.1.bin

flash:c2950-c3h2-mz.120-

4. Ver los parmetros de arranque del switch mediante el comando privilegiado show
boot. Este comando muestra el fichero IOS y de configuracin con el que arranca
(campos BOOT path-list y Config file).
5. Si el parmetro BOOT path-list est relleno debemos cambiarlo para indicar el
nuevo sistema operativo a utilizar, para ello utilizaremos el comando de configuracin
global boot system flash:nombre-actual. Por ejemplo:
Switch(config)# boot system flash: c2950-c3h2-mz.120-5.3.WC.1.bin

Si no haba indicado ningun fichero por defecto del IOS y en la flash slo hay uno
fichero de IOS no es necesario realizar ste paso ya que el sistema lo encuentra
automticamente cuando se reinicie.
6. Si el proceso de actualizacin incluye los ficheros de pginas HTML es necesario
desactivar este servicio mediante el comando de configuracin global no ip http
server. Posteriormente deberemos borrar todos los ficheros de HTML de
la memoria flash que se encuentran en la carpeta HTML, mediante el comando
privilegiado delete flash:html/*.
7. Si nos hemos bajado desde internet el fichero .tar que almacena la combinacin del los
ficheros de imagen y de html debemos usar el comando de modo privilegiado tar /x
tftp://ip-servidor-tftp//carpeta/nombre-fichero.tar flash:
8. Si nos hemos bajado desde internet por separado los ficheros de imagen del IOS
y de HTML debemos hacer una transferencia tftp para el IOS mediante el
comando privilegiado copy tftp://host//directorio/fichero flash: y el comando tar
para el de ficheros HTML.
9. Finalmente volvemos a restaurar el servicio http mediante el comando ip http
server de configuracin global y reiniciamos el sistema con el comando privilegiado
reload.
10. Para comprobar que la actualizacin ha tenido xito ejecutamos el comando show
versin del modo privilegiado.

RECUPERACIN DE LA CONTRASEA
1. Conectarse al switch desde la consola.
2. Desconectar el cable de corriente.
3. Pulsar el botn de modo situado a la izquierda del panel frontal mientras reconectamos
el cable de corriente al switch.
Para 2950 Series switches: soltar el botn de modo despus que el LED STAT
quede desactivado.

Catalyst 2950-24

Las siguientes instrucciones aparecern:

The system has been interrupted prior to

initializing the flash filesystem. The
following commands will initialize the
flash filesystem, and finish loading the
operating system software:
flash
_init
load_
helpe
r boot
switch:
!--- This output is from a 3500XL switch. Output from a
2900XL, 2950 or 3550 will vary slightly.
4. Introducir el comando
flash_init . switch:
flash_init
Initializing Flash...
flashfs[0]: 143 files, 4 directories
flashfs[0]: 0 orphaned files, 0
orphaned directories flashfs[0]:
Total bytes: 3612672
flashfs[0]: Bytes used:
2729472 flashfs[0]: Bytes
available: 883200
flashfs[0]: flashfs fsck took
86 seconds
....done Initializing Flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
switch:
5. Introducir el comando
load_helper.
switch: load_helper
switch:
6. renombramos el fichero de configuracin
inicial config.text switch: rename
flash:config.text flash:config.old
witch:
7. Introducir el comando boot para arrancar
nuevamente el sistema. switch: boot
Loading "flash:c3500xl-c3h2s-mz.120WC7.bin"...###############################
###
File "flash:c3500xl-c3h2s-mz.120-5.WC7.bin" uncompressed and
installed, entry po int: 0x3000
executing...
8. Introducir "n" para no iniciar el programa Setup.
--- System Configuration Dialog ---

At any point you may enter a question mark

'?' for help. Use ctrl-c to abort configuration
dialog at any prompt. Default settings are in
square brackets '[]'.
Continue with configuration dialog? [yes/no]: n
Press RETURN to get
started. Switch>
9. Entrar en modo privilegiado
Switch>en
Switch#
10.Renombrar el fichero config.old a su
nombre original. Switch#rename
flash:config.old flash:config.text
Destination filename
[config.text] Switch#
11.Copiar la configuracin a la memoria
Switch#copy flash:config.text system:running-config
Destination filename [running-config]?
!--- Pulsar Intro
1131 bytes copied in 0.760 secs
Switch#
12.Cambiar la password:
Switch#configure
terminal
Switch(config)#no enable secret
!--- This step is necessary if the switch had an enable secret password.
Switch(config)#enable password Cisco
Switch#(config)#^Z
13.Escribir la configuracin actual en el fichero de configuracin config.text mediante el
comando write memory: Switch#write memory
Building configuration...
[OK]