Resolución de problemas de capa 2

==================================
Trunk
VTP
VLAN
=====
STP
Etherchannel
SVI
Etherchannel L3
=====
Seguridad de Swtich
FHRP
DHCP
===================================
show mac address-table
show mac-address-table
show interface fa0/1 switchport
show interface trunk
===================================
Causas
=======
VLAN no este configurada
VLAN no este agregada al trunk
VLAN este bloqueada por STP
VLAN Actualizada por VTP
No existe un enlace troncal
Existir una VACL
Existir una Mac ACL
Seguridad de puerto
Negociación entre interfaces de switch
========================================
Comandos de consultas
show mac address-table
show mac-address-table
show interface fa0/1 switchport
show interface trunk
show vlan
show vtp status
show vtp pass
ipconfig
show ip int brief
show run int fa0/x
========================================
1.- Troubleshooting Trunks

1.1 Diferencias de encapsulación

1.2 Modos incompatibles de Trunking
1.3 Diferencias en el nombre de dominio de VTP
1.4 Diferencias en la VLAN Nativa
1.5 VLAN no incluidas (Allowed)

2.- Troubleshooting VTP

2.1 Diferencias en version de VTP

2.2 diferencias en el modo VTP
2.3 Diferencias en la password de vTP
2.4 Actualización de numeros de revisión de VTP

3.- Troubleshooting de VLAN

3.1 Configurar una dirección IP incorrecta

3.2 No este configurada la VLAN
3.3 Un puerto tenga otra VLAN
===========================================

Diferencias de encapsulación
- IEEE 802.1Q
- ISL (Inter-switch Link)

Negociación de enlaces troncales DTP

Auto
Desirable
Manual

int fa0/24
sw trunk enca dot

int fa0/24
sw trunk encap isl

Switches 2960 por defecto soportan encapsulación dot1q

show interface fa0/1 switchport

show interface trunk

default-gateway 192.168.x.1

802.1q
802.1q-n

=====================================
int fa0/24
sw mode trunk
sw nonegotiate
!
int fa0/24
sw mode trunk dynamic desirable (DTP)
=====================================
1.2 Modos incompatibles de Trunking
Acceso
Trunk
Dynamic Desirable
Dynamic Auto

show interface fa0/1 switchport

==============================================
1.3 Diferencias en el nombre de dominio de VTP

Dos switches tengan el modo cliente activado.

Diferencias entre las contraseñas de VTP.
Si existe defenciar en el dominio de vTP, el encallce troncal no se formará.

vtp mode server

vtp pass cisco123
vtp domain tshoot.cl

show vtp status

show vtp pass

========================================
1.4 Diferencias en la VLAN Nativa

Transporte de protocolos como:

DTP
VTP
Etcherchannel
STP
CDP

show int trunk

========================================

1.5 VLAN no incluidas (Allowed)

sw trunk allowed vlan 10,20,30,40

sw trunk all vlan 50

sw trunk all vlan add 50

sw trunk all vlan remove

sw trunk all vlan excep 10

========================================

2.1 Diferencias en version de VTP

Vtp version 1|2|3

2.2 diferencias en el modo VTP

cliente
server
transparente
off

show vtp status

2.3 Diferencias en la password de vTP

show vtp pass

2.4 Actualización de números de revisión de VTP

Cuando se conectac un server con mayor numero de revision

===============================================

3.1 Configurar una dirección IP incorrecta

ipconfig

show ip int brief (Router/SwitchL3)

3.2 No este configurada la VLAN

show vlan en cada switch

show interface fa0/1 switchport

3.3 Un puerto tenga otra VLAN

vlan 50
name SOPORTE
!
int fa0/3
sw mode acc
sw acc vlan 20

===================================
Troubleshooting de Spanning-tree y Etherchannel
===============================================

Spanning-tree
===================

Obtener información de STP

- Cuales son los switches de la topología
- Quien es el root bridge
- Cuales son los puertos root
- Seguridad de STP

#show spanning-tree vlan 10

- Prioridad del root
- address MAC del root
- Rol de root
- Puerto conectado hacia el root
- Estado de puertos FWD // BLK

#show spanning-tree interface fa0/24

- N° VLAN
- Prioridad de puerto = 128
- Numero prioridad = N° Puerto

#show spanning-tree interface fa0/24 detail

- Prioridad de STP para una VLAN
- 32768 + VL 1 = 32769
- 32768 + VL 60 = 32828
- 32768 + VL 100 = 32868
Obtener información de MST
- Agrupar multiples VLAN en una instancia MSTP
- instance 1 (10,20-100)

Proceso de configuración

Nombre MST
Region MST
Instancia MST
Mapear VLAN instancia

Problemas

- Diferentes nombre de región MST

- Diferentes Numero de revisión MST
- Cantidad de VLAN asociadas a una instancia
- VTPv3 no esta presente

#show spanning-tree mst configuration

Problemas de Spanning-tree

1. Corrupción de la tabla MAC

2. Tormentas broadcast
3. Portfast
4. BPDU Guard
5. BPDU Filter
6. Root Guard
7. Loop Guard
1. Corrupción de la tabla MAC

- Cuando existe un SW fuera del dominio de STP

- Cuando existe un HUB
- Ambos casos reenvian tramas a sus vecinos
- inundan la red con tramas duplicadas
- Un switch S.O reciba un MAC por diferentes puertos

Switch envia un mensaje de syslog

flapping de un MAC AAAA entre dos puertos.

%SW_MATM-4-MACFLAP_NOTIF

2. Tormentas broadcast

Trama broadcast MAC destino FFFF.FFFF.FFFF

Tramas se envian a todos los switches.
Otros switches reenvian estas tramas por todos sus puertos excepto por donde la recibio.

La tramas no tienen un TTL, las tramas broadcast esten siempre reenviandose por todos los
switches.

Consume BW
Retardo a la red
CPU
RAM

Storm-control
int fa0/5
storm-control broadcast level 1

3. Portfast
- Configurar en los edge port
- transicionar al estado forwarding inmediatamente.
- Suprime el estado Listening y Learning del STP.

int fa0/1
spann portf
!

spann protf default

show spann int fa0/1 portfast

show spann int fa0/1 detail
show spann summary

====================================================

4. BPDU Guard

int f0/3
spanning-tree bpduguard enable

do sh int fa0/3

spanning-tree portfast bpduguard default

5. Root Guard
int fa0/4
spanning-tree portfast
spanning-tree guard root

Bridge ID - Prioridad del Switch + MAC

Root Guard deja el puerto en estado inconsistente

se habilita interfaz por interfaz

show spanning-tree guard root

show spanning-tree inconsistentports
show spanning-tree int fa0/4 detail
show spanninf-tree vlan xx

6. BPDU Filter

7. Loop Guard

*** Resuelva el ticket 03 ***

***FIN 9:30 ***

================================

2. Troubleshooting Etherchannel

Crear a partir de 1 o más enlaces físicos , enlaces lógicos.

Port-channel
Protocolos de negociación
Pagp
Lacp
Manual

Portchannel es una interfaz virtual que replica su configuración a los puertos físicos.

Amplifica la capacidad de BW

Se pueden agregar hasta 16 interfaces en un Po, pero solo 8 interfaces estaran activos.

2.1 Diferencias en configuración de puertos

Identica:
- Velocidad de puerto
- Modo Duplex
- Modo trunk
- VLAN nativa
- VLAN incluidas en el puerto
- Po L2 ó Po L3

2.2 Diferencias en la configuración de Etherchannel

LACP
Active/Passive
Active/Active

PAGP
auto/desirable
desirable/desirable

ON
on/off
2.3 Distribución inapropiada del algortimo de Etherchannel

Calculo de hash -> de como transmitir tramas

Distribuir las cargas de tráfico

Algoritmo de hash púede estar basado en MAC

src-mac
src-ip
dst-mac
dst-ip
mac-ip

show etherchannel load-balance

EtherChannel Load-Balancing Operational State (src-mac)

Entre ambos switches deben tener el mismo algortimo de operación.

show etherchannel load-balance

show etherchannel summary
show etherchannel port-channel

SU

S: L2
U: Uso

********************* FIN ************************

Router-on-a-stick
Switch Virtual Interface
Puertos Ruteados
Etherchannel L3
Port-security

Spoof
Private VLAN
MAC ACL
Port ACL
VLAN ACL
HSRP
VRRP
GLBP
DHCP

=====

Troubleshooting
===================

Objetivos
============
- Tshoot Port- security
- Tshoot Dhcp Snooping
- Tshoot Dynamic ARP inspection

1. Tshoot Port-security
1.1 Port-sec este configurado pero no habilitado
1.2 MAC estática configurada incorrectamente
1.3 Maximo de MAC alcanzado
1.4 Violación de puerto
1.5 Port-sec no se guarden

================================================

1.1 Port-sec este configurado pero no habilitado

int fa0/0
sw port-security -> Cuando no se agrega
sw port-sec max 1
sw port-sec violation shutdown
sw port-sec mac-address sticky
sw port-sec mac-address 0001.0002.0003
!
ASW1(config-if)#do sh port-sec int fa0/2
Port Security : Disabled
Port Status : Secure-down
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses :2
Total MAC Addresses :0
Configured MAC Addresses : 0
Sticky MAC Addresses :1
Last Source Address:Vlan : 0040.0BC4.A853:10
Security Violation Count : 0

#show port-sec int fa0/2

1.2 MAC estática configurada incorrectamente

int fa0/2
sw port-sec mac 0001.0002.0003
ASW1#show port-security address
Secure Mac Address Table
-------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
10 0001.0002.0003 SecureConfigured FastEthernet0/2 -
10 0040.0BC4.A853 SecureSticky FastEthernet0/2 -

1.3 Máximo de MAC alcanzado

int fa0/0
sw port-sec max 1 -> Por defecto es 1

1.4 Violación de puerto

Cuando un usaurio legitimo ha sido bloqueado por reglas de "violation"

Protect: DROP // NO NOTIFICACION // NO COUNTER

Restrict: DROP // NOTIFICACION // COUNTER
Shutdown (Defecto): ERR-DISABLED // DROP // NOTIFICACION // COUNTER

PRS

ASW1#show int fa0/1

FastEthernet0/1 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 0030.f29b.c201 (bia 0030.f29b.c201)

ASW1#show interfaces status

Port Name Status Vlan Duplex Speed Type
Po13 connected 1 auto auto
Po23 connected 1 auto auto
Fa0/1 err-disabled 10 a-full a-100 10/100BaseTX

#show errdisable

Tipos de causas que producen el estado err-disabled

Port-sec
DAI
bpduguard
Ethcerchannel
dhcp
psecure-violation

1.5 Port-sec no se guarden

wr
copy r s

============================
IP dhcp snooping
Dynamic ARP Inspection
IP Source Guard
MAC ACL
Port ACL
VACL
============================
2. HSRP AD para los host -> GW Virtual

int vlan 10
ip address 192.168.1.1 255.255.255.0
standby 10 ip 192.168.1.254
standby 10 preempt
standby 10 track fa0/0 decrement 50
standby 10 priority 110
standby 10 timers 1 3

Cual es el router activo?

Que router tienen preempt configurado
GW Virtual
MAC Virtual
Tracking Interfaces
Tracking Tabla enrutamiento
tracking con IPsla "Monitoreo"

Fallas
2.1 Dirección IP Virtual que no corresponda.
- Configurada en el PC
- Configurada en el grupo HSRP

2.2 Servidor DHCP envie una GW incorrecta

2.3 Numero de grupo mál asignado

int vlan 10
ip address 192.168.1.1 255.255.255.0
standby 20 ip 192.168.1.254
standby 10 preempt
standby 10 track fa0/0 decrement 50
standby 10 priority 110
standby 10 timers 1 3

Verificar en ambos routers

2.4 Grupo no sea asignado

int vlan 20
ip address 192.168.20.1 255.255.255.0
standby ip 192.168.1.254

Verificar en ambos routers

2.5 Conectividad entre dos routers HSRP

R1
int vlan 10
ip address 192.168.1.1 255.255.255.0

R2
int vlan 10
ip address 192.168.1.2 255.255.255.0

Funcionamiento
=======================================
HSRP en modo balanceo de carga
HSRP en modo principal/Respaldo

2.6 Preempt -> Levantar con el rol de ACTIVE

2.7 track fa0/0 decrement 50

Puede ocurrir que un track:
- No este implementado
- Se implemento incorrectamente
- IPsla incorrecto

2.8 Priority 110

- La prioridad debe coincidir con el diseño de AD
- Principal Prioridad superior que el respaldo
- Equipara correctamente las prioridades de SVI
- Coincidir con Spanning-tree

spanning-tree vlan 10,20,30 root primary

spanning-tree vlan 10,20,30 root secondary

- VRRP
- GLBP

Ticket Incidencias -> Problemas aislados

Ticket Requerimmiento -> Se le solicita un cambio
Ticket Consultas -> Información
Ticket Problema -> Muchos TT de una misma incidencia
*** Tiempo de resolución 20 Minutos ****

*** Fin 21:25 ***

=======================================================

3. Troubleshooting router-on-a-trunk
3. Troubleshooting router-on-a-stick

GW se configuran en un router

int gi0/0.10
encapsulation dot1q 10
ip add 192.168.10.1 255.255.255.0
!

SW
===
int fa0/24
desc LINK_RO1
sw trunk enc dot
sw mode tunk
sw none
sw trunk native vlan 99
sw trunk all vlan 10,20,30,40

3.1.1 PC puede tener una IP diferente a la GW

3.1.2 Puerto de acceso tenga otra VLAN
3.1.3 VLAN no exista en algun SW
3.1.4 Puerto troncal hacia el router este coenctado en otro puerto
3.1.5 Que el puerto fa0/24 no este en modo troncal
3.1.6 Que la VLAN no este incluida en el troncal
3.1.7 Encapsualción puerto troncal sea deifrente a la del router
3.1.8 Interfaz física del router este DOWN
3.1.9 Subinterface este deshabilitada

3.2 Troubleshooting Switched Virtual Interface (SVI)

int vlan 10
ip add 192.168.10.1 255.255.255.0
no shut
desc LAN_VLAN10
!

3.2.1 VLAN no este creada en el SW #vlan 10

3.2.2 Interfaz VLAN este deshabilitada
3.2.3 Almenos debe existir un puerto troncal para que la SVI suba (up)
3.2.4 Comando #IP routing no este configurado
3.2.5 En un SWL2 Puerta de enlace #ip default-gateway (GW)

3.3 Troubleshooting Puertos ruteados

int fa0/1
no switchchport
ip add 10.232.0.1 255.255.255.0

No esta asociado a una VLAN

Routing
No esta asociado STP
No esta asociado DTP
No soporta subinterfaces
Puede ser usado para ethcerchannel L3
IP Routing en un SWL3
3.3.1 Direccion IP inválida
3.3.2 Ip routing
3.3.3 Mascara inválida
3.3.4 Puede esta en shutdown

3.4 Troubleshooting Etherchannel de capa 3

3.4.1 Configuraciones sean diferentes

3.4.2 Modo negociación
3.4.3 Algoritmo de distribución no coincida

src-mac
src-ip
dst-mac
dst-ip
src-dst mac
src-dst ip

DSW1(config)#port-channel load-balance ?

show etherchannel load-balance

src-ac

dst-ip

Resumen de Troubleshooting Capa 2

=================================
- Troncales
- VTP
- VLAN
- DTP
- Spanning-tree
- Etherchannel
- Port-security
- DHCP Snooping
- HSRP
- Inter-VLAN Routing
- Router on a Trunk
- Router on a Stick
- DHCP

******************** FIN *********************