SPANNING-TREE

PROTOCOL

NETWORKING III

Semestre Mar-Ago2014 Ing. Carlos Vásquez 1

 Redundancia
• Redundancia en una red es requerida para proteger contra la
pérdida de conectividad debido a la falla de un componente
individual.
• Esto frecuentemente resulta en topologías físicas con loops.
Los Loops en la capa física pueden causar serios problemas en
redes conmutadas:
Tormentas de broadcast, múltiples transmisiones de
tramas, e inestabilidad en la base de datos de control de
acceso al medio.
• El Protocolo Spanning-Tree es usado en redes conmutadas
para crear una topología lógica libre de loops.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 2

 Beneficios de la Topología
Redundante
• Topologías redundantes eliminan simples puntos de falla.
• Si el Switch A falla, el tráfico puede seguir fluyendo del Segmento 2 al
Segmento 1 y hacia el router a través del Switch B.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 3

Riesgos de Topología Redundante: Tormentas de
Broadcast
• Dado que los switches transportan tramas a destinos desconocidos hasta que
ellos aprenden las direcciones MAC de los dispositivos, una topología
conmutada redundante podría causar tormentas de broadcast.
• El Switch A y Switch B continúan propagando una trama de broadcast que se
originó en el Servidor X.
• ¡Continuará hasta que uno de los switches sea desconectado!

Semestre Mar-Ago2014 Ing. Carlos Vásquez 4

 Riesgos de Topología Redundante:
Múltiples Tramas
• Los switches A y B no tienen la dirección MAC del Router Y,
así que ambos switches transportan la trama.
• Esto causa procesamiento innecesario en todos los
dispositivos.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 5

 Inestabilidad de la Base de Datos
de MAC
• Los switches A y B aprenden la dirección MAC del Host X en el puerto 0.
• La trama al Router Y es enviada en el puerto 1 de ambos switches. Los
switches A y B ven esta información en el puerto 1 e incorrectamente
vuelven a aprender la dirección MAC del Host X en el puerto 1. Cuando el
Router Y envía una trama al Host X, los switches A y B también recibirán la
trama y la enviarán por el puerto 1. Los switches han aprendido
incorrectamente que el Host X está en el puerto 1.
• La trama unicast del Router Y al Host X será atrapada en un loop.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 6

 Redundancia y Spanning Tree
• Una topología física que contiene loops de
conmutación o bridging es necesaria darle
confiabilidad, ya que una red conmutada no
puede tener loops.
• La solución es permitir loops físicos, pero
crear una topología lógica libre de loops.
• La topología lógica libre de loops es llamada
un árbol (tree), el spanning tree de la red.
• Es spanning tree porque todos los dispositivos
en la red son alcanzables.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 7
 Spanning Tree Protocol (STP)
• Creado por DEC (Digital Equipment
Corporation)
• Estandarizado por IEEE
– 802.1d
• Meta: Apagar puertos redundantes y formar
un árbol jerárquico
• Intercambio de información usando tramas
multicast (Ethernet)

Semestre Mar-Ago2014 Ing. Carlos Vásquez 8

 Operación de Spanning Tree
• El Protocolo de Spanning-Tree establece un nodo raíz, llamado
el root bridge, y construye una topología que tiene una ruta
para alcanzar cada nodo de red.
• El árbol resultante se origina desde el root bridge.
• Enlaces redundantes que no son parte del árbol de ruta más
corta son bloqueados, creando una topología libre de loop.
• Las tramas de datos recibidas en enlaces bloqueados serán
eliminadas.
• El Protocolo Spanning-Tree requiere dispositivos de red para
intercambiar mensajes para detectar loops.
• Los enlaces que causarán un loop son puestos en estado de
bloqueo.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 9
 Operaciones de STP
• Seleccionar un switch raíz
– El que tenga el menor ID
– ID = Prioridad (conf) + MAC del dispositivo
– Sus puertos son ‘puertos designados’
• Seleccionar ‘puertos raíz’ en los demás
switches
– El que tenga el menor ‘costo’
• Mayor velocidad, menor costo
• Bloquear los puertos no-designados

Semestre Mar-Ago2014 Ing. Carlos Vásquez 10

 Spanning Tree
• Un root bridge por red
• Un root port por no root
bridge
• Un puerto designado
(designated port) por
segmento
• No usado, puertos no
designados (non-
designated port)
• Root ports y designated ports son usados para reenviar (F) el tráfico
de datos.
• Non-designated ports descartan el tráfico de datos. Estos puertos
son llamados blocking (B) o puertos de descarte.
• Las BPDUs son recibidas en puertos bloqueados, asegurando que
si una ruta activa o dispositivo falla, un nuevo spanning tree será
calculado.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 11
 BPDUs
• Mensajes, llamados Bridge Protocol Data Unit (BPDUs)
permiten la formación de una topología lógica libre de loops.
• La primera decisión que todos los switches en la misma red
hacen, es identificar al root bridge. La posición del root bridge
en una red afectará al flujo del tráfico.
• Cuando un switch es encendido, el algoritmo de spanning-
tree es usado para identificar al root bridge.
• BPDUs son enviadas con el Bridge ID (BID).
• El BID consiste de una prioridad de bridge que por default es
32768 y la dirección MAC del switch.
• Por default, las BPDUs son enviadas cada 2 segundos.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 12

 Datos de BPDU
• Las BPDUs contienen suficiente información así que todos los switches
pueden:
Seleccionar un simple switch que actúe como la raíz (root) del spanning
tree.
Calcular la ruta más corta desde él mismo hasta el root switch
Designar uno de los switches como el más cercano al root, por cada
segmento de LAN. Este bridge es llamado el “switch designado”
(designated switch) y maneja toda la comunicación desde aquella LAN
hacia el root bridge.
Seleccione uno de sus puertos como su root port, por cada switch no-
root. Esta es la interface que da la mejor ruta al root switch.
Seleccione puertos que son parte del spanning tree, los designated
ports. Los non designated-ports son bloqueados.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 13

 Encontrando el Root Bridge
• Cuando un switch apenas inicia, éste asume que él es el root
switch y envía BPDUs “inferiores”.
• Estas BPDUs contienen la dirección MAC propia del switch en
el root y en el sender BID.
• Todos los otros switches ven las BIDs enviadas.
• Como un switch recibe una BPDUs con un root BID más bajo
éste cambia las BPDUs que son enviadas para reflejar el BID
más bajo.
• Eventualmente el bridge con el valor BID más pequeño será el
root bridge.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 14

 Designando el Root Bridge
• Para configurar un switch para que llegue a ser el root para
una VLAN específica, modifique la prioridad del switch de su
valor predeterminado (32768) a un valor significativamente
más bajo.
• Cuando ingrese este comando, el switch verifica la prioridad
del switch de los root switches por cada VLAN.
switch(config)#spanning-tree vlan vlan-id
priority 4096
O
switch(config)#spanning-tree priority 1

Semestre Mar-Ago2014 Ing. Carlos Vásquez 15

 Selección Puente Raíz

Semestre Mar-Ago2014 Ing. Carlos Vásquez 16

 Estados de puertos en STP
• Bloqueado (Blocked)
– Al iniciar el switch
• Escuchando (Listening)
– Esperando mensajes STP para asegurarse de que
no hay bucles
• Aprendiendo (Learning)
– Recibiendo tramas y guardando direcciones MAC
en la tabla
• Reenviando (Forwarding)

Semestre Mar-Ago2014 Ing. Carlos Vásquez 17

 ETAPAS DE LOS ESTADOS DEL
PUERTO SPANNING-TREE
Estado de bloqueo:
• Puertos sólo pueden recibir las BPDU.
• Las tramas de datos se descartan y no se puede
aprender ninguna dirección.
• El cambio de un estado a otro puede tardar hasta
unos 20 segundos.
Puertos pasan del estado bloqueado al de
escuchar.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 18

 ETAPAS DE LOS ESTADOS DEL
PUERTO SPANNING-TREE
Estado de escucha:
• Switches determinan si hay alguna otra ruta hacia el puente
raíz.
• La ruta que no sea la ruta con un menor costo hacia el puente
raíz vuelve al estado de bloqueo.
• El período de escuchar se denomina retardo de envío y dura
15 segundos.
• Los datos no se envían y no se reciben las direcciones MAC.
• Las BPDU todavía se siguen procesando.
Puertos pasan del estado de escuchar al de
aprendizaje.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 19
 ETAPAS DE LOS ESTADOS DEL
PUERTO SPANNING-TREE
• En el estado de aprendizaje:
• Los datos de usuario no se envían pero se aprenden
las direcciones MAC del tráfico que se recibe.
• El estado de aprender dura 15 segundos y también
se denomina retardo de envío.
• Las BPDU todavía se siguen procesando.
Puerto pasa del estado de aprender al estado
de enviar.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 20

 ETAPAS DE LOS ESTADOS DEL
PUERTO SPANNING-TREE
Estado de envío:
• Los datos se envían y se siguen aprendiendo las
direcciones MAC.
• Las BPDU todavía se siguen procesando.
Estado deshabilitado:
• Este estado se puede producir cuando un
administrador desactiva el puerto o el puerto falla.
Valores de tiempo determinados para cada estado son
los valores por defecto.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 21
 Estados del Puerto
Blocking En el estado de blocking, los puertos solamente reciben BPDUs. Las tramas de datos
son descartadas y ninguna dirección puede ser aprendida. Puede tomar 20 segundos
para cambiar de este estado.

Listening En este estado, los switches determinan si hay otras rutas hacia el root bridge. La ruta
que no es la de menor costo de ruta hacia el root bridge va de regreso al estado
blocked. El periodo de escucha es llamado el forward delay y dura 15 segundos. En el
estado de escucha (listening), los datos de usuario no son reenviados y las direcciones
MAC no son aprendidas. BPDUs todavía son procesadas.

Learning En este estado los datos de usuario no son reenviados, pero las direcciones MAC son
aprendidas de cualquier tráfico que es visto. El estado de aprender (learning) dura 15
segundos y también es llamado el forward delay. BPDUs todavía son procesadas.

Forwarding En este estado los datos de usuario son reenviados y las direcciones MAC continúan
siendo aprendidas. Las BPDUs son todavía procesadas.

Disabled El estado desactivar puede ocurrir cuando un administrador desactiva el puerto o el

puerto falla.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 22

 Rapid Spanning
Tree

Semestre Mar-Ago2014 Ing. Carlos Vásquez 23

 Recálculo
• Una red conmutada ha convergido cuando el switch y los
puertos bridge están en el estado forwarding o blocked.
• Cuando la topología de la red cambia, los switches y
bridges recalculan el Spanning Tree y causa una
interrupción del tráfico de usuario.
• La convergencia en una nueva topología spanning-tree
que usa el estándar IEEE 802.1d puede tomar hasta 50
segundos.
• Esta convergencia se compone del tiempo-máximo de 20
segundos, más el tiempo de listening forward delay de 15
segundos, y el tiempo de learning forward delay de 15
segundos.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 24
 Rapid Spanning Tree Protocol
• El Protocolo Rapid Spanning-Tree introduce lo siguiente:
Aclaración de los estados y roles de puerto.
Definición de un conjunto de tipos de enlace que puedan ir
al estado forwarding rápidamente.
El concepto de permitir a los switches, en una red
convergida, generar sus propias BPDUs más bien que
retransmitir las BPDUs del root bridge.
• El estado “blocked” de un puerto ha sido renombrado como el
estado “discarding”. Un rol de un discarding port es un
“puerto alterno”. El discarding port puede llegar a ser el
“designated port” en un evento de falla del designated port
para el segmento.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 25

•
Convergencia
Tipos de enlace han
de Rapid STP
sido definidos como
point-to-point,
edge-type, y shared.
Estos cambios
permiten que la falla
de enlaces en la red
conmutada sean
rápidamente
aprendidos.
• Enlaces point-to-
point y edge-type
pueden ir al estado
forwarding
inmediatamente.
• La convergencia de la red no necesita ser mayor que 15 segundos con
estos cambios.
• El Protocolo Rapid Spanning-Tree Protocol, IEEE 802.1w, eventualmente
reemplazará al Protocolo Spanning-Tree, IEEE 802.1D.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 26
 Virtual Trunking
Protocol

Semestre Mar-Ago2014 Ing. Carlos Vásquez 27

 Repaso de VTP
• VTP es un protocolo de mensajería de Capa 2 que mantiene la
consistencia de configuración de VLAN administrando la
adición, eliminación y renombre de VLANs en una base de
red-amplia.
• VTP minimiza malas configuraciones e inconsistencias de
configuración que puedan causar varios problemas, tales
como duplicar nombres de VLAN, especificaciones de tipo-de-
VLAN incorrectas, y violaciones de seguridad.
• Con el uso de VTP, se puede hacer cambios de configuración
centralizados en uno o más switches y tener aquellos cambios
automáticamente comunicados a todos los otros switches en
la red.
• Agregar información de VLAN al servidor de VTP.
• Agregar interfaces a las VLANs en el servidor y clientes.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 28
 VTP Modes
Modo VTP Descripción

VTP server Puede crear, modificar y eliminar VLANs y especificar otros parámetros
de configuración (tales como la versión de VTP) para el dominio
completo de VTP. Los servidores VTP anuncian sus configuraciones de
VLAN a otros switches en el mismo dominio de VTP y sincronizan sus
configuraciones de VLAN con otros switches basado en anuncios
reicibidos sobre los enlaces troncales.

En modo de servidor VTP, las configuraciones de VLAN son guardadas

en la memoria nonvolatile RAM (NVRAM). VTP server es el modo
predeterminado.

VTP client No puede crear, cambiar o eliminar VLANs en un modo VTP Client.

En modo VTP client, las configuraciones de VLAN no son grabadas en

NVRAM.

VTP Los switches que están en VTP transparent no participant en VTP. Un

transparent switch en modo VTP transparent no anucia su configuración de VLAN y
no sincroniza su configuración de VLAN basada en los anuncios
recibidos. Sin embargo, en VTP versión 2, los switches en transparent
envían los anuncios de VTP que ellos reciben de otros switches desde
sus interfaces troncales. Puede crear, modificar y eliminar VLANs en
un switch en modo transparent.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 29
 Número de Revisión de VTP
• Antes de agregar un switch en VTP cliente a un
dominio de VTP, verifique que su configuración de
número de revisión de VTP es menor que la
configuración del número de revisión de los otros
switches en el dominio de VTP.
• Los switches en un dominio de VTP siempre usan la
configuración de VLAN del switch con el número de
revisión de la configuración de VTP más alto.
• Si agrega un switch que tiene un número de revisión
más alto que el número de revisión en el dominio de
VTP, éste puede borrar toda la información de VLAN
del servidor VTP y del dominio de VTP.
• ¡Para reiniciar el número de revisión, el switch debe
ser reiniciado!
Semestre Mar-Ago2014 Ing. Carlos Vásquez 30
 Configurando VTP Server & Clients
• Configurando un VTP server:
switch# vlan database
switch(vlan)# vtp server
switch(vlan)# vtp domain eng_group
switch(vlan)# vtp password mypassword
switch(vlan)# end
• Configurando un VTP client:
switch# vlan database
switch(vlan)# vtp client
switch(vlan)# vtp domain eng_group
switch(vlan)# vtp password mypassword
switch(vlan)# end
Semestre Mar-Ago2014 Ing. Carlos Vásquez 31
 VTP Versión 2
• VTP versión 2 está desactivada por default en
los switches con capacidad de VTP versión 2.
• Cuando se habilita VTP versión 2 en un switch,
cada switch con capacidad de VTP versión 2 en
el dominio de VTP habilita la versión 2.
• Solamente puede configurar la versión en los
switches que están en modo VTP server o
transparent.
switch(config)# vtp version 2
Semestre Mar-Ago2014 Ing. Carlos Vásquez 32
 Monitoreando VTP
• Use los comandos show para monitorear VTP:
• Despliega la información de configuración de
VTP del switch.
show vtp status
• Despliega los contadores acerca de los
mensajes de VTP que han sido enviados y
recibidos.
show vtp counters

Semestre Mar-Ago2014 Ing. Carlos Vásquez 33

 Configuración

Semestre Mar-Ago2014 Ing. Carlos Vásquez 34

 Tareas de Configuración
• Configuración Básica:
Configurar hostname
Configurar contraseñas en la consola y líneas virtuales
Configurar la dirección IP para la VLAN1 y default gateway
Configurar velocidades de puerto
Habilitar/deshabilitar el acceso por HTTP
• Configuración Avanzada:
Administración de la tabla de Direcciones MAC
Port security
Spanning Tree
Trunking
VLANs

Semestre Mar-Ago2014 Ing. Carlos Vásquez 35

 Tabla de Direcciones MAC
• Los switches aprenden las direcciones MAC de
los dispositivos que están conectados a los
puertos examinando la dirección origen de las
tramas que son recibidas en aquel puerto.
• Las direcciones MAC aprendidas son
registradas en una tabla de direcciones MAC.
• Las tramas que tienen una dirección destino
MAC que ha sido registrada en la tabla puede
ser conmutada hacia la interface correcta.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 36
 Administrando la Tabla de
Direcciones MAC
• Para examinar las direcciones que un switch ha aprendido, entre
en el modo exec privilegiado el comando show mac-
address–table.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 37

 Administrando la Tabla de
Direcciones MAC
• Usando el comando clear mac-address-table para
limpiar las entradas de la tabla asegurará que las direcciones
que ya no son válidas sean removidas inmediatamente.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 38

 Direcciones MAC estáticas
• Cuando se configuró como estática, la dirección MAC no será
registrada en tiempo automáticamente por el switch.
• Usada cuando un servidor específico o estación de trabajo de
un usuario debe ser fijada al puerto y la dirección MAC es
conocida. La seguridad es mejorada definiendo el
comportamiento de reenvío.
• Este ejemplo muestra cómo agregar la dirección
c2f3.220a.12f4 estática a la tabla de direcciones MAC. Cuando
un paquete es recibido en la VLAN 4 con esta dirección MAC
como su dirección destino, el paquete es reenviado a la
interface especificada:
Switch(config)# mac address-table static
c2f3.220a.12f4 interface gigabitethernet0/1
vlan 4
Semestre Mar-Ago2014 Ing. Carlos Vásquez 39
 Configurando Direcciones MAC
Estáticas.
• Para configurar entradas de direciones MAC estáticas para un switch:
Switch(config)#mac-address-table static <mac-address of
host> interface FastEthernet <Ethernet numer> vlan #

•Para remover esta entrada use la forma de negación del comando:

Switch(config)#no mac-address-table static <mac-address
of host> interface FastEthernet <Ethernet number> vlan
<vlan name>
Semestre Mar-Ago2014 Ing. Carlos Vásquez 40
 Port Security
• Es posible limitar el número de direcciones que puedan ser
aprendidas en una interface.
• El switch puede ser configurado para tomar una acción si este
número es excedido.
• Cuando asigne direcciones MAC seguras a un puerto seguro,
el puerto no reenvía paquetes con direcciones origen que no
pertenezcan al grupo de direcciones definidas.
• Las direcciones MAC seguras pueden ser configuradas
estáticamente. Sin embargo, la seguridad de las direcciones
MAC estáticamente pueden ser una tarea compleja y
propensa a error.
• Una alternativa propuesta es configurar port security en una
interface del switch.
• El número de direcciones MAC por puerto puede ser limitado
a 1. La primera dirección dinámicamente aprendida por el
switch llega a ser la dirección segura.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 41
 Tipos de Direcciones Seguras
• Static secure MAC addresses—Éstas son manualmente
configuradas usando el comando switchport port-security
mac-address en el modo de configuración de interface,
almacenado en la tabla de direcciones, y agregada a la
configuración del switch ejecutándose.
• Dynamic secure MAC addresses—Éstas son dinámicamente
configuradas, almacenadas solamente en la tabla de
direcciones, y eliminadas cuando el switch se reinicia.
• Sticky secure MAC addresses—Éstas son dinámicamente
configuradas, almacenadas en la tabla de direcciones, y
agregadas a la configuración actualmente corriendo. Si estas
direcciones son guardadas en el archivo de configuración,
cuando el switch se reinicie, las interfaces no necesitan
reconfigurarlas dinámicamente.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 42
 Tipos de Direcciones Seguras
• Se puede configurar una interface para convertir las direcciones MAC
dinámicas a sticky secure MAC addresses y agregarlas a la configuración
actualmente corriendo. Para habilitar sticky learning, inserte el comando
en modo de configuración de interface switchport port-security mac-
address sticky. La interface convierte todas las direcciones MAC dynamic
secure, incluyendo aquellas que fueron dinámicamente aprendidas antes
de sticky learning fuera habilitado, a sticky secure MAC addresses.
• Las direcciones MAC sitcky secure no llegan a ser automáticamente parte
de un archivo de configuración, el cual es la configuración de startup
usada cada vez que el switch se reinicia. Al guardar las sticky secure MAC
addresses en el archivo de configuración, cuando el switch se reinicia, la
interface no necesita volver a aprender estas direcciones. Si no se guarda
las direcciones sticky secure, ellas son perdidas.
• Si sticky learning es deshabilitado, las direcciones MAC sticky secure son
convertidas a direcciones dynamic secure y son removidas de la
configuración actualmente corriendo.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 43

 Violaciones de Seguridad
• Es una violación de seguridad cuando una de estas situaciones
ocurre:
El máximo número de direcciones MAC seguras han sido
agregadas a la tabla de direcciones, y una estación de
quien la dirección MAC no está en la tabla de direcciones
intenta acceder a la interface.
Una dirección aprendida o configurada en una interface
segura es vista otra interface segura en la misma VLAN.

Default Settings

Port Security Disabled

Max Secure Mac Addresses 1

Violation Mode shutdown

Semestre Mar-Ago2014 Ing. Carlos Vásquez 44
• Se puede configurar la interface para uno de tres modos de violación,
basado en la acción a ser tomada si una violación ocurre:

• protect—Cuando el número de secure MAC addresses alcanza el límite

máximo permitido en el puerto, los paquetes con direcciones origen
desconocida son eliminados hasta que se elimine un número suficiente
de secure MAC addresses.
• restrict—Una violación de seguridad de puerto restringe los datos y
dependiendo del tipo de direcciones seguras, envía un mensaje de
registro del sistema, envía un trap de SNMP, y causa que el contador de
SecurityViolation incremente.
• shutdown—Cuando una violación de seguridad de puerto ocurre, la
interface está en error-disabled y el LED del puerto es apagado.
Cuando un puerto seguro están en el estado de error-disabled, se
puede sacarlo de este estado presionando el comando de
configuración global errdisable recovery cause psecure-
violation o manualmente re-habilitarlo ingresando los comandos
shutdown y no shutdown en configuración de interface.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 45
 Configurando Port Security
• Use el comando port security en el modo de
configuración de interface para:
Habilitar port security en un puerto
Configurar el tiempo de las entradas de direcciones
seguras dinámicas y estáticas.
Restringir el uso del puerto a un grupo de usuario definido
de estaciones
• Para verificar el estado de port security el comando show
port security.
• Sintaxis del Comando:
port security [action {shutdown | trap}
| aging {time time} | max-mac-count
addresses]
Semestre Mar-Ago2014 Ing. Carlos Vásquez 46
 Configurando Port Security
• Action(Opcional): Acción a tomar cuando una violación de
dirección ocurre en este puerto.
– shutdown—Deshabilita el puerto cuando una violación de
seguridad ocurre.
– trap—Genera un trap de Simple Network Management Protocol
(SNMP) cuando una violación de seguridad ocurre.
• Aging (Opcional): Habilita port security aging para este puerto y
configura el aging time. El rango es 0 a 1440 minutos. Si el tiempo de
aging es 0, el aging es desactivado para el puerto.
• Max-mac-count (Opcional): El número máximo de direcciones seguras
que este puerto puede soportar. El rango es de 1 a 132.
• Instrucciones cuando configure port security:
– Port security solamente puede ser configurado en static access
ports.
– Un puerto seguro no puede ser un dynamic access port o un trunk
port.
Semestre Mar-Ago2014 Ing. Carlos Vásquez 47
 Configure Port Security
• Habilitar port-security.
• SwA(config-if)# switchport port-security
• Indicar que sólo se permite una MAC por interfaz.
• SwA(config-if)# switchport port-security maximum 1
• Configurar el modo restrict para cuando ocurra una violación del puerto.
• SwA(config-if)# switchport port-security violation restrict
• Configurar el aprendizaje de direcciones MAC sticky.
• SwA(config-if)# switchport port-security mac-address sticky
• O bien especificar una MAC de forma estática.
• SwA(config-if)# switchport port-security mac-address 5400.0000.0001
• Chequear el estado de port-security.
• SwA# show port-security

Semestre Mar-Ago2014 Ing. Carlos Vásquez 48

 Configuraciones de Show Port
Security
• Switch# show port-security interface fastethernet0/1
• Port Security: Enabled
• Port status: SecureUp
• Violation mode: Shutdown
• Maximum MAC Addresses :50
• Total MAC Addresses: 11
• Configured MAC Addresses: 0
• Sticky MAC Addresses :11
• Aging time: 20 mins
• Aging type: Inactivity
• SecureStatic address aging: Enabled
• Security Violation count: 0
Semestre Mar-Ago2014 Ing. Carlos Vásquez 49
 Port Security: No Violaciones
• Use show port-security para obtener una
descripción de port security configurado.

• Use show port-security interface x/x para

obtener información más detallada acerca de una
interface configurada.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 50

 Port Security: Violaciones
• El switch genera alertas cuando un puerto observa una
violación.

• La violación se muestra en el resumen.

• Y en la interface.

Semestre Mar-Ago2014 Ing. Carlos Vásquez 51

 VLAN Trunking

Semestre Mar-Ago2014 Ing. Carlos Vásquez 52

 VLAN Trunks (Troncales)
• Una troncal es un enlace punto-a-punto entre uno o más
interfaces Ethernet del switch y otro dispositivo de red tal
como un router o un switch.
• Las troncales llevan tráfico de múltiples VLANs sobre un
simple enlace, y puede extender las VLANs a través de una
red completa.
• Las interfaces troncales Ethernet soportan diferentes modos
de trunking.
• Puede configurar una interface como trunking, nontrunking o
negotiate trunking con la interface vecina. Para autonegociar
el trunking, las interfaces tendrán que estar en el mismo
dominio de VTP.
• Cuando un nodo en una VLAN necesita comunicarse con un
nodo en otra VLAN, un router es necesario para enrutar el
tráfico entre las VLANs. Sin el dispositivo de enrutamiento, el
tráfico
Semestre inter-VLAN no sería
Mar-Ago2014 posible.
Ing. Carlos Vásquez 53
 Modos de Interface
Modo Función
switchport mode Coloca la interface en un modo permanente nontrunking y
access negocia convertir el enlace en un enlace no troncal. La
interface llega a ser una interface nontrunk aún si la interface
vecina no es una interface troncal.
switchport mode Hace que la interface activamente intente convertir el enlace a
dynamic desirable un enlace troncal. La interface llega a ser una interface troncal
si la interface vecina está configurada como modo trunk,
desirable, o auto. El modo predeterminado para todas las
interfaces Ethernet.
switchport mode Hace a la interface capaz de convertir el enlace en un enlace
dynamic auto troncal. La interface llega a ser una interface troncal si la
interface vecina está configurada en modo trunk o desirable.

switchport mode Pone la interface en modo permanente trunking y negocia

trunk convertir el enlace en un enlace troncal. La interface llega a
ser una interface troncal aún si la interface vecina no es una
interface troncal.
switchport Previene a la interface de generar tramas DTP. Puede usar este
nonegotiate comando solo cuando el modo switchport de la interface es
access o trunk. Usted debe configurar manualmente la
interface vecina como una interface troncal para establecer un
enlace troncal.
 Configurando Interfaces para
Trunking
• Entre a modo de configuración de interface y al puerto a ser
configurado para trunking.
switch(config)# interface interface-id
• Configure la interface como una troncal de Capa 2.
switch(config-if)# switchport mode trunk
• Configure el tipo de encapsulation.
switch(config-if)# switchport mode trunk
encapsulation type
• Especifique la VLAN nativa.
switch(config-if)# switchport trunk
native vlan vlan-id
Semestre Mar-Ago2014 Ing. Carlos Vásquez 55
• Cambiar de VLAN de administracion
• S1(config)#interface vlan 99
• S1(config-if)#ip address 172.17.99.11 255.255.255.0
• S1(config-if)#no shutdown
• Asignar puertos a la vlan de administracion
• S1(config)#interface range fa0/1-5
• S1(config-if-range)#switchport mode trunk
• S1(config-if-range)#switchport trunk native vlan 99
• S1(config-if-range)#no shutdown
• S1(config-if-range)#end

Semestre Mar-Ago2014 Ing. Carlos Vásquez 56

 Ejemplo de VLAN

VLAN 2

Fa 0/2

Trunking VLANs 1-3

Fa 0/1 Fa 0/0

Fa 0/3

VLAN 3

Semestre Mar-Ago2014 Ing. Carlos Vásquez 57

 Ejemplo de VLAN : Configuración del
Switch
• Configure la dirección IP y default gateway para la VLAN1 para propósitos de
administración.
switch(config)#int vlan 1
switch(config-if)#ip address 10.10.10.2 255.255.255.0
switch(config)#ip default-gateway 10.10.10.1
• Agregue VLANs, la VLAN1 existe por default.(vlan database )
switch(vlan)#vlan 2
switch(vlan)#vlan 3
• Habilite trunking.
switch(config)#int fastEthernet 0/1
switch(config-if)#switchport mode trunk
switch(config-if)#switchport mode trunk encapsulation
dot1q
• Permita a todas las VLANs en la troncal.
switch(config-if)#switchport trunk allowed vlan all
• Agregue interfaces a las VLANs
switch(config)#int fastEthernet 0/2
switch(config-if)#switchport access vlan 2
switch(config)#int fastEthernet 0/3
Semestre Mar-Ago2014 Ing. Carlos Vásquez 58
switch(config-if)#switchport access vlan 3
 Ejemplo de VLAN : Configuración del
•
Router
Seleccione FastEthernet 0/0 para la configuración de la troncal.
• No hay configuraciones de Capa 2 o Capa 3 hechas aquí.
router(config)#int fastEthernet 0/0
router(config-if)#no shut
• Configure las subinterfaces
router(config)#int fastEthernet 0/0.1
router(config-subif)#encapsulation dot1Q 1
native
router(config-subif)#ip address 10.10.10.1
255.255.255.0
router(config)#int fastEthernet 0/0.2
router(config-subif)#encapsulation dot1Q 10
router(config-subif)#ip address 10.10.20.1
255.255.255.0
router(config)#int fastEthernet 0/0.3
router(config-subif)#encapsulation dot1Q 20
router(config-subif)#ip address 10.10.30.1
255.255.255.0
Semestre Mar-Ago2014 Ing. Carlos Vásquez 59
 Confirme la Configuración
• Vea las configuraciones de VLAN
switch# show vlan brief
VLAN Name Status Ports
---- --------------- --------- --------------------
-----
1 Default active Fa0/1, Fa0/4, Fa0/5,
Fa0/6,Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 VLAN 2 active Fa0/2
3 VLAN 3 active Fa0/3

Semestre Mar-Ago2014 Ing. Carlos Vásquez 60

 Confirme la Configuración
• Vea el estado de VTP
switch# show vtp status
VTP Version : 2
Configuration Revision : 25
Maximum VLANs supported locally: 250
Number of existing VLANs : 7
VTP Operating Mode : Server
VTP Domain Name : null
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled

Semestre Mar-Ago2014 Ing. Carlos Vásquez 61

 Confirme la Configuración
• Vea la troncal
switch# show interfaces fastethernet0/1
switchport
Name: Fa0/4
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Trunking VLANs Active: 1, 2, 3
Semestre Mar-Ago2014 Ing. Carlos Vásquez 62