Capítulo 20 - Funcionalidades de Switching

Ya comprendemos las partes fundamentales de Switching y eso es como un switch

maneja las tramas así como el enrutamiento.

Nos queda por ver otro aspecto muy importante que es Spanning tree pero eso será para el
próximo capítulo. Por ahora veremos algunos temas muy puntuales de funcionalidades que
poseen los switches y específicamente los switches Cisco

Cisco Discovery Protocol y LLDP

CDP (Cisco Discovery Protocol), es un protocolo de capa 2 (enlace de datos), que

fue desarrollado por Cisco, dicho protocolo solo puede ser habilitado en equipos
Cisco. CDP está habilitado por defecto en los equipos y es útil para recolectar
información de los dispositivos vecinos (siempre que CDP este activo en ellos).

La información que puede recopilarse es:

● Nombre del equipo remoto.

● Interface local y remota.
● Tipo de plataforma del equipo remoto.
● Capacidades del dispositivo remoto (R = Router, S = Switch, H = Host, T =
Trans Bridge, o combinaciones de los codigos).
● Versión del IOS.
● Versión de CDP, la versión mas reciente es la 2.
● Si la interface funciona como full o half duplex.

Como se menciono previamente, CDP esta activado por defecto pero puede ser
desactivado utilizando el siguiente comando: no cdp run en configuración global
(configure terminal). Lo siguientes comando son también útiles:

● cdp run: Habilita CDP globalmente en el equipo de red.

● cdp enable: Habilita CDP en una interface siempre y cuando CDP este
habilitado de manera global. Para deshabilitar CDP en un interface se
antepone la palabra no.
● cdp advertise-v2: Habilita la versión 2 de CDP.
● cdp timer: El tiempo en que los paquetes de CDP son enviados, por defecto
son 60 segundos.
● cdp holdtime: Específica el tiempo que un equipo receptor mantiene
información de CDP, este tiempo es dado en segundos y por defecto son 180
segundos.
● cdp log: Registra eventos generados por CDP.
● show cdp: Muestra información local acerca de CDP.
● show cdp neighbor: Muestra información de los equipos vecinos.
Capítulo 20 - Funcionalidades de Switching

● show cdp neighbor details: Muestra información de los equipos de una

manera mejor estructurada.
● show cdp entry: Muestra información relacionada a un vecino o sobre todos
los vecinos.

Por prácticas de seguridad se recomienda deshabilitar CDP, pero esto queda a

decisión del Ingeniero de redes, ya que es un protocolo de mucha ayuda, también
que teléfonos IP Cisco utilizan CDP para encontrar información del DHCP.

LLDP

Es un protocolo igual de útil como CDP, LLDP (Link Layer Discovery Protocol) es
también un protocolo capa 2, la diferencia con CDP es que es estándar siendo
utilizado en varias marcas de equipos de red.

Los switches Cisco soportan LLDP y este ya viene habilitado por defecto, a
diferencia de CDP este comando nos ayuda a recopilar información de equipos
conectados que son de otros fabricantes. Se debe considerar que solo se puede
utilizar en interfaces fisica y que muestra un equipo conectado por puerto. Que
información nos muestra:

● Nombre del equipo remoto.

● Interface local y remota.
● Identificador del chasis.
Capítulo 20 - Funcionalidades de Switching

● Capacidades del dispositivo remoto (R = Router, B = Bridge, S = Station,

T = Teléfono, etc. o combinaciones, Note que los codigo cambian).
● Versión del sistema operativo.
● Identificador de VLAN, el cual representa a la VLAN nativa en una interface
en modo trunk.
● Si la interface funciona como full o half duplex.

Los siguientes comandos son utiles:

● lldp run: Habilita LLDP globalmente en el equipo de red. Para deshabilitarlo

se antepone la palabra no.
● lldp transmit: Permit transmitir información del equipo local al vecino
directamente conectado. Para deshabilitarlo se antepone la palabra no.
● lldp receive: Para recibir información del equipo directamente conectado al
nuestro. Para deshabilitarlo se antepone la palabra no.
● lldp timer: El tiempo en que los paquetes de LLDP son enviados, por defecto
son 30 segundos.
● lldp holdtime: Específica el tiempo que un equipo receptor mantiene
información de LLDP, este tiempo es dado en segudos y por defecto son 120
segundos.
● lldp reinit: Especifica el tiempo en segundos para iniciar la transmitir
información LLDP en una interface.
● lldp tlv-select: (TLV - Type Length and Value) es información que es adherida
a los protocolos de comunicación para transmitir cierta información de
manera codificada.

● show lldp: Muestra información local acerca de LLDP

● show lldp neighbor: Muestra información de los equipos vecinos
Capítulo 20 - Funcionalidades de Switching

● show lldp neighbor details: Muestra información de los equipos de una

manera mejor estructurada.
● show lldp errors: Muestra información relacionada a problemas de asignación
de memoria, encapsulación o sobre la información de ingreso de datos.

Voice VLAN

VLAN de Voz y Datos

El cambio de usar el cableado disponible con los nuevos teléfonos IP que
necesitan un cableado UTP que soporten Ethernet causa algunos problemas
en las oficinas, por ejemplo:

● El viejo teléfono (no IP) usaba una categoría de cableado UTP

que no soporta Ethernet a 100Mps o 1000Mbps.
● La mayoría de las oficinas tienen un único cable UTP
conectados desde el rack hasta cada escritorio, pero ahora
tenemos dos dispositivos (la PC y el Teléfono IP) y ambos
necesitan un cable conectado desde el escritorio hasta el rack.
● Instalar un nuevo cable a cada escritorio podría ser muy caro,
además requerirá más puertos del switch.
Capítulo 20 - Funcionalidades de Switching

Para solucionar éste problema Cisco incorpora un pequeño switch con

tres puertos en los teléfonos IP. De esta manera, se usara un único cable
conectado desde el rack hasta el switch del telefono IP y la PC se conecta a
un puerto del pequeño switch del teléfono.

Qué es una VLAN de Voz y Datos

La configuración define dos VLANs en un único puerto físico:

VLAN de Datos: La idea y la configuración es igual que una VLAN de acceso

en un puerto de acceso para la PC conectada al switch del telefono IP.

VLAN de Voz: Es la VLAN definida en el enlace para reenviar el tráfico del

teléfono. El tráfico en esta VLAN usa usualmente un encabezado de etiqueta
802.1Q.

Cómo Configurar una VLAN de Voz y Datos

Capítulo 20 - Funcionalidades de Switching

VLAN de Voz y VLAN de Datos por un único cable UTP

Veremos cómo configurar una VLAN para voz en un switch Cisco y la VLAN
de datos.

Tomando como ejemplo la imagen anterior, configuraremos los primeros

cuatro puertos (F0/1–F0/4) que vienen con la configuración por defecto.

Comandos y Pasos para Configurar VLAN de Voz y Datos en un

Mismo Puerto

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# vlan 10
SW1(config-vlan)# vlan 11
SW1(config-vlan)# interface range FastEthernet0/1 - 4
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10
SW1(config-if)# switchport voice vlan 11
SW1(config-if)#^Z
SW1#

Nota: El protocolo CDP deberá estar habilitado en la interfaz para que el

puerto de acceso de voz funcione con el Teléfono IP de Cisco. De todas
maneras CDP está habilitado por defecto.
Capítulo 20 - Funcionalidades de Switching

show interfaces número-de-interfaz switchport

SW1# show interfaces FastEthernet 0/4 switchport

Name: Fa0/4
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (VLAN0010)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: 11 (VLAN0011)
! The rest of the output is omitted for brevity

show interfaces trunk

show interfaces tipo-número-interfaz trunk

SW1# show interfaces trunk

SW1# show interfaces F0/4 trunk

Port Mode Encapsulation Status Native

vlan
Fa0/4 off 802.1q not-trunking 1

Port Vlans allowed on trunk

Fa0/4 10-11

Port Vlans allowed and active in management domain

Fa0/4 10-11

Port Vlans in spanning tree forwarding state and not

pruned
Fa0/4 10-11

Port Vlans in spanning tree forwarding state and not pruned

Fa0/4 10-11

En Resumen:
Capítulo 20 - Funcionalidades de Switching

● Configura los puertos como un puerto de acceso normal:

Configurar como un puerto de acceso estático y asigna una
VLAN.
● Agrega un comando más para definir la VLAN de voz (switchport
voice vlan vlan-id).
● Observa que se nombra a la VLAN ID de voz en la salida del
comando show interfaces tipo-número-interfaz switchport.
● Observa que se ve la VLAN de voz y datos, ambas VLAN IDs en
la salida del comando show interfaces trunk.
● No esperes ver listado el puerto en la lista de trunks operativos
con el comando show interfaces trunk.

Port- Security
Capítulo 20 - Funcionalidades de Switching

Con el objetivo de incrementar la seguridad en una red LAN es posible

implementar seguridad de puertos en los switches de capa de acceso, de manera
de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello Cisco
provee port security, un mecanismo bastante potente y sencillo que resumiré a
continuación.

Dirección MAC segura estática

● Se configura manualmente.
● Se agrega a la tabla de direcciones MAC.
● Se guarda en la running-config.
● Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address DIRECCION-

MAC

Dirección MAC segura dinámica

● Se aprende del tráfico que atraviesa la interfaz.

● Se la guarda en la tabla de direcciones MAC.
● Se pierde cuando se reinicia el equipo.

SwA(config-if)# switchport port-security

Dirección MAC segura sticky

● Se la puede configurar de forma manual o dinámica.

● Se la guarda en la tabla de direcciones MAC.
Capítulo 20 - Funcionalidades de Switching

● Se almacena en la running-config.
● Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address sticky

[DIRECCION-MAC]

La principal ventaja de las direcciones sticky en contraposición con las dinámicas es

que éstas últimas se agregan a la running-config. Así nos evitamos escribir un
montón de direcciones MAC de manera estática pero aún podemos guardarlas en el
archivo de configuración de manera que se mantengan inclusive si el switch se
reinicia.

Dos aspectos importantes a tener en cuenta:

● Si se habilitan las direcciones MAC sticky y ya había direcciones

aprendidas de forma dinámica, éstas pasan a la running-config y todas
las nuevas que se aprendan también se agregan allí.
● Si se deshabilitan las direcciones MAC sticky todas las que hubiera
pasan a ser dinámicas y se borran de la running-config. Además, todas
las que se aprendan también serán dinámicas.

Acciones a tomar si se produce una violación

Es importante tener en cuenta que por violación se entiende uno de los siguientes
dos casos:

● Se alcanzó la cantidad máxima de direcciones MAC permitidas.

● Una dirección MAC que se aprendió en un puerto se aprende por otro
puerto diferente.
Capítulo 20 - Funcionalidades de Switching

Los modos en los que se puede establecer un puerto para decidir qué acción
tomar en el caso de una violación son, entonces:

● Protect: una vez que se alcanzó el máximo de direcciones MAC en un

puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones
MAC que no sean válidas para ese puerto) es descartado. No obstante,
se continúa enviando el tráfico legal normalmente. No se notifica al
administrador de esta situación.
● Restrict: el mismo comportamiento que el caso anterior pero con la
diferencia que se envía un aviso al administrador mediante SNMP, se
registra el evento en el syslog y se incrementa el contador de violaciones.
● Shutdown: en este caso el puerto se da de baja dejándolo en estado err-
disabled (deshabilitado por error). Además se envía un aviso al
administrador mediante SNMP, se registra el evento en el syslog y se
incrementa el contador de violaciones.
● Shutdown VLAN: la única diferencia con el caso anterior es que se
deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto
completo. Es particularmente atractivo para los puertos de trunk.

Configuración

Para configurar port-security es importante saber que la interfaz debe estar en modo
access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté
en modo dinámico.

● Habilitar port-security.

SwA(config-if)# switchport port-security

● Indicar que sólo se permite una MAC por interfaz.

Capítulo 20 - Funcionalidades de Switching

SwA(config-if)# switchport port-security maximum 1

● Configurar el modo restrict para cuando ocurra una violación del puerto.

SwA(config-if)# switchport port-security violation restrict

● Configurar el aprendizaje de direcciones MAC sticky.

SwA(config-if)# switchport port-security mac-address sticky

● O bien especificar una MAC de forma estática.

SwA(config-if)# switchport port-security mac-address

5400.0000.0001

● Chequear el estado de port-security.

SwA# show port-security