12/06/2021

1
12/06/2021

2
12/06/2021

3
12/06/2021

4
 12/06/2021

1. Introducción a las Redes

2. Implementando Redes LAN Ethernet
3. Implementando VLANs, y STP
4. Direccionamiento IPv4
5. Enrutamiento IPv4
6. OSPF
7. IPv6
8. Redes LAN Inalámbricas

9. Control de Listas de Acceso IP (ACLs)

10. Servicios de Seguridad
11. Servicios IP
12. Arquitectura de Red
13. Automatización de Red

II. Redes LAN Ethernet. Usando la CLI

Ingresar al CLI
Modos de Acceso y Configuración
Tipos de Memoria
Copiar y Borrar Configuración
Configurar Consola
¿Cómo Funciona un Swtich?
Configurar Telnet
Configurar SSH
Configurar IP Gestión en Switch
Velocidad del Puerto de un Switch
Configurar Half Duplex y Full Duplex
– Seguridad en el Puerto del Switch

5
 12/06/2021

Copiar y Borrar Archivos de Configuración Cisco

Copiar Archivos de Configuración Cisco

En Modo Usuario ejecutar el comando copy running-config startup-

config (en memoria RAM) éste comando sirve para guardar la
configuración del archivo running-config al archivo startup-config
(en memoria NVRAM).

6
 12/06/2021

R1# copy startup-config running-config

Borrar Archivos de Configuración Cisco

Puedes borrar el archivo de configuración startup-config en un switch o

router Cisco puedes utilizar diferentes comandos:
• write erase
• erase startup-config
• erase nvram:

7
 12/06/2021

R1#write erase
Erasing the nvram filesystem will remove all configuration files!
Continue? [confirm]
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
R1#reload
Proceed with reload? [confirm]

Cómo Configurar Consola en Cisco

8
 12/06/2021

Pasos para Configurar Consola en Switch Cisco

Configurando la contraseña para consola:

• Utiliza el comando line con 0 para ingresar al modo de configuración
de la consola.
• Utiliza el subcomando login para habilitar la contraseña de seguridad
de consola utilizando un sistema de seguridad simple.
• Utiliza el subcomando password password-value para indicar la
contraseña de consola.

Switch#(config)# line console 0

Switch#(config-line)# password la_pass_que_quieras
Switch#(config-line)# login
Switch#(config-line)# exit

9
 12/06/2021

La primera (line console 0) identifica a la consola.

El comando login es para hacer una comprobación simple de la
contraseña en la consola. Por defecto el switch no pregunta por una
contraseña para el acceso a la consola.
Por último, el comando password la_pass_que_quieras define la
contraseña que se debe ingresar cuando se accede por consola.

Más de un usuario de acceso con Usuario Local y

Contraseña
Elcomando username nombre_ususario secret contraseña_usuario per
mitirá tener un nombre de usuario y contraseña, y podras tener varios
para cada administrador.

10
 12/06/2021

username usuario1 secret contraseña_usuario1

username ususario2 secret contraseña_usuario2

SW2# telnet 10.0.0.1

Trying 10.0.0.1 ... Open

User Access Verification

Username: usuario1
Password:
SW1> enable
Password:
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#^Z
SW1#
*Mar 11 05:00:46.329: %SYS-5-CONFIG_I: Configured from
console by wendell on vty0
(10.0.0.1)

11
 12/06/2021

¿Cómo Funciona un Swtich?

Explicar cómo funciona un Switch es sencillo, realiza tres simples

pasos. Los Switches reciben tramas Ethernet y toman decisiones. Entre
reenviar la trama hacia otro puerto o ignorar la trama.

12
 12/06/2021

Los pasos que realiza un switch son los

siguientes:
• Paso 1: El switch reenvía tramas basándose en la dirección MAC de destino:
• Si la MAC de destino es una broadcast, multicast o unicast con el destino desconocido (no
exite en la tabla de MAC), el switch inundala red reenviando la trama a todos los puertos.
• Si la dirección MAC de destino es una dirección conocida (existe en la tabla de MAC):
• Si la interfaz de salida en la tabla de direcciones MAC es diferente a la interfaz desde donde la recibió, el
switch reenvía la trama a la interfaz de salida.
• Si la interfaz de salida en la tabla de direcciones MAC es la misma que la interfaz desde donde la recibió,
el switch filtra la trama, esto quiere decir que el switch simplemente ignora la trama y no la reenvía.
• Paso 2: El switch utiliza la siguiente lógica para aprender las entradas de la tabla
de direcciones MAC:
• Reenvía cada trama recibida, examina la dirección MAC de origen y anota la interfaz por
donde la trama fue recibida.
• Si no existe la dirección MAC de originen la tabla, agrega la dirección y la interfaz por donde
la aprendió.
• Paso 3: El switch utiliza STP para prevenir loops (bucles) bloqueando algunas
interfaces, es decir, esas interfaces no podrán enviar o recibir tramas.

Paso 1. Como se Reenvían las Tramas Unicast

Conocidas
La primera acción del switch es reenviar tramas que le van llegando o
ignorarlas.
Para decidir a donde reenviar una trama, el switch utiliza una tabla
dinámica que él construye, en esta tabla se listan todas las direcciones
MAC y sus interfaces de salida.
El switch compara la dirección MAC de destino de la trama con su tabla
para decidir a donde debe reenviar la trama o simplemente la ignora.

13
 12/06/2021

Una manera muy simple de entender cómo se

reenvían las tramas unicast cuando son conocidas
es con las siguientes dos figuras:

14
 12/06/2021

Paso 2. Cómo Aprende Direcciones MAC un Switch

La segunda acción del switch se trata de aprender las direcciones MAC

e Interfaces para agregar a su tabla.
Los switches aprenden las direcciones MAC y las interfaces para
agregarlos a su tabla de direcciones.
El switch crea la tabla de direcciones leyendo la MAC de origen de las
trama que ingresan.
Si la MAC de origen de una trama no existe en su tabla de
enrutamiento, el switch crea una entrada en su tabla. La tabla lista
también la interfaz por donde la trama llego.

15
 12/06/2021

La siguiente es una figura donde muestro de

manera muy simple cómo aprende direcciones
MAC un switch:

16
 12/06/2021

Cómo Evitar Loops Utilizando STP (Spanning Tree

Protocol)
La tercera acción importante que realiza un switch es prevenir
loops (bubcles) utilizando STP.
Si no existiera STP en cualquier inundación de tramas (cuando recibe
una trama unicast desconocida o una trama de broadcast) quedara en
loop por un tiempo indefinido cuando existen enlaces físicos
redundantes.
Para prevenir lo anterior, STP bloquea puertos para que sólo exista un
camino activo si existe más de un camino físico para un mismo destino.
Si bien STP es una gran solución, también tiene aspectos negativos, por
ejemplo, se necesita algo de trabajo para balancear el tráfico a través
de un enlace redundante alternativo.

Estado del Switch por Defecto de Fábrica

Un switch viene con distintas configuraciones y estados por defecto

cuando se saca por primera vez de la caja:
• Las interfaces están habilitadas (enable) por defecto, prontas para
comenzar a trabajar una vez que el cable se conecta.
• Todas las interfaces están asignadas por defecto a la VLAN 1.
• Las interfaces con velocidad 10/100 y 10/100/1000
usan autonegociación por defecto.
• El aprendizaje de direcciones MAC, reenvíos e inundamiento
(broadcast) funciona por defecto.
• STP esta habilitado por defecto.

17
 12/06/2021

Cómo ver la tabla de direcciones MAC

show mac address-table dynamic

SW1# show mac address-table dynamic

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----
1 0100.1111.1111 DYNAMIC Fa0/1
1 0100.2222.2222 DYNAMIC Fa0/2
1 0100.3333.3333 DYNAMIC Fa0/3
1 0100.4444.4444 DYNAMIC Fa0/4
Total Mac Addresses for this criterion: 4
SW1#

18
 12/06/2021

Comandos Útiles en un Switch

• erase startup-config para borrar el archivo startup-config

• delete vlan.dat para borrar los detalles de configuración de la VLAN

• reload para reiniciar el switch (utilizando así la configuración de inicio

vacía, sin información de VLAN configurada)

• hostname SW1 modifica el nombre o hostname del switch

Comandos relacionados al historial guardado

Comando Descripciòn
show history Listael historial de comandos.
Permite a un usuario elegir, solamente
terminal history size x para su sesión, el tamaño del historial
de comandos guardados.
Dese la consola o desde el modo de
configuración de linea vty, configura el
history size x numero por defecto de comandos
guardados en el historial para ese
usuario.

19
 12/06/2021

Estado de la Interfaz y Razones Cuando No

Funcionan
• Los comandos del switch show interfaces y show interfaces
description listan los dos estados de la interfaz (line status ó estado
de línea y protocol status ó estado del protocolo).
• Line status hace referencia por lo general al funcionamiento de
la Capa 1, protocol status generalmente hace referencia al
funcionamiento de la Capa 2.

Nota: El estado del puerto se lista con los dos estados y slash en el medio de ellos, por ejemplo: up/up.
Los datos de la siguiente tabla están en ingles ya que así es la salida de los comandos de la interfaz.

20
 12/06/2021

Status Protocol Status Interface Status Causas Principales Típicas

El comando shutdown esta

administratively down down disable
configurado en la interfaz.

Sin cable; cable

roto, pinouts del cable
erróneos; velocidad
down down notconnected desincronizada; el vecino
esta (a) apagado, (b)
en shutdown, o (c) en
estado error disable.

No esperado en las
up down notconnected interfaces LAN físicas del
switch.
Port security tiene
down down (err-disable) err-disable
deshabilitada la interfaz.
La interfaz esta
up up connected
funcionando.

Observen por un momento los estados notconnect, este estado puede

tener varias causas, por ejemplo, usar los pinouts del cable
incorrectamente, velocidad, etc.

21
 12/06/2021

Cómo Configurar Telnet en Cisco

Pasos para Configurar Telent en Switch Cisco

Configurando la contraseña para Telnet (vty):

• Utiliza el comando line vty 0 15 para ingresar al modo de
configuración de vty en las 16 vty lines (enumerado del 0 al 15).
• Utiliza el subcomando login para habilitar la contraseña de seguridad
de las sesiones vty utilizando una contraseña simple.
• Utiliza el subcomando password password-value para configurar el
valor de la contraseña de vty.
• Telnet utiliza el puerto bien conocido 23/TCP.

22
 12/06/2021

Contraseña de Acceso en Telnet

Switch#(config)# line vty 0 15

Switch#(config-line)# password cualquier_contraseña
Switch#(config-line)# login
Switch#(config-line)# end

Más de un usuario de acceso con Usuario Local y

Contraseña

El comando username nombre_ususario secret

contraseña_usuario permitirá
tener un nombre de usuario y contraseña, y podras tener varios
para cada administrador.

username usuario1 secret contraseña_usuario1

username ususario2 secret contraseña_usuario2

23
 12/06/2021

SW2# telnet 10.0.0.1

Trying 10.0.0.1 ... Open

User Access Verification

Username: usuario1
Password:
SW1> enable
Password:
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#^Z
SW1#
*Mar 11 05:00:46.329: %SYS-5-CONFIG_I: Configured from
console by wendell on vty0
(10.0.0.1)

Cómo Configurar SSH en Cisco

Telnet tiene una seria desventaja frente a SSH: todos los datos en la
sesiones se trasmiten en texto plano, incluyendo la contraseña.
SSH encripta todos los datos transmitidos entre el cliente SSH y el
servidor, protegiendo así los datos y las contraseñas.
SSH utiliza el puerto bien conocido 22/TCP.

24
 12/06/2021

Agregando la Configuración SSH a la Configuración

de un Usuario Local
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
!
! Paso1. El hostname ya etsa configurado, pero se repite para
reafirmar
! el paso.
!
SW1(config)# hostname SW1
SW1(config)# ip domain-name ejemplo.com
SW1(config)# crypto key generate rsa
The name for the keys will be: SW1.ejemplo.com
Choose the size of the key modulus in the range of 360 to 2048
for your
General Purpose Keys. Choosing a key modulus greater than
512 may take
a few minutes.

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)
SW1(config)#
!
! Optionalmente, configura la versión SSH a la versión 2
!
SW1(config)# ip ssh version 2
!
! El paso siguiente, configurar la líneas vty para el soporte de
usuario local,
! de igual manera que en la configuración de Telnet
!
SW1(config)# line vty 0 15
SW1(config-line)# login local
SW1(config-line)# exit
!
! Se definen los ususarios locales tal como en Telnet
!
SW1(config)# username wendell password odom
SW1(config)# username chris password youdaman
SW1(config)# ^Z
SW1#

25
 12/06/2021

Nota: Puedes deshabilitar Telnet si lo deseas para tener mayor

seguridad,
de la misma manera se puede deshabilitar SSH.
Para hacer esto utiliza el dentro de vty el subcomando
transport input {all | none | telnet | ssh}.

transport input all or transport input telnet ssh: Soporta ambos, Telnet
y SSH
transport input none: No soporta a ninguno
transport input telnet: Soporta sólo Telnet
transport input ssh: Soporta sólo SSH

26
 12/06/2021

Pasos para configurar SSH en Cisco

• Configura el switch para generar un par de llaves (keys) públicas y

privadas que coincidan entre ellas para utilizan en la encriptación:
• Si no esta configurado, configura un hostname en el modo de configuración
global.
• Si no esta configurado, configura el nombre de dominio con el comando ip
domain-name en el modo de configuración global.
• Ingresa el comando crypto key generate rsa en el modo de configuración
global para generar una llave. (Utiliza al menos una llave de 768-bit para
poder soportar la versión 2 de SSH.)
• (Opcional) Utiliza el comando ip ssh version 2 en el modo de
configuración global para que no admita la versión 1 y 2 de SSH y sólo
admita SSHv2.

• (Opcional) Si no esta configurado con la especificaciones que deseas,

configura la líneas vty para aceptar SSH y también Telnet:
• Utiliza el comando transport input ssh en el modo de configuración line vty
para permitir sólo SSH.
• Utiliza el comando transport input all (por defecto) o el comando transport
input telnet ssh en el modo de configuración line vty para permitir tanto SSH
como Telnet.
• Utiliza varios comandos en el modo de configuración line vty para
configurar el nombre de usuario y autenticación mencionado antes
en éste artículo.

27
 12/06/2021

Ver el estado del servidor SSH

SW1# show ip ssh

SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

Ver los usuarios SSH

SW1# show ssh

Connection Version Mode Encryption Hmac State
Username
0 2.0 IN aes128-cbc hmac-sha1 Session started
wendell
0 2.0 OUT aes128-cbc hmac-sha1 Session started
wendell
%No SSHv1 server connections running.

28
 12/06/2021

Configurar IP de Gestión en un Switch

A pesar de que un switch es de Capa 2 y transmite Tramas

con Direcciones MAC y no Paquetes IP, permite que se le configure una
IP para la gestión.
Se puede acceder al switch por Telnet o SSH y otros protocolos de
gestión como SNMP.

Para configurar la IP de gestión del switch se utiliza una VLAN, por lo

general es la VLAN 1. Por defecto en un switch Cisco todos los puertos
tienen asignada la VLAN 1.
De todas maneras la IP de gestión puede ser configurada en cualquier
otra VLAN.

29
 12/06/2021

Pasos para Configurar la IP de Gestión del Switch

Configurar Gestión del Switch con una IP Estática
Paso 1. Ingresa el comando interfaz vlan 1 en el modo de configuración
global para ingresar al modo de configuración de la interfaz VLAN 1.
Paso 2. Ingresa el comando ip address ip-address mask en el modo de
configuración de la interfaz para asignar una dirección IP y una
máscara.

Paso 3. Ingresa el comando no shutdown en el modo de configuración

de la interfaz para habilitar la interfaz VLAN 1 si aun no estaba
habilitada.
Paso 4. Ingresa el comando ip default-gateway ip-address en el modo
de configuración global para configurar la ruta por defecto (default
gateway).
Paso 5. (Opcional) Agrega el comando ip name-server ip-address1 ip-
address2 … en el modo de configuración global para configurar el
switch y utilizar el Domain Name System (DNS) para resolver nombres
con su dirección IP correspondiente.

30
 12/06/2021

Ejemplo de configuración de Gestión del Switch con

una IP Estática
CCNA# configure terminal
CCNA(config)# interface vlan 1
CCNA(config-if)# ip address 192.168.1.100 255.255.255.0
CCNA(config-if)# no shutdown
00:35:07: %LINK-3-UPDOWN: Interface Vlan1, changed state to
up
00:35:08: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Vlan1, changed
state to up
CCNA(config-if)# exit
CCNA(config)# ip default-gateway 192.168.1.1

Configurar Gestión del Switch con DHCP

Paso 1. Ingresa el comando interfaz vlan 1 en el modo de configuración

global para ingresar al modo de configuración de la interfaz VLAN 1.
Paso 2. Ingresa el subcomando ip address dhcp en el modo de
configuración de la interfaz.

31
 12/06/2021

Ejemplo de configuración de Gestión del Switch con

DHCP

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
CCNA(config)# interface vlan 1
CCNA(config-if)# ip address dhcp
CCNA(config-if)# no shutdown
CCNA(config-if)# ^Z
CCNA#
00:48:20: %LINK-3-UPDOWN: Interface Vlan1, changed state to
up
00:48:21: %LINEPROTO-5-UPDOWN: Line protocol on Int

Verificando la IP de Gestión de un Switch

show running-config
show interfaces vlan x
show dhcp lease (Note que el switch no aloja la configuración de la IP
aprendida por DHCP en el archivo running-config.)

32
 12/06/2021

Ejemplo de verificación de la IP de Gestión

aprendida por DHCP
CCNA# show dhcp lease
Temp IP addr: 192.168.1.101 for peer on Interface: Vlan1
Temp sub net mask: 255.255.255.0
DHCP Lease server: 192.168.1.1, state: 3 Bound
DHCP transaction id: 1966
Lease: 86400 secs, Renewal: 43200 secs, Rebind: 75600 secs
Temp default-gateway addr: 192.168.1.1
Next timer fires after: 11:59:45
Retry count: 0 Client-ID: cisco-0019.e86a.6fc0-Vl1
Hostname: Emma
CCNA# show interfaces vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 0019.e86a.6fc0 (bia 0019.e86a.6fc0)
Internet address is 192.168.1.101/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
! lines omitted for brevity
CCNA# show ip default-gateway
192.168.1.1

Configurar Velocidad del Puerto en Switch

Vamos a ver cómo configurar la velocidad del puerto en un switch. Las

interfaces de un switch soportan múltiples velocidades (interfaces de
10/100 y 10/100/1000), por defecto negocian la velocidad que usan.

33
12/06/2021

34
 12/06/2021

También puedes tu mismo configurar la velocidad del

puerto con el comando speed {auto | 10 | 100 | 1000}
Nota: También puedes agregar una descripción a la
interfaz con el comando description.

Cómo Configurar velocidad del Puerto en un

switch Cisco
Cambiar velocidad del puerto del switch Cisco:

35
 12/06/2021

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
CCNA(config)# interface FastEthernet 0/1
CCNA(config-if)# speed 100
CCNA(config-if)# description Printer on 3rd floor, Preset to
100/full is connected
here
CCNA(config-if)# exit
CCNA(config)# interface range FastEthernet 0/11 - 20
CCNA(config-if-range)# description end-users connect here

Ver el estado de la interfaz

Emma# show interfaces status
Port Name Status Vlan Duplex Speed Type
Fa0/1 Printer on 3rd floo notconnect 1 full 100
10/100BaseTX
Fa0/2 notconnect 1 auto auto
10/100BaseTX
Fa0/3 notconnect 1 auto auto
10/100BaseTX
Fa0/4 connected 1 a-full a-100
10/100BaseTX
Fa0/5 notconnect 1 auto auto
10/100BaseTX
Fa0/6 connected 1 a-full a-100
10/100BaseTX
Gi0/1 notconnect 1 auto auto
10/100/1000BaseTX
Gi0/2 notconnect 1 auto auto
10/100/1000Base

36
 12/06/2021

En el ejemplo anterior vemos que la interfaz FastEthernet 0/4 (Fa0/4)

ha negociado la velocidad (a-100), esto es el speed auto de Cisco. El
texto antepuesto (a-) significa que la velocidad ha sido negociada.

Autonegociación: Resultado cuando sólo uno de

los nodos la usa
Velocidad: Si no hay autonegociación o si falla se usa la velocidad por
defecto de IEEE (la velocidad más baja soportada, generalmente 10
Mbps).

37
 12/06/2021

Cómo Bajar/Apagar o Levantar/Pender una

Interfaz del Puerto
Para «levantar» o prender una interfaz se usa el comando no
shutdown, esto para habilitar puertos del switch Cisco. Contrariamente
para apagar la interfaz usa el comando shutdown, esto para des-
habilitar puertos del switch Cisco.

Cómo Bajar una Interfaz del Switch

SW1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# interface fastEthernet 0/1
SW1(config-if)# shutdown
SW1(config-if)#
*Mar 2 03:02:19.701: %LINK-5-CHANGED: Interface
FastEthernet0/1, changed state to
administratively down
*Mar 2 03:02:20.708: %LINEPROTO-5-UPDOWN: Line protocol
on Interface FastEthernet0/1,
changed state to down

38
 12/06/2021

SW1# show interfaces f0/1 status

Port Name Status Vlan Duplex Speed Type

Fa0/1 disabled 1 auto auto
10/100BaseTX

SW1# show interfaces f0/1

FastEthernet0/1 is administratively down, line protocol is down
(disabled)
Hardware is Fast Ethernet, address is 1833.9d7b.0e81 (bia
1833.9d7b.0e81)
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255

Los comandos show interfaces y show interfaces status listan la

configuración de velocidad en una interfaz, como se puede observar en
el siguiente ejemplo.

39
 12/06/2021

Ver Configuración de Velocidad en Puertos de un

Switch Cisco
SW1# show interfaces status

Port Name Status Vlan Duplex Speed Type

Fa0/1 notconnect 1 auto auto 10/100BaseTX
Fa0/2 notconnect 1 auto auto 10/100BaseTX
Fa0/3 notconnect 1 auto auto 10/100BaseTX
Fa0/4 connected 1 a-full a-100 10/100BaseTX
Fa0/5 connected 1 a-full a-100 10/100BaseTX
Fa0/6 notconnect 1 auto auto 10/100BaseTX
Fa0/7 notconnect 1 auto auto 10/100BaseTX
Fa0/8 notconnect 1 auto auto 10/100BaseTX
Fa0/9 notconnect 1 auto auto 10/100BaseTX
Fa0/10 notconnect 1 auto auto 10/100BaseTX
Fa0/11 connected 1 a-full 10 10/100BaseTX
Fa0/12 connected 1 half 100 10/100BaseTX
Fa0/13 connected 1 a-full a-100 10/100BaseTX
Fa0/14 disabled 1 auto auto 10/100BaseTX
! Lines omitted for brevity

SW1# show interfaces fa0/13

FastEthernet0/13 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0019.e86a.6f8d (bia 0019.e86a.6f8d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mbps, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:05, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec

40
 12/06/2021

Nota: El texto (a-100) el carácter antepuesto (a-)

significa que la velocidad ha sido negociada.

Configurar Half Duplex y Full Duplex

Vamos a ver cómo configurar Half Duplex y Full Duplex del puerto en
un switch.

41
 12/06/2021

Autonegociación de Duplex en puertos de un switch conectado a

distintas velocidades y configurados con duplex distintosPuedes tu
mismo configurar el puerto con el comando duplex {auto | full | half}.
Nota: También puedes agregar una descripción a la interfaz con el
comando description.

42
 12/06/2021

Cómo Configurar half-duplex del Puerto en un

Switch Cisco

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
CCNA (config)# interface FastEthernet 0/1
CCNA (config-if)# duplex half
CCNA (config-if)# ^Z
CCNA#

Cómo Configurar full-duplex del Puerto en un

Switch Cisco

CCNA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
CCNA (config)# interface FastEthernet 0/1
CCNA (config-if)# duplex full
CCNA (config-if)# ^Z
CCNA#

43
 12/06/2021

Ver el estado de la interfaz

Emma# show interfaces status
Port Name Status Vlan Duplex Speed Type
Fa0/1 Printer on 3rd floo notconnect 1 full 100
10/100BaseTX
Fa0/2 notconnect 1 auto auto
10/100BaseTX
Fa0/3 notconnect 1 auto auto
10/100BaseTX
Fa0/4 connected 1 a-full a-100
10/100BaseTX
Fa0/5 notconnect 1 auto auto
10/100BaseTX
Fa0/6 connected 1 a-full a-100
10/100BaseTX
Gi0/1 notconnect 1 auto auto
10/100/1000BaseTX
Gi0/2 notconnect 1 auto auto 10/1

En el ejemplo anterior vemos que la interfaz FastEthernet 0/4 (Fa0/4)

ha negociado el modo de funcionamiento (a-full). El texto antepuesto
(a-) significa que la forma de transmitir/recibir información ha
sido negociada.

44
 12/06/2021

Autonegociación

Por defecto en un switch de cisco las interfaces están configuradas

como duplex auto. Como resultado estas interfaces determinan
automáticamente la forma de trabajar; duplex (full o half) y
la velocidad.
Los problemas ocurren cuando se dan una infortunada combinación de
configuraciones.

45
 12/06/2021

Autonegociación: Resultado cuando sólo uno de

los nodos la usa
Duplex: Usa por defecto las normas de la IEEE. Si la velocidad es = 10 o
100, usa half duplex; sino, usa full duplex.

Autonegociación: Hubs en una LAN

Los hubs en una LAN también impactan en cómo la autonegociación

funciona. Básicamente, los hubs no reaccionan a los mensajes de
autonegociación y no reenvían los mensajes.
Como resultado, los dispositivos conectados a un hub deben usar
las reglas de la IEEE para elegir la configuración por defecto, la cual
sera el uso de 10 Mbps y half duplex.

46
 12/06/2021

Seguridad en el Switch: Puertos y Acceso

Qué es Seguridad en el Puerto ó Port Security

Cuando hablamos de seguridad en un switch a nivel de puertos y

acceso hablamos de Port Security.
Port security identifica dispositivos en base a su dirección MAC de
origen de las tramas Ethernet enviadas.

47
 12/06/2021

Por ejemplo, en la siguiente figura tenemos dos PCs (PC1 y PC2), PC1
envía una trama con su dirección MAC de origen.

48
 12/06/2021

La interfaz F0/1 del SW1 puede ser configurada con seguridad en el

puerto y por tanto SW1 examinara la dirección MAC proveniente de
PC1 y decidirá si PC1 tiene permitido enviar tramas a través del puerto
F0/1.
La seguridad del puerto no tiene restricción si la trama se origino desde
un dispositivo local o fue reenviado a través de otro switch.
Por ejemplo, SW1 puede usar seguridad en el puerto para la interfaz
G0/1 chequeando la dirección MAC de origen de la trama de PC2
cuando se reenvía hasta SW1 pasando por SW2.

Variantes de la Seguridad en el Puerto

• Define un número máximo de direcciones MAC de origen

permitidas para todas las tramas que llegan a la interfaz.
• Mira todas las tramas de ingreso y mantiene una lista de todas las
direcciones MAC de origen, además un conteo del número de
direcciones MAC diferentes.
• Cuando se agrega una nueva dirección MAC de origen a la lista, si el
numero de la direcciones MAC sobrepasa al máximo configurado,
una violación de seguridad en el puerto ocurre. El switch realiza una
acción (por defecto apaga administrativamente la interfaz).

49
 12/06/2021

Cómo configurar Seguridad en el Puerto

• Configura la interfaz del switch entre acceso estático o interfaz trunk

usando el comando switchport mode access o switchport mode
trunk respectivamente.
• Habilita la seguridad del puerto usando dentro de la interfaz el
comando switchport port-security.
• (Opcional) Sobrescribe el máximo número de direcciones MAC
asociadas a la interfaz por defecto usando dentro de la interfaz el
comando switchport port-security maximum number.

• (Opcional) Sobrescribe la acción por defecto es deshabilitar la interfaz

(shutdown) cuando ocurre una violación de seguridad del puerto usando
en la interfaz el comando switchport port-security violation {protect |
restrict | shutdown}.
• (Opcional) Predefinir cualquier dirección MAC de origen permitida para la
interfaz usando el comando switchport port-security mac-address mac-
address. Usa el comando múltiples veces para definir más de una dirección
MAC.
• (Opcional) Dile al switch que haga “sticky learn” ó en español «aprendizaje
pegajoso» para las direcciones MAC aprendidas de forma dinámica usando
dentro de la interfaz el comando switchport port-security mac-address
sticky.

50
 12/06/2021

Ejemplo de configuración:

Ejercicio 35 min

51
 12/06/2021

SW1# show running-config

(Lines omitted for brevity)

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address 0200.1111.1111
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!
interface FastEthernet0/3
switchport mode access
switchport port-security
!
interface FastEthernet0/4
switchport mode trunk
switchport port-security
switchport port-security maximum 8

• switchport port-security habilita la seguridad en el puerto con la

configuración por defecto.
• switchport mode access para cumplir con el requisito de configurar el
puerto como un puerto de acceso (access) o troncal (trunk).

52
 12/06/2021

• switchport port-security mac-address 0200.1111.1111 define una

dirección MAC de origen especifica. Con la máxima dirección MAC
permitida por defecto de 1, sólo tramas con la dirección MAC
0200.1111.1111 de origen serán permitidas en éste puerto. Cuando
una trama diferente a ésta ingresa al puerto F0/1, el switch realiza la
acción de violación por defecto que es deshabilitar la interfaz
(shutdown).
• switchport port-security mac-address sticky le dice al switch que de
forma dinámica aprenda la dirección MAC de origen y agregue los
comandos port-security al running-config.

Verificando la configuración:
SW1# show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses :1
Configured MAC Addresses : 1
Sticky MAC Addresses :0
Last Source Address:Vlan : 0013.197b.5004:1
Security Violation Count : 1

53
 12/06/2021

SW1# show port-security interface fastEthernet 0/2

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses :1
Configured MAC Addresses : 1
Sticky MAC Addresses :1
Last Source Address:Vlan : 0200.2222.2222:1
Security Violation Count : 0

SW1# show running-config interface f0/2

Building configuration...
Current configuration : 188 bytes
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0200.2222.2222

54
 12/06/2021

Acciones de Violación para la Seguridad en el

Puerto
switchport port-security violation {protect | restrict
| shutdown}

Opciones de
comandos para la
violación de Protegido Restringido
Shutdown*
puerto con (protect) (restrict)
switchport port-
security violation
Descartar tráfico
Si Si Si
ofensivo
Envía mensajes de
No Si Si
registro y SNMP
Incrementa el
contador de
violación por cada No Si Si
violación de trama
que llega
Deshabilita la
interfaz
poniéndola en
No No Si
estado err-disable
y descartando
todo el tráfico

*shutdown es la acción de configuración por defecto.

55
 12/06/2021

Cómo ver la tabla de direcciones MAC cuando se

habilita Seguridad en el Puerto del Switch
Una vez que se ha configurado un puerto del switch con seguridad, el
switch ya no considera las direcciones MAC asociadas con ese puerto
como entradas dinámicas como se muestra con el comando
• show mac address-table dynamic. Incluso si las direcciones MAC se
aprenden dinámicamente, una vez que se haya habilitado la
seguridad del puerto, debe usar una de las siguientes opciones para
ver las entradas de la tabla MAC asociadas a los puertos que utilizan
la seguridad del puerto:
• show mac address-table secure: Lista las direcciones MAC asociadas
con puertos que usan port security

• show mac address-table static: Lista las direcciones MAC asociadas

con puertos que usan port security, así como cualquier otra dirección
MAC definida estéticamente.

56
 12/06/2021

SW1# show mac address-table secure interface F0/2

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----
1 0200.2222.2222 STATIC Fa0/2
Total Mac Addresses for this criterion: 1

SW1# show mac address-table dynamic interface f0/2

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----
SW1#

57