Beruflich Dokumente
Kultur Dokumente
BuildingEthernetLANswithSwitches
Progresin histrica: Hubs, bridges y switches
LaFigura61 muestra la topologa tpica antigua para10BASE-T con un hub
uno de los cuatro enlaces. Y sin hubs, cada enlace puede funcionar a fullduplex, duplicando la capacidad de cada enlace.
La Decisin Forward-Versus-Filter
Para decidir si se debe enviar una trama, un switch utiliza una tabla
incorporada de forma dinmica que enumera MAC direcciones y las interfaces
de salida. Switches comparan direccin MAC de destino de la trama en esta
tabla para decidir si el switch debe enviar una trama o simplemente
ignorarlo. Por ejemplo, Figura64 , con Fred enviar una trama a Barney.
En redes LAN con mltiples switches, cada switch toma una decisin de
reenvo independiente basado en su propia Tabla de direcciones MAC. Juntos,
se enva la trama para que finalmente llegue a su destino.
Por ejemplo, laFigura65 muestra los mismos cuatro PC Figura64 , Pero
ahora con dos switches LAN. En este caso, Fred enva una trama a Wilma,
con destino MAC 0200.3333.3333. SW1 enva la trama a su / puerto G0 1,
Los switches tambin reenvian tramas broadcast de LAN, ya que este proceso
ayuda a entregar una copia de la trama todos los dispositivos de la LAN.
Por ejemplo, laFigura66 muestra el primer frame, enviado a la direccin
MAC de Barney. En realidad, el switch inunda esta trama a F0/2, F0/3, y
F0/4, aunque 0200.2222.2222 (Barney) es slo de F0/2. El switch no reenva
la trama de vuelta F0 / 1, porque un switch nunca enva una trama a la misma
interfaz en la que se llega.
Evitar Loops utilizando el protocolo Spanning Tree
La tercera caracterstica principal de switches LAN es la prevencin de bucle,
tal como se aplica por SpanningTreeProtocolo (STP). SinSTP,cualquier
tramainundadaharabucleporunperodoindefinidodetiempoenRedes
Ethernet con enlaces fsicamente redundantes. Para evitar los frames de bucle,
STP bloquea algunos puertos de reenvio de tramas de forma que slo existe
una ruta activa entre cualquier par de segmentos LAN.
Sin embargo, STP tiene caractersticas negativas, as, como el hecho de que se
necesita algo de trabajo para equilibrar el trfico a travs de los enlaces
alternativos redundante.
Recuerde, switches inunda tramas enviando tanto direcciones unknown
unicast MAC y direcciones de broadcast. Figura67 muestra un unknown
unicast frame, enviado por Larry a Bob, con bucles para siempre porque la red
tiene redundancia pero no STP.
Debido a que ninguno de los switches lista la direccin MAC de Bob en sus
tablas de direcciones, cada switch inunda la frame. Un bucle fsico existe a
travs de los tres switches. Los switches mantienen el reenvio de la trama
fuera de todos los puertos, y copias de la trama van dando vueltas y vueltas.
Para evitar bucles de Capa 2, todos los switches necesitan utilizar STP. STP
hace que cada interfaz en un switch se configure en estado de bloqueo o de un
estado de reenvo. El Blocking significa que la interfaz no puede avanzar o
Switches utilizan logica Capa 2. Los switches toman decisiones para enviar y
filtrar tramas, para aprender direcciones MAC, y el uso STP para evitar
bucles, como sigue:
Paso 1. Switchesreenviantramasbasadosenladireccindedestino:
A. Siladireccindedestinoesunbroadcast,multicastounicastdestino
desconocido(ununicast que no figuran en la tabla MAC), el switch inunda la
trama.
B. Siladireccindedestinoesunadireccinunicastconocido(unadireccin
unicastqueseencuentraenelMACtabla):
i. SilainterfazdesalidaqueapareceenlatablaMACesdiferentedela
interfazen el que se recibe la trama, el switch enva la trama a la salida
interfaz.
ii. Silainterfazdesalidaeslamismaquelainterfazenlaqueserecibe
latrama, el switch filtra el frame, lo que significa ignorar el frame y no
reenviarlo.
Paso 2. Switchesutilizanlasiguientelgicaparaaprenderentradasdelatabla
dedireccionesMAC:
A. Paracadatramarecibida,examineladireccinMACdeorigenytengaen
cuentalainterfazdonde se recibi la trama.
B. Sinoestenlatabla,agregarladireccinMACylainterfazpordonde
aprendio,ajustar el temporizador de inactividad a 0.
C. Siyaestenlatabla,reiniciareltemporizadordeinactividadparala
entradaa0.
Paso 3. SwitchesutilizanSTPparaevitarbucleshaciendoquealgunas
interfacessebloqueen,loquesignificaqueno pueden enviar o recibir tramas.
Elecciones de diseo de redes LAN Ethernet
Dominios de colisin, Broadcast Dominios, y VLANs
El termino collision domain y broadcastdomain definen dos efectos
importantes del proceso de segmentar las LAN utilizando diversos
dispositivos.
Dominios de colisin
El termino dominio de colisin hace referencia a un concepto Ethernet de
todos los puertos transmitiendo los frame causaran una colisin con tramas
enviadas por otros dispositivos en el CD. Lafigura68 ilustra los CD
rendimiento de los usuarios finales.Ideal separar por routers para crear mas
dominios de brodcast, para mejorar el rendimiento del PC
Adems, los swtiches pueden utilizar lseres para generar la luz, as como
emisor de luz diodos (LED). Los lseres permiten mayores distancias de
cableado, miles metros, a mayor costo, mientras que los LEDs, menos
costosos soportar distancia para LAN de campus (parques de oficinas).
Por ltimo, el tipo de cableado ptico tambin puede afectar las distancias
maximas por cable. De los dos tipos, fibra multimodo soporta distancias ms
cortas, pero es cableado ms barato y funciona bien con LEDs menos
costosos. El otro tipo de cableado ptico, fibra monomodo, soporta ms
distancias, pero es ms caro. Tambin el hardware base de LED (multimodo
fibra) es mucho menos caro que el hardware basado en lser (monomodo
fibra)
Tabla 6-4 enumeralostiposmscomunesdeEthernetysustiposdecabley
laslimitacionesdelongitud.
Autonegotiation
Dispositivos ethernet en cada extremo de un enlace deban utilizar el mismo
estndar o no podan enviar correctamente datos. Ejem: Nic 100Base-T
conectado con un cable utp de velocidad 100-mbps o 1000-mbps a un puerto
de un switch que trabaja con 1000base-T.
Solucion IEEE : negociacin automtica. (Estndar IEEE 802.3u) define un
protocolo que permite que el Ethernet UTP de dos nodos en un enlace
negocien utilizar la misma configuracin de velocidad y dplex. Bsicamente,
cada nodo indica lo que puede hacer, y luego cada nodo recoge la mejor
opcion que soportan ambos nodos: la velocidad ms rpida y la mejor
configuracin dplex.
Tenga en cuenta que los dispositivos de la derecha necesitan utilizar halfduplex, porque el hub requiere el uso de la CSMA / CD algorithmto para
evitar colisiones.
Captulo 7. InstalacinyfuncionamientodeCiscoLANSwitches
Acceso al switch Cisco Catalyst 2960 CLI
Cisco utiliza el concepto de commandlineinterface
Considere el LED SYST. Este LED ofrece un estado general rpida del
switch, con tres estados simples:
Off: El switch no est encendido.
Encendido (verde): El switch est encendido y operativo (Cisco IOS se ha
cargado).
On (mbar): El sistema esta encendido, pero no est funcionando
correctamente.
Para el caso (LED mbar) la respuesta es accionar al reinicio power del
switch. Si se produce el mismo fallo, una llamada al Centro de Asistencia
Tcnica de Cisco (TAC) es el paso siguiente.
Por ejemplo, en el modo STAT (estado), cada puerto LED implica el estado de
puerto de adaptacin, como de la siguiente manera:
Off: El enlace actualmente no est trabajando (incluyendo si apagar).
Verde fijo: El enlace funciona, pero no hay trfico actual.
Verde intermitente: El enlace funciona, y el trfico est pasando por
encima de la interfaz.
mbar intermitente: El puerto est bloqueado por el rbol de expansin.
En el puerto Speed, los LED del puerto implican la velocidad de
funcionamiento de la interfaz, con un LED que significa 10 Mbps, una luz
verde fija significa 100 Mbps, y parpadeantes significa 1000 Mbps (1 Gbps).
Acceso a la CLI de Cisco IOS
Cisco llama su SO The Internetwork Operating System (IOS).
El emulador debe estar configurado para utilizar el puerto serial del PC para
que coincida con la configuracin del switch de configuracin del puerto de
consola. La configuracin del puerto de consola por defecto en un switch son
las siguientes. Tenga en cuenta que el ltimo tres parmetros se conocen
colectivamente como "8N1":
Comando Referencias
Captulo 8. ConfiguracindeconmutacinEthernet
Securing the Switch CLI
El primer paso para asegurar un switch es asegurar el acceso a la CLI.
Securing CLI incluye la proteccin al enable mode, porque un atacante podra
reload ql switch o cambiar la configuracin. Al mismo tiempo, la proteccin
de user mode tambin es importante, porque los atacantes pueden ver el
estado del switch, aprender acerca de la red, y encontrar nuevas formas de
atacar la red.
Por otro lado, los valores de configuracin por defecto no permiten un vty
(Telnet o SSH) sesin en un switch, ya sea a modo de usuario o al modo
enable. Para permitir que estos usuarios llegar a modo de usuario, el switch
primero necesita una configuracin IP de trabajo, as como la conexin de la
seguridad en las lneas vty. Para permitir el acceso a enable mode este debe
estar configurado y la seguridad tambin.
Enparticular,enestaseccinsetratanlossiguientestemas:
Seguridad de contrasea simple a modo de usuario a partir de (a) la consola
y (b) Telnet
Secure Shell (SSH)
Password encryption
Enable mode passwords
Proteccin del acceso con contraseas simples
Los switches de Cisco pueden proteger modo usuario con una contrasea
simple-sin-username para la consola y los usuarios Telnet. Usuarios deben
proporcionar la console password y telnet password (contrasea vty)
configuradas en modo configuracion
Switches Cisco protegen enable mode para cualquier usuario con la enable
password. El usuario en user mode escribe el comando enable y se le solicita
esta contrasea enable; si el usuario escribe la contrasea correcta, el IOS se
mueve al modo usuario. Figura81 muestra los nombres de stos contraseas
y los modos de configuracin asociados.
Ejemplo 8-1
Show ip ssh muestra informacin del estado de las listas de mando sobre el
Por ltimo, cabe destacar que Cisco ha aadido otro hash algorithmto en
enable secret para routers: SHA-256. Este algoritmoes ms fuerte que MD5,
con IOS anunciando este algorithm cifrado de tipo 4.
Cmo ocultar las contraseas para los nombres de usuario local
Cisco ha aadido el comando global username usuario secret contrasea
como alternativa al username usuario password contrasea. Tenga en cuenta
que este comando utiliza un SHA-256 (tipo 4) hash.
Hoy en da, el username secret se prefiere sobre username password. Sin
embargo, note que un nombre de usuario se puede configurar con username
secret o username password , pero no ambos.
Paso 1. EntraraVLAN1conelcomandoconfiguracinglobalinterface
VLAN1
Paso 2. AsigneunadireccinIPylamscarautilizandoelsubcomando
interfaceipaddressdireccinipmscara.
Paso 3. Sinoestaenable,activelainterfazVLAN1utilizandoelsubcomando
interfacenoshutdown.
Paso 4. Aadirelcomandoglobalipdefaultgatewaydireccinippara
configurarlapuertadeenlacepredeterminada.
Paso 5. (Opcional)Agreguelaipnameserveripaddress1ip
address2. . .comandoglobalparaconfigurar el switch para utilizar DNS para
resolver los nombres en su direccin IP correspondiente.
Paso 1. EntreenelmododeconfiguracinVLAN1usandointerfaceVLAN
1 y activar la interfaz mediante no shutdown.
Paso 2. AsigneunadireccinIPylamscaraconelipaddressdhcp.
Nota:Alreiniciarelswitchladireccinobtenidapordhcpnoseguardaenla
configuracinrunnig
FastEthernet 0/4 (Fa0 / 4): Al igual que Fa0 /2, este puerto tiene toda la
configuracin por defecto, pero tiene cable a otro dispositivo que esta arriba,
haciendo que el estado pasar a "connect". Este dispositivo tambin tiene
autonegotiation. Speed and dplex(a-full and a-100), a- se refiere
autonegociacion..
Se puede configurar un comando de rango de interfaces, utilizando interface
range.Ejemplo, interfacerange FastEthernet0/11 - 20, el siguiente
subcomando (s) se aplica a las interfaces Fa0 / 11 a Fa0 / 20.
Port Security
El ingeniero puede utilizar portsecurity para restringir esa interfaz para que
slo el esperado dispositivos puedan usarlo. Esto reduce la exposicin a los
ataques que se conecta en algn puerto del switch sin usar.
Port security puede identificar los dispositivos basados en la direccin MAC
de origen de las tramas Ethernet a los dispositivos enviar.
Paso 1. Hagalainterfazdelswitchunainterfazdeaccesootrunk,utilizando
elswitchportmode access o switchport mode trunk subcomandos interfaz.
Paso 2. Habilitarlaseguridaddelpuertomedianteswitchportportsecurity
interfazsubcomando.
Paso 3. (Opcional)Anularpordefectoelnumeromaximopredeterminadode
direccionesMACpermitidasasociadoscon la interfaz (1) mediante el uso
switchport port-security maximun nmero interfaz subcomando.
Paso 4. (Opcional)Anularlaaccinpredeterminadaparatomarsobreuna
violacindeseguridad(shutdown)utilizandoswitchport portsecurity violation {protect | restrict | shutdown} interfaz subcomando.
Paso 5. (Opcional)predefinircualquierdireccinsourceMACpermitido(s)
paraestainterfaz,utilizandoswitchport port-security mac-address macaddress. Utilice el comando mltiple veces para definir ms de una direccin
MAC.
Paso 6. (Opcional)Decirlealswitchque"learnsticky"aprenderdirecciones
MACdinmicamenteconelsubcomandointerfazswitchport port-security
mac-address sticky
Figura 8-8 yEjemplo 8-13 muestrancuatroejemplosdelaseguridaddel
puerto.
Captulo 9. EjecucinEthernetLANvirtuales
Conceptos LAN virtuales
Una LAN incluye todos los dispositivos en el mismo dominio de broadcast
Un dominio de broadcast incluye el conjunto de todos los dispositivos
conectados a la LAN, de modo que cuando cualquiera de los dispositivos
enva una frame broadcast, todos los otros dispositivos reciben una copia de
esa frame. Lan y dominio de broadcast basicamente es lo mismo.
Sin VLAN, un switch considera todas sus interfaces para estar en el mismo
dominio de broadcast. Es decir, para un switch, cuando una frame de
broadcast entr en un puerto de switch, el switch reenva esa emisin a todos
los dems puertos. Con esa lgica, para crear dos dominios de broadcast LAN
diferentes, haba que comprar dos swtiches Ethernet LAN diferentes, como se
muestra en laFigura91 .
El uso de trunking permite a los switchs pasar tramas desde multiples VLANs
sobre una sola conexin fsica aadiendo una pequea cabecera en la trama
Ethernet. Por ejemplo, laFigura95 muestra PC11 enva una trama de
broadcast en la interfaz Fa0 /1 (paso 1). Para inundar la frame, SW1 necesita
reenviar la trama de broadcast para SW2. Sin embargo, SW1 necesita dejar
saber a SW2 que la frame es parte de VLAN 10, de modo que despus de que
se recibe la trama, SW2 inundar la trama slo a VLAN 10, y no en VLAN
20. Por lo tanto, como se muestra en el paso 2, antes de enviar el frame, SW1
aade una cabecera de VLAN a la trama Ethernet original, con el encabezado
VLAN lista un ID de VLAN de 10 en este caso.
Cuando SW2 recibe la trama, se entiende que el frame est en VLAN 10.
SW2 luego le retira el Encabezado VLAN, reenvia la trama original de sus
interfaces VLAN 10 (Paso 3).
The 802.1Q and ISL VLAN Trunking Protocols
Cisco ha apoyado dos protocolos de trunking diferentes en los ltimos aos:
Enlace Inter-Switch (ISL) y IEEE 802.1Q. Hoy en da, se ha convertido
802.1Q trunking en el ms popular protocolo.
802.1Q inserta 4 bytes extra de cabecera VLAN 802.1Q en la cabecera
Ethernet de la trama original Figura 9-6 . ElcampoVLANIDesde12bits
dentrodelaheader 802.1Q.2ex12 (4096) VLAN, y en la prctica, un
mximum de 4094. (Ambos 802.1Q y ISL usa 12 bits para etiquetar el ID de
VLAN, con dos valores reservados [0 y 4095].)
Paso 1. ParaconfigurarunanuevaVLAN,sigaestospasos:
A. modoconfiguration,utilicecomandoglobalvlanvlanidparacrearla
VLAN y para mover el usuario en el modo de configuracin VLAN.
B. (Opcional)UtilicenamenombresubcomandoVLANparadarnombrede
laVLAN. Sino esta configurado, el nombre de la VLAN es la VLAN ZZZZ,
donde ZZZZ es la VLAN ID decimal de 4 dgitos.
Paso 2. Paracadainterfazdeacceso(cadainterfaznotroncal) siga estos
pasos:
A. Utilicecomandointerfaceparaentrarenelmododeconfiguracinde
interfaz.
B. Usosubcomandointerfazswitchportaccessvlanidnmeropara
especificarlaVLANnmero asociado a esa interfaz.
C. (Opcional)Paradesactivarelenlacetroncalenlamismainterfaz,porlo
quelainterfaznonegocia convertirse en un troncal, utilice switchport mode
Access.
Ejemplo 9-3. Inicial (por defecto) Estado: No Trunking Entre SW1 y SW2
Show interfaces trunk lista informacion sobre todas las interfaces que
actualmente troncal operan.
Ejemplo94 , muestra la nueva configuracin que permite trunking. En este
caso, SW1 se configura con el switchport mode dynamic desirable que pide
al switch que ambos negocien.
Para verificar que los troncales estn trabajando ahora, show interfaces
gigabit switchport muestra, SW1 est en modo operacional trunk, Con
encapsulacin de dot1Q.
Tabla93 enumera las combinaciones de trunking administrative modes y el
expected operational mode (trunk o access) resultando desde ajustes
configurados. La tabla muestra el modo administrativo utilizado en un
extremo del enlace (vertical), y el modo de administracin en el otro extremo
del enlace (horizontal superior)
Para comenzar el anlisis, comenzar con las primeras tareas que tendran que
suceder para una sesin de navegacin web con xito se produzca. Por
ejemplo, el ingeniero intentara confirmar que PC1 puede resolver el nombre
de host (www.example.com) a la direccin IP correcta utilizado por el
servidor en la derecha. En ese punto, el problema IP de capa 3 puede proceder,
para determinar cul de los seis pasos de enrutamiento que se muestran en la
figura ha fallado. Los pasos de enrutamiento que se muestran en laFigura10
2 son de la siguiente manera:
Paso 1. PC1envarelpaquetedefaultgateway(R1)yaqueladireccinIPde
destino(servidor web) se encuentra en una subred diferente.
Paso 2. R1envaelpaqueteaR2basadoenlatabladeenrutamientodeR1.
Paso 3. R2reenvaelpaquetealservidorwebbasadoenlatablade
enrutamientodeR2.
Paso 4. ElservidorwebenvaunpaquetedevueltahaciaPC1basadoenel
configuracionservidorwebdefaulgateway (R2).
Paso 5. R2reenvaelpaquetedestinadoaPC1enviandoelpaqueteaR1
segnR2detabla de enrutamiento.
Paso 6. R1envaelpaquetealaPC1basadoenlatabladeenrutamientode
R1.
Cisco cre CDP como una solucin propietaria para satisfacer una necesidad
de clientes Cisco. Desde ese momento, el IEEE ha estandarizado la Capa de
Enlace Discovery Protocol (LLDP), que sirve el mismo papel.
CDP se puede utilizar por cualquiera para confirmar o arreglar la
documentacin mostrada en un diagrama de red, o incluso descubrir los
dispositivos e interfaces utilizadas en una red. Confirmando que la red es en
realidad cableada para que coincida con el diagrama de red es un buen paso a
tomar antes de intentar predecir el flujo normal de datos en una red.
En los medios de comunicacin que soportan multicast en la capa de enlace de
datos (como Ethernet), CDP utiliza tramas multicast. Por lo tanto, cualquier
dispositivo CDP-supporting que comparte un medio fsico a otro dispositivo
CDP-supporting puede aprender sobre el apoyo del otro dispositivo.
CDP descubre varios detalles tiles desde los dispositivos Cisco vecinos:
Show cdp neighbors, muestra una lnea por cada vecino. Cada lnea muestra
la informacin ms importante topologa: nombre de host vecino (Device ID,
el local interfaz del dispositivo y la interfaz del dispositivo vecino (Port
heading). Tambin muestra la plataforma (modelo especfico del router o
switch vecino). Por lo tanto usando esta bsica informacin, se podra
Ejemplo106 show mac address-table dynamic lista todas las entradas que
se aprendieron dinmicamente de la tabla MAC en un switch, para todas las
VLAN.
Paso 1. Funcionesdelprocesoenlainterfazdeentrada,silainterfazse
encuentraactualmenteenestadoup/up (Conectado):
A. Sisehaconfiguradoportsecurity,seaplicalalgicadefiltrarla
tramasegnelcaso.
B. Sielpuertoestaenaccessport,determinarlainterfazdeacceso
VLAN.
C. Sielpuertoesuntroncal,determinarVLANetiquetadodetrama.
Paso 2. Tomarunadecisindereenvo.BusquedireccinMACdedestinode
latramaenlatabla MAC, pero slo para las entradas de la VLAN
identificadas en el paso 1. Si el destino MAC es:
A. Found(unicast),transmitalatramaalanicainterfazqueaparece
enelmatchaddressentrada de la tabla.
B. NotFound(unicast),inundarlatramaatodoslosdemspuertosde
acceso(exceptoelpuertodeentrada) en esa misma VLAN, adems de
salir del troncal si es que no se han restringido la VLAN (show
interfaces trunk)
C. Broadcast,inundarlatrama,conlasmismasreglasqueelpaso
anterior.
Para un ejemplo de este proceso, considere una trama enviada por Barney a su
default gateway, R1 (0200.5555.5555). Siguiendo los pasos que acabamos de
enumerar, ocurre lo siguiente:
Paso 1 Procesamientodeinterfazdeentrada:
A. Elpuertonosucedesitieneportsecurityhabilitado.
B. SW1recibelatramaensuinterfazFa0/12,unaccessportenla
VLAN10.
Pas 2 Tomarunadecisindereenvo:SW1buscaensutabladedirecciones
MACparalasentradasenVLAN10:
A. SW1encuentraunaentrada(unicastconocido)para
0200.5555.5555,asociadoalaVLAN10, y lo envia por la interfaz de
salida Gi0 /1. (Este enlace es un tronco de VLAN, as SW1 aade una
etiqueta VLAN 10 a la cabecera de trunking 802.1Q.)
En este punto, la trama con fuente 0200.2222.2222 (Barney) y el destino
0200.5555.5555 (R1) est en camino a SW2. A continuacin, puede aplicar la
misma lgica para SW2, de la siguiente manera:
Pas 1 procesamientodeinterfazdeentrada:
A. Elpuertonosucedesisetieneportsecurityhabilitado.
B. SW2recibelatramaensuinterfazGi0/2,troncal;latramaenumera
unaetiquetadeVLAN10. (SW2 elimina la cabecera 802.1Q tambin).
Paso 2. Tomarunadecisindereenvo:SW2buscasutablaMACparalas
entradasenlaVLAN10:
A. SW2encuentraunaentrada(unicastconocido)para
0200.5555.5555,asociadoalaVLAN10, interfaz de salida Fa0 / 13, se
enva la trama slo a la interfaz Fa0 /13.
En este punto, la trama debe estar en su camino, a travs del cable Ethernet
entre SW2 y R1.
Port Security and Filtering
Al rastrear la ruta de una trama a travs de los switches LAN, diferentes tipos
de filtros pueden descartar la trama, incluso cuando todas las interfaces estn
arriba. Por ejemplo, switches LAN pueden utilizar filtros llamados listas de
control de acceso (ACL) que filtran basndose en la direccin MAC de origen
y de destino, descartando algunas tramas. Adems, los routers pueden filtrar
los paquetes IP utilizando IP ACL.
Adems, port security, Tambin filtra tramas. En algunos casos, se puede
deducir fcilmente que port security ha tomado medidas, apagando la
interfaz. Sin embargo, en otros casos, port security deja la interfaz up, pero
simplemente descarta el trfico ofensivo. Desde una perspectiva de solucin
de problemas, una configuracin port security que deja la interfaz up, pero an
descarta tramas, se requiere mirar de cerca el estado port security, en lugar de
slo mirar las interfaces y la tabla de direcciones MAC.
Paso 3. ReviselaslistasdeallowedVLAN,enambosswitchesextremosdel
troncal,yasegresedequelas listas de VLAN permitidas (allowed vlan) son
el mismo.
Paso 4. Asegresedequecualquierenlacedebenutilizartrunking,
Asegurando el acceso Interfaces correcto estn en la VLAN correcta.
Para asegurar que cada interfaz de acceso se ha asignado a la VLAN correcta,
se necesita determinar que interfaces son de acceso en lugar de interfaces de
troncales, determinar el asignado de acceso VLAN en cada interfaz, y
comparar la informacin a la documentacin. Los show listados en laTabla
105 pueden ser particularmente tiles en este proceso.
Show vlan comando enumera todas las VLAN que sabe el switch y si son
configurados como servidores o clientes VTP. Utilice el show vtp status
comando para aprender el modo de VTP actual de un switch.)
Despus de determinar que no existe una VLAN, el problema podria ser que
la VLAN simplemente necesita ser definida.
Access VLANs Being Disabled
Show vlan verifica si la VLAN esta activa. Enumera dos estados active o
shutdown
Switches IOS ofrece dos mtodos de configuracin para desactivar
( shutdown) y habilitar ( no shutdown ) una VLAN.
- Comando global: no shutdown vlan x y shutdown vlan x
- VLAN subcomando: no shutdown y shutdown
Si un switch con un estado "trunk" y el otro tiene un estado " static access",la
interfaz funciona un poco. El estado en cada extremo ser up/up conectado. El
trfico en la nativa VLAN cruza el enlace con xito. Sin embargo, el trfico en
todo el resto de las VLAN no cruzar el enlace.
La figura 10-7 muestralaconfiguracinincorrecta. La lado trunk SW1
permite trunking siempre, con el comando switchport mode trunk. Sin
embargo, este comando no desactiva negociaciones DTP. Ademas SW1
desactiva la negociacin DTP usando switchport nonegotiate. SW2
configuracin tambin ayuda a crear el problema, mediante el uso de una
opcin de trunking que se basa en DTP. Porque SW1 ha deshabilitado la DTP,
negociaciones DTP de SW2 fallan, y SW2 no es trunk
Los mejores comandos para comprobar los hechos relacionados trunkingson show interfaces trunk y show interfaces switchport.