Captulo 6.

BuildingEthernetLANswithSwitches
Progresin histrica: Hubs, bridges y switches
LaFigura61 muestra la topologa tpica antigua para10BASE-T con un hub

Varios inconvenientes continuaron existiendo con 10BASE-T el uso de hubs:

Cuando hubs reciben una seal elctrica en un puerto (paso 1 Figura61 ), el
hub repite la seal a todos los dems puertos (paso 2 figura).
Cuando dos o ms dispositivos envan al mismo tiempo, un choque elctrico
se produce, creando ambos seales corruptas.
Como resultado, los dispositivos deben turnarse con la logica (CSMA / CD),
de modo que los dispositivos comparten los (10 Mbps) de ancho de banda.
Broadcast enviadas por un dispositivo se escuchan y procesados por todos
los dems dispositivos de la LAN.
Unicast Frames son escuchadas por todos los dems dispositivos de la LAN.
Con el tiempo, el rendimiento de muchas redes Ethernet basada en hubs
empez a degradarse. Los dispositivos de la misma Ethernet no podan enviar
(en conjunto) ms de 10 Mbps de trfico, ya que todos compartan los 10
Mbps de ancho de banda. Adems, el aumento del trfico de volmenes
resultaron un aumento del nmero de colisiones, lo que requiere ms
retransmisiones y desperdiciando ms capacidad de LAN.
Ethernet transparent bridges, o simplemente puentes, ayudaron a resolver este
problema con rendimiento de 10BASE-T. Despus de que se aadieron a un
10BASE-T LAN, se hicieron las siguientes mejoras:
Bridges separa en grupos llamados dominiosdecolisin .

 Bridges redujo el nmero de colisiones que se produjeron en la red, ya que

dentro de los frames un dominio de colisin no chocan con frames de otro
dominio de colisin.
Puentes incrementa el bandwidth, dando a cada dominio de colisin su
propio ancho de banda independiente, con un remitente a la vez por dominio
de colisin.
Elpuenteenestecasoseparalaredendosdominios de colisin (CD).

El bridge, un predecesor del switch Ethernet LAN de hoy, utiliza la lgica

para que los frame de un CD no choquen con frames de otro CD. El puente
reenvia frames entre sus dos interfaces, y a diferencia de un hub, un puente
aguantara o en cola la trama hasta que la interfaz de salida pueda enviar la
trama. Por ejemplo, Fred y Betty pueden enviar una trama a Barney al mismo
tiempo, y el puente con Queue (en cola) de la trama enviada por Betty,
esperando que lo transmita al CD de la izquierda, hasta que el CD de la
izquierda no este ocupado.
Agregar el puente en laFigura62 realmente crea dos redes separadas
10BASE-T. La red 10BASE-T de la izquierda tiene sus propios 10 Mbps para
compartir, como lo hace el la red a la derecha. Por lo tanto, en este ejemplo, el
ancho de banda total de la red se duplica a 20 Mbps como en comparacin con
la red 10BASE-T en laFigura61 , Porque los dispositivos en cada lado de la
red puede enviar a 10 Mbps al mismo tiempo.
Switches LAN mejoran las mismas funciones bsicas como bridges, pero a
velocidades mucho ms rpidas y con muchas funciones mejoradas. Al igual
que los puentes, los switches segmentan una LAN en dominios de colisin,
cada uno con su propia capacidad. Y si la red no tiene un hub, cada enlace se
considera su propio CD.
Por ejemplo, laFigura63 muestra una LAN con un switch y cuatro PC. El
parmetro genera cuatro CD, con la posibilidad de enviar a 100 Mbps en cada

uno de los cuatro enlaces. Y sin hubs, cada enlace puede funcionar a fullduplex, duplicando la capacidad de cada enlace.

Switching Logic (conmutacion)

El papel de un switch LAN es para reenviar tramas Ethernet. Para lograr ese
objetivo, switches utiliza la lgica basada en el origen y destino direccin
MAC en la cabecera Ethernet de cada frame.
Unicast frames tienen una direccin unicast como destino; estas direcciones
representan un solo dispositivo. Una broadcast frame tiene una direccin
MAC de destino de FFFF.FFFF.FFFF; esta frame debe ser entregada a todos
los dispositivos de la LAN.
Switch LAN recibe tramas Ethernet y luego toman una decisin de
conmutacin: o bien transmitir la frame a algunon otro puerto (s) o ignorar el
frame. Para lograr esto, transparent bridges realiza 3 acciones:
1. Decidir cundo enviar una trama o cuando filtrar (no forward) un frame,
basado en el direccin MAC de destino.
2. Aprender direcciones MAC examinando la direccin MAC de origen de
cada trama recibida por el switch
3. Creando un (Capa 2) entorno libre de bucles con otros bridges mediante el
Protocolo de rbol de expansin (STP).
La primera accin es el trabajo principal del switch, mientras que los otros dos
elementos son funciones generales.

La Decisin Forward-Versus-Filter
Para decidir si se debe enviar una trama, un switch utiliza una tabla
incorporada de forma dinmica que enumera MAC direcciones y las interfaces
de salida. Switches comparan direccin MAC de destino de la trama en esta
tabla para decidir si el switch debe enviar una trama o simplemente
ignorarlo. Por ejemplo, Figura64 , con Fred enviar una trama a Barney.

En esta figura, Fred enva una trama con la direccin de destino

0200.2222.2222 (direccin MAC de Barney). El switch compara la direccin
MAC de destino (0200.2222.2222) en la tabla de direcciones MAC,
emparejando la entrada en negrita de la tabla. Esa entrada de la tabla
emparejada le dice al switch reenviar la trama al puerto F0/2, y slo puerto
F0/2.

En redes LAN con mltiples switches, cada switch toma una decisin de
reenvo independiente basado en su propia Tabla de direcciones MAC. Juntos,
se enva la trama para que finalmente llegue a su destino.
Por ejemplo, laFigura65 muestra los mismos cuatro PC Figura64 , Pero
ahora con dos switches LAN. En este caso, Fred enva una trama a Wilma,
con destino MAC 0200.3333.3333. SW1 enva la trama a su / puerto G0 1,

segn la tabla de direcciones MAC de SW1. Luego, en el paso 2, SW2 enva

la trama a su puerto F0 / 3, sobre la base de la tabla de direcciones MAC de
SW2.

Cmo switches aprenden las direcciones MAC

La segunda funcin principal de un switch es aprender las direcciones e
interfaces para poner en su tabla de direcciones MAC. Con una tabla de
direcciones MAC completa y precisa, el switch puede hacer reenvo exacto y
tomar decisiones de filtrado.
Switch construye la tabla de direcciones al escuchar las tramas entrantes y
examinamdo la direccion source MAC en el frame. Si un frame entra en el
switch y la direccin MAC de origen no est en el MAC tabla de direcciones,
el switch crea una entrada en la tabla. Esa entrada de la tabla muestra el
interfaz desde llego la trama.
La figura muestra las dos primeras tramas enviadas en esta red. Primero un
frame desde Fred, dirigida a Barney, y luego la respuesta de Barney, se dirigi
a Fred.

Como se muestra en la figura, despus que Fred enva su primera trama

(etiqueta "1") para Barney, l switch agrega una entrada para 0200.1111.1111,
la MAC de Fred, asociada con la interfaz F0/1. Cuando Barney responde en el
paso 2, el switch agrega una segunda entrada, ste para
0200.2222.2222, MAC de Barney, junto con la interfaz F0/2, que es la
interfaz en la que el switch recibe la trama. El aprendizaje siempre se produce
al ver la direccin MAC de origen en la trama.
Switches mantienen un temporizador para cada entrada de la tabla de
direcciones MAC, llamado inactivity timer. El Switch ajusta el temporizador
a 0 para las nuevas entradas. Cada vez que el switch recibe otra frame con la
misma fuente Direccin MAC, el temporizador se resetea a 0. Los
temporizador cuenta hacia arriba.El switch elimina las entradas desde la tabla
cuando se hacen viejos. O, si el switch se queda sin espacio para entradas
MAC tabla, el switch puede entonces eliminar entradas de la tabla con los ms
antiguos tiempos inactivos.
Flooding Frames: trama Inundaciones
Cuando no hay ninguna entrada coincidente en la tabla. Switches reenvian la
trama a todas las interfaces (excepto la interfaz de entrada) mediante un
proceso llamado flooding.
Switches inundan unknown unicast frames (frames cuyo destino MAC no son
an de la tabla de direcciones). Las inundaciones significan que el switch
enva copias de la trama a todos los puertos, excepto el puerto en el que se
recibi la trama.

Los switches tambin reenvian tramas broadcast de LAN, ya que este proceso
ayuda a entregar una copia de la trama todos los dispositivos de la LAN.
Por ejemplo, laFigura66 muestra el primer frame, enviado a la direccin
MAC de Barney. En realidad, el switch inunda esta trama a F0/2, F0/3, y
F0/4, aunque 0200.2222.2222 (Barney) es slo de F0/2. El switch no reenva
la trama de vuelta F0 / 1, porque un switch nunca enva una trama a la misma
interfaz en la que se llega.
Evitar Loops utilizando el protocolo Spanning Tree
La tercera caracterstica principal de switches LAN es la prevencin de bucle,
tal como se aplica por SpanningTreeProtocolo (STP). SinSTP,cualquier
tramainundadaharabucleporunperodoindefinidodetiempoenRedes
Ethernet con enlaces fsicamente redundantes. Para evitar los frames de bucle,
STP bloquea algunos puertos de reenvio de tramas de forma que slo existe
una ruta activa entre cualquier par de segmentos LAN.
Sin embargo, STP tiene caractersticas negativas, as, como el hecho de que se
necesita algo de trabajo para equilibrar el trfico a travs de los enlaces
alternativos redundante.
Recuerde, switches inunda tramas enviando tanto direcciones unknown
unicast MAC y direcciones de broadcast. Figura67 muestra un unknown
unicast frame, enviado por Larry a Bob, con bucles para siempre porque la red
tiene redundancia pero no STP.

Debido a que ninguno de los switches lista la direccin MAC de Bob en sus
tablas de direcciones, cada switch inunda la frame. Un bucle fsico existe a
travs de los tres switches. Los switches mantienen el reenvio de la trama
fuera de todos los puertos, y copias de la trama van dando vueltas y vueltas.
Para evitar bucles de Capa 2, todos los switches necesitan utilizar STP. STP
hace que cada interfaz en un switch se configure en estado de bloqueo o de un
estado de reenvo. El Blocking significa que la interfaz no puede avanzar o

recibir tramas de datos, mientras que forwarding significa que la interfaz

puede enviar y recibir tramas de datos.

Procesamiento interno en conmutadores Cisco

Tres mtodos de procesamiento Interno en switches y bridges-transparentes.

Resumen LAN Switching

En particular, switches LAN proporcionar los siguientes beneficios:

Los puertos del switch conectados a un nico dispositivo microsegmenta la

LAN, ofreciendo dedicated bandwidth para ese nico dispositivo.
Los switches permiten mltiples conversaciones simultneas entre
dispositivos en puertos diferentes.
Los puertos del switch conectados a un nico dispositivo full-duplex,
duplica la cantidad de ancho de banda disponible para el dispositivo.
Switches soporta adaptacin de velocidad, lo que significa que los
dispositivos que utilizan diferentes velocidades de Ethernet puede
comunicarse a travs del switch (hubs no puede).

Switches utilizan logica Capa 2. Los switches toman decisiones para enviar y
filtrar tramas, para aprender direcciones MAC, y el uso STP para evitar
bucles, como sigue:
Paso 1. Switchesreenviantramasbasadosenladireccindedestino:
A. Siladireccindedestinoesunbroadcast,multicastounicastdestino
desconocido(ununicast que no figuran en la tabla MAC), el switch inunda la
trama.
B. Siladireccindedestinoesunadireccinunicastconocido(unadireccin
unicastqueseencuentraenelMACtabla):
i. SilainterfazdesalidaqueapareceenlatablaMACesdiferentedela
interfazen el que se recibe la trama, el switch enva la trama a la salida
interfaz.
ii. Silainterfazdesalidaeslamismaquelainterfazenlaqueserecibe
latrama, el switch filtra el frame, lo que significa ignorar el frame y no
reenviarlo.
Paso 2. Switchesutilizanlasiguientelgicaparaaprenderentradasdelatabla
dedireccionesMAC:
A. Paracadatramarecibida,examineladireccinMACdeorigenytengaen
cuentalainterfazdonde se recibi la trama.
B. Sinoestenlatabla,agregarladireccinMACylainterfazpordonde
aprendio,ajustar el temporizador de inactividad a 0.
C. Siyaestenlatabla,reiniciareltemporizadordeinactividadparala
entradaa0.
Paso 3. SwitchesutilizanSTPparaevitarbucleshaciendoquealgunas
interfacessebloqueen,loquesignificaqueno pueden enviar o recibir tramas.
Elecciones de diseo de redes LAN Ethernet
Dominios de colisin, Broadcast Dominios, y VLANs
El termino collision domain y broadcastdomain definen dos efectos
importantes del proceso de segmentar las LAN utilizando diversos
dispositivos.

Dominios de colisin
El termino dominio de colisin hace referencia a un concepto Ethernet de
todos los puertos transmitiendo los frame causaran una colisin con tramas
enviadas por otros dispositivos en el CD. Lafigura68 ilustra los CD

De los cuatro tipos de dispositivos de red en la figura, slo el hub permite un

CD se extienda desde un lado del dispositivo al otro. El resto de la
dispositivos de red (routers, switches, puentes) todos los separan de la LAN en
puertos distintos. Hoy en da, las redes modernas no podra permitir una
colisin ocurra fsicamente
Broadcast Dominios
Un dominio de broadcast Ethernet es el conjunto de dispositivos a los que se
entregue esa broadcast.
De todos los dispositivos de red que se muestran en laFigura68 , Slo los
routers separan la LAN en mltiples dominios broadcast. LAN switches
amplian el dominio de broadcast. Routers no reenvian ethernet broadcast
frames.

Por definicin, broadcast enviado por un dispositivo en un dominio de

difusin no se envan a los dispositivos de otro dominio. En este ejemplo, hay
dos dominios de broadcast. El router no envia un broadcast de un PC de la
izquierda al segmento de red a la derecha.
Definiciones generales para un dominio de colisin y un dominio de broadcast
son los siguientes:

Un dominio de colisin es un conjunto de tarjetas de interfaz de red (NIC)

para que una trama enviada por una NIC podra resultar en una colisin con
un frame enviado por otra NIC en el mismo dominio de colisin.
Un dominio de broadcast es un conjunto de tarjetas de red para que un
broadcast frame enviada por una NIC se reciba a todas las dems tarjetas de
red en el mismo dominio de broadcast.
El impacto de la colisin y de broadcast Dominios on LAN Diseo
En primer lugar, considerar los dispositivos con un solo colisin dominio.
Los dispositivos comparten el ancho de banda disponible.
Los dispositivos pueden utilizar de manera ineficiente el ancho de banda
debido a los efectos de las colisiones, en particular bajo una mayor utilizacin.
Considere un diseo con diez ordenadores, con cada enlace que utilice
100BASE-T. Con un hub, un solo PC puede enviar a la vez, para un mximo
de capacidad de 100 Mbps para toda la LAN. Al cambiar el hub por un
switch, se obtiene:
100 Mbps por enlace, para un total de 1,000 Mbps (1 Gbps)
La capacidad de utilizar full-diplex en cada enlace, duplicando la capacidad
de 2000 Mbps (2 Gbps)
Consideremos ahora el problema de los broadcasts. Cuando un host recibe una
broadcast, el host debe procesar la trama recibida. Esto significa que la NIC
debe interrumpir CPU de la computadora, y la CPU debe pasartiempo
pensando en el frame de la transmisin recibida.
Considerando una LAN grande con varios switches, con 500 pc. Los switches
crean un nico dominio de broadcast, por lo que una emisin de broadcast
enviada por un host, debe ser enviados a los 499 host. Esto afecta el

rendimiento de los usuarios finales.Ideal separar por routers para crear mas
dominios de brodcast, para mejorar el rendimiento del PC

LAN virtuales (VLAN)

La mayora de cada red empresa hoy en da utiliza el concepto de redesde
realocalvirtuales (VLAN). Una LAN se compone de todos los dispositivos
en el mismo dominio de broadcast.
Sin VLANs, un switch considera todas las interfaces del switch, y los
dispositivos conectados a los enlaces, para estar en el mismo dominio de
broadcast. En otras palabras, todos los dispositivos conectados estn en la
misma LAN. (Switches Cisco todas las interfaces estn en VLAN 1 por
defecto.)
Con VLAN, Interfaces de un grupo de switches en diferentes VLANs
(dominios broadcast). En esencia, los switchs generan mltiples dominios
broadcast poniendo algunas interfaces en una VLAN y otras interfaces en
otras VLAN.
Las siguientes dos figuras comparan dos redes locales:
Primera figura: dos dominios de broadcast separados, dos switches utilizados,
uno con cada dominio broadcast, FIG: 6-10

Alternativamente, puede crear varios dominios de broadcast que utilizan un

solo switch. Figura611. Ahora implementado dos VLANs diferentes en un
solo switch se crea 2 dominios de broadcast

La eleccin de la tecnologa Ethernet para una LAN Campus

El trmino campus LAN se refiere a la LAN creada para apoyar a los edificios
ms grandes, o mltiples edificios en estrecha proximidad entre s. Al
planificar y disear un campus LAN, los ingenieros deben tener en cuenta los
tipos de Ethernet disponible y las longitudes de cableado soportadas por cada
tipo. Tambin necesitan elegir las velocidades requeridas para cada segmento
Ethernet. Adems, alguna idea que algunos switches deben utilizarse para
conectarse directamente a dispositivos de usuario final, y otros switches
conectarse a estos switches que conectan usuarios finales. Por ltimo,
considerar el tipo de equipo que ya est instalado y si un aumento de la
velocidad en algunos segmentos de la red vale la pena el costo de la compra
de nuevos equipos.
Campus Diseo Terminologa
Figura 6-12 muestraundiseotpicodeungrancampusLAN,conla
terminologaincluidaenlafigura. Este LAN tiene alrededor de 1.000
ordenadores personales conectados a switches que soportan alrededor de 25
puertos cada uno.

Cisco utiliza tres trminos para describir la funcin de cada swtich en un

diseo de campus: el acceso, distribucin, y ncleo. Los roles difieren en
funcin de si los switches envan trfico desde un dispositivo de usuario y al
resto de la LAN (access) o si el switch enva el trfico entre otros switch LAN
(Distribucin y ncleo).
Acceso: Proporciona un punto de conexin (acceso) para los dispositivos de
usuario final. No envian tramas entre otros dos switches de acceso en
circunstancias normales.
Distribucin: Proporciona un punto de agregacin para los switches de
acceso, reenviar tramas entre switches, pero no se conecta directamente a
dispositivos de usuario final.
Ncleo: switches de distribucin agregados en grandes redes de rea local
del campus, proporcionando muy altas tasas de transmisin.
Ethernet LAN Medios y longitudes de cable
Se debe tener en cuenta la longitud de cada tramo de cable y luego encontrar
el mejor tipo de Ethernet y el cableado tipo que apoya que la longitud del
cable.
Los tres tipos ms comunes de Ethernet hoy (10BASE-T, 100BASE-T, y
1000BASE-T)
Cables UTP incluyen cables de cobre sobre cual corrientes elctricas pueden
fluir, mientras que los cables pticos incluyen hebras ultra finas de vidrio el
cual la luz puede pasar. Para enviar los bits, los switches pueden alternar entre
el envo luz brillante y oscura para codificar 0s y 1s en el cable.
Los cables pticos soportan una variedad de distancias mucho ms largar que
los cables UTP. Los cables pticos experimentan mucho menos interferencias

Adems, los swtiches pueden utilizar lseres para generar la luz, as como
emisor de luz diodos (LED). Los lseres permiten mayores distancias de
cableado, miles metros, a mayor costo, mientras que los LEDs, menos
costosos soportar distancia para LAN de campus (parques de oficinas).
Por ltimo, el tipo de cableado ptico tambin puede afectar las distancias
maximas por cable. De los dos tipos, fibra multimodo soporta distancias ms
cortas, pero es cableado ms barato y funciona bien con LEDs menos
costosos. El otro tipo de cableado ptico, fibra monomodo, soporta ms
distancias, pero es ms caro. Tambin el hardware base de LED (multimodo
fibra) es mucho menos caro que el hardware basado en lser (monomodo
fibra)
Tabla 6-4 enumeralostiposmscomunesdeEthernetysustiposdecabley
laslimitacionesdelongitud.

Autonegotiation
Dispositivos ethernet en cada extremo de un enlace deban utilizar el mismo
estndar o no podan enviar correctamente datos. Ejem: Nic 100Base-T
conectado con un cable utp de velocidad 100-mbps o 1000-mbps a un puerto
de un switch que trabaja con 1000base-T.
Solucion IEEE : negociacin automtica. (Estndar IEEE 802.3u) define un
protocolo que permite que el Ethernet UTP de dos nodos en un enlace
negocien utilizar la misma configuracin de velocidad y dplex. Bsicamente,
cada nodo indica lo que puede hacer, y luego cada nodo recoge la mejor
opcion que soportan ambos nodos: la velocidad ms rpida y la mejor
configuracin dplex.

Muchas redes usan negociacin automtica, en particular entre dispositivos de

usuario y switches LAN (Figura613

). La empresa instal cuatro de par

trenzado, por lo que el cableado trabaja 10 Mbps, 100 Mbps y 1000 Mbps
Ethernet. Ambos nodos en cada enlace envan mensajes de autonegociacin el
uno al otro. El switch en este caso tiene todos los puertos 10/100/1000,
mientras que las tarjetas de red de PC soportan diferentes opciones.

Autonegotiation Results When Only One Node Uses

Autonegotiation
Desactivar la negociacin automtica no es siempre una mala idea, pero se
debe usar en ambos extremos del enlace o desactivarlo en ambos. Desactivar
negociacin automtica se configura la velocidad deseada y dplex en ambos
switches. Si est habilitado, ambos extremos de la conexin eligen la mejor
velocidad y dplex.Sin embargo, cuando est habilitado en un solo extremo,
muchos problemas pueden surgir: El vnculo podra no funcionar en absoluto,
o que podra funcionar mal.
IEEE negociacin automtica define algunas reglas (por defecto) que los
nodos deben utilizar cuando falla la negociacin automtica, como sigue:
Velocidad: Use su velocidad mas lenta soportada (a menudo 10 Mbps).
Dplex: Si la velocidad = 10 o 100, utilice half-duplex; de lo contrario,
utilice full-duplex.

Cisco switches tambin se suman a la lgica IEEE, porque los switches de

Cisco pueden detectar la velocidad utilizado por otro nodo, incluso sin la
negociacin automtica IEEE. Como resultado, Cisco cambia la logica cuando
falla la negociacin automtica:
Velocidad: detectar la velocidad (sin necesidad de utilizar la negociacin
automtica), o si eso no funciona, utilice el IEEE defecto (Ms lento
soportado velocidad, a menudo 10 Mbps).
Dplex: Utilice los valores predeterminados IEEE: Si la velocidad = 10 o
100, utilice half-duplex; de lo contrario, utilice completodplex.
La figura 6-14 muestratresusuariosquecambiansusopcionesdeNICy
desactivarnegociacin automtica. El swtich tiene todos los puertos
10/100/1000 con negociacin automtica activada. Decisiones tomadas por el
switch

Revisar cada enlace, de izquierda a derecha:

PC1: El switch no recibe autonegociacin, por lo que detecta la seal
elctrica que PC1 est enviando datos a 100Mbps. El switch utiliza el dplex
predeterminado basado en la velocidad de 100 Mbps (half-duplex).
PC2: El switch utiliza la misma lgica que PC1, a excepcin de que el
switch opta por utilizar full-duplex, ya que la velocidad es de 1000 Mbps.
PC3: El usuario escoge la velocidad ms lenta (10 Mbps) y el peor dplex
(half). Sin embargo, el switch Cisco detecta la velocidad sin necesidad de
utilizar la negociacin automtica y luego utiliza el valor por defecto duplex
IEEE para 10 Mbps (half-duplex).
PC1 muestra un desajuste duplex.

La negociacin automtica y LAN Hubs

Hubs LAN tambin afectan cmo funciona la negociacin
automtica. Bsicamente, los hubs no reaccionan a los mensajes negociacin
automtica, y no reenvian los mensajes. Como resultado, los dispositivos
conectados a un hub deben utilizar las Normas IEEE para la configuracin
predeterminada que eligen, que a menudo se traduce en los dispositivos
utilizando 10 Mbps y half dplex.
Figura 6-15 Enesta LAN, todos los dispositivos y puertos de switch son
puertos 10/100/1000. El hub slo admite 10BASE-T.

Tenga en cuenta que los dispositivos de la derecha necesitan utilizar halfduplex, porque el hub requiere el uso de la CSMA / CD algorithmto para
evitar colisiones.

Captulo 7. InstalacinyfuncionamientodeCiscoLANSwitches
Acceso al switch Cisco Catalyst 2960 CLI
Cisco utiliza el concepto de commandlineinterface

(CLI) en sus LAN

productos. El CLI es una interfaz basada en texto. Al pulsar Enter enva el
comando a cambiar, que le dice al dispositivo hacer algo, en algunos casos, el
dispositivo contesta con algunos mensajes que indican los resultados del
comando.
Un switch puede proporcionar una interfaz web, de modo que se puede abrir
un navegador web para conectarse a un servidor Web que se ejecuta en el
switch. Los switches tambin se pueden controlar y operarn utilizando
software de gestin de red.
Switches Catalyst de Cisco y el swtich2960
Cisco produce una amplia variedad de series switches o familias. Cada serie
de switches incluye varios modelos especficos de swtiches que tienen
caractersticas similares, precio-vs-el rendimiento, y sus componentes internos
similares. Se puede usar un 2960 como switch de acceso.
Figura 7-1 muestraunafotodelaserie2960switchdeCisco.

Cisco se refiere a los conectores fsicos de un switch, como

interfaces o puertos. Cada interfaz tiene un nmero (estilo
numeros x/y). Ejemplo: 0/1, el segundo 0/2, y as sucesivamente. Las
interfaces tambin tienen nombres; por ejemplo,"Interfaz FastEthernet 0/1",
GigabitEthernet".

Estado del Interruptor de LEDs

Cuando un ingeniero necesita examinar cmo un switch est trabajando para
verificar su estado actual y para solucionar cualquier problema, la mayora de
las veces lo hace mediante CLI Cisco IOS. Sin embargo, el hardware del
switch s incluye varios LEDs proporciona algn status y resolucin de
problemas, durante el momento de encendido y durante las operaciones en
curso.
Figura72

La figura seala los distintos LEDs, con diversos significados. Tabla7

2 resume los LEDs, yexplicaciones adicionales siguen la mesa.
Tabla 7-2. LED

Considere el LED SYST. Este LED ofrece un estado general rpida del
switch, con tres estados simples:
Off: El switch no est encendido.
Encendido (verde): El switch est encendido y operativo (Cisco IOS se ha
cargado).
On (mbar): El sistema esta encendido, pero no est funcionando
correctamente.
Para el caso (LED mbar) la respuesta es accionar al reinicio power del
switch. Si se produce el mismo fallo, una llamada al Centro de Asistencia
Tcnica de Cisco (TAC) es el paso siguiente.
Por ejemplo, en el modo STAT (estado), cada puerto LED implica el estado de
puerto de adaptacin, como de la siguiente manera:
Off: El enlace actualmente no est trabajando (incluyendo si apagar).
Verde fijo: El enlace funciona, pero no hay trfico actual.
Verde intermitente: El enlace funciona, y el trfico est pasando por
encima de la interfaz.
mbar intermitente: El puerto est bloqueado por el rbol de expansin.
En el puerto Speed, los LED del puerto implican la velocidad de
funcionamiento de la interfaz, con un LED que significa 10 Mbps, una luz
verde fija significa 100 Mbps, y parpadeantes significa 1000 Mbps (1 Gbps).
Acceso a la CLI de Cisco IOS
Cisco llama su SO The Internetwork Operating System (IOS).

Software Cisco IOS controla la lgica/comportamiento y rendimiento y

funciones desempeadas por equipos Cisco. La CLI de Cisco IOS permite al
usuario utilizar un terminal programa de emulacin, que acepta el texto
introducido por el usuario (comandos).
La CLI switch se puede acceder a travs de tres mtodos: Consola, Telnet y
SecureShell (SSH). Dos de estos mtodos (Telnet y SSH) utilizan la red IP en
la que reside el switch para llegar al switch. La consola es un puerto fsico
construido especficamente para permitir el acceso a la CLI. Figura 73 muestralasopciones.

Acceso por consola requiere una conexin fsica entre un PC y el puerto de

consola del switch, junto con algn tipo de software en el PC. Telnet y SSH
requieren software en el dispositivo del usuario y dependen de la red TCP / IP
Cableado de la conexin de consola
La conexin de la consola fsica utiliza tres componentes principales: 1 puerto
fsico consola, 1 puerto fsico serial en el PC, y un cable que funciona con
puertos consola y serial.
Conexiones de consola ms antiguos utilizan un puerto serial del PC, un cable
consola y un conector RJ-45 en el switch. El puerto serial del PC normalmente
tiene un conector D-shell (ms o menos rectangular) con nueve pines(A
menudo llamado DB-9). Switches modelos actuales, utilizan un conector RJ45 para el puerto de consola.

Puede utilizar un cable de consola especialmente diseada (que viene con

nuevos switches y routers Cisco) o hacer su propio cable de consola mediante
cables UTP y un enchufe estndar de convertidor de RJ-45 a DB-9.
Para el cableado UTP, el cable utiliza pinouts rollover.En su lugar, utiliza ocho
cables, rodando el cable en el pin 1 a pin 8, pin 2 a 7, la 3 a la 6, y as
sucesivamente.
PCs han migrado desde usar puertos serial para usar Universal Serial Bus
(USB). Cisco tambin ha comenzado la construccin de los nuevos routers y
switches con puertos USB para acceso a la consola tambin.
Muchos PC ya no tienen puertos serial, pero muchos routers y switches Cisco
existentes slo tienen un puerto de consola RJ-45 y no USB puerto de
consola. Para conectar un PC como a una consola de router o switch, necesita
algn tipo de convertidor que convierte el cable de consola a un conector
USB, como se muestra en el medio de laFigura74 .

Configuracin del emulador de terminal para la Consola

Despus de que el PC est conectado fsicamente al puerto de consola, un
software de emulacin de terminal debe ser instalado y configurado en el
PC. El terminal trata a todos los datos como texto.

El emulador debe estar configurado para utilizar el puerto serial del PC para
que coincida con la configuracin del switch de configuracin del puerto de
consola. La configuracin del puerto de consola por defecto en un switch son
las siguientes. Tenga en cuenta que el ltimo tres parmetros se conocen
colectivamente como "8N1":

Acceso a la CLI con Telnet y SSH

La aplicacin TCP / IP Telnet permite un emulador de terminal para
comunicarse con otro dispositivo. Telnet utiliza una red IP para enviar y
recibir los datos, en lugar de un cable especializado y puerto fsico en el
dispositivo.TCPprotocolo de capa de aplicacin basada en que utiliza el
puerto 23 conocido.
Para utilizar Telnet, el usuario debe instalar un paquete de software de cliente
Telnet en su PC. El switch ejecuta software de servidor Telnet por defecto,
pero el switch necesita una direccin IP configurada de manera que pueda
enviar y recibir paquetes IP.
Cliente Telnet monitorea switches de forma remota.Tambien se utiliza Secure
Shell(SSH) para superar el grave problema de seguridad de Telnet. Telnet
enva todos los datos (incluyendo cualquier nombre de usuario y contrasea
para iniciar sesin en el switch) como datos de texto claro. SSH encripta el
contenido de todos los mensajes, incluyendo contraseas, evitando la
posibilidad de capturar los paquetes de alguien en la red y el robo de la
contrasea para los dispositivos de red. Asi SSH trabaja al igual que telnet
pero con mayor seguridad.
El usuario utiliza un emulador de terminal que soporte SSH. Al igual que
Telnet, SSH utiliza TCP, utilizando el puerto 22 en lugar de Telnet de 23.
Seguridad de la contrasea para el acceso CLI
Por defecto las configuraciones de swtich slo permiten acceso mediante la
consola. Sin embargo, cuando se habilita Telnet y / o Acceso SSH, necesita

habilitar seguridad de la contrasea para que slo las personas autorizadas

tengan acceso a la CLI. Adems, slo para estar seguro, usted debe proteger
con contrasea la consola tambin.
Para aadir contrasea para la consola y para Telnet, el ingeniero tiene que
configurar un par de comandos bsicos. Tabla73 . Despus de que se ha
configurado, el switch suministra una solicitud de contrasea sencilla (como
resultado de login command).

Switches Cisco se refieren a la consola como una console line 0. Switches

soportan 16 sesiones Telnet simultneas, referenciado como terminal virtual
(vty) lne de 0 a 15. El comando line vty 0 15 indica al switch que los
comandos que siguen se aplican a 16 conexiones virtuales de terminal (de 0 a
15), que incluye Telnet, as como el acceso con SSH.
SSH utiliza la criptografa de clave pblica para intercambiar una clave de
sesin compartida, que a su vez se utiliza para el cifrado. Adems, SSH
requiere mejor seguridad de inicio de sesin, que requiere al menos una
contrasea y un nombre de usuario.
User and Enable (Privileged) Modes
Los tres mtodos de acceso a la CLI cubiertos hasta el momento (consola,
Telnet y SSH) colocan al usuario en una zona de la CLI llamado modo EXEC
usuario. Modo EXEC usuario, a veces tambin llamado usermode, Permite al
usuario mirar a su alrededor, pero no rompe nada.
Cisco IOS admite un modo EXEC ms poderoso llamado modo enable
(tambin privileged EXEC mode). Activar el modo enable, que mueve el
modo de usuario al enable mode, como se muestra en laFigura76 .

CLI Ayuda Caractersticas

Tabla 7-4 resumeayudadecomandosdisponiblesenlaCLI.
Tabla 7-4. Cisco IOS Software Comando Ayuda

Al entrar en el ? , la CLI de Cisco IOS reacciona inmediatamente; es decir, no

es necesario pulsar Enter o cualquier otra clave. Si pulsa Intro inmediatamente
despus de la ? , Cisco IOS intenta ejecutar el comando con slo los
parmetros que ha introducido hasta el momento.
Cisco IOS almacena los comandos que se introducen en una memoria
histrica, almacena diez comandos de forma predeterminada. La CLI le
permite avanzar y retroceder en la lista histrica de comandos y luego editar el
comando antes de volverla a emitir. Estas secuencias de teclas pueden
ayudarle a utilizar la CLI con mayor rapidez en los exmenes. Tabla7
5 enumera los comandos que se utilizan para manipular los comandos
introducidos anteriormente.

The debug and show Commands

El nico comando ms popular Cisco IOS es show. El show cuenta con un
comando gran variedad de opciones, el cual usted puede encontrar el estado
de casi todas las caractersticas de Cisco IOS (funcionamiento).
Debug comando tiene un papel similar en comparacin con el show. Sin
embargo, en lugar de limitarse a enumerar los mensajes sobre el estado actual,
debug monitorea los diferentes procesos en el switch.
Un show muestra lo que es verdad en un solo punto en el tiempo, y necesita
menos esfuerzo. Una debug muestra en tiempo real y requiere ms esfuerzo.
Las opciones habilitadas por un debug no estn desactivadas hasta que el
usuario tome medidas o hasta que se vuelve a cargar el switch. Un reload del
switch desactiva todas las opciones de debug o el comando no
debug. Adems, el no debug all y undebug all comandos desactivan todas
depura actualmente habilitadas.
Tenga en cuenta que algunos debug opciones crean tantos mensajes que Cisco
IOS no puede procesar todos ellos, posiblemente resultando una degradacion
del rendimiento de Cisco IOS. Es posible que desee comprobar la CPU del

switch actual utilizacin el comando show process antes de emitir

cualquier debug comandos.
Configuracin del software Cisco IOS
Configuration mode es otro modo para la CLI Cisco, Modo de configuracin
acepta comandosdeconfiguracin - que le dicen al switch los detalles de lo
que hacen y cmo lo hacen. LaFigura77 ilustra la relacin entre la
configuracin modo, el modo EXEC usuario, y el modo EXEC privilegiado.

Los comandos introducidos en el modo de configuracin actualiza el archivo

de configuracin activo. Estos cambios en la configuracin se producen
inmediatamente cada vez que se pulsa la tecla Intro al final de un comando.
Submodos configuracin y Contextos
La interfaz de comandos es uno de los comandos de configuracin de uso
ms frecuente. Por ejemplo, el usuario CLI podra entrar en el modo de
configuracin de interfaz mediante la introduccin de la interface
FastEthernet 0/1. Comandos utilizados en este contexto se
llaman subcomandos o, en este caso especfico, subcomandos de interfaz.
Para Ahora, consideremos elEjemplo72 , que muestra lo siguiente:

Archivos de configuracin del switch Almacenamiento

Al configurar un switch, es necesario utilizar la configuracin. Tambin tiene
que ser capaz de retener la configuracin en caso de que el switch se queda sin
alimentacin. Switches Cisco contienen memoria de acceso aleatorio (RAM)
para almacenar datos mientras Cisco IOS se utilizando, pero RAM pierde su
contenido cuando el switch se queda sin alimentacin. Para almacenar la
informacin switches Cisco utilizan varios ms tipos de memoria permanente,
ninguno de los cuales tiene ninguna pieza mvil. Al evitar componentes con
partes (tales como unidades de disco tradicionales) que se mueve, switches
pueden mantener mejor el tiempo de actividad y disponibilidad.

La siguiente lista detalla los cuatro tipos principales de la memoria que se

encuentra en los switches de Cisco:
RAM : A veces llamado DRAM, para la memoria dinmica de acceso
aleatorio, RAM es utilizado por el switch para el almacenamiento de
trabajo. La ejecucin (activa) archivo de configuracin se almacena aqu.
ROM : Memoria de slo lectura (ROM) guarda un arranque (o boothelper)
programa que es cargado Cuando el switch inicia (power on). En este
bootstrap luego encuentra la imagen de Cisco IOS y gestiona el proceso de
carga de Cisco IOS en la memoria RAM.
Flash Memory: almacena completamente imgenes IOS de Cisco y es la
ubicacin predeterminada donde switch recibe su Cisco IOS en el
arranque. La memoria flash tambin se puede utilizar para almacenar
cualquier otro archivo, incluyendo copias de seguridad de archivos de
configuracin.
NVRAM : RAM no voltil (NVRAM) almacena el archivo de configuracin
inicial o startup que es utilizado cuando el switch se enciende por primera vez
y cuando se vuelve a cargar el switch.
Figura 7-9 resumeestamismainformacinenunbreveymsconvenientela
memorizacinformfory el estudio.

Cisco IOS guarda el grupo de comandos de configuracin en un archivo de

configuracin. Existen 2 tipos de archivo de configuracin

En esencia, cuando se utiliza el modo de configuracin, se cambia slo

el archivo(RunningConfig). Esto significa si el switch perdi su energa
despus de todo lo que se configuro se perdera. Si desea mantener esa
configuracin, usted tiene que copiar o subcribir el archivo de configuracin
en ejecucin en la NVRAM. ( Startup Config)

La copia y borrado de archivos de configuracion

Si desea mantener la nueva configuracin de los comandos, esnecesario
utilizarelcomandocopyrunningconfigstartupconfig.Estecomando
sobrescribe el archivo de configuracin de inicio actual con lo que
actualmente se encuentra en el archivo de configuracin en ejecucin.
El comando copy se puede utilizar para copiar archivos en un switch, un
archivo de configuracin o una nueva versin del software Cisco IOS. Utilizar
copy para copiar archivos entre la memoria RAM o NVRAM de un switch y
un TFTP servidor. Los archivos se pueden copiar entre cualquier par, como se
muestra en lafigura710 .

Los comandos para copiar configuraciones de Cisco IOS se pueden resumir

como sigue:
Copy {tftp | running-config | startup-config} {tftp| running-config |
startup-config}

El primer conjunto es la ubicacin; el siguiente conjunto de parmetros es el

destino.
Una manera de garantizar que los dos archivos de configuracin coinciden es
emitir el comando reload, que vuelve a cargar o se reinicia, el switch, que
borra la memoria RAM y despus copia el inicio config en la RAM como
parte del proceso de recarga.
Puede utilizar tres comandos diferentes para borrar el contenido de la
NVRAM. Los viejos comandos write erase y erase startup-config, mientras
que el comando erase nvram es el ms reciente, y recomendado, comando.
Por supuesto, si el interruptor se vuelve a cargar en este punto, no hay ninguna
configuracin inicial.
Configuracin inicial (modo de configuracin)
Cisco IOS Software soporta dos mtodos principales para dar un switch una
configuracin bsica inicial. Setupmode

conduce haciendo preguntas que

pedir al administrador para la configuracin bsica.
Cuando un switch o router Cisco inicializa, pero el archivo de configuracin
de inicio est vaca, el switch o router pregunta al usuario si quiere utilizar el
modo setup. Figura711 muestra las sucursales en el proceso.

Francamente, la mayora de los ingenieros de red nunca utilizan el modo de

configuracin, sobre todo porque la configuracin slo es compatible con un
pequeo porcentaje de los valores de configuracin del switch modernas.

IOS versin y Otros Datos Actualizar

Cuando un switch carga el IOS, debe hacer muchas tareas. El software IOS en
s debe ser cargado en la RAM. La IOS debe tomar conciencia de que el
hardware disponible (ejem: interfaces del switch).
Show version

Comando Referencias

Captulo 8. ConfiguracindeconmutacinEthernet
Securing the Switch CLI
El primer paso para asegurar un switch es asegurar el acceso a la CLI.
Securing CLI incluye la proteccin al enable mode, porque un atacante podra
reload ql switch o cambiar la configuracin. Al mismo tiempo, la proteccin
de user mode tambin es importante, porque los atacantes pueden ver el
estado del switch, aprender acerca de la red, y encontrar nuevas formas de
atacar la red.
Por otro lado, los valores de configuracin por defecto no permiten un vty
(Telnet o SSH) sesin en un switch, ya sea a modo de usuario o al modo
enable. Para permitir que estos usuarios llegar a modo de usuario, el switch
primero necesita una configuracin IP de trabajo, as como la conexin de la
seguridad en las lneas vty. Para permitir el acceso a enable mode este debe
estar configurado y la seguridad tambin.
Enparticular,enestaseccinsetratanlossiguientestemas:
Seguridad de contrasea simple a modo de usuario a partir de (a) la consola
y (b) Telnet
Secure Shell (SSH)
Password encryption
Enable mode passwords
Proteccin del acceso con contraseas simples
Los switches de Cisco pueden proteger modo usuario con una contrasea
simple-sin-username para la consola y los usuarios Telnet. Usuarios deben
proporcionar la console password y telnet password (contrasea vty)
configuradas en modo configuracion
Switches Cisco protegen enable mode para cualquier usuario con la enable
password. El usuario en user mode escribe el comando enable y se le solicita
esta contrasea enable; si el usuario escribe la contrasea correcta, el IOS se
mueve al modo usuario. Figura81 muestra los nombres de stos contraseas
y los modos de configuracin asociados.

La configuracin password de consola y vty utiliza los mismos dos

subcomandos. El comando login le dice al IOS utilizar la seguridad de
contrasea simple, y el comando password define la contrasea. IOS protege
el modo enable usando el comando enable secret password.

Ejemplo 8-1

Y los usuarios de SSH an no pueden iniciar sesin en este switch, ya que

necesita ms configuracin para apoyar SSH.

Ejemplo 8-2 muestralaconfiguracinresultanteenelswitchEmma.Las

lneasgrisesdestacanla nueva configuracin.
Ejemplo 8-2. Resultando Ejecucin de archivos de configuracin de
interruptor de Emma

Securing access whit local usernames and passwords

Un mtodo de inicio de sesin que utiliza contraseas de texto simple (sin los
nombres de usuario) funciona, pero todo usarian la misma contrasea para
ingresar via telnet a un switch.
Cisco switches soportan otros mtodos de autenticacin de inicio de sesin
que utilizan un username y password para que cada usuario tenga acceso
nico. Un mtodo configura pares username/password localmente en el
switch, y el otro se basa en un servidor externo llamado autenticacin,
autorizacin y accounting (AAA).

Por ejemplo, laFigura82 muestra el concepto y configuracin para migrar al

uso de nombres de usuario locales para los usuarios de Telnet.

Securing Access whit External Authentication Servers

Switches y routers Cisco admiten una forma alternativa de llevar un registro
de los nombres de usuario vlidos y contraseas mediante el uso de un
servidor AAA externo. Si utiliza un servidor AAA para la autenticacin, el
switch (O router) simplemente enva un mensaje al servidor AAA preguntando
si el nombre de usuario y la contrasea son permitidos, as como las
respuestas del servidor AAA. Lafigura83 muestra un ejemplo.

Tenga en cuenta que la informacin fluye con un par de diferentes

protocolos. A la izquierda, la conexin entre el usuario y el switch o router
utiliza Telnet o SSH. A la derecha, el servidor AAA y el switch suelen utilizar
tanto el radius como protocolo TACACS +, ambos de los cuales cifran las
contraseas a medida que atraviesan la red.
Configuracin de Secure Shell (SSH)

Para apoyar SSH , switches Cisco requieren la configuracin base utilizada

para inicio de sesin Telnet con usernames, adems de configuracin
adicional. En primer lugar, el switch ya ejecuta un servidor SSH por defecto,
aceptar conexiones SSH clientes desde SSH entrantes. Adems, el switch
necesita una criptografa clave, que se utiliza para cifrar los datos. La
siguiente lista detalla los pasos para un switch Cisco apoyar SSH
utilizando localusernames. En el paso 3, se enumera los nuevos comandos
SSH:

Paso 1. Configurelaslneasvtyparautilizarusernames,(usando login

local comando) o un servidor AAA.
Paso 2. Siutilizausernamesdefinidoslocalmente,agregarunoo
msusernamedeconfiguracinglobalpara configurar pares de nombre de
usuario / contrasea.
Paso 3. Configureelswitchparagenerarunpardeclavespblicayprivada
adaptadoencifrado, utilizando dos comandos:
A. Comorequisitoprevioparaelsiguientecomando,configurarun
nombrededominioDNSconelcomando(confglobal)ipdomainname nombre
B. Crearlasclavesdecifradoutilizandoelcomandoglobalcryptokey
generatersa.
Paso 4. (Opcional)HabilitarSSHversin2usandocomandoglobalipssh
version2paramejorarlaseguridad.
La figura 8-4 muestralostrespasos,conejemplosdeloscomandosde
configuracinrequeridos, sumados las configuracines mostrada en la Figura
82 , con slo dos comandos ms aadido a SSH apoyo.

El comando crypto key en realidad pide al usuario para obtener ms

informacin y genera algunos mensajes mientras se genera la clave. Ejemplo
83 muestra los comandos en Figura 8-4 estconfigurado,conlaclavede
cifradocomoelpasofinal.

Show ip ssh muestra informacin del estado de las listas de mando sobre el

servidor SSH en s. El comano show ssh listas informacin acerca de cada

cliente SSH actualmente conectado en el switch. Ejemplo84

SSH v2 mejora los algoritmos de seguridad subyacentes que SSHv1 y aade

algunas otras pequeas ventajas, como banner support.
Por ltimo, el switch soporta tanto Telnet y SSH en las lneas vty, pero se
puede desactivar una o ambas para la seguridad an ms. Los switchs pueden
controlar Telnet y / o SSH en las lneas vty utilizando el subcomando
vty transport input {all | none | telnet | ssh} con las siguientes opciones:
Transport input all or transport input telnet ssh: soporta ambos
Transport input none: soporta ninguno
Transport input telnet: soporta solo telnet
Transport input ssht: soporta solo SSH
Cifrar y ocultar contraseas
Slo el comando enable secret oculta automticamente el valor de la
contrasea. Los otros comando de lineas consola y vty con la password del
sistema, adems de la contrasea en el username password son en texto sin
cifrar de forma predeterminada.
Encrypting Passwords whit the service password Command
Para evitar la vulnerabilidad contrasea en la salida del archivo de
configuracin, o en una copia de seguridad del archivo de configuracin
almacenado en el servidor, puede cifrar algunas contraseas utilizando
el comando global service password-encryption. Este comando afecta a
todas las contraseas del comando password, tanto en modo consola y vty, y
el comando global username password. Las reglas para el comando service
password-config son los siguientes:

 En el momento en que service password-encryption est configurado, el

IOS de inmediato cifra todos los existentes password (modos de consola y
vty) y username password. (Comando global)
Mientras service password-encryption permanezca en la configuracin, el
IOS encripta estas mismas contraseas si se cambian sus valores.
El comando no service password-encryption se utiliza para deshabilitar
contraseas cifradas, IOS no hace nada para las contraseas ya existentes,
dejando todas como cifrado.
A partir de ese momento en adelante, mientras service passwordencryption no esta configurada, cualquier cambio de contrasea para estos
comandos son en texto claro.

Ejemplo 8-5. Cifrado y el service password-encryption Comando

Ejemplo 8-5 El signo | al final de un show enva la salida del comando a

otro Funcin. Ejemplo show running-config | begin line vty Muestra la
salida que comienza cuando la primera aparicin del texto que aparece ("vty"
este. El | section vty, muestra slo la seccin de salida sobre las lneas vty.
Ocultar el Enable Password
Los switches pueden proteger enable mode para exigir que el usuario
suministre enable password despus de usar el comando EXEC enable. Sin
embargo, la configuracin se puede basar en dos rdenes diferentes: el
comando global viejo enable password password y el nuevo (y
preferido) enable secret contrasea.
IOS le permite configurar ninguno, uno o el otro, o incluso ambos
comandos. Entonces el switch elige qu contrasea requerira de un usuario en
base a las siguientes reglas:

Both commands configured: Use el comando enable secret password

Only one command configured: Utilice la contrasea en un comando
Neither command configured (por defecto): los usuarios de la consola se
permite en el modo enable sin una solicitud de contrasea, mientras que otros
son rechazados.
Enable secret comando proporciona mejor seguridad en comparacin con la
enable password. El viejo comando enable password almacena la
contrasea en texto plano, y la nica opcin para cifrar es la dbil service
password-encryption. El nuevo comando enable secret codifica
automticamente la contrasea, usando un proceso diferente que el service
password-encryption. Este comando enable secret se aplica una funcin
matemtica a la contrasea, llamado (MD5) de hash Message Digest 5.

En el modo enable, puede eliminar la enable secret mediante el comando no

secret password.

Por ltimo, cabe destacar que Cisco ha aadido otro hash algorithmto en
enable secret para routers: SHA-256. Este algoritmoes ms fuerte que MD5,
con IOS anunciando este algorithm cifrado de tipo 4.
Cmo ocultar las contraseas para los nombres de usuario local
Cisco ha aadido el comando global username usuario secret contrasea
como alternativa al username usuario password contrasea. Tenga en cuenta
que este comando utiliza un SHA-256 (tipo 4) hash.
Hoy en da, el username secret se prefiere sobre username password. Sin
embargo, note que un nombre de usuario se puede configurar con username
secret o username password , pero no ambos.

Configuracin de la consola y vty

Banners
Un banner es simplemente un texto que aparece en la pantalla para el
usuario. Se puede configurar en un router o switch para mostrar mltiples
banners, algunos antes de inicio de sesin y algunos despus. Tabla8
2 enumera la tres banners ms populares y su uso tpico.

Ejemplo 8-7 muestraelprocesodeconfiguracindelostrestiposdebanners

dela Tabla 8-2 ,Los dos primeros banners comandos utilizan un # como el
carcter delimitador. La tercera banner utiliza un Z como delimitador, slo
para mostrar que cualquier caracter puede ser utilizado

History Buffer Commands

Los ltimos comandos se guardan en la memoria histrica. Se puede utilizar
la tecla flecha hacia arriba o pulse Ctrl + P, para retroceder en el memoria
histrica para recuperar un comando que introdujo. Esta caracterstica hace
que sea muy fcil y rpido de usar un conjunto de comandos varias veces. La
Tabla83 enumera algunos de los comandos de teclado relacionado con la
memoria intermedia history.

The logging synchronous and exec-timeout Commands

Un par de maneras de hacer uso de la consola un poco ms fcil, pidiendole al
switch no interrumpir con mensajes de registro, y para controlar cunto
tiempo puede estar conectado a la consola antes de ser forzado a salir.
La consola recibe automticamente copias de todos los mensajes syslog en un
switch. La idea es que si el switch tiene que decirle algo importante y quizas
informacin urgente, el administrador podra estar en la consola y puede
observar el mensaje.
La visualizacin de estos mensajes en la consola se puede desactivar y activar
con el comando global no logging console and logging console. Por ejemplo,
cuando se trabaja desde la consola, si quieres temporalmente no ser molestado
por los mensajes de registro, puede desactivar la visualizacin de estos
mensajes.
Desafortunadamente, IOS (por defecto) muestra estos mensajes Syslog en la
pantalla de la consola en cualquier tiempo- incluyendo justo en el medio de un
comando que desea introducir, o en medio de la salida de un show.
IOS proporciona una solucin a este problema diciendo la opcin de mostrar
los mensajes de registro del sistema a tiempos convenientes, como al final de

un show. Para ello, basta con configurar el subcomando logging

synchronous.
De forma predeterminada, el switch se desconecta automticamente a los
usuarios de la consola y vty (Telnet y SSH) despus de 5 minutos de
inactividad. El subcomando exec-timeout minutos segundos le permite ajustar
la longitud de ese temporizador de inactividad, con el valor especial de 0
minutos y 0 segundos para nunca desconertarla.
Ejemplo 8-8 muestralasintaxisparaestosdoscomandos,tantoenlalneade
consolacomolineasvty.Tengaencuentaqueenambossepueden aplicar.

LAN Switch Configuration and Operation

Switches Cisco al salir de la fbrica tienen por defecto, con todas las
interfaces habilitadas (no shutdown) y con la autonegotiation enable para los
puertos que pueden utilizarlo (dplex auto y speed auto). Todas las interfaces
por defecto son parte de la VLAN 1 (switchport access vlan 1).
IP Habilitacin de acceso remoto
Para permitir Telnet o SSH acceso al switch y para permitir otros protocolos
de gestin basados en IP (por ejemplo, Simple Network Management
Protocol) el switch necesita una IP direccin. La direccin IP no tiene nada
que ver cmo envia tramas Ethernet; simplemente existe para apoyar el trfico
de administracin por encima.
La configuracin IP de un switch funciona como un PC con una nica interfaz
Ethernet.
Un Switch utiliza conceptos similares a un host, excepto que el switch se
puede utilizar una NIC virtual. El switch utiliza un concepto NIC- llamado
switched virtual interface (SVI), o ms comnmente, una interfazdeVLAN ,
Que acta como el switch poseyera NIC para conectar a una red local para
enviar paquetes IP.

Un switch capa 2 slo puede utilizar una interfaz VLAN para su

administracion. Por ejemplo, laFigura86 muestra dos VLANs diferentes (1
y 2). Se debe elegir si la direccin IP del switch, utilizado para acceder y
gestionar cambios, debe tener una direccin IP en la subred 192.168.1.0
(VLAN 1), o en la subred 192.168.2.0 (VLAN 2).

Configuracin de IPv4 en un switch

Un switch configura su direccin IPv4 y la mscara en la interfaz VLAN. Los
pasos siguientes indican los comandos utilizados para configurar IPv4 en un
switch, si se asume que la direccin IP es configurado para estar en VLAN 1.
Ejemplo 89

Paso 1. EntraraVLAN1conelcomandoconfiguracinglobalinterface
VLAN1
Paso 2. AsigneunadireccinIPylamscarautilizandoelsubcomando
interfaceipaddressdireccinipmscara.
Paso 3. Sinoestaenable,activelainterfazVLAN1utilizandoelsubcomando
interfacenoshutdown.
Paso 4. Aadirelcomandoglobalipdefaultgatewaydireccinippara
configurarlapuertadeenlacepredeterminada.
Paso 5. (Opcional)Agreguelaipnameserveripaddress1ip
address2. . .comandoglobalparaconfigurar el switch para utilizar DNS para
resolver los nombres en su direccin IP correspondiente.

Para habilitar administrativamente una interfaz en un switch, utilice no

shutdown (se visualiza syslog mensajes); desactivar una interfaz, utilice
el shutdown.
El switch tambin puede utilizar DHCP para obtener dinmicamente su
configuracin IPv4. Bsicamente, todo lo que tienes que hacer es decirle al
switch para usar DHCP en la interfaz, y activar la interfaz.Ejemplo810

Paso 1. EntreenelmododeconfiguracinVLAN1usandointerfaceVLAN
1 y activar la interfaz mediante no shutdown.
Paso 2. AsigneunadireccinIPylamscaraconelipaddressdhcp.
Nota:Alreiniciarelswitchladireccinobtenidapordhcpnoseguardaenla
configuracinrunnig

Ejemplo 8-10. Cambiar Configuracin de la direccin IP dinmica con

DHCP

Verificacin de IPv4 en un switch

La configuracin del switch IPv4 se puede comprobar en varios lugares.
- show running-config : configuracin actual
- show interface vlan: informacin direccin IP y mscara utilizado,
muestra el estado detallado sobre la interfaz VLAN x.
- show dhcp lease: si utiliza DHCP
Ejemplo811

Configuracin de interfaces de conmutacin

IOS utiliza el trmino interface para referirse a los puertos fsicos utilizados
para reenviar datos a dispositivos a otros.Cada interfaz se puede configurar
con varias configuraciones.
IOS utiliza subcomandos de interfaz para configurar estos ajustes. Por
ejemplo, las interfaces pueden ser configurado para utilizar dplex y speed

de forma esttica,o una interfaz puede utilizar la autonegotation (por

defecto). Ejemplo812
Ejemplo 8-12. Conceptos bsicos de configuracin de la interfaz

Ver detalles de configuracin de la interfaz show running-config y show

interfaces (Este ultimo comando enumera una sola lnea para cada interfaz),
descripcin de la interfaz, velocidad y configuracin dplex.
FastEthernet 0/1 (Fa0 / 1): Este resultado muestra la velocidad configurada
de 100 y dplex full. El estado notconnect significa que el enlace fsico no
esta actualmente trabajando, razones como ningn cable conectado, o el
dispositivo apagado, o el dispositivo de poner el puerto en un estado de
cierre.
FastEthernet 0/2 (Fa0 / 2): Este puerto tambin no tiene cable instalado, pero
utiliza todo la configuracin por defecto (auto) (autonegotiate).

FastEthernet 0/4 (Fa0 / 4): Al igual que Fa0 /2, este puerto tiene toda la
configuracin por defecto, pero tiene cable a otro dispositivo que esta arriba,
haciendo que el estado pasar a "connect". Este dispositivo tambin tiene
autonegotiation. Speed and dplex(a-full and a-100), a- se refiere
autonegociacion..
Se puede configurar un comando de rango de interfaces, utilizando interface
range.Ejemplo, interfacerange FastEthernet0/11 - 20, el siguiente
subcomando (s) se aplica a las interfaces Fa0 / 11 a Fa0 / 20.

Port Security
El ingeniero puede utilizar portsecurity para restringir esa interfaz para que
slo el esperado dispositivos puedan usarlo. Esto reduce la exposicin a los
ataques que se conecta en algn puerto del switch sin usar.
Port security puede identificar los dispositivos basados en la direccin MAC
de origen de las tramas Ethernet a los dispositivos enviar.

La siguiente lista resume estas ideas comunes a todas las variantes de la

seguridad del puerto:

Definir un numero maximo de direcciones MAC de origen permitido para

todos los frames que vienen en la interfaz.
Observe todas las tramas entrantes, y mantener una lista de todas las
direcciones MAC de origen, adems de un contador del nmero de
direcciones sources MAC diferentes.

 Al agregar una direccin source MAC nueva a la lista y si el nmero de

direcciones MAC empuja el mximo configurado, se ha producido una
violacin de la proteccin portuaria. El switch
toma medidas (La accin predeterminada es apagar la interfaz).
Port Security permite otras opciones, permite configurar la direccin MAC
especfica (s) permitido para enviar tramas en una interfaz. Por ejemplo, en
Figura 8-7 ,ElSW1conectaatravsdelainterfazF0/1aPC1,
Se puede predefinir seguridad de puerto todas las direcciones MAC, uno,
ninguno, o un subconjunto de las direcciones MAC.
Puede ser molesto encontrar las MAC direccin de cada dispositivo para
configurar el port security. La seguridad del puerto puede ofrece una manera
fcil utilizadando la funcin llamada sticky secure MAC addresses. Con esta
caracterstica, portsecurity aprende las direcciones MAC de cada puerto y
almacena estos en la configuracin port security (archivo running
config). Esta caracterstica ayuda a reducir el gran esfuerzo de descubrir la
Direccin MAC de cada dispositivo.
Configuracin Port Security
Configuracin de seguridad del puerto implica varios pasos. En primer lugar,
portsecurity requiere un puerto ser configurado acceso o un enlace troncal. El
resto de los comandos habilitar la seguridad de puertos, establecer maximun
permitido por puerto las direcciones MAC, y configurar las direcciones MAC
reales, como se detalla en la siguiente lista:

Paso 1. Hagalainterfazdelswitchunainterfazdeaccesootrunk,utilizando
elswitchportmode access o switchport mode trunk subcomandos interfaz.
Paso 2. Habilitarlaseguridaddelpuertomedianteswitchportportsecurity
interfazsubcomando.
Paso 3. (Opcional)Anularpordefectoelnumeromaximopredeterminadode
direccionesMACpermitidasasociadoscon la interfaz (1) mediante el uso
switchport port-security maximun nmero interfaz subcomando.
Paso 4. (Opcional)Anularlaaccinpredeterminadaparatomarsobreuna
violacindeseguridad(shutdown)utilizandoswitchport portsecurity violation {protect | restrict | shutdown} interfaz subcomando.

Paso 5. (Opcional)predefinircualquierdireccinsourceMACpermitido(s)
paraestainterfaz,utilizandoswitchport port-security mac-address macaddress. Utilice el comando mltiple veces para definir ms de una direccin
MAC.
Paso 6. (Opcional)Decirlealswitchque"learnsticky"aprenderdirecciones
MACdinmicamenteconelsubcomandointerfazswitchport port-security
mac-address sticky
Figura 8-8 yEjemplo 8-13 muestrancuatroejemplosdelaseguridaddel
puerto.

En las cuatro interfaces coinciden 2 sub-comandos: switchport mode access y

switchport port-security

Verificacin Port Security

Ejemplo 8-14 muestradosejemplosdeshowportsecurityinterface.

Los dos primeros comandos Ejemplo814 confirman que una violacin de

seguridad se ha producido en FastEthernet 0/1, pero no hay violacines en
FastEthernet 0/2. El show port-security interface FastEthernet0/1 muestra
que la interfaz est en secure-shutdown, que significa que la interfaz ha sido
deshabilitado debido a la seguridad del puerto. En este caso, otro dispositivo
conectado al puerto F0 / 1, envo una trama con una direccin source MAC
distinta a la 0200.1111.1111 (ejemplo8-13), causando una violacin. Sin
embargo, el puerto Fa0 / 2, que utiliza el aprendizaje sticky, simplemente
aprendi la MAC direccin utilizada por el servidor 2.

El running-config muestra el aprendizaje sticky, con el switchport portsecuritymac-address sticky0200.2222.2222

Port Security Actions
Por ltimo, el switch puede ser configurado para utilizar una de las tres
acciones cuando se produce una violacin. Tabla84 enumera la Opciones de
switchport port-security violation {protect | restrict | shutdown} y sus
significados.

Tenga en cuenta que la opcin de shutdown pone a la interfaz en un estado

errordisabled (err-disabled), lo que hace detener el switch todas las tramas
entrantes y salientes. Para recuperar este estado, alguien debe manualmente
desactivar la interfaz con el shutdown y luego habilitar con no shutdown
Securing unused Switch Interfaces
Cisco hace algunas recomendaciones generales para anular la configuracin
predeterminada de la interfaz para que los puertos no utilizados ms seguro,
de la siguiente manera:

desactivar Administrativamente la interfaz mediante el subcomando

interface shutdown
Prevenir la VLAN trunking, haciendo que el puerto de una interfaz
nontrunking utilizando switchport mode Access.
Asignar el puerto no utilizado a una VLAN con switchport access
vlan nmero.
Establezca la VLAN nativa para que no sea la VLAN 1(defecto), utilizando
subcomando interface switchport trunk native VLAN id_vlan.

Captulo 9. EjecucinEthernetLANvirtuales
Conceptos LAN virtuales
Una LAN incluye todos los dispositivos en el mismo dominio de broadcast
Un dominio de broadcast incluye el conjunto de todos los dispositivos
conectados a la LAN, de modo que cuando cualquiera de los dispositivos
enva una frame broadcast, todos los otros dispositivos reciben una copia de
esa frame. Lan y dominio de broadcast basicamente es lo mismo.
Sin VLAN, un switch considera todas sus interfaces para estar en el mismo
dominio de broadcast. Es decir, para un switch, cuando una frame de
broadcast entr en un puerto de switch, el switch reenva esa emisin a todos
los dems puertos. Con esa lgica, para crear dos dominios de broadcast LAN
diferentes, haba que comprar dos swtiches Ethernet LAN diferentes, como se
muestra en laFigura91 .

Con VLAN, un switch puede configurar mltiples dominios de broadcast.

Estos dominios de broadcast creados por el switch se llaman virtual LANs
(VLAN).
Por ejemplo, en lafigura92 , El switch crea dos VLAN siendo
completamentes independientes. El switch nunca enviara una frame enviada
por Dino (VLAN 1) sobre cualquiera de Wilma o Betty (VLAN 2).

Limitar el nmero de hosts que reciben una frame de broadcast reduce el

nmero de los ejrcitos de procesamiento innecesarias. Tambin reduce los
riesgos de seguridad, debido a un menor nmero de hosts ver tramas enviadas
por cualquier host. La siguiente lista resume las razones ms comunes para la
eleccin de crear ms pequea de difusin dominios (VLAN):

 Reducir la sobrecarga de la CPU en cada dispositivo mediante la reduccin

del nmero de dispositivos que reciben cada frame de broadcast
Reducir los riesgos de seguridad al reducir el nmero de hosts que reciben
copias de los frames que los switch inundan (broacast, multicast y unicasts
desconocidos)
Para mejorar la seguridad para los hosts que envan datos sensibles
manteniendo los hosts separadas en VLAN
Para crear diseos ms flexibles para los usuarios del grupo por
departamento, o por grupos que trabajan juntos, en lugar de por ubicacin
fsica
Resolver problemas con mayor rapidez, ya que el dominio de error para
muchos problemas es el mismo conjunto de los dispositivos como los que en
el mismo dominio de broadcast
Para reducir la carga de trabajo para el protocolo Spanning Tree (STP)
limitando una VLAN a un solo switch de acceso
Creacin Multiswitch VLANs Using Trunking
Configurar VLAN es configurar cada puerto para decirle que nmero de
VLAN pertenece. Con mltiples switches, usted tiene que considerar
conceptos adicionales sobre cmo reenviar el trfico entre los switches
Cuando se utiliza en las redes VLAN, con varios switches interconectados, los
switches deben utilizar VLAN trunking entre los switch. Trunking VLAN hace
que los swich utilizen el proceso llamado VLAN tagging, por el cual el switch
aade otra cabecera para el frame antes enviarlo a travs del troncal. Esta
cabecera trunking adicional incluye un campo VLAN identifier (ID de VLAN)
para que el switch pueda asociar el frame con un ID de VLAN en particular.

El diseo en laFigura93(no trunking) funciona perfectamente. Por ejemplo,

PC11 (en la VLAN 10) puede enviar una trama a PC14. El flujo de frame en
SW1, sobre el enlace de la parte superior y a SW2. Pero el diseo no escala
muy bien. Se requiere un enlace fsico entre los switches para apoyar cada
VLAN.
Conceptos VLAN Tagging
VLAN trunkingcreaunenlaceentreswitchquesoportalamayorcantidadde
VLANcomoustednecesita. ConVLAN troncal, los switch tratan el enlace
como si fuera una parte de todas las VLAN. Al mismo tiempo, el troncal
mantiene el trfico VLAN separada, por lo que los frames en la VLAN 10 no
iran a los dispositivos en la VLAN 20, y viceversa. Figura94muestra la idea,
con un nico enlace fsico entre los dos switches.

El uso de trunking permite a los switchs pasar tramas desde multiples VLANs
sobre una sola conexin fsica aadiendo una pequea cabecera en la trama
Ethernet. Por ejemplo, laFigura95 muestra PC11 enva una trama de
broadcast en la interfaz Fa0 /1 (paso 1). Para inundar la frame, SW1 necesita
reenviar la trama de broadcast para SW2. Sin embargo, SW1 necesita dejar
saber a SW2 que la frame es parte de VLAN 10, de modo que despus de que
se recibe la trama, SW2 inundar la trama slo a VLAN 10, y no en VLAN

20. Por lo tanto, como se muestra en el paso 2, antes de enviar el frame, SW1
aade una cabecera de VLAN a la trama Ethernet original, con el encabezado
VLAN lista un ID de VLAN de 10 en este caso.

Cuando SW2 recibe la trama, se entiende que el frame est en VLAN 10.
SW2 luego le retira el Encabezado VLAN, reenvia la trama original de sus
interfaces VLAN 10 (Paso 3).
The 802.1Q and ISL VLAN Trunking Protocols
Cisco ha apoyado dos protocolos de trunking diferentes en los ltimos aos:
Enlace Inter-Switch (ISL) y IEEE 802.1Q. Hoy en da, se ha convertido
802.1Q trunking en el ms popular protocolo.
802.1Q inserta 4 bytes extra de cabecera VLAN 802.1Q en la cabecera
Ethernet de la trama original Figura 9-6 . ElcampoVLANIDesde12bits
dentrodelaheader 802.1Q.2ex12 (4096) VLAN, y en la prctica, un
mximum de 4094. (Ambos 802.1Q y ISL usa 12 bits para etiquetar el ID de
VLAN, con dos valores reservados [0 y 4095].)

Switches Cisco romper el rango de ID de VLAN (1-4094) en dos gamas: la

gama normal y el rango extendido. Todos los swtich pueden utilizar VLAN de
rango normal con valores a partir del 1 de 1005. Slo algunos switches pueden
utilizar VLAN de rango extendido con VLAN IDs desde 1005 a 4094. Las
reglas para que el switch pueda utilizar VLAN extendida dependen de la
configuracin de la VLAN Trunking Protocol (VTP).
802.1Q definetambinunIDdeVLANespecialencadatroncalcomo
lanativeVLAN(pordefectoVLAN1). Por definicin, 802.1Q simplemente no
aadie una cabecera 802.1Q a los frame en la VLAN nativa. Tenga en cuenta
que ambos switches deben estar de acuerdo en que la VLAN es la VLAN
nativa.
La VLAN nativa 802.1Q proporciona algunas funciones interesantes,
principalmente para apoyar las conexiones a dispositivos que no entienden de
trunking. Por ejemplo, un switch Cisco podra ser cableado a un switch que no
entiende trunking 802.1Q. El switch Cisco podra enviar tramas en la VLANnativa lo que significa que la frame no tiene cabecera, de modo trunking que
en el otro switch entendera el frame. La VLAN nativa permite la funcion de
accesibilidad a telnet en un switch.
Forwarding Data Between VLANs
Todo las funciones swtiches Ethernet utilizan los detalles y la lgica definidos
por Capa 2 protocolos OSI.
Sin embargo, algunos otros switches pueden hacer algunas funciones como un
router, usando la lgica adicional definida por protocolos de nivel 3. Estos
switches van por el nombre multilayer switich, o Capa3switch .
Enrutamiento paquetes entre VLAN con un Router
Al incluir las VLAN en un diseo de campus LAN, los dispositivos de una
VLAN deben estar en la misma subred. Siguiendo la misma lgica de diseo,
los dispositivos en diferentes VLANs necesitan estar en diferentes subredes.
Por ejemplo, en laFigura97

Switches de capa 2 no transmitir datos entre dos VLAN. De hecho, un

objetivo de la VLAN es separar el trfico de a la otra VLAN.Por ejemplo,
cuando Dino (en la VLAN 10) enva una trama Ethernet, si SW1 es capa 2, el
switch no reenviar el frame a los PCs en la VLAN 20.
LaFigura98 muestra un router que puede enrutar paquetes entre subredes 10
y 20. Router R1 dispone de una interfaz fsica LAN conectado al swtich y
asignado a VLAN 10, y una segunda interfaz fsica asignada a la VLAN 20.
Con una interfaz conectada a cada subred, el switch de capa 2 puede seguir
haciendo su trabajo de reenvo de tramas dentro de una VLAN, mientras que
el router puede hacer su trabajo de enrutamiento de packetes ip entre las
subredes.

La figura muestra un paquete IP desde Fred, que se encuentra en una VLAN /

subred, hacia Betty, que se encuentra en la otra. El switch capa 2 reenva dos
diferentes tramas Ethernet Capa 2: uno en VLAN 10, de FRED a la interfaz
F0 /0 de R1, y el otro en la VLAN 20, de la interfaz R1 F0/1 a Betty. Desde
una perspectiva Layer 3, Fred enva el paquete IP a su router por defecto (R1),
y R1 enruta el paquete a otra interfaz (F0 / 1) en otra subred donde reside
Betty.
El diseo que se muestra en la Figura98 funciona, pero utiliza demasiados
interfaces fsicas, uno por cada VLAN. La mejor opcin utiliza un troncal de
VLAN entre el switch (conmutador) y el router (enrutador), que slo requiere
una conexin fsica entre el router y el switch, mientras apoyan a todas las
VLAN.
Figura 9-9 muestraR1 utiliza VLAN trunking en lugar de un enlace
independiente para cada VLAN.

El concepto se llama"Enrutamiento de paquetes entre redes VLAN."

Routing Packets witth a Layer 3 switch
Enrutamiento de paquetes utilizando un router fsico, incluso con un troncal
de VLAN en el modelo de router-on-a-stick Figura99 , todava tiene un
problema importante: el rendimiento. El enlace fsico pone un lmite superior
en la cantidad de bits que puede enrutar y routers menos costosos tienden a ser
menos potente, y podra no ser capaz de encaminar un nmero
suficientemente grande de paquetes por segundo (pps) para mantenerse al da
con el trfico volmenes.
La solucin definitiva mueve las funciones de enrutamiento dentro del
hardware del switch LAN. Combinando las caractersticas de hardware y
software de capa 2 switches LAN, mas capa3 routers denominados switches
capa 3 (tambin conocido como switches multicapa). Capa 3 switches se
pueden configurar para actuar slo como un switch capa 2, o pueden ser
configurados para Capa 2 conmutacin y enrutamiento capa 3.

VLAN y configuracin VLAN Trunking y Verificacin

Switches Cisco no requieren ninguna configuracin para que funcione.
Pero si usted desea utilizar VLAN tendra que aadir un poco de
configuracines.
Creacin de VLAN y asignar VLAN de acceso a una interfaz

Paso 1. ParaconfigurarunanuevaVLAN,sigaestospasos:
A. modoconfiguration,utilicecomandoglobalvlanvlanidparacrearla
VLAN y para mover el usuario en el modo de configuracin VLAN.
B. (Opcional)UtilicenamenombresubcomandoVLANparadarnombrede
laVLAN. Sino esta configurado, el nombre de la VLAN es la VLAN ZZZZ,
donde ZZZZ es la VLAN ID decimal de 4 dgitos.
Paso 2. Paracadainterfazdeacceso(cadainterfaznotroncal) siga estos
pasos:
A. Utilicecomandointerfaceparaentrarenelmododeconfiguracinde
interfaz.
B. Usosubcomandointerfazswitchportaccessvlanidnmeropara
especificarlaVLANnmero asociado a esa interfaz.
C. (Opcional)Paradesactivarelenlacetroncalenlamismainterfaz,porlo
quelainterfaznonegocia convertirse en un troncal, utilice switchport mode
Access.

VLAN configuration Example 1: FULL VLAN configuration

Ejemplo 9-1 muestraelprocesodeconfiguracindeagregarunanueva
VLANylaasignacindeinterfacesdeaccesoa la VLAN.

Ejemplo 9-1. Configuracin de VLAN y asignar VLANs a Interfaces

Show vlan brief confirma la configuracin predeterminada de cincoVLAN

nondeletable, con todas las interfaces asignados a VLAN 1. (VLAN 1 no se
pueden eliminar, pero puede ser utilizado. VLAN 1002-1005 no se puede
eliminar y no se puede utilizar como VLAN de acceso).
Despus se ha aadido a la configuracin, una nueva VLAN, se repite el show
vlanbrief. VLAN 2, name FREDS-VLAN, y las interfaces asignadas a esa
VLAN (Fa0 / 13 y Fa0 / 14).
El ejemplo figura911 utiliza seis puertos del switch, todos los cuales
necesitan operar como puerto acceso. Es decir switchport access
vlan vlanid comandos. Sin embargo estas interfaces podran negociar para
convertirse ms tarde en puertos troncales, porque los valores por defecto del
switch permitir al puerto negociar trunking y decidir si actuar como una
interfaz de acceso o como una interfazdetroncal .
Para los puertos que siempre deben actuar como puertos de acceso, agregue la
interfaz subcomando opcional switchport mode access. Este comando le dice
al switch slo permitir que la interfaz sea una interfaz de acceso.

VLAN Ejemplo de configuracin 2: Configuracin de VLAN Shorter

Ejemplo 9-2. Shorter Ejemplo de configuracin de VLAN (VLAN 3)

Ejemplo 9-2 muestracmounswitchpuedecreardinmicamenteunaVLAN,

SW1 no saber acerca de VLAN 3. Cuando se utilizo el subcomando interfaz
switchport access vlan 3, el switch se dio cuenta de que la VLAN 3 no
existe, y como se indica en el mensaje sombreada en el ejemplo, el switch a
creado la VLAN 3, utilizando un valor predeterminado (VLAN 0003)
VLAN Trunking Protocol (VTP)
VTP es una herramienta Cisco-propietario en Switches Cisco que anuncia que
cada VLAN configurada en un switch (vlan nmero) los tres switches en el
campus aprenden de esa VLAN. Sin embargo, para varias razones, muchas
empresas optan por no utilizar VTP.
Cada switch puede utilizar uno de los tres modos VTP: servidor, cliente o
transparente. Switches utilizan VTP modo cliente o servidor cuando el switch
quiere utilizar VTP para de forma dinmica obneter informacion de
configuracion VLAN. Sin embargo, muchos switches Cisco y versiones de
IOS, VTP no se puede desactivar por completo, en su lugar, se desactiva VTP
mediante el uso de Modo transparente VTP o vtp mode off
Compruebe el estado del VTP con el comando show VTP status. Si su switch
utiliza servidor VTP o modo de cliente.
Los servidores switches pueden configurar VLAN en el rango estndar
solamente (1-1005).

 Los switches de cliente no pueden configurar las VLANs.

El show running-config comando no muestra ningn vlan comandos.
Configuracin VLAN Trunking
Configuracin Trunking entre dos switches Cisco aadir el subcomando en
cada lado del enlace (switchport mode trunk), y se creara un troncal VLAN
La configuracin puede ya sea predefinir diferentes ajustes o decir al switch a
negociar los ajustes, de la siguiente manera:
El tipo de trunking: IEEE 802.1Q, ISL, o negociar cul usar
El administrative mode: Ya sea para siempre en troncal, no siempre troncal,
o negociar
Switches Cisco soporta ISL y 802.1Q para negociar, utilizando the Dynamic
Trunking Protocol (DTP). Si ambos switches soportan ambos protocolos, ellos
utilizan ISL; de lo contrario, utilizan el protocolo que ambos soportan. Los
switches que soportan ambos tipos de trunking utilizan el switchport
trunk encapsulation {dot1q | isl | negotiate} interfaz subcomando.
DTP tambin puede negociar si los dos dispositivos en el vnculo acuerdan
troncal en absoluto, como guiado por el modo de administracin del puerto de
switch local. Swithces Cisco utilizan el subcomando interfaz switchport
mode para definir el modo de enlace administrativo, laTabla92 .

En lafigura912 . En este caso, el troncal no forma dinmicamente por

defecto, porque ambos switches (2960) por defecto administrativamente estan
modo dynamic auto, lo que significa que ninguno de los swtiches inicia el
proceso de negociacin del troncal. El cambio de un switch para usar modo
dynamic desirable, que no inicia la negociacin, los swtiches negocian para
usar trunking, especficamente 802.1Q porque 2960S soporta slo 802.1Q.

Ejemplo 9-3. Inicial (por defecto) Estado: No Trunking Entre SW1 y SW2

El resultado muestra el ajuste del modo de administracin

predeterminada dynamic auto.

Debido SW2 tambin predeterminada en dynamic auto, el comando

muestra el estado operativo de SW1 como el access, lo que significa
que no es trunking. ("Dynamic Auto" le dice a los dos switches para
sentarse all y esperar por el otro switch a iniciar las negociaciones.)
La tercera lnea seala que soporta slo el tipo de trunking (802.1Q) en
este switch 2960. (En un switch que soporta tanto ISL y 802.1Q, este
valor por defecto es "negotiate.
Por ltimo, la operativa Tipo trunking aparece como "native", que es
una referencia a la VLAN nativa 802.1Q.

Show interfaces trunk lista informacion sobre todas las interfaces que
actualmente troncal operan.
Ejemplo94 , muestra la nueva configuracin que permite trunking. En este
caso, SW1 se configura con el switchport mode dynamic desirable que pide
al switch que ambos negocien.

Para verificar que los troncales estn trabajando ahora, show interfaces
gigabit switchport muestra, SW1 est en modo operacional trunk, Con
encapsulacin de dot1Q.
Tabla93 enumera las combinaciones de trunking administrative modes y el
expected operational mode (trunk o access) resultando desde ajustes
configurados. La tabla muestra el modo administrativo utilizado en un
extremo del enlace (vertical), y el modo de administracin en el otro extremo
del enlace (horizontal superior)

Cisco recomienda deshabilitar troncal negotiation en la mayora de los puertos

para una mejor seguridad. La mayora de los puertos de switch ser utilizada
para conectar a los usuarios. Puede desactivar negociaciones DTP por
completo utilizando switchport nonegotiate subcomando interfaz.
Controlar qu VLAN puede ser apoyado en un troncal
La caracterstica allowed VLAN list proporciona desactivar
administrativamente una VLAN desde un troncal. Por defecto, los switches
incluyen todas las VLAN posibles (1-4094) en cada troncal. Sin embargo se
puede limitar las VLAN permitidas en un troncal mediante el uso del siguiente
subcomando de interfaz:
Switchport trunk allowed vlan {add | all | except | remove} vlan-lista
Este comando proporciona una manera de aadir y eliminar VLAN. Por
ejemplo, la opcin add permite al switch aadir una VLAN a la lista de
VLAN permitidas existentes, remove permite al switch eliminar las VLAN de
la lista existente. All significa todas las VLAN, por lo que puede utilizarlo
para restaurar el dispositivo a su configuracin predeterminada (permitiendo
VLAN 1-4094 en el tronco). Except es bastante complicado: Aade todas las
VLAN a la lista que no son parte del comando. Por ejemplo, switchport
trunk allowed vlan except 100-200 interfaz subcomando aade VLAN 1 a
99 y 201 a 4094 a la lista de VLAN permitidos existentes en ese troncal.
En adicin a la lista VLAN permitidos, un switch tiene otras razones para
evitar una VLAN en particular de trfico cruzando un troncal. Las cinco
razones se resumen en la siguiente lista:

 Una VLAN se ha eliminado desde the trunks allowed VLAN list

Una VLAN no existe en la configuracin del switch (ver show vlan).
Una VLAN s existe, pero se ha deshabilitado administrativamente
(shutdown).
Una VLAN se ha pruned automticamente por VTP.
Instancia STP de una VLAN se ha colocado la interfaz troncal en un estado
de bloqueo.
VLAN puede ser administrativamente cerrado mediante el uso del comando
global shutdown vlan id_vlan o el uso de shutdown en el modo de
configuracin VLAN. Cuando est desactivada la VLAN los switches no
reenvian tramas en las VLAN inexistentes o una VLAN apagado sobre
cualquiera troncal del switch.
Show interfaces trunk Este comando incluye una progresin de tres listas de
la VLAN admitidas sobre un troncal. Estas tres listas son los siguientes:
VLAN allowed on the trunk, 1-4094 por defecto
VLAN desde el primer grupo que tambin se configura y activado (not
shutdown)
VLAN desde el segundo grupo que no estn VTP pruned y no STP
bloqueado
Ejemplo9-5 muestracmolasVLANpuedenserdescartadasenuntroncalpor
variasrazones(SW1 figura912).
Paso 1. VLAN4estconfigurado.
Paso 2. VLAN2estashutdown.
Paso 3. 3VLAN3seeliminadelalistapermitidaeneltroncal.

Ejemplo 9-5. Mascotas Lista VLAN y la lista de VLANs activas

Tabla 9-6. Captulo 9 EXEC Referencia de comandos

Captulo 10. SolucindeproblemasderedesLANEthernet

Preparacin para usar un proceso organizado de solucin de problemas
Los tres pasos principales en el proceso de solucin de problemas organizada
son los siguientes:
Paso 1 Anlisis/predecirelnormalfuncionamiento:Predecirlosdetalles
deloquedeberasucedersila red est funcionando correctamente, sobre la
base de la documentacin, configuracin y salida del comando show y debug
Paso 2. Problemisolation: Determinarquetanavanzadolatrayectoria
esperadavalatrama/paqueteantes de que no se puede reenviar mas lejos, de
nuevo basado en la documentacin, configuracin y salida del comando show
y debug
Paso 3. Rootcauseanalysis: Identificarlascausassubyacentesdelos
problemasidentificadosenelanterior paso concreto, las causas que tienen una
accin especfica con la que el problema puede ser fijo.
Es necesario recordar la teora de cmo las redes deben trabajar, as como la
forma de interpretar show que confirma cmo los dispositivos estn
actualmente comportandose. Este proceso requiere el uso de herramientas de
prueba, tales como ping y traceroute, para aislar el problema.
Por ejemplo, Figura101 . PC1 y PC2 supuestamente en la misma VLAN
(10). En un momento, el comando ping 10.1.1.2 en PC1 worked; ahora no lo
hace.

Si usted duda de si la figura es an correcta, usted podra mirar la salida del

comando show para confirmar la topologa de la red. Despus de que se
confirme, se poda predecir su comportamiento normal de trabajo basado en
su conocimiento de la conmutacin LAN. Como resultado, se puede predecir
donde una trama se envia por PC1 a PC2 debe fluir. Para aislar el problema,
usted podra mirar en el switch Tablas MAC para confirmar las interfaces que

la frame debe estar reenviando, posiblemente luego encontrar que la interfaz

conectada a PC2 ha fallado.
Si todava no se sabe la causa fundamental: Qu caus que la interfaz
falle? Qu podras hacer para arreglar ese problema subyacente? En ese caso
particular, tendr que ampliar su pensamiento y todas las razones por las que
una interfaz puede fallar desde el cable desconectado, a la interferencia
elctrica, port security deshabilitar la interfaz. Show puede confirmar que una
de las causas especficas es el problema o al menos dar algunas pistas en
cuanto a la raz del problema.
Por ejemplo, el usuario de PC1 en la figura 10-2 actualmente se puede
conectar al servidor web www.example.com por el navegador web. Sin
embargo, ese intento de navegacin por web falla ahora.

Para comenzar el anlisis, comenzar con las primeras tareas que tendran que
suceder para una sesin de navegacin web con xito se produzca. Por
ejemplo, el ingeniero intentara confirmar que PC1 puede resolver el nombre
de host (www.example.com) a la direccin IP correcta utilizado por el
servidor en la derecha. En ese punto, el problema IP de capa 3 puede proceder,
para determinar cul de los seis pasos de enrutamiento que se muestran en la
figura ha fallado. Los pasos de enrutamiento que se muestran en laFigura10
2 son de la siguiente manera:
Paso 1. PC1envarelpaquetedefaultgateway(R1)yaqueladireccinIPde
destino(servidor web) se encuentra en una subred diferente.
Paso 2. R1envaelpaqueteaR2basadoenlatabladeenrutamientodeR1.
Paso 3. R2reenvaelpaquetealservidorwebbasadoenlatablade
enrutamientodeR2.
Paso 4. ElservidorwebenvaunpaquetedevueltahaciaPC1basadoenel
configuracionservidorwebdefaulgateway (R2).
Paso 5. R2reenvaelpaquetedestinadoaPC1enviandoelpaqueteaR1
segnR2detabla de enrutamiento.
Paso 6. R1envaelpaquetealaPC1basadoenlatabladeenrutamientode
R1.

El anlisis de la trayectoria de Capa 3 a travs de la red, salto a salto, en

ambas direcciones. Cuando el anlisis muestra que el salto falla en la ruta.En
este caso el proceso problemisolation Capa 3 descubre que el paso 1, 3, 4, o 6
falla, la causa de la raz podra estar relacionado con Ethernet.
Por ejemplo, imagine que el anlisis de la Capa 3 determina que PC1 no
puede incluso enviar un paquete a su defaul gateway (R1), lo que significa que
el paso 1 en lafigura102 falla. Para aislar an ms el hallazgo del problema
y las causas profundas, el ingeniero tendra que determinar lo siguiente:
La direccin MAC de PC1 y de la interfaz LAN del R1
Las interfaces del switch utilizados en SW1 y SW2
El estado de la interfaz de cada interfaz del switch
Las VLAN que se deben utilizar
El comportamiento de reenvo esperado de una trama enviada por PC1 a R1
como la direccin destino MAC
Solucin de problemas
Solucin de problemas LAN Ethernet, con cuatro temas principales.
Cisco Discovery Protocol (CDP): Se utiliza para confirmar la
documentacin, y aprender acerca de la topologa de la red, para predecir el
funcionamiento normal de la red.
El examen de estado de la interfaz: interfaces deben estar en un estado de
funcionamiento antes de que un switch reenvie tramas sobre la interfaz. Usted
debe determinar si una interfaz est trabajando, as como determinar las
posibles causas de raz de una interfaz switch a fallado.
Analizar donde sern remitidos las tramas: Usted debe saber analizar
tabla de direcciones MAC del switch y cmo luego predecir cmo un switch
reenviar una frame en particular.
Analizar las VLAN y VLAN trunking: Mantener un enfoque switch capa
2, esta ltima seccin mira lo que puede salir mal con VLAN y VLAN troncal
Analizando LAN Topologa Usando Cisco Discovery Protocol
La propiedad de Cisco Discovery Protocol (CDP) descubre la informacin
bsica de vecinos routers y switches sin necesidad de conocer las contraseas
de los dispositivos vecinos. A descubrir informacin, routers y switches
envan mensajes CDP en cada una de sus interfaces. Dispositivos con CDP
anuncian y aprender informacion de sus vecinos.

Cisco cre CDP como una solucin propietaria para satisfacer una necesidad
de clientes Cisco. Desde ese momento, el IEEE ha estandarizado la Capa de
Enlace Discovery Protocol (LLDP), que sirve el mismo papel.
CDP se puede utilizar por cualquiera para confirmar o arreglar la
documentacin mostrada en un diagrama de red, o incluso descubrir los
dispositivos e interfaces utilizadas en una red. Confirmando que la red es en
realidad cableada para que coincida con el diagrama de red es un buen paso a
tomar antes de intentar predecir el flujo normal de datos en una red.
En los medios de comunicacin que soportan multicast en la capa de enlace de
datos (como Ethernet), CDP utiliza tramas multicast. Por lo tanto, cualquier
dispositivo CDP-supporting que comparte un medio fsico a otro dispositivo
CDP-supporting puede aprender sobre el apoyo del otro dispositivo.
CDP descubre varios detalles tiles desde los dispositivos Cisco vecinos:

Device Identifier: Normalmente, el nombre de host

Lista de direcciones: network and data link addresses
Port identifier: la interfaz del router remoto o switch en el otro extremo del
enlace que ha enviado el CDP anuncio
Capabilities list: Informacin sobre qu tipo de dispositivo (por ejemplo, un
router o un switch)
Plataforma: El modelo y sistema operativo que se ejecuta en el dispositivo
Examining Information Learned by CDP
CDP tiene show que indican informacin sobre los vecinos, show lista
informacin acerca de cmo CDP est trabajando, y los comandos de
configuracin para desactivar y activar CDP. Tabla102 listas los
tres show comandos ms importante CDP.

Show cdp neighbors, muestra una lnea por cada vecino. Cada lnea muestra
la informacin ms importante topologa: nombre de host vecino (Device ID,
el local interfaz del dispositivo y la interfaz del dispositivo vecino (Port
heading). Tambin muestra la plataforma (modelo especfico del router o
switch vecino). Por lo tanto usando esta bsica informacin, se podra

construir una figura como lafigura103 o confirmar que los detalles en la

figura son correctos.
Show cdp neighbors detail lista los detalles adicionales, tales como el
nombre completo del modelo del switch (WS-2960-24TT-L) y la direccin IP
configurada en el dispositivo vecino.

Cisco recomienda que CDP se desactive en cualquier interfaz que puede no

tener una necesidad de CDP. Para switches, cualquier puerto del switch
conectado a otro switch, un router, o un telfono IP debe usar CDP.
CDP se puede desactivar a nivel global y por interfaz. Por-interfaz, no cdp
enable y cdp enable subcomandos interfaz .Alternativamente, no cdp
run y cdp run comandos globales de encendido y apagado.
Examinando el Estado de los Protocolos CDP
CDP define mensajes de protocolo que fluyen entre dispositivos. Switches
Cisco incluyen algunos comandos que se enumeran las estadsticas y otra
informacin de estado acerca de cmo los protocolos CDP estn trabajando,
comose resume en laTabla103 para una fcil referencia.

Ejemplo 10-2. Show cdp

Analyzing Switch Interface Status

Interface Status Codes and Reasons for Nonworking States
Cisco switches utilizan dos cdigos de estado de la interfaz
Comandos show interfaces y show interfaces Description listan el estado de
dos cdigos. Los dos cdigos se llaman line status y protocol
status. Ellos generalmente se refieren a si la capa 1 est funcionando (line
status) y si la capa 2 est funcionando (protocol status),
respectivamente. Interfaces de switches LAN tpicamente muestran una
interfaz con ambos cdigos con el mismo valor, ya sea "up" o "down".
Show interfaces status muestra un estado "up" para las interfaces de
trabajo. Show interfaces y show interfaces description muestra si esta en
estado up/up.
Cualquier estado de la interfaz que no sea connected o up/up significa que
el switch no ha de transmitir o recibir frames en la interfaz. Tabla104
enumera las combinaciones de cdigos y algunas causas que podran haber
causado un estado de la interfaz en particular.

Algunos ejemplos de las causas fundamentales de los problemas de cableado:

La instalacin de cualquier equipo que utiliza electricidad puede interferir
con la transmisin en el cableado, y hacer que el enlace falle.
El cable puede daarse, por ejemplo, si se mantienea plastado el cable, con
el tiempo la seal elctrica puede degradar.
Si bien los cables pticos no sufren de EMI, alguien puede tratar mover y
curcar un cable de fibra ptica fuera del maximo de flexin demasiado.
(Llamado macrobending- macrocurvatura).
Interfaz de velocidad y Cuestiones Duplex
Muchas interfaces Ethernet basada en UTP soportan mltiples velocidades, ya
sea full-duplex o half-duplex, y soporta autonegotiation estndar IEEE. Estas
mismas interfaces tambin se pueden configurar para usar una velocidad
speed {10 | 100 | 1000} interfaz subcomando, y un dplex utilizando
duplex {half | full} interfaz subcomando. Con ambos configurados, un
switch o router desactiva el proceso de negociacin automtica IEEE-estndar
en esa interfaz.
Show interfaces y show interfaces status muestra tanto la velocidad real y
dplex configuracin de una interfaz, ejemplo103 .

Ejemplo 10-3. Viendo Configuracin de dplex velocidad y en interfaces

de conmutacin

Show interfaces status implica cmo el switch determina la configuracin de

velocidad y dplex. El comando de salida lista la configuracin de
autonegociacion con un prefijo de a- . Por ejemplo, a-full significa full-dplex
como autonegotiation, mientras full significa full-duplex, pero configurados
manualmente.
Cuando el proceso de negociacin automtica IEEE funciona en ambos
dispositivos, ambos dispositivos estn de acuerdo en la velocidad mas rpida
soportada por ambos dispositivos. Adems, los dispositivos utilizan fullduplex si es soportado por ambos dispositivos, o half-duplex si no lo es. Sin
embargo, cuando un dispositivo ha deshabilitado la negociacin automtica, y
el otro dispositivo emplea la negociacin automtica, el dispositivo mediante
la negociacin automtica elige la configuracin dplex por defecto basado en
la velocidad actual. Los valores predeterminados son los siguientes:

Si la velocidad no se conoce a travs de cualquier medio, utilizar 10 Mbps,

half-duplex.
Si el switch detecta con xito la velocidad sin negociacin automtica IEEE,
con slo mirar la seal en el cable:
Si la velocidad es de 10 o 100 Mbps, por defecto a utilizar half-duplex.
Si la velocidad es 11,000 Mbps, por defecto a utilizar full-duplex.

Si bien la negociacin automtica funciona bien, estos valores por defecto

permiten la posibilidad de un difcil-solucion de problemas llamado duplex
mismatch. "Explica cmo ambos dispositivos pueden usar la misma velocidad,
por lo que los dispositivos consideraran el enlace para estar up, pero uno de
los lados usara half-duplex, y el otro lado usara full-duplex.
El siguiente ejemplo muestra un caso de duplex mismatch. En laFigura104 ,
imaginar que Interfaz SW2Gi 0/2 se ha configurado con los speed 100
y dplex full (estos ajustes no se recomiendan en una interfaz Gigabit). En
switches Cisco, configurar ambos, speed y dplex desactiva negociacin
automtica IEEE en ese puerto. Si Gi 0/1 SW1 intenta utilizar la negociacin
automtica, SW1 tambin utilizar una velocidad de 100 Mbps, pero por
defecto a utilizar half-duplex. Ejemplo104 muestra los resultados de este
caso especfico en SW1.

Ejemplo 10-4. Confirmando Duplex Discrepancia en el interruptor SW1

La salida del comando confirma la velocidad y duplex de SW1. Tambin

enumera el prefijo de a- en la salida, lo que implica la negociacin
automtica.
Identificar problemas de dplex mismatch, compruebe la configuracin de
dplex en cada extremo del enlace y atento al incremento de colisin y
contadores colisin tarda.
Capa 1 Problemas en interfaces de Trabajo
Cuando la interfaz llega a conectarse estado (up / up), el switch considera que
la interfaz esta trabajando.El switch intenta utilizar la interfaz, y, al mismo
tiempo mantiene diversos contadores de interfaz. Estos contadores pueden
ayudar a identificar problemas que pueden ocurrir a pesar de que la interfaz se
encuentra en un estado de conexin.
Siempre que la transmisin fsica tiene problemas, el dispositivo de recepcin
puede recibir una trama cuyos bits han cambiado los valores. Estos frames no
pasan la lgica de deteccin de errores como se aplica en el Campo FCS en el
trailer Ethernet. El dispositivo receptor descarta la trama y cuenta como algn
tipo de input error. Switches Cisco muestra este error como un error de
CRC (Ejemplo105

). (Comprobacin de redundancia cclica [CRC] es un

termino cmo las matemticas FCS detecta un error.)

Ejemplo 10-5. Contadores de interfaz para la capa 1 Problemas

El nmero de errores de entrada, y el nmero de errores de CRC, son slo

algunos de los contadores en la salida del show interfaces. El reto es decidir
qu contadores se necesita pensar, cules muestran que un problema esta
sucediendo, y cuales son normales y de ninguna preocupacin.
La siguiente lista muestra una breve descripcin de cada contador relevante,
en el orden mostrado en el ejemplo:
Runts: frames que no cumplieron con el requisito minimo de tamao frame
(64 bytes, incluyendo el 18-byte destino MAC, MAC de origen, tipo y
FCS). Puede ser causado por las colisiones.
Giants: Las tramas que superan el tamao maximo requerido (1518 bytes,
incluyendo el 18-byte destino MAC, MAC de origen, tipo y FCS).
Input Errors: Un total de muchos contadores, incluyendo runts, giants, no
bfer, CRC, frame, overrun e ignored counts.
CRC: frames que no pasaron las matemticas FCS recibida; puede ser
causada por las colisiones.
Frame: Las tramas recibidas que tienen un formato ilegal, por ejemplo, que
termina con un byte parcial; puede ser causada por las colisiones.
Packets Output: Nmero total de paquetes (frames) remitida a la interfaz.
Output Errors: Nmero total de paquetes (frames) que el puerto del switch
trat de transmitir, pero para que algunos problemas ocurren
Collisions: Contador de todas las colisiones que se producen cuando la
interfaz est transmitiendo una trama.

Late Collisions: El subconjunto de todas las colisiones que ocurren despus

del byte 64a de la trama ha sido transmitida. (En una LAN Ethernet que
funciona correctamente, las colisiones deben ocurrir dentro de los primeros 64
Bytes; hoy colisiones tardas a menudo apuntan a un desajuste duplex).
Muchos de estos contadores ocurren como parte del proceso de CSMA / CD
cuando utiliza half-duplex. Las colisiones se producen como parte normal de
la lgica de half-duplex impuesta por CSMA / CD. Sin embargo, un problema,
llamado late collisions, apunta al problema de desajuste duplex clsico.
Si un diseo LAN sigue las directrices de cableado, todas las colisiones deben
producirse a finales del byte 64 del cualquier frame. Cuando ya se ha enviado
64 bytes de una trama y el switch recibe una trama en la misma interfaz, el
switch detecta una colisin. En este caso, la colisin es una late collision, y el
switch incrementa el contador de late collision adems de las acciones
CSMA / CD habituales para enviar un atasco seal, espera un random time, y
vuelva a intentarlo.
Con un duplex mismatch, como en laFigura104SW1 y SW2, El half-duplex
interfaz es probable que vea el contador late collisions incrementa. Por
qu? La interfaz half-dplex enva una frame (SW1), pero el vecino fullduplex (SW2) enva en cualquier momento, incluso despus de que el byte
64a de la trama enviada por el switch half-plex. Show interfaces ve los late
collisions counter en una interfaz de half-duplex, y posible un problema de
duplex mismatch.
El exceso de interferencias en el cable puede causar los diferentes contadores
de errores de entrada especialmente el contador de CRC. En particular, si los
errores de CRC crecen, pero los contadores de colisiones no, el problema es
simplemente interferencias en el cable.
Predicting the Contets of the MAC address Table
Se analiza una parte clave del proceso de solucin de problemas de redes
LAN Ethernet: predecir donde las frames deben ir en la LAN.
Predecir el contenido de la tabla de direcciones MAC
Switches aprenden las direcciones MAC y luego usan las entradas de la tabla
de direcciones MAC para tomar una decisin de reenvo / filtrado para cada
frame.
El comando EXEC show mac address-table muestra el contenido de la tabla
de direccin MAC de un switch. Este comando enumera todas las direcciones
MAC conocidas en la actualidad por el switch. La salida incluye algunas

direcciones MAC generales estticos utilizados por el switch y cualquier

direcciones MAC configurada estticamente, como las que se configura con la
funcin de port security. El comando tambin enumera todas las direcciones
MAC aprendidas dinmicamente. Si quieres ver solamente la tabla de
direccins MAC aprendidas dinmicamente, usar comando EXEC show mac
address-table dynamic

El proceso de solucin de problemas comienza en predecir dnde las frames

deben fluir en la LAN. Ejemplo:

Ejemplo106 show mac address-table dynamic lista todas las entradas que
se aprendieron dinmicamente de la tabla MAC en un switch, para todas las
VLAN.

Si Barney enva una trama al router R1, la trama entraria en la interfaz de

SW1 Fa0 /12, SW1 tendra una entrada en la tabla MAC que enumera Barney
0200.2222.2222 MAC con Fa0 / 12. SW1 enviaria la trama de Barney a SW2,
llegando en la interfaz del SW2 Gi0 / 2, por lo que la tabla MAC del SW2
enumera la direccin MAC de Barney (0200.2222.2222) con interfaz Gi0 /2.
El anlisis de la trayectoria de envo
La Solucin de problemas gira en torno a tres grandes ideas: la prediccin de
lo que debera suceder, determinar lo que esta ocurriendo, y averiguar por qu
ese comportamiento diferente esta sucediendo.
La siguiente lista resume la lgica de reenvo del switch:

Paso 1. Funcionesdelprocesoenlainterfazdeentrada,silainterfazse
encuentraactualmenteenestadoup/up (Conectado):
A. Sisehaconfiguradoportsecurity,seaplicalalgicadefiltrarla
tramasegnelcaso.
B. Sielpuertoestaenaccessport,determinarlainterfazdeacceso
VLAN.
C. Sielpuertoesuntroncal,determinarVLANetiquetadodetrama.
Paso 2. Tomarunadecisindereenvo.BusquedireccinMACdedestinode
latramaenlatabla MAC, pero slo para las entradas de la VLAN
identificadas en el paso 1. Si el destino MAC es:
A. Found(unicast),transmitalatramaalanicainterfazqueaparece
enelmatchaddressentrada de la tabla.
B. NotFound(unicast),inundarlatramaatodoslosdemspuertosde
acceso(exceptoelpuertodeentrada) en esa misma VLAN, adems de
salir del troncal si es que no se han restringido la VLAN (show
interfaces trunk)
C. Broadcast,inundarlatrama,conlasmismasreglasqueelpaso
anterior.
Para un ejemplo de este proceso, considere una trama enviada por Barney a su
default gateway, R1 (0200.5555.5555). Siguiendo los pasos que acabamos de
enumerar, ocurre lo siguiente:
Paso 1 Procesamientodeinterfazdeentrada:
A. Elpuertonosucedesitieneportsecurityhabilitado.

B. SW1recibelatramaensuinterfazFa0/12,unaccessportenla
VLAN10.
Pas 2 Tomarunadecisindereenvo:SW1buscaensutabladedirecciones
MACparalasentradasenVLAN10:
A. SW1encuentraunaentrada(unicastconocido)para
0200.5555.5555,asociadoalaVLAN10, y lo envia por la interfaz de
salida Gi0 /1. (Este enlace es un tronco de VLAN, as SW1 aade una
etiqueta VLAN 10 a la cabecera de trunking 802.1Q.)
En este punto, la trama con fuente 0200.2222.2222 (Barney) y el destino
0200.5555.5555 (R1) est en camino a SW2. A continuacin, puede aplicar la
misma lgica para SW2, de la siguiente manera:
Pas 1 procesamientodeinterfazdeentrada:
A. Elpuertonosucedesisetieneportsecurityhabilitado.
B. SW2recibelatramaensuinterfazGi0/2,troncal;latramaenumera
unaetiquetadeVLAN10. (SW2 elimina la cabecera 802.1Q tambin).
Paso 2. Tomarunadecisindereenvo:SW2buscasutablaMACparalas
entradasenlaVLAN10:
A. SW2encuentraunaentrada(unicastconocido)para
0200.5555.5555,asociadoalaVLAN10, interfaz de salida Fa0 / 13, se
enva la trama slo a la interfaz Fa0 /13.
En este punto, la trama debe estar en su camino, a travs del cable Ethernet
entre SW2 y R1.
Port Security and Filtering
Al rastrear la ruta de una trama a travs de los switches LAN, diferentes tipos
de filtros pueden descartar la trama, incluso cuando todas las interfaces estn
arriba. Por ejemplo, switches LAN pueden utilizar filtros llamados listas de
control de acceso (ACL) que filtran basndose en la direccin MAC de origen
y de destino, descartando algunas tramas. Adems, los routers pueden filtrar
los paquetes IP utilizando IP ACL.
Adems, port security, Tambin filtra tramas. En algunos casos, se puede
deducir fcilmente que port security ha tomado medidas, apagando la
interfaz. Sin embargo, en otros casos, port security deja la interfaz up, pero
simplemente descarta el trfico ofensivo. Desde una perspectiva de solucin
de problemas, una configuracin port security que deja la interfaz up, pero an
descarta tramas, se requiere mirar de cerca el estado port security, en lugar de
slo mirar las interfaces y la tabla de direcciones MAC.

Como recordatorio, port security permite tres modos de violacin

(shutdown, protect y restrict), pero slo la configuracin predeterminada
de shutdown hace que el switch errar-desactivar la interfaz.
Por ejemplo, considere un caso que se aumenta la seguridad de puerto para
filtrar tramas enviados por Barney. Use Figura103. Barney enva tramas en
el puerto Fa0/12 del SW1, que ahora est configurado con port security. La
configuracin de port security considera tramas con direccin MAC de origen
de Barney como una violacin, y utiliza un modo protect.
Que sucedi? SW1 ahora descarta todas las tramas origen por la direccin
MAC de Barney. Pero SW1 no ha desactivado la interfaz. El comando en
SW1 show interfaces o show interfaces status no muestra cambios en el
estado de la interfaz, y no hay pruebas de lo sucedido. Usted tendra que
examinar ms a fondo seguridad de puerto (show port-security interface)
para encontrar evidencia de que la seguridad de puerto descarta la tramas
enviadas por Barney.
La tabla de direcciones MAC da algunas pistas de que la seguridad del puerto
podra estar habilitada. Debido a que la seguridad de puerto gestiona las
direcciones MAC, cualquier direccion MAC asociada a un puerto con
seguridad de puerto es permitido mostrar las direcciones MAC
estticas. Como resultado, show mac address-table dynamic no enumera las
direcciones MAC de estas interfaces en las que est habilitada la seguridad del
puerto. Sin embargo, los show mac address-table y show mac address-table
static lista stas direcciones MAC estticas.
Analizando las VLAN y VLAN Trunks
Proceso de reenvo de un swtich depende en parte de las VLAN y VLAN
trunking. Antes de que un swtich pueda enviar tramas en un determinado
VLAN, el switch debe saber acerca de laVLAN, si esta activo y saber sobre
un troncal VLAN. El troncal ha de permitir esa VLAN pase sobre el troncal.
Los cuatro problemas potenciales VLAN y VLAN trunking son los siguientes:
Paso 1. IdentificartodaslasinterfacesdeaccesoysusVLANdeacceso
asignadosyreasignarenlasVLAN correctas, segn sea necesario.
Paso 2. DeterminesilasVLANsambosexisten(configuradosoaprendidas
conVTP)ysonactivasen cada switch. Si no es as, configurar y activar las
VLAN para resolver problemas, segn sea necesario.

Paso 3. ReviselaslistasdeallowedVLAN,enambosswitchesextremosdel
troncal,yasegresedequelas listas de VLAN permitidas (allowed vlan) son
el mismo.
Paso 4. Asegresedequecualquierenlacedebenutilizartrunking,
Asegurando el acceso Interfaces correcto estn en la VLAN correcta.
Para asegurar que cada interfaz de acceso se ha asignado a la VLAN correcta,
se necesita determinar que interfaces son de acceso en lugar de interfaces de
troncales, determinar el asignado de acceso VLAN en cada interfaz, y
comparar la informacin a la documentacin. Los show listados en laTabla
105 pueden ser particularmente tiles en este proceso.

Show macaddress-table tambin puede ayudar a identificar la VLAN de

acceso.
Despus de determinar las interfaces de acceso y VLANs asociados, si la
interfaz se asigna a la VLAN incorrecta, utilice el switchport access
vlan vlan-id subcomando de interfaz para asignar la correcta ID de VLAN.
Access VLANs Not being Defined
Switches no envian tramas de VLAN que no se an configurados o
deshabilitados (shutdown).
En primer lugar, si se ha definido una VLAN, una VLAN se puede definir a
un switch de dos maneras: utilizando vlan nmero comando configuracin
global, o puede ser aprendido de otro switch usando VTP.

Show vlan comando enumera todas las VLAN que sabe el switch y si son
configurados como servidores o clientes VTP. Utilice el show vtp status
comando para aprender el modo de VTP actual de un switch.)
Despus de determinar que no existe una VLAN, el problema podria ser que
la VLAN simplemente necesita ser definida.
Access VLANs Being Disabled
Show vlan verifica si la VLAN esta activa. Enumera dos estados active o
shutdown
Switches IOS ofrece dos mtodos de configuracin para desactivar
( shutdown) y habilitar ( no shutdown ) una VLAN.
- Comando global: no shutdown vlan x y shutdown vlan x
- VLAN subcomando: no shutdown y shutdown

Check the allowed VLAN list on Both ends of a trunk

En primer lugar, es posible configurar una diferente lista allowed VLAN en
los extremos opuestos de un VLAN trunk. Cuando mismatched, el troncal no
puede pasar el trfico por esa VLAN.
La Figura 10-6 muestraambosswitchesdefinidoVLAN1a10,porlotanto
deformapredeterminada incluyen VLAN 1 a travs de 10 en su lista allowed
VLAN. Sin embargo, SW2 ha configurado c switchport trunk allowed vlan
remove 10, eliminando VLAN 10 de SW2G0/2 allowed list. En este caso,
SW1, que an permite VLAN 10, acta normal, etiquetado y enviando tramas

VLAN 10 (Paso 1 figura). SW2 simplemente descarta cualquier tramas VLAN

10 recibidas en ese trunk (Paso 2).

Show interfaces trunk muestra que ambos lados se ve completamente

normal. Slo puede notar el problema comparando las allowed list en ambos
extremos del troncal con el comando show anterior. Ejemplo108 .

Mismatched Trunking Operational States

Los troncales pueden ser mal configurados ya sea :
- ambos switches concluyen que sus interfaces no troncales
- un switch cree que su interfaz se Trunking correctamente, mientras que
el otro switch no lo hace.
La configuracin incorrecta ms comn es una configuracin que utiliza
el switchport mode dynamic auto en ambos switches del enlace. La palabra
"auto" hace a todos querer pensar que el enlace sera el troncal de forma
automtica, pero esto comando es tanto automtica y pasiva. Como resultado,
ambos switches esperan pasivamente el otro dispositivo del enlace para iniciar
las negociaciones.
Show interfaces switchport confirma el estado administrativo (auto) de
ambos switch, as como el hecho de que ambos switches operan como puertos
de acceso "esttica".

Si un switch con un estado "trunk" y el otro tiene un estado " static access",la
interfaz funciona un poco. El estado en cada extremo ser up/up conectado. El
trfico en la nativa VLAN cruza el enlace con xito. Sin embargo, el trfico en
todo el resto de las VLAN no cruzar el enlace.
La figura 10-7 muestralaconfiguracinincorrecta. La lado trunk SW1
permite trunking siempre, con el comando switchport mode trunk. Sin
embargo, este comando no desactiva negociaciones DTP. Ademas SW1
desactiva la negociacin DTP usando switchport nonegotiate. SW2
configuracin tambin ayuda a crear el problema, mediante el uso de una
opcin de trunking que se basa en DTP. Porque SW1 ha deshabilitado la DTP,
negociaciones DTP de SW2 fallan, y SW2 no es trunk

Los mejores comandos para comprobar los hechos relacionados trunkingson show interfaces trunk y show interfaces switchport.

Table 10-8. Chapter 10 EXEC Command Reference