Cisco CCNA3

Contents
[hide]

1 TEMA1 o 1.1 Conceptos Clave 2 TEMA2: Configuracin de un switch 3 TEMA3: VLANs 4 TEMA4: VTP 5 TEMA5: STP (IEE 802.1D) 6 TEMA6: Enrutamiento entre VLANS 7 TEMA7: Wireless 8 TEMA4: VTP

TEMA1
Conceptos Clave Diametro de la Red: #switch a recorrer en el camino mas largo. Mximo CISCO = 7 2seg por sw establece un Testablecimiento de 14 segundos. Agregado de Ancho de Banda: (Agregado de enlace) Etherchannel. Permite agregar caminos redundantes entre switches. Permite reducir cuellos de botella. Permite que el STP no lo desconecte. Redundancia: Puede haber mltiples caminos pero el STP lo corta. Peligrod e saturacin si STP no est activado. En la trama ethernet no hay TTL y por tanto hay riesgo de bucles infinitos. Red Convergente: Red que integra Datos+Voz+Otros Servicios. QoS Densidad de Puertos: #de puertos del switch
* Analizar Flujo de trfico * Crecimiento Futuro

Switches (tipos):
1. Configuracin Fija (24 bocas y punto) 2. Configuracin Modular (posibilidad de tarjetas ampliables) 3. Apilables: Stackwise: Permite la interconexin de hasta 9 switches apilables mediante un BACKPLANE (Cable entre switches) totalmente redundante (conexin tipo Cable IDE donde el cable va parando en todos)

Diseo Jerarquico de la Red:

* Acceso

o o o o o o

Seguridad de Puerto VLAN Fast o GiB PoE Agregado de Enlaces QoS

* Distribucin o (Switch de Cabecera) o Soporte Capa3 o Tasa de Envio Alta o GiB/ 10GiB o Componentes Redundantes o ACL's (Polticas de Seguridad) o Agregado de Enlaces o QoS

* Nucleo o red troncal de alta velocidad de la internetwork o Soporte Capa3 o Tasa de Envio Muy Alta o GiB/ 10GiB o Componentes Redundantes o Agregado de Enlaces o QoS o Intercambiable en caliente

TEMA2: Configuracin de un switch

* IEEE 802.3 CSMA/CD

Mtodos de envio de switch

* Latencia: o Tiempo que se pierde por el procesado del switch.

* Mtodos de envio de switch (no es controlable, depende de Switch) o Almacenamiento y envio: 1) llega la trama - 2) el SW la lee - 3) comprueba CRC - 4) Consulta tabla CAM - 5) Envio o Mtodo de corte (se usa en SW de nucleo donde seguro que no hay tramas incorrectas y reducir la latncia es un factor clave) + Reenvio Rpido: 1) lee slo hasta MAC destino - 2) Consulta tabla CAM - 3) Conmutacin (si la trama es erronea, incluso una trama cortada por una colisin puede reenviarse si la mac est correcta)

+ Libre de Fragmentos: 1) lee slo hasta MAC destino 2) almacena 64b para asegurar que no es un fragnmento de una trama cortada por una colisin - 3) Consulta tabla CAM - 4) Conmutacin

Tipos de conmutacin
* Conmutacin Simtrica: Todas las bocas del SW conmutan a la misma Velocidad. Trfico distribuido de manera uniforme. * Conmutacin Asimtrica: Un puerto a GiB para el troncal por ejemplo. Requiere de buffers internos para regular la Velocidad del sistema.

Buffers de Memoria
* Basados en Puerto: Un buffer por puerto * De memoria compartida: Buffer conjunto para todos los puertos.

Switch Capa 3 Switch Capa 3 Router Enrutamiento Capa3 (IP) Enrutamiento Capa3 (IP) Administracin de trfico Administracin de trfico Enrutamiento a Velocidad del Cable NO NO Protocolos de Enrutamiento Avaanzados NO Soporte a WAN

Secuencia de arranque de un Switch Captulo 2.3.4.1 Configurando un Switch Cisco Crear VLAN Switch#configure terminal Switch(config)#interface vlan 99 Switch(config-if)#ip address 172.17.99.11 255.255.0.0 Switch(config-if)#no shutdown Comandos Show Router# show running-config Router# show startup-config Router# show memory Router# show stacks Router# show buffers Router# show arp Router# show processes Router# show nvram Router# show flas Router# show version Router# show processes cpu Router# show tech-support Switch# show vlan Comandos Copy Router# copy running-config startup-config / Router# wr Router# copy running-config tftp Router# copy tftp running-config Router# copy flsh tftp Router# copy tftp flash

Configuracin de Mensaje del da Nombre#configure terminal Nombre(config)#banner motd # Enter TEXT message. End with the carcter # Mensaje # Nombre(config)#Ctrl+z Nombre# Configurar acceso Telnet

* Para poder acceder al SW desde cualquier PC que est en su misma VLAN

Nombre#configure terminal Nombre(config)#line vty 0 4 (hay 5 lineas de Telnet simultanias, de este modo configuras las 5, de la 0 a la 4) Nombre(config-line)#login Nombre(config-line)#password [password] Nombre(config-line)#Ctrl + z Nombre#

Seguridad Bsica del Switch Ataques: Flooding de direcciones MAC

* Inundar la CAM con MACs Falsas. Un Atacante se cambia la MAC y hace peticiones al SW hasta que se se llena la tabla CAM y entonces el switch no es capaz de usarla y se comporta como un HUB.

Suplantacin de Identidad
* Suplantando el Server DHP asigno configuraciones a los clientes en las que la mquina atacante es el Gateway, as controla todo el trfico que pasa por el GW en la red.

Ataques CDP
* Cisco Discover Protocol * Alguien que capture los paquetes CDP conocer todos los detalles sobre la Red

Ataque telnet
* Fuerza Bruta (intentando encontrar la pws) * DoS (por inundacin de intentos saturo el equipo)

Soluciones: Asignacin de MACs seguras:

* Defino que macs hay en cada interficie * Defines estticamente la tabla CAM * slo en casos muy crticos

TEMA3: VLANs
Tipos de VLAN Vlan Nativa: Si entra por un puerto Trunk sin etiquetar se marca como Nativa. Se recomienda no usar esta VLAN para trfico de Datos. Vlan Administracin: Vlan que tiene una IP asignada para administracin del Switch. Vlan Datos: Para trfico generado por los usuarios Vlan Predeterminada: VLAN 1, no se puede borrar. Por

defecto es la Nativa, pero eso se puede cambiar. Vlan por defecto si el puerto no tiene VLAN configurada

Si se borra una VLAN los puertos se bloquean, no cambian de VLAN, si luego vuelov a crearla los puertos vuelven a estar activos en la VLAN correspondiente. Modos de Membresia Como definir en que VLAN est un puerto. VLAN ESTTICA: Por CLI
* (config-if)# Switchport mode access * (config-if)# Switchport access VLAN 80 o De este modo si la VLAN no existe la crear * Crear una VLAN: o (config)# Vlan 80 o (config-vlan)# name Alumnos o (config-vlan)# exit

VMPS: Servidor de polticas de membresia de manera dinmica

* Te asigna a una VLAN determinada dependiendo de tu direccin MAC

Cada VLAN supone un Dominio de Broadcast, para unir varios Dom.Broad necesitamos un Router o un SW de Capa3 Enlaces Troncales (Trunk)
* (config-if)#switchport mode trunk

Hay dos protocolos:

* 802.1Q (el trfico no etiquetado se va para la VLAN nativa) * ISL (ya no se utiliza) (el trfico no etquetado se descarta)

DTP (troncal dinmico) Dynamic Trunking Protocol (DTP). If a port can become a trunk, it may also have the ability to trunk automatically, and in some cases even negotiate what type of trunking to use on the port. DTP provides this ability to negotiate the trunking method with the other device.
* Es el tercer modo de funcionamiento, despus de acces y trunk * Hay dos configuraciones posibles: o (config-if)#switchport mode dynamic auto + ser Trunk si el otro es TRUNK o DYNAMIC DESIRABLE + ser Access si el otro es ACCESS (en la VLAN que sea el ACCESS) o DYNAMIC AUTO (en la VLAN1) + si se conecta a una mquina que no soporte VLAN ser ACCESS en la 1 o (config-if)#switchport mode dynamic desirable + ser Trunk si el otro es TRUNK, DYNAMIC DESIRABLE DYNAMIC AUTO

+ ser Access si el otro es ACCESS (en la VLAN que sea el ACCESS) o Access en la 1 si conecto una mquina que no soporte VLAN

* (config-if)#switchport no negociate (desactiva el TTP en el puerto)

TEMA4: VTP
Propietario de Cisco El VTP slo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN denominada vlan.dat. Las publicaciones del VTP no se intercambiarn si el enlace troncal entre los switches est inactivo. Dominio del VTP: consiste en uno o ms switches interconectados. Todos los switches en un dominio comparten los detalles de configuracin de la VLAN con las publicaciones del VTP. Un router o switch de Capa 3 define el lmite de cada dominio. (coincide con el dominio Broadcast?) Publicaciones del VTP: el VTP usa una jerarqua de publicaciones para distribuir y sincronizar las configuraciones de la VLAN a travs de la red. Modos del VTP: un switch se puede configurar en uno de tres modos:
* Servidor del VTP: los servidores del VTP publican la informacin VLAN del dominio del VTP a otros switches habilitados por el VTP en el mismo dominio del VTP. Los servidores del VTP guardan la informacin de la VLAN para el dominio completo en la NVRAM. El servidor es donde la VLAN puede ser creada, eliminada o redenominada para el dominio. Es el modo predeterminado * Cliente del VTP: los clientes VTP funcionan de la misma manera que los servidores VTP pero no pueden crear, cambiar ni eliminar las VLAN en un cliente VTP. Un cliente del VTP slo guarda la informacin de la VLAN para el dominio completo mientras el switch est activado. Un reinicio del switch borra la informacin de la VLAN. Debe configurar el modo de cliente VTP en un switch. * VTP transparente: los switches transparentes envan publicaciones del VTP a los clientes VTP y servidores VTP. Los switches transparentes no participan en el VTP. Las VLAN que se crean, redenominan o se eliminan en los switches transparentes son locales a ese switch solamente.

Depuracin del VTP: la depuracin del VTP aumenta el ancho de banda disponible para la red mediante la restriccin del trfico saturado a esos enlaces troncales que el trfico debe utilizar para alcanzar los dispositivos de destino. Sin la depuracin del VTP, un switch satura el broadcast, el multicast y el trfico desconocido de unicast a travs de los enlaces troncales dentro de un dominio del VTP aunque los switches receptores podran descartarlos. Puede haber mas de un server y cada uno publicar sus VLANs el nombre de Dominio tiene que ser igual en todos los SW y diferencia entre MAY y min. Si agregamos un Switch la info que ya haya en el dominio machacar a la del sw nuevo.

* #show vtp status

TEMA5: STP (IEE 802.1D)

* Switch Raiz (puenteRaiz) Switch Root: Se negocia y se escoge la mas baja Prioridad del Switch (#entre 1 y 65536. Por defecto son todas 32768) y si no la MAC mas baja.

Tipos de Puertos en un Switch

o Puerto Root (puertoRaiz) Es el puerto que se comunica con el SW raiz. o Puerto Designado: El Resto de puertos o Puertos No designados: Puertos desactivados por ser redundantes.

* Se desactivan (No Designados) los enlaces redundantes que tengan mayor coste, dependiendo este coste del numero de saltos y la velocidad de los mismos. * Si los dos caminos son igualmente ptimos se escoge la mas baja Prioridad del Switch (#entre 1 y 65536. Por defecto son todas 32768) y si no la MAC mas baja. * BPDU: tramas gestin STP (Bridge Protocol Data Unit) * El diametro mximo de la Red segun cisco son 7 SW, esto implica que con intervalos de saludo de 2s en 14s la red est consolidada.

Para cambiar la Prioridad de un SW:

* confterm# spanning-tree vlan 1 priority 0 (mutliple de 40...) * confterm# spanning-tree vlan 1 root primary // Cambia la prioridad a 24577

* Se puede definir un Root diferente para cada VLAN

Estado de los puertos: Bloqueado: slo recibe BPDU, pero no envia Tramas (En naranja en el Packetracer) Escuchar: Envia y recibe BPDUs. A punto de entrar en la topologia. Aprender: Llenando la Tabla de MACs. Haciendo Broadcast (verde) Enviar: Participa y conmuta. Enva las cosas donde toca. Forzar el SW para que pase directamente de Bloqueado a Enviar, se usa con puertos que no van a estar conectados a otros SW, y por tanto no vana a tener negociaaciones BPDU por esa pata. Al aconfigurarlo as es mas rpido y permite por ejemplo que un PC coja

la IP del DHCP antes de esperar esos 20s. Hay que tener cudado no ponerlo en un puerto que vaya a estar conectado a la topologia STP
* (config-if)#Spanning-tree portfast

Cuando soportan VLANS quiere decir que permiten determinar un Root diferente para cada VLAN Variants del STP Propietarios Cisco permiten VLANs:
* PVST (con ISL, en desuso) * PVST+ (802.1Q, mejoras de proteccin de BPDU y Root) [4bits Prioridad + 12bits VLAN + 6bytes MAC] Variante del RSTP y el MSTP * PVST+ rpido (convergencia mas rpida) Basado en 802.1w

IEEE
* STP (explicado antes) [2bytes Prioridad + 6bytes MAC]

* RSTP (como el STP pero mas rpido) o Puerto Extremo: o Estado de los Puertos: # Descarte (Bloqueado+Escuchar) # Aprender # Enviar o Tipo de Puertos: + Raiz (igual que con STP) + Designado (igual que con STP) + Extremo: Es un Puerto Fast, pero si se conecta a otro switch se integra en la topologa. + Alternativo (Redundante) + Respaldo (Alternativo pero de igual coste que el Designado)

* MSTP (permite VLANs) [4bits Prioridad + 12bits VLAN + 6bytes MAC]

Ejemplos y comandos ESTE SW ES EL ROOT: Switch#show spanning-tree VLAN0001

Spanning tree enabled protocol ieee Root ID Priority 32769 Address 00D0.582B.D60B This bridge is the root Hello Time 2 sec Max Age 20 sec #prioridad #mac Forward Delay 15 sec

Bridge ID

Priority Address Hello Time Aging Time

32769 (priority 32768 sys-id-ext 1) 00D0.582B.D60B 2 sec Max Age 20 sec Forward Delay 15 sec 20

Interface Role Sts Cost Prio.Nbr Type

---- --- --------- -------- -------------------------------Fa0/2 Desg FWD 19 128.2 P2p #Puerto Designado // Prioridad 128.2 Fa0/1 Desg FWD 19 128.1 P2p #Puerto Designado // Prioridad 128.1 ESTE SW NO ES EL ROOT: Switch#show spanning-tree VLAN0001
Spanning tree enabled protocol ieee Root ID Priority 32769 Address 00D0.582B.D60B Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 00E0.8FA2.4ED3 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---- --- --------- -------- -------------------------------Fa0/1 Root FWD 19 128.1 P2p #Puerto Root // Prioridad 128.1 Fa0/5 Altn BLK 19 128.5 P2p #Puerto Alternativo // Prioridad 128.5 Fa0/3 Altn BLK 19 128.3 P2p #Puerto Alternativo

TEMA6: Enrutamiento entre VLANS

Opcin 1 (muy guarra) n interficies de salida en el SW, una como access de cada VLAN conectadas a n interficies en el router, cada una como GW de la VLAN correspondiente. Opcin 2: Router on a stick (menos guarra): una interficie del SW en Trunk conectada a una interficie del Router, con n interficies virtuales, cada una de ellas como GW de la VLAN correspondiente Router(config)#interface fastEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.10 Router(configsubif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastEthernet 0/0.20

Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#exit

Opcin 3: Switch de Capa 3

TEMA7: Wireless TEMA4: VTP