Implementación de

redes conmutadas
CCNP2
Agenda

u EtherChannel
u EtherChannel Lab
u Router On A Stick
u Router On A Stick Lab
u SVI
u SVI LAB
u STP
u STP
u HSRP
u VRRP
u SSH
u RADIUS
u Portsecurity
 Etherchannel
Ø Permite la agrupación de interfaces fisicas en una sola interfaz lógica
Ø Por eje. 2 Interfaces físicas fastEthernet y hacer que se comporten como una sola a nivel L2 ó L3
Ø Permite sumar el BW por eje. 100Mbps + 100 Mbps = 200 Mbps
Ø Se establece generalmente entre switches
Ø Se basa en el estándar IEEE 802.3
 Etherchannel Características
Ø Se pueden agrupar hasta 8 interfaces físicas
Ø Fast – Giga – TGiga
Ø Link Aggregation Control Protocol LACP, estándar 802.3ad
Ø Port Aggregation Protocol PAgP, propietario CISCO
Ø Todos las interfaces deben estar en el mismo Switch
Ø El Spanning Tree (STP) lo verá como una sola interfaz
Ø Se conoce como “Bundle”
Ø Funciona con servidores, firewalls y otro tipo de hosts.
Etherchannel
Modos de interface EtherChannel

Modo Protocolo Descripción

ON None Obliga a una interfaz a entrar en un EtherChannel sin PAgP o
LACP, El canal solo exista si esta conectado a un grupo de
interfaces en "On mode"
AUTO PAgP Coloca la interface es un estado de negociación pasiva (Puede
responder a paquetes de PAgP pero no puede iniciar una
negociación PAgP
Desirable PAgP Coloca la interface en un estado de negociación activa (Puede
enviar paquetes PAgP para iniciar negociaciones)

Passive LACP Coloca la interface en un estado de negociación pasiva (Puede

responder a paquetes de LACP pero no puede iniciar una
negociación LACP)
Active LACP Coloca la interface en un estado de negociación activa (Puede
enviar paquetes LACP para iniciar negociaciones)
Etherchannel
Configuración L2 EtherChannnel

Comando Descripción

Switch(config)#interface range fastethernet 0/1 - 4 Ingresa a la configuración de interfaces por rango

Switch(config-if-range)#channel-protocol pagp Especifica el protocolo PAgP para ser usado en este canal

Switch(config-if-range)#channel-protocol lacp Especifica el protocolo LACP para ser usado en este canal
Crea un grupo de canal y se lo asigna a las interfaces. Se
Switch(config-if-range)#channel-group 1 mode {desirable | auto | puede usar en cualquier modo, dependiendo de la
on | passive | active} configuración de protocolo
Establece el puerto y el canal por el cual trabajará la
Switch(config)#interface port-channel {number} interface.
Etherchannel
Lab Etherchannel
Router On A Stick
InterVlan Routing

Ø Routing On A Stick, configuración que permite el enrutamiento entre

VLANs utilizando un Router, protocolo conocido 802.1Q
Router On A Stick
Configuración en el router

Ø Activar la interfaz:
R1(config)#interface gigaethernet 0/0
R1(config-subif)#no shutdown

Ø Crear la primera subinterface y activar el protocolo 802.1q con la VLAN que corresponde:

R1(config)#interface gigaethernet 0/0.100

R1(config-subif)#encapsulation dot1q 100
R1(config-subif)#ip address 10.1.1.254 255.255.255.0
Router On A Stick
Configuración en el switch

Ø Activar la interfaz:

Switch(config)#interface fastEthernet 0/3

Switch(config-if)#switchport mode trunk
Router On A Stick
Comando de verificación

Router#show running-config
Router#show ip interfaces brief
Router On A Stick
LAB
 SVI (SWITCHING VIRTUAL INTERFACE)
Motivos configuración de SVI

Ø Proporcionar un Gateway a una VLAN a fin de poder enrutar el tráfico

Ø Proporciona conectividad IP L3 a un switch
Ø Para permitir las configuraciones de switch y protocolos routing

Ventajas de SVI

Ø Las interfaz de switchs son más veloces y se puede realizar Etherchannel

Ø Proporciona conectividad IP L3 a switch
Ø La latencia es más baja, ya que los datos no salen del switch
SVI (SWITCHING VIRTUAL INTERFACE)
¿Qué es SVI?

Ø Tecnología que permite a los switches Cisco Capa 3, enrutar sin necesidad de un router.
SVI
Comandos

switch(config)#vlan 100
switch(config)#interface vlan 100
swtich(config-if)#ip address 10.1.1.2254 255.255.255.0

switch(config)#vlan 200
switch(config)#interface vlan 200
switch(config-if)#ip address 10.2.1.254 255.255.255.0
SVI
LAB
Introducción VTP
VLAN Trunking Protocol

Ø Centraliza y simplifica la admnistración de VLAN’s ya que se puede crear, borrar y renombrar

las mismas desde un solo switch, reduciendo así la necesidad de configurar la misma VLAN
en todos los switches.
VTP
VLAN Trunking Protocol

Ø Permite al administrador hacer cambios de VLAN’s en el servidor y que estos se

propaguen a los clientes.
Ø Usa un número de revisión para determinar los cambios mas recientes.
Ø La revisión mas alta tiene preferencia.
VTP
Modos de VTP: Server, Client, Transparent

Ø Server: publican la información VLAN del dominio del VTP a otros switches habilitados
por el VTP en el mismo dominio del VTP. Pueden crear, cambiar y eliminar las VLAN
VTP
Modos de VTP: Server, Client, Transparent

Ø Client: Funciona de la misma manera que los servidores VTP servers pero no pueden
crear, cambiar ni eliminar las VLAN en un cliente VTP.
VTP
Modos de VTP: Server, Client, Transparent

Ø Transparent: Envián publicaciones del VTP a los clientes VTP.

Las VLAN que se crean, renombran o se eliminan en ellos son locales.
VTP

Comando Descripción
Switch(config)#vtp domain ciisavlan crea dominio
Switch(config)# vtp mode server Este switch sera el server
Switch(config)#vtp mode client Este switch sera el cliente
Switch(config)#vtp mode transparent Este switch estará en modo transparente
Switch#show vtp status Muestra la información de VTP
Switch#vtp pruning Habilita VTP pruning en el dominio
Spanning Tree (STP)

Redundancia

Ø La redundancia en las redes LAN evita el tener un punto único de falla.

Ø Las redes de hoy en día usan enlaces redundantes para minimizar problemas o fallas en la red.
Ø Pero pueden crear algunos problemas como:
Ø Tormentas de Broadcast
Ø Transmisión de tramas multiples
Ø Inestabilidad en la tabla de MACs
Ø Para esto se requiere un mecanismo que evite loops
STP
¿Qué hace Spanning Tree?

Ø Se habilita de forma automática en los switches CISCO, pero podría requerir algunos ajustes.
Ø Se basa en el Estándar IEEE 802.1d
Ø Provee una red libre de “loops” colocando algunos puertos en estado “blocking”
Ø BPDUs, se intercambian para mantener la topología de STP
STP Basico LAB
Que es Portfast?
Se configura en los puertos de acceso para que dicho puerto no pase por todos
los estados Spanning Tree y de una vez se coloque en el estado de Forwarning
Para que?
Para que lo puertos conectados a PC’s ó Host, inicien la transmisión en cuanto se conecten.

Nota: No habilitar Portfast en puertos en donde exista un switch. Esto ocasionaría un loop.
Spanning-tree
Comandos Porfast

Comando Descripción
Switch(config)#interface fastethernet 0/10 Ingresa a la configuración de la interface
Switch(config)#spanning-tree porfast Activa el PorFast en el puerto de acceso
Switch(config)#spanning-tree porfast trunk Activa el PortFast en el puerto troncal
Switch(config)#show spanning-tree fastethernet 0/10 porfast Despliega la información PortFast en la interface
Spanning-tree
BPDU Guard

Ø Este puerto deberá ser activado manualmente o automáticamente usando el comando errordisable recovery
Ø Diseñado para proteger las interfaces configuradas como PortFast
Ø Normalmente en estas interfaces se conectarían host. Pero que pasa si se conecta un switch por error?
Ø Con BPDU Guard se si recibe una BPDU en este tipo de interfaces se pone inmediatamente en estado rrodisab
Spanning-tree
Configuración BPDU GUARD
Comando Descripción
Switch(config)#spanning-tree porfast bpduguard default Activa globalmente el BPDU Guard
Switch(config)#interface range fastethernet 0/1 - 5 Ingresa a la configuración del rango interfaces
Switch(config)#spanning-tree porfast Activa PortFast en el rango de interfaces
NOTA: Por defecto el BPDU GUARD esta desactivado

Comando Descripción
Switch(config)#spanning-tree porfast bpduguard default Activa globalmente el BPDU Guard
Switch(config)#interface range fastethernet 0/1 - 5 Ingresa a la configuración del rango interfaces
Switch(config)#spanning-tree porfast Activa PortFast en el rango de interfaces
NOTA: Por defecto el BPDU GUARD esta desactivado
Activa la opción de que el puerto se reactive si el error
Switch(config)#errdidable recovery cause bpduguard es causado por el BPDU GUARD
Establece que el tiempo de recuperación sea de 400
segundos, por defecto son 300 segundos. El rango
Switch(config)#errdidable recovery interval 400 configurable va de los 30 86400 segundos
Switch(config)#show spanning-tree summary totals Verifica suando el BPDU GUARD esta activo o inactivo
Switch(config)#show errdisable recovery Despliega la información de tiempo de errdisable
 Spanning-tree
Configuración BPDU Filtering?

Ø Se usa para filtrar el envió o recepción de BPDUs en un puerto de switch.

Ø Se usa en puertos configurados como PortFast ya que no se necesita enviar ni
recibir BPDUs en esa interfaz.
 Spanning-tree

Comandos BPDU Filtering?

Comando Descripción
Switch(config)#spanning-tree porfast bpdufilter default Activa globalmente el BPDU Filtering
Switch(config)#interface range fastethernet 0/1 - 10 Ingresa al rango de configuración a la interface
Switch(config-if-range)#spanning-tree porfast Activa PortFast en todo el rango de interfaces
NOTA: Por defecto el BPDU Filtering esta desactivado
Switch(config)#interface fastethernet 0/15 Ingresa a la configuración de la interface
Switch(config-if)#spanning-tree bpdufilter enable Activa el BPDU Filtering en la interface sin activar el PortFast
Switch#show spanning-treesummary totals Desactiva globalmente la información del BPDU Filtering
Switch#show running-config Verifica si el BPDU Filtering esta activado en las interfaces
 Spanning-tree
LoopGuard

Ø Prevee loops dentro de STP.

Ø Coloca el puerto en Loop-inconsistent bloking
 Spanning-tree
Configuración de LoopGuard

Comando Descripción
Switch(config)#interface fastethernet 0/1
Switch(config-if)#spanning-tree guard loop Se ingresa a la intefaz y se habilita loopguard
Switch(config-if)#spanning-tree guard loop Habilita Spanning Tree en todas las interfaces
 Spanning-tree
Root Guard
Ø Previene que un nuevo switch se conecte a la red y se declare «root bridge» la topología
de STP deberá reconverger y se afectará la red.
Ø Cuando se configura RootGuard el switch no permite que un nuevo switch sea rootbridge
 Spanning-tree
Configuración Root Guard

Comando Descripción
Switch(config)#interface range fastethernet 0/1 Ingresa a la configuración de la interface
Switch(config-if)#spanning-tree guard root Activa el Root Guard en la interface
Switch#show spanning-tree inconsistentports Muestra cuando un puerto tiene un problema de root
Switch#show running-config Para verificar que el Root Guard esta activado en la interface
 Spanning-tree
Unidirectional Link Detection (UDLD)
Ø Que sucede si en un enlace de fibra entre dos switches uno de los hilos de las fibras
se desconecta en un extremo?
Ø Unos de los hilos de la fibra se una para transmitir (TX) y otro para recibir (RX)
Ø Del extremo en donde NO se desconecto la fobra, el puerto seguirá creyendo que todo esta
normal, pero dejará de recibir BPDUs.
Ø Si eso sucede y ese puerto estaba en Blocking, este puerto creerá que no hay switch
al otro extremo y pasará a Forwarding.
 Spanning-tree
UDLD
Ø Previene que un nuevo switch se conecte a la red y se declare «root bridge» la topología
de STP deberá reconverger y se afectará la red.
Ø Cuando se configura RootGuard el switch no permite que un nuevo switch sea rootbridge
 HSRP
HSRP
Ø Hot StanBy Router Protocol
Ø Protocol que permite implementar routers redundantes tolerantes a fallos en una red.
Este evita la existencia de puntos de fallo únicos en la red mediante técnicas de
redundancia y comprobación del estado de los routers.
Ø Propietario de Cisco.
HSRP

Ø Crea una Virtual IP Address y una Virtual Mac-Address para realizar la redundancia.
Ø Existen tres tipos de routers.
Ø Active Router: Es el router activo que recibe el trafico para ser reenviado a su destino.
Ø StandBy Router: Es el router de backup en caso de que el Active Router no este disponible.
Ø Virtual Router: No es un router, pero representa al grupo HSRP como un router virtual
y es el actual gateway para los hosts.
 HSRP

Como funciona?

Ø Se crea un grupo de routers y una dirección IP virtual, en donde se define un router

master que enruta el tráfico.
Ø Los demás están en StandBy en caso de fallo.
Ø Funciona en la capa 3 del modelo OSI
 HSRP

Como funciona?

Ø Entre los routers del grupo HSRP se intercambian mensajes «hello» cada 3 segundos, para conocer
el estado en el que se encuentran.
Ø Estos mensajes utilizan la dirección multicast 224.0.0.2 y el puerto UDP 1985.
 HSRP
Como funciona?
Ø Si el router maestro no envía tipo de mensajes Hello a los routers respaldo dentro de un periodo de tiempo
(10 segundos) otro router del grupo se coloca como router maestro.
Ø Esto consiste en que el nuevo router obtiene la dirección virtual que identifica al grupo.
Ø Para determinar cuál es el router maestro se establece una prioridad en cada router (0 – 255)
La prioridad por defecto es 100. El router de mayor prioridad es el que se establecerá como activo.
HSRP
Comando Descripción
R1(config)#interface GigE 0/1 Ingresa a la configuración de la interface
R1(config-if)#Ip address 192.168.1.2 255.255.255.0 Se configura dirección ip en interfaz
R1(config-if)#stanby 1 ip 192.168.1.1 Representa el grupo del protocolo
R1(config-if)#stanby 1 priority 200 Se asigna la prioridad al router principal
R1(config-if)#stanby 1 preempt Permite que el router se convierta en el router activo
R1(config-if)#stanby 1 track seriel0/0 Indica que HSRP realiza u seguimiento de la interfaz

Comando Descripción
R2(config)#interface GigE 0/1 Ingresa a la configuración de la interface
R2(config-if)#Ip address 192.168.1.3 255.255.255.0 Se configura dirección ip en interfaz
R2(config-if)#stanby 1 ip 192.168.1.1 Representa el grupo del protocolo
 VRRP
VRRP – Como funciona?

Ø Virtual Router Redundancy Protocol (protocolo de redundancia del Router Virtual)

Ø Estándar IEEE (RFC 2338)
Ø El router Virtual que representa los router se conoce como VRRP group
Ø El router activo se conoce como master virtual router.
Ø Utiliza la dirección multicast 224.0.0.18
Ø VRRP esta soportado en Ethernet, FastEthernet, y GigabitEthernet así como
Multi-protocol Label Switching (MPLS) virtual private networks (VPNs) y VLANs.
 VRRP
Configuración

Comando Descripción
R1(config)#interface GigE 0/1 Ingresa a la configuración de la interface
R1(config-if)#Ip address 192.168.1.2 255.255.255.0 Se configura dirección ip en interfaz
R1(config-if)#vrrp 1 ip 192.168.1.1 Representa el grupo del protocolo
R1(config-if)#vrrp 1 priority 110 Se asigna la prioridad al router principal

Comando Descripción
R2(config)#interface GigE 0/1 Ingresa a la configuración de la interface
R2(config-if)#Ip address 192.168.1.3 255.255.255.0 Se configura dirección ip en interfaz
R2(config-if)#vrrp1 ip 192.168.1.1 Representa el grupo del protocolo
Protocolo SSH
Ø Secure Shell, es un protocolo de seguridad que permite conectar en una sesión segura
un usuario a un dispositivo de red.
Ø SSH encripta el tráfico en tránsito a traves de la red entre el cliente y servidor. Utiliza el puerto
22/TCP.
Ø El tráfico es cifrado por el uso de los algoritmos de encryptación simétricos (AES, 3DES)
Ø La autenticación y el intercambio de “Share Secret” son utilizados algoritmos de encriptación
asimetricos (RSA) La longitud aconsejable para el uso de llaves es no menos de 1024 bits.
Consta de tres pasos: generación de llaves, cifrado y descrifrado.
Protocolo SSH
Comando Descripción
Switch(config)#hostname SW_CIISA Se configura el hostname
SW_CIISA(config)#ip domain-name CIISA Se configura el nombre de dominio
SW_CIISA(config)#cryto key generate rsa Genera las llaves de autenticación
SW_CIISA(config)#ip ssh time-out 30 Configuración tiempo de espera
SW_CIISA(config)#ip ssh authentication-retries 3 Establece un máximo de tres intentos
SW_CIISA(config)#ip ssh version 2 Establece el uso de la versión
SW_CIISA(config)#username ADMIN privilege 15 password REDES Creación de credenciales de usuario
SW_CIISA(config)#line vty 0 2 Habilita puertos virtuales
SW_CIISA(config-line)#transport input ssh Activación de SSH para conexiones remotas
SW_CIISA(config-line)#login local Autenticación de usuarios locales.
Switch Port Security
Ø Permite asegurar el uso de una interface, ya que puede limitar el uso a una sola dirección MAC
o a una lista de direcciones MAC
 Switch Port Security
Configuración Switch Port Security
Comandos Descripción
Switch(config)#interface fastethernet 0/1 Ingresa a la configuración de la interface
Switch(config-if)#Switchport port-security Activa la seguridad de puerto en la interface
Switch(config-if)#Switchport port-security maximum 4 Establece el número de direcciones MAC permitidas en este grupo
Especifica una dirección MAC segura determinada. Se pueden añadir
direcciones mac dependiendo del número máximo configurado.
Switch(config-if)#Switchport port-security mac-address aaaa.aaaa.aaaa
Indica el puerto que si una dirección MAC no configurada intenta
Switch(config-if)#Switchport port-security violation shutdown ingresar se apagará el puerto.
Indica a la interfaz que si una dirección MAC no configurada intenta
ingrsar se descartan los paquetes que pasen por el puerto, generando
Switch(config-if)#Switchport port-security violation resctrict una advertencia.
Indica al puerto que si una dirección MAC no configurada intenta
ingresar se descartaran los paquetes que pasen por el puerto.
Switch(config-if)#Switchport port-security violation protect
Switch Port Security
Verificación Switch Port Security

Comandos Descripción
Switch#Show port-security Despliega la información de todas las interfaces
Switch#Show port-security interface fastethernet 0/5 despliega la información de seguridad en la interface
Switch#Show port-security address Despliega la información de seguridad de la tabla de direcciones MAC
Switch#Show mac address-table Despliega la tabla de direcciones MAC
Switch#clear mac address-table dynamic Elimina todas las direcciones MAC dinamicas
Switch#clear mac address-table dynamic address aaaa.bbbb.cccc Elimina una dirección MAC dinamica especifica
Switch#clear mac address-table dynamic interface fastethernet 0/5 Elimina todas las direcciones MAC dinamicas en la interface
Switch#clear mac address-table dynamic vlan 10 Elimina todas las direcciones MAC dinamicas en la VLAN
Switch#clear mac address-table notification Limpia los contadores de notificación global MAC
Remote Authentication Dial-In User
Service (RADIUS)
Ø Protocolo cliente/servidor que sirve para administrar los accesos a la red. Se utiliza en servidores
de accesos.
Ø Define lo que se conoce como AAA: Authentication, Authorization and Accounting.

RADIUS
Ø UDP
Ø Encripta solo el password
Ø No es tan granular para routers (sin definición de comandos)
Ø Autenticación y Autorización combinadas.
Authentication

Ø En este proceso el usuario se autentica pudiendo elk sistema de alguna forma validar que el
mismo puede ingresar al equipo. Por ejemplo mediante un usuario y contraseña o bien con un token.
En nuestro caso el usuario y password para ingresar a un equipo. Solo que en este caso la base
de datos de estos usuarios y contraseñas, no esta en el equipo de comunicación.
Authotization

Ø Una vez que el usuario se ha autenticado este proceso permite definir los derechos
de ese usuario.
Ø En nuestro caso podemos darle acceso a un usuario solo para que pueda ver la configuración
y no modificarla por ejemplo.
Accounting

Ø Proceso que registra el acceso del usuario y detalles como: fecha, hora, duración u otros.
Ø Sirve para realizar auditorias.
Servidor RADIUS
Ø Configuración RADIUS

Comandos Descripción
Switch(config)#aaa new-model Activar autenticación de clientes hacia servidor
Switch(config)#radius-server host 192.168.100.5 key ciisa123 Definir la key change para autenticar con el servidor Radius
Switch(config)#aaa authentication login CIISA group radius local enable Indicar la autenticar el protocolo RADIUS
Switch(config)#line vty 0 2 Conexión remota SSH
Switch(config-line)#transport input ssh autenticación de cliente SSH
Switch(config-line)#login authentication CIISA Autenticación remota de la lista de usuarios Radius
Switch(config)# username ADMIN secret REDES Usuarios para validar autenticación
Servidor RADIUS