Configuración de vlan Agregar una Vlan
S1#configure terminal S1(config)#vlan [ nu numero mero de de vlan a agr agr eg egar] ar] 2-1001 or 1025-4094 1025-4094 S1(config-if)#name [ nombr e de vlan]
Agregar puertos a las vlan
S1#configure terminal S1(config)#interface fa0/18 S1(config)#interface r ange fa0/1-24 fa0/1-24 configurar varias interfaces a la ves S1(config-if)# S1(config-if)# description descripción que le queramos dar S1(config-if)#switchport mode access S1(config-if)#switchport S1(config-if)#s witchport Host (habilita spanning-tree portfas, desabilita eterchanel habilia el Puerto como acceso ( esto es para puertos conectados a equipos finales) S1(config-if)#switchport S1(config-if)#switchport acces vlan [ numero de vlan] asigna una vlan al puerto determinado S1(config-if)# no shutdown ( para switch de capa 3)
Agregar enlace troncal
S1#configure terminal S1(config )#interface )#interface fa0/1 S1(config-if) #switchport trunk encapsulation (isl o dot1q) establece el enlace como enlace troncal S1(config-if) #switchport mode ( dynamic auto, dynamic desirable, trunk) se usa mas trunk S1(config-if) #switchport trunk native vlan 99 usa la vlan 99 como nativa o otra diferente que elijamos como nativa S1(config-if) S1(config-if) #switchport trunk allowed Vlan 10, 20 permite el trabajo solo de las vlan permite especificadas S1(config-if)# no shutdown ( para switch de capa 3) S1(config-if) S1(config-if) #exit
Configuración de switch como servidor
S1# configure terminal S1(config) #vtp mode server S1(config) #vtp domain [n ombre de do domin min io] S1(config) #vtp password [pasword] S1(config) #vtp version 2 activa la version 2 S1(config) #vtp version pruning recorta el trafico innecesario S1(config) #exit S1#show vtp status verificar la configuración del Switch
Configuración de switch como cliente
S1#configure terminal S1(config) #vtp mode client S1(config) #vtp domain [n ombre de domin io] S1(config) #vtp password [pasword] S1(config) #vtp version 2 activa la version 2, se active antes de cambiar a modo cliente S1(config)#exit
Configuración de switch modo trasparente
S1#configure terminal S1(config) #vtp mode transparent S1(config)#exit
Agregar Vlan Privadas PASOS PARA CONFIGURAR VLANs PRIVADAS
PASO1: configuración de VTP en modo transparente. PASO2: crear las pVLAN secundarias. PASO3: crear las pVLAN primarias. PASO4: Asociar la PVLAN secundarias a las pVLAN primarias. PASO5: Configurar una interfaz a un puerto aislado o de la comunidad. PASO6: Asociar el puerto aislado o el puerto en comunidad con los pvlan primariosecundario. PASO7: configurar las interfaces a puertos promiscuos PASO8: Mapear el puerto promiscuo a la pVLAN primario-secundario
Switch(config)# vtp transparent Switch(config)# vlan 201 vlan secundarias Switch(config-vlan)# private-vlan isolated Switch(config)# vlan 202 Switch(config-vlan)# private-vlan community Switch(config-vlan)# vlan 100 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 201,202 Switch(config-vlan)# interface fastethernet 0/24 (Puerto promiscuo) Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 201,202 Switch(config-if)# interface range fastethernet 0/1 - 2 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 202 Switch(config-if)# interface range fastethernet 0/3 - 4 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 201
Agregar enlace troncal a Vlan privadas primarias y secundarias
Switch(config)# interface fastethernet 5/2 Switch(config-if)# switchport mode private-vlan trunk secondary Switch(config-if)# switchport private-vlan trunk native vlan 100 Switch(config-if)# switchport private-vlan trunk allowed vlan 100, 201-202 Switch(config-if)# switchport private-vlan association trunk 100 201 Switch(config-if)# switchport private-vlan association trunk 100 202
Agregar Protected Ports – Private Edge VLANs (solo funciona localmente)
Switch# configure terminal Switch(config)# interface FastEthernet0/3 Switch(config-if)# switchport protected Switch(config-if)# end Puerto protegido ------> Puerto protegido = no Podran comunicarse Puerto protegido ------> Puerto desprotegido = podran comunicarse
Configurar Ethernet Chanel
Switch(config)# interface fastethernet 0/23 Switch(config-if)# channel-group 2 mode active Switch(config-if)# channel-protocol {pagp | lacp} pagp protocol de cisco ( modos: auto, desirable, on, non-silent), lacp es parte de IEEE ( modos:_ passive, active, On ) Switch(config)# interface fastethernet 0/24 Switch(config-if)# channel-group 2 mode active Switch(config)# interface port-channel 2 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk native VLAN 99 Switch(config-if)# switchport trunk allowed VLAN 2,3,99 RSwitch(config)# interface fastethernet 0/23 RSwitch(config-if)# channel-protocol {pagp | lacp} RSwitch(config-if)# channel-group 5 mode on RSwitch(config)# interface fastethernet 0/24 RSwitch(config-if)# channel-group 5 mode on RSwitch(config)# interface port-channel 5 RSwitch(config-if)# switchport mode trunk RSwitch(config-if)# switchport trunk native VLAN 99 RSwitch(config-if)# switchport trunk allowed VLAN 2,3,99 Load Balancing ( src-dst-ip ) significa direccion ip de origen y destino
Switch(config)# port-channel load-balance src-dst-ip
Comando para configurar STP Configuración del ID o la prioridad de Switch
S1#configure terminal S1#(config)#spanning-tree vlan [número de vlan] root primary establece el ID en 24576 S1#(config)# spanning-tree vlan 10,20,30,40, para varias vlan S1#(config)#exit S1# configure terminal S1#(config)# spanning-tree vlan [número de vlan] root secondary establece el ID en 28672 S1#(config)#exit S1#configure terminal S1#(config)# spanning-tree vlan [número de vlan] priority 4096 entre 0 a 65536 en rangos de 4096 S1#(config)#exit
Configuración del costo del puertos (ver tabla)
S1#configure terminal S1#(config )#interface fa0/1 S1#(config-if)# spanning-tree cost [número] rango entre 1 y 200 S1#(config-if)# exit
Configuración de la prioridad del puerto (128 por defecto)
S1#configure terminal S1(config )#interf ace fa0/1 S1(config-if)# spanning-tree port-priority [número] entre 0 240 en rangos de 16 S1(config-if)# exit
Habilitar portfast
S1#configure terminal S1(config )# spanning-tree portfast default (habilita portfast en todos los puertos) S1(config )# spanning-tree portfast trunk (habilita portfast en un Puerto troncal) S1(config )#interface fa0/1 (habilitarlo en solo un Puerto) S1(config-if)# spanning-tree portfast
TIPOS DE STP
CST (common Spanning Tree) 802.1Q especifica como las vlan son colocadas en enlaces troncales pero solo se permite una instancia de STP para todas las Vlan no podemos tener un Root Bridge separado para cada Vlan PVST (per-Vlan Spanning Tree) propietaria de cisco opera una instancia de STP por cada una de las Vlan esto permite que se configure una instancia de STP independiente mente PVST+ (Per-Vlan Spanning Tree Plus) 802.1D propietaria de cisco permite interoperar con PVST y CST (por defecto en los switch CISCO) RSTP (Rapid Spanning tree protocol) fue desarrollado para usar los conceptos principal del estándar 802.1D pero con un tiempo de convergencia mucho más rápido, no se puede aplicar a varias VLAN PVRST+ (Rapid Per VLAN STP Plus) spanning tree soporte multiples vlan
conbinacion de RSTP con PVST+ para que rapid
RSTV Rapid spanning tree protocols ( no cisco) y PVRST+ (cisco) Habilitar PVRST+
S1#configure terminal S1(config )# spanning-tree mode rapid-pvst S1(config )# spanning-tree vlan 2 root primary S1(config )# spanning-tree vlan 3 root secondary PVRST+
S1#configure terminal S1#(config)#spanning-tree mode rapid-psvd S1#(config)#spanning-tree vlan [número de vlan] root primary establece el ID en 24576 S1#(config)# spanning-tree vlan 10,20,30,40, para varias vlan S1#(config)#exit S1#(config)# spanning-tree vlan [número de vlan] root secondary establece el ID en 28672 S1#(config)#exit S1#(config)# spanning-tree vlan [número de vlan] priority 4096 entre 0 a 65536 en rangos de 4096 S1#(config)#exit
MST multiple spanning-tree
S1#configure terminal S1(config)# spanning-tree mode mst S1(config)# spanning-tree mst configuration Switch(config-mst)# show current Switch(config-mst)# name name Switch(config-mst)# revision revision_number Switch(config-mst)# instance instance_number vlan vlan_range Switch(config-mst)# show pending Switch(config-mst)# exit Switch(config)# spanning-tree mst instance_number root primary | secondary (configurar el root bridge
SwitchA(config)# spanning-tree mode mst SwitchA(config)# spanning-tree mst configuration SwitchA(config-mst)# name XYZ SwitchA(config-mst)# revision 1 SwitchA(config-mst)# instance 1 vlan 11, 21, 31 SwitchA(config-mst)# instance 2 vlan 12, 22, 32 SwitchA(config)# spanning-tree mst 1 root primary SwitchB(config)# spanning-tree mode mst SwitchB(config)# spanning-tree mst configuration SwitchB(config-mst)# name XYZ SwitchB(config-mst)# revision 1 SwitchB(config-mst)# instance 1 vlan 11, 21, 31 SwitchB(config-mst)# instance 2 vlan 12, 22, 32 SwitchB(config)# spanning-tree mst 2 root primary
BPDU Guard (sirve para garantizar la seguridad de los puertos portfast por si algun switch se conecta a dicho Puerto este se desactiva) desabilitado por defecto
S1(config)# spanning-tree portfast bpduguard default S1(config )#interface fa0/1 S1(config-if )# spanning-tree bpduguard enable (habilitar solo en un Puerto)
BPDU FILTERING (sirve para garantizar la seguridad de los puertos portfast por si algun switch se conecta a dicho Puerto este se desactiva) desabilitado por defecto
S1(config)# spanning-tree portfast bpdufilter default S1(config )#interface fa0/1 S1(config-if)# spanning-tree bpdufilter enable (habilitar solo en un puerto)
ROOT GUARD evita que un switch con mejor brifde ID se convierta en ROOT desabilitado por defecto
Switch(config)# interface FastEthernet 5/8 (se realiza en todos los puertos configurados como acceso, en todos los switch) Switch(config-if)# spanning-tree guard root Switch(config-if)# end
PROTECCION CONTRA LA PERDIDA DE BPDU Loop Guard ( bidireccional, si uno de los dos enlaces tiene un problema físico los switch no detectan la faya) desabilitado por defecto, (problemas en software,
Switch(config)# spanning-tree loopguard default (habilitarlo de manera global) Switch(config-if)# spanning-tree guard loop (habilitarlo en cada Puerto)
UDLD (Unidirectional Link Detention) propietaria cisco el objetivo es detectar enlaces unidireccionales antes del cambio de estado de STP tiene dos modos , UDL normal (detecta un enlace unidireccional el puerto sigue funcionando pero da un aviso) y UDL agresivo (cuando detecta un enlace unidireccional el puerto no puede ser utilizado (problemas en hardware)
Switch(config)# udl enable, aggressive (habilitarlo de manera global) Switch(config-if)# udl port enable, aggressive (habilitarlo en cada Puerto)
FLEX LINK para colocar un enlace como backup a la hora que el principal falle
Switch(config)# interface fastethernet1/0/1 Switch(config-if)# switchport backup interface fastethernet1/0/2 Switch(config-if)# end
Intervlan Router, Router on a stick
Router#configure terminal Router(config)# interface FastEthernet0/0 Router(config-if)#no shutdown Router(config)# interface f0/0.10 Router(config-subif)# encapsulation dot1q 10 (se puede usar encapsulacion isl) Router(config-subif)# ip address 172.16.10.1 255.255.255.0
configuracion de intervlan router
Router#configure terminal Router(config)#interface fastethernet [puerto].[subif] ejemplo fa0/0.10, fa0/0.20 Router(config-subif)#encapsullation dot1q [número de vlan] Router(config-subif)#ip address [ dir ección I P] [máscara] Router(config-subif)#no shutdown Router(config-subif)#exit Router(config-subif)# passive-interface [puerto].[subif] ejemplo fa0/0.10, fa0/0.20 desactiva el enrutamiento para la subinterfas indicada Router(config)#interface fastethernet 0/ [puerto].[subif] ejemplo fa0/0.10, fa0/0.20 Router(config-subif)#encapsullation dot1q [número de vlan] Router(config-subif)#ip address [ dir ección I P] [máscara] Router(config-subif)#exit
Configuracion de Intervlan Routing SVI
Se debe de crear previamente las vlan y asignadas a algún puerto de capa 2 Switch (config)# vlan 100 Switch (config-vlan)# name CCNP Switch (config-vlan)# exit Switch (config-if)# interface fastethernet 0/1 Switch (config-if)#switchport access vlan 100 Configuracion de SVI Switch (config)# interface vlan 100 Switch (config)# ip address 192.168.0.1 255.255.255.0 Switch (config)#no shutdown
Configurando Router Port capa 3
Switch(config)# interface GigabitEthernet 1/1 Switch(config-if)# no switchport Switch(config-if)# ip address 10.10.1.1 255.255.255.252 Switch(config-if)# exit
Configurando Router Port capa 2
Switch(config)# interface GigabitEthernet 1/1 Switch(config-if)#switchport
Configurar Ethernet Chanel Layer 3
DHCP en Switch Switch(config)# ip dhcp excluded-address 10.1.10.1 10.1.10.20 Switch(config)# ip dhcp pool XYZ10 Switch(config-dhcp)# network 10.1.10.0 255.255.255.0 Switch(config-dhcp)# default-router 10.1.10.1 Switch(config-dhcp)# option 150 10.1.1.50 Switch(config-dhcp)# lease 0 8 0 Switch(config-dhcp)# ! 0 days 8 hours 0 minutes Switch(config)# interface vlan10 Switch(confi -if)# i address 10.1.10.1 255.255.255.0
DHCP Relay Switch(config)# interface vlan10 Switch(config-if)# ip address 10.1.10.1 255.255.255.0 Switch(config-if)# ip helper-address 10.1.100.1
Configuracion de supervisoras Redundantes
Switch# configure terminal Switch(config)# redundancy Switch(config-red)# mode (rpr / rpr-plus / sso) Switch(config)show redundancy states
Supervisora NSF
Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# router bgp 100 Switch(config-router)# bgp graceful-restart Switch(config-router)# exit Switch(config)#router ospf 200 Switch(config-router)# nsf Switch(config-router)# end Switch(config)#router eigrp Switch(config-router)# nsf Switch(config-router)# end
REDUNDANCIA HSRP ( CISCO )
Catalist Norte
Catalist Sur
(config)# interface Vlan 50 (config-if)# ip address 192.168.1.10 255.255.255.0 (config-if)# standby 1 priority 200 configura la prioridad (config-if)# standby 1 preempt (config-if)# standby 1 ip 192.168.1.1 (config-if)# standby 1 authentication CCNP config-if)# standby 2 priority 100 (config-if)# standby 2 ip 192.168.1.2 (config-if)# standby 2 authentication CCNP
(config)# interface Vlan 50 (config-if)# ip address 192.168.1.11 255.255.255.0 (config-if)# standby 1 priority 100 (config-if)# standby 1 ip 192.168.1.1 (config-if)# standby 1 authentication CCNP config-if)# standby 2 priority 200 (config-if)# standby 2 preempt (config-if)# standby 2 ip 192.168.1.2 (config-if)# standby 2 authentication CCNP
Opcionales (config-if)# standby 2 version 2
(config-if)# standby 10 timers msec 200 msec 750 (hello y holdtime (config-if)# standby 10 preempt delay (mínimum / reload 225) el router con mayor prioridad sea siempre el activo
REDUNDANCIA VRRP
Catalist Norte
Catalist Sur
(config)# interface Vlan 50 (config-if)# ip address 192.168.1.10 255.255.255.0 (config-if)# vrrp 1 priority 200 (config-if)# vrrp 1 ip 192.168.1.1 config-if)# vrrp 2 priority 100 config-if)#no vrrp 2 preempt (config-if)# vrrp 2 ip 192.168.1.2
(config)# interface Vlan 50 (config-if)# ip address 192.168.1.11 255.255.255.0 (config-if)# vrrp 1 priority 100 config-if)#no vrrp 1 preempt (config-if)# vrrp 1 ip 192.168.1.1 config-if)# vrrp 2 priority 200 (config-if)# vrrp 2 ip 192.168.1.2
Opcionales (config-if)# vrrp 1 timers advertise msec 500 cambia el interval del temporizador (config-if)# vrrp 1 timers learn aprende el interval desde el router
REDUNDANCIA GLBP ( CISCO )
CATALYST A (config)# interface vlan 50 (config-if)# ip address 92.168.1.10 255.255.255.0 (config-if)# glbp 1 priority 200 entre 1 y 255 100 por defecto (config-if)# glbp 1 preempt (config-if)# glbp 1 ip 192.168.1.1
CATALYST B (config)# interface vlan 50 (config-if)# ip address 92.168.1.11 255.255.255.0 (config-if)# glbp 1 priority 150 (config-if)# glbp 1 preempt (config-if)# glbp 1 ip 192.168.1.1
CATALYST C (config)# interface vlan 50 (config-if)# ip address 92.168.1.12 255.255.255.0 (config-if)# glbp 1 priority 100 (config-if)# glbp 1 preempt (config-if)# glbp 1 ip 192.168.1.1 CISCO IOS SLB
Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# ip slb serverfarm PUBLIC Switch(config-slb-sfarm)# real 10.1.1.1 Switch(config-slb-real)# inservice Switch(config-slb-real)# exit Switch(config-slb-sfarm)# real 10.1.1.2 Switch(config-slb-real)# inservice Switch(config-slb-real)# exit Switch(config-slb-sfarm)# real 10.1.1.3
Switch(config)# ip slb serverfarm RESTRICTED Switch(config-slb-sfarm)# real 10.1.1.20 Switch(config-slb-real)# inservice Switch(config-slb-real)# exit Switch(config-slb-sfarm)# real 10.1.1.21 Switch(config-slb-real)# inservice Switch(config-slb-real)# end Switch(config)# ip slb vserver PUBLIC_HTTP Switch(config-slb-vserver)# virtual 10.1.1.100 tcp www Switch(config-slb-vserver)# serverfarm PUBLIC Switch(config-slb-vserver)# inservice Switch(config-slb-vserver)# exit Switch(config)# ip slb vserver RESTRICTED_HTTP Switch(config-slb-vserver)# virtual 10.1.1.200 tcp www Switch(config-slb-vserver)# client 10.4.4.0 255.255.255.0 Switch(config-slb-vserver)# serverfarm RESTRICTED Switch(config-slb-vserver)# inservice Switch(config-slb-vserver)# end
VLAN
S1# Show Vlan ID 3 configuracion de Vlan S1# show vlan name VLAN003 configuracion de Vlan S1# show running-config interface Fastethernet 5/6 Configuracion de interface S1# show interfaces f0/18 switchport verification de la configuration de Switch port S1# show interfaces f0/18 trunk verificar la configuración de trunk en el puerto S1# show mac-address-table interface gigabitethernet 0/1 vlan information de la mac address
VTP
S1# show vtp status S1# show vtp counters
VLAN PRIVAS
Show vlan private-vlan Show interfaces fastethernet 5/2 switchport
ETHERCHANNEL
Show interface fa/24 etherchannel Show etherchannel 1 port-channel Show etherchannel summary show running-config interface g0/48 Show etherchanel load balance
STP
Show spanning tree Show spanning tree detail Show spanning tree vlan 2
PORTFAST
show spanning-tree interface FastEthernet 3/27 portfast Show spaning-tree vlan 2
MTS
show spanning-tree mst show spanning-tree mst 1 show spanning-tree mst 1 detail show spanning-tree mst interface FastEthernet 3/24
BPDU GUARD, FILTERING show spanning-tree summary totals
Root Guard
Switch# show spanning-tree inconsistentports
HSRP
Switch# show standby brief
Otras configuración para un puerto de switch
S1(config-if)#switchport port-security habilita la seguridad en el puerto S1(config-if)#switchport port-security maximun [numero] establece el numero maximo de direcciones seguras segun el numero especificado S1(config-if) #switchport port-securíty mac-address sticky activa el aprendizaje de la mac address S1(config-if) #switchport port-securíty violation shutdown ante una violacion apaga el Puerto S1(config-if) #duplex full cambia la velocidad del puerto y habilita el envió y recepción de datos simultáneamente S1(config-if)#speed 100 S1(config-if) #exit
