manual del estudiante configuración de seguridad del puerto ethernet características de seguridad...

1

MANUAL DEL ESTUDIANTE

Autor: John Harvey Bautista – Harlyn Segura 2014

3

Capítulos 1. CONFIGURACIONES BÁSICAS

INICIO DE SESIÓN EN EL SWITCH

Inicio de sesión a través del puerto de consola

Inicio de sesión a través de una sesión telnet

Inicio de sesión telnet en un switch a través de otro switch

INTERFAZ DE LÍNEA DE COMANDOS

Generalidades

Clasificación de los comandos

Clasificación del acceso a usuarios

Modos de configuración

Carteristas y funciones de la línea de comandos

Ayuda en la línea de comandos

Pausa en la interfaz de la línea de comandos

Historial de comandos

Mensajes de error en la línea de comandos

Edición de las características de la línea de comandos

CONFIGURACIÓN DE LA INTERFAZ DE USUARIO

Interfaces de usuario

Configuraciones de la interfaz de usuario

Entrar al modo de configuración de la interfaz de usuario

Configuración del protocolo de interfaz de usuario

Configuración de los atributos de la interfaz AUX

Configuración de la velocidad de transmisión

4

Configuración del control de flujo

Configuración de la paridad

Configuración del bit de parada

Configuración de los bits de datos

Configuración de los atributos de la terminal

Encendido y Apagado de los servicios de la terminal

Tiempo de espera para la desconexión

Bloqueo de la interfaz de usuario

Ajuste de la longitud de la pantalla

Configuración del tamaño del búfer del historial de comandos

Método de autentificación

Autentificación por contraseña

Autentificación por esquema

Acceso libre (sin autentificación)

Ajuste el nivel de comandos que se utilizan cuando un usuario ha

iniciado sesión

Ajuste del Nivel de comandos usado después de que un usuario se

conecta a una interfaz de usuario

Establecer el nivel de comandos

Configuración de la redirección

Comando enviar

Comando auto ejecutar

VISUALIZACIÓN Y DEPURACIÓN DE LA INFORMACIÓN DE LA INTERFAZ DE

USUARIO

5

2. FUNCIONAMIENTO DE LOS PUERTOS

ETHERNET

CONFIGURACIÓN DE LOS PUERTOS ETHERNET

Características de los puertos Ethernet

Configuraciones de los puertos Ethernet

Ingresar al modo de configuración del puerto

Activar o desactivar un puerto Ethernet

Establecer el modo DUPLEX del puerto

Ajuste de velocidad en el puerto

Ajuste del tipo de cable para el puerto

Activar o desactivar el control de flujo para el puerto Ethernet

Permitir o bloquear JUMBO FRAMES a través del puerto

Ajuste de la tasa de supresión del puerto

Ajuste del tipo de enlace del puerto

Añadir puertos Ethernet a VLAN especificas

Ajuste del ID de VLAN por defecto para el puerto

Configuración de la detección de LOOPBACK en los puertos Ethernet

Activar o desactivar la detección de LOOPBACK en el switch y

en el puerto

Habilitar o deshabilitar la función de LOOPBACK controlado de

los puertos híbridos y troncales

Establezca el intervalo de tiempo de detección de LOOPBACK

del puerto

Activar la detección de LOOPBACK en las VLANs de los

puertos híbridos y troncales

Mostrar la información de la detección de LOOPBACK

6

Configuración de seguridad del puerto Ethernet

Características de seguridad del puerto Ethernet

Habilitar la seguridad en el puerto

Establezca un valor OUI para la autentificación del usuario

Habilitar en envió de mensajes de captura

Establecer el modo de seguridad del puerto

Configurar el número máximo de direcciones MAC permitidas

en el puerto

Habilitar la función NTK en el puerto

Enlazar una dirección MAC con una IP

Ajustar el modo de protección contra intrusos

Establecer el tiempo de durante el cual es sistema desactiva un

puerto

Mostrar información sobre seguridad del puerto

Copia de la configuración de puerto a otros puertos

MOSTRAR Y DEPURAR LA INFORMACIÓN DE LOS PUERTOS ETHERNET

MOSTRAR EL RESUMEN DE LA CONFIGURACIÓN DEL PUERTO

CONFIGURACIÓN DE LA AGREGACIÓN DE ENLACES

Breve introducción a la agregación de enlaces

Breve introducción a LACP

Tipos de agregación de enlaces

Agregación manual y agregación LACP estática

Agregación LACP dinámica

Configuración de la agregación de enlaces

Activar o desactivar LACP

Creación o eliminación de un grupo de agregación

Añadir o eliminar un puerto Ethernet de un grupo de agregación

7

Configuración o eliminación de la descripción de un grupo de

agregación.

Configurar prioridad del sistema

Configuración de la prioridad del puerto

MOSTRAR INFORMACIÓN DE LOS ENLACES DE AGREGACIÓN

FUNCIONES DE SUPRESIÓN DE BROADCAST

VER INFORMACIÓN ACERCA DE UN PUERTO ÓPTICO ESPECÍFICO

3. FUNCIONAMIENTO DE VLANs

CONFIGURACIÓN DE VLAN

General, VLAN

Configuración de una VLAN

Creación y eliminación de una VLAN

Adición de puertos Ethernet a una VLAN

Ajuste o eliminación de una descripción para la interfaz de VLAN

Creación y eliminación de la interfaz de VLAN

Apagado y encendido de la interfaz de VLAN

Crear VLAN en lotes

Ejemplo de una configuración de VLAN

MOSTRAR Y DEPURAR LA INFORMACIÓN DE VLAN

CONFIGURACIÓN DE VLAN DE VOZ

General, VLAN de voz

8

Requisitos previos para la configuración

Configuración de una VLAN de voz

Activar o desactivar las características de VLAN de voz

Activar o desactivar las funciones de VLAN de voz en un puerto

Ajustar o remover la OUI aprendida por la VLAN de voz

Activar o desactivar el modo de seguridad de la VLAN de voz

Activar o desactivar el modo automático de VLAN de voz

Ajustar el tiempo de vida de la VLAN de voz.

MOSTRAR Y DEPURAR LA INFORMACIÓN DE VLAN DE VOZ

4. SSH

INTRODUCCIÓN AL SSH

CONFIGURACIÓN DE SSH

Configurar el protocolo soportado

Generar un par de claves RSA locales

Destruir el par de claves RSA locales

Configure el modo de autentificación del usuario SSH

Configurar el tiempo de espera de autentificación

Establecer el número de intento de autentificación

Asignar claves públicas para usuarios SSH

MOSTRAR LA INFORMACIÓN DE LA CONFIGURACIÓN SSH

9

5. CONFIGURACIÓN ACL

BREVE INTRODUCCIÓN AL ACL

Filtrado de los datos trasmitidos por el hardware

Filtrado de los datos trasmitidos por el software

ACLs compatibles en el switch

CONFIGURACIÓN DE LA ACL

Configurar el rango de tiempo del ACL

Definir ACL

Entrar al modo de configuración ACL

Añadir una regla ACL

Borrar una regla ACL

Eliminar un ACL o todas las ACLS

MOSTRAR Y DEPURAR LA INFORMACIÓN DE ACL

6. DHCP

INTRODUCCIÓN AL DHCP

Asignación de direcciones IP a través de DHCP

Política de asignación de direcciones IP

Preferencias DHCP en direcciones IP

SERVIDOR DCHP

Uso del servidor DHCP

10

Fundamentos DHCP

Obtener la dirección IP de forma dinámica

Actualización de la dirección IP

Modos de procesamiento de paquetes DHCP

Grupo de direcciones globales

Grupo de direcciones de interfaz

Troncal

Grupo de direcciones DHCP

Tipos de grupos de direcciones

Estructura de un grupo de direcciones

DIRECCIONES GLOBALES DEL DCHP BASADO EN GRUPO DE UN SERVIDOR

DCHP

Resumen de la configuración

Habilitar DHCP

Configuración global del grupo de direcciones de interface

Configuración del modo de asignación de direcciones IP en un grupo

de direcciones globales

Configuración estática

Ingresar al modo de configuración de grupo DHCP

Enlazar una dirección IP a la dirección MAC de un

cliente DHCP estáticamente

Configuración dinámica

Configure la dirección IP del segmento cuya dirección

IP ha se ser asignado dinámicamente

Configurar el tiempo de duración de la dirección IP del

cliente DHCP

Especificar las direcciones IP que no son asignadas

dinámicamente

Configuración del servicio DNS para los clientes DHCP

11

Configurar el nombre de un dominio para los clientes DHCP

Configurar las direcciones del servidor DNS para los clientes

DHCP

Configuration de la puerta de enlace de las direcciones de los

clientes DHCP

DIRECCIONES DE INTERFAZ DEL DCHP BASADO EN GRUPO DE UN

SERVIDOR DCHP


Habilitar DHCP

Configuración para asignar las direcciones IP de un grupo de

direcciones basadas en la interfaz para los clientes DHCP

Configuración para asignar direcciones IP de los grupos de

direcciones IP basado en interfaces a clientes DHCP


Enlazar estáticamente una dirección IP a la dirección

MAC de un cliente DHCP


Configurar el tiempo de duración de la interfaz

Especificar las direcciones IP que no son asignadas

dinámicamente



Configurar las direcciones del servidor DNS para los clientes

DHCP

12

7. CONFIGURACIONES DEL PROTOCOLO RSTP

GENERALIDADES DEL STP

Implementación del STP

Algoritmo STP

EJEMPLO DE CONFIGURACIÓN RSTP

CONFIGURACIÓN DEL PROTOCOLO

Activar o desactivar RSTP en el switch

Activar o desactivar RSTP en el puerto

Configuración del modo de funcionamiento

Configuración del atributo de ignorar VLAN

Establecer la prioridad de un puente especifico

Especifique el switch como raíz primaria o secundaria

Configure el retraso de envió

Ajuste el tiempo de saludo en el puente seleccionado

Ajuste la antigüedad máxima en el puente especificado

Ajuste el factor de tiempo de espera del puente

Especificación de la máxima tasa de transmisión de la tramas de STP en un

puerto

Establezca el puerto seleccionado como puerto de borde

Especifique el costo de la ruta en un puerto

Especifique el estándar en el cálculo del costo de la ruta

Especifique la prioridad de un puerto específico

Configure un puerto para ser conectado a un enlace punto a punto

Ajuste el modo de compatibilidad de un puerto especifico

Configure en el switch la función de seguridad

MOSTRAR Y DEPURAR RSTP

13

En este capítulo se tratan los siguientes temas:

Inicio de sesión en el switch

Interfaz de línea de comandos

Configuración de la interfaz de usuario

Visualización y depuración de la información de la interfaz de usuario

INICIO DE SESIÓN EN EL SWITCH

En esta sección se describe como iniciar sesión en el switch, por diferentes métodos

de conexión.

Inicio de sesión a través del puerto de consola

Realice el siguiente procedimiento para configurar el switch por medio el puerto de

consola.

1. Para configurar el switch por medio del puerto de consola, conectar del puerto

serial del PC al puerto de consola del switch un cable de consola.

Puerto de consola

CONFIGURACIONES

BÁSICAS

Cable de consola

1

Configuración por medio de cable de consola

14

2. Ejecute el emulador del terminal en la PC (Hyperteminal para Windows).

Establezca el nombre, el puerto y los parámetros de la comunicación de la

terminal de la siguiente manera.

Introducir el nombre y elegir el tipo de conexión

Establecer el puerto de conexión. El puerto serial de la PC se identifica como

COM1

Configuración de una nueva conexión

Configuración del puerto para la conexión

15

Establezca los parámetros de comunicación de la siguiente manera.

PARÁMETRO VALOR

Velocidad de transmisión 19200

Bit de datos 8

Control de paridad Ninguno

Bit de parada 1

Control de flujo Ninguno

Ajustes de los parámetros de la comunicación

16

3. El switch se enciende y se muestra la información de AUTO-TEST. Pulse

enter para ingresar a la línea de comandos.

Por defecto la familia del switch 5500 tiene un ID de usuario protegido con

contraseña, ingrese como ID de usuario admin y como contraseña de ingreso

oprima la tecla enter.

Inicio de sesión a través de una sesión telnet

Realice el siguiente procedimiento para configurar el switch por medio de una sesión

telnet.

1. Configurar una dirección IP a la interfaz de una VLAN del switch a través del

puerto de consola (Utilizando el comando ip address en el modo de

configuración de interfaz de VLAN) y añadimos el puerto donde se pretende

iniciar la sección telnet a la VLAN configurada (Usando el comando port en

el modo de configuración de VLAN).

2. Autentificar al usuario Telnet a través del puerto de consola antes de iniciar

la sesión por telnet.

3. Para configurar el switch, conecte el puerto de red del PC a uno de los

puertos del switch a través de la LAN

PC por donde se

iniciara la sesión

telnet Puerto Ethernet

Servidor

Ethernet

Configuración por medio de una sesión telnet

17

4. Ejecute Telnet en la PC e introduzca la dirección IP de la VLAN conectada al

puerto de red de la PC.

5. Antes de ingresar se solicita al usuario que introduzca el ID de usuario y la

contraseña de ingreso. Después de introducir la contraseña correctamente

automáticamente se ingresara al modo de configuración de visita.

Si al ingresar se muestra el siguiente mensaje “All user interfaces are used,

please try later!”, que en español se traduce como “Están en uso todas las

interfaces de usuario, inténtelo más tarde”. Este mensaje aparece cuando hay

demasiados usuarios conectados al switch a través de Telnet. En el switch el

número máximo de usuarios conectados simultáneamente es 5.

Tenga en cuenta los siguientes puntos:

Al configurar el switch a través de telnet, no modificar la dirección IP, la

modificación puede finalizar la conexión.

De forma predeterminada, cuando un usuario Telnet inicia sesión en el switch

el nivel de acceso de comandos será de nivel 0.

Inicio de sesión telnet en un switch a través de otro switch

Después que un usuario ha iniciado sesión en un switch, es posible configurar otro

switch a través de este, por medio de telnet. Si los puertos que conectan estos dos

switches pertenecen a la misma red y sus direcciones IP están configuradas

correctamente podrá iniciar una sesión telnet, de lo contrario debe establecer una

ruta para comunicar ambos switches entre sí.

Switch local Switch remoto

Configuración por inicio de sesión telnet en un switch a través de otro switch

PC

18

Realice el siguiente procedimiento para configurar el switch por medio de una

sesión telnet a través de otros switch.

1. Autentificar el usuario telnet a través del puerto de consola en el switch local,

antes de iniciar la sesión.

2. Iniciar la sesión telnet en la PC

3. Dentro de la interfaz de línea de comando digite el comando telnet seguido

de la dirección IP del switch remoto.

<SW5500> telnet dirección IP

Puede ingresar utilizando el nombre del switch remoto. Utilice el comando ip

host, para ingresar con el nombre del switch.

4. Antes de ingresar se solicita al usuario que introduzca el ID de usuario y la

contraseña de ingreso. Después de introducir la contraseña correctamente

automáticamente se ingresara al modo de configuración de visita.

Si al ingresar se muestra el siguiente mensaje “All user interfaces are used,

please try later!”, que en español se traduce como “Están en uso todas las

interfaces de usuario, inténtelo más tarde”. Este mensaje aparece cuando hay

demasiados usuarios conectados al switch a través de Telnet. En el switch el

número máximo de usuarios conectados simultáneamente es 5.

19

INTERFAZ DE LÍNEA DE COMANDOS

La familia del switch 5500 ofrece una serie de comandos de configuración y

administración. La interfaz de línea de comandos tiene las siguientes

características:

Configuración local a través del puerto de consola.

Configuración remota a través de telnet o SSH.

Configuración remota a través de un modem de acceso telefónico para

conectarse al switch.

Protección de comandos jerárquica para evitar que los usuarios no

autorizados hagan usos de estos.

Ayuda en línea.

Comandos de prueba como ping para solucionar problemas de red.

Información detallada para ayudar solucionar problemas de red.

Capacidad para acceder y gestionar directamente los demás switches

utilizando el comando telnet.

Servicios de FTP.

Historial de comandos ejecutados.

Interprete de comandos.

Generalidades

Clasificación de los comandos

La familia del switch 5500 ofrece una protección de comandos jerárquica para evitar

que usuarios no autorizados accedan de manera ilegal.

Los comandos se clasifican de la siguiente manera:

Nivel de visita: Los comandos de este nivel incluyen herramientas de

diagnóstico de red como ping y tracert .Configuración del idioma de la

interfaz del usuario como lo es el comando lenguaje-mode.

20

Nivel de control: Los comandos de este nivel incluyen el comando display

y el comando debugging. Se utiliza para el mantenimiento en el sistema,

supervisión de las fallas de los servicios y diagnósticos.

Nivel de sistema: Los comandos en este nivel incluyen comandos de

configuración de servicios, incluyendo órdenes de enrutamiento y se utiliza

para proporcionar un servicio de red directa al usuario.

Nivel de gestión: Los comandos de este nivel son aquellos que influyen en

la operación de los servicios de FTP, TFTP, Xmodem, servicios de

administración y ajustes de nivel.

Clasificación del acceso a usuarios

El acceso a usuarios también se clasifica en cuatro niveles relacionados con los

tipos de comando, los cuales son:

Nivel de acceso a usuario 0, para el nivel de comandos de visita

Nivel de acceso a usuario 1, para el nivel de comandos de control

Nivel de acceso a usuario 2, para el nivel de comandos de sistema

Nivel de acceso a usuario 3, para el nivel de comandos de gestión

Después de que los diferentes usuarios se registran con alguno de estos niveles,

solo pueden utilizar los comandos del nivel asignado y de los comandos de los

niveles inferiores al nivel asignado.

Para evitar que los usuarios no autorizados cambien de nivel, se solicitara al usuario

cuando cambie de un nivel inferior a un nivel superior.

Ingrese el siguiente comando para cambiar de nivel de comandos.

Operación Comando

Cambiar el nivel del usuario super Nivel al que desea acceder

21

Parametros:

Nivel al que desea acceder: Especifica el nivel al que el usuario desea acceder

Para la autentificación del ID de usuarios se necesitara la contraseña de ingreso

para nivel superior

Parametros:

Nivel al que desea acceder: Especifique el nivel al que usuario se le pedirá la

contraseña cuando pretenda acceder.

Simple: Especifica una contraseña de texto plano

Cipher: Especifica una contraseña de texto cifrado

Contraseña de ingreso: Especifica la contraseña de ingreso del usuario

En aras de la confidencialidad, la contraseña no puede ser vista en la pantalla. Solo

cuando la contraseña se escriba correctamente tres veces, puede el usuario

cambiar a un nivel más alto. De lo contrario, el nivel de usuario original se mantendrá

sin cambios.

Modos de configuración

Diferentes modos de configuración se implementan de acuerdo a las diferentes

necesidades, esos modos están relacionados entre sí. Por ejemplo después de

acceder al switch, se ingresa al modo de configuración de visita, en el que solo se

puede usar algunas funciones básicas tales como la visualización de la información

de estado y estadísticas de funcionamiento. En este modo se puede ingresar al

Operación Comando

Configurar contraseña de ingreso super password level Nivel al que

desea acceder { simple | cipher }

contraseña de ingreso

22

modo de configuración de sistema, en el que se pueden introducir diferentes

comandos de configuración e ingresar a diferentes modos de configuración.

La interfaz de línea de comandos ofrece los siguientes modos de configuración:

Para ingresar y salir de los diferentes modos de configuración que proporciona el

switch 5500 es necesario conocer algunos comandos.

Visita

Sistema

Puerto

VLAN

Interfaz de VLAN

Usuario local

cliente FTP

Clave pública RSA

Código de clave RSA

PIM

RIP

OSPF

Área OSPF

Política de ruta

ACL básica

ACL avanzada

ACL capa 2

ACL definido por el usuario

Perfil QoS

Servidor de grupo RADIUS

Dominio ISP

23

A continuación se describen los modos de configuración más relevantes para este

manual:

Modo de configuración de vista

Muestra la información básica acerca de las operación y estadísticas del switch

Vista Comando de ingreso

<SW5500>

A este modo de configuración se ingresa después de

conectarse al switch

Comando de salida

El comando quit desconecta el switch

Modo de configuración de sistema

Configura los parámetros del sistema


[SW5500]

Ejecute el comando system-view en el modo de

configuración de vista

Comando de salida

El comando quit o return nos regresa al modo de

configuración de vista

24

Modo de configuración de puerto

Configura los parámetros de los puertos Ethernet


Ejemplo

[SW5500-Ethernet1/0/1]

Ejecute el comando interface en el modo de

configuración de sistema.

Ejemplo: Interface Ethernet 1/0/1

Comando de salida

El comando quit nos regresa al modo de

configuración de sistema

El comando return nos regresa al modo de

configuración de visita

Modo de configuración de VLAN

Configura los parámetros de VLAN


Ejemplo

[SW5500-Vlan1]

Ejecute el comando vlan en el modo de configuración

de sistema.

Ejemplo: vlan 1

Comando de salida





25

Modo de configuración de interfaz VLAN

Configura los parámetros de la interfaz de VLAN


Ejemplo

[SW5500-Vlan-interface1]

Ejecute el comando interface vlan-interface en el

modo de configuración de sistema.

Ejemplo: interface vlan-interface 1

Comando de salida





Modo de configuración de usuario local

Configura los parámetros del usuario local


Ejemplo

[SW5500-luser-user1]

Ejecute el comando local-user en el modo de


Ejemplo: local-user user1

Comando de salida





26

Modo de configuración de interfaz de usuario

Configura los parámetros de la interfaz de usuario


Ejemplo

[SW5500-ui-vty0]

Ejecute el comando user-interface en el modo de


Ejemplo: user-interface vty 0

Comando de salida





Modo de configuración de clave pública RSA

Configurar la clave pública RSA para un usuario SSH


[SW5500-rsa-public-

key]

Ejecute el rsa peer-public-key en el modo de


Ejemplo: rsa peer-public-key sw550003

Comando de salida

El comando peer-public-key end nos regresa al modo

de configuración de sistema

27

Modo de configuración del código de clave RSA

Edita la clave pública RSA para un usuario SSH


[SW5500-rsa-public-

key]

Ejecute el public-key-code begin en el modo de

configuración de Sistema

Comando de salida

El comando public-key-code end nos regresa al

modo de configuración de clave pública RSA

Modo de configuración ACL básica

Configure las reglas del ACL básico


Ejemplo

[SW5500-acl-basic-

2000]

Ejecute el comando acl number en el modo de


Ejemplo: acl number 2000

Comando de salida





28

Carteristas y funciones de la línea de comandos

Ayuda en la línea de comandos

La interfaz de línea de comandos proporciona ayuda en línea completa y parcial.

Puede obtener información de ayuda a través de los comandos de ayuda en línea,

que son:

1. Ingrese un “?” en cualquier modo de configuración para obtener todos los

comandos de ese modo de configuración.

2. Introduzca un comando con un “?” separados por un espacio, con esta

acción se logra que aparecerán los parámetros y las descripciones breves

correspondientes al comando.

[5550-EI] interface?

Aux

Ethernet

GigabitEthernet

Loopback

NULL

Vlan-interface

3. Introduzca una cadena de caracteres seguida de un “?”, Entonces todos los

comandos que coincidan con los caracteres introducidos se mostraran.

<sw5500>p?

ping

29

4. Escriba un comando seguido de una cadena de caracteres y después un

“?”, Entonces todas las palabras clave que coincidan con los caracteres

aparecerán en la pantalla.

<sw5500>display ver?

version

5. Introduzca las primeras letras de una palabra clave de un comando y pulse

la tecla TAP (tabular). Automáticamente en la siguiente línea el comando se

completara, si no encuentra algún comando relacionado con los caracteres

introducidos, nuevamente aparecerán los caracteres introducidos sin

completar.

Pausa en la interfaz de la línea de comandos

La interfaz de línea de comandos proporciona una función de pausa. Si la

información que se muestra supera la longitud de la pantalla, los usuarios tienen

tres opciones, las cuales se describen en la siguiente tabla.

Acción Función

Presione <Ctrl+C> cuando se pausa la

pantalla

Detiene la información y ejecuta el

comando

Introduzca un espacio cuando se pausa

la pantalla

Muestra la siguiente pantalla de

información

Presione enter cuando se pausa la

pantalla

Muestra la siguiente línea de

información

30

Historial de comandos

La interfaz de línea de comandos proporciona la función de historial. Los comandos

introducidos por el usuario se guardan automáticamente en la interfaz de línea de

comandos y se pueden utilizar y ejecutar en cualquier momento posterior a su

ingreso a la línea de comandos.

La memoria del historial de comandos proporciona las 10 últimas líneas ingresadas

por el usuario. Es decir, la interfaz de línea de comando almacena 10 comandos en

su historial

Las operaciones del historial de comandos se muestran en la siguiente tabla.

Operación Acción resultado

Introducir el comando

display history-

command

display history-

command

Visualizar el historial de

comandos introducidos

por el usuario

Recuperar el comando

anterior Tecla arriba o <Ctrl+P>

Recupera el comando

ingresado anteriormente


posterior Tecla abajo o <Ctrl+N>


ingresado posteriormente

31

Mensajes de error en la línea de comandos

Comandos introducidos incorrectamente generan mensajes de error que informan

a los usuarios.

1.

Unrecognized command

En español se traduce como: comando no reconocido.

Este mensaje se genera por las siguientes razones:

Si no encuentra el comando

No se puede encontrar la palabra clave

El tipo de parámetro no es valido

El valor de parámetro excede el rango

2.

Incomplete command

En español se traduce como: Comando incompleto.

Este mensaje indica al usurario que el comando introducido está incompleto por

falta de parámetros o valores.

3.

Too many parameters have been entered

En español se traduce como: Demasiados parámetros han sido introducidos.

Cuando el usuario ingresa parámetros no correspondientes con el comando este

mensaje le indicara que existen demasiados parámetros.

4.

Ambiguous command

En español se traduce como: Comando ambiguo

32

Cuando los parámetros introducidos no son específicos el sistema alertara al

usuario con este tipo de mensaje.

Edición de las características de la línea de comandos

La interfaz de línea de comandos proporciona al usuario la edición de comandos

básicos y la edición de múltiples líneas de comandos.

Tecla Función

cursor Insertar desde cualquier posición el

cursor y el cursor se mueve hacia la

derecha, si la memoria de edición todavía

tiene espacio.

Tecla de borrado Elimina el carácter anterior al cursor y el

cursor se desplaza hacia la izquierda

Tecla derecha Mueve el cursor hacia la derecha

Tecla izquierda Mueve el cursor hacia la izquierda

Tecla arriba y abajo Recuperan las líneas de historial

Tecla tabular Después de escribir una palabra

completa el sistema mostrará ayuda

parcial: si la concordancia de palabra

clave introducida es única, el sistema lo

reemplazará con la palabra completa y lo

mostrará en una nueva línea, y si no hay

una palabra clave de concordancia o la

palabra clave de concordancia no es

única, el sistema no va a hacer ninguna

modificación, pero mostrará la palabra

originalmente escrita en una nueva línea.

33

CONFIGURACIÓN DE LA INTERFAZ DE USUARIO

Interfaces de usuario

La configuración de la interfaz de usuario es otra forma proporcionada por el switch

para la configuración y la administración de los datos de los puertos.

El switch 5500 y su familia admiten los siguientes métodos de configuración.

Configuración local a través del puerto de consola.

Configuración local o remota a través de telnet o SSH por medio de un puerto

Ethernet.

Configuración remota a través de un modem de acceso telefónico por medio

del puerto de consola.

De acuerdo a los métodos de configuración mencionados anteriormente existen dos

tipos de interfaces de usuarios:

Interfaz AUX

La interfaz AUX se utiliza para iniciar secesión en el switch a través del puerto

de consola. La tela (XRN) puede tener hasta ocho interfaces de usuario AUX.

Interfaz VTY

La interfaz VTY se utiliza para acceder al switch por medio de Telnet o SSH. Un

switch puede tener un máximo de cinco interfaces VTY conectadas.

Para la familia del switch 5500, el puerto AUX y el puerto de consola son el mismo

puerto. Existe solo el tipo de interfaz de usuario AUX.

La interfaz de usuario esta numerada por el número absoluto o el número relativo.

Por número absoluto:

La interfaz AUX se enumeran entre los rangos de 0 a 7, siendo la interfaz

AUX 0, la primera interfaz de usuario.

34

La interfaz VTY se enumera después de la última interfaz de usuario AUX. El

número absoluto de la primera interfaz de usuario VTY es la VTY 8. El rango

está comprendido entre 8 a 12.

Por número relativo:

Las interfaces AUX están numeradas de igual manera que por número

absoluto.

La primera interfaz VTY es la VTY 0, la segunda interfaz VTY es VTY 1, y así

sucesivamente.

Configuraciones de la interfaz de usuario

Las configuraciones de la interfaz de usuarios que se describen en las siguientes

secciones, comprenden:

Entrar al modo de configuración de la interfaz de usuario.

Configuración del protocolo de la interfaz de usuario.

Configuración de los atributos de la interfaz AUX.

Configuración de los atributos de la terminal.

Gestión de usuarios.

Configuración de la redirección.

35

Entrar al modo de configuración de la interfaz de usuario

Utilice el comando user-interface para entrar al modo de configuración de interfaz

de usuario. Puede ingresar a una interfaz de usuario para configurarla o ingresar a

múltiples interfaces de usuario para configurarlas al mismo tiempo.

Realice la siguiente configuración en el modo de configuración de sistema.

Operación Comando

Para ingresar al modo de configuración

de una interfaz de usuario.

user-interface

Tipo Número de la interfaz

Para ingresar a múltiples interfaces

para configurarlas al mismo tiempo.

user-interface Tipo

[Primera interfaz -Última interfaz]

Parametros:

Tipo: Especifica el tipo de interfaz de usuario, que puede ser auxiliar, consola

(terminal) o VTY.

Número de la interfaz: Especifica solamente una interfaz.

Primera interfaz -Última interfaz: Especifica la primera y la última interfaz de

usuario que se desea configurar al mismo tiempo

Configuración del protocolo de interfaz de usuario

El siguiente comando se utiliza para configurar el protocolo compatible con el

usuario. Puede iniciar sesión en el switch solo a través del protocolo designado. La

configuración se hace efectiva cuando se conecta de nuevo al switch.

Realice la configuración en el modo de configuración de interfaz de usuario (Solo

aplica para interfaces VTY).

36

Operación Comando

Configurar el protocolo compatible con

la interfaz

protocolo inbound { ssh | telnet |all }

Parametros:

Ssh: Especifica que solo soporte el protocolo SSH

Telnet: Especifica que solo soporte el protocolo telnet

All: Especifica que soporte los protocolos telnet y SSH

Por defecto la interfaz de usuario es compatible con los protocolos SSH y telnet.


Si se especifica el protocolo Telnet, para asegurar una conexión exitosa a

través de telnet debe configurar la contraseña de ingreso.

Si se especifica el protocolo SSH, para asegurar una conexión exitosa, debe

configurar localmente una autentificación por esquema con el comando

authentication-mode scheme. El protocolo SSH falla si se configura en la

interfaz una autentificación por contraseña o por acceso libre.

Configuración de los atributos de la interfaz AUX

Los atributos que podemos modificar de la interfaz AUX son:

velocidad de transmisión

control de flujo

paridad

bit de parada

bits de datos

37

Realice la siguiente configuración dentro del modo de configuración de interfaz de

usuario AUX.

Configuración de la velocidad de transmisión

Operación Comando

Configure la velocidad de la trasmisión

de la interfaz

speed valor de la velocidad

Restaurar la velocidad de trasmisión

por defecto

undo speed

Parametros:

Valor de la velocidad: Especifica la velocidad de trasmisión de la interfaz de

usuario que puede ser de 300, 600, 1200, 4800, 9600, 19200,57600 o 115200

Por defecto la velocidad de transmisión es de 9600bps.

Configuración del control de flujo

Operación Comando

Configure el control de flujo en la

interfaz

flow-control { hardware | software | none

}

Restaurar el control de flujo por

defecto

undo flow-control

Parametros:

Hardware: Especifica el control de flujo por hardware

Software: Especifica el control de flujo por software

None: Especifica que no hay control de flujo

38

Por defecto el control de flujo en la interfaz es nulo, es decir no se llevara a cabo

ningún control de flujo.

Configuración de la paridad

Operación Comando

Configure el modo de paridad en la

interfaz

parity { even | mark | odd | space| none }

Restaurar el modo de paridad por

defecto

undo parity

Parametros:

Even: Especifica la paridad par

Mark: Especifica la paridad en marca

Ood: Especifica la paridad impar

Space: Especifica la paridad en espacio

None: Especifica que no se realiza paridad

De forma predeterminada no hay ningún modo de paridad, es decir ningún bit de paridad.

Configuración del bit de parada

Operación Comando

Configure el bit de parada en la

interfaz

stopbits {1 | 1.5 | 2 }

Restablecer el bit de parada por

defecto

undo stopbits

39

Por defecto la interfaz admite un bit de parada.

Configuración de los bits de datos

Operación Comando

Configure los bits de datos databit { 7 | 8 }

Restablecer los bits de datos por

defecto

undo databit

Por defecto la interfaz soporta 8 bits de datos.

Configuración de los atributos de la terminal

Los siguientes comandos se utilizan para la configuración de los atributos de la

terminal, como encendido y apagado de los servicios de la terminal, tiempo de

espera para desconexión, bloqueo de la interfaz de usuario, configuración de la

longitud de la pantalla y configuración del búfer del historial de comandos.

Realice las configuraciones mencionadas en el modo de configuración de interfaz

de usuario. La configuración del comando lock se realiza en el modo de


Encendido y Apagado de los servicios de la terminal

Después de que los servicios de la terminal de usuario se han desactivado, no se

podrá iniciar sesión de nuevo en el switch por dicha terminal. Sin embargo el usuario

conectado a través de la interfaz de usuario antes de deshabilitar el servicio de

terminal puede continuar su operación. Después de que este se desconecte no

podrá iniciar de nuevo. En esta caso, un usuario puede iniciar de nuevo sesión el

switch a través de esta terminal solo cuando el servicio este habilitado.

40

Operación Comando

Habilitar servicios shell

Deshabilitar servicios undo shell

De forma predeterminada el servicio de terminal está habilitado en todas las

interfaces de usuario.


para mayor seguridad el comando undo shell solo se podrá utilizar en las

interfaces de usuario que no sean la interfaz de usuario AUX.

no utilizar este comando en la interfaz de usuario a través de la cual se

conecta.

Se le pedirá que confirme antes de ejecutar el comando undo shell en

cualquier interfaz de usuario legal.

Tiempo de espera para la desconexión

Operación Comando

Configurar el tiempo de espera idle-timeout Minutos [ segundos ]

Deshabilitar servicios undo shell

Parametros:

Minutos: Especifica los minutos

Segundos: Especificas los segundos

De forma predeterminada, el tiempo de espera está fijado en 10 minutos en todas

la interfaces de usuario. Esto quiere decir que la interfaz de usuario se desconectara

automáticamente después de 10 minutos sin ninguna operación ejecutada por parte

del usuario.

41

Idle-timeout 0, desactiva el tiempo de espera para la desconexión.

Bloqueo de la interfaz de usuario

Esta configuración bloquea la interfaz de usuario y solicita al usuario que introduzca

la contraseña para desbloquear la interfaz. Esto hace que sea imposible para los

demás usuarios operar en la interfaz de usuario.

Operación Comando

Bloquear interfaz de usuario lock

Ajuste de la longitud de la pantalla

Si un comando muestra más de una pantalla de información, puede utilizar el

siguiente comando para establecer el número de líneas a ser visualizadas en la

pantalla y así puede ver la información con mayor comodidad.

Operación Comando

Ajuste de la longitud de la pantalla screen-length longitud de la pantalla

Restablecer el ajuste de la longitud de

la pantalla

undo screen-length

Parametros:

Longitud de la pantalla: Especifica el número de líneas que se pueden visualizar en

una pantalla

Por defecto la longitud de la pantalla es de 24 líneas

screen-length 0, desactiva el número de líneas que se pueden mostrar en la

pantalla.

42

Configuración del tamaño del búfer del historial de comandos

Operación Comando

Ajustar el tamaño del búfer history-command max-size tamaño

Restablecer el ajuste predeterminado

del búfer

undo history-command max-size

Parametros:

Tamaño: Especifica el tamaño de la memoria de historial

Por defecto el tamaño del búfer es de 10, es decir 10 comandos se guardan en el

historial de comandos.

Gestión de usuarios

La gestión de usuarios incluye la configuración del método de autentificación de

usuario para el inicio de sesión, el nivel de mando que un usuario puede usar

después de iniciar la sesión, el nivel de mando que un usuario puede acceder

después de ingresar a una interfaz específica y el nivel de comandos.

Método de autentificación

El siguiente comando se utiliza para configurar el método de autentificación de un

usuario para permitir o denegar el acceso a usuarios no autorizados.

Realice la siguiente configuración en el modo de configuración de interfaz de

usuario.

Operación Comando

Configure el método de autentificación authentication-mode

{ password | scheme }

Configure acceso libre

(sin autentificación)

authentication-mode none

43

Parametros:

Password: Especifica el método de autentificación por contraseña

Scheme: Especifica el método de autentificación por esquema

Por defecto, la autentificación de usuarios no se requiere para los usuarios

conectados a través del puerto de consola, mientras que la autentificación es

necesaria cuando ingresamos por un usuario telnet, SSH o a través de un modem

Métodos de autentificación

1. Autentificación por contraseña

Con el comando authentication-mode password, la autentificación de

usuario se hace valida cuando se ingresa una contraseña, es decir usted

necesita una contraseña de ingreso para entrar con éxito al switch.

Ingrese el siguiente comando dentro del modo de configuración de interfaz

de usuario, para crear una contraseña de acceso.

Operación Comando

Configuración de la contraseña de

autentificación

set authentication password

{ cipher | simple } Contraseña

Retirar la contraseña de autentificación undo set authentication password

Parametros:

Simple: Especifica la contraseña en texto plano. Una contraseña de texto plano es

una cadena de caracteres secuencial de no más de 16 dígitos por ejemplo H3COM

44

Cipher: Especifica la contraseña en texto cifrado. Una contraseña cifrada es una

cadena de caracteres de 24 dígitos en texto cifrado por ejemplo _ (TT8F] Y \ 5SQ =

^ Q `MAF4 <1!

Contraseña: Especifica la contraseña de ingreso. Si se encuentra en modo simple,

la contraseña debe ser en texto plano. Si se encuentra en el modo cifrado, la

contraseña puede ser en texto plano o texto cifrado.

Ejemplo:

Autentificación por contraseña cuando un usuario se conecta a través de la interfaz

VTY 0, configurar la contraseña de autentificación a 3com

[SW5500] user-interface vty 0

[SW5500-ui-vty0] authentication-mode password

[SW5500-ui-vty0] set authentication password simple 3Com

2. Autentificación por esquema

Usando el comando authentication-mode scheme. La autentificación de

esquema nos permite autentificar usuarios locales o remotos por medio del

nombre de usuario y la contraseña de ingreso de este usuario

Ejemplo:

En el siguiente ejemplo, el nombre de usuario y la contraseña de autentificación son

configurados. Realice la autentificación por esquema cuando un usuario se conecta

a través de la interfaz VTY 0. Establecer como nombre de usuario ZBR y la

contraseña de acceso 3Com.

45

[SW5500-ui-vty0] authentication-mode scheme

[SW5500-ui-vty0] quit

[SW5500] local-user ZBR

[SW5500-luser-zbr] password simple 3Com

[SW5500-luser-zbr] service-type telnet

3. Acceso libre (sin autentificación)

Para tener acceso libre solo ingrese el comando authentication-mode

none

Ejemplo:

Cree un acceso libre a las interfaces VTY

[SW5500-ui-vty0] authentication-mode none


Por defecto, se necesita la contraseña para la autentificación de los usuarios

que se conectan por telnet. Cuando no se ha configurado la contraseña el

usuario vera el siguiente mensaje “Login password has not been set!”, que

en español se traduce como “la contraseña de usuario no se ha

establecido”.

Si se utiliza el comando authentication-mode none, los usuarios que se

conecten por telnet., no requerirá que se introduzca una contraseña.

46

Ajuste el nivel de comandos que se utilizan cuando un usuario ha iniciado

sesión

El siguiente comando se utiliza para ajustar el nivel de comandos que se usa cuando

un usuario inicia la sesión.

Realice la siguiente configuración en el modo de configuración de usuario local.

Operación Comando

Ajuste el nivel de comandos utilizado

cuando se inicia sesión.

service-type { SSH | telnet | terminal

} level nivel de acceso de usuario

Restaurar la configuración

predeterminada

undo service-type

{ SSH | telnet | terminal }

Parametros:

SSH: Especifica que el usuario es un usuario SSH

Telnet: Especifica que el usuario es un usuario telnet

Terminal: Especifica que el usuario es un usuario terminal (AUX)

Level Nivel de acceso de usuarios: Especifica en nivel de comandos que tendrá

acceso este usuario.

Por defecto el nivel de comandos al que el usuario puede acceder es de nivel 1.

Ajuste del Nivel de comandos usado después de que un usuario se conecta

a una interfaz de usuario

Usted puede utilizar el siguiente comando para establecer el nivel de comandos que

tiene acceso un usuario después que inicia una sesión a partir de una interfaz de

usuario específica, de modo que un usuario es capaz de ejecutar los comandos que

especifica el nivel de comandos asignado.

Ejecute el comando en el modo de configuración de interfaz de usuario.

47

Operación Comando

Nivel de comando que se le permite al

usuario después de conectarse a la

interfaz

user privilege level

Nivel de acceso a usuarios

Restaurar el nivel de comandos

predeterminado

undo user privilege level

Parametros:

Nivel de acceso a usuarios: Especifica en nivel de comandos que tendrá acceso el

usuario en esta interfaz.

De forma predeterminada, un usuario puede acceder a los comandos en el nivel 3

después de acceder a través de la interfaz AUX y los comandos de nivel 0 después

de acceder a través de la interfaz de usuario VTY

Cuando un usuario inicia sesión en el switch, el nivel de comandos disponibles

depende de dos puntos. Uno de ellos es el nivel de comandos que el usuario está

autorizado a acceder, el otro es el nivel de comandos asignado a la interfaz de

usuario. Si los dos niveles son diferentes el primero debe adoptarse.

Por ejemplo, el nivel de comando de interfaz VTY 0 es 1, sin embargo el usuario

tiene derecho a acceder a los comandos de nivel 3, si inicia la sesión desde la

interfaz VTY 0, se puede acceder a los comandos de nivel 3.

Establecer el nivel de comandos

El siguiente comando se utiliza para configurar la prioridad de un comando

especificado en un determinado modo de configuración. Los niveles de mando

incluyen visita, control, sistema y gestión, que se identifican con 0 a 3

48

respectivamente. Un administrador asigna las autorizaciones según las

necesidades del usuario.

Realice la configuración en el modo de sistema

Operación Comando

Establecer la prioridad de comandos

en un modo de configuración

command-privilege level Nivel view

Modo Comando

Restaurar el valor predeterminado command-privilege level

Modo Comando

Parametros:

Nivel: Se especifica el nuevo nivel del comando

Modo: Se especifica el modo de configuración al que pertenece el comando

Comando: Se especifica el comando a cambiar de nivel

No cambie el nivel de comando innecesariamente ya que puede causar

inconvenientes con mantenimiento y operación.

Configuración de la redirección

Comando enviar

El siguiente comando se puede utilizar para enviar mensajes entre las interfaces de

usuario.

Ejecute el siguiente comando en el modo de configuración de visita.

Operación Comando

Configure para enviar mensajes entre

diferentes interfaces de usuarios

send { Número Tipo | all }

49

Parametros:

Tipo: Especifica el tipo de interfaz, que puede ser AUX o VTY

Número: Especifica el número de la interfaz, ya sea por número relativo o absoluto.

All: Se especifica para enviar mensajes a todas las interfaces de usuario.

Comando auto ejecutar

El siguiente comando se utiliza para ejecutar automáticamente un comando

después de iniciar sesión en el switch. Después de configurar un comando que se

ejecute de forma automática, se ejecutara automáticamente al iniciar la sesión de

nuevo. Este comando por lo general se utiliza para ejecutar automáticamente el

comando telnet en la terminal.

El comando se ejecuta dentro del modo de configuración de interfaz de usuario.

Operación Comando

Configurar la ejecución automática de

un comando

auto-execute command Comando

Deshacer la ejecución automática de un

comando

undo auto-execute command

Parametros:

Comando: Especifica el comando que se auto ejecutar en el switch

Tenga en cuenta los siguientes puntos.

Después de ejecutar este comando, la interfaz de usuario ya no puede ser

utilizada para llevar las configuraciones de rutina. Utilice el comando con

precaución.

50

Asegure de que usted será capaz de iniciar sesión en el sistema de otra forma

y cancelar la configuración, antes de utilizar el comando auto-execute

command y guardar la configuración.

Ejemplo:

Ejecutar automáticamente telnet 10.110.100.1 una vez que el usuario inicia sesión

a través de la interfaz VTY 0.

[SW5500-ui-vty0] auto-execute command telnet 10.110.100.1

Cuando un usuario inicia una sesión a través de VTY 0, el sistema se ejecutará

telnet 10.110.100.1 automáticamente.

VISUALIZACIÓN Y DEPURACIÓN DE LA INFORMACIÓN DE LA

INTERFAZ DE USUARIO

Después de la configuración anterior, utilice el comando display en cualquier modo

de configuración para mostrar el funcionamiento de la configuración de la interfaz

del usuario y para verificar el efecto de la configuración.

Use el comando free en el modo de configuración de visita para borrar una interfaz

de usuario especifica.

Borrar una interfaz de usuario especifica

Comando

free user-interface Tipo Número

Parametros:


Número: Especifica el número de la interfaz, ya sea por número relativo o

absoluto.

51

Mostrar la información de la interfaces de usuario

Comando

display user all

Parametros:

all: Muestra la información de todas las interfaces de usuario

Muestra los atributos físicos y algunas configuraciones de la interfaz de usuario

Comando

display user-interface Tipo Número

Parametros:


Número: Especifica el número de la interfaz, ya sea por número relativo o

absoluto.

Summary: Muestra el resumen de una interfaz de usuario.

52


Configuración de los puertos Ethernet.

Mostrar y depurar la información de los puertos Ethernet

Mostrar el resumen de la configuración del puerto


Mostrar información de los enlaces de agregación

Funciones de supresión de Broadcast.

Mostrar información sobre un puerto óptico específico.

CONFIGURACIÓN DE LOS PUERTOS ETHERNET

Características de los puertos Ethernet

Los puertos Ethernet del switch 5500 tienen las siguientes características:

Puertos Ethernet 10/100 BASE-T: Soportan auto detección MDI y MDI-X.

Pueden funcionar en los modos de HALF DUPLEX, FULL-DUPLEX y AUTO-

NEGOCIACIÓN. Ellos pueden negociar con otros dispositivos de red para

determinar el modo de funcionamiento y la velocidad. Así, el modo de

funcionamiento adecuado y la velocidad se configura automáticamente y el

sistema de configuración y la gestión se simplifica enormemente.

2 FUNCIONAMIENTO DE LOS

PUERTOS ETHERNET

53

Puertos Gigabit SFP: Funcionan en modo FULL DUPLEX con una velocidad

de 1000 Mbps. El modo DUPLEX se puede establecer completo (FULL-

DUPLEX) o automático (AUTO-NEGOCIACIÓN) y su velocidad se puede

ajustar a 1000 Mbps y automática.

Configuraciones de los puertos Ethernet

Las siguientes configuraciones del puerto Ethernet se describe en las siguientes

secciones:

Ingresar al modo de configuración de puerto.

Activar o desactivar un puerto Ethernet.

Ajustar un mensaje de identificación para el puerto.

Establecer el modo DUPLEX del puerto.

Ajuste de la velocidad en el puerto.

Ajuste del tipo de cable para el puerto.


Permitir o prohibir el paso de JUMBO-FRAMES en el puerto.

Ajuste de la tasa de supresión del puerto.

Ajuste del tipo de enlace del puerto.

Añadir puertos Ethernet a una VLAN especifica.

Ajuste del ID de VLAN predeterminado para el puerto.

Ajuste de la detección de LOOPBACK en el puerto.

Configuración de VCT.


Copia de la configuración del puerto a otro puerto.

54

Ingresar al modo de configuración del puerto

Para configurar el puerto es necesario ingresar al modo de configuración de puerto.


Parametros:

Tipo de interface: Especifica el tipo de interfaz del puerto Ethernet, ya sea Ethernet

o Giga Ethernet.

Número de la interface: Especifica el número del puerto en formato Ranura/sub-

Ranura/Número del puerto

Activar o desactivar un puerto Ethernet

El siguiente comando se utiliza para deshabilitar o habilitar el puerto. Puede utilizar

el siguiente comando para habilitar el puerto o para deshabilitar él envió de tráfico

por el puerto.

Realice la siguiente configuración dentro del modo de configuración de puerto.

Operación Comando

Desactivar puerto shutdown

Activar puerto undo shutdown

De manera predeterminada el puerto está activado.

Operación Comando

Ingresar al modo de configuración de

puerto

Interface { Tipo de interface Número

de la interface }

55

Ajustar un mensaje de identificación para el puerto.

Para distinguir los puertos Ethernet ingrese el siguiente comando para asignar una

descripción.

Realice la siguiente configuración dentro del modo de configuración de puerto.

Operación Comando

Ingrese un mensaje de descripción description Texto

Elimine el mensaje de descripción undo description

Parametros:

Texto: Especifica la descripción del puerto

Por defecto la descripción de puerto es una cadena de caracteres nula, es decir no

hay descripción.

Establecer el modo DUPLEX del puerto

Para configurar un puerto para que envié y reciba paquetes al mismo tiempo activar

la opción FULL DUPLEX (full), para que envié y reciba paquetes programe la

opción HALF DUPLEX (half). Si el puerto se ha establecido en modo de AUTO-

NEGOCIACION (auto) el puerto negociara el modo DUPLEX que utilizara.

Realice la siguiente configuración dentro del modo de configuración del puerto.

Operación Comando

Establezca el modo DUPLEX duplex { auto | full | half }

Restaurar el modo DUPLEX

predeterminado

undo duplex

56

Parámetro:

Auto: Se especifica para que el puerto negocio el modo DUPLEX

Full: Se especifica para que el puerto envíe y reciba paquetes al mismo tiempo

Half: Se especifica para que el puerto envié y reciba paquetes

Tenga en cuenta que los puertos 10/10BASE T Ethernet soportan FULL DUPLEX,

HALF DUPLEX y AUTO-NEGOCIACION, que se pueden ajustar según sea

necesario.

Los puertos Gigabit Ethernet soportan FULL DUPLEX y se pueden configurar para

operar FULL DUPLEX o AUTO-NEGOCIACION.

Los puertos por defecto están en modo de AUTO-NEGOCIACION (auto).

Ajuste de velocidad en el puerto

Utilice el siguiente comando para establecer la velocidad del puerto. Si se ajusta el

modo de AUTO-NEGOCIACION (auto), el puerto negociaría automáticamente la

velocidad del puerto.

Realice la siguiente configuración en el modo de configuración de puerto.

Operación Comando

Seleccione la velocidad del puerto speed {10 | 100 | 1000 | auto }

Restaure la velocidad predeterminada undo speed

Parámetro:

Auto: Se especifica para que el puerto negocio la velocidad

Tenga en cuenta que los puertos 10/100 BASE-T Ethernet soportan velocidades de

10 Mbps, 100 Mbps y AUTO-NEGOCIACION (auto), que se puede ajustar cuando

57

sea necesario. Los puertos Gigabit Ethernet soportan 1000 Mbps y puede ser

configurados para funcionar a 1000 Mbps o AUTO-NEGOCIACION (auto).

La velocidad por defecto, la velocidad del puerto está configurada en modo de

AUTO-NEGOCIACION (auto).

Ajuste del tipo de cable para el puerto

Los puertos Ethernet soportan los tipos de cable de red de conexión cruzado

(acroos) y directo (normal). Utilice el siguiente comando para configurar el tipo de

cable del puerto Ethernet.


Operación Comando

Seleccione el tipo de cable que

soportara el puerto

mdi { acroos | normal | auto }

Restaure el tipo de cable

predeterminado

undo mdi

Parámetro:

Acroos: Configura el puerto para soportar MDIX

Normal: Configura el puerto para soportar MDI

Auto: Configura el puerto para soportar MDI y MDIX

Por defecto, el tipo de cable es automático (auto-reconocido, auto). Es decir, el

sistema puede reconocer automáticamente el tipo de cable de conexión al puerto.


Después que el control de flujo está activado, el switch informa a su par si existe

una congestión, con el fin de detener él envió de paquetes. De esta manera, se

reduce la perdida de paquetes. La función de control de flujo del puerto Ethernet

puede ser activada o desactivada mediante el siguiente comando.

58


Operación Comando

Habilitar el control de flujo flow-control

Deshabilitar el control de flujo undo flow-control

De forma predeterminada el control de flujo en el puerto está activado.

Permitir o bloquear JUMBO FRAMES a través del puerto

Un puerto Ethernet puede encontrarse con tramas gigantes, superiores a la longitud

de las tramas estándares, esto sucede al trasmitir grandes cantidades de datos,

como la transmisión de archivos. Este comando puede prohibir o permitir pasar

grandes tramas Ethernet a través de un puerto.


Operación Comando

Permitir JUMBO FRAMES jumboframe enable

Prohibir JUMBO FRAMES undo jumboframe enable

De forma predeterminada, los límites de la JUMBO FRAME comprende longitudes

entre 1518 y 9216 bytes, estas se les permite pasar a través de un puerto Ethernet.

Ajuste de la tasa de supresión del puerto

Utilice los siguientes comandos para restringir el tráfico de BROADCAST,

MULTICAST y UNICAST. Una vez el trafico excede el valor establecido por el

usuario, el sistema mantendrá una adecuada relación de paquetes descartando el

exceso de tráfico, así como para suprimir la tormenta, evitar la congestión y

garantizar el servicio normal.


59

Operación Comando

Establecer en el puerto la relación de

supresión de BROADCAST

broadcast-suppression Relación pps

Ancho de banda

Restaurar la relación de supresión de

BROADCAST del puerto

undo broadcast-suppression


supresión de MULTICAST

multicast-suppression Relación pps

Ancho de banda


MULTICAST del puerto

undo multicast-suppression


supresión de UNICAST

unicast-suppression Relación pps

Ancho de banda


UNICAST del puerto

undo unicast-suppression

Parametros:

Relación: Es la relación máxima entre el tráfico de emisión que recibe el ancho de

banda total de un puerto Ethernet. Entre menor es la relación, menor es el tráfico

que se permite.

Ancho de banda: Especifica el máximo ancho de banda que se permite en el puerto

Ethernet.

De forma predeterminada, se permite que todo el tráfico pase a través, es decir, no

se realiza ninguna supresión.

Ajuste del tipo de enlace del puerto

Un puerto Ethernet puede funcionar en cuatro diferentes tipos de enlace: acceso,

troncal, hibrido y de pila. Un puerto de acceso lleva solo una VLAN, que se utiliza

para la conexión con la computadora del usuario. Un puerto troncal puede

pertenecer a más de una VLAN y recibir y enviar los paquetes de múltiples VLANs,

60

utilizado para la conexión entre los switches. Un puerto hibrido también puede

pertenecer a más de una VLAN y enviar y recibir los paquetes de múltiples VLANs,

utilizado para la conexión entre los switches y los equipos de los usuarios. La

diferencia entre un puerto hibrido y un puerto troncal es que un puerto hibrido

permite que los paquetes de múltiples VLANs puedan ser enviados sin las etiquetas

a diferencia de un puerto troncal que solo permite que los paquetes de la VLAN por

defecto sean enviados sin etiqueta.


Operación Comando

Configure el puerto como puerto de

acceso

port link-type access

Configure el puerto como puerto

troncal

port link-type hybrid

Configure el puerto como puerto

hibrido

port link-type trunk

Configure el puerto como puerto de

pila

port link-type xrn-fabric

Restablecer el tipo de acceso undo port link-type

Por defecto el tipo de enlace de todos los puertos es de acceso.


Puede configurar cuatro tipos de puertos simultáneamente en el mismo

switch, pero no se puede cambiar el tipo de puerto entre el puerto troncal,

puerto hibrido y el puerto de pila sin antes haber configurado al puerto como

un puerto de acceso. Por ejemplo, no puede configurar un puerto troncal a

un puerto hibrido directamente, primero debe configurarse como un puerto

de acceso y luego como un puerto hibrido.

61

Anadir puertos Ethernet a VLAN especificas

Utilice los siguientes comandos para agregar un puerto Ethernet a una VLAN

específica. Un puerto de acceso solo puede añadir una VLAN, mientras que los

puertos híbridos y el troncal pueden añadir a múltiples VLANS.


Operación Comando

Anadir el puerto de acceso a una

VLAN

port access vlan ID de VLAN

Remover el puerto de acceso de la

VLAN

undo port access vlan ID de VLAN

Añadir el puerto troncal a una VLAN port trunk permit vlan

{ Lista de VLANs | all }

Remover el puerto troncal de la VLAN undo port trunk permit vlan

{ Lista de VLANs | all }

Añadir el puerto hibrido a una VLAN port hybrid vlan

{ Lista de VLANs [ tagged | untagged

] }

Remover el puerto hibrido de la VLAN undo port hybrid vlan

lista de VLANs

Parametros:

ID de VLAN: Se especifica para añadir al puerto una VLAN.

Lista de VLANs: Se especifica para añadir una lista de VLANs, se puede introducir

varios ID de VLAN separados por espacios.

All: Añade todos las VLANs al puerto.

Tagged: Se especifica para que los paquetes de las VLANs se le asignen etiquetas

62

Untagged: Se especifica para que los paquetes de las VLANs no se le asignen

etiquetas

Tenga en cuenta que el puerto de acceso, se añade a una VLAN existente distinta

de la VLAN 1. La VLAN que se añade a un puerto hibrido ya tiene que existir en

el switch. Ninguna de las VLAN que se añaden al puerto troncal puede ser la

VLAN 1.

Después de añadir un puerto Ethernet a una VLAN específica, el puerto puede

enviar paquetes de esta VLAN. En los puertos híbridos y troncales se pueden

agregar múltiples VLANs logrando de este modo la intercomunicación entre pares

de VLANs. Un puerto hibrido puede configurar las etiquetas de algunos paquetes

de VLAN, con base en que los paquetes puedan ser procesados de manera

diferente.

63

Ajuste del ID de VLAN por defecto para el puerto

Debido a que el puerto de acceso solo puede añadir una VLAN, el ID de VLAN por

defecto es la VLAN a la que esta añadida este puerto. Para los puertos híbridos y

puertos troncales se pueden añadir varias VLAN, entonces se debe configurar el

ID de VLAN por defecto.

Si el ID de VLAN por defecto ha sido configurado, las tramas sin etiqueta VLAN

serán enviados a los puerto añadidos a la VLAN por defecto. Al enviar tramas con

etiqueta VLAN, si el ID de VLAN de la trama es idéntico al ID de VLAN por defecto

del puerto, el sistema eliminara la etiqueta VLAN antes de enviar la trama.

Operación Comando

Establezca el ID de VLAN por defecto

para un puerto hibrido

port hybrid pvid vlan (ID de VLAN)

Establezca el ID de VLAN por defecto

para un puerto troncal

port trunk pvid vlan (ID de VLAN)

Restaurar el ID de VLAN por defecto

para el puerto hibrido

undo port hybrid pvid

Restaurar el ID de VLAN por defecto

para el puerto troncal

undo port trunk pvid

Parametros:

ID de VLAN: Se especifica para añadir al puerto una VLAN.

De forma predeterminada, la VLAN por defecto de un puerto hibrido y el puerto

troncal es la VLAN 1 y la de puerto de acceso es la VLAN a la que esta añadido.

Tenga en cuenta que para garantizar la trasmisión de la trama de forma adecuada,

el ID de la VLAN por defecto del puerto hibrido o puerto troncal debe ser idéntica a

la del puerto hibrido o troncal que la del puerto del switch contiguo.

64

Configuración de la detección de LOOPBACK en los puertos Ethernet

El objetivo de la detección de LOOPBACK es comprobar si los puertos del switch

tienen LOOPBACK. Después de que la función de detección es activada en el

puerto Ethernet del switch, este controlara los puertos en donde se forman

LOOPBACK regularmente, el switch pondrá el puerto donde se ha detectado

LOOPBACK bajo control.

Activar o desactivar la detección de LOOPBACK en el switch y en el puerto

Utilice el siguiente comando para habilitar la detección de LOOPBACK en el puerto.

Si hay un puerto con LOOPBACK, el switch lo pondrá bajo control.

Realice la siguiente configuración en el modo de configuración de sistema y en el

modo de configuración de puerto.

Operación Comando

Activar la función LOOPBACK en el

puerto

loopback-detection enable

Desactivar la función LOOPBACK en el

puerto

undo loopback-detection enable

Varias configuraciones únicamente se activan cuando la detección de LOOPBACK

se habilita en el modo de configuración de sistema.

De manera predeterminada la detección de LOOPBACK esta desactivada.

65

Habilitar o deshabilitar la función de LOOPBACK controlado de los puertos

híbridos y troncales


Operación Comando

Activar la función de LOOPBACK

controlado en el puerto

loopback-detection control enable

Desactivar la función de LOOPBACK

controlado en el puerto

undo loopback-detection control

enable

Por defecto la detección la función de LOOPBACK controlado de los puertos

híbridos y troncales está deshabilitada.

Establezca el intervalo de tiempo de detección de LOOPBACK del puerto


Operación Comando

Establezca el intervalo de tiempo de

detección de LOOPBACK de los

puertos

loopback-detection interval-time

Tiempo

Restaurar el intervalo de tiempo

predeterminado

undo loopback-detection interval-

time

Parametros:

Tiempo:

Predeterminadamente el intervalo de detección es de 30 segundos

66

Activar la detección de LOOPBACK en las VLANs de los puertos híbridos y

troncales


Operación Comando

Activar la detección de LOOPBACK en

las VLANs de los puertos

loopback-detection per-vlan enable

Configurar el sistema para que solo

detecte LOOPBACK en la VLAN por

defecto del puerto

undo loopback-detection per-vlan

enable

Por defecto sistema detecta la VLAN por defecto en los puertos troncales e híbridos.

Mostrar la información de la detección de LOOPBACK

Ejecute el siguiente comando para mostrar la información de la detección de

LOOPBACK

Realice la ejecución en cualquier modo de configuración.

Operación Comando

Mostrar la información de la detección

de LOOPBACK

display loopback-detection

La función de detección de LOOPBACK para un puerto solo se activa cuando el

comando loopback-detection enable este habilitado en el modo de configuración

de sistema y el modo de configuración de puerto. Cuando el comando undo

loopback-detection enable se ejecuta en el modo de configuración de sistema, la

función de detección de LOOPBACK se deshabilitara para todos los puertos.

67

Configuración de VCT

La prueba de cable virtual (VCT, por sus singlas en inglés) se emplea para que el

sistema pruebe el cable conectado a la corriente eléctrica del puerto Ethernet. El

sistema mostrara los resultados de la prueba cada cinco segundos. Los elementos

de prueba son: si existe cortocircuito o circuito abierto entre el trasmisor y receptor,

y la longitud del cable en estado normal o la longitud desde el puerto hasta el punto

donde se presenta un fallo en el cable.

Operación Comando Descripción

Ejecute el comando para

ingresar al modo de


system-view --------------------------------

Ejecute el comando para

ingresar al modo de

configuración de puerto

Interface

{ Tipo-Número } --------------------------------

Ejecute VCT en el puerto

Ethernet virtual-cable-test

Por defecto esta

deshabilitada

Ejemplo:

Realice una prueba de cable virtual en el Puerto Ethernet 1/0/1

<SW5500> system-view

[SW5500] interface Ethernet 1/0/1

[SW5500] virtual-cable-test

68


Características de seguridad del puerto Ethernet

La seguridad de puerto es un mecanismo de seguridad usado para controlar el

acceso a la red. Comprende el estándar IEEE 802.1X y autentificación de

direcciones MAC. Este esquema controla el tráfico de entrada y salida del puerto,

marcando las direccione MAC contenidas en las tramas de datos y proporciona

múltiples modos de seguridad y autentificación, lo que en gran medida mejora la

seguridad y la administración del sistema.

El esquema de protección de puerto tiene las siguientes características:

Característica NTK (Need To Know): A manera de comprobar las direcciones

MAC de destino de las tramas de datos que se envían de un puerto, esta

característica garantiza que solo los dispositivos autentificados pueden

obtener tramas de datos del puerto con éxito a fin de evitar dispositivos

ilegales que puedan hurtar datos de la red.

Característica de protección contra intrusos: A manera de comprobar las

direcciones MAC de origen de las tramas de datos recibidas en el puerto,

esta función detecta paquetes ilegales y toma acciones apropiadas

(desactivación temporal o permanente del puerto o filtrada de los paquetes

con dichas direcciones MAC) para garantizar la seguridad en el puerto.

Característica de seguimiento de dispositivos: Esta característica permite

que el switch envié mensajes de captura en el caso de que paquetes

especiales (generados por las acciones de infracción ilegal de ingreso e inicio

de sesión de usuarios anormales) pasen a través del puerto. Lo que ayuda

al administrador de red.

Característica de enlace de direcciones MAC e IP a los puertos: Esta

característica permite enlazar las direcciones MAC y las direcciones IP de los

usuarios legales a determinados puertos en el switch de modo que solo los

paquetes del usuario legal puedan pasar a través de los puerto

69

correspondiente asociado a estas direcciones, mejorando así la seguridad

del sistema

Las siguientes son las configuraciones que se deben tener en cuenta a la hora de

configurar la seguridad en el puerto:





Configurar el número máximo de direcciones MAC permitidas en el puerto




Establecer el tiempo de durante el cual es sistema desactiva un puerto




Operación Comando

Habilitar la función de seguridad de

puertos en el switch

port-security enable


Realice la siguiente configuración en el modo de configuración de sistema

Operación Comando

Establecer un valor de OUI port-security OUI OUI index Índice

70

Parametros:

OUI: Especifica los primeros 24 bits de una dirección MAC.

Index índice: Índice de la OUI, en el rango de 1 a 16.



Operación Comando

Habilitar y especificar el tipo de

mensajes de captura

port-security trap { Tipo }

Parametros:

Tipo: Especifica alguno de los siguientes tipos

Addresslearned: Cuando esta activada, esta función permite que el sistema

envié un mensaje de captura cuando un puerto aprende una nueva dirección

MAC

Intrusion: Captura para tramas ilegales

dot1xlogon: Captura para una exitosa autentificación 802.1X

dot1logoff: Captura para 802.1X en caso de cierre de sesión del usuario

dot1xlogfailure: Captura para el fallo de autentificación 802.1X

Ralmlogon: Captura para una exitosa autentificación MAC

Ralmlogoff: Captura para MAC en caso de cierre de sesión del usuario

Ralmlogfailure: Captura para el fallo de autentificación MAC

Por defecto, el sistema desactiva él envió de cualquier tipo de mensaje de captura.

71



Operación Comando

Habilitar y especificar el tipo de

mensajes de captura

port-security port-mode { Modo }

Parametros:

Modo: Especifica alguno de los siguientes Modos

Autolearn: Modo de auto aprendizaje

Mac-authentication: Opera en el modo mac-autentication

Mac-else-userlogin-secure: Opera el modo mac-else-userlogin-secure

Mac-else-userlogin-secure-ext: Opera el modo mac-else-userlogin-secure-

ext

Secure: Opera el modo secure

Userlogin: Opera el modo userlogin

Userlogin-secure: Opera el modo userlogin-secure

Userlogin-secure-ext: Opera el modo userlogin-secure-ext

Userlogin-secure-or-MAC: Opera el modo userlogin-secure-or-MAC

Userlogin-secure-or-MAC-ex: Opera el modo userlogin-secure-or-MAC-ex

Userlogin-withoui: Opera el modo userlogin-withoui

Por defecto no hay ningún modo de seguridad configurado, puede configurar un

modo de seguridad que se ajuste a las necesidades del administrador de red.

72

Configurar el número máximo de direcciones MAC permitidas en el puerto


Operación Comando

Especifique el número de direcciones

MAC permitidas en el puerto

port-security max-mac-count Valor

Parametros:

Valor: Número máximo de direcciones MAC seguras que pueden introducirse en el

puerto.

Por defecto no hay límite en el número de direcciones MAC



Operación Comando

Habilitar la función y especificar el

modo de la función NTK en el puerto

port-security ntk-mode { ntkonly |

ntk-withbroadcast | ntk-withmulticast

}

Parametros:

Ntkonly: Especifica que el puerto trasmita solo los paquetes UNICAST con

direcciones MAC de destino autentificadas

Ntk-withbroadcast: Específica que el puerto trasmita solo paquetes UNICAST y

BROADCAST con direcciones MAC de destino autentificado.

Ntk-withmulticast: Específica que el puerto trasmita solo paquetes UNICAST y

MULTICAST con direcciones MAC de destino autentificado.

73

Por defecto la función NTK en el puerto esta desactivada.


Realice la siguiente configuración en el modo de configuración de puerto o el modo

de configuración de sistema

Operación Comando

Especifique la dirección MAC y la

dirección IP a enlazar

am user-bind mac-address

MAC ip-address IP [ interface Tipo

Número ]

Parametros:

MAC: Especifica una dirección MAC

IP: Especifica una dirección IP

Interface Tipo Número: Especifica el tipo y el número del puerto

Es necesario especificar el puerto asociado si se utiliza este comando en el modo

de configuración de sistema. No es necesario especificar el puerto si se utiliza este

comando en el modo de configuración de puerto debido a que la dirección MAC e

IP se asocian al puerto actual.


Realice la siguiente configuración en el modo de configuración de puerto

Operación Comando

Ajustar el modo de protección contra

intrusos

port-security intrusion-mode

{ disableport | disableport-

temporarily | blockmac }

74

Parametros:

Disableport: Se especifica para desactivar permanentemente el puerto.

Disableport-temporarily: Se especifica para desactivar temporalmente el puerto y

habilitar el puerto después de un tiempo preestablecido.

Dlockmac: Se especifica para descartar los paquetes con direcciones MAC de

origen ilegal.

Por defecto no hay modo de acción de protección contra intrusos.

Establecer el tiempo durante el cual es sistema desactiva un puerto


Operación Comando

Ajustar el tiempo de inactividad del

puerto

port-security timer disableport

Tiempo

Parametros:

Tiempo: Especifique el tiempo de inactividad del puerto

Por defecto el tiempo es de 20 segundos


Ejecute el siguiente comando para mostrar la información de seguridad del puerto.

Realice la ejecución en cualquier modo de configuración des sistema.

Operación Comando

Mostrar la información de seguridad del

puerto

display port-security Interface

Tipo Número

75

Parametros:

Tipo Número: Especifica el tipo y el número de la interfaz

El tiempo fijado por el comando port-security timer disableport timer entra en

vigor cuando el modo de desactivación temporal de puerto está configurado por el

comando port-security intrusion-mode.


Para evitar la conflictividad, la siguiente limitación en el 802.1X y la dirección MAC

se tomara después de que la autentificación de seguridad de puerto este habilitada.

El modo de control de acceso (Establecido por el comando dot1x port-

control) de forma automática los cambios están en AUTO.

El comando dot1x port-method se puede ejecutar conexito solo cuando

ningún usuario esta on-line.

Los comandos dot1x, dot1x port-method, dot1x port-control y Mac-

authentication no se pueden utilizar.

76

Copia de la configuración de puerto a otros puertos

Para mantener la configuración de otros puertos compatibles con un puerto

específico, puede copiar la configuración de ese puerto específico a otros puertos.

La configuración puede incluir; configuración STP, configuraciones Qos,

configuración de VLAN, configuraciones del puerto y ajuste de LACP.


Operación Comando

Copia de la configuración del puerto

para otros puertos

copy configuration source { Tipo

Número | aggregation_group ID de

grupo origen } destination { Lista de

interfaces [ aggregation_group ID de

grupo destino] | aggregation_group ID

de grupo destino }

Parametros:

Tipo: Especifica el tipo de puerto

Número: Especifica el puerto

ID de grupo origen: Número del grupo de agregación origen. El puerto con el

número más pequeño en el grupo de agregación se utiliza como puerto de origen.

Listas de interfaces: Lista de puertos destinos (Debe introducir el tipo y el Número

de la interfaz). Puede introducir varias interfaces separadas por espacios.

ID de grupo destino: Número de grupo de agregación de destino.

Tenga en cuenta que si el origen de copia es un grupo de agregación, tomar el

puerto con mínimo ID como la fuente y si el destino de la copia es un grupo de

77

agregación, las configuraciones de todos los puertos miembros del grupo son

idénticas a la de la fuente.

MOSTRAR Y DEPURAR LA INFORMACIÓN DE LOS PUERTOS

ETHERNET

Después de la configuración anterior, escriba el comando display en cualquier

modo de configuración para mostrar el funcionamiento de la configuración del puerto

Ethernet y para verificar el efecto de la configuración.

Introduzca el comando reset en el modo de configuración de visita para borrar la

información estadística del puerto.

Introduzca el comando loopback en el modo de configuración de puerto para

comprobar si el puerto Ethernet funciona normalmente. En el proceso de prueba de

LOOPBACK, el puerto no puede enviar tráfico. La prueba finalizara

automáticamente después de un breve periodo de tiempo.

Realizar un prueba de LOOPBACK en el puerto Ethernet

Comando

loopback { external | internal }

Parametros:

External: Realiza una prueba de bucle externo, la prueba de bucle externo puede

localizar los fallos del hardware en el puerto.

Internal: Realiza una prueba de bucle interno se realiza en el chip de conmutación

del puerto para encontrar fallas en este.

78

Ver toda la información del puerto

Comando

display interface Tipo Número

Parametros:

Tipo: Especifica el tipo de interfaz

Número: Especifica el Número de la interfaz

Mostrar la información de los puertos de una unidad especifica

Comando

display unit Unidad interface

Parametros:

Unidad: Identificador de la unidad

Mostrar la información de los puertos híbridos y troncales

Comando

display port { hybrid | trunk }

Parametros:

hybrid: Se especifica para los puertos híbridos

Trunk: Se especifica para los puertos troncales

Mostrar el estado de la detección de LOOPBACK en el puerto

Comando

display loopback detection

79

Borrar la información de las estadísticas del puerto

Comando

reset counters interface Tipo Número

Parametros:



La prueba de LOOPBACK no se puede realizar en puerto deshabilitado por

el comando shutdown. Durante la prueba de bucle, el sistema desactivara

velocidad, atributo DUPLEX, MDI y apagara la operación del puerto. Algunos

de los puertos no son compatibles con la prueba de LOOPBACK. Si se realiza

este comando en estos puertos, el sistema mostrara un indicador.

Después de que 802.1x este activado, la información del puerto no se podrá

restablecer.

80

MOSTRAR EL RESUMEN DE LA CONFIGURACIÓN DEL PUERTO

Esta version 5550 tiene un nuevo comando, que muestra un resumen de la

configuración del puerto, incluyendo el tipo de puerto, estado de enlace, velocidad

de enlace, atributo DUPLEX, tipo de enlace por defecto e ID de VLAN.


Mostrar un resumen de la

configuración del puerto

display brief interface

[ Tipo Número ]

{ begin | include |

exclude | regular-

expression }

Puede ejecutar el

comando en cualquier

modo de configuración

Parametros:


Begin: Se especifica para mostrar las entradas que comiencen con un carácter o

una cadena especifica.

Include: Se especifica para mostrar las entradas que incluyan un carácter o una

cadena especifica.

Exclude: Se especifica para mostrar las entradas que excluyan a un carácter o

una cadena especifica.

Regular-expression: Especifica una expresión regular.

81

CONFIGURACIÓN DE LA AGREGACIÓN DE ENLACES

Breve introducción a la agregación de enlaces

La agregación de enlaces es un término que significa la agrupación de varios

puertos juntos en un grupo para implementar la repartición equilibrada de tráfico

entrante o saliente entre los puertos miembros del grupo, para potenciar la fiabilidad

de la conexión entre dos equipos. La agregación de enlaces incluye la agregación

manual, agregación LACP dinámica y la agregación LACP estática.

Para los puertos miembros de un grupo de agregación, sus configuraciones básicas

deben ser las mismas. Es decir, si se trata de un puerto de enlace troncal, los otros

también tiene que ser puertos troncales, cuando se configura a un puerto de acceso,

los otros puertos deben cambiar a puerto de acceso.

La configuración básica incluye configuraciones STP, configuraciones QoS, ajuste

VLAN y ajustes de puerto.

El switch 5500-SI 28-puertos puede soportar hasta 14 grupos de agregación, el

switch 5500-SI 52-puertos puede soportar hasta 26 grupos de agregación y la serie

switch 5500-EI admite hasta 32 grupos de agregación. Cada grupo puede tener un

máximo de 8 puertos Ethernet de 100Mbps o cuatro puertos Gigabit SFP. Para la

serie switch 5500-SI, los puertos en un grupo de agregación deben pertenecer

físicamente a la misma unidad, pero la serie switch 5500-EI, un grupo de agregación

puede contener puertos que pertenecen físicamente a diferentes unidades.

Breve introducción a LACP

Basado en el estándar IEEE 802.3ad el protocolo de control de agregación de

enlaces (LACP) implementa dinámicamente agregación y desagregación de

enlaces y los intercambios de información entre los switches a través de la unidad

de datos de LACP (LACPADU). Cuando LACP está activo en el switch, el puerto

notificara a través del envió de la LACPADU al switch contiguo, la prioridad del

sistema, MAC, prioridad de puerto, número del puerto y clave de operación. Al

82

recibir esta información, el switch contiguo compara la información recibida con la

que se almacena en otros puertos para determinar que puertos pueden ser

agregados, de manera que los switches puedan ponerse de acuerdo en añadir o

borrar el puerto en un determinado grupo de agregación dinámica.

La clave de operación es un conjunto de configuraciones generadas por LACP

basado en la configuración del puerto (Velocidad, modo DUPLEX, configuración

básica y clave de gestión). Cuando LACP es activado, la clave de gestión de un

puerto de agregación dinámica es 0 de forma predeterminada, pero la clave de

gestión de un puerto de agregación estática reside en el ID de grupo de agregación.

Para un grupo de agregación dinámica, todos los puertos miembros deben terne la

misma clave de operación, mientras que para un grupo de agregación manual o

estática, solo los puertos miembros activos deben tener la misma clave de

operación.

Tipos de agregación de enlaces

Los tipos de agregación de enlaces se describen en las siguientes secciones:

Agregación manual y agregación LACP estática.

Agregación LACP dinámica.

Agregación manual y agregación LACP estática.

La agregación manual y la agregación LACP estática requieren de configuración

manual de los grupos de agregación y prohibir la adición o eliminación automática

de los puertos miembros por el sistema. Un grupo manual y grupo de agregación

LACP estática debe contener al menos un puerto miembro y se deberá en caso

eliminación, eliminar el grupo de agregación, en lugar del puerto, solo si el grupo

contiene un solo puerto. En un puerto de agregación manual, LACP esta

desactivado y no se le permite activarlo. LACP está habilitado en puerto de

agregación estática. Cuando un grupo de agregación estática es eliminado, sus

puertos miembros forman uno o varios grupos de agregación LACP dinámica y el

83

LACP permanecen habilitado en ellos. No se permite desactivar el protocolo LACP

en un grupo de agregación estática.

En un grupo de agregación manual o agregación LACP estática, sus puertos pueden

estar en estado activo o inactivo, solo los puertos activos pueden trasmitir paquetes

de los servicios de los usuarios. El puerto activo con el número de puerto menor

sirve como el puerto principal, mientras que los otros puertos como sub-puertos.

En un grupo de agregación manual, el sistema estable los puertos en estado activo

o inactivo mediante el uso de la siguiente regla:

El sistema estable el puerto con la prioridad más alta ha estado activo y los otros a

estado inactivo basado en el siguiente orden descendente de niveles de prioridad:

1. Modo DUPLEX

FULL DUPLEX / alta velocidad

FULL DUPLEX/ baja velocidad

HALF DUPLEX/alta velocidad

HALF DUPLEX/baja velocidad

2. El sistema establece en estado inactivo los puertos que no pueden agregarse

con el puerto activo con el número de puerto menor, debido a las limitaciones

de hardware.

3. El sistema establece en estado inactivo los puertos con la configuración

básica diferente de la del puerto activo con el número de puerto mínimo.

En un grupo de agregación LACP estática, el sistema establece los puertos en

estado activo o inactivo mediante el uso de las siguientes reglas:

El sistema estable el puerto con la prioridad más alta ha estado activo y los otros a

estado inactivo basado en el siguiente orden descendente de niveles de prioridad:

1. Modo DUPLEX

FULL DUPLEX / alta velocidad

FULL DUPLEX/ baja velocidad

84

HALF DUPLEX/alta velocidad

HALF DUPLEX/baja velocidad

2. El sistema establece en estado inactivo los puertos que no pueden agregarse

con el puerto activo con el número de puerto mínimo, debido a las

limitaciones de hardware.

3. El sistema establece en estado inactivo los puertos que se conectan a

diferentes dispositivos, hasta que el puerto activo con el número mínimo se

conecte al mismo, también pondrá en estado inactivo a los puertos que se

conecten en diferentes grupos de agregación así estuvieran conectados al

switch dispositivo contiguo.

4. El sistema establece en estado inactivo los puertos con la configuración

básica diferente de la del puerto activo con el número de puerto mínimo.

Debido a que solo un número definido de puertos pueden ser soportados en un

grupo de agregación, si los puertos activos en un grupo de agregación superan el

umbral de la cantidad de puertos para el grupo, el sistema fijara algunos puertos

como puertos de reserva para esto seleccionara los puertos más pequeños (en

orden ascendente) como funcionales. Según la selección los puertos seleccionados

serán puertos funcionales y los otros puertos de reserva. Los puertos de reserva

no pueden trasmitir el tráfico del usuario.

Agregación LACP dinámica

La LACP utiliza intercambios de información entre los switches a través de los

vínculos entre estos para determinar, de manera continua, la capacidad de

agregación de los diferentes enlaces y proporcionar el máximo nivel de capacidad

de agregación posible entre los dispositivos conectados, así como facilitar el bajo

control manual del administrador de red a través de la manipulación directa de la

variables de estado de los en enlaces de agregación.

La agregación LACP dinámica se puede establecer incluso para un solo puerto a lo

que se denomina agregación de un único puerto. LACP está habilitado en los

85

puertos dinámicos de agregación, solo cuando los puertos comparten la misma

velocidad, modo DUPLEX, configuración básica y conexión con el mismo

dispositivo.

Debido a que solo un número definido de puertos pueden ser soportados en un

grupo de agregación, si los puertos en grupo de agregación superan el umbral de

cantidad de puertos para ese grupo, el sistema fijara ciertos puertos con ID de

sistema (prioridad del sistema + dirección MAC) e ID de puerto (prioridad del

puerto + número de puerto) más pequeños, los puertos que resulten

seleccionados serán puertos funcionales y los otros como puertos de reserva. Los

puertos de reserva no puede trasmitir el tráfico del usuario. Entre los puertos

seleccionados de un grupo de agregación, el puerto con el menor número de puerto

sirve como puerto maestro para ese grupo y los otros son sub-puertos.

En la comparación de ID del sistema, el sistema compara primero los valores de

prioridad del sistema, si son iguales, entonces se comparara la dirección MAC. El

ID de sistema más pequeño se le da prioridad. La comparación de los ID de puerto

sigue el mismo proceso: el sistema comparara primero la prioridad del puerto y

luego el número de puerto. El ID del puerto más pequeño se le dará prioridad. Si el

ID del sistema cambia de prioridad a no prioridad, entonces se determina el estado

funcional o reserva por la prioridad de puerto del sistema. Se puede decidir la

selección del puerto como funcional o reserva mediante el ajuste de prioridad del

sistema y prioridad del puerto.

86


La configuración de la agregación de enlaces se describe en las siguientes

secciones:

Activar o desactivar LACP.

Creación o eliminación de un grupo de agregación.

Añadir o eliminar un puerto Ethernet de un grupo de agregación.

Configuración o eliminación de la descripción de un grupo de agregación.

Configurar prioridad del sistema.

Configuración de la prioridad del puerto.

Activar o desactivar LACP

Debe configurar LACP en los puertos antes de realizar la agregación dinámica, para

que los dos switches involucrados en el enlace estén de acuerdo en añadir o borrar

puertos de un grupo de agregación LACP dinámica.


Operación Comando

Habilitar LACP en el puerto lacp enable

Deshabilitar LACP en el puerto undo lacp enable

Por defecto LACP esta deshabilitado en el puerto.


No se puede habilitar LACP en:

Puerto STACK

Puerto espejo

Puerto con una dirección MAC estática configurada.

Puerto con ARP estática configurada.

87

Puerto con 802.1X habilitada.

Puerto en un grupo de agregación manual.

Puede agregar un puerto habilitado con LACP en un grupo de agregación manual,

pero LACP se desactivara en forma automática. O puede agregar un puerto con

LACP deshabilitado en grupo de agregación LACP estática y de forma automática

la función LACP se habilitara.

El switch selecciona el puerto con el menor número de puerto como el puerto

principal del grupo de agregación. Esta regla se aplica a todos los grupos de

agregación.

Creación y eliminación de un grupo de agregación.

Utilice el siguiente comando para crear un grupo de agregación manual o un grupo

de agregación LACP estática, pero el grupo de agregación LACP dinámica es

creado por el sistema cuando LACP está habilitado en los puertos. También puede

borrar un grupo de agregación existente. Cuando se elimina un grupo de agregación

manual todos sus puertos miembros se desagregan, cuando se elimina un grupo de

agregación LACP estática o dinámica, sus puertos miembros forman uno o varios

grupos de agregación LACP dinámica.


Operación Comando

Crear un grupo de agregación link-aggregation group

ID de grupo mode { manual | static }

Eliminar un grupo de agregación undo link-aggregation group

ID de grupo

88

Parametros:

ID de grupo: Especifica el identificador del grupo de agregación.

Manual: Especifica el grupo como un grupo de agregación manual

Static: Especifica el grupo como un grupo de agregación estática

El switch selecciona el puerto con el número menor de puerto como el puerto

principal del grupo de agregación. Esta regla se aplica a todos los grupos de

agregación.

Un grupo de agregación manual o estática puede tener hasta ocho puertos.

Para cambiar un grupo de agregación dinámica existente en el switch en un grupo

manual o estático ingrese el siguiente comando:

link-aggregation group ID de grupo mode

Si el número de puertos en un grupo es superior a ocho, se le indicara que se ha

producido un error en la configuración.

Si el grupo de agregación a crear ya existe, pero no contiene ningún puerto

miembro, puede sobrescribir el grupo existe, y si ya existe en el sistema y contiene

puertos miembros, entonces solo puede cambiar el grupo de agracian LACP

dinámica o LACP estática a un grupo manual, o un grupo de agregación LACP

dinámico por un grupo de agregación LACP estático. En el primer caso, LACP se

desactiva en los puertos miembros de forma automática, mientras que en el

segundo caso LACP permanecerá habilitado.

Añadir o eliminar un puerto Ethernet de un grupo de agregación.

Para añadir o eliminar puertos de un grupo de agregación manual o agregación

LACP estática ingrese el siguiente comando. La agregación o eliminación de

puertos en grupo de agregación LACP dinámica se implementa por el sistema.


89

Parametros:

ID de grupo: Especifica el identificador del grupo de agregación.


No se puede habilitar LACP en:

Puerto STACK

Puerto espejo

Puerto con una dirección MAC estática configurada.

Puerto con ARP estática configurada.

Puerto con 802.1X habilitada.

Se eliminara el grupo de agregación, en lugar del puerto si el grupo manual o el

grupo de agregación LACP estática contienen un solo puerto.

Configuración o eliminación de la descripción de un grupo de agregación


Operación Comando

Agregar un puerto Ethernet en un grupo

de agregación

port link-aggregation group

ID de grupo

Eliminar un puerto Ethernet en un grupo

de agregación

undo port link-aggregation group

ID de grupo

Operación Comando

Agregar descripción de grupo link-aggregation group ID de grupo

description descripción

Eliminar descripción de un grupo undo port link-aggregation group

ID de grupo description

90

Parametros:

ID de grupo: Especifica el identificador del grupo de agregación

Descripción: Especifica la cadena de caracteres para la descripción del grupo de

agregación.


Si se ha guardado la configuración actual con el comando save, los grupos

configurados manual o por agregación LACP estática y las correspondientes

descripciones se guardaran, pero para los grupos de agregación LACP dinámica no

se guardarán e incluso las descripciones no se restauraran.

Configurar prioridad del sistema

LACP utiliza a los identificadores del sistema para determinar si los puertos

miembros son puertos funcionales o puertos de reserva para un grupo de

agregación LACP dinámica. El ID de sistema consiste en la prioridad del sistema

con un tamaño de dos bytes y la MAC de seis bytes, es decir, ID de sistema =

prioridad del sistema + MAC. En la comparación del ID de sistema, el sistema

compara primero la prioridad del sistema, si los valores son iguales, entonces se

comparar la MAC. El ID de sistema más pequeño se le dará prioridad.

Un cambio de prioridad del sistema puede afectar los niveles de prioridad de los

puertos miembros y además su selección como puertos funcionales o puertos de

reserva


Operación Comando

Configure la prioridad de sistema lacp system-priority valor

Restablecer el valor por defecto undo lacp system-priority

91

Parametros:

Valor: Especifica la prioridad del sistema que comprende un valor entre 0 a 65535.

De manera predeterminada la prioridad del sistema es de 32768

Configuración de la prioridad del puerto

LACP comparara primero los ID de sistema y luego los ID de puertos (si los ID de

sistema son los mismos) para determinar los puertos funcionales y los puertos de

reserva para un grupo de agregación LACP dinámica. Si los puertos en un grupo de

agregación superan la cantidad de puertos, el sistema establecerá a los puertos con

los ID de puertos más pequeños como puertos funcionales y a los otros como

puertos de reserva. El ID de puerto consiste en la prioridad con un tamaño de dos

bytes y el número de puerto con tamaño de dos bytes, es decir el ID de puerto=

prioridad de puerto + número de puerto, el sistema comparara primero los valores

de prioridad de puerto y a continuación el número de puerto. El ID de puerto más

pequeño tiene prioridad.

Parametros:

Valor: Especifica la prioridad del puerto que comprende un valor entre 0 a 65535.

De manera predeterminada la prioridad del puerto es de 32768

Operación Comando

Configure la prioridad de puerto lacp port-priority valor

Restablecer la prioridad por defecto undo lacp port-priority

92

MOSTRAR INFORMACIÓN DE LOS ENLACES DE AGREGACIÓN

Escriba el comando display en cualquier modo de configuración para mostrar el

funcionamiento de la configuración de la agregación de enlaces y para verificar el

efecto de la configuración.

También puede introducir en el modo de configuración de visita el comando reset

para borrar las estadísticas de LACP del puerto y el comando debugging para

depurar LACP.

Mostrar información general de todos los grupos de agregación

Comando

display link-aggregation summary

Mostrar información específica de un grupo de agregación

Comando

display link-aggregation verbose ID de grupo

Parametros:

ID de grupo: Especifica el identificador del grupo de agregación

Mostrar el ID del sistema

Comando

display lacp system-id

Mostrar información de detallada de la agregación en el puerto

Comando

display link-aggregation interface Tipo Número to Tipo Número

Parametros:

Tipo Número to Tipo Número: Especifica el tipo y el número del rango de

interfaces de puerto.

93

Borrar estadísticas LACP en el puerto

Comando

reset lacp statistics interface Tipo Número to Tipo Número

Parametros:



Deshabilitar o habilitar la depuración de los estados LACP

Comando

(undo) debugging lacp state interface { Tipo Número to Tipo Número }

[ actor-churn | mux | partner-churn | ptx | rx | all ]

Parametros:



Actor-churn :Especifica el estado de depuración actor-churn

Mux : Especifica el estado de depuración MUX

Partner-churn: Especifica el estado de depuración Partner-churn

Ptx: Especifica el estado de depuración Ptx

Rx: Especifica el estado de depuración RX

All: Especifica todos los estados de depuración en el switch

Deshabilitar o habilitar la depuración de los paquetes LACP

Comando

(undo) debugging lacp packet interface Tipo Número to Tipo Número

Parametros:



94

Activar o desactivar la depuración de errores en la agregación de enlaces

Comando

(Undo) debugging link-aggregation error

Activar o desactivar la depuración de eventos en la agregación de enlaces

Comando

(Undo) debugging link-aggregation event

95

FUNCIONES DE SUPRESIÓN DE BROADCAST

En esta sección se describe como configurar la función se supresión de

BROADCAST global.

Puede utilizar el siguiente comando para configurar globalmente el tamaño de la

emisión de tráfico que se permite pasar a través de cada puerto Ethernet. Una vez

que el tráfico de difusión excede el umbral configurado, el sistema descarta algunos

paquetes de difusión, disminuyendo la relación de tráfico de difusión en un valor

razonable. Esto suprime las tormentas de broadcast y evita la congestión de la red

garantizando el funcionamiento normal de los servicios de la red.


Entrar al modo de

configuración de sistema system-view ---------------------------------

A modo global configurar

el tamaño de tráfico de

difusión permitido que

pasa a través de cada

uno de los puertos

Ethernet

broadcast-suppression

{ Proporción | pps Max

pps }

Por defecto, el sistema

permite que el tráfico de

difusión ocupe el 100%

del ancho de banda de

red. Es decir, no se limita

el tráfico de difusión.

Parametros:

Proporción: Ajusta el umbral de supresión de emisión del porcentaje de capacidad

de trasmisión de una interfaz Ethernet. Cuanto menor sea el porcentaje, menor será

el tráfico de difusión. El rango de valores para este parámetro es de 1 a 100.

Max pps: Especifica el número máximo de paquetes de difusión que la interfaz

puede trasmitir por segundo. En el rango de 1 a 148810.

96

La supresión de difusión configurada a nivel global con el comando broadcast-

suppression tendrá efecto en todos los puertos Ethernet en un sistema de pila

Ejemplo:

Configure la supresión de broadcast global en relación de 20. Es decir que en el

ancho de banda de la red solo el 20% se ocupado para el tráfico de difusión


[SW5500] broadcast-suppression 20

97

VER INFORMACIÓN ACERCA DE UN PUERTO ÓPTICO

ESPECÍFICO

El comando display transceiver-information interface presenta la siguiente

información acerca de un puerto óptico específico:

Tipo de hardware

Tipo de interfaz

Longitud de onda

Número de serie

Distancia de trasferencia


Mostrar información

acerca de un puerto

óptico especifico

Display

transceiver-information

interface Tipo Número

El comando se puede

ejecutar en cualquier


Parametros:

Tipo Número: Especifica el tipo y el número de la interfaz.

98


Configuración de VLAN

Mostrar y depurar la información de VLAN

Configuración de VLAN de voz

Mostrar y depurar la información de VLAN de voz

CONFIGURACIÓN DE VLAN

En este capítulo se describe como configurar una VLAN

General, VLAN

Una red de área local virtual (VLAN) crea grupos lógicos de dispositivos LAN en

segmentos para implementar grupos de trabajo virtuales. IEEE publico el estándar

802.1Q en 1999 que tenía por objeto estandarizar soluciones de implementación de

VLAN.

Usando la tecnología VLAN, se puede lógicamente dividir la LAN física en diferentes

dominios de trasmisión. Cada VLAN contiene un grupo de estaciones de trabajo con

las mismas demandas. Sin embargo, las estaciones de trabajo de una VLAN no

tienen que pertenecer al mismo segmento físico de la LAN.

Dentro de una VLAN, la difusión de tráfico UNICAST no se envía a otras VLAN. Por

lo tanto, las configuraciones de VLAN son muy útiles en el control de tráfico de la

3 FUNCIONAMIENTO

DE VLANs

99

red, ahorrando inversiones de dispositivos, simplificando la gestión de la red y

mejorado la seguridad.

Configuración de una VLAN

La configuración de la VLAN se describe en las siguientes secciones:


Adición de puertos Ethernet a una VLAN




Crear VLAN en lotes

Para configurar una VLAN, primero debe crear una VLAN de acuerdo con los

requisitos de red.


Utilice el siguiente comando para crear o eliminar una VLAN. Si existe la VLAN, será

introducido directamente al modo de configuración de VLAN. De lo contrario, se

creara primero la VLAN y luego se entrara al modo de configuración de VLAN.

Realice las siguientes configuraciones dentro del modo de configuración de sistema.

Operación Comando

Crea una VLAN y entrar al modo de

configuración de VLAN

vlan ID de VLAN

Eliminar una VLAN especifica undo vlan { ID de VLAN

[ to ID de VLAN ] | all }

100

Parametros:

ID de VLAN: Especifica el identificador para una VLAN.

To ID de VLAN: Especifica el rango de las VLAN que se pretenden eliminar del

sistema.

All: Se especifica para eliminar todas las VLAN del sistema.

La VLAN por defecto es decir la VLAN 1, no se puede eliminar.

Adicción de puertos Ethernet a una VLAN

Utilice el siguiente comando para agregar puertos Ethernet a una VLAN

Realice la siguiente configuración dentro del modo de configuración de VLAN

Operación Comando

Añadir puertos Ethernet a una VLAN port { Lista de puertos }

Remover un puerto Ethernet de una

VLAN

undo port { Lista de puertos }

Parametros:

Listas de puertos: Especifica los puertos que se añadirán a la VLAN (Recuerde

tener en cuenta el tipo y el número del puerto) se pueden agregar varios puertos

separados por espacios

Por defecto, el sistema añade todos los puertos a una VLAN por defecto, cuyo ID

es 1.


Tenga en cuenta que se puede agregar o eliminar un puerto troncal o un puerto

hibrido de una VLAN mediante el uso del comando port y undo port, en el modo

de configuración de puerto, pero no en el modo de configuración de VLAN.

101


Utilice el siguiente comando para ajustar o eliminar la descripción de la interfaz de

VLAN.

Realice la siguiente configuración en el modo de configuración de interfaz de VLAN.

Operación Comando

Establecer una cadena de caracteres

para la interfaz de VLAN

description Cadena de caracteres

Restablecer la descripción

predeterminada para la interfaz de

VLAN

undo description

Parametros:

Cadena de caracteres: Especifica una cadena de caracteres para agregar una

descripción a la VLAN.

Por defecto, la cadena de caracteres es “No description”, que se traduce al español

como “no descripción”.


Utilice el siguiente comando para crear o eliminar la interfaz de VLAN. Para poner

en práctica la función de la capa de red en la interfaz de VLAN, debe estar

configurada la dirección IP y la máscara de subred.


102

Operación Comando

Crear una nueva interfaz de VLAN y

entrar al modo de configuración de

interfaz VLAN

Interface vlan-interface ID de VLAN

Remover una interfaz de VLAN

especifica.

undo Interface vlan-interface

ID de VLAN

Parametros:

ID de VLAN: Especifica el identificador para una interfaz de VLAN (Debe ser el

mismo para la VLAN)

Se debe crear una VLAN primero antes de crear una interfaz de VLAN. Para esta

configuración el ID de VLAN tanto para la VLAN como la interfaz es el mismo.


Utilice el siguiente comando para apagar o encender una interfaz de VLAN.

Realice la siguiente configuración en el modo de configuración de interfaz de VLAN.

Operación Comando

Apagar la interfaz VLAN shutdown

Activar la interfaz VLAN undo shutdown

La operación de encendido y apagado de la interfaz de VLAN no tiene ningún efecto

sobre el estado de encendió y apagado de los puertos Ethernet de la VLAN

Por defecto, cuando todos los puertos Ethernet que pertenecen a una VLAN están

en estado inactivo, por lo tanto la interfaz VLAN también esta inactiva. Cuando hay

uno o varios puertos Ethernet activos, la interfaz Ethernet también está activo.

103

Crear VLAN en lotes

Para mejorar la eficiencia, puede crear VLANs en lotes mediante la ejecución del

siguiente procedimiento.


Ingresar al modo de

configuración de sistema system-view ---------------------------------

Crear las VLAN mediante

la especificación del

rango de ID de VLAN

vlan { ID de VLAN, inicio

[ to ID de VLAN, final ]

| all }

Necesario

Parametros:

ID de VLAN, inicio: Especifica el comienzo del rango de la creación de VLAN en

lotes

To ID de VLAN, final: Especifica el final del rango de la creación de VLAN en lotes

All: Se especifica para crear todas las VLAN disponibles en el switch

Ejemplo de una configuración de VLAN

Crear la VLAN 2 y la VLAN 3. Añadir los puertos Ethernet 1/0/1 y Ethernet 1/0/2 a

la VLAN 2 y agregue los puertos Ethernet 1/0/3 y Ethernet 1/0/4 a la VLAN 3.


[SW5500] vlan 2

[SW5500-vlan2] port Ethernet 1/0/1 to Ethernet 1/0/2

[SW5500-vlan2] quit

[SW5500] vlan 3

[SW5500-vlan3] port Ethernet 1/0/3 to Ethernet 1/0/4

[SW5500-vlan3] quit

104

Cree la VLAN 3 y configure la dirección IP 192.0.0.2 255.255.255.0 en su interfaz

de VLAN.


[SW5500] vlan 3

[SW5500-vlan3] quit

[SW5500] interface vlan-interface 3

[SW5500-vlan-interfae3] ip address 192.0.0.2 255.255.255.0

105

MOSTRAR Y DEPURAR LA INFORMACIÓN DE VLAN

Después de la configuración anterior, escriba el comando display en cualquier

modo de configuración para mostrar el funcionamiento de la configuración de VLAN,

y para verificar el efecto de la configuración.

Mostrar la información sobre la interfaz de VLAN

Comando

display interface vlan-interface ID de VLAN

Parametros:

ID de VLAN: Especifica el identificador de la interfaz de VLAN

Mostrar la información sobre VLAN

Comando

display vlan ID de VLAN { static | dynamic | all }

Parametros:

ID de VLAN: Especifica el identificador de la VLAN

static: Se especifica para mostrar las VLAN estáticas

dynamic: Se especifica para mostrar las VLAN dinámicas

all: Se especifica para mostrar todas las VLANs

106

CONFIGURACIÓN DE VLAN DE VOZ

General, VLAN de voz

La VLAN de voz está especialmente diseñado para el flujo de la voz de los usuarios.

Se distribuye en un puerto diferente al tráfico convencional.

La serie de switches 5500 determina si un paquete recibido es un paquete de voz

comprobando su dirección MAC de origen. Los paquetes de voz también puede ser

identificada por la OUI. También puede configurar el OUI o especificar el uso de una

OUI por defecto.

Una OUI (Identificador único global) es asignado a un proveedor por la IEEE, forma

los primeros 24 bits de una dirección MAC.

Una VLAN de voz puede funcionar en dos modos: modo automático y modo manual.

Puede configurar el modo de funcionamiento para una VLAN de voz de acuerdo con

el flujo de datos a través de los puertos de la VLAN de voz.

Cuando una VLAN de voz funciona en el modo automático, el switch aprende

las direcciones MAC de los paquetes enviados por el teléfono IP (Un teléfono

IP envía paquetes cuando se enciende) y añade el puerto con el teléfonos IP

unido a la VLAN de voz. Un puerto en una VLAN de voz caduca si la OUI

correspondiente no se actualiza cuando el tiempo de expira.

Cuando una VLAN de voz funciona en el modo manual, es necesario ejecutar

comandos relacionados con la agregación de un puerto a la VLAN de voz o

eliminar un puerto de la VLAN de voz.

Los paquetes de la VLAN de voz pueden enviarse por puertos troncales y puertos

híbridos. Se puede habilitar un puerto troncal o un puerto hibrido para enviar

paquetes de voz y servicio simultáneamente, permitiendo la función de VLAN de

voz para ello.

Puesto que hay varios tipos de teléfonos IP, debe asegurarse de qué modo un

puerto coincide con el teléfono IP

107

MODO AUTOMÁTICO

Teléfono IP etiquetado

Acceso: No se admite

Troncal: Soportado, pero la VLAN por

defecto del puerto conectado debe

existir y no puede ser la VLAN de voz.

Se permite que la VLAN por defecto

pueda trasmitir en el puerto conectado.

Hibrido: soportado, pero la VLAN por


existir y estar etiquetada en el listado de

VLANs que se permite pasar por la

conexión.

Teléfono IP sin etiquetar

Acceso, troncal e Hibrido no se

admiten, debido a que la VLAN

predeterminada del puerto conectada

debe ser la VLAN de voz y el puerto

conectado pertenecer a la VLAN de

voz, es decir, añadir el puerto a la VLAN

de voz manualmente.

108

MODO MANUAL

Teléfono IP etiquetado

Teléfono IP de desenmascarar

Teléfono IP sin etiquetar

Acceso: No se admite, pero si la VLAN

por defecto del puerto es la VLAN de

voz es soportado.

Troncal: Soportado, pero la VLAN por


existir y no puede ser la VLAN de voz.

Se permite que la VLAN por defecto

pueda trasmitir en el puerto conectado.

Hibrido: soportado, pero la VLAN por


existir y estar etiquetada en el listado

de VLANs que se permite pasar por la

conexión.

Los paquetes de la VLAN de voz pueden enviarse por puertos troncales y puertos

híbridos. Se puede habilitar un puerto troncal o un puerto hibrido para enviar

paquetes de voz y servicio simultáneamente, permitiendo la función de VLAN de

voz para ello.

Requisitos previos para la configuración

Crear la VLAN antes de configurar una VLAN de voz.

La VLAN 1 es la VLAN por defecto y no es necesario que se cree, pero la

VLAN 1 no puede activar la función de VLAN de voz.

109

Configuración de una VLAN de voz

La configuración de la VLAN se describe en las siguientes secciones:

Activar o desactivar las características de VLAN de voz.

Activar o desactivar las funciones de VLAN de voz en un puerto.

Ajustar o remover la OUI aprendida por la VLAN de voz.

Activar o desactivar el modo de seguridad de la VLAN de voz.

Activar o desactivar el modo automático de VLAN de voz.

Ajustar el tiempo de vida de la VLAN de voz.

Si cambia al estado de modo de seguridad, primero debe habilitar las

características de VLAN de voz globalmente

Activar o desactivar las características de VLAN de voz

Ejecute el siguiente comando en el modo de configuración de sistema.

Operación Comando

Activar las características de VLAN de

voz

voice vlan ID de VLAN enable

Desactivar las características de VLAN

de voz

undo voice vlan enable

Parametros:

ID de VLAN: Especifica el identificador para una VLAN.

La VLAN debe existir antes de habilitar las funciones de voz. No se puede eliminar

la VLAN que específica con las características de voz y solo se permite una única

VLAN de voz.

110

Activar o desactivar las funciones de VLAN de voz en un puerto

Ejecute el siguiente comando en el modo de configuración de puerto.

Operación Comando

Activar las funciones de VLAN de voz

en el puerto

voice vlan enable

Desactivar las funciones de VLAN de

voz en el puerto

undo voice vlan enable

Solo cuando las características de VLAN de voz se hayan activado en el modo de

configuración de sistema, la función de VLAN de voz en el puerto funciona con

normalidad.

Ajustar o remover la OUI aprendida por la VLAN de voz

Se puede configurar las OUI, que puede aprender la VLAN de voz utilizando el

siguiente comando, si no se ingresa ninguna OUI el sistema utilizara la dirección

OUI predeterminada.

El sistema puede aprender 16 direcciones MAC (En especial los 24 bytes de la MAC

que corresponde a la OUI).


Operación Comando

Configure la dirección OUI de la VLAN

de voz

voice vlan mac_address MAC mask

Mascara OUI description Descripción

Remover la dirección OUI de la VLAN

de voz

undo voice vlan mac_address OUI

111

Parametros:

MAC: Especifica la dirección MAC

Mascara OUI: Especifica la máscara OUI.

Descripción: Especifica una cadena de caracteres para la descripción de una OUI.

Tenemos cuatro direcciones OUI predeterminadas cuando se inicia el sistema.

OUI Descripción

00 E0 BB Teléfono 3com

00 03 6B Teléfono Cisco

00 E0 75 Teléfono Polycom

00 D0 1E Teléfono pingtel

Activar o desactivar el modo de seguridad de la VLAN de voz

En el modo de seguridad, el sistema puede filtrar el tráfico cuya fuente MAC no es

una OUI asignada a la VLAN de voz. Si el modo de seguridad esta desactivado, el

sistema no puede filtrar nada.


Operación Comando

Activar el modo de seguridad de VLAN

de voz

voice vlan security enable

Desactivar el modo de seguridad de

VLAN de voz

undo voice vlan security enable

Cuando una VLAN de voz funciona en el modo de seguridad, el dispositivo solo

permite paquetes cuyas direcciones de origen son las OUI que se pueden identificar.

112

Los paquetes que tienen como fuente direcciones que no pueden ser identificadas,

será dado de baja. Por lo tanto no se trasmite el servicio

Por defecto el modo de seguridad está activado.

Activar o desactivar el modo automático de VLAN de voz

En el modo automático, el sistema añade automáticamente el puerto a la VLAN de

voz, pero en el modo manual, el usuario tiene que realizar la operación anterior

manualmente.

Ejecute el siguiente comando en el modo de configuración de puerto.

Operación Comando

Activar el modo automático de la VLAN

de voz

voice vlan mode auto

Desactivar el modo automático de la

VLAN de voz (Activar el modo manual)

undo voice vlan mode auto

Un puerto en modo automático no se puede añadir o eliminar de una VLAN de voz.

Por defecto el modo automático está activado.

Ajustar el tiempo de caducidad de la VLAN de voz.

En el modo automático, con el siguiente comando, se puede establecer el tiempo

de caducidad de la VLAN de voz. Después que la OUI, de la dirección MAC del

teléfono IP, se caduca en el puerto, este puerto entra en fase de caducidad y se

caduca de la VLAN de voz. Si la dirección OUI no se aprende nuevamente, el puerto

se elimina de manera automática de la VLAN de voz. Este comando no funciona

en modo manual


113

Operación Comando

Establezca el tiempo de caducidad de

la VLAN de voz

voice vlan aging (Minutos)

Restaure el tiempo por defecto undo voice vlan aging

Parametros:

Minutos: Especifique el tiempo de caducidad de la OUI en la VLAN de voz

El tiempo de caducidad por defecto es de 1440 minutos

MOSTRAR Y DEPURAR LA INFORMACIÓN DE VLAN DE

VOZ

Después de completar la configuración anterior, escriba el comando display en

cualquier modo de configuración para ver el estado de configuración y el

funcionamiento de la VLAN de voz.

Mostrar el estado de la VLAN de voz

Comando

display voice vlan status

Mostrar las OUI

Comando

display voice vlan oui

Mostrar los puertos que operan en la VLAN de voz

Comando

display vlan (ID de VLAN)

Parametros:

ID de vlan: Especifica el identificador de la VLAN de voz

114

Este capítulo contiene información sobre SSH:

Introducción al SSH

Configuración SSH

Mostrar información sobre la configuración de SSH

INTRODUCCIÓN AL SSH

SSH (Secure shell) proporciona seguridad de información potente con el fin de

prevenir ataques tales como la suplantación de direcciones IP e interceptación de

la contraseña de inicio de sesión del usuario, cuando esta es trasmitida en texto

plano en un una red insegura.

Un switch puede conectarse con varios tipos de cliente, los cuales son:

SSH

SSH 2.0

SSH 1.X

Todos actualmente vigentes.

La conexión SSH se realiza a través de la LAN

4 SSH

PC, cliente SSH

Servidor

Ethernet

Switch

Servidor SSH

Estableciendo una sesión SSH a través de la LAN

115

La conexión SSH también se puede realizar a través de la WAN

El proceso de comunicación entre el servidor y el cliente incluye las siguientes cinco

etapas:

1. Negociación de la version

Estas operaciones se realizan en esta etapa:

El cliente envía la petición de conexión TCP al servidor.

Cuando se establece la conexión TCP, los dos extremos comienzan a

negociar la version SSH.

Si pueden trabajar en armonía, entran en la siguiente etapa. De lo

contrario el servidor borra la conexión TCP.

PC

PC, cliente SSH Switch

Servidor

Switch

Servidor SSH

Servidor

Ethernet local

Ethernet remota

WAN

Estableciendo una sesión SSH a través de la WAN

116

2. Negociación del algoritmo de clave


El servidor genera aleatoriamente la clave RSA y envía la clave pública al

cliente.

El cliente descifra la clave de sesión basado en la clave pública del servidor

y el número aleatorio generado localmente.

El cliente cifra el número aleatorio con la clave pública del servidor y envía el

resultado de nuevo al servidor.

El servidor descifra los datos recibidos con la clave privada del servidor para

obtener el número aleatorio del cliente.

El servidor utiliza el mismo algoritmo para calcular la clave de sesión basada

en la clave pública del servidor y el número aleatorio devuelto.

3. Método de autentificación


El cliente envía su nombre de usuario al servidor

El servidor autentifica la información del nombre de usuario del cliente. Si no

se configura ninguna autentificación para el usuario en el servidor, la

autentificación se omite y se solicita la sesión de inicio.

La información del cliente se autentifica en el servidor hasta que el proceso

se realice correctamente o la conexión se apague debido a que se exceda el

tiempo de espera para la autentificación.

Entonces ambos extremos reciben la misma clave de sesión sin la transferencia de

datos por la red, mientras que la clave se utiliza en ambos extremos para el cifrado

y el descifrado

117

Tenga en cuenta los siguientes puntos

SSH es compatible con dos tipos de autentificación:

Autentificación de contraseña

Autentificación RSA

Autentificación de contraseña

Consiste en:

El cliente envía su nombre de usuario y contraseña al servidor

El servidor compara el nombre de usuario y la contraseña recibida con los

configurados a nivel local. Se permite que el usuario inicie sesión en el switch

si el nombre de usuario y la contraseña coinciden exactamente.

Autentificación RSA

Consiste en:

Configurar la clave pública RSA del usuario del cliente en el servidor.

El cliente envía los módulos miembros de su clave pública RSA al servidor.

El servidor comprueba la validez de los módulos miembros. Si es válido, el

servidor genera un número aleatorio, que envía al cliente después de haber

sido cifrado con la clave pública RSA del cliente.

Ambos extremos calculan los datos de autentificación basado en el número

aleatorio y el ID de la sesión.

El cliente envía los datos de autentificación calculado de vuelta al servidor

El servidor compara con sus datos de autentificación obtenidos localmente.

Si coinciden exactamente se permite al usuario acceder al switch.

4. Etapa de solicitud de sesión

El cliente envía mensajes de solicitud de sesión al servidor, el cual procesa

los mensajes de solicitud.

118

5. Etapa de sesión interactiva

Ambos extremos intercambian datos hasta que finalice la sesión

CONFIGURACIÓN DE SSH

A continuación se describe el procedimiento para configurar SSH:

Configurar el protocolo soportado.

Generar un par de claves RSA locales.

Destruir el par de claves RSA locales.

Configure el modo de autentificación del usuario SSH.

Configurar el tiempo de espera de autentificación.

Establecer el número de intento de autentificación.

Asignar claves públicas para usuarios SSH.

Configurar el protocolo soportado

Para configurar el protocolo


Entrar al modo de


system-view ------------------------------

Ingresar a una o varias

interfaces de usuario

user-interface tipo

interfaz [ Ultima interfaz ]

Necesario

Configure el protocolo

soportado en la interfaz

protocol inbound ssh Opcional, por defecto el

sistema soporta telnet y

ssh

119

Parametros:

Tipo: Especifica el tipo de interfaz de usuario (Para la conexión remoto por SSH es

la interfaz VTY)

Interfaz [Última interfaz]: Especifica el rango de interfaces.


Cuando se especifica el protocolo SSH, para asegurar una conexión exitosa,

debe configurar la autentificación de usuario por modo esquema.

SSH falla si se ha configurado la autentificación por método de contraseña

de ingreso y acceso libre.

Cuando el protocolo SSH es configurado correctamente para la interfaz de

usuario, no podrá nunca más configurar el método de autentificación de la

interfaz por método de contraseña de ingreso y acceso libre.

Generar y destruir el par de claves RSA

El nombre del servidor del par de claves RSA es el nombre del switch por ejemplo:

plus-host o S5500-host.

Después de utilizar el comando, el sistema le pide que defina la longitud de la clave.

En SSH 1.x, la longitud de la clave está en el rango de 512 a 2048 bits.

En SSH 2.0, la longitud de la clave está en el rango de 1024 a 2048 bits.

120

Para generar y destruir el par de claves RSA


Entrar al modo de


system-view ------------------------------

Generar un par de claves

RSA locales

rsa local-key-pair

create

Necesario

Destruir un par de claves

RSA locales

rsa local-key-pair

destroy

Necesario


Para un éxito de inicio de sesión SSH debe generar primero los pares de

clave RSA locales.

Solo tiene que ejecutar el comando una vez, aun después de que el sistema

se reinicie.

Si utiliza este comando para generar una clave RSA para remplazar un par

de claves ya creadas, el sistema le pedirá que remplace la anterior.

Como una tela contiene varios dispositivos, es necesario ejecutar el comando

rsa local-key-pair create primero para asegurar de que todos los

dispositivos en la tela tengan un par de claves RSA.

121

Configure el modo de autentificación del usuario SSH

Los nuevos usuarios deben especificar el tipo de autentificación de lo contrario no

podrán acceder al switch


Entrar al modo de


system-view ----------------------------------

Configurar el tipo de

autentificación para el

usuario SSH

ssh user usuario

authentication-type {

password | password-

publickey | rsa | all }

Necesario

Parametros:

Usuario: Especifica el usuario SSH

Password: Se especifica para que la autentificación se haga por medio de

contraseña

Password-publickey: Se especifica para que los clientes SSH2 se autentifiquen

por contraseña y RSA

Rsa: Se especifica para que la autentificación se haga por medio de RSA

All: Se especifica para que el usuario sea autentificado en todos los modos

Tenga en cuenta lo siguiente:

Si se define el tipo de autentificación RSA, entonces la clave pública RSA

del usuario debe configurarse en el switch.

De forma predeterminada, no se especifica ningún tipo de autentificación

para un usuario nuevo, por lo que no puede acceder al switch

122

Si se especifica password-publickey al ejecutar el nombre de usuario SSH

en el comando authentication-type, los usuarios que utilizan SSHv1 pueden

iniciar sesión en el switch si pasan una de las autentificaciones, mientras que

los que utilizan SSHv2 necesitan aprobar ambas autentificaciones para

iniciar sesión en un switch.

Configurar atributos de SSH

Configure los atributos de SSH tales como

Configurar el tiempo de espera de autentificación.

Establecer el número de intento de autentificación

Para garantizar la seguridad de las conexiones SSH y evitar acciones ilegales.

Configure atributos SSH


Entrar al modo de


system-view ------------------------------

Configurar el tiempo de

espera de autentificación.

ssh server timeout

Segundo

Opcional, el tiempo de

espera predeterminado

es de 60 segundos.

Establecer el número de

intento de autentificación

ssh server

authentication-retries

Intentos

Opcional, el Numero de

intentos por defecto es de

3

Parametros:

Segundos: Especifique el tiempo de espera para la autentificación.

Intentos: Especifique el número de intentos al momento de la autentificación

123

Asignar claves públicas para usuarios SSH

No se requiere esta operación para el tipo de autenticación de contraseña.

Puede configurar las claves públicas RSA para los usuarios del cliente en el servidor

de dos maneras:

1. Modo manual

Operaciones en el cliente incluyen:

Software cliente SSH1.5/2.0-supported genera aleatoriamente parea de

claves RSA.

Software SSHKEY.EXE convierte la parte pública de la clave RSA en código

de formato PKCS.

Operaciones en el servidor se describen en la siguiente tabla:

124


Entrar al modo de


system-view ------------------------------

Entrar al modo de

configuración de clave

pública RSA

rsa peer-public-key

Nombre de la clave

Necesario

Entrar al modo de

configuración del código

de clave RSA

public-key-code begin Necesario, la clave

pública debe estar

compuesta de

hexadecimales

Regresar al modo de

configuración de clave

pública RSA

public-key-code end Necesario, el sistema

guarda los datos de la

clave pública al salir del


Regresar al modo de


peer-public-key end ------------------------------

Asignar la clave pública

para el usuario SSH

ssh user Usuario

assign rsa-key Nombre

de clave

Necesario, el nombre de

la clave es el nombre de

la clave existente

Parametros:

Nombre de la clave: Especifique un nombre para la clave RSA

Usuario: Especifique el usuario SSH

El modo manual es bastante complejo, ya que requiere del formato de conversión

con el software específico primero y luego la configuración manual.

125

2. Modo automático

Operaciones en el cliente incluyen:

Software cliente SSH1.5/2.0-supported genera aleatoriamente pares de

claves RSA.

Enviar el archivo de clave pública a la memoria flash del servidor a través de

FTP / TFTP

Operaciones en el servidor se describen en la siguiente tabla


Entrar al modo de


system-view ------------------------------

Convertir el formato y

configurar

automáticamente las

claves públicas de los

clientes

rsa peer-public-key

Nombre de la clave

import sshkey Nombre

del archivo

El nombre del archivo del

comando debe ser

coherente con el nombre

del archivo de clave

pública para ser enviado a

la memoria flash del

servidor

Parametros:

Nombre de la clave: Especifica el nombre de clave RSA

Nombre del archivo: Especifica el archivo de la clave RSA

Se recomienda el modo automático por su simplicidad.

126

MOSTRAR LA INFORMACIÓN DE LA CONFIGURACIÓN SSH

Utilizar el comando display en cualquier modo de configuración para ver el

funcionamiento de SSH, para comprobar el resultado de la configuración.

Mostrar las claves públicas del host y el servidor

Comando

display rsa local-key-pair public

Mostrar la clave pública RSA del cliente

Comando

display rsa peer-public-key { brief | keyname Nombre de la clave }

Parametros:

brief: Se especifica para mostrar en breve toda las claves publicas RSA

Keyname Nombre de la clave: Se especifica para mostrar un clave RSA

especifica

Mostrar el estado de información de la sesión SSH

Comando

display ssh server { status | session }

Parametros:

status: Muestra la información de estado del servidor

session: Muestra la información de sesión del servidor SSH

Muestra la información de SSH

Comando

display ssh user-information

Parametros:

Nombre de usuario: Especifica el nombre de usuario SSH

127


Breve introducción al ACL (Listas de control de Acceso)

Configuración de la ACL

Mostrar y depurar la información de la ACL

BREVE INTRODUCCIÓN AL ACL

Se requiere de un conjunto de reglas para que los dispositivos de la red pueden

identificar los paquetes a filtrar. Después de identificar los paquetes, el switch puede

permitir o denegar el pasa del paquete a través de él, de acuerdo con la política

definida. Las listas de control de acceso (ACL) se utilizan para implementar dicha

función.

ACL clasifica los paquetes de datos de acuerdo a una serie de reglas. El switch

verifica los paquetes de datos y acorde a las reglas de la ACL determina si envía o

descarta el paquete.

Una regla ACL incluye varios parámetros. Diferentes Parametros especifican

diferentes rangos de paquetes.

Filtrado de los datos trasmitidos por el hardware

ACL puede filtrar los datos trasmitidos por el hardware del switch. En este caso, el

orden de partida de las reglas ACL se determina por el switch. En este caso el

orden de partida definido por el usuario no será eficaz.

5 CONFIGURACIÓN

ACL

128

Filtrado de los datos trasmitidos por el software

ACL puede filtrar los datos trasmitidos por el software del switch. En este el orden

de las reglas ACL se determinan por el usuario.

Hay dos tipos de orden de partida:

Configuración (config): Sigue el orden de la configuración definida por el usuario,

Automático (auto): El sistema de clasificación automática sigue el principio depth-

first. Para definir el orden de configuración.

Una vez que el usuario especifica el orden de partida de un ACL, no se puede

modificar más adelante, a menos que todo el contenido se borra y se especifica un

nuevo orden de partida.

Nota

El principio depth-first es poner en la parte superior de la lista ACL la regla que

especifique el rango más pequeño de paquetes. Esto es implementado a través de

la comparación de las wildcard de las declaraciones. Cuanto menor sea la wildcard

menos host se pueden incluir.

Por ejemplo: la siguiente dirección con wildcard 129.102.1.1 0.0.0.0 especifica un

host, mientras que 129.102.1.1 0.0.255.255 especifica un segmento de red que

comprenden la direcciones entre 192.102.0.1 a 192.102.255.255. Entonces la

primera se pondrá de primero en la lista ACL.

129

ACLs compatibles en el switch

Existen diferentes tipos de ACL, en la siguiente tabla se ilustran los rangos de los

números para los diferentes tipos de ACL en el switch.

Tipo de ACL Rango

ACL básica 2000 a 2999

ACL avanzada 3000 a 3999

ACL de capa 2 4000 a 4999

ACL definida por el usuario 5000 a 5999

reglas ACL 0 a 65534

Para este manual solo se tratara las configuraciones de la ACL básica.

CONFIGURACIÓN DE LA ACL

La configuración de la ACL incluye:

Configuración del rango de tiempo

Definición de la ACL

Activación de la ACL

Los tres pasos anteriores deben hacerse en secuencia.

Configurar el rango de tiempo del ACL

En el proceso de la configuración del rango de tiempo, se incluye: configurar el

rango de horas-minutos, rango fechas y el rango del periodo. El rango de horas-

minutos se expresa en unidades de horas y minutos (hh:mm). El rango de fechas

se expresa en unidades de horas, minutos, día, mes y años (hh:mm día/mes/año).

El rango del periodo se expresa en días de la semana.

130

Puede utilizar el siguiente comando para establecer el rango de tiempo mediante la

realización de la siguiente configuración en el modo de configuración de sistema.

Operación Comando

Establezca un rango de tiempo time-range Nombre

{ Comienza to Termina | Día

[ from Hora de inicio-Fecha de inicio ]

[ to Finaliza-Fecha final ]

[ from hora de inicio-Fecha de inicio ]

[ to Finaliza-Fecha final ]

[ to Finaliza-Fecha final ] }

Parámetros:

Hora de inicio: Inicio de un rango de tiempo, con estructura hh:mm (Formato de 24

horas). Su valor oscila entre 00:00 a 23:59.

Finaliza: hora de finalización de un rango de tiempo, con estructura hh:mm

(Formato de 24 horas). Su valor oscila entre 00:00 a 23:59. La hora de finalización

debe ser mayor que el tiempo de inicio.

Día: Indica en que día o días de la semanas el rango de tiempo es válido. Puede

especificar varios valores, en palabras o en dígitos, separados por espacios.

Los dos formatos de días son:

Dígitos: números del 0 al 6, representan sucesivamente los días (Domingo,

lunes, martes….)

Palabras: los días de la semana inglés (Monday, Thesday….)

Adicionalmente hay ítems especiales

131

working-day: Para lunes a viernes.

off-day: Para fines de semana.

daily: Todo la semana.

From Hora de inicio-Fecha de inicio: Opcional, indica la hora de inicio y la fecha

de un rango de tiempo. El primer argumento especifica la hora del día, el segundo

argumento especifica la fecha con estructura mes/día/año, el rango del mes va de

1 a 12, el día del mes tiene un rango de 1 a 31 y el año. Si no se especifica la hora,

apenas se fije en el sistema comenzara a funcionar.

To Finaliza-Fecha final: Opcional, indica la hora de finalización y la fecha de un

rango de tiempo. El tiempo de finalización, debe ser mayor que el tiempo de inicio.

Si no se especifica, la hora de finalización, estará disponible en el sistema hasta

que el sistema se suspenda.

Cuando no se configura la hora de inicio y la hora de fin, la ejecución de la ACL será

permanente

Cuando no se configura la fecha, la ejecución de la ACL será permanente a partir

de la activación en el switch.

Definir ACL

El switch 5500 soporta varios tipos de ACL, pero solo trataremos ACL básico. Esta

sección presenta la forma de definir ACL.

Para definir ACL seguimos los pasos que se describen a continuación:

1. Ingresar al modo de configuración ACL.

2. Agregar una regla.

En ACL se pueden agregar varias reglas.

132

Tenga en cuenta los siguientes puntos

Si no se defina un rango de tiempo específico, ACL siempre funcionara

después de activado.

Mientras definimos ACL, puede utilizar el comando rule varias veces para

definir varias reglas para un ACL.

Si ACL se utiliza para filtrar o clasificar los datos trasmitidos a través del

hardware del switch, el orden de partida definido por el comando acl no será

eficaz. Si ACL se utiliza para filtrar o clasificar los datos trasmitidos a través

del software del switch, el orden de partida de las reglas de ACL será eficaz.

Una vez que el usuario especifica el orden de partida de una regla ACL, no

se podrá modificar más adelante.

El orden de partida de ACL que se está siguiendo es configurable por el

usuario.

Definir ACL básico

Las reglas del ACL básica se definen en base de la dirección IP de origen para

analizar los paquetes de datos

Utilice el siguiente comando para definir ACL básica.

Realice las siguientes configuraciones en el modo de configuraciones

correspondiente.

Entrar al modo de configuración ACL


Operación Comando

Ingresar al modo de configuración ACL acl number Número del ACL [ match-

order { config | auto } ]

133

Parámetros:

Número del ACL: Número de identificación para la ACL

Match-order: Especifica el orden de partida para las reglas ACL.

config: Se especifica que el orden de las reglas se el orden definido por el

usuario.

auto: Se especifica que el orden de las reglas sea acorde con el de depth-

first

Añadir una regla ACL

Realice la siguiente configuración en el modo de configuración ACL.

Operación Comando

Ingresar al modo de configuración ACL rule ID de regla { permit | deny }

[ source { IP y WILDCARD | any } |

fragment | logging | time-range

Nombre ]

Parámetros:

ID de regla: Identificador de la regla ACL

Deny: Descarta los paquetes coincidentes.

Permit: Permite los paquetes coincidentes.

Source: Especifica una dirección de origen.

IP WILDCARD: Direccion de fuente y wildcard (De tratarse de una dirección

de un único host puede ingresar la wildcard 0.0.0.0 o escribir simplemente 0)

any: Indica ninguna dirección de origen.

Fragment:

134

Logging: Se especifica para registrar los paquetes coincidentes.

Time-range: Especifica el rango de tiempo en que la regla entra en vigor

Borrar una regla ACL

Realice la siguiente configuración en el modo de configuración ACL.

Operación Comando

Borrar una regla ACL undo rule [ source | fragment |

logging | time-range ]

Parámetros:

ID de regla: Identificador de la regla ACL

Source: Elimina el ajuste de la dirección de origen.

Logging: Elimina el registro de los paquetes coincidentes.

Fragment:

Time-range: elimina el rango de tiempo en que la regla entra en vigor

Eliminar un ACL o todas las ACLS


Operación Comando

Eliminar una ACL o todas las ACLs undo acl

{ number Número del ACL | all }

Parámetros:

All: Mostrar todas las ACL ipv4 (básica)

Número del ACL: Muestra la información de una ACL específica.

135

Activar ACL

La ACL definida debe ser actividad en el switch para activar el filtrado ACL.

Utilice el siguiente comando para activar la ACL definida.


Operación Comando

Activar ACL en el puerto Packet-filter { inbound | outbound }

ip-group Número del ACL

Parámetros:

Inbound: Filtro de paquetes de entrada.

Outbound: Filtro de paquetes de salida.

Ip-group: Aplicar todas las reglas de una ACL tipo IP al puerto Ethernet

Número del ACL: Número de identificación para la ACL

MOSTRAR Y DEPURAR LA INFORMACIÓN DE ACL

Después de la configuración anterior, ejecute el comando display en cualquier

modo de configuración para mostrar el funcionamiento de la configuración ACL y

para verificar el efecto de la configuración.

Ejecute el comando reset en el modo de configuración de visita para borrar las

estadísticas ACL

136

Mostrar la configuración de rango de tiempo

Comando

display time-range { all | Nombre }

Parámetros:

All: Mostrar todos los rangos de tiempo existentes.

Nombre: Muestra el rango de tiempo, que coincide con ese nombre.

Mostrar información detallada acerca de un ACL

Comando

display acl { all | Numero del ACL }

Parámetros:

all: Mostrar todas las ACL ipv4 (básica)


Mostrar información del estado de ejecución de una ACL

Comando

display packet-filtrer { interface { Tipo de la interfaz-Número de la interfaz } |

unitid ID de la unidad }

Parámetros:

Interface Tipo de la interfaz-Número de la interfaz: Muestra la información sobre

el filtrado de paquetes de un puerto específico.


Unitid ID de la unidad: Muestra información sobre el filtrado de paquetes en la

unidad especificada por el ID de unidad.

137


Introducción al DHCP

Servidor DHCP

Direcciones globales del dhcp basado en grupo de un servidor DHCP

Direcciones globales del dhcp basado en grupo de un servidor DHCP

Mostrar y depurar la información del servidor DHCP

INTRODUCCIÓN AL DHCP

Con redes cada vez más grandes y con estructuras más complicadas, la falta de

direcciones IP disponibles se convierte en una situación común de los

administradores de red, que tiene que hacer frente a difícil tarea de la configuración

de la red. El protocolo de configuración dinámica de host (DHCP) se desarrolló

pensando en esa problemática.

DHCP adopta un modelo de cliente-servidor, donde los clientes DHCP envían

solicitudes a los servidores DHCP para la configuración de los parámetros de red

(Direccion IP, mascara de subred y puerta de enlace) y los servidores DHCP

responde con la información de configuración para los clientes DHCP. DHCP está

encapsulado con UDP (Protocolo de la capa de transporte del modelo OSI).

Una aplicación típica de DHCP incluye un servidor DHCP y múltiples clientes DHCP

(Como PCs y ordenadores portátiles)

6 CONFIGURACIÓN DHCP

138

Asignación de direcciones IP a través de DCHP

En esta sección encontrara información sobre la asignación de direcciones IP a

través de DHCP.

Política de asignación de direcciones IP

Actualmente, DHCP proporciona las tres siguientes políticas de asignación de

direcciones IP para satisfacer las necesidades de los diferentes clientes:

1. Asignación manual: El administrador configura manualmente las direcciones

IP del cliente DHCP el servidor DHCP. Cuando el cliente DHCP pide una

dirección IP, el servidor compara la dirección MAC y procede a asignar la

dirección IP que configuro el administrador.

2. Asignación automática: Al cliente DHCP se le asigna una dirección IP cuando

hace una solicitud por primera vez al servidor DHCP. En este método la IP

es asignada de forma aleatoria y no es configurada de antemano.

3. Asignación dinámica: El servidor DHCP asigna una dirección IP a un cliente

DHCP de forma temporal. Cuando el tiempo de asignación termina, la IP es

LAN

DHCP Cliente

DHCP Cliente DHCP Cliente

DHCP Cliente

DHCP Servidor

Aplicación típica de DHCP

139

revocada y el cliente DHCP ya no puede funcionar en la red hasta que no

solicite otra.

Preferencias DHCP en direcciones IP

El orden en el que un servidor DCHP asigna direcciones IP a los clientes DCHP son

los siguientes:

Direcciones IP que están estáticamente vinculadas a las direcciones MAC de

los clientes DHCP.

Direcciones IP que son recuperadas por los servidores DHCP, es decir

aquellas de los campos de opciones de los paquetes DHCP-REQUEST por

clientes DHCP

Las direcciones IP en un grupo de direcciones DHCP.

Direcciones IP que están vencidas o en conflicto.

SERVIDOR DHCP

Esta sección contiene información sobre la configuración de un servidor DHCP.

Uso del servidor DHCP

En general, los servidores DCHP se utilizan en las siguientes redes para asignar

direcciones IP.

Redes de gran tamaño donde el método de configuración manual se hace

muy dificultoso y es difícil de gestionar toda la red de forma centralizada.

Redes en el que el número de direcciones IP disponibles es menor que el de

los hosts. En este tipo de redes, las direcciones IP no son suficientes para

todos los hosts para obtener una dirección IP fija y el número de usuarios en

línea es limitado. En estas redes, un gran número de hosts deben obtener de

forma dinámica las direcciones IP a través de DHCP.

Redes donde solo unos pocos hosts necesitan direcciones IP fijas y la

mayoría de host no requieren de direcciones IP fijas.

140

Fundamentos DHCP

Obtener la dirección IP de forma dinámica

Un cliente DHCP se somete a las siguientes cuatro fases para obtener

dinámicamente una dirección IP desde el servidor DHCP.

Búsqueda: El cliente DHCP intenta encontrar un servidor DHCP mediante la

difusión de un paquete DHCP-DISCOVER.

Oferta: Los servidores DHCP que reciben el paquete DHCP-DISCOVER

eligen una dirección IP del conjunto de direcciones asignadas y envía un

paquete DHCP-OFFER (Contiene la información de la dirección IP y otras

información de configuración) al DHCP cliente.

Seleccionar: Si más de un servidor DHCP envía un paquete DHCP-OFFER

al DHCP cliente, el cliente DHCP solo acepta el paquete DHCP-OFFER que

primero llegue y luego emite un paquete DHCP-REQUEST que contiene la

dirección IP proveniente del paquete DHCP-OFFER.

Reconocer: Al recibir el paquete DHCP-REQUEST, el servidor DHCP envía

un paquete DHCP-ACK al cliente DHCP para confirmar la asignación de la

dirección IP al cliente DHCP o devuelve un paquete DHCP-NAK rechazando

la asignación de la dirección IP al cliente DHCP. Cuando el cliente DHPC

recibe el paquete DHPC-ACK, se trasmite un paquete ARP con la dirección

IP asignada como la dirección de destino para detectar la dirección IP

asignada.

Las direcciones IP que ofrecen otros servidores DHCP (Solo si los hay) no son

utilizadas por el cliente DHCP y todavía están disponibles para otros clientes.

Actualización de la dirección IP

Después de que un servidor DHCP asigna dinámicamente una dirección IP a un

cliente DHCP, la dirección IP se mantiene valida dentro del tiempo especificado y

será reclamada por el servidor DHCP cuando se vence el tiempo. Si el cliente DHCP

quiere utilizar la dirección IP por un periodo más largo, debe actualizarse.

141

De manera predeterminada, un cliente DHCP actualiza es uso de la dirección IP de

forma automática mediante el envío del paquete DHCP-REQUEST al servidor

DHCP, esto ocurre cuando ha trascurrido la mitad del tiempo duración. El servidor

DHCP, a su vez responde con un paquete DHCP-ACK para notificar al cliente DHCP

de la actualización del tiempo de duración de la dirección IP. De lo contrario el

servidor DHCP envía un paquete DHCP-NAK para notificar al cliente DCHP que la

dirección IP será reclamada por el servidor cuando el tiempo expire.

Modos de procesamiento de paquetes DHCP

Grupo de direcciones globales: En respuesta a los paquetes DHCP

recibidos de los clientes DHCP, el servidor DHCP elige las direcciones IP de

sus grupos de direcciones globales y le asigna una de estas a los clientes

DHCP.

Grupo de direcciones de interfaz: En respuesta a los paquetes DHCP

recibidos de los clientes DHCP, el servidor DHCP elige las direcciones IP de

los grupos de direcciones basadas en la interfaz y le asigna una de estas a

los clientes DHCP.

Troncal: Los paquetes DHCP recibidos de los clientes DHCP se envían a un

servidor DHCP externo, que a su vez asigna direcciones IP a los clientes

DHCP

Se puede especificar el modo de procesar los paquetes DHCP. Tenga en cuenta

que una interfaz puede operar en un solo modo a la vez.

Grupo de direcciones DHCP

Un grupo de direcciones DHCP contiene las direcciones IP que se asignara a los

clientes DHCP. Cuando un servidor DHCP recibe una solicitud DHCP de un cliente

DHCP, selecciona un conjunto de direcciones dependiendo de la configuración,

selecciona una dirección IP del grupo y la envía la dirección IP junto con otros

parámetros al cliente DHCP.

142

Puede configurar múltiples agrupaciones de direcciones para un servidor DHCP.

Actualmente un servidor DHCP soporta hasta 128 grupos globales de direcciones.

Tipos de grupos de direcciones

Los grupos de direcciones de un servidor DHPC se divide en dos tipos: grupo de

direcciones globales y grupo de direcciones de interfaz.

Un grupo de direcciones globales se crea mediante la ejecución del comando

dchp server ip-pool en el modo de configuración de sistema.

Si una interfaz está configurada con una dirección IP de UNICAST valida,

puede crear un grupo de direcciones de interfaz para la interfaz ejecutando

el comando dchp select interfaz en el modo de configuración de interfaz.

Las direcciones IP de un grupo de direcciones de interfaz pertenecen al

segmento de red que reside en la interfaz y están disponibles para una única

interfaz.

Estructura de un grupo de direcciones

Los grupos de direcciones de un servidor DHCP se organizan jerárquicamente en

la estructura de árbol. La raíz contiene la dirección IP del segmento de red, las

ramas tienen las direcciones IP de subred y las hojas las direcciones IP que

manualmente tienen como destino a clientes específicos. Los grupos de direcciones

que son del mismo nivel están ordenados por el orden de precedencia de

configuración.

Tal estructura permite que las configuraciones puedan ser heredadas. Es decir, las

configuraciones del segmento de red pueden ser heredadas por sus subredes,

cuyas configuraciones a su vez pueden ser heredadas por las direcciones del

cliente. Así como por ejemplo los parámetros que son comunes a todo el segmento

de red o subred, estos solo se tienen que configurar en el segmento de red o de

subred correspondiente.

143

Las siguientes son los detalles de las configuraciones de herencia:

Un grupo de direcciones recién creado hereda las configuraciones del grupo

de direcciones más antiguo.

Para un par de un grupo de direcciones entre recién creado y antiguo, cuando

se realiza una nueva configuración en el grupo de direcciones antiguo el

grupo recién creado puede heredar o no heredar esa nueva configuración:

A. El grupo de direcciones recién creado hereda la nueva configuración

si no existe esa configuración.

B. El grupo de direcciones recién creado no hereda la nueva

configuración si ya está configurada en él.

DIRECCIONES GLOBALES DEL DHCP BASADO EN GRUPO DE

UN SERVIDOR DHCP

Esta sección contiene información acerca de la configuración de las direcciones

globales del DCHP basado en grupo de un servidor DHCP

Resumen de la configuración:

Las siguientes son las configuraciones de las direcciones globales:

Habilitar DHCP

Configurar globalmente los grupo de direcciones de modo de interfaz

Configurar las interfaces de grupo de direcciones que operan en modo global

1. Estáticamente

2. Dinámicamente

Configuración del servicio DNS

Configuración de la puerta de enlace

144

Habilitar DHCP

Necesita habilitar DHCP antes de realizar otras configuraciones relacionadas con

DHCP. Solo surtirá efecto las configuraciones si DHCP está activado.


Operación Comando

Habilitar DHCP dhcp enable

De manera predeterminada DHCP está activado.

Configuración global del grupo de direcciones de interface

Se puede configurar el modo de direcciones globales sobre las interfaces

específicas o todas de un servidor DHCP. Después de eso, cuando el servidor

DHCP recibe paquetes DCHP de los clientes a través de estas interfaces, asigna

direcciones IP del grupo local de direcciones globales a los clientes DHCP.

Especificar una única interfaz


Operación Comando

Especificar para una sola interfaz dhcp select global

Para múltiples interfaces o todas la interfaces


Operación Comando

Especificar para una sola interfaz dhcp select global { interface Tipo-

Número to Tipo-Número | all }

145

Parametros:

Tipo-Número: Especifica el tipo y el número de la interfaz.

To Tipo-Número: Especifica el tipo y el número de la interfaz hasta donde se

pretende activar el comando.

All: Especifica todos las interfaces.

De manera predeterminada, un servidor DHCP asigna direcciones IP de los grupos

globales locales para los clientes DHCP en respuesta a los paquetes DHCP

recibidos de los clientes DHCP.

Configuración del modo de asignación de direcciones IP en un grupo de

direcciones globales

Se puede especificar el modo para enlazar las direcciones IP de un grupo de

direcciones globales estáticamente a un cliente DHCP o asignar direcciones IP del

grupo de forma dinámicamente para los clientes DHCP. Las dos formas de

asignación de direcciones no pueden coexistir en un grupo de direcciones DHCP.

Para la asignación dinámica de direcciones IP, es necesario especificar el rango de

las direcciones IP a ser asignadas dinámicamente. Pero para la dirección IP estática

que será enlazada a un cliente DHCP proviene de un conjunto de direcciones DHCP

especial que contiene una única dirección IP.


Algunos clientes DHCP necesitan direcciones IP fijas. Esto puede ser logrado

mediante la unión de direcciones IP a las direcciones MAC de los clientes DHCP.

Cuando un cliente DHCP solicita una dirección IP al servidor DHCP, el servidor

busca la dirección IP correspondiente a las dirección MAC del cliente DHCP y

asigna esta dirección IP al cliente DHCP. Solo una dirección IP en el grupo de global

de direcciones puede ser estáticamente enlazada a una dirección MAC.

Para configurar estáticamente ejecute los siguientes comandos:

146

Ingresar al modo de configuración de grupo DCHP

Operación Comando

Crear un conjunto de direcciones DHCP

e ingresar al modo de configuración de

un grupo DHCP

dhcp server ip-pool (Nombre del

grupo)

Parametros:

Nombre del grupo: Nombre del grupo de direcciones, que es un identificador único

del grupo.

Por defecto, no hay globalmente un grupo de direcciones DHCP creado.

Enlazar una dirección IP a la dirección MAC de un cliente DHCP

estáticamente

Dentro del modo de configuración de grupo DHCP asignamos la dirección IP y la

dirección MAC del cliente DHCP

1. Asignación de la dirección IP

Operación Comando

Configure la dirección IP para ser

estáticamente enlazada

static-bind ip-address Dirección IP [

longitud | mask mascara ]

Parametros:

Direccion IP: Direccion IP de una unión estática.

Longitud: Longitud de la máscara en formato de barra inclinada (Número de unos)

Mask mascara: Específica la máscara de la dirección IP en formato decimal con

puntos

Si no se especifica una longitud o una máscara se tomara una máscara por defecto

147

2. Configuración de la dirección MAC del cliente DCHP

Operación Comando

Configure la dirección MAC que será

enlazada con la dirección IP

static-bind mac-address Direccion

MAC

Parametros:

Direccion MAC: Direccion MAC de una vinculación estática, en el formato XX-XX-

XX-XX-XX-XX

Por defecto no existe ninguna dirección IP enlazada a la MAC de un cliente DCHP.


Las direcciones IP asignadas dinámicamente a los clientes DHCP pertenecen a las

direcciones del segmento de red configurado. En la actualidad un grupo de

direcciones solo puede contener un segmento de dirección, cuyos rangos se

determinan por la máscara de subred.

El tiempo de duración de la dirección IP puede definirse en los grupos de direcciones

y será el mismo para todas las direcciones IP del grupo. El tiempo de duración no

se hereda.

Para configurar dinámicamente ejecute los siguientes comandos:

Ingrese al modo de configuración de grupo DHCP y contiene configurando

Configure la dirección IP del segmento cuya dirección IP ha de ser asignado

dinámicamente.

Operación Comando

Configure la dirección IP para ser

estáticamente enlazada

network Dirección IP [ longitud | mask

mascara ]

148

Parametros:


Longitud: Longitud de la máscara en formato de barra inclinada (Número de unos)

Mask mascara: Específica la máscara de la dirección IP en formato decimal con

puntos.

Por defecto, ningún segmento de dirección IP se establece. Es decir, ninguna

dirección IP está disponible para ser asignada.

Configurar el tiempo de duración de la dirección IP del cliente DHCP

Operación Comando

Configure el tiempo de la dirección IP expired { day Día [ hour Hora [ minute

Minutos ] ] | unlimited }

Parametros:

Day Día: Especifica el número de días en el rango de 0 a 365.

Hour Horas: Especifica el número de horas en el rango de 0 a 23.

Minutes Minutos: Especifica el número de minutos en el rango de 0 a 59

Unlimited: Especifica la definición infinita

De forma predeterminada el tiempo de duración es de un día.

Especificar las direcciones IP que no son asignadas dinámicamente

Realice esta configuración dentro del modo de configuración de sistema

Operación Comando

Especifique las direcciones IP que no

serán asignadas dinámicamente

dhcp server forbidden-ip Direccion IP

inicial [ Direccion IP final ]

149

Parametros:

Dirección IP inicial: Dirección IP inicial del rango de direcciones IP que se excluirá

de la asignación dinámica.

Dirección IP final: Dirección IP final del rango de direcciones IP que excluirá de la

asignación dinámica.

Por defecto, todas las direcciones IP en un grupo de direcciones DHCP están

disponibles para ser asignadas dinámicamente.


Si un host tiene acceso a internet a través de los nombres de dominio. El DNS

(Sistemas de nombres de dominio) es necesario para traducir los nombres de

dominio de las direcciones IP correspondientes. Para habilitar que los cliente DHCP

puedan acceder a internet a través de los nombres de domino, se requiere un

servidor DHCP para proporcionar las direcciones del servidor DNS mientras que

asigna direcciones IP a los clientes DHCP.

Actualmente, se puede configurar hasta ocho direcciones del servidor DNS para un

grupo de direcciones DHCP.

Puede configurar el nombre de dominio para ser utilizado por los clientes DHCP

para un grupo de direcciones. Después de que se hace esto, el servidor DHCP

proporciona los nombres de dominio a los clientes DHCP así mientras primero


Ejecute los siguientes comandos en el modo de configuración de grupo DHCP.


Operación Comando

Configurar el nombre del dominio domain-name Nombre del dominio

150

Parametros:

Nombre del dominio: Nombre del dominio para los clientes DHCP.

Por defecto, ningún nombre de dominio está configurado para los clientes DHCP.

Configurar las direcciones del servidor DNS para los clientes DHCP

Operación Comando

Configurar las direcciones del servidor

DNS

dns-list Dirección IP

Parametros:

Direccion IP: Dirección IP del servidor, se pueden especificar hasta 8 direcciones

en el servidor DNS peradas por espacio.

Por defecto ninguna dirección del servidor DNS se encuentra configurada.

Configuración de la puerta de enlace de las direcciones de los clientes DHCP

Las puertas de enlace son necesarias para que los clientes DHCP puedan acceder

a servidores o host fuera del segmento de la red. Tras configurar las direcciones de

puerta de enlace en el servidor DHCP, el servidor DHCP proporciona las direcciones

de la puerta de enlace a los clientes DHCP.

Puede configurar las direcciones de la puerta de enlace para los grupos de un

servidor DHCP. Se pueden configurar hasta ocho direcciones de puerta de enlace

para un grupo de direcciones DHCP.

Realice la siguiente configuración dentro del modo de configuración de grupo DHCP

Operación Comando

Configurare la dirección de puerta de

enlace para los clientes DHCP

gateway-list Dirección IP

151

Parametros:

Direccion IP: Dirección IP de la puerta de enlace, se pueden especificar hasta 8

direcciones de puerta de enlace, separadas por espacios.

Por defecto no hay dirección de puerta de enlace configurada.

DIRECCIONES DE INTERFAZ DEL DHCP BASADO EN GRUPO DE

UN SERVIDOR DHCP

Esta sección contiene información acerca de la configuración de las direcciones de

interfaz del DHCP basado en grupo de un servidor DHCP


Se crea un grupo de direcciones de interfaz cuando la interfaz se le asigna una única

IP UNICAST valida y para esto ejecute el comando dhcp select interface en el

modo de configuración de interfaz. La dirección IP de la interfaz pertenece al

segmento de red en que reside la interfaz y se encuentra solo disponible para la

interfaz.

Puede realizar ciertas configuraciones para los grupos de direcciones DHCP de una

interfaz o múltiples interfaces dentro de los rangos especificados.

La configuración para las múltiples interfaces alivia la carga de trabajo de

configuración y permite configurar de una manera más conveniente.

Las siguientes son las configuraciones de las direcciones de interfaz

Habilitar DHCP

Configurar para asignar las direcciones IP basadas en interfaz de un grupo

de direcciones locales a los clientes DHCP.

Configurar para asignar las direcciones IP de interfaz de un grupo de

direcciones DHCP para los clientes DHCP.

1. Estáticamente

2. Dinámicamente

152

Configuración del servicio DNS

Habilitar DHCP

Necesita habilitar DHCP antes de realizar otras configuraciones relacionadas con

DHCP. Solo surtirá efecto las configuraciones si DHCP está activado.


Operación Comando

Habilitar DHCP dhcp enable

De manera predeterminada DHCP está activado.

Configuración para asignar las direcciones IP de un grupo de direcciones

basadas en la interfaz para los clientes DHCP

Puede configurar un servidor DHCP para asignar las direcciones IP de un grupo

local de direcciones basado en la interfaz a los clientes DHCP cuando reciben

paquetes DHCP de los clientes DHCP

Especificar una única interfaz


Operación Comando

Especificar para una sola interfaz dhcp select interface

Para múltiples interfaces o todas la interfaces


153

Operación Comando

Especificar para una sola interfaz dhcp select interface { interface Tipo-

Número to Tipo-Número | all }

Parametros:





De manera predeterminada, un servidor DHCP asigna direcciones IP de los grupos

globales locales para los clientes DHCP en respuesta a los paquetes DHCP

recibidos de los clientes DHCP.

Configuración para asignar direcciones IP de los grupos de direcciones IP

basado en interfaces a clientes DHCP

Se puede especificar para enlazar direcciones IP de forma estática a los clientes

DHCP o signar direcciones IP dinámicamente a los clientes DHCP, según sea

necesario. Pero las direcciones IP de un conjunto de direcciones DHCP solo pueden

ser asignadas en una de estas dos maneras.

Para la asignación dinámica de direcciones IP, es necesario especificar el rango de

las direcciones IP a ser asignadas dinámicamente. Pero para la dirección IP estática

que será enlazada a un cliente DHCP proviene de un conjunto de direcciones DHCP

especial que contiene una única dirección IP.

154


Algunos clientes DHCP necesitan direcciones IP fijas. Esto puede ser logrado

mediante la unión de direcciones IP a las direcciones MAC de los clientes DHCP.

Cuando un cliente DCHP solicita una dirección IP al servidor DHCP, el servidor

busca la dirección IP correspondiente a las dirección MAC del cliente DHCP y

asigna esta dirección IP al cliente DCHP.

Enlazar estáticamente una dirección IP a la dirección MAC de un cliente

DHCP


Operación Comando

Enlazar estáticamente un dirección IP a

la dirección MAC de un cliente DHCP

dhcp server static-bind ip-address

Dirección IP mac-address Dirección

MAC

Parametros:


Direccion MAC: Direccion MAC de una vinculación estática,


En cuenta se crea un conjunto de direcciones basado en interfaz, después de que

la interfaz se le asigna una dirección IP UNICAST. Las direcciones IP incluidas en

el grupo de direcciones pertenecen al segmento de red en el que la interfaz reside

y están disponibles solamente en la interfaz. Por lo tanto especificar el rango de las

direcciones IP que se asignara de forma dinámica es innecesaria.

El tiempo de duración de la dirección IP puede definirse en los grupos de direcciones

y será el mismo para todas las direcciones IP del grupo. El tiempo de duración no

se hereda.

155

Realice las siguientes configuraciones

Configurar el tiempo de duración de la interfaz

1. Configuración del tiempo de duración de una única interfaz


Operación Comando


Minutos ] ] | unlimited }

Parametros:






2. Configurar el tiempo de duración de múltiples interfaces


Operación Comando


Minutos ] ] | unlimited } { interface

Tipo- Número to Tipo-Número | all }

Parametros:





156






Especificar las direcciones IP que no son asignadas dinámicamente

Realice esta configuración dentro del modo de configuración de sistema

Operación Comando

Especifique las direcciones IP que no

serán asignadas dinámicamente

dhcp server forbidden-ip Direccion IP

inicial [ Direccion IP final ]

Parametros:

Dirección IP inicial: Dirección IP inicial del rango de direcciones IP que se excluirá

de la asignación dinámica.

Dirección IP final: Dirección IP final del rango de direcciones IP que excluirá de la

asignación dinámica.

Por defecto, todas las direcciones IP en un grupo de direcciones DCHP están

disponibles para ser asignadas dinámicamente.


Si un host tiene acceso a internet a través de los nombres de dominio. El DNS

(Sistemas de nombres de dominio) es necesario para traducir los nombres de

dominio de las direcciones IP correspondientes. Para habilitar que los cliente DHCP

puedan acceder a internet a través de los nombres de domino, se requiere un

servidor DHCP para proporcionar las direcciones del servidor DNS mientras que


157

Actualmente, se puede configurar hasta ocho direcciones del servidor DNS para un

grupo de direcciones DHCP.

Puede configurar el nombre de dominio para ser utilizado por los clientes DHCP

para un grupo de direcciones. Después de que se hace esto, el servidor DHCP

proporciona los nombres de dominio a los clientes DHCP así mientras primero


1. configuración del servidor DNS para una única interfaz

Ejecute los siguientes comandos en el modo de configuración de puerto.


Operación Comando

Configurar el nombre del dominio domain-server domain-name

Nombre del dominio

Parametros:

Nombre del dominio: Nombre del dominio para los clientes DHCP.

Por defecto, ningún nombre de dominio está configurado para los clientes DHCP.


Operación Comando


DNS

dchp server dns-list Dirección IP

Parametros:



158


2. configuración del servidor DNS para múltiples interfaces

Ejecute los siguientes comandos en el modo de configuración de sistema.


Operación Comando

Configurar el nombre del dominio domain-server domain-name Nombre

del dominio { interface Tipo- Número to

Tipo-Número | all }

Parametros:

Nombre del dominio: Nombre del dominio para los clientes DCHP.





Por defecto, ningún nombre de dominio está configurado para los clientes DCHP.


Operación Comando


DNS

dhcp server dns-list Dirección IP

{ interface Tipo- Número to Tipo-

Número | all }

159

Parametros:








MOSTRAR Y DEPURAR LA INFORMACIÓN DEL SERVIDOR DHCP

Puede verificar la configuración relacionado con DHCP ejecutando el comando

display en cualquier modo de configuración.

Para borrar la información acerca de los servidores DHCP, ejecute el comando

reset en cualquier modo de configuración.

Mostrar las estadísticas sobre las direcciones IP en conflicto

Comando

display dhcp server conflict { all | ip Dirección IP }

Parametros:

All: Especifica todas las direcciones IP

Ip Dirección IP: Especifica una dirección IP especifica

160

Mostrar el tiempo de duración

Comando

display dhcp server expired { ip Dirección IP | pool Nombre del grupo |

interface Tipo-Número | all }

Parametros:

Ip Dirección IP: Muestra el tiempo de duración de una IP especifica

Pool Nombre del grupo: Muestra el tiempo de duración de un grupo específico

de direcciones.

Interface tipo-Número: Muestra el tiempo de duración de una interfaz específica.

all: Muestra el tiempo de duración de todos los grupos de direcciones

Mostrar las direcciones IP libres

Comando

display dhcp server free-ip

Mostrar la información sobre las direcciones vinculadas

Comando

display dhcp server ip-in-use { ip Dirección IP | pool Nombre del grupo |

interface Tipo-Número | all }

Parametros:

Ip Dirección IP: Muestra la información de enlace de una dirección IP especifica

Pool Nombre del grupo: Muestra la información de enlace de un grupo de

direcciones especificas

Interface tipo-Número: Muestra información de enlace de una interfaz especifica

all: Muestra la información de enlace de todos los grupos de direcciones DCHP

161

Mostrar las estadísticas del servidor DHCP

Comando

display dhcp server statistics

Mostrar la información sobre el árbol conjunto de direcciones DHCP

Comando

display dhcp server tree { ip Dirección IP | pool Nombre del grupo | interface


Parametros:

Ip Dirección IP: Muestra la información de una dirección IP especifica

Pool Nombre del grupo: Muestra la información de un grupo de direcciones

especificas

Interface tipo-Número: Muestra información de enlace de una interfaz especifica

all: Muestra la información de todos los grupos de direcciones DHCP

Limpiar las estadísticas sobre las direcciones IP en conflicto

Comando

reset dchp server conflict { all | ip Dirección IP }

Parametros:

All: Especifica todas las direcciones IP

Ip Dirección IP: Especifica una dirección IP especifica

162

Limpiar la información sobre las direcciones vinculadas

Comando

reset dhcp server ip-in-use { ip Dirección IP | pool Nombre del grupo | interface


Parametros:

Ip Dirección IP: Limpia la información de enlace de una dirección IP especifica

Pool Nombre del grupo: Limpia la información de enlace de un grupo de

direcciones especificas

Interface tipo-Número: Limpia la información de enlace de una interfaz

especifica

all: Limpia la información de enlace de todos los grupos de direcciones DHCP

Limpiar las estadísticas del servidor DHCP

Comando

display dhcp server statistics

163


Generalidades del STP

Ejemplo de configuración RSTP

Configuración del protocolo

Mostrar y depurar RSTP

GENERALIDADES DEL STP

El protocolo Spanning Tree (STP), se aplica en redes redundantes donde se

generan bucles. El protocolo aplica un algoritmo que bloquea los enlaces

redundantes y configurar la red en una topología de árbol libre de bucles, evitando

de este modo la difusión de estos.

Implementación del STP

Es fundamental para STP que los switches intercambien un tipo especial de trama.

El BPDU, es una trama que contiene la información suficiente para asegurar que los

switches calculen el árbol de expiación.

La BPDU contiene los siguientes datos principales:

El ID de raíz que consiste en la combinación de la prioridad de la raíz y la

dirección MAC.

El costo de la ruta más corta a la raíz.

7 CONFIGURACIONES DEL

PROTOCOLO RSTP

164

El ID de puente que consta de la prioridad del puente y la dirección MAC.

El ID del puerto que consiste en la prioridad del puerto y el número del puerto.

Antigüedad del mensaje BPDU.

Antigüedad máxima de la BPDU.

Tiempo de saludo.

Retraso de envió.

Algoritmo STP

El siguiente ejemplo ilustra el proceso del cálculo del STP.

Para facilitar las descripciones la prioridad de los switches A, B y C son 0,1 y 2 y el

costo de la ruta de sus enlaces son 5,10 y 4 respectivamente.

1. Estado inicial.

Inicialmente cada switch configuración la BPDU de la siguiente manera; se identifica

a sí mismo como puerto raíz, con un costo de ruta hacia la raíz de 0, con su ID de

puente propio y el ID de puerto correspondiente a los puertos locales.

BP1

Switch A

Prioridad 0

Switch B

Prioridad 1

Switch C

Prioridad 2

5

4

10

AP1

AP2

BP2

CP2

CP1

Topología STP

165

La tabla anterior muestra la configuración de los primeros cuatro campos de las

tramas BPDU difundidas por cada puerto del switch.

2. Configuración optima de la BPDU.

Cada switch transmite su configuración de BPDU a los demás. Cuando los switches

adyacentes reciben una trama BPDU, comparan el ID de raíz de la trama BPDU con

el ID de raíz local. Si el ID de raíz del BPDU es menor que el ID de raíz local, el

switch actualiza el ID de raíz local y el ID de raíz de sus mensajes BPDU. La

configuración óptima de las BPDU será elegida a través de la comparación de las

configuraciones de las BPDU de todos los puertos.

Las reglas de la comparación son:

La configuración de BPDU con un identificador de raíz más pequeño tiene

una prioridad más alta

Si los ID de raíz son los mismo, la comparación se realiza en base de los

costos de la ruta raíz. La comparación de los costos es la siguiente: El costo

de la ruta a la raíz registrado en la configuración de la BPUD, más el costo

de la ruta correspondiente al puerto local forman un valor X, la configuración

con el valor X menor tiene la prioridad más alta.

Si los costos de la ruta a la raíz también son los mismos, se comparan en

secuencia los siguientes parámetros; ID de puente designado, ID de puerto

designado y el ID del puerto mediante el cual se recibió la BPDU.

Switch A Switch B Switch C

Puerto AP1 Puerto AP2 Puerto BP1 Puerto BP2 Puerto CP1 Puerto CP2

{0,0,0,AP1} {0,0,0,AP1} {1,0,1,AP1} {1,0,1,AP1} {2,0,2,AP1} {2,0,2,AP1}

166

3. Selección del puente raíz, puertos designados, bloquear la redundancia

de los enlaces y actualización de la BPDU.

El proceso de comparación en cada switch es el siguiente:

Switch A

El puerto AP1 recibe la BPDU del switch B y al comparar la prioridad recibida y esta

al ser mayor que la prioridad local, este descarta la BPDU recibida. Para el puerto

AP2 que recibe BPDU del switch C se procesa de forma similar.

El al finalizar este proceso se considera como el puente raíz por tener la prioridad

más baja, por lo tanto conserva la configuración establecida para las BPDU de cada

uno de sus puertos y trasmite sus BPDU a los demás periódicamente a partir de

ese momento. Tras esto, las BPDU de los dos puertos del switch son las siguientes:

BPDU de AP1: {0,0,0,AP1}


Switch B

El puerto BP1 recibe la BPDU del switch A, al comparar que la BPDU recibida tiene

una prioridad menor que la local, el switch actualiza la configuración de la BPDU. El

puerto BP2 recibe la BPDU del switch C y encuentra que en la configuración de la

BPDU local, la prioridad es menor que la recibida, por lo que descarta la

configuración de la BPDU recibida.

Por ahora las BPDU de cada puerto tienen las siguientes configuraciones:

BPDU de BP1: {0,0,0,BP1}


167

El switch B compara las BPDU de los puertos y selecciona la BPDU del BP1 como

la configuración óptima. Así el puerto BP1 es elegido como el puerto raíz y la

configuración de la BPDU de switch B se actualiza de la siguiente manera.

La configuración BPDU del puerto BP1 se conserva:

La BPDU del puerto BP2 se actualiza acorde con la configuración óptima. Identifica

a la raíz, identifica que el costo a la raíz tiene un valor de 5, el ID de puente local y

el ID del puerto como el puerto local. Por lo tanto la configuración BPDU pasa a ser:

Entonces todos los puertos designados del switch B trasmiten la configuración de

las BPDU regularmente.

Switch C

El puerto CP2 recibe del switch B la siguiente BPDU


Que aún no se actualizado todavía.

El puerto CP1 recibe la BPDU del switch A




168

Del switch A y el switch C actualiza. La configuración de BPDU se actualiza como:

En comparación, el CP1 con la configuración de BPDU es elegido como la

configuración óptima. El CP1 es especificado como puente raíz, sin modificaciones

en la configuración de BPDU. Sin embargo, CP2 será bloqueado y su BPDU

permanece igual, pero no recibirá las tramas de tráfico ordinario (sin incluir las

tramas BPDU) enviadas desde switch B, hasta que un nuevo evento ponga en

marcha de nuevo el cálculo del árbol de expiación.

Por ejemplo el enlace entre los switches B o C estará inactivo hasta que el puerto

reciba una BPDU con mejor configuración

CP2 recibirá la configuración de BPDU actualizada del switch B. partiendo de esta

configuración BPDU que es óptima, la vieja BDPU será actualizada a:

Mientras tanto, CP1 recibe la configuración de BPDU del switch A, pero su

configuración de BPDU no se actualizará sino que se conserva:

La configuración de la BPUD del CP2, es elegida como la óptima. CP2 se elige

como puerto raíz, cuya BPDU no va a cambiar, mientras que CP1 se bloqueara y

mantendrá su BPDU, pero no va a recibir los datos enviados del switch A hasta que

el cálculo del árbol se activa de nuevo por algunos cambios.

BPDU de CP1: {0,0,0,AP2}

BPDU de CP2: {0,5,1,BP2}

BPDU de CP21: {0,0,0,AP2}

169

Para facilitar las descripciones en este ejemplo se simplifico el concepto del ID de

raíz y el ID de puente, para el cálculo real debe tener en cuenta la prioridad del

switch y la dirección MAC de este. En el caso del ID de puente debe tenerse en

cuenta la prioridad del puerto y el número de identificación del puerto.

Switch A

Prioridad 0

Switch B

Prioridad 1

Switch C

Prioridad 2

5

4

AP1

BP1

BP2

CP2

Resultado final del cálculo STP

170

EJEMPLO DE CONFIGURACIÓN RSTP

A continuación se ilustra la configuración del protocolo RSTP en la siguiente red de

switches.

Switch A y switch B: Puente raíz y Puente raíz de respaldo

Switch C y switch D: Switches intermedios de la red

Switch E, switch F y switch G: Switches directamente conectados a las PC de los

usuarios

Switch A Switch B

Switch C Switch D

Switch E Switch F Switch G

Topología STP

171

Configuraciones del switch A y B

Switch A y B (parte 1)

CONFIGURACION VALOR PREDETERMINADO NOTA

Activar la función de STP

en switch.

La función STP esta

deshabilitada en el switch,

será habilitada en todos los

puertos una vez este

habilitada en el switch.

La configuración de STP en

el estado del puerto no

tendrá efecto si la función

STP no está habilitada en el

switch.

Activar la función de STP

en el puerto.

Configure el modo de

operación en RSTP.

El switch funciona en modo

RSTP.

Si hay switches que

funcionan con el modo STP

en la red se recomienda

establecer en el switch el

modo compatible con STP

Configure el atributo de

ignorar las VLAN en un

switch.

Al habilitarse el STP en

switch, el atributo de ignorar

VLAN está activado.

Una vez que una VLAN es

ignorada, las tramas de la

VLAN se trasmitirán en

cualquier puerto del switch,

sin restricción de la ruta

calculada por STP.

Identifique un Switch

como el puente raíz o el

puente raíz de respaldo.

Del rol del switch como puente

raíz o puente raíz de respaldo

depende el cálculo del STP. Un switch puede convertirse

en puente raíz especificando

su prioridad como 0. Configure la prioridad de

los switches.

La prioridad predeterminada

en el switch es de 32768.

172



Especifique lo siguiente:

tiempo de retraso, tiempo

de saludo y antigüedad

máxima

El tiempo de retraso es de 15

segundos, el tiempo de

saludo es de 2 segundos y la

antigüedad máxima de 20

segundos.

Los otros switches copian de

la configuración del puente

raíz las configuraciones de

estos parámetros de tiempo.

Por lo tanto solo se pueden

configurar en el puente raíz.

Los valores por defecto son

muy recomendados

Especifique la máxima tasa

de trasmisión de las tramas

de STP por un puerto.

Ningún puerto Ethernet puede

enviar más de 3 tramas STP

dentro del tiempo de saludo.

Si se envían más tramas STP

dentro de un tiempo de saludo,

más recursos serán consumidos.

Por lo tanto se recomienda limitar

la velocidad de transmisión de las

tramas de STP en los puertos, de

preferencia en el valor

predeterminado.

Configure si se conectara

un puerto con un enlace

punto a punto.

RSTP puede detectar

automáticamente si el actual

puerto Ethernet esta contentado

a un enlace punto a punto.

Los dos puertos conectados con

un enlace punto a punto facilitan el

estado de trasmisión mediante él

envió síncrono de tramas,

eliminando el innecesario retraso.

Especifique la ruta con el

costo del puerto.

El switch recibe el costo de la

ruta a partir de la velocidad del

enlace de un puerto. Respecto el

estándar 802.1t de la IEEE.

El costo de la ruta de puerto está

estrechamente relacionado con la

tasa de trasmisión del enlace del

puerto. Cuanto mayor sea la

velocidad del enlace el costo será

más pequeño. Se recomienda

utilizar el valor por configurado por

defecto.

Especifique los costos para

calcular el camino a seguir

en la ruta STP.

173



Especifique el modo de

compatibilidad de un puerto. .-------------------------------------

Puede cambiar el modo de

funcionamiento de un puerto para

que se compatible de STP a RSTP

Configure la función de

protección en el switch.

Sin función de protección en el

switch.

Se recomienda habilitar la función

de protección en el puente raíz.

Configuraciones del switch C y D

Switch C y D (parte 1)


Activar la función de STP en

switch.


deshabilitada en el switch, será

habilitada en todos los puertos

una vez este habilitada en el

switch.

La configuración de STP en el

estado del puerto no tendrá efecto

si la función STP no está habilitada

en el switch.


el puerto.


operación en RSTP.


RSTP.

Si hay switches que funcionan con

el modo STP en la red se

recomienda establecer en el

switch el modo compatible con

STP

Configure la prioridad de los

switches

La prioridad predeterminada en

el switch es de 32768.

Un switch puede designarse como

un switch intermedio

especificando un apropiada

prioridad de puente

174

Switch C y D (parte 2 )


Configure el factor de

tiempo de espera en el

switch.

El switch no a recibida una

tramas de los switches

superiores después de tres

tiempos de saludo asumirá que

el switch superior fallo y volverá

a calcular el árbol de expansión

En una red estable se recomienda

establecer el factor de tiempo de

espera en 5, 6 0 7. Con esto el

switch no tendrá en cuenta un fallo

del switch superior hasta una no

reciba ninguna trama en el tiempo

de saludo durante 5,6 o 7 veces

tiempos de saludo














predeterminado.

Especifique la prioridad del

puerto

Todos los puertos Ethernet

tienen una prioridad de 128.

La prioridad de puerto juega un

papel importante en la selección

del puerto raíz. Se puede

configurar un puerto como puerto

raíz dándole un valor de prioridad

pequeño.



punto a punto.

RSTP puede detectar









175

Switch C y D (parte 3 )



costo del puerto.












defecto.



en la ruta STP.


compatibilidad de un puerto. ---------------------------------------



que se compatible de STP a

RSTP.




switch.

Se recomienda habilitar el bucles

de protección en los switches

intermedios

Configuraciones del switch E, F y G

Switch E, F y G (parte 1)



switch.


deshabilitada en el switch, será

habilitada en todos los puertos

una vez este habilitada en el

switch.

La configuración de STP en el

estado del puerto no tendrá efecto

si la función STP no está habilitada

en el switch.


el puerto.

176




operación en RSTP.


RSTP.

Si hay switches que funcionan con

el modo STP en la red se

recomienda establecer en el

switch el modo compatible con

STP

Configure el factor de

tiempo de espera en el

switch.

El switch no a recibida una

tramas de los switches

superiores después de tres

tiempos de saludo asumirá que

el switch superior fallo y volverá

a calcular el árbol de expansión

En una red estable se recomienda

establecer el factor de tiempo de

espera en 5, 6 0 7. Con esto el

switch no tendrá en cuenta un fallo

del switch superior hasta una no

reciba ninguna trama en el tiempo

de saludo durante 5,6 o 7 veces

tiempos de saludo














predeterminado.

Especifique la prioridad del

puerto

Todos los puertos Ethernet tiene

una prioridad de 128

La prioridad de puerto juega un papel

importante en la selección del puerto

raíz. Se puede configurar un puerto

como puerto raíz dándole un valor de

prioridad pequeño.

177





punto a punto.

RSTP puede detectar










costo del puerto.












defecto.



en la ruta STP.

Configure si un puerto es

puerto de borde

Todos los puertos Ethernet son

configurados como puertos sin

borde

Para los puertos conectados

directamente con los terminales

por favor configurarlos como

puertos de borde y activar la

función de protección de BPDU en

ellos


compatibilidad de un puerto. ---------------------------------------



que se compatible de STP a

RSTP.




switch.

Se recomienda habilitar de

protección en los switches

intermedios

178

CONFIGURACIÓN DEL PROTOCOLO

Las siguientes son las configuraciones que se deben tener en cuenta a la hora de

configurar el protocolo en el switch.


Activar o desactivar RSTP en el puerto


Configuración del atributo de ignorar VLAN

Establecer la prioridad de un puente especifico


Configure el retraso de envió





puerto








179


Ejecute el siguiente comando para habilitar (enable) o desactivar (disable) RSTP

en el switch.


Operación Comando

Activar o desactivar RSTP en el switch stp { enable | disable }

Solo después de que el RSTP este activado en el switch las otras configuraciones

tendrán efecto. De forma predeterminada, RSTP está activo.

Activar o desactivar RSTP en un puerto

Ejecute el siguiente comando para habilitar o deshabilitar el protocolo RSTP en el

puerto. Para controlar flexiblemente las operaciones RSTP, después que RSTP

está activo en el puerto Ethernet del switch, se puede desactivar RSTP para evitar

que el puerto participe en el cálculo del árbol de expansión.


Operación Comando

Habilitar RSTP en el puerto stp enable

Deshabilitar RSTP en el puerto stp disable

Es importante tener en cuenta que la ruta de redundancia se puede generar

después que RSTP se desactiva en el puerto Ethernet.

De forma predeterminada, el RSTP en todos los puestos está activo después de ser

habilitado en el switch.

180


RSTP es ejecutable en el modo RSTP o el modo de compatibilidad con STP. Se

aplica el modo RSTP cuando todos los dispositivos de la red ejecutan RSTP,

mientras que el modo de compatibilidad con STP, se aplica cuando STP y RSTP

son ejecutados al tiempo en la red.

Usted puede utilizar el siguiente comando para establecer el modo de

funcionamiento RSTP.

Configure el modo de funcionamiento en el modo de configuración de sistema

Operación Comando

Configurar el modo RSTP stp mode { stp | rstp}

Restaurar el modo RSTP por defecto stp disable

Parámetros:

Stp: Especifica el modo de funcionamiento en STP

Rstp: Especifica el modo de funcionamiento en RSTP

Normalmente, si hay un switch ejecutando STP en la red, el puerto (en el switch de

ejecución RSTP), que se conecta a otro puerto (en el switch de ejecución de STP),

puede cambiar automáticamente al modo de compatibilidad con STP al modo

RSTP.

Configurar el atributo de ignorar VLAN

RSTP es un protocolo de árbol de expansión individual, en las que un solo árbol de

expansión será generado en una red de switches. Para asegurar el éxito de la

comunicación entre VLAN en una red, todos ellas deben ser distribuidas

consecutivamente a lo largo de la ruta STP, de lo contrario, algunas VLAN estarán

aisladas debido a los bloqueos de los enlaces, produciendo un fracaso entre la

181

comunicación entre VLAN. Una vez que hay VLANs es especialmente necesario

que estas estén por fuera de la ruta STP, se puede resolver el problema

configurando el atributo de ignorar VLAN apropiadamente en cada switch.

Una vez que se ha configurado el atributo de ignorar VLAN, los paquetes de esta

VLAN se trasmitirán en cualquier puerto del switch, sin restricción de la ruta STP

calculada

Puede configurar el atributo ignorar VLAN en un switch con el siguiente comando.

Realice la configuración en el modo de configuración de sistema.

Operación Comando

Especifique la VLAN ignorada por STP stp ignored vlan Lista de VLANs

Cancele el atributo de ignorar VLAN undo stp ignored vlan

Lista de VLANs

Parámetros:

Listas de VLANs: Especifica las VLANs que serán ignoradas en el cálculo del árbol

de expansión, ingrese varias VLANs separadas por espacios.

Por defecto, ninguna VLAN está siendo ignorada por STP cuando este está

habilitado en el switch

Establecer la prioridad de un puente específico

Un puente puede ser seleccionado como la raíz del árbol de expansión dependiendo

de su prioridad. Mediante la asignación de una prioridad baja, un puente se puede

especificar artificialmente como la raíz del árbol de expansión.

Usted puede utilizar el siguiente comando para configurar la prioridad de un puente

específico.

Realice las siguientes configuraciones en el modo de configuración se sistema.

182

Operación Comando

Establecer la prioridad de un puente

especifico

stp priority Prioridad

Restaurar la prioridad predeterminada undo stp priority

Parametros:

Prioridad: Especifica la prioridad del puente (Entiendas por Switch)

Tenga en cuenta que si las prioridades de todos los puentes en la red son iguales,

el puente con la dirección MAC más pequeña será seleccionado como la raíz

De forma predeterminada, la prioridad del puente es de 32.768


RSTP puede determinar la raíz de árbol de expansión a través del cálculo. También

puede especificar el switch actual como la raíz utilizando este comando.

Puede usar los siguientes comandos para especificar al switch actual como primario

o secundario de la raíz del árbol de expansión.


Operación Comando

Especifique el switch como puente raíz

principal del árbol de expansión

stp root primary

Especifique el switch como puente raíz

secundario del árbol de expansión

stp root secondary

Deshabilitar la elección de raíz undo stp root

Después de que el switch está configurado como puente raíz primaria o puente raíz

secundario, no se puede modificar la prioridad del puente del switch

183

Un conmutador puede ser un puente raíz primario o secundario, pero no ambos de

ellos al tiempo

Si la raíz primaria de un árbol de expansión está inactivo o apagado, la raíz

secundaria tomara su lugar, a menos que configure una nueva raíz primaria. De dos

o más raíces secundarias configuradas, RSTP selecciona el que tiene la MAC más

pequeña como la suplente de la raíz principal cuando esta ha fallado.


Para configurar el switch como la raíz del árbol de expansión, puede

especificar su prioridad 0 o simplemente configurarlo como raíz con el

comando anterior.

En general se recomienda establecer una raíz primaria y más de una raíz

secundaria

Por defecto, ninguna switch está configurado como raíz primaria, ni como raíz

secundaria.

Configurar el retraso de envió

Un error de conexión provocara que se calcule un nuevo árbol de expansión. Sin

embargo, la configuración de BPDU recién calculada no puede ser propagada en

toda la red inmediatamente. Si el puerto raíz y el puerto recién seleccionado como

designado empiezan a propagar tramas de datos de inmediato, esto puede provocar

un bucle ocasional. En consecuencia, el protocolo adopta un mecanismo de

transición de estado, es decir, el puerto raíz y puerto designado deberán someterse

a un estado de transición por un periodo de retraso de envió antes de su transición

al estado de envió y reanudar el avance de las tramas de datos. Este retraso

asegura que la nueva configuración de BPDU se ha propagado en todo la red antes

de que la transmisión de tramas de datos se reanude

Puede utilizar el siguiente comando para establecer el retraso de envió en un puente

especificado.

184


Operación Comando

Establecer el retraso de envió de un

puente especifico

stp timer forward-delay Segundos

Restaurar el valor predeterminado de

retraso de envió

undo stp timer forward-delay

Parámetros:

Segundos: Especifica los segundos del retraso de envió.

El retraso de envió de las tramas está relacionado con el diámetro de la red. Como

regla general, cuanto mayor sea el diámetro de la red, mayor será el retraso de

envió. Tenga en cuenta que si el retraso es muy cortó, puede producirse una

redundancia de ruta ocasional. Si el retraso de envió es muy largo, la restauración

de la conexión de red puede tardar mucho tiempo. Se recomienda utilizar la

configuración predeterminada.

Por defecto, el retraso de envió de un puente es de 15 segundos.


Un puente trasmite periódicamente saludos a los puentes adyacentes para

comprobar si hay fallo de algún enlace.

Puede utilizar el siguiente comando para establecer el tiempo de saludo en el puente

seleccionado.

Realice la siguiente configuración en el modo de sistema.

185

Operación Comando

Ajuste el tiempo de saludo en el puente

seleccionado

stp timer hello segundos

Restaurar el valor predeterminado del

tiempo de saludo del puente

undo stp timer hello

Parámetros:

Segundos: Especifica los segundos que se tomara para trasmitir un paquete de

saludo.

Un tiempo se saludó apropiado puede asegurar que el puente puede detectar ciertos

fallos de los enlaces en la red de una manera oportuna. Se recomienda que el valor

de dos segundos se conserve.

Por defecto el tiempo de saludo es de dos segundos.


La antigüedad máxima es un parámetro para juzgar si la configuración BPDU esta

TIMEOUT. Los usuarios pueden configurarlo de acuerdo a la situación de la red.

Puede utilizar el siguiente comando para establecer la antigüedad máxima de un

puente específico.


Operación Comando

Ajuste de la antigüedad máxima en el

puente seleccionado

stp timer max-age Segundos

Restaurar el valor predeterminado de la

antigüedad máxima en el puente

undo stp timer max-age

186

Parámetros:

Segundos: Especifica los segundos en que una BPDU queda en TIMEOUT.

Si la máxima antigüedad es demasiado corta, el resultado será un cálculo frecuente

del árbol de expansión o juzgar mal la congestión de la red como un fallo del enlace.

Por otro lado, demasiado tiempo de máxima antigüedad, puede hacer que el puente

no puede encontrar error de enlaces a tiempo y debilitara la capacidad de detección

automática. Se recomienda utilizar la configuración predeterminada.

Por defecto la antigüedad máxima de puentes es de 20 segundos.


Un puente trasmite periódicamente saludos a los puentes adyacentes para

comprobar si hay fallos de los enlaces. En general, si el switch no recibe tramas

RSTP del switch superior después de tres tiempos de saludo, el switch decidirá que

el switch superior fallo y volverá a calcular la topología de la red.

En una red estable el nuevo cálculo puede ser ocasionado porque el switch superior

estaba congestionado. En este caso, puede definir el tiempo de espera a un tiempo

de espera más largo al cambiar el valor de tiempo de saludo

Puede utilizar el siguiente comando para establecer el valor de tiempo de saludo

en un puente especificado.


Operación Comando

Establecer el valor de tiempo de

espera en el puente seleccionado

stp timeout-factor Valor


tiempo de espera en puente

undo stp timeout-factor

187

Parámetros:

Valor: Especifica el valor del factor del tiempo de espera del puente (Entiendas por

Switch).

Se recomienda ajustar el valor en 5,6 o 7 en la red estable.

De forma predeterminada, el valor del factor de tiempo de espera es 3 tiempos de

saludo.


puerto

La tasa máxima de transmisión de las tramas de STP en un puerto Ethernet

depende del estado físico del puerto y de la arquitectura de la red. Puede especificar

la tasa máxima de transmisión en un puerto utilizando el siguiente comando.

Realice la configuración en el modo de configuración de puerto.

Operación Comando

Especifique la tasa máxima de

trasmisión de las tramas de STP en el

puerto

stp transmit-limit Número de tramas


la tasa máxima de trasmisión de las

tramas de STP en el puerto

undo stp transmit-limit

Parámetros:

Número de tramas: Especifica el número de tramas de la tasa máxima de

trasmisión.

Cabe destacar que, a pesar de una tasa de transmisión más alta, más recursos del

switch son consumidos. Por lo tanto, se recomienda utilizar el valor predeterminado.

188

De forma predeterminada, un puerto Ethernet tiene una tasa de transmisión de

tramas STP de 3 dentro de un tiempo de saludo.


Un puerto de borde no está conectado a ningún switch directamente o

indirectamente en el cableado de la red.

Usted puede utilizar el siguiente comando para establecer un puerto como puerto

de borde (enable) o no puerto de borde (disable).


Operación Comando

Establezca un puerto como puerto de

borde o no puerto de borde

stp edged-port { enable | disable }

En el proceso de volver a calcular el árbol de expansión. El puerto de borde puede

pasar directamente al estado de envió y reducir el tiempo de transición innecesaria.

Si el puerto Ethernet no está conectado a ningún puerto Ethernet de otro switch,

este puerto debe establecerse como puerto de borde. Si un puerto configurado

como puerto de borde está conectado a un puerto de un switch, RSTP detectara y

reconfigurara automáticamente el puerto como un no puerto de borde.

Después que la topología de red cambia, si no configurado un puerto que no está

conectado a ningún otro puerto, como puerto de borde, se recomienda configurarlo

como un puerto de borde manualmente porque RSTP no puede cambiar el puerto

como puerto de borde automáticamente.

Configure el puerto conectado directamente a la terminal como un puerto de borde,

de modo que el puerto pueda transferirse inmediatamente al estado de reenvió.

Por defecto, todos los puertos Ethernet se configuran como no puertos de borde

189


El costo de la ruta es un parámetro relacionado con la velocidad del enlace

Se puede especificar el costo de la ruta en puerto mediante el uso de los siguientes

comandos.


Operación Comando

Especifique el costo de la ruta en un

puerto

stp cost Costo

Restaurar el costo de la ruta por

defecto en el puerto

undo stp cost

Parámetros:

Costo: Especifique el costo de la ruta para un puerto Ethernet.

El costo de la ruta en puerto Ethernet está relacionado con la velocidad de

transmisión del enlace del puerto. Cuanto mayor sea la velocidad del enlace, menor

será el costo de la ruta.

RSTP puede detectar automáticamente la velocidad del enlace y calcular el costo

de la ruta del puerto Ethernet. La configuración del costo de la ruta provoca un nuevo

cálculo del árbol de expansión. Se recomienda adoptar el valor por defecto con el

que RSTP calculara automáticamente el costo de la ruta del puerto actual.

Por defecto, el switch calcula el costo de la ruta directamente de la velocidad del

enlace.

190


Los dos estándares actualmente disponibles en el switch son:

Dot1d-1998: el switch calcula el costo de la ruta por defecto de un puerto

por el estándar 802.1D-1998 de la IEEE.

Dot1T: el switch calcula el costo de la ruta por defecto de un puerto por el


Puede especificar el estándar por el uso del siguiente comando.


Operación Comando

Especifique el estándar que se

adoptara en el switch

stp pathcost-standard

{ dot1d-1998 | dot1t }

Restaurar el estándar que se utiliza en

el switch

undo pathcost-standard

Por defecto, el switch calcula el costo de la ruta por defecto de un puerto por el



La prioridad de un puerto es importante para decidir si el puerto puede ser un puerto

raíz. En el cálculo del árbol de expansión, el puerto con la prioridad más pequeña

será seleccionado como el puerto raíz suponiendo que todas las demás condiciones

son las mismas.

Usted puede utilizar el siguiente comando para establecer la prioridad de un puerto

específico.


191

Operación Comando

Establecer la prioridad de un puerto

especificado

stp port priority Prioridad

Restaurar la prioridad predeterminada

de un puerto especifico

undo stp port priority

Parametros:

Prioridad: Especifica la prioridad del puerto Ethernet

Al establecer la prioridad de un puerto Ethernet, se puede poner un puerto Ethernet

especificado en el árbol de expansión final.

En general, cuanto menor sea el valor que se establece en el puerto Ethernet este

tiene mayor posibilidad de ser incluido en el árbol. Si todos los puertos Ethernet del

switch adoptan el mismo valor de parámetro de prioridad, la selección como puerto

raíz depende del número de del índice del puerto Ethernet.

Tenga en cuenta que el cambio de la prioridad del puerto Ethernet causara un nuevo

cálculo del árbol de expansión.

Puede establecer la prioridad de un puerto en el momento en que se configura los

requisitos de la red.

De forma predeterminada las prioridades de todos los puertos Ethernet son 128

192


En general un enlace punto a punto conecta los switches.

Usted puede utilizar el siguiente comando para configurar un puerto específico para

conectarse a un enlace punto a punto.

Realice las siguientes configuraciones en el modo de configuración de puerto.

Operación Comando

Configurar un puerto como enlace

punto a punto

stp point-to-point force-true

Configurar un puerto como un no

enlace punto a punto

stp point-to-point force-false

Configurar RSTP para detectar

automáticamente los enlaces punto a

punto

stp point-to-point auto

Deshabilitar la detección automática de

los enlaces punto a punto

undo stp point-to-point

Los dos puertos conectados que utilizan un enlace punto a punto pueden entrar al

estado de envió rápidamente mediante la transmisión de paquetes síncronos, de

manera que el retraso de envió innecesario pueda ser reducido.

Si este parámetro está configurado como modo automático, RSTP puede detectar

automáticamente si el puerto Ethernet actual está conectado a un enlace punto a

punto.

Tenga en cuenta que para un puerto agregado, solo el puerto maestro se puede

configurar para conectarse con el enlace punto a punto. Después de la auto

negociación, el puerto trabaja en FULL DUPLEX también puede ser configurada

para conectarse con dicho enlace

193

Puede configurar manualmente el puerto Ethernet activo para conectarse con el

enlace punto a punto. Sin embargo, si el enlace no es un enlace punto a punto, el

comando puede causar problemas del sistema, y por lo tanto se recomienda

establecer el modo automático.

De forma predeterminada, este parámetro está configurado en modo automático


RSTP es compatible con STP, por lo que en una red no importa si algunos switches

ejecutan STP y otros están ejecutando RSTP. En un tiempo relativamente estable

de red, aunque el switch que ejecute STP se haya eliminado de la red, el puerto del

switch que ejecuta RSTP sigue trabajando en el modo de compatibilidad con STP.

Usted puede utilizar el siguiente comando para configurar manualmente el puerto

para que trabaje en modo RSTP

Este comando se puede solo ejecutar si el switch corre RSTP y el modo RSTP no

tiene efecto en el modo de compatibilidad con STP.

Usted puede utilizar el siguiente comando para configurar el modo de compatibilidad

de un puerto específico.

Realice la siguiente configuración en el modo de configuración de puerto o el modo

de configuración de sistema.

Operación Comando

Ajuste el modo de compatibilidad del

puerto

stp mckeck

Este comando se puede utilizar cuando el switch corre en RSTP en el modo RSTP,

pero no lo puede utilizar cuando el switch funciona en el modo de compatibilidad

con STP

194


Un switch RSTP proporciona protección de BPDU y funciones de protección de raíz.

Para un dispositivo de acceso, el puerto de acceso esta generalmente conectado

directamente al usuario terminal, por ejemplo una PC o un servidor de archivos, y el

puerto de acceso está configurado como puerto de borde para implementar una

rápida transición. Cuando puerto configurado como no puerto de borde recibe una

trama BPDU, vuele a calcular el árbol expansión, lo que hace que la topología de

red cambie y puede causar que los enlaces cambien de estado. En STP en casos

normales, los puertos de borde no reciben tramas BPDU. Si alguien inventa una

BPDU para atacar el switch, para configurar la topología de red, la función de

protección de BPDU es utilizada para evitar tales ataques de red.

En caso de error de configuración o un ataque malicioso, la raíz principal puede

recibir una BPDU con una menor prioridad y perder su lugar, lo que provocaría que

la topología de error cambiara erróneamente. Debido al cambio erróneo, el tráfico

que viaja a través de una línea de alta velocidad se puede redirigir a una conexión

de baja velocidad y se producirá una congestión en la red. La función de protección

de raíz se utiliza en contra de tal problema.

El puerto raíz y los puertos bloqueados mantienen su estado de acuerdo a la BPDU

enviada por los switches de los enlaces superiores. Una vez que la conexión está

bloqueada o de encontrarse en condición de falla, los puertos no pueden recibir las

BPDU y el switch seleccionara el puerto raíz de nuevo. En este caso, el antiguo

puerto raíz se convertirá en puerto designado y el antiguo puerto bloqueado entrara

en estado de reenvió, como resultado, se genera un bucle de enlace. Las funciones

de seguridad pueden controlar la generación de bucles. Una vez habilitado, el puerto

raíz no se puede cambiar, el puerto bloqueado permanecerá en el estado de

descarte y la no reenvió de tramas, evitando así bucles de enlace

Usted puede utilizar el siguiente comando para configurar las funciones de

seguridad del switch

195

Realice la configuración en los modos de configuración correspondientes.

Operación Comando

Activar la protección de BPDU

(Modo de configuración de sistema)

stp bpdu-protection

Desactivar el estado de protección de

BPDU

(Modo de configuración de sistema)

undo stp bpdu-protection

Activar la protección de raíz

(Modo de configuración de puerto)

stp root-protection

Desactivar la protección de raíz


undo stp root-protection

Activar la protección de bucle


stp loop-protection

Desactivar la protección de bucle


undo stp loop-protection

Después de ser configurado con la protección de BPDU, el switch desactivara el

puerto de borde a través de RSTP. Notificara al usuario el cambio establecido y

solo el administrador de red puede reanudar estos puertos.

El puerto configurado con protección de raíz, cada vez que un puerto recibe una

BPDU con menor prioridad cuando se está a punto de convertirse en un puerto no

designado, se establece un estado de escucha y no reenvió de paquetes (Como si

el vínculo con el puerto estuviera desconectado) si el puerto no ha recibido ninguna

BPDU de prioridad más baja durante cierto periodo de tiempo a partir de entonces,

se reanudara al estado normal

Al configurar un puerto, solo una configuración a la vez será eficaz entre protección

de bucle, protección de raíz y configuración de puerto de borde

196

Por defecto ninguna protección de seguridad está activa

MOSTRAR Y DEPURAR RSTP

Después de la configuración anterior, ejecute estos comandos en cualquier modo

de configuración para mostrar el funcionamiento y la configuración de RSTP y para

verificar el funcionamiento de la configuración.

Ejecute el comando reset en el modo de configuración de visita para borrar las

estadísticas del módulo de RSTP

Ejecute el comando debugging en el modo de configuración de usuario para depura

el módulo RSTP.

Mostrar la información sobre la configuración RSTP

Comando

display stp [ Interface Tipo Número ]

Parametros:


Número: Especifica el número de la interfaz

Mostrar la lista de VLAN ignoradas

Comando

display stp ignored-vlan

Borrar la información de las estadísticas RSTP

Comando

reset stp [ Interface Tipo Número ]

Parametros:


Número: Especifica el número de la interfaz

197

Habilitar o deshabilitar la depuración de RSTP

Comando

(undo) debugging stp { error | event | packet }

Parametros:

Error: Se especifica para depurar errores

Event: Se especifica para depurar eventos

Packet: Se especifica para depurar paquetes

198

INDICE

A

Activar ACL ---------------------------------------------------------------------------------------------------135

Activar la detección del loopback en las vlans de los puertos híbridos y troncales ----------66

Activar o desactivar el flujo para el control del puerto -----------------------------------------------57

Activar o desactivar el modo automático de la VLAN de voz -------------------------------------112

Activar o desactivar el modo de seguridad de la VLAN de voz ----------------------------------111

Activar o Desactivar la detención de loopback en el switch y en el puerto ---------------------64

Activar o desactivar las funciones de VLAN de voz en un puerto -------------------------------110

Activar o desactivar LACP-----------------------------------------------------------------------------------86

Activar o desactivar las características de la VLAN de voz ---------------------------------------109

Activar o desactivar RSTP en el puerto ----------------------------------------------------------------179

Activar o desactivar RSTP en el switch ----------------------------------------------------------------179

Activar o desactivar un puerto -----------------------------------------------------------------------------54

Adición de puertos Ethernet a una VLAN --------------------------------------------------------------100

Ajustar el modo de protección contra intrusos ---------------------------------------------------------73

Ajustar el tiempo de caducidad de la VLAN de voz -------------------------------------------------112

Ajustar o remover la OUI aprendida por la VLAN de voz ------------------------------------------110

Ajustar un mensaje para el puerto ------------------------------------------------------------------------55

Ajuste de la tasa de supresión del puerto ---------------------------------------------------------------58

Ajuste de la velocidad del puerto --------------------------------------------------------------------------56

199

Ajuste del Nivel de comandos usado después de que un usuario se conecta a una interfaz

de usuario ------------------------------------------------------------------------------------------------------46

Ajuste del tipo de cable del puerto ------------------------------------------------------------------------57

Ajuste del tipo de enlace del puerto ----------------------------------------------------------------------59

Ajuste el factor de espera del puente -------------------------------------------------------------------186

Ajuste el modo de compatibilidad de un puerto especifico ----------------------------------------193

Ajuste el nivel de comandos que se utilizan cuando un usuario ha iniciado sesión ---------46

Ajuste el tiempo de salud en el puente seleccionado -----------------------------------------------184

Ajuste la antigüedad máxima en el poete especifico------------------------------------------------185

Ajuste la longitud de pantalla -------------------------------------------------------------------------------41

Ajuste o eliminación de una descripción para la interfaz de VLAN ------------------------------101

Ajustes de la ID de VLANS para el puerto --------------------------------------------------------------63

Añadir o eliminar un puerto Ethernet de un grupo de agregación --------------------------------88

Añadir puerto Ethernet a VLANS específicas ----------------------------------------------------------61

Añadir una regla ACL --------------------------------------------------------------------------------------133

Apagado y encendido de la interface de VLAN ------------------------------------------------------102

Asignar claves públicas para usuarios SSH ----------------------------------------------------------123

B

Bloqueo de la interfaz ----------------------------------------------------------------------------------------41

Borrar una regla ACL ---------------------------------------------------------------------------------------134

200

C

Clasificación del acceso a usuarios ----------------------------------------------------------------------20

Comando auto ejecutar -------------------------------------------------------------------------------------49

Comando enviado --------------------------------------------------------------------------------------------48

Configuración de bit de datos ------------------------------------------------------------------------------39

Configuración de la paridad --------------------------------------------------------------------------------38

Configuración de la puerta de enlace de las direcciones de los clientes DHCP--------------150

Configuración de la Velocidad de transmisión ---------------------------------------------------------37

Configuración del bit de parada----------------------------------------------------------------------------38

Configuración de prioridad del puerto --------------------------------------------------------------------91

Configuración del control de Flujo ------------------------------------------------------------------------37

Configuración del modo de funcionamiento ----------------------------------------------------------180

Configuración del protocolo de interfaz de usuario ---------------------------------------------------35

Configuración global de Grupos de Direcciones de interfaces-----------------------------------144

Configuración o eliminación de la descripción de un grupo de agregación---------------------89

Configuración para asignar direcciones IP de los grupos de direcciones IP basados en

interfaces a los clientes DHCP---------------------------------------------------------------------------153

Configuración para asignar las direcciones IP de un grupo de direcciones basadas en la

interfaz para los clientes DHCP--------------------------------------------------------------------------152

Configuración VCT -------------------------------------------------------------------------------------------67

Configurar atributos de SSH ------------------------------------------------------------------------------122

Configurar el atributo de ignorar VLAN ----------------------------------------------------------------180

Configurar el número máximo de direcciones MAC permitidas en el puerto ------------------72

201

Configurar el protocolo soportado -----------------------------------------------------------------------118

Configurar el rango de tiempo del ACL -----------------------------------------------------------------129

Configurar el retraso de envió ----------------------------------------------------------------------------183

Configurar el tiempo de duración de la dirección IP del cliente DHCP -------------------------148

Configurar el tiempo de la duración de la interfaz ---------------------------------------------------155

Configurar la prioridad del sistema -----------------------------------------------------------------------90

Configurar las direcciones DNS para los clientes DHCP ------------------------------------------150

Configure el modo de autenticación del usuario SSH ----------------------------------------------121

Configure el nombre de un dominio para los clientes DHCP--------------------------------------149

Configure en el Switch la función de seguridad ------------------------------------------------------194

Configure la dirección IP del segmento cuya dirección IP ha de ser asignado dinámicamente ----147

Configure un puerto para ser conectado en un enlace punto a punto -------------------------192

Copia de la configuración de puertos a otros puertos -----------------------------------------------76

Creación y eliminación de la interface de VLAN -----------------------------------------------------101

Creación y eliminación de un grupo de agregación --------------------------------------------------87

Creación y eliminación de una VLAN --------------------------------------------------------------------99

Crear VLANS en lotes -------------------------------------------------------------------------------------103

E

Eliminar un ACL o todas las ACL ------------------------------------------------------------------------134

Encendido y apagado de la terminal ---------------------------------------------------------------------39

Enlazar estáticamente una dirección IP a la dirección MAC de un cliente DHCP -----------154

Enlazar una dirección IP a la dirección MAC de un cliente DHCP estáticamente -----------146

Enlazar una dirección MAC con una IP -----------------------------------------------------------------73

202

Entrar al modo de configuración ACL-------------------------------------------------------------------132

Entrar al modo de configuración de interfaz de usuario ---------------------------------------------35

Especificación de la máxima tasa de transmisión de las tramas de STP de un puerto ----187

Especificar las direcciones IP que no son asignadas dinámicamente -------------------------148

Especifique el costo de la ruta en un puerto ----------------------------------------------------------189

Especifique el estándar en el cálculo del costo de una ruta --------------------------------------190

Especifique el switch como raíz primaria o secundaria --------------------------------------------182

Especifique la prioridad de un puente específico ----------------------------------------------------190

Establecer el modo de seguridad del puerto -----------------------------------------------------------71

Establecer el modo duplex del puerto -------------------------------------------------------------------55

Establecer el nivel de comandos --------------------------------------------------------------------------47

Establecer el tiempo durante el cual el sistema desactiva un puerto ----------------------------74

Establecer la prioridad de un puerto específico ------------------------------------------------------181

Establezca el intervalo de tiempo de detención de loopback del puerto ------------------------65

Establezca el puerto seleccionado como puerto de borde ----------------------------------------188

Establezca un valor OUI para la autenticación de un usuario -------------------------------------69

G

Generar y destruir el par de claves RSA ---------------------------------------------------------------119

H

Habilitar DHCP ----------------------------------------------------------------------------------------------144

Habilitar el mensaje del envió de captura -------------------------------------------------------------- 70

Habilitar la función NTK en el puerto ---------------------------------------------------------------------72

203

Habilitar la seguridad del puerto ---------------------------------------------------------------------------69

Habilitar o deshabilitar la función de loopback controlado de los puertos híbridos y troncales ------65

Historial de comando ----------------------------------------------------------------------------------------30

I

Ingresar al modo de configuración del grupo DHCP------------------------------------------------146

Ingresar al modo de configuración del puerto ---------------------------------------------------------54

Inicio de sesión a través de una sesión Telnet --------------------------------------------------------16

Inicio de sesión a través del puerto de consola--------------------------------------------------------13

Inicio de sesión en un Switch a través de otro Switch -----------------------------------------------17

M

Método de autentificación ----------------------------------------------------------------------------------42

Modo de configuración ACL básica ----------------------------------------------------------------------27

Modo de configuración de clave pública RSA ---------------------------------------------------------26

Modo de configuración de interfaz de VLANS --------------------------------------------------------25

Modo de configuración de puerto -------------------------------------------------------------------------24

Modo de configuración de sistema------------------------------------------------------------------------23

Modo de configuración de usuario local ----------------------------------------------------------------25

Modo de configuración de visita ---------------------------------------------------------------------------23

Modo de configuración del código de clave RSA -----------------------------------------------------27

Modo de configuración interface de usuario -----------------------------------------------------------26

Mostrar el resumen de la configuración del puerto ---------------------------------------------------80

Mostrar información de los enlaces de agregación ---------------------------------------------------92

204

Mostrar información sobre seguridad del puerto ------------------------------------------------------74

Mostrar la información de detención de loopback ----------------------------------------------------66

Mostrar la información de la configuración SSH------------------------------------------------------126

Mostrar y depurar la información de ACL --------------------------------------------------------------135

Mostrar y depurar la información de la VLAN de voz -----------------------------------------------113

Mostrar y depurar la información de los puertos Ethernet ------------------------------------------77

Mostrar y depurar la información de VLAN------------------------------------------------------------105

Mostrar y depurar la información del servidor DHCP -----------------------------------------------159

Mostrar y depurar RSTP -----------------------------------------------------------------------------------196

S

Supresión de broadcast global ----------------------------------------------------------------------------95

T

Tamaño del búfer del historial -----------------------------------------------------------------------------42

Tiempo de espera para la desconexión -----------------------------------------------------------------40

V

Ver información acerca de un puerto óptico ------------------------------------------------------------97

Visualización y depuración de la información de la interfaz de usuario -------------------------50

manual del estudiante configuración de seguridad del puerto ethernet características de seguridad...

Documents