Conf basica2

2,418 views

Published on

Published in: Education
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total views
2,418
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
92
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Conf basica2

  1. 1. CURSO BÁSICO DE CONFIGURACIÓN DE SWITCHES PARTE 2 DE 3 TELECOMUNICACIONES Y REDES DEL SISTEMA ING. ARTURO SERVIN aservin@itesm.mx
  2. 2. Objetivo Aprender a hacer las configuraciones básicas de switches 3550 y 2950 sin descuidar aspectos de desempeño y seguridad “The Catalyst 3550 switch is designed for plug-and-play operation: you need to configure only basic IP information for the switch and connect it to the other devices in your network. If you have specific network needs, you can configure and monitor the switch on an individual basis or as part of a switch cluster through its various management interfaces”
  3. 3. Agenda SPT Acceso por IP VTY Seguridad CDP
  4. 4. Monitoreo y administración NTP y zonas horarias Logging Administración de MAC Address Troubleshooting Configuraciones sugeridas Operación L3 switching IP Avanzado
  5. 5. Spanning Tree (STP 802.1d) Evitar loops en una red de puentes (switches) Respaldo automático de conexión/No balanceo (se puedo pero es balanceo por vlan) Elección de un puente raíz (uno por red) Mensajes por Bridge Protocol Data Units (BPDU) Todos los otros puentes determina porque puerto es el camino más corto al puente raíz. Sus demás puertos hacia éste o que puedan causar un loop se dan de baja.
  6. 6. STP Todos los puentes intercambian paquetes de Hello, BPDU, los cuales proveen información como bride ID, Root ID, y root path cost. Esta información sirve para que unánimamente elijan un puente raíz. Se comparan los bridge ID y el que tenga el ID menor (mayor prioridad es el elegido). Mayor prioridad, menor ID. Si hay puentes con el mismo ID, se toma el de la menor MAC address
  7. 7. STP Se selecciona un puente designado para cada LAN. Si más de un puente está conectado a la LAN, el puente con el path cost más corto al raíz es el elegido. En caso de duplicación de path cost, el puente con el ID menor es el elegido. Los puentes no-designados en la LAN, ponen sus puertos no seleccionado en estado blocked. En estado blocked los puertos “escuchan” para cambiar a forwarding en un posible cambio de topología.
  8. 8. STP Server/Host Vlan 1 Loop A B Vlan 2 Loop Bridge C D Vlan 3 Workstations
  9. 9. STP Vlan 1 Designated Port Root Port F F Root Bridge A B F B Designated Port Vlan 2 Root Port F F C D Designated Bridge B F Designated Port Vlan 3 B Blocked Port F Forwarding Port
  10. 10. STP Topología Lógica resultante A Vlan 1 Vlan 2 D C B Vlan 3
  11. 11. Formato de Frame Protocol Version ID BPDU Type BPDU field Root Root ID Root Path ID Priotity Cost Bridge Bridge Port ID Message Max Age Hello Time Forward Priority Age Delay
  12. 12. Formato de Frame Protocol ID Contiene el valor de 0, el cual identifica al STA y Protocolo Version Valor de 0, especificado como estándar Message Type Valor de 0 Flags 1 byte, último bit es el Topology Change (TC) que informa de un cambio en la topología, el primer bit es el Topology Change Acknowledgment (TCA) que indica que se ha recibido un frame con el TC en uno.
  13. 13. Formato de Frame Root ID Identifica el puente raíz, 2 byte de prioridad seguidos de un ID de 6 bytes (comunmente MAC address del puente). Root path cost Contiene el costo del path desde el puente hasta el puente raíz. Puede ser ajustado. Bridge ID Indentifica la prioridad e ID del puente enviando el mensaje. Port ID Identifica el puerto desde donde se envía la información.
  14. 14. Formato de Frame Message Age Especifica la cantidad de tiempo desde que el raíz envío el mensaje de la configuración actual. Maximum Age Dos bytes que indican cuando la configuración actual debe ser borrada. Hello Time Provee el periodo de tiempo entre configuraciones del raíz Forward delay Provee la cantidad de tiempo que un puente debe esperar para cambiar de estado después de un cambio de topología.
  15. 15. Ventajas de STP Debido a que el puente es el único responsable del forwardeo de paquetes, ningún cambio es necesario en el software de la estación final. Los cambios en la red son fácilmente hechos porque nuevas estaciones finales son aprendidas conforme estas pasan a través de la LAN. El STP automáticamente reconfigura nuevos paths entre LANs si el primario cae.
  16. 16. Desventajas de STP No se permiten paths paralelos o múltiples por default Los paths de respaldo están inactivos durante operación normal, lo cual es un desperdicio de ancho de banda. No hay balanceo de cargas, si un path está congestionado, el alterno no puede utilizarse para desahogar tráfico. Algunos controladores de red no soportan el delay extendido por los Transparent Bridges La administración de la red se vuelva más compleja ya que la red se ve como gran red plana.
  17. 17. STP Default (Cat 3550) Enable state Enabled on VLAN 1. Up to 128 spanning-tree instances can be enabled. Switch priority 32768. Spanning-tree port priority (configurable on a per- interface basis—used on interfaces configured as Layer 2 access ports): 128. Spanning-tree port cost (configurable on a per- interface basis—used on interfaces configured as Layer 2 access ports) 1000 Mbps: 4. 100 Mbps: 19. 10 Mbps: 100.
  18. 18. STP Default (Cat 3550) Spanning-tree VLAN port priority (configurable on a per-VLAN basis—used on interfaces configured as Layer 2 trunk ports): 128. Spanning-tree VLAN port cost (configurable on a per- VLAN basis—used on interfaces configured as Layer 2 trunk ports) 1000 Mbps: 4. 100 Mbps: 19. 10 Mbps: 100. Hello time 2 seconds. Forward-delay time 15 seconds. Maximum-aging time 20 seconds.
  19. 19. Configuración STP Habilita STP en una vlan spanning-tree vlan vlan-id Deshabilita spanning-tree en una vlan no spanning-tree vlan vlan-id Verifica entradas de STP show spanning-tree vlan vlan-id show spanning-tree detail spanning-tree vlan <id> root primary Pone el switch como root de la vlan <id> spanning-tree vlan vlan-id root
  20. 20. Uso de port-priority y cost Port-priority Balanceo de tráfico en 2 enlaces redundantes Cost Uso de una interfaz GE sobre una FE como path de respaldo Balanceo de tráfico en 2 enlaces redundantes
  21. 21. Ejemplos STP Trunk 1 Trunk 2 Vlan 8-10 (prioridad 10) Vlan 3-6 (prioridad 10) Vlans 3-6 (prioridad 128) Vlans 8-10 (prioridad 128) Suponiendo que ya se tienen vlans y trunks activados configure terminal interface fastethernet0/1 spanning-tree vlan 8 port-priority 10 spanning-tree vlan 9 port-priority 10 spanning-tree vlan 10 port-priority 10 interface fastethernet0/2 spanning-tree vlan 3 port-priority 10 spanning-tree vlan 4 port-priority 10 spanning-tree vlan 5 port-priority 10 spanning-tree vlan 6 port-priority 10
  22. 22. Ejemplos STP Lo mismo se pueed hacer pero usando costo en lugar de prioridad: interface fastethernet 0/1 spanning-tree vlan 2 cost 30 spanning-tree vlan 3 cost 30 spanning-tree vlan 4 cost 30
  23. 23. Protección de loops Para funcionamiento correcto de puertos de usuarios es necesario poner el puerto como “spanning-tree portfast”, esto deshabilita SPT haciendo que si ocurre un loop, este no se detecte BPDU port guard deshabilita puertos “port- fast” que reciban BPDUs si esta habilitado global o deshabilita el puerto si recibe BPDUs independiente si es “port-fast” o no si es habilitado por interfaz
  24. 24. BPDU Guard Global spanning-tree portfast bpduguard default Interfaz spanning-tree bpduguard enable
  25. 25. Acceso remoto vía IP configure interface vlan vlan-id ip address ip-address subnet-mask exit ip default-gateway ip-address
  26. 26. Opcionales IP DNS ip name-server ip-address Dominio ip domain-name <string> Dominio (varios) ip domain-list <string1> ip domain-list <string2>
  27. 27. Configuración VTY length length screen-length Default 24 lines width width caracteres Default 80 columnas de caracteres switch(config)# line vty 1 switch(config-line)# length 30 switch(config-line)# length 70
  28. 28. Seguridad en VTY Subcomando Prompt Función no login Ninguno Sin seguridad login Password: Seguridad de Puerto, es necesario configurar el comando “password” en vty para activarlo login local Username: Checa la base de Password: dato global que tiene en configuración login tacacs Username: Checa en el servidor Password: TACACS
  29. 29. Seguridad VTY Password (comando de configuración de línea) password password User - Password (comando de configuración global) user user password password En la configuración de línea o de consola login login local no login login taccacs
  30. 30. Seguridad para el acceso al Router line vty 0 4 access-class 10 in login local ¡ access-list 10 permit 131.177.37.0 0.0.0.255
  31. 31. Seguridad Encripción de passwords service password-encryption Nivel privilegiado Enable secret enable secret password Enable password (no usar) enable password password
  32. 32. Seguridad Nivel de Privilegio para un comando privilege mode level level command enable password level level [encryption- type] password show privilege
  33. 33. Filtros de paquetes de IP Filtrar paquetes ayuda a controlar el movimiento de paquetes a través de la red. Este control puede ayudar a limitar y restringir el tráfico en la red para ciertos dispositivos o usuarios. Controlar la transmisión de paquetes sobre una interface. Para controlar acceso a terminales virtuales. Para restringir contenidos en los updates de a las tablas de ruteo.
  34. 34. Listas de Acceso Una lista de acceso es una secuencia de condiciones de permit y deny que se aplican a direcciones de IP. El IOS prueba las direcciones contra las condiciones en la lista de acceso una por una. El primer match determina si el software acepta o rechaza la dirección. Debido a que el software termina de probar condiciones después del primer match, el orden es crítico. Si ninguna condición concuerda, el software rechaza la dirección.
  35. 35. Listas de Acceso Los pasos que se siguen para crear una lista de acceso son los siguientes: Paso 1: Crear una lista de acceso especificando un número de lista y las condiciones de acceso. Paso 2: Aplicar la lista de acceso a las interfaces o las terminales Las listas de acceso pueden ser estándar o extendidas Las estándar usan la dirección fuente para las operaciones (1-99) Las extendidas usan la dirección fuente y destino para las operaciones, además de opcionalmente el tipo de protocolo. (100-199)
  36. 36. Listas de Acceso Tarea Comando Define una lista de acceso access-list access-list- estándar usando una dirección number {deny | permit} fuente y una wildcard source [source-wildcard] Define una lista extendida access-list access-list- para IP y las condiciones de number {deny | permit} acceso. protocol source source- wildcard destination destination-wildcard [precedence precedence] [log] [eq tcp/udp]
  37. 37. Listas de acceso Ejemplo de lista de acceso: access-list 2 permit 36.48.0.3 access-list 2 deny 36.48.0.0 0.0.255.255 access-list 2 permit 36.0.0.0 0.255.255.255 interface ethernet 0 ip access-group 2 in access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25 access-list 102 permit tcp any host 128.88.1.2 eq 25 access-list 102 permit icmp any 128.88.0.0 0.0.255.255 interface ethernet 0 ip access-group 102 in
  38. 38. Recomendaciones Acceso vía IP El acceso al switch por IP lo hace vulnerable a ataques, considere las siguientes precauciones: La IP del switch debe pertnecer a una subred (vlan) diferente a la de usuarios y protegida por un FW o un router con listas de acceso. No vlan 1 Lista de acceso de vty en el switch permitiendo solamente el acceso desde ciertos host seguros Tener username y password para entrada en el switch Enable secret en lugar de enable password Usar template de puertos de acceso para evitar acceso por trunking, cdp, etc.
  39. 39. Seguridad user user password password line vty 0 password password access-class 10 in enable secret password login local service password-encryption line vty 1 privilege exec level 5 traceroute login privilege exec level 5 ping line vty 2 enable password level 5 pelitos password password <--No ! recomendable ¡ access-list 10 permit 11.77.37.0 0.0.0.255
  40. 40. Cisco Discovery Protocol (CDP) Protocolo de capa 2 que funciona en todos los equipos Cisco Sirve para descubrir equipos vecinos (directamente conectados) de un equipo cisco. Independiente del medio (solo soporte sobre SNAP) Version 2 Habilitado globalmente y en todas las interfaces por default
  41. 41. Comandos CDP Habilitar cdp (interface) cdp enable Deshabilitar (interface) no cdp enable Mostrar cdp show cdp interface [type number] show cdp neighbors [type number][detail]
  42. 42. Monitoreo SNMP No habilitar si no se usa No usar comunidades con nombres conocidos (ej: public/private) Usar SNMPv3 si es posible Listas de acceso para SNMP Ingresar información de contactos
  43. 43. Monitoreo (SNMP) Contacto del sistema snmp-server contact text Locación del sistema. snmp-server location text ID numérico del chasis snmp-server chassis-id text Definir la comunidad snmp-server community string [view view- name] [ro |rw] [access-list number] Especificar el recipiente snmp-server host host community-string del trap [trap-type] Especificar el tipo de snmp-server enable traps [trap-type] traps a enviar [trap-option]
  44. 44. SNMP Ejemplo snmp-server community secret RO 1 snmp-server trap-authentication snmp-server location Edificio_1 snmp-server contact Juan Perez snmp-server host 10.10.100.30 secret access-list 1 permit 10.10.102.30 access-list 1 permit 10.10.101.30 access-list 1 permit 10.10.100.30
  45. 45. Network Time Protocol (NTP) Permite sincronizar la hora y fecha con un servidor Se recomienda usar en conjunto con comandos de tiempo para sincronizar con zonas horarias y cambio de horario de verano
  46. 46. Configuración NTP Checar NTP show ntp associations [detail] show ntp status Configuración NTP ntp server ip-address ntp source interface
  47. 47. Zonas horarias y cambios de horarios Zona horaria clock timezone zone hours-offset [minutes-offset] Cambio de horario clock summer-time zone recurring [week day month hh:mm week day month hh:mm [offset]] Ejemplo: clock timezone Mexico -6 clock summer-time Mexico recurring 1 Sun Apr 2:00 4 Sun Oct 2:00
  48. 48. Logging Sirve para mantener un log de eventos en el equipo La salida del log puede enviarse a: Consola, como salida a la terminal, no se guarda Buffer, se guarda en memoria, buffer de tamaño variable que al llenarse borra la entrada más nueva. Se pierde al apagar el equipo o al reiniciarse. Servidor, se envía a un servidor de Syslog previamente configurado. Terminal Virtual (vty), igual que consola pero en terminal virutal
  49. 49. Configuración logging logging buffered [size] logging host logging file flash:filename logging source-interface <interface> service timestamps log uptime service timestamps log datetime [msec] [localtime][show-timezone]
  50. 50. Ejemplo Logging service timestamps debug datetime service timestamps log datetime localtime logging source-interface Loopback3 logging 10.10.100.30
  51. 51. Mensajes de entrada banner motd c message c Ejemplo: Switch(config)# banner motd # This is a secure site. Only authorized users are allowed. For access, contact technical support. # Switch(config)#
  52. 52. Administración de MAC Address La tabla de MAC address contiene la información de las direcciones que el switch usa para mover tráfico entre puertos El switch aprende direcciones cuando los hosts envían paquetes Estas direcciones se ponen en una tabla {dirección - puerto} la cual se modifica cuando se aprenden direcciones o hace time- out la dirección
  53. 53. Desplegar tabla de mac-address show mac address-table address <mac- address> show mac address-table aging-time show mac address-table count show mac address-table dynamic show mac address-table interface <interface> show mac address-table multicast show mac address-table static show mac address-table vlan <vlan_id>
  54. 54. Monitoreo y Mantenimiento Task Command Prueba la posibilidad de alcanzar un nodo ping [protocol] {host | address} (priviliegiado) Prueba la posibilidad de alcanzar un nodo ping [protocol] {host | address} (usuario) Trace la ruta que sigue un paquete para trace [destination] alcanzar su destino (privilegiado) Trace la ruta que sigue un paquete para trace ip destination alcanzar su destino (usuario)
  55. 55. Ping Carácter Resultado ! Cada signo de exclamación indica que se recibió la respuesta . Cada punto indica que el tiempo de espera expiró U Destino inalcanzable (unreachable) N Red inalcanzable P Protocolo inalcanzable Q Source quench. M No se pudo fragmentar ? Tipo de paquete desconocido
  56. 56. Ping Campo Descripción Protocol [ip]: Default es IP. Target IP address: Nodo destino Repeat count [5]: Número de paquetes a enviar Datagram size [100]: Tamaño del datagrama (bytes) Timeout in seconds [2]: Tiempo de expiración Extended commands [n]: Especifica si se desean comandos extendidos Source address: Dirección de IP que aparecerá en la dirección fuente. Type of service [0]: Seleccción del Internet service quality. RFC 791 Set DF bit in IP header? Don't Fragment. Especifica que si un paquete encuentra un nodo en el camino que esta configurado para un MTU menor que el del paquete, entonces el paquete será descartado enviando un mensaje al enrutador. Es útil para determinar el mtu mínimo en el caminos. Default: no. Data pattern [0xABCD]: Pone el patrón de 16-bit hexadecimal.
  57. 57. Ping Campo Descripción Loose, Strict, Record, Opciones de encabezado de Internet soportadas. RFC 791 Timestamp, Verbose [none]: Record es la más útil. Sweep range of sizes [n]: Permite variar el tamaño de los paquetes de echo enviados.
  58. 58. Traceroute Campo Descripción Target IP address Nombre o dirección de IP del nodo destino. Source address La dirección de alguna de las interfases del enrutador la cual se usará como fuente los probes. Numeric display El default es mostrar desplegado simbólico y numérico, sin embargo el simbólico puede ser suprimido. Timeout in seconds El número de segundos en el que se espera una respuesta de un paquete de probe. Probe count El número de probes que se enviarán a cada nivel de TTL. Minimum Time to Live [1] El TTL para los primero probes. El default es 1, pero puede ser cambiado a valores más altos para suprimir los hops conocidos. Maximum Time to Live [30] El TTL más grande que puede ser usado Port Number El puerto destino usado por los paquetes de UDP probe. El default es 33434
  59. 59. Traceroute Campo Descripción Loose, Strict, Record, Opciones del encabezado de IP. Loose Source Routing Permite especificar una lista de nodos que deben ser atravesados para ir al destino. Strict Source Routing Permite especificar una lista de nodos que deben ser los únicos nodos atravesados para ir al destino. Record Graba los brincos atravesados Timestamp Tiempo relativo en la recepción de probes Verbose Si selecciona cualquier opción, el modo verbose es automáticamente seleccionado. Se puede deshabilitarsi se selecciono de nuevo.
  60. 60. Configuraciones sugeridas Puerto usuario interface FastEthernet0/<n> switchport access vlan <id> switchport mode access no ip address no logging event link-status no snmp trap link-status no cdp enable spanning-treeportfast speed auto pagp mode auto
  61. 61. C.S. Puerto sw-sw interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport trunk allowed vlan <vlans> switchport mode trunk no ip address Forzar trunk Solo permitir vlans necesaria No eliminar logging de interfaz up/down No eliminar CDP si el equipo que se conecta no es de una entidad externa
  62. 62. Seguridad service password-encryption ! enable secret <password> ! username <user> password <password> ! access-list 1 permit 10.10.100.0 0.0.0.255 access-list 102 permit ip 10.0.1.0 0.0.0.255 any ! snmp-server community password RO 1 ! line vty 0 4 access-class 102 in login local
  63. 63. Administración service timestamps debug uptime service timestamps log datetime localtime hostname <nombre_switch> clock timezone Mexico -6 clock summer-time Mexico recurring 1 Sun Apr 2:00 4 Sun Oct 2:00 ip name-server <ip_server> ip domain-list net.itesm.mx ip domain-list <campus>.itesm.mx logging source-interface <interface> logging <ip_server> ntp server <ip_server>
  64. 64. L3 Switching. MultiLayer Switching (MLS) MLS provee conmutación a nivel 3 basado en hardware para algunas de las series de switches Cisco. MLS conmuta flujos de paquetes de IP unicast entre subredes usando circuitos integrados para aplicaciones avanzadas de uso específico (ASIC). Esta conmutación en hardware, permite la descarga de procesamiento de los enrutadores tradicionales. Los paquetes son conmutados de esta forma siempre y cuando se tenga un path entre los dos host que los generan.
  65. 65. MLS Los paquetes que no tengan un path parcial o completo hacia sus destinos son enviados por enrutadores en la forma tradicional (OSPF, EIGRP, RIP, IS-IS). MLS provee estadísticas de tráfico que pueden usarse para identificar las características de tráfico para administración, planeación y resolución de problemas. MLS usa NetFlow Data Export (NDE) para exportar estadísticas de flujos de tráfico.
  66. 66. Componentes de MLS Multilayer Switching-Switching Engine (MLS-SE) La MLS-SE provee los servicios de Layer 3 LAN-switching . Multilayer Switching-Route Processor (MLS-RP) Un enrutador que soporte MLS. El MLS-RP provee multiprotocol routing, servicios de capa de red, control y configuración central de los switches. Multilayer Switching Protocol (MLSP) Es el protocolo corriendo entre el MLS-SE y el MLS-RP para habilitar MLS.
  67. 67. MLS Host A y Host B están en diferente VLAN. EL primer paquete de A es enviado a su enrutador (gateway o MLS-RP). EL MLS-SE identifica el flujo de tráfico y las MAC Address involucradas (A, B y enrutador) y crea una entrada en su cache. (solo si el flujo fue válido) El siguiente paquete de A a B es identificado nuevamente por el MLS-SE, al ya existir una tabla en el cache, el MLS-SE intercepta el paquete y modifica el contenido del header de L2 (MAC fuente y destino) y el header de L3 (TTL, checksum)
  68. 68. MLS
  69. 69. Internet Protocol Las direcciones de IP son escritas en forma decimal separadas por puntos, ej: 131.178.1.2, la cual es una clase B y se representa 131.178.0.0
  70. 70. Internet Protocol Subredes Las redes de IP pueden ser divididas en pequeñas unidades llamadas subredes, éstas provén una flexibilidad extra para los administradores de redes. Segmentación del dominio de broadcast.
  71. 71. Internet Protocol Máscaras Mismo formato y técnica de representación que direcciones de IP. Tienen unos en todos los bits excepto en aquellos que identifican al nodo. 00100010 00000000 00000000 00000000 34.0.0.0 11111111 11111111 00000000 00000000 255.255.0.0
  72. 72. Internet Protocol Máscaras Básicas Clase A 255.0.0.0 Clase B 255.255.0.0 Clase C 255.255.255.0 00100010 00000000 00000000 00000000 10.0.0.0 11111111 00000000 00000000 00000000 255.0.0.0 Red Nodo
  73. 73. Internet Protocol Subneteo Básico 00001010 00000000 00000000 00000001 10.0.0.1 11111111 11111111 00000000 00000000 255.255.0.0 Red Subred Nodo
  74. 74. Internet Protocol Variable Length Subnet Mask Es el hecho de que una red puede ser configurada con diferentes máscaras. La idea es ofrecer mayor flexibilidad al dividir una red en subredes de longitudes variables para ofrecer el número de nodos adecuados a cada una de ellas.
  75. 75. Internet Protocol Ejemplo: Se tiene asignada una clase C 192.214.11.0., y se necesita dividirla en tres subredes, una con 100 nodos y las otras 2 con 50. Con subneteo básico, ignorando los límites 0 y 255 se tienen 256 direcciones. La subdivisión deseada no puede ser realizada.
  76. 76. Internet Protocol 252 (1111 1100)-64 subredes con 4 nodos cada una 248 (1111 1000)-32 subredes con 8 nodos cada una 240 (1111 0000)-16 subredes con 16 nodos cada una 224 (1110 0000)-8 subredes con 32 nodos cada una 192 (1100 0000)-4 subredes con 64 nodos cada una 128 (1000 0000)-2 subredes con 128 nodos cada una
  77. 77. Internet Protocol 190.214.11.0 255.255.255.128 190.214.11.x 128 Nodos 190.214.11.128 255.255.255.192 E2 190.214.11.192 255.255.255.192 64 Nodos 64 Nodos E3 E4
  78. 78. Internet Protocol CIDR (Classless Interdomain Routing) Se mueve del modelo tradicional de clases de IP A,B,C. Una red de IP se representa por un prefijo, que es una dirección de IP y una indicación de los bits contiguos más significantes de izquierda a derecha. Ej: 198.32.0.0/16, a la que llamamos supernet El anuncio de 198.32.0.0/16 permite unir todas las rutas específicas (como 198.32.1.0, 198.32.2.0, etc.) en un solo anuncio llamado agregado.
  79. 79. Internet Protocol longitud de prefijo Prefijo 0 8 16 24 Clase C:198.32.1.0 11000110 0010000 00000001 00000000 máscara 255.255.255.0 11111111 1111111 11111111 00000000 máscara 255.255.0.0 11111111 1111111 00000000 00000000 supernet máscara natural
  80. 80. Internet Protocol CCIDR Notación Decimal # Clase de Red /1 128.0.0.0 128 As /2 192.0.0.0 64 As /3 224.0.0.0 32 As /4 240.0.0.0 16 As /5 248.0.0.0 8 As /6 252.0.0.0 4 As /7 254.0.0.0 2 As /8 255.0.0.0 1 A or 256 Bs /9 255.128.0.0 128 Bs /10 255.192.0.0 64 Bs /11 255.224.0.0 32 Bs /12 255.240.0.0 16 Bs /13 255.248.0.0 8 Bs /14 255.252.0.0 4 Bs /15 255.254.0.0 2 Bs /16 255.255.0.0 1 Bs or 256 Cs /17 255.255.128.0 128 Cs /18 255.255.192.0 64 Cs /19 255.255.224.0 32 Cs /20 255.255.240.0 16 Cs /21 255.255.248.0 8 Cs /22 255.255.252.0 4 Cs /23 255.255.254.0 2 Cs /24 255.255.255.0 1 C /25 255.255.255.128 1/2 C /26 255.255.255.192 1/4 C /27 255.255.255.224 1/8 C /28 255.255.255.240 1/16 C /29 255.255.255.248 1/32 C /30 255.255.255.252 1/64 C /31 255.255.255.254 1/128 C /32 255.255.255.255 1/256 C
  81. 81. Práctica 1 Configure 2 vlans en un switch (2 y 3, vlan2 y vlan3) Conecte 2 switches por trunk y ponga los demás puertos en la vlan 2 y modo acceso (use template). Identifique el switch root. Fuerce el otro switch a ser root Los puertos de la vlan 2 póngalos en port-fast Haga una segunda conexión entre los 2 switches mediante un puerto en port-fast. ¿Hay loop? El segundo puerto de interconexión quítele el port-fast y póngalo en trunk Use un puerto para vlan2 y el otro para vlan3. Use port cost. Verifique que el tráfico de vlan2 va por el puerto1 y el de la vlan3 por el puerto2 Configure BPDU Guard y conecte otro puerto port-fast de inteconexión. ¿Qué pasa? Desconete, ¿Se habilita el puerto?
  82. 82. Práctica 2 Configure clock, logging de buffer Configure IP, usuarios, password de enable Verifique funcionamiento Configure SNMP, verifique Ponga lista de acceso para permitir una sola IP para telnet y snmp, verifique que de otras IPs no funcionen Cheque logs

×