CURSO BÁSICO DE CONFIGURACIÓN DE SWITCHES

PARTE 2 DE 3

TELECOMUNICACIONES Y REDES DEL SISTEMA ING. ARTURO SERVIN

aservin@itesm.mx

Objetivo

Aprender a hacer las configuracionesbásicas de switches 3550 y 2950 sin descuidar aspectos de desempeño y seguridad

“The Catalyst 3550 switch is designed for plug-and-play operation: you need to configure only basic IP information for the switch and connect it to the other devices in your network. If you have specific network needs, you can configure and monitor the switch on an individual basis or as part of a switch cluster through its various management interfaces”

Agenda

SPTAcceso por IPVTYSeguridadCDP

Monitoreo y administraciónNTP y zonas horariasLoggingAdministración de MAC Address

TroubleshootingConfiguraciones sugeridasOperación L3 switchingIP Avanzado

Spanning Tree(STP 802.1d)

Evitar loops en una red de puentes (switches)Respaldo automático de conexión/No balanceo (se puedo pero es balanceo por vlan)

Elección de un puente raíz (uno por red)

Mensajes por Bridge Protocol Data Units (BPDU)

Todos los otros puentes determina porque puerto es el camino más corto al puente raíz. Sus demás puertos hacia éste o que puedan causar un loop se dan de baja.

STP

Todos los puentes intercambian paquetes de Hello, BPDU, los cuales proveen información como bride ID, Root ID, y root path cost.Esta información sirve para que unánimamente elijan un puente raíz. Se comparan los bridge ID y el que tenga el ID menor (mayor prioridad es el elegido). Mayor prioridad, menor ID.Si hay puentes con el mismo ID, se toma el de la menor MAC address

STP

Se selecciona un puente designado para cada LAN. Si más de un puente está conectado a la LAN, el puente con el path cost más corto al raíz es el elegido. En caso de duplicación de path cost, el puente con el ID menor es el elegido.Los puentes no-designados en la LAN, ponen sus puertos no seleccionado en estado blocked. En estado blocked los puertos “escuchan” para cambiar a forwarding en un posible cambio de topología.

STP

Server/Host

Workstations

Bridge

Loop

Loop

C D

A B

Vlan 1

Vlan 2

Vlan 3

STP

Vlan 1

Designated BridgeFF

FFRoot Port

C D

FF

FF

Designated Port

Designated PortFF

BB

Root PortRoot Bridge A B

BB

FF

Vlan 2

Designated PortVlan 3

BB Blocked Port FF Forwarding Port

STP Topología Lógicaresultante

A

Vlan 2Vlan 1

D C

B

Vlan 3

Formato de Frame

Protocol Version ID BPDU Type BPDU field Root Root ID Root PathID Priotity Cost

Bridge Bridge Port ID Message Max Age Hello Time ForwardPriority Age Delay

Formato de Frame

Protocol IDContiene el valor de 0, el cual identifica al STA y Protocolo

VersionValor de 0, especificado como estándar

Message TypeValor de 0

Flags1 byte, último bit es el Topology Change (TC) que informa de un cambio en la topología, el primer bit es el Topology Change Acknowledgment (TCA) que indica que se ha recibido un frame con el TC en uno.

Formato de Frame

Root IDIdentifica el puente raíz, 2 byte de prioridad seguidos de un ID de 6 bytes (comunmente MAC address del puente).

Root path costContiene el costo del path desde el puente hasta el puente raíz. Puede ser ajustado.

Bridge IDIndentifica la prioridad e ID del puente enviando el mensaje.

Port IDIdentifica el puerto desde donde se envía la información.

Formato de Frame

Message AgeEspecifica la cantidad de tiempo desde que el raíz envío el mensaje de la configuración actual.

Maximum AgeDos bytes que indican cuando la configuración actual debe ser borrada.

Hello TimeProvee el periodo de tiempo entre configuraciones del raíz

Forward delayProvee la cantidad de tiempo que un puente debe esperar para cambiar de estado después de un cambio de topología.

Ventajas de STP

Debido a que el puente es el único responsable del forwardeo de paquetes, ningún cambio es necesario en el software de la estación final.Los cambios en la red son fácilmente hechos porque nuevas estaciones finales son aprendidas conforme estas pasan a través de la LAN.El STP automáticamente reconfigura nuevos paths entre LANs si el primario cae.

Desventajas de STP

No se permiten paths paralelos o múltiples por defaultLos paths de respaldo están inactivos durante operación normal, lo cual es un desperdicio de ancho de banda.No hay balanceo de cargas, si un path está congestionado, el alterno no puede utilizarse para desahogar tráfico.Algunos controladores de red no soportan el delay extendido por los Transparent BridgesLa administración de la red se vuelva más compleja ya que la red se ve como gran red plana.

STP Default (Cat 3550)

Enable state Enabled on VLAN 1.Up to 128 spanning-tree instances can be enabled.Switch priority 32768.Spanning-tree port priority (configurable on a per-interface basis—used on interfaces configured as Layer 2 access ports): 128.Spanning-tree port cost (configurable on a per-interface basis—used on interfaces configured as Layer 2 access ports)

1000 Mbps: 4.100 Mbps: 19.10 Mbps: 100.

STP Default (Cat 3550)

Spanning-tree VLAN port priority (configurable on a per-VLAN basis—used on interfaces configured as Layer 2 trunk ports): 128.Spanning-tree VLAN port cost (configurable on a per-VLAN basis—used on interfaces configured as Layer 2 trunk ports)

1000 Mbps: 4.100 Mbps: 19.10 Mbps: 100.

Hello time 2 seconds.Forward-delay time 15 seconds.Maximum-aging time 20 seconds.

Configuración STP

Habilita STP en una vlanspanning-tree vlan vlan-id

Deshabilita spanning-tree en una vlanno spanning-tree vlan vlan-id

Verifica entradas de STPshow spanning-tree vlan vlan-id show spanning-tree detail spanning-tree vlan <id> root primary

Pone el switch como root de la vlan <id>spanning-tree vlan vlan-id root

Uso de port-priority y cost

Port-priorityBalanceo de tráfico en 2 enlaces redundantes

CostUso de una interfaz GE sobre una FE comopath de respaldoBalanceo de tráfico en 2 enlaces redundantes

Ejemplos STP Trunk 1Vlan 8-10 (prioridad 10)Vlans 3-6 (prioridad 128)

Trunk 2Vlan 3-6 (prioridad 10)Vlans 8-10 (prioridad 128)

Suponiendo que ya se tienen vlans y trunks activadosconfigure terminal interface fastethernet0/1

spanning-tree vlan 8 port-priority 10 spanning-tree vlan 9 port-priority 10 spanning-tree vlan 10 port-priority 10

interface fastethernet0/2 spanning-tree vlan 3 port-priority 10 spanning-tree vlan 4 port-priority 10 spanning-tree vlan 5 port-priority 10 spanning-tree vlan 6 port-priority 10

Ejemplos STP

Lo mismo se pueed hacer pero usandocosto en lugar de prioridad:interface fastethernet 0/1

spanning-tree vlan 2 cost 30 spanning-tree vlan 3 cost 30 spanning-tree vlan 4 cost 30

Protección de loops

Para funcionamiento correcto de puertos de usuarios es necesario poner el puerto como“spanning-tree portfast”, esto deshabilita SPT haciendo que si ocurre un loop, este no se detecteBPDU port guard deshabilita puertos “port-fast” que reciban BPDUs si esta habilitadoglobal o deshabilita el puerto si recibe BPDUsindependiente si es “port-fast” o no si eshabilitado por interfaz

BPDU Guard

Globalspanning-tree portfast bpduguarddefault

Interfazspanning-tree bpduguard enable

Acceso remoto vía IP

configure interface vlan vlan-id

ip address ip-address subnet-mask exit

ip default-gateway ip-address

Opcionales IP

DNSip name-server ip-address

Dominioip domain-name <string>

Dominio (varios)ip domain-list <string1>ip domain-list <string2>

Configuración VTY length

length screen-length Default 24 lines

width width caracteresDefault 80 columnas de caracteres

switch(config)# line vty 1switch(config-line)# length 30switch(config-line)# length 70

Seguridad en VTY

Subcomando Prompt Funciónno login Ninguno Sin seguridadlogin Password: Seguridad de Puerto, es necesario

configurar el comando “password” en vty para activarlo

login local Username: Checa la base de Password: dato global que tiene

en configuraciónlogin tacacs Username: Checa en el servidor

Password: TACACS

Seguridad VTY

Password (comando de configuración de línea)password password

User - Password (comando de configuración global)user user password password

En la configuración de línea o de consolaloginlogin localno loginlogin taccacs

Seguridad para el acceso al Router

line vty 0 4access-class 10 in login local¡access-list 10 permit 131.177.37.0 0.0.0.255

Seguridad

Encripción de passwordsservice password-encryption

Nivel privilegiadoEnable secret

enable secret password

Enable password (no usar)enable password password

Seguridad

Nivel de Privilegio para un comandoprivilege mode level level commandenable password level level [encryption-type] password show privilege

Filtros de paquetes de IP

Filtrar paquetes ayuda a controlar el movimiento de paquetes a través de la red. Este control puede ayudar a limitar y restringir el tráfico en la red para ciertos dispositivos o usuarios.

Controlar la transmisión de paquetes sobre una interface.Para controlar acceso a terminales virtuales.Para restringir contenidos en los updates de a las tablas de ruteo.

Listas de Acceso

Una lista de acceso es una secuencia de condiciones de permit y deny que se aplican a direcciones de IP. El IOS prueba las direcciones contra las condiciones en la listade acceso una por una. El primer match determina si el software acepta o rechaza la dirección. Debido a que el software termina de probar condiciones después del primer match, el orden es crítico. Si ninguna condición concuerda, el software rechaza la dirección.

Listas de Acceso

Los pasos que se siguen para crear una lista de acceso son los siguientes:

Paso 1: Crear una lista de acceso especificando un número de lista y lascondiciones de acceso.Paso 2: Aplicar la lista de acceso a las interfaces o las terminales

Las listas de acceso pueden ser estándar o extendidasLas estándar usan la dirección fuente para las operaciones (1-99)Las extendidas usan la dirección fuente y destino para las operaciones, además de opcionalmente el tipo de protocolo. (100-199)

Listas de Acceso

Tarea ComandoDefine una lista de acceso estándar usando una dirección fuente y una wildcard

access-list access-list-number {deny | permit} source [source-wildcard]

Define una lista extendida para IP y las condiciones de acceso.

access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [log] [eq tcp/udp]

Listas de accesoEjemplo de lista de acceso:

access-list 2 permit 36.48.0.3access-list 2 deny 36.48.0.0 0.0.255.255 access-list 2 permit 36.0.0.0 0.255.255.255 interface ethernet 0ip access-group 2 in

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25access-list 102 permit tcp any host 128.88.1.2 eq 25access-list 102 permit icmp any 128.88.0.0 0.0.255.255interface ethernet 0ip access-group 102 in

RecomendacionesAcceso vía IP

El acceso al switch por IP lo hace vulnerable a ataques, considere las siguientes precauciones:

La IP del switch debe pertnecer a una subred (vlan) diferente a la de usuarios y protegida por un FW o un router con listas de acceso. No vlan 1Lista de acceso de vty en el switch permitiendo solamente el acceso desde ciertos host segurosTener username y password para entrada en el switchEnable secret en lugar de enable passwordUsar template de puertos de acceso para evitar acceso portrunking, cdp, etc.

Seguridad

line vty 0 access-class 10 in login localline vty 1 loginline vty 2 password password <--No

recomendable¡access-list 10 permit 11.77.37.0

0.0.0.255

user user password passwordpassword passwordenable secret passwordservice password-encryptionprivilege exec level 5 tracerouteprivilege exec level 5 pingenable password level 5 pelitos!

Cisco Discovery Protocol (CDP)

Protocolo de capa 2 que funciona en todos losequipos CiscoSirve para descubrir equipos vecinos (directamenteconectados) de un equipo cisco.Independiente del medio (solo soporte sobre SNAP)Version 2Habilitado globalmente y en todas las interfaces pordefault

Comandos CDP

Habilitar cdp (interface)cdp enable

Deshabilitar (interface)no cdp enable

Mostrar cdpshow cdp interface [type number]show cdp neighbors [type number][detail]

Monitoreo SNMP

No habilitar si no se usaNo usar comunidades con nombresconocidos (ej: public/private)Usar SNMPv3 si es posibleListas de acceso para SNMPIngresar información de contactos

Monitoreo (SNMP)

Contacto del sistema snmp-server contact textLocación del sistema. snmp-server location textID numérico del chasis snmp-server chassis-id textDefinir la comunidad snmp-server community string [view view-

name] [ro |rw] [access-list number]Especificar el recipiente snmp-server host host community-stringdel trap [trap-type]Especificar el tipo de snmp-server enable traps [trap-type] traps a enviar [trap-option]

SNMP Ejemplo

snmp-server community secret RO 1 snmp-server trap-authentication snmp-server location Edificio_1snmp-server contact Juan Perez snmp-server host 10.10.100.30 secret

access-list 1 permit 10.10.102.30 access-list 1 permit 10.10.101.30 access-list 1 permit 10.10.100.30

Network Time Protocol (NTP)

Permite sincronizar la hora y fecha con un servidorSe recomienda usar en conjunto con comandos de tiempo para sincronizarcon zonas horarias y cambio de horariode verano

Configuración NTP

Checar NTPshow ntp associations [detail]show ntp status

Configuración NTPntp server ip-addressntp source interface

Zonas horarias y cambios de horarios

Zona horariaclock timezone zone hours-offset [minutes-offset]

Cambio de horarioclock summer-time zone recurring [week day month hh:mm week day month hh:mm [offset]]

Ejemplo:clock timezone Mexico -6clock summer-time Mexico recurring 1 Sun Apr 2:00 4

Sun Oct 2:00

Logging

Sirve para mantener un log de eventos en el equipoLa salida del log puede enviarse a:

Consola, como salida a la terminal, no se guardaBuffer, se guarda en memoria, buffer de tamañovariable que al llenarse borra la entrada más nueva. Se pierde al apagar el equipo o al reiniciarse.Servidor, se envía a un servidor de Syslogpreviamente configurado.Terminal Virtual (vty), igual que consola pero en terminal virutal

Configuración logging

logging buffered [size] logging hostlogging file flash:filenamelogging source-interface <interface>service timestamps log uptimeservice timestamps log datetime[msec] [localtime][show-timezone]

Ejemplo Logging

service timestamps debug datetimeservice timestamps log datetime localtimelogging source-interface Loopback3logging 10.10.100.30

Mensajes de entrada

banner motd c message cEjemplo:

Switch(config)# banner motd #This is a secure site. Only authorized users are

allowed.For access, contact technical support.#Switch(config)#

Administración de MAC Address

La tabla de MAC address contiene la información de las direcciones que el switch usa para mover tráfico entre puertosEl switch aprende direcciones cuando loshosts envían paquetesEstas direcciones se ponen en una tabla{dirección - puerto} la cual se modificacuando se aprenden direcciones o hace time-out la dirección

Desplegar tabla de mac-address

show mac address-table address <mac-address>show mac address-table aging-timeshow mac address-table count show mac address-table dynamic show mac address-table interface <interface>show mac address-table multicast show mac address-table static show mac address-table vlan <vlan_id>

Monitoreo y Mantenimiento

Task CommandPrueba la posibilidad de alcanzar un nodo (priviliegiado)

ping [protocol] {host | address}

Prueba la posibilidad de alcanzar un nodo (usuario)

ping [protocol] {host | address}

Trace la ruta que sigue un paquete para alcanzar su destino (privilegiado)

trace [destination]

Trace la ruta que sigue un paquete para alcanzar su destino (usuario)

trace ip destination

Ping

Carácter Resultado

! Cada signo de exclamación indica que se recibió la respuesta

. Cada punto indica que el tiempo de espera expiró U Destino inalcanzable (unreachable) N Red inalcanzable P Protocolo inalcanzableQ Source quench. M No se pudo fragmentar? Tipo de paquete desconocido

Ping

Campo DescripciónProtocol [ip]: Default es IP. Target IP address: Nodo destino Repeat count [5]: Número de paquetes a enviar Datagram size [100]: Tamaño del datagrama (bytes)Timeout in seconds [2]: Tiempo de expiraciónExtended commands [n]: Especifica si se desean comandos extendidos Source address: Dirección de IP que aparecerá en la dirección fuente.Type of service [0]: Seleccción del Internet service quality. RFC 791Set DF bit in IP header? Don't Fragment. Especifica que si un paquete encuentra

un nodo en el camino que esta configurado para un MTU menor que el del paquete, entonces el paquete será descartado enviando un mensaje al enrutador. Es útil para determinar el mtu mínimo en el caminos. Default: no.

Data pattern [0xABCD]: Pone el patrón de 16-bit hexadecimal.

Ping

Campo DescripciónLoose, Strict, Record, Opciones de encabezado de Internet soportadas. RFC

791Timestamp, Verbose [none]: Record es la más útil. Sweep range of sizes [n]: Permite variar el tamaño de los paquetes de echo

enviados.

Traceroute

Campo DescripciónTarget IP address Nombre o dirección de IP del nodo destino.Source address La dirección de alguna de las interfases del enrutador la

cual se usará como fuente los probes.Numeric display El default es mostrar desplegado simbólico y numérico,

sin embargo el simbólico puede ser suprimido. Timeout in seconds El número de segundos en el que se espera una respuesta

de un paquete de probe. Probe count El número de probes que se enviarán a cada nivel de TTL.Minimum Time to Live [1] El TTL para los primero probes. El default es 1, pero

puede ser cambiado a valores más altos para suprimir los hops conocidos.

Maximum Time to Live [30] El TTL más grande que puede ser usadoPort Number El puerto destino usado por los paquetes de UDP probe.

El default es 33434

Traceroute

Campo DescripciónLoose, Strict, Record, Opciones del encabezado de IP. Loose Source Routing Permite especificar una lista de nodos que deben ser

atravesados para ir al destino.Strict Source Routing Permite especificar una lista de nodos que deben ser

los únicos nodos atravesados para ir al destino.Record Graba los brincos atravesados Timestamp Tiempo relativo en la recepción de probes Verbose Si selecciona cualquier opción, el modo verbose es

automáticamente seleccionado. Se puede deshabilitarsi se selecciono de nuevo.

Configuracionessugeridas

Puerto usuario

interface FastEthernet0/<n>switchport access vlan <id>switchport mode accessno ip addressno logging event link-statusno snmp trap link-statusno cdp enablespanning-treeportfastspeed autopagp mode auto

C.S. Puerto sw-sw

interface GigabitEthernet0/2switchport trunk encapsulation dot1qswitchport trunk allowed vlan <vlans>switchport mode trunkno ip address

Forzar trunkSolo permitir vlans necesariaNo eliminar logging de interfaz up/downNo eliminar CDP si el equipo que se conecta no es de una entidad externa

Seguridad

service password-encryption!enable secret <password>!username <user> password <password>!access-list 1 permit 10.10.100.0 0.0.0.255access-list 102 permit ip 10.0.1.0 0.0.0.255 any!snmp-server community password RO 1!line vty 0 4access-class 102 inlogin local

Administración

service timestamps debug uptimeservice timestamps log datetime localtimehostname <nombre_switch>clock timezone Mexico -6clock summer-time Mexico recurring 1 Sun Apr 2:00

4 Sun Oct 2:00ip name-server <ip_server>ip domain-list net.itesm.mxip domain-list <campus>.itesm.mxlogging source-interface <interface>logging <ip_server>ntp server <ip_server>

L3 Switching. MultiLayer Switching (MLS)

MLS provee conmutación a nivel 3 basado en hardware para algunas de las series de switchesCisco.MLS conmuta flujos de paquetes de IP unicast entre subredes usando circuitos integrados para aplicaciones avanzadas de uso específico (ASIC). Esta conmutación en hardware, permite la descarga de procesamiento de los enrutadores tradicionales.Los paquetes son conmutados de esta forma siempre y cuando se tenga un path entre los dos host que los generan.

MLS

Los paquetes que no tengan un path parcial o completo hacia sus destinos son enviados por enrutadores en la forma tradicional (OSPF, EIGRP, RIP, IS-IS).MLS provee estadísticas de tráfico que pueden usarse para identificar las características de tráfico para administración, planeación y resolución de problemas. MLS usa NetFlow Data Export (NDE) para exportar estadísticas de flujos de tráfico.

Componentes de MLS

Multilayer Switching-Switching Engine (MLS-SE)La MLS-SE provee los servicios de Layer 3 LAN-switching .

Multilayer Switching-Route Processor (MLS-RP)Un enrutador que soporte MLS. El MLS-RP provee multiprotocol routing, servicios de capa de red, control y configuración central de los switches.

Multilayer Switching Protocol (MLSP)Es el protocolo corriendo entre el MLS-SE y el MLS-RP para habilitar MLS.

MLS

Host A y Host B están en diferente VLAN. EL primer paquete de A es enviado a su enrutador (gateway o MLS-RP). EL MLS-SE identifica el flujo de tráfico y las MAC Address involucradas (A, B y enrutador) y crea una entrada en su cache. (solo si el flujo fue válido)El siguiente paquete de A a B es identificado nuevamente por el MLS-SE, al ya existir una tabla en el cache, el MLS-SE intercepta el paquete y modifica el contenido del header de L2 (MAC fuente y destino) y el header de L3 (TTL, checksum)

MLS

Internet Protocol

Las direcciones de IP son escritas en forma decimal separadas por puntos, ej: 131.178.1.2, la cual es una clase B y se representa 131.178.0.0

Internet ProtocolSubredes

Las redes de IP pueden ser divididas en pequeñas unidades llamadas subredes, éstas provén una flexibilidad extra para los administradores de redes.Segmentación del dominio de broadcast.

Internet ProtocolMáscaras

Mismo formato y técnica de representación que direcciones de IP. Tienen unos en todos los bits excepto en aquellos que identifican al nodo.

00100010 00000000 00000000 00000000 34.0.0.0

11111111 11111111 00000000 00000000 255.255.0.0

Internet Protocol

Máscaras BásicasClase A 255.0.0.0Clase B 255.255.0.0Clase C 255.255.255.0

00100010 00000000 00000000 00000000 10.0.0.011111111 00000000 00000000 00000000 255.0.0.0

NodoRed

Internet Protocol

Subneteo Básico

00001010 00000000 00000000 00000001 10.0.0.1

11111111 11111111 00000000 00000000 255.255.0.0

Red NodoSubred

Internet Protocol

Variable Length Subnet MaskEs el hecho de que una red puede ser configurada con diferentes máscaras. La idea es ofrecer mayor flexibilidad al dividir una red en subredes de longitudes variables para ofrecer el número de nodos adecuados a cada una de ellas.

Internet Protocol

Ejemplo:Se tiene asignada una clase C 192.214.11.0., y se necesita dividirla en tres subredes, una con 100 nodos y las otras 2 con 50. Con subneteo básico, ignorando los límites 0 y 255 se tienen 256 direcciones. La subdivisión deseada no puede ser realizada.

Internet Protocol

252 (1111 1100)-64 subredes con 4 nodos cada una248 (1111 1000)-32 subredes con 8 nodos cada una240 (1111 0000)-16 subredes con 16 nodos cada una224 (1110 0000)-8 subredes con 32 nodos cada una192 (1100 0000)-4 subredes con 64 nodos cada una128 (1000 0000)-2 subredes con 128 nodos cada una

Internet Protocol

E3

E2

E4

128 Nodos

64 Nodos

64 Nodos

190.214.11.x190.214.11.x 190.214.11.0 255.255.255.128190.214.11.0 255.255.255.128

190.214.11.128 255.255.255.192190.214.11.128 255.255.255.192 190.214.11.192 255.255.255.192190.214.11.192 255.255.255.192

Internet Protocol

CIDR (Classless Interdomain Routing)Se mueve del modelo tradicional de clases de IP A,B,C. Una red de IP se representa por un prefijo, que es una dirección de IP y una indicación de los bits contiguos más significantes de izquierda a derecha.Ej: 198.32.0.0/16, a la que llamamos supernetEl anuncio de 198.32.0.0/16 permite unir todas las rutas específicas (como 198.32.1.0, 198.32.2.0, etc.) en un solo anuncio llamado agregado.

Internet Protocol

longitud de prefijoPrefijo 0 8 16 24

Clase C:198.32.1.0 11000110 0010000 00000001 00000000máscara 255.255.255.0 11111111 1111111 11111111 00000000máscara 255.255.0.0 11111111 1111111 00000000 00000000

supernetmáscara natural

Internet ProtocolCCIDR Notación Decimal # Clase de Red/1 128.0.0.0 128 As/2 192.0.0.0 64 As/3 224.0.0.0 32 As/4 240.0.0.0 16 As/5 248.0.0.0 8 As/6 252.0.0.0 4 As/7 254.0.0.0 2 As/8 255.0.0.0 1 A or 256 Bs/9 255.128.0.0 128 Bs/10 255.192.0.0 64 Bs/11 255.224.0.0 32 Bs/12 255.240.0.0 16 Bs/13 255.248.0.0 8 Bs/14 255.252.0.0 4 Bs/15 255.254.0.0 2 Bs/16 255.255.0.0 1 Bs or 256 Cs/17 255.255.128.0 128 Cs/18 255.255.192.0 64 Cs/19 255.255.224.0 32 Cs/20 255.255.240.0 16 Cs/21 255.255.248.0 8 Cs/22 255.255.252.0 4 Cs/23 255.255.254.0 2 Cs/24 255.255.255.0 1 C/25 255.255.255.128 1/2 C/26 255.255.255.192 1/4 C/27 255.255.255.224 1/8 C/28 255.255.255.240 1/16 C/29 255.255.255.248 1/32 C/30 255.255.255.252 1/64 C/31 255.255.255.254 1/128 C/32 255.255.255.255 1/256 C

Práctica 1

Configure 2 vlans en un switch (2 y 3, vlan2 y vlan3)Conecte 2 switches por trunk y ponga los demás puertos en la vlan 2 y modo acceso (use template). Identifique el switch root. Fuerce el otro switch a ser rootLos puertos de la vlan 2 póngalos en port-fastHaga una segunda conexión entre los 2 switches mediante un puerto en port-fast. ¿Hay loop?El segundo puerto de interconexión quítele el port-fast y póngalo en trunkUse un puerto para vlan2 y el otro para vlan3. Use port cost.Verifique que el tráfico de vlan2 va por el puerto1 y el de la vlan3 por el puerto2Configure BPDU Guard y conecte otro puerto port-fast de inteconexión. ¿Qué pasa? Desconete, ¿Se habilita el puerto?

Práctica 2

Configure clock, logging de bufferConfigure IP, usuarios, password de enableVerifique funcionamientoConfigure SNMP, verifiquePonga lista de acceso para permitir una solaIP para telnet y snmp, verifique que de otrasIPs no funcionenCheque logs