0 évaluation0% ont trouvé ce document utile (0 vote)
791 vues10 pages
This document provides instructions for common CCNP SWITCH configuration tasks such as:
- Clearing the switch configuration and reloading
- Configuring VLAN and trunk interfaces
- Suspending and activating VLANs
- Creating Etherchannels
- Configuring Spanning Tree settings like root bridge and port priorities
- Enabling protocols like Rapid PVST+, MST, HSRP, and services like DHCP snooping
This document provides instructions for common CCNP SWITCH configuration tasks such as:
- Clearing the switch configuration and reloading
- Configuring VLAN and trunk interfaces
- Suspending and activating VLANs
- Creating Etherchannels
- Configuring Spanning Tree settings like root bridge and port priorities
- Enabling protocols like Rapid PVST+, MST, HSRP, and services like DHCP snooping
This document provides instructions for common CCNP SWITCH configuration tasks such as:
- Clearing the switch configuration and reloading
- Configuring VLAN and trunk interfaces
- Suspending and activating VLANs
- Creating Etherchannels
- Configuring Spanning Tree settings like root bridge and port priorities
- Enabling protocols like Rapid PVST+, MST, HSRP, and services like DHCP snooping
Configurar la Interfaz VLAN DLS1(config)# interface vlan [Nvlan, generalmente 1] DLS1(config-if)# ip address 10.1.1.101 255.255.255.0 DLS1(config-if)# no shutdown Verificar si la interfaz esta en modo Dynamic Auto # show interfaces fastEthernet 0/7 switchport Configurar interfaces Trunk con 802.1q e ISL para capa 3 DLS1(config)# interface range fastEthernet 0/x - y DLS1(config-if-range)# switchport trunk encapsulation [dot1q | isl] DLS1(config-if-range)# switchport mode trunk Nota: Para capa 2 solo el mode trunk Para suspender una vlan ALS1(config)# vlan 120 ALS1(config-vlan)# state suspend Para activarla nuevamente ALS1(config)# vlan 120 ALS1(config-vlan)# no shutdown Creacion de Etherchannel CAPA 2 Para PAgP modo desirable Para LACP modo active
Con eso agrupamos las interfaces
ALS1(config)# interface range fastEthernet 0/11 - 12 ALS1(config-if-range)# channel-group [Numero_grupo] mode [desirable | active] ALS1(config-if-range)#switchport mode trunk Creamos la interfaz port-channel y la dejamos modo Trunk
ALS1(config)# interface port-channel [Numero_grupo] ALS1(config-if)# switchport mode trunk # show etherchannel summary \\ ver los etherchannel creados CAPA 3 DLS1(config)# interface range fastEthernet 0/11 - 12 DLS1(config-if-range)# no switchport DLS1(config-if-range)# channel-group 3 mode desirable Creating a port-channel interface Port-channel 3 DLS1(config-if-range)# interface port-channel 3 DLS1(config-if)# no switchport DLS1(config-if)# ip address [IP] [Mask]
Configurar balanceo de inicio-destino por MAC ALS1(config)# port-channel load-balance src-dst-mac
SPANNING-TREE Configurar ROOT primario o segundario (config)# spanning-tree vlan [NVLAN] root [primary | secondary] Configurar prioridad de spanning-tree Nota: Va de 0 a 240 con incrementos de 16 DLS1(config-if)# spanning-tree port-priority 112 Configurar PortFast (config)#spanning-tree portfast \\ Solo en interfaces mode Access (config)#spanning-tree portfast default \\ a todas las mode Access (config)# spanning-tree portfast trunk \\ a todas las mode trunk
Entrar al modo configuracin de MST (config)#spanning-tree mst configuration
Ver la configuracin existente de MST (config-mst)#show current
Ingresar nombre a la instancia (config-mst)#name [Nombre]
Crear numero de revisin que va incrementa en 1 con cada cambio (config-mst)#revision [N] Crear instancia de MST (config-mst)#instance [Nde la instancia] vlan [Rango_Vlan] NOTA: Todas las vlans estn mapeadas por defecto en la instancia 0, el rango de las vlans permitido es de 1-4094
Ver las configuraciones aplicadas a MST (despus de exit) (config-mst)#show pending
Configurar ROOT primario o segundario en MST (config)#spanning-tree mst [Nde instancia] root [primary|secundary]
BPDU Guard
Configura bpduguard en todos los mode access ALS1(config)# spanning-tree portfast bpduguard default
Enrutamiento inter-vlan
(config)#ip default-gateway [IP]
Habilitar opciones Capa 3 en SW capa3 (config)#ip routing
Configurar una interfaz como CAPA3 Switch(config)# interface GigabitEthernet 1/1 Switch(config-if)# no switchport ********* Switch(config-if)# ip address 10.10.1.1 255.255.255.252 Switch(config-if)# exit
Configurar DHCP en SW Switch(config)# ip dhcp excluded-address 10.1.10.1 10.1.10.20 Switch(config)# ip dhcp pool XYZ10 Switch(config-dhcp)# network 10.1.10.0 255.255.255.0 Switch(config-dhcp)# default-router 10.1.10.1 Switch(config-dhcp)# option 150 10.1.1.50 Switch(config-dhcp)# lease 0 8 0 \\ 0 days 8 hours 0 minutes Switch(config)# interface vlan10 Switch(config-if)# ip address 10.1.10.1 255.255.255.0
HSRP
Configurar la prioridad (config)#standby [Num_grupo] priority [Numero_Prioridad]
En el capa 2 se configura el envio y recepcin los paquetes de control de IP SLA ASL1(config)#ip sla responder
Configurar en el capa 2 como respondedores IP SLA para UDP jitter. Especifique la direccin IP de la VLAN 1 DLS1 para actuar como la direccin IP de destino para el trfico UDP se refleja en los capa2 ALS1(config)# ip sla responder udp-echo ipaddress 172.16.1.1 port 5000
En el Capa 3 Crear e ingresar a la configuracin del modo IP SLA DLS1(config)#ip sla [N]
Configuracion del icmp-echo host destino DLS1(config-ip-sla)#icmp-echo [IP_Host] DLS1(config-ip-sla)#exit
VACL
Configurar el map access de VACL Switch(config)# vlan access-map map_name [seq#]
Configuracin del match Switch(config-access-map)# match {drop [log]} | {forward [capture]} | {redirect {{fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}
Configuracion de la accin a realizar despus del match Switch(config-access-map)# action {drop [log]} | {forward [capture]} | {redirect {{fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}
Aplicar el match a la vlan Switch(config)# vlan filter map_name vlan_list list
Verificar la configuracion de la VACL Switch# show vlan access-map map_name Switch# show vlan filter [ access-map map_name | vlan vlan_id ]
Configurar DHCP snooping
Habilitar DHCP snooping Switch(config)# ip dhcp snooping
Habilitar Opcion DHCP 82: Switch(config)# ip dhcp snooping information option
Configure DHCP server interfaces or uplink ports as trusted: Switch(config-if)# ip dhcp snooping trust
Configure the number of DHCP packets per second (pps) that are acceptable on the port: Switch(config-if)# ip dhcp snooping limit rate rate
Enable DHCP snooping on specific VLANs: Switch(config)# ip dhcp snooping vlan number [number]
Verificacin de la configuracion Switch# show ip dhcp snooping
Dynamic ARP Inspection (DAI)
Habilitar DAI en rango de vlans Switch(config)# ip arp inspection vlan vlan_id [vlan_id]
Enables DAI on an interface and sets the interface as a trusted interface Switch(config-if)# ip arp inspection trust
Configura la DAI para descartar los paquetes ARP cuando las direcciones IP no son vlidos, o cuando las direcciones MAC de los paquetes ARP no coinciden con las direcciones especificadas en el encabezado Ethernet Switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}
IPSG requiere que DHCP snooping se encuentre habilitado en la VLAN necesaria para permitir enlaces automticos IP de origen
PASOS:
1.- Permite snooping DHCP, de forma global. Puede utilizar la palabra clave para desactivar DHCP snooping. Switch(config)# ip dhcp snooping
2.- Permite snooping DHCP en sus VLANs. Switch(config)# ip dhcp snooping vlan number [number]
3.- Permite IP Source Guard con el filtrado de IP de origen. Switch(config-if)# ip verify source vlan dhcp-snooping or Switch(config-if)# ip verify source vlan dhcp-snooping port-security
4.- Permite IP Source Guard con la IP de origen y fuente de filtrado de direcciones MAC.(Opcional) Establece el lmite de velocidad para los paquetes malos. Este lmite de velocidad tambin se aplica al puerto donde est habilitado DHCP snooping modo de seguridad como el filtrado de la direccin IP y MAC.
Switch(config-if)# switchport portsecurity limit rate invalid-source- mac N
Configura un enlace IP esttica en el puerto.
Switch(config)# ip source binding ipaddr ip vlan number interface interface-id
CONFIGURACION CDP
CDP se encuentra habilitado por defecto. #no cdp run deshabilita CDP (config-if)#no cdp enable Desabilita CDP en una interfaz.
CONFIGURACION LLDP LLDP is disabled by default. The command lldp run enables LLDP globally. The command lldp enable enables LLDP on an interface. No genera conflictos con CDP
CONFIGURACION SSH
Step 1. Configure a user with a password. Step 2. Configure the hostname and domain name. Step 3. Generate RSA keys. Step 4. Allow SSH transport on the vty lines.
switch(config)# username xyz password abc123 switch(config)# ip domain-name xyz.com switch(config)# crypto key generate rsa switch(config)# ip ssh version 2 switch(config)# line vty 0 15 switch(config-line)# login local switch(config-line)# transport input ssh
ACL DENTRO DE VTY
1.-Crear ACL 2.-Ingresar a line vty 0 15 3.-comando access-class 100 in
CONFIGURACION HTTPS
1.-Configurar el nombre de usuario y contrasea. 2.-Configurar el nombre de dominio. 3.-Generar las claves RSA. 4.-Habilitar HTTPS (SSL) del servidor. 5.-Configurar la autenticacin HTTP. 6.-Configurar una lista de acceso para limitar el acceso.
sw(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any sw(config)# username xyz password abc123 sw(config)# ip domain-name xyz.com sw(config)# crypto key generate rsa sw(config)# no ip http server sw(config)# ip http secure-server sw(config)# http access-class 100 in sw(config)# http authentication local
AUTENTICACION AAA CON SERVIDOR TACACS+
Switch(config)# aaa new-model Switch(config)# aaa authentication login TEST tacacs+ Switch(config)# tacacs-server host [IP] Switch(config)# line vty 0 4 Switch(config-line)# login authentication TEST AUTORIZACION AAA CON SERVIDOR TACACS+
Switch(config)# aaa new-model Switch(config)# aaa accounting exec default start-stop group tacacs+ Switch(config)# line vty 0 4 Switch(config-line)# accounting exec default
CONFIGURACION 802.X
1.-Activar AAA 2.-Crear un puerto 802.1X basada en la lista de mtodos de autenticacin 3.-A nivel mundial permiten 802.1X autenticacin basada en puerto 4.-Ingrese al modo de interfaz de configuracin y especificar la interfaz para estar habilitado para 802.1X autenticacin basada en puerto 5.-Activacin de 802.1X autenticacin basada en puerto en la interfaz
1.-Habilitar IGMP snooping de forma global (viene asi por defecto) Switch(config)# ip igmp snooping
2.-(Opcional) Los Switchs agregan los puertos multicast del router de la tabla de forwarding entradas capa 2. El Switch aprende los puertos por medio de las consultas IGMP snooping, los paquetes flowing y DVMRP o interpreta los paquetes CGMP de otros Routers. Configurar el metodo de inspeccion de IGMP. El valor por defecto es el PIM
3.-(Opcional) Configure el puerto del router de forma esttica. De forma predeterminada. IGMP detecta automticamente los puertos del router.
4.-(Opcional) Configurar IGMP fast leave
5.-(Optional) Por defecto todos los hosts se registran, agregan su MAC y puerto de la tabla de forwarding automaticamente. Si es necesario se configura un hosts de forma estatica en una interfaz, las configuraciones estaticas son necesarias para solucionar problemas asociados a IGMP
Switch(config)# ip igmp snooping Switch(config)# ip igmp snooping vlan vlan-id mrouter learn [cgmp | pim-dvmrp] Switch(config)# ip igmp snooping vlan vlan-id mrouter interface interface-num Switch(config)# ip igmp snooping vlan vlan-id fast-leave Switch(config)# ip igmp snooping vlan vlan-id immediate-leave Switch(config)# ip igmp snooping vlan vlan-id static mac-address interface interface-id
CONFIGURAR IP MULTICAST
1.-Habilitar multicast routing en capa 3 Switch(config)# ip multicast-routing
2.-Habilitar PIM en la interfaz que requiera multicast Switch(config-if)# ip pim [dense-mode | sparse-mode | sparse-dense- mode]
3.-(Opcional) Configurar RP si se esta ejecutando el PIM en modo sparse o PIM en modo sparse-dense. Se puede configurar los paquetes para que solo un grupo multicast pueda utilizar uno o mas RP en todos los Routers (Incluyendo el Router RP), Ingrese el siguiente comando para configurar la direccion RP Switch(config)# ip pim rp-address ip-address [access-list-number] [override]
4.-(Opcional) Designar a un router candidato como RP de todos los grupos mulicast o para alguno en especifico por medio de una ACL Switch(config)# ip pim send-rp-announce interface-type interface- number scope ttl [group-list access-list-number] [interval seconds]
5.-Asignar al router configurado en el paso 4 el rol de RP mapping agent para AutoRP Switch(config)# ip pim send-rp-discovery scope ttl
6.-(Opcional) Todos los sistemas que utilizan Cisco IOS v11.3(2)T o superior el PIM inicia por defecto en version 2, En caso que necesite volver a habilitar PIM v2 u otra version se ejecuta el siguiente comando: Switch(config-if)# ip pim version [1 | 2]
7.-Configurar un router de borde BSR en el dominio PIM para que los mensajes de arranque no crucen la frontera en cualquier direccion. Switch(config-if)# ip pim bsr-border
8.-Para configurar una interfaz como candidato BSR Switch(config)# ip pim bsr-candidate interface-type hash-mask-length [priority]
9.-Configurar una interfaz como candidato RP del BSR para determinados grupos de multicast Switch(config)# ip pim rp-candidate interface-type interface-number ttl group-list access-list
EJEMPLO CONFIGURACION MODO SPARSE Router# conf t Router(config)# ip multicast-routing Router(config)# interface vlan 1 Router(config-if)# ip pim sparse-mode Router(config-if)# interface vlan 3 Router(config-if)# ip pim sparse-mode Router(config-if)# exit Router(config)# ip pim rp-address 10.20.1.254
EJEMPLO CONFIGURACION MODO SPARSE_DENSE
Router(config)# ip multicast-routing Router(config)# interface vlan 1 Router(config-if)# ip pim sparse-dense-mode Router(config-if)# exit Router(config)# ip pim bsr-candidate vlan 1 30 200
EJEMPLO CONFIGURACION AUTO_RP
Router(config)# ip multicast-routing Router(config)# interface vlan 1 Router(config-if)# ip pim sparse-dense-mode Router(config-if)# exit Router(config)# ip pim send-rp-announce vlan 1 scope 15 group-list 1 Router(config)# access-list 1 permit 225.25.25.0.0.0.0.255 Router(config)# exit
CONFIGURACION VLAN DE VOZ
SW(config)# interface range fastEthernet 0/x - y SW(config-if-range)# switchport mode access SW(config-if-range)# switchport access vlan [N] SW(config-if-range)# switchport voice vlan [N] SW(config-if-range)# auto qos voip cisco-phone SW(config-if-range)# exit