CCNP TSHOOT: Resolucin de problemas avanzados

en Switchs Cisco
Anteriormente analizabamos como resolver problemas bsicos de switchs,
basados todos en capa 2, como son la tabla de macs, las vlans, Stp o los
etherchannels. En esta entrada nos adentraremos un poco ms y analizaremos los
problemas ms frecuentes de capa 3 que nos podemos encontrar en switchs,
veremos el enrutado entre vlans, la redundancia en ruteo y la lgica de los switchs
multicapa para poder enrutar paquetes
Enrutado entre VLANs
Para que dos VLANs diferentes se puedan comunicar tiene que haber algun
dispositivo capaz de enrutar trfico, ya que las vlans no comparten el mismo rango
de red. Como hemos visto en entradas anteriores enrutar trfico entre dos vlans se
puede hacer de dos formas, o bien a travs de un router creando subinterfaces
(una por cada vlan) o bien a travs de un switch de capa 3 (o multicapa) creando
interfaces virtuales. Hagamos un repaso rpidos a los dos mtodos para luego ver
los posibles problemas con los que nos podamos encontrar
Enrutamiento

de

vlans

travs

de

un

router

Para enrutar vlans a travs de un router lo que tenemos que hacer es conectar el
switch que tiene las vlans con una interfaz de un router a travs de un enlace trunk
(recordamos que el trunk es capaz de transportar todas las vlans que queramos).
Luego en la interfaz del router habra que configurar una subinterfaz por cada vlan
que queramos enrutar. Por ejemplo si queremos enrutar dos vlans, crearemos dos
subinterfaces Vemoslo con un ejemplo

Paso 1: PC1 pertenece a la VLAN 100 y enva un paquete a PC 2, que pertenece

a la VLAN 200. PC1 enva el paquete etiquetado como vlan 100 y a la IP de la
interfaz Fa0/1.100 del router, ya que es la IP que tiene configurada como puerta de
enlace predeterminada, el paquete llega al switch y ste lo reenva a travs de su
enlace trunk hacia el router.
Paso 2: El router mira la direccin de destino del paquete, examina su tabla de
rutas y comprueba que debe reenviarlo a travs de su interfaz Fa0/1.200. Este
paquete ya sale etiquetado como vlan 200 (debido a la configuracin que hemos
puesto en la interfaz).
Paso 3: El paquete llega al switch etiquetado como VLAN 200 y el switch lo
reenva
al
PC2.
Cada vez que PC1 y PC2 se comuniquen ser el router el encargado de enrutar
los paquetes.
Nota: En esta entrada no se explican los comandos para configurar las
subinterfaces en routers porqu no es el objetivo de este post (ya se ha explicado
en entradas anteriores). En esta entrada nos centraremos slo en Switchs de capa
3.
Enrutamiento

de

vlans

travs

de

un

Switch

de

capa

3:

Los switchs de capa 3 o multicapa tienen la capacidad de enrutar trfico de capa 3

sin la necesidad de un router de por medio, esto da beneficios como la velocidad
que es mucho mayor. Los switchs de capa 3 puede enrutar trfico de dos formas,
creando puertos de ruteo, que son puertos fsicos que habilitamos para que
funcionen en capa 3 o bien creando interfaces virtuales dentro del propio switch.

Para enrutar vlans se usan las interfaces virtuales, llamadas SVI, y tenemos que
crear una SVI por cada vlan que queramos enrutar. De esta forma cuando un
paquete llega al switch y el destino sea una vlan diferente que la de origen, el
switch comprueba sus SVIs y si la red de destino coincide con la de alguna SVI, lo
enruta hacia esa red y etiqueta el paquete con la nueva VLAN
Para crear y configurar SVIs se usa el siguiente comando:
-

Interface vlan[num de vlan]: Crea la interfaz virtual para la vlan que indiquemos.
Ip address [ip] [mascara]: Asigna una ip a la interfaz, como es lgico la IP tiene
que estar en el mismo rango que los equipos que pertenezcan a esa vlan.

Ejemplo:

Paso 1: PC1 pertenece a la VLAN 100 y enva un paquete a PC 2, que pertenece

a la VLAN 200. PC1 enva el paquete etiquetado como vlan 100 y a la IP de la
SVI de la VLAN 100, ya que es la IP que tiene configurada como puerta de enlace
predeterminada, el paquete llega al switch.
Paso 2: Paso 2: El switch mira la direccin de destino del paquete, examina su
tabla de rutas y comprueba que debe reenviarlo a travs de su interfaz virtual SVI
VLAN 200. Este paquete ya sale etiquetado como vlan 200.
Paso 3: El paquete llega al PC2.
Configuracin de SW1:
SW1(config)# interface Gi 0/1
SW1(config-if)# switchport access vlan 100
SW1(config-if)#switchport mode access

SW1(config-if)#exit
SW1(config)# interface Gi 0/2
SW1(config-if)# switchport access vlan 200
SW1(config-if)#switchport mode access
SW1(config-if)#exit
SW1(config)# interface VLAN100
SW1(config-if)#
ip
address
172.10.0.1
SW1(config-if)#exit
SW1(config)# interface VLAN200
SW1(config-if)#
ip
address
172.20.0.1
SW1(config-if)#exit

255.255.0.0

255.255.0.0

De esta forma las vlans estaran enrutadas a travs de un switch de capa 3. Como
hemos nombrado antes, estos switchs tambin tienen la capacidad de trfico a
travs de puertos fsicos habilitados para ello. Estos puertos desde que se
configuran para operar en capa 3 pierden todas las caractersticas de capa 2, por
ejemplo no se podr meter en una vlan, ni operan en STP ni mucho menos se
puede agregar ese puerto a un portchannel. Para configurar un puerto de un
swicht como puerto de ruteo se usa el comando no switchport, dentro del modo
de configuracin de la interfaz. Desde que introduzcamos ese comando el puerto
se comportar como un puerto de un router, pudiendo configurarle una IP,
protocolos de enrutamiento como OSPF etc etcLo que no podremos crear son
subinterfaces.
Un routed port podremos usarlo por ejemplo para crear un enlace con otros
routers que conecten otras redes o con algn firewall.
Por ejemplo

En el ejemplo vemos una red con un router que es usado para la conexin a
Internet, un firewall que examina todo el trfico que llega desde Internet y sale
hacia Internet y luego tenemos un Switch de capa 3 que es el punto central de la
red interna, ya que conecta con el firewall, dos routers y un punto de acceso. Los

puertos del switch que conectan con el firewall, routers y punto de acceso tienen
que estar configurados como routed ports porque su funcin es la de enrutar
trfico, comunicar diferentes rangos de red, por lo tanto slo trabajaran en capa
3pero.porque hacerlo a travs de un switch de capa 3 y no de un router?
No es lo mismo? S, las funciones son las mismas, funcionara perfectamente
con un router, pero la velocidad no sera la misma. Los switchs de capa 3 enrutan
a travs de hardware, ms concretamente gracias a unos circuitos integrados en
cada puerto llamados ASIC, mientras que los routers lo hacen a travs de
software. La diferencia entre uno y otro es que la velocidad de enrutamiento es
muchsimo ms rpido a travs de hardware, por lo tanto el rendimiento y
capacidad de la red aumentan usando un switch de capa 3. El inconveniente es
que son muchsimo ms caros que un router.
Por ltimo nombrar que los switchscatalyst de capa 3 toman sus decisiones de
ruteo en base a una tecnologa de cisco llamada CEF (Cisco Express Forwarding).
CEF lo que hace es crear una tabla llamada Forwarding Information Base (FIB) en
la cual va almacenando los prefijos de las diferentes redes, el siguiente salto y la
interfaz por la cual debe salir el paquete que se diriga a esa red y otra taba
llamada tabla de adyacencias donde vincula cada interfaz con las redes accesibles
desde esa interfaz. Bsicamente es lo mismo que la tabla de rutas usada por los
routers, pero esta vez aplicado a los switchs. Para lograr mayor velocidad CEF
copia informacin de la tabla FIB y la taba de adyacencias en una memoria
especial del switch, llamada Ternary content addressable Memory (TCAM), que
lo que hace es usar un algortimo matemtico bastante rpido para tomar
decisiones de enrutamiento.
La tabla cef se puede visualizar con el comando show ip cef
La tabla de adyacencias con el comando show adjacency
Mientras que el contenido de la memoria TCAM con el comando show
platform oshow mls cef , dependiendo del modelo del switch.
Posibles

problemas

de

enrutamiento

en

capa

3:

El enrutamiento en capa 3 es bastante sencillo, como hemos vimos para enrutar

vlans slo tenemos que crear interfaces virtuales y asignarles una IP dentro del
rango de la VLAN, mientras que para activar un puerto como routed port slo
tenemos que aplicar el comando no switchport en la configuracin del puerto.
An as, debemos tener en cuenta varios aspectos:
-

Si equipos de diferentes vlans no se pueden comunicar tenemos que fijarnos en

que la IP de la interfaz virtual tiene que estar dentro del rango de red de la vlan, y
todos los equipos pertenecientes a esa vlan tienen que tener configurado como
puerta de enlace la IP de la interfaz virtual, sino no se podrn comunicar con los
equipos de otra vlan.

Una interfaz virtual se consiera en estado down cuando ninguno de los puertos
asociados a su vlan estan activos, es decir, cuando no existe ningn puerto con la
misma vlan o estn caidos por cualquier razon.
Un routed port se considera en estado down si no esta operando a nivel de capa
1 y capa 2.
Los routed ports no soportan protocolos de capa 2 como STP o DTP.
Redundancia en Routing. Puerta de enlace redundante.
La puerta de enlace o default gateway configurada en PCs o diferentes
dispositivos hace referencia a la direccin IP a la cual se enviarn los paquetes. El
PC enva el paquete a esa direccin IP, que ser un dispositivo capaz de enrutar
trfico, este dispositivo ya se encarga de enrutar el paquete hacia su destino. Las
puerta de enlace son un punto crtico en una red, la mayora de las redes slo
tienen un dispositivo que acta como puerta de enlace, por lo que si ese
dispositivo cae sea cual sea la razn, ningn equipo que use esa puerta de enlace
tendr conexin con otras redes.
Para solucionar este problema existen diferentes protocolos que ofrece el servicio
de puerta de enlace redundante, esto quiere decir que usando siempre la misma
IP de puerta de enlace en los equipos, si un dispositivo de enrutamiento cae, otro
dispositivo tomar su rol y el enrutamiento seguir llevndose a cabo, sin
necesidad de hacer ningn cambio en la configuracin de los PCs.
Existen 3 protocolos de puerta de enlace redundante, son HSRP, VRRP y GLBP.
Los 3 protocolos ya se han explicado a fondo en entradas anteriores as que slo
haremos un breve repaso a cada uno de ellos.
HSRP

(Hot

standby

router

protocol)

HSRP es un protocolo propietario de Cisco cuya finalidad es ofrecer puertas de

enlace redundantes en la red, el funcionamiento se basa en que dos routers sean
configurados de tal manera que uno actue como puerta de enlace y en el caso de
que caiga, el otro tome su rol y siga enrutando los paquetes de la red, todo esto
sin hacer ningn cambio de configuracin en los hosts.
Para lograr esto se configura un router virtual en cada router (o switch de capa 3)
al cual se le asignar una IP virtual (se configura la misma en ambos routers). Esta
IP virtual es la que se configurar en los hosts de la red como puerta de enlace
predeterminada. HSRP no ofrece balanceo de carga, lo que significa que slo un
router actuar como puerta de enlace (router activo) y en caso de que caiga el otro
router tomar su rol (standby router)pero.que router acta primero como
activo? El que nosotros queramos ya que a ambos routers les podemos dar una
prioridad, el router con mayor prioridad es el que se convertir en activo. La
prioridad por defecto es de 100 y si no la cambiamos en ningn router se
convertir en activo aquel que tenga la IP ms alta configurada en su interfaz.
HSRP se configura dentro del modo de configuracin de la interfaz, dicha interfaz
tendr una IP configurada para la interfaz fsica y otra IP virtual que ser la usada

por HSRP. Para configurarlo se usa el comando standby [parmetros], una

configuracin bsica incluye los siguientes parmetros:
-

standby [grupo] ip [ip] : Indica la IP virtual que se usar para HSRP. La IP que
se configure aqu es la IP que se tiene que poner en los equipos como puerta de
enlace. [grupo] indica el grupo de HSRP que estamos configurando. El grupo es
un nmero (el que nosotros queramos) pero debe ser el mismo en ambos routers
donde configuremos HSRP con la misma IP virtual.

standby [grupo] priority [prioridad] : Indica la prioridad que tendr el router

para ese grupo de HSRP. Si con se configura tendr una prioridad por defecto de
100. Si se le configura una prioridad ms alta que los dems routers, actuar
como router activo.

standby [grupo] preempt : el parmetro preempt se suele usar en el router que

marquemos como activo e indica que si el router cae por la razn que sea, cuando
vuelva a estar operativo volver a ser el router activo. Si no lo configuramos y el
router cae, cuando vuelva a estar operativo tomar el rol de standby router
Ejemplo:

* Router Virtual de HSRP NO es un router fsico.

Configuracin de Router 1 y Router 2
Router1(config)# interface fa0/0
Router1(config-if)#ip address 172.20.1.2 255.555.0.0
Router1(config-if)# standby 10 ip 172.20.1.1
Router1(config-if)# standby 10 priority 150
Router1(config-if)# standby 10 preempt
Router2(config)# interface fa0/0
Router2(config-if)#ip address 172.20.1.3 255.555.0.0
Router2(config-if)# standby 10 ip 172.20.1.1

Con la configuracin actual Router 1 tomara el rol de router activo porque se le ha

configurado una prioridad mayor que al Router 2. Router 1 tiene una prioridad de
150 mientras que el 2 tiene una prioridad de 100, que es la que toma por defecto.
Adems si el router uno dejara de ser activo por lo que sea, cuando vuelva a estar
operativo volvera a tomar el rol de router activo porque tiene el preempt
configurado.
Por defecto los routers que forman parte del mismo grupo de HSRP se envan
mensajes hello cada 3 segundos. Si el router en standby no recibe algn hello por
parte del router activo espera 10 segundos y si pasados esos 10 segundos an no
ha recibido ningn hello el router stanby da por caido al router activo y por lo tanto
toma su rol. Estos 10 segundo se esperan cuando el fallo del router activo es
inesperado como por ejemplo un apagado no programado o un fallo en el link, si
por el contrario la interfaz del router activo es apagada adminitrativamente (que la
apagamos nosotros) los 10 segundos no se esperan, lo que hace que la
convergencia sea mucho ms rpida.
Si despues de la cada del router activo ste vuelve a estar operativo y adems
tiene el preempt configurado el router enva un mensaje coap que lo que hace es
informar al otro router que el tiene una prioridad mayor y por lo tanto se va a
convertir otra vez en activo.
Aplicando todo esto al ejemplo anteriorEl Router1 tiene el rol de activo pero se
apaga de repente por un fallo de electricidad. El Router2 deja de recibir los
mensajes hello de Router1 y espera 10 segundos, pasado este tiempo el Router2
toma el rol de activo. El router1 recupera la electricidad y se enciende, volviendo a
estar operativo, entonces el router1 enva un mensaje coap al router2 advirtiendo
de que tiene una prioridad de 150 y que va a volver a ser el router activo del
grupo. El router1 vuelve a ser el router activo.
MAC del router Virtual:
Hasta ahroa hemos visto como se configura la IP del router virtual. Al participar en
la comunicacin en la red este router tambin tiene que tener una MAC, que como
es lgico tambin ser virtual. La MAC no la configuramos manualmente, ya que
se crea de forma automtica y est basada en el nmero de grupo que
configuremos en HSRP. Todas las MACs de routers virtuales pertenecientes a
HSRP siguen ste patrn.
Los 6 primeros dgitos hexadecimales corresponden al cdigo de vendedor. Cada
vendedor de router tendr un cdigo asignado para usar en HSRP, por ejemplo,
Cisco: 0000.0c
Los 4 siguientes dgitos corresponden a un cdigo establecido para HSRP, estos 4
dgitos siempre sern los mismos en todas las direcciones MAC de HSRPA sea
cual sea el vendedor: 07.ac
Los dos ltimos dgitos corresponden a el nmero de grupo HSRP, en
hexadecimal al que pertenece ese grupo, siguiendo con el ejemplo anterior el
grupo era el 10, por lo tanto 10 en hexadecimal: 0a

Con todo esto, la MAC de nuestro router virtual HSRP es la siguiente:

0000.0c07.ac0a
0000.0c : Codigo vendedor.
07.ac : Codigo HSRP.
0a : El grupo 10 en hexadecimal.
Posibles problemas con HSRP:
Cuando nos encontremos con problemas en HSRP tenemos que comprobar las
configuracion y tener bien claro que router est actuando como router activo, qu
router o routers tienen configurada la opcin preempt y cuales son la IP y la MAC
del router virtual. A parte, comprobar que el router virtual est funcionando en capa
3 haciendo un ping a su direccin y que la MAC es la correcta haciendo un arp a
en cualquier equipo de la red.
Teniendo estos datos delante usaremos comandos de verificacin para ver donde
est el error, los comandos ms tiles y de ayuda para la resolucin de problemas
en HSRP son:
-

show standby brief : Muestra en pantalla informacin sobre la configuracin de

HSRP en ambos routers. Interfaces usadas, prioridad de cada router, preempt,
estado, ip de las interfaces y la ip virtual.

Show standby [interfaz] : Muestra en pantalla informacin de HSRP de una

determinada interfaz. Estado, IP virtual, preempt, y tambin la MAC virtual.

Debug standby terse : Muestra en tiempo real paquetes recibidos y enviados de

HSRP, entre otras cosas muestra los cambios de estado de un router cuando van
sucediendo.

VRRP (Virtual Router Redundancy Protocol)

La finalidad de VRRP es la misma que la de HSRP, dar servicio de redundancia de

puerta de enlace, con varias diferencias
-

HSRP es propietario de Cisco, VRRP es un IEEE estandar.

En HSRP se pueden configurar 16 grupos como maximo, en VRRP 255.
HSRP usa un switch como activo y otro como standby, VRRP usa un switch como
master, y todos los dems como backups.
Los tiempos de hello y holdtime son mas cortos en VRRP.
VRRP soporta encriptacin en la autenticacin (HMAC/MD5).

Cuando el switch que esta como master cae, uno de los que est en backup toma
el rol de master, para determinar que switch toma el control, se lleva a cabo un
clculo entre todos ellos en los que entran en juego diferentes intervalos de tiempo
como el skew time la prioridad etc En definitiva, todos los switchs hacen un
clculo, y el que menos tiempo obtenga, es el primero en enviar paquetes al resto
de switchs, por lo cual se convierte en master.
Los intervalos de tiempo de hello tambin se pueden configurar en VRRP, a
diferencia de HSRP, en VRRP se configuran en el master y los backups aprenden
esos intervalos del master

GLBP (Global Load Balancing Protocol)

GLBP es otro protocolo capaz de ofrecer puerta de enlace redundante, la gran

diferencia respecto a HSRP y VRRP es que GLBP s es capaz de hacer balanceo
de carga por lo que el ancho de banda es utilizado de mejor manera y el
rendimiento aumenta.
Para lograrlo, todos los routers que formen parte del mismo grupo de BLGP
usarn la misma IP virtual pero a cada uno se le otorga una MAC virtual diferente.
De esta forma, cuando los equipos hagan un ARP a la direccin IP de la puerta de
enlace, cada equipo obtendr una direccin MAC diferente, por lo tanto enviarn
los paquetes a la misma direccin IP pero diferente Router.
Por ejemplo, tenemos 3 router (A,B y C) y 3 equipos. Los 3 routers estn
configurados con GLBP dentro del mismo grupo usando la misma IP virtual pero
diferente MAC virtual. Cuando el primer equipo solicite la MAC de la IP de la
puerta de enlace, GLBP responder con la MAC virtual del router A, cuando el
segundo equipo la solicite, se le dar la MAC virtual del router B y al tercer equipo
se le dar la MAC virtual del router C. De esta forma los 3 equipos salen por la
misma puerta de enlace pero diferentes routers.
Cuando los equipos envan la solicitud de ARP a la ip virtual, slo se encarga de
responder un router, el que tenga el rol de AVG (Active virtual gateway)
(comparndolo con HSRP viene a ser el router activo) el cual va respondiendo a
las solicitudes arp con las MACs de los routers pertenecientes a su grupo de ARP.
Los otros routers del grupo tendrn el rol de AVF (active virtual forwarder).
Y que pasa si el AVG se cae? Al igual que con HSRP otro router tomara su rol,
es decir, un AVF pasara a ser AVGy la mac virtual que usaba el router caido?
Tambien la usa el router que toma su rol. Usara dos macs virtuales (la suya y la
del router que cay) hasta que el otro router vuelva a estar operativo.