9 de abril de 2009

Configurando un switch Catalyst 2960

Cuando nos iniciamos en la configuración de dispositivos Cisco utilizando CLI (Command Line Interface), muchas veces vemos comandos sueltos y cuesta trabajo integrarlos en un único proyecto o configuración.
Es por eso que me pareció conveniente, para ayudar a quienes están en esta circunstancia, publicar una configuración completa comentando qué es lo que incorporamos en cada parte del proceso. Para esta tarea elegí tomar una topología muy simple como referencia, a fin de que nos sirva de ejemplo:

En nuestro ejemplo:

  • Tenemos 2 switches Catalyst 2960 con Cisco IOS LAN Base versión 12.2(25)FX.
  • Ambos switches se comunican entre si utilizando los puertos GigabitEthernet 1/1, que deberán constituir un enlace troncal.
  • En cada switch asignaremos los puertos FastEthernet 1 a 12 como puertos de acceso de la vlan 2 y los puertos FastEthernet 13 a 24 como puertos de acceso de la vlan 3.
Veamos ahora la configuración de uno de los switches. He insertado en forma de comentario resaltado en rojo diferentes notas respecto de esta configuración:
!
version 12.2
service password-encryption
!
!Asigna un nombre identificatorio al switch
hostname BA_01
!
!Asigna una clave de acceso a modo privilegiado
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!Configuración básica del servidor VTP
vtp mode server
vtp domain PILOTO
!
!Creación y configuración de VLAN!Esto no aparece en el archivo de configuración
vlan 2
name VENTAS
vlan 3
name ADMIN
!
!Configuración de las interfaces de acceso de la VLAN 2
interface FastEthernet0/1
description puerto acceso vlan 2
switchport access vlan 2
switchport mode access
!Configuración de atributos de port-security
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
!Configuración de port-fast (STP)
spanning-tree portfast
!
interface FastEthernet0/2
description puerto acceso vlan 2
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
spanning-tree portfast
!
! --More--
!
!Configuración de las interfaces de acceso de la VLAN 3
interface FastEthernet0/13
description puerto acceso vlan 3
switchport access vlan 3
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
spanning-tree portfast
!
interface FastEthernet0/14
description puerto acceso vlan 3
switchport access vlan 3
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
spanning-tree portfast

!
! --More--

!
!Configuración de los enlaces troncalesinterface GigabitEthernet1/1
description puerto troncal
switchport mode trunk
!
interface GigabitEthernet1/2
description puerto troncal
switchport mode trunk
!
!Asignación de una dirección IP a la VLAN 1!Para fines de management
interface Vlan1
ip address 192.168.1.125 255.255.255.0
no shutdown
!
!Definición de un banner en el acceso al dispositivo
banner motd ^C
-----------------------------------------------------------
Usted esta accediendo a la red ABC
Todo acceso no autorizado sera perseguido legalmente.
-----------------------------------------------------------
^C
!
!Configuración del acceso por consolaline con 0
password 7 0822455D0A16
login
exec-timeout 5 0
loggin synchronous
!
!Configuración del acceso por terminal virtual (telnet o SSH)
line vty 0 4
exec-timeout 5 0
password 7 0822455D0A16
login
line vty 5 15
exec-timeout 5 0
password 7 0822455D0A16
login
!
!
end

Algunas notas para la configuración:

  • Los comandos de configuración de VLANs no se guardan en el archivo de configuración. Aquí los he incluido a fin de tener el relato de la totalidad de los comandos utilizados.
  • No he incluido una configuración avanzada de STP ya que requeriría una topología más compleja. Pero incluí la implementación de port-fast en los puertos de acceso.
  • Omití repetir la configuración de cada puerto de acceso (24 en total) y dejé sólo algunos, ya que el post se haría innecesariamente extenso.
  • Para configurar múltiples puertos con los mismos features, se puede utilizar el comando interface range, por ejemplo: interface range FastEthernet 1/1 - 12
Bibliografía recomendada:



¿Tenés alguna información o comentario para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

102 comentarios:

  1. Gracias por el aporte.
    Parece demasiado evidente y nadie o casi nadie le dedica tiempo a explicarselo a otros, por lo que al final todo se reduce a "copy&paste" sin saber lo que hace cada una de las líneas que has pegado.
    De nuevo, gracias.

    ResponderBorrar
  2. Estimado Oscar,

    Con los catalys 2960, como harias la Vlan de capa 3, entre estos dos switch.

    Saludos
    Jose

    ResponderBorrar
    Respuestas
    1. estimados que puede ser por lo que un puerto de un 2960 no levanta, ni siquiera da link ya le hice shut y no shut y nada que comandos puedo usar para diagnosticaar problemas a nivel hardware

      Borrar
    2. El comando de diagnóstico inicial del estado de los puertos del switch es show interface status.
      Sin embargo, los motivos por los cuales el puerto no levanta pueden ser múltiples. Debieras comenzar por revisar el cableado para asegurarte que está eléctricamente bien. Si no llega señal eléctrica, no se inicializa la capa física y por lo tanto el puerto no levanta.

      Borrar
  3. José.
    La línea Catalyst 2960 es de dispositivos capa 2, switches LAN. No tienen capacidades de capa 3 o de ruteo.
    En este caso, si querés enrutar entre las VLANs deberás hacer coincidir cada VLAN con una subred diferente y llevar el tráfico vía troncal hasta un dispositivo capa 3 para en él enrutar.

    ResponderBorrar
  4. Estimado Oscar,

    Ej. si tubiera un catalys 3750, este se considera un switch de capa 3, para que uno pueda realizar el ruteo entre vlans, deberia solo asignar una dirección ip a cada una de las vlan, ej:
    interface vlan 10
    ip address 10.0.0.1 255.255.255.0
    no shutdown

    interface vlan 20
    ip address 20.0.0.1 255.255.255.0
    no shutdown

    y que cada pc tenga su respectivo gateway, y en el 3750 asignar ya sea la vlan 10 y vlan 20 y se puedan comunicar.

    Algo mas faltaria.

    Saludos
    José

    ResponderBorrar
  5. Correcto José. Si se trata de un switch layer 3 y se desea enrutar las VLANS hay que: .1. Habilitar el enrutamiento IP con el comando "ip routing" .2. Crear las interfaces VLANs, .3. Asignar una dirección IP a cada interfaz VLAN (será el DG de la VLAN), .4. Habilitar la interfaz, .5. Dependiendo de la topología y los objetivos configurar un protocolo de enrutamiento o rutas estáticas.
    En el caso de los Catalyst es necesario habilitar el enrutamiento IP que por defecto no está activo.

    ResponderBorrar
  6. hola que tal
    quisiera agradecerle por el aporte brindado ya que me es de mucho interes investigar mas este y otros temas relacionados a configuraciones de SW cisco,pero conrespecto a este tema quisiera saber cual es la mejor practica para configurar estos SW.Me refiero a que si primero configuro los enlaces troncales y despues los de acceso o como los hizo ud .

    ¿Ud que me aconseja?,gracias.

    ResponderBorrar
  7. Alan.
    Lo que se presenta en este post es una configuración con comentarios, no implica un procesimiento o serie de pasos a seguir para obtener este resultado.
    En términos generales, si lo que queremos es establecer un procedimiento, este podría sintetizarse en los siguientes pasos:
    .1. Configurar VTP (servidor, clientes).
    .2. Crear las VLANs en él/los servidores VTP.
    .3. Configurar los enlaces troncales.
    .4. Asignar puertos de acceso a VLANs en cada uno de los swithces.
    .5. Configurar STP.

    ResponderBorrar
  8. Muchas gracias por la respuesta sr Oscar.

    ResponderBorrar
  9. Sos grande Oscar! gracias por compartir! eso dice mucho de voz!
    Oyime tengo una pregunta, actualmente tengo dos proveedores de Internet y uno de ellos me proevee una clase "C" la cual publico a traves de BGP, el caso es que deseo cambiar a este proveedor por uno nuevo y mas barato y obtener una nueva clase c de mi proveedor principal.
    NEcesito migrar mis direcciones publicas de mis servidores de WEB a las nuevas pero sin interrupcion, que me aconsejas que haga? tengo una pareja de firewall ASA5540 (primario y failover) y ahora 2 ruteadores de Internet, pienso agregar uno nuevo para el nuevo proveedor.Podria hacer un NAT de todo lo entrante (inbound) con mi direccion actual y hacerle NAT a la nueva? no se que hacer ...

    ResponderBorrar
  10. Gabe.
    Hacer una migración como la que estás planteando sin cortes de servicio, requiere ante todo un prolijo análisis de la implementación actual, de la topología objetivo, y a partir de estos 2, la elaboración de un procedimiento detallado que permita cubrir todos los requerimientos. Sin contar con todos esos elementos es imprudente hacer especulaciones.
    En términos generales, como planteás, se pueden hacer algunas implementaciones transitorias como la de NAT que mencionás.

    ResponderBorrar
  11. Una consulta Oscar, por ejemplo yo quiero crear 4-5 Vlans, pero no tengo un Router CISCO para enrutar, tengo un Cata3750 pero es 100Mbps, y los 2960 que tengo son Gigabit, esto me haria perder la bondad de los 4 Switches 2960, lo unico que quisiera es crear 3 Vlans para usuarios y 1 para los servidores e impresoras de red, me podrias dar un brief de como hacerlo?

    ResponderBorrar
  12. Carlos
    Si no tenés un router, el enrutamiento lo debés hacer en el Cat 3750 que mencionás. De cualquier forma tu performance siempre será supuerior que si utilizás un router.
    Aquí encontrarás una referencia de cómo se configura un switch capa 3: http://librosnetworking.blogspot.com/2009/05/configurando-un-switch-multilayer.html

    ResponderBorrar
  13. Carlos
    ¿estás diseñando una red nueva o definiendo una solución a partir de los equipos con los que contás?
    Si estás diseñando una red nueva, entonces hay un error conceptual ya que la capacidad debe escalarse desde el acceso hacia el core, y no a la inversa.
    Si estás definiendo una solución a partir de los equipos ya existentes, entonces hay que trabajar a partir de lo posible. Y en este punto tenés que considerar cuál es el volumen real de tráfico de tus equipos terminales. ¿las terminales y la impresora van a generar realmente 1 Gbps de tráfico o se trata de el tráfico habitual que dificilmente supera los 10 Mbps? Si la respuesta es esta última, aunque tus Cat 2960 sean de Gigabit, las terminales no lo aprovecharán y podrías incluso plantearte configurarlos a 100 Mbps.

    ResponderBorrar
  14. Pues para serte honesto hermano, estoy re-diseñando la red, es un gran proyecto del cual depende mi estadia en la empresa, el punto es que hay una red de aprox. 120 usuarios de los cuales el 70% trabaja con varias App´s conectadas a Bases de datos, la gran perspectiva de una red gigabit es generar solvencia, efectividad y en parte generar un alivio de la carga de red, previamente hicimos una demo y se comprobó que los tiempos de respuesta son reducidos de 20 segundos a 60 milisegundos con las aplicaciones mas grandes. tenemos casi el 90% de las terminales con NIC´s Gigabit y la idea es reducir el broadcast en los switches, tambien esto porque la empresa está aplicando normativas COBIT y SOXO y eso seria para nosotros un gran paso al frente anticipandonos a los requerimentos que a IT nos haran cuando pongan mano dura exigiendonos VLan´s.

    Gracias, tu tiempo es oro y si en algo de mi experiencia pudiera compensar tu bondadosa voluntad de orientarme, cuenta con ello desde yá!

    ResponderBorrar
  15. Carlos
    Entonces debés apuntar a un switch de capa de distribución con capacidad de Gigabit y alta capacidad de forwardeo de paquetes para lograr la performance que estás buscando.
    Es una perspectiva diferente de la que tenías en el inicio, reutilizar el Cat 3750 no te va a dar la solución que estás buscando.

    ResponderBorrar
  16. UN par de preguntas Oscar:

    Puedo asignarle una Ip a una interface del SW Cat2960g? Digo porque hasta el momento no le veo donde, y creo k en el Setup Sì dà la opcion.

    Si tengo 4 de estos SW Cat2960g, puedo ponerlos en cluster? k ventajas me daria? tienes alguna conf. k me recomiendes o algun caso?

    ResponderBorrar
  17. El Cat 2960 es un switch capa 2, por lo tanto, sus puertos son interfaces de capa 2 y no utilizan direccionamiento IP.
    La dirección IP que asignamos al switch es para fines de management, y por eso va asignada a la interfaz de la VLAN 1, que es la VLAN de management por defecto.
    Respecto a "cluster", no tengo claro a qué te estás refiriendo. Si es a la posibilidad de formar stack, no, el Cat 2960 no es stackable.

    ResponderBorrar
  18. Muy bueno el aporte, claro y super util para los que comenzamos en esto de el manejo de la comutacion, estoy con el ccna3 y me ha servido mucho para comprender mejor toda la configuracion, de hecho en nuestros laboratorios de cisco, utilizamos este modelo 2960 para todas las practicas, gracias!

    ResponderBorrar
  19. Muy bueno el aporte, para los que comenzamos a meternos en esto de la conmutacion, estoy en el CCNA3 y me ha servido para entender mejor el proceso de configuracion del switch, de hecho en nuestros laboratorios utilizamos el 2960 para todas las practicas, gracias!

    ResponderBorrar
  20. Hola Oscar, Gracias por tus aportes son una gran ayuda, mi pregunta es sobre si puedo utilizar Switches 2960 de 8 Ptos para implementar redundancia automatica con el Protocolo Spanning Tree del lado del cliente.

    ResponderBorrar
  21. Amigo.
    Los Catalyst 2960 soportan PVST+, RPVST+ y MSTP. Pero la implementación es ante todo una cuestión de diseño y luego de producto.
    Habría que ver con detenimiento qué es lo que quieres hacer para definir la mejor opción.

    ResponderBorrar
  22. Gracias Oscar nuevamente,tu ayuda es inmensa mi pregunta es con respecto a la configuracion de redundancia automatica, necesito saber inicialmente si es factible configurar spanning tree con dos proveedores diferentes uno en F.O y otro en Wireless, estos los recibiria en un switch 2960 de 8 ptos. esto es factible? y si lo es como lo haria si me puedes enviar el tipo de configuracion te agradeceria infinitamente.

    ResponderBorrar
  23. Pues, como te dije, si, es posible.
    Ahora bien, si se trata redundancia de proveedores hay que ver qué es lo que estás haciendo, y si también hay STP o no del lado de los proveedores y qué están haciendo.
    El modo más habitual de manejar redundancia de proveedores es en capa 3, no en capa 2. Esto es posible pero hay que estudiar bien el caso.
    Una configuración de ese tipo excede los alcances de un post en un blog.

    ResponderBorrar
  24. Hola amigo, como hago para conectar en cascada tres switches y suministrar internet a traves de de un modem adsl conectado en primer switches para todos los puertos

    ResponderBorrar
  25. Estimado.
    Si el único objetivo es que un conjunto de terminales tengan acceso a Internet, ya dijiste cómo hacerlo: conectar los switches entre sí, y uno de ellos al módem ADSL.
    Hay mejores opciones de acuerdo a cuáles sean los objetivos finales. Pero el diseño de una red específica excede las posibilidades de una consulta en un blog.

    ResponderBorrar
  26. como le asigno una vlan native a al router en este caso lo estoy usando como router on stick

    ResponderBorrar
  27. En el caso de un troncal 802.1Q que termina en el puerto de un router, dado que la VLAN nativa no va tagueada, no es necesario declarar una VLAN para ella y puede terminar directamente en la interfaz física.
    Si no, también es posible declara cuál es la VLAN nativa con el comando encapsulation dot1q 1 native en caso de que la vlan nativa sea la vlan 1.
    Si la vlan se crea, pero no se declara, IOS la detecta como no tagueada y la declara por sí mismo como nativa.

    ResponderBorrar
  28. Saludos, muy bueno, practico y actualizado tu blog, me ha servido mucho. Ahora te tengo una consulta:
    Tengo un switch cisco 2960G de 24 puerto. y lo tengo configurado mas o menos de la siguiente forma:
    todos los puertos del 1 al 20 en modo access
    los puertos del 21 al 24 en modo trunk puesto que seran enlaces troncales actualmente solo estoy ocupando 1. y es por fibra con un adaptador gbic.
    El detalle es que ese enlace troncal no me da acceso a la red externa que tambien trae internet. de esa red WAN tengo una puerta de enlace, con esa puerta de enlace configuro las maquinas con las direcciones ip que me dieron algo asi:
    IP:142.147.197.20
    sub:255.255.255.0
    gt:142.147.197.1
    las maquinas que tengo conectadas si se dan ping, pero le quiero dar ping a la puerta de enlace y no me da respuesta.
    el switch lo tengo en vtp mode client
    el puerto de enlace gi0/21
    sw mode trunk
    sw trunk allowed vlan all

    pero nada mas. La verdad es que no tengo mucha idea de lo que le haga falta. Una ayudita please.

    ResponderBorrar
  29. Estimado
    Ante todo, un troncal, es un enlace troncal, es decir una conexión física entre dos puertos. La configuración del troncal se debe realizar en ambos extremos y verificar la operación del mismo. Fijate que el otro extremo del enlace esté configurado de la misma forma que el de tu switch.
    Ahora bien, si todos los puertos están en una única vlan, no se requiere un enlace troncal ya que no hay que transportar más de una vlan.
    Sugerencia. Comienza por verificar la operación del puerto troncal. En esto vtp no tiene ninguna participación.

    ResponderBorrar
  30. Buenas Tardes ante todo que buen aporte ha dado usted con esa demostracion .... y quisiera hacerle una consulta de que manera podria unir dos redes lan diferentes mediante este switch que me permita enviar y recibir paquetes ... espero su respuesta ... Saludos

    ResponderBorrar
  31. Estimado.
    Los switches LAN son dispositivos que interconectan terminales que están en la misma red.
    Si lo que deseás es conectar 2 redes diferentes, el dispositivo a utilizar es un router.
    Saludos.

    ResponderBorrar
  32. El comando switchport trunk encapsulation dot1q en que version de firmware aparece para el modelo Catalyst 2960G. Tengo la versión: 12.2 (44) se6 pero no se encuentra disponible. Alguien sabrá esto?

    ResponderBorrar
  33. Tamara.
    El comando switchport trunk encapsulation solo está disponible en plataformas que permiten modificar el protocolo de encapsulación de los troncales (ISL/802.1Q).
    En el caso de los Catalyst 2960, sólo soportan 802.1Q, por lo que no utilizan el comando. De hecho, si creas el troncal y luego lo verificás, vas a ver que le asigna automáticamente esa encapsulación, sin necesidad del comando.

    ResponderBorrar
  34. ¿como declaro un puerto gigabit trunk, pero que permita el paso de informacion de varias vlan configuradas en el SW, hacia otro switch igualmente configurado con varias vlan?,
    quiero que las vlan de un switch solo se comuniquen con las vlan que le corresponden en el otro SW.

    por ejemplo


    SW 1 ----Gbit 0/1(trunk)---- SW 2
    Vlan 2------------------------Vlan 2
    Vlan 3------------------------Vlan 3

    ResponderBorrar
  35. Estimado, en la configuración que se muestra en el post hay 2 puertos de GigabitEthernet configurados como troncales. Con esa configuración se permite el transporte de todas las VLANs de un switch hacia otro, con lo que entiendo se responde tu pregunta.

    ResponderBorrar
  36. TENGO U SWITCH CISCO 2960G CONECTADO CON OTROS SW MARCA LAMPRO Y TP LINK OERO VENIMOS NOTANDO DEFICIENCIA EN EN FUNCIONAMIENTO DE LA RED PUESTO QUE EL ACCESO A INTERNET SE OBSERVA LENTO... COMO RESUELVO ESTO...?

    ResponderBorrar
  37. Estimado
    Es imposible hacer un diagnóstico con las referencias que das. Mucho menos sugerir alguna solución.
    Debieras analizar la red para determinar con claridad en qué consiste esa deficiencia de funcionamiento que dices notar.

    ResponderBorrar
  38. Oscar, te felicito por tu forma de explicar las cosas, que bien lo haces... att Diana.

    ResponderBorrar
  39. Es increible encontrar todavia gente que ayuda a los demas de forma gratuita.

    Felicidades Oscar

    ResponderBorrar
  40. Puedo balancear carga en un switch 2960?

    ResponderBorrar
  41. Todo depende de lo que quieras hacer o entiendas por "balanceo de carga".
    Los Cat 2960 soportan EtherChannel o Link Aggregation, y en este caso se distribuye tráfico en los diferentes enlaces físicos que constituyen el canal.

    ResponderBorrar
  42. Una duda que tengo respecto a las Vlans. Cuadno es troncal se añade una etiqueta de 4bytes, pero cuando un puerto de un switch se fuerza a que pertenezca a una vlan como por ejemplo swithport acces vlan15. Respecto a esto he leido varias cosas. Una que he leido es que el switch asume que ese puerto pertenece a esa vlan, con lo que asumo yo que no se identifica la vla en la trama. He leido también que el host no sabe que a que vlan pertenece pero al momento que la trama llega al switch este la etiqueta con la vlan correspondiente, si esto es así no sería del todo correcto decir, para disitinguir entre acceso y troncal que éste último está etiquetando.

    ResponderBorrar
  43. No se qué has leído, y la explicación de cómo opera un troncal escapa al alcance de un simple comentario.
    Pero valga en el mientras tano: la implementación de vlans en el acceso no requiere de modificaciones en la trama Ethernet, por lo que es legítimo decir que es transparente para las terminales.
    Lo que requiere modificación de la trama es el transporte de múltiples VLANs sobre un único enlace, lo que es el caso del troncal. Para esto se implementa un protocolo diferente en el troncal que es 802.1Q, el que agrega una etiqueta de 4 B como refieres en el comentario.
    Conclusión: 802.1Q sólo se aplica a tramas que circulan sobre un enlace troncal y mientras están en él. La etiqueta se retira en el momento en que la trama abandona el troncal y nunca pasa por un enlace de acceso.

    ResponderBorrar
    Respuestas
    1. Me he explicado mal. Mi consulta no es como opera un troncal, sino como opera un puerto en modo acceso asignado a una Vlan. En concreto la explicación que he leido de un CCIE escrito de R&S dice "Los dispositivos que se conecten a un puerto de acceso no conocen el número de la Vlan, el tráfico es etiquetado a la Vlan una vez llegue al puerto del switch correspondiente" Pero está claro que no es igual que en un troncal, por lo que se ha confundido en la explicación o no algo se me escapa del éste modo de funcionamiento. Gracias

      Borrar
    2. Pues bien. Si la duda es respecto de los puertos de acceso, estos puertos no etiquetan el tráfico.
      De hecho, algunos fabricantes dan a estos puertos el nombre de "untagged".
      El protocolo 802.1Q se utiliza sobre puertos troncales.
      Si una trama se conmuta de un puerto de acceso a otro puerto de acceso de la misma VLAN en el mismo switch, no es etiquetado en ningún momento. La conmutación se hace considerando la información de la tabla CAM.
      En cambio, si se conmuta de un puerto de acceso a un puerto troncal, entonces es etiquetado para su transporte.
      Las etiquetas no se utilizan sobre puertos de acceso.
      El párrafo que copiás es confuso, y quizás la imprecisión se deba a una traducción no muy afortunada.

      Borrar
  44. Dos Sw 2900 Xl de acceso de mi red (3 capas) se calleron luego de hacer pruebas con otro SW 3560 en la red. Resulta que no calleron fisicamente, se habia caido la administracion y las puertas de acceso no traficaban, sin embargo se veian los SW XL por CDP, por lo tanto el trunk esta bien. Haciendo pruebas se verifico que los SW estaban en VTP Server y que al votar uno, levantaba el otro con las puertas Acceso y con VTP transparent. ??????. Se determino cambiar por modelos mas nuevos. Pero, ¿Por que estos SW asumieron como VTP Server, sin tener logg de configuracion, votando las puertas de acceso y los dos al mismo tiempo? ¿Tiene que ver el nuevo SW que se intentaba implementar?

    Gracias

    ResponderBorrar
    Respuestas
    1. Lorenzo.
      Con la descripción que haces del incidente es muy difícil tener un diagnóstico claro de lo que pasó.
      Sin embargo, es importante notar que todo ocurrió luego de incorporar un nuevo switch.
      Los switches Catalyst son servidores vtp por defecto. Y si no han sido adecuadamente configurados previamente, van a intercambiar sus bases de datos de VLANs, lo cual puede (no puedo asegurar que este haya sido el caso) haber provocado que se sobre-escriban las VLAN.dat de tus Cat2900 y por lo tanto se hayan perdido las VLANs que estaban operativas en ese momento en la red.
      Pero en realidad, para poder tener certeza, habría que ver qué es lo que pasó con detalle.

      Borrar
    2. Perdón, para completar. En principio parece un problema de configuración, no de hardware.

      Borrar
  45. Para que utilizo el comando spanning-tree portfast ? en switch 2960s

    ResponderBorrar
    Respuestas
    1. PortFast permite modificar la operación por defecto de STP en los puertos de acceso.
      Hace que al levantar el puerto lo haga en estado forwarding en lugar de blocking que es la opción por defecto de STP.
      De esta manera se mantiene la presencia de STP en todos los puertos de acceso y se optimiza la operación evitando el tiempo de negociación inicial del protocolo.

      Borrar
  46. Cuando conecto dos switches con cable directo si fuerzo los puertos fastethernet no levanta mientras que si configuro la autonegociación en los dos extremos funciona correctamente a 100 full. Aun cuando el Auto-MDIX no está configurado. Pienso en la teoría y sino está configurado el Auto-MDIX no debería funcionar con un cable directo.

    ResponderBorrar
    Respuestas
    1. Estimado.
      En primer lugar, cuando asumimos la configuración manual del puerto, debemos asumir velocidad y dúplex, pues el proceso de negociación opera sobre ambos parámetros.
      En segundo lugar, cuando utilizo configuración fija, debo prestar especial atención al estado de los cables, ya que cualquier problema de nivel eléctrico hará que el enlace no funcione.
      Por último, en los switches Catalyst el auto-MDIX está activado por defecto, no es necesario realizar ninguna configuración adicional.

      Borrar
  47. Buenas tardes Sr. Oscar. Por favor tome 5 minutos para leer esta duda que le planteo: en mi lugar de trabajo tenemos switches 3750, 3560 y 2960. Desde hace tiempo observo que el internet tarda algo antes de entregar la pagina. Me dijeron que puede deberse a latencia y ademas me dijeron de que hay prioblemas con el spanning tree, ya que por ejemplo tengo un 3750 (transparente) conectado a otro 3750 (servidor) y este a su vez reparte servicio a otros 2960 y 3560, clientes todos ellos. Del switch servidor reparto a todos los switch cliente me diante una sola conexion (patch cord de fibra multimodo a los que estan fuera del edificio y UTP cat 6 a los que estan dentro del edificio). Aparte de esto me dijeron de que los switches que tuviesen conectados solamente por un patch cord (independiente fibra o UTP), no deben tener spanning tree activo, mientras que si estan conectados mediante mas de un patch cord deben tener spanning tree. Que me recomeinda hacer Sr. Oscar?

    ResponderBorrar
    Respuestas
    1. Estimado.
      Un foro o un blog no es el lugar adecuado para revisar el diseño de una red de modo responsable. Por ese motivo no suelo realizar responder consultas directas sobre un rediseño de red.
      Hecha esta consideración, me permito marcar algunos puntos.
      En tu explicación utilizás terminología de VTP (transparente, servidor, cliente); este protocolo no tiene nada que ver con la distribución del tráfico de Internet.
      Respecto de STP, NO es una buena práctica deshabilitar STP en los puertos, ni aún en los puertos de acceso. Esto deja expuesta la red a potenciales ataques. Si se desea optimizar el tiempo de respuesta del switch hay recursos más eficientes y seguros.
      Por lo demás, si el motivo es un aparente delay en el tráfico de delay, habría que hacer en primer lugar un diagnóstico de la red para determinar cuál es la verdadera causa de se delay, antes de intentar hacer cualquier cambio.

      Borrar
  48. Oscar quería preguntarte algo. Yo tengo un 3560 gigabit capa 3 y 4 2960 para los diferentes pisos de mi organización, todo con cableado de cobre. Mi pregunta es: cual es el mejor esquema para troncalizar estos y ademas por cada piso poner vlans diferentes. ademas de esto el 3560 es un equipo que rutea pero siento que en algunos casos desde los switches 2960 no me esta ruteando hacia un equipo que me da el acceso a Internet. se que es muy general lo que te digo. Pero necesito entender bien si estoy haciendo bien la configuracion de mis troncales etc etc etc

    ResponderBorrar
    Respuestas
    1. Atilio.
      Ciertamente no es un post en un blog el mejor lugar para discutir un diseño, pero intentaré darte alguna referencia según lo que entiendo de tu consulta.
      Los 2960 como switches de acceso, con las VLANs de acceso configuradas, y unidos por troncales al 3560.
      El 3560 recibe las VLANs de cada 2960 por troncales y configura una interfaz VLAN (SVI) para cada VLAN. Este sería el default gateway de cada VLAN en el acceso. De ahí para adelante, hay que ver cómo está armada la red.
      Espero te sirva.

      Borrar
    2. Pero este default gateway de los equipos 2960 se los configura en estos o es automatico?

      Borrar
    3. En el ejemplo de tu publicacion es factible utilizar esta configuracion para el esquema que yo quiero hacer con mi 3560.

      Borrar
    4. Atilio
      La configuracion IP de los 2960 es solo para management, y se realuza manualmente.

      Borrar
    5. La configuracion de este post corresponde a un 2960 y por lo tanto solo es funcional en capa 2.
      En otro poat aparte desarrolle una configuracion basica de capa 3.

      Borrar
  49. Oscar, he configurado el acceso SSH de la siguiente manera:

    line con 0
    line vty 0 4
    login local
    line vty 5 15
    login

    Configure un rsa y me logueo con SSH sin problemas.
    Me intereza eliminar el acceso telnet y he intentado con:

    transport preeferred ssh
    y
    transport input ssh

    para dar acceso "solo" a SSH y sigue estando abierto el acceso telnet.
    Me faltará algun parametro para deshabilñitar el telnet??.
    Algo estoy haciendo mal??

    Saludos

    ResponderBorrar
    Respuestas
    1. Para deshabilitar el acceso por telnet, debés negar el comando que lo habilita como protocolo de acceso (y que no aparece en el archivo de configuración porque está habilitado por defecto): no transport input telnet

      Borrar
    2. Estimado muchas gracias, de todas maneras me funcionó con "transport input ssh" en todos los vty.

      line con 0
      line vty 0 4
      transport input ssh
      login local
      line vty 5 15
      transport input ssh
      login

      Gracias.

      Walter

      Borrar
    3. Walter.
      Entendí que SSH ya estaba funcionando. transport input ssh habilita el servicio SSH en las líneas virtuales pero no excluye el uso de Telnet.
      Si quieres deshabilitar el telnet, debes agregar el comando que te mencioné antes.

      Borrar
  50. Estimado tengo dos Switch 2960 y estoy pasando un trunk de Vlan entre ellos, tengo las interfaces de la siguiente manera en ambos:
    interface FastEthernet0/24
    description trunk1
    switchport trunk allowed vlan 4,6,8,10,14,15,17,21
    switchport mode trunk
    speed 100
    duplex full
    spanning-tree portfast

    He tratado de varias formas con STP y no levanta la interfaz, no da link.

    ResponderBorrar
    Respuestas
    1. Ante todo, portfast es un feature para puertos de acceso, no puertos troncales. El sistema operativo te debe haber dado un mensaje de advertencia cuando intentaste esta configuración. Si no conocés los features de STP para puertos troncales, dejá el puerto con la configuración por defecto.
      Segundo, ¿qué significa no dar link? Si uno de los puertos queda en estado de blocking, es que tienes link pero hay un problema de STP, que puede ser lo que hablamos.
      Si simplemente está down down, como estás haciendo velocidad y duplex fijos, puede que tengas un problema de configuración disímil en ambos extremos, o que el cable que estás utilizando para la conexión tenga algún defecto.

      Borrar
    2. El feature de portfast al parecer también es aplicable a enlaces trunk, y tiene cierto sentido ya que es deseable que la red levante lo antes posible, además, portfast solo es ejecutado al comienzo, por lo que cualquier loop que se genere posteriormente, el algoritmo STP lo detectará y nadie sabrá que sucedió

      Adjunto link: https://tek6993575.files.wordpress.com/2013/01/cisco-configuring-spanning-tree-enhancements1.pdf

      Oscar por favor, ¿es posible un escenario así como lo expliqué?

      Buen blog, el mejor en habla Española, muchas felicidades

      Borrar
    3. Javier
      Ante todo, el documento que estás revisando corresponde a switches Catalyst 6000 utilizando sistema operativo CatOS. No es un documento IOS o IOS XE.
      Ahora bien.
      PortFast es de suyo un feature diseñado para operar en puertos de acceso y en combinación con mecanismos de seguridad como BPDU Guard. La demostración de esto es que si lo configurás globalmente como opción por defecto, se aplica automáticamente solo a puertos de acceso.
      Pero también es cierto que lo podés activar en puertos troncales, como indica el documento que citás, para puertos troncales que conectan terminales (servidores), no switches. E inevitablemente recibirás un mensaje de advertencia llamando tu atención a que esto puede causar problemas en la operación.
      Colocarlo en un troncal que conecta a otro switch es ocioso, ya que necesitás que en ese puerto opere a pleno STP, y por otro lado como cita la documentación, te exponés a posibles bucles temporales.

      Borrar
  51. Estimado.

    Gracias por orientarme, inicialmente quite el portfast sin resultado, pero el problema se soluciono quitando los comandos:

    speed 100
    duplex full

    Volví a ejecutar porfast, y acelero notoriamente el levantamiento de la interfaz, por lo cual lo deje configurado así finalmente.

    Saludos.

    ResponderBorrar
    Respuestas
    1. Pues, entonces era un problema de negociación de velocidad y dúplex.
      Más allá de que en este momento esté funcionando, deberías verificar qué es lo que está provocando esta falla. Puede que haya sido solamente configuración, pero también puede que tengas algún defecto en el cableado.

      Borrar
  52. Oscar, una consulta. No es del tema que estan debatiendo pero no sabia donde hacerla. Viendo el grafico, a que se puede deber que tengo mucha mayor latencia si hago ping desde la primer PC de la izquierda hasta el ultimo switch que si yo hago ping desde esa misma PC hasta la ultima PC de la derecha? El switch que me da altisima latencia esta en el camino de esa ultima PC y sin embargo esto no afecta la latencia al hacer ping a ella! En un camino de red, la latencia al ultimo dispositivo no deberia ser mayor que a cualquiera intermedio? Gracias!!

    ResponderBorrar
    Respuestas
    1. No necesariamente.
      En una red que se conmuta por capa 2, los switches son simplemente puntos de paso del tráfico que es reenviado luego de ser procesada solamente la MAC de destino; en cambio, cuando el destino es un IP de management, entonces el switch actúa como host y debe procesar completamente el paquete para elaborar la respuesta y luego enviarla.
      La causa de la disparidad muy alta de latencia, habría que verla en la implementación concreta.

      Borrar
  53. Gracias Oscar, esclarecedor! Entiendo entonces que puede ser un tema de capacidad de procesamiento del switch y no de sobrecarga o throughput sobre el (es un nodo donde confluyen algunos troncales de F.O.) porque esta carencia no aparenta afectar el switching de la red, solo pasa cuando le pido al dispositivo que responda! Quizá habra que replantear ese hardware ya que es una red en crecimiento! Muchas Gracias!!

    ResponderBorrar
  54. Oscar, una consulta quiza muy basica, que diferencia hay entre la VLAN 1 y la Nativa y para que sirven c/u?? Como las separo en la configuracion y de que serviria? Cual deberia ser la de administracion? Hay algun sitio donde pueda tener una explicacion clara y con ejemplos en español??
    Gracias y disculpas x tantas preguntas!!!

    ResponderBorrar
  55. Javi
    Mira, hay varios conceptos que suelen mezclarse.
    La VLAN de management es aquella destinada al tráfico de management de la red, y que es la que proporciona acceso al plano de management del dispositivo (telnet, ssh, http, https, snmp).
    La VLAN nativa, en cambio, es un concepto propio de troncales 802.1Q que por el estándar requieren que el tráfico de una de las VLANs no sea etiquetado.
    En el caso de los switches Catalyts, todos los puertos vienen por defecto asociados a la VLAN 1 (que es la única VLAN pre-configurada), y esa misma VLAN 1 es la VLAN de management y la vlan nativa en los troncales 802.1Q. Y creo que a veces eso hace que se confundan los 3 conceptos.
    Las buenas prácticas sugieren que en los enlaces se cambie la VLAN nativa por defecto y esa VLAN no sea utilizada para tráfico significativo, ya que puede ser explotada para ataques a la red.
    La otra recomendación es no utilizar la VLAN de management para tráfico de usuario, creando nuevas VLANs para separar este tráfico.
    No tengo referencias en español. Podés comenzar leyendo este documento: http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml

    ResponderBorrar
  56. Gracias Oscar, muy claro!! Pero como separo estas vlans si x defecto "vienen todas juntas" (son lo mismo). La IP que se coloca en cada switch se coloca en la 1 (vamos a asumirla como de managemente en principio), x lo tanto es la de admin. Ahora, como le digo al sitch que la 1 no es la nativa?? Es la unica duda que espero despejar con el link!! Saludos

    ResponderBorrar
    Respuestas
    1. Javi
      Pues, se separan por configuración.
      Que todo esté por defecto en la VLAN 1 no significa que debe quedarse así. Por configuración puedes cambiarla.
      Puedes cambiar la VLAN de management, y en ese caso deberás crear la interfaz virtual correspondiente (SVI) y asignarle la IP de management en esa interfaz en lugar de en la interfaz VLAN 1.
      Y la VLAN nativa, como es propiedad de cada enlace troncal, se cambia por configuración en cada troncal.
      Para esto, puede consultar estos 2 enlaces:
      http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swint.html
      http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swvlan.html

      Borrar
  57. Gracias Oscar!! Pregunta aparte, que sucedio con los librs suyos que promocionaba en su blog?? Yo compre 2 y queria ver que habia y no los encontre!!

    ResponderBorrar
  58. Pues... gracias a tu pregunta me he dado cuenta que ha desaparecido el acceso a las bibliotecas que estaba en la columna de la derecha del blog.
    No me había dado cuenta. Gracias. Voy a trabajar para volver a poner esa sección en operaciones, no se qué habrá ocurrido.
    En el mientras tanto, como siempre, los libros se puede adquirir escribiendo a la editorial: libros.networking@gmail.com, o entrando directamente al blog de la Editorial: http://myebooks.secure-ebook.com/~EDUB0532/

    ResponderBorrar
  59. Buenisimo entonces!! Critica aparte... el formato que han elegido es bastante incomodo, el hecho de que solo puedan ser ebooks que no se pueden imprimir y solo se pueden abrir en un unico dispositivo y si quiero mas debo abonar un plus minimo por copia, a mi por lo menos me resulta incomodo al punto de no adquirir aún ninguno. Prefiero la version en papel a este formato! Es solo una opinion ya que los dos libros suyos de CCNA en papel que tengo son excelentes!

    ResponderBorrar
  60. Oscar una consulta si no es molestia. Sino me equivoco en un switch de capa2 no es posible aplicar una lista de acceso a una interfaz aunque sea una SVI, pero si es posible hacerlo en un módulo de switch integrado en un router, por ejemplo una HWIC-16ESW. Es algo que no alcanzo a comprender puesto que se supone que una tarjeta tiene q tener más limitaciones que un switch completo. Entiendo que la tarjeta está integrandose en un dispositivo de capa3 pero aun así, no lo entiendo.

    ResponderBorrar
    Respuestas
    1. Los switches Catalyst 2960, aún siendo dispositivos layer 2, permiten implementar ACLs por puerto y por VLAN.
      Un dispositivo es layer 2 o 3 según la información de direccionamiento que considera para tomar la decisión de reenvío del tráfico. Si evalúa MAC, opera en capa 2; si evalúa IP, opera en capa 3.
      Pero esto no limita la posibilidad de implementar otros features (QoS, seguridad, etc.) que considere información incluida en otros encabezados.

      Borrar
  61. cuales son las vulnerabilidades que tiene Catalyst 2960?, a diferencia del resto. Gracias por su tiempo.

    ResponderBorrar
    Respuestas
    1. Eduardo.
      Una vulnerabilidad es una debilidad que al ser descubierta posibilita algún tipo de ataque. No se trata de un objetivo de diseño de un dispositivo, y depende no solamente del hardware sino también del sistema operativo implementado.
      Por este motivo creo que no es posible responder adecuadamente tu pregunta.
      1. Se puede hablar de cuáles son las vulnerabilidades descubiertas, pero seguramente en este momento se están descubriendo nuevas y habrá más por descubrir.
      2. En general, esta información es declarada por los fabricantes al momento de resolverlas. Pero no todos las declaran, por lo que hacer una comparación es muy difícil pues dependes de la información brindada por los fabricantes.
      3. Comparar un dispositivos vs. el resto, es establecer un universo de comparación infinito.
      4. La vulnerabilidad de un dispositivo en concreto depende en realidad de su versión de hardware y de sistema operativo. Es posible que si analizas un dispositivo en particular, encuentres que muchas de sus vulnerabilidades hayan sido ya solucionadas en versiones posteriores.
      Concretando. Es más útil analizar las prestaciones de seguridad que tiene un dispositivo, porque de ese modo conocerás las herramientas que tienes a disposición para prevenir y solucionar posibles ataques.

      Borrar
  62. Estimado Oscar, el port-security se puede implementar sobre enlaces (mode trunk), de antemano gracias por la respuesta

    ResponderBorrar
    Respuestas
    1. Port-security es un feature para aplicar a puertos de acceso a fin de prevenir un ataque de desbordamiento de la tabla CAM del switch.
      ¿cómo podrías prever la cantidad de direcciones MAC que podría recibir un puerto perteneciente a un enlace troncal?

      Borrar
  63. Hola Oscar
    Te consulto x lo siguiente.

    tengo una topologia mixta de Juniper EX4200 series y cisco 2960
    Los Juniper actuan como core y poseen una interfaz virtual en el rango 10.72.x.x/24 en vlan CORE

    Los cisco 2960 estan configurados como stack (de 4 o 5 sw) y conectados via trunk con TODAS las vlans transportadas a un post del juniper core
    sin embargo no puedo obtener IP desde el windows server atras del juniper
    este juniper tiene una IP cpnfigurada como vrtual la cual es el "router"
    sin embargo cuando trato de configurar el ip dhcp helepr en el ciso no aparece la opcion
    o sea, como llamo o indico que el cisco tome las Ip del pool del windows server en 10.72.0.1 a traves de la ip virtual 10.72.0.30 (GW) en mi cisco 2960 10.72.3.235? todos en el mismo rango de vlan core?

    Gracias

    ResponderBorrar
    Respuestas
    1. Carlos
      Los Cat 2960, presumo, están operando en capa 2.
      El DHCP proxy, se configura en el gateway de cada VLAN, no en los switches que forwardean el tráfico.

      Borrar
    2. Hola Oscar y gracias por tu tiempo.
      Los Cat 2960 como dices estan en layer2

      Tendras algun ejemplo de DCHP sobre GW de VLAN?
      No entiendo como hacerlo

      Gracias

      Borrar
    3. Carlos.
      No tengo un ejemplo a mano en este momento, pero no difiere de la configuración que conocés en un router. Aquí la única diferencia es que las solicitudes DHCP se reciben a través de una interfaz VLAN y no en una interfaz física.

      Borrar
    4. Ok, ahora si Oscar , gracias por tu valioso tiempo, cuando lo tenga resuelto te mando la solucion por si te sirve como ejemplo.

      Borrar
  64. hola buenas tardes tengo un cisco switch 3750 y un enlace que viene de un asrcom con ip publica,

    el swicht 3750 esta conectado a tres switchs 2960 atraves de fibra
    el detalle es que necesito realizar la conexcion tanto fisica como la configuracion que viene del asrcom que es mi proveedor de internet de direccion publica como declararia esta ip en el 3750 y despues repartir la salida a los switches 2960 agradeceria sus respuestas

    ResponderBorrar
    Respuestas
    1. Tu planteo creo que escapa a los alcances de un comentario en un post. Es un tema de diseño.
      Tenés que resolver en primer lugar si tu mejor solución es que un switch de esas características sea el dispositivo de borde de Internet. No sólo debés configurar la IP pública, debés implementar NAT y seguridad en el acceso. Creo que debés hacer un planteo más integral.

      Borrar
    2. hola oscar gracias por tus comentarios. estoy muy de acuerdo contigo con todo lo que mencionas, de hecho en primera instancia se iba colocar,un router que es mas esencial de los de la gama small bussines, rl wrtl ahy sin problemas configurar la ip publica yaintegrando el server dhcp que trae el router que te menciono por default y sin generar ninguna configuracion en los witches ya que son capa dos, por logica la comunicacion de beria sr viable el detalle aqui es que la persona, que trae este diseño lo quiere especificamente asi tengo entendido que el 3750 deberia jalar para router por ser de capa 3, en cuanto al nat sin problema aki mi duda es al crear el NAT SERIA EN UNA VLAN PARA PODER ASIGNARLE DICHA IP Y QUE ESTA VLAN SE VIERA CON LAS VLAN DE DATOS DE LOS SWITCHE QUE SOLO OCUPARA UNA YA QUE AKI ENE STA RED NO AHY PROBLEMA DE RESTRICCION DE DEPARTAMENTOS, solo quisiera tu punto de vista que opinas?

      Borrar
    3. Mi punto de vista sobre esto:
      1- Que un switch sea layer 3 no implica que tenga las mismas prestaciones que un router.
      2- En el borde de Internet no sólo se requiere enrutamiento y NAT, sino también calidad de servicio y seguridad. No solo por restricciones a la red interna, sino por la capacidad de asegurar políticas de protección respecto de la red outside.
      3- Por eso, el dispositivo de borde a la red pública es un router: enrutamiento, NAT, calidad de servicio, manejo de la asimetría de velocidades y capacidades, mínimas implementaciones de seguridad (no es lo mismo un router que un firewall).
      4- Finalmente, un switch Catalyst 3750 no puede ocupar ese puesto, además de lo que expresé antes, porque no soporta NAT. https://learningnetwork.cisco.com/thread/32139

      Borrar
    4. muy clara tu respuesta, no puede ser superde acuerdo contigo y gracias por tomar en cuenta mi comentario para tu humilde opinion, gracias por aclarar esta gran duda.

      Borrar
  65. Hola, Oscar tengo switch catalyst 2960 poe 24, y quiero configurar un Tplink para ofrecer wireless, lo conecto y se ve da señal pero no acceso a internet.
    Me Puedes orientar gracias|

    ResponderBorrar
    Respuestas
    1. Estimado
      No queda claro cuál es tu conexión a Internet.
      ¿El switch está conectado a Internet?
      ¿o es el TPLink?

      Borrar
  66. Oscar buen día
    Tengo un Cisco 2960-X que soporta hasta 1005 VLan necesito crear la VLan 1147 y la VLan 2000 como puedo hacer esto

    ResponderBorrar
    Respuestas
    1. Buenos días Moisés
      1005 VLANs es la CANTIDAD de VLANs que puede soportar la base de datos de VLANs de estos switches.
      Una característica diferente es la cantidad de bits que se pueden utilizar para la identificación de VLANs, lo que depende de que el switch soporte ID de VLAN extendido. Esta prestación está soportada por todos los switches Catalyst, por lo que es posible configurar las VLANs que necesitás mientras no excedas la cantidad de VLANs configuradas que se especifica (en este caso 1005).

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.