Capacitacion Switching

SWITCHING
PLANEACIN DE RED
Nombre
ING.
DANNY
presentacin
M. HERNANDEZ
/ Fecha / ENERO - 2013
SWITCHING
AGENDA
OPERACIN DE UN SWITCH
VLANS Y TRONCALES
LINK AGGREGATION
SPANNING TREE PROTOCOL
PROTECCIN DE LA TOPOLOGA DE STP
CONTROL DE TRFICO
STP EN RED CLARO - DATACENTER
Nombre presentacin / Fecha
SWITCHING
Conmutacin de Tramas
Alta densidad de puerto
Bferes de frame grandes
Mezcla de velocidades de puerto
Switching interna rpida

Modos de Switching:
Por mtodo de corte
Almacenamiento y envo
Libre de fragmentos
SWITCHING
SWITCHING
PROBLEMAS EN UNA RED L2
Dominios de fallas sin lmites

Dominios de broadcast de gran tamao
Gran cantidad de trfico
MAC de unicast desconocido
Trfico de multicast sin lmites
Desafos para
la administracin
y el soporte
Posible vulnerabilidad
de la seguridad
SWITCHING
VLANs
Segmentacin
Flexibilidad
Seguridad
VLAN = dominio de broadcast = red lgica (subred)

SWITCHING
OPERACIN DE VLAN
SWITCHING
MODOS DE PERTENENCIA DE UNA VLAN
SWITCHING
TRONCALES 802.1Q
SWITCHING
TRAMA 802.1Q
SWITCHING
VLAN NATIVA
SWITCHING
CONFIGURACION GENERAL
SwitchX(config-if)#
switchport mode {access |
dynamic {auto | desirable} | trunk}
Configura las caractersticas de enlace troncal del puerto.

SwitchX(config-if)#
switchport mode trunk
Configura el puerto como enlace troncal de VLAN.

SwitchX# show interfaces fa0/11 switchport
Name: Fa0/11
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
. . .
SWITCHING
CONFIGURACION GENERAL
SwitchX# show interfaces fa0/11 trunk
Port
Fa0/11
Port
Fa0/11
Port
Fa0/11
Mode
desirable
Encapsulation
802.1q
Status
trunking
Native vlan
1
Vlans allowed on trunk

1-4094
Vlans allowed and active in management domain

1-13
SwitchX# configure terminal

SwitchX(config)# vlan 2
SwitchX(config-vlan)# name switchlab99
SWITCHING
VERIFICACIN GENERAL
SwitchX# show vlan [brief | id vlan-id || name vlan-name]
SwitchX# show vlan id 2

VLAN Name
Status
Ports
---- -------------------------------- --------- ------------------------------2
switchlab99
active
Fa0/2, Fa0/12
VLAN Type SAID
MTU
Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----2
enet 100002
1500 0
0
.
.
.
SwitchX#
switchport access [vlan vlan# | dynamic]
SwitchX# show vlan brief
SWITCHING
JERARQUA DE CONECTIVIDAD
SWITCHING
TECNOLOGAS DE INTERCONEXIN
Tecnologa
Uso
Fast Ethernet
Conecta dispositivos de
usuario final al switch de
la capa de acceso
Gigabit Ethernet
Conecta el switch de acceso

con el switch de distribucin y
los servidores muy utilizados
con los switches
10-Gigabit
Ethernet
Proporciona enlaces de switch

a switch de alta velocidad,
backbones
EtherChannel
Proporciona enlaces de switch

a switch de alta velocidad,
backbones con redundancia
SWITCHING
LINK AGGREGATION
Unificacin lgica de enlaces

similares entre distintos switches
Comparte la carga entre todos
los enlaces
Se visualiza como un puerto
lgico al STP
Redundancia
SWITCHING
TOPOLOGA REDUNDANTE
La topologa redundante elimina los puntos nicos de error.

Una topologa redundante provoca tormentas de broadcast,
copias de mltiples tramas y problemas de inestabilidad
en la tabla de direcciones MAC.
SWITCHING
TRAMAS DE BROADCAST
La estacin D enva una trama de broadcast.

Las tramas de broadcast se envan por difusin
a todos los puertos excepto al puerto de origen.
SWITCHING
TORMENTAS DE BROADCAST
El host X enva un broadcast.

Los switches siguen propagando
trfico de broadcast una y otra vez.
SWITCHING
COPIAS DE MLTIPLES TRAMAS
El host X enva una trama unicast al router Y.

Ninguno de los switches ha aprendido
la direccin MAC del router Y.
El router Y recibir dos copias de la misma trama.
SWITCHING
INESTABILIDAD BD MAC
El host X enva una trama unicast al router Y.
Ninguno de los switches ha aprendido la direccin MAC del router Y.

Los switches A y B aprenden la direccin MAC del host X en el puerto 1.
La trama al router Y se enva por inundacin.
Los switches A y B aprenden incorrectamente la direccin MAC
del host X en el puerto 2.
SWITCHING
SPANNING TREE PROTOCOL
Proporciona una topologa de red sin loop y redundante

colocando determinados puertos en estado de bloqueo
Publicada en la especificacin IEEE 802.1D
Mejorada con la implementacin PVST+ de Cisco
SWITCHING
OPERACIN STP
Un bridge raz por dominio de broadcast.
Un puerto raz por puente no raz.
Un puerto designado por segmento.
Los puertos no designados no se utilizan.
SWITCHING
OPERACIN STP
BPDU (predeterminado = se enva cada 2 segundos)

Puente raz = puente con el menor ID de bridge
ID de bridge =
Prioridad
de bridge
Direccin
MAC
SWITCHING
ESTADOS DE UN PUERTO EN STP
Spanning Tree hace transitar a cada puerto por varios estados diferentes:
SWITCHING
PORT-FAST
PortFast se configura en puertos de acceso, no en puertos de enlace troncal.

SWITCHING
SwitchX(config-if)#
spanning-tree portfast
Configura PortFast en una interfaz
O
SwitchX(config)#
spanning-tree portfast default
Habilita PortFast en todas las interfaces que no sean enlaces troncales

SwitchX#
show running-config interface interface

Verifica que PortFast se haya configurado en una interfaz
SWITCHING
EJEMPLO STP
SWITCHING
COSTOS STP
Velocidad
de enlace
Costo (Especificacin
IEEE revisada)
Costo (Especificacin IEEE

anterior)
10 Gb/s
1 Gb/s
100 Mb/s
19
10
10 Mb/s
100
100
SWITCHING
OPERACIN STP
SWITCHING
PVSTP+
SWITCHING
PVST+ ID
ID de puente sin
ID de sistema ampliada
ID de puente ampliada
con ID de sistema
ID del sistema = VLAN

SWITCHING
RAPID STP
SWITCHING
OPERACIN STP
Los switches Catalyst de Cisco admiten tres
clases de STP:
PVST+
PVRST+
MSTP
El STP predeterminado para los switches

Catalyst de Cisco
es PVST+:
Una instancia independiente de STP para cada VLAN
Un bridge raz para todas las VLAN
No se comparte la carga
SWITCHING
VERIFICACIN STP
SwitchX# show spanning-tree vlan 30
VLAN0030
Spanning tree enabled protocol rstp
Root ID Priority 24606
Address 00d0.047b.2800
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 24606 (priority 24576 sys-id-ext 30)
Address 00d0.047b.2800
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
-------- ----- --- --- -------- ---Gi1/1
Desg FWD 4
128.1
P2p
Gi1/2
Desg FWD 4
128,2
P2p
Desg FWD
128.257 enP2p
ElGi5/1
modo Spanning
Tree4se establece
PVRST.
SWITCHING
SWITCH ROOT Y SECUNDARIO
SWITCHING
SwitchA(config)#
spanning-tree vlan 1 root primary

Este comando obliga a este switch a ser la raz para VLAN1.
SwitchA(config)#

Este comando configura este switch para que sea la raz secundaria
para VLAN 2.
O
SwitchA(config)#
spanning-tree vlan # priority priority

Este comando configura la prioridad en forma esttica (incrementos de 4096).
SWITCHING
SwitchB(config)#
Este comando obliga al switch a ser la raz para VLAN2.

SwitchB(config)#
Este comando configura el switch para que sea la raz secundaria para VLAN1.
O
SwitchB(config)#
spanning-tree vlan # priority priority
Este comando configura la prioridad en forma esttica (incrementos de 4096).

SWITCHING
PRCTICAS RECOMENDADAS DE PROTECCION
Considere o establezca polticas de

seguridad organizacionales.
Proteja los dispositivos de conmutacin:
Proteja el acceso al switch.
Proteja los protocolos de conmutacin.
Disminuya los riesgos de seguridad en la red a
travs de los switches.
SWITCHING
Proteja el acceso al switch:
Establezca contraseas para el sistema.

Proteja el acceso fsico a la consola.
Proteja el acceso a travs de Telnet.
Use SSH cuando sea posible.
Deshabilite el HTTP.
Configure mensajes de advertencia del
sistema.
Deshabilite los servicios que no se necesitan.
Use syslog si est disponible.
SWITCHING
Proteja los protocolos de conmutacin:
Reduzca el Protocolo Cisco Discovery y
utilcelo slo cuando sea necesario.
Proteja el spanning tree.
Disminuya los riesgos de seguridad en la

red a travs
de un switch:
Tome precauciones para los enlaces troncales.
Minimice el acceso fsico al puerto.
Establezca una configuracin estndar, tanto
para los puertos de acceso que estn en uso
Nombre presentacin
como/ Fecha
para los que no.
SWITCHING
STORM-CONTROL
Ayuda a Mitigar problemas de loops de L2.
Mitiga problemas asociados a generacin de trfico malicioso en la red desde un host.
Controla la cantidad de trfico Broadcast permitido.
SWITCHING
PORT-SECURITY
Aseguramiento de Direcciones MAC
Proteccin contra ataques de MAC-Flooding.
SwitchX(config-if)#switchport port-security [ mac-address
mac-address | mac-address sticky [mac-address] | maximum
value | violation {restrict | shutdown}]
SwitchX(config)#interface fa0/5
SwitchX(config-if)#switchport mode access
SwitchX(config-if)#switchport port-security
SwitchX(config-if)#switchport port-security maximum 1
SwitchX(config-if)#switchport port-security mac-address sticky
SwitchX(config-if)#switchport port-security violation shutdown
SWITCHING
PROTECCIN DE STP
Root Guard : Controla donde pueden encontrarse y conectarse los Root Bridge
candidatos. Si otro switch anuncia una BPDU superior o con mejor Bridge ID en un puerto
donde est configurado Root Guard, el switch local no permite que el nuevo switch sea el
Root Bridge. El puerto se mantendr en el estado root-inconsistent de STP.
BPDU Guard : Protege la integridad de los puertos que tiene activado PortFast. Si se
recibe una BPDU en un puerto donde est configurado con BPDU Guard ese puerto se
pone inmediatamente en estado errdisable. Si se deja de recibir las BPDUs el puerto
sigue en el estado errdisable.
Loop Guard : Mantiene la pista de la actividad de BPDUs en puertos nondesignated.
Mientras se reciben BPDUs se permite que el puerto funcione normalmente, pero
cuando se dejan de recibir las BPDUs, Loop Guard, pasa el puerto al estado de loopinconsistent. El puerto sigue bloqueado en este punto para prevenir bucles y que siga
como nondesignated. Cuando se vuelven a recibir BPDUs por el puerto, Loop Guard
hace que el puerto pase por los estados de STP hasta que quede en Forwarding.
SWITCHING
PROTECCIN DE STP
BPDU Filter: Sirve para deshabilitar STP en un puerto .
SWITCHING
RED DCN CLARO
SWITCHING
RED DCN CLARO
SWITCHING
RED DCN CLARO
SWITCHING
RED DCN CLARO
SWITCHING
RED DCN CLARO
SWITCHING
RED DCN CLARO - RECOMENDACIONES
Todos los switches se deben conectar en HA usando el feature de vPC.
Para todas las Vlans de servicio de Datacenter el ROOT DEBE ser el Nexus 7K. Por ningn
Motivo se permite para estos servicios un root diferente. (Si hay un caso especial se debe
Consultar con Ingeniera).
En todos los casos se debe asegurar las conexiones finales de acceso.
Acceso host : Port-Fast / BPDU Guard / Root Guard / Storm Control broadcast / Port-Security
Acceso TRK a otros switches y/o Collocation : Root Guard / Storm Control / Port Security
NO DESHABILITAR STP.
Las vlans porpietarias de una solucin de collocation no deben salir del dominio del
Cliente, en dado caso que se requiera este se debe adaptar a las condiciones de la red
De Claro en cuanto a STP y topologas.
Hacer Pruning manual sobre las troncales y en la Vlan DB de los equipos.
Preguntas
danny.hernandez@claro.com.co

Capacitacion Switching

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Capacitacion Switching

Încărcat de

Drepturi de autor:

Formate disponibile

SWITCHING

Nombre presentacin / Fecha

Switching interna rpida

Nombre presentacin / Fecha

Nombre presentacin / Fecha

Dominios de fallas sin lmites

VLAN = dominio de broadcast = red lgica (subred)

Nombre presentacin / Fecha

Nombre presentacin / Fecha

Nombre presentacin / Fecha

Nombre presentacin / Fecha

Nombre presentacin / Fecha

switchport mode {access |

dynamic {auto | desirable} | trunk}

Configura las caractersticas de enlace troncal del puerto.

switchport mode trunk

Configura el puerto como enlace troncal de VLAN.

Nombre presentacin / Fecha

Vlans allowed on trunk

Vlans allowed and active in management domain

SwitchX# configure terminal

Nombre presentacin / Fecha

SwitchX# show vlan id 2

SwitchX# show vlan brief

Nombre presentacin / Fecha

Nombre presentacin / Fecha

Conecta el switch de acceso

Proporciona enlaces de switch

Proporciona enlaces de switch

Nombre presentacin / Fecha

Unificacin lgica de enlaces

Nombre presentacin / Fecha

La topologa redundante elimina los puntos nicos de error.

La estacin D enva una trama de broadcast.

El host X enva un broadcast.

El host X enva una trama unicast al router Y.

Nombre presentacin / Fecha

El host X enva una trama unicast al router Y.

Ninguno de los switches ha aprendido la direccin MAC del router Y.

Proporciona una topologa de red sin loop y redundante

Nombre presentacin / Fecha

BPDU (predeterminado = se enva cada 2 segundos)

Nombre presentacin / Fecha

PortFast se configura en puertos de acceso, no en puertos de enlace troncal.

spanning-tree portfast default

Habilita PortFast en todas las interfaces que no sean enlaces troncales

show running-config interface interface

Nombre presentacin / Fecha

Costo (Especificacin IEEE

Nombre presentacin / Fecha

Nombre presentacin / Fecha

Nombre presentacin / Fecha

ID del sistema = VLAN

Nombre presentacin / Fecha

El STP predeterminado para los switches

Nombre presentacin / Fecha

Nombre presentacin / Fecha

Nombre presentacin / Fecha

spanning-tree vlan 1 root primary

spanning-tree vlan 2 root primary

spanning-tree vlan # priority priority

Este comando obliga al switch a ser la raz para VLAN2.

Este comando configura la prioridad en forma esttica (incrementos de 4096).

Considere o establezca polticas de