******************************************************************************************* Hacer usuario Router(config)#username Omar secret Fender2313 // Usario y contraseña R1(config)# line console 0 R1(config-line)# password k4(1fmMsS1# //Contraseña en consola R1(config-line)# login R1(config-line)# exit R1(config)# line vty 0 4 R1(config-line)# password 8wT1*eGP5@ //Contraseña por telnet R1(config-line)# login **************************************************************** Configurar SSH SW(config)#interface vlan 10 SW(config-if)#ip add SW(config-if)#no shut SW(config)#ip domain-name SW(config)#crypto key generate rsa How many bits in the module:1024 SW(config)#ip ssh time-out 30 // tiempo de espera para hacer la conexion SW(config)#ip ssh authentication-retries 3 // intentos para logearse SW(config)#username SW(config)#line vty 0 4 SW(config-line)#exec-timeout 3 tiempo para que se corte la conexion cuando no se hace nada SW(config-line)#transport input ssh // solo habilita ssh SW(config-line)#login local SW(config)#ssh -1 admin /probando acceso SW(config)#enable secret // password modo privilegiado SW(config-line)#service password encryption // encripta los password cuando se muestran con un sh run *********************************************************************************** service password-encryption line vty1 login password *********************************************************************** Poner password a la consola SW(config)#line console 0 SW(config-line)#password ************************************************************************ Poner password a telnet SW(config)#line vty 0 15 SW(config-line)>#password ************************************************************************ Poner password al modo privilegiado SW(config)#enable secret ************************************************************************* Reiniciar equipo SW#reload ************************************************************************ Guardar configuracion SW#wr mem ********************************************************************** Borrar configuracion SW#wr erase ************************************************************************* Poner nombre a equipo SW(config)#hostname ************************************************************************** Ver tabla MAC SW#sh mac address-table dynamic/static/interface ************************************************************************* Ver status ssh SW#show ip ssh ********************************************************************** Encriptar password para telnet o consola SW(config)#service password-encryption ******************************************************************** Creacion de vlan, cambio de nombre, asignacion de ip para administracion del SW y gateway SW(config)#vlan 10 SW(config)#name Departamentos SW(config)#interface vlan 10 SW(config-if)#ip add 192.168.10.1 255.255.255.0 SW(config-if)#no shutdown SW(config)#ip default-gateway 192.168.10.254 *************************************************************************** Configurar el modo(full duplex),velocidad (100Mbps) y vlan (10) de una interfaz SW(config)#int fa0/1 SW(config-if)#description Se puede agregar una leyenda o descripción al pto SW(config-if)#duplex full SW(config-if)#speed 100 SW(config-if)#switchport access vlan 10 Para configurar varias interfaces a la vez primero SW(config)#int range fa0/1 , fa0/5 , fa0/8 //Configura varias interfaces no consecutivas SW(config)#int range fa0/1-10 SW(config-if-range)#duplex full SW(config-if-range)#speed 100 SW(config-if-range)#switchport access vlan 10 Crear un grupo de ptos, para no tener que configurarlos uno a la vez Switch(config)# define interface-range MyGroup gig 2/0/1 , gig 2/0/3 – 2/0/5 , gig 3/0/1 , gig 3/0/10, gig 3/0/32 – 3/0/48 Switch(config)# interface range macro MyGroup Switch(config-if)# power inline never // deshabilitar PoE **************************************************************************** ver configuracion de vlan SW#sh vlan id SW#sh interface vlan ver status de puerto SW#sh interface status // muestra si hay un cable conectado SW#sh int status err-disabled // muestra la causa de la baja del ptos Switch(config)# [ no ] errdisable detect cause [ all | cause-name ] // habilitar o des habilitar el errdisable Switch# show interface gigabitethernet 2/0/2 switchport // Muestra si el pto es troncal o de acceso ************************************************************************* Configurando un puerto con port security SW(config)#int fa0/1 SW(config-if)#switchport mode access/trunk //Modo troncal o acceso SW(config-if)#switchport port-security // Habilita el puerto SW(config-if)#switchport port-security maximum <1-132> //numero maximo de mac permitido en el ese puerto SW(config-if)#switchport port-security mac-address Switch# clear port-security {all | configured | dynamic | sticky} [address mac-addr | interface type member/mod/num] //Limpiar las maca aprendidas Para ver la config de estos puertos SW#sh startup-config o bien SW#sh port-security int fa0/1 SW# sh port-security //muestra todos los ptos. configurados asi Switch(config)# errdisable recovery interval // recupera un puerto de una violacion despues de los seg asignados SW#how interface status err-disabled // Ver porque el pto , tiene un estado de err disable **************************************************************************************************************************** Recupera los puertos despues de un error de PoE Switch(config)# errdisable recovery cause inline-power Switch(config)# errdisable recovery interval <3600> ********************************************************************** En la interfaz configurada como troncal podemos configurar la vlan nativa SW(config)int fa0/18 SW(config-if)#switchport mode trunk SW(config-if)#switchport trunk native vlan Para ver las configuraciones de la troncal SW#sh int trunk ********************************************************************** En algunos switches se puede configurar el modo de troncal SW(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate} ************************************************************************* Ver la configuracion de un puerto como vlan a la que pertenece y el si esta en access o trunk SW#sh int fa0/1 switchport Ver las interfaces que son troncales y que vlan´s tienen permitidas SW#sh interfaces trunk Switch#sh ip int brief // ver las ip de cada int ****************************************************************** Configurar puerto para autonegociacion de modo access SW(config-if)#switchport mode dynamic auto/desirable SW(config-if)#switchport nonegotiate // desactivar la autonegociacion Switch# show dtp // ver las propiedades de DTP ****************************************************************** Dar acceso a las vlan por medio de la una troncal por default deja pasar todas SW(config-if)#switchport trunk allowed vlan {add | all | except | remove} vlan-list Desactivar una vlan SW(config)#shutdown vlan Switch# show running-config interface gigabitethernet 1/0/1 //Verifica la configuración del ptos, si lleva vlan de voz y datos, etc ****************************************************************** Switch(config)#vtp mode server/cliente Switch(config)#vtp domain Switch(config)#vtp password Switch(config)#vtp pruning // habilita el pruning Switch#sh vtp status //Ver el estatus del VTP Switch#vlan database // crear asi las vlan con vtp Switch(vlan)#vlan 20 name vtp Switch#delete flash:vlan.dat. //borrar las vlan Switch(config)#vpt version <1,2,3>// Escoger la version de VTP, ya que no son totalmente inter operables Switch(config)# interface type member/module/number Switch(config-if)# switchport trunk pruning vlan {{{ add | except | remove } //permitir el paso de ciertas vlan en el troncal con vtp ************************************************************************** Con el protocolo cisco discovery protocol ver info de vecinos SW#sh cdp neighbors // muestra que dispositivos de red estan conectados SW#sh cdp neighbors detail//Muestra los detalles de los equipos de red conectados SW#sh cdp entry //muestra detalles de ese equipo SW(config-if)#no cdp enable/run //deshabilita el cdp SW2# show cdp SW2# show cdp interface FastEthernet0/13 SW2# show cdp traffic Switch(config)# show lldp neighbors [ type member/module/number ] [ detail ] // muestra los vecinos con LLDP Switch(config-if)# [ no ] lldp { receive | transmit } // COntrolar LLDP en una unterfaz Switch(config-if)# power inline { auto | static } [ max milliwatts ] //Configuración de PoE Switch(config)# interface gigabitethernet1/0/1 // Ejemplo de configuración de PoE Switch(config-if)# power inline auto max 6000 // Maxima potencia que puede ofrecer la interfaz Switch(config-if)#power inline never //Deshabilita el PoE de la interfaz Switch1# show power inline // verficar dispositivos conectados por PoE Switch1# show power inline gigabitethernet1/0/5 // Información de PoE de un pto ************************************************************ Configurar vlan de voz Switch(config-if)# switchport voice vlan { vlan-id | dot1p | untagged | none } // agrega la int a la vlan de voz, antes convertir la int de modo acceso Configurar puerto para vlan de voz Switch(config)#int fa0/1 Switch(config-if)#mls qos trust cos Switch(config-if)#switchport voice vlan 10 *********************************************************** Switch(config)# mac address-table aging-time //Modifica el tiempo en el cual una mac permanece en la CAM Switch(config)# mac address-table static vlan interface //Entrada manual de una mac a la CAM Switch# show mac address-table count // muestra el numero de MAC guardada por VLAN Switch# clear mac address-table dynamic
limpiar tabla CAM manualmente Switch# show platform tcam utilization // utilizacion de la tabla TCAM Switch#show sdm prefer template //ver las particiones de la TCAM Switch(config)# sdm prefer template // Cambiar las particiones de la TCAM ********************************************************************************************************************************************** spanning-tree vlan root {primary | secondary} //Corre un macros para configurar el SW como root dentro de STP spanning-tree vlan priority priority //Configura la prioridad manualmente del SW para STP Ejemplo: Switch(config)# spanning-tree vlan 5,100-200 priority 4096 Switch(config)# spanning-tree portfast default //Habilita el port fast de forma global en el SW en todos los puertos de acceso SW1(config-if)#spanning-tree vlan <3> cost <2> //configura manualmente el costo de la interfaz a 2 SW1(config)#spanning-tree vlan 3 root primary // configura un sw como root en la vlan 3 Switch(config)# interface gigabitethernet 2/0/44 Switch(config-if)# spanning-tree vlan 10,100 port-priority 64 //Modifica la prioridad del pto para las decisiones de STP Switch(config-if)# spanning-tree guard root //configurar el guard root en el pto Switch# show spanning interface gigabitethernet1/0/1 //Permite ver la funcón de que tiene el pto en STP Switch# show spanning-tree interface gigabitethernet 1/0/1 // Muestra el status de la interfaz para STP Switch(config)# spanning-tree vlan vlan-id //Activar STP en una vlan entera Switch (config-if)# spanning-tree vlan vlan-id //Activar STP en un pto para una vlan Switch(config)# spanning-tree extend system-id //Activar el valor extendido para la elección del root Switch(config)# spanning-tree [ vlan vlan-id ] hello-time seconds //Modificación tiempo de hello Switch(config)# spanning-tree [ vlan vlan-id ] forward-time seconds //Modificación de tiempo que un pto permanece como "listen" Switch(config)# spanning-tree [vlan vlan-id ] max-age seconds // Modificación que un pto retiene los BPDU´s Switch(config)# spanning-tree vlan vlan-list root { primary | secondary } [ diameter diameter [ hello-time hello-time ]] // este macro es mejor para la configración de los timer ya que realiza los calculos, el diameter son la cantidad de SW Switch(config-if)# switchport host //Corre un macros en el Pto. activa Port-fast y desactiva Pagp, para prevenir que el pto sea parte de un etherchannel Switch(config)# spanning-tree uplinkfast [max-update-rate pkts-per-second ] //Activa el UplikFast SW1#show spanning-tree vlan 3 // ver la prioridad del SW y de los puerto root SW1#show spanning-tree root SW1#show span vlan 3 bridge SW1#debug spanning-tree events // muestra si hay algun evento stp SW1(config-if)#spanning-tree portfast // hace el stp mas rapido pero solo usar en dispositvos finales Switch# show spanning-tree interface gigabitethernet 1/0/10 portfast //Muestra si el puerto esta como portfast SW(config -if)spanning-tree bpduguard enable // Habilitacion de BPDU Guard, esto se hace en puerto de acceso y con portfast Switch(config)# spanning-tree portfast bpduguard default //Habilita el BPDU Guard en todos los puerto configurados como portfast Switch(config-if)# spanning-tree guard root //Habilitación del root guard, si un SW intenta ser root, el ptos desde viene la petición entrará en un estado de inconsistencia Switch# show spanning-tree inconsistentports //Podemos ver los puertos configurados como root que entrán en inconsistencia Switch(config)# spanning-tree loopguard default //Activa el loop guard de manera global en el switch Switch(config-if)# [ no ] spanning-tree guard loop //Activa el loop guard de forma individual Switch(config)# spanning-tree portfast bpdufilter default //activa BPDU filter, desactiva STP en todos los puertos portfast Switch(config)# spanning-tree mode rapid-pvst //Activa el modo PVST SW1(config)#spanning-tree mode //definir con que protocolo trabajara el SW Switch(config)# spanning-tree mode mst //Activación MST Switch(config)# spanning-tree mst configuration //Configuración MST Switch(config-mst)# name name //Nombre de la instancia Switch(config-mst)# revision version /Revisión de las versiones Switch(config-mst)# instance instance-id vlan vlan-list //Mapep de vlan con instancia Switch(config-mst)# show pending // Muestra si hay cambios pendientes Switch#show spanning-tree detail // Muestra informacion del STP Switch#show spanning-tree mst detail // Muestra informacion del MST (bpdus enviados, recibidos, prioridad, costo,root guard,etc) ************************************************************************************************************************************************* Switch# show spanning tree Switch# show spanning-tree detail Switch# show spanning-tree [ vlan vlan-id] summary //Find the root bridge ID, the root port, and Switch# show spanning-tree [ vlan vlan-id] root //Show the bridge ID and STP timers for the Switch# show spanning-tree [ vlan vlan-id]bridge //Show the STP activity on a specific interface. Switch# show spanning-tree interface Switch# show spanning-tree uplinkfast Switch# show spanning-tree backbonefast //Show the STP BackboneFast status. ************************************************************************************************************************************ Switch(config)# udld { enable | aggressive | message time seconds } //Habilita el UDLD en el switch Switch(config-if)# udld { enable | aggressive | disable } //Habilita el UDLD en un pto del switch ******************************************************************************************************************************* SW1(config)#interface fa 0/16 // haciendo port channel SW1(config-if)#channel-group 1 mode on SW1(config)#int fa 0/17 SW1(config-if)#channel-group 1 mode on SW1(config)#port-channel load-balance //configurar el metodo de balanceo de carga SW1#sh etherchannel port-channel //Ver miembros del port channel SW1#sh etherchannel load-balance // ver el balanceo SW1#sh etherchannel summary // ver portchannel, miembros y protocolo de negociación SW1(config-if)#channel-protocol SW1(config-if)#channel-group mode //Configuración del modo de trabajo del puerto detro del PC SW1(config-if)#channel-group mode desirable non-silent //Configuración de modo sub silencioso en pagp SW1(config-if)#lacp port-priority //Prioridad del puerto del PC dentro de LACP SW1(config)#spanning-tree etherchannel guard misconfig // Evita que se pierda la configuración guardada SW1#show etherchannel port //Muestra el tipo de protocolo y el modo en el que trabaja Switch(config-if)# switchport autostate exclude // Excluir el pto. de las consfiguraciones aplicadas en gral dst-ip Dst IP Addr dst-mac Dst Mac Addr dst-port Dst TCP/UDP Port src-dst-ip Src XOR Dst IP Addr src-dst-mac Src XOR Dst Mac Addr src-dst-port Src XOR Dst TCP/UDP Port src-ip Src IP Addr src-mac Src Mac Addr src-port Src TCP/UDP Port ******************************************************************************************************************************************* Switch# show ip cef [ type member/module/number | vlan vlan-id ] [ detail ] // Muestra las entradas de la tabla FIB a una SVI especifica Switch# show ip cef [ prefix-ip prefix-mask ] [ longer-prefixes ] [ detail ] //Muestra todas las ip´s conocidas en un segmente especifico Switch# show ip cef 10.1.3.0 255.255.255.192 detail // Muestra el detalle del siguiente salto de ese segmento Switch# show adjacency summary //Parte de la tabla FIB, que muestra el siguiente salto de capa 2 Switch# show adjacency vlan 99 detail// Muestra la información del siguiente salto de la vlan 99 Swithc#show ip cef adjacency glean //Muestra las entreadas que no se encuentrar en la ARP Switch# show ip cef 10.1.1.2 255.255.255.255 detail //Muestra la info, de la entrada en la Switch# show cef drop // Muestra los paquete dropeados de la CEF Switch# show cef not-cef-switched //Muestra los paquetes que tiene que ser procesados por capa 3 Switch(config)#no ip route-cache, deshabilita el cef de los catalyst 3750 y 4500 Switch#show ip interface vlan 101 // Muestra la ip e información de capa 3 dentro del switch Switch#show ip interface brief // Muestra una tabla con las direcciones ip de todas las interfaces incluyendo las SVI Switch#show ip cef // Muestra toda la tabla cef Switch# show cef not-cef-switched // Ver la tabla cef con detalle de una interfaz **************************************************************************************************************** La creación de un pool de DHCP en un switch de capa 3 es de la misma forma que un router Switch(config)# ip dhcp excluded-address Switch(config)# ip dhcp pool Switch(config-dhcp)# network Switch(config-dhcp)# default-router Switch(config-dhcp)# dns-server Switch(config-dhcp)# lease {infinite | { days [ hours [ minutes ]]}} Switch(config-dhcp)# exit Switch#show ip dhcp binding // Muestra las direcciones asignadas Switch# clear ip dhcp binding { * | ip-address } //Limpiar la entrada de una IP en especial Configuración de un Binding Manual, es como una asignación estatica de una IP Switch(config)# ip dhcp pool my-pc Switch(dhcp-config)# host 192.168.1.99 255.255.255.0 //IP que se desea que tenga Switch(dhcp-config)# client-identifier 0100.50b6.5bc0.b5 //MAC del cliente Switch(dhcp-config)# exit Switch(config)# exit Switch# debug ip dhcp server Configuración de Relay Switch(config)# interface vlan5 Switch(config-if)# ip address 192.168.1.1 255.255.255.0 //DG de los clientes Switch(config-if)# ip helper-address 192.168.199.4 //Dirección IP del Servidor DHCP Switch(config-if)# exit Configuración de una interfaz capa 3 para IPV6 stateless autoconfiguration Switch(config)# interface vlan 5 Switch(config-if)# ipv6 address 2001:db8:a::1/64 Switch(config-if)# no shutdown Para crear un pool en IPV6 Switch(config)# ipv6 dhcp pool v6-users Switch(config-dhcpv6)# address prefix 2001:db8:a::/64 Switch(config-dhcpv6)# dns-server 2001:db8:c12::10 Switch(config-dhcpv6)# domain-name mydomain.com Switch(config-dhcpv6)# exit Switch(config)# interface vlan 5 Switch(config-if)# ipv6 address 2001:db8:a::1/64 Switch(config-if)# ipv6 dhcp server v6-users Switch(config-if)# no shutdown Configuración IPv6 lite Switch(config)# ipv6 dhcp pool v6-users Switch(config-dhcpv6)# dns-server 2001:db8:c12::10 Switch(config-dhcpv6)# domain-name mydomain.com Switch(config-dhcpv6)# exit Switch(config)# interface vlan 5 Switch(config-if)# ipv6 address 2001:db8:a::1/64 Switch(config-if)# ipv6 dhcp server v6-users Switch(config-if)# ipv6 nd other-config-flag Switch(config-if)# no shutdown *********************************************************************************************************************** DHCP Snooping sw2(config)# ip dhcp snooping // Habilitar DCHP snooping sw2(config)# ip dhcp snooping vlan 10 // Aplicar a la vlan 10 sw2(config)# interface fa1/0/24 sw2(config-if)# ip dhcp snooping trust //Puerto 24 de confianza para conectar un servidor DHCP sw2(config)# ip dhcp snooping database tftp://10.1.1.1/directory/file sw2(config)# exit sw2# sw2# show ip dhcp snooping // Verficar DHCP Snooping sw2# show ip dhcp snooping binding // Muestra una relacion de mac addres e ip´s asignadas por dhcp y el puerto al que se encuentra conectado si existe varias mac asociadas a un pto quiere decir que hay unun bridge o un switch conectado a dicho pto. sw2(config)#ip dhcp snooping information option // habilitar la opcion 82 sw2(config-if)#ip dhcp snooping limit rate 10 //Maximo numero de paquetes **************************************************************************************************** SW(config)#mac address-table aging-time //Configurar el tiempo de retención de la CAM SW(config)#mac address-table static interface //Configuración estatica de la CAM *******************************************************************************************************************************************+++ Switch(config)# logging buffered //Copiar en el buffer los logs de cierta severidad, por default no esta activada Switch(config)# logging buffered //Configurar el tamañao de buffer desde 4096 a 2147483647 Switch(config)# logging host //Configurar enviar logs a un servidor Switch(config)# logging trap //Configurar que nivel de severida se van a guardar Switch(config-if)# no logging event link-status //Evita la generación de logs por interfaces fisicamente y administrativamente abajo Switch(config)#Show clock // Ver hora del reloj del switch Switch(config)# clock timezone < offset-minutes > Switch(config)# clock summer-time >date Switch(config)# ntp server 192.168.2.168 prefer //Configuración para sincronizar con un servidor NTP preferido Switch(config)# ntp server 24.56.178.140 //Configuración NTP secundario Autenticación en los servidores NTP Switch(config)# ntp authentication-key md5 Switch(config)# ntp authenticate Switch(config)# ntp trusted-key Switch(config)# ntp server key Configuración de ACL para protección del NTP Switch(config)# access-list acl-num permit ip-address mask Switch(config)# ntp access-group {serve-only | serve | peer | query-only } acl-num Configuración de timestamp en los logs Switch(config)# service timestamps log datetime localtime show-timezone msec Switch(config)# exit Switch# show logging ************************************************************************************************************ Configurando SNMPv1 Switch(config)# access-list 10 permit 192.168.3.99 Switch(config)# access-list 10 permit 192.168.100.4 Switch(config)# snmp-server community MonitorIt ro 10 Switch(config)# snmp-server host 192.168.3.99 MonitorIt Configuración SNMPv2c Switch(config)# access-list 10 permit 192.168.3.99 Switch(config)# access-list 10 permit 192.168.100.4 Switch(config)# snmp-server community MonitorIt ro 10 Switch(config)# snmp-server host 192.168.3.99 informs version 2c MonitorIt Configuración SNMP3 Switch(config)# access-list 10 permit 192.168.3.99 Switch(config)# access-list 10 permit 192.168.100.4 Switch(config)# snmp-server group v3 priv Switch(config)# snmp-server user v3 auth sha priv aes 128 <10> Switch(config)# snmp-server host 192.168.3.99 informs version 3 priv mymonitor *********************************************************************************************************************+ IP SLA Switch# show ip sla statistics aggregated Configuración IP SLA Switch(config)# ip sla responder //Configura responder Estos comando van en el source y en el responder Switch(config)# key chain Switch(config-keychain)# key Switch(config-keychain-key)# key-string string Switch(config-keychain-key)# exit Switch(config-keychain)# exit Switch(config)# ip sla key-chain Estos comandos van en el source Switch(config)# ip sla Switch(config-ip-sla)# test-type parameters... Switch(config-ip-sla)# icmp-echo < source-ip-addr > //prueba de icmp-echo Switch(config-ip-sla)# udp-jitter destination-ip-addr dest-udp-port[ source ip source-ip-addr] [ source-port source-udp-port] [ num-packets number-of packets] [ interval packet-interval //Configuración de prueba de Jitter Ver la configuración Switch# show ip sla configuration Switch# show ip sla statistics Configurar el IP SLA para el tracking de los uplink en HSRP Switch(config)# track object-number ip sla operation-number { state | reachability } ************************************************************************************************************************************************************ Configuración puerto SPAN Switch(config)#monitor session source interface |vlan [ rx|tx|both ] //Configura el source en el SPAN Switch(config)#monitor session destination interface [ encapsulation replicate ] Switch(config)#ingress { dot1q vlan vlan-id | isl | untagged vlan vlan-id } // Monitorear la sesión destino Switch(config)#monitor session filter vlan //Filtrar las vlan a momitorear en un puerto troncal como source Ejemplo configuración de interfaces source y destination Switch(config)# monitor session 1 source interface gigabitethernet1/0/1 both Switch(config)# monitor session 1 destination interface gigabitethernet1/0/48 Configuración de VLAN de SPAN Switch(config)#vlan Switch(config-vlan)#remote-span COnfiguración de source y destination Switch(config)#monitor session source [ rx| tx| both ] // aqui esta conectado la fuente en la vlan de span Switch(config)#monitor session destination remote vlan Switch(config)#monitor session source remote vlan Switch(config)#monitor session destination interface [ encapsulation replicate] //Aqui está conectado el analizador en la vlan de span Ejemplo de configuración SW source Switch(config)# vlan 99 Switch(config-vlan)# remote-span Switch(config-vlan)# exit Switch(config)# monitor session 1 source interface gigabitethernet 1/0/1 both Switch(config)# monitor session 1 destination remote vlan 99 SW intermedio Switch(config)# vlan 99 Switch(config-vlan)# remote-span Switch(config-vlan)# exit SW Final Switch(config)# vlan 99 Switch(config-vlan)# remote-span Switch(config-vlan)# exit Switch(config)# monitor session 1 source remote vlan 99 Switch(config)# monitor session 1 destination interface gigabitethernet 1/0/48 Monitorear SPAN Switch# show running-config | include monitor Switch#show monitor Switch(config)# no monitor session { session | range session-range } | local | all } //Borrar las sesiones de SPAN **************************************************************************************************************************************** Configuración de HA entre supervisoras Switch(config)# redundancy // En la controladora pasiva entrar en modo de redundancia Switch(config-red)# mode { rpr | rpr-plus | sso } // Escoger el modo de redundancia Switch# show redundancy states // ver el estado de la redundancia Switch(config-red)# main-cpu //Entrar en modo de sincronización Switch(config-r-mc)# auto-sync { startup-config | config-register | bootvar } //Especificar que se va a sincronizar ConfigUración de NFS en los protocolos de ruteo Switch(config)# router bgp as-number Switch(config-router)# bgp graceful-restart Switch(config)# router eigrp as-number Switch(config-router)# nsf Switch(config)# router ospf process-id Switch(config-router)# nsf Switch(config)# router isis [ tag ] Switch(config-router)# nsf [ cisco | ietf ] Switch(config-router)# nsf interval [ minutes ] Switch(config-router)# nsf t3 {manual [ seconds ] | adjacency } Switch(config-router)# nsf interface wait seconds ************************************************************************************************************************ Configuración de HSRP Switch(config-if)# standby priority // Configuración de grupo y prioridad de VSI utilizada como DG Switch(config-if)# standby timers msec msec La configuración es en milisegundos, el holdtime debe ser por lo menos 3 veces mayor a los hello Switch(config-if)# standby preempt delay minimum reload //re hace a una interfaz activa con la mayor prioridad despues de una caida Switch(config-if)# stanbby authentication //Se debe configurar la misma clave en los miembros del grupo para que los hello puedan autenticarse, esto va en texto plano Switch(config-if)# standby authentication md5 key-string [ 0 | 7 ] //Encripta la clave con MD5 Una alternativa es crear un key primero con MD5 y utilizarlo Switch(config)# key chain Switch(config-keychain)# key Switch(config-keychain-key)# key-string [ 0 | 7 ] Switch(config)# interface Switch(config-if)# standby group authentication md5 key-chain Switch(config-if)# standby track //En la interfaz que actua como DG configurar el track a una interfaz por gral a un uplink Switch(config-if)# standby group ip secondary //Configuración de la IP virtual que será usada como DG Switch-A# show standby vlan 50 brief //Ver configuración del HSRP para la vlan 50 ******************************************************************************************************************************************************** Configuración de VRRP Switch(config-if)#vrrp priority Switch(config-if)#vrrp timers advertise msec //Configuración de timers Switch(config-if)#vrrp timers learn //Aprender los timers Switch(config-if)#no vrrp preempt //Desactiva el preempt Switch(config-if)#vrrp preempt delay //Configura el preempt Switch(config-if)#vrrp ip secondary //Configuración de IP virtual Switch(config-if)#vrrp track decrement //Configuración del tracking Ver configuración Switch#show vrrrp brief ************************************************************************************************************************************************************************************* Configuración de GLBP Switch(config-if)glbp priority Switch(config-if)glbp preempt delay minimum Switch(config-if)glbp timers msec msec Switch(config-if)glbp timers redirect Switch(config)# track interface type { line protocol | ip routing } //COnfigurar el tracking en una interfaz, el track number es un numero de 1 a 500 usado para el ajuste del peso de la interfaz Switch(config-if)# glbp group weighting maximum [ lower lower ] [ upper upper ] //Configuración de los umbrales de la interfaz Switch(config-if)# glbp group weighting track object-number [ decrement value ] //Decrementa el peso de la interfaz cuando el uplink falla Switch(config-if)# glbp group load-balancing [ round-robin | weighted | host-dependent ] //Configuración del método de balanceo de carga Switch(config-if)# glbp group ip [ ip-address [ secondary ]] //Asignación de la ip virtual (DG) al grupo Switch#show glbp brief //Revisar la configuración del GLBP ********************************************************************************************************************************** Configuración de AAA Switch(config)# aaa new-model //Habilitación de AAA por default se encuentra deshabilitado Switch(config)# radius-server host { hostname | ip-address } [ key string ] //Definir servidor de RADIUS Switch(config)# aaa authentication dot1x default group radius // Hace que los servidores RADIUS utilicen 802.1X Switch(config)# dot1x system-auth-control //Habilita el 802.1X en el switch Switch(config)# interface type mod/num Switch(config-if)# dot1x port-control {force-authorized | forceunauthorized | auto}// Configura el 802.1X en el puerto Switch(config-of)#dot1x host-mode multi-host // Permite la autenticación en de varios host a tráves de un pto. (2 switches conectados) ******************************************************************************************************************************************* Control de tormentas Switch(config-if)# storm-control { broadcast | multicast | unicast } level { level [ level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ]} // se selecciona la interfaz que se utilizará para el control de las tormentas, level es la cantida en porcentaje del trafico broadcast, multicas y know unicast que puede utilizar del ancho de banda sobre la interfaz. Ejemplo de configuración Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# storm control broadcast level 50 Switch(config-if)# storm control multicast level pps 50k Switch(config-if)# storm control unicast level 20 10 Switch# show storm-control [ interface-id ] [ broadcast | multicast | unicast ] // para ver que ptos. tienen configurado el control de tormenta ********************************************************************************************************** Ejemplo de lista de acceso que sólo permite el acceso por https de ciertos IP fuente Switch(config)# ip http secure server Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255 Switch(config)# ip http access-class 1 Ejemplo de lista de acceso que sólo permite el acceso de ciertas IP fuente por ssh Switch(config)# access-list 10 permit 192.168.199.10 Switch(config)# access-list 10 permit 192.168.201.100 Switch(config)# line vty 0 15 Switch(config-line)# access-class 10 in ********************************************************************************************************************* VACL El servidor 192.168.99.17 no es permitido contactar a otros servidores de su mismo segmento Switch(config)# ip access-list extended local-17 //Se crea ACL Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0 0.0.0.255 Switch(config-acl)# exit Switch(config)# vlan access-map map-name [ sequence-number ] Switch(config)# vlan access-map block-17 10 //Se realiza el mapeo de VACL Switch(config-access-map)# match ip address { acl-number | acl-name } Switch(config-access-map)# match mac address acl-name Switch(config-access-map)# match ip address local-17 //Se realiza el mapeo de la ACL local-17 Switch(config-access-map)# action drop //Acción a tomar, rechazar los paquetes Switch(config-access-map)# vlan access-map block-17 20 // Se realiza el mapeo de la VACL block-17 Switch(config-access-map)# action forward //re envía los paquetes que no sean de esa IP Switch(config-access-map)# exit Switch(config)# vlan filter block-17 vlan-list 99 // Se aplica la VACL **************************************************************************************************************** VLAN privadas ejemplo: La VLAN Primaria es la 100 Switch(config)# vlan 10 //Se crea la VLAN 10 Switch(config-vlan)# private-vlan community //Se configura como secundaria en comunidad Switch(config-vlan)# vlan 20 //Se crea la VLAN 20 Switch(config-vlan)# private-vlan community //Se configura como secundaria en comunidad Switch(config-vlan)# vlan 30 //Se crea la VLAN 30 Switch(config-vlan)# private-vlan isolated //Se configura como secundaria como aislada Switch(config-vlan)# vlan 100 //Se VLAN 100 Switch(config-vlan)# private-vlan primary //Se configura como primaria Switch(config-vlan)# private-vlan association 10,20,30 //Se le asocian las VLAN 10,20 y 30 Switch(config-vlan)# exit Switch(config)# interface range gigabitethernet 1/0/1 - 1/0/2 Switch(config-if)# switchport mode private-vlan host //Se configuran los pto como HOST Switch(config-if)# switchport private-vlan host-association 100 10 //Se asocian estos puertos a la vlan 100 y 10 Switch(config-if)# exit Switch(config)# interface range gigabitethernet 1/0/4 - 1/0/5 Switch(config-if)# switchport mode private-vlan host //Se configuran los pto como HOST Switch(config-if)# switchport private-vlan host-association 100 20 //Se asocian estos puertos a la vlan 100 y 20 Switch(config-if)# exit Switch(config)# interface gigabitethernet 1/0/3 Switch(config-if)# switchport mode private-vlan host //Se configuran los pto como HOST Switch(config-if)# switchport private-vlan host-association 100 30 //Se asocian estos puertos a la vlan 100 y 30 Switch(config-if)# exit Switch(config)# interface gigabitethernet 1/0/48 Switch(config-if)# switchport mode private-vlan promiscuous //Se configuran los pto como Promiscuo Switch(config-if)# switchport private-vlan mapping 100 10,20,30 //Se asocia este puertoe a la vlan 100 , 10, 20 y 30 Asociación de una SVI en vlan privadas Switch(config)# vlan 40 Switch(config-vlan)# private-vlan isolated //Se configura la vlan 40 como aislada Switch(config-vlan)# vlan 50 Switch(config-vlan)# private-vlan community //Se configura la vlan 50 como comunidad Switch(config-vlan)# vlan 200 Switch(config-vlan)# private-vlan primary //Se configura la vlan 200 como primaria Switch(config-vlan)# private-vlan association 40,50 //Se le asocian las vlan 40 y 50 Switch(config-vlan)# exit Switch(config)# interface vlan 200 Switch(config-if)# ip address 192.168.199.1 255.255.255.0 //Se le pone IP a la SVI Switch(config)# interface vlan 200 Switch(config-if)# private-vlan mapping 40,50 //Se asocia la SVI con las vlan secundarias Switch#show vlan private-vlan *************************************************************************************************************************** Protección de troncales Remover la vlan declarada como nativa en la troncal Switch(config)# interface gigabitethernet 1/0/1 Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport trunk native vlan 800 Switch(config-if)# switchport trunk allowed vlan remove 800 Switch(config-if)# switchport mode trunk Forzar el etiquetado de la vlan nativa con el siguiente comando Switch(config)# vlan dot1q tag native **************************************************************************************************************************** DHCP snooping Switch(config)# ip dhcp snooping // Habilita de forma global el dhcp snooping Switch(config)# ip dhcp snooping vlan vlan-id [vlan-id ] //Se habilita en cierta vlan Switch(config)# interface type member/module/number Switch(config-if)# ip dhcp snooping trust //Habilita una interfaz como confiable para el DHCP Switch(config)# [ no ] ip dhcp snooping information option //Habilitando la opcion 82 puedes obtener mas informacón Switchh# show ip dhcp snooping [ binding ] //Desplegar la información del feauture ******************************************************************************************************************************** IP Source Guard // Switch(config)# interface type member/module/number Switch(config-if)# ip verify source [port-security ] //Se configura el IP source Guard ******************************************************************************************************************************** TACACS+ Entramos al modo de configuración global y definimos la IP y Key de nuestro servidor Tacacs+: vios1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. vios1(config)#tacacs server tacacs+ vios1(config-server-tacacs)#address ipv4 192.168.50.2 vios1(config-server-tacacs)#key 12345 vios1(config-server-tacacs)#exit Creamos un usuario local para poder utilizarlo en caso de no estar disponible el servidor Tacacs+ vios1(config)#username admin password admin Habilitamos la triple AAA vios1(config)#aaa new-model Definimos que la autenticación se haga por Tacacs+ y en caso de no haber servidor Tacacs+ disponible, que se autentique mediante el usuario local. También definimos que la autenticación del modo enable se realice por Tacacs+: vios1(config)#aaa authentication login default group tacacs+ local vios1(config)#aaa authentication enable default group tacacs+ enable Definimos la autorización, autorizamos comandos de nivel 1 y 15 para Tacacs+: vios1(config)#aaa authorization commands 1 default group tacacs+ none vios1(config)#aaa authorization commands 15 default group tacacs+ none Definimos el accouting de los eventos que queramos registrar: vios1(config)#aaa accounting exec default start-stop group tacacs+ vios1(config)#aaa accounting commands 1 default start-stop group tacacs+ vios1(config)#aaa accounting commands 15 default start-stop group tacacs+ vios1(config)#aaa accounting network default start-stop group tacacs+ vios1(config)#aaa accounting connection default start-stop group tacacs+ vios1(config)#aaa accounting system default start-stop group tacacs+ Establecemos el método de autenticación para las lineas vty y guardamos: vios1(config)#line vty 0 4 vios1(config-line)#login authentication default vios1(config)#end vios1#write Building configuration... [OK] vios1# ***************************************************************************************************************************** RADIUS HABILITAR AAA Y AÑADIR EL SERVIDOR RADIUS switch(config)#aaa new-model switch(config)#radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key cisco switch(config)#aaa authentication dot1x default group radius [local | line | enable, etc] ///PRIMERO USA EL RADIUS, SI ESTE NO ESTA DISPONIBLE USA EL SIGUIENTE METODO DE AUTENTICACION, LOCAL ES EL USUARIO Y PASSWRD CONFIGURADOS, LINE ES LA VTY ENABLE ES EL ASSWORD ENABLE CONFIGURADO SE HABILITA A NIVEL GLOBAL switch(config)#dot1x system-auth-control SE HABILITA SOBRE LA INTERFACE DESEADA switch(config)#interface fastehternet 0/12 switch(config-if)#switchpor mode access switch(config-if)#dot1x port-control-auto switch(config)#no dot1x system-auth-control /// se dehabilita a nivel global el radius switch(config)#interface fastehternet 0/12 switch(config-if)#authentication port-control force-authorized /// deshabilitar radius en una interface switch(config)#aaa new-model switch(config)#radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key cisco switch(config)#aaa authentication login radius local // politica de accesos definida en el radius switch(config)#line console 0 switch(config-line)#login authentication ***************************************************************************************************************************** *****************************************************************************************************************************