Redes conmutadas pueden dividirse en VLANs. Por definición una VLAN es un único dominio de colisión. Todos los dispositivos conectados a la VLAN reciben los broadcast enviados por cualquier miembro de la misma VLAN. sin embargo dispositivos conectados a otra vlan no reciben esos broadcast. Está claro que los miembros de la VLAN reciben los paquetes unicast enviados directamente por otros miembros de la misma VLAN.
NOTA: Vlan memberships pueden ser tanto estático como dinámico. Leer más »

Protocolo Rapid Spanning Tree

Comportamiento de los puertos RSTP

El Root Bridge se elige de igual manera que con STP 802.1D mirando el Bridge ID más bajo. Los puertos en RSTP pueden ser:

• Root Port: El el único puerto de cada switch el cual tiene el mejor camino hacia el Root Bridge por lo que es idéntico a 802.1D. (por definición el Root Bridge no tiene puerto Root).
• Designated Port: El puerto de switch en un segmento de red que tiene el mejor coste (root path cost) hacía el Root.
• Alternate Port: Es un puerto que tiene un camino alternativo hacía el Root diferente del Root Port, por lo que es menos deseable (por ejemplo dos uplinks de un swtch de acceso uno será el Root y el otro el Alternate).
• Backup Port: Es un puerto que provee de redundancia (pero menos deseable) a un segmento donde ya hay otro enlace. (un switch puede o no tener un camino de backup).

RSTP define los estados de los puertos de acuerdo a lo que el puerto hace con las tramas entrantes. Los estados son:

• Discarding: Las tramas entrantes son tiradas (dropped), por lo que no se aprenden MACs (en 802.1D sería una combinación de los estados Disabled, Blocking y Listening. El estado Listening no se necesita porque RSTP puede negociar rápidamente un cambio de estado sin escuchar primero las BPDUs).
• Learning: Se tiran (dropped) las tramas entrantes , pero se aprenden MACs.
• Forwarding: Se envían las tramas entrantes de acuerdo con la MACs aprendidas (y que se aprenden). Leer más »

Cisco ofrece un método de escalar el ancho de banda agregando enlaces paralelos, lo que se llama EtherChannels. Desde 2 hasta 8 FastEthernet que crean un Fast EtherChannel (FEC de hasta 1600 Mbps) o desde 2 hasta 8 Gigabit Ethernet que crean un Giga EtherChannel (GEC de hasta 16 Gbps) o desde 2 hasta 8 10-Gigabit Ethernet que crean un 10-Gigabit EtherChannel (10GEC de hasta 160 Gbps).

El tener varios enlaces entre switches crea la posibilidad de producir bucles pero EtherChannel evita esa situación agregando  los enlaces en un solo enlace lógico que puede actuar en modo acceso o trunk.

EtherChannel también ofrece redundancia agrupando varios enlaces físicos, si uno de los enlaces falla, el tráfico de dicho enlace se mueve a otro enlace correcto y cuando se recupera la carga de tráfico se vuelve a repartir entre los enlaces activo.. Este proceso ocurre en mili segundos y es transparente para el usuario final. Leer más »

Protegiendo contra BPDUs inexperados

Root Guard

Controla donde pueden encontrarse y conectarse los Root Bridge candidatos. Básicamente un switch aprende el Bridge ID del Root Bridge actual. Si otro switch anuncia una BPDU superior o con mejor Bridge ID en un puerto donde está configurado Root Guard, el switch local no permite que el nuevo switch sea el Root Bridge. Mientras se sigan recibiendo BPDUs con mejor Bridge Id el puerto se mantendrá en el estado root-inconsistent de STP. No se envía ni recibe datos en este estado solo escucha BPDUs. Cuando deja de recibir sus BPDUs entonces pasa por los estados de STP normales hasta el Forwarding.

Root Guard designa que un puerto solo puede enviar o re-enviar BPDUs, pero no puede usarse para recibir BPDUs. Por lo que previene de que un puerto sea Root Port por donde normalmente se reciben BPDUs desde el Root Bridge. Leer más »

VLAN Trunking Protocol (VTP) usas tramas de Capa 2 para distribuir la información de VLANs entre los switches.. VTP además gestiona la creación, borrado y cambio de nombre de las VLANs desde un punto central que evita tener que gestionar manualmente varios switches.

Dominios VTP

VTP se organiza en dominios o áreas con requerimientos de VLANs comunes. Un switch puede pertenecer SOLO a un dominio VTP.

modos de VTP

Cada switch debe estar configurado es uno de los tres modos para que puedan participar en un dominio de gestión VTP. Cada modo determina como el switch procesa y anuncia la información VTP.

• Modo servidor (Server Mode). Los servidores de VTP tienen el control absoluto sobre la creación, modificación y borrado de VLAN. Toda la información VTP es anunciada a otros switches en el dominio, mientras que toda la información VTP recibida se sincroniza con los otros switches. Por defecto un switch está en modo servidor. Cada dominio VTP debe tener al menos un servidor para que se puedan crear, modificar o borrar VLANs y estas información se propague.
• Modo cliente (Client Mode). Los clientes de VTP no permiten al administrador crear, modificar o borrar VLANs, por el contrario escuchan anuncios de otros switches y modifican su configuración de VLANS en concordancia. La información VTP recibida se envía por los enlaces de Trunk a los swiches vecinos en el dominio, por lo que el switch actúa como repetidor (relay).
• Modo transparente (Transparent Mode). Estos switches no participan en el VTP, ni anuncian su propia configuración de VLANs y no sincroniza su base de datos de VLANs con la información recibida. En la versión 1 de VTP ni siquiera hace de repetidor (relay) mientras que en la versión 2 si que lo hace.

Anuncios de VTP

Cada switch que participa en VTP anuncia VLANS (solo VLANs 1 a 1005), números de revisión y parámetros de VLAN en sus puertos de Trunk para notificar a otros switches en el mismo dominio. Los anuncios VTP son enviados vía tramas multicast.
Los cambios de VLANs deben hacerse solo en un servidor VTP para evitar problemas. Por defecto los anuncios son hecho sin cifrar pero se puede añadir una contraseña que debe ser la misma en todos los switches del dominio VTP.
Los switches VTP usan un índice llamado número de revisión de la configuración VTP (VTP configuration revision number) para mantener la información más reciente. Cada switch en un dominio VTP almacena el número de revisión de configuración que ha escuchado de un anuncio VTP. El proceso de anuncio siempre empieza con el número de revisión de configuración 0 (cero).
Por cada cambio realizado en el servidor VTP se incrementa el número de revisión antes de enviar el anuncio. Por lo que los swiches que pertenecen al mismo dominio reciben un número de revisión mayor al que tienen localmente aplican los cambios indicados en el anuncio sobrescribiendo la información de VLANs que puedan tener. Por lo que es muy importante que cuando se añada un nuevo switch este tenga como número de revisión 0 (cero), si no, el nuevo switch podría tener almacenado un número de revisión mayor al del servidor VTP y producir cambios inesperados como borrar todas las VLANs.
El número de revisión VTP se almacena en la NVRAM por lo que no cambia aunque se apague y encienda el switch, por lo que para poner a 0 (cero) su valor podemos usar estos dos métodos:

1. Cambiar el switch a modo transparente y después a modo servidor.
2. Cambiar el nombre del dominio VTP a un nombre que no exista en el dominio VTP (cuanto más aleatorio mejor) y después cambiarlo al nombre de dominio que se quiere.

Es muy importante que cuando se añada un switch ya sea en modo servidor o modo cliente que su número de revisión de configuración VTP esté a 0 (cero) ya que si no podría hacer un anuncio que todos los otros switches en el mismo dominio borren todas las VLANs y que los puertos asignados se queden inactivos. Esto es conocido como problema de sincronización VTP (VTP synchronization problem). Es recomendable que para ciertas partes críticas de la red se configuren los switches en modo transparente para evitar problemas de sincronización.

Los anuncios VTP pueden producirse en tres formas:

• Resumen de Anuncios  (Summary advertisements):  Los servidores de dominio VTP envían resúmenes de anuncios (subset advertisements) cada 300 segundos (5 minutos) y cada cambio que ocurra en la base de datos de VLANs. El resumen de anuncios contiene el nombre del dominio, la versión de VTP, el número de revisión de configuración, tiempo de actualización, el cifrado MD5 y el número se sub anuncios (subset) que le siguen. Por cada cambio de VLAN, cada resumen de anuncios es seguido por uno o más resúmenes (subsets) con información detallada de la configuración de la VLAN. Los anuncios se envía a la dirección MAC multicast 01-00-0C-CC-CC-CC.
• Sub anuncios (Subset advertisements):  El servidor de VTP envía sub anuncios cuando ocurre un cambio en la configuración de las VLANs. Estos anuncios envía información como crear, borrar, activar, desactivar, cambiar el nombre de una VLAN o cambiar su MTU.
• Peticiones de anuncios de un cliente (Advertisement requests from clients): Un cliente VTP puede pedir cualquier información que necesite. Tras cada anuncio de petición de un cliente, el servidor VTP responde con un resumen y con sub anuncios para que el cliente quede actualizado.

IMPORTANTE: un switch que use VTP anuncia en cada uno de sus puertos trunks lo siguiente:

1. Dominio de gestión (Management domain)
2. Numero de revisión de la configuración
3. Vlans conocidas y sus parámetros específicos.

Configuración de VTP

Por defecto los swithes funcionan en modo servidor y gestionan el dominio NULL (una cadena en blanco) sin contraseña. Si un switch escucha un resumen de anuncio por un puerto de Trunk de cualquier otro switch, automáticamente aprende el nombre del dominio VTP, las VLANs y el número de revisión de configuración que ha escuchado.
Es importante asegurarse del estado VTP en que está el switch antes de conectarlo a la red para evitarse sustos. Esto lo podemos hacer con el comando “show vtp status“.

Configuración del dominio de gestión de VTP

Antes de que el switch se conecte a la red se debe identificar con el dominio de gestión VTP. Si es el primer switch se debe crear el nombre de dominio si no podría unirse a un dominio de gestión ya existente.
Para crear el dominio usaremos el comando siguiente y un texto como máximos de 32 caracteres:

Switch(config)# vtp domain domain-name

Configurando el modo de VTP

Además del nombre de dominio debemos configurar uno de los tres posibles modos de VTP.

• Modo servidor (Server mode): Puede haber más de un switch servidor (al menos debería haber uno) en el mismo domino para que haya redundancia. Es el modo por defecto y permite crear, borrar y modificar VLANs.
• Modo cliente (Client mode): Escucha y propaga anuncios del switch servidor. No permite ni crear ni borrar ni modificar VLANs. Si queremos poner más de un switch como servidor es aconsejable que primero esté como cliente y una vez sincronizada la información VTP se pase a modo servidor.
• Modo transparente (Transparent mode): Es el modo en el cual el switch está aislado de cualquier dominio VTP aunque propaga los anuncios. Permite crear, borrar y modificar VLANs que solo funcionan localmente, no se propagan.

Para configurar el modo y la contraseña (de 1 a 32 caracteres) podemos usar estos comandos:

Switch(config)# vtp mode {server | client | transparent}
Switch(config)# vtp password password

Si configuramos una contraseña primero configurarla en el switch que es servidor y luego en el resto de clientes ya que estos no sincronizarán la información VTP hasta que no coincida la contraseña.

Configurando la versión de VTP

Hay tres versiones de VTP (aunque la 3 que soporta VLANs extendidas no está incluida en CCNP SWITCH) y en un mismo dominio solo puede coexistir una versión. Por defecto se usa la versión 1.
Si un switch puede funcionar con la versión 2 puede coexistir con switches con la versión 1 siempre y cuando no se active la versión 2. Solo es necesario activar la versión 2 en el switch que esté en modo servidor ya que la versión es anunciada a los switches del dominio que activarán la versión 2 (recordemos que si un switch no puede funcionar en versión 2 no funcionará en el dominio).
La versión 2 ofrece estas características además de las de la versión 1:

• Modo transparente dependiente de la versión: en modo transparente la versión 1 de VTP comprueba el nombre del dominio y la versión de VTP antes de propagar la información hacia otros switches. La versión 2 no comprueba el nombre del dominio ya que solo un dominio puede configurarse en un switch.
• Comprueba consistencia: La versión 2 hace comprobaciones en el VTP y los parámetros de VLANs introducidos vía CLI o SNMP pero no se comprueba lo que se recibe.
• Soporte de Token Ring: Para usar Token Ring se debe configurar la versión 2.
• Soporte de TLV (Type-Length-Value) no reconocido: La versión 2 propaga la información recibida aunque no pueda o sepa interpretarla.

La versión de VTP podemos configurarla con el siguiente comando:

Switch(config)# vtp version {1 | 2}

Estado de VTP

El estado de la configuración de VTP podemos verla con el comando “show vtp status” y los contadores de error y mensajes con el comando “show vtp counters“.

VTP Pruning

Por definición un switch propaga las tramas broadcast por todos los puertos en el dominio de broadcast. Además cuando las tramas destinadas a una dirección que el switch no conoce debe enviar esas tramas a todos los puertos para encontrar el destino (a esto se le llama unknown unicast).
VTP pruning hace más eficiente el uso de Trunks reduciendo el tráfico innecesario enviado por los Trunks. Las tramas broadcast y unicast desconocidas en una VLAN son propagadas por un enlace Trunk solo si el switch vecino no tiene configurado algún puerto en esa VLAN.
VTP pruning funciona como una extensión de la versión 1 de VTP que usa un tipo de mensaje VTP adicional. Cuando un switch tiene un puerto asociado a una VLAN manda un anuncio a sus vecinos para indicarles que tiene puertos activos en esa VLAN. Los vecinos mantienen esa información lo que les permite decidir si enviar tráfico de una VLAN por el enlace Trunk.
NOTA: incluso cuando VTP pruning ha decidido no enviar tráfico por un Trunk una instancia de Spanning Tree (STP) correrá en cada VLAN que esté permitida en el Trunk independiente de que VTP purning envie o no tráfico por dicha VLAN. Para evitar que Spanning Tree corra por una VLAN deberemos configurar el Trunk con las VLANs permitidas (switchport trunk allowed vlan).
NOTA 2: Como la VLAN por defecto es la VLAN 1, ésta no puede ser elegida para pruning.

Activando VTP pruning

Por defecto VTP pruning está desactivado y para activarlo podemos usar el comando:

Switch(config)# vtp pruning

Si se usa este comando en el VTP server, éste lo anunciará a los demás switches los cuales activaran el pruning.
Cuando el VTP pruning se activa se puede hacer pruning de todas las VLANs por lo que si queremos que algunas se puedan o no hacer pruning podemos usar este comando para decidir cuales pueden hacer pruning:

Switch(config)# interface type mod/num
Switch(config-if)# switchport trunk pruning vlan {{{add | except | remove} vlan-list} | none}

Diseño de Red Jerárquico

Modelo de Red Predecible

Cisco ha definido un diseño de red jerárquico que está organizado en distintas capas de dispositivos que resulta es una red eficiente, inteligente, escalable y de fácil gestión. Estás capas están divididas en tres que son: Leer más »

InterVLAN Routing

Para transportar paquetes ente VLANs se debe usar un dispositivo de Capa 3, que por lo general suele ser un router. El router debe tener una conexión lógica o física a cada VLAN para que pueda enviar paquetes entre ellas. A esto se le llama interVLAN routing.

Tipos de interfaces

Los switches multilayer  pueden operar tanto en Capa 2 como en Capa 3 (InterVLAN). En Capa 2 funciona entre interfaces asignados a VLANs de Capa 2 o a Trunks de Capa 2. En Capa 3 funciona entre cualquier tipo de interface mientras esta tenga una IP asignada.

Un switch multilayer puede asigna una IP a una interface física lo mismo que un router aunque también puede asigna una IP a una interface lógica (que se llaman Switched Virtual Interface SVI)que representa la VLAN entera. La IP que se configura se convierte en el Gateway por defecto para cualquier servidor que esté conectado a la interface o VLAN, con lo cual el servidor usará la interface de Capa 3 para comunicarse con el exterior de su dominio de broadcast. Leer más »

Para que OSX acepte log proveniente de dispositivos remotos tenemos que añadir y configurar ciertos fichero manualmente ya que OSX por defecto no lo permite con las herramientas gráficas (la versión server supongo que si lo permitirá). Leer más »

Como listar puertos.

En linux tenemos:

netstat -puntal
netstat -ltunp
netstat -anp --tcp --udp | grep LISTEN

• -l = muestra los sockets que están escuchando
• -t = TCP
• -tcp = TCP
• -u = UDP
• -udp = UDP
• -n = muestra las IP en forma numérica no resuelve el nombre.
• -a = muestra todos los sockets que estén escuchando o no.
• -p = muestra el programa y su PID (requiere permisos de root)

En Mac OSX:

netstat  -p tcp -n  -a | egrep LISTEN
netstat  -p udp -n  -a 

• -p tcp = TCP
• -p udp = UDP
• -a Muestra todos los estados
• -n = muestra las IP en forma numérica no resuelve el nombre.

En Windows:

netstat  -p tcp -n  -a
netstat  -p udp -n  -a

• -a = Muestra todas las conexiones y puertos de escucha.
• -b = Muestra el archivo ejecutable involucrado en la creación de cada conexión o puerto de escucha
• -p tcp = TCP
• -p udp = UDP
• -n = muestra las IP en forma numérica no resuelve el nombre.

Como mostrar estadísticas por protocolo (válido para Linux, Mac OSX y Windows):

netstat -s

Nos mostrará estadísticas por cada protocolo, si queremos ver solo un protocolo podemos usar -p protocol (Mac OSX y Windows y -u o - p (Linux).

Vim usa el fichero viminfo (por lo general ~/.viminfo) para guardar información de la sesión anterior entre otras cosas.

Para cambiar el nombre del fichero y ubicación del mismo podemos usar el comando:

set viminfo=n/CAMINO/FICHERO

donde CAMINO es el PATH donde se va a guadar y FICHERO es el nombre fichero a usar (es conveniente mantener el mismo nombre). La “n” después del signo igual (=) indica que lo que va a continuación es el CAMINO y FICHERO a usar.

Un sitio donde poner ese comando es en el fichero de configuración ~/.vimrc