CCNA3 tema5: STP Spaning Tree Protocol

STP, Spaning Tree Protocol.

Es la manera de controlar el árbol de switchs que tenemos conectados. Sirve para medir por donde van a pasar los pakets más rápido. Gestiona la presencia de bucles permitiendo desactivar y activar dispositivos para eliminar esos bucles. También se encarga de enviar los BPDUs, típicos pakets que sirven para que se reconozcan los switchs entre sí (- hola, ¿eres un switch?), aunque poseen mucha más información. Si queremos saber más repasar el TEMA 1 para recordar que era el gestor de:
NETWORK DIAMETER (nº de saltos)
BANDWITH AGREGATION (backbone, agregado de ancho de banda)
REDUNDANT LINK (redundancia, caminos alternativos)

El primer paso del STP es designaar el ROOT BRIDGE y después se encarga de todo lo demás.
En este protocolo existe un switch ROOT BRIDGE que actúa como líder y los demás switchs son sus subordinados, los bridge.

 

TIPOS DE PUERTOS:

Root Port; son los puertos de los switchs que miran hacia Root-bridge. (siempre activados)

Designated Port; o puerto designado lo que no miran a Root-bridge.

Alternative Port; o puerto alternativo o no designado para anular los bucles

ESTADOS DE PUERTOS:

Bloqueo

Escucha

Aprender

Enviar

BPDU:

El STP utiliza pakets BPDU para que los switchs se reconozcan entre ellos, pero también poseen 12 campos para transmitir información de prioridad y de ruta que STP usa para determinar quién es Bridge-Root

De estos 12 campos, los primeros 4 son del protocolo (versión, tipo, estado,,), los 4 siguientes son para la designaación de Bridge-Root (rutas) y los 4 últimos sn los temporizadores.

Uno de los 4campos para la designación del Bridge-Root es el BID, que asu vez contiene:

BID:

-Prioridad de puente

-ID

-MAC

En esta imagen podemos ver cómo se configra la prioridad de puente:

Y los últimos los temporizadores (ajustables):

-Saludo 2seg.

-Retraso 15seg.

-Antigüedad 20seg.

Sólo cabe destacar el PORTFAST de cisco, que es para configurar un puerto que el STP se salte pasos y que el puerto pase de estado bloqueado a envío.

El RSTP, es un STP rápido ya que es la última versión del STP, pero tiene ventajas e inconvenientes, como que no acepta el Bacbone fast.

Repasemos los bucles que omite el STP:

Los bucles en capa 3 o IP dejaban de tener su importancia debido a que los pakets poseían un tiempo límite de vida Time To Life (TTL)

En capa 2 los pakets no poseen TTL y por eso se forman bucles

Para designar a ROOT el STP mira:
1) ID o nº de prioridad
2) Costo más bajo
3) MAC si las anteriores coinciden

CISCO CCNA3: Práctica de lab. 4.4.2 VTP Reto de Configuration

COMANDOS:

TASK2:
show vlan
interface range fa0/1-24
shutdown
interface range gi0/1-2
shutdown
end
enable
conf t
hostname S1 (S2, S3)
enable secret class
no ip domain-lookup
service password encryption
line console 0
password cisco
login
exit
line vty 0 15
password cisco
login
exit
copy run star

(S2 y S3):
interface fa0/6
switchport mode access
no shutdown
exit
interface fa0/11
switchport mode access
no shutdown
exit
interface fa0/18
switchport mode access
no shutdown
exit

TASK3:
Configuramos las IPs de los PCs como se nos indica...

TASK4: CONFIGURANDO EL VTP EN LOS SWITCHS
show vtp status
(en todos servers.... debido a que por defecto pasa así)
S1:
conf t
vtp mode server
vtp domain access
vtp password lab4

S2, S3:
conf t
vtp mode client
vtp domain access
vtp password lab4

Crando el TRUNK, la nativa en los tres switchs:
S1, S2, S3:
conf t
interface range fa0/1-5
switchport mode trunk
switchport trunk native vlan 99
no shutdown
exit

Políticas de seguridad en los switch cliente:
S2, S3:
conf t
interface range fa0/6
switchport port-security
switchport port-security maximun 2
switchport port-security mas-address sticky
interface range fa0/11
switchport port-security
switchport port-security maximun 2
switchport port-security mas-address sticky
interface range fa0/18
switchport port-security
switchport port-security maximun 2
switchport port-security mas-address sticky

Creando las VLANs en S1 ya que es el server VTP que se las pasará a los demás:
S1:
conf t
vlan 99
name management
exit
vlan 10
name enginiering
exit
vlan 20
name ventas
exit
vlan 30
name admin
exit

La configuración cliente server hace que S1 pase a S2 y S3 las VLANs:
S2, S3
show vlan brief

Configurando las IP de administración de VLAN (VLAN99)
S1:
conf t
interface vlan 99
ip address 172.17.99.11 255.255.255.0
no shutdown
exit
S2:
conf t
interface vlan 99
ip address 172.17.99.12 255.255.255.0
no shutdown
exit
S3:
conf t
interface vlan 99
ip address 172.17.99.13 255.255.255.0
no shutdown
exit

Asignando puertos a la VLAN, ya que una VLAN sin puertos no es nada:
S2, S3:
conf t
interface range fa0/6-10
switchport access vlan 30
exit
interface range fa0/11-17
switchport access vlan 10
exit
interface range fa0/18-24
switchport access vlan 20
exit
copy run star


Los ping funcionan entre VLANs claro, para hacer pings entre distintas VLANs recordar que debíamos hacer el interVLANrouting, que era poner un router o un switch 2-3.

Para verificar hacemos unos:
show vtp status
show run

CISCO CCNA3: Práctica de lab. 4.3.3 Configurar VTP

Vemos que los nombres de los hosts, las confugraciones de línea y el banner MOTD. VLAN1 y VLAN99 están metidas, y ésta última con la ip agregada.

El S1 es el servidor para el VTP. Debes establecer el S1 en modo servidor mediante los siguientes comandos.

S1 (config) #vtp mode server

Observa que el switch ya está establecido para el modo servidor por defecto. Sin embargo, es importante que  configures este comando de manera explícita para que te asegurares que el switch esté en modo servidor.

En esta parte también debes configurar el S1 con CCNA como nombre de dominio VTP. Recuerda que los nombres de dominio VTP distinguen mayúsculas de minúsculas.

S1 (config) #vtp domain CCNA

Posteriormente configure el S1 con cisco como contraseña de dominio VTP. Recuerde que las 

contraseñas de dominio VTP distinguen mayúsculas de minúsculas.

S1 (config) #vtp password cisco

Para que completes este primer objetivo utiliza el comando show vtp status del S1 para

confirmar que el modo y el dominio VTP se configuraron correctamente.

S1#show vtp status

Para verificar la contraseña VTP, utilice el comando show vtp password.

S1#show vtp password

• Configurar S2 y S3 como clientes VTP.

El S2 y el S3 son los clientes VTP. Debes establecer el S2 y S3 en modo cliente mediante los siguientes comandos.

S2 (config) #vtp mode client

S3 (config) #vtp mode client

Antes de que S2 y S3 acepten las publicaciones VTP desde S1, deben pertenecer al mismo 

dominio VTP. Configura S2 y S3 con CCNA como el nombre de dominio de VTP. 

Recuerde que los nombres de dominio VTP distinguen mayúsculas de minúsculas.

S2 (config) #vtp domain CCNA

 S3 (config) #vtp domain CCNA

Además, S2 y S3 deben utilizar la misma contraseña antes de que puedan aceptar las publicaciones VTP del servidor VTP. Configura S2 y S3 con cisco como la contraseña de dominio de VTP. Recuerde que las contraseñas de dominio VTP distinguen mayúsculas de minúsculas.

S2 (config) #vtp password cisco

S3 (config) #vtp password cisco

Para garantizar cambios correctos aplica los mismos comandos para verificar que se

utilizaron para completar  el objetivo 1.

• Configurar las VLAN en S1.

S1 (config)#vlan 99

S1 (config-vlan)#name Management&Native

S1 (config-vlan)#exit

S1 (config)#vlan 10

S1 (config-vlan)#name Faculty/Staff

S1 (config-vlan)#exit

S1 (config)#vlan 20

S1 (config-vlan)#name Students

S1 (config-vlan)#exit

S1 (config)#vlan 30

S1 (config-vlan)#name Guest(Default)

S1 (config-vlan)#exit

• Configurar enlaces troncales en S1, S2 y S3.

S1(config) #interface fa0/1

S1 (config-if) #switchport mode trunk

S1 (config-if) #switchport trunk native vlan 99

S1 (config-if) #interface fa0/3

S1 (config-if) #switchport mode trunk

S1 (config-if) #switchport trunk native vlan 99

S1 (config-if) #end

S2 (config) #interface fa0/1

S2 (config-if) #switchport mode trunk 

S2 (config-if) #switchport trunk native vlan 99

S2 (config-if) #end

S3 (config) #interface fa0/3

S3 (config-if) #switchport mode trunk  

S3 (config-if) #switchport trunk native vlan 99

S3 (config-if) #end

• Verificar el estado del VTP en S1, S2 y S3.

Usa los comandos show vtp status y show vlan brief para verificar lo siguiente: S1 debe mostrar el estado del servidor, S2 y S3 deben mostrar el estado de cliente y S2 y S3 deben tener VLAN de S1.

• Asignar VLAN a puertos en S2 y S3.

Asigna VLAN a los puertos de S2.

• Fa0/11 en VLAN 10
• Fa0/18 en VLAN 20
• Fa0/6 en VLAN 30

S2(config)#interface fa0/11
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 10
S2(config-if)#exit
S2(config)#interface fa 0/18
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 20

S2(config-if)#exit
S2(config)#interface fa 0/6
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 30

Asigna VLAN a los puertos en S3.

• Fa0/11 en VLAN 10
• Fa0/18 en VLAN 20
• Fa0/6 en VLAN 30

S3(config)#interface fa0/11
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 10
S3(config-if)#exit
S3(config)#interface fa 0/18
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 20

S3 (config-if)#exit
S3( config)#interface fa 0/6
S3(config-if)#switchport mode access
S3 (config-if)#switchport access vlan 3

TFTP Trivial File Transfer Protocol

*****Lo primero es saber usar nuestro programa TFTP, todos sus parámetros sobre todo donde guardará los archivos. Hemos elegido el Winagents y por ejemplo los guarda en dataprogram que es una carpeta oculta en en C:/

PASO1

interface vlan1
ip address 192.168.19.7                                                      (le damos una ip a al switch, vlan1)
no shutdown

PASO2:

copy flash tftp
namefile? c2960-lanbase-mz.122-35.SE5.bin
address remote? 192.168.19.20                                           (dire del PC,,, TFTP)
copy flash:c2960-lanbase-mz.122-35.SE5.bin tftp

ya tenemos el .bin, la flash en el pc

PASO3:

abrimos consola, pero en:
xmodem
115200
ninguno

introducimos estos comandos:
set baud 9600
dir flash:/
copy xmodem: flash:c2960-lanbase-mz.122-35.SE5.bin
.....
transfering.....

Aquí tenemos que buscar en la cinta de menú:
TRANSFERIR/enviar archivo:
nombre del archivo (examinar)
protocolo: 1k xmodem

CCNA3 tema4: VTP (Vlan Trunking Protocol) sólo de cisco

Vlan Trunking Protocol (((VTP)))

Permite centralizar y simplificar la administración de un dominio de VLANs, pudiendo crear, borrar y renombrar las mismas para no configurar la misma VLAN en cada switch. VTP propaga las configuraciones dinámicamente de VLAN entre switchs. Posee tres modos: server, client y transparent

SERVER///CLIENT///TRANSPARENT

SERVER: se pueden crear aquí VLANs, modificarlas o eliminarlas. Anunciará a los switchs directamente conectados sus VLANs a través de mensajes VTP, a parte de sincronizarse!

CLIENTE: sólo guarda la información o cambios que anuncian de las VLANs procesándola. Aquí no se pueden crear VLANs y pueden reenviar información a otros switchs.

TRANSPARENT: sólo reenvía los mensajes VTP sin procesarlos, es como un espejo o un hub entre comillas. Se pueden crear VLANs pero no se transmitirá información sobre ellas.

MENSAJES VTP (multicast capa2)

Versión
Tipo (resumen cada 5min., subconjunto, peticiones, unión)
Longitud de dominio
Nombre de dominio

*****Para que el VTP funcione es necesario configurar 3 parámetros indénticos en los switchs:
-Nombre de dominio 
-Versión
-Password
 

VTP pruning (VTP de poda)

Aumenta el ancho de banda restringiendo tráfico. VTP pruning poda bloques innecesarios de inundación. Las VLANs que no estén en algunos switchs o que no les sirvan para nada, pues ese tráfico fuera! VTP pruning hace más eficiente el uso de Trunks reduciendo el tráfico innecesario enviado por los Trunks. (((vlan2=====>vlan1000 VTP pruning funcionará)))


NOTA: incluso cuando VTP pruning ha decidido no enviar tráfico por un Trunk una instancia de Spanning Tree (STP) correrá en cada VLAN que esté permitida en el Trunk independiente de que VTP purning envie o no tráfico por dicha VLAN. Para evitar que Spanning Tree corra por una VLAN deberemos configurar el Trunk con las VLANs permitidas (switchport trunk allowed vlan).!!!!!
NOTA 2: Como la VLAN por defecto es la VLAN 1, ésta no puede ser elegida para pruning.

Para entender totalmente como actúa VTP pruning veamos las siguientes imágenes:

Recordar que un DOMINIO:
es el dominio donde switchs interconectados que comparten las mismas configuraciones de VLANs
Recordar que las PUBLICACIONES:
poseen una jerarquía para distribuir y sincronizar. Quién tenga mayor número de revisión (los servers) son los que pasarán información.

COMANDOS:

vtp pruning
interface fa0/1
switchport trunk pruning vlan 3,4,5
switchport trunk allowed vlan 3,4,5     ( evita que STP Spaning Tree Protocol corra por las VLANs )

show vtp status
vtp version 2
vtp domain talnombre
vtp password talpas
vtp mode talmodo ( server / client / transparent )

CISCO CCNA3: Práctica de lab. 3.3.2.2. Implementación de seguridad de VLAN

 

delete flash:vlan.dat
erase star
reload
yes/no¿? no siempre
....
----
enable
conf t
interface range fa0/1-24
shutdown
interface range gi0/1-2
shutdown                                [desconectar todo es de profesionales, evita broadcast, flodding, etc]
exit           
hostname S1.....S2.....
no ip domain-lookup
enable secret class
line console 0
password cisco
login
exit
line vty 0 15
password cisco
login
exit
vlan 10
name Datos
exit
vlan 999
name blackhole
exit
vlan 99
name Management
exit


((((S1))))         [cambiamos la VLAN1 admin de lugar añadiendo una IP y mask a la VLAN 99]
interface vlan 99
ip address 172.17.99.11 255.255.255.0
no shutdown
exit
((((S2))))         [cambiamos la VLAN1 admin de lugar añadiendo una IP y mask a la VLAN 99]
interface vlan 99
ip address 172.17.99.12 255.255.255.0
no shutdown
exit
((((S1))))         [acabamos de crear las VLANs asociándolas a sus bocas correspondientes]
interface range fa0/6
switchport mode access
switchport access vlan 99
exit
((((S2))))         [acabamos de crear las VLANs asociándolas a sus bocas correspondientes]
interface range fa0/11
switchport mode access 
switchport access vlan 99
exit
interface range fa0/18
switchport mode access 
switchport access vlan 99
exit
exit
show vlan brief


((((S1,S2)))) 

conf t
banner motd " se prohíbe el acceso no autorizado"
service password-encryption
no ip http server           [deshabilitar el servicio básico web]
interface range fa0/1
switchport mode trunk
switchport trunk native vlan 99
switchport nonegocitate     [así se desactiva el uso del DTP de cisco]
interface range fa0/2-5     
switchport mode access     [así se deshabilita los enlaces tronkales, poniendolos access !!!!!]
switchport access vlan 999   [pa colmo los metemos en la VLAN Blackhole]
switchport trunk allowed vlan 10,99  [se restringe el uso del trunk sólo para las VLANs 10 y 99]

*****Hemos configurado la capa access y ahora la capa distribution con un TRUNK muy estricto!!!!

REFLEXIÓN:

¿Qué problemas de seguridad tiene la configuración predeterminada de un switch?

TODOS, ya que un switch no posee configuración de seguridad predeterminada y todo el que conecte o pinche en la boca automáticamente se le conectará y podrá comunicarse con todos los dispositivos de la red, ya que un switch levanta todo automáticamente y por eso es necesario la seguridad.

CISCO CCNA3: Práctica de lab. 3.5.1 (Basic VLAN Configuration)

delete flash:vlan.dat
erase star
reload
yes/no¿? no siempre
....
----
enable
conf t
interface range fa0/1-24
shutdown
interface range gi0/1-2
shutdown                                [desconectar todo es de profesionales]
exit                                  
hostname S1.....S2....S3
no ip domain-lookup
enable secret class
line console 0
password cisco
login
exit
line vty 0 15
password cisco
login
exit
((((S2, S3))))      [configuramos la capa de accesso con las bocas que son para este uso]
interface range fa0/6, fa0/11, fa0/18
switchport mode access
((((S1))))       [creamos VLANs y les damos nombres]
vlan 10
name faculty/staff
exit
vlan 20
name students
exit
vlan 30
name guest
exit
vlan 99
name Management
exit
exit
show vlan brief
((((S2, S3))))       [acabamos de crear las VLANs asociándolas a sus bocas correspondientes]
interface range fa0/6-10
switchport access vlan 30
exit
interface range fa0/11-17
switchport access vlan 10
exit
interface range fa0/18-24
switchport access vlan 20
exit
((((S1))))         [cambiamos la VLAN1 admin de lugar añadiendo una IP y mask a la VLAN 99]
interface vlan 99
ip address 172.17.99.11 255.255.255.0
no shutdown
exit
interface range fa0/1-5
switchport mode trunk        [configuramos el trunk, además de asignarle nativo, TAG & UNTAG]
switchport trunk native vlan 99
no shutdown
exit
((((S2))))         [cambiamos la VLAN1 admin de lugar añadiendo una IP y mask a la VLAN 99]
interface vlan 99
ip address 172.17.99.12 255.255.255.0
no shutdown
exit
interface range fa0/1-5
switchport mode trunk       [configuramos el trunk, además de asignarle nativo, TAG & UNTAG]
switchport trunk native vlan 99
no shutdown
exit
((((S3))))         [cambiamos la VLAN1 admin de lugar añadiendo una IP y mask a la VLAN 99]
interface vlan 99
ip address 172.17.99.13 255.255.255.0
no shutdown
exit
interface range fa0/1-5
switchport mode trunk       [configuramos el trunk, además de asignarle nativo, TAG & UNTAG]
switchport trunk native vlan 99
no shutdown
exit
copy run start

En la práctica se dos dice que si asín van los pings, y sí sí que van.
El otro paso es cambiar el PC1 de lugar y lo pongamos dentro de la VLAN 2:
Pues vamos al S2 que es donde está conectado y:
conf t
interface fa 0/11      [cambiamos el puerto 11 que pase a funcionar en modo access en VLAN20]
switchport access vlan 20
exit

CCNA3 tema3: Las VLANs

Recordemos que ARP Address Resolution Protocol preguntala a la IP para que le mandara la MAC.
ipconfig /all muestra la MAC de la NIC.

VLAN:

Una VLAN es una subred IP separada de manera lógica. Es el acrónimo de Virtual LAN: red de área local virtual. Sirve para crear redes lógicas independientes dentro de una misma red física. Muy usado en empresas para sus sectores, para que no compartan datos, aunque si colocamos un router o un switch de capa 2-3 se hace el denominado VLAN-Routing y sí se verán las VLANs. La VLAN es un software, no hardware. Su mayor ventaja es que puede trasladar un PC a otro lugar y sin cambiarla la IP éste seguir conectado a su misma VLAN.

DETALLES:

Los switchs VLAN separan dominios de broadcast.
Mejoran el funcionamiento, gestión y seguridad de la red.
Puede llevar tráfico: datos, voz, protocolos y administración.
3 modos: vlan statis /// vlan dynamic /// vlan voz
Enlaces troncales: [TRUNK]: IEEE 802.1Q es el protocolo de enlace troncal estándar. Usa un proceso de etiquetado (tagged) para tramas de tráfico VLAN y separado un proceso de no etiquetado (untagged) para los protocolos y para todo el tráfico que no pertenezca a VLAN.

VENTAJAS:

SEGURIDAD: los grupos sensibles se separan del resto de la red para disminuir las posibilidades de que ocurran violaciones de información confidencial.
REDUCCIÓN DE COSTO: pues no necesitan actualizaciones de red.
MEJOR RENDIMIENTO: capa 2, dominios de broadcast divididos reduce el tráfico innecesario.
REDUCCIÓN DE TORMENTAS DE BROADCAST al dividirse una red en VLANs.

TIPOS:

VLAN DATOS: sólo para mover tráfico generado por el usuario, tráfico de voz y de administración no son datos. Típica práctica de separar datos de voz y admin...

VLAN PREDETERMINADA: VLAN 1 la que tiene todo ON y permite pinchar y levantarse conectándose y dando link automáticamente comunicándose con todos los pinchados.

VLAN NATIVA: aquella que permite todo tipo de tráfico: tanto tráfico etiquetado (tagged) correspondiente a las VLANs y tráfico no etiquetado (untagged) STP, VTP,....

VLAN ADMINISTRACIÓN: se le asigna una IP y una MASK de subred. Es la asignada para acceder a la configuración de un switch. La VLAN 1 predeterminadamente es la VLAN administración y es aconsejable cambiarla siempre a VLAN X!!!!!

VLAN VOZ: ancho de banda asegurado debido a las políticas de prioridad.

 

 

ENLACES TRONCALES [TRUNK]:

Enlace punto a punto, entre dispositivos (switch/switchs/routers) para el transporte de VLANs y/o para agrandar la VLAN físicamente, por ejemplo que la VLAN 10 esté en el piso 2 y en el piso 17 al mismo tiempo.

DOS GRANDES ESQUEMAS DE ENTENDIMIENTO:

 

La nativa y la management se pueden o no poner en la misma VLAN, en cualquier caso han de pertenecer a VLAN X. Vemos las capas de accesso a los extremos donde estarían los PCs y la capa de distribución donde se unen switchs con switchs. Lo más importante es tener claro que la nativa te lleva todo tipo de tráfico y que la management es la entrada externa para configurar el switch.

 

ÚLTIMOS DETALLES:

FDDI: Fibra Distribute Data Interface

VMPS: Vlan Membership Polity Server

DTP: Dinamic Trunking Protocol (sólo de cisco)

Si te zumbas una VLAN, te zumbarás los puertos también.

COMANDOS APRENDIDOS:

interface gigaethernet 0/1

switchport voice vlan 50

switchport mode access

switchport access vlan 20 

no switchport access vlan 20

mls qos trust cos

switchport trunk native vlan 99     ((por aqui todo tipo de tráfico, es la nativa, tagged & untagged))

switchport trunk allowed vlan 10   ((permitir tráfico etiquetado, tagged o sólo VLANs))