Академический Документы
Профессиональный Документы
Культура Документы
Audiencia
Esta gua est dirigida a la creacin de redes profesionales gestionar el Catalyst 3750-E independiente o 3560-E
Catalyst 3750-X o 3560-X interruptor o el Catalyst 3750-E Catalizador pila de conmutadores 3750-X, referido como
la interruptor. Antes de utilizar esta gua, debe tener experiencia en el trabajo con el software Cisco IOS
y estar familiarizado con los conceptos y la terminologa de Ethernet y redes de rea local.
Propsito
Esta gua proporciona procedimientos para el uso de los comandos que han sido creados o modificados para su uso con
el Catalyst 3750-E y 3560-E Catalyst 3750-X o 3560-X interruptores. No proporciona detallada
informacin sobre estos comandos.
Para obtener informacin detallada acerca de estos comandos, vea la referencia de comandos para esta versin.
Para obtener informacin acerca de los comandos estndar de Cisco IOS, consulte la Cisco IOS Maestro Lista de comandos,
Todos los comunicados Del Cisco IOS Software Ediciones 15.0 ndice Maestro Mainline pgina en Cisco.com:
http://www.cisco.com/en/US/products/ps10591/products_product_indices_list.html
Esta gua no proporciona informacin detallada sobre las interfaces grficas de usuario para el administrador de dispositivos
empotrados o de
Cisco Network Assistant (denominada en lo sucesivo Network Assistant) que puede utilizar para gestionar el
interruptor. Sin embargo, los conceptos en esta gua son aplicables al usuario GUI. Para obtener informacin sobre la
administrador de dispositivos, consulte la ayuda en lnea del interruptor. Para obtener informacin acerca de Network Assistant,
consulte Conseguir
Introduccin a Cisco Network Assistant, disponibles en Cisco.com.
Esta gua no describe los mensajes del sistema que pueden surgir o cmo instalar el interruptor. Para
ms informacin, consulte la gua de mensajes del sistema para esta versin y la Catalyst 3750-E y 3560-E
Gua de instalacin del hardware switch Catalyst 3750-X y Gua de instalacin para interruptores 3560-X.
Para actualizaciones de la documentacin, consulte las notas de la versin para esta
versin.
liii
Prefacio
Convenios
Esta publicacin utiliza estas convenciones para transmitir instrucciones e informacin:
Descripciones de los comandos utilizan las siguientes
convenciones:
Los comandos y palabras clave estn en negrita texto.
Las llaves ({}) de grupo requerida opciones, y las barras verticales (|) separan los elementos alternativos.
Los aparatos ortopdicos y barras verticales dentro de corchetes ([{|}]) significa una opcin necesaria dentro de un opcional
elemento.
Caracteres no imprimibles, como contraseas o pestaas, estn entre parntesis angulares (<>).
Nota
Medios lector tome nota. Las notas contienen sugerencias tiles o referencias a materiales que no estn contenidos en
este manual.
Precaucin Medios lector tenga cuidado. En esta situacin, es posible hacer algo que podra resultar en el equipo
Publicaciones
relacionadas
Documentos con informacin completa sobre el interruptor estn disponibles en estos sitios Cisco.com:
Catalyst 3750-X
http://www.cisco.com/en/US/products/ps10745/tsd_products_support_series_home.html
Catalyst 3560-X
http://www.cisco.com/en/US/products/ps10744/tsd_products_support_series_home.html
Catalyst 3750-E:
http://www.cisco.com/en/US/products/ps7077/tsd_products_support_series_home.html
Catalyst 3560-E:
http://www.cisco.com/en/US/products/ps7078/tsd_products_support_series_home.html
Nota
Para obtener informacin de configuracin inicial, consulte la seccin "Uso de la Configuracin rpida" en la Gua de
introduccin
gua o la "Configuracin del conmutador con el programa de configuracin CLI-base" apndice en el hardware
gua de instalacin.
Para conocer los requisitos Administrador de dispositivos, consulte la seccin "Requisitos del sistema" en las notas de la
versin.
liv
OL-29703-01
Prefacio
Para conocer los requisitos de Network Assistant, consulte la Introduccin a Cisco Network Assistant.
Para conocer los requisitos de clster, consulte la Notas de la versin de Cisco Network Assistant.
Para actualizar informacin, consulte la seccin de "Descarga de Software" en las notas de la versin.
Catalyst 3750-X, 3750-E, 3560-X y 3560-E Interruptor Gua de mensajes del sistema
Nota de instalacin para el Catalyst 3750-E y Catalyst 3560-E Interruptores y RPS 2300 Potencia
Mdulos de alimentacin
Catalyst 3750-X, 3750-E, 3560-X y 3560-E Interruptor Gua de mensajes del sistema
Notas de instalacin para el Catalyst 3750-X, Catalyst 3560-X Interruptor mdulos de alimentacin
Gua de instalacin del hardware del sistema Cisco ampliable Poder XPS-2200
Informacin sobre los mdulos SFP + Cisco SFP y est disponible desde este sitio Cisco.com:
http://www.cisco.com/en/US/products/hw/modules/ps5455/prod_installation_guides_list.html
Documentos de la matriz de compatibilidad SFP estn disponibles en este sitio Cisco.com:
lv
OL-29703-01
Prefacio
http://www.cisco.com/en/US/products/hw/modules/ps5455/products_device_support_tables_list
.html
Para obtener informacin sobre el Network Admission Control (NAC) funciones, consulte la Admisin a la Red
Gua de configuracin del software de control
lvi
OL-29703-01
E R CH A P T
Informacin
general
En este captulo se ofrece una visin general sobre los temas del Catalyst 3750-E y 3560-E Catalyst 3750-X y
3560-X software del conmutador:
Ajustes por defecto despus de la configuracin inicial del Switch, pgina 1-20
Nota
Los ejemplos en este documento son de un interruptor 3750-X Catalyst 3750-E Catalyst. Al mostrar una
interfaz en un comando de interfaz de lnea de comandos (CLI), el ejemplo est en el Catalyst 3750-E Catalizador
Interruptor 3750-X, por ejemplo, gigabitethernet 1/0/5. Los ejemplos tambin se aplican a la Catalyst 3560-E
Catalizador interruptor 3560-X en la que la interfaz especificada en un Catalyst 3560-E switch Catalyst 3560-X es
GigabitEthernet0 / 5 (Sin el nmero de miembro de la pila de 1 /).
Caractersticas del
software El switch soporta la (cifrado soportes) Imagen de software universal criptogrfica. Lo universal
imagen de software es compatible con la base de la propiedad intelectual y los servicios IP conjuntos de caractersticas.
El conmutador es compatible con una imagen de software de base IP (con o sin cifrado de carga til) para los clientes
sin un contrato de servicio de apoyo. Esta imagen es compatible con los conjuntos de funciones de base IP y LAN Base.
Los clientes con un contrato de servicio reciben una imagen universal (con o sin cifrado de carga til), que
incluye la Base LAN, Base IP y servicios IP conjuntos de caractersticas. En los interruptores en ejecucin-cifrado de carga til
imgenes, la gestin y el trfico de datos se pueden cifrar. En los interruptores en ejecucin-cifrado nonpayload
imgenes, slo el trfico de administracin, como una sesin de gestin SSH, se pueden cifrar.
Usted debe tener una licencia de software de Cisco IOS para una caracterstica especfica establecida para habilitarlo. Para obtener
ms informacin
acerca de la licencia de software, consulte la Instalacin del software Cisco IOS documentar en Cisco.com.
El conmutador es compatible con uno de estos conjuntos de
caractersticas:
Funciones LAN Base set-Proporciona la capa bsica de + 2 funciones, incluidas las listas de control de acceso (ACL) y
calidad de servicio (QoS). Comenzando con Cisco IOS 12.2 (58) SE, la funcin LAN Base establecer tambin
soporta direccionamiento IP esttico en las interfaces virtuales de conmutacin (SVI) de 16 rutas configuradas por el usuario.
1-1
Captulo 1
Informacin general
Funcin Servicios IP set-Proporciona un conjunto ms rico de servicios inteligentes de clase empresarial y la plena IPv6
apoyo. Incluye todas las caractersticas de base IP ms completa de enrutamiento de capa 3 (routing unicast IP, IP multicast
enrutamiento, y puente de retorno). El conjunto de funciones IP Services incluye protocolos como el Enhanced
Interior Protocolo de enrutamiento de gateway (EIGRP) y el Open Shortest Path First Protocol (OSPF). Este
conjunto de caractersticas tambin es compatible con todos los servicio IP cuenta con enrutamiento IPv6 y IPv6 ACL y
Multicast
Listener Discovery (MLD) espionaje.
Nota
A menos que se indique lo contrario, todas las funciones descritas en este captulo y en esta gua son compatibles con
todos cuentan con conjuntos.
Caractersticas de
implementacin Express Setup para configurar rpidamente un interruptor por primera vez con informacin bsica IP, el contacto
1-2
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
Mejora AutoSmartports para permitir auto-QoS en un CDP-capaz Cisco reproductor de medios digitales.
Auto Smartport cuenta en Cisco IOS Release 15.0 (1) SE con una mejor clasificacin de dispositivo
capacidades y precisin, una mayor visibilidad del dispositivo, y mejorar la gestin macro. El dispositivo
clasificador est activado por defecto, y se puede clasificar a los dispositivos basados en opciones de DHCP.
Una interfaz grfica de usuario del Administrador de dispositivos embebidos para configurar y supervisar un nico conmutador
a travs de una web
navegador. Para obtener informacin acerca de cmo iniciar el Administrador de dispositivos, consulte la gua de instalacin
inicial. Para obtener ms
informacin
sobre
el Administrador
de dispositivos,
consulte para
la ayuda en lnea del interruptor.
Cisco
Network
Assistant
(referido como
Network Assistant)
-La gestin de las comunidades, que son grupos de dispositivos como los cmulos, a excepcin de que pueden contener
configurar las caractersticas complejas tales como las prioridades de QoS para el trfico de video, niveles de
prioridad para los datos
aplicaciones y seguridad.
-Descarga de una imagen a un interruptor.
-Aplicar acciones a varios puertos y varios switches al mismo tiempo, como VLAN y
interruptores que pueden unirse a un clster y para identificar la informacin de enlace entre conmutadores.
-Monitoreo de estado en tiempo real de un interruptor o interruptores mltiples de los LEDs en el panel frontal
imgenes. El sistema, sistema de alimentacin redundante (RPS), el sistema y el puerto LED colores en las imgenes
son similares a los utilizados en los LEDs fsicas.
Tecnologa Cisco StackWise Plus en Catalyst 3750-E Catalyst 3750-X interruptores para
-Conexin de hasta nueve switches a travs de sus puertos StackWise Plus que operan como una sola
apilar.
-El aprovisionamiento de un nuevo miembro de una pila de switches con la funcin de configuracin fuera de lnea. Usted
puede
configurar de antemano la configuracin de interfaz para un nmero de socio pila especfica y por un
tipo de conmutador especfico de un nuevo interruptor que no es parte de la pila. La pila Mantiene este
informacin a travs de la pila vuelve a cargar si o no el interruptor aprovisionado es parte de la pila.
-Viendo las estadsticas de actividad de anillo de pila (el nmero de tramas enviadas por cada miembro de la pila a la
anillo).
1-3
Captulo 1
Informacin general
-Rodando pila de actualizacin para minimizar la interrupcin de la red cuando los miembros de una pila de switches son
Tecnologa StackPower en Catalyst 3750-X interruptores de ejecutar el conjunto de funciones IP Base o Servicios IP.
Cuando los cables de potencia de la pila se conectan hasta cuatro switches, puede administrar la energa del interruptor
individuo
suministros como una nica fuente de alimentacin para compartir el poder o la redundancia de switches y conectado
dispositivos.
Switch Clustering tecnologa para
-Unified configuracin, monitorizacin, autenticacin y actualizacin de software de mltiples,
Smart Install para permitir que un nico punto de gestin (director) en una red. Puede utilizar Smart
Instalar para proporcionar una imagen sin intervencin y actualizacin de la configuracin de los interruptores de nueva
implantacin y
imagen y configuracin Descargas de los interruptores de clientes. Para obtener ms informacin, consulte la Cisco
Gua Smart Install configuracin en Cisco.com.
Smart Install mejoras en Cisco IOS 12.2 (55) SE soporte archivos de copia de seguridad de los clientes,
reemplazo zero-touch para los clientes con el mismo producto-ID, generacin automtica de la lista de imgenes
archivo, depsito de archivos configurable, los cambios de nombre de host, conexin transparente del director de cliente,
y de almacenamiento USB para la imagen y la semilla de configuracin.
Smart Install mejoras en Cisco IOS 12.2 (58) SE incluyendo la capacidad de forma manual
cambiar un estado de salud interruptor cliente desde negado a permitido ni tener para mejoras a la carta, a
eliminar clientes seleccionados de la base de datos de direccin, para permitir la actualizacin simultnea bajo demanda de
varios clientes, y para proporcionar ms informacin acerca de dispositivos cliente, incluidos el estado del dispositivo,
estado de salud, y el estado de actualizacin.
Llamar a casa para proporcionar basadas en correo electrnico y una notificacin basada en la web de los eventos crticos del
sistema. Los usuarios con
un contrato de servicio directamente con Cisco Systems puede registrar dispositivos Call Home para el Cisco Smart
Llame al servicio de Home que genera solicitudes de servicio automticas con el TAC de Cisco.
Caractersticas de
rendimiento Cisco EnergyWise gestiona el uso de energa de los puntos terminales conectados a los miembros del dominio.
Para obtener ms informacin, consulte la documentacin de Cisco EnergyWise en Cisco.com.
Cisco EnergyWise Phase 2.5 mejoras que aaden soporte para una consulta para analizar y pantalla
informacin de dominio y para Wake on LAN (WoL) poder de forma remota en un PC-WoL capaz.
Deteccin automtica de la velocidad del puerto y la negociacin automtica del modo dplex en todos los puertos del switch
para optimizar
ancho de banda.
1-4
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
Soporte para el tamao mximo de paquete o unidad de transmisin mxima (MTU) para este tipo de
marcos:
-Hasta 9216 bytes para tramas direccionadas.
-Hasta 9216 bytes de las tramas que se puentean en hardware y software a travs de Gigabit Ethernet
IEEE 802.3x control de flujo en todos los puertos (el interruptor no enva tramas de pausa).
EtherChannel para mejorar la tolerancia a fallos y para proporcionar hasta 8 Gb / s (Gigabit EtherChannel)
o 80 Gb / s (10-Gigabit EtherChannel) de ancho de banda full-duplex entre switches, routers y servidores.
Protocolo de Port Aggregation (PAgP) y Link Aggregation Control Protocol (LACP) para automtico
creacin de vnculos EtherChannel.
Transmisin de Capa 2 y Capa 3 paquetes a velocidad de lnea Gigabit a travs de los conmutadores de la pila.
Control de tormentas por puerto para la prevencin de difusin, multidifusin y tormentas unicast.
Puerto de bloqueo en el reenvo de capa 2 desconocido unicast desconocido, multicast y broadcast en puente
trfico.
Proteccin contra las tormentas de protocolo para controlar la tasa de trfico de protocolo entrante a un interruptor dejando
caer
paquetes que exceden una velocidad de entrada especificado.
Protocolo Cisco Management Group (CGMP) soporte de servidor y administracin de grupos de Internet
Protocolo (IGMP) snooping IGMP para las versiones 1, 2, y 3:
-(Para dispositivos CGMP) CGMP para limitar el trfico multicast a las estaciones finales especificados y reduciendo
multidifusin.
Informe supresin IGMP para enviar slo un informe IGMP multicast por consulta router a la
dispositivos de multidifusin (slo compatibles para consultas IGMPv1 o IGMPv2).
IGMP snooping querier soporte para configurar el interruptor para generar peridica IGMP consulta general
mensajes.
IIGMP Helper para permitir que el interruptor que transmita una solicitud de acogida a unirse a una secuencia de multidifusin
a una especfica
Direccin IP de destino.
Multicast Listener Discovery (MLD) snooping para permitir la distribucin eficiente de IP versin 6 (IPv6)
datos de multidifusin a clientes y routers en una red conmutada.
Registro Multicast VLAN (MVR) para enviar continuamente secuencias de multidifusin en una VLAN de multidifusin
mientras que el aislamiento de las corrientes de suscriptor VLANs por razones de ancho de banda y seguridad.
Filtrado IGMP para controlar el conjunto de grupos de multidifusin a los que acoge en un puerto del switch puede pertenecer.
IGMP de limitacin para la configuracin de la accin cuando el nmero mximo de entradas es en el IGMP
tabla de reenvo.
Interruptor de Base de Datos (SDM) plantillas de asignacin de los recursos del sistema para maximizar
soporte para funciones seleccionadas por el usuario.
1-5
Captulo 1
Informacin general
Introduccin de una nueva base de datos de gestin de conmutador (SDM) dual plantilla IPv4 e IPv6 que
apoya rutas ms indirectas (compatible slo con interruptores que ejecutan la operacin Base IP o servicios IP
establecido).
Web Cache Communication Protocol (WCCP) para redirigir el trfico a la aplicacin de rea amplia
motores, para habilitar las solicitudes de contenido que han de cumplir a nivel local, y para la localizacin de los patrones de
trfico weben la red (requiere el conjunto de funciones IP Services).
Apoyo en Cisco IOS Versin 12.2 (58) SE para negar entradas de ACL en Comunicacin Web Cache
Protocolo (WCCP) redirigir listas (requiere el conjunto de funciones IP Services). Anteriormente slo permitir entradas
fueron apoyados.
Umbral de la llegada pequea trama configurable para evitar el control de tormentas cuando pequeos cuadros (64 bytes o
menos) llegan en una interfaz a una velocidad especificada (el umbral).
Flex Enlace Multicast Convergencia rpida para reducir el tiempo de convergencia del trfico multicast despus de un Flex
Fracaso Link.
Apoyo a los puntos de acceso IEEE 802.11n habilitado y soporte para dispositivos alimentados que atraen ms
de 15,4 vatios.
RADIUS equilibrar la carga del servidor para permitir que las solicitudes de acceso y autenticacin que se distribuirn de
manera uniforme
a travs de un grupo de servidores.
Soporte para QoS marcado de trfico CPU-generado y cola de trfico CPU-genera en la salida
puertos de red.
Memoria comprobacin de coherencia mejoras de rutina para detectar y corregir el contenido ternario no vlida
memoria (TCAM) entradas direccionables de mesa que pueden afectar el rendimiento del conmutador.
Opciones de gestin
Un dispositivo integrado Manager-Device es una interfaz grfica de usuario que se integra en lo universal
imagen de software. Se utiliza para configurar y monitorear un solo interruptor. Para obtener informacin acerca de partida
Administrador de dispositivos, consulte la gua de instalacin inicial. Para obtener ms informacin sobre el Administrador de
dispositivos, consulte la
cambiar de ayuda en lnea.
Network Assistant Asistente de la red es una aplicacin de gestin de red que puede ser
descargado de Cisco.com. Se utiliza para administrar un solo interruptor, un grupo de interruptores, o una
comunidad de dispositivos. Para obtener ms informacin acerca de Network Assistant, consulte Introduccin a
Cisco Network Assistant, disponibles en Cisco.com.
Software CLI-El Cisco IOS soporta caractersticas sobremesa y de mltiples capas de conmutacin. Usted puede acceder a
la CLI mediante la conexin de la estacin de administracin directamente al puerto de consola del conmutador, mediante la
conexin de
su PC directamente al puerto de gestin Ethernet, o mediante el uso de Telnet desde una gestin remota
estacin o PC. Usted puede manejar la pila de switches mediante la conexin al puerto de consola o Ethernet
Puerto de administracin de cualquier miembro de la pila. Para obtener ms informacin acerca de la CLI, consulte Captulo 2,
"Utilizacin
la interfaz de lnea de comandos ".
SNMP-aplicaciones de gestin SNMP como CiscoWorks2000 LAN Management Suite (LMS)
y HP OpenView. Usted puede manejar desde una estacin de administracin compatibles con SNMP o un PC que es
plataformas que ejecutan tales como HP OpenView o Gerente SunNet. El conmutador es compatible con una amplia
conjunto de extensiones MIB y cuatro grupos RMON (supervisin remota). Para obtener ms informacin acerca de
utilizando SNMP, consulte Captulo 38, "Configuracin de SNMP."
1-6
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
Cisco Configuration Engine IOS (antes conocido como el Cisco IOS CNS
agente) - servicio de configuracin automatiza el despliegue y la gestin de dispositivos de red y
servicios. Usted puede automatizar configuraciones iniciales y las actualizaciones de configuracin mediante la generacin de
cambiar especficos de los cambios de configuracin, envindolos al interruptor, la ejecucin de la configuracin
cambiar, y el registro de los resultados.
Para obtener ms informacin sobre el SNC, consulte Captulo 3, "Configuracin del motor de configuracin de Cisco IOS."
Manejabilidad Caractersticas
Servicio de ubicacin con conexin de cable enva la ubicacin y el apego informacin de seguimiento de los dispositivos
conectados a
un Cisco Mobility Services Engine (MSE).
CNS agentes incrustado para la automatizacin de la administracin de conmutadores, almacenamiento de configuracin, y
la entrega.
DHCP para automatizar la configuracin de la informacin del conmutador (como la direccin IP, puerta de enlace
predeterminada,
nombre de host y de dominio Sistema de nombres de [DNS] y los nombres de servidor TFTP).
DHCP relay para el reenvo de User Datagram Protocol (UDP) emisiones, incluyendo la direccin IP
solicitudes, de los clientes DHCP.
Servidor DHCP para la asignacin automtica de direcciones IP y otras opciones de DHCP para IP hosts.
Asignacin de direcciones del servidor DHCP basadas en puertos para la preasignacin de una direccin IP a un puerto de
switch.
DHCPv6 consulta a granel-arrendamiento para solicitar informacin sobre enlaces DHCPv6.
Configuracin de la fuente de retransmisin DHCPv6 para la configuracin de la direccin de origen para los mensajes desde el
rel
agente.
DHCPv6 consulta a granel-arrendamiento para apoyar nuevo tipo de consulta arrendamiento mayor (como se define
en RFC5460).
La funcin de configuracin de la fuente de retransmisin DHCPv6 para configurar una direccin de origen para el rel
DHCPv6
agente.
Dirigida peticiones unicast a un servidor DNS para la identificacin de un interruptor a travs de su direccin IP y su
nombre de host y un servidor TFTP correspondiente de la administracin de actualizaciones de software desde un servidor
TFTP
servidor.
Address Resolution Protocol (ARP) para la identificacin de un conmutador a travs de su direccin IP y su
direccin MAC correspondiente.
Filtrado de direcciones MAC Unicast para caer paquetes con origen o destino especfico direcciones MAC.
Configurable escalado direccin MAC que permite deshabilitar aprendizaje de direcciones MAC en una VLAN para limitar
el tamao de la tabla de direcciones MAC.
Link Layer Discovery Protocol (LLDP) y LLDP Medios de punto final (LLDP-MED) para
interoperabilidad con los telfonos IP de otros fabricantes.
Apoyo a la ubicacin TLV LLDP-MED que proporciona informacin sobre la ubicacin del interruptor en la
dispositivo de punto final.
CDP y LLDP mejoras para el intercambio de informacin de ubicacin con los puntos finales de vdeo para
distribucin de contenido dinmico basado en la ubicacin de los servidores.
Protocolo de Tiempo de Red (NTP) versin 4 para NTP sincronizacin de tiempo para IPv4 e IPv6.
1-7
Captulo 1
Informacin general
Network Time Protocol versin 4 (NTPv4) para apoyar IPv4 e IPv6 y compatibilidad con
NTPv3.
Sistema Cisco IOS de archivos (IFS) para proporcionar una interfaz nica para todos los sistemas de archivos que utiliza el
interruptor.
Registro de configuracin para iniciar sesin y ver los cambios en la configuracin del switch.
Reemplazo de configuracin y rollback para reemplazar la configuracin en ejecucin en un switch con cualquier
guardado el archivo de configuracin de Cisco IOS.
Identificador de dispositivo nico para proporcionar informacin de identificacin del producto a travs de un el inventario se
EXEC usuario pantalla de comandos.
El acceso de administracin en banda a travs del Administrador de dispositivos en un Navegador Netscape o Microsoft
Sesin del navegador Internet Explorer.
El acceso de administracin en banda para hasta 16 conexiones Telnet simultneas para mltiples basada en CLI
sesiones en la red.
Dentro de la banda de acceso a la administracin de hasta cinco conexiones simultneas, cifrados de Secure Shell (SSH)
para mltiples sesiones basadas en CLI travs de la red.
Acceso a la administracin fuera de banda a travs del puerto de consola del conmutador a un terminal con conexin directa o
a un terminal remoto a travs de una conexin en serie o un mdem.
El acceso fuera de banda a travs de la gestin del puerto de gestin Ethernet a una PC.
Funcin Copy Protocol (SCP) Asegurar para proporcionar un mtodo seguro y autenticado por copia
cambiar los archivos de imagen de configuracin o interruptores.
Autoconfiguracin basada en DHCP y actualizacin de la imagen para descargar una configuracin especifica un nuevo
imagen a un gran nmero de interruptores.
Especficas Multicast (SSM) Asignacin de origen para aplicaciones de multidifusin para proporcionar una asignacin de
fuente
a permitiendo a los clientes a utilizar IGMPv2 SSM, lo que permite a los oyentes a conectarse a las fuentes de multidifusin
reduciendo de forma dinmica y dependencias de la aplicacin.
El cliente HTTP en soportes Cisco IOS puede enviar solicitudes a los servidores HTTP IPv4 e IPv6, y
el servidor HTTP en Cisco IOS puede dar servicio a las peticiones HTTP de clientes IPv4 e IPv6 HTTP.
Simple Network Management Protocol y (SNMP) se pueden configurar en el transporte IPv6 de manera que
un host IPv6 puede enviar consultas SNMP y recibir notificaciones de SNMP desde un dispositivo con IPv6.
IPv6 permite la configuracin automtica sin estado para gestionar enlace, subred y sitio de abordar los cambios, tales
como la gestin de host y direcciones IP mviles.
Bandera de autenticacin web local para que banner personalizado o archivo de imagen se pueden mostrar en una web
pantalla de inicio de sesin de autenticacin.
LLDP-MED red-poltica perfil de tiempo, longitud, valor (TLV) para la creacin de un perfil para voz y
voz de sealizacin mediante la especificacin de los valores de VLAN, clase de servicio (CoS), servicios diferenciados
punto de cdigo (DSCP), y el modo de etiquetado.
Soporte para la inclusin de un nombre de host en la opcin 12 de campo de los paquetes DHCPDISCOVER. Esto proporciona
archivos de configuracin idnticos a ser enviados mediante el protocolo DHCP.
DHCP Snooping mejora para apoyar la seleccin de un formato basado en cadena fija para el
subopcin circuito-id del campo DHCP Opcin 82.
1-8
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
Nota
Mayor apoyo a LLPD-MED, al permitir el cambio a otorgar poder al dispositivo de potencia (PD),
basado en la solicitud TLV poltica de energa.
USB mini-B Tipo de puerto de la consola, adems del puerto estndar de consola RJ-45. Entrada de la consola
activo en slo un puerto a la vez.
USB tipo A puerto para dispositivos externos Cisco USB de memoria flash (memorias USB o memorias USB). Usted
puede utilizar estndar comandos CLI de Cisco para leer, escribir, borrar, copiar, o arrancar desde la memoria flash.
Para obtener descripciones adicionales de las interfaces de administracin, consulte la "Ejemplos de configuracin de red"
en la pgina 1-23.
Disponibilidad y redundancia
Caractersticas HSRP para el interruptor de mando y redundancia de capa 3 del router
Maestros pila automticas reeleccin (soporte de failover) para la sustitucin de los maestros de la pila que se convierten
en
disponible (slo en Catalyst 3750-E Catalyst 3750-X interruptores)
El maestro de la pila recin elegido comience a aceptar el trfico de nivel 2 en menos de 1 segundo y Capa 3
trfico entre 3 a 5 segundos.
EtherChannel Cruz-pila para proporcionar enlaces redundantes a travs de la pila de switches (slo el catalizador
3750-E Catalyst 3750-X interruptores)
Protocolo IEEE 802.1D Spanning Tree (STP) para conexiones troncales redundantes y sin bucles
redes. STP tiene estas caractersticas:
-Hasta 128 casos spanning-tree apoyaron
-Per-VLAN spanning-tree plus (TSVP +) para balanceo de carga a travs de VLANs
-Rpido TSVP + para el equilibrio de carga a travs de VLANs y proporcionando una rpida convergencia de
instancias de spanning-tree
Spanning Tree Protocol mltiple IEEE 802.1s (MSTP) para agrupar las VLAN en un rbol de expansin
instancia y para proporcionar mltiples rutas de reenvo para el trfico de datos y balanceo de carga y rpida
por VLAN Spanning Tree-plus (rapid-TSVP +) basado en el estndar IEEE 802.1w Rapid Spanning Tree
Protocol (RSTP) para la rpida convergencia del rbol de expansin por root inmediatamente cambiante y
puertos designados al estado de reenvo
(BPDU)
-Filtrado de BPDU para prevenir un puerto habilitado Fast-Port de enviar o recibir BPDU
1-9
Captulo 1
Informacin general
-Guardia Root para prevenir interruptores fuera del ncleo de la red se convierta en el spanning-tree
raz
-Loop guardia para prevenir puertos alternativos o races se conviertan en puertos designados a causa de un
Caractersticas de
VLAN
Admite hasta 1005 VLAN en switches que ejecutan la operacin Base IP o servicios IP establecida o 255
VLAN en switches ejecuten el conjunto de funciones LAN Base para la asignacin de los usuarios a las VLAN asociadas con
recursos apropiados de la red, patrones de trfico y ancho de banda.
Apoyo a la ID de VLAN en el rango de 1 a 4094, segn lo permitido por la norma IEEE 802.1Q.
Inter-Switch Link (ISL) y IEEE 802.1Q trunking encapsulacin en todos los puertos de la red se mueve,
adiciones y cambios; gestin y control de trfico de difusin y multidifusin; y seguridad de la red
mediante el establecimiento de grupos de VLAN para los usuarios de alta seguridad y recursos de red.
Protocolo de enlace troncal dinmico (DTP) para la negociacin de enlaces troncales en un enlace entre dos dispositivos y para
negociar el tipo de encapsulacin trunking (IEEE 802.1Q o ISL) a utilizar.
Protocolo VLAN Trunking (VTP) y VTP poda para reducir el trfico de red mediante la restriccin
trfico inundado a los enlaces con destino a las estaciones receptoras del trfico.
VLAN de voz para crear subredes para el trfico de voz de telfonos IP de Cisco.
Voz dinmica LAN virtual (VLAN) para la autenticacin multidominio (MDA) para permitir una dinmica
voz VLAN en un puerto habilitado para la MDA.
VLAN 1 minimizacin para reducir el peligro de lazos de spanning-tree o tormentas, permitiendo VLAN 1
estar deshabilitado en los enlaces individuales tronco VLAN. Con esta funcin activada, no se enva ningn trfico de usuarios
o recibida en el tronco. La CPU interruptor contina para enviar y recibir tramas de protocolo de control.
VLAN privadas para hacer frente a problemas de escalabilidad VLAN, para proporcionar una direccin IP ms controlado
asignacin, y para permitir que la capa de 2 puertos para ser aislados de otros puertos del conmutador.
La seguridad del puerto en un host PVLAN para limitar el nmero de direcciones MAC obtenido en un puerto, o definir
que las direcciones MAC se pueden aprender en un puerto.
VLAN Flex Enlace Load Balancing para proporcionar redundancia de Capa 2 sin necesidad de Spanning Tree
Protocolo (STP). Un par de las interfaces configurado como primario y enlaces de copia de seguridad puede cargar trfico de
saldo
basado en VLAN.
1-10
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
Funciones de
seguridad
Soporte para VTP versin 3 que incluye soporte para configurar redes VLAN de rango extendido (VLANs
1.006-4094) en cualquier modo de VTP, la autenticacin mejorada (oculto o contraseas secretas), la propagacin
de otras bases de datos, adems de VTP, VTP primario y los servidores secundarios, y la opcin de activar
VTP o desactivar el puerto.
Cisco IOS Release 15.2 (1) E en los Catalyst 3750-X y 3560-X interruptores est certificado bajo la
Procesamiento de Informacin Federal de publicacin estndar 140-2 (FIPS 140-2) y los criterios comunes
para el estndar de Evaluacin de Seguridad de Tecnologa de la Informacin (Common Criteria o CC) EAL 2 +.
Cisco IOS Release 15.2 (1) E en los Catalyst 3750-X y 3560-X interruptores ha sido presentado para su
certificacin FIPS 140-2 y en el cumplimiento de criterios comunes con el Gobierno estadounidense, el Seguro
Requisitos para los dispositivos de red (pp_nd_v1.0), versin 1.0, de fecha 10 de diciembre de 2010.
Nota
Las imgenes para el Cisco IOS Release 15.2 (1) E en los Catalyst 3750-X y 3560-X interruptores
son certificados FIPS. Para obtener informacin sobre el uso de certificados FIPS imgenes, consulte la "Gestor de
arranque
Actualizar y Verificacin de imagen para el modo FIPS de Funcionamiento "en la pgina 4-25 de
la gua de configuracin del software.
FIPS 140-2 es una certificacin-criptogrfica centrado, requerido por muchos gobiernos y de la empresa
clientes, lo que garantiza el cumplimiento de las operaciones de cifrado y descifrado realizadas por
el interruptor a la aprobada FIPS fortalezas criptogrficas y mtodos de gestin para salvaguardar
estas operaciones. Para obtener ms informacin, consulte:
-El documento de poltica de seguridad en:
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2011.htm#1657
-La instalacin toma nota en:
http://www.cisco.com/en/US/products/ps10745/prod_installation_guides_list.html
Common Criteria es un estndar internacional (ISO / IEC 15408) para la certificacin de la seguridad informtica.
Esta norma es un conjunto de requisitos, pruebas y mtodos de evaluacin que asegura que el objetivo de
La evaluacin cumple con un perfil de proteccin especfica o costumbre Target Security. Para obtener ms
informacin, consulte el documento de destino en la seguridad:
http://www.niap-ccevs.org/st/vid10488/
Autenticacin Web para permitir que un solicitante (cliente) que no admite la funcionalidad IEEE 802.1x para
autenticarse utilizando un navegador web.
Acceso protegido por contrasea (de slo lectura y de lectura-escritura de acceso) a las interfaces de gestin (dispositivo
gestor, Network Assistant, y el CLI) para la proteccin contra la configuracin no autorizada
cambios
La seguridad multinivel para una opcin de nivel de seguridad, notificacin y acciones resultantes
Opcin de puerto protegido para restringir el reenvo de trfico a los puertos designados en el mismo conmutador
Opcin de seguridad de puerto para limitar e identificar las direcciones MAC de las estaciones les permite el acceso
el puerto
VLAN opcin consciente de la seguridad de puerto para apagar el VLAN en el puerto cuando se produce una violacin,
en lugar de apagarse todo el puerto
1-11
Captulo 1
Informacin general
Guardia BPDU para el cierre de un puerto configurado Fast-Port cuando se produce una configuracin no vlida
Listas de control de acceso estndar y extendida IP (ACL) para la definicin de polticas de seguridad en ambas direcciones
en interfaces enrutadas (ACL del router) y VLAN y entrante en la capa 2 interfaces (puerto ACL)
Extendido listas de control de acceso MAC para la definicin de polticas de seguridad en la direccin entrante en la capa 2
interfaces de
ACL VLAN (mapas de VLAN) para proporcionar seguridad intra-VLAN filtrando el trfico basndose en
informacin en el MAC, IP y TCP / UDP cabeceras
ACL IPv6 que deben aplicarse a las interfaces para filtrar el trfico IPv6
Apoyo a la creacin dinmica o embargo de una ACL-auth default en un puerto que no se ha configurado
ACL estticos (compatible slo con interruptores de ejecutar la Base IP o servicios IP conjunto de caractersticas)
VACL registro para generar mensajes syslog para ACL neg paquetes IP (compatible slo con interruptores
ejecutar el conjunto de funciones IP Base o IP Services)
DHCP snooping para filtrar los mensajes DHCP no son de confianza entre los hosts no confiables y servidores DHCP
Guardia fuente IP para restringir el trfico en las interfaces nonrouted filtrando el trfico basndose en la DHCP
snooping base de datos y enlaces IP de origen
Inspeccin ARP dinmica para prevenir ataques maliciosos en el interruptor por no retransmitir ARP no vlida
solicitudes y respuestas a otros puertos de la misma VLAN
IEEE 802.1Q tnel para que los clientes con los usuarios en sitios remotos a travs de un proveedor de servicios
red puede mantener VLANs segregado de otros clientes y Layer 2 Tunneling Protocol para garantizar
que la red del cliente cuenta con informacin completa STP, CDP y VTP acerca de todos los usuarios
Capa funcin de bypass tnel 2 protocolo para proporcionar interoperabilidad con otros proveedores
IEEE 802.1x con acceso abierto para permitir que un host para acceder a la red antes de ser autenticado
Secuenciacin de autenticacin flexible para configurar el orden de los mtodos de autenticacin que un puerto
trata al autenticar un nuevo husped
IEEE 802.1x autenticacin basada en el puerto para evitar que los dispositivos no autorizados (clientes) obtengan
acceso a la red. Estas caractersticas son compatibles:
-Autenticacin multidominio (MDA) para permitir tanto un dispositivo de datos y un dispositivo de voz, tal como un
Telfono IP (Cisco o no-Cisco), para autenticar de forma independiente en el habilitado 802.1x IEEE-mismo
puerto del switch
-Asignacin de VLAN para restringir los usuarios IEEE 802.1X-autenticado a una VLAN especificada
-Apoyo a la asignacin de VLAN en un puerto configurado para el modo multi-auth. El servidor RADIUS
asigna una VLAN para el primer anfitrin para autenticar en el puerto, y los anfitriones posteriores utilizan el mismo
VLAN. Asignacin de VLAN de voz es compatible con un telfono IP (compatible slo con interruptores
ejecutar la Base IP o servicios IP conjunto de caractersticas).
-Puerto de seguridad para controlar el acceso a los puertos IEEE 802.1x
-VLAN de voz para permitir un telfono IP de Cisco para acceder a la VLAN de voz independientemente del autorizado
no tiene las credenciales para autenticar a travs de los procesos estndar IEEE 802.1x
1-12
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
CISP y la habilitacin de auto para autenticar un interruptor fuera de un armario de cableado como un suplicante a
otro interruptor.
-Mejora NEAT para controlar el acceso al puerto suplicante durante la autenticacin (con el apoyo
puerto.
-MAC por omisin de autenticacin para autorizar los clientes basndose en la direccin MAC del cliente.
-VLAN de voz crtica a fin de que cuando se habilita la autenticacin y el servidor de control de acceso es
no disponible, el trfico desde el host etiquetados con la VLAN de voz se pone en la voz configurado
VLAN para el puerto (con el apoyo slo en los interruptores de ejecutar la Base IP o el conjunto de caractersticas de
servicios IP)
-Voz conscientes IEEE 802.1x MAC y violacin por omisin de autenticacin (MAB) de seguridad para cerrar
abajo slo la VLAN de datos en un puerto cuando se produce una violacin de seguridad
Para obtener informacin sobre cmo configurar esta funcin, consulte la "Configuracin Inaccesible
Omisin de la autenticacin y Crtico de VLAN de voz "en la pgina 11-63.
-Autenticacin, autorizacin y contabilidad (AAA) por la poltica de Capa 2 NAC IP
la validacin de un husped si el servidor AAA no est disponible cuando se produce la validacin postura.
Para obtener informacin sobre esta funcin, consulte la Admisin a la Red de Control de la Configuracin del Software
Gua.
TACACS +, una caracterstica exclusiva de la gestin de seguridad de la red a travs de un servidor TACACS.
Comenzando con Cisco IOS Versin 12.2 (58) SE, el switch soporta TACACS + para IPv6. Para
informacin sobre cmo configurar esta funcin, consulte la seccin "Implementacin de ADSL para IPv6" captulo de la
Gua de configuracin de Cisco IOS XE IPv6, versin 2.
RADIUS para verificar la identidad de, permitir el acceso a, y el seguimiento de las acciones de los usuarios remotos
a travs de los servicios de AAA.
1-13
Captulo 1
Informacin general
Comenzando con Cisco IOS Versin 12.2 (58) SE, el switch soporta RADIUS para IPv6. Para
informacin sobre cmo configurar esta funcin, consulte la seccin "Implementacin de ADSL para IPv6" captulo de la
Gua de configuracin de Cisco IOS XE IPv6, versin 2.
Sistema de seguridad Kerberos para autenticar las solicitudes de recursos de la red mediante el uso de un tercero de
confianza
partido
Secure Socket Layer (SSL) Versin 3.0 para la autenticacin del servidor HTTP 1.1, cifrado,
y la integridad del mensaje y la autenticacin de cliente HTTP para permitir las comunicaciones HTTP seguras
IEEE 802.1x comprobacin de preparacin para determinar la disposicin de los anfitriones finales conectados antes de
configurar
IEEE 802.1x en el conmutador
Apoyo a la guardia de IP de origen en los hosts estticos
RADIUS Cambio de Autorizacin (CoA) para cambiar los atributos de un determinado perodo de sesiones despus de que se
autenticado. Cuando hay un cambio en la poltica para un grupo de usuarios o usuario en AAA, los administradores pueden
enviar los paquetes RADIUS CoA desde el servidor AAA, tales como Cisco Secure ACS para reiniciar
autenticacin, y se aplica a las nuevas polticas
IEEE 802.1x Distribucin de usuario para permitir implementaciones con mltiples VLAN (para un grupo de usuarios) a
mejorar la escalabilidad de la red por usuarios de equilibrio de carga entre diferentes VLAN. Autorizado
los usuarios se asignan a la VLAN menos poblada en el grupo, asignado por el servidor RADIUS
Soporte para VLAN crtico con la autenticacin de mltiples-anfitrin de manera que cuando un puerto est configurado para
multi-auth, y un servidor AAA se vuelve inalcanzable, el puerto est colocado en una VLAN crtico con el fin
todava permitir el acceso a los recursos crticos
Mejora la autenticacin web personalizable que permite la creacin de usuario definido- inicio de sesin, el xito,
fracaso y expirar pginas Web para la autenticacin web local
Apoyo a la red perimetral de acceso Topologa (NEAT) para cambiar el modo de host y puerto para aplicar una
configuracin del puerto serie en el puerto del switch autenticador
MAC moverse para permitir anfitriones (incluyendo los hosts conectados detrs de un telfono IP) para mover a travs de los
puertos
dentro del mismo conmutador, sin ninguna restriccin para permitir la movilidad. Con movimiento MAC, el switch
trata la reaparicin de la misma direccin MAC en otro puerto de la misma manera como un completamente
nueva direccin MAC
Apoyo a 3DES y AES con la versin 3 del protocolo simple de administracin de redes (SNMPv3).
Esta versin incluye el soporte para la 168 bits Triple Data Encryption Standard (3DES) y la de 128 bits,
192 bits y 256 bits Advanced Encryption Standard (AES) algoritmos de cifrado para SNMPv3
Soporte para el componente Security Group Tag (SCT) Exchange Protocol (SXP) de Cisco TrustSec,
una arquitectura de seguridad mediante la autenticacin, cifrado y control de acceso (compatible slo con
interruptores de ejecutar la Base IP o servicios IP conjunto de caractersticas)
SXP versin 2 con mensajes Syslog y SNMP apoyo para SXP (compatible slo con interruptores
ejecutar el conjunto de funciones IP Base o IP Services)
Soporte para IEEE 802.1AE Media Access Control de Seguridad (MACsec) para proporcionar la capa MAC
encriptacin a travs de redes cableadas utilizando mtodos fuera de banda para las claves de cifrado. La clave MACsec
Acuerdo (MKA) protocolo proporciona las claves de sesin y gestiona las claves de cifrado (slo compatibles
en los interruptores que ejecutan la Base IP o servicios IP conjunto de caractersticas).
MACsec capa de enlace de seguridad de switch a switch mediante Admisin de dispositivos Cisco TrustSec Red
Control (NDAC) y la Asociacin de Seguridad de Protocolo (SAP) de intercambio de claves (apoyado en el interruptor
puertos de enlace descendente o en puertos de enlace ascendente en el mdulo de servicios de red Catalyst 3750-X y 3560-X
ejecutar el conjunto de funciones IP Base o IP Services)
1-14
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
Tala inteligente para capturar y paquetes flujos de exportacin a un colector NetFlow. Esta versin es compatible con smart
registro para DHCP snooping o dinmicas violacines de inspeccin ARP, IP Source Guard neg trfico,
y el trfico ACL permitido o negado en la Capa 2 puertos (compatible slo con interruptores que ejecutan el IP
Base o IP Services conjunto de caractersticas)
QoS automtico (auto-QoS) para simplificar el despliegue de QoS caractersticas existentes mediante la clasificacin
trfico y configuracin de colas de salida
QoS en toda la pila para configurar QoS caractersticas para todos los conmutadores en una pila de switches en lugar de en
una
base-conmutador individual (slo Catalyst 3750-E Catalyst 3750-X interruptores)
Mejoras Auto-QoS que aaden clasificacin configuracin automtica del flujo de trfico de vdeo
dispositivos, tales como el Sistema de Telepresencia de Cisco y Cisco cmara de vigilancia.
Clasificacin
-IP tipo de servicio / cdigo de servicios diferenciados Point (IP ToS / DSCP) y IEEE 802.1p CoS
marcar las prioridades en funcin de cada puerto para proteger el rendimiento de misin crtica
aplicaciones
-IP ToS / DSCP y IEEE 802.1p CoS marcado basan en la clasificacin de paquetes basado en el flujo
Policiales
-Polticas sobre el puerto del switch Trfico-vigilancia de la gestin de la cantidad de ancho de banda del puerto
asociado con su propio nivel de puerto (de segundo nivel) mapa de la poltica. Cada mapa de la poltica de segundo nivel
puede
tener un controlador de polticas diferentes.
-Policial agregada para el trfico de la polica fluye de forma agregada para restringir aplicaciones especficas o
los flujos de trfico para, tipos predefinidos dosificadas
Fuera de Perfil
-Fuera del perfil de rebajas para los paquetes que exceden los lmites de utilizacin de ancho de banda
longitudes y precedencias de descarte que presente las distintas clasificaciones del trfico
-En forma de round robin (SRR) como el servicio de programacin para especificar la velocidad a la cual los paquetes son
enviado a la pila o el anillo interno (compartir es el nico modo soportado en colas de entrada)
1-15
Captulo 1
Informacin general
interfaz de salida (dar forma o compartido se apoya en las colas de salida). Colas de salida en forma de son
garantizado, pero limitado a la utilizacin de una parte del ancho de banda del puerto. Colas de salida compartidas son
tambin
garantizada una cuota configurada de ancho de banda, pero puede usar ms de la garanta en caso de otras colas
convertido en vaco y no utilice su cuota de ancho de banda.
Automtico de la calidad de servicio (QoS) de voz sobre IP (VoIP) de mejora para el puerto -basada confianza de DSCP
y la cola de prioridad para el trfico de salida
Confianza basada en el puerto IPv6 con dual IPv4 e IPv6 plantillas SDM (no soportado en interruptores que ejecutan
Base LAN conjunto de caractersticas)
Soporte de QoS para el trfico IPv6 completa (no se admite en los interruptores que ejecutan el conjunto de funciones LAN
Base)
A menos que se indique lo contrario, las funciones enumeradas en esta seccin no son compatibles con los interruptores que ejecutan
el LAN
Operacin Base ajustada. Algunas de las caractersticas sealadas estn disponibles slo en el conjunto de funciones IP Services.
HSRP Versin 1 (HSRPv1) y HSRP Versin 2 (HSRPv2) para redundancia de Capa 3 enrutador
Protocolos de enrutamiento IP para equilibrio de carga y para la construccin escalables, backbones enrutados:
-Versiones RIP 1 y 2
-HSRP para IPv6 (requiere el conjunto de funciones IP Base)
-OSPF completa (requiere el conjunto de caractersticas de servicios
IP)
Comenzando con Cisco IOS 12.2 (55) SE, el conjunto de funciones IP Base soporta OSPF para enrutado
acceso para permitir a los clientes a extender la capa 3 capacidades de enrutamiento para el acceso o el cableado del
armario.
-IGRP mejorado (EIGRP) (requiere el conjunto de caractersticas de servicios IP)
-Border Gateway Protocol (BGP) versin 4 (requiere que el conjunto de caractersticas de servicios IP)
Enrutamiento IP entre redes VLAN (enrutamiento entre VLAN) para el pleno de enrutamiento de Capa 3 entre dos o ms
VLAN, permitiendo que cada VLAN para mantener su propio dominio de enlace de datos autnoma
Flujos basada en polticas de enrutamiento (PBR) para la configuracin de las polticas definidas para
el trfico
Casos en dispositivos de borde de cliente para permitir un servicio mltiple de enrutamiento VPN / reenvo (multi-VRF)
proveedores de apoyo a mltiples redes privadas virtuales (VPN) y se superponen las direcciones IP entre
VPNs (requiere el conjunto de caractersticas de servicios IP)
VRF Lite para la configuracin de varios dominios de enrutamiento privadas para la virtualizacin de red y virtuales
redes multicast privadas
El apoyo a estos servicios IP, hacindolos conscientes VRF para que puedan operar en el enrutamiento mltiple
instancias: HSRP, URPF, ARP, SNMP, IP SLA, TFTP, FTP, syslog, traceroute y ping-
Repliegue de puente para la transmisin de trfico no IP entre dos o ms redes VLAN (requiere la IP
Servicios cuentan con set)
1-16
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
IP esttico para construir manualmente una tabla de enrutamiento de informacin de la ruta de la red. Comenzando con
Cisco IOS 12.2 (58) SE, la funcin LAN Base establecer tambin admite el enrutamiento IP esttico en SVI para
16 rutas configuradas por el usuario.
Protocolo de Control de Mensajes (ICMP) y ICMP Router Discovery Protocol (PDRI) para el uso de
anuncio de enrutador y mensajes de solicitud de enrutador para descubrir las direcciones de los routers en directo
redes dependientes.
Soporte para el protocolo PIM SSM para optimizar las aplicaciones de multidifusin, como el vdeo.
Multicast Fuente Discovery Protocol (MSDP) para la conexin de mltiples dominios PIM-SM (requiere
el conjunto de funciones IP Services).
Distancia Vector Multicast Routing Protocol (DVMRP) tnel para la interconexin de dos
redes multicast habilitado a travs de redes nonmulticast (requiere el conjunto de funciones IP Services).
Rel DHCP para reenviar difusiones UDP, incluyendo peticiones de direcciones IP, de los clientes DHCP.
DHCP para IPv6 rel, el cliente, la asignacin de direcciones del servidor y la delegacin de prefijo.
Capacidad de enrutamiento unicast IPv6 para reenviar el trfico IPv6 a travs de las interfaces configuradas (requiere
el conjunto de funciones IP Services).
IPv6 preferencia enrutador predeterminado (DRP) para la mejora de la capacidad de un anfitrin para seleccionar una
apropiada
router.
Soporte para IPv6 EIGRP, que utiliza el transporte IPv6, se comunica con sus compaeros de IPv6, y
anuncia rutas IPv6.
IP unicast reverse path forwarding (RPF unicast) para confirmar las direcciones IP de paquetes fuente.
Reenvo sin escalas (NSF) de sensibilizacin para habilitar el switch Layer 3 para continuar el envo de paquetes
desde un router vecino-NSF capaces cuando el procesador principal va (RP) est fallando y el
RP copia de seguridad se est apoderando, o cuando el RP primaria se vuelve a cargar manualmente por un software sin
interrupciones
actualizar (requiere el conjunto de funciones IP Services).
Enrutamiento NSF-capaz de OSPF y EIGRP que permite el cambio a reconstruir las tablas de enrutamiento basado en
informacin de los vecinos NSF-aware y NSF-capaces (slo Catalyst 3750-E Catalyst 3750-X
interruptores).
Modo NSF IETF para OSPFv2-OSPFv2 apoyo grcil reiniciar para IPv4 (conjunto de caractersticas Servicios IP
solamente).
Modo NSF IETF para OSPFv3-OSPFv3 apoyo grcil reiniciar para IPv6 (conjunto de caractersticas Servicios IP
solamente).
La capacidad de excluir a un puerto en una VLAN del-estado de la lnea SVI arriba o hacia abajo clculo.
Intermedio Sistema-a-Intermediate System (IS-IS) de enrutamiento admite los protocolos de enrutamiento dinmico para
Servicio de red sin conexin (CLNS) redes.
Apoyo a la virtual Protocolo de redundancia de enrutador (VRRP) para IPv4, que asigna dinmicamente
responsable de uno o ms enrutadores virtuales a los routers VRRP en una LAN, permitiendo mltiples
routers en un enlace multiacceso para utilizar la misma direccin IP virtual (admiten slo en los interruptores
ejecutar la Base IP o servicios IP conjunto de caractersticas).
1-17
Captulo 1
Informacin general
Soporte para IEEE 802.3at (PoE +), que aumenta la potencia disponible para los dispositivos con alimentacin de
15.4 W a 30 W por puerto.
Apoyo a la CDP con el consumo de energa. El dispositivo alimentado notifica el interruptor de la cantidad de
poder que est consumiendo.
Apoyo a la gestin inteligente de la energa de Cisco. El dispositivo con alimentacin y el interruptor de negociar
a travs de mensajes CDP poder de negociacin para un nivel de consumo de energa de acuerdo. La negociacin
permite un Cisco dispositivo alimentado de alta potencia para operar en el modo de consumo ms alto.
Deteccin automtica y el presupuesto de alimentacin; el interruptor mantiene un presupuesto de potencia, monitores y pistas
solicitudes de potencia, y subvenciones poder slo cuando est disponible.
Capacidad para monitorear el consumo de energa en tiempo real. Sobre una base per-puerto PoE, el switch detecta el
consumo total de energa, vigila el uso de la energa, e informa del uso de energa.
Tecnologa StackPower en Catalyst 3750-X interruptores de ejecutar el conjunto de funciones IP Base o Servicios IP.
Caractersticas de
supervisin
Cambie LEDs que proporcionan anclaje y cambiar de nivel de estado en Catalyst 3560-E Catalyst 3560-X
interruptores.
LED del interruptor que proporcionan tera, conmutacin, y se apilan a nivel de estado en Catalyst 3750-E Catalyst 3750-X
interruptores.
MAC trampas notificacin direccin y RADIUS que representan el seguimiento de los usuarios en una red mediante el
almacenamiento
las direcciones MAC que el switch ha aprendido o eliminado.
Switched Puerto Analyzer (SPAN) y SPAN remoto (RSPAN) para el seguimiento del trfico en cualquier puerto o
VLAN.
SPAN y apoyo RSPAN de Sistemas de Deteccin de Intrusos (IDS) para vigilar, se repelen, y el informe
violacines de seguridad de red.
Interruptor basado en flujos de Port Analyzer (FSPAN) para definir filtros para capturar el trfico para el anlisis.
Cuatro grupos (historial, estadsticas, alarmas y eventos) de agentes RMON embebidos para red
monitoreo y anlisis de trfico.
Facilidad de Syslog para los mensajes del sistema de registro de errores de autenticacin o autorizacin, de recursos
temas y eventos de tiempo de espera.
Capa 2 Ruta de seguimiento para identificar la ruta fsica que sigue un paquete desde un dispositivo fuente a un
dispositivo de destino.
Time Domain Reflector (TDR) para diagnosticar y resolver problemas de cableado en 10/100 y
Puertos Ethernet 10/100/1000 de cobre.
Interfaz de gestin de diagnstico mdulo SFP para monitorear el estado fsico o de funcionamiento de un SFP
mdulo.
1-18
OL-29703-01
Captulo 1
Informacin general
Caractersticas del software
El diagnstico en lnea para probar la funcionalidad del hardware del motor de supervisor, mdulos, y el interruptor
mientras el interruptor est conectado a una red activa.
A bordo registracin de falta (OBFL) para recoger informacin sobre el interruptor y las fuentes de alimentacin
conectado a l.
Objeto mejorado el seguimiento (EOT) para HSRP para determinar la proporcin de los ejrcitos en una LAN por
el seguimiento del estado de la tabla de enrutamiento o para activar la conmutacin por error router de reserva.
Embedded gestor de eventos (EEM) para el dispositivo y la gestin del sistema para supervisar los eventos clave del sistema
y luego actuar sobre ellos a travs de una pliza.
Apoyo a la EEM 3.2, que introduce detectores de eventos para el descubrimiento de vecinos, Identidad, y
MAC-address-table.
Acuerdos de Nivel de Servicio IP (IP SLA) apoyan para medir el rendimiento de la red mediante el uso activo
control del trfico.
IP SLA EOT utilizar la salida de los SLA IP operaciones de rastreo provocada por una accin como
latencia, jitter, prdida de paquetes o para una toma de control de conmutacin por error de espera router.
EOT y IP SLA EOT apoyo ruta esttica para identificar cuando una ruta esttica preconfigurada o DHCP
ruta va hacia abajo.
Apoyo a la incorporada en el Simulador de trfico utilizando operaciones de vdeo Cisco IOS IP SLA para generar
trfico sinttico para una variedad de aplicaciones de vdeo, tales como la telepresencia, IPTV y vdeo IP
cmara de vigilancia. Usted puede utilizar la herramienta del simulador:
-Para la evaluacin de la red antes de implementar aplicaciones que tienen rendimiento de la red estrictas
requisitos.
-Junto con el Mediatrace Cisco para la solucin de problemas post-despliegue para cualquier red relacionada
problemas de rendimiento.
El simulador de trfico incluye un programador sofisticado que permite al usuario ejecutar varias pruebas
simultneamente o de forma peridica y durante perodos de tiempo prolongados (compatible slo con interruptores de
funcionamiento
Base IP o servicios IP conjunto de caractersticas). Para obtener ms informacin, consulte la Configuracin de los SLA Cisco
IOS IP
Operaciones Vdeo documento en:
http://www.cisco.com/en/US/docs/ios-xml/ios/ipsla/configuration/12-2se/Configuring_IP_SLAs_
Video_Operations.html
NetFlow flexible para monitorear los flujos definidos por el usuario, recopilar estadsticas de flujo, realice por la corriente de la
polica
en puertos de enlace ascendente, y exportar las estadsticas de flujo a un dispositivo colector (apoyado slo en el Catalyst
3750-X y el mdulo de servicios de red 3560-X se ejecuta la Base IP o servicios IP conjunto de caractersticas)
Cisco Medianet para habilitar servicios inteligentes en la infraestructura de red para una amplia variedad de
aplicaciones de vdeo. Uno de los servicios de Medianet es el aprovisionamiento automtico de Cisco Digital Media
Los jugadores y las cmaras Cisco IP Video Vigilancia a travs de Smartports Auto.
Cisco Mediatrace y monitor de rendimiento
-Cisco Mediatrace solucionar problemas y aislar problemas de red o de aplicacin en los flujos de trfico. Es
ayuda a profundizar para analizar retardo en un sentido, la prdida de paquetes de un solo sentido, de un solo sentido de
fluctuacin de fase, y la conectividad
en las redes IPv4 que llevar el trfico de video. Esta herramienta se puede utilizar para cualquier vdeo basado en UDP o
flujo de trfico no-video (compatible slo con interruptores que ejecutan la operacin Base IP o servicios IP
establecido).
Para ms informacin:
http://www.cisco.com/en/US/docs/ios/media_monitoring/configuration/guide/15_1m_and_t/m
m_15_1m_and_t.html
1-19
Captulo 1
Informacin general
-Aplicacin Cisco Monitor de rendimiento para realizar el seguimiento del flujo de paquetes de vdeo y solucionar problemas
y aislar la degradacin del rendimiento en los flujos de trfico. Usted puede utilizar el monitor de rendimiento para
el vdeo y el trfico nonvideo (apoyado slo en los interruptores de ejecutar la Base IP o servicios IP
conjunto de caractersticas).
Para ms informacin:
http://www.cisco.com/en/US/docs/ios/media_monitoring/command/reference/mm_book.html
-Directrices de configuracin para Mediatrace y monitor de rendimiento:
Nota
Para obtener informacin acerca de cmo asignar una direccin IP mediante el programa de instalacin rpida basada en el
navegador, consulte
la Gua de introduccin. Para obtener informacin acerca de cmo asignar una direccin IP mediante el uso de la configuracin
basada en CLI
programa, consulte la gua de instalacin de hardware.
Si no configura el interruptor en absoluto, el interruptor funciona con esta configuracin predeterminada:
Interruptor por defecto la direccin IP, mscara de subred y la puerta de enlace predeterminada es 0.0.0.0. Para obtener ms
informacin, consulte
Captulo 4, "Asignacin de la direccin IP del conmutador y Puerta de enlace predeterminada" y Captulo 27, "Configuracin
de
Caractersticas
DHCP
y IP Source Guard.
" configurado. Para obtener ms informacin, consulte Captulo 4, "Asignacin del
Nombre
de dominio
predeterminado
no est
interruptor
Direccin IP y Puerta de enlace predeterminada ".
Cliente DHCP est habilitado, el servidor DHCP est activado (slo si el dispositivo acta como un servidor DHCP es
configurado y habilitado), y el agente de retransmisin DHCP est activado (slo si el dispositivo est actuando como un
Agente de retransmisin DHCP est configurado y est habilitada). Para obtener ms informacin, consulte Captulo 4,
"Asignacin
el interruptor de direccin IP y puerta de enlace predeterminada " y Captulo 27, "Configuracin de DHCP Caractersticas y IP
Source Guard ".
Pila interruptor est activado (no configurable). Para obtener ms informacin, consulte Captulo 5, "Interruptor General
Stacks ".
1-20
OL-29703-01
Captulo 1
Informacin general
Ajustes por defecto despus de la configuracin inicial del
Switch
Centro de mandos est deshabilitado. Para obtener ms informacin acerca de los clsteres de conmutacin, consulte Captulo
6, "Clustering
Interruptores, " y el Introduccin a Cisco Network Assistant, disponibles en Cisco.com.
No hay contraseas estn definidas. Para obtener ms informacin, consulte Captulo 7, "Administracin del
conmutador."
Nombre del sistema y rpida tiene por Switch. Para obtener ms informacin, consulte Captulo 7, "Administracin de la
Cambiar ".
NTP est activado. Para obtener ms informacin, consulte Captulo 7, "Administracin del conmutador."
DNS est habilitada. Para obtener ms informacin, consulte Captulo 7, "Administracin del conmutador."
TACACS + se desactiva. Para obtener ms informacin, consulte Captulo 10, "Configuracin de Switch-Based
Autenticacin ".
RADIUS se desactiva. Para obtener ms informacin, consulte Captulo 10, "Configuracin de Switch-Based
Autenticacin ".
El servidor HTTP estndar y Secure Socket Layer (SSL) de HTTPS del servidor estn habilitados. Para obtener ms
informacin, consulte Captulo 10, "Configuracin de la autenticacin Switch-base."
IEEE 802.1x est desactivado. Para obtener ms informacin, consulte Captulo 11, "Configuracin de IEEE 802.1x
Autenticacin basada en puertos ".
Caractersticas ".
-El control de flujo est desactivado. Para obtener ms informacin, consulte Captulo 15, "Configuracin de la
interfaz
Caractersticas ".
-PoE es autonegotiate. Para obtener ms informacin, consulte Captulo 15, "Configuracin de la interfaz
Caractersticas ".
VLANs
-VLAN predeterminada es VLAN 1 Para obtener ms informacin, consulte Captulo 16, "Configuracin de VLAN".
-Configuracin VLAN trunking es automtico dinmico (DTP). Para obtener ms informacin, consulte Captulo 16,
"Configuracin de VLAN".
-Encapsulacin del tronco es negociar. Para obtener ms informacin, consulte Captulo 16, "Configuracin de VLAN".
-Modo VTP es servidor. Para obtener ms informacin, consulte Captulo 17, "Configuracin de VTP."
-Versin VTP es la Versin 1 Para obtener ms informacin, consulte Captulo 17, "Configuracin de VTP."
-No hay VLANs privadas estn configuradas. Para obtener ms informacin, consulte Captulo 19, "Configuracin Privada
VLAN ".
-VLAN de voz est desactivada. Para obtener ms informacin, consulte Captulo 18, "Configuracin de VLAN de voz."
IEEE 802.1Q tunneling y Layer 2 Tunneling Protocol estn desactivadas. Para obtener ms informacin, consulte
Captulo 20, "Configuracin de IEEE 802.1Q y Capa 2 Tunneling Protocol."
STP, TSVP + est activado en VLAN 1 Para obtener ms informacin, consulte Captulo 21, "Configuracin STP."
MSTP est deshabilitado. Para obtener ms informacin, consulte Captulo 22, "Configuracin de
MSTP."
Opcional caractersticas de spanning-tree son discapacitados. Para obtener ms informacin, consulte Captulo 23,
"Configuracin de
Caractersticas opcionales Spanning-Tree. "
1-21
Captulo 1
Informacin general
Enlaces Flex no estn configurados. Para obtener ms informacin, consulte Captulo 26, "Configuracin de Enlaces Flex y
la Direccin MAC-Tabla Move Funcin de actualizacin ".
DHCP snooping est desactivada. La opcin de informacin de DHCP snooping est habilitada. Para obtener ms
informacin, consulte Captulo 27, "Configuracin de DHCP Caractersticas y IP Source Guard."
IP Source Guard est desactivado. Para obtener ms informacin, consulte Captulo 27, "Funciones de configuracin de
DHCP
e IP Source Guard ".
Inspeccin ARP dinmica est desactivado en todas las VLAN. Para obtener ms informacin, consulte Captulo 28,
"Configuracin Dinmica ARP Inspection."
IGMP se habilita. No hay filtros IGMP se aplican. Para obtener ms informacin, consulte Captulo 29,
"Configuracin IGMP Snooping y MVR."
Ajuste de lmite IGMP es negar. Para obtener ms informacin, consulte Captulo 29, "Configuracin de IGMP
Curioseando y MVR. "
La funcin de interrogador IGMP IGMP est desactivado. Para obtener ms informacin, consulte Captulo 29, "Configuracin
de
IGMP Snooping y MVR. "
MVR est deshabilitado. Para obtener ms informacin, consulte Captulo 29, "Configuracin de la inspeccin de IGMP y
MVR."
Trfico basada en puerto
-Broadcast, Multicast, y control de tormentas de unidifusin est deshabilitado. Para obtener ms informacin,
consulte
Captulo 32, "Configuracin de Control de Trfico basado en puertos."
-No puertos protegidos se definen. Para obtener ms informacin, consulte Captulo 32, "Configuracin de Port-Based
Based
Control de Trfico ".
CDP est habilitado. Para obtener ms informacin, consulte Captulo 31, "Configuracin de CDP."
UDLD est deshabilitado. Para obtener ms informacin, consulte Captulo 34, "Configuracin de
UDLD."
SPAN y RSPAN estn desactivadas. Para obtener ms informacin, consulte Captulo 35, "Configuracin de SPAN y
RSPAN ".
RMON est deshabilitado. Para obtener ms informacin, consulte Captulo 36, "Configuracin de
RMON."
Mensajes Syslog se activan y aparecen en la consola. Para obtener ms informacin, consulte Captulo 37,
"Configuracin del mensaje Sistema de Registro e inicio de sesin inteligente."
SNMP est activada (versin 1). Para obtener ms informacin, consulte Captulo 38, "Configuracin de SNMP."
No hay ACL estn configuradas. Para obtener ms informacin, consulte Captulo 40, "Configuracin de la seguridad de red
con ACL ".
QoS est deshabilitado. Para obtener ms informacin, consulte Captulo 41, "Configuracin de
QoS."
No hay EtherChannels estn configurados. Para obtener ms informacin, consulte Captulo 43, "Configuracin
de
EtherChannels y Link-State Tracking ".
Enrutamiento unicast IP est deshabilitado. Para obtener ms informacin, consulte Captulo 45, "Configuracin de IP
Unicast
Enrutamiento ".
No hay grupos HSRP se configuran. Para obtener ms informacin, consulte Captulo 48, "Configuracin HSRP y
VRRP ".
Enrutamiento multicast IP est deshabilitado en todas las interfaces. Para obtener ms informacin, consulte
Captulo 53,
"Configuracin de IP Multicast Routing".
1-22
OL-29703-01
Captulo 1
Informacin general
Ejemplos de configuracin de red
MSDP est deshabilitado. Para obtener ms informacin, consulte Captulo 54, "Configuracin de
MSDP."
Puente de retorno no est configurado. Para obtener ms informacin, consulte Captulo 55, "Configuracin de repliegue
Tender un puente ".
Pequeas y Medianas Red Usando Catalyst 3750-E y 3560-E Catalyst 3750-X y 3560-X
Interruptores, pgina 1-30
Gran red utilizando Catalyst 3750-E y 3560-E Catalyst 3750-X y 3560-X Switches,
pgina 1-32
Multidwelling red utilizando Catalyst 3750-E Catalyst 3750-X Switches, pgina 1-35
Demandas de red
Crear segmentos de red ms pequeos para que un menor nmero de usuarios comparten el ancho de
banda, y el uso
VLAN y subredes IP para colocar los recursos de red en la misma red lgica
como los usuarios que acceden a esos recursos ms.
Use la operacin full-duplex entre el switch y sus estaciones de trabajo conectadas.
Conecte mundial de recursos, tales como servidores y routers a los que los usuarios de la red
requerir puertos igual acceso directamente a la alta velocidad de conmutacin para que tengan
su propio segmento de alta velocidad.
Ancho de banda por s sola no es la nica consideracin en el diseo de su red. A medida que su trfico de red
perfiles evolucionan, consideran la prestacin de servicios de red que pueden soportar aplicaciones de voz y datos
integracin, integracin multimedia, priorizacin de aplicaciones y seguridad. Tabla 1-2 describe algunas
demandas de la red y cmo se puede cumplir con ellos.
1-23
Captulo 1
Informacin general
Tabla 1-2
Demandas de red
Uso IGMP snooping para multimedia de manera eficiente hacia adelante y el trfico de
multidifusin.
Utilice otros mecanismos de calidad de servicio, tales como la clasificacin de paquetes, el marcado, la
programacin,
y evitar la congestin de clasificar el trfico con el nivel de prioridad adecuado,
proporcionando as la mxima flexibilidad y el apoyo a misiones crticas, unicast,
y multicast, y multimedia.
Utilice opcional de enrutamiento multicast IP para disear redes ms adecuados para multicast
trfico.
Utilice MVR para enviar continuamente secuencias de multidifusin en una VLAN de multidifusin sino
a
aislar las corrientes de abonado VLANs por razones de ancho de banda y de seguridad.
Utilice pilas de conmutacin, donde todos los miembros de la pila son conmutadores activos admisibles
en el supuesto de
Fallo en el interruptor activo. Todos los miembros de la pila han sincronizado copias de los salvados
y los archivos de configuracin de la pila de switches.
Utilice EtherChannels en toda la pila para proporcionar enlaces redundantes a travs del interruptor
apilar.
Utilice Protocolo Hot Standby Router (HSRP) para el interruptor de comandos de grupo y el router
redundancia.
Utilice troncos VLAN, UplinkFast cruzada pila y BackboneFast para el trfico de carga
mantener el equilibrio sobre los puertos de enlace ascendente para que el puerto de enlace ascendente con
un coste de puerto relativo menor
se selecciona para transportar el trfico de VLAN.
Use QoS para priorizar aplicaciones tales como telefona IP durante la congestin y para
ayudar a controlar tanto retraso y jitter dentro de la red.
Use interruptores que soportan al menos dos colas por puerto para dar prioridad de voz y datos
trfico, ya sea de alta o de baja prioridad, basada en IEEE 802.1p / Q. El conmutador
compatible con al menos cuatro colas por puerto.
Utilizar ID de VLAN de voz (VVIDs) para proporcionar VLANs separadas para el trfico de voz.
Una creciente demanda de uso de uso existente Catalyst Ethernet de largo alcance (LRE) cambia para proporcionar hasta 15 Mb de IP
sobre la conectividad de la infraestructura existente, como lines.infrastructure telefnica existente para el transporte de datos y
voz de una casa u oficina para la
NotaLRE es la tecnologa utilizada en el switch Catalyst 2950 LRE. Consulte la
Internet o una intranet en mayor
documentacin establece especfica de este parmetro para informacin LRE.
velocidades
Puede utilizar los interruptores y cambiar las pilas para crear lo siguiente:
Armario de cableado Rentable (Figura 1-1): una rentable manera de conectar muchos usuarios al cableado
armario es tener una pila de conmutadores de hasta nueve Catalyst 3750-E Catalyst 3750-X interruptores. Para preservar
cambiar la conectividad si uno conmutador de la pila falla, conectar los interruptores como se recomienda en el
gua de instalacin de hardware, y permitir ya sea cruzada pila EtherChannel o UplinkFast cruzada pila.
Usted puede tener conexiones de enlace ascendente redundantes, utilizando mdulos SFP en la pila de switches Gigabit a un
interruptor de columna vertebral, tal como un catalizador 4500, Catalyst 3750-X, Catalyst 3750-E, o catalizador
Interruptor 3560E-12D. Tambin puede crear rutas de respaldo mediante el uso de enlaces Gigabit o EtherChannel. Si uno
de las conexiones redundantes falla, el otro puede servir como una ruta de respaldo. Si el switch Gigabit es
-cluster capaz, puede configurarlo y la pila de switches como un centro de mandos para la gestin a travs de
una nica direccin IP. El conmutador Gigabit puede ser conectado a un servidor a travs de un Gigabit 1000BASE-T
conexin.
1-24
OL-29703-01
Captulo 1
Informacin general
Ejemplos de configuracin de red
Figura 1-1
Gigabit
servidor
Capa 2
StackWise Plus
pila de switches
200851
1-25
Captulo 1
Informacin general
Armario de cableado de alto rendimiento (Figura 1-2): para acceso de alta velocidad a los recursos de red, puede
utilizar Catalyst 3750-E Catalyst 3750-X interruptores y cambiar las pilas en la capa de acceso para proporcionar
Gigabit Ethernet de acceso al escritorio. Para evitar la congestin, utilice QoS DSCP prioridades en
estos interruptores. Para el reenvo IP de alta velocidad en la capa de distribucin, conectar los conmutadores de la
capa de acceso a un Gigabit de mltiples capas cambiar en la columna vertebral, como un switch Gigabit Catalyst 4500
o switch Gigabit Catalyst 6500.
(GTD) acceso rentable-Gigabit hasta el escritorio para grupos de trabajo de alto rendimiento
(Figura 1-3): para acceso de alta velocidad a los recursos de red, puede utilizar el Catalyst 3560-E Catalizador
3560-X switches de la capa de acceso para proveer Gigabit Ethernet en el escritorio. Para evitar
congestin, utilice QoS DSCP prioridades en estos interruptores. Para la alta velocidad de reenvo IP en
la capa de distribucin, conectar los switches de la capa de acceso a un switch Gigabit con enrutamiento
capacidad oa un router.
La primera es la ilustracin de un aislado grupo de trabajo de alto rendimiento, donde el Catalyst 3560-E
Catalyst 3560-X switches estn conectados a Catalyst 3750-E Catalyst 3750-X interruptores en el
capa de distribucin. El segundo ejemplo est de un grupo de trabajo de alto rendimiento en la sucursal,
Cuando el catalizador 3560-E Catalyst 3560-X interruptores estn conectados a un enrutador en la distribucin
capa.
Cada interruptor en esta configuracin proporciona a los usuarios un dedicado 1 Gb / s de conexin a la red
recursos. El uso de mdulos SFP tambin proporciona flexibilidad en las opciones de medios de comunicacin y la distancia
a travs de
las conexiones de fibra ptica.
Figura 1-2
200852
1-26
OL-29703-01
Captulo 1
Informacin general
Ejemplos de configuracin de red
Figura 1-3
200853
WAN
Cisco 2600
enrutador
Access-capa
independiente
interruptores
200854
1-27
Captulo 1
Informacin general
Backbone Gigabit redundante (Figura 1-4) -Uso HSRP, puede crear rutas de respaldo entre los dos
Catalyst 3750-E Catalyst 3750-X Gigabit cambia para mejorar la confiabilidad de la red y
balanceo de carga para diferentes VLAN y subredes. Usando HSRP tambin ofrece la red ms rpida
convergencia si se produce algn fallo en la red. Puede conectar los switches Catalyst, de nuevo en una estrella
configuracin, a dos switches Catalyst 3750-X backbone Catalyst 3750-E. Si uno de la columna vertebral
interruptores de falla, el segundo switch backbone preserva la conectividad entre los interruptores y de red
recursos.
Figura 1-4
-Stacking capaz
interruptor
-Stacking capaz
interruptor
1 Gb / s HSRP
200855
Switches Catalyst
Agregacin Server (Figura 1-5) y clster de servidores Linux (Figura 1-6): se pueden utilizar la
Catalyst 3560-E Catalyst 3560-X interruptores y Catalyst 3750-E-slo Catalizador de slo 3750-X interruptor
pilas para interconectar grupos de servidores, la centralizacin de la seguridad fsica y la administracin de su
red. Para el reenvo IP de alta velocidad en la capa de distribucin, conecte los interruptores en el acceso
capa a interruptores de mltiples capas con la capacidad de enrutamiento. Las interconexiones Gigabit minimizar la latencia
en el flujo de datos.
QoS y vigilancia en los conmutadores proporcionan un tratamiento preferencial para determinados flujos de datos. Ellos
segmentar el trfico fluye en diferentes caminos para su procesamiento. Las caractersticas de seguridad en el interruptor
aseguran
la manipulacin rpida de los paquetes.
La tolerancia a fallos de los bastidores del servidor al ncleo se logra a travs dual homing de servidores
conectado a las pilas de interruptores duales o los interruptores, los cuales tienen EtherChannels Gigabit redundantes y
EtherChannels en toda la pila.
Usando doble mdulo SFP enlaces ascendentes desde los interruptores ofrece enlaces ascendentes redundantes al ncleo de la
red.
El uso de mdulos SFP proporciona flexibilidad en las opciones de medios de comunicacin y la distancia a travs de fibra
ptica
conexiones.
Las distintas longitudes de cable de pila disponibles, que van desde 0,5 metros a 3 metros, y permiten que el
conexiones con el interruptor de pilas a travs de mltiples bastidores de servidor, para la agregacin pila mltiple.
1-28
OL-29703-01
Captulo 1
Informacin general
Ejemplos de configuracin de red
Figura 1-5
Agrupamiento de Servidor
Campus
ncleo
Catalizador
6500 interruptores
Si
Si
Si
Si
Si
Si
Catalyst 4500
switches multicapa
StackWise Plus
pilas de conmutacin
86931
Bastidores de servidor
Campus
ncleo
Catalizador
6500 interruptores
StackWise
pilas de conmutacin
Access-capa
independiente
interruptores
Bastidores de servidor 200857
1-29
Captulo 1
Informacin general
Figura 1-6
Campus
ncleo
EtherChannel
a travs de enlaces
ascendentes
StackWise Plus
pila de switches
Cluster Linux
prctico en paralelo
procesamiento
granja de servidores
De 32 Gb / s anillo
StackWise Plus
pila de switches
200858
1-30
OL-29703-01
Captulo 1
Informacin general
Ejemplos de configuracin de red
proporcionando enrutamiento entre VLAN. Listas de control de acceso de VLAN (VLAN) Mapas sobre la pila de conmutadores o
switch
proporcionar seguridad intra-VLAN y evitar que los usuarios no autorizados accedan a reas crticas de la
red.
Adems de enrutamiento entre VLAN, los switches multicapa proporcionan mecanismos de calidad de servicio, como DSCP
prioridades para dar prioridad a los diferentes tipos de trfico de red y para ofrecer trfico de alta prioridad. Si
la congestin se produce, QoS descarta el trfico de prioridad baja para permitir la entrega de trfico de alta prioridad.
Por norma previa y dispositivos con IEEE 802.3af conectados a switches Catalyst PoE,
IEEE 802.1p / Q QoS da el trfico de voz reenvo y grado sobre el trfico de datos.
Puertos switch Catalyst PoE detectan automticamente cualquier norma previa Cisco y IEEE 802.3af-compatible
dispositivos alimentados que estn conectados. Cada puerto del switch PoE ofrece 15,4 W de potencia por puerto. El
dispositivo de potencia, como por ejemplo un telfono IP de Cisco, puede recibir alimentacin redundante cuando est tambin
conectado a una
Fuente de alimentacin de CA. Desarrollado dispositivos no conectados a switches Catalyst de PoE debe estar conectado a la CA
fuentes de alimentacin para recibir el poder.
Cisco CallManager controla el procesamiento de llamadas, enrutamiento y caractersticas del telfono IP de Cisco y la
configuracin.
Los usuarios con estaciones de trabajo que ejecutan el software Cisco SoftPhone pueden colocar, recibir y controlar las llamadas de
sus PC. El uso de telfonos IP de Cisco, software Cisco CallManager y Cisco integra software SoftPhone
telefona y redes IP, y la red IP soporta tanto voz como datos.
Con la multicapa interruptores que permiten el enrutamiento entre VLAN y otros servicios de red, los routers
centrarse en los servicios de firewall, traduccin de direcciones de red de servicios (NAT), voz sobre IP (VoIP)
servicios y WAN y acceso a Internet.
Figura 1-7
Internet
Cisco 2600 o
3700 routers
StackWise Plus
pila de switches
Gigabit
servidores
IP
IP
Cisco IP
telfonos
Estaciones de Trabajo
funcionamiento
Cisco SoftPhone
software
Aironet inalmbrico
puntos de acceso
200859
1-31
Captulo 1
Informacin general
Figura 1-8
Internet
Cisco 2600 o
3700 routers
Gigabit
servidores
Standalone
interruptores
IP
IP
Cisco IP
telfonos
200860
Estaciones de Trabajo
funcionamiento
Cisco SoftPhone
software
Aironet inalmbrico
puntos de acceso
1-32
OL-29703-01
Captulo 1
Informacin general
Ejemplos de configuracin de red
Figura 1-9
atalyst 3750-E Catalyst 3750-X pilas de switches en armarios de cableado en una configuracin Backbone
WAN
Catalyst 6500
switches multicapa
Hardware Mixta
pila, incluyendo el
Catalyst 3750G Integrada
Controlador de LAN inalmbrica
Hardware Mixta
pila, incluyendo el
Catalyst 3750G Integrada
Controlador de LAN inalmbrica
IEEE 802.3af-compatible
dispositivo con alimentacin
(Tales como una cmara web)
Aironet inalmbrico
puntos de acceso
IEEE 802.3af-compatible
dispositivo con alimentacin
(Tales como una cmara web)
IP
IP
Aironet inalmbrico
puntos de acceso
IP
IP
IP
IP
Telfonos IP de Cisco
con estaciones de trabajo
Telfonos IP de Cisco
con estaciones de trabajo
200861
1-33
Captulo 1
Informacin general
Figura 1-10
Catalyst 3560-E Catalyst 3560-X Interruptores en armarios de cableado en una configuracin de red troncal
WAN
Catalyst 6500
switches multicapa
Standalone
interruptores
Standalone
interruptores
IEEE 802.3af-compatible
dispositivo con alimentacin
(Tales como una cmara web)
Aironet inalmbrico
puntos de acceso
IEEE 802.3af-compatible
dispositivo con alimentacin
(Tales como una cmara web)
IP
IP
Aironet inalmbrico
puntos de acceso
IP
IP
IP
IP
Telfonos IP de Cisco
con estaciones de trabajo
200862
Telfonos IP de Cisco
con estaciones de trabajo
1-34
OL-29703-01
Captulo 1
Informacin general
Ejemplos de configuracin de red
1-35
Captulo 1
Informacin general
Figura 1-11
Servicio
Proveedor
POP
Cisco 12000
Encaminadores de conmutacin
Gigabit
Catalyst 6500
interruptores
Si
Si
Mini-POP
MAN Gigabit
StackWise Plus
pila de switches
Si
Residencial
ubicacin
Standalone
interruptores
Decodificador
Residencial
puerta de enlace (hub)
Decodificador
TV
200863
PC
TV
1-36
OL-29703-01
Captulo 1
Informacin general
Dnde ir a continuacin
Figura 1-12
Capa de acceso
Capa de agregacin
8 Gb / s
CWDM
OADM
mdulos
CWDM
OADM
mdulos
Ocho
1 Gb / s
conexiones
Catalyst 4500
multicapa
interruptores
95750
Switches Catalyst
Dnde ir a
continuacin
Antes de configurar el switch, revise estas secciones para obtener informacin de inicio:
1-37
Captulo 1
Informacin general
Dnde ir a continuacin
1-38
OL-29703-01
E R CH A P T
La comprensin no hay por defecto y las formas de los comandos, pgina 2-4
2-1
Captulo 2
Tabla 2-1 describe los principales modos de comando, cmo acceder a cada una de ellas, el indicador que aparece en ese modo,
y la forma de salir del modo. Los ejemplos de la tabla utilizan el nombre de host Switch.
Tabla 2-1
Modo
Mtodo de acceso
Prompt
EXEC usuario
Mtodo de salida
Sistema de visualizacin
informacin.
EXEC privilegiado
Configuracin global
Switch (config) #
Mientras que en privilegiada
Modo EXEC, introduzca
la configurar
de comandos.
Interfaz
configuracin
Configuracin de la lnea
Para volver a la
EXEC privilegiado
modo, pulse Ctrl-Z o
entrar fin.
2-2
OL-29703-01
Captulo 2
Para obtener informacin ms detallada sobre los modos de comando, consulte la gua de referencia de comandos para esta versin.
Sistema de ayuda
Usted puede escribir un signo de interrogacin (?) En el smbolo del sistema para que muestre una lista de comandos disponibles
para cada
modo de comando. Tambin puede obtener una lista de palabras clave asociadas y argumentos para cualquier comando, como
se muestra en la Tabla 2-2.
Tabla 2-2
Ayuda Resumen
Comando
Propsito
ayudar
Obtener una breve descripcin del sistema de ayuda en cualquier modo de comando.
abreviado-entrada de comandos?
Obtenga una lista de los comandos que comienzan con una cadena de caracteres.
Por ejemplo:
Switch # di?
dir desactivar la desconexin
comando ?
2-3
Captulo 2
Mensaje de error
Significado
% Comando ambiguo:
"Espectculo con"
% Comando incompleto.
No ha introducido todas las palabras clave o volver a introducir el comando seguido de un signo de interrogacin (?)
valores requeridos por este command.with un espacio entre el comando y la cuestin
marca.
Las palabras claves posibles que se pueden introducir con el
aparece comando.
2-4
OL-29703-01
Captulo 2
comando se introdujo, y el cdigo de retorno analizador para el comando. Esta caracterstica incluye un mecanismo
para la notificacin asncrona de aplicaciones registradas siempre que cambie la configuracin. Usted puede
elegir que las notificaciones enviadas a syslog.
Para obtener ms informacin, consulte la seccin "Cambiar Configuracin de notificacin y registro" de la Cisco
Gua de configuracin Fundamentos de configuracin IOS, versin 12.4:
http://www.cisco.com/en/US/docs/ios/fundamentals/configuration/guide/cf_config-logger_ps6350_TS
D_Products_Configuration_Guide_Chapter.html
Nota
[tamao nmero-de-lneas]
El rango es de 0 a 256.
Comenzando en el modo de configuracin de lnea, introduzca este comando para configurar el nmero de lneas de comando
los registros de conmutacin para todas las sesiones en una lnea particular:
Switch (config-line) # historia
[tamao nmero-de-lneas]
El rango es de 0 a 256.
2-5
Captulo 2
Comandos Recordando
Para recordar los comandos de la memoria histrica, realice una de las acciones enumeradas en Tabla 2-4. Estas acciones
son opcionales.
Tabla 2-4
Comandos Recordando
Accin1
Resultado
Volver a los comandos ms recientes en la memoria histrica despus de recordar los comandos
con Ctrl-P o la tecla de flecha hacia arriba. Repita la secuencia de teclas para recordar sucesivamente
comandos ms recientes.
show history
En el modo EXEC privilegiado, una lista de los ltimos comandos que acaba de
introducido. El nmero de comandos que aparecen es controlado por el ajuste de la
historia de terminal comando de configuracin global y el historia configuracin de la lnea
de comandos.
1. Las teclas de flecha funcionan slo en terminales compatibles con ANSI como VT100s.
Utilizando Funciones de
edicin
En esta seccin se describen las funciones de edicin que pueden ayudarle a manipular la lnea de comandos. Contiene
estas secciones:
2-6
OL-29703-01
Captulo 2
Para volver a activar el modo de edicin mejorada de la actual sesin de terminal, ingrese el siguiente comando en
el modo EXEC privilegiado:
Switch # edicin de la terminal
Para volver a configurar una lnea especfica para que el modo de edicin mejorada, introduzca este comando en la configuracin de
la lnea
modo:
Switch (config-line) # edicin
Capacidad
Keystroke1
Propsito
Presione Ctrl-A.
Presione Ctrl-E.
Presione Esc B.
Presione Esc F.
Presione Ctrl-T.
Presione Ctrl-D.
Presione Ctrl-K.
Presione -Ctrl W.
Presione Esc D.
Presione Esc C.
Capitalizar en el cursor.
2-7
Captulo 2
Tabla 2-5
Capacidad
Keystroke1
Propsito
Presione Esc L.
Presione Esc U.
1. Las teclas de flecha funcionan slo en terminales compatibles con ANSI como VT100s.
Nota
Las teclas de flecha funcionan slo en terminales compatibles con ANSI como VT100s.
En este ejemplo, la access-list entrada de comandos de configuracin global se extiende ms all de una lnea. Cuando el
cursor primero llega al final de la lnea, la lnea se desplaza diez espacios a la izquierda y vuelve a mostrar. El dlar
signo ($) muestra que la lnea se ha desplazado a la izquierda. Cada vez que el cursor llega al final de la lnea,
la lnea se desplaza de nuevo diez espacios a la izquierda.
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
#
#
#
#
2-8
OL-29703-01
Captulo 2
Despus de completar la entrada, pulse Ctrl-A para comprobar la sintaxis completa antes de pulsar el Volver clave
para ejecutar el comando. El signo de dlar ($) aparece al final de la lnea para mostrar que la lnea ha sido
desplazado a la derecha:
Switch (config) # access-list 101 tcp permiso de 131.108.2.5 255.255.255.0 131.108.1 $
El software asume que tiene una pantalla de terminal que es de 80 columnas de ancho. Si usted tiene una anchura que no sea
que, utilice el ancho de la terminal comando privilegiado EXEC para ajustar el ancho de la terminal.
Use el ajuste de lnea con la funcin de historial de comandos para recuperar y modificar comando complejo anterior
entradas. Para obtener informacin sobre las entradas de mando recordando anteriores, consulte la "Edicin de comandos a travs de
Pulsaciones seccin "en la pgina 2-7.
Acceso a la CLI
Puede acceder a la CLI a travs de una conexin de consola, a travs de Telnet, o utilizando el navegador.
Usted maneja la pila de switches y las interfaces miembro pila a travs del maestro de la pila. No se puede
gestionar miembros de la pila sobre una base interruptor individual. Puede conectarse a la maestra de la pila a travs de la
puerto de consola o el puerto de administracin Ethernet de uno o ms miembros de la pila. Tenga cuidado con el uso de
varias sesiones de la CLI a la maestra de la pila. Comandos que entrar en una sesin no se muestran en el
otras sesiones. Por lo tanto, es posible perder la pista de la sesin de la que ha introducido comandos.
Nota
2-9
Captulo 2
Acceso a la CLI
Para depurar un miembro de la pila especfica, se puede acceder a l desde el maestro de la pila mediante el uso de la sesin
pila-miembro de nmero comando EXEC privilegiado. El nmero de miembro de la pila se aade al sistema de
prompt. Por ejemplo, Switch-2 # es el smbolo en el modo EXEC privilegiado para miembro de la pila 2, y donde
el smbolo del sistema para el maestro de la pila es Cambiar. Slo el espectculo y debug comandos estn disponibles en
una sesin de CLI a un miembro de la pila especfica.
Conecte el puerto de consola del conmutador a una estacin de administracin o de mdem de acceso telefnico, o conectar la
Ethernet
Puerto de administracin a un PC. Para obtener informacin sobre cmo conectarse a la consola de gestin o Ethernet
puerto, consulte la gua de instalacin del hardware del switch.
Utilice cualquier Telnet TCP / IP o el paquete cifrado Secure Shell (SSH) a partir de una gestin remota
estacin. El interruptor debe tener conectividad de red con el cliente Telnet o SSH, y el conmutador
debe tener un permitir configurar la contrasea secreta.
Para obtener informacin sobre la configuracin del interruptor para el acceso Telnet, consulte la "Establecimiento de una
contrasea Telnet
para una seccin terminal de lnea "en la pgina 10-6. El switch soporta hasta 16 Telnet simultneas
sesiones. Los cambios realizados por un usuario Telnet se reflejan en todas las dems sesiones de Telnet.
Para obtener informacin sobre la configuracin del interruptor para SSH, consulte el "Configuracin del conmutador de
Secure
Seccin de Shell "en la pgina 10-44. El switch soporta hasta cinco sesiones SSH simultneas seguras.
Despus de conectarse a travs del puerto de consola, a travs del puerto de gestin Ethernet, a travs de un Telnet
sesin oa travs de una sesin SSH, el modo EXEC de usuario aparece en la estacin de administracin.
2-10
OL-29703-01
E R CH A P T
Nota
En el modo independiente, el motor de configuracin admite un servicio de directorio integrado. En este modo,
no se requiere directorio externo u otro almacn de datos. En el modo de servidor, los soportes del motor Configuracin
el uso de un directorio externo definido por el usuario.
3-1
Captulo 3
Cmo entender el software Cisco Configuration Engine
Figura 3-1
El servicio de datos
directorio
Configuracin del servidor
Servicio de sucesos
Basado en la Web
interfaz de usuario
141327
Orden de entrada
gestin de configuracin
Lo que usted debe saber sobre el sistema nervioso central y los ID de dispositivo de nombres de host,
la pgina 3-3
Servicio de configuracin
El Servicio de configuracin es el componente principal del motor de configuracin de Cisco. Consiste en una
servidor de configuracin que trabaja con agentes Cisco IOS del SNC en el interruptor. El Servicio de configuracin
ofrece configuraciones de dispositivos y servicios para el switch para la configuracin inicial y la masa
reconfiguracin por grupos lgicos. Interruptores reciben su configuracin inicial de la configuracin
Servicio cuando se inician en la red por primera vez.
El Servicio de configuracin utiliza el servicio de sucesos CNS para enviar y recibir eventos de cambio de configuracin
y para enviar notificaciones de xito y fracaso.
El servidor de configuracin es un servidor web que utiliza las plantillas de configuracin y el especfico de dispositivo
informacin de configuracin almacenada en el (modo independiente) incrustado o directorio remoto (modo de servidor).
Plantillas de configuracin son archivos de texto que contienen informacin de configuracin esttica en forma de CLI
los comandos. En las plantillas, las variables se especifican mediante el uso de Protocolo ligero de acceso a directorios
(LDAP) URL que hacen referencia a la informacin de configuracin especfica del dispositivo se almacena en un directorio.
El agente de Cisco IOS se puede realizar una comprobacin de sintaxis en los archivos de configuracin recibidos y publicar eventos
a
mostrar el xito o el fracaso de la comprobacin de sintaxis. El agente de configuracin puede aplicar ya sea configuraciones
inmediatamente o retrasar la aplicacin hasta la recepcin de un evento de sincronizacin de la configuracin
servidor.
3-2
OL-29703-01
Captulo 3
Servicio de
Eventos
NameSpace Mapper
El motor de configuracin incluye el Mapper NameSpace (NSM), que ofrece un servicio de bsqueda para
gestin de grupos lgicos de dispositivos basados en la aplicacin, dispositivo o ID de grupo, y el evento.
Dispositivos Cisco IOS slo reconocen evento Subject nombres que coinciden con los configurados en Cisco IOS
software; por ejemplo, cisco.cns.config.load. Usted puede utilizar el servicio de mapas de espacio de nombres para designar
eventos mediante el uso de cualquier convencin de nomenclatura deseada. Cuando haya rellenado su almacn de datos con su
nombres de sujeto, NSM cambia tus eventos sujetos renombre cuerdas a los conocidos por Cisco IOS.
Para un abonado, cuando se le da un identificador de dispositivo nico y evento, el servicio de mapas de espacio de nombres
devuelve un conjunto de
de los eventos a los que suscribirse. Del mismo modo, para un editor, cuando se administra una nica ID de grupo, ID de dispositivo,
y
caso, el servicio de mapas devuelve un conjunto de eventos en el que publicar.
Lo que usted debe saber sobre las identificaciones del SNC y nombres
de host de dispositivos
El motor de configuracin asume que un identificador nico est asociado con cada conmutador configurado.
Este identificador nico puede asumir mltiples sinnimos, donde cada sinnimo es nico dentro de un particular,
espacio de nombres. El servicio de sucesos utiliza contenidos espacio de nombres para el direccionamiento basado sujeto-de los
mensajes.
El motor de configuracin se cruza con dos espacios de nombres, uno para el bus de eventos y el otro para el
servidor de configuracin. Dentro del mbito del espacio de nombres del servidor de configuracin, el trmino ConfigID es el
identificador nico para el dispositivo. Dentro del mbito del espacio de nombres bus de eventos, el trmino DeviceID es el
CNS identificador nico para el dispositivo.
Debido a que el motor de configuracin utiliza tanto el bus de eventos y el servidor de configuracin para proporcionar
configuraciones de dispositivos, se deben definir tanto ConfigID e ID de dispositivo para cada switch configurado.
En el marco de una nica instancia del servidor de configuracin, no hay dos interruptores configurados pueden compartir
el mismo valor para ConfigID. En el marco de una nica instancia del bus de eventos, no hay dos que configuran
interruptores pueden compartir el mismo valor para DeviceID.
ConfigID
Cada conmutador configurable tiene un ConfigID nico, que sirve como la llave en el motor de configuracin
directorio para el correspondiente conjunto de interruptor de CLI atributos. El ConfigID definido en el interruptor debe
coincidir con el ConfigID para la definicin del conmutador correspondiente en el motor de configuracin.
El ConfigID se fija en el momento de inicio y no se puede cambiar hasta que se reinicie el dispositivo, incluso si el interruptor
nombre de host se reconfigura.
3-3
Captulo 3
Cmo entender el software Cisco Configuration Engine
DeviceID
Cada interruptor configurado participar en el bus evento tiene un DeviceID nico, que es anloga a la
cambiar la direccin de origen a fin de que el interruptor se puede dirigir como un destino especfico en el autobs. Todos los
interruptores
configurado con la cns config parcial comando de configuracin global debe acceder al bus de eventos.
Por lo tanto, la DeviceID, como se origin en el switch, debe coincidir con el DeviceID del correspondiente
cambiar la definicin en el motor de configuracin.
El origen de la DeviceID se define por el nombre de host Cisco IOS del interruptor. Sin embargo, la DeviceID
variable y su uso residen dentro de la puerta de enlace de evento adyacente al interruptor.
El punto de terminacin de Cisco IOS lgica en el bus de eventos est incrustada en la puerta de enlace de evento, que en
convertir funciona como un proxy en nombre del switch. La puerta de enlace de evento representa el interruptor y el
DeviceID correspondiente al bus de eventos.
El interruptor declara su nombre de host de la puerta de entrada de eventos inmediatamente despus de la conexin correcta a
la puerta de entrada evento. Las parejas de pasarela caso de que el valor DeviceID al nombre de host Cisco IOS cada vez
se establece esta conexin. La puerta de enlace de eventos almacena en cach este valor DeviceID para la duracin de su
conexin con el interruptor.
Precaucin Cuando se utiliza la interfaz de usuario del motor de configuracin, primero debe establecer el campo DeviceID a la
valor de nombre de host que el interruptor adquiere despus-no antes- utilizar el cns config inicial mundial
comando de configuracin en el switch. De lo contrario, con posterioridad cns config parcial configuracin global
mal funcionamiento de las operaciones de comando.
En el modo independiente, cuando un valor de nombre de host est configurado para un interruptor, utiliza el servidor de
configuracin de la
hostname como el DeviceID cuando un evento se enva en nombre de host. Si el nombre de host no se ha establecido, el evento
se enva en el cn = <valor> del dispositivo.
En el modo de servidor, no se utiliza el nombre de host. En este modo, el atributo nico DeviceID siempre se utiliza para
el envo de un evento en el autobs. Si este atributo no est establecido, no se puede actualizar el switch.
Estos y otros atributos asociados (pares de valor de etiqueta) se establecen cuando se ejecuta Configuracin en la configuracin
Motor.
Nota
Para obtener ms informacin sobre cmo ejecutar el programa de instalacin del motor de configuracin, consulte la
Configuracin del motor de configuracin y gua de configuracin
http://www.cisco.com/en/US/products/sw/netmgtsw/ps4617/prod_installation_guides_list.html
3-4
OL-29703-01
Captulo 3
Configuracin inicial
Cuando el interruptor se enciende por primera vez, intenta obtener una direccin IP mediante la difusin de una solicitud DHCP en
la
red. Suponiendo que no hay un servidor DHCP en la subred, el interruptor de distribucin acta como un rel DHCP
agente y reenva la solicitud al servidor DHCP. Al recibir la peticin, asigna el servidor DHCP
una direccin IP para el nuevo interruptor e incluye la direccin IP del servidor TFTP, la ruta de acceso al arranque
archivo de configuracin y la direccin IP de puerta de enlace por defecto en tu respuesta unicast para el agente de retransmisin
DHCP. El
Agente de retransmisin DHCP reenva la respuesta al interruptor.
El interruptor se configura automticamente la direccin IP asignada a la interfaz VLAN 1 (por defecto) y
descarga el archivo de configuracin de arranque desde el servidor TFTP. Tras la descarga correcta de la
archivo de configuracin de arranque, el interruptor de carga el archivo en su configuracin en ejecucin.
Los agentes Cisco IOS inician la comunicacin con el motor de configuracin mediante el uso de la apropiada
ConfigID y EventID. Mapas El motor de configuracin Config ID a una plantilla y descarga el
archivo de configuracin completo al conmutador.
Figura 3-2 muestra una configuracin de red de ejemplo para recuperar el archivo de configuracin de arranque inicial
mediante el uso de la configuracin automtica basado en DHCP.
Figura 3-2
Configuracin
Motor
WAN
V
DHCP
servidor
Capa de distribucin
Capa de acceso
interruptores
141328
3-5
Captulo 3
Configuracin de agentes Cisco IOS
Configuracin sincronizada
Cuando el conmutador recibe una configuracin, se puede aplazar la aplicacin de la configuracin de la recepcin de una
escribir-seal de evento. El evento de escritura seal dice el interruptor no guardar la configuracin actualizada en su
NVRAM. El conmutador utiliza la configuracin actualizada como su configuracin en ejecucin. Esto asegura que el
configuracin del switch se sincroniza con otras actividades de la red antes de guardar la configuracin en
NVRAM para su uso en el siguiente reinicio.
3-6
OL-29703-01
Captulo 3
Tabla 3-1
Dispositivo
Configuracin requerida
Interruptor de Acceso
Interruptor de Distribucin
Servidor DHCP
Servidor TFTP
Nota
Direccin auxiliar IP
Para obtener ms informacin sobre cmo ejecutar el programa de instalacin y la creacin de plantillas en la pgina Configuracin
Motor, consulte la Cisco Configuration Engine de instalacin y gua de instalacin, 1.5 para Linux
http://www.cisco.com/en/US/docs/net_mgmt/configuration_engine/1.5/installation_linux/guide/setup_
1.html
3-7
Captulo 3
Configuracin de agentes Cisco IOS
Debe habilitar el agente de eventos del SNC en el interruptor antes de habilitar el agente de configuracin del SNC.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el agente caso CNS en el interruptor:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
Paso 3
fin
Paso 4
Paso 5
show running-config
Paso 6
Para deshabilitar el agente evento CNS, utilice el ningn caso cns {Direccin-ip | nombre de host} configuracin global
de comandos.
Este ejemplo muestra cmo habilitar el agente evento SNC, establezca la puerta de enlace IP de 10.180.1.27, establece
120 segundos como intervalo activo, y establecen 10 como el nmero de reintentos.
Switch (config) # evento cns 10.180.1.27 keepalive 120 10
3-8
OL-29703-01
Captulo 3
El cns config inicial comando de configuracin global permite que el agente Cisco IOS e inicia una
configuracin inicial en el interruptor.
El cns config parcial comando de configuracin global permite que el agente Cisco IOS e inicia una
configuracin parcial en el interruptor. A continuacin, puede utilizar el motor de configuracin para enviar de forma remota
configuraciones incrementales en el interruptor.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
cli config-text
Paso 4
Paso 5
Salida
Paso 6
3-9
Captulo 3
Configuracin de agentes Cisco IOS
Paso 7
Comando
Propsito
Paso 8
Paso 9
Paso 10
Salida
Paso 11
Paso 12
ip route network-number
3-10
OL-29703-01
Captulo 3
Comando
Paso 13
Propsito
Identificacin del SNC interfaz num {Dns inversa | direccinip | (Opcional) Establezca la nica EventID o ConfigID utilizado por el
mac-address} [Evento] [imagen]
Configuration Engine.
o
3-11
Captulo 3
Configuracin de agentes Cisco IOS
Paso 14
Comando
Propsito
Nota
Paso 15
fin
Paso 16
Paso 17
show running-config
Para deshabilitar el agente del SNC Cisco IOS, utilice el no hay cns config inicial {Direccin-ip | nombre de host} mundial
comando de configuracin.
Este ejemplo muestra cmo configurar una configuracin inicial en un switch remoto cuando el interruptor
configuracin es desconocida (la funcin del SNC Zero Touch).
Switch (config) # plantilla cns conectar plantilla-dhcp
Switch (config-tmpl-conn) # ip cli direccin dhcp
Switch (config-tmpl-conn) # Salida
Switch (config) # plantilla cns conectar ip-ruta
Switch (config-tmpl-conn) # cli ip route 0.0.0.0 0.0.0.0 $ {prximo-hop}
Switch (config-tmpl-conn) # Salida
Switch (config) # cns conectar dhcp
Switch (config-cns-conn) # descubrir interfaz gigabitethernet
Switch (config-cns-conn) # plantilla plantilla-dhcp
Switch (config-cns-conn) # plantilla ip-ruta
Switch (config-cns-conn) # Salida
Switch (config) # RemoteSwitch nombre de host
RemoteSwitch (config) # cns config inicial 10.1.1.1 sin persistir
3-12
OL-29703-01
Captulo 3
Este ejemplo muestra cmo configurar una configuracin inicial en un switch remoto cuando el interruptor de IP
direccin se conoce. La direccin IP Configuration Engine es 172.28.129.22.
Switch (config) # plantilla cns conectar plantilla-dhcp
Switch (config-tmpl-conn) # ip cli direccin dhcp
Switch (config-tmpl-conn) # Salida
Switch (config) # plantilla cns conectar ip-ruta
Switch (config-tmpl-conn) # cli ip route 0.0.0.0 0.0.0.0 $ {prximo-hop}
Switch (config-tmpl-conn) # Salida
Switch (config) # cns conectar dhcp
Switch (config-cns-conn) # descubrir interfaz gigabitethernet
Switch (config-cns-conn) # plantilla plantilla-dhcp
Switch (config-cns-conn) # plantilla ip-ruta
Switch (config-cns-conn) # Salida
Switch (config) # RemoteSwitch nombre de host
RemoteSwitch (config) # ip route 172.28.129.22 255.255.255.255 11.11.11.1
RemoteSwitch (config) # cns Identificacin ethernet 0 direccinip
RemoteSwitch (config) # cns config inicial 172.28.129.22 sin persistir
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el agente Cisco IOS y para iniciar un
configuracin parcial en el interruptor:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
Paso 3
fin
Paso 4
Paso 5
show running-config
Paso 6
Para deshabilitar el agente de Cisco IOS, utilice el no hay cns config parcial {Direccin-ip | nombre de host} mundial
comando de configuracin. Para cancelar una configuracin parcial, utilice el config del SNC se cancelan EXEC privilegiado
de comandos.
3-13
Captulo 3
Visualizacin de la configuracin del
SNC
Visualizacin de la configuracin
del SNC Puede utilizar los comandos EXEC privilegiados en Tabla 3-2 para mostrar la informacin de configuracin del SNC.
Tabla 3-2
Comando
Propsito
Mostrar cns conexiones de configuracinMuestra el estado de las conexiones del agente del SNC Cisco IOS.
Mostrar cns config excepcional
3-14
OL-29703-01
E R CH A P T
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin y la Cisco IOS IP Comando, Volumen 1 de 3: Direccionamiento y
Servicios, versin 12.4.
Nota
Gestor de arranque Asciende y Verificacin de imagen para el modo FIPS de Operacin, pgina 4-25
La informacin contenida en este captulo sobre las direcciones IP y la configuracin de DHCP es especfico para IP versin 4
(IPv4).
Si tiene previsto habilitar IP versin 6 (IPv6) de reenvo en su interruptor, consulte Captulo 46, "Configuracin de IPv6
Unicast Routing " para obtener informacin especfica para el formato de direccin IPv6 y la configuracin. Para habilitar IPv6, el
pila o el interruptor debe estar en ejecucin los servicios IP cuentan con set.
4-1
Captulo 4
Asignar la informacin del conmutador
El proceso de arranque normal implica el funcionamiento del software gestor de arranque e incluye las siguientes actividades:
Realiza la inicializacin de la CPU de bajo nivel. Inicializa los registros de la CPU, que controlan en fsica
la memoria se asigna, su cantidad, su velocidad, y as sucesivamente.
Realiza autocomprobacin de encendido (POST) para el subsistema de CPU. Pone a prueba la DRAM CPU y la parte
del dispositivo flash que compone el sistema de archivos flash.
Carga una imagen de software del sistema operativo por defecto en la memoria y arranca el interruptor.
El gestor de arranque proporciona acceso al sistema de archivos flash antes de que se cargue el sistema operativo. Normalmente,
el gestor de arranque slo se utiliza para cargar, descomprimir, e iniciar el sistema operativo. Despus de que el gestor de arranque
da el control del sistema operativo de la CPU, el gestor de arranque no est activo hasta el siguiente reinicio del sistema
o encendido.
El gestor de arranque tambin proporciona acceso trampilla en el sistema, si el sistema operativo tiene problemas
lo suficiente para que no se puede utilizar grave. El mecanismo trampilla proporciona suficiente acceso al sistema
por lo que si es necesario, puede formatear el sistema de archivos flash, vuelva a instalar el software del sistema operativo
imagen utilizando el protocolo Xmodem, recuperar una contrasea perdida u olvidada, y finalmente reiniciar el
Sistema operativo. Para obtener ms informacin, consulte la "Recuperacin de una falla de software" en la
pgina 56-2 y el "Recuperacin de una contrasea perdida u olvidada" en la pgina 56-3.
Nota
Usted puede desactivar la recuperacin de contraseas. Para obtener ms informacin, consulte la "Desactivacin de
recuperacin de contrasea"
en la pgina 10-5.
Antes de poder asignar informacin del conmutador, asegrese de que ha conectado un PC o terminal a la consola
puerto o un PC al puerto de gestin Ethernet, y asegrese de que haya configurado el PC o
de emulacin de terminal velocidad de transmisin de software y el formato de caracteres para que coincida con estos del puerto de
consola del conmutador:
Velocidad de transmisin por defecto es
9600.
Los bits de datos por defecto es 8.
Nota
4-2
OL-29703-01
Captulo 4
Nota
Miembros de la pila conservan su direccin IP cuando se desconecta de una pila de switches. Para evitar un conflicto
por tener dos dispositivos con la misma direccin IP en la red, cambie la direccin IP del switch
que quit de la pila de switches.
Utilizar un servidor DHCP para el control centralizado y la asignacin automtica de la informacin IP despus de que el servidor
est configurado.
Nota
Si utiliza DHCP, no responder a ninguna de las preguntas en el programa de instalacin hasta que el interruptor
recibe la direccin IP asignada dinmicamente y lee el archivo de configuracin.
Si usted es un usuario experimentado familiarizado con los pasos de configuracin del switch, configurar manualmente la
interruptor. De lo contrario, utilice el programa de instalacin se describe anteriormente.
Estas secciones contienen esta informacin de configuracin:
Informacin Cambiar
predeterminado
Tabla 4-1 muestra la informacin predeterminada del switch.
Tabla 4-1
Caracterstica
Puerta de enlace
predeterminada
Habilitar contrasea secreta
Hostname
Contrasea de Telnet
Desactivado.
Nombre de clster
4-3
Captulo 4
Asignar la informacin del conmutador
Con la configuracin automtica basada en DHCP, se necesita ninguna configuracin del lado del cliente DHCP en su interruptor.
Sin embargo, es necesario configurar el servidor DHCP para diversas opciones de arrendamiento asociados con direcciones IP.
Si est utilizando DHCP para retransmitir el archivo de configuracin de ubicacin en la red, es posible que tambin tenga que
configurar un servidor Trivial File Transfer Protocol (TFTP) y un servidor de Sistema de nombres de dominio (DNS).
Nota
Se recomienda una conexin redundante entre una pila de switches y el DHCP, DNS y servidores TFTP.
Esto es para ayudar a asegurar que estos servidores permanecen accesibles en caso de que uno de los miembros de la pila conectados
se retira de la pila de conmutadores.
El servidor DHCP para su interruptor puede estar en la misma LAN o en una LAN diferente que el switch. Si el
Servidor DHCP se ejecuta en una LAN diferente, debe configurar un dispositivo de retransmisin DHCP entre su
switch y el servidor DHCP. Un trfico de difusin hacia delante dispositivo de rel entre dos conectado directamente
LANs. Un router no enva paquetes de difusin, sino que reenva los paquetes en base a la IP de destino
abordar en el paquete recibido.
Autoconfiguracin basada en DHCP reemplaza la funcionalidad de cliente BOOTP en su interruptor.
Interruptor A
DHCPOFFER (unicast)
Servidor DHCP
DHCPREQUEST (broadcast)
DHCPACK (unicast)
51807
El cliente, Switch A, difunde un mensaje DHCPDISCOVER para localizar un servidor DHCP. El DHCP
servidor ofrece parmetros de configuracin (por ejemplo, una direccin IP, mscara de subred, la direccin IP de puerta de enlace,
DNS IP
direccin, un contrato de arrendamiento de la direccin IP, y as sucesivamente) al cliente en un mensaje DHCPOFFER unicast.
En un mensaje de difusin DHCPREQUEST, el cliente devuelve una solicitud formal de la ofrecida
informacin de configuracin al servidor DHCP. Se emite la solicitud formal para que el resto de DHCP
servidores que recibieron el mensaje de difusin DHCPDISCOVER desde el cliente puede reclamar la IP
Las direcciones que se ofrecieron al cliente.
El servidor DHCP confirma que la direccin IP se ha asignado al cliente devolviendo un DHCPACK
mensaje de unidifusin al cliente. Con este mensaje, el cliente y el servidor estn obligados, y el cliente utiliza
la informacin de configuracin recibida desde el servidor. La cantidad de informacin que el switch recibe
depende de cmo se configure el servidor DHCP. Para obtener ms informacin, consulte la "Configuracin del TFTP
Seccin del servidor "en la pgina 4-7.
Si los parmetros de configuracin enviados al cliente en el mensaje de unidifusin DHCPOFFER no son vlidos (a
error de configuracin existe), el cliente devuelve un mensaje DHCPDECLINE transmitido al servidor DHCP.
4-4
OL-29703-01
Captulo 4
El servidor DHCP enva al cliente un mensaje de difusin negacin DHCPNAK, lo que significa que el ofrecido
parmetros de configuracin no se han asignado, que se ha producido un error durante la negociacin del
parmetros, o que el cliente ha sido lenta en responder al mensaje DHCPOFFER (el DHCP
servidor asigna los parmetros a otro cliente).
Un cliente DHCP podra recibir ofertas de varios servidores DHCP o BOOTP y puede aceptar cualquiera de los
ofrece; sin embargo, por lo general el cliente acepta la primera oferta que recibe. La oferta del servidor DHCP es
no es una garanta de que la direccin IP se asigna al cliente; Sin embargo, el servidor normalmente se reserva el
direccin hasta que el cliente ha tenido la oportunidad de solicitar formalmente la direccin. Si el conmutador acepta respuestas
desde un servidor BOOTP y configura en s, las transmisiones de conmutacin, en lugar de unicasts, las solicitudes TFTP para
obtener el archivo de configuracin del switch.
La opcin de nombre de host DHCP permite que un grupo de interruptores para obtener nombres de host y una configuracin
estndar
desde el servidor central de gestin de DHCP. Un cliente (switch) incluye en su mensaje DCHPDISCOVER
un campo de opcin 12 usa para solicitar un nombre de host y otros parmetros de configuracin del servidor DHCP.
Los archivos de configuracin en todos los clientes son idnticas excepto por sus nombres de host DHCP obtenido.
Si un cliente tiene un nombre de host por defecto (el nombre de host Nombre comando de configuracin global no est configurado
o la ningn nombre de host comando de configuracin global se introduce para eliminar el nombre de host), el DHCP
opcin de nombre de host no est incluido en el paquete al entrar en la dhcp direccin IP interfaz
comando de configuracin. En este caso, si el cliente recibe el nombre de host opcin DCHP del DHCP
interaccin, mientras que la adquisicin de una direccin IP para una interfaz, el cliente acepta la opcin de nombre de host DHCP
y establece la bandera para mostrar que el sistema tiene ahora un nombre de host configurado.
DHCP autoconfiguracin
DHCP autoconfiguracin descarga un archivo de configuracin para uno o ms conmutadores en la red de
un servidor DHCP. El archivo de configuracin descargado se convierte en la configuracin activa del switch. Es
no sobrescribir la configuracin de arranque guardado en el flash, hasta que vuelva a cargar el switch.
DHCP Auto-Imagen de
actualizacin
Usted puede utilizar la imagen de auto DHCP modernizacin con la autoconfiguracin DHCP para descargar tanto una
configuracin
y una nueva imagen a uno o ms conmutadores en la red. El interruptor (o interruptores) la descarga del
nueva configuracin y la nueva imagen puede estar en blanco (o slo se han cargado una configuracin de fbrica).
Si la nueva configuracin se descarga a un conmutador que ya tiene una configuracin, el descargados
configuracin se anexa al archivo de configuracin almacenado en el interruptor. (Cualquier configuracin existente es
no es sobreescrito por el descargado.)
Para habilitar una actualizacin automtica de imagen DHCP en el interruptor, el servidor en el que la imagen y la configuracin
TFTP
archivos se encuentran deben configurarse con la opcin correcta 67 (el nombre del archivo de configuracin), opcin 66
(El nombre de host del servidor de DHCP) opcin 150 (la direccin del servidor TFTP), y la opcin 125 (descripcin de la
archivo) ajustes.
4-5
Captulo 4
Asignar la informacin del conmutador
Nota
Para conocer los procedimientos para configurar el conmutador como un servidor DHCP, consulte la "Configuracin de DHCP
autoconfiguracin
(Archivo de configuracin solamente) seccin "en la pgina 4-11 y la seccin "Configuracin de DHCP" de la "IP
Seccin Direccionamiento y Servicios "de la Gua de configuracin IP de Cisco IOS, versin 12.4.
Despus de instalar el interruptor de la red, la funcin de actualizacin automtica de imagen comienza. La descargado
archivo de configuracin se guarda en la configuracin activa del switch, y la nueva imagen se descarga
e instalado en el interruptor. Al reiniciar el switch, la configuracin se guarda en el salvado
configuracin en el switch.
Limitaciones y restricciones
Estas son las limitaciones:
La autoconfiguracin basado en DHCP con un proceso de configuracin guardada se detiene si no hay al menos
una capa 3 de la interfaz en un estado sin una direccin IP asignada en la red.
A menos que se configura un tiempo de espera, la configuracin automtica basada en DHCP con una configuracin
guardada
tries caracterstica indefinidamente para descargar una direccin IP.
El proceso de instalacin automtica se detiene si un archivo de configuracin no puede ser descargado o que la configuracin
archivo est daado.
Nota
Nota
Si el servidor DHCP es un dispositivo de Cisco, para obtener informacin adicional sobre la configuracin de DHCP ver el
Seccin de la seccin "Configuracin de DHCP" del "direccionamiento IP y servicios" Cisco IOS IP
Gua de configuracin, versin 12.4.
4-6
OL-29703-01
Captulo 4
Usted debe configurar el servidor DHCP con los arrendamientos reservadas que estn enlazados a cada interruptor por el
cambiar la direccin de hardware.
Si desea que el interruptor para recibir informacin de la direccin IP, debe configurar el servidor DHCP con
estas opciones de arrendamiento:
-Direccin IP del cliente (requerido)
-Mscara de subred del cliente (requerido)
-Direccin IP del servidor DNS (opcional)
-Direccin IP del router (puerta de enlace predeterminada que se utilizar por el interruptor) (requerido)
Si desea que el interruptor para recibir el archivo de configuracin desde un servidor TFTP, debe configurar el
Servidor DHCP con estas opciones de arrendamiento:
-Nombre del servidor TFTP (requerido)
-Nombre de archivo de arranque (el nombre del archivo de configuracin que el cliente necesita) (recomendado)
-Nombre de host (opcional)
Dependiendo de la configuracin del servidor DHCP, el switch puede recibir informacin de la direccin IP, la
archivo de configuracin, o ambos.
Si no configura el servidor DHCP con las opciones de arrendamiento descritos anteriormente, responde a
cliente solicita nicamente con los parmetros configurados. Si la direccin IP y la mscara de subred
no estn en la respuesta, el interruptor no est configurado. Si la direccin IP del router o el nombre del servidor TFTP
no se encuentran, el interruptor puede enviar broadcast, en vez de unicast, las solicitudes TFTP. La no disponibilidad de
otras opciones de arrendamiento no afecta a la configuracin automtica.
El interruptor puede actuar como un servidor DHCP. Por defecto, el servidor y el rel agente Cisco IOS DHCP
funciones estn activadas en su interruptor, pero no estn configurados. Estas funciones no estn operativas. Si
el servidor DHCP es un dispositivo de Cisco, para obtener informacin adicional sobre la configuracin de DHCP, consulte la
Seccin de la seccin "Configuracin de DHCP" del "direccionamiento IP y servicios" Cisco IOS IP
Gua de configuracin.
4-7
Captulo 4
Asignar la informacin del conmutador
Para el interruptor para descargar correctamente un archivo de configuracin, el servidor TFTP debe contener uno o ms
archivos de configuracin en su directorio base. Los archivos se pueden incluir estos archivos:
El archivo de configuracin denominado en la respuesta DHCP (el archivo de configuracin del switch real).
La red-confg o el archivo cisconet.cfg (conocidos como los archivos de configuracin por defecto).
El router-confg o el archivo ciscortr.cfg (Estos archivos contienen comandos comunes para todos los interruptores.
Normalmente, si los servidores DHCP y TFTP se configuran correctamente, no se accede a estos archivos.)
Si se especifica el nombre del servidor TFTP en la base de datos del servidor DHCP-lease, tambin debe configurar el
Servidor TFTP asignacin de nombre a direccin IP en la base de datos DNS-servidor.
Si el servidor TFTP que se utilizar est en una LAN diferente del interruptor, o si es que se accede por el interruptor
a travs de la direccin de difusin (que se produce cuando la respuesta del servidor DHCP no contiene toda la
informacin requerida se ha descrito anteriormente), un rel debe estar configurado para reenviar los paquetes TFTP
el servidor TFTP. Para obtener ms informacin, consulte la Seccin "Configuracin del dispositivo de rel" en la pgina 4-8. El
solucin preferida es configurar el servidor DHCP con toda la informacin requerida.
En la interfaz 20.0.0.1
router (config-if) # ip helper-address 10.0.0.1
Nota
Si el interruptor est actuando como el dispositivo de rel, configurar la interfaz como puerto enrutado. Para obtener ms
informacin,
ver el Seccin de "puertos con enrutamiento" en la pgina 15-4 y el Seccin "Configuracin de Capa 3 Interfaces" en la
pgina 15-38.
4-8
OL-29703-01
Captulo 4
Figura 4-2
Cambiar
(Cliente DHCP)
Router Cisco
(Relay)
10.0.0.2
10.0.0.1
20.0.0.2
20.0.0.1
20.0.0.3
20.0.0.4
49068
Servidor DHCP
Servidor TFTP
Servidor DNS
La direccin IP y el nombre del archivo de configuracin se reserva para el interruptor y siempre en el DHCP
Contestar (un archivo de mtodo leer).
El conmutador recibe su direccin IP, mscara de subred, la direccin del servidor TFTP, y la configuracin
nombre del archivo desde el servidor DHCP. El conmutador enva un mensaje unicast al servidor TFTP para recuperar
el archivo de configuracin llamado desde el directorio base del servidor y una vez recibido, se completa su
proceso de arranque.
La direccin IP y el nombre del archivo de configuracin est reservado para el cambio, pero el servidor TFTP
direccin no se proporciona en la respuesta DHCP (mtodo de lectura de un archivo).
El conmutador recibe su direccin IP, mscara de subred y el nombre del archivo de configuracin del DHCP
servidor. El conmutador enva un mensaje de difusin a un servidor TFTP para recuperar la configuracin denominado
archivo del directorio base del servidor, y una vez recibido, se completa el proceso de arranque.
4-9
Captulo 4
Asignar la informacin del conmutador
Nota
Las peticiones al servidor TFTP emisiones interruptor si el servidor TFTP no se obtiene de las respuestas de DHCP,
si todos los intentos de leer el archivo de configuracin a travs de las transmisiones unicast fallar, o si el servidor TFTP
nombre no se puede resolver en una direccin IP.
Ejemplo de configuracin
Figura 4-3 muestra una red de ejemplo para recuperar informacin de IP mediante DHCP basado en
autoconfiguracin.
Figura 4-3
Router Cisco
10.0.0.10
10.0.0.1
10.0.0.2
10.0.0.3
111394
Servidor DHCP
Servidor DNS
Servidor TFTP
(Tftpserver)
Interruptor A
Cambie B
Cambie C
Cambiar D
00e0.9f1e.2002
00e0.9f1e.2003
00e0.9f1e.2004
Direccin IP
10.0.0.21
10.0.0.22
10.0.0.23
10.0.0.24
Mscara de subred
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
10.0.0.10
10.0.0.10
10.0.0.10
10.0.0.10
10.0.0.2
10.0.0.2
10.0.0.2
10.0.0.2
tftpserver o
10.0.0.3
tftpserver o
10.0.0.3
tftpserver o
10.0.0.3
tftpserver o
10.0.0.3
switcha-confg
switchb-confg
switchc-confg
switchd-confg
switcha
switchb
switchc
switchd
4-10
OL-29703-01
Captulo 4
Si no hay ningn nombre de archivo de configuracin se da en la respuesta del servidor DHCP, Switch A lee la red-confg
archivo del directorio base del servidor TFTP.
Se lee la tabla de host mediante la indexacin de su direccin IP 10.0.0.21 a su nombre de host (switcha).
Se lee el archivo de configuracin que corresponde a su nombre de host; por ejemplo, se lee switch1-confg
desde el servidor TFTP.
Interruptores B hasta D recuperar sus archivos de configuracin y las direcciones IP de la misma manera.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar DHCP de configuracin automtica de la
Configuracin TFTP y DHCP en un nuevo interruptor para descargar un nuevo archivo de configuracin.
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip dhcp poolname
Paso 3
Especifique el nombre del archivo de configuracin que se utiliza como imagen de arranque.
4-11
Captulo 4
Asignar la informacin del conmutador
Paso 4
Comando
Propsito
Paso 5
default-enrutador Direccin
Paso 6
Paso 7
Salida
Paso 8
Paso 9
interfaz interface-id
Paso 10 no switchport
Paso 12 fin
Este ejemplo muestra cmo configurar un switch como servidor DHCP para que se descargue una configuracin
fichero de:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # ip dhcp pool pool1
(dhcp-config) # red 10.10.10.0 255.255.255.0
(dhcp-config) # bootfile config-boot.text
(dhcp-config) # default-enrutador 10.10.10.1
(dhcp-config) # opcin 150 10.10.10.1
(dhcp-config) # Salida
(config) # tftp flash-servidor: config-boot.text
(config) # interfaz GigabitEthernet1 / 0/4
(config-if) # no switchport
(config-if) # direccin IP 10.10.10.1 255.255.255.0
(config-if) # fin
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la configuracin automtica DHCP para
configurar las opciones de TFTP y DHCP en un nuevo interruptor para descargar una nueva imagen y una nueva configuracin
presentar.
Nota
Antes de seguir los pasos de esta tabla, debe crear un archivo de texto (por ejemplo, autoinstall_dhcp) que
se subirn al interruptor. En el archivo de texto, poner el nombre de la imagen que quiere descargar (por
ejemplo, C3750E-ipservices-mz.122-44.3.SE.tarc3750x-ipservices-mz.122-53.3.SE2.tar). Esta imagen
debe ser un alquitrn y no un archivo bin.
4-12
OL-29703-01
Captulo 4
Comando
Propsito
Paso 1
configure terminal
Paso 2
Crear un nombre para el servidor de grupo de direcciones DHCP e introduzca conjunto DHCP
modo de configuracin.
Paso 3
Paso 4
Paso 5
default-enrutador Direccin
Paso 6
Paso 7
Paso 8
Especifique la ruta de acceso al archivo de texto que describe la ruta de acceso al archivo de
imagen.
Sube el archivo de texto para el interruptor.
Paso 9
Nota
Paso 10 Salida
Especifique el archivo de texto que contiene la Nombre del archivo de imagen para descargar
Paso 15 no switchport
Paso 17 fin
Este ejemplo muestra cmo configurar un switch como servidor DHCP por lo que descarga un fichero de configuracin:
Switch # terminal de config
Switch (config) # ip dhcp pool pool1
Switch (dhcp-config) # red 10.10.10.0 255.255.255.0
Switch (dhcp-config) # bootfile config-boot.text
Switch (dhcp-config) # default-enrutador 10.10.10.1
Switch (dhcp-config) # opcin 150 10.10.10.1
Switch (dhcp-config) # opcin 125 hex
0000.0009.0a05.08661.7574.6f69.6e73.7461.6c6c.5f64.686370
Switch (dhcp-config) # Salida
Switch (config) # tftp flash-servidor: config-boot.text
Switch (config) # tftp flash-servidor: nombre_imagen
Switch (config) # tftp flash-servidor: boot-config.text
Switch (config) # tftp flash-servidor: autoinstall_dhcp
Switch (config) # interfaz GigabitEthernet1 / 0/4
Switch (config-if) # no switchport
Switch (config-if) # direccin IP 10.10.10.1 255.255.255.0
Switch (config-if) # fin
4-13
Captulo 4
Asignar la informacin del conmutador
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
fin
Paso 6
espectculo de
arranque
Verifique la configuracin.
En este ejemplo se utiliza una interfaz SVI Capa 3 en la VLAN 99 para permitir la configuracin automtica basada en DHCP con
una configuracin guardada:
Switch # configure terminal
Switch (conf) # dhcp host de inicio
Switch (conf) # host de inicio de reintentos de tiempo de espera 300
Switch (conf) # bandera config-guardar ^ C Precaucin - Archivo de configuracin de ahorro de la NVRAM puede causar
Descargar Ya no automticamente los archivos de configuracin en Reboot ^ C
Switch (config) # vlan 99
Switch (config-vlan) # vlan interfaz 99
Switch (config-if) # no shutdown
Switch (config-if) # fin
Switch # espectculo de arranque
BOOT path-list:
El archivo de configuracin: flash: /config.text
Privado Archivo de configuracin: flash: /private-config.text
Activar Break: no
Boot Manual: no
AYUDANTE path-list:
Archivo NVRAM / Config
tamao del bfer: 32768
Tiempo de espera para Config
Descarga: 300 segundos
Config Descargar
a travs de DHCP: habilitado (siguiente arranque: activado)
Switch #
Nota
Slo debe configurar y habilitar la capa 3 de la interfaz. No asigne una direccin IP o basado en DHCP
autoconfiguracin con una configuracin guardada.
4-14
OL-29703-01
Captulo 4
Nota
Si el interruptor est ejecutando los servicios IP conjunto de caractersticas, tambin puede asignar manualmente la informacin IP a
un puerto
si primero se pone el puerto en el modo de capa 3 mediante el uso de la no switchport comando de configuracin de interfaz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Salida
Paso 5
ip default-gateway La direccin IP
Introduzca la direccin IP de la interfaz del router del siguiente salto que es directamente
conectado al switch donde se est configurando una puerta de enlace predeterminada. El
puerta de enlace predeterminada recibe paquetes IP con destino sin resolver IP
direcciones desde el interruptor.
Una vez configurada la puerta de enlace predeterminada, el interruptor tiene conectividad con el
redes remotas con la que un anfitrin necesita comunicarse.
Nota
Paso 6
fin
Paso 7
Paso 8
mostrar redirecciones ip
Paso 9
Para quitar la direccin IP del switch, utilice el no ip address comando de configuracin de interfaz. Si usted es
la eliminacin de la direccin a travs de una sesin de Telnet, se perder la conexin con el switch. Para quitar el
direccin de puerta de enlace predeterminada, utilice el no ip default-gateway comando de configuracin global.
Para obtener informacin sobre cmo configurar el nombre del sistema de conmutacin, la proteccin del acceso a los comandos
EXEC privilegiados,
y el establecimiento de servicios de tiempo y calendario, ver Captulo 7, "Administracin del conmutador."
4-15
Captulo 4
Comprobacin y guardar la configuracin en ejecucin
<Salida trunca>
...!
interfaz VLAN1
direccin IP 172.20.137.50 255.255.255.0
no ip dirigido a la radiodifusin
!
ip default-gateway 172.20.137.1!
!
comunidad SNMP-servidor RW privado
comunidad SNMP-servidor RO pblica
comunidad SNMP-servidor @ privado ES0 RW
pblica de la comunidad SNMP-servidor @ ES0 RO
SNMP-servidor de bastidor 0x12
!
fin
Para guardar la configuracin o los cambios que ha realizado en su configuracin de inicio en la memoria flash, introduzca
este comando EXEC privilegiado:
Switch # copy running-config startup-config
Destino de nombre de archivo [startup-config]?
Building configuration ...
Este comando guarda los ajustes de configuracin que ha realizado. Si no lo hace, la configuracin
se perdern la prxima vez que vuelva a cargar el sistema. Para mostrar la informacin almacenada en la seccin NVRAM
de memoria flash, utilice el show startup-config o ms startup-config comando EXEC privilegiado.
Para obtener ms informacin sobre las ubicaciones alternativas de la que copiar el archivo de configuracin, consulte
Apndice 58, "Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes."
4-16
OL-29703-01
Captulo 4
Despus de configurar el tamao de bfer NVRAM, vuelva a cargar la pila de conmutadores o switch.
Cuando se agrega el cambio a una pila y el tamao NVRAM difiere, el nuevo interruptor se sincroniza con la pila y
vuelve a cargar automticamente.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el tamao de bfer NVRAM:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
espectculo de
arranque
Verifique la configuracin.
Este ejemplo muestra cmo configurar el tamao de bfer NVRAM:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # buffersize arranque 524288
Switch (config) # fin
Switch # espectculo de arranque
BOOT path-list:
El archivo de configuracin: flash: /config.text
Privado Archivo de configuracin: flash: /private-config.text
Activar Break: no
Boot Manual: no
AYUDANTE path-list:
Actualizacin automtica: s
Ruta de actualizacin automtica:
Archivo NVRAM / Config
tamao del bfer: 524288
Tiempo de espera para Config
Descarga: 300 segundos
Config Descargar
a travs de DHCP: habilitado (siguiente arranque: activado)
Switch #
4-17
Captulo 4
Modificacin de la configuracin de inicio
Modificacin de la configuracin de
inicio
Estas secciones se describe cmo modificar la configuracin de inicio del switch:
Ver tambin Apndice 58, "Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software
Imgenes " para obtener informacin acerca de los archivos de configuracin del switch. Consulte la "Cambiar los archivos de
configuracin de pila"
en la pgina 5-16 para obtener informacin acerca de los archivos de configuracin de pila de switches.
Caracterstica
El archivo de configuracin
Switches configurados utilizan el config.text archivo almacenado en la placa del sistema flash
memoria.
Un nuevo interruptor tiene ningn archivo de
configuracin.
4-18
OL-29703-01
Captulo 4
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
espectculo de
arranque
Paso 5
Para volver a la configuracin por defecto, utilice el sin config-file arranque comando de configuracin global.
Arrancar manualmente
Por defecto, el interruptor arranca automticamente; Sin embargo, se puede configurar para arrancar manualmente.
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
manual de arranque
Paso 3
fin
4-19
Captulo 4
Modificacin de la configuracin de inicio
Paso 4
Comando
Propsito
espectculo de
arranque
Para sistema de archivos :, uso Flash: para el dispositivo flash de la placa base.
Para deshabilitar el arranque manual, utilice el ningn manual de arranque comando de configuracin global.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Configure el interruptor para arrancar una imagen especfica en la memoria flash durante la
el siguiente ciclo de arranque.
Para sistema de archivos :, uso Flash: para el dispositivo flash de la placa base.
4-20
OL-29703-01
Captulo 4
Comando
Paso 3
Propsito
Uso nmero para especificar un miembro de la pila. (Especifique slo una pila
miembro.)
fin
Paso 5
espectculo de
arranque
Paso 6
Para volver a la configuracin por defecto, utilice el ningn sistema de arranque comando de configuracin
global.
Datos que controla cdigo, que no lee el archivo de configuracin de Cisco IOS. Por ejemplo, el nombre
de un archivo de ayuda del gestor de arranque, que se extiende o se parchea la funcionalidad del gestor de arranque puede ser
almacenado como una variable de entorno.
Datos que controla cdigo, que se encarga de leer el archivo de configuracin de Cisco IOS. Para
ejemplo, el nombre del archivo de configuracin de Cisco IOS se puede almacenar como una variable de entorno.
4-21
Captulo 4
Modificacin de la configuracin de inicio
Usted puede cambiar la configuracin de las variables de entorno mediante el acceso al gestor de arranque o utilizando Cisco
Comandos IOS. En circunstancias normales, no es necesario alterar la configuracin del entorno
variables.
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos del cargador de arranque y las variables de entorno,
vase la referencia de comandos para esta versin.
Tabla 4-4 describe la funcin de las variables de entorno ms comunes.
Tabla 4-4
Variables de entorno
Variable
BOOT
BOOT conjunto sistema de archivos: / archivosistema de arranque {Sistema de archivos: / archivo-url ... |
url ...
interruptor
Una lista separada por comas de archivos ejecutables
{Nmero | all}}
para tratar de cargar y ejecutar automticamente cuando Nota
El interruptor {Nmero | all} palabras clave son
el arranque. Si la variable de entorno de arranque se
Slo se admite en Catalyst 3750-E
no se establece, el sistema intenta cargar y ejecutar
switches Catalyst 3750-E interruptores.
la primera imagen ejecutable que puede encontrar mediante el
uso de un
la imagen de Cisco IOS para cargar durante el
recursiva de bsqueda, primero en profundidad a travs delEspecifica
flash
siguiente
sistema de archivos. Si la variable se encuentra definido, pero
el ciclo de arranque y los miembros de la pila en la que
imgenes especificadas no se pueden cargar, el sistema la imagen es cargada. Este comando cambia el
los intentos de arrancar el primer archivo de arranque que configuracin de la variable de entorno BOOT.
puede encontrar en el sistema de archivos flash.
MANUAL_BOOT
MANUAL_BOOT conjunto s
manual de arranque
CONFIG_FILE
Especifica el nombre de archivo que Cisco IOS utiliza para readChanges el nombre del archivo
que Cisco IOS utiliza para
leer y escribir una copia no voltil del sistema y escribir una copia no voltil del sistema
configuracin. Esta theconfiguration cambios de mando.
Variable de entorno CONFIG_FILE.
4-22
OL-29703-01
Captulo 4
Tabla 4-4
Variable
SWITCH_NUMBER
SWITCH_NUMBER conjunto
pila-miembro de nmero
Cuando el interruptor est conectado a un PC a travs del puerto de gestin Ethernet, se puede descargar o
cargar un archivo de configuracin para el gestor de arranque usando TFTP. Asegrese de que las variables de entorno en
Tabla 4-5 estn configurados.
Tabla 4-5
Variable
Descripcin
MAC_ADDR
Sin embargo, si modifica esta variable despus de que el gestor de arranque es arriba o el valor
es diferente al valor guardado, introduzca este comando antes de usar TFTP.
IP_ADDR
DEFAULT_ROUTER
4-23
Captulo 4
Programacin de una recarga de la imagen de
software
Para volver a cargar un switch especfico en una pila de switches, utilice el ranura de recarga pila-miembro de nmero
privilegiada
Comando EXEC.
recargar en hh: mm [Mes da |da mes] [Texto]
Este comando programa una recarga del software que tendr lugar en el tiempo especificado (utilizando un 24-hora
reloj). Si especifica el mes y el da, la recarga est programado para llevarse a cabo en el tiempo especificado
y la fecha. Si no se especifica el mes y el da, la recarga se realiza en el tiempo especificado en la
da actual (si la hora especificada es posterior a la hora actual) o el da siguiente (si la especificada
tiempo sea anterior a la hora actual). Especificacin de las 00:00 horario de la recarga de la medianoche.
Nota
Utilice el en palabra clave solamente si el reloj del sistema del interruptor se ha establecido (a travs de tiempo de red
Protocolo (NTP), el calendario de hardware, o manualmente). El tiempo es relativo a la configurada
zona horaria en el interruptor. Para programar las recargas a travs de varios switches que se produzca
simultneamente, el tiempo en cada switch se debe sincronizar con NTP.
El recargar comando detiene el sistema. Si el sistema no est configurado para el arranque de forma manual, se reinicia a s mismo.
Uso
la recargar comando despus de guardar la informacin de configuracin del switch a la configuracin de inicio
(Copia running-config startup-config).
Si el conmutador est configurado para el arranque manual, no vuelva a cargarlo desde un terminal virtual. Esta restriccin
impide el paso de entrar en el modo de gestor de arranque y por lo tanto tomndolo del usuario remoto
control.
4-24
OL-29703-01
Captulo 4
Si modifica el archivo de configuracin, el interruptor le pide que guarde la configuracin antes de recargar.
Durante la operacin de almacenamiento, el sistema solicita si desea continuar con la operacin de guardar, si la
CONFIG_FILE entorno variable apunta a un archivo de configuracin de inicio que ya no existe. Si
proceder en esta situacin, el sistema entra en modo de configuracin en recarga.
Este ejemplo muestra cmo para volver a cargar el software en el interruptor en el da de hoy a las 7:30 pm:
Switch # recargar a las 19:30
Reload prevista para 19:30:00 UTC Mi 5 Jun 1996 (en 2 horas y 25 minutos)
Proceda con recarga? [Confirm]
Este ejemplo muestra cmo para volver a cargar el software en el interruptor en un tiempo futuro:
Switch # recargar a las 02:00 20 de junio
Reload prevista para 02:00:00 UTC jue 20 de junio 1996 (en 344 horas y 53 minutos)
Proceda con recarga? [Confirm]
Para cancelar una recarga programada previamente, utilice el recargar cancelar comando EXEC privilegiado.
Nota
Asegrese de que la alimentacin no se apaga durante la actualizacin del gestor de arranque. Si se conecta la
alimentacin
apagado durante la actualizacin, tendr que reemplazar el interruptor mediante el uso de una vuelta de la mercanca
RMA (autorizacin) de licencia.
4-25
Captulo 4
Gestor de arranque de actualizacin y verificacin de imagen para el modo FIPS de
Operacin
La siguiente tabla describe la actualizacin y escenarios de downgrade utilizando diferentes imgenes y el uso de la
El modo FIPS o el modo no FIPS:
Tabla 4-6
Accin
Estado o Resultado
Nota
4-26
OL-29703-01
Captulo 4
Tabla 4-6
Accin
Estado o Resultado
4-27
Captulo 4
Gestor de arranque de actualizacin y verificacin de imagen para el modo FIPS de
Operacin
4-28
OL-29703-01
E R CH A P T
Gestin de Pilas
Conmutador
Este captulo trata de los conceptos y procedimientos para gestionar Catalyst 3750-E 3750-X pilas de conmutacin.
Nota
La operacin base LAN establece soportes cambian las pilas slo cuando todos los interruptores en la pila se ejecutan la LAN
operacin base fija.
La referencia de comandos interruptor tiene la sintaxis de comandos y la informacin de uso.
Este captulo consta de las siguientes secciones:
Para ms informacin relacionada pila-switch, como el cableado de los interruptores a travs de su StackWise Plus
puertos y el uso de los LED para mostrar el estado de pila de conmutadores, consulte la gua de instalacin de hardware.
El switch apilable 3750-X Catalizador tambin soporta StackPower, donde hasta cuatro switches pueden ser
conectados con cables de potencia de la pila para permitir que el interruptor de suministros para compartir la carga entre mltiples
sistemas en una pila. Switches de una pila de energa deben ser miembros de la misma pila interruptor (datos). Para
informacin sobre StackPower, vase Captulo 9, "Configuracin de Catalyst 3750-X StackPower."
Nota
En este captulo se describe cmo administrar Catalyst 3750-E-3750-X slo de slo cambiar las pilas. Para obtener informacin
sobre la gestin de las pilas de hardware y software y sobre el uso de imgenes de software universales con el software
licencias, consulte el Instalacin del software Cisco IOS documentar en Cisco.com.
5-1
Captulo 5
Pila-A Homognea Catalyst 3750-E solo-pila con slo Catalyst 3750-E se activa de la pila
miembros o un catalizador de slo 3750-X apilar con slo Catalyst 3750-X interruptores como miembros de la pila.
Pila mixta
Nota
Pilas mixtas no son compatibles con los interruptores de ejecutar el conjunto de funciones de base LAN.
-Apila de hardware mixto con una mezcla de Catalyst 3750-X, Catalyst 3750-E, 3750 y los interruptores
Nota
Pilas de interruptores que ejecutan el conjunto de funciones de base LAN no soportan Capa 3
caractersticas.
En una pila mixta que tiene Catalyst 3750-X, Catalyst 3750-E y Catalyst 3750 switches, recomendamos
que un switch 3750-X Catalizador ser el amo y que todos los miembros de la pila ejecutar Cisco IOS
Suelte 12.2 (53) SE2 o posterior. La imagen Catalyst 3750 est en los Catalyst 3750-X y 3750-E interruptores
para simplificar la administracin de conmutadores.
Para actualizar la pila, utilice el archive download-sw comando EXEC privilegiado para descargar imgenes a
el maestro. Por ejemplo, utilizar el archive download-sw / directorio tftp: //10.1.1.10/
c3750-ipservicesk9-tar.122-55.SE1.tar C3750E-universalk9-tar.122-55.SE1.tar comandos para especificar
un directorio, que sigue al comando con la lista de archivos tar para descargar para los miembros.
5-2
OL-29703-01
Captulo 5
-rwx
drwx
-rwx
-rwx
14313645
5632
444
14643200
Mar
Mar
Mar
Mar
1
1
1
1
1993
1993
1993
1993
00:13:55
00:15:22
00:15:58
00:04:32
00:
00:
00:
00:
00
00
00
00
C3750E-universalk9-tar.122-55.SE1.tar
HTML
info
c3750-ipservicesk9-tar.122-55.SE1.tar
El maestro de la pila es el nico punto de gestin de toda la pila. Desde el maestro de la pila, se configura:
A nivel del sistema caractersticas (globales) que se aplican a todos los miembros de
la pila
Caractersticas de nivel de interfaz para cada miembro de la pila
Una pila interruptor se identifica en la red por su bridge ID y, si est funcionando como un dispositivo de Capa 3, su
direccin MAC del router. El ID de puente y la direccin MAC del router estn determinadas por la direccin MAC del
apilar maestro. Cada miembro de la pila se identifica por su propia apilar nmero de socio.
Todos los miembros de la pila son elegibles para ser dueos de pila. Si el maestro de la pila deja de estar disponible, el
miembros de la pila restantes eligen a un nuevo maestro de la pila de entre ellos mismos. El interruptor de la ms alta
valor de prioridad miembro de la pila se convierte en el nuevo maestro de la pila.
Las caractersticas de nivel del sistema compatibles con el maestro de la pila son compatibles con toda la pila de switches. Si un
conmutador de la pila se est ejecutando el IP servicios de bases o de propiedad intelectual y el conjunto de caractersticas de
cifrado (es decir,
imagen de software universal de cifrado de apoyo), se recomienda que este cambio sea el maestro de la pila.
Caractersticas de cifrado no estn disponibles si la maestra de la pila se est ejecutando la base o IP servicios IP conjunto de
caractersticas
y la imagen de software noncryptographic.
Nota
En una pila mixta, Catalyst 3750 o Catalyst 3750-E interruptores corriendo Cisco IOS 12.2 (53) SE y
anterior podra estar corriendo una imagen noncryptographic. Catalyst 3750-X interruptores y Catalyst 3750 y
3750-E cambia con Cisco IOS versiones posteriores a la 12.2 (53) SE ejecute slo el software criptogrfico
imagen.
El maestro de la pila contiene los archivos de configuracin guardados y que se ejecutan para la pila de switches. El
archivos de configuracin incluyen la configuracin a nivel de sistema para la pila de switches y los ajustes de nivel de interfaz
para cada miembro de la pila. Cada miembro de la pila tiene una copia actual de estos archivos con fines de copia de seguridad.
Usted maneja la pila de switches a travs de una nica direccin IP. La direccin IP es una configuracin a nivel de sistema y es
no es especfico de la maestra de la pila o de cualquier otro miembro de la pila. Usted puede manejar la pila a travs de la misma
Direccin IP, incluso si retira el maestro de la pila o cualquier otro miembro de la pila de la pila.
Usted puede utilizar estos mtodos para administrar pilas de
conmutacin:
Network Assistant (disponible en Cisco.com)
Interfaz de lnea de comandos (CLI) a travs de una conexin en serie al puerto de consola de cualquier miembro de la pila o
el puerto de administracin de Ethernet de un miembro de la pila
Una aplicacin de gestin de red a travs del protocolo simple de administracin de redes (SNMP)
Utilizar SNMP para administrar servicios de red a travs de la pila de switches que se definen por las MIB compatibles.
El interruptor no es compatible con MIB para gestionar apilamiento especficos de caractersticas tales como la pertenencia pila
y eleccin.
5-3
Captulo 5
Estos conceptos sobre cmo cambiar las pilas y miembros de la pila se configuran:
-Cambie Stack Bridge ID y direccin MAC del router, pgina 5-7
-Nmeros Pila miembros, pgina 5-7
-Los valores de prioridad Pila miembros, pgina 5-8
-Cambie Pila Desconectado Configuracin, pgina 5-8
-Compatibilidad de hardware y modo Discrepancia SDM en Pilas Conmutador, pgina 5-11
-Cambie Recomendaciones Stack Software Compatibilidad, pgina 5-11
-Pila Protocolo Compatibilidad de versiones, pgina 5-12
-Nmero de versin principal Incompatibilidad Entre Interruptores, pgina 5-12
-Versin secundaria Nmero Incompatibilidad Entre Interruptores, pgina 5-12
-Software y Incompatible imagen Pila Miembro Actualizaciones, pgina 5-15
-Cambie los archivos de configuracin de pila, pgina 5-16
-Consideraciones adicionales para todo el sistema de configuracin en las pilas de interruptores, pgina 5-16
-Cambie la pila de Gestin de Conectividad, pgina 5-17
-Cambie Escenarios de configuracin de pila, pgina 5-19
-Actualizacin progresiva Pila, pgina 5-21
Nota
Una pila interruptor es diferente de un cambiar clster. Un centro de mandos es un conjunto de interruptores conectados a travs de
sus puertos LAN, tales como los puertos 10/100/1000. Para obtener ms informacin acerca de cmo las pilas de conmutacin
difieren
de grupos de conmutacin, consulte la "Planificacin y creacin de Clusters" captulo de la Introduccin a Cisco
Network Assistant en Cisco.com.
Nota
5-4
OL-29703-01
Captulo 5
LED del puerto en todos los switches de la pila deben ser de color verde. Dependiendo del modelo de conmutador, los dos ltimos
derecha
puertos son puertos Ethernet 10-Gigabit o factor de forma pequeo conectable (SFP) mdulo (10/100/1000
puertos). Si uno o ambos de estos LED no son de color verde en cualquiera de los interruptores, la pila no est operando a
ancho de banda completo.
Adicin de potencia-en conmutadores (la fusin) hace que los maestros de pila del interruptor de fusin las pilas de
elegir a un maestro de la pila de entre ellos mismos. El reelecto maestra de la pila conserva su funcin y
configuracin y tambin lo hacen sus miembros de la pila. Todos los interruptores restantes, incluyendo la antigua pila
maestros, recargan y se unen a la pila de switches como miembros de la pila. Cambian su miembro de la pila
nmeros a los nmeros ms bajos disponibles y utilizar la configuracin de la pila de la pila re-electo
amo.
Extraccin de miembros de la pila con motor sobre las causas de la pila de switches para dividir (particin) en dos o ms
cambiar las pilas, cada uno con la misma configuracin. Esto puede causar un conflicto de configuracin de direcciones IP
en tu red. Si desea que el interruptor de pilas de permanecer separados, cambiar la direccin o direcciones IP
de las pilas de conmutacin de nueva creacin. Si no tiene la intencin de dividir la pila de switches:
a. Apague los interruptores en las pilas de conmutacin de nueva creacin.
b. Vuelva a conectar a la pila de switches original a travs de sus puertos StackWise Plus.
c. Encienda los interruptores.
Para obtener ms informacin sobre el cableado y los interruptores que accionan las pilas, consulte el captulo "Cambiar de
instalacin" en
la gua de instalacin de hardware.
Figura 5-1
Miembro de la pila 1
Miembro de la pila 1
Miembro de la pila 1
157552
Miembro de la pila 2
y maestro de la pila
Figura 5-2
Miembro de la pila 1
Miembro de la pila 2
y maestro de la pila
Miembro de la pila 3
Miembro de la pila 1
Miembro de la pila 1
Miembro de la pila 2
y maestro de la pila
Miembro de la pila 3
157553
Miembro de la pila 4
5-5
Captulo 5
Nota
Se recomienda asignar el valor de prioridad ms alta para el interruptor que prefiere ser el
apilar maestro. Esto asegura que el interruptor es reelegido como maestra de la pila si se produce una re-eleccin.
3.
4.
El interruptor con el mayor conjunto de caractersticas de prioridad y la combinacin de imgenes de software. Estas
combinaciones
se enumeran de mayor a menor prioridad.
Nota
Las imgenes noncryptographic slo se aplican a las pilas mixtas que incluyen Catalyst 3750-E o 3750
interruptores que ejecutan Cisco IOS 12.2 (53) SE o anterior. Catalyst 3750-X interruptores y
Catalyst 3750-E o 3.750 interruptores que ejecutan versiones posteriores slo admiten la imagen criptogrfica.
Nota
En un pilas de interruptores que ejecutan el conjunto de funciones de base LAN, todos los switches de la pila deben
ejecutar la LAN
operacin base fija.
Durante la eleccin conmutador maestro de la pila, las diferencias en los tiempos de puesta en marcha entre los conjuntos
de funciones
determinar el maestro de la pila. El interruptor con el tiempo de puesta en marcha ms corta se convierte en el maestro de la
Por ejemplo, un interruptor de ejecutar el conjunto de caractersticas de los servicios IP tiene una prioridad ms alta que el
pila.
interruptor
ejecutar el conjunto de funciones de base IP, pero el interruptor de ejecutar el conjunto de funciones de base IP se convierte en
la pila
maestro porque el otro interruptor de toma 10 segundos ms que empezar. Para evitar este problema, actualice el
cambiar de ejecutar la operacin base IP establecida en imagen de software mismo conjunto de caractersticas y como el otro
conmutador o
iniciar manualmente el interruptor principal y espere al menos 8 segundos antes de comenzar el nuevo interruptor miembro
condel
la conjunto
direccinde
MAC
ms baja.
5. El
queinterruptor
la ejecucin
funciones
de base IP.
Un maestro de la pila conserva su papel a menos que ocurra uno de estos eventos:
La membresa pila de switches se incrementa mediante la adicin de potencia-en interruptores independientes o interruptor
pilas. *
En los eventos marcados con un asterisco (*), el maestro de pila actual podra ser reelegido en base al listado
factores.
5-6
OL-29703-01
Captulo 5
Al encender o reiniciar una pila de switches todo, algunos miembros de la pila tal vez no participar en el
apilar eleccin principal. Apila los miembros que estn encendidos en el mismo 120-segundo perodo de tiempo
participar en la eleccin maestra de la pila y tener la oportunidad de convertirse en el maestro de la pila. Miembros de la pila
que se enciende despus de 120 segundos, marco de tiempo no participar en esta eleccin inicial y convertirse en
apilar miembros. Todos los miembros de la pila participan en reelecciones. Para todas las consideraciones que accionan que afectan
apilar-master elecciones, vase el captulo "Instalacin del interruptor" en la gua de instalacin de hardware.
El nuevo maestro de la pila est disponible despus de unos segundos. Mientras tanto, la pila de conmutador utiliza la
tablas de reenvo en la memoria para minimizar las interrupciones de red. Las interfaces fsicas de la otra
miembros de la pila disponibles no se ven afectados durante una nueva eleccin maestra de la pila y se restauran.
Despus de un nuevo maestro de la pila es elegido y el maestro de la pila anterior se disponga, la pila anterior
master no reanudar su papel como maestro de la pila.
Como se describe en la gua de instalacin de hardware, puede usar el LED en el interruptor maestro para ver si el
interruptor es el maestro de la pila.
Si el nmero est siendo utilizado por otro miembro de la pila, el interruptor selecciona el ms bajo disponible
nmero en la pila.
5-7
Captulo 5
Si mueve un miembro de la pila a una pila de switches diferente, el miembro de la pila conserva su nmero slo si
el nmero no est siendo utilizado por otro miembro de la pila. Si se est utilizando, que selecciona a los interruptores
el nmero ms bajo disponible en la pila.
Si combina pilas interruptor, los interruptores que se unen a la pila de switches de una nueva maestra de la pila seleccionar el
los nmeros disponibles ms bajos de la pila. Para obtener ms informacin acerca de la fusin de las pilas de conmutacin,
consulte
la La seccin "Cambiar la pila de miembros" en la pgina 5-4.
Como se describe en la gua de instalacin de hardware, puede utilizar los LEDs del puerto de switch en el modo Stack a
determinar visualmente el nmero de miembro de la pila de cada miembro de la pila.
Nota
Se recomienda asignar el valor de prioridad ms alta para el interruptor que prefiere ser el maestro de la pila.
Esto asegura que el interruptor es reelegido como maestra de la pila.
Puede cambiar el valor de prioridad para un miembro de la pila mediante el uso de la interruptor pila-miembro de nmero
prioridad nueva prioridad-valor comando de configuracin global. Para obtener ms informacin, consulte la "Ajuste de la
Pila Miembro Prioridad Valor "en la pgina 5-26. Otra forma de cambiar el valor de prioridad miembro
es cambiando la variable de entorno SWITCH_PRIORITY, como se explica en la "Control de
Variables de entorno "en la pgina 4-21.
El nuevo valor de prioridad entra en vigor de inmediato, pero no afecta a la maestra de la pila actual. El nuevo
valor de prioridad ayuda a determinar qu pila miembro es elegido como el nuevo maestro de la pila cuando la corriente
maestra de la pila o se restablece el interruptor de pila.
5-8
OL-29703-01
Captulo 5
Cuando se agrega un interruptor aprovisionado a la pila de switches, la pila se aplica ya sea el aprovisiona
configuracin o la configuracin por defecto. Tabla 5-1 se enumeran los eventos que se producen cuando la pila de switches
compara la configuracin aprovisionado con el interruptor aprovisionado.
Tabla 5-1
Escenario
Los nmeros de miembro de la pila y
el partido tipos de interruptores.
Resultado
1.
2.
5-9
Captulo 5
Tabla 5-1
Escenario
Resultado
El maestro de la pila asigna un nuevo miembro de la pila La pila de switches aplica el aprovisiona
nmero para el interruptor de aprovisionado.
configuracin para el interruptor aprovisionado
y lo aade a la pila.
Los nmeros de miembros de pila y los tipos de conmutador
partido: Se cambia la configuracin aprovisionado
para reflejar la nueva informacin.
1. Si el nuevo nmero de miembro de la pila del
interruptor aprovisionado coincide con la pila
nmero de socio en el provisionados
configuracin en la pila, y
2.
2.
Nota
Si la pila de switches no contiene una configuracin aprovisionado para un nuevo interruptor, el interruptor se une a la
acumula con la configuracin de la interfaz por defecto. La pila de switches y luego aade a su configuracin en ejecucin un
interruptor pila-miembro de nmero prestacin Tipo comando de configuracin global que corresponda a la nueva
interruptor.
5-10
OL-29703-01
Captulo 5
Para obtener informacin de configuracin, consulte la Seccin de "aprovisionamiento de nuevos socios para una pila de
switches" en la
pgina 5-27.
Cuando un interruptor aprovisionado en una pila interruptor de falla, se retira de la pila, y se sustituye con
otro interruptor, la pila se aplica ya sea la configuracin aprovisionado o la configuracin por defecto a la misma.
Los eventos que se producen cuando la pila de switches compara la configuracin segn la frmula
interruptor aprovisionado son los mismos que los descritos en el "Efectos de la adicin de un interruptor aprovisionada a un
Cambie la seccin de pila "en la pgina 5-9.
Si elimina un interruptor dota con cargo al pila de switches, la configuracin asociada con la retirada
miembro de la pila permanece en la configuracin en ejecucin como informacin aprovisionado. Para eliminar por completo
la configuracin, utilice el hay un interruptor pila-miembro de nmero prestacin comando de configuracin global.
5-11
Captulo 5
Cuando el software detecta software coincidentes y trata de actualizar el interruptor en el modo de VM, dos
procesos de software estn involucrados: la actualizacin automtica y consejos automtica.
5-12
OL-29703-01
Captulo 5
-Auto-copia copia automticamente la imagen de software que se ejecutan en cualquier miembro de la pila al interruptor
en el modo de VM para actualizar (actualizacin automtica) de ella. Auto-copia se produce si la actualizacin automtica
est activada, si hay
es suficiente memoria flash en el interruptor en el modo de VM, y si la imagen de software que se ejecuta en el
pila de switches es adecuado para el cambio en el modo de VM.
Nota
Un interruptor en el modo de VM no se ejecute todo el software liberado. Por ejemplo, el nuevo interruptor
hardware no se reconoce en las versiones anteriores del software.
-Extraccin automtica (auto-extracto) se produce cuando el proceso de actualizacin automtica no puede encontrar el
software adecuado en la pila para copiar al switch en el modo de VM. En ese caso, el extracto de autoproceso busca en todos los switches de la pila, si estn en modo de mquina virtual o no, para el archivo tar
necesaria para actualizar la pila de switches o el interruptor en modo VM. El archivo de alquitrn puede estar en cualquier
flash
sistema de archivos en la pila de conmutacin (incluyendo el interruptor en el modo de VM). Si un archivo tar apropiado
para la
interruptor en el modo de VM se encuentra, el proceso extrae el archivo y automticamente actualiza que
interruptor.
La actualizacin automtica (auto-copia y extracto de auto) procesos espere unos minutos despus de la
software coincidentes se detecta antes de comenzar.
Cuando el proceso de auto-actualizacin, el interruptor que estaba en recargas modo VM y se une a la
apilar como miembro pleno funcionamiento. Si usted tiene ambos StackWise Plus cables conectados durante el
recarga, el tiempo de inactividad de la red no se produce debido a que la pila de switches funciona con dos anillos.
Nota
Auto-actualizacin realiza la actualizacin slo cuando los dos conjuntos de caractersticas son del mismo tipo. Por ejemplo, se
no actualiza automticamente un cambio en el modo de mquina virtual de servicios IP a funcin que es el conjunto de
caractersticas de base IP
(O al revs).
Asesorar automtica (auto-asesoramiento) se produce cuando el proceso de actualizacin automtica no puede encontrar la pila
apropiada
software miembro para copiar en el interruptor en modo VM. Este proceso le indica el comando (archive
copia-sw o archive download-sw comando EXEC privilegiado) y el nombre de la imagen (nombre del archivo tar)
es necesario actualizar manualmente la pila de switches o el interruptor en modo VM. La imagen recomendada
puede ser la imagen pila de switches correr o un archivo tar en cualquier sistema de archivos flash en la pila de switches
(Incluyendo el interruptor en el modo de VM). Si una imagen apropiada no se encuentra en el archivo flash pila
sistemas, el proceso de auto-asesoramiento le dice al instalar nuevo software en la pila de switches. Auto-consejo
no se puede desactivar, y no hay ningn comando para comprobar su estado.
El software de auto-asesoramiento hace no dar sugerencias cuando el software pila de switches y software
del interruptor en el modo de VM no contienen los mismos conjuntos de caractersticas. Por ejemplo, si la pila interruptor est
ejecutar la imagen de base IP y aadir un interruptor que ejecuta la imagen de servicios IP, el auto-asesoramiento
software no proporciona una recomendacin.
Puede utilizar el Archivo-download-sw / allow-funcin-upgrade comando EXEC privilegiado a
permitir la instalacin de una imagen de software diferente.
5-13
Captulo 5
5-14
OL-29703-01
Captulo 5
* 11 de
imagen:
* 11 de
* 11 de
* 11 de
* 11 de
* 11 de
* 11 de
* 11 de
Extraccin de edad
Todas las imgenes de software instalados.
recarga sistema solicitada en curso ...
Software copiado satisfactoriamente en
Sistema (s) 1
software de copia de Hecho
Sistema de transbordo (s) 1
Este ejemplo muestra que la pila de switches detecta un nuevo interruptor que ejecuta una versin de menor importancia diferente
nmero de la pila de switches. Comienza Auto-copia, pero no puede encontrar el software en la pila de switches para copiar a
el interruptor de VM-modo para hacerlo compatible con la pila de switches. El proceso de auto-asesoramiento comienza y
recomienda que descargue un archivo tar desde la red al switch en el modo de mquina virtual:
* 01 de marzo 00: 01: 11,319:% STACKMGR-6-STACK_LINK_CHANGE: Pila Puerto 2 Switch 2 ha cambiado a
UP estado
* 01 de marzo 00: 01: 15,547:% STACKMGR-6-SWITCH_ADDED_VM: Switch 1 se ha aadido a la pila
(VERSION_MISMATCH)
stack_2 #
* 01 de marzo 00: 03: 15,554:% IMAGEMGR-6-AUTO_COPY_SW_INITIATED: proceso de Auto-copia-software
iniciado por nmero de interruptor (s) 1
* 01 de marzo 00: 03: 15,554:% IMAGEMGR-6-AUTO_COPY_SW:
* 01 de marzo 00: 03: 15,554:% IMAGEMGR-6-AUTO_COPY_SW: Busca miembro de la pila para actuar
* 01 de marzo 00: 03: 15,554:% IMAGEMGR-6-AUTO_COPY_SW: como donante de software ...
* 01 de marzo 00: 03: 15,554:%-AUTO_COPY_SW IMAGEMGR-6: Software no fue copiado
* 01 de marzo 00: 03: 15,562:% IMAGEMGR-6-AUTO_ADVISE_SW_INITIATED: proceso de Auto-consejo-software
iniciado por nmero de interruptor (s) 1
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW:
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW:
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW: Los sistemas con software incompatible
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW: se han aadido a la pila. El
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW: dispositivos de almacenamiento en toda la pila
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW: los miembros se hayan digitalizado, y tiene
* 01 de marzo 00: 04: 22.537:% IMAGEMGR-6-AUTO_ADVISE_SW: ha determinado que la pila puede ser
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW: reparado mediante la emisin de la siguiente
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW: mandato (s):
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW:
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW: archive download-sw / force-reload
/ Sobrescribir / dest 1 flash1: C3750E-universal-mz.122-35.SE2.tar
* 01 de marzo 00: 04: 22,537:% IMAGEMGR-6-AUTO_ADVISE_SW:
Para obtener informacin sobre el uso del archive download-sw comando privilegiado EXEC, consulte la "Trabajo
con la seccin de software de imgenes "en la pgina 58-25.
Nota
Auto-asesora y auto-copia a identificar qu imgenes estn ejecutando examinando el archivo de informacin y por
buscar en la estructura de directorios en la pila de switches. Si descarga su imagen mediante el uso de la copiar tftp:
comando del gestor de arranque en lugar de la archive download-sw comando EXEC privilegiado, el buen
no se crea la estructura de directorios. Para obtener ms informacin sobre el archivo de informacin, consulte la "Formato de
archivo de
Imgenes sobre una seccin Cisco.com "Server o en la pgina 58-26.
5-15
Captulo 5
A nivel de sistema, tales ajustes de configuracin (globales) como IP, STP, VLAN, y SNMP ajustes-que
aplicar a todos los miembros de la pila
Ajustes de configuracin especficos de la interfaz miembros Pila que son especficos para cada miembro de la pila
El maestro de la pila tiene los archivos de configuracin guardados y que se ejecutan para la pila de switches. Todos los miembros
de la pila
recibir peridicamente copias sincronizadas de los archivos de configuracin de la maestra de la pila. Si la pila
maestro no est disponible, cualquier miembro de la pila asumiendo el papel de maestro de la pila tiene la ltima
archivos de configuracin.
Nota
Recomendamos que todos los miembros de la pila se ejecutan Cisco IOS 12.2 (35) SE2 o posterior. El
ajustes especficos de la interfaz de la maestra de la pila se guardan si el maestro de la pila se sustituye sin guardar la
corriendo de configuracin para la configuracin de inicio.
Cuando un nuevo interruptor, fuera de la caja se une a una pila de switches, se utiliza la configuracin a nivel de sistema de esa pila
de switches.
Si un interruptor se mueve a una pila de conmutadores diferente, que el interruptor pierde su archivo de configuracin guardado y
utiliza el
configuracin
a nivel
sistemaespecfica
de la nueva
switches.
La
configuracin
de ladeinterfaz
de pila
cadade
miembro
de la pila se asocia con el nmero de miembro de la pila.
Como se ha mencionado en el Seccin "Nmeros Pila miembros" en la pgina 5-7, miembros de la pila conservan sus nmeros
a menos que se cambien manualmente o que ya son utilizados por otro miembro de la misma pila de switches.
Si una configuracin de interfaz especfica no existe para que el nmero de socio, los usos miembros pila
su configuracin de interfaz especfica predeterminada.
Si existe una configuracin de interfaz especfica para ese nmero de miembros, el miembro de la pila utiliza el
configuracin de interfaz especfica asociada a ese nmero de socio.
Si un miembro de la pila falla y se reemplaza con ella por un modelo idntico, el interruptor de reemplazo
utiliza automticamente la misma configuracin de la interfaz especfica como el interruptor fallado. Por lo tanto, no es necesario
para volver a configurar los ajustes de la interfaz. El interruptor de reemplazo debe tener el mismo nmero de miembro de la pila
como el interruptor fallado. Para obtener informacin sobre los beneficios de aprovisionamiento de una pila conmutador, consulte la
"Interruptor
Pila configuracin fuera de lnea "en la pgina 5-8.
Una copia de seguridad y restaurar la configuracin de la pila de la misma manera como lo hara con un interruptor independiente
configuracin. Para obtener ms informacin acerca de los sistemas de archivos y los archivos de configuracin, consulte Apndice
58,
"Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes."
5-16
OL-29703-01
Captulo 5
Conectividad a la pila de switches A travs de Puertos de la consola o de Puertos de gestin Ethernet, pgina 5-18
Nota
Miembros de la pila conservan sus direcciones IP cuando se desconecta de una pila de switches. Para evitar un conflicto
por tener dos dispositivos con la misma direccin IP en su red, cambiar las direcciones IP de los interruptores
que se quita de la pila de switches.
Para obtener informacin relacionada sobre las configuraciones de pila de conmutadores, consulte la "Cambiar los archivos de
configuracin de pila"
en la pgina 5-16.
5-17
Captulo 5
Nota
La imagen de software noncryptographic slo estaba disponible en Catalyst 3750 o Catalyst 3750-E interruptores
corriendo Cisco IOS Versin 12.2 (53) SE y anteriores. Los Catalyst 3750-X interruptores slo se ejecutan el
imagen de software criptogrfico.
Puede conectar un terminal o un PC a la maestra de la pila a travs del puerto de consola de una o ms pila
miembros.
Puede conectar un PC a la maestra de la pila a travs de los puertos de administracin Ethernet de uno o ms
Catalyst 3750-E Catalyst miembros de la pila 3750-X. Para obtener ms informacin sobre cmo conectarse a la
pila de switches a travs de los puertos de gestin Ethernet, consulte el "Uso del puerto de administracin de Ethernet"
en la pgina 15-24.
Tenga cuidado al utilizar varias sesiones de la CLI para el maestro de la pila. Los comandos que se introduce en una sesin
no se muestran en las otras sesiones. Por lo tanto, es posible que usted podra no ser capaz de identificar el
sesin desde la que entr un comando.
Recomendamos el uso de slo una sesin de CLI en la gestin de la pila de switches.
Si desea configurar un puerto miembro de la pila especfico, debe incluir el nmero de miembro de la pila en la
CLI comando notacin interfaz. Para obtener ms informacin, consulte la "Uso del modo de configuracin de interfaz"
en la pgina 15-19.
Para depurar un miembro de la pila especfica, se puede acceder a l desde el maestro de la pila mediante el uso de la sesin
pila-miembro de nmero comando EXEC privilegiado. El nmero de miembro de la pila se aade al sistema de
prompt. Por ejemplo, Switch-2 # es el smbolo en el modo EXEC privilegiado para miembro de la pila 2, y el
indicador del sistema para el maestro de la pila es Cambiar. Slo el espectculo y debug comandos estn disponibles en una
Sesin de CLI a un miembro de la pila especfica.
5-18
OL-29703-01
Captulo 5
Escenario
Resultado
1.
2.
3.
5-19
Captulo 5
Tabla 5-2
Escenario
Resultado
Suponiendo que todos los miembros de la pila tienen el miembro de la pila con la imagen criptogrfica andStack elecciones maestro
mismo valor de prioridad: pila del conjunto de funciones de base IP es elegido determina master.specifically
por el criptogrfica
1. Asegrese de que un miembro de la pila tieneNotaSlo Catalyst 3650-E o 3.750 interruptores
imagen de software y la IP
la imagen criptogrfico instalado andrunning Cisco IOS 12.2 (53) SE o
conjunto de funciones de base
el conjunto de funciones de base IP habilitado y thatearlier podra estar en marcha el
el otro miembro de la pila tiene imagen thenoncyrptographic.
imagen noncryptographic instalado y
el conjunto de funciones de base IP habilitado.
2. Reinicie ambos miembros de la pila al mismo
tiempo.
Elecciones maestro Pila
Suponiendo que ambos miembros de la pila tienen el El miembro de la pila con la direccin MAC ms baja es
especficamente determinados mismo valor de prioridad, el archivo de configuracin, y la maestra de la pila elegido.
por la direccin MAC
conjunto de caractersticas, reinicie ambos miembros de la pila en
al mismo tiempo.
Nmero de socio Pila
conflicto
Suponiendo que uno de los miembros tiene una pila El miembro de la pila con el valor de prioridad ms alto
valor de prioridad ms alta que la otra pila
conserva su nmero de miembro de la pila. La otra pila
miembro de:
miembro tiene un nmero nuevo miembro de la pila.
1. Asegrese de que ambos miembros de la pila tienen
tiempo.
Aadir un miembro de la pila
5-20
OL-29703-01
Captulo 5
Actualizacin progresiva
Pila
Despus de actualizar o degradar una pila, se vuelven a cargar, y los hosts conectados a perder la conectividad de red.
Utilice la funcin de actualizacin de pila circular para minimizar la interrupcin de la red slo cuando la pila tiene
enlaces redundantes. Los miembros se actualizan uno a la vez.
Configuracin Pila
Puede ejecutar una actualizacin de pila circular en una pila con esta configuracin:
Figura 5-3
-Dual adjunta
acogida
Pila
Puerto 1
Pila
Puerto 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 3
Pila
Puerto 1
Pila
Puerto 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 5
Pila
Puerto 1
Pila
Puerto 2
Miembro 6
Pila
Puerto 1
Pila
Puerto 2
Miembro 7
Pila
Puerto 1
Pila
Puerto 2
Miembro 8
Pila
Puerto 1
Pila
Puerto 2
Miembro 9
Red
LACP cruzada pila
Etherchannel
255138
Ade doble unido anfitrin, tal como un servidor o un punto de acceso, est conectado a dos miembros a travs de un
EtherChannel cruzada pila.
conexiones. Para ver ejemplos de configuracin, consulte la gua de instalacin del hardware del switch.
-El interruptor permite a la direccin MAC persistente durante la actualizacin.
Al menos un enlace ascendente redundante est conectado a la red. El enlace ascendente tiene un interruptor activo y un
interruptor de espera.
-Un miembro que tiene una interfaz con el papel activo que es un interruptor activa.
-Otro miembro que tiene una interfaz con la funcin de espera es un interruptor de espera.
Proceso de
actualizacin
Antes de iniciar el proceso, configure un enlace ascendente redundante a la red para asegurarse de que la pila tiene
red connectivity.You tambin puede configurar el tiempo de arranque de la pila.
5-21
Captulo 5
Introduzca el archive download-sw / rolling-stack-upgrade comando privilegiado EXEC para iniciar la pila
actualizar. Durante la actualizacin, se puede visualizar la secuencia de actualizacin miembro o el estado de la actualizacin en una
miembro que no se est actualizando.
Este proceso ocurre en el software:
1.
La pila se divide en la unupgraded y las pilas mejoradas. Estas pilas operan como separado
pilas que no intercambian trfico. La capa 3 interfaces en la pila actualizado estn inactivos.
2.
-Dual adjunta
acogida
Pila
Puerto 1
Pila
Puerto 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 3
Pila
Puerto 1
Pila
Puerto 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 5
Pila
Puerto 1
Pila
Puerto 2
Miembro 6
Pila
Puerto 1
Pila
Puerto 2
Miembro 7
Pila
Puerto 1
Pila
Puerto 2
Miembro 8
Pila
Puerto 1
Pila
Puerto 2
Miembro 9
Red
LACP cruzada pila
Etherchannel
255139
Cuando Pila puerto 1 Miembro 1, el primer interruptor de espera, est conectado a Stack Puerto 2 de 9 miembros,
esta es la secuencia de actualizacin:
1.
Miembro 1
2.
Miembro 9
3.
Miembro 8
4.
Miembro 7
5-22
OL-29703-01
Captulo 5
5.
Miembro 6
6.
Miembro 5
7.
Miembro 2
8.
Miembro 3
9.
Miembro 4
Figura 5-5
-Dual adjunta
acogida
Pila
Puerto 1
Pila
Puerto 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 3
Pila
Puerto 1
Pila
Puerto 2
Pila
Puerto 1
Pila
Puerto 2
Miembro 5
Pila
Puerto 1
Pila
Puerto 2
Miembro 6
Pila
Puerto 1
Pila
Puerto 2
Miembro 7
Pila
Puerto 1
Pila
Puerto 2
Miembro 8
Pila
Puerto 1
Pila
Puerto 2
Miembro 9
Red
LACP cruzada pila
Etherchannel
255140
Cuando Pila puerto 1 Miembro 1, el primer interruptor de espera, est conectado a Stack Puerto 2 de 2 miembros,
esta es la secuencia de actualizacin:
1.
Miembro 1
2.
Miembro 2
3.
Miembro 3
4.
Miembro 9
5.
Miembro 8
6.
Miembro 7
7.
Miembro 6
8.
Miembro 5
9.
Miembro 4
5-23
Captulo 5
Caracterstica
Desactivado.
Nota
Cuando se introduce el comando para configurar esta funcin, aparecer un mensaje de advertencia con la
consecuencias de su configuracin. Usted debe utilizar esta funcin con precaucin. Usando el viejo maestro de la pila
Direccin MAC en otro lugar en el mismo dominio podra resultar en prdida de trfico.
Si introduce el comando sin ningn valor, el retraso predeterminado es de 4 minutos. Le recomendamos que
siempre introducir un valor. Si se introduce el comando sin un valor, el tiempo de retardo aparece en la
archivo running-config con un valor de temporizador explcito de 4 minutos.
Si introduce 0, la direccin MAC de pila de la maestra de la pila anterior se utiliza hasta que introduzca la no
pila-mac temporizador persistente comando, que inmediatamente cambia la direccin MAC de pila para que
del maestro de pila actual. Si no se introduce la sin pila-mac temporizador persistente comando, el
direccin de pila MAC nunca cambia.
5-24
OL-29703-01
Captulo 5
Nota
Si introduce un retardo de tiempo de 1 a 60 minutos, la direccin MAC de pila de la maestra de la pila anterior es
utilizado hasta que el perodo de tiempo configurado expira o hasta que introduzca la sin pila-mac temporizador persistente
de comandos.
Si la totalidad de las recargas pila de switches, que utiliza la direccin MAC de la maestra de la pila como la direccin MAC de la
pila.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la direccin MAC persistente. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
fin
Paso 4
show running-config
Compruebe que la pila MAC temporizador electrnico est habilitada. Si est activado, el
shows de salida pila-mac temporizador persistente y el tiempo en minutos.
o
Paso 5
show switch
Utilice el sin pila-mac temporizador persistente comando de configuracin global para inhabilitar la persistente MAC
funcin de direccin.
Este ejemplo muestra cmo configurar la funcin de la direccin MAC persistente durante un lapso de tiempo de 7 minutos y
para comprobar la configuracin:
Switch (config) # pila-mac temporizador persistente 7
ADVERTENCIA: La pila sigue utilizando la base MAC del viejo maestro
ADVERTENCIA: como la pila de MAC despus de una conmutacin maestro hasta que el
MAC
ADVERTENCIA: temporizador persistencia vence. Durante este tiempo la Red
ADVERTENCIA: Los administradores deben asegurarse de que la vieja pila-mac hace
5-25
Captulo 5
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
show switch
Paso 6
Nota
5-26
OL-29703-01
Captulo 5
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar un valor de prioridad a un miembro de la pila:
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Paso 6
Comando
Propsito
Paso 1
show switch
Paso 2
configure terminal
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Paso 7
5-27
Captulo 5
Para eliminar la informacin aprovisionado y para evitar recibir un mensaje de error, retire el interruptor especificada
de la pila antes de utilizar la no de este comando.
Por ejemplo, si va a quitar un interruptor provisionado en una pila con esta configuracin:
y desea quitar la informacin aprovisionado y para evitar recibir un mensaje de error, puede eliminar
alimentacin de miembro de la pila 3, desconecte el StackWise Plus cables entre el miembro de la pila 3 y
interruptores a la que est conectado, vuelva a conectar los cables entre los restantes miembros de la pila, y entran
la hay un interruptor pila-miembro de nmero prestacin comando de configuracin global.
Este ejemplo muestra cmo aprovisionar un interruptor con un nmero de miembro de la pila de 2 para la pila de switches.
El show running-config salida del comando muestra las interfaces asociadas con el interruptor aprovisionado:
Switch (config) # cambiar 2 Disposicin switch_PID
Switch (config) # fin
Switch # show running-config | Incluye interruptor de 2
!
interfaz GigabitEthernet2 / 0/1
!
interfaz GigabitEthernet2 / 0/2
!
interfaz GigabitEthernet2 / 0/3
<Salida trunca>
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
Paso 4
Nota
interfaz interface-id
5-28
OL-29703-01
Captulo 5
Paso 6
Comando
Propsito
Nota
fin
Paso 8
archive download-sw
/ Rolling-stack-upgrade
Paso 9
Inicia el proceso de actualizacin del estado rodando para actualizar a los miembros de uno en
uno
tiempo.
(Opcional) Durante el proceso de actualizacin, muestra la actualizacin miembro
secuencia.
(Opcional) Fuerza una recarga del sistema despus de la actualizacin pila circular.
Introduzca este comando slo si desea que la pila para mantener el original
maestro y no eligen a uno nuevo.
5-29
Captulo 5
Esta tarea es slo para propsitos de depuracin, y slo est disponible desde el maestro.
Se puede acceder a la totalidad o miembros especficos mediante el uso de la mando a distancia {Todo | pila-miembro-nmero}
comando EXEC privilegiado. El miembro intervalo de nmeros de la pila es de 1 a 9.
Puede acceder a los miembros especficos mediante el uso de la sesin pila-miembro de nmero EXEC privilegiado
de comandos. El nmero de socio se aade al indicador del sistema. Por ejemplo, el indicador de
miembro 2 es Switch-2 #, Y rpido sistema para el maestro es Switch #. Escriba exit para regresar a la CLI
sesin en el maestro. Slo el espectculo y debug comandos estn disponibles en un miembro especfico.
Comando
Descripcin
show switch
5-30
OL-29703-01
Captulo 5
Tabla 5-4
Comando
Descripcin
mostrar interruptor de pila-puertos [Resumen] informacin del puerto de visualizacin para la pila. Utilice el Resumen
palabra clave para mostrar la longitud del cable de la pila, el estado del enlace de pila,
y el estado de bucle invertido.
actividad anillo pila show switch
[Detalles]
Solucin de problemas de
Pilas
Desactivacin manual de un Pila Puerto, pgina 5-31
Nota
Tenga cuidado al utilizar la interruptor pila-miembro de nmero puerto pila nmero-puerto desactivar de comandos.
Cuando se deshabilita el puerto de pila, la pila funciona a la mitad del ancho de banda.
Una pila est en el full-ring estado cuando todos los miembros estn conectados a travs de los puertos de la pila y estn en
el estado de lista.
Al entrar en el interruptor pila-miembro de nmero puerto pila nmero-puerto desactivar EXEC privilegiado
comando y
La pila se encuentra en el estado de full-ring, puede desactivar un solo puerto pila. Este mensaje aparece:
Activar / desactivar un puerto pila puede causar cambios de pila no deseados. Continuar? [Confirm]
La pila se encuentra en el estado-anillo parcial, no se puede desactivar el puerto. Este mensaje aparece:
Desactivacin de puerto pila no se admite la configuracin de la pila actual.
5-31
Captulo 5
3.
4.
Vuelva a conectar el cable entre el puerto 1 del Switch 1 y Puerto 2 en el Switch 4 (el interruptor de reemplazo).
5.
Vuelva a activar el vnculo entre los switches. Introduzca el interruptor de puerto 1 pila 1 permitir EXEC privilegiado
comando para activar el puerto 1 del Switch 1.
6.
Encienda el interruptor 4.
Precaucin Encendido Interruptor 4 antes de habilitar el puerto 1 del Switch 1 podra causar uno de los interruptores para volver a cargar.
Si el interruptor 4 est encendido primero, puede que tenga que entrar en el interruptor de puerto 1 pila 1 permitir y el interruptor
4 Puerto 2 de la pantalla permiten comandos EXEC privilegiado para abrir el enlace.
Tabla 5-5
Enlace
Activo
-----S
No
No
S
S
S
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
S
No
1
S
No
1
S
No
1
S
No
1
S
No
1
S
No
Campo
Descripcin
Switch # / Puerto #
Down-A se detecta por cable, pero tampoco ningn vecino conectado se ha terminado,
o el puerto de la pila est deshabilitado.
Vecino
5-32
OL-29703-01
Captulo 5
Tabla 5-5
Campo
Descripcin
Link OK
Enlace Activo
Sincronizacin
Aceptar
# Cambios en LinkOK
En Loopback
La identificacin de problemas de
bucle invertido Software de bucle invertido, pgina 5-34
5-33
Captulo 5
Loopback Software
En una pila con tres miembros, se apilan los cables se conectan todos los miembros.
Switch # show switch pila puertos resumen
Interruptor # / StackNeighborCableLink
Puerto # PortLengthOK
Estado
-------- ------ -------- -------- ---1 / 1OK350 cmYes
1 / 2OK23 mYes
2 / 1OK13 mYes
2 / 2OK350 cmYes
3 / 1OK250 cmYes
3 / 2OK150 cmYes
Enlace
Activo
-----S
S
S
S
S
S
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
S
No
1
S
No
1
S
No
1
S
No
1
S
No
1
S
No
Enlace
Activo
-----No
S
S
S
S
No
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
No
No
1
S
No
1
S
No
1
S
No
1
S
No
1
No
No
Resumen
Cable
Largo
Enlace Enlace
Okay Activo
-------3 m
50 cm
50 cm
50 cm
---No
S
S
No
-----No
S
S
No
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
No
No
1
S
No
1
S
No
1
No
No
Enlace
Activo
-----No
No
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
No
S
1
No
S
5-34
OL-29703-01
Captulo 5
Enlace
Activo
-----No
No
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
S
S
1
S
S
Enlace
Activo
-----No
No
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
No
S
1
No
S
En el puerto 1 del Switch 1, el estado del puerto es Abajo, y hay un cable conectado.
En Puerto 2 del Switch 1, el estado del puerto es Ausente, y no hay ningn cable conectado.
Switch # show switch pila puertos resumen
Switch # / # En StackNeighborCableLinkLinkSync
Puerto # PortLengthOKActiveOKChangesLoopback
Estadopara LinkOK
-------- ------ -------- -------- ---- ------ ---- ------ --- -------1 / 1DownNone50 CmNoNoNo1No
1 / 2AbsentNoneNo cableNoNoNo1No
En una loopback fsica, un cable conecta los dos puertos de la pila en un switch. Usted puede utilizar esta configuracin
para probar
-Cables en un switch que est funcionando correctamente
-Puertos pila con un cable que funciona correctamente
Switch # show switch pila puertos resumen
Interruptor # / StackNeighborCableLink
Puerto # PortLengthOK
Estado
-------- ------ -------- -------- ---2 / 1OK250 cmYes
2 / 2OK250 cmYes
Enlace
Activo
-----S
S
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
S
No
1
S
No
5-35
Captulo 5
Loopback Hardware
El espectculo plataforma de bfer puertos de pila salida de comando EXEC privilegiado muestra el bucle de retorno de hardware
valores.
Switch # espectculo plataforma de bfer puertos de pila
Seguimiento de la pila de depuracin de datos de eventos
================================================== ============
Tipo de evento ENLACE: Enlace de cambio de estado
Tipo de evento RAC: RAC cambios a No OK
Tipo de evento SYNC: Sincronizacin cambia a No Aceptar
================================================== ============
EventStackStack PCS InfoCtrl-Estado LoopbackCable
CountPortIOS / HWlength
========= ===== =================================== = ========== ======== ========
Tipo de evento: ENLACE Aceptar Pila Puerto 1
00000000111FF08FF00 860302A5 AA55FFFF FFFFFFFF1CE61CE6Yes / S No cable
00000000112FF08FF00 86031805 55AAFFFF FFFFFFFF1CE61CE6Yes / S No cable
Tipo de evento: ENLACE Aceptar Pila Puerto 2
00000000121FF08FF00 860302A5 AA55FFFF FFFFFFFF1CE61CE6Yes / S No cable
00000000122FF08FF00 86031805 55AAFFFF FFFFFFFF1CE61CE6Yes / S No cable
Tipo de evento: RAC
00000000131FF08FF00 860302A5 AA55FFFF FFFFFFFF1CE61CE6Yes / S No cable
00000000132FF08FF00 86031805 55AAFFFF FFFFFFFF1CE61CE6Yes / S No cable
Si al menos un puerto pila tiene un cable de pila conectado, el Loopback HW valor para ambos puertos de pila
es No.
Si ninguno de puerto pila tiene un cable de pila conectado, el Loopback HW valor para ambos puertos de pila es S.
Si un puerto pila tiene un cable de pila conectado, el Loopback HW valor para el puerto de pila es No.
Si el puerto de pila no tiene un cable de pila conectada, el Loopback HW valor para el puerto de pila
es S.
Ctrl-Estado
Loopback
IOS / HW
========
Cable
longitud
========
0CE60C10
0CE60C10
No / No
No / No
50 cm
Sin cable
0CE60C10
0CE60C10
No / No
No / No
50 cm
Sin cable
===========
5-36
OL-29703-01
Captulo 5
EventStack
CountPort
========= =====
Tipo de evento:
00000000051
00000000052
Tipo de evento:
00000000061
00000000062
Tipo de evento:
00000009391
00000009392
Tipo de evento:
00000009401
00000009402
Tipo de evento:
00000009561
00000009562
Tipo de evento:
00000009571
00000009572
Tipo de evento:
00000009581
00000009582
Ctrl-Estado
Loopback
IOS / HW
========
Cable
longitud
========
0C100CE6
0C100CE6
No / No
No / No
Sin cable
50 cm
EFFFFFFF
FFFFFFFF
0C100CE6
0C100CE6
No / No
No / No
Sin cable
50 cm
EFFFFFFF
FFFFFFFF
0C100C14
0C100C14
No / No
No / No
Sin cable
Sin cable
0C100C14
0C100C14
No / No
No / No
Sin cable
Sin cable
1CE61CE6
1CE61CE6
S / S
S / S
Sin cable
Sin cable
1CE61CE6
1CE61CE6
S / S
S / S
Sin cable
Sin cable
1CE61CE6
1CE61CE6
S / S
S / S
Sin cable
Sin cable
===================================
ENLACE
Aceptar Pila Puerto 2
FF08FF00 0001FBD3 0801080B EFFFFFFF
FF08FF00 8603E4A9 5555FFFF FFFFFFFF
RAC
FF08FF00 0001FC14 08050204
ENLACE
FF08FF00 8603E4A9 5555FFFF
NO OK Pila Puerto 2
RAC FF08FF00 00016879 00010000
FF08FF00 0001901F 00000000
ENLACE
FF08FF00 000168BA
00010001 EFFFFFFF
00000000 FFFFFFFF
FF08FF00 0001905F
Aceptar Pila Puerto 1
ENLACE
FF08FF00 86034DAC
5555FFFF FFFFFFFF
FF08FF00 86033431
RACAceptar Pila Puerto 2 55AAFFFF FFFFFFFF
FF08FF00 86034DAC
FF08FF00 86033431
5555FFFF FFFFFFFF
55AAFFFF FFFFFFFF
FF08FF00 86034DAC 5555FFFF FFFFFFFF
FF08FF00 86033431 55AAFFFF FFFFFFFF
===========
5-37
Captulo 5
Enlace
Activo
-----S
S
S
S
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------0
S
No
0
S
No
0
S
No
0
S
No
5-38
OL-29703-01
Captulo 5
Enlace
Activo
-----S
No
No
S
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
S
No
2
No
No
2
No
No
1
S
No
El Pila Estado del puerto valor para el puerto 2 del Switch 1 es Ausente, y el valor del puerto 1 en el conmutador 2 es
Abajo.
o
-El Link OK, enlace activo, o Sincronizacin Aceptar valor es No.
Enlace
Activo
-----S
No
No
S
Sincronizaci
#
En
Loopback
n
Cambios
Okay Para LinkOK
------------------1
S
No
2
No
No
2
No
No
1
S
No
El Longitud del cable valor es 50 cm. El conmutador detecta y correctamente identifica el cable.
La conexin entre el puerto 2 del Switch 1 y el puerto 1 en el conmutador de 2 no es fiable en por lo menos uno de los
pines del conector.
5-39
Captulo 5
5-40
OL-29703-01
E R CH A P T
Interruptores Clustering
Este captulo trata de los conceptos y procedimientos para crear y administrar Catalyst 3750-E y 3560-E
Catalyst 3750-X y 3560-X grupos de interruptores. A menos que se indique lo contrario, el trmino interruptor se refiere a un
interruptor independiente ya una pila de switches.
Puede crear y administrar clsteres de conmutacin mediante Cisco Network Assistant (en adelante conocido como
Network Assistant), la interfaz de lnea de comandos (CLI), o SNMP. Para completar los procedimientos, consulte el
ayuda en lnea. Para los comandos de la CLI de racimo, vea la referencia de comandos de conmutacin.
Nota
Network Assistant admite clsteres de conmutacin, pero le recomendamos que en vez de grupo el canje por
comunidades. Network Assistant tiene un clster Asistente de conversin para ayudarle a convertir un grupo en una
comunidad. Para obtener ms informacin acerca de Network Assistant, que incluye informacin introductoria sobre
la gestin de clsteres de conmutacin y conversin de un centro de mandos a una comunidad, consulte Introduccin a Cisco
Network Assistant, disponibles en Cisco.com.
Este captulo se centra en Catalyst 3750-E y 3560-E Catalyst 3750-X y 3560-X grupos de interruptores. Tambin
incluye directrices y limitaciones para grupos mezclados con otros switches Catalyst habilitados para grupos, pero
no proporciona una descripcin completa de las caractersticas de racimo para estos otros switches. Para completa
informacin de clster para una plataforma catalizador especfico, consulte la gua de configuracin de software para ese interruptor.
Este captulo consta de las siguientes secciones:
Nota
No se recomienda el uso de la ip http access-class comando de configuracin global para limitar el acceso a
hosts o redes especficas. El acceso debe ser controlado a travs del switch de comandos de grupo o por
solicitan listas de control de acceso (ACL) en las interfaces que se configuran con direcciones IP. Para obtener ms
informacin sobre las ACL, consulte Captulo 40, "Configuracin de Red de Seguridad con ACL."
6-1
Captulo 6
Interruptores Clustering
La comprensin de Clusters
interruptor Acentro de mandos es un conjunto de hasta 16 conectados, switches Catalyst habilitados para grupos, que se gestionan como un
entidad nica. Los conmutadores del clster utilizan la tecnologa de conmutacin de la agrupacin para que pueda configurar
y solucionar problemas de un grupo de diferentes plataformas de conmutacin de escritorio catalizador a travs de una nica
direccin IP.
En un clster de conmutacin, 1 interruptor debe ser el interruptor de comandos de grupo y otros hasta 15 switches pueden ser
interruptores miembro del clster. El nmero total de interruptores en un clster no puede exceder de 16 interruptores. El
interruptor de comandos de grupo es el nico punto de acceso se utiliza para configurar, administrar y supervisar el clster
interruptores miembros. Los miembros del clster pueden pertenecer slo a un grupo a la vez.
Nota
Un clster de conmutador es diferente de un pila de switches. Una pila interruptor es un conjunto de Catalyst 3750-X,
Catalyst 3750-E, o Catalyst 3750 switches conectados a travs de sus puertos de la pila. Para obtener ms informacin
acerca de cmo se diferencian de pilas de conmutacin del interruptor de grupos, consulte la Seccin "Cambiar Clusters and Switch
Pilas"
en la pgina 6-14.
Los beneficios de interruptores de agrupamiento incluyen:
Redundancia Comando-switch si un switch de comandos de grupo falla. Uno o ms conmutadores pueden ser
designado como reserva el interruptor de mando de clster para evitar la prdida de contacto con los miembros de clster. A
grupo de reserva de clster es un grupo de parmetros de comando clster en espera.
Gestin de una variedad de switches Catalyst a travs de una nica direccin IP. Esto conserva sobre IP
direcciones, especialmente si usted tiene un nmero limitado de ellos. Toda la comunicacin con el conmutador
cluster es a travs de la direccin IP del switch de comandos de grupo.
Tabla 6-1 enumera los switches Catalyst elegibles para el agrupamiento de conmutacin, incluyendo cules pueden ser clster
interruptores de mando y cules slo pueden ser conmutadores, miembro del clster, y el software necesario
versiones.
Tabla 6-1
Cambiar
Capacidad Cluster
Catalyst 3750-X
Catalyst 3750-E
Catalyst 3750
Catalyst 3560-X
Catalyst 3560-E
Catalyst 3560
6-2
OL-29703-01
Captulo 6
Interruptores Clustering
La comprensin de Clusters interruptor
Tabla 6-1
Cambiar
Capacidad Cluster
Catalizador 3550
Catalizador 2970
Catalyst 2960
Catalizador 2955
Catalizador 2950
Catalizador 2940
Catalizador 3500 XL
Cuenta con Cisco Discovery Protocol (CDP) Versin 2 habilitada (por defecto).
Se conecta a los interruptores de mando clster en espera a travs de la VLAN de administracin y para la
miembro del clster cambia a travs de una VLAN comn.
Est conectado con el interruptor de mando y de otros modificadores de comando de espera a travs de su
VLAN de administracin.
Est conectado a todos los otros interruptores de miembro de clster (excepto el comando cluster y de espera
el interruptor de mando) a travs de una VLAN comn.
Se conecta de forma redundante para el clster para que la conectividad a agruparse interruptores miembros es
mantenido.
6-3
Captulo 6
Interruptores Clustering
Nota
Espera el interruptor de mando clster deben ser del mismo tipo de interruptores como el comando cluster
interruptor. Por ejemplo, si el interruptor de comando cluster es un switch 3750-E del catalizador, la espera
modificadores de comando de clster tambin deben ser conmutadores Catalyst 3750-E. Ver la configuracin del switch
gua de otros interruptores-capaz de racimo por sus requisitos de comando de espera clster
interruptores.
Si existe un grupo de reserva de racimo, l est conectado a cada interruptor de comandos de grupo a travs de espera
al menos una VLAN comn. La VLAN para cada switch de comandos de grupo de espera puede ser diferente.
Est conectado con el interruptor de comandos de grupo a travs de al menos una VLAN comn.
Nota
Catalizador 1900, Catalyst 2820, Catalyst 2900 XL, Catalyst 2940, Catalyst 2950, y
Catalyst 3500 XL candidatos y miembros de clster interruptores deben estar conectados a travs de su
VLAN de administracin al switch de comandos de grupo y el interruptor de mando clster en espera.
Para obtener informacin completa acerca de estos modificadores en un entorno interruptor de clster, consulte la
gua de configuracin de software para que el interruptor especfico.
Este requisito no se aplica si usted tiene un Catalyst 2960, Catalyst 2970, Catalyst 3550,
Catalyst 3560, Catalyst 3560-E, Catalyst 3750, Catalyst 3750-E, Catalyst 3650-X, o
Catalyst 3750-X interruptor de comandos de grupo. Candidatos y miembros de clster conmutadores puede
conectarse a travs de cualquier VLAN en comn con el interruptor de comandos de grupo.
Planificacin de un centro de
mandos Anticipndose a los conflictos y problemas de compatibilidad es una alta prioridad al administrar varios switches
a travs de un clster. Esta seccin describe estas pautas, requisitos y advertencias que se deben
comprender antes de crear el clster:
6-4
OL-29703-01
Captulo 6
Interruptores Clustering
Planificacin de un centro de mandos
Consulte las notas de la versin para obtener la lista de los switches Catalyst elegibles para el agrupamiento de conmutacin,
incluyendo cules
puede ser el interruptor de mando de racimo y cules slo pueden ser conmutadores, miembro del clster, y para el
requerida versiones de software y navegador y configuraciones de plug-in de Java.
No desactive CDP en el switch de comandos de grupo, en los miembros del clster, o en cualquier grupo con capacidad
interruptores que usted puede ser que desee un comando cluster cambiar a descubrir. Para obtener ms informacin acerca de CDP,
ver Captulo 31, "Configuracin de CDP."
Siguiendo estas directrices de conectividad asegura la deteccin automtica del centro de mandos, racimo
candidatos, grupos de interruptores conectados y dispositivos de borde de la vecina:
Mediante el uso de CDP, un switch de comandos de grupo puede descubrir los interruptores hasta siete CDP saltos de distancia (el
valor por defecto
es de tres saltos) desde el borde de la agrupacin. El borde de la agrupacin es que el ltimo miembro de clster
interruptores estn conectados a la agrupacin y a los conmutadores candidatos. Por ejemplo, los miembros del clster conmuta 9
y 10 en Figura 6-1 se encuentran en el borde de la agrupacin.
En Figura 6-1, el switch de comandos de grupo tiene puertos asignados a las VLAN 16 y 62 aos El CDP nmero de saltos
es de tres. El switch de comandos de grupo descubre conmutadores 11, 12, 13 y 14, ya que se encuentran dentro de tres
lpulo desde el borde de la agrupacin. No descubrir el interruptor 15, ya que es cuatro saltos desde el borde de
el clster.
6-5
Captulo 6
Interruptores Clustering
Figura 6-1
Dispositivo de comando
VLAN 16
VLAN 62
Miembro
dispositivo 8
Miembro
dispositivo 10
Miembro
dispositivo 9
Dispositivo 12
El dispositivo 11
candidato
dispositivo
Dispositivo 13 Candidato
dispositivos
Edge de
racimo
Dispositivo 14
Dispositivo 15
101321
Si un interruptor de comando de clster est conectado a un no CDP-capaz hub de terceros (Tal como un no-Cisco
hub), que puede detectar los dispositivos habilitados para clster conectados a ese centro de terceros. Sin embargo, si el clster
interruptor de mando est conectado a un -sin clster capaces dispositivo Cisco, no se puede descubrir una habilitado para clster
dispositivo conectado ms all del dispositivo Cisco-sin clster capaz.
Figura 6-2 muestra que el interruptor de comandos de grupo descubre el interruptor que est conectado a un tercero
hub. Sin embargo, el interruptor de comandos de grupo no descubre el interruptor que est conectado a un
Catalyst 5000 interruptor.
Figura 6-2
Hub de terceros
(No-CDP-capaz)
Dispositivo Candidato
Dispositivo Candidato
89377
6-6
OL-29703-01
Captulo 6
Interruptores Clustering
Planificacin de un centro de mandos
Si el interruptor de comandos de grupo es un Catalyst 3560-E, Catalyst 3750-E, Catalyst 3560-X, o catalizador
Interruptor 3750-X, el clster puede tener interruptores de miembro de clster en diferentes VLANs. Como miembro del clster
interruptores, deben estar conectados a travs de al menos una VLAN en comn con el comando cluster
interruptor. El switch de comandos de grupo en Figura 6-3 tiene puertos asignados a las VLAN 9, 16 y 62 y
por lo tanto, descubre los interruptores en esas VLANs. No descubrir el interruptor en la VLAN 50 Tambin
no descubre el interruptor en la VLAN 16 en la primera columna, porque el interruptor de comandos de grupo tiene
hay conectividad VLAN a ella.
Catalizador 2900 XL, Catalyst 2950 y Catalyst 3500 XL interruptores de miembro de clster deben estar conectados a
el switch de comandos de grupo a travs de su VLAN de administracin. Para obtener informacin acerca de la deteccin a travs de
VLAN de administracin, consulte la Seccin "Descubrimiento a travs de diferentes Gestin VLAN" en la pgina 6-7.
Para obtener ms informacin acerca de las VLAN, consulte Captulo 16, "Configuracin de VLAN".
Nota
Para consideraciones adicionales sobre las VLAN en pilas de conmutacin, consulte la "Clusters de interruptor y conmutador
Seccin Pilas "en la pgina 6-14.
Figura 6-3
Dispositivo de comando
VLAN 62
VLAN 62
VLAN 16
Catalyst 2960, Catalyst 2970, Catalyst 3550, Catalyst 3560, Catalyst 3560-E, Catalyst 3750,
Catalyst 3750-E, Catalyst 3560-X, o Catalyst 3750-X modificadores de comando clster pueden descubrir y
manejar interruptores de miembro de clster en diferentes VLAN y VLAN diferentes de gestin. Como grupo
interruptores miembros, que deben estar conectados a travs de al menos una VLAN en comn con el clster
interruptor de mando. Ellos no necesitan estar conectados al conmutador de comandos de grupo a travs de su
VLAN de administracin. La VLAN de administracin por defecto es la VLAN 1.
6-7
Captulo 6
Interruptores Clustering
Nota
Si el centro de mandos tiene un Catalyst 3750-E o Catalyst 3750-X interruptor o interruptor de pila, que el interruptor o
pila de switches debe ser el interruptor de comandos de grupo.
El switch de comandos de grupo y el interruptor de mando de espera en Figura 6-4 (Suponiendo que sean
Catalyst 2960 de Catalyst 2970, Catalyst 3550, Catalyst 3560, Catalyst 3560-E, Catalyst 3750,
Catalyst 3750-E, Catalyst 3560-X, o Catalyst 3750-X modificadores de comando cluster) han asignado los puertos
a las VLAN 9, 16, y 62 aos La VLAN de administracin en el switch de comandos de grupo es VLAN 9. Cada
interruptor de comandos de grupo descubre los interruptores en las diferentes VLAN de administracin, excepto los siguientes:
Figura 6-4
Descubrimiento a travs de diferentes redes VLAN de administracin con una capa de comando 3 Cluster
Cambiar
Comando
dispositivo
Comando Suspender
dispositivo
VLAN 9
VLAN 16
Dispositivo 3
(Gestin
VLAN 16)
VLAN 16
VLAN 62
Dispositivo de 5
(Gestin
VLAN 62)
VLAN tronco 4, 62
Dispositivo 7
(Gestin
VLAN 4)
Dispositivo 4
(Gestin
VLAN 16)
VLAN 62
Dispositivo 9
(Gestin
VLAN 62)
VLAN 9
Dispositivo 6
(Gestin
VLAN 9)
VLAN 9
Dispositivo 8
(Gestin
VLAN 9)
VLAN 4
El dispositivo 10
(Gestin
VLAN 4)
101323
Si el interruptor de comandos de grupo tiene un puerto de enrutado (RP) configurado, se descubre solo candidato y el grupo
interruptores de miembros en el misma VLAN como el puerto de enrutado. Para obtener ms informacin acerca de puertos con
enrutamiento, consulte la
Seccin de "puertos con enrutamiento" en la pgina 15-4.
La Capa 3 conjunto de interruptores de mando en Figura 6-5 puede descubrir los interruptores en VLANs 9 y 62, pero no
el switch en la VLAN 4. Si la ruta de puerto enrutado entre el interruptor de comandos de grupo y miembro del clster
interruptor 7 se pierde, la conectividad con el interruptor de miembro de grupo 7 se mantiene debido a la ruta redundante
a travs de VLAN 9.
6-8
OL-29703-01
Captulo 6
Interruptores Clustering
Planificacin de un centro de mandos
Figura 6-5
RP
VLAN 62
VLAN
9
VLAN 62
VLAN 9
Miembro
dispositivo 7
(Gestin
VLAN 62)
VLAN 4
101324
Para unirse a un grupo, el nuevo, fuera de la caja del interruptor debe conectarse al clster a travs de uno de sus
puertos de acceso. Un orificio de acceso (AP) transporta el trfico de y pertenece a una sola VLAN. Por defecto, el
nuevo interruptor y sus puertos de acceso estn asignados a la VLAN 1.
Cuando el nuevo interruptor se une a un grupo, su valor predeterminado VLAN cambia a la VLAN de forma inmediata
vecino anterior. El nuevo switch tambin configura su puerto de acceso que pertenecen a la VLAN de la
vecino inmediatamente aguas arriba.
El switch de comandos de grupo en Figura 6-6 pertenece a las VLAN 9 y 16 Cuando el nuevo cluster-capaz
interruptores se unen al clster:
Figura 6-6
VLAN 9
VLAN 16
Un dispositivo
El dispositivo B
AP
VLAN 9
Nuevo (out-of-box)
dispositivo candidato
AP
VLAN 16
Nuevo (out-of-box)
dispositivo candidato
101325
6-9
Captulo 6
Interruptores Clustering
Para una pila de switches de comandos de grupo, un switch de comandos de grupo de reserva es necesaria si la totalidad
pila de switches falla. Sin embargo, si slo el maestro de la pila en la pila de switches comando falla, el interruptor
pila elige a un nuevo maestro de la pila y vuelve a su papel como la pila de switches de comandos de grupo.
Para un switch de comandos de grupo que es un interruptor independiente, configurar un comando de reserva de clster
cambiar a hacerse cargo de si el interruptor principal de comandos de grupo falla.
Agrupo de reserva de clster es un grupo de interruptores de mando capaz que cumplan los requisitos descritos
en el "Comando Cluster espera apagar Caractersticas" en la pgina 6-3. Slo espera un clster
grupo puede ser asignado por clster.
Nota
El grupo espera clster es un grupo HSRP. Desactivacin HSRP desactiva el grupo de espera clster.
Los interruptores en el grupo de espera clster se clasifican de acuerdo a las prioridades HSRP. El interruptor con el
prioridad ms alta en el grupo es el modificador de comando de clster activo (AC). El switch con el siguiente ms alto
prioridad es la modificador de comando clster en espera (SC). Los otros switches en el grupo de espera racimo son
la modificadores de comando de clster pasivos (PC). Si el interruptor de comandos de grupo activo y el clster en espera
interruptor de mando se vuelven inoperables al mismo tiempo, el switch de comandos de grupo pasiva con la ms alta
prioridad se convierte en el switch de comandos de grupo activo. Por las limitaciones de la deteccin automtica, consulte la
"Recuperacin automtica de la configuracin del clster" en la pgina 6-12. Para obtener informacin sobre el cambio de
Valores de prioridad HSRP, ver la Seccin "Configuracin de prioridad HSRP" en la pgina 48-8. El HSRP standby
prioridad comandos de configuracin de interfaz son los mismos para cambiar la prioridad de standby del grupo
miembros del grupo y los miembros del grupo enrutador redundancia.
Nota
El intervalo de tiempo de espera de espera HSRP debe ser mayor que o igual a tres veces el tiempo de hola
intervalo. El HSRP intervalo de tiempo de espera de espera predeterminado es de 10 segundos. El HSRP espera predeterminado
hola
intervalo de tiempo es de 3 segundos. Para obtener ms informacin sobre el tiempo de espera de espera y espera hola tiempo
intervalos, ver la Seccin "Configuracin HSRP Autenticacin y Timers" en la pgina 48-10.
Estas directrices de conectividad asegurar la deteccin automtica del centro de mandos, los candidatos de racimo,
grupos de interruptores conectados, y dispositivos de borde de vecinos. Estos temas tambin proporcionan ms detalles acerca
reserva el interruptor de mando de clster:
6-10
OL-29703-01
Captulo 6
Interruptores Clustering
Planificacin de un centro de mandos
Direcciones IP virtuales
Es necesario asignar una nica virtual de direccin IP y el nmero de grupo y el nombre para el grupo de espera clster.
Esta informacin debe estar configurada en una VLAN especfica o puerto encamina en el comando activo de clster
interruptor. El switch de comandos de grupo activo recibe el trfico destinado a la direccin IP virtual. Para gestionar
el clster, debe acceder al switch de comandos de grupo activo a travs de la direccin IP virtual, no
a travs de la direccin IP de comandos-switch. Esto es en caso de que la direccin IP del comando activo clster
interruptor es diferente de la direccin IP virtual del grupo de reserva clster.
Si el interruptor de comandos de grupo activo falla, el interruptor de mando clster en espera asume la propiedad de
la direccin IP virtual y se convierte en el switch de comandos de grupo activo. Los interruptores de pasivos en el
grupo de reserva de clster comparar sus prioridades asignadas a decidir el nuevo comando de espera clster
interruptor. El interruptor de espera pasiva con la prioridad ms alta se convierte en el comando de espera clster
interruptor. Cuando el interruptor de comandos de grupo activa anterior se activa de nuevo, se vuelve a su papel como
el switch de comandos de grupo activo, y el interruptor de comandos de grupo activo actual se convierte en el modo de espera
comando cluster cambiar de nuevo. Para obtener ms informacin sobre la direccin IP en los clsteres de conmutacin, consulte la
"IP
Apartado de direcciones "en la pgina 6-13.
Para consideraciones adicionales acerca de los grupos de reserva de clster en pilas de conmutacin, consulte la "Clusters Switch y
Cambie la seccin Pilas "en la pgina 6-14.
Estos requisitos tambin se aplican:
Espera el interruptor de mando clster deben ser del mismo tipo de interruptores como el comando cluster
interruptor. Por ejemplo, si el interruptor de comandos de grupo es un Catalyst 3750-E o Catalizador interruptor 3750-X,
los modificadores de comando clster en espera tambin deben ser Catalyst 3750-E o Catalyst 3750-X interruptores.
Consulte la gua de configuracin del switch de otros interruptores-capaz de racimo por sus requisitos de
el interruptor de mando clster en espera.
Si el clster interruptor tiene un interruptor de Catalizador 3750-X o una pila de conmutadores, debe ser el clster
interruptor de mando. En caso contrario, cuando el grupo tiene un Catalyst 3750-E conmutador o interruptor de pila, que el
interruptor
debe ser el interruptor de comandos de grupo.
Slo el grupo espera un clster puede ser asignado a un clster. Usted puede tener ms de una
enrutador redundancia grupo de reserva.
Un grupo HSRP puede ser a la vez un grupo de reserva clster y un grupo enrutador redundancia. Sin embargo, si un
grupo enrutador redundancia se convierte en un grupo de reserva de clster, la redundancia de enrutador se desactiva en
ese grupo. Se puede volver a habilitarlo mediante la CLI. Para obtener ms informacin acerca de HSRP y el router
redundancia, consulte Captulo 48, "Configuracin HSRP y VRRP."
Todos los miembros del grupo de espera deben ser miembros de la agrupacin.
Nota
No hay lmite para el nmero de interruptores que se pueden asignar como comando de espera clster
interruptores. Sin embargo, el nmero total de los interruptores de la agrupacin-que incluira la
interruptor activo grupo de mando, los miembros del grupo de espera, y miembro del clster
interruptores, no puede ser ms de 16.
6-11
Captulo 6
Interruptores Clustering
Cada miembro de espera-grupo (Figura 6-7) deben estar conectados al switch de comandos de grupo a travs de
la misma VLAN. En este ejemplo, el switch de comandos de grupo y el comando de espera clster
interruptores son Catalyst 3560-E, Catalyst 3750-E, Catalyst 3560-X, o Catalyst 3750-X clster
el interruptor de mando. Cada miembro de espera-grupo tambin debe estar conectada de forma redundante entre s
a travs de al menos una VLAN en comn con el conjunto de interruptores.
Catalizador 1900, Catalyst 2820, Catalyst 2900 XL, Catalyst 2950 y Catalyst 3500 XL clster
interruptores miembros deben estar conectados al grupo de espera clster a travs de su gestin
VLANs. Para obtener ms informacin acerca de las VLAN en los cmulos de conmutacin, consulte las siguientes
secciones:
-"El descubrimiento a travs de diferentes redes VLAN" en la pgina 6-7
-Seccin "Descubrimiento mediante el manejo de diferentes VLAN" en la pgina 6-7
Figura 6-7
Gestin
VLAN 16
VLAN 9
Gestin
VLAN 9
VLAN 9
Gestin
VLAN 16
VLAN 16
101326
Dispositivos miembros
Esta limitacin se aplica slo a las agrupaciones que tienen Catalizador 2950, Catalyst 2960, Catalyst 2970,
Catalizador 3550, Catalyst 3560, Catalyst 3560-E, Catalyst 3560-X, Catalyst 3750, Catalyst 3750-E,
y comando Catalyst 3750-X y el interruptor de mando clster en espera: Si el clster activo
interruptor de mando y comando de espera centro de mandos quedan discapacitados al mismo tiempo, el pasivo
interruptor de comandos de grupo con la prioridad ms alta se convierte en el switch de comandos de grupo activo.
Sin embargo, debido a que era un interruptor de mando clster en espera pasiva, el comando cluster previo
interruptor no lo hizo informacin cluster-configuracin con ansias. El switch de comandos de grupo activo
slo reenva informacin de clster de la configuracin del switch de comandos de grupo de espera. Usted debe
por lo tanto, reconstruir el clster.
6-12
OL-29703-01
Captulo 6
Interruptores Clustering
Planificacin de un centro de mandos
Esta limitacin se aplica a todos los clsteres: Si el interruptor de comandos de grupo activo falla y hay ms
de dos interruptores en el grupo de espera clster, el nuevo switch de comandos de grupo no descubre
cualquier catalizador 1900, Catalyst 2820, y los interruptores de miembro de clster de Catalyst 2916M XL. Usted debe
volver a agregar estos interruptores de miembro de clster al clster.
Esta limitacin se aplica a todos los clsteres: Si el interruptor de comandos de grupo activo falla y se activa
de nuevo, no descubre ninguna Catalizador 1900, Catalyst 2820, y el grupo de Catalyst 2916M XL
interruptores miembros. Debe aadir de nuevo estos interruptores de miembro de clster al clster.
Cuando el interruptor de comandos de grupo previamente activa retoma su papel activo, que recibe una copia de la
ltima configuracin de clster desde el switch de comandos de grupo activo, incluyendo a los miembros que se agregaron
mientras no estaba activo. El switch de comandos de grupo activo enva una copia de la configuracin del clster a la
grupo de reserva clster.
Direcciones IP
Debe asignar informacin de IP a un switch de comandos de grupo. Puede asignar ms de una direccin IP
al switch de comandos de grupo, y se puede acceder al clster a travs de cualquiera de los comandos-switch IP
direcciones. Si configura un grupo de reserva de clster, debe utilizar la direccin IP virtual de espera-grupo
para administrar el clster desde el switch de comandos de grupo activo. Utilizando la direccin IP virtual asegura que
usted conserva la conectividad con el clster si el interruptor de comandos de grupo activo falla y que un clster en espera
interruptor de mando se convierte en el interruptor de mando de clster activo.
Si el interruptor de comandos de grupo activo falla y el interruptor de mando clster en espera se hace cargo, debe
o bien utilizar la direccin IP virtual de espera-grupo o cualquiera de las direcciones IP disponibles en el nuevo activo
interruptor de comandos de grupo para acceder al clster.
Puede asignar una direccin IP a un conmutador-cluster capaz, pero no es necesario. Un interruptor de miembro de clster
se gestiona y se comunica con otros interruptores de miembro de clster mediante el comando-switch IP
direccin. Si el interruptor de miembro de clster deja el grupo y no tiene su propia direccin IP, debe
asignar una direccin IP para su gestin como un interruptor independiente.
Para obtener ms informacin acerca de las direcciones IP, consulte Captulo 4, "Asignacin de la direccin IP del conmutador y por
defecto
Gateway ".
Nombres de
host
No es necesario asignar un nombre de host a un interruptor de comandos de grupo o un miembro del clster elegibles.
Sin embargo, un nombre de host asignado al conmutador de comandos de grupo puede ayudar a identificar el centro de mandos. El
nombre de host predeterminado para el switch es Switch.
Si un interruptor se une a un grupo y no tiene un nombre de host, el switch de comandos de grupo agrega una nica
nmero de socio a su propio nombre de host y la asigna secuencialmente a medida que cada interruptor se une al clster. El
nmero significa el orden en que se aadi el interruptor a la agrupacin. Por ejemplo, un comando de clster
interruptor llamado eng-cluster podra nombrar el quinto miembro del clster eng-cluster-5.
Si un interruptor tiene un nombre de host, se conserva ese nombre cuando se une a un clster y cuando sale de la agrupacin.
Si un interruptor recibi su nombre de host del interruptor de comandos de grupo, fue retirado de un clster, era
despus se aadi a un nuevo grupo, y se mantiene el mismo nmero de socio (como 5), el interruptor sobrescribe el
nombre de host de edad (por ejemplo, eng-cluster-5) con el nombre de host del switch de comandos de grupo en el nuevo clster
(Tal como mkg-cluster-5). Si el nmero de socio interruptor cambia en el nuevo clster (por ejemplo, 3), el interruptor
conserva el nombre anterior (eng-cluster-5).
6-13
Captulo 6
Interruptores Clustering
Contraseas
No es necesario asignar contraseas a un interruptor individual si ser un miembro del clster. Cuando un conmutador
se une a un grupo, hereda la contrasea de comando-switch y lo retiene cuando sale de la agrupacin. Si no hay
orden password-switch est configurado, el interruptor de miembro de clster hereda una contrasea nula. Cluster
interruptores miembros slo heredan el orden password-switch.
Si cambia la contrasea de miembro-switch a ser diferente de la contrasea del comando-switch y guardar
el cambio, el cambio no es manejable por el switch de comandos de grupo hasta que cambie la
Contrasea miembro-switch para que coincida con la contrasea de comando-switch. Al reiniciar el interruptor miembro hace
No revertir la contrasea de nuevo a la orden password-switch. Le recomendamos que no cambie
la contrasea de miembro-switch despus de que se une a un clster.
Para obtener ms informacin acerca de las contraseas, consulte la "Previene el acceso no autorizado a su Switch"
en la pgina 10-1.
Por consideraciones de contraseas especficas para el Catalyst 1900 y Catalyst 2820 switches, consulte la
guas de instalacin y configuracin para los interruptores.
Si el interruptor de comandos de grupo tiene varias cadenas de slo lectura o lectura-escritura de la comunidad, slo la primera
de slo lectura y de lectura-escritura cuerdas se propagan al interruptor miembro del clster.
Los switches soportan un nmero ilimitado de cadenas de comunidad y longitudes de cadena. Para obtener ms
informacin sobre las cadenas de SNMP y de la comunidad, consulte Captulo 38, "Configuracin de SNMP."
Por consideraciones de SNMP especficas para el Catalyst 1900 y Catalyst 2820 switches, consulte la instalacin
y la configuracin de guas especficas a los interruptores.
Cambie la pila
Conmutador de Grupos
Compuesto por Catalyst 3750-E o Catalyst 3750-X slo interruptores Compuesto por interruptores-capaz de racimo, como
Catalyst 3750-E, Catalyst 3560-E, Catalyst 3750, y
Catalyst 2950 switches
Miembros de la pila estn conectados a travs de puertos StackWise Plus Los miembros del clster estn conectados a travs de puertos LAN
Requiere un maestra de la pila y soporta hasta ocho otros pila Requiere 1 interruptor de comandos de grupo y soporta hasta
miembros15 otra interruptores de miembro de clster
6-14
OL-29703-01
Captulo 6
Interruptores Clustering
Planificacin de un centro de mandos
Tabla 6-2
Cambie la pila
Conmutador de Grupos
Puede ser un interruptor de comandos de grupo o un interruptor de miembro de clster no puede ser un miembro de maestra de la pila o
pila
Master Stack es el nico punto de completa gestin para
Interruptor de comandos de grupo es el nico punto de algunos gestin
todos los miembros de la pila en una pila de switches particular,
cin de todos los miembros del clster en un clster determinado conmutador
Back-up maestra de la pila se determina automticamente en caso de que el interruptor de comandos de grupo de espera debe ser pre-asignado en caso
failsthe maestro pila de switches de comandos de grupo falla
Pila de switches soporta hasta ocho maestra de la pila simultnea
fracasos
Miembros de la pila (como una pila de switches) se comportan y se presentaron como miembros de racimo son varios interruptores independientes que son
un sistema nico y unificado en el networknot gestiona como y no se comportan como un sistema unificado
Gestin de los miembros de la pila integrada mediante un nico
archivo de configuracin
Configuraciones de apilamiento y de nivel de interfaz se almacenan en cadaConfiguracin del clster se almacenan en el comando cluster
miembro de la pila
interruptor y el interruptor de mando clster en espera
Nuevos miembros de la pila se agregan automticamente al interruptor
pila
Recordemos que la pila miembros trabajan juntos para comportarse como un sistema unificado (como una sola pila de switches) en
el
red y se presentan a la red como tal por la Capa 2 y Capa 3 protocolos. Por lo tanto, la
centro de mandos reconoce pilas de conmutacin, que no son miembros individuales de la pila, como miembros del clster elegibles.
Miembros de la pila individuales no pueden unirse a un centro de mandos o participar como miembros separados de racimo.
Debido a que un conjunto de interruptores debe tener interruptor de comando 1 cluster y puede tener hasta 15 miembros de la
agrupacin, un
clster puede potencialmente tener un mximo de 16 pilas de conmutacin, por un total de 144 dispositivos.
Configuracin de clster de pilas de conmutacin es a travs de la maestra de la pila.
Estas son las consideraciones a tener en cuenta cuando se tiene pilas de conmutacin en grupos de interruptores:
Si el interruptor de comandos de grupo no es un interruptor o conmutador 3750-E pila catalizador y una nueva pila
maestro es elegido en una pila de switches miembro del clster, la pila de switches pierde su conectividad a la
Conmutador de Grupos si no hay conexiones redundantes entre la pila de interruptor y el clster
interruptor de mando. Debe agregar la pila de switches para el centro de mandos.
Si el interruptor de comandos de grupo es una pila de switches y los nuevos amos de la pila son elegidos simultneamente en
la pila de switches de comandos de grupo y en miembro del clster cambiar las pilas, la conectividad entre el
pilas de conmutacin se pierde si no hay conexiones redundantes entre la pila de switches y el cluster
interruptor de mando. Debe agregar las pilas de conmutacin al clster, incluyendo el comando cluster
pila de switches.
Todos los miembros de la pila deben tener conectividad redundante a todas las VLAN en el centro de mandos.
De lo contrario, si un nuevo maestro de la pila es elegido, miembros de la pila conectados a cualquier VLAN no configurados
en el nuevo maestro de la pila perder su conectividad con el centro de mandos. Debe cambiar la VLAN
configuracin del maestro de la pila o los miembros de la pila y aadir los miembros de la pila de nuevo al interruptor
cluster.
6-15
Captulo 6
Interruptores Clustering
Si un miembro del clster de conmutacin vuelve a cargar la pila y un nuevo maestro de la pila es elegido, la pila de switches
pierde
conectividad con el switch de comandos de grupo. Debe agregar la pila de switches de vuelta al interruptor
cluster.
Si un switch de comandos de grupo pila vuelve a cargar, y el maestro de la pila original no es reelegido, debe
reconstruir todo el conjunto de interruptores.
Para obtener ms informacin sobre las pilas de conmutacin, consulte Captulo 5, "Gestin de Pilas
Conmutador"
TACACS + y RADIUS
Si Terminal Access Controller control de acceso Sistema Plus (TACACS +) est configurado en un clster
miembro, se debe configurar en todos los miembros del clster. Del mismo modo, si el radio est configurado en un clster
miembro, se debe configurar en todos los miembros del clster. Adems, el mismo centro de mandos no se puede tener un poco de
miembros configurados con TACACS + y otros miembros configurados con RADIUS.
Para obtener ms informacin acerca de TACACS +, consulte la "El control de conmutador de acceso con TACACS +" en la
pgina 10-10. Para obtener ms informacin acerca de RADIUS, consulte la "El control de conmutador de acceso con RADIUS"
en la pgina 10-17.
Perfiles LRE
Un conflicto de configuracin se produce si un centro de mandos tiene switches Ethernet de largo alcance (LRE) que utilizan tanto
perfiles privados y pblicos. Si un interruptor LRE en un clster se asigna un perfil pblico, todo cambia LRE
en ese clster debe tener el mismo perfil pblico. Antes de agregar un interruptor LRE a un clster, asegrese
que le asigna el mismo perfil pblico utilizado por otra LRE cambia en el clster.
Un clster puede tener una mezcla de interruptores LRE que utilizan diferentes perfiles privados.
Si usted no sabe el nmero de socio-switch, ingrese el miembros espectculo de racimo EXEC privilegiado
comandos en el switch de comandos de grupo. Para obtener ms informacin acerca de la rcommand comando y todos
otros comandos de clster, vea la referencia de comandos de conmutacin.
La sesin Telnet accede a la CLI miembro de interruptor al mismo nivel de privilegio como en el clster
interruptor de mando. El Cisco IOS comandos luego operar como de costumbre. Para obtener instrucciones sobre la configuracin
de la
cambiar de una sesin de Telnet, consulte la Seccin "Desactivacin de recuperacin de contrasea" en la pgina 10-5.
Nota
La CLI apoya la creacin y el mantenimiento de grupos de conmutacin de hasta 16 pilas de conmutacin. Para obtener ms
informacin acerca de pila de switches y centro de mandos, consulte la Seccin "Cambiar Clusters and Switch Pilas"
en la pgina 6-14.
6-16
OL-29703-01
Captulo 6
Interruptores Clustering
Uso de SNMP para Administrar clsteres de
interruptores
Nota
El Catalyst 1900 y Catalyst 2820 CLI est disponible slo en los switches empresariales de funcionamiento
Software Edition.
Para obtener ms informacin sobre el catalizador 1900 y Catalyst 2820 switches, vea la instalacin y
guas de configuracin para estos interruptores.
Nota
Cuando se configura un grupo de reserva de clster, el interruptor de comandos de grupo puede cambiar sin su
conocimiento. Utilice la primera lectura-escritura y de slo lectura cadenas de comunidad para comunicarse con el clster
interruptor de comando si hay un grupo de espera clster configurado para el clster.
Si el interruptor de miembro de clster no tiene una direccin IP, el switch de comandos de grupo redirige trampas
desde el miembro de clster cambiar a la estacin de gestin, como se muestra en Figura 6-8. Si un miembro del clster
interruptor tiene su propia direccin IP y la comunidad cuerdas, el interruptor de miembro de clster puede enviar directamente
trampas
a la estacin de administracin, sin tener que pasar a travs del conmutador de comandos de grupo.
Si un interruptor miembro del clster tiene su propia direccin IP y la comunidad cuerdas, que pueden ser utilizados adems
para el acceso proporcionado por el conmutador de comandos de grupo. Para obtener ms informacin acerca de SNMP y
cadenas de comunidad, ver Captulo 38, "Configuracin de SNMP."
6-17
Captulo 6
Interruptores Clustering
Figura 6-8
SNMP Administrador
Interruptor de Comando
Tr
ap
Trampa
33020
Miembro 1
Miembro 2
Miembro 3
6-18
OL-29703-01
E R CH A P T
Administrar el conmutador
En este captulo se describe cmo realizar las operaciones de una sola vez para administrar el Catalyst 3750-E o 3560-E
Catalyst 3750-X o switch 3560-X. A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E
o 3560-E Catalyst 3750-X o 3560-X interruptor independiente ya un Catalyst 3750-E Catalyst 3750-X
pila de switches.
Este captulo consta de las siguientes secciones:
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la Cisco IOS
Fundamentos de configuracin Referencia de comandos, versin 12.4.
Estas secciones contienen esta informacin de configuracin:
7-1
Captulo 7
Administrar el conmutador
Configuracin manual
El reloj del sistema mantiene un registro de tiempo basado internamente en Tiempo Universal Coordinado (UTC), tambin
conocida como Greenwich Mean Time (GMT). Puede configurar la informacin sobre la zona horaria local y
el horario de verano (horario de verano), de modo que el tiempo aparece correctamente para la zona horaria local.
El reloj del sistema realiza un seguimiento de si el tiempo es autorizada o no (es decir, si se ha configurado
por una fuente de tiempo considerado como autorizado). Si no es autorizada, el momento slo est disponible para
fines de visualizacin y no se redistribuye. Para obtener informacin de configuracin, consulte la "Configuracin de la hora y
Fecha de forma manual "en la pgina 7-4.
7-2
OL-29703-01
Captulo 7
Administrar el conmutador
Gestin del Tiempo y fecha del sistema
Implementacin de Cisco de NTP no soporta el estrato 1 servicio; no es posible conectarse a una radio
o un reloj atmico. Se recomienda que el tiempo de servicio de su red puede derivar de la NTP pblico
servidores disponibles en Internet IP.
Figura 7-1 muestra un ejemplo tpico de red utilizando NTP. Interruptor de A es el maestro NTP, con el interruptor B,
C, y D configurados en modo de servidor NTP, en asociacin con el interruptor servidor A. Interruptor E est configurado
como pares NTP a los interruptores aguas arriba y aguas abajo, Switch B y Switch F, respectivamente.
Figura 7-1
Local
grupo de trabajo
servidores
Cambie B
Cambie C
Cambiar D
Cambiar E
Estaciones de Trabajo
Cambie F
101349
Estaciones de Trabajo
Si la red est aislada de la Internet, la implementacin de Cisco de NTP permite a un dispositivo para actuar como si
que se sincroniza a travs de NTP, cuando en realidad se ha aprendido el tiempo mediante el uso de otros medios. Otros dispositivos
a continuacin, sincronizar con ese dispositivo a travs de NTP.
Cuando mltiples fuentes de tiempo estn disponibles, NTP siempre es considerado como de mayor autoridad. NTP
tiempo anula la hora establecida por cualquier otro mtodo.
Varios fabricantes incluyen software NTP para sus sistemas de acogida, y una versin a disposicin del pblico para
sistemas que ejecutan UNIX y sus diversos derivados tambin est disponible. Este software permite a los sistemas host a
llevar mucho tiempo sincronizado tambin.
7-3
Captulo 7
Administrar el conmutador
Versin NTP 4
NTP versin 4 se implementa en el conmutador. NTPv4 es una extensin de NTP versin 3. soportes NTPv4
IPv4 e IPv6 y es compatible hacia atrs con NTPv3.
NTPv4 ofrece estas capacidades:
Nota
Mejora de la seguridad en comparacin con NTPv3. El protocolo NTPv4 ofrece un marco de seguridad basado
en la criptografa de clave pblica y certificados X509 estndar.
Clculo automtico de la jerarqua de tiempo-de distribucin de una red. El uso de multicast especfico
grupos, NTPv4 configura automticamente la jerarqua de los servidores para lograr el mejor momento
exactitud el costo de ancho de banda bajo. Esta caracterstica aprovecha direcciones multicast IPv6 locales de sitio.
Puede desactivar los paquetes NTP desde que es recibida en puertos con enrutamiento e interfaces de VLAN. No se puede
desactivar los paquetes NTP desde que es recibida en los puertos de acceso. Para obtener ms informacin, consulte la
"Desactivacin de Servicios NTPv4
en una interfaz especfica " seccin de la "Implementacin NTPv4 en IPv6" captulo de la Cisco IOS IPv6
Gua de configuracin, lanzamiento 12.4T.
Para obtener ms informacin acerca de la configuracin NTPv4, consulte la "Implementacin NTPv4 en IPv6" captulo de la Cisco
IOS
Gua de configuracin de IPv6, estreno 12.4T.
Nota
Debe restablecer esta configuracin si ha configurado manualmente el reloj del sistema y el maestro de la pila falla y
diferente miembro de la pila se reanuda el papel de maestro de la pila.
Estas secciones contienen esta informacin de configuracin:
7-4
OL-29703-01
Captulo 7
Administrar el conmutador
Gestin del Tiempo y fecha del sistema
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el reloj del sistema:
Paso 1
Comando
Propsito
Para hh: mm: ss, especificar el tiempo en horas (formato de 24 horas), minutos,
y segundo. El tiempo especificado es relativo al tiempo configurado
zona.
Este ejemplo muestra cmo configurar manualmente el reloj del sistema a 1:32 pm del 23 de julio de 2001:
Switch # reloj fij 13:32:00 23 de julio 2001
Para mostrar la configuracin de fecha y hora, utilice el show clock [Detalles] comando privilegiado EXEC.
El reloj del sistema mantiene un autorizada bandera que indica si el tiempo es autoritaria (cree que es
exacto). Si el reloj del sistema se ha establecido por una fuente de temporizacin tales como NTP, se establece el indicador. Si el
tiempo es
no autorizada, se utiliza slo con fines de exhibicin. Hasta que el reloj est autorizada y el
autorizada El indicador se establece, la bandera impide compaeros de sincronizacin con el reloj cuando el tiempo los compaeros
'es
vlido.
El smbolo que precede a la show clock pantalla tiene este significado:
* -Time No es autoritario.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
7-5
Captulo 7
Administrar el conmutador
Comando
Propsito
Paso 4
show running-config
Paso 5
El minutos-desplazamiento variable en el reloj de huso horario comando de configuracin global est disponible para aquellos
los casos en que una zona horaria local es un porcentaje de una hora diferente de UTC. Por ejemplo, la zona horaria
para algunos sectores de la costa atlntica de Canad (AST) es UTC-3.5, donde el 3 significa 3 horas and.5 medio 50
por ciento. En este caso, el comando es necesario AST reloj huso horario -3 30.
Para ajustar la hora a UTC, utilice el sin zona horaria del reloj comando de configuracin global.
Comando
Propsito
Paso 1
configure terminal
Paso 2
hora de verano reloj zona recurrenteConfigurar el horario de verano para empezar y terminar en los das especificados cada ao.
[Semana hh mes da: mes mm semana das
El horario de verano est desactivado por defecto. Si especifica hora de verano reloj
hh: mm [Desplazamiento]]
zona recurrente sin parmetros, las normas sobre tiempo de verano por defecto a la
Normas de los Estados Unidos.
Para zona, especificar el nombre de la zona horaria (por ejemplo, PDT) para ser
aparece cuando el horario de verano est en vigor.
Paso 3
fin
Paso 4
show running-config
Paso 5
La primera parte de la hora de verano reloj comando de configuracin global especifica la hora de verano
comienza, y la segunda parte especifica cuando termina. Todas las horas son en relacin con la zona horaria local. El comienzo
el tiempo es relativo a la hora estndar. El tiempo final es relativa al horario de verano. Si el mes de inicio es despus de
el mes que finaliza, el sistema se supone que est en el hemisferio sur.
Este ejemplo muestra cmo especificar que la hora de verano comienza el primer domingo de abril a las 02:00 y
termina el ltimo domingo de octubre a las 02:00:
Switch (config) # reloj en tiempo de verano PDT recurrente 1 de abril domingo 02:00 octubre pasado domingo
02:00
7-6
OL-29703-01
Captulo 7
Administrar el conmutador
Configuracin de un nombre de sistema y Prompt
Comenzando en el modo EXEC privilegiado, siga estos pasos si el horario de verano en su rea no sigue un
patrn recurrente (configure la fecha y la hora exacta de los prximos eventos de la hora de verano):
Comando
Propsito
Paso 1
configure terminal
Paso 2
Configurar el horario de verano para empezar en la primera cita y finalizar en la segundahora de verano reloj zona fecha
[Mes
Fecha ao hh: mm Fecha mes ao hh: mm fecha.
[Desplazamiento]]
El horario de verano est desactivado por defecto.
o
Para zona, especificar el nombre de la zona horaria (por ejemplo, PDT) para ser
hora de verano reloj zona fecha [Datedisplayed cuando el horario de verano est en vigor.
mes hh aos: aos fecha mm meses
(Opcional) Para semana, especificar la semana del mes (1 a 5 o pasado).
hh: mm [Desplazamiento]]
Para
meses,
especificar
el mes
(Opcional)
(Opcional) Para da, especificar
el da de la
semana
(domingo,
lunes
...). (enero, febrero ...).
Paso 3
fin
Paso 4
show running-config
Paso 5
La primera parte de la hora de verano reloj comando de configuracin global especifica la hora de verano
comienza, y la segunda parte especifica cuando termina. Todas las horas son en relacin con la zona horaria local. El comienzo
el tiempo es relativo a la hora estndar. El tiempo final es relativa al horario de verano. Si el mes de inicio es despus de
el mes que finaliza, el sistema se supone que est en el hemisferio sur.
Para desactivar el horario de verano, utilice el no hay reloj en tiempo de verano comando de configuracin global.
Este ejemplo muestra cmo configurar el horario de verano para comenzar el 12 de octubre de 2000, a las 02:00, y termina el 26 de
abril,
2001, a las 02:00:
Switch (config) # reloj en tiempo de verano pdt fecha 12 de octubre 2000 02:00 26 de abril 2001 02:00
7-7
Captulo 7
Administrar el conmutador
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la Cisco IOS
Fundamentos de configuracin Referencia de comandos, versin 12.4 y el Comando Cisco IOS IP
, Volumen 2 de 3: Protocolos de enrutamiento, versin 12.4.
Estas secciones contienen esta informacin de configuracin:
Nombre por defecto del sistema y la configuracin del smbolo, pgina 7-8
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Cuando se establece el nombre del sistema, sino que tambin se utiliza como el smbolo del
sistema.
Para volver al nombre de host predeterminado, utilice la ningn nombre de host comando de configuracin global.
Entendimiento DNS
El protocolo DNS controla el Sistema de Nombres de Dominio (DNS), una base de datos distribuida con la que se puede
mapa los nombres de host a direcciones IP. Al configurar DNS en su interruptor, puede sustituir la
nombre de host de la direccin IP con todos los comandos de IP, como ping, telnet, conectar, y Telnet relacionada
operaciones de apoyo.
IP define un esquema de nombres jerrquico que permite a un dispositivo para ser identificado por su ubicacin o de dominio.
Los nombres de dominio se mont con puntos (.) Como los caracteres delimitadores. Por ejemplo, Cisco
Sistemas es una organizacin comercial que IP identifica por un com nombre de dominio, por lo que su nombre de dominio es
cisco.com. Un dispositivo especfico en este mbito, por ejemplo, el Protocolo de Transferencia de Archivos (FTP) del sistema es
identificado como ftp.cisco.com.
7-8
OL-29703-01
Captulo 7
Administrar el conmutador
Configuracin de un nombre de sistema y Prompt
Para llevar un registro de nombres de dominio, IP ha definido el concepto de un servidor de nombres de dominio, que tiene un cach
(O base de datos) de los nombres asignados a las direcciones IP. Para asignar nombres de dominio a direcciones IP, primero debe
identificar los nombres de host, especifique el nombre del servidor que est presente en la red, y permitir que el DNS.
Estas secciones contienen esta informacin de configuracin:
Caracterstica
Habilitado.
Ninguno configurado.
Servidores DNS
Configuracin de DNS
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el switch para utilizar el DNS:
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip domain-name Nombre
Defina un nombre de dominio predeterminado que el software utiliza para completar sin reservas
nombres de hosts (nombres sin un nombre de dominio decimal con puntos).
No incluya el perodo inicial que separa un nombre no calificado de la
nombre de dominio.
En el momento del arranque, sin nombre de dominio est configurado; Sin embargo, si el conmutador
configuracin viene de un protocolo de configuracin dinmica de host o BOOTP
(DHCP), a continuacin, el nombre de dominio predeterminado puede ser establecido por el BOOTP o
Servidor DHCP (si los servidores se han configurado con esta informacin).
Paso 3
IP de servidor de nombres server-address1 Especifique la direccin de uno o ms servidores de nombres a utilizar el nombre y la direccin de
[Server-address2 ...
resolucin.
server-Direccin6]
Puede especificar hasta seis servidores de nombres. Separe cada direccin de servidor con un
espacio. El primer servidor especificado es el servidor primario. El conmutador enva DNS
consultas al servidor primario. Si esa consulta falla, los servidores de copia de seguridad son
consultado.
Paso 4
ip domain-lookup
7-9
Captulo 7
Administrar el conmutador
Creacin de un Banner
Comando
Propsito
Paso 5
fin
Paso 6
show running-config
Paso 7
copy running-config
startup-config
Si utiliza la direccin IP del switch como su nombre de host, la direccin IP se utiliza y no se produce ninguna consulta DNS. Si
configurar un nombre de host que no contiene puntos (.), un punto seguido del nombre de dominio por defecto es
anexado al nombre de host antes de realizar la consulta DNS para asignar el nombre a una direccin IP. El valor por defecto
nombre de dominio es el valor fijado por el ip domain-name comando de configuracin global. Si hay una
punto (.) en el nombre de host, el software Cisco IOS busca la direccin IP sin anexar cualquier defecto
nombre de dominio para el nombre de host.
Para eliminar un nombre de dominio, utilice el no ip domain-name Nombre comando de configuracin global. Para eliminar
un servidor de nombres, utilice el no ip nombre-servidor direccin-servidor comando de configuracin global. Para
desactivar DNS en el interruptor, utilice el no ip domain-lookup comando de configuracin global.
Visualizacin de la configuracin de
DNS
Para mostrar la informacin de configuracin de DNS, utilice el show running-config EXEC privilegiado
de comandos.
Creacin de un
Banner
Se puede configurar un mensaje-del-da (MOTD) y una pancarta de inicio de sesin. Las pantallas de banner MOTD sobre todo
terminales conectados a inicio de sesin y es til para enviar mensajes que afectan a todos los usuarios de la red (por ejemplo,
cierre el sistema, inminentes).
La pancarta de inicio de sesin tambin se muestra en todos los terminales conectados. Al parecer, despus de que el banner MOTD
y antes
la indicacin de entrada.
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la Cisco IOS
Fundamentos de configuracin Referencia de comandos, versin 12.4.
Estas secciones contienen esta informacin de configuracin:
7-10
OL-29703-01
Captulo 7
Administrar el conmutador
Creacin de un Banner
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para eliminar el banner MOTD, utilice el no motd bandera comando de configuracin global.
Este ejemplo muestra cmo configurar un banner MOTD para el interruptor utilizando el signo de libra smbolo (#)
como el principio y el delimitador de fin:
Switch (config) # banner motd #
Este es un sitio seguro. Slo los usuarios autorizados se les permite.
Para el acceso, pngase en contacto con soporte tcnico.
#
Switch (config) #
7-11
Captulo 7
Administrar el conmutador
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Para mensaje, introducir un mensaje de inicio de sesin hasta 255 caracteres. No se puede utilizar
la
delimitando carcter en el mensaje.
Vuelva al modo EXEC privilegiado.
Paso 4
show running-config
Paso 5
Para eliminar el mensaje de login, utilice el ningn mensaje de login comando de configuracin global.
Este ejemplo muestra cmo configurar un banner de inicio de sesin para el interruptor utilizando el signo de dlar ($) smbolo
como el principio y el delimitador de fin:
Switch (config) # mensaje de login $
El acceso slo a usuarios autorizados. Introduzca su nombre de usuario y contrasea.
$
Switch (config) #
Direccin dinmica: una fuente de direccin MAC que el switch aprende y luego edades cuando no est en uso.
Direccin esttica: una direccin unicast introducido manualmente que no envejece y que no se pierde cuando el
cambiar restablece.
La tabla de direcciones muestra la direccin MAC de destino, el ID de VLAN asociada, y el nmero de puerto
asociado con la direccin y el tipo (esttica o dinmica).
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en esta seccin, consulte el comando
referencia para esta versin.
7-12
OL-29703-01
Captulo 7
Administrar el conmutador
La gestin de la tabla de direcciones MAC
La construccin de la tabla de
direcciones Con mltiples direcciones MAC compatibles con todos los puertos, puede conectar cualquier puerto del conmutador para
estaciones de trabajo individuales, repetidores, conmutadores, routers y otros dispositivos de red. El switch proporciona
direccionamiento dinmico por el aprendizaje de la direccin de origen de los paquetes que recibe en cada puerto y la adicin de la
abordar y su nmero de puerto asociado a la tabla de direcciones. A medida que se agregan o se quitan de la estaciones
red, el switch actualiza la tabla de direcciones, aadir nuevas direcciones dinmicas y el envejecimiento a aquellos que
no estn en uso.
El intervalo de antigedad est configurada a nivel mundial en un interruptor independiente o en la pila de switches. Sin embargo,
la
switch mantiene una tabla de direcciones para cada VLAN y STP puede acelerar el envejecimiento en un intervalo
funcin de cada VLAN.
El interruptor enva paquetes entre cualquier combinacin de puertos, basado en la direccin de destino de la
paquete recibido. Usando la tabla de direcciones MAC, el interruptor reenva el paquete slo para el puerto asociado
con la direccin de destino. Si la direccin de destino est en el puerto que envi el paquete, el paquete se
filtrada y no remitido. El interruptor siempre utiliza el mtodo store-and-forward: paquetes completos son
almacenado y comprobado por los errores antes de la transmisin.
7-13
Captulo 7
Administrar el conmutador
Cuando se configuran las VLAN privadas, el aprendizaje electrnico depende del tipo de direccin MAC:
Direcciones MAC dinmicas aprendidas en una VLAN de una VLAN privada se replican en el asociado
VLANs. Por ejemplo, una direccin MAC aprendida en una VLAN secundaria privada-VLAN se replica en
la VLAN primaria.
Para obtener ms informacin sobre las VLAN privadas, consulte Captulo 19, "Configuracin de VLAN privadas."
Caracterstica
Tiempo de
envejecimiento
Direcciones dinmicas
300 segundos
Ninguno configurado
Aprendido automticamente
7-14
OL-29703-01
Captulo 7
Administrar el conmutador
La gestin de la tabla de direcciones MAC
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la dinmica de envejecimiento tabla de direcciones
tiempo:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver al valor predeterminado, utilice la no mac address-table aging-tiempo comando de configuracin global.
7-15
Captulo 7
Administrar el conmutador
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el conmutador para enviar la direccin MAC
cambiar trampas de notificacin a un host NMS:
Comando
Propsito
Paso 1
configure terminal
Paso 2
snmp-server host host-addr {trampas |informa} {Version {1 Especifique el destinatario del mensaje de captura.
|2c |3}} comunidad-cadena-tipo de notificacin
Para sede de direccin-, especificar el nombre o la direccin del
NMS.
Paso 3
Paso 4
Paso 5
Paso 6
interfaz interface-id
Paso 7
Paso 8
fin
7-16
OL-29703-01
Captulo 7
Administrar el conmutador
La gestin de la tabla de direcciones MAC
Paso 9
Comando
Propsito
show running-config
Paso 10
Para desactivar trampas de notificacin de cambio de direccin MAC, utilice el no SNMP-servidor, permite trampas
mac-notificacin de cambio comando de configuracin global. Para desactivar la direccin de cambio de MAC
trampas de notificacin sobre una interfaz especfica, utilice el sin trampa SNMP cambio mac-notificacin {Aadido |
eliminado} comando de configuracin de interfaz. Para desactivar la funcin de notificacin de cambio de direccin MAC,
utilizar el no mac address-table cambio notificacin comando de configuracin global.
Este ejemplo muestra cmo especificar 172.20.10.10 como los NMS, habilitar el switch para enviar la direccin MAC
trampas de notificacin a los NMS, active la funcin de notificacin de cambio de direccin MAC, establecer el tiempo de intervalo
a 123 segundos y establecer el tamao de la historia en 100 entradas, y permitir a las trampas cada vez que se aade una direccin
MAC
en el puerto especificado.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Puede comprobar la configuracin mediante la introduccin de la mostrar mac address-table interfaz de cambio de notificacin y
la mostrar mac address-table cambio notificacin comandos EXEC privilegiados.
7-17
Captulo 7
Administrar el conmutador
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el conmutador para enviar MAC
trampas de notificacin Direccin de la mudanza a un host NMS:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
fin
Paso 6
Paso 7
Para desactivar trampas de notificacin Direccin-move MAC, utilice el no SNMP-servidor, permite trampas
mac-notificacin del movimiento comando de configuracin global. Para desactivar la notificacin de la direccin-move MAC
funcin, utilice el ninguna notificacin mac address-table mac-move comando de configuracin global.
Este ejemplo muestra cmo especificar 172.20.10.10 como los NMS, habilitar el switch para enviar la direccin MAC
mover las trampas de notificacin a los NMS, active la funcin de notificacin de direcciones MAC movimiento, y permitir a las
trampas
cuando una direccin de MAC se mueve de un puerto a otro.
Switch (config) # snmp-server host mac-notificacin 172.20.10.10 trampas privado
Switch (config) # SNMP-servidor, permite trampas movimiento mac-notificacin
Switch (config) # mac notificacin address-table mac-move
Puede comprobar la configuracin mediante la introduccin de la mostrar mac notificacin address-table mac-move privilegiada
Comandos EXEC.
7-18
OL-29703-01
Captulo 7
Administrar el conmutador
La gestin de la tabla de direcciones MAC
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el conmutador para enviar la direccin MAC
trampas de notificacin umbral mesa a un host NMS:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
fin
Paso 7
Paso 8
Para desactivar trampas de notificacin Direccin umbral MAC, utilice el no SNMP-servidor, permite trampas
mac-notificacin sobre mrgenes comando de configuracin global. Para desactivar la direccin del umbral MAC
funcin de notificacin, utilice el no mac address-table umbral de notificacin configuracin global
de comandos.
Este ejemplo muestra cmo especificar 172.20.10.10 como los NMS, habilite el umbral de la direccin MAC
funcin de notificacin, establezca el intervalo de tiempo a 123 segundos y establecer el lmite a 78 por ciento.
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
7-19
Captulo 7
Administrar el conmutador
Puede comprobar la configuracin mediante la introduccin de la show mac umbral de notificacin address-table privilegiada
Comandos EXEC.
Puede agregar y eliminar direcciones estticas y definir el comportamiento de reenvo para ellos. El reenvo
comportamiento define cmo un puerto que recibe un paquete de la reenva a otro puerto para la transmisin. Debido
todos los puertos estn asociados con al menos una VLAN, el interruptor adquiere el ID de VLAN para la direccin de
los puertos que especifique. Puede especificar una lista diferente de los puertos de destino para cada puerto de origen.
Un paquete con una direccin esttica que llega en una VLAN en la que no se ha introducido de forma esttica se inunda
a todos los puertos y no aprendido.
Agrega una direccin esttica a la tabla de direcciones especificando el destino direccin MAC unicast y el
VLAN de la que se recibe. Los paquetes recibidos con esta direccin de destino se remiten a la
interfaz especificada con la interface-id opcin.
Al configurar una direccin MAC esttica en una VLAN primaria o secundaria privada-VLAN, usted debe
Tambin configure la misma direccin MAC esttica en todas las VLAN asociados. Direcciones MAC estticas configuradas
en una VLAN privada VLAN primaria o secundaria no se replican en la VLAN asociada. Para obtener ms
informacin sobre las VLAN privadas, vase Captulo 19, "Configuracin de VLAN privadas."
Comenzando en el modo EXEC privilegiado, siga estos pasos para agregar una direccin esttica:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para quitar las entradas estticas de la tabla de direcciones, utilice el no mac address-table static dir_mac vlan
id_vlan [Interfaz interface-id] comando de configuracin global.
7-20
OL-29703-01
Captulo 7
Administrar el conmutador
La gestin de la tabla de direcciones MAC
Este ejemplo muestra cmo agregar el c2f3.220a.12f4 direccin esttica a la tabla de direcciones MAC. Cuando un
paquete es recibido en la VLAN 4 con esta direccin de MAC como su direccin de destino, el paquete se reenva
con el puerto especificado:
Switch (config) # mac address-table c2f3.220a.12f4 esttica interfaz vlan 4
GigabitEthernet1 / 0/1
Multicast direcciones MAC, direcciones MAC de difusin y las direcciones MAC del router no son compatibles.
Si especifica una de estas direcciones al entrar en el mac address-table static dir_mac vlan
id_vlan caer comando de configuracin global, uno de estos mensajes aparece:
% Slo las direcciones unicast pueden ser configurados para ser bajado
% CPU direccin de destino no se puede configurar como direccin de cada
Si agrega una direccin MAC unicast como una direccin esttica y configurar el filtrado de direcciones MAC unicast,
el interruptor o bien agrega la direccin MAC como una direccin esttica o descarta los paquetes con esa direccin MAC,
dependiendo de qu comando se introdujo pasado. El segundo comando que ha introducido anula la
primer comando.
Por ejemplo, si se introduce la mac address-table static dir_mac vlan id_vlan interfaz
interface-id comando de configuracin global, seguido por el mac address-table static dir_mac
vlan id_vlan caer comando, el interruptor de gotas de paquetes con la direccin MAC especificada como una fuente
o destino.
Si introduce la mac address-table static dir_mac vlan id_vlan caer configuracin global
comando seguido de la mac address-table static dir_mac vlan id_vlan interfaz interface-id
comando, el switch agrega la direccin MAC como una direccin esttica.
Para habilitar el filtrado de direcciones MAC unicast y configurar el switch para descartar los paquetes con un determinado
direccin, especificando el origen o destino de direcciones unicast MAC y la VLAN de la que es
recibido.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el switch para dejar caer una fuente o
destino unicast direccin esttica:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar el filtrado de direcciones MAC unicast y configurar el conmutador para dejar caer una
paquete con la direccin de origen o de destino esttica de unidifusin especificado.
Paso 3
fin
7-21
Captulo 7
Administrar el conmutador
Comando
Propsito
Paso 4
Paso 5
Para desactivar el filtrado de direcciones MAC unicast, utilice el no mac address-table static dir_mac vlan id_vlan
comando de configuracin global.
Este ejemplo muestra cmo habilitar el filtrado de direcciones MAC unicast y configurar el switch a caer
paquetes que tienen una direccin de origen o destino de c2f3.220a.12f4. Cuando se recibe un paquete en
VLAN 4 con esta direccin MAC como su origen o destino, el paquete se descarta:
Switch (config) # Mac unddress mesa c2f3.220a.12f4 esttica vlan 4 gota
Tenga cuidado antes de inhabilitar la direccin MAC de aprendizaje en una VLAN con un interruptor configurado virtuales
Interfaz (SVI). El switch entonces inunda todos los paquetes IP en el dominio de nivel 2.
Puede desactivar aprendizaje de direcciones MAC en una sola VLAN ID (por ejemplo, no mac address-table
vlan aprendizaje 223) o en un rango de IDs de VLAN (por ejemplo, no mac address-table aprendizaje vlan
1-20, 15)
Le recomendamos que desactive el aprendizaje de direcciones MAC slo en VLAN con dos puertos. Si
desactivar aprendizaje de direcciones MAC en una VLAN con ms de dos puertos, cada paquete que entra en el
interruptor se inund en ese dominio VLAN.
No se puede deshabilitar el aprendizaje de direcciones MAC en una VLAN que se utiliza internamente por el interruptor. Si el
VLAN ID que ingreses es una VLAN interna, el interruptor genera un mensaje de error y rechaza la
de comandos. Para ver las VLAN internas en uso, introduzca la mostrar el uso interno vlan EXEC privilegiado
de comandos.
Si desactiva el aprendizaje de direcciones MAC en una VLAN configurada como VLAN primaria privada-VLAN,
Direcciones MAC todava se aprenden en la VLAN de secundaria que pertenece a la VLAN privada y son
luego replicado en la VLAN primaria. Si desactiva el aprendizaje de direcciones MAC en el secundario
VLAN, pero no la VLAN primaria de una VLAN privada, el aprendizaje de direcciones MAC se produce en el primario
VLAN y se replica en la VLAN secundaria.
No se puede deshabilitar el aprendizaje de direcciones MAC en una VLAN RSPAN. No se permite la configuracin.
Si desactiva el aprendizaje de direcciones MAC en una VLAN que incluye un puerto seguro, aprendizaje de direcciones MAC
no est deshabilitado en ese puerto. Si inhabilita la seguridad portuaria, el MAC configurada abordar el aprendizaje de estado
est habilitado.
7-22
OL-29703-01
Captulo 7
Administrar el conmutador
La gestin de la tabla de direcciones MAC
Comenzando en el modo EXEC privilegiado, siga estos pasos para desactivar el aprendizaje de direcciones MAC en una VLAN:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a habilitar la direccin MAC de aprendizaje en una VLAN, utilice el mac defecto vlan aprendizaje address-table
id_vlan comando de configuracin global. Tambin puede volver a activar el aprendizaje de direcciones MAC en una VLAN por
entrar en el mac address-table aprendizaje vlan id_vlan comando de configuracin global. La primera
(Por defecto) de mando vuelve a una condicin predeterminada y por lo tanto no aparece en la salida del
show running-config de comandos. El segundo comando hace que la configuracin que aparezca en el espectculo
running-config pantalla de comando EXEC privilegiado.
Este ejemplo muestra cmo deshabilitar aprendizaje de direcciones MAC en VLAN 200:
Switch (config) # no mac unddress-table aprendizaje vlan 200
Se puede visualizar el estado de aprendizaje de direcciones MAC de todas las VLAN o una VLAN especificada mediante la
introduccin de la
mostrar el aprendizaje mac-address-table [Vlan vlan-id] comando EXEC privilegiado.
Comando
Descripcin
Muestra las entradas de multidifusin de nivel 2 para todas las VLAN o la VLAN especificada.
7-23
Captulo 7
Administrar el conmutador
La gestin de la tabla de
ARP
Para comunicarse con un dispositivo (a travs de Ethernet, por ejemplo), el software primero debe aprender el MAC de 48 bits
direccin o la direccin de enlace de datos local de ese dispositivo. El proceso de aprendizaje de la direccin del enlace de datos
local
de se denomina una direccin IP resolucin de la direccin.
El Address Resolution Protocol (ARP) asocia una direccin IP del host con los medios correspondientes o
Direcciones MAC y el ID de VLAN. El uso de una direccin IP, ARP busca la direccin MAC asociada. Cuando
una direccin MAC se encuentra, la asociacin de direcciones IP-MAC se almacena en una memoria cach de ARP para una
recuperacin rpida.
A continuacin, el datagrama IP se encapsula en una trama de capa de enlace y enva a travs de la red. La encapsulacin de
Datagramas IP y peticiones ARP y respuestas sobre IEEE 802 redes distintas de Ethernet se especifica por
Protocolo de acceso de subred (SNAP). Por defecto, al estilo de Ethernet estndar ARP encapsulacin
(Representada por la arpa palabra clave) est habilitado en la interfaz IP.
Entradas ARP aadirse manualmente a la mesa no envejecen y deben ser removidos manualmente.
Para los procedimientos de la CLI, consulte la documentacin de Cisco IOS versin 12.4 en Cisco.com.
7-24
OL-29703-01
E R CH A P T
Configuracin de plantillas de
SDM
En este captulo se describe cmo configurar las de gestin (SDM) plantillas Cambiar base de datos en la
Catalyst 3750-E o 3560-E Catalyst 3750-X o switch 3560-X. A menos que se indique lo contrario, el trmino interruptor
se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o 3560-X interruptor independiente y a un catalizador
3750-E Catalizador pila de switches 3750-X.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Este captulo consta de las siguientes secciones:
Cuando el interruptor est en marcha el conjunto de funciones LAN Base, no seleccione una plantilla de enrutamiento (sdm
preferira
enrutamiento). Los valores de enrutamiento que se muestran en las plantillas no son vlidos en el interruptor. Para configurar IPv4
esttica
enrutamiento en interruptores que ejecutan el conjunto de funciones LAN Base, debe utilizar la plantilla predeterminada.
De ruta-La plantilla de enrutamiento maximiza los recursos del sistema de enrutamiento unicast, normalmente se requiere
para un router o agregador en el centro de una red.
8-1
Captulo 8
Utilice esta plantilla al configurar IPv4 enrutamiento esttico en SVI en los interruptores que ejecutan el LAN
Operacin Base ajustada. Puede configurar hasta 16 rutas estticas.
Nota
Access-La plantilla de acceso maximiza los recursos del sistema de listas de control de acceso (ACL) a
cabida a un gran nmero de ACL.
El switch tambin soporta mltiples 6 (IPv6) plantillas dual IPv4 e Versin IP para entornos con
ambos tipos de trfico. Consulte la Seccin "Dual IPv4 e IPv6 plantillas SDM" en la pgina 8-3.
Tabla 8-1 enumera el nmero aproximado de cada recurso apoyado en cada una de las cuatro plantillas IPv4.
Nota
Aunque estas plantillas son visibles en todos los switches, los recursos en los interruptores que ejecutan la Base LAN
funcin no coinciden con los que aparecen en las plantillas:
Interruptores de ejecutar el apoyo conjunto de funciones LAN Base slo 255 VLANs, no 1024 como se muestra en todo
plantillas.
Aunque la plantilla de enrutamiento es visible, la plantilla no es compatible. El conjunto de funciones LAN Base
soporta IPv4 enrutamiento esttico en SVI (hasta 16 rutas estticas) y el interruptor debe estar en ejecucin el
plantilla predeterminada.
Tabla 8-1
Recursos
Acceso
Por defecto
Enrutamiento VLAN
4K
6K
3K
12 K
1K
1K
1K
1K
Rutas unicast
6K
8K
11 K
4K
6K
3K
Rutas indirectas
2K
2K
8K
0,5 K
0,5 K
0,5 K
0,5 K
0,5 K
0,5 K
2K
1K
1K
1K
VLANs
1K
1K
1K
1K
52
60
58
60
La tabla representa los lmites de hardware aproximados establecen cuando se selecciona una plantilla. Si una seccin de un
recursos de hardware est lleno, todo el procesamiento de desbordamiento se enva a la CPU, interruptor de impacto serio
rendimiento.
En escenarios de pila mixtos como lotr y Pixar, la plantilla predeterminada se habilitar con IPv6 en FHS
pixar, pero no en ESDLA. No puedes haber mezclado pila con las plantillas por defecto / vlan / routing / acceso con IPv6
Activar FHS.
Puede utilizar las funciones de IPv6 de la ESF como la AR Guardia, Guardia DHCP y NDP snooping utilizando las entradas
reservado para IPv6 Seguridad Aces. Otras caractersticas de IPv6 como IPv6 QoS u otras caractersticas IPv6 FHS tales
como Source Guard no funcionar con esta plantilla.
8-2
OL-29703-01
Captulo 8
Nota
No seleccione una plantilla de enrutamiento (sdm prefieren enrutamiento, sdm prefieren dual IPv4 y IPv6 enrutamiento, o
indirecta-ipv4-y-ipv6-routing) cuando el interruptor est en marcha el conjunto de funciones LAN Base. Aunque visible
en la ayuda en lnea de comandos, el conjunto de funciones LAN Base no admite enrutamiento IPv6. En los interruptores de
funcionamiento
el conjunto de funciones LAN Base, los valores de enrutamiento que se muestran en todas las plantillas no son vlidos.
Dual IPv4 e IPv6 de forma predeterminada la plantilla-Apoyos Layer 2, multicast, enrutamiento, QoS y ACL para
IPv4; y la Capa 2, enrutamiento, ACLs y QoS para IPv6 en el interruptor.
Basado en polticas Dual IPv4 e IPv6 enrutamiento plantilla-Apoyos Layer 2, multicast, enrutamiento (incluyendo
enrutamiento), QoS y ACL para IPv4; y la Capa 2, enrutamiento, ACLs y QoS para IPv6 en el interruptor.
Dual IPv4 e IPv6 VLAN plantilla-Soporta capa bsica 2, multicast, QoS y ACL para IPv4,
y bsicas de Capa 2, ACL y QoS para IPv6 en el interruptor.
Nota
Cisco IOS 12.2 (46) SE y posteriores son compatibles con la confianza basada en el puerto IPv6 con el doble IPv4 e
Plantillas IPv6 SDM.
Con el IPv4 y IPv6 indirecta plantilla para fresar (introducido en Cisco IOS 12.2 (58) SE), la
switch soporta ms rutas indirectas IPv6 para las implementaciones que no requieren mucho camino directo host IPv6
conectividad. En comparacin con el dual IPv4 e IPv6 plantilla de enrutamiento, el enrutamiento indirecto IPv4 e IPv6
plantilla tambin proporciona direcciones ms unicast MAC y rutas directas IPv4 e IPv6. Sin embargo, la
IPv4 indirecta y la plantilla de enrutamiento IPv6 permite a un menor nmero de entradas de enrutamiento IPv4 basados en polticas
y IPv6 ACL,
QoS, y rutas basadas en polticas.
Usted debe volver a cargar el switch con las plantillas de doble IPv4 e IPv6 para interruptores que ejecutan IPv6.
Tabla 8-2 define los recursos de caractersticas aproximadas asignados por cada plantilla dual IPv4 e IPv6 en
interruptores que ejecutan el conjunto de funciones IP Base o Servicios IP. Plantilla estimaciones se basan en un interruptor con
8 derrotados interfaces y 1.024 VLAN (VLAN 255 en los interruptores que ejecutan el conjunto de funciones LAN Base).
Nota
Aunque estas plantillas son visibles en todos los switches, los recursos en los interruptores que ejecutan la Base LAN
conjunto de caractersticas no coinciden con los que aparecen en las plantillas:
Interruptores de ejecutar el apoyo conjunto de funciones LAN Base slo 255 VLANs, no 1024 VLAN como se muestra
en todas las plantillas.
Aunque la plantilla de enrutamiento es visible, la plantilla no es compatible. El conjunto de funciones LAN Base
apoya slo 16 rutas IPv4 estticas en SVI, y el interruptor debe estar en ejecucin la plantilla predeterminada.
8-3
Captulo 8
Tabla 8-2
Por defecto
VLAN
Indirecta IPv4 y
Enrutamiento IPv6 Enrutamiento
2K
8K
1.5 K
1K
1 K (IGMP) K 1
0 (multicast)
3K
2.7 K
4K
2K
1K
2K
1.5 K
2K
1K
1.2 K
2K
0,25 K
0,125 K
0,5 K
0,5 K
0,5 K
0,5 K
1K
1K
0,5 K
0.625 K
1K
1K
1K
1K
2K
1.5 K
2K
1K
0 1,25 K
1,25 K
3K
0,25 K
0,125 K
0,5 K
0,5 K
0,5 K
0,125 K
0,5 K
0,5 K
0,5 K
0,125 K
Miembro
0003.fd63.9c00
SDM no coincidente
Este es un ejemplo de un mensaje de syslog notificar al maestro de la pila de que un miembro de la pila est en SDM
modo de desajuste:
2d23h:% STACKMGR-6-SWITCH_ADDED_SDM: Switch 2 ha sido aadido a la pila (SDM_MISMATCH)
2d23h:%
2d23h:%
2d23h:%
2d23h:%
2d23h:%
2d23h:%
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
8-4
OL-29703-01
Captulo 8
2d23h:%
2d23h:%
2d23h:%
2d23h:%
2d23h:%
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
SDM-6-MISMATCH_ADVISE:
Al configurar una nueva plantilla de SDM, debe volver a cargar el switch para la configuracin de tomar
efecto.
En los interruptores que ejecutan el conjunto de funciones IP Base o Servicios IP, utilice el sdm prefieren vlan mundial
comando de configuracin slo en interruptores diseado para conmutacin Layer 2 sin enrutamiento.
Utilice el sdm prefieren vlan comando de configuracin global slo en interruptores destinados a la capa 2
conmutacin sin enrutamiento.
Cuando se utiliza la plantilla de VLAN, no hay recursos del sistema estn reservados para las entradas de enrutamiento, y
cualquier
enrutamiento se realiza a travs de software. Esto sobrecarga la CPU y degrada gravemente enrutamiento
rendimiento.
No seleccione una plantilla de enrutamiento (sdm prefieren enrutamiento, sdm prefieren dual IPv4 y IPv6 enrutamiento, o
indirecta-ipv4-y-ipv6-routing) cuando el interruptor est en marcha el conjunto de funciones LAN Base. Aunque
visible en la ayuda en lnea de comandos, el conjunto de funciones LAN Base no soporta las plantillas de enrutamiento.
En los interruptores que ejecutan el conjunto de funciones LAN Base, ninguno de los valores de enrutamiento muestra para las
plantillas
son vlidas.
Comenzando con Cisco IOS Versin 12.2 (58) SE, el conjunto de funciones LAN Base admite la configuracin de
16 rutas IPv4 estticas en SVI. Utilice la plantilla predeterminada al configurar el enrutamiento esttico en los interruptores
ejecutar el conjunto de funciones LAN Base.
En los interruptores que ejecutan el conjunto de funciones LAN Base, el nmero de VLAN admitidas muestra en el
plantillas no son correctos. El conjunto de funciones LAN Base soporta slo 255 VLANs.
No utilice la plantilla de enrutamiento si no has enrutamiento habilitado en su interruptor. Para evitar que otros
caractersticas del uso de la memoria asignada a enrutamiento unicast en la plantilla de enrutamiento, utilizan el sdm
prefieren enrutamiento comando de configuracin global.
Si intenta configurar IPv6 sin seleccionar primero un dual IPv4 y IPv6 plantilla, un mensaje de advertencia
aparece.
Utilizando los resultados duales plantilla pila en menos capacidad de hardware permitido para cada recurso, por lo que no hacer
usarlo si va a reenviar slo el trfico IPv4.
8-5
Captulo 8
Utilice la indirecta-ipv4-y-ipv6-enrutamiento plantilla para proporcionar ms espacio para IPv4 e IPv6 Resumen
o vas indirectas, proporcionando menos espacio para IPv4 entradas de enrutamiento basadas en polticas y IPv6 ACL, QoS,
y la poltica basada en rutas.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Especifica la plantilla SDM para ser utilizado en el interruptor. Las palabras clave tienensdm prefieren {Acceso | por
defecto |
dual-ipv4-y-ipv6 {Default | enrutamiento | estos significados:
vlan} |indirecta-ipv4-y-ipv6-enrutamiento
access-Maximiza recursos del sistema para ACL.
|enrutamiento |vlan}
default-Proporciona equilibrar
a todas
funciones.
IPv4las
y IPv6:
especifica una plantilla que soporta IPv4
dual
y enrutamiento IPv6.
-default-Saldos IPv4 y IPv6 Capa 2 y Capa 3
funcionalidad.
-routing-Proporciona uso mximo para IPv4 e IPv6 de enrutamiento,
Nota
Utilice el no sdm prefieren comando para restablecer el interruptor en el escritorio por defecto
plantilla. La plantilla predeterminada equilibra el uso de los recursos del sistema.
Paso 3
fin
Paso 4
recargar
8-6
OL-29703-01
Captulo 8
3K
1K
11K
3K
8K
0.5K
1K
Para volver a la plantilla por defecto, utilice el no sdm prefieren comando de configuracin global.
Este ejemplo muestra cmo configurar un interruptor de ejecutar la operacin Base IP o servicios IP establecida con el
plantilla de enrutamiento:
Switch (config) # sdm prefieren enrutamiento
Switch (config) # fin
Switch # recargar
Proceda con recarga? [Confirm]
Nota
En los interruptores que ejecutan el conjunto de funciones LAN Base, los valores de enrutamiento que se muestran en todas las
plantillas no son vlidos.
Este es un ejemplo de salida de la espectculo sdm prefieren comando que muestra la plantilla en uso:
Switch # espectculo sdm prefieren
La plantilla actual es la plantilla "por defecto del escritorio".
La plantilla seleccionada optimiza los recursos en
el interruptor para apoyar este nivel de caractersticas para
8 derrotados interfaces y 1.024 VLANs.
Aunque los resultados son los mismos en todos los switches, las salidas para las plantillas de enrutamiento slo son vlidas
en los interruptores que ejecutan el conjunto de funciones IP Base o Servicios IP. Este es un ejemplo de salida de la espectculo
sdm prefieren enrutamiento comando:
8-7
Captulo 8
Este es un ejemplo de salida de la espectculo sdm prefieren dual IPv4 y IPv6 enrutamiento comando:
Switch # espectculo sdm prefieren dual IPv4 y IPv6 enrutamiento
La plantilla actual es "IPv4 e IPv6 de escritorio de enrutamiento" plantilla.
La plantilla seleccionada optimiza los recursos en el interruptor para apoyar este nivel de
caractersticas para 8 interfaces enrutadas y 1.024 VLANs.
8-8
OL-29703-01
E R CH A P T
9-1
Captulo 9
El funcionamiento del sistema puede llegar a ser ms verde mediante la maximizacin de la eficiencia de la fuente de
alimentacin y el trabajo con
la carga ms eficiente (30 a 90% de su carga mxima).
Cisco StackPower utiliza estos trminos:
Potencia disponible es la potencia total disponible para PoE de todas las fuentes de alimentacin de la pila de energa. Para
ver la potencia disponible en una pila, introduzca la mostrar alimentacin en lnea comando EXEC privilegiado.
Poder Presupuestado es la potencia asignada a todos los dispositivos que funcionan conectados a los puertos Poe en la pila.
Poder presupuestado se conoce como Usado (Watts) en la salida de la mostrar alimentacin en lnea de comandos.
Energa consumida es la potencia real consumida por los dispositivos alimentados. Energa consumida es
tpicamente menos que el poder presupuestado. Para ver la potencia consumida en una pila, introduzca la espectculo de
potencia
polica en lnea comando EXEC privilegiado.
Estas secciones describen Cisco StackPower:
Modos StackPower
Una pila de energa puede funcionar en uno de dos modos, configurados mediante la interfaz de lnea de comandos:
En el modo de reparto de poder (por defecto), toda la potencia de entrada est disponible para ser utilizado por las cargas
elctricas. El
potencia total disponible en todos los switches de la pila de energa (hasta cuatro) se trata como una sola gran potencia
suministro, con potencia disponible para todos los interruptores y para todos los dispositivos que funcionan conectados a los
puertos PoE. En
este modo, la potencia total disponible se utiliza para las decisiones de presupuesto de alimentacin y ningn poder est
reservado
para dar cabida a las fallas de suministro de energa. Si una fuente de alimentacin falla, los dispositivos y los interruptores
En
el modo poda
redundante, el ms grande de alimentacin de la fuente de alimentacin en el sistema se resta de la
accionados
presupuesto
de potencia, lo
reduce la potencia total disponible, pero proporciona energa de respaldo en caso de una
ser cerrado (desconexin
deque
carga).
fallo de alimentacin. Aunque hay menos potencia disponible en la agrupacin de interruptores y potencia
dispositivos para extraer de la posibilidad de tener que apagar interruptores o dispositivos que funcionan en caso de
se reduce un fallo de alimentacin o carga de potencia extrema.
Adems, se puede configurar el modo de ejecutar un presupuesto de alimentacin estricta o un no estricta potencia (relajado)
presupuesto. En ambos modos, el poder se neg cuando no hay ms energa disponible en el presupuesto de alimentacin.
En modo estricto, cuando una fuente de alimentacin falla y la potencia disponible cae por debajo de la potencia presupuestado,
el sistema equilibra el presupuesto a travs de la desconexin de carga de los dispositivos con alimentacin, incluso si la
potencia real
siendo consumida es menor que la potencia disponible.
9-2
OL-29703-01
Captulo 9
En el modo no estricto, se permite que la pila de energa para hacer funcionar en un estado de sobre-asignado y es estable,
siempre
como la potencia real no supere la potencia disponible. En este modo, el dibujo de un dispositivo alimentado
ms de potencia normal podran provocar que la pila de alimentacin para iniciar derramando cargas. Esto normalmente no es
un
problema porque la mayora de los dispositivos no funcionan a plena potencia y las posibilidades de mltiples dispositivos de
potencia
Se configura modos de potencia a un nivel de potencia en la pila (es decir, el modo es el mismo para todos los interruptores en la
en la pila que requiere potencia mxima al mismo tiempo es pequea.
pila de energa). Para configurar los parmetros de potencia de la pila, introduzca la pila de configuracin global pila potencia
comando seguido por el nombre de pila del poder para entrar en el modo de configuracin de la pila de energa.
Tambin puede configurar un interruptor conectado en una pila de energa no participar en la pila de energa por
poniendo el interruptor en modo standalone poder. Este modo apaga ambos puertos de alimentacin de la pila. Esta es una
cambiar el parmetro y es configurable mediante la introduccin de la pila-energa del interruptor comando de configuracin global
seguido de un nmero de interruptor para acceder al modo de configuracin de energa pila de switches.
Prioridad de
energa
Puede configurar la prioridad de un interruptor o dispositivo con alimentacin de tomar el poder. Esta prioridad determina
el orden en el que los dispositivos se cierran en caso de una escasez de energa. Puede configurar tres prioridades
por sistema: el sistema (o switch) de prioridad, la prioridad de los puertos PoE de alta prioridad en un interruptor, y
la prioridad de los puertos PoE de baja prioridad en un switch.
Se establece la prioridad de puerto a nivel de interfaz para los dispositivos con alimentacin conectados a un puerto PoE mediante la
introduccin de la
prioridad de alimentacin puerto inline {Alta | bajo} comando de configuracin de interfaz. De forma predeterminada, todos los
puertos son bajos
prioridad. Este comando es visible slo en los puertos PoE.
Nota
Aunque el prioridad de alimentacin puerto inline {Alta | bajo} comando es visible en el interruptor 3560-X Catalizador
Puertos PoE, que no tiene ningn efecto porque Catalyst 3560-X interruptores no participan en StackPower.
Puede configurar los valores de prioridad de cada conmutador de la pila de energa y de todos los puertos de alta y baja prioridad
en que el interruptor mediante el uso de la prioridad de alimentacin Comandos en el modo de configuracin de encendido pila.
Estos
comandos de establecer el orden en el que los conmutadores y puertos se cierran cuando se pierde la energa y la eliminacin de
cargas
debe ocurrir. Los valores de prioridad son de 1 a 27; conmutadores y puertos con los valores ms altos se cierran primero.
Nota
Las 27 prioridades se utilizan para acomodar pilas de potencia conectadas en una configuracin en estrella con la
fuente de alimentacin expansible. En ese caso no habra nueve miembros (interruptores) por sistema con tres
prioridades por switch. Consulte la gua de instalacin del hardware para obtener ms informacin sobre Star Power pila y
configuracin de anillo.
En cualquier interruptor, el interruptor de prioridad debe ser menor que las prioridades de puerto. y el valor de alta prioridad debe ser
establecer ms bajo que el valor de prioridad baja. Le recomendamos que configure diferentes valores de prioridad para cada
cambiar y por sus puertos de alta prioridad y los puertos de baja prioridad. Esto limita el nmero de dispositivos de apagado
a la vez durante una prdida de potencia. Si intenta configurar el mismo valor de prioridad en diferentes switches
en una pila de energa, se permite que la configuracin, pero recibe un mensaje de advertencia.
Los rangos de prioridad por defecto, si no se configuran, son 1-9 para interruptores, 10-18 para los puertos de alta prioridad,
y 19-27 para los puertos de baja prioridad.
9-3
Captulo 9
Rechazo de Carga
La desconexin de carga es el proceso de cierre de los dispositivos en el caso de la fuente de alimentacin, cable, o fallos del
sistema.
En general, Cisco StackPower slo admite fallos individuales; por ejemplo, una sola fuente de alimentacin en su defecto, un
ruptura de un solo cable, o una nica operacin de detencin del sistema.
Por etapas de potencia en el modo de reparto de poder, hay dos tipos de eliminacin de cargas: inmediatas y grciles.
Cobertizo de carga inmediata se produce cuando una falla podra causar la pila de energa falle rpidamente. Para
ejemplo, si la mayor fuente de alimentacin de la pila de energa falla, esto podra causar que la pila
comenzar de inmediato el cierre de dispositivos alimentados.
Graceful deslastre puede ocurrir cuando falla una fuente de alimentacin ms pequea. Interruptores y dispositivos alimentados
se apagar en orden de prioridad configurado, a partir de los dispositivos con prioridad 27, hasta que el
presupuesto de alimentacin coincide con la potencia de entrada.
Desconexin de carga agraciada siempre est habilitada y la desconexin de carga inmediata se produce slo cuando sea necesario,
por lo
ambos pueden ocurrir al mismo tiempo.
Nota
La desconexin de carga no se produce en modo redundante a menos que dos o ms fuentes de alimentacin falla, porque el
de energa ms grande de alimentacin se utiliza como una fuente de energa de reserva.
Notas sobre la desconexin de carga:
El mtodo (inmediata o graciosa) no es configurable por el usuario, pero se basa en el presupuesto de alimentacin.
Desconexin de carga inmediata se produce tambin en el orden de prioridad configurado, pero se produce muy rpidamente a
prevenir daos en el hardware causadas por la prdida de poder.
Si un interruptor se cierra debido a la desconexin de carga, la salida de la espectculo pila potencia privilegiada
Comando EXEC todava incluye la direccin MAC del conmutador cerrado como un conmutador vecino, incluso
aunque el interruptor est hacia abajo. Esta salida del comando muestra la topologa StackPower, incluso si hay
no el poder suficiente para encender un interruptor.
9-4
OL-29703-01
Captulo 9
Sys pot
------Buena
Buena
PoE pot
------Buena
Buena
Watts
----715/0
715/0
Buena
Buena
Buena
Buena
325/0
325/0
Buena
Buena
Buena
Buena
350/0
1100/0
<Salida trunca>
La salida de la espectculo pila potencia comando EXEC privilegiado muestra las prioridades de la potencia
dispositivos y conmutadores de la pila elctrica.
Switch # espectculo pila potencia
Poder nombre de pila: Powerstack1
Modo Stack: Compartir el poder
Switch 1:
Presupuesto de energa: 206
Bajo valor de prioridad de puerto: 17
Alto valor de prioridad de puerto: 16
Cambiar valor de prioridad: 2
Puerto A estado: No cierre
Puerto B de estado: No cerrar
Vecino en el puerto A: 0022.bdcf.ab00
Vecino en el puerto B: 0022.bdd0.4380
Interruptor 2:
Presupuesto de energa: 206
Bajo valor de prioridad de puerto: 12
Alto valor de prioridad de puerto: 11
Cambiar valor de prioridad: 1
Puerto A estado: No cierre
Puerto B de estado: No cerrar
Vecino en el puerto A: 0022.bdd0.6d00
Vecino en el puerto B: 0022.bdcf.af80
Switch 3:
Presupuesto de energa: 656
Bajo valor de prioridad de puerto: 22
Alto valor de prioridad de puerto: 21
Cambiar valor de prioridad: 3
Puerto A estado: No cierre
Puerto B de estado: No cerrar
Vecino en el puerto A: 0022.bdcf.af80
Vecino en el puerto B: 0022.bdd0.6d00
Interruptor 4:
Presupuesto de energa: 682
Bajo valor de prioridad de puerto: 27
Alto valor de prioridad de puerto: 26
Cambiar valor de prioridad: 4
Puerto A estado: No cierre
Puerto B de estado: No cerrar
Vecino en el puerto A: 0022.bdd0.4380
Vecino en el puerto B: 0022.bdcf.ab00
9-5
Captulo 9
Si la fuente de alimentacin de 715 W o 1100 W falla, dispositivos (dispositivos alimentados conectados a los puertos PoE y el
cambia a s mismos) se cerr en la presente orden hasta el consumo de energa cae por debajo de 105%
de la potencia nominal de las fuentes de alimentacin restantes:
Interruptor 4 (prioridad 4)
Interruptor 3 (prioridad 3)
Switch 1 (prioridad 2)
Switch 2 nunca tendra que ser cerrado porque todo el poder se habra perdido por el momento la prioridad 1
se alcanzaron dispositivos.
La salida de la deslastrado espectculo pila potencia para comando muestra el orden en que
dispositivos cerraran en caso de desconexin de carga:
Switch # deslastrado espectculo pila potencia
Poder StackStackStack
NameModeTopolgy
-------------------- ------ ------Powerstack-1SP-PSRing
Prioridad
Shed Orden
---------22
21
12
4
3
Carga
Tipo
---Mn
Mn
Hola
Sw
Sw
ordenar PowerStack-1
TotalRsvdAlloc
PWR (W) PWR (W) PWR (W)
------ ------ -----288034473
No utilizados
Num
PWR (W) SW
-------2373
2
Num
PS
--4
Cambie o PoE
Dispositivos Shed
-------------------------------------------------- ---------Gi2 / 0/16,
Gi1 / 0/13, Gi1 / 0/20,
Gi1 / 0/7,
Interruptor: 2
Interruptor: 1
Configuracin de Cisco
StackPowerConfiguracin de Cisco StackPower incluye las siguientes tareas:
La identificacin de un ID de pila y ajustar el modo de pila de energa para la pila de poder para compartir el poder o
redundante con un (floja) la adhesin estricta o no estricta para el presupuesto de alimentacin. Consulte la "Configuracin de
Poder parmetros de chimenea "en la pgina 9-7.
Configuracin de los interruptores en la pila de alimentacin con el ID de pila de energa y establecer la prioridad de PoE
puertos a alta o baja. Consulte la Seccin "Configuracin de interruptor de alimentacin Pila Parmetros de energa" en la
pgina 9-8.
Configuracin de valores de prioridad para los switches de la pila de energa y para los puertos de alta y baja prioridad en la
cambiar a determinar el orden de deslastrado. Consulte la Seccin "Configuracin de prioridad PoE puertos" en la
pgina 9-9.
9-6
OL-29703-01
Captulo 9
Para obtener informacin sobre cmo configurar el XPS 2000, consulte las notas de configuracin en Cisco.com:
http://www.cisco.com/en/US/docs/switches/power_supplies/xps2200/software/configuration/note/ol24
241.html
Nota
Un interruptor de elemento de potencia de pila que no tiene una fuente de alimentacin conectada en la ranura A o B puede fallar
durante
una actualizacin de Cisco IOS.
La solucin consiste en asegurarse de que cada miembro de la pila tiene al menos una fuente de alimentacin conectada. Como
alternativa,
puede descargar e instalar la imagen de Cisco IOS usando el archive download-sw / force-reload-ucode
comando EXEC privilegiado.
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Modo {Para compartir el poder | Redundante} [Estricta] Ajuste el modo de funcionamiento de la pila de energa:
Paso 4
fin
Paso 5
Paso 6
Este es un ejemplo de configuracin del modo de alimentacin de la pila para la pila de llamada power1 redundantes de energa
de modo. La fuente de alimentacin ms grande de la pila se elimina al presupuesto de energa y se utiliza como una copia de
seguridad en
caso de fallo de alimentacin.
Switch (config) # pila-pila potencia power1
Switch (config-StackPower) # modo redundante
Switch (config-StackPower) # Salida
9-7
Captulo 9
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
pila [Power-stack-nombre]
Paso 4
Paso 5
Paso 6
Paso 7
fin
Paso 8
Paso 9
Este es un ejemplo de configuracin de los parmetros de potencia pila interruptor para el interruptor 3 en la pila que est conectado
a la pila de energa con el ID de pila power2. Si la eliminacin de cargas se hace necesario, interruptores y potencia
dispositivos en la pila de alimentacin con los nmeros ms altos se cierran en primer lugar, con el procedimiento de apagado en
orden.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Nota
Al entrar en la escritura de borrado y recargar comandos EXEC privilegiado por no cambiar la prioridad de alimentacin o
modo de alimentacin de configuracin no predeterminada guarda en la memoria flash del interruptor.
9-8
OL-29703-01
Captulo 9
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Este es un ejemplo de configuracin de la prioridad de alimentacin de un puerto a alta de modo que es uno de los ltimos puertos
para cerrar
en el caso de una falla de energa.
Switch (config) # interfaz gigabitetherent1 / 0/1
Switch (config-if) # puerto de alimentacin en lnea de alta prioridad
Switch (config-if) # Salida
9-9
Captulo 9
9-10
OL-29703-01
E R CH A P T
10
Configuracin del switch para Secure HTTP Socket Layer, pgina 10-48
Como mnimo, usted debe configurar contraseas y privilegios en cada puerto de switch. Estas contraseas
se almacenan localmente en el switch. Cuando los usuarios intentan acceder al conmutador a travs de un puerto o de la lnea,
que
debe introducir la contrasea especificada para el puerto o lnea antes de que puedan acceder al conmutador. Para obtener ms
informacin, consulte la Seccin "Proteccin de acceso a la privilegiada EXEC Comandos" en la pgina 10-2.
Para un nivel de seguridad adicional, tambin puede configurar usuario y contrasea pares, que son
almacenado localmente en el switch. Estos pares se asignan a lneas o puertos y autenticar cada usuario
antes de que el usuario puede acceder al conmutador. Si ha definido los niveles de privilegio, tambin puede asignar un
nivel de privilegio especfica (con los derechos y privilegios asociados) a cada nombre de usuario y la contrasea par.
10-1
Captulo 10
La proteccin de acceso a los comandos Privileged EXEC
Para obtener ms informacin, consulte la Seccin "Configuracin de Usuario y Contrasea pares" en la pgina 10-6.
Si desea utilizar nombres de usuario y contraseas pares, pero que desea almacenar de forma centralizada en un servidor
en lugar de a nivel local, puede almacenarlos en una base de datos en un servidor de seguridad. Dispositivos de red mltiples
a continuacin, puede utilizar la misma base de datos para obtener la autenticacin de usuario (y, de ser necesario, la
autorizacin)
informacin. Para obtener ms informacin, consulte la "El control de conmutador de acceso con TACACS +" en la
pgina 10-10.
Tambin puede habilitar el inicio de sesin mejoras de caractersticas, que registra tanto entrada fallida y fracasada
intentos. Iniciar sesin mejoras tambin se pueden configurar para bloquear futuros intentos de inicio de sesin despus de un
conjunto
nmero de intentos fallidos se hacen. Para obtener ms informacin, consulte la Cisco IOS Entrar
Documentacin Mejoras:
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_login.html
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la Cisco IOS
Seguridad de mandatos, versin 12.4.
Estas secciones contienen esta informacin de configuracin:
Caracterstica
10-2
OL-29703-01
Captulo 10
Comando
Propsito
Paso 1
configure terminal
Paso 2
Definir una nueva contrasea o cambiar una contrasea existente para el acceso a
el modo EXEC privilegiado.
De forma predeterminada, no se define ninguna
contrasea.
Para contrasea, especificar una cadena de 1 a 25 caracteres alfanumricos. El
cadena no puede comenzar con un nmero, maysculas y minsculas, y permite espacios pero
ignora espacios iniciales. Puede contener el signo de interrogacin personaje si (?)
que precede el signo de interrogacin con la combinacin de teclas Ctrl-v cuando
crear la contrasea; ? por ejemplo, para crear el abc contrasea 123, haga lo siguiente:
Ingrese abc.
Ingrese Ctrl-v.
Ingrese ? 123.
Cuando el sistema le pedir que introduzca la contrasea de activacin, no es necesario
preceder el signo de interrogacin con las teclas Ctrl-v; slo tiene que introducir abc? 123
en el indicador de contrasea.
Paso 3
fin
Paso 4
show running-config
Paso 5
10-3
Captulo 10
La proteccin de acceso a los comandos Privileged EXEC
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el cifrado para permitir y habilitar
contraseas secretas:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
Paso 3
service password-encryption
Paso 4
fin
Paso 5
Si se definen tanto las contraseas enable secret y permitan, los usuarios deben introducir la contrasea secreta de activacin.
Utilice el nivel palabra clave para definir una contrasea para un nivel de privilegio especfica. Despus de especificar el nivel y la
establecer una contrasea, dar la contrasea slo para usuarios que necesitan tener acceso a este nivel. Utilice el privilegio
nivel comando de configuracin global para especificar comandos accesibles a distintos niveles. Para obtener ms
informacin, consulte la Seccin "Configuracin de Mltiples Niveles de privilegios" en la pgina 10-7.
Si activa el cifrado de contraseas, se aplica a todas las contraseas que incluyen contraseas de nombre de usuario,
contraseas de autenticacin claves, la contrasea de comandos privilegiados, y la consola y la lnea de terminal virtual
contraseas.
Para eliminar una contrasea y el nivel, utilice el no permitir la contrasea [Nivel nivel] o no enable secret [Nivel
nivel] comando de configuracin global. Para desactivar el cifrado de la contrasea, utilice el no hay servicio
-cifrado de la contrasea comando de configuracin global.
10-4
OL-29703-01
Captulo 10
Este ejemplo muestra cmo configurar la contrasea cifrada $ 1 $ $ FaD0 Xyti5Rkls3LoyxzS8 para
nivel de privilegio 2:
Switch (config) # permitir nivel secreto 2 5 $ 1 $ $ FaD0 Xyti5Rkls3LoyxzS8
Nota
Si desactiva la recuperacin de contrasea, le recomendamos que guarde una copia de seguridad del archivo de configuracin
en un servidor seguro en caso de que el usuario final se interrumpe el proceso de arranque y configura el sistema a los valores
predeterminados
valores. No mantenga una copia de seguridad del archivo de configuracin en el conmutador. Si el interruptor est funcionando en
Modo transparente VTP, le recomendamos que tambin guarda una copia de seguridad del archivo de base de datos VLAN en
un servidor seguro. Cuando el conmutador se vuelve a la configuracin predeterminada del sistema, se puede descargar el
guardado archivos en el interruptor mediante el protocolo Xmodem. Para obtener ms informacin, consulte la "Recuperacin de
una seccin perdida u olvidada contrasea "en la pgina 56-3.
Comenzando en el modo EXEC privilegiado, siga estos pasos para desactivar la recuperacin de contraseas:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show version
Para volver a habilitar la recuperacin de contrasea, utilice el de recuperacin de contrasea de servicio comando de
configuracin global.
Nota
Recuperacin de la contrasea Desactivacin no funcionar si ha configurado el interruptor para arrancar manualmente utilizando el
manual de arranque comando de configuracin global. Este mandato genera el smbolo del gestor de arranque (interruptor :)
despus de que el interruptor est apagado y encendido.
10-5
Captulo 10
La proteccin de acceso a los comandos Privileged EXEC
Comando
Propsito
Paso 1
Conecte una PC o estacin de trabajo con software de emulacin de la consola del switch
puerto, o adjuntar un PC al puerto de administracin Ethernet.
Las caractersticas de los datos por defecto del puerto de consola son 9600, 8, 1, no
paridad. Es posible que tenga que pulsar la tecla de retorno varias veces para ver la
indicador de la lnea de comandos.
Paso 2
Paso 3
configure terminal
Paso 4
line vty 0 15
Paso 5
contrasea contrasea
Paso 6
fin
Paso 7
show running-config
Paso 8
10-6
OL-29703-01
Captulo 10
Comenzando en el modo EXEC privilegiado, siga estos pasos para establecer una autenticacin basada en usuario
sistema que solicita un nombre de usuario de inicio de sesin y una contrasea:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
lnea de la consola 0
Para -tipo de cifrado, introduzca 0 para especificar que una contrasea sin cifrar
seguir. Escriba 7 para especificar que una contrasea oculta seguir.
Para contrasea, especificar la contrasea que el usuario debe introducir para acceder
al conmutador. La contrasea debe tener entre 1 y 25 caracteres, puede
contener espacios incrustados, y debe ser la ltima opcin especificada en el
nombre de usuario de comandos.
o
line vty 0 15
Paso 4
Paso 5
fin
Paso 6
show running-config
Paso 7
Para deshabilitar la autenticacin nombre de usuario para un usuario especfico, utilice el ningn nombre de usuario Nombre
configuracin global
de comandos. Para desactivar la comprobacin de contraseas y permitir conexiones sin contrasea, utilice el No Inscribirse
comando de configuracin de lnea.
10-7
Captulo 10
La proteccin de acceso a los comandos Privileged EXEC
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Para modo, entrar configurar para el modo de configuracin global, exec para
Modo EXEC, interfaz para el modo de configuracin de interfaz, o lnea para
el modo de configuracin de lnea.
permitir a nivel de contrasea contrasea de nivel Especifique la contrasea de activacin para el nivel de privilegio.
Paso 4
fin
Paso 5
show running-config
espectculo de privilegio
Paso 6
Cuando se establece un comando a un nivel de privilegio, todos los comandos cuya sintaxis es un subconjunto de ese comando
Tambin se ponen a ese nivel. Por ejemplo, si se establece la Mostrar trfico IP comando para el nivel 15, el espectculo
comandos y show ip los comandos se ajustan automticamente a nivel de privilegio 15 a menos que las plantes
individualmente a diferentes niveles.
Para volver al privilegio por defecto para un comando determinado, utilice el ningn privilegio Modo nivel comando de nivel
comando de configuracin global.
Este ejemplo muestra cmo configurar el configurar comando a nivel de privilegio 14 y definir SecretPswd14
como la contrasea de los usuarios deben introducir para utilizar nivel 14 comandos:
Switch (config) # privilegio nivel ejecutivo de 14 de configure
Switch (config) # permitir a nivel de la contrasea 14 SecretPswd14
10-8
OL-29703-01
Captulo 10
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar el nivel de privilegios por defecto para una lnea:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
show running-config
espectculo de privilegio
Paso 6
Los usuarios pueden anular el nivel de privilegio se establece mediante el nivel de privilegio configuracin de la lnea de comandos
ingresando a la lnea y que permite un nivel de privilegio diferente. Pueden bajar el nivel de privilegio mediante el uso de
la desactivar de comandos. Si los usuarios conocen la contrasea a un nivel de privilegio superior, pueden utilizar esa contrasea
para permitir que el nivel de privilegio superior. Usted puede especificar un nivel alto o nivel de privilegio para su consola
line para restringir el uso de la lnea.
Para volver al nivel de privilegios de lnea por defecto, utilice el no nivel de privilegio comando de configuracin de lnea.
Comenzando en el modo EXEC privilegiado, siga estos pasos para iniciar sesin en un nivel de privilegio especificado y para salir
a un nivel de privilegio especificado:
Paso 1
Comando
Propsito
permitir nivel
Paso 2
desactivar nivel
10-9
Captulo 10
Control de acceso Interruptor con TACACS +
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la Cisco IOS
Seguridad de mandatos, versin 12.4 y el Cisco IOS IPv6 Consulta de mandatos.
Estas secciones contienen esta informacin de configuracin:
La comprensin de TACACS
+
TACACS + es una aplicacin de seguridad que proporciona la validacin centralizada de los usuarios que intentan acceder
a su conmutador. TACACS + servicios se mantienen en una base de datos en un demonio de TACACS + tpicamente
que se ejecuta en una estacin de trabajo UNIX o Windows NT. Usted debe tener acceso y debe configurar una
TACACS + servidor antes de configurar TACACS + caractersticas en su interruptor.
Nota
Se recomienda una conexin redundante entre una pila de switches y el servidor TACACS +. Esto es para ayudar
asegrese de que el servidor TACACS + sigue siendo accesible en caso de que uno de los miembros de la pila conectados es
retirado de la pila de conmutadores.
10-10
OL-29703-01
Captulo 10
Figura 10-1
Catalyst 6500
conmutador de la serie
171.20.10.7
Estacin de trabajo UNIX
(TACACS +
servidor 2)
171.20.10.8
Estaciones de Trabajo
101230
TACACS +, se administra a travs de los servicios de seguridad AAA, puede proporcionar estos servicios:
Autenticacin: proporciona un control completo de la autenticacin mediante nombre de usuario y contrasea de dilogo,
desafo y respuesta, y soporte de mensajera.
La instalacin de autenticacin puede realizar un dilogo con el usuario (por ejemplo, despus de un nombre de usuario y
contrasea se proporcionan, para desafiar a un usuario con varias preguntas, como la direccin de su casa, la madre de
nombre de soltera, tipo de servicio y nmero de seguro social). El servicio de autenticacin TACACS + puede
tambin enviar mensajes a las pantallas de usuario. Por ejemplo, un mensaje puede notificar a los usuarios de que sus
contraseas
debe ser cambiado a causa de la poltica de caducidad de contraseas de la compaa.
Autorizacin: proporciona un control detallado sobre las capacidades del usuario para la duracin de los usuarios de
sesin, incluyendo pero no limitado a la creacin autocommands, control de acceso, duracin de la sesin, o
Compatibilidad con el protocolo. Tambin puede hacer cumplir las restricciones sobre lo que los comandos de un usuario
puede ejecutar con el
TACACS + caracterstica de autorizacin.
Contabilidad-recoge y enva la informacin utilizada para la facturacin, auditora y presentacin de informes a la
Daemon de TACACS +. Los administradores de red pueden utilizar la funcin de cuentas para rastrear la actividad del usuario
durante un
auditora de seguridad o para proporcionar informacin para la facturacin del usuario. Los registros contables incluyen las
identidades de usuario,
horas deTACACS
inicio y parada,
los comandos
(como PPP)
nmero
de paquetes,
y el nmero
El protocolo
+ proporciona
autenticacin
entreejecutado,
el interruptor
y el demonio
de TACACS
+, yde bytes.
garantiza la confidencialidad porque todos los intercambios de protocolo entre el interruptor y el demonio de TACACS +
estn cifrados.
Usted necesita un sistema que ejecuta el software daemon TACACS + para utilizar TACACS + en su interruptor.
10-11
Captulo 10
Control de acceso Interruptor con TACACS +
TACACS + Operacin
Cuando un usuario intenta una sencilla entrada ASCII autenticando a un conmutador utilizando TACACS +, este proceso
ocurre:
1.
Cuando se establece la conexin, los contactos del interruptor del daemon de TACACS + para obtener un nombre de usuario
pronta para mostrar al usuario. El usuario introduce un nombre de usuario, y el interruptor se pone en contacto el TACACS +
demonio para obtener una solicitud de contrasea. El interruptor muestra la solicitud de contrasea para el usuario, el usuario
entra en una contrasea y la contrasea se enva al daemon de TACACS +.
TACACS + permite un dilogo entre el demonio y el usuario hasta que el demonio recibe suficiente
informacin para autenticar al usuario. El demonio le pide un nombre de usuario y contrasea
combinacin, pero pueden incluir otros elementos, como el nombre de soltera de la madre de usuario.
2.
ACEPTAR-El usuario se autentica y el servicio puede comenzar. Si el interruptor est configurado para
requiere autorizacin, la autorizacin comienza en este momento.
RECHAZO-El usuario no est autenticado. El usuario se puede negar el acceso o se le pide que vuelva a intentar
la secuencia de inicio de sesin, dependiendo del demonio de TACACS +.
Despus de la autenticacin, el usuario se somete a una fase de autorizacin adicional si la autorizacin ha sido
habilitado en el conmutador. Los usuarios deben primero completar con xito TACACS + autenticacin antes
de proceder a la autorizacin TACACS +.
3.
Los parmetros de conexin, incluyendo el host o la direccin IP del cliente, lista de acceso, y los tiempos de espera de
los usuarios
Configuracin de TACACS
+
En esta seccin se describe cmo configurar el conmutador para apoyar TACACS +. Como mnimo, usted debe
identificar el host o hosts que mantienen el demonio de TACACS + y definir las listas de mtodos de TACACS +
de autenticacin. Puede definir opcionalmente listas de mtodos de autorizacin TACACS + y contabilidad. A
Lista mtodo define la secuencia y los mtodos a utilizar para autenticar, autorizar, o de llevar una contabilidad
en un usuario. Puede utilizar listas de mtodos para designar a uno o ms protocolos de seguridad que se utilizar, lo que garantiza
un sistema de copia de seguridad si el mtodo inicial falla. El software utiliza el primer mtodo que aparece para autenticar, a
autorizar, o de llevar una contabilidad en los usuarios; si ese mtodo no responde, el software selecciona el siguiente
mtodo en la lista. Este proceso contina hasta que haya una comunicacin exitosa con un mtodo aceptado
o la lista de mtodos que se agote.
10-12
OL-29703-01
Captulo 10
Nota
Puede configurar el conmutador para usar una sola grupos de servidores o servidor AAA a grupos existentes hosts de servidor
para la autenticacin. Puede agrupar servidores para seleccionar un subconjunto de los hosts de servidor configuradas y utilizarlos
para un servicio particular. El grupo de servidores se usa con una lista de servidores host global y contiene la lista de IP
direcciones de los hosts de servidores seleccionados.
Comenzando en el modo EXEC privilegiado, siga estos pasos para identificar el host IP o host mantener
TACACS + servidor y, opcionalmente, establecer la clave de cifrado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
anfitrin tacacs-servidor nombre de host [Puerto Identificar el host IP o anfitriones mantener un servidor TACACS +. Ingrese este
nmero entero] [Tiempo de espera nmero entero]ordenar varias veces para crear una lista de anfitriones preferidos. El software
[Tecla cadena]
bsquedas de hosts en el orden en el que se especifica ellos.
(Opcional) Para puerto nmero entero, especificar un nmero de puerto del servidor. El
valor por defecto
es el puerto 49 El rango es de 1 a 65535.
(Opcional) Para tiempo de espera nmero entero, especificar el tiempo en segundos el
interruptor
espera una respuesta por parte del demonio antes de que el tiempo de espera y declara
un error. El valor predeterminado es de 5 segundos. El rango es de 1 a 1000 segundos.
(Opcional) Para clave cadena, especificar la clave de cifrado para cifrar
y descifrar todo el trfico entre el conmutador y el TACACS +
daemon. Debe configurar la misma clave en el demonio de TACACS +
para el cifrado para tener xito.
Paso 3
Paso 4
Habilitar AAA.
servidor La direccin IP
10-13
Captulo 10
Control de acceso Interruptor con TACACS +
Comando
Propsito
Paso 6
fin
Paso 7
show tacacs
Paso 8
Para quitar el nombre del servidor TACACS + o la direccin especificada, utilice el ninguna mquina tacacs-servidor nombre de
host
comando de configuracin global. Para quitar un grupo de servidores de la lista de configuracin, utilice el no aaa
tacacs servidor de grupo + grupo-nombre comando de configuracin global. Para eliminar la direccin IP de un
TACACS + servidor, utilice el no ip-direccin del servidor grupo de servidores de comando subconfiguracin.
Para configurar la autenticacin AAA, se define una lista llamada de mtodos de autenticacin y luego aplicar ese
lista a varios puertos. La lista de mtodos se definen los tipos de autenticacin a realizar y la secuencia
en el que se realizan; debe aplicarse a un puerto especfico antes de cualquiera de la autenticacin definido
se llevan a cabo mtodos. La nica excepcin es la lista de mtodo por defecto (que, por casualidad, se llama
por defecto). La lista mtodo por defecto se aplica automticamente a todos los puertos, excepto aquellos que han llamado un
Lista mtodo definido explcitamente. Una lista mtodo definido invalida la lista de mtodo por defecto.
Una lista de mtodos se describen los mtodos de secuencia y autenticacin para ser consultados para autenticar a un usuario.
Usted puede designar a uno o ms protocolos de seguridad que se utilizar para la autenticacin, lo que garantiza una copia de
seguridad
sistema para la autenticacin en el caso de que el mtodo inicial falla. El software utiliza el primer mtodo que aparece a
autenticar a los usuarios; si ese mtodo no responde, el software selecciona el siguiente mtodo de autenticacin en
la lista de mtodos. Este proceso contina hasta que haya una comunicacin exitosa con un listado
mtodo de autenticacin o hasta que se agoten todos los mtodos definidos. Si falla la autenticacin en cualquier punto en
este ciclo-lo que significa que el servidor de seguridad de base de datos o nombre de usuario local, responde al negar el usuario
acceso-el proceso de autenticacin se detiene, y no hay otros mtodos de autenticacin se intent.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la autenticacin de inicio de sesin:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar AAA.
10-14
OL-29703-01
Captulo 10
Paso 3
Comando
Propsito
locales-Uso la base de datos de nombre de usuario local para la autenticacin. Usted debe
nombre de usuario introducir informacin en la base de datos. Utilice el nombre de usuario
contrasea comando de configuracin global.
Paso 4
Paso 5
-caso local-Uso una base de datos de nombre de usuario local de maysculas y minsculas
para
de autenticacin. Debe introducir la informacin nombre de usuario en la base de datos
mediante el uso de la nombre de usuario Nombre contrasea configuracin global
de comandos.
ninguno-Do No utilice ningn tipo de autenticacin de inicio de
sesin.
Entre en el modo de configuracin de lnea, y configurar las lneas a las que desea
para aplicar la lista de autenticacin.
Aplicar la lista de autenticacin a una lnea o conjunto de lneas.
Paso 6
fin
Paso 7
show running-config
Paso 8
Para desactivar la AAA, utilice el no aaa nuevo modelo comando de configuracin global. Para desactivar la AAA
la autenticacin, utilice el ninguna entrada de autenticacin aaa {Default | list-name} method1 [Method2 ...] mundial
comando de configuracin. Para deshabilitar TACACS + autenticacin para los inicios de sesin o para volver a la configuracin
predeterminada
valor, utilice el sin autenticacin de inicio de sesin {Default | list-name} comando de configuracin de lnea.
10-15
Captulo 10
Control de acceso Interruptor con TACACS +
Nota
Para asegurar el interruptor para el acceso HTTP mediante el uso de mtodos AAA, debe configurar el detector con el
ip http aaa autenticacin comando de configuracin global. Configuracin de la autenticacin AAA no lo hace
asegurar el interruptor para el acceso HTTP mediante el uso de mtodos AAA.
Para obtener ms informacin acerca de la autenticacin http ip comando, consulte la Comando Cisco IOS Seguridad
Reference, Release 12.4.
Nota
Utilice TACACS + para la autorizacin de acceso privilegiado EXEC si la autenticacin se realiz utilizando
TACACS +.
Autorizacin no se envan a los usuarios autenticados que inician sesin a travs de la CLI, incluso si tiene autorizacin
sido configurado.
Comenzando en el modo EXEC privilegiado, siga estos pasos para especificar la autorizacin TACACS + para
acceso y servicios de red EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar la autorizacin, utilice el sin autorizacin aaa {Network | exec} method1 configuracin global
de comandos.
10-16
OL-29703-01
Captulo 10
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar la contabilidad, utilice el hay contabilidad aaa {Network | exec} {Start-stop} method1 ... mundial
comando de configuracin.
Visualizacin de la configuracin de
TACACS + Para ver las estadsticas de servidores TACACS +, utilice la show tacacs comando EXEC privilegiado.
10-17
Captulo 10
El control de conmutador de acceso con RADIUS
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la Cisco IOS
Seguridad de mandatos, versin 12.4 y el Cisco IOS IPv6 Consulta de mandatos.
Estas secciones contienen esta informacin de configuracin:
Entendimiento RADIUS
RADIUS es un sistema cliente / servidor distribuida que asegura las redes contra el acceso no autorizado.
Clientes RADIUS se ejecutan en routers y switches Cisco compatibles. Los clientes envan solicitudes de autenticacin a un
servidor RADIUS central, que contiene toda la informacin de autenticacin de usuario y el acceso de servicios de red.
El anfitrin RADIUS normalmente es un sistema multiusuario que ejecuta el software del servidor RADIUS de Cisco (Cisco
Secure Access Control Server Versin 3.0), Livingston, Merit, Microsoft u otro proveedor de software.
Para obtener ms informacin, consulte la documentacin del servidor RADIUS.
Nota
Se recomienda una conexin redundante entre una pila de switches y el servidor RADIUS. Esto es para ayudar
asegrese de que el servidor RADIUS mantiene accesible en caso de que uno de los miembros de la pila conectados es
retirado de la pila de conmutadores.
Las redes con servidores de acceso de mltiples proveedores, cada RADIUS apoyo. Por ejemplo, el acceso
servidores de varios fabricantes utilizan una base de datos de la seguridad basada en un solo servidor RADIUS. En una basada
en IP
red con los servidores de acceso de mltiples proveedores, usuarios de marcacin de entrada se autentican a travs de un
RADIUS
servidor
se ha personalizado
para
el sistema
de seguridad
Kerberos.con el protocolo RADIUS, tales
Entornosque
de seguridad
de red llave
en trabajar
mano encon
el que
las aplicaciones
compatibles
como en un entorno de acceso que utiliza un tarjeta inteligente sistema de control de acceso. En un caso, RADIUS tiene
ha utilizado con tarjetas de seguridad de Enigma para valida a los usuarios y para permitir el acceso a los recursos de red.
Redes que ya utilizan RADIUS. Usted puede agregar un switch Cisco que contiene un cliente RADIUS para la
red. Este podra ser el primer paso cuando usted hace una transicin a un servidor TACACS +. Ver
Figura 10-2 en la pgina 10-19.
Red en la que el usuario slo debe acceder a un nico servicio. Usar RADIUS, puede controlar el usuario
acceso a un nico host, para una sola utilidad como Telnet, o a la red a travs de un protocolo de tales
como IEEE 802.1x. Para obtener ms informacin acerca de este protocolo, consulte Captulo 11, "Configuracin de IEEE
Autenticacin 802.1x basada en puertos ".
Las redes que requieren la contabilidad de recursos. Puede utilizar cuentas RADIUS independiente de
Autenticacin RADIUS o autorizacin. Las funciones de contabilidad RADIUS permiten que los datos sean enviados
en el inicio y el final de los servicios, que muestra la cantidad de recursos (tales como el tiempo, los paquetes, bytes, y
etctera) que se utiliza durante la sesin. Un proveedor de servicios de Internet podra utilizar una versin basada en software
gratuito
de control de acceso de RADIUS y el software de contabilidad para cumplir con las necesidades de seguridad y de facturacin
especiales.
10-18
OL-29703-01
Captulo 10
Conmutador a conmutador o situaciones de enrutador a enrutador. RADIUS no proporciona autenticacin de dos vas.
RADIUS puede utilizarse para autenticar de un dispositivo a un dispositivo no-Cisco si el dispositivo no-Cisco
requiere autenticacin.
Las redes que utilizan una variedad de servicios. RADIUS generalmente se une a un usuario a un modelo de servicio.
Figura 10-2
Remoto
PC
R1
RADIUS
servidor
R2
RADIUS
servidor
T1
TACACS +
servidor
T2
TACACS +
servidor
86891
Estacin de trabajo
RADIUS Operacin
Cuando un usuario intenta ingresar y autenticar a un conmutador que es de acceso controlado por un servidor RADIUS,
estos eventos ocurren:
1.
2.
El nombre de usuario y contrasea cifrada se envan por la red con el servidor RADIUS.
3.
10-19
Captulo 10
El control de conmutador de acceso con RADIUS
La respuesta de aceptar o rechazar viene con datos adicionales que se utiliza para la EXEC privilegiado o
autorizacin de red. Usuarios de autenticacin RADIUS primero deben completar con xito antes de
de proceder a la autorizacin RADIUS, si est habilitado. Los datos adicionales se incluyen con el ACCEPT o
RECHAZAR paquetes incluye estos elementos:
Los parmetros de conexin, incluyendo el host o la direccin IP del cliente, lista de acceso, y los tiempos de espera de
los usuarios
Una interfaz estndar de RADIUS se utiliza tpicamente en un modelo retirado cuando la peticin se origina a partir de una
red adjunta dispositivo y la respuesta proviene de los servidores consultados. Switches Catalyst apoyar la
RADIUS Cambio de Autorizacin (CoA) extensiones definidas en el RFC 5176 que se utiliza normalmente en una
empujado modelo y permitir la reconfiguracin dinmica de las sesiones de autenticacin externa,
autorizacin y contabilidad (AAA) o de poltica servidores.
Comenzando con Cisco IOS Versin 12.2 (52) SE, el switch soporta estas peticiones CoA por sesin:
Reautenticacin Sesin
Terminacin de la sesin
Esta caracterstica est integrada con el servidor de control de acceso seguro de Cisco (ACS) 5.1.
La interfaz RADIUS est activado por defecto en los switches Catalyst. Sin embargo, algunos configuracin bsica
se requiere para los siguientes atributos:
Cambio-de-Solicitudes de autorizacin
Cambiar de autorizacin (COA) peticiones, tal como se describe en el RFC 5176, se utiliza en un modelo de insercin para permitir
de identificacin de sesin, reautenticacin anfitrin, y finalizacin de la sesin. El modelo se compone de uno
solicitud (CoA-Solicitud) y dos posibles cdigos de respuesta:
10-20
OL-29703-01
Captulo 10
La solicitud se inicia desde un cliente CoA (tpicamente un servidor RADIUS o la poltica) y se dirige al
interruptor que acta como un oyente.
Esta seccin incluye los siguientes temas:
Sesin Reautenticacin
Atributo Nmero
24
Estado
31
Calling-Station-ID
44
Acct-Session-ID
80
Mensaje-Autentificador
101
Error-Causa
Valores de error-Causa
Valor
Explicacin
201
202
401
No compatible Atributo
402
Missing Atributo
403
404
Solicitud no vlida
405
Servicio no compatible
406
Extensin no compatible
407
501
Administrativamente Prohibido
502
503
504
505
506
Recursos no disponibles
10-21
Captulo 10
El control de conmutador de acceso con RADIUS
Tabla 10-3
Valor
Explicacin
507
Solicitud Iniciado
508
Condiciones previas
Para utilizar la interfaz CoA, una sesin ya debe existir en el interruptor. CoA se puede utilizar para identificar un
sesin y hacer cumplir una peticin de desconexin. La actualizacin afecta slo a la sesin especificada.
Identificacin de Sesin
Para desconectar y peticiones CoA dirigidos a una sesin especial, el interruptor se sita el perodo de sesiones sobre la base de
uno o ms de los siguientes atributos:
A menos que todos los atributos de identificacin de sesin incluidos en el mensaje CoA coinciden con el perodo de sesiones, el
interruptor
devuelve una Desconecte-NAK o CoA-NAK con el atributo de cdigo de error "Invalid caracterstica Valor".
Para desconectar y peticiones CoA dirigidos a una sesin especial, cualquiera de la siguiente sesin
identificadores se pueden utilizar:
Si el atributo de identificacin ms de una sesin est incluido en el mensaje, todos los atributos deben coincidir
la sesin o el conmutador devuelve una confirmacin negativa Si se desconecta (NAK) o CoA-NAK con la
cdigo de error "no vlido Valor de la caracterstica."
El formato de paquete para una solicitud de cdigo CoA como se define en RFC 5176 se compone de los campos: Cdigo,
Identificador, Longitud, Authenticator, y Atributos en Tipo: Longitud: Formato Valor (TLV).
0123
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
- + - + - + - + - + - + - + - +
- + - + - + - + - + - + - + - +
Cdigo | Identificador | Eslora
- + - + - + - + - + - + - + - +
- + - + - + - + - + - + - + - +
6
+
+
|
|
+
+
||
| Autenticador |
||
||
+ - + - + - + - + - + - + - + - + + - + - + - + - + - + - + - + - + | Atributos ...
+ - + - + - + - + - + - + - + - + -
7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+ - + - + - + - + - + - + - + - + - + - + + - + - + - +
+ - + - + - + - + - + - + - + - + - + - + + - + - + - +
+ - + - + - + - + - + - + - + - + - + - + + - + - + - +
+ - + - + - + -
10-22
OL-29703-01
Captulo 10
Sesin Reautenticacin
Finalizacin de sesiones
Comenzando con Cisco IOS Versin 12.2 (52) SE, el switch soporta los comandos que se muestran en Tabla 10-4.
Tabla 10-4
Command1
Cisco VSA
Reauthenticate anfitrin
Terminar sesin
1. comandos All CoA deben incluir el identificador de sesin entre el switch y el cliente CoA.
Sesin Reautenticacin
El servidor AAA normalmente genera una peticin de sesin reautenticacin cuando un host con un desconocido
la identidad o la postura une a la red y se asocia con un perfil de autorizacin de acceso restringido (tales
como un invitado VLAN). Una solicitud de reautenticacin permite que el anfitrin puede colocar en la apropiada
grupo de autorizacin cuando se conocen sus credenciales.
Para iniciar la autenticacin de sesin, el servidor AAA enva un mensaje CoA-Solicitud estndar que
contiene un atributo especfico del proveedor Cisco (VSA) en esta forma:
Cisco: avpair = "suscriptor: comando = reautenticar" y atributos de identificacin de una o ms sesiones.
El estado de la sesin actual determina la respuesta interruptor para el mensaje. Si la sesin est actualmente
autenticado por IEEE 802.1x, el interruptor responde enviando un mensaje de EAPoL1-RequestID
(Vase la nota 1a continuacin) para el servidor.
10-23
Captulo 10
El control de conmutador de acceso con RADIUS
Si la sesin est actualmente autenticado por evitar la autenticacin MAC (MAB), el conmutador enva una
peticin de acceso al servidor, pasando la misma identidad atributos utilizados para el xito inicial
de autenticacin.
Si la autenticacin de sesin est en curso cuando el conmutador recibe el comando, el interruptor termina la
proceso, y reinicia la secuencia de autenticacin, comenzando con el mtodo configurado para ser intentado
primero.
Si la sesin an no est autorizado, o se autoriza a travs de VLAN de invitados, o VLAN crtico, o similar
polticas, el mensaje reautenticacin reinicia los mtodos de control de acceso, comenzando con el mtodo
configurado para ser intentado primero. La autorizacin actual de la sesin se mantiene hasta que la
reautenticacin conduce a un resultado de autorizacin diferente.
Es puntos de comprobacin de la necesidad de una re-autenticacin antes de devolver un acuse de recibo (ACK).
Si el maestro de la pila falla antes de que termine la autenticacin, reautenticacin se inicia despus de pila
maestro de conmutacin basado en el comando original (que se elimina posteriormente).
Si el maestro de la pila falla antes de enviar un ACK, la nueva maestra de la pila trata la re-transmitida
comando como un nuevo comando.
Finalizacin de sesiones
Hay tres tipos de solicitudes CoA reductasa que pueden desencadenar la finalizacin de la sesin. A CoA solicitud de desconexin
termina la sesin, sin desactivar el puerto host. Este comando hace que re-inicializacin del
mquina de estados autenticador para el host especificado, pero no restringe el acceso de ese host a la red.
Para restringir el acceso de un host a la red, utilice una Solicitud CoA con el
Cisco: avpair = "suscriptor: comando = disable-host-puerto" VSA. Este comando es til cuando un host es
conocida por ser la causa de problemas en la red, y lo que necesita para bloquear de inmediato el acceso a la red para
el anfitrin. Cuando desee restaurar el acceso a la red en el puerto, volver a habilitar el uso de un no-RADIUS
mecanismo.
Cuando un dispositivo sin solicitante, tal como una impresora, necesita adquirir una nueva direccin IP (por ejemplo,
despus de un cambio de VLAN), terminar la sesin en el puerto host con el puerto-bounce (deshabilitar temporalmente y
a continuacin, volver a habilitar el puerto).
10-24
OL-29703-01
Captulo 10
Nota
A falta de solicitud de desconexin siguiente comando re-enviando podra ser el resultado de cualquiera de una exitosa
terminacin de la sesin antes de conmutacin (si la desconexin-ACK no se envi) o una terminacin de la sesin
por otros medios (por ejemplo, un fallo de enlace) que se produjeron despus de que se emiti la orden original y
antes de que el interruptor de espera se convirti en activo.
El interruptor inicia un rebote puerto (desactiva el puerto durante 10 segundos, y luego re-permite).
Si el puerto de rebotes es exitosa, la seal que activa el puerto de rebotes se retira de la espera
apilar maestro.
10-25
Captulo 10
El control de conmutador de acceso con RADIUS
Si el maestro de la pila falla antes de que finalice el puerto-de rebote, un puerto de rebote se inicia despus de maestro de la pila
Cambio en el basado en el comando original (que se elimina posteriormente).
Si el maestro de la pila falla antes de enviar un mensaje de CoA-ACK, la nueva maestra de la pila trata la re-enviado
comando como un nuevo comando.
Configuracin de
RADIUS
En esta seccin se describe cmo configurar el conmutador para apoyar RADIUS. Como mnimo, usted debe
identificar el host o host que ejecuta el software de servidor RADIUS y definir las listas de mtodos para RADIUS
de autenticacin. Puede definir opcionalmente listas de mtodos de autorizacin y contabilidad RADIUS.
Una lista mtodo define la secuencia y los mtodos a utilizar para autenticar, autorizar, o para mantener
cuentas de un usuario. Puede utilizar listas de mtodos para designar a uno o ms protocolos de seguridad que se utilizar (tales
como TACACS + o nombre de usuario de bsqueda local), asegurando de este modo un sistema de copia de seguridad si el mtodo
inicial falla. El
software utiliza el primer mtodo que aparece para autenticar, autorizar, o de llevar una contabilidad en los usuarios; si ese
mtodo no responde, el software selecciona el mtodo siguiente en la lista. Este proceso contina hasta
hay una comunicacin exitosa con un mtodo de la lista o la lista de mtodos que se agote.
Usted debe tener acceso y debe configurar un servidor RADIUS antes de configurar caractersticas RADIUS
en su interruptor.
Estas secciones contienen esta informacin de configuracin:
Configuracin de RADIUS Autorizacin para el acceso de usuarios con privilegios y servicios de red, pgina 10-33
(Opcional)
Configuracin de los ajustes para todos los servidores RADIUS, pgina 10-35 (Opcional)
Configuracin del switch para utilizar atributos de RADIUS especfico del proveedor, pgina 10-35 (Opcional)
10-26
OL-29703-01
Captulo 10
Cadena de clave
Tiempo de espera
Valor de retransmisin
Usted identifica los servidores de seguridad RADIUS por su nombre de host o direccin IP, nombre de host y el puerto UDP
especfico
nmeros, o su direccin IP y nmeros de puerto UDP especficos. La combinacin de la direccin IP y la
Nmero de puerto UDP crea un identificador nico, que permita a los diferentes puertos pueden definir individualmente
RADIUS hosts proporcionar un servicio AAA especfico. Este identificador nico permite a las peticiones RADIUS ser
enviado a varios puertos UDP en el servidor en la misma direccin IP.
Si dos entradas de host diferentes en el mismo servidor RADIUS estn configurados para el mismo servicio-para
ejemplo,-la contabilidad segunda entrada de host configurado acta como una conmutacin por error de copia de seguridad a la
primera. Utilizando
este ejemplo, si la primera entrada de host no proporciona los servicios de contabilidad, los % RADIUS-4-RADIUS_DEAD
Aparece el mensaje, y luego el interruptor intenta la segunda entrada de host configurado en el mismo dispositivo para
servicios de contabilidad. (Las entradas de host RADIUS se trataron en el orden en que estn configuradas.)
Un servidor RADIUS y el interruptor utilizan una cadena de texto secreta compartida para cifrar las contraseas y el intercambio
respuestas. Para configurar RADIUS a utilizar los comandos de seguridad AAA, debe especificar el funcionamiento de acogida
el demonio del servidor RADIUS y un texto de la serie secreta (clave) que comparte con el interruptor.
El tiempo de espera, la retransmisin y los valores clave de cifrado se pueden configurar globalmente para todos RADIUS
servidores, en funcin de cada servidor, o en alguna combinacin de ajustes globales y por servidor. Para aplicar estos
ajustes a nivel mundial para todos los servidores RADIUS que se comunican con el interruptor, utilice los tres nico global
comandos de configuracin: radius-server timeout, retransmitir radio-servidor, y clave radius-server. Para
aplicar estos valores en un servidor RADIUS especfico, utilice el anfitrin radius-server configuracin global
de comandos.
Nota
Si configura tanto funciones por servidor global y (tiempo de espera, la retransmisin, y comandos de teclado) en
el interruptor, los comandos temporizador, retransmisin, y valor llave por servidor para anular el temporizador global,
retransmisin, y comandos de teclado de valor. Para obtener informacin sobre la configuracin de estos parmetros en todas
RADIUS
servidores, consulte el "Configuracin de los ajustes para todos los servidores RADIUS" en la pgina 10-35.
10-27
Captulo 10
El control de conmutador de acceso con RADIUS
Puede configurar el conmutador para utilizar grupos de servidores AAA para agrupar hosts de servidor existentes para la
autenticacin.
Para obtener ms informacin, consulte la La seccin "Definicin de Grupos AAA Server" en la pgina 10-31.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el servidor RADIUS en el servidor por
comunicacin. Este procedimiento es necesario.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
La clave es una cadena de texto que debe coincidir con la clave de cifrado utilizada
en el servidor RADIUS. Configure siempre la clave al final del artculo
en el anfitrin radius-server de comandos. Los espacios iniciales se ignoran,
pero se utilizan espacios dentro y en el extremo de la llave. Si utiliza
espacios en su clave, no encierran la clave entre comillas
a menos que las comillas son parte de la clave.
fin
Paso 4
show running-config
Paso 5
10-28
OL-29703-01
Captulo 10
Para quitar el servidor RADIUS especificado, utilice el ninguna mquina radius-server nombre de host |La direccin IP mundial
comando de configuracin.
Este ejemplo muestra cmo configurar un servidor RADIUS que se utilizar para la autenticacin y otro para
ser utilizado para la contabilidad:
Switch (config) # anfitrin radius-server 172.29.36.49 auth-puerto clave 1612 rad1
Switch (config) # anfitrin radius-server 172.20.36.50 ctas-puerto clave 1618 RAD2
Este ejemplo muestra cmo configurar host1 como el servidor RADIUS y para utilizar los puertos predeterminados para ambos
autenticacin y contabilidad:
Switch (config) # host1 anfitrin radius-server
Nota
Tambin es necesario configurar algunos ajustes en el servidor RADIUS. Estos ajustes incluyen la direccin IP
del interruptor y la cadena de clave para ser compartido por el servidor y el conmutador. Para obtener ms informacin,
consulte la documentacin del servidor RADIUS.
Para configurar la autenticacin AAA, se define una lista llamada de mtodos de autenticacin y luego aplicar ese
lista a varios puertos. La lista de mtodos se definen los tipos de autenticacin a realizar y la secuencia
en el que se realizan; debe aplicarse a un puerto especfico antes de cualquiera de la autenticacin definido
se llevan a cabo mtodos. La nica excepcin es la lista de mtodo por defecto (que, por casualidad, se llama
por defecto). La lista mtodo por defecto se aplica automticamente a todos los puertos, excepto aquellos que han llamado un
Lista mtodo definido explcitamente.
Una lista de mtodos se describen los mtodos de secuencia y autenticacin para ser consultados para autenticar a un usuario.
Usted puede designar a uno o ms protocolos de seguridad que se utilizar para la autenticacin, lo que garantiza una copia de
seguridad
sistema para la autenticacin en el caso de que el mtodo inicial falla. El software utiliza el primer mtodo que aparece a
autenticar a los usuarios; si ese mtodo no responde, el software selecciona el siguiente mtodo de autenticacin en
la lista de mtodos. Este proceso contina hasta que haya una comunicacin exitosa con un listado
mtodo de autenticacin o hasta que se agoten todos los mtodos definidos. Si falla la autenticacin en cualquier punto en
este ciclo-lo que significa que el servidor de seguridad de base de datos o nombre de usuario local, responde al negar el usuario
acceso-el proceso de autenticacin se detiene, y no hay otros mtodos de autenticacin se intent.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la autenticacin de inicio de sesin. Este
Se requiere procedimiento.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar AAA.
10-29
Captulo 10
El control de conmutador de acceso con RADIUS
Paso 3
Comando
Propsito
Paso 5
sesin.
Entre en el modo de configuracin de lnea, y configurar las lneas a las que desea
para aplicar la lista de autenticacin.
Aplicar la lista de autenticacin a una lnea o conjunto de lneas.
Paso 6
fin
Paso 7
show running-config
Paso 8
10-30
OL-29703-01
Captulo 10
Para desactivar la AAA, utilice el no aaa nuevo modelo comando de configuracin global. Para desactivar la AAA
la autenticacin, utilice el ninguna entrada de autenticacin aaa {Default | list-name} method1 [Method2 ...] mundial
comando de configuracin. Para la autenticacin RADIUS desactivar para inicios de sesin o para volver a la configuracin
predeterminada
valor, utilice el sin autenticacin de inicio de sesin {Default | list-name} comando de configuracin de lnea.
Nota
Para asegurar el interruptor para el acceso HTTP mediante el uso de mtodos AAA, debe configurar el detector con el
ip http aaa autenticacin comando de configuracin global. Configuracin de la autenticacin AAA no lo hace
asegurar el interruptor para el acceso HTTP mediante el uso de mtodos AAA.
Para obtener ms informacin acerca de la autenticacin http ip comando, consulte la Comando Cisco IOS Seguridad
Reference, Release 12.4.
10-31
Captulo 10
El control de conmutador de acceso con RADIUS
Comenzando en el modo EXEC privilegiado, siga estos pasos para definir el grupo de servidores AAA y asociar un
en particular del servidor RADIUS con ella:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
La clave es una cadena de texto que debe coincidir con la clave de cifrado utilizada
en el servidor RADIUS. Configure siempre la clave al final del artculo
en el anfitrin radius-server de comandos. Los espacios iniciales se ignoran,
pero se utilizan espacios dentro y en el extremo de la llave. Si utiliza
espacios en su clave, no encierran la clave entre comillas
a menos que las comillas son parte de la clave.
Habilitar AAA.
Paso 4
Paso 5
servidor La direccin IP
Paso 6
fin
Paso 7
show running-config
10-32
OL-29703-01
Captulo 10
Paso 8
Comando
Propsito
Paso 9
Autorizacin AAA limita los servicios disponibles para un usuario. Cuando la autorizacin AAA est habilitada, el
conmutador utiliza informacin recuperada de perfil del usuario, que est en la base de datos de usuario local o en la
servidor de seguridad, para configurar la sesin del usuario. El usuario se le concede acceso a un servicio solicitado slo si
la informacin en el perfil de usuario lo permite.
Puede utilizar el autorizacin aaa comando de configuracin global con el radio palabra clave para establecer
parmetros que restringen el acceso a la red de un usuario al modo EXEC privilegiado.
El autorizacin aaa radio ejecutivo local, comando establece estos parmetros de autorizacin:
Nota
Usar RADIUS para la autorizacin de acceso privilegiado EXEC si la autenticacin se realiza mediante el uso de
RADIUS.
Autorizacin no se envan a los usuarios autenticados que inician sesin a travs de la CLI, incluso si tiene autorizacin
sido configurado.
Comenzando en el modo EXEC privilegiado, siga estos pasos para especificar la autorizacin RADIUS para privilegiados
Acceso y servicios de red Ejecutivo:
Comando
Propsito
Paso 1
configure terminal
Paso 2
10-33
Captulo 10
El control de conmutador de acceso con RADIUS
Paso 3
Comando
Propsito
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar la autorizacin, utilice el sin autorizacin aaa {Network | exec} method1 configuracin global
de comandos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar cuentas RADIUS para todas las solicitudes de servicios relacionados con la red.
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar la contabilidad, utilice el hay contabilidad aaa {Network | exec} {Start-stop} method1 ... mundial
comando de configuracin.
10-34
OL-29703-01
Captulo 10
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar los parmetros de comunicacin global
entre el interruptor y todos los servidores RADIUS:
Comando
Propsito
Paso 1
configure terminal
Paso 2
La clave es una cadena de texto que debe coincidir con la clave de cifrado utilizado en
el servidor RADIUS. Los espacios iniciales se ignoran, pero los espacios dentro
y al final de la clave se utilizan. Si utiliza espacios en su clave, hacer
No encierre la clave entre comillas menos las comillas
son parte de la clave.
Paso 3
Especifique el nmero de veces que el conmutador enva cada solicitud RADIUS para la
servidor antes de abandonar. El valor predeterminado es 3; el rango de 1 a 1000.
Paso 4
Paso 5
Paso 6
fin
Paso 7
show running-config
Verifique la configuracin.
Paso 8
Para volver a la configuracin predeterminada para la retransmisin, tiempo de espera y tiempo muerto, utilice el no formas de
estos
los comandos.
El Grupo de Trabajo de Ingeniera de Internet (IETF) proyecto de norma especifica un mtodo para la comunicacin
informacin especfica del proveedor entre el switch y el servidor RADIUS utilizando el especfico de proveedor
atributo (atributo 26). Atributos especficos del proveedor (VSA) permiten a los proveedores para apoyar su propia ampliada
no los atributos adecuados para su uso general. La aplicacin Cisco RADIUS admite un proveedor especfico
opcin utilizando el formato recomendado en la especificacin. De Cisco proveedor-ID es 9, y la apoy
opcin tiene de tipo proveedor 1, que se nombra cisco-avpair. El valor es una cadena con el siguiente formato:
protocolo: atributo value septiembre *
Protocolo es un valor del atributo de protocolo de Cisco para un tipo particular de autorizacin. Atributo y
valor son un par apropiado atributo-valor (AV) definido en la especificacin de Cisco TACACS +, y septiembre
es =de atributos obligatorios y es *para los atributos opcionales. El conjunto completo de caractersticas disponibles para
Autorizacin TACACS + se puede usar entonces para RADIUS.
Por ejemplo, este par AV activa de Cisco mltiples llamados grupos de direcciones IP funcin durante IP
autorizacin (durante la asignacin de direcciones PPP IPCP):
cisco-avpair = "Ip: dir-pool = primera"
10-35
Captulo 10
El control de conmutador de acceso con RADIUS
Este ejemplo muestra cmo proporcionar un usuario inicia sesin desde un interruptor con acceso inmediato a la privilegiada
Comandos EXEC:
cisco-avpair = "Shell: priv-lvl = 15"
Este ejemplo muestra cmo especificar una VLAN autorizado en la base de datos del servidor RADIUS:
cisco-avpair = "De tipo tnel (# 64) = VLAN (13)"
cisco-avpair = "-De tipo medio tnel (# 65) = 802 medios de comunicacin (6)"
cisco-avpair = "Tunnel-privado-group-id (# 81) = vlanid"
Este ejemplo muestra cmo aplicar una ACL de entrada en formato ASCII a una interfaz para la duracin de esta
conexin:
cisco-avpair = "Ip: inacl # 1 = negar ip 10.10.10.10 20.20.20.20 255.255.0.0 0.0.255.255"
cisco-avpair = "Ip: inacl # 2 = negar ip 10.10.10.10 0.0.255.255 cualquier"
cisco-avpair = "Mac: inacl # 3 = niegan cualquier cualquier decnet-iv"
Este ejemplo muestra cmo aplicar una ACL de salida en formato ASCII a una interfaz para la duracin de esta
conexin:
cisco-avpair = "Ip: outacl # 2 = negar ip 10.10.10.10 0.0.255.255 cualquier"
Otros proveedores tienen sus propios proveedores-ID exclusivos, opciones y VSAs asociado. Para obtener ms informacin
Acerca del vendedor-IDs y VSA, vea RFC 2138, "Authentication Dial-In User Service remoto (RADIUS)."
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el conmutador para reconocer y uso
VSA:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Activar el interruptor de reconocer y utilizar VSAs segn lo definido por IETF RADIUS
atribuir 26.
fin
Paso 4
show running-config
Verifique la configuracin.
Paso 5
Para obtener una lista completa de atributos RADIUS o ms informacin sobre el atributo especfico del proveedor 26, ver el
"RADIUS Atributos" apndice en el Gua de configuracin de Cisco IOS Seguridad, versin 12.4.
Aunque un proyecto de norma IETF para RADIUS especifica un mtodo para comunicar-vendedor propietario
informacin entre el switch y el servidor RADIUS, algunos proveedores han ampliado el RADIUS
conjunto de atributos de una manera nica. Software Cisco IOS admite un subconjunto de RADIUS-vendedor propietario
atributos.
10-36
OL-29703-01
Captulo 10
Como se mencion anteriormente, para configurar RADIUS (si-vendedor propietario o IETF draft-compatible), que
debe especificar el host que ejecuta el demonio del servidor RADIUS y la cadena de texto secreto que comparte con la
interruptor. Se especifica el host RADIUS y cadena de texto secreto utilizando el radius-server mundial
comandos de configuracin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para especificar un servidor RADIUS-vendedor propietario
alojar y una cadena de texto secreto compartido:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
show running-config
Verifique la configuracin.
Paso 6
Para borrar el anfitrin RADIUS-vendedor propietario, utilice el ninguna mquina radius-server {Nombre de host | ip-address}
no estndar comando de configuracin global. Para desactivar la clave, utilice la ninguna tecla radius-server mundial
comando de configuracin.
Este ejemplo muestra cmo especificar un host RADIUS-vendedor propietario y para usar una clave secreta de rad124
entre el switch y el servidor:
Switch (config) # radio-servidor host 172.20.30.15 no estndar
Switch (config) # radius-server rad124 tecla
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar AAA.
Paso 3
10-37
Captulo 10
El control de conmutador de acceso con RADIUS
Comando
Propsito
Paso 4
cliente {Direccin-ip | name} [Vrf vrfname] Entre en el modo de configuracin del servidor local de autorizacin dinmica y especificar
[-Clave del servidor cadena]un cliente RADIUS de que un dispositivo aceptar CoA y desconexin
peticiones.
Paso 5
Paso 6
puerto nmero-puerto
Paso 7
Paso 8
ignore-clave de sesin
Paso 9
Paso 10 Autenticacin de mando de rebote puerto (Opcional) Configure el interruptor de ignorar una solicitud CoA temporalmente
Para desactivar la AAA, utilice el no aaa nuevo modelo comando de configuracin global. Para desactivar el servidor AAA
funcionalidad en el interruptor, utilice el ningn servidor RADIUS AAA autorizacin dinmico configuracin global
de comandos.
debug radio
10-38
OL-29703-01
Captulo 10
Esta caracterstica permite que las solicitudes de acceso y autenticacin a ser de forma homognea en todos los servidores RADIUS
en un servidor
grupo. Para obtener ms informacin, consulte la "carga del servidor RADIUS Equilibrio" captulo de la Cisco IOS
Gua de configuracin de seguridad, versin 12.4.
Para ver ejemplos de configuracin de Kerberos, consulte la seccin "Ejemplos de configuracin de Kerberos" en el
Captulo "Protocolos del servidor de seguridad" de la Gua de configuracin de Cisco IOS Seguridad, versin 12.4.
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la "Kerberos
"Seccin en el" Comandos "captulo Protocolos del servidor de seguridad de la Comando Cisco IOS Seguridad
Reference, Release 12.4.
Nota
La comprensin de Kerberos
Kerberos es un protocolo de clave secreta de autenticacin de red, que fue desarrollado en el Massachusetts
Institute of Technology (MIT). Utiliza el estndar de cifrado de datos (DES) algoritmo criptogrfico para
el cifrado y la autenticacin y autentica las solicitudes de recursos de la red. Kerberos utiliza el
concepto de un tercero de confianza para llevar a cabo la verificacin segura de los usuarios y servicios. Este tercero de confianza
partido se llama la centro de distribucin de claves (KDC).
Kerberos verifica que los usuarios son quienes dicen ser y los servicios de red que utilizan son lo que el
servicios dicen ser. Para ello, un KDC o el servidor de Kerberos de confianza emite tickets para los usuarios. Estos billetes,
que tienen una vida til limitada, se almacenan en las memorias cach de credenciales de usuario. El servidor de Kerberos utiliza las
entradas
en lugar de los nombres de usuario y contraseas para autenticar a los usuarios y los servicios de red.
Nota
Un servidor de Kerberos puede ser un Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor que es
configurado como un servidor de seguridad de la red y que puede autenticar a los usuarios mediante el protocolo Kerberos.
10-39
Captulo 10
El control de conmutador de acceso con Kerberos
El esquema de credencial de Kerberos utiliza un proceso llamado inicio de sesin nico. Este proceso se autentica un usuario
una vez y luego permite una autenticacin segura (sin cifrar otra contrasea) donde quiera que el usuario
se acepta credencial.
Esta versin es compatible con el software de Kerberos 5, que permite a las organizaciones que ya estn utilizando Kerberos 5
utilizar la misma base de datos de autenticacin Kerberos en el KDC que se estn utilizando ya en su otro
mquinas de la red (tales como servidores y PCs de UNIX).
En esta versin del software, Kerberos soporta estos servicios de red:
Telnet
rlogin
Tabla 10-5 enumera los trminos y definiciones relacionados con Kerberos comunes:
Tabla 10-5
Trminos de Kerberos
Plazo
Definicin
Autenticacin
Autorizacin
Credencial
Instancia
Una etiqueta de nivel de autorizacin para los principales de Kerberos. La mayora de Kerberos
los directores son de la forma usuario @ REALM (Por ejemplo,
smith@EXAMPLE.COM). Un principal de Kerberos con un Kerberos
ejemplo tiene la forma usuario / instancia @ REALM (Por ejemplo,
smith/admin@EXAMPLE.COM). La instancia de Kerberos se puede utilizar para
especificar el nivel de autorizacin para el usuario si la autenticacin se realiza correctamente.
El servidor de cada servicio de red puede aplicar y hacer cumplir la
asignaciones de autorizacin de las instancias de Kerberos, pero no est obligado a hacerlo.
Nota
KDC2
Kerberos
Un trmino que describe las aplicaciones y servicios que han sido modificados
para apoyar la infraestructura de credenciales Kerberos.
Kerberos
Un dominio que consta de los usuarios, los servicios de los ejrcitos, y la red que son
registrado en un servidor de Kerberos. El servidor de Kerberos es de confianza para verificar
la identidad de un servicio de usuario o de la red a otro usuario o de red
servicio.
Nota
10-40
OL-29703-01
Captulo 10
Tabla 10-5
Plazo
Definicin
Servidor Kerberos
Un demonio que se ejecuta en un host de red. Los usuarios y los servicios de red
registrar su identidad con el servidor de Kerberos. Los servicios de red consulta
el servidor de Kerberos para autenticar a otros servicios de red.
KEYTAB3
Una contrasea acciones de servicio que una red con el KDC. En Kerberos 5
y ms tarde las versiones de Kerberos, el servicio de red se autentica un
credencial de servicio codificado utilizando la tabla de claves para descifrarlo. En
Versiones de Kerberos antes de Kerberos 5, tabla de claves se refiri como
SRVTAB4.
Principal
Tambin conocido como una identidad Kerberos, esto es lo que eres o lo que un servicio
es segn el servidor Kerberos.
Nota
Credencial de servicio
Una credencial para un servicio de red. Cuando se emite desde el KDC, este
credencial se cifra con la clave compartida por el servicio de red
y el KDC. La contrasea tambin se comparte con el usuario TGT.
Srvtab
Una contrasea acciones de servicio que una red con el KDC. En Kerberos 5
o versiones posteriores de Kerberos, srvtab se conoce como tabla de claves.
TGT
Ticket tique de concesin que es una credencial que los temas de KDC a
los usuarios autenticados. Cuando los usuarios reciben un TGT, pueden autenticarse en
servicios de red dentro del dominio de Kerberos representado por el KDC.
Kerberos Operacin
Un servidor de Kerberos puede ser un Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor que es
configurado como un servidor de seguridad de la red y que puede autenticar a los usuarios remotos mediante el uso de Kerberos
protocolo. Aunque puede personalizar Kerberos en un nmero de maneras, los usuarios remotos de intentar el acceso
servicios de red deben pasar por tres capas de seguridad antes de que puedan acceder a los servicios de red.
Para autenticar a los servicios de red mediante el uso de un Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X
cambiar como un servidor Kerberos, los usuarios remotos deben seguir estos pasos:
1.
2.
3.
2.
10-41
Captulo 10
El control de conmutador de acceso con Kerberos
3.
4.
5.
Si el descifrado no tiene xito, el usuario repite el paso 2, ya sea volviendo a introducir el nombre de usuario
y contrasea (se seala si Bloq Mays o Bloq Num est activado o desactivado) o introduciendo un nombre de usuario
diferente
y contrasea.
Un usuario remoto que inicia una sesin de un-a Kerberos Telnet y autentica a un interruptor de lmite es
dentro del firewall, pero el usuario debe autenticarse directamente en el KDC antes de obtener acceso a la
servicios de red. El usuario debe autenticarse en el KDC porque el TGT que las cuestiones KDC se almacenan
en el interruptor y no se puede utilizar para la autenticacin adicional hasta que el usuario inicia sesin en el switch.
La obtencin de un TGT de un
KDC
En esta seccin se describe la segunda capa de seguridad a travs del cual debe pasar un usuario remoto. El usuario debe
ahora autenticarse en un KDC y obtener un TGT del KDC para acceder a los servicios de red.
Para obtener instrucciones sobre cmo autenticarse en un KDC, consulte la seccin "Obtencin de un TGT de un KDC" seccin en
el captulo "Protocolos del servidor de seguridad" de la Gua de configuracin de Cisco IOS Seguridad, versin 12.4.
Configuracin de Kerberos
As que los usuarios remotos puedan autenticarse en los servicios de red, debe configurar los hosts y el KDC en
el reino Kerberos para comunicarse y autenticar mutuamente los usuarios y los servicios de red. Para ello,
debe identificar el uno al otro. Para agregar entradas para los locales a la base de datos de Kerberos en el KDC
y aadir archivos de tabla de claves generadas por el KDC a todos los hosts en el reino Kerberos. Tambin se crea entradas
para los usuarios en la base de datos KDC.
Al agregar o crear entradas para los anfitriones y los usuarios, siga estas pautas:
Nota
Un servidor de Kerberos puede ser un Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor que es
configurado como un servidor de seguridad de la red y que puede autenticar a los usuarios mediante el protocolo Kerberos.
10-42
OL-29703-01
Captulo 10
Para configurar un sistema de servidor-cliente autenticado con Kerberos, siga estos pasos:
Para obtener instrucciones, consulte la seccin "Configuracin de Kerberos Lista de tareas" en los "Protocolos de seguridad del
servidor"
captulo de la Gua de configuracin de Cisco IOS Seguridad, versin 12.4.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar AAA.
Paso 3
Paso 4
Paso 5
Configurar la autorizacin AAA usuario para todos los servicios relacionados con la red
peticiones.
Paso 6
Para -tipo de cifrado, introduzca 0 para especificar que una contrasea sin cifrar
siguiente. Escriba 7 para especificar que una contrasea oculta sigue.
Para contrasea, especificar la contrasea que el usuario debe introducir para acceder
al conmutador. La contrasea debe tener entre 1 y 25 caracteres, puede
contener espacios incrustados, y debe ser la ltima opcin especificada en el
nombre de usuario de comandos.
Paso 7
fin
Paso 8
show running-config
Paso 9
10-43
Captulo 10
Configuracin del switch para Secure Shell
Para desactivar la AAA, utilice el no aaa nuevo modelo comando de configuracin global. Para desactivar la autorizacin,
utilizar el sin autorizacin aaa {Network | exec} method1 comando de configuracin global.
Nota
Para asegurar el interruptor para el acceso HTTP mediante el uso de mtodos AAA, debe configurar el detector con el
ip http aaa autenticacin comando de configuracin global. Configuracin de la autenticacin AAA no lo hace
asegurar el interruptor para el acceso HTTP mediante el uso de mtodos AAA.
Para obtener ms informacin acerca de la autenticacin http ip comando, consulte la Comando Cisco IOS Seguridad
Reference, Release 12.4.
Para ver ejemplos de configuracin de SSH, consulte la seccin "Ejemplos de configuracin de SSH" seccin en el apartado
"Configuracin de
"Seccin en el" Secure Shell Otras funciones de seguridad "captulo de la Configuracin de seguridad de Cisco IOS
Gua, Cisco IOS versin 12.4.
Funciones de SSH del mismo en IPv6 como en IPv4. Para IPv6, SSH admite direcciones IPv6 y permite segura,
conexiones cifradas con nodos IPv6 remotos a travs de un transporte IPv6.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en esta seccin, consulte el comando
referencia para esta versin y la seccin de "Secure Shell Comandos" de las "Otras funciones de seguridad"
captulo de la Cisco IOS Seguridad de mandatos, versin 12.4 y el Cisco IOS Comando IPv6
Referencia.
Entendimiento SSH
SSH es un protocolo que proporciona una conexin segura y remota a un dispositivo. SSH proporciona ms seguridad para
conexiones remotas que Telnet hace al proporcionar cifrado fuerte cuando un dispositivo se autentica. Este
versin de software compatible con SSH versin 1 (SSHv1) y SSH versin 2 (SSHv2).
Esta seccin consta de los siguientes temas:
10-44
OL-29703-01
Captulo 10
Nota
TACACS + (para ms informacin, ver la "El control de conmutador de acceso con TACACS +" en la
pgina 10-10)
RADIUS (para ms informacin, ver la Seccin "Control de Interruptor Acceso con RADIUS" en la
pgina 10-17)
La autenticacin local y la autorizacin (para ms informacin, consulte la "Configuracin del conmutador para
Autenticacin local y la seccin Autorizacin "en la pgina 10-43)
Limitaciones
Estas limitaciones se aplican a SSH:
El servidor SSH y el cliente SSH slo se admiten en DES (56 bits) y 3DES datos (168 bits)
software de cifrado.
El conmutador es compatible con el estndar de cifrado avanzado (AES) algoritmo de cifrado con 128-bits
, clave de 192 bits clave o la clave de 256 bits. Sin embargo, AES de cifrado simtrico para cifrar las claves no es
apoyado.
Configuracin de
SSH
Esta seccin tiene esta informacin de configuracin:
Configuracin del servidor SSH, pgina 10-47 (Slo es necesario si est configurando el switch como SSH
servidor)
Directrices de configuracin
Siga estas pautas al configurar el conmutador como un servidor SSH o cliente SSH:
Un par de claves RSA generada por un servidor SSHv1 puede ser utilizado por un servidor SSHv2, y a la inversa.
Si el servidor SSH se ejecuta en un maestro de la pila y el maestro de la pila falla, los nuevos usos maestros pila
el par de claves RSA generada por el maestro de la pila anterior.
Si recibe mensajes de error de la CLI despus de entrar en la clave de cifrado RSA generar configuracin global
comando, un par de claves RSA no se ha generado. Vuelva a configurar el nombre de host y de dominio, y luego
entrar en el clave de cifrado RSA generar de comandos. Para obtener ms informacin, consulte la "Configuracin del
Interruptor
Ejecutar la seccin SSH "en la pgina 10-46.
10-45
Captulo 10
Configuracin del switch para Secure Shell
Al generar el par de claves RSA, el mensaje Ningn nombre de host especificado pueda aparecer. Si lo hace,
debe configurar un nombre de host mediante el uso de la nombre de host comando de configuracin global.
Al generar el par de claves RSA, el mensaje No dominio especificado pueda aparecer. Si lo hace,
debe configurar un nombre de dominio IP mediante el uso de la ip domain-name comando de configuracin global.
Configurar un nombre de host y nombre de dominio IP para el conmutador. Siga este procedimiento slo si est
configurar el conmutador como un servidor SSH.
2.
Generar un par de claves RSA para el interruptor, lo que permite de forma automtica SSH. Siga este procedimiento
slo si est configurando el conmutador como un servidor SSH.
3.
Configuracin de la autenticacin de usuario para el acceso local o remoto. Este paso es necesario. Para obtener ms
informacin, consulte la Seccin "Configuracin del conmutador para la autenticacin local y la autorizacin"
en la pgina 10-43.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un nombre de host y un nombre de dominio IP
y para generar un par de claves RSA. Este procedimiento es necesario si est configurando el switch como SSH
servidor.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
ip domain-name nombre_de_dominio
Paso 4
Paso 5
fin
Paso 6
mostrar ssh ip
Paso 7
espectculo ssh
Para eliminar el par de claves RSA, utilice el criptogrfico RSA clave zeroize comando de configuracin global. Despus de la
Se elimina el par de claves RSA, el servidor SSH se desactiva automticamente.
10-46
OL-29703-01
Captulo 10
Comando
Propsito
Paso 1
configure terminal
Paso 2
versin ssh ip [1 | 2]
Paso 5
fin
Paso 6
mostrar ssh ip
Paso 7
espectculo ssh
Para volver a los parmetros de control SSH por defecto, utilice el sin ssh ip {Timeout | authentication- reintentos}
comando de configuracin global.
10-47
Captulo 10
Configuracin del conmutador de capa de conexin segura HTTP
Comando
Propsito
mostrar ssh ip
espectculo ssh
Para obtener ms informacin sobre estos comandos, consulte la "Secure Comandos de shell "seccin en el" Otro
Funciones de seguridad "captulo de la Cisco IOS Seguridad Referencia de comandos de Cisco IOS versin 12.4.
Para ver ejemplos de configuracin y la informacin completa sintaxis y el uso de los comandos que se utilizan en este
seccin, consulte la "HTTPS - HTTP Server y el cliente con SSL 3.0" descripcin de la funcin de Cisco IOS
Suelte 12.2 (15) T.
10-48
OL-29703-01
Captulo 10
Nota
Si el interruptor no est configurado con un nombre de host y un nombre de dominio, una auto-firmado temporal
se genera certificado. Si el interruptor se reinicia, cualquier certificado de firma automtica temporal se pierde, y una nueva
se asigna certificado temporal nueva auto-firmado.
Las autoridades de certificacin y TrustPoints se deben configurar en cada dispositivo individualmente. Al copiarlos
de otros dispositivos los hace invlidos en el interruptor.
Si un certificado auto-firmado se ha generado, esta informacin se incluye en la salida de la espectculo
running-config comando EXEC privilegiado. Este es un ejemplo de salida parcial ese comando
mostrando un certificado auto-firmado.
Switch # show running-config
Building configuration ...
<Salida trunca>
trustpoint pki cripto TP-auto-firmado-3080755072
inscripcin selfsigned
sujeto-nombre cn = IOS-autofirmado-Certificado-3080755072
revocacin-check ninguno
rsakeypair TP-auto-firmado-3080755072
!
!
cadena de certificados ca cripto TP-auto-firmado-3080755072
autofirmado certificado 01
3082029F 30820208 A0030201 02020101 300D0609 2A864886
59312F30 2D060355 04031326 494F532D 53656C66 2D536967
69666963 6174652D 33303830 37353530 37323126 30240609
02161743 45322D33 3535302D 31332E73 756D6D30 342D3335
30333031 30303030 31303130 30303030 35395A17 0D323030
F70D0101
6E65642D
2A864886
3530301E
305A3059
04050030
43657274
F70D0109
170D3933
312F302D
<Salida trunca>
10-49
Captulo 10
Configuracin del conmutador de capa de conexin segura HTTP
Puede eliminar este certificado autofirmado mediante la desactivacin del servidor HTTP seguro y entrar en el no
trustpoint pki cripto TP-auto-firmado-30890755072 comando de configuracin global. Si ms adelante
vuelva a habilitar un servidor HTTP seguro, se genera un nuevo certificado auto-firmado.
Nota
Los valores que siguen Autofirmado TP depender del nmero de serie del dispositivo.
Puede utilizar un comando opcional (ip http seguro-client-auth) para permitir que el servidor HTTPS para solicitar un
Certificado X.509v3 desde el cliente. Autenticacin del cliente proporciona ms seguridad que el servidor
la autenticacin por s mismo.
Para obtener informacin adicional acerca de entidades emisoras de certificados, consulte la "Autoridad de Certificacin de
Configuracin
Interoperabilidad captulo "en la Gua de configuracin de Cisco IOS Seguridad, versin 12.4.
Ciphersuites
A CipherSuite especifica el algoritmo de cifrado y el algoritmo de compendio de utilizar en una conexin SSL.
Cuando se conecta al servidor HTTPS, el navegador Web cliente ofrece una lista de conjuntos de cifrado compatibles,
y el cliente y el servidor negocian el mejor algoritmo de encriptacin a usar de los de la lista que son
apoyado por ambos. Por ejemplo, Netscape Communicator 4.76 de Estados Unidos apoya la seguridad de RSA Pblica
La Criptografa de Llave, MD2, MD5, RC2-CBC, RC4, DES-CBC, y DES-EDE3-CBC.
Para el mejor encriptacin posible, debe utilizar un navegador cliente que soporte el cifrado de 128 bits, tales
como Microsoft Internet Explorer versin 5.5 (o superior) o Netscape Communicator versin 4.76 (o posterior).
El SSL_RSA_WITH_DES_CBC_SHA CipherSuite ofrece menos seguridad que los dems conjuntos de cifrado,
ya que no ofrece el cifrado de 128 bits.
Los conjuntos de cifrado ms seguros y ms complejos requieren un poco ms tiempo de procesamiento. Esta lista define
los conjuntos de cifrado compatibles con el interruptor y los ordena del ms rpido al ms lento en trminos de enrutador
carga de procesamiento (velocidad):
1.
2.
SSL_RSA_WITH_RC4_128_MD5-intercambio de claves RSA con cifrado RC4 de 128 bits y MD5 para
resumen del mensaje
3.
SSL_RSA_WITH_RC4_128_SHA-intercambio de claves RSA con cifrado RC4 de 128 bits y SHA para
resumen del mensaje
4.
RSA (en conjuncin con el cifrado especificada y digerir combinaciones algoritmo) se utiliza tanto para
la generacin de claves y autenticacin en conexiones SSL. Este uso es independiente de si es o no un
CA trustpoint est configurado.
10-50
OL-29703-01
Captulo 10
Configuracin de un Trustpoint CA
Para las conexiones HTTP seguras, le recomendamos que configure una trustpoint oficial CA.
A trustpoint CA es ms seguro que un certificado auto-firmado.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una trustpoint CA:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
ip domain-name domain-name
Paso 4
(Opcional) Generar un par de claves RSA. Pares de claves RSA son necesarios antes de
usted puede obtener un certificado para el interruptor. Pares de claves RSA se generan
automticamente. Puede utilizar este comando para generar las claves, si
sea necesario.
Paso 5
Paso 6
Paso 7
Paso 8
10-51
Captulo 10
Configuracin del conmutador de capa de conexin segura HTTP
Paso 9
Comando
Propsito
primaria
Paso 10 Salida
Paso 13 fin
Verifique la configuracin.
Utilice el no trustpoint crypto ca Nombre comando de configuracin global para eliminar toda la informacin de identidad
y los certificados asociados a la entidad emisora
Paso 1
Comando
Propsito
Paso 2
configure terminal
Paso 3
ip http-servidor seguro
Paso 4
Paso 5
(Opcional) Especifique los conjuntos de cifrado (algoritmos de cifrado) para ser utilizado
para el cifrado travs de la conexin HTTPS. Si usted no tiene una razn para
especificar un particular CipherSuite, debe permitir que el servidor y el cliente
para negociar un CipherSuite que sea compatible con ambos. Este es el valor predeterminado.
10-52
OL-29703-01
Captulo 10
Comando
Paso 6
Paso 7
Propsito
ip http-client-auth seguro
Paso 8
Paso 9
(Opcional) Configure una ruta HTTP de base para los archivos HTML. La ruta especifica el
ubicacin de los archivos del servidor HTTP en el sistema local (que normalmente se encuentra
en
sistema de memoria flash).
(Opcional) Especifique una lista de acceso para utilizar para permitir el acceso al servidor HTTP.
(Opcional) Configure el nmero mximo de conexiones simultneas que son
permitido al servidor HTTP. El rango es de 1 a 16; el valor por defecto es 5.
Paso 11 ip http ocioso tiempo de espera-poltica segundos vida (Opcional) Especifique el tiempo que una conexin con el servidor HTTP puede
permanecer
segundos peticiones valorabrir en las circunstancias determinadas:
idle-la mximo perodo de tiempo cuando se recibe o la respuesta no hay datos
datos no puede ser enviado. El rango es de 1 a 600 segundos. El valor predeterminado es
180 segundos (3 minutos).
Paso 12 fin
Paso 13 mostrar el estado de seguridad del servidor http ip Muestra el estado del servidor seguro HTTP para verificar la configuracin.
Paso 14 copy running-config startup-config
Utilice el ningn servidor http ip comando de configuracin global para desactivar el servidor HTTP estndar. Utilice el
no ip http-servidor seguro comando de configuracin global para desactivar el servidor HTTP seguro. Utilice el no
ip http-puerto seguro y el no ip http secure-conjunto de cifrado comandos de configuracin global para volver a
la configuracin predeterminada. Utilice el no ip http-client-auth seguro comando de configuracin global para eliminar la
requisito para la autenticacin del cliente.
Para verificar la conexin HTTP segura mediante un explorador Web, escriba https: // URL, donde la URL es la
Direccin IP o nombre de host del servidor de conmutador. Si configura un puerto distinto del puerto por defecto, debe
tambin especificar el nmero de puerto despus de la URL. Por ejemplo:
https: //209.165.129: 1026
o
https://host.domain.com:1026
10-53
Captulo 10
Configuracin del switch para Secure Copy Protocol
Paso 1
Comando
Propsito
configure terminal
Paso 2
Paso 3
(Opcional) Especifique los conjuntos de cifrado (algoritmos de cifrado) para ser utilizado
para el cifrado travs de la conexin HTTPS. Si usted no tiene una razn para
especificar un CipherSuite particular, debe permitir que el servidor y el cliente para
negociar un CipherSuite que sea compatible con ambos. Este es el valor predeterminado.
Paso 4
fin
Paso 5
Paso 6
Utilice el no ip cliente http secure-trustpoint Nombre para eliminar una configuracin trustpoint cliente. Utilice el
no ip cliente http secure-conjunto de cifrado para eliminar una especificacin CipherSuite configurado previamente para
el cliente.
Comando
Propsito
show running-config
10-54
OL-29703-01
Captulo 10
Para SSH funcione, el conmutador necesita un / par de claves pblica y privada RSA. Este es el mismo con el SCP, que
se basa en SSH para su transporte seguro.
Debido SSH tambin se basa en la autenticacin AAA, y SCP se basa ms en la autorizacin AAA, correcta
configuracin es necesaria.
Nota
Debido SCP se basa en SSH para su transporte seguro, el router debe tener una Rivest, Shamir y
Adelman (RSA) par de claves.
Al usar SCP, no se puede introducir la contrasea en el comando de copia. Debe introducir la contrasea
cuando se le solicite.
10-55
Captulo 10
Configuracin del switch para Secure Copy Protocol
10-56
OL-29703-01
E R CH A P T
11
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte la "RADIUS
Seccin de comandos "en la Cisco IOS Seguridad de mandatos, versin 12.4 y el comando
referencia para esta versin.
11-1
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Hasta que el cliente es autenticado, el control de acceso 802.1x permite slo protocolo de autenticacin extensible
sobre LAN (EAPOL), Cisco Discovery Protocol (CDP), y (STP) Trfico Protocolo Spanning Tree a travs
el puerto al que est conectado el cliente. Despus de la autenticacin tiene xito, el trfico normal puede pasar
a travs del puerto.
11-2
OL-29703-01
Captulo 11
Clases de
dispositivo
Con la autenticacin basada en puerto 802.1x, los dispositivos de la red tienen funciones especficas como se muestra en
Figura 11-1.
Figura 11-1
Autenticacin
servidor
(RADIUS)
Estaciones de Trabajo
(clientes)
101229
Client-la dispositivo (estacin de trabajo) que solicita acceso a la LAN y los servicios de conmutacin y responde
a las solicitudes del interruptor. La estacin de trabajo debe ejecutar software cliente-802.1x compatible con tales
como la ofrecida en el sistema operativo Microsoft Windows XP. (El cliente es el suplicante en
la norma 802.1x.)
Nota
Para resolver los problemas de conectividad de red y autenticacin 802.1x de Windows XP, lea el
Artculo de Microsoft Knowledge Base en la siguiente direccin:
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP
Cambiar (Interruptor de borde o punto de acceso inalmbrico) -Controla el acceso fsico a la red basado en
el estado de autenticacin del cliente. El interruptor acta como intermediario (Proxy) entre el cliente
y el servidor de autenticacin, solicitando la informacin de identidad del cliente, verificando que
informacin con el servidor de autenticacin, y transmitir una respuesta al cliente. El interruptor incluye
el cliente RADIUS, que es responsable para encapsular y desencapsular los marcos de EAP y
interactuar con el servidor de autenticacin. (El interruptor es el autenticador en la norma 802.1x.)
Cuando el interruptor recibe tramas EAPOL y las retransmite al servidor de autenticacin, la Ethernet
encabezado se elimina, y el marco de EAP restante se vuelve a encapsular en el formato de RADIUS. El
Marcos EAP no se modifican durante la encapsulacin, y el servidor de autenticacin deben apoyar EAP
en el formato de trama nativa. Cuando el interruptor recibe tramas desde el servidor de autenticacin, el
se elimina del encabezado de la trama del servidor, dejando el marco EAP, que se encapsula entonces para Ethernet
y se enva al cliente.
11-3
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Los dispositivos que pueden actuar como intermediarios incluyen el Catalyst 3750-X, Catalyst 3750-E, Catalyst
3750, Catalyst 3650-X, Catalyst 3560-E, Catalyst 3560, Catalyst 3550, Catalyst 2970, Catalyst
2960, Catalyst 2955, Catalyst 2950, Catalyst 2940 switches, o un punto de acceso inalmbrico. Estos
dispositivos deben ejecutar software que soporta el cliente RADIUS y la autenticacin IEEE 802.1x.
Proceso de autenticacin
Cuando la autenticacin basada en el puerto 802.1x est activada y el cliente es compatible con el cliente 802.1x compatible
software, estos eventos ocurren:
Si la identidad del cliente es vlida y la autenticacin 802.1x tiene xito, el interruptor otorga al cliente
acceso a la red.
Si los tiempos de autenticacin 802.1x a cabo a la espera de un intercambio de mensajes EAPOL y MAC
omisin de autenticacin est activada, el interruptor puede utilizar la direccin MAC del cliente para su autorizacin. Si el
direccin MAC del cliente es vlida y la autorizacin se realiza correctamente, el interruptor otorga al cliente el acceso a la
red. Si la direccin MAC del cliente no es vlido y no la autorizacin, el interruptor asigna al cliente
a una VLAN de invitados que ofrece servicios limitados si se configura una VLAN de invitados.
Si el interruptor se pone una identidad vlido desde un cliente-802.1x capaz y una VLAN restringida es
especificada, el interruptor puede asignar el cliente a una VLAN restringida que ofrece servicios limitados.
Si el servidor de autenticacin RADIUS no est disponible (hacia abajo) y de difcil acceso por omisin de autenticacin
est habilitada, el interruptor otorga al cliente el acceso a la red, poniendo el puerto en el
el estado de autenticacin crtico en el configurado en RADIUS o el acceso VLAN especificada por el usuario.
Nota
Omisin de autenticacin inaccesible tambin se refiere a la autenticacin como crtico o la AAA falle
poltica.
11-4
OL-29703-01
Captulo 11
Figura 11-2
No
Es el cliente IEEE
802.1x capaz?
S
El usuario no tiene un
pero el sistema de certificado
previamente iniciado sesin en
la red mediante
un certificado de equipo.
Asigne el puerto de
Asigne el puerto de
una VLAN de invitados. una VLAN restringida.
Done
Es autenticacin MAC
activar derivacin? 1
YesNo
El conmutador recibe un
Mensaje EAPOL,
y el EAPOL
mensaje
comienza el intercambio.
Asigne el puerto de
una VLAN.
Client MAC
Direccin
identidad
es vlida.
Asigne el puerto de
una VLAN.
Asigne el puerto de
una VLAN de invitados. 1
Done
Done
Done
Todo autenticacin
servidores estn inactivos.
Utilice inaccesibles
omisin de autenticacin
(Autenticacin crtico)
para asignar el crtico
puerto a una VLAN.
Done
Todo autenticacin
servidores estn inactivos.
Done
Usted manualmente volver a autenticar el cliente mediante la introduccin de la dot1x interfaz re-authenticate
interface-id comando EXEC privilegiado.
11-5
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Nota
Si la autenticacin 802.1x no est habilitado o admite en el dispositivo de acceso a la red, cualquier trama EAPOL
desde el cliente se dejan caer. Si el cliente no recibe una trama de EAP-identidad / solicitud despus de tres
intenta iniciar la autenticacin, el cliente enva tramas como si el puerto est en el estado autorizado. Un puerto en
el estado autorizado significa efectivamente que el cliente se ha autenticado correctamente. Para obtener ms
informacin, consulte la Seccin "Puertos en Estados autorizados y no autorizados" en la pgina 11-10.
Cuando el cliente proporciona su identidad, el interruptor comienza su papel de intermediario, pasando marcos EAP
entre el cliente y el servidor de autenticacin hasta que la autenticacin tiene xito o fracasa. Si el
autenticacin se realiza correctamente, el puerto del switch queda autorizada. Si la autenticacin falla, la autenticacin
puede ser juzgado, el puerto podra ser asignado a una VLAN que ofrece servicios limitados, o acceso a la red
no se concede. Para obtener ms informacin, consulte la Seccin "Puertos en Estados autorizados y no autorizados" en la
pgina 11-10.
El intercambio especfico de marcos EAP depende del mtodo de autenticacin que se utiliza. Figura 11-3
muestra un intercambio de mensajes iniciada por el cliente cuando el cliente utiliza el One-Time-contrasea (OTP)
mtodo de autenticacin con un servidor RADIUS.
Figura 11-3
Intercambio de Mensajes
Autenticacin
servidor
(RADIUS)
Cliente
EAPOL-Start
EAP-Request / Identidad
EAP-Respuesta / Identidad
RADIUS Access-Request
EAP-Request / OTP
Acceso RADIUS-Challenge
EAP-Response / OTP
RADIUS Access-Request
EAP-Success
RADIUS Access-Accept
Puerto Autorizado
EAPOL-cierre de sesin
101228
Puerto no autorizado
11-6
OL-29703-01
Captulo 11
Si los tiempos de autenticacin 802.1x a cabo a la espera de un intercambio de mensajes EAPOL y MAC
omisin de autenticacin est activada, el interruptor puede autorizar al cliente cuando el switch detecta un Ethernet
paquete del cliente. El conmutador utiliza la direccin MAC del cliente como su identidad y esto incluye
la informacin en el marco de RADIUS de acceso / solicitud que se enva al servidor RADIUS. Despus de que el servidor
enva el interruptor de la RADIUS de acceso / aceptar marco (autorizacin tiene xito), el puerto se convierte en
autorizado. Si la autorizacin falla y se especifica una VLAN de invitados, el interruptor asigna el puerto al invitado
VLAN. Si el interruptor detecta un paquete EAPOL mientras espera para un paquete Ethernet, las paradas de conmutacin
el proceso y la omisin de autenticacin MAC deja de autenticacin 802.1x.
Figura 11-4 muestra el intercambio de mensajes durante MAC por omisin de autenticacin.
Figura 11-4
Cliente
Cambiar
141681
Authentication Manager
En Cisco IOS 12.2 (46) SE y anteriores, no se poda utilizar los mismos mtodos de autorizacin, incluyendo
Comandos y mensajes de la CLI, este interruptor y tambin en otros dispositivos de red, como un Catalyst 6000.
Tienes que usar las configuraciones de autenticacin diferentes. Cisco IOS versin 12.2 (50) SE y posteriores apoyos
los mismos mtodos de autorizacin en toda Catalizador interruptores en una red.
Cisco IOS 12.2 (55) SE soporta filtrado de mensajes del sistema detallados de la autenticacin
gerente. Para obtener ms informacin, consulte la Seccin de "comandos de la CLI Authentication Manager" en la pgina 119.
Mtodos de autenticacin basada en el puerto, pgina 11-8
11-7
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Caractersticas 802.1x
Modo
Mtodo de autenticacin
Anfitrin Individual
Host mltiple
MDA 1
Mltiple
Authentication22
802.1x
Asignacin de VLAN
Asignacin de VLAN
Asignacin de VLAN
Filter-Id atributo2
Atributo Filter-ID
Filter-Id atributo2
Descargable
ACL3
Descargable
ACL2
Descargable
ACL2
Redireccionar URL 2
Redireccionar URL2
Redireccionar URL2
Asignacin de VLAN
Filter-Id atributo2
Atributo Filter-ID
Filter-Id atributo2
Descargable
ACL2
Descargable
ACL2
Descargable
ACL2
Redireccionar URL2
Redireccionar URL2
Asignacin de VLAN
Asignacin de VLAN
Filter-Id atributo2
Filter-Id atributo2
Filter-Id atributo2
Redireccionar URL2
Filter-Id atributo2
Proxy ACL
Proxy ACL
Proxy ACL
Proxy ACL2
Filter-Id atributo2
Filter-Id atributo2
Filter-Id atributo2
Filter-Id atributo2
Descargable
ACL2
Descargable
ACL2
Descargable
ACL2
Descargable
ACL2
11-8
OL-29703-01
Captulo 11
Nota
Para cualquier ACL configurada para el modo de mltiples anfitrin, la parte de la fuente de exposicin debe ser cualquier.
(Para
ejemplo, permiso icmp cualquier acoger 10.10.1.1.)
Nota
Si la autenticacin 802.1x se deshabilita globalmente, otros mtodos de autenticacin estn an habilitadas en ese puerto,
como la autenticacin web.
El gestor de autenticacin comandos proporcionan la misma funcionalidad que los comandos anteriores 802.1x.
Tabla 11-2
El gestor de autenticacin
comandos de Cisco IOS
Suelte 12.2 (50) SE o posterior
evento de autenticacin
repliegue de autenticacin
fallback-perfil
Para la autenticacin
dot1x mac-auth-bypass
autenticacin peridica
dot1x reautenticacin
11-9
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Tabla 11-2
El gestor de autenticacin
comandos de Cisco IOS
Suelte 12.2 (50) SE o posterior
temporizador de autenticacin
violacin de autenticacin {Protect | violacin de modo dot1x {Apagado Configurar los modos de violacin que se producen cuando un
restringir |apagado}|restringir |proteger}nuevo dispositivo se conecta a un puerto o cuando un nuevo
dispositivo se conecta a un puerto despus de que el mximo
nmero de dispositivos estn conectados a ese puerto.
espectculo de autenticacin
mostrar dot1x
Comenzando con Cisco IOS Versin 12.2 (55) SE, usted puede filtrar los mensajes del sistema detallados generados
por el gestor de autenticacin. El contenido filtrado se refiere tpicamente a la autenticacin xito. Usted puede
tambin filtrar mensajes detallados para la autenticacin 802.1x autentificacin y MAB. Hay una separada
comando para cada mtodo de autenticacin:
El ningn registro de autenticacin detallado filtros globales de comandos de configuracin mensajes detallados
desde el gestor de autenticacin.
El ningn registro detallado dot1x autenticacin 802.1x mundial filtros comando de configuracin detallado
mensajes.
El ningn registro detallado mab comando de configuracin global Filtros MAC por omisin de autenticacin
(MAB) mensajes detallados
11-10
OL-29703-01
Captulo 11
Usted controla el estado de autorizacin del puerto mediante el uso de la dot1x-control de puertos configuracin de la
interfaz
comando y estas palabras clave:
fuerza-autorizada-desactiva Autenticacin 802.1x y hace que el puerto de cambiar a las autorizadas
estado sin ningn intercambio de autenticacin requerido. El puerto enva y recibe trfico normal
sin autenticacin basada en 802.1x del cliente. Esta es la configuracin por defecto.
fuerza-no autorizados-causas que el puerto siga en el estado no autorizado, haciendo caso omiso de todos los intentos por
el cliente se autentifique. El interruptor no puede proporcionar servicios de autenticacin al cliente a travs de la
puerto.
auto-permite Autenticacin 802.1x y hace que el puerto comience en el estado no autorizado, permitiendo
slo tramas EAPOL para ser enviados y recibidos a travs del puerto. Se inicia el proceso de autenticacin
cuando el estado de enlace del puerto cambia de abajo hacia arriba o cuando se recibe una trama de EAPOL-start.
El interruptor solicita la identidad del cliente y comienza mensajes de autenticacin entre reinstalacin
el cliente y el servidor de autenticacin. Cada cliente que intenta acceder a la red es nica
identifica mediante el conmutador utilizando la direccin MAC del cliente.
Los puertos que ya estn autenticados y que no tienen re-autenticacin peridica permitido permanecer
en el estado autenticado. No se requiere comunicacin con el servidor RADIUS.
Los puertos que ya estn autenticados y que tienen peridica re-autentificacin (con la dot1x
re-autenticacin comando de configuracin global) falla el proceso de autenticacin cuando el
re-autenticacin se produce. Puertos vuelven al estado no autenticado durante la re-autenticacin
proceso. Se requiere comunicacin con el servidor RADIUS.
Para una autenticacin en curso, la autenticacin falla inmediatamente, porque no hay un servidor
conectividad.
Si el interruptor que no llega y se rene con la pila de switches, las autenticaciones podra o no
fallar en funcin del tiempo de arranque y si la conectividad con el servidor RADIUS se restablece
por el momento se intenta la autenticacin.
11-11
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Para evitar la prdida de conectividad con el servidor RADIUS, debe asegurarse de que hay una redundancia
la conexin a la misma. Por ejemplo, usted puede tener una conexin redundante a la maestra de la pila y la otra a un
miembro de la pila, y si el maestro de la pila falla, el interruptor de pila todava tiene conectividad con el servidor RADIUS.
Figura 11-5
Punto de acceso
Autenticacin
servidor
(RADIUS)
101227
Nota
Para todos los modos de host, el protocolo de lnea se queda hasta antes de la autorizacin cuando la autenticacin basada en el
puerto es
configurado.
11-12
OL-29703-01
Captulo 11
Nota
Cuando un puerto est en modo de mltiples de autenticacin, la VLAN de invitados y autenticacin-fracasaron VLAN
funciones no se activan.
Comenzando con Cisco IOS Versin 12.2 (55) SE, puede asignar una VLAN RADIUS-server-suministrado en
Modo multi-auth, en estas condiciones:
El anfitrin es el primer anfitrin autorizado en el puerto, y la informacin de los suministros de servidor RADIUS VLAN.
Hosts subsiguientes estn autorizados con una VLAN que coincida con la VLAN operativa.
Un host est autorizado en el puerto sin asignacin de VLAN, y los ejrcitos posteriores, o no tienen
Asignacin de VLAN, o su informacin de VLAN coincide con el VLAN operacional.
El primer host autorizado en el puerto cuenta con una asignacin de VLAN grupo, y los ejrcitos posteriores, ya sea
no tienen asignacin de VLAN, o su grupo VLAN coincide con el grupo de VLAN en el puerto. Posterior
hosts deben utilizar la misma VLAN del grupo VLAN como el primer anfitrin. Si se utiliza una lista de VLAN, todos
anfitriones estn sujetos a las condiciones especificadas en la lista de VLAN.
Despus de una VLAN se asigna a un host en el puerto, los ejrcitos posteriores deben tener juego VLAN
informacin o se le niega el acceso al puerto.
No se puede configurar una VLAN de invitados o una VLAN auth-fallar en el modo multi-auth.
El comportamiento de la VLAN crtico-auth no se cambia para el modo multi-auth. Cuando un anfitrin intenta
autenticar y el servidor no es accesible, todos los hosts autorizados se reinicializan en el configurada
VLAN.
Para obtener ms informacin sobre el modo de autenticacin crtica y la VLAN crtica, vase el "802.1x
Autenticacin con seccin Inaccesible omisin de autenticacin "en la pgina 11-23.
Para obtener ms informacin, consulte la Seccin "Configuracin del Modo Host" en la pgina 11-47.
MAC Move
Cuando una direccin MAC se autentica en un puerto de switch, esa direccin no est permitido en otro
autenticacin de puertos del conmutador gestor habilitado. Si el switch detecta esa misma direccin MAC en
otra autenticacin de puertos gerente habilitado, no se permite que la direccin.
Hay situaciones en las que puede ser que necesite una direccin MAC para pasar de un puerto a otro en el mismo
interruptor. Por ejemplo, cuando hay otro dispositivo (por ejemplo, un concentrador o un telfono IP) entre una
anfitrin autenticado y un puerto de switch, es posible que desee desconectar el host desde el dispositivo y conectar
directamente a otro puerto en el mismo conmutador.
Puede habilitar globalmente movimiento MAC para que el dispositivo se vuelve a autenticar en el nuevo puerto. Cuando un host se
mueve
a un segundo puerto, se elimina la sesin en el primer puerto, y el anfitrin se vuelve a autenticar en el nuevo puerto.
Movimiento MAC es compatible con todos los modos de acogida. (El anfitrin autenticado puede mover a cualquier puerto del
conmutador,
sin importar el modo de acogida est habilitado en el dicho puerto.)
Cuando se mueve una direccin MAC de un puerto a otro, el conmutador termina la sesin autenticada
en el puerto original e inicia una nueva secuencia de autenticacin en el nuevo puerto.
La funcin de movimiento MAC se aplica tanto a los hosts de voz y datos.
Nota
En el modo de autenticacin abierta, una direccin MAC se mueve inmediatamente desde el puerto original a la nueva
puerto, sin necesidad de autorizacin en el nuevo puerto.
11-13
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Para obtener ms informacin, consulte la Seccin "Activacin Move MAC" en la pgina 11-52.
MAC Reemplazar
Comenzando con Cisco IOS Versin 12.2 (55) SE, el MAC reemplazar caracterstica puede ser configurado para direccin
la violacin que se produce cuando un host intenta conectarse a un puerto donde otro anfitrin fue previamente
autenticado.
Nota
Esta funcin no se aplica a los puertos en modo multi-auth, porque violacines no se activan en ese
de modo. No se aplica a los puertos en modo host mltiple, porque en ese modo, slo la primera acogida exija
de autenticacin.
Una nueva direccin MAC se recibe en un puerto con una direccin MAC autenticado existente.
El gestor de autenticacin reemplaza la direccin MAC del host de datos actual en el puerto con la
nueva direccin MAC.
Si el gestor de autenticacin determina que el nuevo anfitrin es un anfitrin de voz, el anfitrin de voz original es
eliminado.
Si un puerto est en modo de autenticacin abierta, cualquier nueva direccin MAC se agrega inmediatamente a la direccin MAC
tabla.
Para obtener ms informacin, consulte la Seccin "Activacin MAC Reemplazar" en la pgina 11-52.
802.1x Contabilidad
El estndar 802.1x define cmo los usuarios autorizados y autenticados por el acceso a la red, pero no
llevar un registro de uso de la red. Contabilidad de 802.1x est desactivado por defecto. Puede activar la contabilidad de 802.1x
para monitorear esta actividad en puertos 802.1x habilitada:
Re-autenticacin falla.
11-14
OL-29703-01
Captulo 11
Pares AV se envan automticamente por un interruptor que est configurado para la contabilidad de 802.1x. Tres tipos de
Paquetes de contabilidad RADIUS se envan mediante un interruptor:
Pares AV Contabilidad
Atributo Nmero
Nombre AV Par
INICIO
INTERMEDIO Detngase
Atributo [1]
User-Name
Siempre
Siempre
Siempre
Atributo [4]
NAS-IP-Direccin
Siempre
Siempre
Siempre
Atributo [5]
NAS-Port
Siempre
Siempre
Siempre
Atributo [8]
Framed-IP-Direccin
Nunca
Sometimes1
Sometimes1
Atributo [25]
Clase
Siempre
Siempre
Siempre
Atributo [30]
Called-Station-ID
Siempre
Siempre
Siempre
Atributo [31]
Calling-Station-ID
Siempre
Siempre
Siempre
Atributo [40]
Acct-Status-Type
Siempre
Siempre
Siempre
Atributo [41]
Acct-Delay-Time
Siempre
Siempre
Siempre
Atributo [42]
Acct-Input-Octets
Nunca
Siempre
Siempre
Atributo [43]
Acct-Output-Octets
Nunca
Siempre
Siempre
Atributo [44]
Acct-Session-ID
Siempre
Siempre
Siempre
Atributo [45]
-Cta Autntico
Siempre
Siempre
Siempre
Atributo [46]
Acct-Session-Time
Nunca
Siempre
Siempre
Atributo [49]
Acct-Terminate-Cause
Nunca
Nunca
Siempre
Atributo [61]
NAS-Port-Type
Siempre
Siempre
Siempre
1. El par AV Framed-IP-Direccin se enva slo si un Control Protocol (DHCP) dinmica de host vlida y vinculante
existe para el anfitrin en la tabla fijaciones snooping DHCP.
Puede ver los pares de AV que se envan por el conmutador introduciendo el contabilidad de depuracin radio
comando EXEC privilegiado. Para obtener ms informacin sobre este comando, consulte la Cisco IOS depuracin
Mandatos del sistema, versin 12.4.
Para obtener ms informacin acerca de pares AV, vea RFC 3580, "IEEE 802.1x de autenticacin remota telefnica de usuario En
Servicio (RADIUS) Directrices de uso ".
802.1x Comprobacin de
disponibilidad La monitores de verificacin actividad 802.1x disposicin 802.1x en todos los puertos del switch y muestra informacin
sobre los dispositivos conectados a los puertos que soportan 802.1x. Puede utilizar esta funcin para determinar si el
dispositivos conectados a los puertos del switch son capaces 802.1x. Utiliza una autenticacin alternativo, como
MAC por omisin de autenticacin o la autenticacin web para los dispositivos que no soportan 802.1x
funcionalidad.
11-15
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Esta caracterstica slo funciona si el suplicante en el cliente soporta una consulta con el NOTIFICAR EAP
paquete de notificacin. El cliente debe responder dentro del valor de tiempo de espera 802.1x.
Para obtener informacin sobre la configuracin del interruptor para la comprobacin de preparacin 802.1x, consulte la
"Configuracin de 802.1x
Comprobacin de disponibilidad "en la pgina 11-41.
Si no VLAN es suministrada por el servidor RADIUS o si la autenticacin 802.1x est desactivado, el puerto es
configurado en su VLAN de acceso despus de la autenticacin exitosa. Recordemos que una VLAN de acceso es un
VLAN asignado a un puerto de acceso. Todos los paquetes enviados desde o recibidos en este puerto pertenecen a esta
VLAN.
Si la autenticacin 802.1x est activado pero la informacin de la VLAN desde el servidor RADIUS no es vlida,
autorizacin falla y VLAN configurada se mantiene en uso. Esto evita la aparicin de puertos
inesperadamente en una VLAN inapropiada debido a un error de configuracin.
Los errores de configuracin pueden incluir la especificacin de una VLAN para un puerto de enrutado, un ID de VLAN
malformada, un
inexistente o interno (puerto enrutado) VLAN ID, una VLAN RSPAN, una VLAN cerrado o suspendido. En
el caso de un puerto host mutlidomain, errores de configuracin tambin puede deberse a un intento de cesin de
una VLAN de datos que coincide con el ID de VLAN de voz configurado o asignado (o al revs).
Si la autenticacin 802.1x est activado y toda la informacin desde el servidor RADIUS es vlido, el
dispositivo autorizado se coloca en la VLAN especificada despus de la autenticacin.
Si el modo de mltiples hosts est habilitado en un puerto 802.1x, todos los hosts se colocan en la misma VLAN
(Especificado por el servidor RADIUS) como el primer anfitrin autenticado.
Habilitacin de la seguridad del puerto no influye en el comportamiento de VLAN asignada por el servidor
RADIUS.
Si la autenticacin 802.1x est desactivado en el puerto, se devuelve a la VLAN de acceso configurado y
VLAN de voz configurado.
Cuando el puerto est en la fuerza autorizada, la fuerza no autorizado, no autorizado, o estado de cierre, se pone
en la VLAN de acceso configurado.
Si un puerto 802.1x se autentica y se puso en la VLAN asignada por el servidor RADIUS, cualquier cambio en el puerto
configuracin de acceso VLAN no entra en vigor. En el caso de un husped multidominio, lo mismo se aplica a
dispositivos de voz cuando el puerto est totalmente autorizado con las siguientes excepciones:
11-16
OL-29703-01
Captulo 11
Si el cambio de configuracin de VLAN de un dispositivo resulta en la adecuacin del otro dispositivo configurado o
VLAN asignado, la autorizacin de todos los dispositivos en el puerto se termina y el modo de host multidominio
se desactiva hasta que se restablezca una configuracin vlida donde dispositivo de datos y de voz configurado VLANs no
partido ms largo.
Si un dispositivo de voz est autorizado y est utilizando una VLAN de voz descargado, la eliminacin de la voz
Configuracin de la VLAN, o modificar el valor de configuracin a dot1p o sin etiqueta resultados en la voz
dispositivo de des-autorizacin y la inhabilitacin del modo host multi-dominio.
La autenticacin 802.1x con asignacin de VLAN caracterstica no se admite en los puertos troncales, dinmico
puertos, o con asignacin dinmica de puertos de acceso a travs de una poltica de servidor de VLAN (VMPS).
Para configurar la asignacin de VLAN que necesita para realizar estas tareas:
Habilitar autorizacin AAA mediante el uso de la red palabra clave para permitir la configuracin de interfaz de la
Servidor RADIUS.
Habilitar la autenticacin 802.1x. (La funcin de asignacin de VLAN se habilita automticamente cuando se
configurar la autenticacin 802.1x en un puerto de acceso).
Asigne atributos de tnel especficas del proveedor en el servidor RADIUS. El servidor RADIUS debe devolver
estos atributos al interruptor:
-[64] Tunnel-Type = VLAN
-[65] Tunnel-Medium-Type = 802
-[81] Tunnel-Private-Group-ID = Nombre de VLAN o ID de VLAN
El atributo [64] debe contener el valor VLAN (Tipo 13). El atributo [65] debe contener el valor 802
(Tipo 6). Atributo [81] especifica el Nombre de VLAN o VLAN ID asignado a la
IEEE 802.1x-usuario autenticado.
Para ver ejemplos de atributos de tnel, consulte la "Configuracin del conmutador de usar RADIUS especfico del proveedor
Atributos "en la pgina 10-35.
11-17
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Habilitar autorizacin AAA mediante el uso de la red palabra clave para permitir la configuracin de interfaz de la
Servidor RADIUS.
Nota
Nota
11-18
OL-29703-01
Captulo 11
Nota
Nota
El auth-default-ACL no soporta Cisco Discovery Protocol (CDP) de bypass en el modo de host nico.
Debe configurar una ACL esttica en la interfaz para apoyar CDP bypass.
Los mtodos de autenticacin 802.1x y MAB admiten dos modos de autenticacin, abierta y cerrado. Si
no hay ACL esttica en un puerto en cerrado modo de autenticacin:
El-auth default-ACL permite el trfico DHCP slo hasta que se apliquen las polticas.
Cuando el primer anfitrin autentica, la directiva de autorizacin se aplica sin la insercin de direcciones IP.
Cuando se detecta un segundo host, se actualizan las polticas de primera acogida, y las polticas para la primera
y las sesiones posteriores se hacen cumplir con la insercin de direcciones IP.
Las polticas se aplican con la insercin de direcciones IP para evitar violaciones de la seguridad.
Para controlar el acceso de hosts sin polticas de autorizacin, puede configurar una directiva. La apoyado
valores de la directiva son abierta y predeterminado. Al configurar el abierta Directiva, todo el trfico es
permitido. El por defecto Directiva somete trfico al acceso proporcionado por el puerto. Puede configurar el
directiva ya sea en el perfil de usuario en el servidor de AAA o en el interruptor. Para configurar la directiva sobre la
Servidor AAA, utilice el -authz directiva = <abierta / default> comando global. Para configurar la directiva sobre
el interruptor, utilice el Control acceso abierto epm comando de configuracin global.
Nota
Las entradas de control de acceso (ACE) en la ACL de repliegue se convierten en entradas por usuario. Si el configurada
perfil de repliegue no incluye una ACL de repliegue, el anfitrin est sujeta a la-auth default-ACL asociada
con el puerto.
Nota
Si utiliza un logotipo personalizado con autenticacin web y se almacena en un servidor externo, la ACL puerto
debe permitir el acceso al servidor externo antes de la autenticacin. Debe configurar un puerto esttico
ACL o cambiar el auth-default-ACL para proporcionar un acceso adecuado al servidor externo.
11-19
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
El conmutador utiliza la ACL CiscoSecure definidos par de valores de atributos para interceptar un servidor HTTP o HTTPS
solicitar desde el punto final. El switch reenva el navegador web cliente para la redireccin especificada
direccin. El par AV-url de redireccionamiento en el Cisco Secure ACS contiene la URL a la que el navegador web
se redirige. El par de valores de atributo url-redirect-acl contiene el nombre o nmero de una ACL que
especifica el trfico HTTP o HTTPS para redirigir. El trfico que coincide con un permiso de ACE en la ACL es
redirigida.
Nota
Si una ACL descargable est configurado para un cliente en el servidor de autenticacin, una ACL puerto por defecto en el
cliente conectado puerto del conmutador tambin se debe configurar.
Si la ACL por defecto est configurado en el conmutador y el Cisco Secure ACS enva un acceso a las polticas de acogida de
el interruptor, se aplica la poltica de trfico desde el host conectado a un puerto de switch. Si la poltica no
aplica, el interruptor se aplica la ACL por defecto. Si el Cisco Secure ACS enva el interruptor de un descargable
ACL, esta ACL tiene prioridad sobre la ACL por defecto que est configurado en el puerto del switch. Sin embargo,
si el switch recibe una poltica de acceso host de la Cisco Secure ACS pero la ACL por defecto no es
configurado, se declara el error de autorizacin.
Para detalles de la configuracin, consulte la Seccin "Authentication Manager" en la pgina 11-7 y el "Configuracin de
802.1x Autenticacin con ACL y descargable Redireccionar URL "en la pgina 11-71.
11-20
OL-29703-01
Captulo 11
Nota
Esta funcin no est disponible en Cisco ACS Server. (El servidor ACS ignora las VLAN-ID de enviados de nuevo
anfitriones y slo autentica basados en la direccin MAC.)
Para obtener informacin de configuracin, consulte la Seccin "Autenticacin MAC basada en ID de VLAN" en la
pgina 11-73. La configuracin adicional es similar omisin de autenticacin MAC, como se describe en la
Seccin "Configuracin de MAC de omisin de autenticacin" en la pgina 11-66.
Introduzca el evento de autenticacin no-respuesta de accin autorizar vlan id_vlan configuracin de la interfaz
comando para permitir el acceso a la VLAN de invitados.
Utilice una VLAN restringida para que los clientes que no pudieron acceder autenticacin a la red mediante la introduccin de la
dot1x auth-fallar vlan id_vlan comando de configuracin de interfaz.
Si los dispositivos envan paquetes EAPOL al conmutador durante la vida de la conexin, el interruptor ya no permite
clientes que no logran el acceso de autenticacin a la VLAN de invitados.
Nota
Si se detecta un paquete EAPOL despus de la interfaz ha cambiado a la VLAN de invitados, la interfaz vuelve
a un estado no autorizado, y se reinicia de autenticacin 802.1x.
Cualquier nmero de clientes-802.1x incapaces se les permite el acceso al puerto del switch se mueve al husped
VLAN. Si un cliente-802.1x capaz une el mismo puerto en el que se configura la VLAN de invitados, el puerto
se pone en el estado autorizado en el acceso VLAN configurada por el usuario, y la autenticacin se reinicia.
Guest VLAN son compatibles con puertos 802.1x en anfitrin sencillos, retorcidos de acogida, o los modos multi-dominio.
Puede configurar cualquier VLAN activa, excepto una VLAN RSPAN, una VLAN privada, o una VLAN de voz como un
802.1x VLAN de invitados. La funcin VLAN de invitados no es compatible en redes VLAN internas (puertos enrutados) o
puertos troncales; que slo se admite en los puertos de acceso.
11-21
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Los soportes del conmutador MAC por omisin de autenticacin. Cuando MAC por omisin de autenticacin est activada en
un puerto 802.1x, el interruptor puede autorizar a los clientes en base a la direccin MAC del cliente cuando IEEE 802.1x
tiempo autenticacin a la espera de un intercambio de mensajes EAPOL. Despus de la deteccin de un cliente en
un puerto 802.1x, el interruptor de espera para un paquete Ethernet desde el cliente. El conmutador enva el
servidor de autenticacin RADIUS de acceso / trama de peticin con un nombre de usuario y contrasea basado en el MAC
direccin. Si la autorizacin se realiza correctamente, el interruptor otorga al cliente el acceso a la red. Si la autorizacin
falla, el interruptor asigna el puerto a la VLAN de invitados si se especifica. Para obtener ms informacin, consulte la
"Autenticacin IEEE 802.1x con MAC omisin de autenticacin" en la pgina 11-29.
Para obtener ms informacin, consulte la "Configuracin de una VLAN invitada" en la pgina 11-60.
Nota
Usted puede configurar una VLAN a ser a la vez la VLAN de invitados y la VLAN restringida si desea proporcionar
los mismos servicios a ambos tipos de usuarios.
Sin esta caracterstica, los intentos y la autenticacin de cliente no indefinidamente, y los restos del puerto de switch
en el rbol de expansin-estado de bloqueo. Con esta funcin, puede configurar el puerto del conmutador para estar en el
restringido VLAN despus de un nmero determinado de intentos de autenticacin (el valor por defecto es 3 intentos).
El autenticador cuenta los intentos de autenticacin fallidos para el cliente. Cuando este recuento supera el
nmero mximo de intentos de autenticacin configurado, el puerto mueve a la VLAN restringida. El
fallado incrementos de recuento intento cuando el servidor RADIUS responde bien con un Fracaso EAP o un vaco
respuesta sin un paquete EAP. Cuando el puerto se mueve en la VLAN restringida, el intento fallido
contador se restablece.
Los usuarios que no autenticacin permanecen en la VLAN restringida hasta el prximo intento de re-autenticacin. A
puerto en la VLAN restringida intenta volver a autenticar a intervalos configurados (el valor predeterminado es de 60 segundos). Si
re-autenticacin falla, el puerto permanece en la VLAN restringida. Si re-autenticacin es correcta, el
puerto mueve o bien a la VLAN configurado o a una VLAN enviado por el servidor RADIUS. Puede desactivar
re-autenticacin. Si usted hace esto, la nica forma de reiniciar el proceso de autenticacin es para el puerto de
recibir una vincular abajo o EAP cierre de sesin evento. Le recomendamos que mantenga re-autenticacin activada si alguna
cliente puede conectarse a travs de un concentrador. Cuando un cliente se desconecta desde el cubo, el puerto no puede recibir
la vincular abajo o EAP cierre de sesin evento.
Despus de un puerto se mueve a la VLAN restringida, un mensaje de xito de EAP simulada se enva al cliente. Este
evita que los clientes de forma indefinida los intentos de autenticacin. Algunos clientes (por ejemplo, los dispositivos de
funcionamiento
Windows XP) no puede implementar DHCP sin xito EAP.
VLANs restringidos slo se admiten en puertos 802.1x en modo de un solo host y en la capa 2 puertos.
Puede configurar cualquier VLAN activa, excepto una VLAN RSPAN, una VLAN privada primaria, o una voz
VLAN como VLAN 802.1x restringido. La funcin VLAN restringida no es compatible en redes VLAN internas
(puertos enrutados) o puertos troncales; que slo se admite en los puertos de acceso.
Otras caractersticas de seguridad tales como puertos dinmico ARP Inspection, snooping DHCP y IP Source Guard puede
configurarse de forma independiente en una VLAN restringida.
11-22
OL-29703-01
Captulo 11
Para obtener ms informacin, consulte la "Configuracin de una VLAN restringida" en la pgina 11-62.
Resultados de autenticacin
El comportamiento de la funcin de omisin de autenticacin inaccesible depende del estado de autorizacin de la
puerto:
Si el puerto no est autorizado cuando un host conectado a un puerto crtico intenta autenticar y todos los servidores
no estn disponibles, la opcin pone el puerto en el estado de autenticacin crtico en el
RADIUS configurado-o acceso VLAN especificada por el usuario.
Si el puerto ya est autorizada y repetir la autenticacin se produce, la opcin pone el puerto crtico en el
el estado de autenticacin crtico en la VLAN actual, lo que podra ser el que previamente asignado por
el servidor RADIUS.
Usted puede configurar el puerto crtica para reiniciar anfitriones y sacarlos de la VLAN crtico cuando
el servidor RADIUS est de nuevo disponible. Cuando esto se configura, todos los puertos crticos en el
el estado de autenticacin crtico se automticamente re-autenticado. Para obtener ms informacin, consulte el comando
referencia para esta versin y la "Configuracin Inaccesible omisin de la autenticacin y Crtico de voz
Seccin VLAN "en la pgina 11-63.
11-23
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Caracterstica
Interacciones
Invitado por omisin de autenticacin-VLAN Inaccesible es compatible con VLAN de invitados. Cuando un invitado
VLAN est habilitado en el puerto 8021.x, las caractersticas interactan de la siguiente manera:
-Si al menos un servidor RADIUS est disponible, el interruptor asigna un cliente a una VLAN de invitados cuando
interruptor no puede asignar los clientes a la VLAN de invitados que se haya configurado.
-Si todos los servidores RADIUS no estn disponibles y si un cliente est conectado a un puerto crtica y fue
previamente asignado a una VLAN de invitados, el conmutador mantiene el puerto en la VLAN de invitados.
VLAN-Si restringido el puerto ya est autorizado en una VLAN restringida y los servidores RADIUS
no estn disponibles, el interruptor pone el puerto crtico en el estado de autenticacin crtico en el restringido
VLAN.
VLAN-Usted privada puede configurar por omisin de autenticacin inaccesibles en un puerto host VLAN privada.
La VLAN de acceso debe ser una VLAN privada secundaria.
Switched Puerto remoto Analyzer (RSPAN) -d no configura una VLAN RSPAN como la
RADIUS configurado-o VLAN de acceso especificado por el usuario para la omisin de autenticacin inaccesible.
En una pila de switches, el maestro de la pila comprueba el estado de los servidores RADIUS mediante el envo de keepalive
paquetes. Cuando el estado de un servidor RADIUS cambios, el maestro de la pila enva la informacin a la
apilar miembros. Los miembros de la pila a continuacin, pueden comprobar el estado de los servidores RADIUS cuando reautenticacin
puertos crticos.
Si el nuevo maestro de la pila es elegido, el vnculo entre la pila de switches y el servidor RADIUS puede cambiar,
y la nueva pila inmediatamente enva paquetes de controles para actualizar el estado de los servidores RADIUS. Si
los cambios de estado del servidor de muertos a vivo, el interruptor de re-autentica todos los puertos del switch en la
el estado de autenticacin crtico.
Cuando un miembro se agrega a la pila, el maestro de la pila enva el miembro del estado del servidor.
11-24
OL-29703-01
Captulo 11
Servidores RADIUS y nuevos huspedes no pueden ser autenticados, el conmutador conecta los hosts a los puertos crticos.
Un nuevo husped que intenta conectar con el puerto crtica se traslad a un acceso VLAN especificada por el usuario, el crtico
VLAN, y concedi la autenticacin limitado.
Con esta versin, se puede introducir el servidor de eventos de autenticacin accin muertos autorizar voz interfaz
comando de configuracin para configurar la caracterstica crtica de la VLAN de voz. Cuando el ACS no responde,
el puerto entra en modo de autenticacin crtico. Cuando el trfico que viene desde el host se etiqueta con el
VLAN de voz, el dispositivo conectado (el telfono) se pone en la VLAN de voz configurado para el puerto. El IP
telfonos aprenden la identificacin de VLAN de voz a travs de (los dispositivos de Cisco) CDP oa travs de LLDP o DHCP.
Usted puede configurar la VLAN de voz para un puerto introduciendo el VLAN de voz switchport id_vlan interfaz
comando de configuracin.
Esta funcin es compatible con los modos de acogida multidominio y multi-autenticacin. Aunque puede introducir el
comando cuando el interruptor de husped simple o modo multi-host, el comando no tiene ningn efecto a menos que el
cambios de dispositivo para multidominio o modo host multi-auth.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar VLAN voz crtica en un puerto y
activar la funcin de omisin de autenticacin inaccesible.
Comando
Propsito
Paso 1
configure terminal
Paso 2
radio-servidor muertos-criterios
tiempo tiempo tries tries
Establece las condiciones que se utilizan para decidir cuando un servidor RADIUS se considera desempleo
disponible o hacia abajo (muertos).
Paso 3
(Opcional) Establece el nmero de minutos durante los cuales no se enva un servidor RADIUS
peticiones. El rango es de 0 a 1440 minutos (24 horas). El valor por defecto es de 0 minutos.
11-25
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Comando
Paso 4
Propsito
prueba de nombre de usuario Permite nombre- control automtico de la condicin de servidor RADIUS,
y especifica el nombre de usuario para ser utilizado.
Nota
interfaz interface-id
Paso 6
servidor de eventos de autenticacin Configura una VLAN fundamental para mover los ejrcitos en el puerto si el servidor RADIUS es poco
accin muertos {Autorizar |
alcanzable:
reinitialize} vlan id_vlan
autorizar-Moves nuevos hosts intentando autenticar al usuario especificadoVLAN crtico.
reinicializar-Moves todos los hosts autorizados en el puerto al crtico especificado por el usuario
VLAN.
Paso 7
Paso 8
servidor de eventos de autenticacin Configura VLAN voz crtica para mover el trfico de datos en el puerto a la VLAN de voz
accin muertos autorizar voz
si el servidor RADIUS es inalcanzable.
Paso 9
fin
Especifica la VLAN de voz para el puerto. La VLAN de voz no puede ser el mismo que el
VLAN de datos crticos configurado en el Paso 6.
interfaz interface-id
Este ejemplo muestra cmo configurar la caracterstica de omisin de autenticacin de difcil acceso y configurar el
VLAN voz crtica:
Switch (config) # radius-server tiempo muerto-criterios de 30 intentos 20
Switch (config) # tiempo muerto radio de servidor 60
11-26
OL-29703-01
Captulo 11
Switch (config) # anfitrin radius-server 1.1.1.2 ctas puertos 1550 auth-port 1560 prueba de nombre de usuario
usuario1 ociosas tiempo 30 abc1234 clave
Switch (config) # gigabitethernet interfaz 1/0/1
Switch (config) # tiempo muerto radio de servidor 60
Switch (config-if) # servidor de eventos de autenticacin accin muertos reinitialicze vlan 20
Switch (config-if) # VLAN de voz switchport
Switch (config-if) # servidor de eventos de autenticacin accin muertos autorizar voz
Switch (config-if) # fin
Nota
Configurar el servidor RADIUS para enviar ms de un nombre de VLAN para un usuario. La VLAN mltiple
nombres pueden ser enviados como parte de la respuesta al usuario. La distribucin de usuarios 802.1x seguimiento de todos
los usuarios
en una VLAN particular y alcanza el equilibrio de carga moviendo el usuario autorizado a la menos
VLAN poblada.
Configurar el servidor RADIUS para enviar un nombre de grupo de VLAN para un usuario. El nombre del grupo VLAN puede
ser enviados como parte de la respuesta al usuario. Puede buscar el nombre del grupo VLAN seleccionada entre
los nombres de los grupos VLAN que ha configurado mediante el uso de la CLI interruptor. Si el nombre del grupo de VLAN
es
encontrado, las VLANs correspondientes bajo este nombre de grupo de VLAN se buscan para encontrar el menor
VLAN poblada. El equilibrio de carga se consigue moviendo el correspondiente usuario autorizado para que
VLAN.
El servidor RADIUS puede enviar la informacin de la VLAN en cualquier combinacin de VLAN-ID, VLAN
nombres o grupos de VLAN.
Si desactiva la ltima VLAN desde el nombre de grupo de VLAN, el grupo de VLAN se borra.
Puede borrar un grupo VLAN incluso cuando las VLAN estn asociadas al grupo. Cuando borra
un grupo VLAN, ninguno de los puertos o usuarios que estn en el estado autenticado en cualquier VLAN dentro de la
grupo se borran, pero las asignaciones de VLAN para el grupo de VLAN se borran.
Para obtener ms informacin, consulte la Seccin "802.1x Distribucin de usuario" en la pgina 11-27.
11-27
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
VVID para llevar trfico de voz desde y hacia el telfono IP. El VVID se utiliza para configurar el telfono IP
conectado al puerto.
PVID para llevar el trfico de datos hacia y desde la estacin de trabajo conectada al conmutador a travs de la IP
telfono. El PVID es la VLAN nativa del puerto.
El telfono IP utiliza el VVID por su trfico de voz, independientemente del estado de autorizacin del puerto. Este
permite que el telfono funcione de forma independiente de la autenticacin IEEE 802.1x.
En el modo de un solo anfitrin, slo se permite que el telfono IP en la VLAN de voz. En el modo de varios hosts,
clientes adicionales pueden enviar trfico de la VLAN de voz despus de un suplicante se autentica en el PVID.
Cuando el modo de mltiples hosts est habilitada, la autenticacin suplicante afecta tanto a la PVID y la
VVID.
Nota
Un puerto de VLAN de voz se activa cuando hay un enlace, y la direccin MAC del dispositivo aparece despus de la
primer mensaje CDP desde el telfono IP. Los telfonos IP de Cisco no retransmiten mensajes CDP desde otros dispositivos.
Como resultado, si varios telfonos IP se conectan en serie, el conmutador reconoce slo el uno directamente
conectado a l. Cuando la autenticacin IEEE 802.1x est activado en un puerto de la VLAN de voz, las gotas de conmutacin
paquetes de telfonos IP no reconocidas ms de un salto de distancia.
Cuando la autenticacin IEEE 802.1x est activado en un puerto, no puede configurar una VLAN de puerto que es igual
a una VLAN de voz.
Nota
Si habilita la autenticacin IEEE 802.1x en un puerto de acceso en el que se configura una VLAN de voz y
a la que un telfono IP de Cisco est conectado, el telfono IP de Cisco pierde conectividad con el interruptor para un mximo de 30
segundos.
Para obtener ms informacin sobre las VLAN de voz, consulte Captulo 18, "Configuracin de VLAN de voz."
11-28
OL-29703-01
Captulo 11
Cuando un host que utiliza WoL est unido a travs de un puerto IEEE 802.1x y los poderes de acogida fuera, la
Puerto IEEE 802.1x se convierte en no autorizado. El puerto slo puede recibir y enviar paquetes EAPOL y WoL
paquetes mgicos no pueden alcanzar el host. Cuando el PC est apagado, no est autorizada, y el interruptor
puerto no es abierto.
Cuando el conmutador utiliza la autenticacin IEEE 802.1x con WoL, el conmutador enva el trfico a no autorizado
Puertos IEEE 802.1x, incluyendo paquetes mgicos. Mientras que el puerto no est autorizado, el conmutador sigue
bloque de trfico de entrada que no sea paquetes EAPOL. El anfitrin puede recibir paquetes, pero no puede enviar paquetes a
otros dispositivos en la red.
Nota
11-29
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
-Usted autenticacin IEEE 802.1x puede permitir MAC por omisin de autenticacin slo si IEEE 802.1x
autenticacin est activado en el puerto.
Guest VLAN-Si un cliente tiene una identidad de direcciones MAC no vlida, el interruptor asigna el cliente a un
invitado VLAN que se haya configurado.
VLAN-Esta restringido funcin no est disponible cuando el cliente se conecta a un puerto IEEE 802.lx
se autentica con MAC por omisin de autenticacin.
Puerto de seguridad-Ver la "Autenticacin IEEE 802.1x con Seguridad Portuaria" en la pgina 11-28.
VLAN de voz-Ver la Seccin "Autenticacin IEEE 802.1x con VLAN de voz Puertos" en la
pgina 11-28.
VLAN Membership Policy Server (VMPS) -IEEE802.1x y VMPS son mutuamente excluyentes.
Network Admission Control (NAC) de capa 2 IP validacin-Esta funcin tiene efecto despus de un
Puerto IEEE 802.1x se autentica con omisin de autenticacin MAC, incluyendo los anfitriones en la excepcin
lista.
Red perimetral de acceso Topologa (NEAT) mab y NEAT se excluyen mutuamente. No se puede
permitir MAB cuando NEAT est habilitado en una interfaz, y no se puede activar cuando NEAT MAB es
habilitado en una interfaz.
Para obtener ms informacin sobre la configuracin, consulte la Seccin "Authentication Manager" en la pgina 11-7.
Cisco IOS 12.2 (55) SE y posteriores admite el filtrado de los mensajes del sistema MAB prolijos. Consulte la
Seccin de "comandos de la CLI Authentication Manager" en la pgina 11-9.
Ajuste el nmero de segundos entre los intentos de re-autenticacin como el valor de la Session-Timeout
Atributo RADIUS (atributo [27]) y obtener una poltica de acceso contra el cliente del RADIUS
servidor.
Configure la accin que debe realizarse cuando el interruptor intenta volver a autenticar al cliente mediante el uso de la
Atributo Accin-Terminacin RADIUS (atributo [29]). Si el valor es el DEFAULT o no se establece, el
sesin termina. Si el valor es RADIUS-Solicitud, el proceso de re-autenticacin comienza.
Ver el smbolo de actitud NAC, que muestra la postura del cliente, mediante el uso de la espectculo
autenticacin comando EXEC privilegiado.
11-30
OL-29703-01
Captulo 11
Configuracin de Capa 2 NAC validacin IEEE 802.1x es similar a la configuracin IEEE 802.1x basada en puertoautenticacin excepto que debe configurar un smbolo de actitud en el servidor RADIUS. Para obtener informacin
sobre la configuracin de NAC Capa 2 validacin IEEE 802.1x, consulte la "Configuracin de Capa 2 NAC 802.1x
Seccin Validacin "en la pgina 11-68 y el Seccin "Configuracin de Renovacin peridica de autenticacin" en la
pgina 11-48.
Para obtener ms informacin acerca de NAC, vea la Gua de configuracin de Network Admission Control de Software.
Para obtener ms informacin sobre la configuracin, consulte la Seccin "Authentication Manager" en la pgina 11-7.
Open1x Autenticacin
Autenticacin Open1x permite un acceso del dispositivo a un puerto antes de que el dispositivo se autentica. Cuando est abierto
autenticacin se configura, un nuevo husped puede pasar el trfico de acuerdo a la lista de control de acceso (ACL)
definido en el puerto. Despus de la acogida es autenticado, las polticas configuradas en el servidor RADIUS son
aplicado a ese host.
Puede configurar la autenticacin abierta con estos escenarios:
Se permite el modo Single-host con la autenticacin de slo abierto un usuario con acceso a la red antes y
despus de la autenticacin.
El modo MDA con autenticacin abierta-Slo un usuario en el dominio de la voz y un usuario en los datos
dominio estn permitidos.
Modo de mltiples de autenticacin con la autenticacin de similares abierta a MDA, excepto varios hosts pueden
ser autenticado.
Para obtener ms informacin, consulte la Seccin "Configuracin del Modo Host" en la pgina 11-47.
Nota
Si se configura la autenticacin abierta, ste tendr prioridad sobre otros controles de autenticacin. Esto significa
que si se utiliza la abierto de autenticacin comando de configuracin de interfaz, el puerto otorgar acceso a
el husped independientemente de la -control de puerto de autenticacin comando de configuracin de interfaz.
Multidominio Autenticacin
El switch soporta autenticacin multidominio (MDA), que permite tanto un dispositivo de datos y voz
dispositivo, como un telfono IP (Cisco o no-Cisco), para autenticar en el mismo puerto del switch. El puerto es
dividido en un dominio y un dominio de datos de voz.
MDA no hace cumplir la orden de la autenticacin de dispositivos. Sin embargo, para obtener mejores resultados, se recomienda que
un dispositivo de voz se autentica antes de un dispositivo de datos en un puerto habilitado para la MDA.
Siga estas directrices para la configuracin de MDA:
Para configurar un puerto de switch para la MDA, consulte la Seccin "Configuracin del Modo Host" en la pgina 11-47.
11-31
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Debe configurar la VLAN de voz para el telfono IP cuando el modo de host se establece en multidominio. Para
ms informacin, consulte Captulo 18, "Configuracin de VLAN de voz."
Asignacin de VLAN de voz en un puerto habilitado para la MDA se apoya en Cisco IOS 12.2 (40) SE
y ms tarde.
Nota
Si utiliza una VLAN dinmica para asignar una VLAN de voz en un puerto de conmutador con capacidad para MDA, la
voz
dispositivo falla autorizacin.
Autorizar un dispositivo de voz, el servidor AAA debe estar configurado para enviar un Cisco Atributo-Valor
Atributo (AV) par con un valor de -clase de dispositivo-el trfico de voz =. Sin este valor, el conmutador
trata el dispositivo de voz como un dispositivo de datos.
La VLAN de invitados y VLAN restringida slo caractersticas se aplican a los dispositivos de datos en una habilitado MDA
puerto. El interruptor trata a un dispositivo de voz que no logra autorizacin como un dispositivo de datos.
Hasta que un dispositivo est autorizado, el puerto deja caer su trfico. Los telfonos no Cisco IP o dispositivos de voz son
permitido en tanto los datos como las VLAN de voz. La VLAN de datos permite que el dispositivo de voz al contacto con un
Servidor DHCP para obtener una direccin IP y adquirir la informacin de la VLAN de voz. Despus de la voz
dispositivo comienza a enviar en la VLAN de voz, su acceso a la VLAN de datos est bloqueada.
Un dispositivo de voz direccin MAC que es obligatoria para la VLAN de datos no se incluirn en el puerto
seguridad Direccin MAC lmite.
Usted puede utilizar la asignacin de VLAN dinmica desde un servidor RADIUS slo para dispositivos de
datos.
MDA puede utilizar MAC por omisin de autenticacin como un mecanismo de reserva para permitir que el puerto del
conmutador para
conectarse a dispositivos que no soportan la autenticacin IEEE 802.1x. Para obtener ms informacin, consulte la
Seccin "MAC de omisin de autenticacin" en la pgina 11-41.
Cuando un datos o una voz dispositivo es detectado en un puerto, la direccin MAC se bloquea hasta que la autorizacin
tiene xito. Si la autorizacin falla, la direccin MAC permanece bloqueada durante 5 minutos.
Cuando un modo de host puerto se cambia de una o varios hosts al modo multidominio, un autorizado
dispositivo de datos permanece autorizada en el puerto. Sin embargo, un telfono IP de Cisco que se ha permitido en la
puerto de voz VLAN se elimina automticamente y debe ser vuelve a autenticar en ese puerto.
Mecanismos de retorno activos tales como VLAN de invitados y VLAN restringida permanecen configurados despus de un
puerto cambia de modo nico o varios hosts al modo multidominio.
El paso de un modo de host puerto de multidominio para simple o modo multihost elimina toda autorizado
dispositivos del puerto.
Si un dominio de datos se autoriz por primera vez y se coloca en la VLAN de invitados, la voz no IEEE 802.1x capaz
dispositivos deben etiquetar sus paquetes en la VLAN de voz para activar la autenticacin.
No recomendamos ACL por usuario con un puerto habilitado para la MDA. Un dispositivo autorizado con un
poltica de ACL por usuario podra afectar el trfico en ambas las VLAN de voz y datos del puerto. Si se utiliza,
slo un dispositivo en el puerto debe hacer cumplir las ACL por usuario.
11-32
OL-29703-01
Captulo 11
802.1x cambiar suplicante: Puede configurar un switch para actuar como un suplicante de otro interruptor por
utilizando la funcin suplicante 802.1x. Esta configuracin es til en un escenario, donde, por ejemplo,
un interruptor est fuera de un armario de cableado y est conectado a un interruptor de corriente arriba a travs de un puerto de
enlace troncal. A
interruptor configurado con la funcin de cambio al suplicante 802.1x autentica con el interruptor aguas arriba
para conectividad segura. Una vez que el interruptor suplicante autentica correctamente el autenticador
cambiar los cambios de modo de puerto de acceso al maletero.
Si la VLAN de acceso est configurado en el conmutador autenticador, se convierte en la VLAN nativa para la
puerto de lnea despus de la autenticacin exitosa.
NEAT puede controlar el trfico que sale del puerto de switch suplicante durante el periodo de autenticacin. En el
estado predeterminado, cuando se conecta un interruptor suplicante a un interruptor autenticador que tiene guardia BPDU
habilitado, el puerto autenticador podra ser-error discapacitados si recibe Spanning Tree Protocol (STP) puente
unidad de datos de protocolo de paquetes (BPDU) antes de que el interruptor de suplicante ha autenticado. Comenzando con Cisco
IOS Release 15.0 (1) SE, usted puede controlar el trfico que sale del puerto suplicante durante la autenticacin
perodo. Al entrar en la dot1x suplicante controlado transitoria comando de configuracin global temporalmente
bloquea el puerto que suplicante durante la autenticacin para asegurar que el puerto autenticador no se cierra
antes de la autenticacin completa. Si la autenticacin falla, se abre el puerto suplicante. Al entrar en la no dot1x
transitoria controlada suplicante comando de configuracin global abre el puerto suplicante durante el
perodo de autenticacin. Este es el comportamiento predeterminado.
Nota
Puede habilitar MDA o el modo multiauth en la interfaz del conmutador autenticador que se conecta a un
interruptor suplicante. Modo multisistema no se admite en la interfaz del conmutador autenticador.
Utilice el suplicante dot1x fuerza-multicast comando de configuracin global en el interruptor suplicante para
Red perimetral de acceso Topologa (NEAT) para trabajar en todos los modos de acogida.
Anfitrin Autorizacin: Asegura que slo el trfico de hosts autorizados (que conectan con el interruptor con
solicitante) est permitido en la red. Los switches utilizan Client Informacin sobre el protocolo de sealizacin
(CISP) para enviar las direcciones MAC de conexin al interruptor suplicante al interruptor autenticador,
como se muestra en Figura 11-6.
11-33
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Figura 11-6
1
5
205718
Interruptor autenticador
Puerto troncal
Directrices
Puede configurar los puertos NEAT con las mismas configuraciones que los otros puertos de autenticacin. Cuando
el interruptor suplicante autentica, el modo de puerto se cambia de acceso a tronco basado en el
atributos especficos del proveedor de conmutacin (VSA). (Clase de dispositivo de trfico = switch).
El VSA cambia el modo de autenticador puerto del switch de acceso al maletero y permite tronco 802.1x
encapsulacin y la VLAN de acceso si cualquier sera convertido a una VLAN tronco nativo. VSA hace
no cambiar cualquiera de las configuraciones de puerto en el suplicante
Para cambiar el modo de host y el aplicar una configuracin de puerto de serie en el interruptor autenticador
puerto, tambin puede utilizar AutoSmart puertos macros definidos por el usuario, en lugar del interruptor VSA. Esto permite
a eliminar configuraciones no compatibles en el puerto del switch autenticador y cambiar el puerto
de modo acceso a tronco. Para obtener ms informacin, consulte la Gua de configuracin Auto Smartports para
esta versin.
Para obtener ms informacin, consulte la "Configuracin de un autenticador y un Switch Suplicante con NEAT"
en la pgina 11-69.
11-34
OL-29703-01
Captulo 11
Comn ID de sesin
Gestor de autenticacin utiliza un nico identificador de sesin (referido como un ID de sesin comn) para un cliente sin
importa qu mtodo de autenticacin utilizado. Este ID se utiliza para todos los fines de informacin, tales como el espectculo
comandos y MIB. El identificador de sesin aparece con los mensajes Syslog todo por sesin.
El identificador de sesin incluye:
Este ejemplo muestra cmo aparece el identificador de sesin en la salida del comando show autenticacin. El
ID de sesin en este ejemplo es 160000050000000B288508E5:
Switch # mostrar las sesiones de autenticacin
Interfaz MAC AddressMethodDomain
Fa4 / 0 / 40000.0000.0203 mabDATA
Estado
Authz xito
ID de sesin
160000050000000B288508E5
Este es un ejemplo de cmo aparece el identificador de sesin en la salida de syslog. El identificador de sesin en este ejemplo
es also160000050000000B288508E5:
1w0d:% AUTHMGR-5-START: Comenzando 'mab' para el cliente (0000.0000.0203) sobre Interfaz Fa4 / 0/4
AuditSessionID 160000050000000B288508E5
1w0d:% MAB-5-XITO: Autenticacin exitosa para el cliente (0000.0000.0203) en la interfaz
Fa4 / 0/4 AuditSessionID 160000050000000B288508E5
1w0d:% AUTHMGR-7-RESULTADO: Resultado de autenticacin 'xito' de 'mab' para el cliente
(0000.0000.0203) sobre Interfaz Fa4 / 0/4 AuditSessionID 160000050000000B288508E5
El ID de sesin es usada por el NAD, el servidor AAA, y otras aplicaciones de informe de anlisis para identificar
el cliente. El ID aparece automticamente. No se requiere ninguna configuracin.
Sensor de
dispositivos
Sensor Device utiliza protocolos como Protocolo de Descubrimiento de Cisco (CDP), Link Layer Discovery Protocol
(LLDP), y DHCP para obtener informacin de punto final de los dispositivos de red y hacer que esta informacin
a disposicin de sus clientes. Sensor dispositivo cuenta con clientes internos, como el Clasificador de dispositivos embebidos
(locales
analizador), Auto Smartports (ASP), MediaNet Service Interface (MSI) -proxy y EnergyWise. Dispositivo
Sensor tambin tiene un cliente externo, Identidad Services Engine (ISE), que utiliza RADIUS contabilidad a
recibir y analizar los datos finales. Cuando se integra con ISE, Sensor de dispositivos proporciona poltica central
gestin y capacidades de los dispositivos de perfiles.
Capacidad de perfiles de dispositivo consta de dos partes:
Para obtener ms informacin sobre perfiles de dispositivo, consulte la "Configuracin de directivas de extremos de perfiles"
captulo
en el Gua del usuario de Cisco Identidad Services Engine en esta direccin:
http://www.cisco.com/en/US/docs/security/ise/1.1/user_guide/ise_prof_pol.html
Sensor Dispositivo representa la funcionalidad colector incorporado. Figura 11-7shows Sensor de dispositivos en el
contexto de sus clientes internos y el ISE.
11-35
Captulo 11
Autenticacin basada en puerto IEEE 802.1x Entendimiento
Figura 11-7
Notificaciones de clientes y mensajes de cuentas que contienen datos de perfiles y otros datos relacionados con la sesin
son generados y enviados a los clientes internos y el ISE. De forma predeterminada, las notificaciones de los clientes y la
contabilidad
eventos se generan slo cuando un paquete entrante incluye un Tipo-Longitud-Valor (TLV) que no tiene
previamente ha recibido dentro de una sesin de acceso dado. Puede activar las notificaciones de los clientes y
eventos de contabilidad para cambios TLV; es decir, cuando un TLV recibido previamente es recibida con una diferente
valor.
Seguridad portuaria Sensor Device protege el interruptor de consumir memoria y no durante deliberada
o de denegacin de servicio-no intencional (DoS), ataques de tipo.
Directrices
Sensor Device limita el nmero mximo de sesiones de monitoreo de dispositivos a 32 por puerto.
La longitud de un TLV no debe contener ms de 1024 y la longitud total de los TLV (longitud combinada
de los TLV) de todos los protocolos no debe haber ms de 4.096.
Para solucionar los problemas del sensor de dispositivo, utilice la depuracin dispositivo de sensor y el autentificacin de
depuracin de todo
comandos EXEC privilegiados.
Para obtener ms informacin, consulte la Seccin "Configuracin del sensor de dispositivos" en la pgina
11-54.
11-36
OL-29703-01
Captulo 11
Configuracin de la autenticacin
802.1x
Estas secciones contienen esta informacin de configuracin:
Configuracin Inaccesible omisin de la autenticacin y Crtico de VLAN de voz, pgina 11-63 (Opcional)
Restablecimiento de la configuracin de la autenticacin 802.1x para los valores por defecto, pgina 11-76 (Opcional)
Configuracin de la autenticacin 802.1x con ACL y descargable redirigir URL, pgina 11-71
(Opcional)
11-37
Captulo 11
Configuracin de la autenticacin 802.1x
Restablecimiento de la configuracin de la autenticacin 802.1x para los valores por defecto, pgina 11-76 (Opcional)
Caracterstica
Desactivado.
Disabled (fuerza-autorizado).
El puerto enva y recibe trfico normal sin 802.1x basadala autenticacin del cliente.
AAA
Desactivado.
Servidor RADIUS
Direccin IP
Ninguno especifica.
1812.
Clave
Ninguno especifica.
Modo Host
Control de direccin
Control bidireccional.
Peridico re-autenticacin
Desactivado.
Perodo Quiet
Tiempo de retransmisin
VLAN Invitado
Puede cambiar este periodo de tiempo de espera mediante el uso de la dot1x tiempo
de espera
server-timeout comando de configuracin de interfaz.
Ninguno especifica.
Desactivado.
VLAN restringida
Ninguno especifica.
Ninguno especifica.
Desactivado.
11-38
OL-29703-01
Captulo 11
Autenticacin 802.1x
Estas son las pautas de configuracin de autenticacin 802.1x:
Cuando la autenticacin 802.1x est activada, los puertos se autentican antes de cualquier otra Capa 2 o Capa 3
funciones estn activadas.
Si la VLAN a la que un puerto 802.1x habilitado se asigna cambios, este cambio es transparente y
no afecta el interruptor. Por ejemplo, este cambio se produce si un puerto se asigna a un radio
VLAN y luego se asigna a una VLAN diferente despus de la re-autenticacin asignada por el servidor.
Si la VLAN a la que se asigna un puerto 802.1x se apague, discapacitados, o eliminado, el puerto
se convierte en no autorizado. Por ejemplo, el puerto no est autorizado despus de la VLAN a la que el acceso de un puerto
se asigna apaga o se retira.
El protocolo 802.1x es compatible en la Capa 2 puertos esttica de acceso, puertos de VLAN de voz, y Capa 3
puertos enrutados, pero no se admite en estos tipos de puertos:
--Si el puerto se intenta habilitar la autenticacin 802.1x en un puerto troncal, un mensaje de error del tronco
puerto. Si intenta habilitar la autenticacin 802.1x en un puerto dinmico, aparece un mensaje de error,
y autenticacin 802.1x no est habilitada. Si intenta cambiar el modo de un habilitado 802.1xpuerto a dinmico, aparece un mensaje de error, y el modo de puerto no se cambia.
-Puertos-Si dinmica de acceso intenta habilitar la autenticacin 802.1x en una dinmica de acceso (VLAN
habilitar la autenticacin 802.1x en un puerto que es un SPAN o puerto de destino RSPAN. Sin embargo,
Autenticacin 802.1x est desactivado hasta que se retira el puerto como SPAN o destino RSPAN
puerto. Usted puede habilitar la autenticacin 802.1x en un SPAN o puerto de origen RSPAN.
Si est utilizando un dispositivo que ejecuta el servidor de Cisco Access Control (ACS) la aplicacin de
Autenticacin IEEE 802.1x con EAP-Servicios LAN transparentes (TLS) y EAP-MD5, asegrese
que el dispositivo se est ejecutando ACS Versin 3.2.1 o posterior.
11-39
Captulo 11
Configuracin de la autenticacin 802.1x
Cuando los telfonos IP se conectan a un puerto de switch 802.1x habilitado que est en el modo de host nico, la
interruptor concede el acceso a la red telfonos sin autenticarse ellos. Le recomendamos que utilice
autenticacin multidominio (MDA) en el puerto para autenticar tanto un dispositivo de datos y un dispositivo de voz,
tales como un telfono IP.
Nota
Nota
Slo Catalyst 3750, 3560, y 2960 switches soportan CDP bypass. El Catalyst 3750-X,
3560-X, 3750-E y 3560-E interruptores no son compatibles con derivacin CDP.
Cisco IOS 12.2 (55) SE y posteriores admite el filtrado de los mensajes del sistema relacionados con 802.1x
de autenticacin. Consulte la Seccin de "comandos de la CLI Authentication Manager" en la pgina 11-9.
Cuando la autenticacin 802.1x est activado en un puerto, no puede configurar una VLAN de puerto que es igual
a una VLAN de voz.
La autenticacin 802.1x con asignacin de VLAN caracterstica no se admite en los puertos troncales, dinmico
puertos, o con asignacin dinmica de puertos de acceso a travs de un VMPS.
Puede configurar la autenticacin 802.1x en un puerto de VLAN privada, pero no configurar IEEE 802.1x
autenticacin con la seguridad del puerto, una VLAN de voz, una VLAN de invitados, una VLAN restringida, o un usuario perACL en puertos privado-VLAN.
Puede configurar cualquier VLAN, excepto una VLAN RSPAN, VLAN privada, o una VLAN de voz como un
802.1x VLAN de invitados. La funcin VLAN de invitados no es compatible en redes VLAN internas (puertos enrutados) o
puertos troncales; que slo se admite en los puertos de acceso.
Despus de configurar una VLAN de invitados para un puerto 802.1x para que un cliente DHCP conectado,
puede ser que necesite para obtener una direccin IP de host de un servidor DHCP. Puede cambiar los ajustes para reiniciar
el proceso de autenticacin 802.1x en el interruptor antes de que el proceso de DHCP en el cliente se agota y
intenta obtener una direccin IP de host del servidor DHCP. Reduzca los valores para el 802.1x
proceso de autenticacin (autenticacin temporizador de inactividad y temporizador de autenticacin
reautenticacin configuracin de la interfaz comandos). La cantidad para disminuir los ajustes depende
en el tipo de cliente 802.1x conectado.
estado crtico autenticacin, Windows XP podra informar de que la interfaz no est autenticado.
-Si el cliente de Windows XP est configurado para DHCP y tiene una direccin IP desde el servidor DHCP,
11-40
OL-29703-01
Captulo 11
un puerto 802.1x. Si el interruptor intenta volver a autenticar un puerto fundamental en una VLAN restringida y todo
los servidores RADIUS no estn disponibles, el interruptor cambia el estado del puerto a la autenticacin crtico
estado y permanece en la VLAN restringida.
Puede configurar cualquier VLAN, excepto una VLAN RSPAN o una VLAN de voz como 802.1x restringido
VLAN. La funcin VLAN restringida no es compatible en redes VLAN internas (puertos enrutados) o el tronco
puertos; que slo se admite en los puertos de acceso.
A menos que se indique lo contrario, las directrices de derivacin autenticacin MAC son los mismos que el 802.1x
Normas de autenticacin. Para obtener ms informacin, consulte la Seccin "Autenticacin 802.1x" en la
pgina 11-39.
Si desactiva MAC por omisin de autenticacin de un puerto despus de que el puerto ha sido autorizada con su
Direccin MAC, el Estado del puerto no se ve afectada.
Si el puerto est en el estado no autorizado y la direccin MAC del cliente no es el servidor de autenticacin
base de datos, el puerto permanece en el estado no autorizado. Sin embargo, si la direccin MAC del cliente se aade a
la base de datos, el interruptor puede utilizar MAC de derivacin de autenticacin para volver a autorizar el puerto.
Si el puerto est en el estado autorizado, el puerto permanece en este estado hasta que se produce re-autorizacin.
En el modo de un solo husped, slo se permite un dispositivo en la VLAN de acceso. Si el puerto est configurado tambin
con
una VLAN de voz, un nmero ilimitado de telfonos IP de Cisco puede enviar y recibir trfico a travs de la voz
VLAN.
En el modo de autenticacin multidominio (MDA), se permite que un dispositivo para la VLAN de acceso, y uno
Se deja el telfono IP para la VLAN de voz.
En el modo de varios hosts, slo se permite un suplicante de 802.1x en el puerto, pero un nmero ilimitado de
hosts no 802.1x se permiten en la VLAN de acceso. Un nmero ilimitado de dispositivos se permiten en
la VLAN de voz.
Si utiliza el dot1x prueba EAPOL-capaz comando EXEC privilegiado sin especificar una interfaz,
todos los puertos de la pila de switches se ponen a prueba.
11-41
Captulo 11
Configuracin de la autenticacin 802.1x
La comprobacin de preparacin se puede enviar en un puerto que maneja varios hosts (por ejemplo, un PC que es
conectado a un telfono IP). Se genera un mensaje de syslog para cada uno de los clientes que responden a la
comprobacin de preparacin dentro del perodo del temporizador.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la comprobacin de preparacin 802.1x en la
cambiar:
Paso 1
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Este ejemplo muestra cmo habilitar una comprobacin de preparacin de un conmutador para consultar un puerto. Tambin
muestra la
respuesta recibida desde el puerto consultada verificar que el dispositivo conectado a l es capaz-802.1x:
interruptor # GigabitEthernet1 interfaz prueba dot1x EAPOL-capaz / 0/13
DOT1X_PORT_EAPOL_CAPABLE: dot1x: MAC 00-01-02-4b-f1-a3 en GigabitEthernet1 / 0/13 es EAPOL
capaz
Nota
Se habilita al tanto de seguridad 802.1x voz mediante la introduccin de la reducible detectar la causa de seguridad-violacin
vlan apagado comando de configuracin global. Deshabilita voz seguridad 802.1x conscientes introduciendo
la no versin de este comando. Este comando se aplica a todos los puertos 802.1x-configurado en el conmutador.
Si no se incluye el vlan apagado palabras clave, todo el puerto se desconecta cuando entra al
-error discapacitados estado.
11-42
OL-29703-01
Captulo 11
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la cuenta de seguridad 802.1x voz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
(Opcional) Vuelva a habilitar VLAN individuales que han sido deshabilitado error.
Paso 5
apagado
Nota
(Opcional) Para vlan-list especificar una lista de las VLAN que se vuelva a activar. Si
vlan-list no se especifica, todas las VLAN se vuelven a habilitar.
(Opcional) Vuelva a activar una VLAN-error discapacitados, y borrar todos los errores-disable
indicaciones.
no apagado,
Paso 6
fin
Paso 7
Paso 8
Este ejemplo muestra cmo configurar el interruptor para apagar cualquier VLAN en la que una violacin de seguridad
error se produce:
Switch (config) # errdisable detectar la causa de seguridad-violacin apagado vlan
Este ejemplo muestra cmo volver a activar todas las VLAN inhabilitadas error en el puerto GI4 / 0/2.
Switch # claro GigabitEthernet4 interfaz errdisable / 0/2 vlan
Puede comprobar la configuracin mediante la introduccin de la mostrar errdisable detectar comando EXEC privilegiado.
11-43
Captulo 11
Configuracin de la autenticacin 802.1x
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar las acciones de violacin de seguridad en
el interruptor:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar AAA.
Paso 3
Paso 4
interfaz interface-id
Paso 5
Paso 6
Paso 7
fin
Paso 8
espectculo de autenticacin
Paso 9
Configuracin de la autenticacin
802.1x
Para configurar la autenticacin basada en el puerto 802.1x, debe activar la autenticacin, autorizacin y
contabilidad (AAA) y especifique la lista de mtodos de autenticacin. Una lista mtodo describe la secuencia y
mtodo de autenticacin que se va a consultar para autenticar a un usuario.
Para permitir que las ACL por usuario o la asignacin de VLAN, debe habilitar la autorizacin AAA para configurar el
cambiar para todas las solicitudes de servicios relacionados con la red.
Este es el proceso AAA 802.1x:
Paso 1
Paso 2
Paso 3
Asignacin de VLAN est habilitada, segn el caso, en base a la configuracin del servidor RADIUS.
Paso 4
11-44
OL-29703-01
Captulo 11
Paso 5
Paso 6
El interruptor enva una actualizacin de contabilidad provisional al servidor de contabilidad que se basa en el resultado de
re-autenticacin.
Paso 7
Paso 8
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la autenticacin basada en el puerto 802.1x:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Habilitar AAA.
Paso 3
Paso 4
Paso 5
(Opcional) Configure el interruptor para utilizar la autorizacin de usuario RADIUS para todos
solicitudes de servicio relacionadas con la red, como ACL o VLAN por usuario
asignacin.
Nota
Para ACL por usuario, el modo de un solo host debe estar configurado. Este
configuracin es la predeterminada.
Paso 6
Paso 7
Paso 8
interfaz interface-id
Paso 9
Configure la interfaz de puerto de acceso Entidad para actuar slo como autenticador y
ignorar los mensajes destinados a un suplicante.
Paso 12 fin
11-45
Captulo 11
Configuracin de la autenticacin 802.1x
Comando
Propsito
Paso 1
configure terminal
Paso 2
anfitrin radius-server {Nombre de host | Configurar los parmetros del servidor RADIUS.
ip-address} auth-port nmero-puerto clave Para nombre de host |La direccin IP, especificar el nombre de host o IP del
string
servidor RADIUS remoto.
Para auth-port nmero-puerto, especificar el puerto de destino UDP para
las solicitudes de autenticacin. El valor predeterminado es 1812 El rango es 0 a 65.536.
Para clave cadena, especificar la clave de autenticacin y cifrado usado
entre el interruptor y el demonio de RADIUS se ejecuta en el RADIUS
servidor. La clave es una cadena de texto que debe coincidir con la clave de cifrado utilizado en
el servidor RADIUS.
Nota
fin
Paso 4
show running-config
Paso 5
Para eliminar el servidor RADIUS especificado, utilice el ninguna mquina radius-server {Nombre de host | ip-address} mundial
comando de configuracin.
Este ejemplo muestra cmo especificar el servidor con direccin IP 172.20.39.46 como servidor RADIUS, para
utilizar el puerto 1612 como puerto de la autorizacin, y para establecer la clave de cifrado para rad123, coincidir la tecla en el
Servidor RADIUS:
Switch (config) # radio-servidor host 172.l20.39.46 auth-port 1612 rad123 clave
Puede configurar el tiempo de espera a nivel mundial, de retransmisin, y cifrado valores clave para todos RADIUS
servidores mediante el uso de la anfitrin radius-server comando de configuracin global. Si desea configurar estos
opciones en funcin de cada servidor, utilizan la radius-server timeout, retransmitir radio-servidor, y el
radio-servidor de claves comandos de configuracin global. Para obtener ms informacin, consulte la "Ajustes de Configuracin
para Todos seccin Servidores RADIUS "en la pgina 10-35.
11-46
OL-29703-01
Captulo 11
Tambin es necesario configurar algunos ajustes en el servidor RADIUS. Estos ajustes incluyen la direccin IP
del interruptor y la cadena de clave para ser compartido por el servidor y el conmutador. Para obtener ms informacin,
consulte la documentacin del servidor RADIUS.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
-Modo de autenticacin de host [Multi-auth | Permitir mltiples hosts (clientes) en un puerto 802.1x-autorizada.
multi-dominio |multi-anfitrin |
Las palabras clave tienen estos significados:
-solo host]
multi-auth-Permitir un cliente en la VLAN de voz y mltiples
los clientes autenticados en la VLAN de datos.
El multi-auth palabra clave slo est disponible con la
Nota
-Modo de autenticacin de host de comandos.
Nota
fin
Paso 5
Paso 6
Para deshabilitar varios hosts en el puerto, utilice el sin autenticacin en modo anfitrin o la
sin modo host de autenticacin multi-anfitrin comando de configuracin de interfaz.
Este ejemplo muestra cmo habilitar la autenticacin 802.1x y permitir que varios hosts:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # auto-control de la autenticacin de puerto
Switch (config-if) # -modo de host de autenticacin multi-anfitrin
11-47
Captulo 11
Configuracin de la autenticacin 802.1x
Este ejemplo muestra cmo habilitar MDA y para permitir tanto un anfitrin y un dispositivo de voz en el puerto:
Switch
Switch
Switch
Switch
Switch
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
autenticacin peridica
Paso 4
fin
Paso 6
Paso 7
Para desactivar la re-autenticacin peridica, utilice el sin autenticacin peridica configuracin de la interfaz
de comandos. Para volver al nmero predeterminado de segundos entre los intentos de re-autenticacin, utilice el no
temporizador de autenticacin comando de configuracin de interfaz.
11-48
OL-29703-01
Captulo 11
Este ejemplo muestra cmo habilitar reautenticacin peridica y establecer el nmero de segundos entre
los intentos de re-autenticacin a 4000:
Switch (config-if) # autenticacin peridica
Switch (config-if) # autenticacin temporizador reautenticar 4000
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
autenticacin de temporizador de inactividad segundos Establecer el nmero de segundos que el interruptor permanece en el estado tranquila
despus de un intercambio de autenticacin fallida con el cliente.
El rango es de 1 a 65535 segundos; el valor predeterminado es 60.
Paso 4
fin
Paso 5
Paso 6
Para volver al tiempo de silencio por defecto, utilice el No temporizador de inactividad de autenticacin configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo configurar el tiempo de silencio en el interruptor de 30 segundos:
Switch (config-if) # autenticacin de temporizador de inactividad 30
11-49
Captulo 11
Configuracin de la autenticacin 802.1x
Nota
Debe cambiar el valor por defecto de este comando slo para ajustarse a circunstancias inusuales, tales como
enlaces no fiables o problemas de comportamiento especficos con determinados clientes y servidores de autenticacin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar la cantidad de tiempo que el interruptor
espera para la notificacin del cliente. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver al tiempo de retransmisin por defecto, utilice el no reautenticar temporizador de autenticacin interfaz
comando de configuracin.
Este ejemplo muestra cmo establecer 60 como el nmero de segundos que el interruptor de espera una respuesta a una
EAP-peticin / marco de la identidad del cliente antes de volver a enviar la solicitud:
Switch (config-if) # autenticacin temporizador reautenticar 60
Nota
Debe cambiar el valor por defecto de este comando slo para ajustarse a circunstancias inusuales, tales como
enlaces no fiables o problemas de comportamiento especficos con determinados clientes y servidores de autenticacin.
11-50
OL-29703-01
Captulo 11
Comenzando en el modo EXEC privilegiado, siga estos pasos para establecer el marco de retransmisin de switch a cliente
nmero. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver a la retransmisin nmero predeterminado, utilice la no dot1x max-req configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo configurar 5 como el nmero de veces que el conmutador enva un EAP-identidad / solicitud
solicitar antes de reiniciar el proceso de autenticacin:
Switch (config-if) # dot1x max-reauth-req 5
Nota
Debe cambiar el valor por defecto de este comando slo para ajustarse a circunstancias inusuales, tales como
enlaces no fiables o problemas de comportamiento especficos con determinados clientes y servidores de autenticacin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el nmero de re-autenticacin. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
11-51
Captulo 11
Configuracin de la autenticacin 802.1x
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Habilitacin MAC
Reemplazar MAC reemplazar permite a un host para reemplazar un host autenticado en un puerto.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar MAC reemplazar en una interfaz. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
11-52
OL-29703-01
Captulo 11
Comando
Propsito
Paso 5
show running-config
Paso 6
Configuracin de contabilidad de
802.1x
Activacin del sistema AAA contabilidad con la contabilidad de 802.1x permite que los eventos de recarga del sistema se enven a
la
servidor RADIUS de contabilidad para el registro. El servidor puede inferir que todas las sesiones activas son 802.1x
cerrado.
Debido RADIUS utiliza el protocolo de transporte UDP no fiable, los mensajes de contabilidad podran perderse debido a
condiciones de red pobres. Si el interruptor no recibe el mensaje de respuesta de la contabilidad de la
Servidor RADIUS despus de un nmero configurable de retransmisiones de una solicitud de contabilidad, este sistema
aparece el mensaje:
Mensaje Contabilidad% s para la sesin% s no pudo recibir respuesta de Contabilidad.
Nota
Debe configurar el servidor RADIUS para realizar tareas de contabilidad, tales como la tala de marcha, paro y
mensajes interino de actualizacin y las marcas de tiempo. Para activar estas funciones, habilitar el registro de
"paquetes de actualizacin / Watchdog de este cliente AAA" en la pestaa de configuracin de red del servidor RADIUS.
A continuacin, habilite "CVS RADIUS Contabilidad" en la pestaa de configuracin del sistema del servidor RADIUS.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la contabilidad de 802.1x despus de AAA es
habilitado en el conmutador. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
show running-config
Paso 7
Utilice el estadsticas muestran radio comando privilegiado EXEC para mostrar el nmero de mensajes RADIUS
que no reciben el mensaje de respuesta de contabilidad.
11-53
Captulo 11
Configuracin de la autenticacin 802.1x
Este ejemplo muestra cmo configurar la contabilidad de 802.1x. El primer comando configura el RADIUS
servidor, especificando 1813 como el puerto UDP para la contabilidad:
Switch (config) # radio-servidor host 172.120.39.46 auth-port 1812 ctas puertos 1813 rad123 clave
Switch (config) # aaa dot1x contabilidad defecto start-stop radio de grupo
Switch (config) # aaa sistema de contabilidad por defecto de arranque y parada radio de grupo
Nota
Si no realiza ninguna tarea de configuracin de sensores de dispositivos, los siguientes TLV se incluyen por
default:
CDP filtro - de tipo estado secondport y de tipo caso powernet (tipos 28 y 29)
Comenzando en el modo EXEC privilegiado, siga estos pasos para agregar los datos del protocolo de sensor de
dispositivos para
registros contables:
11-54
OL-29703-01
Captulo 11
Paso 1
Comando
Propsito
configure terminal
Ejemplo:
Interruptor # configure terminal
Paso 2
Ejemplo:
Switch (config) # dispositivo sensor
contabilidad
Paso 3
fin
Ejemplo:
Switch (config) # end
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un filtro CDP contiene una lista de TLV
que pueden ser incluidos o excluidos en la salida del sensor del dispositivo:
Paso 1
Comando
Propsito
configure terminal
Ejemplo:
Interruptor # configure terminal
Paso 2
Crea una lista de valores umbrales y entra en el modo de configuracin del sensor CDP,
donde
puede configurar los TLV individuales.
Ejemplo:
Switch (config) # dispositivo sensor
lista de filtro lista cdp cdp-lista
Paso 3
Ejemplo:
Switch (config-sensor-cdplist) # tlv
nmero 10
Paso 4
fin
Ejemplo:
Switch (config-sensor-cdplist) # end
11-55
Captulo 11
Configuracin de la autenticacin 802.1x
Paso 1
Comando
Propsito
configure terminal
Ejemplo:
Interruptor # configure terminal
Paso 2
Crea una lista de valores umbrales y entra en el modo de configuracin del sensor LLDP,
donde
puede configurar los TLV individuales.
Ejemplo:
Switch (config) # dispositivo sensor
lista de filtro lista LLDP LLDP-lista
Paso 3
Ejemplo:
Switch (config-sensor-cdplist) # tlv
nmero 10
Paso 4
fin
Ejemplo:
Switch (config-sensor-lldplist) # end
Paso 1
Comando
Propsito
configure terminal
Ejemplo:
Interruptor # configure terminal
Paso 2
Crea una lista de opciones y entra en el modo de configuracin del sensor de DHCP,
donde puede especificar las opciones de DHCP individuales.
Ejemplo:
Switch (config) # dispositivo sensor
lista de filtro lista dhcp dhcp-lista
11-56
OL-29703-01
Captulo 11
Paso 3
Comando
Propsito
Ejemplo:
Switch (config-sensor-dhcplist) la opcin #
nmero 50
Paso 4
fin
Ejemplo:
Switch (config) # end
Comenzando en el modo EXEC privilegiado, siga estos pasos para aplicar un CDP, LLDP, o filtro de DHCP para la
salida del sensor. La salida es las notificaciones de sesin para clientes de sensores internos y las solicitudes de cuentas a
el servidor RADIUS.
Nota
Paso 1
Comando
Propsito
configure terminal
Ejemplo:
Interruptor # configure terminal
Paso 2
Ejemplo:
Switch (config) # dispositivo sensor
cdp filtro-spec incluye lista lista1
Paso 3
fin
Se aplica un filtro de protocolo especfico que contiene una lista de protocolo de TLV
campos o las opciones de DHCP a la salida del sensor de dispositivos.
cdp - Aplica una lista de filtros CDP TLV a la salida del sensor del dispositivo.
LLDP - Aplica una lista de filtros LLDP TLV a la salida del sensor del dispositivo.
Ejemplo:
Switch (config) # end
11-57
Captulo 11
Configuracin de la autenticacin 802.1x
Paso 1
Comando
Propsito
configure terminal
Ejemplo:
Interruptor # configure terminal
Paso 2
Habilita las notificaciones de los clientes y los hechos contables para todo TLV
cambios, es decir, donde ya sea un nuevo TLV se recibe o una previamente
recibidas TLV es recibido con un nuevo valor en el contexto de una determinada
sesin.
Paso 3
fin
Ejemplo:
Switch (config) # end
Comenzando en el modo EXEC privilegiado, siga estos pasos para verificar las entradas de cach sensor para todos los dispositivos.
Paso 1
Comando
Propsito
Paso 2
Ejemplo:
Switch (config) # dispositivo sensor notificar
todos los cambios-
Este es un ejemplo de la espectculo cach dispositivo sensor mac mac-address comando EXEC privilegiado
salida:
Switch # show device-sensor cach mac 0024.14dc.df4d
Dispositivo: 0024.14dc.df4d en el puerto GigabitEthernet1 / 0/24
-------------------------------------------------Tipo Proto: NAMELEN Valor
cdp26: power-disponible-TYPE16 00 1A 00 10 00 00 00 01 00 00 00 00 FF FF FF FF
cdp22: mgmt-direccin-Type17 00 16 00 11 00 00 00 01 01 01 CC 00 04 09 1B 65
0E
11-58
OL-29703-01
Captulo 11
cdp
cdp
cdp
cdp
LLDP
LLDP
LLDP
LLDP
LLDP
dhcp
5: sistema de nombre
82: el agente de rel-info
dhcp
dhcp
12: host-name
61: client-identifier
dhcp
57: max-message-size
5
4
8
14
2
14
6
23
00
00
00
00
00
10
0E
08
74
0A
52
12 14
20 0C
3D
64
12 39
32
0B
09
04
01
00
0C
04
15
31
0A
12
DC
0A
1E
63
02
00
00
00
00
05 01
04
08 00 00 00 28
0E 73 75 70 70 6C 69 63 61 74 6E
05
00
47
2F
73
01
DF
73
00
2E
04
01
14
69
30
75
06
80
75
63
64
80
09
00
67
2F
70
00
1B
04
61
32
70
04
65 0E 03 00 00 00 01 00
62 69 74 45 74 68 65 72 65 6E
34
6C 69 63 61 74 6E
00 18 01 18 02 08 00 06 00 24
70 70 6C 69 63 61 74 6E
69 73 63 6F 2D 30 30 32 34 31 34 2E
66 34 64 2D 47 69 31 30 2F 2F 32 34
Este es un ejemplo de la espectculo cach dispositivo sensor todo salida del comando EXEC privilegiado:
Switch # espectculo cach dispositivo sensor todo
Dispositivo: 001c.0f74.8480 en el puerto GigabitEthernet2 / 1
-------------------------------------------------Tipo Proto: Nombre Len Valor
dhcp 52: opcin de sobrecarga 3 34 01 03
dhcp 60: class-identifier 11 3C 09 64 6F 63 73 69 73 31 30 2E
dhcp 55: parmetro de peticin de la lista 8 37 06 01 42 06 03 43 96
dhcp 61: client-identifier 27 3D 19 00 63 69 73 63 6F 2D 30 30 31 63 30 66 2E
37 34 2E 38 34 38 30 56 6C 31 2D
dhcp 57:-mensaje de tamao mximo 4 39 02 04 80
Dispositivo: 000f.f7a7.234f en el puerto GigabitEthernet2 / 1
-------------------------------------------------Tipo Proto: Nombre Len Valor
cdp 22:-tipo de direccin mgmt 8 00 16 00 08 00 00 00 00
cdp 19:-cos tipo 5 00 13 00 05 00
cdp 18: tipo de confianza 5 00 12 00 05 00
cdp 11: de tipo duplex 5 00 0B 00 05 01
cdp 10:-tipo-vlan nativa 6 00 0A 00 06 00 01
cdp 9:-tipo-de dominio VTP-mgmt 9 00 09 00 09 63 69 73 63 6F
El siguiente ejemplo muestra cmo crear un filtro de CDP que contiene una lista de TLV:
Cambiar> permitir
Switch # configure terminal
Switch (config) # dispositivo de sensor de lista de filtro lista cdp cdp-lista
Switch (config-sensor-cdplist) # Nombre tlv-tipo de direccin
Switch (config-sensor-cdplist) # tlv nombre del dispositivo-nombre
Switch (config-sensor-cdplist) nmero # 34 tlv
Switch (config-sensor-cdplist) # end
El siguiente ejemplo muestra cmo crear un filtro de LLDP que contiene una lista de TLV:
Switch> enable
Switch # configure terminal
Switch (config) # dispositivo de sensor de lista de filtro lista LLDP LLDP-lista
Switch (config-sensor-lldplist) # Nombre tlv Nmero de Serie
Switch (config-sensor-lldplist) # Nombre tlv gestin-direccin
Switch (config-sensor-lldplist) # tlv nmero 28
Switch (config-sensor-lldplist) # fin
11-59
Captulo 11
Configuracin de la autenticacin 802.1x
El siguiente ejemplo muestra cmo crear un filtro de DHCP que contiene una lista de opciones:
Cambiar> permitir
Switch # configure terminal
Switch (config) # dispositivo de sensor de lista de filtro lista dhcp dhcp-lista
Switch (config) # dispositivo de sensor de lista de filtro lista dhcp dhcp-lista
Switch (config-sensor-dhcplist) # nombre de la opcin de nombre de dominio
Switch (config-sensor-dhcplist) # nombre de la opcin de nombre de host
Switch (config-sensor-dhcplist) # opcin nmero 50
Switch (config-sensor-dhcplist) # end
El siguiente ejemplo muestra cmo aplicar una lista de filtros CDP TLV a la salida del sensor del dispositivo:
Cambiar> permitir
Switch # configure terminal
Switch (config) # dispositivo de sensor de filtro-spec cdp incluye cdp-lista1
El siguiente ejemplo muestra cmo habilitar las notificaciones de los clientes y los hechos contables para todo TLV
cambios:
Cambiar> permitir
Switch # configure terminal
Switch (config) # dispositivo de sensor de notificar a todos los cambios-
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
Paso 6
fin
11-60
OL-29703-01
Captulo 11
Comando
Propsito
Paso 7
Paso 8
Para desactivar y eliminar la VLAN de invitados, utilice el ningn caso la autenticacin no-respuesta de accin autorizar
vlan id_vlan comando de configuracin de interfaz. El puerto vuelve al estado no autorizado.
Este ejemplo muestra cmo habilitar VLAN 2 como un invitado VLAN 802.1x:
Switch (config) # interfaz gigabitethernet2 / 0/2
Switch (config-if) # evento de autenticacin no-respuesta de accin autorizar vlan 2
11-61
Captulo 11
Configuracin de la autenticacin 802.1x
Este ejemplo muestra cmo configurar 3 como el tiempo de silencio en el interruptor, que fija en 15 el nmero de segundos que
el conmutador espera una respuesta a un marco EAP-identidad / solicitud del cliente antes de volver a enviar el
solicitud, y para permitir VLAN 2 como un invitado VLAN 802.1x cuando un puerto 802.1x est conectado a un servidor DHCP
cliente:
Switch (config-if) # autenticacin de temporizador de inactividad 3
Switch (config-if) # autenticacin temporizador reautenticar 15
Switch (config-if) # evento de autenticacin no-respuesta de accin autorizar vlan 2
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
Paso 6
fin
Paso 7
Paso 8
Para desactivar y eliminar la VLAN restringida, utilice el ningn caso la autenticacin falle accin autorizar
id_vlan comando de configuracin de interfaz. El puerto vuelve al estado no autorizado.
Este ejemplo muestra cmo habilitar VLAN 2 como una VLAN 802.1x restringido:
Switch (config) # interfaz gigabitethernet2 / 0/2
Switch (config-if) # evento de autenticacin falle la accin Autorizar 2
Puede configurar el nmero mximo de intentos de autenticacin permitido antes se le asigna un usuario a
la VLAN restringida mediante el uso de la evento de autenticacin de reintento el nmero de intentos configuracin de la interfaz
de comandos. La gama de intentos de autenticacin permitidos es de 1 a 3 El valor predeterminado es 3 intentos.
11-62
OL-29703-01
Captulo 11
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el nmero mximo permitido de
intentos de autenticacin. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
Paso 6
evento de autenticacin de reintento el nmero de Especifique un nmero de autenticacin intenta permitir que antes de que un puerto se mueve
intentos
a la VLAN restringida. El rango es de 1 a 3, y el valor predeterminado es 3.
Paso 7
fin
Paso 8
Paso 9
Para volver al valor predeterminado, utilice la No reintento evento de autenticacin comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar 2como el nmero de intentos de autenticacin permiti antes del puerto mueve
a la VLAN restringida:
Switch (config-if) # evento de autenticacin de reintento 2
11-63
Captulo 11
Configuracin de la autenticacin 802.1x
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el puerto como un puerto importante y permitir
la omisin de autenticacin inaccesible y caractersticas crticas de la VLAN de voz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
radio-servidor muertos-criterios
tiempo tiempo tries tries
(Opcional) Establezca las condiciones que se utilizan para decidir cuando un servidor RADIUS es
considerado disponible o muertos.
El rango para tiempo es de 1 a 120 segundos. El conmutador determina dinmicamente
el valor por defecto segundos valor que es de 10 a 60 segundos.
El rango para tries es de 1 a 100 El interruptor determina dinmicamente la
por defecto tries parmetro que es de 10 a 100.
Paso 3
Paso 4
(Opcional) Configure los parmetros del servidor RADIUS mediante el uso de estas palabras clave:anfitrin radius-server La
direccin IP
[Ctas puertos udp-port] [Auth-port
ctas puertos udp-port-Especificar el puerto UDP para la administracin de cuentas RADIUS
udp-port] [prueba nombre de usuario Nombre
servidor. El rango para el nmero de puerto UDP es de 0 a 65536 El valor predeterminado es
[Tiempo de inactividad tiempo]
1646.
[Ignore-ctas-puerto]
auth-port udp-port-Especificar el puerto UDP para la autenticacin RADIUS [ignore-auth-port] [clave]
Usted de
debe
configurar
puerto
UDP para
el servidor
RADIUSescadena]
de contabilidad
servidor. El rango Nota
para el nmero
puerto
UDP esel de
0 a 65536
El valor
predeterminado
y el puerto UDP para el servidor de autenticacin RADIUS para no predeterminado
1645.
valores.
Para clave cadena, especificar la clave de autenticacin y cifrado que se utiliza entre
el interruptor y el demonio de RADIUS se ejecuta en el servidor RADIUS. La clave
es una cadena de texto que debe coincidir con la clave de cifrado utilizado en el RADIUS
servidor.
Nota
11-64
OL-29703-01
Captulo 11
Comando
Paso 5
Propsito
dot1x crtico {EAPOL | recuperacin (Opcional) Configure los parmetros de omisin de autenticacin inaccesible:
retraso milisegundos}
EAPOL-Especificar que el conmutador enva un mensaje EAPOL-El xito cuando el
interruptor se autentica correctamente el puerto crtico.
plazo de recuperacin milisegundos Set- el perodo de retardo durante el cual la recuperacin
interruptor de espera para reiniciar un puerto crtico cuando un servidor RADIUS que era
disponible est disponible. El rango es de 1 a 10.000 milisegundos. El
predeterminado es 1000 milisegundos (un puerto puede ser re-inicializado cada segundo).
Paso 6
interfaz interface-id
Especifique el puerto que desea configurar, y entrar en el modo de configuracin de interfaz. Para el
tipos de puertos compatibles, vea la "Directrices 802.1x Configuracin de la autenticacin"
en la pgina 11-39.
Paso 7
Use estas palabras clave para mover los ejrcitos en el puerto si el servidor RADIUS es
inalcanzable:
reinitialize-Move todos los hosts autorizados en el puerto a la especificada por el usuarioVLAN crtico.
Paso 8
Especifica la VLAN de voz para el puerto. La VLAN de voz no puede ser la misma que
la VLAN de datos crticos configurado en el Paso 6.
Paso 9
Configura VLAN voz crtica para mover el trfico de datos en el puerto de la voz
VLAN si el servidor RADIUS es inalcanzable.
Paso 10 fin
interface-id
Paso 12 copy running-config
startup-config
Para volver a la configuracin predeterminada del servidor RADIUS, utilice el no hay radio-servidor muertos-criterios, la no
tiempo muerto radio-servidor, y el ninguna mquina radius-server comandos de configuracin global. Para desactivar
omisin de autenticacin inaccesible, utilice el ningn servidor accin muerta evento de autenticacin interfaz
comando de configuracin. Para desactivar la VLAN de voz crtica, no utilice el autenticacin muertos servidor de eventos
accin autorizar voz comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar la omisin de autenticacin inaccesible y VLAN voz crtica
Caractersticas:
Switch (config) # radius-server tiempo muerto-criterios de 30 intentos 20
Switch (config) # tiempo muerto radio de servidor 60
Switch (config) # anfitrin radius-server 1.1.1.2 ctas puertos 1550 auth-port 1560 prueba de nombre de usuario
usuario1 ociosas tiempo 30 abc1234 clave
Switch (config) # dot1x EAPOL crtico
Switch (config) # dot1x plazo de recuperacin crtico 2000
Switch (config) # gigabitethernet interfaz 1/0/1
Switch (config-if) # servidor de eventos de autenticacin accin muertos reinitialicze vlan 20
Switch (config-if) # VLAN de voz switchport
Switch (config-if) # servidor de eventos de autenticacin accin muertos autorizar voz
Switch (config-if) # fin
11-65
Captulo 11
Configuracin de la autenticacin 802.1x
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
control de autenticacin direccin {Tanto Habilitar la autenticacin 802.1x con WoL en el puerto, y el uso de estos
|en}palabras clave para configurar el puerto como bidireccional o unidireccional.
Paso 4
fin
Paso 5
Paso 6
Para deshabilitar la autenticacin 802.1x con WoL, utilice el sin autenticacin de control de direccin interfaz
comando de configuracin.
Este ejemplo muestra cmo habilitar la autenticacin 802.1x con WoL y establece el puerto como bidireccional:
Switch (config-if) # control de autenticacin direccin tanto
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
11-66
OL-29703-01
Captulo 11
Comando
Propsito
Paso 6
Paso 7
Para desactivar MAC por omisin de autenticacin, utilice el sin orden de autenticacin configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo habilitar MAC por omisin de autenticacin:
Switch (config-if) # Para la autenticacin
Comando
Propsito
Paso 1
Paso 2
Verifique la configuracin.
Paso 3
Este ejemplo muestra cmo configurar los grupos de VLAN, para mapear las VLANs a los grupos, para verificar y
las configuraciones de grupo de VLAN y la cartografa a las VLAN especificadas:
switch (config) # grupo vlan eng-dept vlan-lista 10
switch (config) # Mostrar grupo vlan nombre-grupo eng-dept
NameVlans grupo asignado
--------------------------eng-dept10
Switch # show vlan-grupo dot1x todo
NameVlans grupo asignado
--------------------------eng-dept10
hr-dept20
Este ejemplo muestra cmo agregar una VLAN a un grupo VLAN existente y para verificar que la VLAN se ha
aadido:
switch (config) # grupo vlan eng-dept vlan-lista 30
switch (config) # show vlan grupo eng-dept
NameVlans grupo asignado
--------------------------eng-dept10,30
11-67
Captulo 11
Configuracin de la autenticacin 802.1x
Este ejemplo muestra que cuando todas las VLANs se borran de un grupo VLAN, el grupo de VLAN es
superados:
switch (config) # ningn grupo vlan eng-dept vlan-lista 30
Vlan 30 se elimina con xito de grupo vlan eng-dept.
switch (config) # Mostrar grupo vlan nombre-grupo eng-dept
Para obtener ms informacin sobre estos comandos, consulte la Cisco IOS Seguridad Consulta de mandatos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
autenticacin peridica
Paso 5
Paso 6
fin
Paso 7
Paso 8
# configure terminal
(config) # interfaz gigabitethernet2 / 0/1
(config-if) # autenticacin peridica
(config-if) # autenticacin temporizador reautenticar
11-68
OL-29703-01
Captulo 11
Nota
El cisco-AV-pares debe estar configurado como -clase de dispositivo-trfico = interruptor en el ACS, que establece el
interfaz como un tronco despus de que el suplicante se autentica correctamente.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un switch como autenticador:
Comando
Propsito
Paso 1
configure terminal
Paso 2
CISP permiten
Habilitar CISP.
Paso 3
interfaz interface-id
Paso 4
Paso 5
Paso 6
Paso 7
portfast spanning-tree
Habilitar puerto rpido en un puerto de acceso conectado a una sola estacin de trabajo o
servidor ..
Paso 8
fin
Paso 9
Verifique su configuracin.
# configure terminal
(config) # CISP permiten
(config) # interfaz gigabitethernet2 / 0/1
(config-if) # switchport mode access
(config-if) # auto-control de la autenticacin de puerto
(config-if) # dot1x pae autenticador
(config-if) # spanning-tree tronco portfast
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un interruptor como un suplicante:
Comando
Propsito
Paso 1
configure terminal
Paso 2
CISP permiten
Habilitar CISP.
Paso 3
Crear una pgina de credenciales 802.1x. Esto debe ser conectado al puerto que
se configura como solicitante.
Paso 4
11-69
Captulo 11
Configuracin de la autenticacin 802.1x
Comando
Propsito
Paso 5
contrasea contrasea
Paso 6
Forzar el interruptor para enviar slo paquetes EAPOL de multidifusin cuando recibe
ya sea paquetes unicast o multicast.
Paso 7
Esto tambin permite que NEAT para trabajar en el interruptor suplicante en todo
anfitrin
modos.
dot1x suplicante controlado transitoria (Opcional) Configure el interruptor para bloquear el trfico que sale de la suplicante
puerto durante el perodo de autenticacin.
Nota
Paso 8
interfaz interface-id
Paso 9
Paso 13 fin
Verifique su configuracin.
interface-id
Paso 15 copy running-config startup-config
# configure terminal
(config) # CISP permiten
(config) # dot1x prueba de credenciales
(config) # nombre de usuario suppswitch
(config) # contrasea myswitch
(config) # suplicante dot1x fuerza-multicast
(config) # dot1x suplicante controlado transitoria
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # switchport trunk encapsulacin dot1q
(config-if) # switchport mode trunk
(config-if) # dot1x pae suplicante
(config-if) # dot1x prueba de credenciales
(config-if) # fin
11-70
OL-29703-01
Captulo 11
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
seguimiento de dispositivos IP
Paso 3
Paso 4
Paso 5
Paso 6
interfaz interface-id
Paso 7
ip access-group acl-Identificacin en
Paso 8
Paso 9
Nota
11-71
Captulo 11
Configuracin de la autenticacin 802.1x
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 4
ip access-group acl-Identificacin en
Paso 5
Salida
Paso 6
Permite AAA.
Paso 7
Paso 8
seguimiento de dispositivos IP
Paso 9
Nota
11-72
OL-29703-01
Captulo 11
Comando
Propsito
Paso 10 de autenticacin Enviar VSA radius-server Configura el servidor de acceso a la red para reconocer y utilizar-especfica del proveedor
atributos.
Nota
Paso 11 fin
todos
Paso 13 copy running-config startup-config
Este ejemplo muestra cmo configurar un switch para una poltica descargable:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Switch (config) # aaa nuevo modelo
Switch (config) # autorizacin aaa predeterminada de la red radio grupo local
Switch (config) # seguimiento de dispositivos IP
Switch (config) # ip access-list extendi default_acl
Switch (config-ext-NaCl) # permitir a IP cualquier cualquier
Switch (config-ext-NaCl) # Salida
Switch (config) # de autenticacin Enviar VSA radius-server
Switch (config) # interfaz FastEthernet 02.13
Switch (config-if) # ip default_acl acceso del grupo en
Switch (config-if) # Salida
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
No hay ningn comando show para confirmar el estado de la autenticacin basada en MAC-ID de VLAN. Usted puede utilizar
la contabilidad de depuracin radio comando privilegiado EXEC para confirmar el atributo RADIUS 32. Para obtener ms
informacin sobre este comando, consulte la Cisco IOS de depuracin de mandatos, versin 12.4.
Este ejemplo muestra cmo habilitar globalmente la autenticacin basada en MAC ID de VLAN en un switch:
Switch # terminal de config
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Switch (config) # Formato de solicitud de mab 32 atributo access vlan vlanSwitch (config-if) # Salida
11-73
Captulo 11
Configuracin de la autenticacin 802.1x
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
espectculo de autenticacin
Paso 6
Este ejemplo muestra cmo configurar una autenticacin 802.1x intento puerto en primer lugar, seguido de web
autenticacin como mtodo de reserva:
Switch # configure terminal
Switch (config) # gigabitethernet interfaz 1/0/1
Switch (config) # autenticacin para dot1x WebAuth
Configuracin Open1x
Comenzando en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
Paso 6
abierto de autenticacin
Paso 7
Paso 8
autenticacin peridica
Paso 9
11-74
OL-29703-01
Captulo 11
# configure terminal
(config) # gigabitethernet interfaz 1/0/1
(config) # control de autenticacin direccin tanto
(config) # repliegue de autenticacin perfil1
(config) # -modo de host de autenticacin multi-auth
(config) # abierto de autenticacin
(config) # autenticacin para dot1x WebAuth
(config) # autenticacin peridica
(config) # auto-control de la autenticacin de puerto
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
(config)
(config)
(config)
(config)
configure terminal
# aaa nuevo modelo
# aaa ip auth-proxy auth-proxy-banner C Mi interruptor C
fin
Para obtener ms informacin acerca de la ip-proxy auth auth-proxy-banner comando, consulte la "Autenticacin
Comandos Proxy "de la Cisco IOS Seguridad de mandatos en Cisco.com.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no pae dot1x
Paso 4
fin
11-75
Captulo 11
Visualizacin de las estadsticas 802.1X y Estado
Comando
Propsito
Paso 5
Paso 6
Para configurar el puerto como una entidad de acceso al puerto 802.1x (PAE) autenticador, que permite IEEE 802.1x
en el puerto, pero no permite que los clientes conectados al puerto para ser autorizadas, utilice el dot1x pae
autenticador comando de configuracin de interfaz.
Este ejemplo muestra cmo deshabilitar la autenticacin 802.1x en el puerto:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # no autenticador pae dot1x
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
dot1x defecto
Paso 4
fin
Paso 5
Paso 6
11-76
OL-29703-01
12
E R CH A P T
Nota
MACsec no se admite en los interruptores que ejecutan el la imagen de base LAN o NPE.
Todos los puertos de enlace descendente en el switch puede ejecutar Cisco TrustSec MACsec capa de enlace de seguridad de switch
a switch.
Tabla 1
Interfaz
Conexiones
Apoyo MACsec
Switch-a-anfitrin
Conmutador a conmutador
Cisco y Cisco TrustSec SAP estn destinados slo para los enlaces de conmutador a conmutador y no son compatibles con el
interruptor
puertos conectados a terminar anfitriones, tales como PCs o telfonos IP. MKA es para-switch a host enlaces que se enfrentan
y no se admite en los enlaces de conmutador a conmutador. Enlaces Host-enfrentadas suelen utilizar la autenticacin flexibles
pedido para el manejo de dispositivos heterogneos con o sin IEEE 802.1x, y opcionalmente puede utilizar MKA
encriptacin. Cisco NDAC y SAP son mutuamente excluyentes con red perimetral de acceso Topologa (NEAT),
que se utiliza para switches compactos para extender la seguridad fuera del armario de cableado.
Seguridad Control de Acceso al Medio Entendimiento y Acuerdo Clave MACsec, pgina 12-2
12-1
Captulo 12
Polticas MKA
Usted aplica una poltica MKA definido a una interfaz para permitir MKA en la interfaz. Extraccin del MKA
directiva deshabilita MKA en esa interfaz. Puede configurar estas opciones:
12-2
OL-29703-01
Captulo 12
Proteccin Replay. Puede configurar MACsec tamao de la ventana, tal como se define por el nmero de
marcos fuera de orden que se aceptan. Este valor se utiliza durante la instalacin de las asociaciones de seguridad
en el MACsec. Un valor de 0 significa que las tramas se aceptan solamente en el orden correcto.
Puertos virtuales
Se utiliza puertos virtuales para mltiples asociaciones de conectividad seguras en un solo puerto fsico. Cada
asociacin conectividad (par) representa un puerto virtual, con un mximo de dos puertos virtuales por
puerto fsico. Slo uno de los dos puertos virtuales pueden ser parte de una VLAN de datos; el otro debe externamente
etiquetar sus paquetes para la VLAN de voz. No se puede al mismo tiempo sede de sesiones con y sin garanta en
la misma VLAN en el mismo puerto. Debido a esta limitacin, el modo de autenticacin 802.1x no es mltiple
apoyado.
La excepcin a esta limitacin est en el modo de mltiples host cuando el primer solicitante MACsec es
autenticado y conectado a un concentrador que est conectado al interruptor de xito. A MACsec no husped
conectados al concentrador pueda enviar trfico sin autenticacin porque est en el modo de mltiples host. Hacemos
No recomiendo usar el modo multi-anfitrin porque despus del primer cliente con xito, la autenticacin no es
requerido para otros clientes.
Los puertos virtuales representan un identificador arbitrario para una asociacin de conectividad y no tienen ningn significado fuera
Protocolo MKA. Un puerto virtual corresponde a una ID de puerto lgico separado. IDs de puerto vlidos para un virtual
puerto son 0x0002 a 0xFFFF. Cada puerto virtual recibe un identificador de canal seguro nico (SCI), basado en
la direccin MAC de la interfaz fsica concatena con un ID de puerto de 16 bits.
MACsec y apilado
A Catalyst 3750-X maestra de la pila corriendo MACsec mantiene los archivos de configuracin que muestran que los puertos
sobre un soporte interruptor miembro MACsec. El maestro de la pila realiza estas funciones:
Procesos nmero de paquete y reproduccin-ventana de informacin de los puertos locales o remotos y notifica al
protocolo de gestin de claves.
Enva solicitudes de iniciacin MACSec con las opciones configuradas globalmente a nuevos switches que son
aadido a la pila.
En caso de un maestro cambio de pila, todas las sesiones garantizadas son llevados hacia abajo y luego restablecido. El
gestor de autenticacin reconoce ninguna sesin garantizados e inicia el desmontaje de estas sesiones.
12-3
Captulo 12
Modo Single-host
Figura 12-1 muestra cmo una sola sesin EAP autenticado est garantizado por MACsec utilizando MKA.
Figura 12-1
Anfitrin
330051
MACsec
Interruptor con
MACsec
configurado
AAA
Sistema de control de acceso
Modo Mltiple-Host
En estndar (no REV 802.1x) 802. multimodo anfitrin, un puerto est abierto o cerrado basado en un solo
de autenticacin. Si un usuario, el servicio de cliente garantizados host cliente principal, est autenticado, el mismo
nivel de acceso a la red se proporciona a cualquier host conectado al mismo puerto. Si un husped secundario es un
MACsec solicitante, no puede ser autenticado y el trfico sera, sin flujo. Un husped secundario que es un
MACsec no host puede enviar trfico a la red sin autenticacin porque es en mltiples anfitrin
de modo. Ver Figura 12-2.
Figura 12-2
Anfitrin Primaria
Husped secundario
Interruptor con
MACsec
configurado
AAA
Sistema de control de acceso
253664
Husped secundario
No se recomienda utilizar el modo de multi-anfitrin porque despus del primer cliente con xito, la autenticacin es
no se requiere para otros clientes, que no es seguro.
12-4
OL-29703-01
Captulo 12
Estadsticas MKA
Algunos contadores MKA se agregan a nivel mundial, mientras que otros se actualizan a nivel mundial y por sesin.
Tambin puede obtener informacin sobre el estado de las sesiones MKA.
Este es un ejemplo de la mostrar MKA estadsticas salida del comando:
Switch # mostrar MKA estadsticas
MKA Estadsticas Globales
=====================
Totales MKA Sesin
Secured .................... 32
Reautenticacin intentos .. 31
32
31
0
32
Estadsticas MKPDU
MKPDUs Validado y Rx ...... 580
"SAK Distribuido" ..... 0
"CAK Distribuido" ..... 0
MKPDUs Transmitido ......... 597
"SAK Distribuido" ..... 32
"CAK Distribuido" ..... 0
Fallas SAK
SAK Generacin ..................
0
Hash de Generacin de Claves .............
0
SAK cifrado / Wrap .............
0
SAK Descifrado / Separar ........... 0
Fallas CA
Grupo CAK Generacin ............
Grupo CAK cifrado / Wrap .......
Grupo CAK Descifrado / Separar .....
Por parejas CAK Derivacin .........
CKN Derivacin ..................
ICK Derivacin ..................
KEK Derivacin ..................
Peer no vlida MACsec Capability ..
Fallas MACSec
Rx SC Creacin ...................
Tx SC Creacin ...................
............... Instalacin Rx SA
............... Instalacin Tx SA
0
0
0
0
0
0
0
2
0
0
0
0
12-5
Captulo 12
Fallas MKPDU
MKPDU Tx .........................
MKPDU Rx Validacin ..............
MKPDU Rx MN Malo Peer .............
MKPDU Rx no reciente peerlist MN ..
0
0
0
0
Para la descripcin de los campos de salida, vea la referencia de comandos para esta versin.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
presentarse en el
establecimiento MKA
copy running-config startup-config
Paso 6
12-6
OL-29703-01
Captulo 12
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
MACSec
Paso 6
evento de autenticacin linksec falle la accin (Opcional) Especifique que la autenticacin de los procesos de conmutacin de enlace de seguridad
autorizar vlan id_vlanfallas resultantes de las credenciales de usuario no reconocidos por la que se autoriza una
restringido VLAN en el puerto despus de un intento de autenticacin ha fallado.
Paso 7
Paso 8
Paso 9
Configure el puerto como una entidad de acceso al puerto 802.1x (PAE) autenticador.
Paso 14 fin
interface-id
Paso 16 copy running-config startup-config
12-7
Captulo 12
Cisco TrustSec MACsec para la seguridad-switch a switch slo se admite en los interruptores que ejecutan la base IP
o servicios IP conjunto de caractersticas. No se admite en los interruptores que ejecutan el NPE o caracterstica de base LAN
conjunto.
Tabla 12-2 resume las caractersticas Cisco TrustSec apoyados en el interruptor. Para ms detallada
explicaciones, ver el Cisco TrustSec Interruptor Gua de configuracin:
http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/arch_over.html#wp10545
61
12-8
OL-29703-01
Captulo 12
Tabla 12-2
Descripcin
SAP es un protocolo propietario de Cisco intercambio de claves entre los switches. Despus
NDAC-switch a switch autenticacin, SAP negocia automticamente claves
y el conjunto de cifrado para el cifrado MACsec switch-to-switch posterior
entre pares TrustSec. La descripcin del protocolo est disponible bajo una
acuerdo de confidencialidad.
Una EST es una etiqueta nica de 16 bits que muestra la clasificacin de seguridad de una fuente
en el dominio TrustSec. Se aade a una trama de Ethernet o un paquete IP.
Con SXP, dispositivos que no son TrustSec-hardware capaz puede recibir SGT
atributos para usuarios autenticados o dispositivos del control de Cisco Acceso
System (ACS). Los dispositivos a continuacin, reenvan la fuente IP-to-SGT unin a un
TrustSec hardware dispositivo capaz de etiquetado y grupo de seguridad de ACL
(SGACL) la aplicacin.
Cuando ambos extremos de un enlace de soporte 802.1AE MACsec, negociacin SAP se produce. Un intercambio de clave EAPOL
ocurre entre el suplicante y el autenticador para negociar un conjunto de cifrado, seguridad de cambio
parmetros, y gestionar las claves. La conclusin con xito de estas tareas da como resultado el establecimiento de un
asociacin de seguridad (SA).
Dependiendo de la versin de software y licencias y el enlace de soporte de hardware, la negociacin SAP puede utilizar
uno de estos modos de operacin:
Cisco TrustSec utiliza AES-128 GCM y GMAC y es compatible con el estndar 802.1AE. GCM es
no se admite en los interruptores que ejecutan el la imagen de base LAN o NPE.
Cisco TrustSec NDAC SAP se apoya en los puertos troncales, porque est destinado slo para el dispositivo de red
a la red enlaces de dispositivos, es decir, cambiar-a-switch enlaces. No se admite en:
12-9
Captulo 12
Nota
Configuracin de Cisco TrustSec-Switch-to Switch Link Seguridad en 802.1x Modo, pgina 12-11
Configuracin de Cisco TrustSec-Switch-to Switch Link Seguridad en modo Manual, pgina 12-12
Enlace Ejemplo de configuracin de Cisco TrustSec de conmutador a conmutador de seguridad, pgina 12-14
La configuracin de ejemplo en la ltima seccin muestra la AAA y la configuracin de RADIUS. Utilice esta
ejemplo para configurar RADIUS y AAA antes de configurar la seguridad de switch a switch.
Paso 1
Comando
Propsito
Especifica las credenciales Cisco TrustSec para este interruptor para usar cuando
autenticar con otros dispositivos Cisco TrustSec con EAP-FAST.
Paso 2
Paso 3
Para borrar las credenciales Cisco TrustSec, introduzca la cts claras credenciales comando EXEC privilegiado.
Este ejemplo muestra cmo crear credenciales Cisco TrustSec.
Switch # cts credenciales Identificacin TrustSec contrasea micontrasea
CTS ID de dispositivo y la contrasea han sido insertados en el almacn de claves local. Por
favor, haga
asegurarse de que el mismo ID y la contrasea se configuran en la base de datos del servidor.
Switch # Mostrar cts credenciales
CTS contrasea se define en el almacn de claves, dispositivo-id = trustsecchange- Iniciado
contrasea
cambio de contrasea con el servidor AAA
12-10
OL-29703-01
Captulo 12
Nota
Antes de configurar la autenticacin de Cisco TrustSec MACsec, debe configurar Cisco TrustSec semilla
y dispositivos que no sean semillas. Para el modo 802.1x, debe configurar al menos un dispositivo de semillas, que el dispositivo
ms cercano
al sistema de control de acceso (ACS). Consulte esta seccin en el Gua de configuracin de Cisco TrustSec:
http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/ident-conn_config.html
Para usar el modo 802.1x, debe habilitar globalmente 802.1x en cada dispositivo.
Si selecciona GCM como el modo de funcionamiento de SAP, debe tener un software de cifrado MACsec
licencia de Cisco. MACsec se admite en Catalyst 3750-X y 3560-X de base IP universal y IP
licencias de servicios. No es compatible con la licencia NPE o la imagen de servicio de base de una LAN con.
Si selecciona GCM sin la licencia requerida, la interfaz se ve obligado a un estado de enlace descendente.
Comenzando en el modo EXEC privilegio, siga estos pasos para configurar Cisco TrustSec enlace-switch a switch
seguridad de la capa con 802.1x.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Nota
Paso 3
cts dot1x
Paso 4
Nota
Nota
Nota
gcm-encrypt-Autenticacin y cifrado
Aunque visible en la ayuda de la CLI, el reautenticacin temporizador y propagar sgt palabras clave no son
apoyado.
Paso 5
Salida
Paso 6
fin
12-11
Captulo 12
Comando
Propsito
Paso 7
Paso 8
Este ejemplo muestra cmo habilitar la autenticacin de Cisco TrustSec en modo 802.1x en una interfaz que use
GCM como el modo de SAP preferido:
Switch # configure terminal
Switch (config) # tengigabitethernet interfaz 1/1/2
Switch (config-if) # cts dot1x
Interruptor (cts config-if--dot1x) # savia modo de lista gcm-cifrar nula sin encap
Interruptor (cts config-if--dot1x) # Salida
Switch (config-if) # fin
Si selecciona GCM como el modo de funcionamiento de SAP, debe tener un software de cifrado MACsec
licencia de Cisco. Si selecciona GCM sin la licencia requerida, la interfaz se ve obligado a una
enlace-abajo.
Estos niveles de proteccin son compatibles al configurar SAP llave maestra en pares (savia PMK):
-SAP no est configurado-ninguna proteccin.
-savia modo de lista gcm cifrar-GMAC no-encap-proteccin deseable pero no obligatoria.
-savia modo de lista gcm-cifrar GMAC-confidencialidad prefiere y la integridad necesaria. El
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar manualmente Cisco TrustSec en una
interconectar a otro dispositivo Cisco TrustSec:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Nota
Paso 3
Manual cts
12-12
OL-29703-01
Captulo 12
Comando
Paso 4
Propsito
savia pmk clave [Modo de lista mode1 [Modo2 [MODO 3 (Opcional) Configura la clave de SAP maestra en pares (PMK) y
[MODO 4]]]] modo de operacin. SAP est desactivado por defecto en Cisco TrustSec
el modo manual.
gcm-encrypt-Autenticacin y cifrado
Nota
Nota
Paso 5
no sgt propagan
Paso 6
Salida
Paso 7
fin
Paso 8
Paso 9
Este ejemplo muestra cmo configurar la autenticacin Cisco TrustSec en modo manual en una interfaz:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # tengiigabitethernet interfaz 1/1/2
(config-if) # Manual cts
(config-if-cts-manual) # pmk savia 1234abcdef modo de lista gcm-cifrar nula sin encap
(config-if-cts-manual) # no sgt propagan
(config-if-cts-manual) # Salida
(config-if) # fin
12-13
Captulo 12
Dispositivo no Seed:
Switch (config) # aaa nuevo modelo
Switch (config) # session-id comn aaa
Switch (config) # dot1x-control de autenticacin del sistema
Switch (config) # interfaz gi1 / medio
Switch (config-if) # switchport trunk encapsulacin dot1q
Switch (config-if) # switchport mode trunk
Switch (config-if) # apagado
Switch (config-if) # cts dot1x
Interruptor (cts config-if--dot1x) # savia modo de lista gcm-cifrar GMAC
Interruptor (cts config-if--dot1x) # Salida
Switch (config-if) # Salida
12-14
OL-29703-01
Captulo 12
12-15
Captulo 12
12-16
OL-29703-01
E R CH A P T
13
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos del switch se utilizan en este captulo, consulte el
referencia de comandos para esta versin.
Nota
Puede configurar la autenticacin basada en la web en la Capa 2 y Capa 3 interfaces. Capa 3 interfaces son
no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
Cuando se inicia una sesin HTTP, paquetes HTTP de autenticacin intercepta entrada basados en la web de la
acoger y enva una pgina de acceso HTML a los usuarios. Los usuarios deben introducir sus credenciales, que la basada en la web
caracterstica de autenticacin enva al servidor de autenticacin, autorizacin y contabilidad (AAA) para
de autenticacin.
Si la autenticacin se realiza correctamente, la autenticacin basada en Web enva una pgina HTML Login xito al host
y aplica las polticas de acceso devueltos por el servidor AAA.
Si la autenticacin falla, la autenticacin basada en Web enva una Pgina de registro ante fallos HTML para el usuario,
indicando al usuario que vuelva a intentar la conexin. Si el usuario supera el nmero mximo de intentos, basado en la web
autenticacin enva una pgina HTML Login caducado al host, y el usuario se coloca en una lista de vigilancia
para un perodo de espera.
Estas secciones se describe el papel de la autenticacin basada en Web como parte de AAA:
13-1
Captulo 13
Clases de
dispositivo
Con la autenticacin basada en la web, los dispositivos de la red tienen estas funciones especficas:
Client-El dispositivo (estacin de trabajo) que solicita acceso a la red LAN y los servicios y responde a
solicitudes del interruptor. La estacin de trabajo debe ejecutar un navegador HTML con Java Script
habilitado.
Deteccin Host
El switch mantiene una tabla de seguimiento de dispositivo IP para almacenar informacin sobre los hosts detectados.
Nota
ARP basa gatillo-ARP redirigir ACL permite la autenticacin basada en la web para detectar hosts con una esttica
Direccin IP o una direccin IP dinmica.
Autenticacin basada en snooping-Web-DHCP es notificado cuando el switch crea una unin DHCPentrada para el husped.
13-2
OL-29703-01
Captulo 13
Creacin de sesiones
Cuando la autenticacin basada en la web detecta un nuevo husped, se crea una sesin de la siguiente
manera:
Revisa la lista de excepciones.
Si la IP de host est incluido en la lista de excepciones, se aplica la poltica de la entrada de la lista de excepciones y
se establece la sesin.
Proceso de autenticacin
Cuando se habilita la autenticacin basada en la web, estos eventos ocurren:
Si la autenticacin se realiza correctamente, las descargas de conmutacin y activa poltica de acceso del usuario de la
servidor de autenticacin. La pgina de xito de inicio de sesin se enva al usuario.
Si la autenticacin falla, el conmutador enva el nombre de usuario pgina falle. El usuario vuelve a intentar la conexin. Si el
nmero mximo de intentos de falla, el conmutador enva la pgina de inicio de sesin expirado, y el anfitrin se coloca
en una lista de vigilancia. Despus de la lista de vigilancia tiempo de espera, el usuario puede volver a intentar el proceso de
autenticacin.
Si el servidor de autenticacin no responde al conmutador, y si un AAA falle la poltica est configurado,
el interruptor se aplica la poltica de acceso a la insuficiencia de acogida. La pgina de xito de inicio de sesin se enva al
usuario.
(Vea la Seccin "Web Local Autenticacin Banner" en la pgina 13-4.)
El interruptor vuelve a autenticar un cliente cuando el anfitrin no responde a una sonda de ARP en una capa 2
interfaz, o cuando el host no enva todo el trfico dentro del tiempo de espera en una interfaz de capa 3.
La funcin se aplica el tiempo de espera de descarga o el tiempo de espera de sesin de configuracin local.
Si la accin es terminar RADIUS, la funcin enva un host que no responde (HNR) solicitud a la
servidor. La accin terminar est incluido en la respuesta desde el servidor.
13-3
Captulo 13
Autenticacin exitosa
Error de autenticacin
Autenticacin Expirado
Se crea una pancarta con el ip admisin auth-proxy-banner http comando de configuracin global.
El titular predeterminado Cisco Systems y Cambiar de nombre de host de autenticacin aparecer en la pgina de entrada. Cisco
Sistemas aparece en la pgina emergente resultado de la autenticacin, como se muestra en Figura 13-2.
Figura 13-2
Aadir un archivo de logotipo o texto a la bandera con la ip admisin auth-proxy-banner http -ruta del archivo
comando de configuracin global.
13-4
OL-29703-01
Captulo 13
Figura 13-3
Si no habilita un banner, slo los cuadros de dilogo de nombre de usuario y contrasea aparecen en la web
pantalla de inicio de sesin de autenticacin, ni bandera aparece al iniciar sesin en el switch, como se muestra en
Figura 13-4.
Figura 13-4
Para obtener ms informacin, consulte la Cisco IOS Seguridad de mandatos y el "Configuracin de un Web
Autenticacin Banner Local "en la pgina 13-16.
13-5
Captulo 13
Puede sustituir sus propias pginas HTML para las pginas HTML internas predeterminadas.
Usted puede utilizar un logotipo o especificar texto en el inicio de sesin, el xito, el fracaso, y expirar pginas
web.
En la pgina inicial, puede especificar texto en la pgina de inicio de sesin.
Debe incluir un comando de redireccin HTML en la pgina de xito para acceder a una URL especfica.
La cadena de la URL debe ser una URL vlida (por ejemplo, http://www.cisco.com). Una URL incompleta
podra causar Pgina no encontrada o errores similares en un navegador web.
Si configura las pginas web para la autenticacin HTTP, deben incluir el cdigo HTML adecuado
comandos (por ejemplo, para establecer el tiempo de pgina impresa, para establecer una contrasea oculta, o para confirmar
que la
misma pgina no se presenta dos veces).
El comando CLI para redirigir a los usuarios a una URL especfica no est disponible cuando el inicio de sesin configurada
forma se habilita. El administrador debe asegurarse de que la redireccin se configura en la pgina web.
Directrices
Si ocurre que se introduzca el comando CLI redirigir a los usuarios a la URL especfica despus de la autenticacin y luego
se introduce el comando configurar pginas web, el comando CLI redirigir a los usuarios a una especfica
URL no entra en vigor.
En conmutadores apilables, pginas configuradas se puede acceder desde el flash en el maestro de pila o
miembros.
La pgina de inicio de sesin puede ser en un flash, y las pginas de xito y fracaso puede ser otro flash (para
ejemplo, el flash de la maestra de la pila o un miembro).
Todos los archivos de logotipo (imagen, flash, audio, video, y as sucesivamente) que se almacenan en el directorio del
sistema
(Por ejemplo, flash, disk0, o disco) y que debe aparecer en la pgina de inicio de sesin debe utilizar
web_auth_ <nombre de archivo> como nombre de archivo.
La funcin de proxy de autenticacin configurado admite HTTP y SSL.
Puede sustituir las pginas HTML, como se muestra en Figura 13-5 en la pgina 13-7, por el impago interna
Pginas HTML. Tambin puede especificar una direccin URL a la que los usuarios se redirigen despus se produce la
autenticacin,
que sustituye a la pgina interna xito.
13-6
OL-29703-01
Captulo 13
Figura 13-5
Para obtener ms informacin, consulte la Seccin "Personalizacin de los autenticacin Proxy Web Pages" en la
pgina 13-13.
Seguridad Portuaria
Puede configurar la autenticacin y el puerto de seguridad basado en la web en el mismo puerto. Basado en la Web
autenticacin autentica al puerto, y la seguridad portuaria gestiona el acceso a la red para todas las direcciones MAC,
incluyendo la del cliente. A continuacin, puede limitar el nmero o grupo de clientes que pueden acceder a la red
a travs del puerto.
Para obtener ms informacin acerca de la habilitacin de seguridad de puertos, consulte la Seccin "Configuracin de
Seguridad Portuaria" en la
pgina 32-8.
13-7
Captulo 13
Puerto LAN IP
Puede configurar IP LAN puerto (LPIP) y Capa 2 autenticacin basada en Web en el mismo puerto. El anfitrin
se autentica mediante la autenticacin basada en la web en primer lugar, seguido de la validacin postura LPIP. El LPIP
la poltica de acogida anula la poltica de acogida de autenticacin basada en la web.
Si el temporizador de inactividad de autenticacin basada en la web expira, se retira la poltica NAC. El anfitrin es autenticado,
y la postura se valida de nuevo.
Puerta de enlace
IP
No puede configurar Puerta de enlace IP (GWIP) en una interfaz VLAN de nivel 3 si la autenticacin basada en web es
configurado en cualquiera de los puertos del switch en la VLAN.
Puede configurar la autenticacin basada en la web en la misma interfaz de capa 3 como puerta de enlace IP. El anfitrin
polticas de ambas caractersticas se aplican en el software. La poltica GWIP anula la basada en la web
la poltica de acogida de autenticacin.
ACL
Si configura una ACL VLAN o un Cisco IOS ACL en una interfaz, la ACL se aplica al trfico de acogida
slo despus de que se aplic la poltica de acogida de autenticacin basada en la web.
Para la capa 2 autenticacin basada en Web, debe configurar una ACL puerto (PACL) como el acceso por defecto
polticas para el trfico de entrada desde hosts conectados al puerto. Despus de la autenticacin, la basada en la web
la poltica de acogida de autenticacin anula el PACL.
No se puede configurar una ACL MAC y autenticacin basada en Web en la misma interfaz.
No se puede configurar la autenticacin basada en la web en un puerto cuyo VLAN de acceso est configurado para VACL
capturar.
Autenticacin basada en Web no se puede configurar en un puerto de nivel 2 si el control de acceso basado en contexto
(CBAC) est configurada en la interfaz de Capa 3 VLAN de la VLAN de puerto.
Autenticacin 802.1x
Le recomendamos que no se configura la autenticacin basada en la web en el mismo puerto como 802.1x
autenticacin excepto como un mtodo de autenticacin de reserva.
EtherChannel
Puede configurar la autenticacin basada en la web en una interfaz EtherChannel Capa 2. El basado en la web
configuracin de autenticacin se aplica a todos los canales miembros.
13-8
OL-29703-01
Captulo 13
Caracterstica
AAA
Disabled
Servidor RADIUS
Direccin IP
Ninguno especificado
1812
Clave
Ninguno especificado
3.600 segundos
Activado
Puede configurar la autenticacin basada en la web nicamente en los puertos de acceso. Autenticacin basada en Web no es
apoyado en los puertos troncales, puertos miembros EtherChannel o puertos dinmicos troncales.
Debe configurar la ACL por defecto en la interfaz antes de configurar la autenticacin basada en la web.
Configurar una ACL puerto para una interfaz de capa 2 o un Cisco IOS ACL para una interfaz de capa 3.
No se puede autenticar los hosts en la Capa 2 interfaces con asignacin de cach ARP esttica. Estos anfitriones
no son detectados por la funcin de autenticacin basada en la web, ya que no envan mensajes ARP.
13-9
Captulo 13
Los anfitriones que son ms de un salto de distancia pueden experimentar trastornos del trfico si una topologa STP
cambiar los resultados en el trfico de acogida de llegar en un puerto diferente. Esto ocurre porque el ARP y DHCP
actualizaciones no pueden ser enviados despus de un cambio de capa 2 (STP) topologa.
Autenticacin basada en Web no admite la asignacin de VLAN como una poltica descargable-host.
Autenticacin basada en Web y la red perimetral de acceso Topologa (NEAT) son mutuamente excluyentes. Usted
no puede utilizar la autenticacin basada en la web cuando NEAT est habilitado en una interfaz, y no se puede utilizar
Cuando la autenticacin basada en web NEAT se est ejecutando en una interfaz.
Propsito
Paso 1
Paso 2
Paso 3
ip access-group Nombre
Paso 4
admisin ip Nombre
Paso 5
Salida
Paso 6
seguimiento de dispositivos IP
Paso 7
fin
Paso 8
Visualice la configuracin.
Paso 9
Este ejemplo muestra cmo habilitar la autenticacin basada en la web en el puerto Fast Ethernet 5.1:
Switch
Switch
Switch
Switch
Switch
13-10
OL-29703-01
Captulo 13
Propsito
Paso 1
Paso 2
Paso 3
grupo predeterminado autorizacin aaa auth-proxy {Tacacs + Crear una lista de mtodos de autorizacin para la basada en la web
|radio}autorizacin.
Paso 4
Paso 5
Paso 6
Direccin de host IP
13-11
Captulo 13
La combinacin de la direccin IP y nmero de puerto UDP crea un identificador nico, que permite
Peticiones RADIUS ser enviadas a varios puertos UDP en el servidor en la misma direccin IP. Si dos diferentes
entradas de host en el mismo servidor RADIUS estn configurados para el mismo servicio (por ejemplo,
autenticacin) la segunda entrada de host que est configurado funciones como la copia de seguridad de conmutacin por error a la
primera.
Las entradas de host RADIUS se eligen en el orden en que se han configurado.
Para configurar los parmetros del servidor RADIUS, realizar esta tarea:
Comando
Propsito
Paso 1
Paso 2
Paso 3
Paso 4
Paso 5
Para clave cadena, especificar la clave de autenticacin y el cifrado se utiliza entre el interruptor y el
Daemon RADIUS ejecuta en el servidor RADIUS. La clave es una cadena de texto que debe coincidir con el
clave de cifrado utilizada en el servidor RADIUS.
Cuando se especifica el clave cadena, utilizar espacios dentro y en el extremo de la llave. Si utiliza espacios en
la clave, no adjunte la llave en comillas a menos que las comillas son parte de la clave.
Esta clave debe coincidir con la codificacin utilizada en el daemon RADIUS.
Puede configurar el tiempo de espera a nivel mundial, de retransmisin, y cifrado valores clave para todos RADIUS
servidores mediante el uso de la anfitrin radius-server comando de configuracin global. Si quieres
configurar estas opciones en funcin de cada servidor, utilice el radius-server timeout, radio-servidor
transmitir, y el radio-servidor de claves comandos de configuracin global. Para obtener ms informacin, consulte la
Gua de configuracin de Cisco IOS Seguridad, versin 12.4 y el Comando Cisco IOS Seguridad
Reference, Release 12.4.
13-12
OL-29703-01
Captulo 13
Nota
Es necesario configurar algunos ajustes en el servidor RADIUS, que incluye: la direccin IP del switch, la clave
cadena a ser compartida por el servidor y el conmutador, y la ACL descargable (DACL). Para obtener ms
informacin, consulte la documentacin del servidor RADIUS.
Este ejemplo muestra cmo configurar los parmetros del servidor RADIUS en un switch:
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
#
#
#
#
Comando
Propsito
Paso 1
servidor http ip
Habilite el servidor HTTP. La funcin de autenticacin basada en Web utiliza el servidor HTTP
para comunicarse con los anfitriones para la autenticacin de usuario.
Paso 2
ip http-servidor seguro
Habilitar HTTPS.
Puede configurar pginas web de proxy de autenticacin personalizados o especificar una URL de redireccin para el xito
inicio de sesin.
Nota
Para garantizar la autenticacin segura al entrar en la ip http-asegurar seguro comando, la pgina de inicio de sesin es
siempre en HTTPS (HTTP seguro) incluso si el usuario enva una solicitud HTTP.
Paso 2
Propsito
13-13
Captulo 13
Comando
Propsito
Paso 3
ip del proxy admisin de archivo de pgina fracaso http Especifique la ubicacin del archivo HTML personalizado que se utilizar en lugar de la
dispositivo: a prueba de nombre de archivo
pgina de error de inicio de sesin predeterminado.
Paso 4
ip del proxy http admisin de inicio de sesin pgina expir Especifique la ubicacin del archivo HTML personalizado que se utilizar en lugar de
la
archivo dispositivo: espirado-filenamede entrada por defecto la pgina expir.
Al configurar las pginas web de proxy de autenticacin personalizadas, siga estas pautas:
Para activar la costumbre pginas web muestran, especifique los cuatro archivos HTML personalizados. Si especifica menos
de cuatro archivos, se utilizan las pginas HTML predeterminado internos.
Los cuatro archivos HTML personalizados deben estar presentes en la memoria flash del switch. El tamao mximo
de cada archivo HTML es 8 KB.
Las imgenes de las pginas personalizadas deben estar en un servidor HTTP accesible. Configurar una ACL intercepcin
dentro de la regla de admisin.
Cualquier enlace externo a partir de una pgina personalizada requiere la configuracin de una ACL intercepcin dentro
de la
regla de admisin.
P ara acceder a un servidor DNS vlido, cualquier resolucin de nombres necesaria para enlaces o imgenes externas requiere
configuracin de una ACL intercepcin dentro de la regla de admisin.
Si se habilita la costumbre pginas web muestran, la URL de redireccin para la funcin de inicio de sesin exitoso no es
disponible.
Debido a que la pgina personalizada de inicio de sesin es un formulario web pblico, considere estas directrices para
la pgina:
El formulario de acceso debe aceptar entradas de usuario para el nombre de usuario y contrasea, y debe mostrarlos como
uname y pwd.
La pgina de inicio de sesin personalizado debe seguir las mejores prcticas para un formulario web, como la pgina de
tiempo de espera, escondido
contrasea, y la prevencin de las presentaciones redundantes.
Este ejemplo muestra cmo configurar pginas web proxy de autenticacin personalizados:
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
#
#
#
#
ip
ip
ip
ip
admisin
admisin
admisin
admisin
Proxy
Proxy
Proxy
Proxy
http
http
http
http
Este ejemplo muestra cmo comprobar la configuracin de un proxy de autenticacin personalizada pginas web:
Switch # mostrar configuracin admisin ip
Pgina web proxy de autenticacin
Ingresar la pgina: flash: login.htm
Pgina de xito: flash: success.htm
Fallo de Pgina: flash: fail.htm
Iniciar sesin caducada Pgina: flash: expired.htm
13-14
OL-29703-01
Captulo 13
Puede especificar una URL a la que se redirige al usuario despus de la autenticacin, reemplazando efectivamente la
pgina HTML xito interna.
Comando
Propsito
Al configurar una URL de redireccin de inicio de sesin correcto, tenga en cuenta estas pautas:
Si el proxy de autenticacin personalizado pginas web funcin est activada, la funcin de redireccin de URL es
discapacitados y no est disponible en el CLI. Puede realizar la redireccin en el xito a medida sesin
pgina.
Este ejemplo muestra cmo configurar una URL de redireccin de inicio de sesin correcto:
Switch (config) # proxy de admisin ip xito redireccin HTTP www.cisco.com
Este ejemplo muestra cmo comprobar la direccin del URL de inicio de sesin correcto:
Switch # mostrar configuracin admisin ip
Autenticacin Banner Proxy no configurado
Pgina web personalizable Autenticacin Proxy no configurado
xito de autenticacin de redireccin HTTP a la URL: http://www.cisco.com
Autenticacin tiempo cach global es de 60 minutos
Autenticacin tiempo absoluto mundial es de 0 minutos
Autenticacin tiempo global del estado init es de 2 minutos
Autenticacin Proxy Watch-lista est deshabilitado
Autenticacin proceso Proxy HTTP Max es 7
Autenticacin Proxy Auditora est deshabilitado
Max Login intenta por usuario es de 5
Comando
Propsito
Paso 1
Paso 2
fin
Paso 3
Paso 4
Paso 5
Este ejemplo muestra cmo establecer el nmero mximo de intentos de conexin fallidos a 10:
Switch (config) # admisin ip max-login-10 intentos
13-15
Captulo 13
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Este ejemplo muestra cmo configurar una bandera local con el mensaje personalizado Mi interruptor:
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
configure terminal
# aaa nuevo modelo
# aaa ip auth-proxy auth-proxy-banner C Mi interruptor C
fin
Para obtener ms informacin acerca de la ip-proxy auth auth-proxy-banner comando, consulte la "Autenticacin
Comandos Proxy "de la Cisco IOS Seguridad de mandatos en Cisco.com.
Propsito
Este ejemplo muestra cmo eliminar la sesin de autenticacin basada en la web para el cliente en el IP
direccin 209.165.201.1:
Switch # 209.165.201.1 cache clear ip auth-proxy
13-16
OL-29703-01
Captulo 13
Paso 1
Comando
Propsito
Este ejemplo muestra cmo ver slo la situacin mundial de autenticacin basada en la web:
Switch # mostrar las sesiones de autenticacin
Este ejemplo muestra cmo ver la configuracin de autenticacin basados en la web para la interfaz gigabit 3.27:
Switch # sesiones de demostracin de autenticacin GigabitEthernet interfaz 3.27
13-17
Captulo 13
13-18
OL-29703-01
E R CH A P T
14
Cisco TrustSec
Cisco TrustSec ofrece mejoras de seguridad a los dispositivos de red de Cisco basado en la capacidad de
identifican fuertemente usuarios, hosts y dispositivos de red dentro de una red. TrustSec ofrece topologa
controles de acceso independientes y escalables mediante la clasificacin de forma nica el trfico de datos para una funcin
particular.
TrustSec garantiza la confidencialidad y la integridad de los datos mediante el establecimiento de la confianza entre compaeros y
autenticados
la encriptacin de vnculos con los compaeros.
El componente clave de Cisco TrustSec es la Motor Servicios de Cisco Identidad (ISE). Cisco ISE puede
prestacin de carrera con TrustSec Identidades y ACL Security Group (SGACLs), aunque estos pueden ser
configurado manualmente en el interruptor.
Para configurar Cisco TrustSec en el interruptor, consulte la Cisco TrustSec Interruptor Gua de configuracin en la
siguiente URL:
http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html
Notas de la versin para la Disponibilidad comunicados de Cisco TrustSec generales estn en la siguiente URL:
http://www.cisco.com/en/US/docs/switches/lan/trustsec/release/notes/rn_cts_crossplat.html
Informacin adicional acerca de la solucin Cisco TrustSec, incluyendo resmenes, hojas de datos, y el caso
estudios, est disponible en:
http://www.cisco.com/en/US/netsol/ns1051/index.html
Tabla 1 enumera las caractersticas TrustSec a implementar con el tiempo en los switches Cisco habilitados para TrustSec.
Comunicados de la disponibilidad general de sucesivas de TrustSec ampliarn el nmero de parmetros admitidos y
el nmero de TrustSec admitidas por switch.
Consulte la Seccin "Directrices y limitaciones de configuracin" en la pgina 14-3 para ms informacin sobre
las limitaciones de las caractersticas TrustSec sobre Catalyst 3750-X y Catalyst 3560-X interruptores.
14-1
Captulo 14
Tabla 1
Cisco TrustSec
Descripcin
802.1AE Tagging
(MACSec)
14-2
OL-29703-01
Captulo 14
Cisco TrustSec
Directrices de configuracin y limitaciones
No se puede asignar estticamente una subred IP a una EST. Slo puede asignar direcciones IP a un SGT. Cuando
configurar IP-direccin-a SGT mapas, el prefijo de la direccin IP debe ser 32.
Si un puerto est configurado en el modo Multi-Auth, todos los hosts de conexin en ese puerto se deben asignar al
misma SGT. Cuando un anfitrin intenta autenticar, su SGT asignado debe ser el mismo que el SGT asigna
a un husped previamente autenticado. Si un host intenta autenticar y su SGT es diferente de la
SGT de un husped previamente autenticado, el puerto de VLAN (VP) a la que pertenecen estos hosts es
-error discapacitados.
Aplicacin Cisco TrustSec slo se admite en un mximo de ocho VLAN en un enlace VLAN-tronco. Si hay
son ms de ocho VLANs configuradas en un enlace VLAN-tronco y Cisco TrustSec cumplimiento es
habilitado en esas VLANs, los puertos de switch en los enlaces troncales VLAN no tendrn errores discapacitados.
El interruptor se puede asignar SGT y aplicar SGACL correspondiente a terminar-hosts basado en SXP escucha
slo si los anfitriones finales son Layer2 adyacente al interruptor.
Port-a-SGT mapeo slo se puede configurar en los vnculos Cisco TrustSec (es decir, de conmutador a conmutador
enlaces). Mapeo de puerto a SGT no se puede configurar en los enlaces de host a switch.
Cuando el mapeo de puerto a SGT est configurado en un puerto, un SGT se asigna a todo el trfico de entrada en la que
puerto. No hay ninguna aplicacin SGACL para el trfico de salida en el puerto.
EST / SGACL se admite en Cisco Catalyst 3750-X y 3650-X switches de la serie con toda la red
mdulos de enlace ascendente: C3KX-NM-1G, C3KX-NM-10G, C3KX-NM-10GT y C3KX-SM-10G. El
C3KX-SM-10G slo se requiere para MACsec en los enlaces ascendentes.
14-3
Captulo 14
Cisco TrustSec
14-4
OL-29703-01
E R CH A P T
15
Nota
Configuracin del Cisco RPS 2300 en una pila mixta, pgina 15-46
Configuracin del Sistema de Alimentacin eXpandable Cisco (XPS) 2200, pgina 15-48
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el interruptor
referencia de comandos para esta versin y la lnea Cisco IOS interfaz de comandos de referencia,
Soltar 12.4.
Tipos de interfaz
Esta seccin describe los diferentes tipos de interfaces soportadas por el interruptor con referencias a
captulos que contienen informacin ms detallada sobre la configuracin de este tipo de interfaz. El resto de la
captulo se describen los procedimientos de configuracin de caractersticas de interfaz fsica.
Nota
Los puertos de la pila en la parte posterior del interruptor 3750-X Catalyst 3750-E Catalyst son puertos Ethernet y no
no se puede configurar.
15-1
Captulo 15
Tipos de interfaz
VLANs basadas en
puertos
Una VLAN es una red conmutada que est lgicamente segmentada por funcin, equipo o aplicacin, sin
lo que respecta a la ubicacin fsica de los usuarios. Para obtener ms informacin acerca de las VLAN, consulte Captulo 16,
"Configuracin de VLAN". Los paquetes recibidos en un puerto se envan slo a los puertos que pertenecen a la misma
VLAN que el puerto receptor. Los dispositivos de red en diferentes VLANs no pueden comunicarse entre s
sin un dispositivo de Capa 3 para enrutar el trfico entre las VLAN.
Particiones VLAN proporcionar firewalls duros para el trfico en la VLAN, y cada VLAN tiene su propia MAC
tabla de direcciones. Una VLAN viene a la existencia cuando un puerto local est configurado para ser asociado con el
VLAN, cuando el protocolo de enlace troncal de la VLAN (VTP) se entera de su existencia de un vecino en un tronco, o
cuando un usuario crea una VLAN. VLAN se pueden formar con los puertos de la pila.
Para configurar las VLAN, utilice el vlan id_vlan comando de configuracin global para entrar en la configuracin de VLAN
de modo. Las configuraciones de VLAN para la VLAN de rango normal (ID de VLAN 1 a 1005) se guardan en la
Base de datos de la VLAN. Si VTP es la versin 1 o 2, para configurar las VLAN de rango extendido (ID de VLAN 1006 a
4094), primero debe establecer el modo VTP transparente. VLAN de rango extendido creados en modo transparente
no se agregan a la base de datos VLAN pero se guardan en la configuracin de interruptor de funcionamiento. Con la versin VTP
3, puede crear las VLAN de rango extendido en modo cliente o servidor. Estas VLAN se guardan en la VLAN
base de datos.
En una pila de switches, la base de datos VLAN se descarga en todos los conmutadores en una pila, y todos los interruptores en la
apilar a construir la misma base de datos VLAN. La configuracin en ejecucin y la configuracin guardada son los
mismo para todos los conmutadores en una pila.
Agregar puertos a una VLAN mediante el uso de la switchport comandos de configuracin de la interfaz:
Identificar la interfaz.
Para un puerto troncal, establecer las caractersticas del tronco, y si se desea, definir la VLAN a la que puede pertenecer.
Para que un puerto de tnel, establecer y definir el ID de VLAN para la etiqueta VLAN especfica del cliente. Ver Captulo 20,
"Configuracin de IEEE 802.1Q y Capa 2 Tunneling Protocol."
15-2
OL-29703-01
Captulo 15
Puertos de
conmutacin
Nota
Tipos de interfaz
Los puertos del conmutador son de capa 2 slo las interfaces asociadas con un puerto fsico. Los puertos de switch pertenecen a una
o
ms VLAN. Un puerto del switch puede ser un puerto de acceso, un puerto troncal o un puerto de tnel. Puede configurar un puerto
como un puerto de puerto de acceso o en el maletero o dejar que el protocolo de enlace troncal dinmico (DTP) operan en una base
por puerto
para establecer el modo switchport mediante la negociacin con el puerto en el otro extremo del enlace. Usted debe manualmente
configurar los puertos de tnel como parte de un enlace asimtrico conectado a un puerto de enlace troncal IEEE 802.1Q. Cambiar
puertos se utilizan para la gestin de la interfaz fsica y asociados de Capa 2 protocolos y no manejan
enrutamiento o puenteo.
Configurar puertos de switch utilizando el switchport Comandos de configuracin de la interfaz. Utilice el switchport
comando sin palabras clave para poner una interfaz que est en el modo de capa 3 en el modo de capa 2.
Cuando usted pone una interfaz que est en el modo de capa 3 en el modo de capa 2, la configuracin anterior
informacin relacionada con la interfaz de afectados podra perderse, y la interfaz se devuelve a su valor predeterminado
configuracin.
Para obtener informacin detallada sobre la configuracin de las caractersticas del puerto de acceso y portuarias tronco, vase
Captulo 16,
"Configuracin de VLAN". Para obtener ms informacin sobre los puertos de tnel, consulte Captulo 20, "Configuracin de
IEEE
802.1Q y Capa 2 Tunneling Protocol. "
Puertos de acceso
Un orificio de acceso pertenece a y transporta el trfico de una sola VLAN (a menos que se configura como una voz
Puerto de VLAN). El trfico se recibe y se enva en formatos nativos sin etiquetado VLAN. Trfico procedente de
un puerto de acceso se supone que pertenecen a la VLAN asignada al puerto. Si un puerto de acceso recibe un etiquetado
paquete (Inter-Switch Link [ISL] o IEEE 802.1Q etiquetado), el paquete se descarta, y la direccin de origen
no se aprende.
Se admiten dos tipos de puertos de acceso:
Puertos de acceso esttico se asignan manualmente a una VLAN (o a travs de un servidor RADIUS para su uso con
IEEE 802.1x. Para obtener ms informacin, consulte la Seccin "802.1x Comprobacin de disponibilidad" en la pgina 1115.)
VLAN de miembros de los puertos de acceso dinmicos se aprende a travs de los paquetes entrantes. Por defecto, un
puerto de acceso dinmico no es un miembro de cualquier VLAN, y expedicin hacia y desde el puerto est activado
slo cuando se descubre la pertenencia a la VLAN del puerto. Puertos de acceso dinmicos en el interruptor son
asignado a una VLAN por una Poltica de servidor de VLAN (VMPS). El VMPS puede ser un
Conmutador de la serie Catalyst 6500; el Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor
no puede ser un servidor VMPS.
Tambin puede configurar un puerto de acceso con un telfono IP de Cisco unido a utilizar una VLAN para el trfico de voz
y otra VLAN para el trfico de datos desde un dispositivo conectado al telfono. Para obtener ms informacin acerca de la voz
Puertos de VLAN, consulte Captulo 18, "Configuracin de VLAN de voz."
15-3
Captulo 15
Tipos de interfaz
Tronco Puertos
Un puerto troncal transporta el trfico de mltiples VLANs y por defecto es miembro de todas las VLAN en la VLAN
base de datos. Se admiten Estos tipos de puerto de tronco:
En un puerto de enlace troncal ISL, se espera que todos los paquetes recibidos a encapsular con un encabezado ISL, y
todos los paquetes transmitidos se envan con un encabezado ISL. Nativo (no etiquetados) tramas recibidas desde una
Puerto de enlace troncal ISL se eliminan.
Un puerto de enlace troncal IEEE 802.1Q admite el trfico etiqueta y sin etiqueta simultnea. Un IEEE 802.1Q
puerto troncal tiene asignado un ID de VLAN de puerto predeterminado (PVID), y todo el trfico sin etiquetar viaja en el
puerto
default PVID. Todo el trfico no etiquetado y marcado de trfico con un ID de VLAN NULL se supone que pertenecen
al PVID predeterminado del puerto. Un paquete con un ID de VLAN igual al saliente PVID predeterminado del puerto se enva
sin etiquetar. El resto del trfico se enva con una etiqueta VLAN.
Aunque de forma predeterminada, un puerto troncal es un miembro de cada VLAN conocida por el VTP, puede limitar VLAN
pertenencia mediante la configuracin de una lista de permitidos de VLAN para cada puerto de lnea externa. La lista de las VLAN
permitidas
no afecta a ningn otro puerto, pero el puerto de lnea externa asociada. Por defecto, todas las VLANs posibles (VLAN ID 1
a 4094) estn en la lista de permitidos. Un puerto troncal puede convertirse en un miembro de una VLAN slo si sabe de VTP
la VLAN de la VLAN y si est en el estado activado. Si VTP se entera de una nueva VLAN habilitada y la VLAN
est en la lista de permitidos para un puerto de enlace troncal, el puerto de lnea externa se convierte automticamente en un
miembro de esa VLAN y
el trfico se desva hacia y desde el puerto de lnea para esa VLAN. Si VTP se entera de una nueva VLAN habilitada
que no est en la lista de permitidos para un puerto de enlace troncal, el puerto no se convierta en un miembro de la VLAN, y no
trfico para la VLAN se reenva hacia o desde el puerto.
Para obtener ms informacin acerca de los puertos troncales, consulte Captulo 16, "Configuracin de
VLAN".
Tnel Puertos
Puertos de tnel se utilizan en un tnel IEEE 802.1Q para segregar el trfico de clientes en un
la red de proveedores de servicios de otros clientes que estn utilizando el mismo nmero de VLAN. Se configura
un vnculo asimtrico de un puerto de tnel en un conmutador de acceso de proveedores de servicios a un puerto troncal IEEE
802.1Q
en el interruptor de cliente. Los paquetes que entran en el puerto de tnel en el borde ya cambiar son
IEEE 802.1Q etiquetado con las VLAN del cliente se encapsulan con otra capa de un IEEE 802.1Q
etiqueta (llamada la etiqueta metro), que contiene un ID de VLAN nico en la red de proveedores de servicios para cada
cliente. Los paquetes de doble etiquetado pasan por la red de proveedores de servicios de mantenimiento de los originales
VLANs clientes separados de los de otros clientes. En la interfaz de salida, tambin un puerto de tnel,
se quita la etiqueta de metro, y los nmeros de las VLAN originales de la red del cliente se recuperan.
Puertos de tnel no pueden ser puertos troncales o puertos de acceso y deben pertenecer a una VLAN nica para cada cliente.
Para obtener ms informacin sobre los puertos de tnel, consulte Captulo 20, "Configuracin de IEEE 802.1Q y Capa 2
Protocolo de tnel ".
Puertos enrutados
Un puerto de enrutado es un puerto fsico que acta como un puerto de un enrutador; que no tiene que ser conectado a un
router. Un puerto de enrutado no est asociada con una VLAN particular, como es un puerto de acceso. Un puerto de enrutado se
comporta
como una interfaz regular de router, excepto que no soporta subinterfaces VLAN. Puertos pueden ser enrutados
configurado con un protocolo de enrutamiento de Capa 3. Un puerto enrutada es una interfaz de capa 3 solamente y no soporta
2 protocolos de capa, como la DTP y STP.
15-4
OL-29703-01
Captulo 15
Nota
Tipos de interfaz
Puertos enrutados no son compatibles con los interruptores que ejecutan el conjunto de funciones LAN Base. Sin embargo, a partir
de
Cisco ICO liberar 12.2 (58) SE, puede configurar hasta 16 rutas estticas en SVI.
Configurar puertos con enrutamiento al poner la interfaz en modo de capa 3 con la no switchport interfaz
comando de configuracin. A continuacin, asigne una direccin IP al puerto, habilitar el enrutamiento, y asignar enrutamiento
caractersticas del protocolo mediante el enrutamiento IP y enrutador protocolo comandos de configuracin global.
Nota
Introduccin de un no switchport comando de configuracin de interfaz apaga los vuelve a habilitar la interfaz y, a continuacin,
, lo cual podra generar mensajes en el dispositivo al que est conectada la interfaz. Cuando usted pone una
interfaz que est en el modo de capa 2 en el modo de capa 3, la informacin de configuracin relacionada con la anterior
la interfaz de afectados podra perderse.
El nmero de puertos con enrutamiento que se pueden configurar no est limitado por software. Sin embargo, la
interrelacin entre este nmero y el nmero de otras caractersticas estando configurado podra afectar
Rendimiento de la CPU debido a las limitaciones de hardware. Consulte la Seccin "Configuracin de Capa 3 Interfaces" en la
pgina 15-38 para obtener informacin sobre lo que ocurre cuando se alcanzan las limitaciones de recursos de hardware.
Para obtener ms informacin acerca de unidifusin IP y protocolos de enrutamiento y enrutamiento multicast, consulte
Captulo 45,
"Configuracin de IP Unicast Routing" y Captulo 53, "Configuracin de IP Multicast Routing".
Nota
El conjunto de funciones IP Base admite el enrutamiento esttico y el Protocolo de informacin de enrutamiento (RIP). Comenzando
con
Cisco IOS 12.2 (58) E, el conjunto de funciones LAN Base soporta 16 rutas estticas configuradas por el usuario en
SVI. Para todo el enrutamiento de capa 3 o de puenteo de reserva, debe habilitar la IP Services conjunto de caractersticas en
el interruptor independiente, o el interruptor activo.
Nota
15-5
Captulo 15
Tipos de interfaz
interfaz para cada VLAN para el que desea para enrutar el trfico, y asignarle una direccin IP. Para obtener ms
informacin, consulte la Seccin "Asignacin manual de la informacin de IP" en la pgina 4-15.
Nota
Cuando se crea un SVI, no se activa hasta que se asocia con un puerto fsico.
SVI apoyo protocolos de enrutamiento y salvar configuraciones. Para obtener ms informacin acerca de la configuracin IP
enrutamiento, consulte Captulo 45, "Configuracin de IP Unicast Routing", Captulo 53, "Configuracin de IP Multicast
Routing ", y el Captulo 55," Configuracin de repliegue Bridging ".
Nota
El conjunto de funciones LAN Base slo admite el enrutamiento esttico en SVI. La funcin de IP Base soporta esttica
enrutamiento y RIP. Para tendidos ms avanzado o de puente de retorno, que el conjunto de funciones IP Services
en el interruptor independiente o el interruptor activo. Para obtener informacin sobre el uso de la funcin de activacin de software
para instalar una licencia de software para un conjunto de caractersticas especficas, consulte la Activacin del software Cisco IOS
documento.
Nota
Al menos una capa 2 (acceso o tronco) existe el puerto, tiene un enlace en la hasta Estado en esta VLAN, y est en
el estado de envo de spanning-tree de la VLAN.
El estado de los vnculos protocolo para interfaces VLAN aparece cuando el primer puerto del switch que pertenece a la
correspondiente enlace VLAN se acerca y se encuentra en estado de reenvo STP.
La accin predeterminada, cuando una VLAN tiene varios puertos, es que el SVI se cae cuando todos los puertos del
VLAN bajar. Usted puede utilizar el autostate SVI excluir los funcin para configurar un puerto de modo que no es
incluido en el estado de la lnea hasta SVI-an- clculo abajo. Por ejemplo, si el nico puerto activo en la VLAN
es un puerto de supervisin, es posible configurar autostate excluir en ese puerto para que la VLAN se cae
cuando todos los dems puertos bajan. Cuando se habilita en un puerto, autostate excluir se aplica a todas las VLAN que son
habilitado en ese puerto.
La interfaz VLAN est educado cuando un puerto de la Capa 2 en la VLAN ha tenido tiempo para converger
(Transicin de la STP estado escuchando-learning para el reenvo de estado). Esto evita que las caractersticas tales como el
encaminamiento
protocolos de uso de la interfaz VLAN como si fuera en pleno funcionamiento y minimiza otros problemas,
tales como enrutamiento de los agujeros negros. Para obtener informacin sobre la configuracin de autostate excluye, consulte la
"Configuracin de
SVI Autostate Excluir "en la pgina 15-40.
EtherChannel grupos de
puertos
Grupos de puertos EtherChannel consideran mltiples puertos de switch a ser un puerto de switch. Estos grupos de puertos actan
como
un nico puerto lgico para las conexiones de gran ancho de banda entre los switches o entre switches y servidores.
Un EtherChannel equilibra la carga de trfico a travs de los enlaces en el canal. Si un enlace dentro de la
EtherChannel falla, el trfico anteriormente a travs de los enlaces fallidos cambios en los enlaces restantes. Usted puede
agrupar varios puertos troncales en un puerto troncal lgico, agrupar varios puertos de acceso en un solo acceso lgico
puertos puerto, agrupar varios puertos de tnel en un puerto de tnel lgica, o mltiple grupo enrutan en una sola
15-6
OL-29703-01
Captulo 15
Tipos de interfaz
puerto enrutado lgico. La mayora de los protocolos operan en puertos simples o puertos de switch agregados y no lo hacen
reconocer los puertos fsicos dentro del grupo de puertos. Las excepciones son el DTP, el Protocolo de descubrimiento de Cisco
(CDP), y el Protocolo de Port Aggregation (PAgP), que operan slo en puertos fsicos.
Al configurar un EtherChannel, se crea una interfaz lgica puerto-canal y asigna una interfaz
a la EtherChannel. Para Layer 3 interfaces, debe crear manualmente la interfaz lgica mediante el uso de la
interfaz puerto-canal comando de configuracin global. Luego de asignar manualmente una interfaz para el
EtherChannel mediante el uso de la -grupo de canales comando de configuracin de interfaz. Para Layer 2 interfaces, uso
la -grupo de canales comando de configuracin de interfaz para crear dinmicamente el puerto-canal lgico
interfaz. Este comando une los puertos fsicos y lgicos juntos. Para obtener ms informacin, consulte
Captulo 43, "Configuracin de EtherChannels y Link-Estado de seguimiento."
Alimentacin a travs de
puertos Ethernet
Un puerto del switch PoE-capaz alimenta automticamente a uno de estos dispositivos conectados si el interruptor
detecta que no hay poder en el circuito:
Cisco dispositivo alimentado pre-estndar (como un telfono IP de Cisco o un punto de acceso Cisco Aironet)
En Cisco IOS 12.2 (40) SE y anteriores, cada puerto 10/100/1000 PoE proporciona hasta 15,4 W de potencia a
el dispositivo. Cisco IOS 12.2 (44) SE y posteriores son compatibles con PoE mejorada. PoE mejorada debera ser cin
descubierto en un puerto para alimentar un dispositivo que requiera hasta 20 W de potencia, tales como el acceso inalmbrico Cisco
AP1250
punto.
Un dispositivo con alimentacin puede recibir alimentacin redundante cuando se conecta a un puerto de switch PoE y para un AC
fuente de alimentacin. El dispositivo no recibe alimentacin redundante cuando slo est conectado al puerto PoE.
Despus de que el switch detecta un dispositivo con alimentacin, el interruptor determina los requisitos de alimentacin de los
dispositivos y luego
concede o deniega la energa al dispositivo. El interruptor tambin puede detectar el consumo de energa en tiempo real de la
dispositivo mediante el control y la vigilancia del uso de energa.
Esta seccin tiene esta informacin PoE:
15-7
Captulo 15
Tipos de interfaz
CDP con el consumo-El poder dispositivo alimentado notifica el interruptor de la cantidad de energa que
est consumiendo. El interruptor no responde a los mensajes de consumo de energa. El interruptor slo puede
suministrar alimentacin o corte la energa del puerto PoE.
Gestin-El poder inteligente Cisco dispositivo con alimentacin y el interruptor de negociar a travs de
mensajes CDP poder de negociacin para un nivel de consumo de energa del pacto. La negociacin
permite un Cisco dispositivo alimentado de alta potencia, que consume ms de 7 W, para operar a su mxima
modo de alimentacin. El dispositivo alimentado primero arranca en modo de bajo consumo, consume menos de 7 W, y
negocia para obtener energa suficiente para funcionar en modo de alta potencia. El aparato cambia a
Modo de alta potencia slo cuando recibe la confirmacin del interruptor.
Dispositivos de alta potencia pueden operar en modo de bajo consumo en los switches que no son compatibles
CDP poder de negociacin.
Administracin de energa inteligente de Cisco es compatible hacia atrs con CDP con el consumo de energa;
el interruptor responde de acuerdo con el mensaje de CDP que recibe. CDP no se admite en
terceros dispositivos alimentados; Por lo tanto, el conmutador utiliza el estndar IEEE para determinar la clasificacin
consumo de energa del dispositivo.
IEEE 802.3af-Las principales caractersticas de esta norma son movidos por el dispositivo de descubrimiento, el poder
administracin, la deteccin de desconexin, y opcional clasificacin Elctrica Power-dispositivo. Para obtener ms
informacin, consulte la norma.
IEEE-El estndar 802.3at PoE + aumenta la potencia mxima que se puede extraer de una potencia
dispositivo de 15,4 W por puerto a 30 W por puerto.
IEEE 802.11n (pre-proyecto de norma): Esta norma le permite aumentar la potencia en un mayor
Puerto PoE de hasta 20W.
El interruptor clasifica el dispositivo IEEE detectado dentro de una clase consumo de energa. Basado en la
potencia disponible en el presupuesto de alimentacin, el interruptor determina si un puerto puede ser alimentado. Tabla 15-1
listas
estos niveles.
15-8
OL-29703-01
Captulo 15
Tabla 15-1
Tipos de interfaz
Clase
15.4 W
4W
7W
15.4 W
Los monitores de conmutacin y pistas peticiones para poder poder y subvenciones slo cuando est disponible. El conmutador
pistas de su presupuesto de energa (la cantidad de energa disponible en el switch para PoE). El switch realiza
clculos de potencia-contables cuando se concede o se niega el poder para mantener el balance de potencia hasta un puerto
fecha.
Despus de potencia se aplica al puerto, el conmutador utiliza para determinar la CDP -Especfico CDP poder
necesidades de consumo de los dispositivos Cisco Powered conectados, que es la cantidad de energa que
asignar basndose en los mensajes CDP. El interruptor ajusta el balance de potencia en consecuencia. Esto no hace
aplicarse a dispositivos PoE de terceros. El switch procesa una solicitud y conceda o niegue el poder. Si el
se concedi la peticin, el interruptor actualiza el presupuesto de alimentacin. Si la solicitud es denegada, el interruptor se asegura
de que
alimentacin al puerto est apagado, genera un mensaje de syslog, y actualiza los LEDs. Dispositivos motorizados puede
tambin negociar con el interruptor para obtener ms poder.
Con PoE +, los dispositivos alimentados utilizan IEEE 802.3at y poder LLDP con los medios de comunicacin dependientes de la
interfaz (MDI)
tipo, longitud, y las descripciones de valor (TLV), y Power-via-MDA TLV, por el poder de negociacin de hasta 30
W. Cisco y Cisco norma previa dispositivos IEEE dispositivos alimentados pueden utilizar CDP o el estndar IEEE 802.3at
poder-via-MDI mecanismo de negociacin facultad de solicitar los niveles de potencia de hasta 30 W.
Nota
La dotacin inicial de Clase 0, Clase 3 y Clase 4 dispositivos alimentados es 15.4 W. Cuando un dispositivo se inicia
y utiliza CDP o LLDP para enviar una solicitud de ms de 15,4 W, que se puede asignar hasta el mximo
de 30 W.
Nota
15-9
Captulo 15
Tipos de interfaz
Modos de administracin de
energa
esttico-El cambiar pre-asigna alimentacin al puerto (incluso cuando no est conectado un dispositivo con alimentacin) y
garantiza que el poder estar disponible para el puerto. El interruptor asigna el puerto configurado
mxima potencia, y la cantidad no se ajusta a travs de la clase IEEE o por mensajes de CDP
desde el dispositivo de alimentacin. Porque el poder es pre-asignado, cualquier dispositivo elctrico que utiliza menor o
igual a la potencia mxima est garantizada para ser alimentado cuando est conectado al puerto esttico.
El puerto ya no participa en el orden de llegada modelo, primer servido.
Sin embargo, si la clase IEEE potencia del dispositivo es mayor que la potencia mxima, el interruptor hace
No suministrar energa a la misma. Si el switch aprende a travs de mensajes de CDP que el dispositivo alimentado
necesidades
ms de la potencia mxima, el interruptor se apaga el dispositivo alimentado.
Si no se especifica una potencia, el interruptor de pre-asigna el valor mximo. Con el interruptor de los
puerto slo si se descubre un dispositivo con alimentacin. Utilice el esttica el establecimiento de una interfaz de alta
prioridad.
Nunca-El interruptor desactiva la deteccin y nunca aeronave de dispositivos poderes del puerto PoE incluso si un
dispositivo sin alimentacin est conectada. Utilice este modo slo cuando usted quiere asegurarse de que el poder nunca es
aplicado a un puerto PoE-capaz, por lo que el puerto un puerto de slo datos.
Para obtener informacin sobre la configuracin de un puerto PoE, consulte la "Configuracin de un modo de administracin de
energa en un PoE
Seccin de puertos "en la pgina 15-33.
15-10
OL-29703-01
Captulo 15
Tipos de interfaz
Cuando la vigilancia del consumo de energa en tiempo real est habilitada, el interruptor de toma accin cuando una potencia
dispositivo consume ms energa que la cantidad mxima que se destina, tambin conocida como la corte de energa
valor.
Cuando PoE est activado, el interruptor detecta el consumo de energa en tiempo real del dispositivo de alimentacin. El
interruptor controla el consumo de energa en tiempo real del dispositivo alimentado conectado; esto se llama poder
monitoreo o sensor de potencia. El switch tambin vigila el uso de la energa con la policial de energa funcin.
Supervisin de la alimentacin es backward-compatible con la administracin de energa inteligente Cisco y basada en el CDP
consumo de energa. Funciona con estas caractersticas para asegurarse de que el puerto PoE puede suministrar energa a la
dispositivo alimentado. Para obtener ms informacin acerca de estas caractersticas PoE, consulte la "Protocolos soportados y
Seccin Normas "en la pgina 15-8.
El interruptor detecta el consumo de energa en tiempo real del dispositivo conectado como sigue:
1.
2.
El conmutador registra el consumo de energa, incluyendo el uso de potencia mxima. El interruptor de los informes de la
informacin a travs de la CISCO-POWER-ETHERNET-EXT-MIB.
3.
Si la polica el poder est activado, el interruptor vigila el consumo de energa mediante la comparacin de la potencia en
tiempo real
el consumo a la potencia mxima asignada al dispositivo. Para obtener ms informacin acerca de la
consumo mximo de energa, tambin se conoce como la poder de corte, en un puerto PoE, consulte la
"Asignacin mxima potencia (corte de energa) en un puerto PoE" en la pgina 15-11.
Si el dispositivo utiliza ms que la asignacin mxima de potencia en el puerto, el switch puede o giro
la alimentacin del puerto, o el switch puede generar un mensaje de syslog y actualizar los LED (el puerto
LED ahora est parpadeando en mbar) mientras que todava proporciona alimentacin al dispositivo basado en el interruptor
configuracin. Por defecto, la polica power-uso est deshabilitado en todos los puertos PoE.
Si la recuperacin de errores por parte del Estado-error discapacitados PoE est activado, el interruptor de toma
automticamente el PoE
puerto fuera del estado-error discapacitados despus de la cantidad de tiempo especificado.
Si la recuperacin de errores est desactivado, puede manualmente volver a habilitar el puerto PoE mediante el uso de la
apagado y
no shutdown Comandos de configuracin de la interfaz.
4. Si la polica est desactivado, ninguna accin se produce cuando el dispositivo alimentado consume ms que el mximo
asignacin de potencia en el puerto PoE, lo que podra afectar negativamente el interruptor.
Utilice el primer o segundo mtodo en la lista anterior para configurar manualmente el valor de corte de energa por
entrar en el por defecto el consumo de energa en lnea potencia o la alimentacin en lnea [Auto | max esttica]
max-potencia de comandos. Si no configura manualmente el valor de corte de energa, el interruptor
determina automticamente el valor mediante la negociacin de energa CDP. Si el interruptor no se puede determinar la
valor utilizando uno de estos mtodos, se utiliza el valor predeterminado de 15,4 W. Si no configura manualmente
15-11
Captulo 15
Tipos de interfaz
el valor de corte de energa, el interruptor determina automticamente mediante el uso de la negociacin de energa CDP o la
dispositivo IEEE clasificacin y la negociacin de potencia LLDP. Si CDP o LLDP no estn habilitados, el valor por defecto
se aplica valor de 30 W. Sin embargo, sin CDP o LLDP, el interruptor no permitir que los dispositivos consumen
ms de 15,4 W de potencia porque los valores 15400-30000 mW slo se asignan basndose en CDP
o solicitudes de LLDP. Si un dispositivo con alimentacin consume ms de 15.4 W, sin CDP o negociacin LLDP,
el dispositivo podra estar en violacin de la (Imax) limitacin de corriente mxima y podra experimentar un ICut
culparlo por el dibujo ms actual que el mximo. El puerto permanece en el estado de fallo durante un tiempo antes de
intentar encender de nuevo. Si el puerto extrae continuamente ms de 15,4 W, el ciclo se repite.
Nota
Cuando un dispositivo con alimentacin conectada a un puerto PoE + reinicia y enva un paquete CDP o LLDP con una potencia
TLV, los bloqueos de interruptor general segn el protocolo de alimentacin-negociacin de ese primer paquete y no responde a
peticiones de alimentacin de la otro protocolo. Por ejemplo, si el interruptor est bloqueado a CDP, no proporciona
energa a los dispositivos que envan peticiones LLDP. Si CDP est desactivada despus de que el interruptor ha encerrado en l, el
interruptor
no responde a las solicitudes de alimentacin de LLDP y ya no puede encender cualquier accesorio. En este caso,
debe reiniciar el dispositivo alimentado.
Debido a que el interruptor de un independiente apoya la energa interna suppliesand el sistema de alimentacin redundante de Cisco
2300 (tambin conocida como la RPS 2300), la cantidad total de energa disponible para los dispositivos alimentados
vara dependiendo de la configuracin de fuente de alimentacin.
Si se elimina una fuente de alimentacin y se sustituye por una nueva fuente de alimentacin con menos potencia y el
interruptor
no tiene suficiente energa para los dispositivos con alimentacin, el interruptor niega el poder a los puertos PoE en
modo automtico con el fin de los nmeros de puerto descendente. Si el interruptor todava no tiene el poder suficiente,
el interruptor y luego niega el poder a los puertos PoE en modo esttico con el fin de los nmeros de puerto descendente.
15-12
OL-29703-01
Captulo 15
Tipos de interfaz
Si la nueva fuente de alimentacin es compatible con ms potencia que el anterior y el interruptor tiene ahora ms
potencia disponible, el interruptor otorga poder a los puertos PoE en modo esttico en orden ascendente de la
nmeros de puerto. Si todava tiene potencia disponible, el interruptor entonces otorga el poder a los puertos PoE en auto
modo en el orden ascendente de los nmeros de puerto.
El switch apilable 3750-X Catalizador tambin soporta StackPower, que permite a las fuentes de alimentacin para compartir
la carga a travs de mltiples sistemas en una pila conectando los interruptores con cables de pila de energa. Usted puede
gestionar colectivamente las fuentes de alimentacin de hasta cuatro miembros de la pila como una gran potencia de suministro para
ms informacin sobre StackPower, consulte Captulo 9, "Configuracin de Catalyst 3750-X StackPower."
Nota
Conexin Interfaces
Dispositivos dentro de una nica VLAN pueden comunicarse directamente a travs de cualquier conmutador. Los puertos en
diferentes redes VLAN
no pueden intercambiar datos sin tener que pasar a travs de un dispositivo de enrutamiento. Con un interruptor estndar de capa 2,
puertos en
diferentes VLANs tienen que intercambiar informacin a travs de un router. Al utilizar el interruptor con el enrutamiento
permitido, al configurar tanto VLAN 20 y VLAN 30 con un SVI a la que una direccin IP es
asignada, los paquetes pueden ser enviados desde el host A al host B directamente a travs del interruptor sin necesidad de un
router externo (Figura 15-1).
15-13
Captulo 15
Figura 15-1
172.20.128.1
SVI 1
SVI 2
Host A
172.20.129.1
Host B
101350
VLAN 20
VLAN 30
Cuando el conjunto de caractersticas de servicios IP se est ejecutando en el interruptor o el interruptor activo, el conmutador utiliza
dos
mtodos que transmitan trfico entre interfaces: enrutamiento y repliegue de puente. Si el conjunto de funciones de base IP es
en el interruptor o el interruptor activo, slo enrutamiento bsico (enrutamiento esttico y RIP) es compatible. Siempre
posible, para mantener un alto rendimiento, el reenvo se realiza por el hardware del switch. Sin embargo, slo IPv4
paquetes con encapsulacin Ethernet II se encaminan en hardware. Trfico IP no y el trfico con otros
mtodos de encapsulacin se fallback-puenteados por el hardware.
Nota
La funcin de enrutamiento se puede habilitar en todos los SVI y puertos enrutados. Las rutas de conmutacin slo el trfico
IP.
Cuando se agregan los parmetros del protocolo de enrutamiento IP y configuracin de la direccin a un SVI o puerto enrutado,
cualquier trfico IP se obtenga de estos puertos se encamina. Para obtener ms informacin, consulte Captulo 45,
"Configuracin de IP Unicast Routing", Captulo 53, "Configuracin de IP Multicast Routing" y
Captulo 54, "Configuracin de MSDP."
Repliegue de puente reenva el trfico que el interruptor no encamina o trfico que pertenece a un nonroutable
protocolo, como DECnet. Puente de retorno se conecta varias VLAN en un dominio puente
puente entre dos o ms SVI o puertos enrutados. En la configuracin de repliegue de puente, se asigna
SVI o puertos con enrutamiento para salvar grupos con cada SVI o puerto enrutado asignados a un solo puente
grupo. Todas las interfaces del mismo grupo pertenecen al mismo dominio de puente. Para obtener ms informacin,
ver Captulo 55, "Configuracin de repliegue de correspondencia."
Interruptores que funcionan con el apoyo conjunto de funciones LAN Base configurar slo 16 rutas estticas en SVI. Repliegue
puente no es compatible con el conjunto de funciones LAN Base.
15-14
OL-29703-01
Captulo 15
Nota
PCs con Windows requieren un conductor para el puerto USB. Consulte la gua de instalacin de hardware para el
conductor
instrucciones de instalacin.
Utilice el cable suministrado USB tipo A a mini USB tipo B para conectar un PC u otro dispositivo al switch.
El dispositivo conectado debe incluir una aplicacin de emulacin de terminal. Cuando el interruptor detecta una vlida
Conexin USB a un dispositivo alimentado por el que soporta la funcionalidad de host (como un PC), el aporte de la
RJ-45 de la consola se desactiva de inmediato, y la entrada de la consola USB est activado. Extraccin de la USB
conexin vuelve a habilitar de inmediato la entrada de la conexin de consola RJ-45. Un LED en el interruptor
muestra que la consola de conexin est en uso.
Se puede configurar el tipo de consola para estar siempre RJ-45, y se puede configurar un tiempo de espera de inactividad para
el conector USB.
Propsito
Paso 1
configure terminal
Paso 2
lnea de la consola 0
Paso 3
Paso 4
fin
15-15
Captulo 15
Comando
Propsito
Paso 5
show running-configuracin
Verifica la configuracin.
Paso 6
En este ejemplo se deshabilita la consola tipo de soporte USB y permite que el RJ-45 tipo de soporte de la consola:
Switch # configure terminal
Switch (config) # lnea de la consola 0
Switch (config-line) # -tipo de medio rj45
Esta configuracin termina inmediatamente cualquier consolas USB activos de la pila. Un registro muestra que esta
se ha producido la terminacin. Este registro muestra indica que la consola en el conmutador 1 volvi a RJ-45.
* 01 de marzo 00: 25: 36,860:% USB_CONSOLE-6-CONFIG_DISABLE: Consola de tipo medio USB desactivada por
configuracin del sistema, del tipo de soporte volvi a RJ45.
En este punto no hay interruptores en la pila de permitir una consola USB para tener entrada. Una entrada de registro muestra
cuando un
cable de la consola est conectada. Si un cable de consola USB est conectado al interruptor 2, se pueda prestar
de entrada.
* 01 de marzo 00: 34: 27,498:% USB_CONSOLE-6-CONFIG_DISALLOW: Consola de tipo medio USB no est permitido
por la configuracin del sistema, del tipo de soporte permanece RJ45. (Interruptor-stk-2)
En este ejemplo se invierte la configuracin anterior e inmediatamente se activa cualquier consola USB que es
conectado.
Switch # configure terminal
Switch (config) # lnea de la consola 0
Switch (config-line) # ningn tipo de medios rj45
El tiempo de espera de inactividad configurable reactiva la consola RJ-45 si la consola USB est activada pero no
actividad de entrada se produce en l durante un perodo de tiempo especificado. Cuando la consola USB est desactivado debido a
un
tiempo de espera, usted puede restaurar su funcionamiento desconectando y volviendo a conectar el cable USB.
Nota
El tiempo de espera de inactividad configurado se aplica a todos los conmutadores en una pila. Sin embargo, un tiempo de espera
en un interruptor
hace no causar un tiempo de espera en otros switches en la pila.
Para configurar un tiempo de espera de inactividad, siga estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
lnea de la consola 0
Paso 4
Paso 5
Paso 3
15-16
OL-29703-01
Captulo 15
Si no hay (entrada) la actividad en una consola USB para el nmero configurado de minutos, la consola vuelve
a RJ-45, y un registro muestra esta ocurrencia:
* 01 de marzo 00: 47: 25,625:% USB_CONSOLE-6-INACTIVITY_DISABLE: Consola de tipo medio USB desactivado
debido a la inactividad, de tipo multimedia volvi a RJ45.
En este punto, la nica forma de reactivar la consola USB es desconectar y volver a conectar el cable.
Cuando el cable USB en el interruptor se ha desconectado y vuelto a conectar, un registro similar a esto aparece:
* Mar
Para permitir el arranque desde el dispositivo flash USB, siga estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
show running-configuracin
Verifica la configuracin.
Paso 4
Para obtener informacin sobre el dispositivo USB, utilice el espectculo usb {controladores | dispositivo |conductor |puerto |rbol}
comando EXEC privilegiado.
En este ejemplo se configura el conmutador de arranque desde el dispositivo flash de Catalyst 3750-X. La imagen es la
Catalyst 3750-X imagen universal.
Switch # configure terminal
Switch (config) # boot flash del sistema usbflash0: C3750X-universal-mz
15-17
Captulo 15
Dispositivo configurado: SI
Dispositivo admitido: s
Descripcin: 1GB USB STEC
Fabricante: STEC
Versin: 1.0
Nmero de serie: STI 3D508232204731
Mango de dispositivo: 0x1010000
Versin USB Cumplimiento: 2.0
Cdigo de clase: 0x0
Cdigo Subclase: 0x0
Protocolo: 0x0
Vendor ID: 0x136b
Identificacin del producto: 0x918
Max. Tamao de paquete de Punto Cero: 64
No. de configuraciones: 1
Velocidad: alta
Configuracin seleccionada: 1
Interfaz Seleccionado: 0
Configuracin:
Nmero: 1
Nmero de Interfaces: 1
Descripcin: Almacenamiento
Atributos: Ninguno
Potencia mxima: 200 mA
Interfaz:
Nmero: 0
Descripcin: Bulk
Cdigo de clase: 8
Subclase: 6
Protocolo: 80
Nmero de puntos finales: 2
Punto final:
Nmero: 1
Tipo Traslado: GRANEL
Direccin de Transferencia: Device acoger
Paquete Max: 512
Intervalo: 0
Punto final:
Nmero: 2
Tipo Traslado: GRANEL
Direccin de Transferencia: Host to Device
Paquete Max: 512
Intervalo: 0
15-18
OL-29703-01
Captulo 15
Tambin puede configurar un rango de interfaces (vase el "Configuracin de una gama de interfaces" en la
pgina 15-20).
Para configurar una interfaz fsica (puerto), especificar el tipo de interfaz, apilar nmero de socio (slo
Catalyst 3750-E 3750-X switches), nmero de mdulo, y cambiar el nmero de puerto, y entrar en la interfaz
modo de configuracin.
Pila nmero-El miembro nmero que identifica el interruptor dentro de la pila. El nmero de interruptor
intervalo es de 1 a 9 y se asigna la primera vez que el interruptor se inicializa. El nmero de interruptor por defecto, antes de
se integra en una pila de switches, es 1. Cuando un interruptor se ha asignado un nmero de miembro de la pila,
que mantiene ese nmero hasta que otro se le asigna a la misma.
Puede utilizar los LEDs de puertos de conmutacin en el modo Stack para identificar el nmero de miembro de la pila de un
interruptor.
Para obtener informacin sobre los nmeros de miembro de la pila, consulte la Seccin "Nmeros Pila miembros" en la
pgina 5-7.
Nmero-El nmero de interfaz de puerto en el conmutador. Los nmeros de puerto 10/100/1000 siempre comienzan
en 1, comenzando con el puerto de extremo izquierdo cuando se enfrenta a la parte delantera del interruptor, por ejemplo,
GigabitEthernet1 / 0/1 o GigabitEthernet1 / 0/8.
En un conmutador con puertos 10/100/1000 y Cisco mdulos conversores TwinGig en el 10-Gigabit
Ranuras para mdulos Ethernet, los nmeros de puerto se reinician con los puertos Ethernet de 10-Gigabit:
tengigabitethernet1 / 0/1.
En un conmutador con puertos 10/100/1000 y mdulos convertidores X2 dual SFP Cisco en el 10-Gigabit
Ranuras para mdulos Ethernet, los puertos del mdulo SFP se numeran consecutivamente siguiendo el 10/100/1000
interfaces. Por ejemplo, si el switch tiene 24 puertos 10/100/1000, los puertos del mdulo SFP son
GigabitEthernet1 / 0/25 a travs GigabitEthernet1 / 0/28.
Puede identificar las interfaces fsicas marcando fsicamente la ubicacin de interfaz en el interruptor. Usted puede
tambin utilizar el espectculo comandos EXEC privilegiado para mostrar informacin sobre una interfaz especfica o todas
las interfaces del switch. El resto de este captulo se proporciona principalmente interfaz fsica
procedimientos de configuracin.
Estos son ejemplos de cmo identificar las interfaces de un 3750-E interruptor 3750-X Catalizador:
Para configurar 10-Gigabit Ethernet 1 puerto en un switch independiente, introduzca este comando:
Switch (config) # interfaz tengigabitethernet1 / 0/1
Para configurar 10-Gigabit Ethernet de puerto en miembro de la pila 3, escriba este comando:
Switch (config) # interfaz tengigabitethernet3 / 0/1
15-19
Captulo 15
Si el interruptor tiene mdulos SFP, los nmeros de puerto continuar consecutivamente. Para configurar el primer SFP
puerto del mdulo en miembro de la pila 1 con 16 puertos 10/100/1000, introduzca este comando:
Switch (config) # interfaz GigabitEthernet1 / 0/25
Paso 2
Introduzca el interfaz comando de configuracin global. Identificar el tipo de interfaz, el nmero de interruptor (slo
en Catalyst 3750-E 3750-X conmutadores), y el nmero del conector. En este ejemplo, Gigabit Ethernet
puerto 1 en el conmutador 1 se selecciona:
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) #
Nota
Paso 3
No es necesario agregar un espacio entre el tipo de interfaz y el nmero de interfaz. Por ejemplo,
en la lnea anterior, puede especificar gigabitethernet 1/0/1, GigabitEthernet1 / 0/1,
gi 1/0/1, o gi1 / 0/1.
Siga cada interfaz comando con la configuracin de la interfaz de comandos que la interfaz requiere.
Los comandos que se introducen definen los protocolos y aplicaciones que se ejecutarn en la interfaz. El
comandos se recogen y se aplican a la interfaz cuando se introduce otro comando interfaz o introducir
fin para regresar al modo EXEC privilegiado.
Tambin puede configurar un rango de interfaces utilizando el interface range o interface range macro
comandos de configuracin global. Interfaces configuradas en un rango deben ser del mismo tipo y deben ser
configurado con las mismas opciones de funciones.
Paso 4
Despus de configurar una interfaz, verificar su estado mediante la espectculo comandos EXEC privilegiados enumeran
en el Seccin "Supervisin y mantenimiento de las interfaces" en la pgina 15-51.
Introduzca el show interfaces comando privilegiado EXEC para ver una lista de todas las interfaces o configurada para
el interruptor. Se emite un informe para cada interfaz que admite el dispositivo o para la interfaz especificada.
15-20
OL-29703-01
Captulo 15
Para configurar una serie de interfaces con los mismos parmetros, siga estos pasos a partir de privilegio
Modo EXEC:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
Paso 6
Cuando se utiliza el interface range comando de configuracin global, tenga en cuenta estas pautas:
0.
-miembro de la pila tengigabitethernet / mdulo / {primero puerto} - {ltima puerto}, donde el mdulo es
siempre 0.
-puerto-canal port-channel nmero- -port-channel nmero-, donde el port-channel nmero-
es de 1 a 48.
Nota
Cuando se utiliza el interface range comando con canales de puerto, la primera y ltima
nmero de puerto-canal debe ser canales portuarios activos.
15-21
Captulo 15
Debe agregar un espacio entre el primer nmero de la interfaz y el guin cuando se utiliza el
interface range de comandos. Por ejemplo, el comando gama interfaz GigabitEthernet1 / 0 / 1-4 es
un rango vlido; el comando gama interfaz GigabitEthernet1 / 0 / 1-4 no es un rango vlido.
El interface range comando slo funciona con las interfaces de VLAN que se han configurado con
la interfaz vlan de comandos. El show running-config comando muestra Privileged Exec los
interfaces VLAN configuradas. VLAN no realiza operaciones de interfaz est representada por el show running-config
comando no puede utilizarse con la interface range de comandos.
Todas las interfaces definidas en un rango deben ser del mismo tipo (todos los puertos Gigabit Ethernet, todos de 10 Gigabit
Puertos Ethernet, todos los puertos EtherChannel, o todas las VLAN), pero puede introducir varios rangos en una
de comandos.
Este ejemplo muestra cmo utilizar el interface range comando de configuracin global para configurar la velocidad de
100 Mb / s en los puertos 1 a 4 en el interruptor 1:
Switch # configure terminal
Switch (config) # gama interfaz GigabitEthernet1 / 0 / 1-4
Switch (config-if-range) # Velocidad 100
Este ejemplo muestra cmo utilizar una coma para aadir diferentes series de tipo de interfaz a la gama para permitir
Puertos Ethernet Gigabit de 1 a 3 y 10-Gigabit puertos Ethernet 1 y 2 para recibir tramas de pausa de control de flujo:
Switch # configure terminal
Switch (config) # gama interfaz GigabitEthernet1 / 0/1 - 3, tengigabitethernet1 / 0/1 - 2
Switch (config-if-range) # FlowControl recibir en
Si introduce varios comandos de configuracin mientras est en el modo de interfaz de gama, cada comando es
ejecutado como se incorpora. Las rdenes no se procesan por lotes y se ejecutan despus de salir de la interfaz de rango
de modo. Si sale del modo de configuracin de interfaz de gama, mientras que los comandos estn siendo ejecutados, algunos
comandos no podra ser ejecutada en todas las interfaces de la gama. Espere hasta que el smbolo del sistema
reaparece antes de salir del modo de configuracin de interfaz de rango.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Una macro puede contener hasta cinco rangos de interfaz separados por comas.
Selecciona el rango de la interfaz para ser configurado con los valores guardados en
la interfaz macro-gama llamada macro_name.
Ahora puede utilizar los comandos de configuracin normales para aplicar el
configuracin de todas las interfaces del macro definida.
Paso 4
fin
15-22
OL-29703-01
Captulo 15
Comando
Propsito
Paso 5
Paso 6
Utilice el sin definir interfaz gama macro_name comando de configuracin global para eliminar un macro.
Cuando se utiliza el definir interfaz gama comando de configuracin global, tenga en cuenta estas pautas:
siempre 0
-puerto-canal port-channel nmero- -port-channel nmero-, donde el port-channel nmero-
es de 1 a 48.
Nota
Cuando utiliza los rangos de interfaz con canales de puerto, el primero y el ltimo canal de puertos
nmero debe ser canales de puertos activos.
Debe agregar un espacio entre el primer nmero de la interfaz y el guin al introducir una
interfaz de gama. Por ejemplo, GigabitEthernet1 / 0 / de 1 - 4 es un rango vlido; GigabitEthernet1 / 0 / 1-4 es
no es un rango vlido.
Las interfaces VLAN deben haberse configurado con el interfaz vlan de comandos. El espectculo
running-config comando EXEC privilegiado muestra las interfaces VLAN configuradas. VLAN
las interfaces no se muestran por el show running-config comando no puede utilizarse como interfaz-rangos.
Todas las interfaces definidas como en un rango deben ser del mismo tipo (todos los puertos Gigabit Ethernet, todos de 10
Gigabit
Puertos Ethernet, todos los puertos EtherChannel, o todas las VLAN), pero usted puede combinar varios tipos de interfaz
en una macro.
Este ejemplo muestra cmo definir un rango interfaz llamada enet_list para incluir los puertos 1 y 2 en
interruptor 1 y verificar la configuracin macro:
Switch # configure terminal
Switch (config) # definir la interfaz de gama enet_list GigabitEthernet1 / 0/1 - 2
Switch (config) # fin
Switch # show running-config | Incluye definir
definir la interfaz de gama enet_list GigabitEthernet1 / 0/1 - 2
15-23
Captulo 15
Este ejemplo muestra cmo crear una macro-mltiple interfaz llamada macro1:
Switch # configure terminal
Switch (config) # definir la interfaz de gama macro1 GigabitEthernet1 / 0/1 - 2,
GigabitEthernet1 / 0 / 5-7, tengigabitethernet1 / 0/1 -2
Switch (config) # fin
Este ejemplo muestra cmo acceder al modo de configuracin de interfaz de rango para el alcance de interfaz
macro enet_list:
Switch # configure terminal
Switch (config) # interface range macro enet_list
Switch (config-if-range) #
Este ejemplo muestra cmo eliminar la macro interfaz alcance enet_list y para comprobar que se ha eliminado.
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # sin definir interfaz gama enet_list
(config) # fin
# show run | Incluye definir
#
15-24
OL-29703-01
Captulo 15
Para un Catalyst 3560-E switch Catalyst 3560-X o un catalizador independiente 3750-E Catalizador interruptor 3750-X,
conectar el puerto de gestin Ethernet al PC como se muestra en Figura 15-2.
Figura 15-2
Conexin de un interruptor a un PC
Cambiar
Ethernet
gestin
puerto
PC
Red
puertos
Red
nube
157549
En una pila con slo Catalyst 3750-X o switches Catalyst 3750-E, todos los puertos de gestin Ethernet sobre
los miembros de la pila estn conectados a un concentrador al que est conectado el PC. El enlace activo es de la
Puerto de administracin de Ethernet en el switch activa a travs del cubo de la PC. Si el interruptor activo falla y
un nuevo interruptor activa es elegido, el enlace activo es ahora desde el puerto de administracin de Ethernet en la nueva
interruptor activa a la PC. Ver Figura 15-3.
En una pila de switches Catalyst 3750 mezclado con interruptores, slo el Catalyst 3750-E y Catalyst 3750- X
miembros de la pila se conectan a la PC a travs de los puertos de administracin Ethernet. El enlace activo es de
el interruptor activo, un Catalyst 3750-E o catalizador 3750- interruptor de X a la PC. Si el interruptor activo falla y
el interruptor activo elegido no es un Catalyst 3750-E o Catalizador 3750- interruptor X (interruptor 2), el enlace activo
puede ser de un miembro de la pila a la PC.
Figura 15-3
Miembro de la pila 1
Miembro de la pila 2
Miembro de la pila 3
Hub
PC
Miembro de la pila 4
Miembro de la pila 5
Miembro de la pila 6
Miembro de la pila 7
De forma predeterminada, el puerto de administracin Ethernet est habilitada. El interruptor no pueden enrutar paquetes desde la
red Ethernet
Puerto de administracin a un puerto de red, y al revs.
A pesar de que el puerto de administracin de Ethernet no soporta enrutamiento, puede que tenga que habilitar el enrutamiento
protocolos sobre el puerto (vase Figura 15-4). Por ejemplo, en Figura 15-4, debe habilitar los protocolos de enrutamiento
en el puerto de administracin de Ethernet cuando el PC est varios saltos de distancia del interruptor y los paquetes
debe pasar a travs de mltiples dispositivos de Capa 3 para llegar a la PC.
15-25
Captulo 15
Figura 15-4
Cambiar
Ethernet
gestin
puerto
PC
Red
nube
Red
nube
Red
puertos
157551
En Figura 15-4, si el puerto de administracin de Ethernet y los puertos de red estn asociados con la misma
proceso de enrutamiento, las rutas se propagan como sigue:
Las rutas desde el puerto de administracin de Ethernet se propagan a travs de los puertos de red a la
red.
Las rutas de los puertos de red se propagan a travs del puerto de gestin Ethernet al
red.
Puesto que el enrutamiento no est soportado entre el puerto de administracin de Ethernet y los puertos de red, el trfico
entre estos puertos no pueden ser enviados o recibidos. Si esto sucede, los bucles de paquetes de datos se producen entre el
puertos, que perturben el funcionamiento del interruptor y de la red. Para evitar los bucles, configurar filtros de rutas para
evitar las rutas entre el puerto de administracin de Ethernet y los puertos de red.
Network Assistant
TFTP
De ping IP
Caractersticas de la interfaz
-Speed-10 Mb / s, 100 Mb / s, y la negociacin automtica
-Duplex modo completo, la mitad, y la negociacin automtica
-La deteccin de bucle invertido
15-26
OL-29703-01
Captulo 15
Precaucin Antes de habilitar una caracterstica en el puerto de administracin de Ethernet, asegrese de que la funcin es compatible. Si
intenta configurar una funcin no compatible en el puerto de gestin Ethernet, la funcin puede no funcionar
adecuadamente, y el interruptor puede fallar.
Comando
Descripcin
arp [Direccin_ip]
mgmt_clr
mgmt_init
mgmt_show
de ping host_IP_address
15-27
Captulo 15
Configuracin de interfaces
Ethernet Estas secciones contienen esta informacin de configuracin:
Presupuesto de alimentacin para los dispositivos conectados a un puerto PoE, pgina 1535
Configuracin de Power Vigilancia, pgina 15-36
Nota
Tabla 15-3
Para configurar los parmetros de nivel 2, si la interfaz est en modo de capa 3, se debe introducir el switchport
comando de configuracin de interfaz sin ningn parmetro para poner la interfaz en modo de capa 2. Este
apaga la interfaz y luego vuelve a habilitar, lo que podra generar mensajes en el dispositivo para que
la interfaz se conecta. Cuando usted pone una interfaz que est en el modo de capa 3 en el modo de capa 2, el
informacin de configuracin anterior relacionado con la interfaz de afectados podra perderse, y la interfaz es
devuelto a su configuracin predeterminada.
Caracterstica
Modo de funcionamiento
VLAN 1-4094.
VLAN trunking
Switchport mode auto dinmico (compatible con DTP) (Capa slo 2 interfaces).
Define Ninguno.
Velocidad
Modo Dplex
Control de flujo
El control de flujo se establece en recibir: off. Siempre es fuera de los paquetes enviados.
EtherChannel (PAgP)
Deshabilitado en todos los puertos Ethernet. Ver Captulo 43, "Configuracin de EtherChannels y
Link-Estado de seguimiento ".
15-28
OL-29703-01
Captulo 15
Tabla 15-3
Caracterstica
El bloqueo de puertos (multidifusin desconocida y Movilidad (no bloqueado) (Capa 2 slo interfaces). Consulte la "Puerto Configuracin
trfico unicast desconocido)
Seccin de bloqueo "en la pgina 32-7.
Broadcast, Multicast y unicast tormenta
el control
Desactivado. Consulte la En la pgina 32-3 "Configuracin del control de tormentas por defecto".
Puerto Protegida
La seguridad portuaria
Fast Port
Auto-MDIX
Habilitado.
Nota
Habilitado (automtico).
Los puertos 10-Gigabit Ethernet no son compatibles con las caractersticas de velocidad y dplex. Estos puertos funcionan
slo a 10.000 Mb / s, y en modo full-duplex.
Gigabit Ethernet (10/100/1000 Mb / s) puertos son compatibles con todas las opciones de velocidad y todas las opciones de
impresin (auto,
medio y completo). Sin embargo, los puertos Gigabit Ethernet que funcionan a 1000 Mb / s no son compatibles con half-duplex
de modo.
Por puertos del mdulo SFP, las opciones de velocidad y CLI duplex cambian dependiendo del tipo de mdulo SFP:
-El-x 1000BASE (donde -x es -BX, -CWDM, -LX, -SX, y ZX) SFP puertos del mdulo de apoyo
la nonegotiate palabra clave en el Velocidad comando de configuracin de interfaz. Opciones Dplex no son
apoyado.
15-29
Captulo 15
-Los puertos del mdulo 1000BASE-T SFP admiten las mismas opciones de velocidad y dplex como el
Puertos 10/100/1000 Mb / s.
Para obtener informacin sobre qu mdulos SFP son compatibles con el conmutador, consulte la versin del producto
notas.
Si ambos extremos de la negociacin automtica soporte de la lnea, es muy recomendable el ajuste predeterminado de auto
negociacin.
Si una interfaz admite la negociacin automtica y el otro extremo no es as, configurar dplex y la velocidad en
ambas interfaces; no utilice el auto ajuste en el lado apoyado.
Cuando se activa el STP y un puerto se reconfigura, el interruptor puede tardar hasta 30 segundos para verificar si hay
bucles. El LED de puerto es de color mbar mientras STP reconfigura.
Precaucin Cambio de la velocidad de la interfaz y la configuracin del modo dplex puede apagar y volver a habilitar el
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Ingrese 10, 100, o 1000 para ajustar una velocidad especfica para la interfaz.
El 1000 palabra clave slo est disponible para 10/100/1000 Mb / s puertos.
El nonegotiate palabra clave slo est disponible para los puertos del mdulo SFP.
Puertos del mdulo SFP operan slo a 1000 Mb / s, pero puede ser
configurado para no negociar si est conectado a un dispositivo que no hace
autonegociacin apoyo.
15-30
OL-29703-01
Captulo 15
Paso 4
Comando
Propsito
Paso 5
Paso 6
Paso 7
fin
show interfaces interface-id
copy running-config startup-config
Utilice el velocidad sin y no duplex Comandos de configuracin de interfaz para devolver la interfaz con el defecto
Velocidad y modo dplex (autonegotiate). Para devolver todos los ajustes de la interfaz a los valores predeterminados, utilice el por
defecto
interfaz interface-id comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar la velocidad de interfaz de hasta 100 Mb / s, y el modo dplex a la mitad en un
10/100/1000 Mb / s de puerto:
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/3
(config-if) # Velocidad 10
(config-if) # half duplex
Este ejemplo muestra cmo configurar la velocidad de interfaz de hasta 100 Mb / s en un s / puerto 10/100/1000 Mb:
Switch # configure terminal
Switch (config) # interfaz GigabitEthernet1 / 0/2
Switch (config-if) # Velocidad 100
Nota
Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X puertos pueden recibir pero no enviar, hacer una pausa en los marcos.
Se utiliza el flowcontrol comando de configuracin de interfaz para ajustar la capacidad de la interfaz para recibir pausa
marcos a encendido, apagado, o deseada. El estado por defecto es apagado.
15-31
Captulo 15
Cuando se establece en deseada, Una interfaz puede operar con un dispositivo conectado que se requiere para enviar
paquetes de control de flujo o con un dispositivo conectado que no est obligado a, pero puede enviar paquetes de control de flujo.
Estas reglas se aplican a la configuracin de control de flujo en el
dispositivo:
recibir en (O deseada): El puerto no puede enviar tramas de pausa, pero puede funcionar con un dispositivo conectado
lo que se requiere o puede enviar tramas de pausa; el puerto puede recibir tramas de pausa.
Nota
recibir off: El control de flujo no funciona en cualquier direccin. En caso de congestin, es ninguna indicacin
dados al interlocutor de enlace, y no hay tramas de pausa son enviados o recibidos por cualquiera de los dispositivos.
Para obtener detalles sobre los ajustes de los comandos y la resolucin de control de flujo resultante en los puertos locales y remotos,
ver el flowcontrol comando de configuracin de interfaz en la referencia de comandos para esta versin.
Para configurar el control de flujo en una interfaz, siga estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para desactivar el control de flujo, utilice el FlowControl recibir off comando de configuracin de interfaz.
Este ejemplo muestra la forma de encender el control de flujo en un puerto:
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # FlowControl recibir en
(config-if) # fin
15-32
OL-29703-01
Captulo 15
Tabla 15-4 muestra los estados de los enlaces que se derivan de la configuracin de auto-MDIX y el cableado correcto e incorrecto.
Tabla 15-4
En
En
Vincularse
Vincularse
En
Off
Vincularse
Vincularse
Off
En
Vincularse
Vincularse
Off
Off
Vincularse
Link Down
Para configurar auto-MDIX en una interfaz, siga estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
automvil de la
velocidad
automtica a doble cara
Paso 5
MDIX automtico
Paso 6
fin
Paso 7
Paso 8
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # automvil de la velocidad
(config-if) # automtica a doble cara
(config-if) # MDIX automtico
(config-if) # fin
15-33
Captulo 15
Nota
Cuando se realizan cambios de configuracin PoE, el puerto est configurado gotas poder. Dependiendo de la
nueva configuracin, el estado de los otros puertos PoE, y el estado de la provisin de energa, el puerto no pueden
encenderse de nuevo. Por ejemplo, el puerto 1 est en el auto y en el estado, y lo configura para el modo esttico.
El interruptor corta la alimentacin del puerto 1, detecta el dispositivo con alimentacin, y repowers el puerto. Si el puerto 1 es
en el auto y en el estado y lo configura con una potencia mxima de 10 W, el interruptor se desconecta la energa
desde el puerto y luego vuelve a detectar el dispositivo alimentado. El interruptor repowers el puerto slo si la potencia
dispositivo es una clase 1, clase 2, o un dispositivo de Cisco slo potencia.
Para configurar un modo de administracin de energa en un puerto PoE-capaz, siga estos pasos que comienzan en la privilegiada
Modo EXEC:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
alimentacin en lnea {Auto [max max-potencia] | Configura el modo de PoE en el puerto. Las palabras clave tienen estos
nunca |esttica [Max max-potencia]}
significados:
Nota
fin
Paso 5
Paso 6
Para obtener informacin acerca de la salida de la mostrar alimentacin en lnea comando EXEC usuario, consulte el comando
referencia para esta versin. Para obtener ms informacin acerca de los comandos relacionados con PoE, consulte la "Solucin de
problemas
Alimentacin a travs de Ethernet seccin Puertos de conmutacin "en la pgina 56-13. Para obtener informacin sobre la
configuracin de voz
VLAN, consulte Captulo 18, "Configuracin de VLAN de voz."
15-34
OL-29703-01
Captulo 15
Precaucin Usted debe planear cuidadosamente su presupuesto de alimentacin de conmutacin, activar la funcin de supervisin de la
energa, y hacer
seguro que no sobresuscripcin la fuente de alimentacin.
Nota
Al configurar manualmente el balance de potencia, tambin debe considerar la prdida de energa a travs del cable
entre el interruptor y el dispositivo accionado.
Al entrar en el por defecto el consumo de energa en lnea potencia o la sin consumo de energa en lnea
por defecto comando de configuracin global o la el consumo de energa en lnea potencia o la ningn poder
el consumo en lnea comando de configuracin de interfaz, aparece este mensaje de advertencia:
% PRECAUCIN: Interfaz Gi1 / 0/1: desconfiguracin del "consumo de energa en lnea / asignacin"
comando puede causar daos en el interruptor y anular la garanta. Tome precauciones para no
sobresuscripcin la fuente de alimentacin.
Se recomienda activar la vigilancia elctrica si el interruptor soporta.
Consulte la documentacin.
Para obtener ms informacin acerca de las clasificaciones de potencia IEEE, vase el Seccin "Alimentacin a travs de puertos
Ethernet"
en la pgina 15-7.
Para configurar la cantidad de energa presupuestado a un dispositivo de alimentacin elctrica conectado a cada puerto PoE en un
switch,
sigue estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
no cdp run
Paso 3
Paso 4
fin
15-35
Captulo 15
Comando
Propsito
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el ningn poder en lnea por omisin consumo configuracin global
de comandos.
Para configurar cantidad de energa presupuestado a un dispositivo alimentado a travs de un puerto PoE especfica, siga
estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
no cdp run
Paso 3
interfaz interface-id
Paso 4
Paso 5
Paso 6
fin
Paso 7
Paso 8
Para volver a la configuracin por defecto, utilice el sin consumo de energa en lnea comando de configuracin de interfaz.
Para obtener informacin acerca de la salida de la muestran el consumo de alimentacin en lnea comando EXEC privilegiado,
vase la referencia de comandos para esta versin.
Configuracin de Polica de
energa
Por defecto, el interruptor controla el consumo de energa en tiempo real de los dispositivos alimentados conectados. Usted
puede configurar el conmutador para vigilar el uso de energa. Por defecto, la polica est deshabilitado.
15-36
OL-29703-01
Captulo 15
Para obtener ms informacin sobre el valor de la potencia de corte, los valores de consumo de energa que utiliza el interruptor,
y el valor de consumo de energa real del dispositivo conectado, consulte el "Monitoreo de Energa y Potencia
"Seccin de los" Policing Configuracin de las caractersticas de la interfaz "captulo de la configuracin del software
gua para esta versin.
Para permitir la vigilancia del consumo de energa en tiempo real de un dispositivo con alimentacin conectado a un puerto PoE,
siga
estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Nota
Salida
Paso 5
(Opcional) Permite la recuperacin de errores por parte del Estado-error discapacitados PoE, y
configura el PoE recuperar variables de mecanismo.
y
errdisable causa de recuperacin en lnea-potencia
y
Salida
Paso 7
Para desactivar la vigilancia del consumo de energa en tiempo real, utilice el no hay polica alimentacin en lnea interfaz
comando de configuracin. Para desactivar la recuperacin de errores para PoE-error discapacitados causa, utilice el no errdisable
causa de recuperacin en lnea-potencia comando de configuracin global.
Para obtener informacin sobre la salida de la mostrar polica alimentacin en lnea comando privilegiado EXEC, consulte
la referencia de comandos para esta versin.
15-37
Captulo 15
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Descripcin string
Paso 4
fin
Paso 5
Paso 6
Utilice el no hay una descripcin comando de configuracin de interfaz para borrar la descripcin.
Este ejemplo muestra cmo agregar una descripcin en un puerto y la forma de verificar la descripcin:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # interfaz GigabitEthernet1 / 0/2
Switch (config-if) # Descripcin Se conecta a la comercializacin
Switch (config-if) # fin
Switch # show interfaces GigabitEthernet1 / 0/2 Descripcin
Interfaz StatusProtocol Descripcin
DowndownConnects Gi1 / 0 / 2admin a la comercializacin
Configuracin de Capa 3
Interfaces
Nota
Layer 3 interfaces no son compatibles con los interruptores que ejecutan el conjunto de funciones LAN Base.
El conmutador es compatible con este tipo de Capa 3 interfaces:
SVI-Configurar SVI para cualquier VLAN para las que desea para enrutar el trfico. SVI se crean cuando
introduce un ID de VLAN siguiendo el interfaz vlan comando de configuracin global. Para eliminar un SVI,
utilizar el no vlan interfaz comando de configuracin global. No se puede eliminar la interfaz VLAN 1.
Nota
Cuando se crea un SVI, no se activa hasta que se asocia con un puerto fsico.
Para obtener informacin acerca de la asignacin de capa 2 puertos a las VLAN, consulte Captulo 16, "Configuracin
de
VLAN ".
15-38
OL-29703-01
Captulo 15
Al configurar SVI, tambin puede configurar SVI autostate excluye en un puerto en el SVI a
excluir a ese puerto se incluya en la determinacin del estado de estado de lnea SVI. Consulte la "Configuracin de SVI
Autostate Excluir "en la pgina 15-40.
Puertos puertos enrutados enrutados son puertos fsicos configurados para estar en el modo de capa 3 mediante el uso de la no
switchport comando de configuracin de interfaz.
Un conmutador de capa 3 pueden tener una direccin IP asignada a cada puerto enrutado y SVI.
No hay un lmite definido para el nmero de SVI y puertos con enrutamiento que se puede configurar en un interruptor o en
una pila interruptor. Sin embargo, la relacin entre el nmero de SVI y puertos con enrutamiento y la
nmero de otras caractersticas que se est configurando podra tener un impacto en el uso de la CPU por hardware
limitaciones. Si el interruptor est utilizando sus recursos mximos de hardware, los intentos de crear un puerto de enrutado o
SVI tiene estos resultados:
Si intenta crear un nuevo puerto enrutado, el interruptor genera un mensaje de que no hay suficientes
recursos para convertir la interfaz a un puerto enrutado, y la interfaz permanece como un puerto de conmutacin.
Si intenta crear una VLAN de rango extendido, se genera un mensaje de error, y el de autonoma extendida
VLAN es rechazada.
Si el interruptor se notifica mediante el protocolo VLAN Trunking (VTP) de una nueva VLAN, enva un mensaje de que
no hay suficientes recursos de hardware disponibles y apaga la VLAN. La salida de la
show vlan comando EXEC usuario muestra la VLAN en un estado de suspensin.
Si el conmutador intenta arrancar con una configuracin que tiene ms VLAN y puertos enrutados que
hardware puede soportar, se crean las VLAN, pero los puertos enrutados se cierran, y el interruptor
enva un mensaje de que esto era debido a la insuficiencia de los recursos de hardware.
Todos Layer 3 interfaces requieren una direccin IP para enrutar el trfico. Este procedimiento muestra cmo configurar una
interfaz como una interfaz de capa 3 y de cmo asignar una direccin IP a una interfaz.
Nota
Si el puerto fsico est en el modo de capa 2 (por defecto), debe introducir la no switchport interfaz
comando de configuracin para poner la interfaz en modo de capa 3. Introduccin de un no switchport comando
desactiva y luego se vuelve a habilitar la interfaz, lo que podra generar mensajes en el dispositivo para el que el
interfaz se conecta. Por otra parte, cuando se pone una interfaz que est en el modo de capa 2 a la capa 3
modo, la informacin de configuracin anterior relacionado con la interfaz de afectados podra perderse, y la
interfaz se devuelve a su configuracin por defecto.
Para configurar una interfaz de capa 3, siga estos pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz {Gigabitethernet interface-id} | {Vlan vlan-id} Especifica la interfaz para ser configurado como una capa 3
| {Port-channel port-channel nmero}interfaz, y entrar en el modo de configuracin de interfaz.
Paso 3
no switchport
Paso 4
Paso 5
no shutdown
Activa la interfaz.
Paso 6
fin
15-39
Captulo 15
Paso 7
Comando
Propsito
Verifica la configuracin.
Para eliminar una direccin IP de una interfaz, utilice el no ip address comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar un puerto como puerto de enrutado y para asignar una direccin IP:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # interfaz GigabitEthernet1 / 0/2
Switch (config-if) # no switchport
Switch (config-if) # direccin IP 192.20.135.21 255.255.255.0
Switch (config-if) # no shutdown
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Verifica la configuracin.
Paso 6
Este ejemplo muestra cmo configurar un acceso o puerto de enlace troncal en un SVI para ser excluido de la lnea de estado
clculo de estado:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL
/ Z.
Switch (config) # interfaz GigabitEthernet1 / 0/2
Switch (config-if) # switchport autostate excluir
Switch (config-if) # Salida
15-40
OL-29703-01
Captulo 15
El sistema de enrutamiento valor MTU se aplica slo a los paquetes enrutados en todos los puertos enrutados del interruptor o
pila de switches. Utilice el enrutamiento mtu sistema bytes comando de configuracin global para especificar el
sistema de enrutamiento valor MTU.
Usted puede entrar en el mtu sistema bytes comando de configuracin global en un Catalyst 3750-E Catalizador
Interruptor 3750-X, pero el comando no tiene efecto en el interruptor. Este comando slo afecta a la
sistema tamao de MTU en puertos Fast Ethernet en Catalyst 3750 miembros de un interruptor de hardware mixto
apilar. En esta pila, puede utilizar la mtu sistema bytes comando de configuracin global en un
Catalizador miembro 3750-E 3750-X para configurar el sistema de tamao de MTU en un Catalyst 3750 miembro.
El mtu sistema, Jumbo MTU sistema, y enrutamiento mtu sistema comandos de configuracin global hacen
no surtir efecto en estos casos:
-Al entrar en el mtu sistema comando en un Catalyst 3750-E 3750-X o 3560-E 3560-X
interruptor
-En una pila mixta al entrar en la jumbo mtu sistema de comandos para los puertos Fast Ethernet
configurado
Nota
Este comando no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
Cuando se utiliza el mtu sistema bytes o jumbo mtu sistema bytes comando para cambiar el sistema
MTU o sistema jumbo tamao de MTU, debe restablecer el interruptor antes de toma la nueva configuracin
efecto. El enrutamiento mtu sistema comando no requiere un reinicio cambio tenga efecto.
El ajuste MTU sistema se guarda en la variable de entorno interruptor en la NVRAM y se convierte en
efectivo cuando el interruptor se vuelve a cargar. A diferencia de la configuracin de enrutamiento MTU sistema, la
configuracin de MTU
que introduzca con el mtu sistema y jumbo mtu sistema comandos no se guardan en el conmutador Cisco
Archivo de configuracin de IOS, incluso si usted entra en el copy running-config startup-config EXEC privilegiado
de comandos. Por lo tanto, si utiliza TFTP para configurar un nuevo switch utilizando una configuracin de copia de seguridad
archivo y desea que el sistema de MTU sea distinta de la predeterminada, debe configurar explcitamente el sistema
mtu y jumbo mtu sistema ajustes en el nuevo interruptor y vuelva a cargar el switch.
En una pila de switches, los valores MTU aplican a los miembros dependen de la configuracin de la pila:
Una pila que consta de slo Catalyst 3750-X, Catalyst 3750-E, o catalizador 3750 interruptores, tambin
referido como un Catalyst 3750-X-solamente, Catalizador de slo 3750-X, o catalizador de slo 3.750 pila
Una pila que consta de Catalyst 3750-X y Catalyst 3750-E cambia o cualquiera de stos y
Catalyst 3750 switches, tambin conocido como una pila de hardware mixto
15-41
Captulo 15
Tabla 15-5 muestra cmo se aplican los valores de MTU dependiendo de la configuracin.
15-42
OL-29703-01
Captulo 15
Tabla 15-5
Configuracin
Catalizador Standalone
3750-X, 3750-E, 3560-X
o 3560-E conmutador o
Catalyst 3750-X-o slo
Catalyst 3750-E-only
pila
1. Si utiliza el mtu sistema bytes comando en un Catalyst 3750-X o miembro 3750-E en una pila de hardware mixto, el ajuste sea efectivo en la Fast Ethernet
puertos de Catalizador 3750 miembros.
2. El sistema de enrutamiento valor MTU es el valor aplicado, no el valor configurado.
El lmite superior del sistema de enrutamiento valor de MTU se basa en la configuracin de la pila interruptor o conmutador
y se refiere tanto al sistema que se aplica actualmente MTU o el jumbo sistema de valores MTU. Para obtener ms
informacin sobre la configuracin de los tamaos de MTU, ver la mtu sistema comando de configuracin global en el
referencia de comandos para esta versin.
Para cambiar el tamao de MTU de paquetes conmutados y enrutados, siga estos pasos que comienzan en la privilegiada
Modo EXEC:
Comando
Propsito
Paso 1
configure terminal
Paso 2
15-43
Captulo 15
Paso 3
Comando
Propsito
Paso 4
Paso 5
fin
Paso 6
Paso 7
recargar
Paso 8
Verifica la configuracin.
Si introduce un valor que est fuera del rango permitido para el tipo especfico de la interfaz, el valor no es
aceptado.
Este ejemplo muestra cmo configurar el tamao mximo de paquete para un puerto Gigabit Ethernet de 7500 bytes:
Switch (config) # mtu sistema jumbo 7500
Switch (config) # Salida
Switch # recargar
Este ejemplo muestra la respuesta cuando se intenta establecer las interfaces Gigabit Ethernet a un rango de salida de
Nmero:
Switch (config) # mtu sistema jumbo 25000
^
% De entrada invlida detectada en el marcador del
"^ '.
15-44
OL-29703-01
Captulo 15
Paso 1
Comando
Propsito
Paso 1
incluyendo el hardware.
-blandos: restablece slo el software del conmutador.
Verifica la configuracin.
Paso 3
El interruptor no admite la ninguna fuente de alimentacin EXEC usuario command.To volver a la configuracin por defecto,
utilizar el fuente de alimentacin interruptor de nmero en de comandos. Para volver a la configuracin por defecto, utilice el poder
suministro interruptor de nmero ranura {A | B}} en comando.
Para obtener ms informacin acerca del uso de la fuente de alimentacin comando EXEC usuario, vea la referencia de comandos
para esta versin.
15-45
Captulo 15
Nota
Los Catalyst 3750-X y 3560-X interruptores no tienen conectores RPS. Estos interruptores pueden ser
conectado a una fuente de alimentacin ampliable-XPS 2200 (no disponible en este momento). El Catalyst 3750-X
cambiar los conectores de alimentacin tambin ha apilar. Ver Captulo 9, "Configuracin de Catalyst 3750-X StackPower" para
informacin sobre la energa de la pila.
Puede configurar y administrar el sistema de alimentacin redundante de Cisco 2300, tambin conocido como el RPS 2300.
Siga estas pautas al configurar el RSP-2300:
En un interruptor de pila, el nombre RPS se aplica a los puertos RPS conectados al conmutador especificado.
Si usted no desea que el RPS 2300 para proporcionar alimentacin a un interruptor, pero no quiere desconectar el
Cable RPS entre el interruptor y el RPS 2300, utilice la rps poder interruptor de nmero puerto rps-puerto-Identificacin
el modo de espera comando EXEC usuario.
Puede configurar la prioridad de un puerto RPS 2300 del 1 al 6 Especificacin de un valor de 1 asigna el
puerto y sus dispositivos conectados, la ms alta prioridad y especificando un valor de 6 asigna el puerto y
sus dispositivos conectados la prioridad ms baja.
Si varios interruptores conectados a la RPS 2300 necesitan el poder, el RPS 2300 proporciona energa al
cambia con la ms alta prioridad. Si el RPS 2300 todava tiene potencia disponible, entonces se puede proporcionar
poder de los interruptores con las prioridades ms bajas.
15-46
OL-29703-01
Captulo 15
Para configurar y administrar el RPS 2300, siga estos pasos que comienzan en el modo EXEC de usuario:
Paso 1
Comando
Propsito
de alimentacin a un
interruptor.
El modo por defecto para los puertos RPS es activo.
Paso 3
rps poder interruptor de nmero puerto rps-puerto-Identificacin prioridad prioridad Establece la prioridad del puerto RPS 2300. El rango es
de 1 a 6, donde 1 es la prioridad ms alta y es 6
la prioridad ms baja.
La prioridad de puerto por defecto es 6.
Paso 4
Verifica la configuracin.
Paso 5
15-47
Captulo 15
Comando
Propsito
Paso 1
configure terminal
Paso 2
xps poder interruptor de nmero Nombre {Nombre | Configura un nombre para el sistema XPS 2200.
serialnumber}
nombre-Ingrese un nombre para el puerto 2000 XPS. El nombre puede tener hasta
20 caracteres.
15-48
OL-29703-01
Captulo 15
Comando
Paso 3
Propsito
xps poder interruptor de nmero puerto {Nombre | Configura un nombre para un puerto XPS 2200 conectado al switch.
nombre de host |serialnumber}
nombre-Ingrese un nombre para el puerto 2000 XPS.
fin
Paso 5
Paso 6
Utilice el no xps poder interruptor de nmero Nombre comando para eliminar el nombre del sistema. Utilice el ningn poder
xps interruptor de nmero puerto comando para eliminar el nombre del puerto.
15-49
Captulo 15
Comando
Paso 1
Propsito
xps poder interruptor de nmero puerto {Nmero Establece el puerto est habilitado o deshabilitado.
|modo conectado} {Deshabilitar | permitir}
nmero-Ingrese el nmero de puerto 2200 XPS. El rango es de 1 a 9.
Nota
xps poder interruptor de nmero puerto {Nmero Define el papel del puerto XPS.
|conectado} papel {Auto | rps}
La funcin de auto- modo de puerto est determinada por el interruptor conectado a
el puerto. Este es el valor predeterminado. Cuando un interruptor 3560-X catalizador o
Catalyst 3750-X interruptor corriendo la imagen base LAN est conectado,
el modo es RPS. Cuando se conecta un switch Catalyst-3750-X, la
modo es poder pila (SP).
funcin RPS-El XPS acta como una copia de seguridad si la fuente de alimentacin del
interruptor
falla. Al menos una fuente de alimentacin RPS debe estar en modo RPS para este
configuracin.
El interruptor de nmero aparece slo en el Catalyst 3750-X interruptores y
representa el nmero del interruptor en la pila de datos, un valor de 1 a 9.
La funcin por defecto para un puerto es Auto-SP, donde el modo de alimentacin es
determinado por el interruptor conectado al puerto (RPS para Catalyst 3560-X
o Catalyst 3750-X interruptores de ejecutar la imagen de base LAN, o SP para
Catalyst 3750-X interruptores de ejecutar la imagen de base o de servicios IP IP).
Paso 3
xps poder interruptor de nmero puerto {Nmero Establece la prioridad RPS del puerto, donde los puertos de mayor prioridad tienen
|conectado} prioridad port-priorityprioridad sobre los puertos de baja prioridad en caso de mltiples fuentes de alimentacin fallan. Este
comando slo tiene efecto cuando el modo de puerto es RPS. Cuando el puerto
modo se apila el poder, se establece la prioridad con las rdenes de potencia de la pila.
15-50
OL-29703-01
Captulo 15
Para los puertos auto-SP que participan en el poder de pila, configurar las caractersticas de potencia de la pila mediante el uso de la
pila
rdenes de potencia describen en Captulo 9, "Configuracin de Catalyst 3750-X StackPower."
Comando
Paso 1
Propsito
xps poder interruptor de nmero suministro {A | Establece el modo de fuente de alimentacin XPS.
Modo B} {Rps | sp}
suministro {A | B} -Selecciona la fuente de alimentacin para configurar. Potencia
Un suministro est a la izquierda (con la etiqueta PS1) y fuente de alimentacin B (PS2)
est en
de la derecha.
modo rps-Sets el modo de fuente de alimentacin a RPS, una copia de seguridad
interruptores conectados. Esta es la configuracin de la fuente de alimentacin Un
defecto
(PS1).
modo SP-Sets el modo de fuente de alimentacin de energa a la pila (SP), a
participar en la etapa de potencia. Esta es la configuracin por defecto de energa
alimentacin B (PS2).
El interruptor de nmero aparece slo en el Catalyst 3750-X interruptores y
representa el nmero del interruptor en la pila de datos, un valor de 1 a 9.
Paso 2
xps poder interruptor de nmero suministro {A | Establece la fuente de alimentacin XPS para estar encendido o apagado. El valor
B} {On | off}
predeterminado es tanto para la alimentacin
suministros para estar en.
El interruptor de nmero aparece slo en el Catalyst 3750-X interruptores y
representa el nmero del interruptor en la pila de datos, un valor de 1 a 9.
Paso 3
fin
Paso 4
15-51
Captulo 15
Estado de la interfaz de
Monitoreo
Los comandos introducidos en la informacin EXEC privilegiado pantalla acerca de la interfaz, incluyendo
las versiones del software y el hardware, la configuracin y las estadsticas sobre las interfaces.
Tabla 15-6 enumera algunos de estos comandos de monitorizacin de interfaz. (Puedes ver la lista completa de los espectculo
comandos mediante el uso de la mostrar? comando en el indicador EXEC privilegiado.) Estos comandos son totalmente
descrito en el Cisco IOS interfaz de comandos de referencia, versin 12.4.
Tabla 15-6
Comando
Propsito
System 2300.
-Catalyst 3750, 3560, 2970, 2960 o interruptores-RPS 2300 o
15-52
OL-29703-01
Captulo 15
Tabla 15-6
Comando
Propsito
show version
Muestra el estado de PoE para una pila interruptor o conmutador, para una interfaz, o
para un interruptor especfico en la pila.
Comando
Propsito
Para borrar los contadores de interfaz que se muestran por el show interfaces comando EXEC privilegiado, utilice el claro
contadores comando EXEC privilegiado. El clear counters comando borra todos los contadores actuales de la interfaz
desde la interfaz a menos que especifique los argumentos opcionales que claro slo un tipo de interfaz especfica de un
nmero de interfaz especfico.
Nota
El clear counters comando privilegiado EXEC no clear counters recuperados mediante el uso simple
Protocolo de administracin de red (SNMP), pero slo los que se observan con la show interface EXEC privilegiado
de comandos.
15-53
Captulo 15
Para apagar una interfaz, siga los siguientes pasos que comienzan en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
apagado
Paso 4
fin
Paso 5
show running-config
Verifica tu entrada.
15-54
OL-29703-01
E R CH A P T
16
Configuracin de
VLAN
En este captulo se describe cmo configurar las VLAN de rango normal (ID de VLAN 1 a 1005) y
VLAN de rango extendido (ID de VLAN 1.006 a 4.094) en el Catalyst 3750-E y 3560-E Catalyst 3750-X
o el interruptor 3560-X. Incluye informacin sobre los modos de membresa de VLAN, configuracin VLAN
modos, troncos de VLAN, y la asignacin de VLAN dinmica desde un servidor VLAN Poltica de Membresa
(VMPS). A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X
o interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
El captulo consta de las siguientes secciones:
La comprensin de las
VLAN
Una VLAN es una red conmutada que est lgicamente segmentada por funcin, el equipo de proyecto, o la aplicacin,
sin tener en cuenta la ubicacin fsica de los usuarios. VLAN tienen los mismos atributos que las LAN fsicas,
pero puedes estaciones finales de grupo, incluso si no estn fsicamente en el mismo segmento de LAN. Cualquier
puerto del switch puede pertenecer a una VLAN, y unicast, broadcast, y los paquetes de multidifusin se reenvan y
inundado slo para las estaciones finales de la VLAN. Cada VLAN se considera una red lgica, y los paquetes
con destino a las estaciones que no pertenecen a la VLAN debe ser enviada a travs de un router o un conmutador
apoyo de puente de retorno, como se muestra en Figura 16-1. En una pila de conmutadores, las VLAN se pueden formar con
los puertos de la pila. Debido a una VLAN se considera una red lgica separada, que contiene su propia
puente Management Information Base (MIB) de la informacin y pueda soportar su propia implementacin de
rbol de expansin. Ver Captulo 21, "Configuracin STP."
16-1
Captulo 16
Configuracin de VLAN
Nota
Antes de crear las VLAN, debe decidir si desea utilizar VLAN Trunking Protocol (VTP) para mantener
configuracin VLAN global para su red. Para obtener ms informacin sobre las IVE, consulte Captulo 17,
"Configuracin de VTP."
Puerto troncal 1
VLAN 2 -4 (camino cuesta 30)
VLANs 8 -10 (camino cuesta 19)
Puerto troncal 2
VLANs 8 -10 (camino cuesta 30)
VLAN 2 -4 (camino cuesta 19)
90573
Cambie B
Las VLAN se asocian a menudo con subredes IP. Por ejemplo, todas las estaciones finales en un IP en particular
subred pertenecen a la misma VLAN. Membresa interfaz VLAN en el switch se asigna de forma manual en
dependiendo de la interfaz por interfaz. Al asignar interfaces de switch a las VLAN mediante el uso de este mtodo, es
conocida como interfaz basada en, o esttica, pertenencia a la VLAN.
El trfico entre las VLAN se debe dirigir o repliegue puente. El trfico del switch puede enrutar entre
VLANs mediante el uso de interfaces virtuales de conmutacin (SVI).
Nota
En los interruptores que ejecutan el conjunto de funciones de base LAN, enrutamiento esttico entre las VLAN slo se admite
en
interruptores que ejecutan Cisco IOS 12.2 (58) SE o posterior.
Un SVI se debe configurar y asignar una direccin IP para enrutar el trfico entre las VLAN de forma explcita. Para
ms informacin, consulte la "Switch Virtual Interfaces" en la pgina 15-5 y el "Capa de Configuracin
3 Interfaces "en la pgina 15-38.
Nota
VLANs compatibles
El switch soporta VLANs en VTP cliente, el servidor y los modos transparentes. VLAN se identifican por un
nmero del 1 al 4094. ID de VLAN 1002 a travs de 1005 se reservan para Token Ring y FDDI VLANs.
VTP versin 1 y versin 2 de apoyo solo VLAN de rango normal (ID de VLAN 1 a 1005). En estos
versiones, el interruptor debe estar en modo transparente VTP al crear los ID de VLAN 1006 a 4094.
Cisco IOS 12.2 (52) SE y el apoyo posterior versin VTP 3. VTP versin 3 soporta la totalidad
16-2
OL-29703-01
Captulo 16
Configuracin de VLAN
La comprensin de las VLAN
Rango de VLAN (VLAN 1-4094). VLAN (VLAN de rango extendido 1006-4094) slo se admiten en
VTP versin 3 No se puede convertir de VTP versin 3 a la versin VTP 2 si las VLAN extendidas son
configurado en el dominio.
La pila de conmutadores o switch soporta un total de 1.005 (rango normal y de rango extendido) VLAN cuando
corriendo las bases o IP servicios IP conjunto de caractersticas, y 255 VLANs al ejecutar el conjunto de funciones de base LAN.
Sin embargo, el nmero de puertos con enrutamiento, SVI, y otras caractersticas configuradas afecta el uso del interruptor
hardware.
El switch soporta por VLAN spanning-tree plus (TSVP +) o TSVP rpida +, con un mximo de 128
instancias de spanning-tree. Se permite una instancia de spanning-tree por VLAN. Consulte la "Normal-Range
Directrices de configuracin de la VLAN "en la pgina 16-6 para ms informacin sobre el nmero de
instancias de spanning-tree y el nmero de VLAN. El switch soporta tanto Inter-Switch Link (ISL)
y IEEE 802.1Q trunking mtodos para enviar trfico de VLAN a travs de puertos Ethernet.
Modo de Membresa
Esttica de acceso
Un puerto esttico de acceso puede pertenecer a una VLAN y VTP se forma manual no es necesario. Si usted no quiere
VTP se propague a nivel mundial de la informacin, asignado a esa VLAN.
establecer el modo VTP transparente. Para
Para obtener ms informacin, consulte la "Asignacin de puertos estticos-Access
participar en VTP, debe haber por lo
a una seccin VLAN "en la pgina 16-9.
menos un puerto de enlace troncal en el interruptor o el
pila de switches conectado a un puerto troncal
de un segundo interruptor o conmutador de la pila.
Un puerto de enlace troncal es miembro de todas las VLAN por defecto, Se recomienda VTP pero no es obligatorio.
incluyendo
VTP mantiene la configuracin VLAN
VLAN de rango extendido, pero la membresa puede ser limitado por
consistencia mediante la gestin de la adicin,
la configuracin de la lista de permitidos-VLAN. Tambin puede modificar
eliminacin
el
y cambio de nombre de VLAN en un
-poda elegibles lista para bloquear inund el trfico a las VLAN en
de toda la red base. Intercambios VTP
puertos troncales que se incluyen en la lista.
Mensajes de configuracin de VLAN con
otros conmutadores a travs de enlaces troncales.
Para obtener informacin sobre la configuracin de los puertos troncales,
consulte la
Seccin "Configuracin de una interfaz Ethernet como un puerto troncal"
en la pgina 16-18.
Tronco (ISL o
IEEE 802.1Q)
VTP Caractersticas
16-3
Captulo 16
Configuracin de VLAN
Tabla 16-1
Modo de Membresa
Acceso dinmico
VLAN de voz
VTP Caractersticas
Precaucin Puede causar inconsistencia en la base de datos VLAN si se intenta eliminar manualmente el vlan.dat presentar.
Si desea modificar la configuracin de VLAN, utilice los comandos que se describen en estas secciones y en el
referencia de comandos para esta versin. Para cambiar la configuracin del VTP, vase Captulo 17, "Configuracin de
VTP ".
16-4
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de rango normal VLANs
Se utiliza el modo de configuracin de interfaz para definir el modo de pertenencia a puerto y para aadir y eliminar
puertos de VLAN. Los resultados de estos comandos se escriben en el archivo de configuracin de rodaje, y usted
puede mostrar el archivo mediante la introduccin de la show running-config comando EXEC privilegiado.
Puede ajustar estos parmetros cuando se crea una nueva VLAN rango normal o modificar una VLAN existente
en la base de datos VLAN:
Nota
VLAN ID
Nombre de VLAN
Tipo de VLAN (Ethernet, Fiber Distributed Data Interface [FDDI], FDDI ttulo entidad de red [RED],
TrBRF o TrCRF, Token Ring, Token Ring-Net)
Esta seccin no ofrece detalles de la configuracin de la mayora de estos parmetros. Para completa
informacin sobre los comandos y parmetros que controlan la configuracin de VLAN, consulte el comando
referencia para esta versin.
Para obtener ms informacin sobre la configuracin de Token Ring VLAN, consulte la Catalyst Software 5000 Series
Gua de configuracin.
16-5
Captulo 16
Configuracin de VLAN
El switch soporta VLANs en 1005 VTP cliente, el servidor y los modos transparentes.
Interruptores ejecutan las bases o IP servicios IP conjunto de caractersticas de soporte 1005 VLAN en el cliente VTP, servidor,
y los modos transparentes. Interruptores ejecutan la operacin base LAN fijan apoyo 255 VLANs.
VLAN de rango normal se identifican con un nmero entre 1 y 1001. nmeros de las VLAN 1002
a travs de 1005 se reservan para Token Ring y FDDI VLANs.
Configuracin VLAN para las VLAN 1-1005 siempre se guardan en la base de datos de la VLAN. Si el modo de VTP
es transparente, VTP y de configuracin de VLAN tambin se guardan en el archivo de configuracin de interruptor en
ejecucin.
Con versiones de VTP 1 y 2, el switch soporta ID de VLAN 1006 a travs de 4094 slo en VTP
modo transparente (VTP desactivado). Estas son las VLAN de rango extendido y opciones de configuracin son
limitado. VLAN de rango extendido creados en el modo transparente VTP no se guardan en la VLAN
base de datos y no se propagan. VTP versin 3 soporta VLAN de rango extendido (VLANs 1006 a
4094) de propagacin de base de datos. Si se configuran las VLAN extendidas, no se puede convertir de VTP
la versin 3 a 1 o 2 Ver la "Configuracin de Extended-Range VLAN" en la pgina 16-10
Antes de poder crear una VLAN, el interruptor debe estar en modo de servidor VTP o modo transparente VTP.
Si el interruptor es un servidor VTP, debe definir un dominio VTP VTP o no funcionarn.
El switch soporta 128 instancias de spanning-tree. Si un interruptor tiene VLANs ms activos que el apoyo
casos spanning-tree, rbol de expansin se puede habilitar en 128 VLANs y est desactivado en el
restantes VLANs. Si ya ha utilizado todas las instancias de spanning-tree disponibles en un switch,
aadiendo otra VLAN en cualquier lugar en el dominio VTP crea una VLAN en ese interruptor que no es
corriendo spanning-tree. Si usted tiene la lista de los puertos troncales de que el interruptor (el valor predeterminado permite
que
es permitir que todas las VLAN), la nueva VLAN se realiza en todos los puertos troncales. Dependiendo de la topologa de
la red, esto podra crear un bucle en la nueva VLAN que no se rompe, particularmente si hay
varios interruptores adyacentes que todos han quedado sin instancias de spanning-tree. Esto se puede evitar
posibilidad de establecer listas admitidas en los puertos troncales de interruptores que han agotado su asignacin
de instancias de spanning-tree.
Si el nmero de VLAN en el switch es superior al nmero de instancias de spanning-tree compatibles,
le recomendamos que configure el IEEE 802.1s STP mltiple (MSTP) en su mapa de Hoteles
varias VLAN a una instancia nica spanning-tree. Para obtener ms informacin acerca de MSTP, consulte
Captulo 22, "Configuracin de MSTP."
Cuando un interruptor en una pila entera de una nueva VLAN o suprime o modifica una VLAN existente (ya sea
a travs de VTP en los puertos de red oa travs de la CLI), la informacin de la VLAN se comunica a todos
apilar miembros.
Cuando un interruptor se une a una pila o pilas cuando se fusionan, la informacin VTP (el archivo vlan.dat) en el nuevo
interruptores sern consistentes con la maestra de la pila.
16-6
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de rango normal VLANs
descripcin de la referencia de comandos para esta versin. Cuando haya terminado la configuracin que,
debe salir del modo de configuracin de VLAN para la configuracin surta efecto. Para mostrar la VLAN
configuracin, introduzca la show vlan comando EXEC privilegiado.
Si el modo VTP o nombre de dominio en la configuracin de inicio no coincide con la base de datos VLAN,
el nombre de dominio y el modo de VTP y de configuracin para los ID de VLAN 1 a 1005 usan la VLAN
informacin de base de datos.
En las versiones de VTP 1 y 2, si el modo VTP es servidor, el nombre de dominio y la configuracin de VLAN para
ID de VLAN 1 a 1005 utilizan la informacin de base de datos de la VLAN. VTP versin 3 tambin soporta VLANs
1.006-4094.
Tabla 16-2
El switch soporta interfaces Ethernet exclusivamente. Debido FDDI y Token Ring VLAN no son
apoyo local, configure slo las caractersticas especficas de los medios de comunicacin FDDI y Token Ring para VTP
anuncios globales a otros switches.
Parmetro
Por defecto
Rango
VLAN ID
1-4094.
Nota
Nombre de VLAN
1-4294967294
Tamao MTU
1500
1500-18190
16-7
Captulo 16
Configuracin de VLAN
Tabla 16-2
Parmetro
Por defecto
Rango
Puente traslacional 1
0-1005
Puente traslacional 2
0-1005
Estado VLAN
activo
activo, suspender
SPAN remoto
discapacitados
activado, desactivado
VLAN privadas
ninguno configurado
Nota
Con VTP versin 1 y 2, si el interruptor est en modo transparente VTP, puede asignar identificadores de VLAN mayores
de 1006, pero no se aaden a la base de datos de la VLAN. Consulte la "Configuracin de Extended-Range
Seccin VLAN "en la pgina 16-10.
Para la lista de parmetros predeterminados que se asignan al agregar una VLAN, consulte la "Configuracin de
Seccin normal-Range VLAN "en la pgina 16-4.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear o modificar una VLAN Ethernet:
Comando
Propsito
Paso 1
configure terminal
Paso 2
vlan id_vlan
Paso 3
Nombre vlan-nombre
Paso 4
mtu mtu-size
Paso 5
remoto lapso
Paso 6
fin
16-8
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de rango normal VLANs
Comando
Propsito
Paso 7
show vlan {Nombre vlan-nombre | Identificacin del vlan-id} Verifique sus entradas.
Paso 8
Para devolver el nombre de la VLAN a la configuracin predeterminada, utilice el sin nombre, sin mtu, o no-lapso remoto
los comandos.
Este ejemplo muestra cmo crear Ethernet VLAN 20, nombre que test20, y agregarlo a la base de datos VLAN:
Switch
Switch
Switch
Switch
# configure terminal
(config) # vlan 20
(config-vlan) # Nombre test20
(config-vlan) # fin
Eliminacin de una
VLAN
Cuando se elimina una VLAN de un switch que se encuentra en modo de servidor VTP, la VLAN se elimina de la
Base de datos de VLAN para todos los switches en el dominio VTP. Cuando se elimina una VLAN de un switch que se encuentra en
Modo transparente VTP, la VLAN se elimina slo en ese interruptor especfico o una pila de switches.
No se pueden eliminar las VLAN por defecto para los diferentes tipos de medios de comunicacin: Ethernet VLAN 1 y FDDI o
Token VLANs Anillo 1002-1005.
Precaucin Cuando se elimina una VLAN, los puertos asignados a esa VLAN se vuelven inactivas. Ellos permanecen asociados
con la VLAN (y por lo tanto inactivo) hasta que se les asigna a una nueva VLAN.
Comenzando en el modo EXEC privilegiado, siga estos pasos para eliminar una VLAN en el switch:
Comando
Propsito
Paso 1
configure terminal
Paso 2
no vlan id_vlan
Paso 3
fin
Paso 4
Paso 5
16-9
Captulo 16
Configuracin de VLAN
Nota
Si asigna una interfaz a una VLAN que no existe, se crea la nueva VLAN. (Vea la "Creacin de
o modificacin de una seccin de Ethernet VLAN "en la pgina 16-8.)
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar un puerto a una VLAN de la VLAN
base de datos:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
Paso 7
Paso 8
Para devolver una interfaz para su configuracin predeterminada, utilice el interfaz por defecto interface-id interfaz
comando de configuracin.
Este ejemplo muestra cmo configurar un puerto como un puerto de acceso en VLAN 2:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # switchport mode access
Switch (config-if) # switchport access vlan 2
Switch (config-if) # fin
Nota
Aunque el switch soporta 4.094 IDs de VLAN, consulte la Seccin "Supported VLAN" en la pgina 16-2 para
el nmero real de VLAN admitidas.
16-10
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin Extended-Range VLANs
ID de VLAN en el rango extendido no se guardan en la base de datos VLAN y no son reconocidos por
VTP menos que el interruptor est funcionando VTP versin 3.
En VTP versin 1 y 2, un interruptor debe estar en modo transparente VTP cuando se crea de autonoma extendida
VLANs. Si el modo de VTP es servidor o cliente, se genera un mensaje de error, y el de autonoma extendida
VLAN es rechazada. VTP versin 3 soporta VLANs extendidos en los modos transparentes y servidor.
Para VTP versin 1 o 2, se puede establecer el modo VTP a transparente en el modo de configuracin global. Ver
la Seccin "Modo VTP Configuracin" en la pgina 17-11. Debe guardar esta configuracin para el
configuracin de inicio por lo que se inicia el conmutador en modo transparente VTP. De lo contrario, se pierde la
configuracin VLAN de rango extendido si se restablece el interruptor. Si crea VLAN de rango extendido en
VTP versin 3, no se puede convertir a VTP versin 1 o 2.
STP est habilitado de forma predeterminada en las VLAN de rango extendido, pero se puede desactivar mediante el uso de la
no
vlan spanning-tree id_vlan comando de configuracin global. Cuando el nmero mximo de
instancias de spanning-tree estn en el interruptor, el rbol de expansin est desactivado en cualquier VLAN de nueva
creacin.
Si el nmero de VLAN en el switch excede el nmero mximo de instancias de spanning-tree,
le recomendamos que configure el IEEE 802.1s STP mltiple (MSTP) en su mapa de Hoteles
varias VLAN a una instancia nica spanning-tree. Para obtener ms informacin acerca de MSTP, consulte
Captulo 22, "Configuracin de MSTP."
Cada puerto enrutado en el switch crea una VLAN interno para su uso. Estas VLANs internos utilizan
de autonoma extendida nmeros de las VLAN, y el ID de VLAN interna no se pueden utilizar para una autonoma extendida
VLAN. Si intenta crear una VLAN de rango extendido con un ID de VLAN que ya est asignado como
una VLAN interna, se genera un mensaje de error, y el comando es rechazado.
Nota
Interruptores ejecutan la operacin base LAN fijan apoyo solamente enrutamiento esttico en SVI.
-Debido a que los ID de VLAN internas estn en la parte inferior de la gama extendida, le recomendamos que
crear VLAN de rango extendido comenzando desde el nmero ms alto (4094) y se mueven a la
ms bajo (1006) para reducir la posibilidad de utilizar un ID de VLAN interna.
-Antes de configurar las VLAN de rango extendido, introduzca la mostrar el uso interno vlan privilegiada
Comando EXEC para ver qu VLAN se hayan asignado como VLANs internas.
16-11
Captulo 16
Configuracin de VLAN
-Si es necesario, puede cerrar el puerto enrutado asignado a la VLAN interna, lo que libera
la VLAN interna y, a continuacin, crear la VLAN de rango extendido y volver a habilitar el puerto, que
a continuacin, utiliza otra VLAN como su VLAN interna. Consulte la "Creacin de un Extended-Range VLAN
con una seccin interna VLAN ID "en la pgina 16-13.
Aunque la pila de conmutadores o switch soporta un total de 1.005 (rango normal y de alcance extendido)
VLAN con la base o IP servicios IP conjunto de caractersticas y 255 VLANs con el conjunto de funciones de base LAN,
el nmero de puertos con enrutamiento, SVI, y otras caractersticas configuradas afecta el uso del interruptor
hardware. Si intenta crear una VLAN de rango extendido y que no hay suficientes recursos de hardware
disponible, se genera un mensaje de error, y la VLAN de rango extendido se rechaza.
En una pila de switches, toda la pila utiliza la misma configuracin en ejecucin y de configuracin guardado, y
de autonoma extendida informacin de VLAN es compartida a travs de la pila.
En VTP versin 1 y 2, las VLAN de rango extendido no se guardan en la base de datos VLAN; que se guardan en
el archivo de configuracin de interruptor en ejecucin. Puede guardar la configuracin de la VLAN de autonoma extendida en el
cambiar archivo de configuracin inicial mediante el uso de la copy running-config startup-config EXEC privilegiado
de comandos. VTP versin 3 guarda VLAN de rango extendido en la base de datos de la VLAN.
Nota
Antes de crear una VLAN de rango extendido, se puede verificar que el ID de VLAN no se utiliza internamente por
entrar en el mostrar el uso interno vlan comando EXEC privilegiado. Si el ID de VLAN se utiliza internamente
y desea liberar para arriba, va a la "Creacin una VLAN Extended-Range con un ID de VLAN interna "
en la pgina 16-13 antes de crear la VLAN de rango extendido.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una VLAN de rango extendido:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
vlan id_vlan
Paso 4
mtu mtu-size
Paso 5
remoto lapso
16-12
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin Extended-Range VLANs
Comando
Propsito
Paso 6
fin
Paso 7
Paso 8
Guarde sus entradas en el archivo de configuracin de inicio del switch. Para ahorrar
configuraciones de VLAN de rango extendido, tiene que guardar el VTP
configuracin del modo transparente y la VLAN de rango extendido
configuracin en el archivo de configuracin de inicio del switch. De lo contrario, si el
cambiar reinicia, se usar por defecto el modo de servidor VTP, y el de autonoma extendida
ID de VLAN no sern publicados.
Nota
Para eliminar una VLAN de rango extendido, utilice el no vlan id_vlan comando de configuracin global.
El procedimiento para la asignacin de puertos estticos de acceso a una VLAN de rango extendido es el mismo que para
VLAN de rango normal. Consulte la Seccin "Asignacin Esttica acceso a los puertos a una VLAN" en la pgina 16-9.
Este ejemplo muestra cmo crear una nueva VLAN de rango extendido con todas las caractersticas predeterminadas, introduzca
Modo de configuracin VLAN, y guardar la nueva VLAN en el archivo de configuracin de inicio del switch:
Switch
Switch
Switch
Switch
Nota
Interruptores ejecutan la operacin base LAN fijan apoyo solamente enrutamiento esttico en SVI.
Comenzando en el modo EXEC privilegiado, siga estos pasos para liberar un ID de VLAN que se asigna a un
VLAN interna y crear una VLAN de rango extendido con ese ID:
Comando
Propsito
Paso 1
Paso 2
configure terminal
Paso 3
interfaz interface-id
Paso 4
apagado
Paso 5
Salida
Paso 6
16-13
Captulo 16
Configuracin de VLAN
Viendo VLANs
Comando
Propsito
Paso 7
vlan id_vlan
Paso 8
Salida
Paso 9
interfaz interface-id
Paso 10 no shutdown
Paso 11 fin
Guarde sus entradas en el archivo de configuracin de inicio del switch. Para guardar una
configuracin VLAN de rango extendido, es necesario guardar el VTP
configuracin del modo transparente y la VLAN de rango extendido
configuracin en el archivo de configuracin de inicio del switch. De lo contrario, si el
cambiar reinicia, se usar por defecto el modo de servidor VTP, y el de autonoma extendida
ID de VLAN no sern publicados.
Nota
No se requiere este paso para VTP versin 3, ya que son las VLAN
guardado en la base de datos de la VLAN.
Viendo VLANs
Utilice el show vlan comando privilegiado EXEC para mostrar una lista de todas las VLAN en el switch, incluyendo
VLAN de rango extendido. La pantalla incluye estado de la VLAN, puertos, y la informacin de configuracin.
Tabla 16-3 enumera los comandos para el seguimiento de las VLAN.
Tabla 16-3
Comando
Modo de comando
Propsito
EXEC privilegiado
EXEC privilegiado
Para ms detalles sobre las opciones de comando show y explicaciones de los campos de salida, consulte el comando
referencia para esta versin.
Configuracin de VLAN
Trunks
Estas secciones contienen esta informacin conceptual:
Configuracin de una interfaz Ethernet como puerto de enlace troncal, pgina 16-18
16-14
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de VLAN Trunks
Trunking general
Un tronco es un enlace punto a punto entre una o ms interfaces de conmutacin Ethernet y otro dispositivo de red
como un router o un conmutador. Troncos Ethernet llevan el trfico de mltiples VLANs sobre un nico enlace, y usted
puede extender las VLAN a travs de una red completa.
Dos encapsulados trunking estn disponibles en todas las interfaces Ethernet:
Figura 16-2 muestra una red de interruptores que estn conectados por troncales ISL.
Figura 16-2
ISL
tronco
ISL
tronco
ISL
tronco
ISL
tronco
Cambiar
Cambiar
Cambiar
VLAN1
Cambiar
VLAN3
VLAN2
VLAN2
VLAN1
VLAN3
45828
Se puede configurar un tronco en una nica interfaz Ethernet o en un paquete EtherChannel. Para obtener ms
informacin sobre EtherChannel, vase Captulo 43, "Configuracin de EtherChannels y Link-Estado
Seguimiento ".
Soportan interfaces de troncales Ethernet diferentes modos de trunking (ver Tabla 16-4). Puede configurar una interfaz como
trunking o nontrunking oa negociar trunking con la interfaz vecina. Para negociar automticamente
concentracin de enlaces, las interfaces deben estar en el mismo dominio VTP.
Negociacin del tronco es administrado por el protocolo de enlace troncal dinmico (DTP), que es un punto a punto
Protocolo. Sin embargo, algunos dispositivos de internetworking pueden enviar tramas de DTP inadecuadamente, lo que podra
causa errores de configuracin.
Para evitar esto, usted debe configurar las interfaces conectadas a dispositivos que no soportan DTP que no
marcos DTP hacia adelante, es decir, para apagar DTP.
Si usted no tiene intencin de tronco a travs de esos vnculos, utilice la switchport mode access interfaz
comando de configuracin para desactivar trunking.
Para habilitar trunking a un dispositivo que no es compatible DTP, utilice el switchport mode trunk y
switchport nonegotiate Comandos de configuracin de la interfaz para hacer que la interfaz se convierta en un tronco
pero para no generar tramas de DTP. Utilice el switchport trunk encapsulacin isl o switchport trunk
dot1q encapsulacin interfaz para seleccionar el tipo de encapsulacin en el puerto de enlace troncal.
16-15
Captulo 16
Configuracin de VLAN
Tambin se puede especificar en interfaces DTP si el tronco utiliza encapsulacin ISL o IEEE 802.1Q o si
el tipo de encapsulacin est de negociacin automtica. El DTP admite la negociacin automtica de ambos ISL y
Troncos IEEE 802.1Q.
Nota
Tabla 16-4
Modo
Funcin
Hace que la interfaz capaz de convertir el enlace para un enlace troncal. La interfaz se convierte en un tronco
interfaz si la interfaz vecina se establece en tronco o deseable de modo. El valor por defecto
switchport mode para todas las interfaces Ethernet es automtico dinmico.
Hace que la interfaz de intentar activamente para convertir el enlace a un enlace troncal. La interfaz
se convierte en una interfaz de troncal si la interfaz vecina se establece en tronco, deseable, o auto
de modo.
switchport nonegotiate
Previene la interfaz de generar marcos de DTP. Puede utilizar este comando slo cuando
el modo de interfaz switchport es acceso o tronco. Debe configurar manualmente el
interfaz vecina como una interfaz de troncal para establecer un enlace troncal.
Configura la interfaz como un puerto de tnel (nontrunking) para ser conectado en una asimtrica
enlazar con un puerto de enlace troncal IEEE 802.1Q. El tnel IEEE 802.1Q se utiliza para mantener
cliente integridad VLAN a travs de una red de proveedores de servicios. Ver Captulo 20,
"Configuracin de IEEE 802.1Q y Capa 2 Tunneling Protocol" para ms informacin sobre
puertos de tnel.
Tipos de encapsulacin
Tabla 16-5 enumera los tipos y palabras clave de encapsulacin tronco Ethernet.
Tabla 16-5
La encapsulacin
Funcin
switchport encapsulacin tronco negociar Especifica que la interfaz de negociar con la interfaz vecina para convertirse
un ISL (preferido) o IEEE 802.1Q tronco, dependiendo de la configuracin y
capacidades de la interfaz de vecinos. Este es el valor predeterminado para el switch.
16-16
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de VLAN Trunks
Nota
El modo de enlace, el tipo de encapsulacin del tronco, y las capacidades del hardware de los dos conectados
interfaces de decidir si una relacin se convierte en un ISL o IEEE 802.1Q tronco.
Los troncos IEEE 802.1Q imponen estas limitaciones en la estrategia de trunking para una red:
En una red de switches Cisco conecta a travs de los troncos de IEEE 802.1Q, los interruptores mantienen una
instancia de spanning-tree para cada VLAN permite en los troncos. Dispositivos que no sean de Cisco podran apoyar una
ejemplo spanning-tree para todas las VLAN.
Cuando se conecta un interruptor de Cisco a un dispositivo que no es de Cisco a travs de una troncal IEEE 802.1Q, el Cisco
interruptor combina la instancia de spanning-tree de la VLAN del tronco con el rbol de expansin
instancia de la no-Cisco IEEE 802.1Q cambiar. Sin embargo, la informacin spanning-tree para cada VLAN
es mantenida por los switches Cisco separados por una nube de interruptores sin Cisco IEEE 802.1Q. El
no Cisco IEEE 802.1Q nube separar los switches Cisco se trata como un solo enlace troncal entre
los interruptores.
Asegrese de que la VLAN nativa para una troncal IEEE 802.1Q es la misma en ambos extremos del enlace troncal. Si
la VLAN nativa en un extremo del tronco es diferente de la VLAN nativa en el otro extremo,
bucles de spanning-tree podran resultar.
Desactivacin de rbol de expansin en la VLAN nativa de un tronco IEEE 802.1Q sin desactivar spanning
rbol en cada VLAN en la red puede potencialmente causar bucles de spanning-tree. Le recomendamos que
te dejo rbol de expansin habilitada en la VLAN nativa de un tronco IEEE 802.1Q o desactivar spanning
rbol en cada VLAN en la red. Asegrese de que su red est libre de bucles antes de deshabilitar spanning
rbol.
Caracterstica
Modo de interfaz
VLANs 1-4094
VLANs 2-1001
16-17
Captulo 16
Configuracin de VLAN
Nota
De forma predeterminada, una interfaz se encuentra en modo de capa 2. El modo por defecto para las interfaces de capa 2 es
switchport mode
automtico dinmico. Si la interfaz vecina soporta trunking y est configurado para permitir concentracin de enlaces, la
enlace es un bal de Capa 2 o, si la interfaz est en modo de capa 3, se convierte en un tronco de nivel 2 cuando entras
la switchport comando de configuracin de interfaz. Por defecto, los troncos negocian encapsulacin. Si el
interfaz vecino soporta encapsulacin ISL y IEEE 802.1Q y ambas interfaces se establecen en
negociar el tipo de encapsulacin, el tronco utiliza encapsulamiento ISL.
Si intenta habilitar IEEE 802.1x en un puerto troncal, aparece un mensaje de error, y IEEE 802.1x no es
habilitado. Si intenta cambiar el modo de un puerto 802.1x habilitada IEEE en el tronco, el modo de puerto es
no ha cambiado.
Un puerto en modo dinmico puede negociar con su vecino para convertirse en un puerto troncal. Si intenta habilitar
IEEE 802.1x en un puerto dinmico, aparece un mensaje de error, y IEEE 802.1x no est habilitada. Si
tratar de cambiar el modo de un puerto 802.1x habilitada IEEE en dinmico, no se cambia el modo del puerto.
16-18
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de VLAN Trunks
Configuracin de un puerto
troncal
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un puerto como un puerto troncal:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
(Opcional) Especifique la VLAN por defecto, que se utiliza si las paradas de interfaz
trunking.
Paso 6
Paso 7
fin
Paso 8
Paso 9
Para devolver una interfaz para su configuracin predeterminada, utilice el interfaz por defecto interface-id interfaz
comando de configuracin. Para restablecer todas las caractersticas de canalizacin de una interfaz de enlaces troncales para el
defecto, el uso
la no switchport trunk comando de configuracin de interfaz. Para desactivar la concentracin de enlaces, utilice el switchport
Acceso modo comando de configuracin de interfaz para configurar el puerto como un puerto esttico de acceso.
Este ejemplo muestra cmo configurar un puerto como un tronco IEEE 802.1Q. El ejemplo supone que la
interfaz vecino est configurado para admitir enlaces troncales IEEE 802.1Q.
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # interfaz GigabitEthernet1 / 0/2
Switch (config-if) # switchport mode dinmica deseable
Switch (config-if) # switchport trunk encapsulacin dot1q
Switch (config-if) # fin
16-19
Captulo 16
Configuracin de VLAN
Nota
VLAN 1 es la VLAN por defecto en todos los puertos troncales en todos los switches de Cisco, y que ha sido previamente un
requisito de que la VLAN 1 siempre puede habilitar en cada enlace troncal. Puede utilizar la VLAN 1 minimizacin
funcin para desactivar VLAN 1 en los enlaces individuales tronco VLAN de manera que no hay trfico de usuario (incluyendo
anuncios de spanning-tree) es enviado o recibido en la VLAN 1.
Para reducir el peligro de lazos de spanning-tree o tormentas, puede desactivar VLAN 1 en cualquier VLAN individuales
puerto de lnea externa mediante la eliminacin de VLAN 1 de la lista de permitidos. Cuando se quita la VLAN 1 de un puerto de
enlace troncal,
la interfaz contina enviado y recibir trfico de gestin, por ejemplo, el Protocolo de Descubrimiento de Cisco
(CDP), Port Aggregation Protocol (PAgP), Link Aggregation Control Protocol (LACP), DTP, y VTP
en VLAN 1.
Si un puerto troncal con VLAN 1 discapacitado se convierte en un puerto nontrunk, que se aade a la VLAN de acceso. Si
la VLAN de acceso se establece en 1, se aadir el puerto a la VLAN 1, independientemente de la switchport trunk
permitido ajuste. Lo mismo es cierto para cualquier VLAN que se ha deshabilitado en el puerto.
Un puerto troncal puede convertirse en un miembro de una VLAN si la VLAN se habilita, si VTP sabe de la VLAN,
y si la VLAN est en la lista de permitidos para el puerto. Cuando detecta un VTP VLAN y el recientemente habilitado
VLAN est en la lista de permitidos para un puerto de enlace troncal, el puerto de lnea externa se convierte automticamente en un
miembro de la
VLAN habilitado. Cuando VTP detecta una nueva VLAN y la VLAN no est en la lista permitida para un tronco
puerto, el puerto de enlace troncal no se convierta en un miembro de la nueva VLAN.
Comenzando en el modo EXEC privilegiado, siga estos pasos para modificar la lista de permitidos de un tronco:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
show interfaces interface-id switchport Verifique sus entradas en el VLAN Trunking Activado Campo de la pantalla.
Paso 7
16-20
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de VLAN Trunks
Para volver a la lista de VLAN predeterminado permitido de todas las VLAN, utilice el no vlan tronco switchport permitido
comando de configuracin de interfaz.
Este ejemplo muestra cmo eliminar VLAN 2 de la lista de VLAN permitidas en un puerto:
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # switchport trunk permitido eliminar VLAN 2
Switch (config-if) # fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
show interfaces interface-id switchport Verifique sus entradas en el VLANs poda Activado Campo de la pantalla.
Paso 6
Para volver a la lista de poda elegibles por defecto de todas las VLAN, utilice el no switchport trunk poda vlan
comando de configuracin de interfaz.
Un puerto troncal configurado con IEEE 802.1Q tagging puede recibir tanto trfico etiquetado y sin etiquetar. Por
De forma predeterminada, el switch enva el trfico sin etiquetar en la VLAN nativa configurado para el puerto. El nativo
VLAN es VLAN 1 por defecto.
Nota
16-21
Captulo 16
Configuracin de VLAN
Para obtener informacin acerca de los problemas de configuracin de IEEE 802.1Q, consulte la "Configuracin de IEEE
802.1Q
Consideraciones seccin "en la pgina 16-17.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la VLAN nativa en una
IEEE 802.1Q tronco:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver a la VLAN nativa predeterminada, la VLAN 1, utilice el no switchport trunk native vlan interfaz
comando de configuracin.
Si un paquete tiene un ID de VLAN que es el mismo que el puerto saliente VLAN nativa ID, se enva el paquete
sin etiquetar; de otro modo, el conmutador enva el paquete con una etiqueta.
16-22
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de VLAN Trunks
De esta manera, Tronco 1 lleva el trfico de VLAN 8 a 10, y del tronco 2 lleva el trfico de VLAN 3
a 6. Si el tronco activo falla, el tronco con la prioridad ms baja se hace cargo y transporta el trfico de
todas las VLANs. No duplicacin de trfico se produce a travs de cualquier puerto de enlace troncal.
Figura 16-3
Troncal 2
VLANs 3-6 (prioridad 16)
VLAN de 8 - 10 (prioridad 128)
Troncal 1
VLAN de 8 - 10 (prioridad 16)
VLANs 3-6 (prioridad 128)
93370
Cambie B
Nota
Si el interruptor es un miembro de una pila de switches, debe utilizar el spanning-tree [Vlan vlan-id] costo costo
comando de configuracin de interfaz en lugar de la spanning-tree [Vlan vlan-id] port-priority prioridad
comando de configuracin de interfaz para seleccionar una interfaz que poner en el estado de reenvo. Asignar un menor coste
valores a las interfaces que desea que se seleccion en primer lugar y los valores de costo ms alto que desea que se seleccion por
ltima. Para
ms informacin, consulte la Seccin "Load Sharing Usando STP Coste de ruta" en la pgina 16-24.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la red se muestra en la Figura 16-3.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
Paso 6
show vlan
Paso 7
configure terminal
Paso 8
Paso 9
Paso 11 fin
16-23
Captulo 16
Configuracin de VLAN
Comando
Propsito
switchport
Paso 13
Paso 14
Repita los pasos 7 a 11oN interruptor B para configurar los puertos troncales que
conectarse a los puertos troncales configurados en Conmutador A.
Paso 19 Salida
Paso 22 fin
Puede configurar troncos paralelos para compartir el trfico de VLAN mediante el establecimiento de diferentes costes de la ruta en
un tronco y
asociando el camino cuesta con diferentes conjuntos de VLANs, bloqueando puertos diferentes para diferentes VLANs.
Las VLANs mantener el trfico separado y mantener la redundancia en el caso de un enlace perdido.
En Figura 16-4, Puertos troncales 1 y 2 estn configurados como puertos 100BASE-T. Estos costes de la ruta VLAN son
asignado:
VLANs 8 a 10 conservan el 100 BASE-T coste de la ruta por defecto en el puerto troncal 1 de 19.
VLAN 2 a 4 se reservan el 100BASE-T coste de la ruta por defecto en el puerto troncal 2 de 19.
16-24
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin de VLAN Trunks
Figura 16-4
Puerto troncal 1
VLAN 2 -4 (camino cuesta 30)
VLANs 8 -10 (camino cuesta 19)
Puerto troncal 2
VLANs 8 -10 (camino cuesta 30)
VLAN 2 -4 (camino cuesta 19)
90573
Cambie B
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la red se muestra en la Figura 16-4:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Salida
Configure el puerto como un puerto troncal. Los valores por defecto del tronco a ISL
Trunking.
Vuelva al modo de configuracin global.
Paso 6
Paso 7
fin
Paso 8
show running-config
Paso 9
show vlan
Paso 13 fin
Paso 14
Paso 15 Salida
Verifique sus entradas. En la pantalla, compruebe que los costes de la ruta se establecen
correctamente para ambas interfaces troncales.
16-25
Captulo 16
Configuracin de VLAN
Configuracin VMPS
Configuracin VMPS
El Protocolo de consulta VLAN (VQP) se utiliza para apoyar los puertos de acceso dinmico, que no son permanentemente
asignado a una VLAN, pero dar asignaciones de VLAN basadas en las direcciones MAC de origen se ven en el puerto.
Cada vez que una direccin MAC desconocida se ve, el conmutador enva una consulta a un VQP VMPS remoto; la consulta
incluye la direccin MAC recin visto y el puerto en el que se vio. El VMPS responde con un
Asignacin de VLAN para el puerto. El interruptor no puede ser un servidor VMPS pero puede actuar como un cliente a la VMPS
y comunicarse con l a travs VQP.
Estas secciones contienen esta informacin:
Entendimiento VMPS
Cada vez que el interruptor de cliente recibe la direccin MAC de un nuevo husped, enva una consulta a la VQP VMPS.
Cuando el VMPS recibe esta consulta, que busca en su base de datos para un mapeo MAC-address-a-VLAN. El
respuesta del servidor se basa en este mapeo y si o no el servidor est en modo abierto o seguro. En
el modo seguro, el servidor cierra el puerto cuando se detecta un anfitrin ilegal. En el modo abierto, el servidor
simplemente niega el acceso del host al puerto.
Si el puerto est actualmente sin asignar (Es decir, que an no cuenta con una asignacin de VLAN), el VMPS ofrece
una de estas respuestas:
Si se permite que el host en el puerto, el VMPS enva al cliente un vlan-asignacin respuesta que contiene
el nombre de VLAN asignada y permitir el acceso al host.
Si el host no est permitido en el puerto y el VMPS est en modo abierto, el VMPS enva una
acceso denegado respuesta.
Si la VLAN no est permitido en el puerto y el VMPS est en modo seguro, el VMPS enva una
puerto-apagado respuesta.
Si el puerto ya cuenta con una asignacin de VLAN, el VMPS proporciona una de estas respuestas:
Si la VLAN en la base de datos coincide con la VLAN actual en el puerto, el VMPS enva una xito
respuesta, permitiendo el acceso al host.
Si la VLAN en la base de datos no coincide con la VLAN actual sobre el puerto y existe anfitriones activos en
el puerto, el VMPS enva una acceso denegado o una puerto-apagado respuesta, dependiendo del seguro
modo de la VMPS.
Si el conmutador recibe un acceso denegado respuesta del VMPS, contina para bloquear el trfico desde y hacia
la direccin MAC del host. El interruptor sigue supervisando los paquetes dirigidos al puerto y enva una consulta
al VMPS cuando identifica una nueva direccin de host. Si el conmutador recibe un puerto-apagado respuesta de los
la VMPS, deshabilita el puerto. El puerto debe ser manualmente volver a habilitar utilizando Network Assistant, el
CLI o SNMP.
16-26
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin VMPS
Caracterstica
Ninguno
60 minutos
3
Ninguno configurado
Usted debe configurar el VMPS antes de configurar los puertos como puertos dinmica de acceso.
Al configurar un puerto como un puerto dinmico de acceso, el spanning-tree puerto Fast caracterstica es
habilitado automticamente para ese puerto. El modo Rpido Puerto acelera el proceso de llevar el puerto
en el estado de reenvo.
Puertos IEEE 802.1x no se pueden configurar como puertos dinmica de acceso. Si intenta habilitar IEEE 802.1x
en una dinmica de puertos de acceso (VQP), aparece un mensaje de error, y IEEE 802.1x no est habilitada. Si
tratar de cambiar un puerto 802.1x habilitada IEEE para la asignacin de VLAN dinmica, aparece un mensaje de error,
y la configuracin de la VLAN no se cambia.
16-27
Captulo 16
Configuracin de VLAN
Configuracin VMPS
Puertos troncales no pueden ser puertos dinmica de acceso, pero se puede entrar en el switchport access vlan dinmico
comando de configuracin de interfaz para un puerto troncal. En este caso, el interruptor conserva el ajuste y
la aplica si el puerto est configurado como ms tarde un puerto de acceso.
Debe desactivar el enlace troncal en el puerto antes de la configuracin dinmica de acceso entre en vigor.
Puertos seguros no pueden ser puertos dinmica de acceso. Debe deshabilitar la seguridad del puerto en un puerto antes de
que
se convierte en dinmica.
Puertos VLAN privadas no pueden ser puertos dinmica de acceso.
El dominio de administracin VTP del cliente y el servidor VMPS VMPS deben ser los mismos.
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Introduzca la direccin IP del conmutador que acta como servidor primario VMPS.
Paso 3
Paso 4
fin
Paso 5
Mostrar vmps
Paso 6
Nota
Debe tener conectividad IP al VMPS de puertos dinmicos de acceso al trabajo. Usted puede probar para IP
conectividad haciendo ping a la direccin IP del VMPS y verificar que usted obtenga una respuesta.
16-28
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin VMPS
Si va a configurar un puerto de un conmutador miembro del clster como un puerto dinmico de acceso, utilice primero el
rcommand comando privilegiado EXEC para iniciar sesin en el conmutador de miembro de clster.
Precaucin Dynamic-acceso pertenencia a la VLAN de puerto es para las estaciones terminales o hubs conectados a estaciones finales.
Conexin de los puertos dinmica de acceso a otros switches puede causar una prdida de conectividad.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un puerto dinmico de acceso en un VMPS
interruptor de cliente:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
Paso 7
Para devolver una interfaz para su configuracin predeterminada, utilice el interfaz por defecto interface-id interfaz
comando de configuracin. Para devolver una interfaz a su modo switchport predeterminado (automtico dinmico), utilice el no
switchport mode comando de configuracin de interfaz. Para restablecer el modo de acceso a la VLAN por defecto para
el interruptor, utilice el no switchport access vlan comando de configuracin de interfaz.
Comando
Propsito
Paso 1
vmps reconfirm
Paso 2
Mostrar vmps
16-29
Captulo 16
Configuracin de VLAN
Configuracin VMPS
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar el intervalo de confirmacin:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Mostrar vmps
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no hay vmps reconfirman comando de configuracin global.
Cambiar el nmero de
reintentos
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar el nmero de veces que el interruptor
los intentos de ponerse en contacto con el VMPS antes de consultar el siguiente servidor:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Mostrar vmps
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no hay vmps reintento comando de configuracin
global.
Seguimiento de la VMPS
Puede mostrar informacin sobre el VMPS utilizando el Mostrar vmps comando EXEC privilegiado. El
conmutar muestra esta informacin acerca de la VMPS:
VMPS VQP versin-la versin de VQP utiliza para comunicarse con el VMPS. Las consultas del conmutador
la VMPS que est utilizando VQP Versin 1.
Vuelva a confirmar Intervalo-el nmero de minutos que espera el conmutador antes de volver a confirmar la
-VLAN-a la direccin MAC asignaciones.
Servidor Retry Count-el nmero de veces VQP vuelve a enviar una consulta al VMPS. Si no hay respuesta es
recibida despus de esta cantidad de intentos, el interruptor se inicia para consultar el VMPS secundaria.
VMPS dominio del servidor-la direccin IP de los servidores de polticas de membresa VLAN configuradas. El
interruptor enva consultas a la marcada actual. El marcado primaria es el servidor principal.
VMPS Accin-el resultado del intento ms reciente de reconfirmacin. Un intento de confirmacin puede
producir automticamente cuando el intervalo reconfirmacin expira, o puede forzarlo mediante la introduccin de la
vmps reconfirm comando EXEC privilegiado o su Network Assistant o SNMP equivalente.
16-30
OL-29703-01
Captulo 16
Configuracin de VLAN
Configuracin VMPS
Estado Reconfirmacin
--------------------Accin VMPS: otro
El VMPS est en modo seguro, y no permite que el host para conectar al puerto. Los cierra VMPS
por el puerto para evitar que el host se conecte a la red.
Para volver a habilitar un puerto dinmico-acceso para minusvlidos, introduzca la apagado comando de configuracin de
interfaz
seguido por el no shutdown comando de configuracin de interfaz.
El archivo de configuracin de base de datos se almacena en el servidor TFTP con la direccin IP 172.20.22.7.
16-31
Captulo 16
Configuracin de VLAN
Configuracin VMPS
Figura 16-5
172.20.26.150
Router
172.20.22.7
Interruptor Cliente B
Fin
Estacin 1
172.20.26.152
Cambiar D
172.20.26.153
Cambiar E
172.20.26.154
Cambie F
172.20.26.155
Cambie T
172.20.26.156
Cambie H
Segmento de
Ethernet
(Enlace
troncal)
172.20.26.157
Interruptor Client I
Fin
estacin 2
172.20.26.159
Serie Catalyst 6500
VMPS Secundaria
Server 3
Cambie J
16-32
OL-29703-01
E R CH A P T
17
Configurar VTP
En este captulo se describe cmo utilizar el protocolo VLAN Trunking (VTP) y la base de datos VLAN para
la gestin de las VLAN con el Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor. A menos
de lo contrario se ha sealado, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o-X 3560
interruptor independiente ya una pila de switches 3750-X Catalyst 3750-E Catalyst.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
El captulo consta de las siguientes secciones:
Entendimiento VTP
VTP es un protocolo de capa 2 de mensajera que mantiene la coherencia de configuracin de VLAN mediante la gestin de la
adicin, eliminacin y cambio de nombre de VLAN en una base de toda la red. VTP minimiza errores de configuracin
y las incoherencias de configuracin que pueden causar varios problemas, como los nombres de VLAN duplicado,
especificaciones de tipo VLAN incorrectas, y violacines de seguridad.
Antes de crear las VLAN, debe decidir si desea utilizar VTP en su red. El uso de VTP, usted puede
realizar cambios de configuracin centralizada en uno o ms conmutadores y tienen esos cambios automticamente
comunicado a todos los otros switches en la red. Sin VTP, no puede enviar informacin sobre
VLAN a otros switches.
VTP est diseado para trabajar en un ambiente donde las actualizaciones se realizan en un solo interruptor y se envan
a travs de VTP a otros switches en el dominio. No funciona bien en una situacin en la que mltiples actualizaciones
a la base de datos VLAN ocurrir simultneamente en interruptores en el mismo dominio, lo que resultara en una
inconsistencia en la base de datos de la VLAN.
Funcionalidad VTP se admite a travs de la pila, y todos los interruptores en la pila de mantener la misma VLAN
y la configuracin VTP heredado de la maestra de la pila. Cuando un interruptor se entera de una nueva VLAN a travs
Mensajes VTP o cuando una nueva VLAN est configurada por el usuario, la nueva informacin de la VLAN es
comunicada a todos los switches de la pila.
Cuando un interruptor se une a la pila o pilas cuando se funden, los nuevos switches reciben informacin VTP del
apilar maestro.
17-1
Captulo 17
Configurar VTP
Entendimiento VTP
El switch soporta VLANs 1005 cuando se ejecuta la base o IP servicios IP conjunto de caractersticas y 255 VLANs
cuando se ejecuta el conjunto de funciones de base LAN. Sin embargo, el nmero de puertos con enrutamiento, SVI, y otra
configurados
caractersticas afecta el uso del hardware del conmutador. Si el interruptor es notificado por VTP de una nueva VLAN y
el interruptor ya est utilizando el mximo de recursos de hardware disponibles, enva un mensaje de que hay
no hay suficientes recursos de hardware disponibles y se apaga la VLAN. La salida de la show vlan usuario
Comando EXEC muestra la VLAN en un estado de suspensin.
VTP versin 1 y versin 2 de apoyo solo VLAN de rango normal (ID de VLAN 1 a 1005). Cisco IOS
Suelte 12.2 (52) SE y el apoyo posterior versin VTP 3. VTP versin 3 es compatible con toda la gama de VLAN
(VLAN 1 a 4.094). VLAN (VLAN de rango extendido 1006-4094) slo se admiten en VTP
versin 3 No se puede convertir de VTP versin 3 de VTP versin 2 si se configuran las VLAN extendidas
en el dominio.
Estas secciones contienen esta informacin conceptual:
El dominio VTP
Un dominio VTP (tambin llamado un dominio de gestin de VLAN) se compone de un interruptor o varios
interruptores o pilas de conmutacin interconectados bajo la misma responsabilidad administrativa que comparten la misma
Nombre de dominio VTP. Un interruptor puede estar en un dominio VTP. Haces de configuracin global VLAN
cambios para el dominio.
Por defecto, el interruptor se encuentra en el estado de VTP no-gestin-de dominio hasta que recibe un anuncio de
un dominio de ms de un enlace troncal (un enlace que lleva el trfico de mltiples VLANs) o hasta que se configura un
nombre de dominio. Hasta que no se especifica o se aprende el nombre de dominio de gestin, no se puede crear o modificar
VLAN en un servidor VTP, y la informacin de VLAN no se propaga por la red.
Si el switch recibe un VTP anuncio sobre un enlace troncal, hereda el nombre de dominio de gestin
y el nmero de revisin de configuracin VTP. El switch entonces ignora los anuncios con una diferente
nombre de dominio o un nmero de revisin de configuracin anterior.
Precaucin Antes de aadir un interruptor de cliente VTP a un dominio VTP, verifique siempre que su revisin de configuracin VTP
nmero es menor que el nmero de revisin de configuracin de los otros switches en el dominio VTP.
Los switches en un dominio VTP siempre usan la configuracin VLAN del switch con el ms alto VTP
nmero de revisin de configuracin. Si aade un interruptor que tiene un nmero de revisin ms alto que la revisin
nmero en el dominio VTP, puede borrar toda la informacin de la VLAN del servidor VTP y dominio VTP.
Consulte la "Agregar un conmutador cliente VTP VTP a un dominio" en la pgina 17-17 para el procedimiento de
verificar y restablecer el nmero de revisin de configuracin VTP.
17-2
OL-29703-01
Captulo 17
Configurar VTP
Entendimiento VTP
Cuando se realiza un cambio en la configuracin de VLAN en el servidor VTP, el cambio se propaga a todos
switches en el dominio VTP. Publicaciones VTP se envan a travs de todas las conexiones IEEE tronco, incluyendo
Inter-Switch Link (ISL) y IEEE 802.1Q. VTP asigna dinmicamente VLANs con nombres nicos y
asociados ndices internos a travs de mltiples tipos de LAN. Mapeo elimina dispositivo excesiva
administracin requiere de los administradores de red.
Si configura un interruptor para el modo VTP transparente, puede crear y modificar las VLAN, pero los cambios
no son enviados a otros switches en el dominio, y afectan slo el interruptor individual. Sin embargo,
cambios de configuracin hechos cuando el interruptor est en este modo se guardan en el conmutador de funcionamiento
configuracin y se puede guardar en el archivo de configuracin de inicio del switch.
Para los nombres de dominio y de configuracin de contrasea directrices, consulte la "Nombres de dominio" en la
pgina 17-9.
Modos de VTP
Puede configurar un interruptor o interruptor pila apoyada estar en uno de los modos VTP enumerados en Tabla 17-1.
Tabla 17-1
Modos de VTP
Modo VTP
Descripcin
Servidor VTP
En el modo de servidor VTP, puede crear, modificar y eliminar redes VLAN, y especificar otra configuracin
parmetros (tales como la versin VTP) para todo el dominio VTP. Servidores VTP anuncian su VLAN
configuraciones a otros switches en el mismo dominio VTP y sincronizar sus configuraciones de VLAN con
otros conmutadores basados en los anuncios recibidos a travs de los enlaces troncales.
Servidor VTP es el modo predeterminado.
En el modo de servidor VTP, configuraciones de VLAN se guardan en la memoria NVRAM. Si el interruptor detecta un fallo, mientras
escribir una configuracin en la NVRAM, el modo VTP cambia automticamente del modo de servidor para el modo cliente. Si
esto sucede, el interruptor no puede ser devuelto a modo de servidor VTP hasta la NVRAM est funcionando.
Cliente VTP
Un cliente VTP se comporta como un servidor VTP y transmite y recibe actualizaciones VTP en sus troncos, pero
no se puede crear, cambiar o eliminar las VLAN en un cliente VTP. Las VLAN se configuran en otro interruptor en el
dominio que est en modo de servidor.
En las versiones de VTP 1 y 2, en modo cliente VTP, configuraciones de VLAN no se guardan en la NVRAM. En VTP
versin 3, configuraciones de VLAN se guardan en la NVRAM en modo cliente.
17-3
Captulo 17
Configurar VTP
Entendimiento VTP
Tabla 17-1
Modo VTP
Descripcin
VTP transparente VTP switches transparentes no participan en VTP. Un interruptor transparente VTP no anuncia su VLAN
configuracin y no sincronizar su configuracin VLAN basada en anuncios recibidos.
Sin embargo, en VTP versin 2 o 3, switches transparentes hacen forward publicaciones VTP que
recibir de otros switches a travs de sus interfaces de troncales. Puede crear, modificar y eliminar las VLAN en
un cambio en el modo transparente VTP.
En las versiones de VTP 1 y 2, el interruptor debe estar en modo transparente VTP al crear autonoma extendida
VLANs. VTP versin 3 tambin soporta la creacin de VLAN de rango extendido en modo cliente o servidor. Consulte la
Seccin "Configuracin de autonoma extendida VLAN" en la pgina 16-10.
En las versiones de VTP 1 y 2, el interruptor debe estar en modo transparente VTP al crear VLANs privadas y
cuando se configuran, no debe cambiar el modo de VTP de transparente a modo cliente o servidor.
VTP versin 3 tambin soporta VLANs privadas en los modos de cliente y servidor. Ver Captulo 19, "Configuracin de
VLAN privadas ". Cuando se configuran las VLAN privadas, no cambie el modo VTP de transparente a
cliente o el modo de servidor.
Cuando el interruptor est en modo transparente VTP, VTP y configuraciones de VLAN se guardan en la NVRAM,
pero no se anuncian a otros switches. En este modo, el modo VTP y el nombre de dominio se guardan en la
cambiar configuracin en ejecucin, y usted puede guardar esta informacin en el archivo de configuracin de inicio del switch por
usando el copy running-config startup-config comando EXEC privilegiado. En una pila de switches, el funcionamiento
configuracin y la configuracin guardada son los mismos para todos los conmutadores en una pila.
VTP off
Un interruptor de funciones del modo VTP fuera de la misma manera como un interruptor VTP transparente, excepto que lo hace
No reenve publicaciones VTP en los troncos.
VTP Anuncios
Cada switch en el dominio VTP enva anuncios de configuracin global peridicos de cada puerto de lnea externa
a una direccin multicast reservada. Interruptores vecinos reciben estos anuncios y actualizar su VTP
y configuraciones de VLAN, segn sea necesario.
Nota
Debido a que los puertos troncales enviar y recibir publicaciones VTP, debe asegurarse de que el puerto al menos un tronco
se configura en la pila interruptor o interruptor y que este puerto de lnea externa est conectada al puerto de enlace troncal de
otro interruptor. De lo contrario, el interruptor no puede recibir publicaciones VTP. Para obtener ms informacin sobre
puertos troncales, ver la Seccin "Configuracin de VLAN Trunks" en la pgina 16-14.
Formato de trama
Publicaciones VTP distribuir esta informacin de VLAN para cada VLAN configurada:
Nombre de VLAN
17-4
OL-29703-01
Captulo 17
Configurar VTP
Entendimiento VTP
Tipo de VLAN
Estado VLAN
En VTP versin 3, publicaciones VTP tambin incluyen el ID de servidor principal, un nmero de instancia, y un
iniciar ndice.
Versin VTP 2
Si utiliza VTP en su red, debe decidir qu versin de VTP de usar. Por defecto, opera VTP
en la versin 1.
VTP versin 2 es compatible con estas caractersticas que no son compatibles en la versin 1:
Token Ring apoyo-VTP versin 2 es compatible con la funcin Token Ring Bridge Relay (TrBRF) y
Token Funcin Anillo Concentrador Relay (TrCRF) VLANs. Para obtener ms informacin acerca de Token Ring
VLANs, ver la Seccin "Configuracin de las VLAN de rango normal" en la pgina 16-4.
Versin dependiente Transparente versin Mode-En VTP 1, un conmutador transparente VTP VTP inspecciona
mensajes para el nombre de dominio y la versin y hacia adelante un mensaje slo si la versin y administracin de dominio
nombrar partido. Aunque VTP versin 2 admite slo un dominio, una versin VTP 2 interruptor transparente
reenva un mensaje slo cuando el nombre de dominio coincide.
Los cheques-En coherencia VTP versin 2, los controles de consistencia VLAN (como nombres de las VLAN y
valores) slo se realizan cuando se introduce nueva informacin a travs de la CLI o SNMP. Consistencia
controles no se realizan cuando la nueva informacin se obtiene de un mensaje VTP o cuando
informacin se lee de la memoria NVRAM. Si el resumen MD5 en un mensaje VTP recibida es correcta, su
se acepta informacin.
Versin VTP 3
VTP versin 3 es compatible con estas caractersticas que no son compatibles en la versin 1 o la versin 2:
-Usted autenticacin mejorada puede configurar la autenticacin como escondido o secreto. Cuando oculto,
la clave secreta de la cadena de la contrasea se guarda en el archivo de base de datos VLAN, pero no aparece
en texto sin formato en la configuracin. En su lugar, la tecla asociada a la contrasea se guarda en
formato hexadecimal en la configuracin en ejecucin. Usted deber volver a introducir la contrasea si introduce un
mandato takeover en el dominio. Al entrar en el secreto palabra clave, puede configurar directamente
la llave contrasea secreta.
Apoyo a la VLAN de rango extendido (VLANs 1.006-4.094) Propagacin de base de datos. Versiones VTP 1
y 2 propagar slo VLAN 1 a 1005. Si se configuran las VLAN extendidas, no puede convertir
de VTP versin 3 a 1 o 2.
Nota
VTP poda todava se aplica slo a las VLAN 1-1005, y VLANs 1002-1005 siguen siendo
reservado y no puede ser modificado.
Soporte VLAN privada (si el interruptor est ejecutando la base o IP servicios IP conjunto de caractersticas).
17-5
Captulo 17
Configurar VTP
Entendimiento VTP
Soporte para cualquier base de datos en un dominio. Adems de propagar informacin VTP, la versin 3 de lata
propagar Multiple Spanning Tree (MST) la informacin de base de datos de protocolo. Una instancia independiente de la
Protocolo VTP se ejecuta para cada aplicacin que utiliza VTP.
VTP servidor primario y los servidores secundarios de VTP. Un servidor primario VTP actualiza la base de datos
informacin y enva las actualizaciones que son honrados por todos los dispositivos del sistema. Un VTP secundaria
servidor slo puede respaldar las configuraciones VTP actualizados recibidos del servidor principal a su
NVRAM.
Por defecto, todos los dispositivos vienen como servidores secundarios. Usted puede entrar en el VTP primaria privilegiada
Comando EXEC para especificar un servidor primario. El estado del servidor de primaria slo es necesaria para la base de
datos
actualizaciones cuando el administrador emite un mensaje de toma de posesin en el dominio. Usted puede tener un trabajo
Dominio VTP sin servidores primarios. Se pierde el estado del servidor principal si las recargas de dispositivos o
parmetros de dominio cambian, incluso cuando una contrasea se configura en el switch.
La opcin para activar o desactivar el VTP en funcin de cada tronco (por puerto). Puedes activar o desactivar VTP por
puerto introduciendo el [no] VTP comando de configuracin de interfaz. Cuando se deshabilita VTP en trunking
puertos, todas las instancias del VTP para ese puerto estn inhabilitados. No se puede establecer VTP a off para la base de datos
MST
y en para la base de datos VLAN en el mismo puerto.
Cuando se ajusta el modo VTP a nivel mundial en off, que se aplica a todos los puertos de enlace troncales en el sistema. Sin
embargo,
puede especificar o desactivar de forma instancia por VTP. Por ejemplo, usted puede configurar el switch
como un servidor VTP para la base de datos VLAN pero con VTP off para la base de datos MST.
VTP poda
La depuracin del VTP aumenta el ancho de banda de red disponible mediante la restriccin del trfico inundado a los enlaces
troncales
que el trfico debe utilizar para llegar a los dispositivos de destino. Sin depuracin VTP, un interruptor de inundaciones
difusin, multidifusin y trfico unicast desconocido en todos los enlaces troncales dentro de un dominio VTP incluso
aunque la recepcin de los interruptores podran descartarlos. VTP poda est desactivado por defecto.
VTP poda bloques innecesarios inundaron el trfico a las VLAN en los puertos troncales que se incluyen en el
-poda elegibles lista. Slo VLANs incluido en la lista-poda elegibles pueden ser podados. De forma predeterminada,
VLAN 2 a 1001 estn podando puertos troncales interruptor elegibles. Si las VLAN se configuran como
-poda inelegible, la inundacin contina. VTP poda se admite en todas las versiones de VTP.
Figura 17-1 muestra una red conmutada sin depuracin del VTP habilitada. El puerto 1 en el conmutador A y Puerto 2 en
Interruptor D se asignan a la VLAN Roja. Si una transmisin se enva desde el host conectado al conmutador A,
El Switch A inundaciones la emisin y cada switch en la red lo recibe, aunque Interruptores C, E,
y F no tienen puertos en la VLAN Roja.
17-6
OL-29703-01
Captulo 17
Configurar VTP
Entendimiento VTP
Figura 17-1
Cambiar D
Puerto 2
Cambiar E
Cambie B
Red
VLAN
Puerto 1
89240
Cambie F
Cambie C
Interruptor A
Figura 17-2 muestra una red conmutada con depuracin del VTP habilitada. El trfico de difusin del interruptor A
no se reenva a los switches C, E, y F ya que el trfico de la VLAN Roja ha sido podado en los enlaces
muestra (Puerto 5 en el Switch B y el puerto 4 en el interruptor D).
Figura 17-2
Cambiar D
Puerto 2
Trfico inundado
se poda.
Puerto
4
Cambie B
Red
VLAN
Cambiar E
Trfico inundado
se poda.
Puerto
5
Puerto 1
89241
Cambie F
Cambie C
Interruptor A
Habilitar depuracin del VTP en el servidor VTP permite la poda para todo el dominio de gestin. Hacer
VLANs poda-poda elegible o inelegible-afecta la elegibilidad de poda para aquellos VLAN en ese bal
(no en todos los switches en el dominio VTP).
Consulte la Seccin "Activacin de VTP poda" en la pgina 17-16. VTP poda toma efecto despus de varios segundos
que la active. VTP poda no podar el trfico de VLAN que se poda-no elegibles. VLAN 1 y
VLANs 1002-1005 siempre se poda-inelegible; trfico de estos VLAN no puede ser podada.
VLAN de rango extendido (ID de VLAN superiores a 1005) tambin est podando-inelegible.
17-7
Captulo 17
Configurar VTP
Configurar VTP
VTP poda no est diseado para funcionar en modo transparente VTP. Si uno o ms conmutadores en la
red estn en modo transparente VTP, que debe hacer uno de estos:
Apague VTP poda haciendo todas las VLAN en el tronco del interruptor aguas arriba hasta el VTP
poda interruptor transparente inelegible.
Para configurar VTP poda en una interfaz, utilice el switchport trunk poda vlan interfaz
comando de configuracin (ver el "Cambio de la poda-Elegible Lista" en la pgina 16-21). VTP
poda opera cuando una interfaz se trunking. Puede configurar VLAN poda-elegibilidad, sean o no
La depuracin del VTP est habilitada para el dominio VTP, si existe o no alguna VLAN dado, y si o no
la interfaz est actualmente trunking.
Cuando el modo VTP se cambia en un conmutador de la pila, los otros switches en la pila tambin cambian VTP
modo, y la base de datos de interruptor de VLAN se mantiene constante.
Versin VTP 3 funciona de la misma en un interruptor independiente o una pila, excepto cuando la pila de switches es la
servidor principal de la base de datos de VTP. En este caso, la direccin MAC de la maestra de la pila se utiliza como el
ID del servidor principal. Si el maestro cambiar recargas o est apagado, un nuevo maestro de la pila es elegido.
Si se configura la direccin MAC persistente, el nuevo maestro espera a que el configurado pila-mac
temporizador persistente valor. Si el interruptor principal anterior no reincorporarse a la pila durante este tiempo, a
continuacin,
el nuevo maestro emite el mensaje de toma de posesin.
Para obtener ms informacin acerca de la pila de conmutadores, consulte Captulo 5, "Gestin de Pilas
interruptor."
Configurar VTP
Estas secciones contienen esta informacin de configuracin:
17-8
OL-29703-01
Captulo 17
Configurar VTP
Configurar VTP
Configuracin de VTP
predeterminado
Tabla 17-2 muestra la configuracin por defecto VTP.
Tabla 17-2
Caracterstica
Null.
Server.
Versin VTP
Transparente.
Secundaria.
VTP contrasea
Ninguno.
VTP poda
Desactivado.
Directrices de configuracin de
VTP
Se utiliza el VTP comando de configuracin global para establecer la contrasea de VTP, la versin, el nombre del archivo VTP,
la interfaz que proporciona informacin actualizada VTP, el nombre de dominio, y el modo, y para desactivar o
permitir la poda. Para obtener ms informacin acerca de palabras clave disponibles, consulte las descripciones de los comandos en
la
referencia de comandos para esta versin. La informacin VTP se guarda en la base de datos VTP VLAN. Cuando
Modo VTP transparente, el nombre de dominio VTP y el modo tambin se guardan en el conmutador de funcionamiento
archivo de configuracin, y se puede guardar en el archivo de configuracin de inicio del switch mediante la introduccin de la copia
running-config startup-config comando EXEC privilegiado. Debe utilizar este comando si desea
guardar el modo VTP tan transparente, incluso si se restablece el interruptor.
Al guardar informacin VTP en el archivo de configuracin de inicio del switch y reinicie el interruptor, el interruptor
la configuracin se selecciona como sigue:
Si el modo o nombre de dominio VTP en la configuracin de inicio no coinciden con la base de datos VLAN, el
nombre de dominio y el modo de VTP y de configuracin de ID de VLAN 1 a 1005 usar la base de datos VLAN
informacin.
Nombres de Dominio
Al configurar VTP, por primera vez, siempre se debe asignar un nombre de dominio. Debe configurar
todos los switches en el dominio VTP con el mismo nombre de dominio. Los switches en modo transparente VTP no lo hacen
intercambio VTP mensajes con otros switches, y usted no tiene que configurar un nombre de dominio VTP
para ellos.
17-9
Captulo 17
Configurar VTP
Configurar VTP
Nota
Si el almacenamiento NVRAM y DRAM es suficiente, todos los switches en un dominio VTP deben estar en el servidor VTP
de modo.
Precaucin No configure un dominio VTP si todos los interruptores estn operando en modo cliente VTP. Si configura el
dominio, que es imposible de hacer cambios a la configuracin de la VLAN de ese dominio. Asegrese de que usted
configurar al menos un cambio en el dominio VTP para el modo de servidor VTP.
Contraseas
Se puede configurar una contrasea para el dominio VTP, pero no es necesario. Si lo haces configurar un dominio
contrasea, todos los interruptores de dominio deben compartir la misma contrasea y debe configurar la contrasea en
cada interruptor en el dominio de gestin. Interruptores sin contrasea o con una contrasea incorrecta rechazan
Publicaciones VTP.
Si configura una contrasea para un dominio VTP, un interruptor que se inicia sin una configuracin VTP hace
No acepte publicaciones VTP hasta que configure con la contrasea correcta. Despus de la configuracin,
el conmutador acepta el prximo anuncio VTP que utiliza la misma contrasea y nombre de dominio en el
publicidad.
Si va a aadir un nuevo conmutador a una red existente con capacidad de VTP, el nuevo switch aprende el
nombre de dominio slo despus de la contrasea de aplicacin se ha configurado en l.
Precaucin Cuando se configura una contrasea de dominio VTP, el dominio de gestin no funciona correctamente si
VTP Versin
Siga estas pautas para decidir qu VTP versin de implementar:
Todos los switches en un dominio VTP deben tener el mismo nombre de dominio, pero no es necesario para ejecutar la
misma versin VTP.
Una versin VTP switch de 2 capaz puede operar en el mismo dominio VTP como un interruptor de funcionamiento VTP
versin 1 si la versin 2 est desactivado en el interruptor de la versin 2-capaz (versin 2 est desactivado por defecto).
Si un interruptor de funcionamiento VTP versin 1, pero capaz de ejecutar VTP versin 2 recibe VTP versin 3
anuncios, se mueve automticamente a VTP versin 2.
Si un interruptor de funcionamiento VTP versin 3 est conectado a un interruptor de funcionamiento VTP versin 1, la versin
VTP
1 interruptor se mueve a VTP versin 2, y el interruptor de VTP versin 3 enva versiones a escala reducida de la
VTP paquetes de manera que el interruptor de VTP versin 2 puede actualizar su base de datos.
Un interruptor de funcionamiento VTP versin 3 no se puede mover a la versin 1 o 2 si se ha extendido VLANs.
No habilite VTP versin 2 en un switch a menos que todos los switches en el mismo dominio VTP son
versin-2-capaz. Cuando se habilita la versin 2 en un interruptor, todos los interruptores de la versin 2-capaz en
el dominio permiten la versin 2 Si hay una versin de 1 solo interruptor, no intercambia VTP
informacin con los interruptores que tienen la versin 2 habilitado.
17-10
OL-29703-01
Captulo 17
Configurar VTP
Configurar VTP
Si hay redes TrBRF y Token Ring TrCRF en su entorno, debe habilitar VTP
la versin 2 o 3 para Token Ring VLAN cambiar para que funcione correctamente. Para ejecutar Token Ring y
Token Ring-Net, desactivar VTP versin 2.
Cuando un dispositivo de la versin 3 de puerto de enlace troncal VTP recibe mensajes de una versin 2 dispositivo de VTP,
enva una
a escala reducida versin de la base de datos VLAN en ese bal especial en formato VTP versin 2. Un VTP
versin 3 dispositivo no enva paquetes VTP versin 2 con formato en un tronco a menos que reciba primero
VTP versin 2 paquetes en ese puerto troncal.
Cuando una versin 3 VTP dispositivo detecta una versin 2 dispositivo de VTP en un puerto troncal, contina enviando
Versin VTP 3 paquetes, adems de VTP versin 2 paquetes, para permitir que los dos tipos de vecinos
coexistir en el mismo tronco.
Una versin 3 dispositivo de VTP no acepta la informacin de configuracin de una versin VTP 2 o versin
1 dispositivo.
Dos VTP versin 3 regiones slo pueden comunicarse en modo transparente sobre una versin VTP 1 o
versin 2 regin.
Los dispositivos que son slo la versin VTP 1 capaz no puede interoperar con VTP versin 3 dispositivos.
Requisitos de configuracin
Al configurar VTP, debe configurar un puerto troncal en la pila interruptor o interruptor para que el
switch puede enviar y recibir publicaciones VTP desde y hacia otros switches en el dominio.
Para obtener ms informacin, consulte la Seccin "Configuracin de VLAN Trunks" en la pgina 16-14.
Si va a configurar VTP en un switch miembro del clster a una VLAN, utilice el rcommand EXEC privilegiado
comando para iniciar sesin en el conmutador de miembro. Para obtener ms informacin sobre el comando, consulte el comando
referencia para esta versin.
En las versiones de VTP 1 y 2, cuando se configuran las VLAN de rango extendido en el interruptor, el interruptor debe estar
en modo transparente VTP. VTP versin 3 tambin soporta la creacin de VLAN de rango extendido en cliente o
modo de servidor.
Versiones VTP 1 y 2 no son compatibles con VLAN privadas. VTP versin 3 soporta VLANs privadas. Si
configurar VLANs privadas, el interruptor debe estar en modo transparente VTP. Cuando las VLAN privadas son
configurada en el interruptor, no cambie el modo VTP de transparente a modo cliente o servidor.
Cuando un interruptor est en modo de servidor VTP, puede cambiar la configuracin de VLAN y la tengan
propagado por toda la red.
Cuando un interruptor est en modo cliente VTP, no puede cambiar su configuracin VLAN. El interruptor de cliente
recibe actualizaciones desde un servidor VTP VTP en el dominio VTP y luego modifica su configuracin
en consecuencia.
17-11
Captulo 17
Configurar VTP
Configurar VTP
Modo VTP fuera es el mismo que el modo transparente VTP excepto que publicaciones VTP no son
reenviado.
Nota
Para VTP versin 1 y versin 2, si las VLAN de rango extendido se configuran en la pila de switches, que
No puede cambiar el modo VTP para cliente o servidor. Recibe un mensaje de error, y la configuracin es
no permitido. VTP versin 1 y versin 2 no se propagan informacin de configuracin para extenderse
VLAN (VLAN de rango desde 1006 hasta 4094). Debe configurar manualmente estas VLAN en cada dispositivo.
Para VTP versin 1 y 2, antes de crear las VLAN de rango extendido (ID de VLAN 1006 hasta 4.094),
debe establecer el modo VTP a transparente utilizando el modo VTP transparente configuracin global
de comandos. Guarde esta configuracin a la configuracin de inicio para que el interruptor se inicia en VTP
el modo transparente. De lo contrario, se pierde la configuracin VLAN de rango extendido si el interruptor
reinicia y arranca en modo de servidor VTP (por defecto).
VTP versin 3 soporta VLAN de rango extendido. Si se configuran las VLAN extendidas, no se puede
convertir de VTP versin 3 de VTP versin 2.
Si configura el interruptor para el modo cliente VTP, el interruptor no crea el archivo de base de datos VLAN
(Vlan.dat). Si el interruptor se apaga entonces, se restablece la configuracin VTP en el valor predeterminado. Para mantener
la configuracin de VTP con modo cliente VTP despus de reiniciar el interruptor, primero debe configurar el
Nombre de dominio VTP antes de que el modo de VTP.
Precaucin Si todos los interruptores estn operando en modo cliente VTP, no configure un nombre de dominio VTP. Si lo hace, es
imposible de realizar cambios en la configuracin de la VLAN de ese dominio. Por lo tanto, asegrese de que
configurar al menos un interruptor como servidor VTP.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el modo de VTP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
17-12
OL-29703-01
Captulo 17
Configurar VTP
Configurar VTP
Paso 3
Paso 4
Comando
Propsito
Paso 5
fin
Paso 6
Paso 7
Al configurar un nombre de dominio, no se puede quitar; slo se puede reasignar un cambio a un diferente
dominio.
Para devolver un interruptor en otro modo a modo de servidor VTP, utilice el ningn modo VTP configuracin global
de comandos. Para devolver el cambio a un estado sin contrasea, utilice el sin contrasea VTP configuracin global
de comandos.
Este ejemplo muestra cmo configurar el switch como servidor VTP con el nombre de dominio eng_group y
la contrasea micontrasea:
Switch (config) # dominio VTP eng_group
Ajuste de nombre de dominio VTP a eng_group.
Switch (config) # servidor de modo VTP
Configuracin de dispositivo en modo de servidor VTP para VLAN.
Switch (config) # VTP contrasea micontrasea
Configuracin de la contrasea del dispositivo base de datos VLAN
a mypassword.
Switch (config) # fin
17-13
Captulo 17
Configurar VTP
Configurar VTP
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la contrasea cuando se utiliza VTP
Versin 3:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para borrar la contrasea, introduzca la sin contrasea VTP comando de configuracin global.
Este ejemplo muestra cmo configurar una contrasea oculta y cmo aparece.
Switch (config) # VTP contrasea micontrasea oculta
Generando el secreto asociado a la contrasea.
Switch (config) # fin
Switch # Mostrar contrasea VTP
VTP contrasea: 89914640C8D90868B6A0D8103847A733
Comenzando en el modo EXEC privilegiado, siga estos pasos en el servidor VTP para configurarlo como un VTP
servidor primario (versin 3 slo), que se inicia una operacin de toma de control:
Paso 1
Comando
Propsito
(Opcional) -vlan Select la base de datos VLAN como la funcin pblica de adquisicin.
Este es el valor predeterminado.
17-14
OL-29703-01
Captulo 17
Configurar VTP
Configurar VTP
Este ejemplo muestra cmo configurar un switch como el servidor principal de la base de datos VLAN (por defecto)
cuando una oculta o contrasea secreta fue configurado:
Switch # VTP VLAN primaria
Introduzca la contrasea de VTP: micontrasea
Este interruptor est convirtiendo servidor primario para la funcin VLAN endominio
el
VTP
VTP Cambiar Conf base de datos Nombre del sistema de revisin IDPrimary Servidor
------------ ---- -------------- -------------- ------ - -------------------VLANDBYes 00d0.00b8.1400 = 00d0.00b8.1400 1stp7
Desea continuar (y / n) [n]? y
Al habilitar VTP versin 2 en un interruptor, cada versin VTP switch de 2 capaz en el VTP
dominio permite a la versin 2 Para habilitar VTP versin 3, debe configurar manualmente en cada switch.
Con versiones de VTP 1 y 2, puede configurar la versin slo en los interruptores en el servidor VTP o
el modo transparente. Si un interruptor est funcionando VTP versin 3, puede cambiar a la versin 2 cuando el interruptor
es en modo cliente, si no existen las VLAN extendidas, no existen VLANs privadas, y sin contrasea oculta era
configurado.
Precaucin VTP versin 1 y versin 2 de VTP no son interoperables en los switches en el mismo dominio VTP. No
permitir VTP versin 2 a menos que cada interruptor en el dominio VTP admite la versin 2.
En TrCRF y TrBRF entornos Token Ring, debe habilitar VTP versin 2 o VTP versin 3
para Token Ring VLAN cambiar para que funcione correctamente. Para Token Ring y medios Token Ring-Net,
desactivar versin VTP 2 debe estar deshabilitada.
VTP versin 3 es compatible con los interruptores que ejecutan Cisco IOS 12.2 (52) SE o posterior.
Precaucin En VTP versin 3, pueden existir tanto en los servidores primario y secundario en una instancia en el dominio.
Para obtener ms informacin sobre las pautas de configuracin VTP versin, consulte la "VTP Versin" en la
pgina 17-10.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la versin VTP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
versin VTP {1 | 2 | 3}
Paso 3
fin
Paso 4
Paso 5
copy running-config
startup-config
Para volver a los valores predeterminados VTP versin 1, utilice el ninguna versin VTP comando de configuracin
global.
17-15
Captulo 17
Configurar VTP
Configurar VTP
Comando
Propsito
Paso 1
configure terminal
Paso 2
VTP poda
Paso 3
fin
Paso 4
Para desactivar la depuracin del VTP, utilice el sin depuracin VTP comando de configuracin global.
Con versiones de VTP 1 y 2, cuando se habilita la poda en el servidor VTP, se habilita para todo el VTP
dominio. En VTP versin 3, debe habilitar manualmente la poda en cada switch en el dominio.
Slo VLANs incluido en la lista-poda elegibles pueden ser podados. Por defecto, las VLAN 2 a 1001 son
-poda elegibles en los puertos troncales. VLAN y VLAN Reservados de autonoma extendida no pueden ser podados. Para
cambiar las VLAN-poda elegibles, consulte la La seccin "Cambio de la lista de poda-Elegible" en la
pgina 16-21.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
VTP
Paso 4
fin
Paso 5
Paso 6
Verifique la configuracin.
17-16
OL-29703-01
Captulo 17
Configurar VTP
Configurar VTP
Paso 1
Comando
Propsito
b.
c.
Contine con los siguientes pasos para restablecer el nmero de revisin de configuracin del switch.
Paso 2
configure terminal
Paso 3
Cambiar el nombre de dominio de la original que se muestra en el paso 1 con un nuevo nombre.
Paso 4
fin
Paso 5
Paso 6
configure terminal
Paso 7
Paso 8
fin
Paso 9
Despus de restablecer el nmero de revisin de configuracin, agregue el modificador para el dominio VTP.
Nota
Puede utilizar el modo VTP transparente comando de configuracin global para desactivar VTP en el interruptor y
a continuacin, para cambiar su informacin de VLAN sin afectar a los otros switches en el dominio VTP.
17-17
Captulo 17
Configurar VTP
Monitoreo VTP
Monitoreo VTP
Supervise VTP mostrando la informacin de configuracin de VTP: el nombre de dominio, la corriente VTP
revisin, y el nmero de VLAN. Tambin puede mostrar las estadsticas sobre envan los anuncios y
recibido por el conmutador.
Tabla 17-3 muestra los comandos EXEC privilegiados para la actividad de monitoreo VTP.
Tabla 17-3
Comando
Propsito
Mostrar contadores acerca de los mensajes de VTP que se han enviado y recibido.
mostrar dispositivos VTP [Conflicto] Mostrar informacin sobre todos los de la versin VTP 3 dispositivos en el dominio.
Los conflictos son VTP versin 3 dispositivos con servidores primarios en conflicto.
El mostrar dispositivos VTP comando no muestra informacin cuando el
interruptor est en modo transparente o apagado.
show interface VTP
[Interface-id]
17-18
OL-29703-01
E R CH A P T
18
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Este captulo consta de las siguientes secciones:
18-1
Captulo 18
Telfono
ASIC
P2
P1
PC
3 puertos P3
interruptor Acceso
puerto
101351
Nota
En todas las configuraciones, el trfico de voz lleva un valor de precedencia IP de nivel 3 (el valor predeterminado es 5 para voz
trfico y 3 para controlar el trfico de voz).
En el modo de confianza, todo el trfico recibido a travs del puerto de acceso en el telfono IP de Cisco pasa por
el telfono sin cambios.
En el modo no es de confianza, todo el trfico en IEEE 802.1Q o tramas IEEE 802.1p recibida a travs del acceso
puerto en el telfono IP de Cisco recibir una Capa 2 valor CoS configurado. La capa por defecto valor 2 CoS
es 0 modo no confiable es el valor predeterminado.
18-2
OL-29703-01
Captulo 18
Nota
El trfico no etiquetado del dispositivo conectado al telfono IP de Cisco pasa a travs del telfono sin cambios,
independientemente del estado de confianza de el puerto de acceso en el telfono.
Nota
Configuracin de la VLAN de voz slo se admite en los puertos de acceso de conmutacin; configuracin de voz VLAN es
no se admite en los puertos troncales.
Puertos troncales pueden llevar a cualquier nmero de VLAN de voz, similar a las VLAN regulares. La configuracin de
VLAN de voz no se requiere en los puertos troncales.
La VLAN de voz debe estar presente y activa el interruptor para el telfono IP para correctamente
comunicarse en la VLAN de voz. Utilice el show vlan comando privilegiado EXEC para ver si el
VLAN est presente (que se enumeran en la pantalla). Si la VLAN no est en la lista, consulte Captulo 16, "Configuracin
de
VLANs, " para obtener informacin sobre cmo crear la VLAN de voz.
No configure la VLAN de voz en los puertos de VLAN privadas.
La alimentacin a travs de Ethernet (PoE) switches son capaces de proporcionar automticamente la potencia de Cisco
pre-estndar y los dispositivos con alimentacin 802.3af IEEE si no estn siendo alimentados por una AC
fuente de alimentacin. Para obtener informacin acerca de las interfaces PoE, consulte la "Configuracin de una
administracin de energa
Modo en una seccin PoE puertos "en la pgina 15-33.
Antes de habilitar VLAN de voz, le recomendamos que habilite QoS en el conmutador mediante la introduccin de la
mls qos comando de configuracin global y configure el estado de confianza puerto confiar introduciendo el mls
cos de confianza de QoS comando de configuracin de interfaz. Si utiliza la funcin de auto-QoS, estos ajustes son
configurado automticamente. Para obtener ms informacin, consulte Captulo 41, "Configuracin de QoS."
Debe habilitar el CDP en el puerto del switch conectado al telfono IP de Cisco para enviar la configuracin
al telfono. (CDP est habilitado globalmente de forma predeterminada en todas las interfaces del switch.)
18-3
Captulo 18
La funcin Fast Port se activa automticamente cuando se configura la VLAN de voz. Cuando se deshabilita
VLAN de voz, la funcin Fast puerto no se desactiva automticamente.
Si el telfono IP de Cisco y un dispositivo conectado al telfono se encuentran en la misma VLAN, deben estar en el
misma subred IP. Estas condiciones indican que estn en la misma VLAN:
-Ambos utilizan IEEE 802.1p o tramas sin etiquetar.
-El telfono IP de Cisco usa marcos IEEE 802.1p, y el dispositivo utiliza tramas sin etiquetar.
-El telfono IP de Cisco utiliza tramas sin etiquetar, y el dispositivo usa marcos IEEE 802.1p.
-El telfono IP de Cisco usa marcos IEEE 802.1Q, y la VLAN de voz es el mismo que el acceso
VLAN.
Nota
Si habilita IEEE 802.1x en un puerto de acceso en el que se configura una VLAN de voz y
a la que se conecta un telfono IP de Cisco, el telfono pierde la conexin al interruptor de
hasta 30 segundos.
-Puerto protegido. Consulte la Seccin "Configuracin de puertos protegidos" en la pgina 32-6 para ms
informacin.
-Un puerto de origen o destino de un SPAN o sesin RSPAN.
-Puerto seguro. Consulte la Seccin "Configuracin de seguridad de puertos" en la pgina 32-8 para obtener ms
informacin.
Nota
Cuando se habilita la seguridad portuaria en una interfaz que tambin est configurado con una voz
VLAN, debe establecer el mximo permitido direcciones seguras en el puerto a dos ms el
nmero mximo de direcciones seguras que pueden introducirse en la VLAN de acceso. Cuando el puerto est
conectado a un telfono IP de Cisco, el telfono requiere hasta dos direcciones MAC. El telfono
direccin se aprende en la VLAN de voz y tambin se puede aprender en la VLAN de acceso.
Conexin de un PC al telfono requiere direcciones MAC adicionales.
18-4
OL-29703-01
Captulo 18
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Nota
Paso 5
fin
ninguno-Permitir el telfono para utilizar su propia configuracin para enviar sin etiquetar
el trfico de voz.
sin etiqueta Configurar el telfono para enviar trfico de voz sin etiquetar.
18-5
Captulo 18
Paso 6
Paso 7
Comando
Propsito
Este ejemplo muestra cmo configurar un puerto conectado a un telfono IP de Cisco para utilizar el valor de CoS a
clasificar el trfico de entrada y de aceptar el trfico de voz y de datos etiquetados con prioridad VLAN ID 0:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # mls cos confianza qos
Switch (config-if) # vlan dot1p voz switchport
Switch (config-if) # fin
Para volver al puerto para su configuracin por defecto, utilice el no vlan voz switchport configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo habilitar voz switchport detectar en un telfono IP de Cisco:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # gigabitethernet interfaz 1/0/1
Switch (config-if) # switchport voz?
detectdetection palabra clave de mejora
vlanVLAN para trfico de voz
Switch (config-if) # switchport voz detectar?
cisco-phoneCisco IP Phone
Switch (config-if) # switchport voz detectar cisco-phone?
Telfono IP duplexCisco completa-
Este ejemplo muestra cmo deshabilitar voz switchport detectar en un telfono IP de Cisco:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Switch (config) # gigabitethernet interfaz 1/0/1
Switch (config-if) # no switchport voz detectar cisco-phone
Switch (config-if) # no switchport voz detectar cisco-phone-dplex completo
Puede conectar un PC u otro dispositivo de datos a un puerto de telfono IP de Cisco. Para procesar el trfico de datos con etiquetas
(en
IEEE 802.1Q o tramas IEEE 802.1p), usted puede configurar el conmutador para enviar paquetes CDP para instruir al
telfono cmo enviar paquetes de datos desde el dispositivo conectado al puerto de acceso en el telfono IP de Cisco. El
PC puede generar paquetes con un valor CoS asignado. Puede configurar el telfono para que no cambie (la confianza)
o para anular (no confiar en) la prioridad de las tramas que llegan al puerto de telfono de los dispositivos conectados.
18-6
OL-29703-01
Captulo 18
Comenzando en el modo EXEC privilegiado, siga estos pasos para establecer la prioridad del trfico de datos recibido de
el puerto nonvoice en el telfono IP de Cisco:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Establezca la prioridad del trfico de datos recibido desde el puerto de acceso del telfono IP de
Cisco:
cos valor-Configurar el telfono para anular la prioridad recibida de la
PC o el dispositivo conectado con el valor de CoS especificado. El valor es un
nmero de 0 a 7, con 7 como la ms alta prioridad. La prioridad predeterminada es
cos 0.
Paso 4
fin
Paso 5
Paso 6
copy running-config
startup-config
Este ejemplo muestra cmo configurar un puerto conectado a un telfono IP de Cisco para no cambiar la prioridad de
tramas recibidas desde el PC o el dispositivo conectado:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # switchport priority extender la confianza
Switch (config-if) # fin
Para volver al puerto para su configuracin por defecto, utilice el no switchport priority ampliar configuracin de la interfaz
de comandos.
18-7
Captulo 18
18-8
OL-29703-01
E R CH A P T
19
Configuracin de VLAN
privadas
En este captulo se describe cmo configurar VLANs privadas en el Catalyst 3750-E o 3560-E
Catalizador 3750- o conmutador 3560-X. A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador
3750-E o
3560-E Catalyst 3750-X o 3560-X interruptor independiente ya un Catalyst 3750-E Catalizador interruptor 3750-X
apilar.
Nota
VLAN privadas no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
El captulo consta de las siguientes secciones:
Nota
Al configurar VLANs privadas en los interruptores en ejecucin VTP, el interruptor debe estar en VTP transparente
de modo. Ver Captulo 17, "Configuracin de VTP."
Escalabilidad: Cuando se ejecuta la base o IP servicios IP conjunto de caractersticas, el switch soporta hasta 1005
VLANs activas. El conmutador admite hasta 1005 VLAN activas. Si un proveedor de servicios asigna una
VLAN por cliente, lo que limita el nmero de clientes del proveedor de servicios puede admitir.
Para habilitar el enrutamiento IP, cada VLAN se le asigna un espacio de direcciones de subred o un bloque de direcciones, la
cual
puede dar lugar a la prdida de las direcciones IP no utilizadas, y causar problemas de gestin de direcciones IP.
El uso de VLANs privadas aborda el problema de escalabilidad y proporciona beneficios de gestin de direcciones IP
para proveedores de servicios y seguridad de Nivel 2 para los clientes. VLAN privadas particionan una VLAN regulares
dominio en subdominios. Un subdominio est representado por un par de VLAN: a primaria VLAN y un
secundaria VLAN. Una VLAN privada puede tener varios pares de VLAN, un par para cada subdominio. Todos
Pares de VLAN en una VLAN privada comparten la misma VLAN primaria. Las se diferencia ID de VLAN secundaria
un subdominio de otro. Ver Figura 19-1.
19-1
Captulo 19
Figura 19-1
Privado-VLAN Domain
Primaria
VLAN
Privado
VLAN
dominio
Subdominio
Secundaria
VLAN comunidad
Subdominio
Secundaria
aislado VLAN
116083
Comunidad VLAN-Puertos dentro de una comunidad VLAN pueden comunicarse entre s, pero
no puede comunicarse con los puertos de otras comunidades a nivel de capa 2.
VLAN privadas proporcionan Capa 2 aislamiento entre puertos dentro de la misma VLAN privada. Privado-VLAN
puertos son puertos de acceso que son uno de estos tipos:
Nota
-A Promiscuous puerto promiscuo pertenece a la VLAN primaria y puede comunicarse con todos los
interfaces, incluyendo los puertos comunitarios y aislada de acogida que pertenecen a la VLAN secundaria
asociada con la VLAN primaria.
Aislado-Un puerto aislado es un puerto host que pertenece a una VLAN secundaria aislado. Tiene
Capa 2 completa separacin de otros puertos dentro de la misma VLAN privada, a excepcin de la
puertos promiscuos. VLAN privadas bloquean todo el trfico a los puertos aislados excepto el trfico de promiscua
puertos. El trfico recibido de un puerto aislado se enva slo a los puertos promiscuos.
Comunidad-Un puerto de la comunidad es un puerto host que pertenece a una VLAN secundaria comunidad.
Puertos de la Comunidad se comunican con otros puertos de la misma VLAN comunitaria y con
puertos promiscuos. Estas interfaces estn aislados en la capa 2 de todas las dems interfaces en otra
las comunidades y de los puertos aislados dentro de su VLAN privada.
Puertos troncales transportan el trfico de VLAN regulares y tambin de las VLAN primaria, aislado, y la comunidad.
19-2
OL-29703-01
Captulo 19
VLAN Una VLAN privada primaria tiene una sola VLAN primaria. Cada puerto en una VLAN privada es un
miembro de la VLAN primaria. La VLAN primaria lleva el trfico unidireccional aguas abajo de
los puertos promiscuos a los puertos (aislado y la comunidad) de acogida y de otros puertos promiscuos.
Aislado VLAN -A privado VLAN tiene un solo aislado VLAN. Una VLAN aislada es una secundaria
VLAN que lleva el trfico unidireccional aguas arriba de los anfitriones hacia los puertos promiscuos y
la puerta de entrada.
VLAN-A Urbanizacin VLAN es una VLAN secundaria que lleva aguas arriba del trfico de
los puertos de la Comunidad a las puertas de enlace de puertos promiscuos y de otros puertos de host en la misma
comunidad. Puede configurar mltiples VLAN comunidad en una VLAN privada.
Un puerto promiscuo puede servir slo una VLAN primaria, uno aislado VLAN, y mltiple comunidad
VLANs. Capa 3 gateways suelen estar conectados al conmutador a travs de un puerto promiscuo. Con una
puerto promiscuo, se puede conectar una amplia gama de dispositivos como puntos de acceso a una VLAN privada. Para
ejemplo, puede utilizar un puerto promiscuo para supervisar o realizar copias de seguridad de todos los servidores privado-VLAN
de un
estacin de trabajo de administracin.
En un entorno conmutado, puede asignar una VLAN privada individual y la subred IP asociada a cada
individuo o grupo comn de las estaciones finales. Las estaciones finales necesitan comunicarse slo con un defecto
puerta de enlace para comunicarse fuera de la VLAN privada.
Puede usar VLANs privadas para controlar el acceso a las estaciones finales en las siguientes
maneras:
Configurar las interfaces seleccionadas, conectadas a las estaciones finales como puertos aislados para prevenir cualquier
comunicacin en la Capa 2 Por ejemplo, si las estaciones finales son servidores, previene esta configuracin
Capa 2 comunicacin entre los servidores.
Configurar las interfaces conectadas a las entradas de defecto y las estaciones finales seleccionados (por ejemplo, la copia de
seguridad
servidores) como puertos promiscuos para permitir que todas las estaciones finales acceso a una puerta de enlace
Puedepredeterminada.
extender las VLAN privadas a travs de mltiples dispositivos por trunking la primaria, aislado, y
VLANs comunitarios a otros dispositivos compatibles con VLAN privadas. Para mantener la seguridad de su
configuracin privado-VLAN y para evitar otro uso de las redes VLAN configuradas como VLANs privadas,
configurar VLANs privadas en todos los dispositivos intermedios, incluyendo los dispositivos que no tienen-VLAN privada
puertos.
Asignacin de un bloque de direcciones a una VLAN cliente puede resultar en direcciones IP no utilizadas.
Si el nmero de dispositivos en la VLAN aumenta, el nmero de direccin asignada podra no ser grande
suficiente para acomodarlos.
Estos problemas se reducen mediante el uso de VLANs privadas, donde todos los miembros en la proporcin de una VLAN privada
espacio de direcciones comn, que se asigna a la VLAN primaria. Los anfitriones estn conectados al secundario
VLANs, y el servidor DHCP les asigna direcciones IP a partir del bloque de direcciones asignado a la
VLAN primaria. Direcciones IP posteriores se pueden asignar a los dispositivos de clientes en diferentes secundario
VLAN, pero en la misma VLAN primaria. Cuando se aaden nuevos dispositivos, el servidor DHCP les asigna
la siguiente direccin disponible a partir de una gran reserva de direcciones de subred.
19-3
Captulo 19
Puertos troncales
VLAN 100
VLAN 100
Cambie B
Interruptor A
VLAN 201
VLAN 202
VLAN 201
Lleva VLAN 100,
201, 202 y trfico
VLAN 202
116084
Debido VTP no soporta VLANs privadas, debe configurar manualmente VLANs privadas en todo
conmutadores de la red de capa 2. Si no configura la asociacin de VLAN primaria y secundaria
en algunos interruptores en la red, las bases de datos de Capa 2 en estos interruptores no se combinan. Esto puede resultar
inundaciones innecesaria de trfico privado-VLAN en los switches.
Nota
Al configurar VLANs privadas en el interruptor, utilice siempre el interruptor de Gestin de Base de datos predeterminada
(SDM) plantilla para equilibrar los recursos del sistema entre las rutas unicast y Capa 2 entradas. Si otro SDM
plantilla est configurada, utilice el sdm prefieren defecto comando de configuracin global para establecer el valor predeterminado
plantilla. Ver Captulo 8, "Configuracin de SDM plantillas."
19-4
OL-29703-01
Captulo 19
Tambin debe ver el Seccin "Secundaria y configuracin VLAN primaria" en la pgina 19-7 bajo la
"Pautas de configuracin privados-VLAN" seccin.
Un puerto aislado enva una difusin slo a los puertos promiscuos o puertos troncales.
Un puerto de la comunidad enva un broadcast a todos los puertos promiscuos, los puertos troncales y puertos en la misma
comunidad VLAN.
Un puerto promiscuo enva un broadcast a todos los puertos en la VLAN privada (otros puertos promiscuos,
puertos troncales, puertos aislados, y los puertos de la comunidad).
El trfico de multidifusin se enruta o puenteado a travs de fronteras privado-VLAN y dentro de una misma comunidad
VLAN. El trfico de multidifusin no se reenva entre los puertos de la misma VLAN aislada o entre los puertos de
diferentes VLANs secundarias.
Si intenta configurar una VLAN con un SVI activo como VLAN secundaria, la configuracin no es
permitido hasta que desactive el SVI.
Si intenta crear un SVI en una VLAN que se configura como una VLAN secundaria y la secundaria
VLAN ya est asignada en la capa 3, el SVI no se crea, y se devuelve un error. Si el SVI es
no asignada en la capa 3, se crea el SVI, pero se apaga automticamente.
Cuando la VLAN primaria se asocia con y se asigna a la VLAN secundaria, en cualquier configuracin
la VLAN primaria se propaga a los SVI VLAN secundarias. Por ejemplo, si se asigna una subred IP
al primario VLAN SVI, esta subred es la direccin de subred IP de toda la VLAN privada.
Si una pila slo contiene un privado-VLAN de puerto promiscuo y el miembro de la pila que contiene ese
puerto se elimina de la pila, puertos de host en esa VLAN privada pierden conectividad fuera de la privada
VLAN.
Si una pila maestra de la pila que contiene el nico puerto promiscuo privado-VLAN en la pila falla o
deja la pila y un nuevo maestro de la pila es elegido, puertos de host en una VLAN privada que tuvo su
puerto promiscuo en el viejo maestro de la pila pierde conectividad fuera de la VLAN privada.
19-5
Captulo 19
Si dos pilas se fusionan, VLANs privadas en la pila de ganar no se ven afectados, pero privado-VLAN
configuracin en el switch perder se pierde cuando ese interruptor se reinicia.
Para obtener ms informacin sobre las pilas de conmutacin, consulte Captulo 5, "Gestin de Pilas
interruptor."
Configuracin de VLAN
privadas Estas secciones contienen esta informacin de configuracin:
Configuracin de una interfaz de capa 2 como privado-VLAN de puerto de host, pgina 19-11
Configuracin de una interfaz de capa 2 como privado-VLAN Promiscuo Puerto, pgina 19-13
Mapeo VLANs secundarias a una Capa VLAN Primaria 3 VLAN Interface, pgina 19-13
Paso 1
Paso 2
Nota
Paso 3
Configurar las interfaces que ser aisladas o puertos de host de la comunidad, y asignar pertenencia a la VLAN a la acogida
puerto. Consulte la "Configuracin de una interfaz de capa 2 como un puerto privado-VLAN Host" en la pgina 19-11.
Paso 4
Configurar las interfaces como puertos promiscuos, y mapear los puertos promiscuos a la primaria a la secundaria
Par VLAN. Consulte la "Configuracin de una interfaz de capa 2 como privado-VLAN Promiscuo puerto" en la
pgina 19-13.
Paso 5
Si se utiliza el enrutamiento entre VLAN, configurar la primaria SVI, y asignar VLANs secundarias a la
primaria. Consulte la "Mapping VLANs secundarias a una Capa VLAN Primaria 3 VLAN Interface" en la
pgina 19-13.
Paso 6
19-6
OL-29703-01
Captulo 19
Si el interruptor est funcionando VTP versin 1 o 2, debe configurar VTP al modo transparente. Despus
configurar una VLAN privada, no debe cambiar el modo de VTP al cliente o servidor. Para obtener informacin
acerca de VTP, consulte Captulo 17, "Configuracin de VTP." VTP versin 3 soporta VLANs privadas en todo
modos.
Con VTP versin 1 o 2, despus de haber configurado VLANs privadas, utilice el copy running-config
config startup comando EXEC privilegiado para guardar la configuracin de modo transparente VTP y
configuracin privado-VLAN en el archivo de configuracin de inicio del switch. De lo contrario, si se restablece el
interruptor,
el valor predeterminado es a modo de servidor VTP, que no soporta VLANs privadas. VTP versin 3 hace de soporte
VLANs privadas.
No se puede configurar la VLAN 1 o VLANs 1002-1005 como VLANs primarios o secundarios. Extendido
VLAN (VLAN ID de 1006 a 4094) pueden pertenecer a las VLAN privadas
Una VLAN primaria puede tener una VLAN aislado y mltiple comunidad VLAN asociada con l.
Una VLAN aislada o comunidad puede tener slo una VLAN primaria asociada a ella.
Aunque una VLAN privada contiene ms de una VLAN, slo un Spanning Tree Protocol (STP)
instancia se ejecuta durante todo el VLAN privado. Cuando una VLAN secundaria se asocia con el primario
VLAN, los parmetros STP de la VLAN primaria se propagan a la VLAN secundaria.
Puede activar DHCP snooping en VLANs privadas. Cuando se habilita DHCP snooping en la
primaria VLAN, que se propaga a las VLANs secundarias. Si configura DHCP en una secundaria
VLAN, la configuracin no surtir efecto si la VLAN primaria ya est configurado.
Le recomendamos que podar las VLANs privadas de los troncos en los dispositivos que no llevan el trfico
en las VLANs privadas.
Puede aplicar diferentes calidades de servicio (QoS) a las configuraciones de primaria, aislado, y de la comunidad
VLANs.
Sticky ARP
-Sticky entradas ARP son las que se aprenden en el SVI y Capa 3 interfaces. Ellos entradas no la edad
fuera.
-El ip pegajosa-arp comando de configuracin global slo se admite en SVI pertenecientes a
VLANs privadas.
19-7
Captulo 19
Layer 3 interfaces
SVI pertenecientes a las VLAN normales
SVI pertenecientes a las VLAN privadas
Para obtener ms informacin acerca del uso de la ip pegajosa-arp mundial la configuracin y el ip pegajosa-arp
interfaz comandos de configuracin, vea la referencia de comandos para esta versin.
Puede configurar mapas VLAN en VLAN primaria y secundaria (vase el "Configuracin de VLAN
Seccin de Mapas "en la pgina 40-32). Sin embargo, le recomendamos que configure los mismos mapas de VLAN
en VLANs primarias y secundarias privadas-VLAN y.
Cuando una trama de capa 2 es transmitido dentro de una VLAN privada, el mismo mapa de VLAN se aplica en el
lado la entrada y en el lado de salida. Cuando una trama se encamina desde el interior de una VLAN privada a un externa
puerto, el mapa privado-VLAN se aplica en el lado de entrada.
-Para las tramas que van ro arriba de un puerto host a un puerto promiscuo, el mapa VLAN configurada
Puede aplicar ACL del router slo en las primarias-VLAN SVI. La ACL se aplica tanto primaria
y VLAN secundaria trfico de Capa 3.
Aunque VLANs privadas proporcionan aislamiento de acogida en la capa 2, los anfitriones pueden comunicarse entre s
en la capa 3.
SPAN slo en una VLAN para controlar por separado la salida o el trfico de ingreso.
Use slo la configuracin privado-VLAN comandos para asignar puertos a primaria, aislados, o
comunidad VLANs. Puertos de nivel 2 de acceso asignados a las VLAN que se configuran como primaria,
aislados, o VLAN comunitarias estn inactivos mientras que la VLAN es parte de la VLAN privada
configuracin. Interfaces de capa 2 troncales permanecen en el estado de reenvo STP.
No configure los puertos que pertenecen a un PAgP o LACP EtherChannel como puertos privado-VLAN. Mientras
un puerto es parte de la configuracin de VLAN privada-, cualquier configuracin EtherChannel ya que es inactivo.
Activar puerto guardia Rpido y BPDU en los puertos aislados y de acogida de la comunidad para evitar bucles STP debido
a errores de configuracin y para acelerar la convergencia STP (vase Captulo 23, "Configuracin opcional
Spanning Tree Caractersticas "). Cuando est habilitado, STP aplica la funcin de guardia BPDU a todo Puerto
Fast-configurado Capa 2 puertos LAN. No habilite Puerto guardia Rpido y BPDU en puertos promiscuos.
Si elimina una VLAN utilizada en la configuracin privado-VLAN, los puertos privado-VLAN asociadas
con la VLAN convertido en inactiva.
Puertos privado-VLAN pueden ser en diferentes dispositivos de la red si los dispositivos son tronco-conectado y la
VLAN primaria y secundaria no se han eliminado de la cajuela.
19-8
OL-29703-01
Captulo 19
Nota
En algunos casos, la configuracin se acepta sin mensajes de error, pero los comandos no tienen ningn efecto.
Cuando snooping IGMP est habilitado en el conmutador (por defecto), la pila de conmutadores o switch admite ninguna
ms de 20 dominios privado-VLAN.
No configure una VLAN remota SPAN (RSPAN) como VLAN primaria o secundaria privada-VLAN.
Para obtener ms informacin acerca de SPAN, consulte Captulo 35, "Configuracin de SPAN y RSPAN."
No configure puertos privado-VLAN en las interfaces configuradas para estas otras caractersticas:
-dinmica de acceso pertenencia a la VLAN de puerto
-Protocolo de enlace troncal dinmico (DTP)
-Protocolo de Port Aggregation (PAgP)
-Link Aggregation Control Protocol (LACP)
-Multicast registro de VLAN (MVR)
-VLAN de voz
-Web del protocolo de comunicacin de cach (WCCP)
Puede configurar la autenticacin basada en puerto IEEE 802.1x en un puerto de VLAN privada, pero no lo hacen
configurar 802.1x con la seguridad del puerto, VLAN de voz, o ACL para cada usuario en puertos privado-VLAN.
Un host privado-VLAN o puerto promiscuo no pueden ser un puerto de destino SPAN. Si configura un
Puerto de destino SPAN como puerto privado-VLAN, el puerto se desactiva.
Si configura una direccin MAC esttica en un puerto promiscuo en la VLAN primaria, debe agregar
la misma direccin esttica a todas las VLANs secundarias asociadas. Si configura una direccin MAC esttica
en un puerto host en una VLAN secundaria, debe agregar la misma direccin MAC esttica a la asociada
VLAN primaria. Cuando se elimina una direccin MAC esttica de un puerto privado-VLAN, debe quitar
todas las instancias del MAC configurada abordan desde la VLAN privada.
Nota
Direcciones MAC dinmicas aprendidas en una VLAN de una VLAN privada se replican en el
asociada VLANs. Por ejemplo, una direccin MAC aprendida en una VLAN secundaria se replica
en la VLAN primaria. Cuando se elimina la direccin MAC dinmica original o caduca, el
direcciones replicados se eliminan de la tabla de direcciones MAC.
19-9
Captulo 19
Nota
El privado-vlan comandos no tienen efecto hasta que salga del modo de configuracin VLAN.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
vlan id_vlan
Paso 4
primaria privada-vlan
Paso 5
Salida
Paso 6
vlan id_vlan
Paso 7
aislado privado-vlan
Paso 8
Salida
Paso 9
vlan id_vlan
Paso 11 Salida
secondary_vlan_list
Paso 14 fin
Verifique la configuracin.
o
estado show interfaces
Paso 16 copy running-config startup config
Guarde sus entradas en el archivo de configuracin de inicio del switch. Para guardar el
configuracin privado-VLAN, es necesario guardar el VTP transparente
configuracin del modo de configuracin y privado-VLAN en el switch
archivo de configuracin inicial. De lo contrario, si es que se restablezca el interruptor, toma
por defecto
Modo de servidor VTP, que no soporta VLANs privadas.
19-10
OL-29703-01
Captulo 19
Cuando se asocia VLANs secundarias con una VLAN primaria, tenga en cuenta esta informacin sintaxis:
El secondary_vlan_list parmetro no puede contener espacios. Puede contener mltiples separados por comas
artculos. Cada elemento puede ser un nico ID privado-VLAN o un rango con guin de VLAN privadas-IDs.
El secondary_vlan_list parmetro puede contener mltiples de la comunidad ID de VLAN, pero slo uno
isolated ID de VLAN.
Utilice el eliminar palabra clave con un secondary_vlan_list para aclarar la asociacin entre la secundaria
VLAN y VLAN primaria.
El comando no tiene efecto hasta que se sale del modo de configuracin VLAN.
Este ejemplo muestra cmo configurar la VLAN 20 como VLAN primaria, VLAN 501 como VLAN aislada,
y VLAN 502 y 503 como comunidad VLAN, se asocien en una VLAN privada, y para verificar el
configuracin:
Switch # configure terminal
Switch (config) # vlan 20
Switch (config-vlan) # primaria privada-vlan
Switch (config-vlan) # Salida
Switch (config) # vlan 501
Switch (config-vlan) # aislado privado-vlan
Switch (config-vlan) # Salida
Switch (config) # vlan 502
Switch (config-vlan) # comunidad privada-vlan
Switch (config-vlan) # Salida
Switch (config) # vlan 503
Switch (config-vlan) # comunidad privada-vlan
Switch (config-vlan) # Salida
Switch (config) # vlan 20
Switch (config-vlan) # asociacin privada-vlan 501-503
Switch (config-vlan) # fin
Switch (config) # mostrar vlan vlan privada
TypePorts Primaria Secundaria
------- --------- ----------------- ----------------- ------------------------20501isolated
20502community
20503community
-20504non operativa
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
19-11
Captulo 19
Comando
Propsito
Paso 3
Paso 4
Paso 5
fin
Paso 6
Verifique la configuracin.
Paso 7
Este ejemplo muestra cmo configurar una interfaz como un puerto host privado-VLAN, lo asocian con un
par privado-VLAN, y verificar la configuracin:
Switch # configure terminal
Switch (config) # interfaz GigabitEthernet1 / 0/22
Switch (config-if) # switchport mode anfitrin privada-vlan
Switch (config-if) # switchport vlan privada-host-asociacin 20 501
Switch (config-if) # fin
Switch # show interfaces GigabitEthernet1 / 0/22 switchport
Nombre: Gi1 / 0/22
Switchport: Habilitado
Modo administrativo: host privado-vlan
Modo de funcionamiento: host privado-vlan
Administrativo encapsulacin Trunking: negociar
Operacional encapsulacin Trunking: nativo
Negociacin de Trunking: Off
Acceso Modo VLAN: 1 (por defecto)
Trunking modo nativo VLAN: 1 (por defecto)
Administrativo tagging VLAN nativa: habilitado
VLAN de voz: ninguno
Administrativo de acogida-asociacin-privada vlan: 20 501
Cartografa privada-vlan Administrativo: ninguno
Administrativo tronco privado-VLAN VLAN nativa: ninguno
Administrativo-privada vlan tronco nativo etiquetado VLAN: habilitado
Administrativo privado-vlan tronco encapsulacin: dot1q
Administrativo tronco privado-VLAN VLAN normales: ninguno
Administrativo tronco privado-VLAN VLANs privadas: ninguno
Operacional privado-vlan:
20 501
<Salida trunca>
19-12
OL-29703-01
Captulo 19
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
Verifique la configuracin.
Paso 7
Cuando se configura una interfaz de capa 2 como puerto promiscuo privado-VLAN, tenga en cuenta esta sintaxis
informacin:
El secondary_vlan_list parmetro no puede contener espacios. Puede contener mltiples separados por comas
artculos. Cada elemento puede ser un nico ID privado-VLAN o un rango con guin de VLAN privadas-IDs.
Introduzca un secondary_vlan_list, o utilizar la aadir palabra clave con un secondary_vlan_list para asignar el
VLANs secundarias al puerto promiscuo privado-VLAN.
Utilice el eliminar palabra clave con un secondary_vlan_list para borrar la asignacin entre secundaria
VLAN y el puerto promiscuo privado-VLAN.
Este ejemplo muestra cmo configurar una interfaz como un puerto promiscuo privado-VLAN y asignarla a un
VLAN privada. La interfaz es miembro de la VLAN primaria 20 y VLANs secundarias 501-503 son
asignada a la misma.
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/2
(config-if) # switchport mode-privada vlan promiscua
(config-if) # switchport privado-vlan mapeo 20 agregar 501-503
(config-if) # fin
Utilice el mostrar vlan vlan-privada o la mostrar el estado de la interfaz privilegiada comando Exec que muestre
VLANs primarias y secundarias y los puertos privados-VLAN en el switch.
19-13
Captulo 19
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
Verifique la configuracin.
Paso 6
Nota
El cartografa privada-vlan comando de configuracin de interfaz slo afecta al trfico privado-VLAN que es
Capa 3 conmutado.
Al asignar VLANs secundarias a la interfaz de Capa 3 VLAN de una VLAN primaria, tenga en cuenta esta sintaxis
informacin:
El secondary_vlan_list parmetro no puede contener espacios. Puede contener mltiples separados por comas
artculos. Cada elemento puede ser un nico ID privado-VLAN o un rango con guin de VLAN privadas-IDs.
Introduzca un secondary_vlan_list, o utilizar la aadir palabra clave con un secondary_vlan_list para asignar el
VLANs secundarias a la VLAN primaria.
Utilice el eliminar palabra clave con un secondary_vlan_list para borrar la asignacin entre secundaria
VLAN y la VLAN primaria.
Este ejemplo muestra cmo asignar las interfaces de VLAN 501and 502 a VLAN primaria 10, que
permite el enrutamiento de trfico de ingreso de VLAN secundaria de VLAN privada 501-502:
Switch # configure terminal
Switch (config) # vlan interfaz 10
Switch (config-if) # cartografa privada-vlan 501-502
Switch (config-if) # fin
Switch # show interfaces de mapeo privado-vlan
Tipo de interfaz secundaria VLAN
--------- -------------- ----------------vlan10501isolated
vlan10502community
19-14
OL-29703-01
Captulo 19
Comando
Propsito
show interface
cartografa privada-vlan
19-15
Captulo 19
19-16
OL-29703-01
E R CH A P T
20
Nota
IEEE 802.1Q y Capa 2 Tunneling Protocol no se admiten en los interruptores que ejecutan la base LAN
conjunto de caractersticas.
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Este captulo contiene las siguientes secciones:
20-1
Captulo 20
paquetes etiquetados. Un puerto configurado para soportar IEEE 802.1Q tnel se denomina puerto tnel. Cuando se
configurar un tnel, se asigna un puerto de tnel a una ID de VLAN que se dedica a un tnel. Cada cliente
requiere un proveedor de servicios de ID de VLAN separada, pero eso ID VLAN soporta todas las VLAN del cliente.
El trfico de clientes etiquetado de la manera normal con IDs de VLAN apropiadas proviene de un IEEE 802.1Q
puerto de lnea externa en el dispositivo cliente y en un puerto de tnel en el conmutador de acceso de proveedores de servicios. El
enlace
entre el dispositivo cliente y el conmutador de borde es asimtrico porque un extremo est configurado como un
Puerto de enlace troncal IEEE 802.1Q, y el otro extremo est configurado como un puerto de tnel. Se asigna el puerto de tnel
interfaz a un ID de VLAN de acceso que es nica para cada cliente. Ver Figura 20-1.
Figura 20-1
Un cliente
VLAN 1 a 100
Un cliente
VLAN 1 a 100
Puerto Tnel
VLAN 30
Tronco
puertos
Puerto Tnel
VLAN 30
Tronco
puertos
Puerto Tnel
VLAN 40
Puerto Tnel
VLAN 40
Puerto de enlace troncal 802.1Q
Cliente B
VLAN 1 a 200
Tronco
Enlace asimtrico
Cliente B
VLAN 1 a 200
Los paquetes que vienen del puerto de lnea del cliente en el puerto del tnel en el conmutador de acceso de proveedores de servicios
estn normalmente IEEE 802.1Q etiquetado con el ID de VLAN correspondiente. Los paquetes de la categora permanecen intactos
en el interior del interruptor y al salir del puerto de lnea externa a la red de proveedores de servicios, que son
encapsulado con otra capa de una etiqueta IEEE 802.1Q (llamado metro etiqueta) que contiene la VLAN
ID que es nico para el cliente. El cliente original de etiqueta IEEE 802.1Q se conserva en la
paquete encapsulado. Por lo tanto, los paquetes que entran en la red de proveedores de servicios son una doble marca, con
la etiqueta exterior (metro) que contiene ID de VLAN de acceso del cliente, y el ID de VLAN interior siendo la de
el trfico entrante.
Cuando el paquete de doble etiquetado entra en otro puerto de enlace troncal en un interruptor de la base de proveedores de
servicios, la etiqueta externa
se pela como el interruptor procesa el paquete. Cuando el paquete sale de otro puerto de enlace troncal en el mismo ncleo
interruptor, la misma etiqueta de metro se aadi de nuevo al paquete. Figura 20-2 muestra las estructuras de la etiqueta de la
paquetes de doble etiquetado.
20-2
OL-29703-01
Captulo 20
Figura 20-2
Original (Normal), IEEE 802.1Q, y haga doble Tagged Ethernet Formatos de paquetes
Fuente
Direccin
DestinationLength /
addressEtherType
Verificacin de trama
Secuencia
DA
SA
Len / Etype
DA
SA
Etype
DA
SA
Datos
Tag
FCS
Len / Etype
Datos
FCS
74072
Etype
Tag
Etype
Tag
Len / Etype
Datos
FCS
-Doble etiquetado
marco en el servicio
proveedor
infraestructura
Cuando el paquete entra en el puerto de lnea del interruptor de salida de proveedores de servicios, la etiqueta exterior es de nuevo
despojado como el interruptor procesa internamente el paquete. Sin embargo, no se agrega la etiqueta de metro cuando el
paquete se enva a travs del puerto de tnel en el conmutador de acceso a la red del cliente. El paquete se enva como un
cuadro normal IEEE 802.1Q-etiquetado para preservar los nmeros de las VLAN originales en la red del cliente.
En Figura 20-1, Un cliente se le asigna VLAN 30, y el Cliente B fue asignado VLAN 40. paquetes
entrar en los puertos de tnel interruptor borde con etiquetas IEEE 802.1Q son dos marcas cuando entran en el
la red de proveedores de servicios, con la etiqueta externa que contiene el ID de VLAN 30 o 40, apropiadamente, y el interior
la etiqueta que contiene el nmero de VLAN original, por ejemplo, VLAN 100. Incluso si ambos clientes A y B
tener VLAN 100 en sus redes, el trfico sigue siendo segregados dentro de la red de proveedores de servicios
porque la etiqueta exterior es diferente. Cada cliente controla su propio espacio numerado de VLAN, lo que es
independiente del espacio de numeracin VLAN utilizada por otros clientes y el espacio de numeracin VLAN
utilizado por la red de proveedores de servicios.
En el puerto de salida del tnel, los nmeros de las VLAN originales en la red del cliente se recuperan. Es
posible tener mltiples niveles de tneles y de marcado, pero el cambio slo admite un nivel en este
liberacin.
Si el trfico procedente de una red cliente no est etiquetado (tramas VLAN nativa), estos paquetes se puentean
o no se colocan en forma de paquetes normales. Todos los paquetes que entran en la red de proveedores de servicios a travs de un
tnel en el puerto
un conmutador de acceso son tratados como paquetes sin etiqueta, si son sin etiquetar o ya etiquetados con IEEE
Cabeceras 802.1Q. Los paquetes se encapsulan con el ID tag VLAN metro (ajustado a la VLAN de acceso
el puerto de tnel) cuando se envan a travs de la red de proveedores de servicios en un puerto de enlace troncal IEEE 802.1Q.
El campo de prioridad en la etiqueta de metro se establece en la clase de interfaz de servicio (CoS) prioridad configurados en el
puerto tnel. (El valor predeterminado es cero si no est configurado.)
El Catalyst 3750-E Catalyst 3750-X interruptores, porque tnel 802.1Q est configurado en un puerto perbase, no importa si el interruptor es un interruptor independiente o un miembro de la pila. Toda la configuracin
que se hace en el maestro de la pila.
20-3
Captulo 20
VLAN nativas
Al configurar IEEE 802.1Q tnel en un conmutador de acceso, debe utilizar puertos troncales IEEE 802.1Q para
el envo de paquetes en la red de proveedores de servicios. Sin embargo, los paquetes que van a travs del ncleo de la
la red de proveedores de servicios se puede realizar a travs de los troncos de IEEE 802.1Q, troncos de ISL, o enlaces nontrunking.
Cuando se utilizan troncos IEEE 802.1Q en estos conmutadores de ncleo, las VLAN nativas de los troncos de IEEE 802.1Q
no debe coincidir con ningn VLAN nativa del puerto nontrunking (tnel) en el mismo conmutador porque el trfico
en la VLAN nativa no se ha marcado en el puerto troncal enviar IEEE 802.1Q.
Ver Figura 20-3. VLAN 40 se configura como la VLAN nativa para el puerto de enlace troncal IEEE 802.1Q de
X de cliente en el interruptor de borde de entrada de la red de proveedores de servicios (Interruptor B). Switch A de
Cliente X enva un paquete etiquetado en la VLAN 30 al puerto de tnel de entrada de conmutador B en el
red de proveedor de servicios, que pertenece a acceder VLAN 40. Debido a que la VLAN de acceso del tnel
puerto (VLAN 40) es la misma que la VLAN nativa del puerto de enlace troncal borde-switch (VLAN 40), el metro
etiqueta no se agrega a los paquetes etiquetados recibidos desde el puerto de tnel. El paquete lleva slo la VLAN 30
etiqueta a travs de la red de proveedores de servicios para el puerto de lnea del interruptor de salida de ltima generacin (Switch
C) y es
mal dirigido por el puerto tnel interruptor de salida a Y. Cliente
20-4
OL-29703-01
Captulo 20
Utilice troncos ISL entre conmutadores de ncleo de la red de proveedores de servicios. Aunque cliente
interfaces conectadas a conmutadores de extremo deben ser troncos IEEE 802.1Q, se recomienda utilizar los troncos de ISL
para la conexin de los interruptores en la capa de ncleo.
Utilice el vlan dot1q etiqueta nativa comando de configuracin global para configurar el conmutador de acceso de manera que
todos los paquetes que salgan por una troncal IEEE 802.1Q, incluyendo la VLAN nativa, etiquetados. Si el interruptor
est configurado para etiquetar paquetes VLAN nativas en todas las troncales IEEE 802.1Q, el conmutador acepta sin etiquetar
paquetes, pero slo enva paquetes etiquetados.
Asegrese de que el ID de VLAN nativa en el puerto de lnea de borde interruptor no est dentro de la VLAN cliente
gama. Por ejemplo, si el puerto de enlace troncal transporta el trfico de VLAN 100 y 200, asigne la VLAN nativa
un nmero fuera de ese rango.
Figura 20-3
Tag no aadida
para la VLAN 40
Tag
eliminado
Cambiar D
Cliente X
VLAN 30-40
Native VLAN 40
Servicio
proveedor
Puerto Tnel
VLANs 5-50
Cambie B
Paquete etiquetado
para la VLAN 30
Interruptor A
Cliente X
Puerto Tnel
Acceso VLAN 40
Nativo
VLAN 40
Cambie C VLAN 40
Q
Puerto Tnel
Acceso VLAN 30
802.1Q
puerto troncal
VLAN 30-40
Native VLAN 40
Tronco
Enlace asimtrico
Ruta correcta para el trfico
Ruta incorrecta para el trfico debido a la
mala configuracin de VLAN nativa
mediante el envo de puerto en el conmutador B
Q puertos troncales 802.1Q =
Cambiar E
Y al Cliente
101820
Sistema MTU
El sistema de MTU por defecto para el trfico en el interruptor es de 1500 bytes. Puede configurar puertos Fast Ethernet
en el Catalyst 3750 miembros en la pila de switches de hardware mixto para apoyar marcos ms grande que
1500 bytes mediante el uso de la mtu sistema comando de configuracin global.
Puede configurar los puertos 10-Gigabit y Gigabit Ethernet para apoyar marcos mayores de 1500 bytes por
usando el jumbo mtu sistema comando de configuracin global.
Los valores de MTU sistema de MTU y el sistema de jumbo no incluyen la cabecera IEEE 802.1Q. Debido a que el
Caracterstica de tnel IEEE 802.1Q aumenta el tamao del marco de 4 bytes cuando se agrega la etiqueta de metro, debe
configurar todos los conmutadores de la red de proveedores de servicios para ser capaz de procesar tramas mximos aadiendo
4 bytes en el sistema de MTU y del sistema tamaos de MTU Jumbo.
20-5
Captulo 20
Por ejemplo, el switch soporta un tamao mximo de la trama de 1496 bytes con una de estas configuraciones:
El interruptor tiene un valor MTU Jumbo sistema de 1.500 bytes, y el switchport modo tnel dot1q
comando de configuracin de interfaz est configurada en un 10-Gigabit o puerto del switch Gigabit Ethernet.
El miembro Catalyst 3750 cuenta con un sistema de valores MTU de 1500 bytes, y el dot1q switchport mode
tnel comando de configuracin de interfaz est configurado en un puerto Fast Ethernet del miembro.
Para obtener informacin acerca del sistema mxima permitida MTU el 10-Gigabit y Gigabit Ethernet
interfaces, consulte Tabla 15-5 en la pgina 15-43.
Enrutamiento IP no est soportado en una VLAN que incluye puertos IEEE 802.1Q. Los paquetes recibidos de un
puerto tnel se envan basndose nicamente en la informacin de Capa 2. Si el enrutamiento est habilitado en un interruptor
interfaz virtual (SVI), que incluye los puertos de tnel, los paquetes IP sin etiquetar recibidas desde el puerto de tnel
son reconocidos y encaminado por el conmutador. El cliente puede acceder a Internet a travs de su VLAN nativa.
Si no se necesita este acceso, no debe configurar SVI sobre las VLAN que incluyen puertos de tnel.
Puente de retorno no se admite en los puertos de tnel. Debido a que todos los paquetes etiquetados IEEE 802.1Qrecibido de un puerto de tnel son tratados como paquetes no-IP, si puenteo de reserva est habilitada en las VLAN
que tienen puertos de tnel configurados, los paquetes IP se puentean inadecuadamente a travs de VLANs.
Por lo tanto, usted debe no habilitar el uso de puente sobre las VLAN con puertos de tnel.
Capa 3 de calidad del servicio (QoS) ACL y otros QoS funciones relacionadas con la informacin de capa 3 son
no se admite en los puertos de tnel. QoS basada en MAC se admite en los puertos de tnel.
Grupos de puertos EtherChannel son compatibles con los puertos de tnel mientras el IEEE 802.1Q
configuracin es coherente dentro de un grupo de puertos EtherChannel.
Protocolo de Port Aggregation (PAgP), Link Aggregation Control Protocol (LACP), y unidireccional
Link Detection (UDLD) son compatibles con puertos IEEE 802.1Q tnel.
Dinmica Trunking Protocol (DTP) no es compatible con IEEE 802.1Q tunneling por fuerza
configurar manualmente vnculos asimtricos con puertos de tneles y puertos troncales.
VLAN Trunking Protocol (VTP) no funciona entre los dispositivos que estn conectados por una
enlace asimtrico o dispositivos que se comunican a travs de un tnel.
Cuando un puerto est configurado como un puerto de tnel IEEE 802.1Q, spanning-tree unidad de datos de protocolo de
puente
(BPDU) de filtrado se activa automticamente en la interfaz. Cisco Protocolo de deteccin (CDP) y el
Capa Enlace Discovery Protocol (LLDP) se desactiva de forma automtica en la interfaz.
20-6
OL-29703-01
Captulo 20
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Entre en el modo de configuracin de interfaz para la interfaz que se configura como una
puerto tnel. Este debera ser el puerto de borde de la red de proveedores de servicios
que se conecta al interruptor de cliente. Interfaces vlidos incluyen fsica
interfaces y las interfaces lgicas de puerto-canal (canales de puerto 1 a 48).
Paso 3
Paso 4
Paso 5
Salida
Paso 6
(Opcional) Ajuste el interruptor para permitir el etiquetado de paquetes VLAN nativas en todo
Puertos troncales IEEE 802.1Q. Cuando no se establece, y un ID de VLAN del cliente es la
misma como la VLAN nativa, el puerto de enlace troncal no se aplica una etiqueta de metro, y
paquetes pueden ser enviados a un destino equivocado.
Paso 7
fin
Paso 8
show running-config
mostrar dot1q-tnel
Paso 9
Utilice el no switchport mode dot1q-tnel comando de configuracin de interfaz para volver al puerto para la
estado por defecto de dinmica deseable. Utilice el ninguna etiqueta nativa dot1q vlan comando de configuracin global para
desactivar el etiquetado de paquetes VLAN nativas.
Este ejemplo muestra cmo configurar una interfaz como un puerto de tnel, permite el etiquetado de VLAN nativa
paquetes, y verificar la configuracin. En esta configuracin, la ID de VLAN para el cliente conectado a
Gigabit Ethernet interfaz 7 en miembro de la pila 1 es la VLAN 22.
Switch (config) # interfaz GigabitEthernet1 / 0/7
Switch (config-if) # switchport access vlan 22
% De acceso VLAN no existe. Creacin de VLAN 22
Switch (config-if) # switchport mode dot1q-tnel
Switch (config-if) # Salida
Switch (config) # vlan dot1q etiqueta nativa
Switch (config) # fin
Switch # show interface dot1q tnel GigabitEthernet1 / 0/7
Puerto
----Gi1 / 0/1 puerto
----Switch # mostrar dot1q Tag VLAN nativa
dot1q vlan nativa etiquetado est habilitado
20-7
Captulo 20
Nota
Los usuarios de cada uno de los sitios de los clientes pueden ejecutar correctamente STP, y cada VLAN pueden construir
una correcta
rbol de expansin en base a parmetros de todos los sitios y no slo desde el sitio local.
CDP descubre y muestra informacin acerca de los otros dispositivos de Cisco conectados a travs de la
la red de proveedores de servicios.
VTP proporciona una configuracin VLAN constante a travs de la red del cliente, propagando a todos
interruptores a travs del proveedor de servicios.
Para proporcionar interoperabilidad con otros proveedores, se puede utilizar el protocolo de capa 2-tnel de derivacin
funcin. Modo Bypass enva transparente PDUs de control a los conmutadores de proveedores que tienen diferentes maneras
de control de tneles de protocolo. Implementar el modo de derivacin al permitir Layer 2 Tunneling Protocol
en el puerto de lnea de salida. Cuando Layer 2 Tunneling Protocol est habilitado en el puerto de lnea externa, el encapsulado
la direccin MAC del tnel se retira y la paquetes de protocolo de tener su direccin MAC normal.
Layer 2 Tunneling Protocol se puede utilizar de forma independiente o se puede mejorar IEEE 802.1Q tnel. Si el protocolo
tnel no est habilitado en los puertos de tnel 802.1Q IEEE, interruptores remotos en el extremo receptor de la
la red de proveedores de servicios no recibe la PDU y no puede funcionar correctamente STP, CDP y VTP. Cuando
tnel de protocolo es habilitados, Capa 2 protocolos dentro de la red de cada cliente son totalmente independientes
desde los que ejecutan dentro de la red de proveedores de servicios. Interruptores de clientes en diferentes sitios que envan
trfico a travs de la red de proveedores de servicios con los estndares IEEE 802.1Q tunneling lograr un conocimiento completo
de VLAN del cliente. Si no se utiliza IEEE 802.1Q tnel, todava se puede permitir que la capa 2 del protocolo
tunelizacin mediante la conexin al interruptor de cliente a travs de puertos de acceso y permitiendo un tnel en la
proveedor de servicios de puerto de acceso.
Por ejemplo, en Figura 20-4, Cliente X tiene cuatro interruptores en la misma VLAN, que estn conectados
a travs de la red de proveedores de servicios. Si la red no PDU tnel, cambia en los extremos de
la red no puede funcionar correctamente STP, CDP y VTP. Por ejemplo, STP para una VLAN en un switch en
Cliente X, Sitio 1, construir un rbol de expansin en los conmutadores en ese sitio sin tener en cuenta
parmetros de convergencia basadas en el interruptor al Cliente de X en el sitio 2. Esto podra resultar en la topologa que se muestra
en Figura 20-5.
20-8
OL-29703-01
Captulo 20
Figura 20-4
X Cliente Sitio
1
VLANs 1ot
100
X Cliente Sitio
2
VLANs 1ot
100
VLAN 30
Servicio
proveedor
VLAN 30
VLAN 30
Tronco
puertos
Tronco
puertos
Interruptor
A
Cambie B
Cambie C
Cambiar D
Tronco
puertos
Tronco
puertos
VLAN 40
VLAN 40
101822
Cliente Sitio Y
1
VLANs 1ot
200
Tronco
Enlace
asimtrico
Cliente Sitio Y
2
VLANs 1ot
200
20-9
Captulo 20
Figura 20-5
Cliente X
red virtual
VLAN 1 a 100
101821
En una red de SP, puede utilizar Layer 2 Tunneling Protocol para mejorar la creacin de EtherChannels por
emular una topologa de red de punto a punto. Cuando se habilita el protocolo de tnel (PAgP o LACP) en
el interruptor SP, interruptores de clientes remotos reciben las PDU y pueden negociar la creacin automtica de
EtherChannels.
Por ejemplo, en Figura 20-6, Un cliente tiene dos interruptores en la misma VLAN que estn conectados
a travs de la red de SP. Cuando la red de tneles PDU, cambia en los extremos de la red puede
negociar la creacin automtica de EtherChannels sin necesidad de lneas dedicadas. Consulte la "Configuracin de
Layer 2 Tunneling para EtherChannels "en la pgina 20-15 para obtener instrucciones.
Figura 20-6
Servicio
Proveedor
EtherChannel 1
Un cliente
Sitio 1
VLAN 17
VLAN 18
VLAN 17
Interruptor A
Cambie C
VLAN 18
Un cliente
Sitio 2
VLAN 19
VLAN 19
VLAN 20
EtherChannel 1
101844
VLAN 20
Cambie B
Cambiar D
Tronco
Enlace asimtrico
20-10
OL-29703-01
Captulo 20
Precaucin PAgP, LACP, y UDLD protocolo de tnel slo se dise para emular una topologa punto a punto. Un
configuracin errnea de que enva paquetes de tnel a muchos puertos podra dar lugar a un fallo en la red.
Cuando el PDU de Capa 2 que entr en el proveedor de servicios de borde de entrada a travs de un interruptor de nivel 2
salida de puerto de protocolo habilitado a travs del puerto de lnea externa a la red de proveedores de servicios, el interruptor
sobrescribe el cliente PDU-direccin MAC de destino con un conocido multicast propiedad de Cisco
direccin (01-00-0c-cd-cd-d0). Si IEEE 802.1Q tnel est activado, los paquetes tambin son dos marcas; la
etiqueta externa es la etiqueta de metro cliente, y la etiqueta interior es etiqueta VLAN del cliente. Los conmutadores de ncleo
ignorar las etiquetas interiores y reenviar el paquete a todos los puertos troncales en la misma VLAN metro. El borde
interruptores en el lado de salida restaurar el protocolo apropiado de Capa 2 y la direccin MAC y
reenviar los paquetes a todos los puertos de tnel o de acceso en la misma VLAN metro. Por lo tanto, la PDU de capa 2
permanecer intactos y se entregan a travs de la infraestructura de proveedor de servicios para el otro lado de la
red del cliente.
20-11
Captulo 20
Ver Figura 20-4, con X e Y al Cliente al cliente en el acceso a las VLAN 30 y 40, respectivamente.
Enlaces asimtricos se conectan los clientes en el Sitio 1 de conmutadores de extremo en la red de proveedores de servicios. El
Capa 2 PDU (por ejemplo, BPDU) que entra en interruptor B de Y al Cliente en el Sitio 1 se reenvan a
la infraestructura en forma de paquetes de doble etiquetado con la direccin MAC conocida como destino MAC
direccin. Estos paquetes de doble etiquetado con etiquetas VLAN de metro 40, as como una etiqueta de VLAN interior
(Por ejemplo, VLAN 100). Cuando los paquetes de doble etiquetado entran Interruptor D, la etiqueta VLAN exterior 40 es
eliminado, la direccin MAC conocida es reemplazada por la direccin MAC correspondiente protocolo de Capa 2,
y el paquete se enva a Y al Cliente en el Sitio 2 como un marco de una sola etiquetado en la VLAN 100.
Tambin puede habilitar Layer 2 Tunneling Protocol en puertos de acceso en el conmutador de acceso conectado a acceso
o puertos de enlace troncal en el switch del cliente. En este caso, el proceso de encapsulacin y es el desencapsulado
misma como se describe en el prrafo anterior, excepto que los paquetes no son de doble etiquetado en el
la red de proveedores de servicios. La nica etiqueta es la etiqueta de acceso VLAN especfica del cliente.
En pilas de conmutacin, Capa de configuracin de tnel 2 protocolo se distribuye entre todos los miembros de la pila. Cada
miembro de la pila que recibe un paquete de entrada en un puerto local o encapsula y desencapsula el paquete
reenva al puerto de destino apropiado. En un solo interruptor, Capa de entrada en tnel del protocolo 2
el trfico se enva a travs de todos los puertos locales en la misma VLAN en la que se habilita un tnel de capa 2 del protocolo.
En una pila, los paquetes recibidos por un puerto de protocolo de tnel de capa 2 se distribuyen a todos los puertos de la pila
que estn configurados para Layer 2 Tunneling Protocol y se encuentran en la misma VLAN. Todo protocolo de capa 2
configuracin de un tnel es manejada por el maestro de la pila y se distribuye a todos los miembros de la pila.
Estas secciones contienen esta informacin de configuracin:
Caracterstica
Desactivado.
Umbral de desconexin
Ninguno establecido.
Umbral de la gota
Ninguno establecido.
Valor de CoS
20-12
OL-29703-01
Captulo 20
El switch soporta tneles de CDP, STP, incluyendo mltiples STP (MSTP), y VTP. Protocolo
tnel est desactivado por defecto, pero se puede habilitar para los protocolos individuales en IEEE 802.1Q
puertos de tnel o puertos de acceso.
El conmutador no soporta Layer 2 Tunneling Protocol en puertos con switchport modo dinmico
auto o dinmico deseable.
Los switches de borde en el lado de salida de la red de proveedores de servicios de restauracin de la capa adecuada 2
protocolo y la informacin de direccin MAC y reenviar los paquetes a todos los puertos y tneles de acceso en el
misma VLAN metro.
Para la interoperabilidad con los switches de otros proveedores, el switch soporta un protocolo de tnel de capa 2
La funcin de derivacin. Modo Bypass enva transparente PDUs de control a los conmutadores de proveedores que tienen
diferentes formas de control de protocolo tunneling.When Layer 2 Tunneling Protocol est habilitada en
puertos de ingreso en un switch, los puertos troncales egreso reenviar los paquetes de tnel con un especial
encapsulacin. Si tambin habilita Layer 2 Tunneling Protocol en el puerto de lnea de salida, este comportamiento
se pasa por alto, y los delanteros interruptor de control de PDU sin ningn tipo de procesamiento o modificacin.
El switch soporta PAgP, LACP, y tneles UDLD de red punto a punto emulado
topologas. Protocolo de tnel est desactivado por defecto, pero se puede habilitar para los protocolos individuales
en puertos IEEE 802.1Q tnel o en puertos de acceso.
Si habilita PAgP o tnel LACP, le recomendamos que tambin habilita UDLD en la interfaz
para la deteccin de fallo de enlace ms rpido.
La deteccin de bucle invertido no se admite en Layer 2 Tunneling Protocol de PAgP, LACP, o UDLD
paquetes.
Grupos de puertos EtherChannel son compatibles con puertos de tnel cuando la configuracin de IEEE 802.1Q es
coherente dentro de un grupo de puertos EtherChannel.
Si se recibe una PDU encapsulada (con la propiedad de direccin MAC de destino) a partir de un tnel
puerto o un puerto de acceso con un tnel de capa 2 est activado, el puerto de tnel se apaga para evitar bucles.
El puerto tambin se apaga cuando se alcanza un umbral de desconexin configurado para el protocolo. Usted puede
manualmente volver a habilitar el puerto (mediante la introduccin de un apagado y un no shutdown secuencia de comandos).
Si
recuperacin errdisable est activada, la operacin se vuelve a intentar despus de un intervalo de tiempo especificado.
Si el tnel protocolo est habilitado en una interfaz, se puede establecer una,, apagado por protocolo por puerto
umbral para las PDU generados por la red del cliente. Si se supera el lmite, se cierra la portuarias
hacia abajo. Tambin puede limitar la tasa de BPDU usando QoS ACLs y mapas de poltica en un puerto de tnel.
Si el tnel protocolo est habilitado en una interfaz, se puede establecer una por protocolo, por puerto, la cada
umbral para las PDU generados por la red del cliente. Si se supera el lmite, el puerto cae
PDU hasta que la velocidad a la que los recibe est por debajo del umbral de cada.
Debido PDU tunelizados (especialmente STP BPDU) debern ser entregadas a todos los sitios remotos de forma que el
red virtual del cliente funciona correctamente, puede dar PDU mayor prioridad dentro de la
la red de proveedores de servicios de paquetes de datos recibidos desde el mismo puerto de tnel. Por defecto, el
PDU usan el mismo valor de CoS como paquetes de datos.
20-13
Captulo 20
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Activar tunneling protocolo para el protocolo deseado. Si no se introduce ninguna palabra clave,
tnel est habilitado para todos los 2 protocolos de tres capas.
Paso 5
l2protocol-tnel
apagado umbral [Cdp | Stp | VTP]
valor
Paso 6
Paso 7
Salida
Paso 8
recuperacin errdisable causa l2ptguard (Opcional) Configure el mecanismo de recuperacin de una capa 2
error-tipo mximo para que la interfaz se vuelve a activar y se puede volver a intentarlo.
Recuperacin errdisable est desactivado por defecto; cuando est activada, el tiempo predeterminado
intervalo es de 300 segundos.
Paso 9
Paso 10 fin
20-14
OL-29703-01
Captulo 20
Utilice el no l2protocol-tnel [Cdp | stp |VTP] comando de configuracin de interfaz para deshabilitar el protocolo
tunelizacin para uno de los protocolos de capa 2 o para los tres. Utilice el no l2protocol-tnel
apagado umbral [Cdp | stp |VTP] y el no l2protocol-tnel gota umbral [Cdp | stp |VTP]
comandos para devolver los umbrales de desconexin y soltar a los ajustes predeterminados.
Este ejemplo muestra cmo configurar Layer 2 Tunneling Protocol para CDP, STP y VTP y verificar
la configuracin.
Switch (config) # interfaz GigabitEthernet1 / 0/11
Switch (config-if) # cdp l2protocol-tnel
Switch (config-if) # stp l2protocol-tnel
Switch (config-if) # VTP l2protocol-tnel
Switch (config-if) # l2protocol-tnel de apagado umbral 1500
Switch (config-if) # l2protocol-tnel gota umbral 1000
Switch (config-if) # Salida
Switch (config) # cos l2protocol tnel de 7
Switch (config) # fin
Switch # espectculo l2protocol
COS para encapsulados Paquetes: 7
PortProtocol apagado DropEncapsulation Decapsulation
CounterCounter Umbral Umbral
--------------- --------- --------- ------------- ---- --------Gi1 / 0/11 cdp15001000 22882282
stp15001000 11613
vtp15001000 367
PAgP -------- 00
lacp -------- 00
UDLD -------- 00
Gota
Contador
------------0
0
0
0
0
0
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un conmutador de acceso SP de la capa 2
tnel protocolo para EtherChannels:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
20-15
Captulo 20
Paso 5
Comando
Propsito
l2protocol-tnel
apagado umbral [Punto a punto
[PAgP | lacp |UDLD]] valor
Paso 6
Paso 7
no cdp permitir
Paso 8
Paso 9
Salida
Paso 10 recuperacin errdisable causa l2ptguard (Opcional) Configure el mecanismo de recuperacin de una capa 2
error-tipo mximo para que la interfaz se vuelve a activar y se puede volver a intentarlo.
Recuperacin errdisable est desactivado por defecto; cuando est activada, el tiempo predeterminado
intervalo es de 300 segundos.
Paso 11 cos l2protocol-tnel valor
Paso 12 fin
Utilice el no l2protocol-tnel [-Punto a punto [PAgP | lacp |UDLD]] configuracin de la interfaz de comandos para
desactivar el protocolo de tnel punto a punto para uno de los protocolos de capa 2 o para los tres. Utilice el no
l2protocol-tnel de apagado umbral [-Punto a punto [PAgP | lacp |UDLD]] y el no
l2protocol-tnel gota umbral [[Punto a punto [PAgP | lacp |UDLD]] comandos para devolver el
apagado y soltar los umbrales a la configuracin predeterminada.
20-16
OL-29703-01
Captulo 20
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
UDLD permitir
Paso 6
-grupo de canales del canal-grupo-nmero Asigne la interfaz a un grupo de canales, y especificar deseable para la PAgP
modo deseablede modo. Para obtener ms informacin acerca de la configuracin EtherChannels, consulte
Captulo 43, "Configuracin de EtherChannels y Link-Estado de seguimiento."
Paso 7
Salida
Paso 8
Paso 9
apagado
Apague la interfaz.
Paso 10 no shutdown
Habilitar la interfaz.
Paso 11 fin
PAgP
UDLD
punto a punto PAgP 1000
PAgP
UDLD
20-17
Captulo 20
Switch
Switch
Switch
Switch
Switch
Este ejemplo muestra cmo configurar el interruptor al cliente al sitio 1. las interfaces Fast Ethernet 1, 2, 3 y 4
se establecen para IEEE 802.1Q trunking, UDLD est habilitada, EtherChannel grupo 1 est activada, y el puerto
canal se cierra y luego activar para activar la configuracin EtherChannel.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
dot1q
dot1q
dot1q
dot1q
20-18
OL-29703-01
Captulo 20
Comando
Propsito
mostrar dot1q-tnel
mostrar l2protocol-tnel
Para obtener informacin detallada acerca de estas pantallas, consulte la referencia de comandos para esta versin.
20-19
Captulo 20
20-20
OL-29703-01
E R CH A P T
21
Configuracin STP
En este captulo se describe cmo configurar el protocolo Spanning Tree (STP) en VLANs basadas en puertos de la
Catalyst 3750-E o 3560-E Catalyst 3750-X o switch 3560-X. El interruptor se puede utilizar tanto el per-VLAN
spanning-tree plus protocolo (TSVP +) basado en el estndar IEEE 802.1D y propiedad de Cisco
extensiones, o el protocolo rpido por VLAN spanning-tree ms (rpido-TSVP +) basado en el estndar IEEE
Estndar 802.1w. Una pila interruptor aparece como un solo nodo del rbol de expansin para el resto de la red, y
todos los miembros de la pila utilizan el mismo ID de puente. A menos que se indique lo contrario, el trmino interruptor se refiere a
un catalizador
3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor independiente ya un Catalyst 3750-E
Catalizador pila de switches 3750-X.
Para obtener informacin sobre el Protocolo de rbol de expansin mltiple (MSTP) y cmo asignar mltiples VLANs
a la misma instancia de spanning-tree, consulte Captulo 22, "Configuracin de MSTP." Para obtener informacin sobre otros
caractersticas de spanning-tree como Fast Port, UplinkFast proteccin de raz, y as sucesivamente, consulte Captulo 23,
"Configuracin de las funciones opcionales de Spanning-Tree."
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Este captulo consta de las siguientes secciones:
La comprensin de spanning-tree
Caractersticas
Estas secciones contienen esta informacin conceptual:
Cmo un Switch o puerto se convierte en el switch raz o Puerto raz, pgina 21-8
21-1
Captulo 21
Configuracin STP
Para obtener informacin de configuracin, consulte la "Configuracin de Spanning-Tree Caractersticas" en la pgina 21-13.
Para obtener informacin acerca de las caractersticas de spanning-tree opcionales, consulte Captulo 23, "Configuracin
opcional
Spanning Tree Caractersticas ".
STP Informacin
general
STP es un protocolo de gestin de enlace de capa 2 que proporciona redundancia de rutas, mientras que la prevencin de bucles en la
red. Para una red Ethernet de Capa 2 para que funcione correctamente, slo un camino activo puede existir entre
dos estaciones. Caminos activos mltiple entre estaciones finales causan bucles en la red. Si existe un bucle
en la red, las estaciones finales pueden recibir mensajes duplicados. Los interruptores tambin pueden aprender estacin final
Direcciones MAC en mltiples Capa 2 interfaces. Estas condiciones resultan en una red inestable.
Operacin spanning-tree es transparente a las estaciones finales, que no puede detectar si estn conectados
a un solo segmento de LAN o una LAN conmutada de mltiples segmentos.
El STP utiliza un algoritmo spanning-tree para seleccionar un interruptor de una red conectada de forma redundante como el
raz del rbol de expansin. El algoritmo calcula la mejor ruta sin bucles a travs de una capa de conmutacin 2
red mediante la asignacin de un papel a cada puerto sobre la base del papel del puerto en la topologa activa:
Alterna-Un puerto bloqueado proporcionar una ruta alternativa para el puente raz en el rbol de expansin
21-2
OL-29703-01
Captulo 21
Configuracin STP
La comprensin de spanning-tree Caractersticas
Nota
De forma predeterminada, el conmutador enva mensajes de actividad (para detectar las condiciones de bucle locales) slo en las
interfaces
que no tienen mdulos de factor de forma pequeo conectable (SFP). Puede cambiar el valor predeterminado para una interfaz
introduciendo el [no] keepalive comando de configuracin de interfaz sin palabras clave.
El ID de puente nico (prioridad interruptor y la direccin MAC) asociado a cada VLAN en cada
interruptor. En una pila de switches, todos los switches utilizan el mismo ID de puente para una instancia de spanning-tree
dado.
La ruta spanning-tree cost al conmutador raz.
El identificador de puerto (prioridad de puerto y la direccin MAC) asociado a cada interfaz de capa 2.
Cuando los interruptores en una red se encienden, cada uno funciona como el switch raz. Cada interruptor enva una
BPDU de configuracin a travs de todos sus puertos. Las BPDU se comunican y calcular el spanning-tree
topologa. Cada BPDU de configuracin contiene esta informacin:
El ID de puente nico del interruptor que el interruptor de envo identifica como el switch raz
Cuando un conmutador recibe una BPDU de configuracin que contiene superiores informacin (ID de puente ms bajo,
coste de la ruta inferior, y as sucesivamente), almacena la informacin para ese puerto. Si este BPDU se recibe en la raz
puerto del switch, el switch tambin lo enva con un mensaje de actualizacin a todos los LAN conectadas para que
es el interruptor designado.
Si un conmutador recibe una BPDU de configuracin que contiene inferior informacin a la que actualmente almacena durante
ese puerto, descarta la BPDU. Si el switch es un conmutador designado para la LAN de la que el inferior
BPDU se recibe, enva una BPDU LAN que contiene la informacin actualizada, fecha almacenada para que
puerto. De esta manera, la informacin inferior se descarta y se propaga informacin superior en la
red.
A los efectos por fluctuacin BPDU en estas acciones:
Un interruptor en la red es elegido como el switch raz (el centro lgico del spanning-tree
topologa en una red conmutada). En una pila de conmutadores, un miembro de la pila es elegido como la raz pila
interruptor. El switch raz pila contiene el puerto raz saliente (Switch 1), como se muestra en Figura 21-1
en la pgina 21-4.
Para cada VLAN, el switch con la prioridad ms alta del interruptor (el valor de prioridad numrica ms baja) es
elegido como el switch raz. Si todos los interruptores se configuran con la prioridad por defecto (32768), el interruptor
con la direccin MAC ms baja de la VLAN se convierte en el interruptor de raz. El valor de prioridad conmutador
ocupa los bits ms significativos de la ID de puente, como se muestra en Tabla 21-1 en la pgina 21-5.
Un puerto raz se selecciona para cada interruptor (excepto el interruptor de raz). Este puerto proporciona el mejor camino
(Menor costo) cuando el interruptor enva paquetes al conmutador raz.
Al seleccionar el puerto raz en una pila de switches, rbol de expansin sigue esta secuencia:
-Selecciona la raz ID ms bajo puente
21-3
Captulo 21
Configuracin STP
Slo un puerto de salida en el switch raz pila est seleccionado como puerto raz. Los interruptores restantes
en la pila convertido sus interruptores designados (Switch 2 y Switch 3) como se muestra en Figura 21-1 en
pgina 21-4.
La distancia ms corta hacia el switch raz se calcula para cada interruptor basado en el coste de la ruta.
Se selecciona un interruptor designado para cada segmento de LAN. El interruptor designado incurre en la ruta de menor
costo al reenviar paquetes desde que LAN hacia el switch raz. El puerto a travs del cual el
conmutador designado se conecta a la LAN se llama el puerto designado.
Figura 21-1
DP
RP saliente
Switch 1
DP
StackWise Plus
conexiones de los puertos
RP
BP
DP
Raz del spanning-tree
Interruptor A
Switch 2
RP
DP
Switch 3
RP = puerto raz
DP = puerto designado
BP = puerto bloqueado
RP
Cambie B
159890
Todos los caminos que no sean necesarios para alcanzar el interruptor de la raz de cualquier parte de la red conmutada se colocan
en el modo de bloqueo de spanning-tree.
21-4
OL-29703-01
Captulo 21
Configuracin STP
La comprensin de spanning-tree Caractersticas
Bit 16
Bit 15
Bit 14
Bit 13
Bit 12
Bit 11
Bit 10
Bit 9
Bit 8
Bit 7
Bit 6
Bit 5
Bit 4
Bit 3
Bit 2
Bit 1
32768
16384
8192
4096
2048
1024
512
256
128
64
32
16
rbol de expansin utiliza el ID de sistema extendido, la prioridad de conmutacin, y el asignado spanning-tree MAC
direccin para que el bridge ID nica para cada VLAN. Debido a que el interruptor de pila aparece como un solo
cambiar a la resto de la red, todos los interruptores en la pila utilizan el mismo ID de puente para una spanning dado
rbol. Si el maestro de la pila falla, los miembros de la pila recalculan sus ID de puente de todos los rboles de expansin en
ejecucin
basado en la nueva direccin MAC de la nueva maestra de la pila.
Soporte para el ID de sistema extendido determina la configuracin de forma manual el interruptor de la raz, el secundario
switch raz, y la prioridad de un interruptor de VLAN. Por ejemplo, cuando se cambia el valor de prioridad de conmutacin,
cambia la probabilidad de que el interruptor ser elegido como el switch raz. Configuracin de un valor ms alto
disminuye la probabilidad; un valor ms bajo aumenta la probabilidad. Para obtener ms informacin, consulte la
"Configuracin de la Raz Switch" en la pgina 21-17, la "Configuracin de un Switch Raz Secundaria"
en la pgina 21-18, y el "Configuracin de la prioridad de un conmutador VLAN" en la pgina 21-22.
Escuchar-El primer estado de transicin despus del estado de bloqueo cuando el rbol de expansin decide que
la interfaz debe participar en el redireccionamiento de marco.
Desactivado: la interfaz no est participando en rbol de expansin debido a un puerto de cierre, hay un vnculo en
el puerto, o ninguna instancia spanning-tree que se ejecuta en el puerto.
21-5
Captulo 21
Configuracin STP
Figura 21-2 ilustra cmo una interfaz mueve a travs de los estados.
Figura 21-2
Power-on
inicializacin
Bloqueo
estado
Escuchar
estado
Disabled
estado
Aprendizaje
estado
Reenvo
estado
43569
Al encender el interruptor, Spanning Tree est activada por defecto, y cada interfaz en el interruptor,
VLAN, o de la red pasa por el estado de bloqueo y los estados transitorios de escuchar y aprender.
rbol de expansin estabiliza cada interfaz en el reenvo o estado de bloqueo.
Cuando el algoritmo spanning-tree coloca una interfaz de capa 2 en el estado de envo, este proceso se produce:
1.
La interfaz est en el estado de escucha mientras espera a que el rbol de expansin informacin de protocolo para mover el
interfaz para el estado de bloqueo.
Mientras que el rbol de expansin espera el temporizador con visin de retardo de expirar, se mueve la interfaz para el
aprendizaje
estado y restablece el temporizador avance-retardo.
3. En el estado de aprendizaje, la interfaz sigue bloqueando el redireccionamiento de marco como el switch aprende
estacin final de informacin de ubicacin para la base de datos de reenvo.
2.
4.
Cuando el temporizador con visin de retardo expire, rbol de expansin mueve la interfaz con el estado de envo,
donde el aprendizaje y el redireccionamiento de marco estn habilitados.
Estado de bloqueo
Una interfaz de capa 2 en el estado de bloqueo no participa en el redireccionamiento de marco. Despus de la inicializacin, una
BPDU se enva a cada interfaz del conmutador. Un interruptor inicialmente funciona como la raz hasta que intercambia BPDU
con otros switches. Este intercambio establece que cambiar en la red es el switch raz o root. Si
21-6
OL-29703-01
Captulo 21
Configuracin STP
La comprensin de spanning-tree Caractersticas
slo hay un interruptor en la red, no se produce el intercambio, el temporizador-retardo expire hacia adelante, y el
interfaz mueve al estado de escucha. Una interfaz siempre entra en el estado de bloqueo tras la conexin
inicializacin.
Una interfaz en el estado de bloqueo realiza estas funciones:
No aprende direcciones
Recibe BPDU
Estado Escuchar
El estado escuchando es el primer estado de una interfaz de capa 2 entra despus de que el estado de bloqueo. La interfaz entra
este estado cuando el rbol de expansin decide que la interfaz debe participar en el redireccionamiento de marco.
Una interfaz en el estado de escucha realiza estas funciones:
No aprende direcciones
Recibe BPDU
Estado Aprendizaje
Una interfaz de capa 2 en el estado de aprendizaje se prepara para participar en el redireccionamiento de marco. La interfaz entra
el estado aprendiendo del estado de escucha.
Una interfaz en el estado de aprendizaje realiza estas funciones:
Aprende direcciones
Recibe BPDU
Estado de reenvo
Una interfaz de capa 2 en el estado de reenvo enva tramas. La interfaz pasa al estado de reenvo
desde el estado de aprendizaje.
Una interfaz en el estado de reenvo realiza estas funciones:
Aprende direcciones
Recibe BPDU
21-7
Captulo 21
Configuracin STP
Estado
discapacitados
Una interfaz de capa 2 en el estado inhabilitado no participa en el redireccionamiento de marco o en el rbol de expansin.
Una interfaz en el estado desactivado es no operacional.
Una interfaz de discapacitados realiza estas funciones:
No aprende direcciones
No recibe BPDU
DP
DP
DP
D
RP
DP
RP
DP
RP
86475
RP = Raz Puerto
DP = Puerto designado
Cuando la topologa de spanning-tree se calcula en base a los parmetros por defecto, la ruta entre el origen y
estaciones terminales de destino en una red conmutada podra no ser ideal. Por ejemplo, la conexin de mayor velocidad
enlaces a una interfaz que tiene un nmero mayor que el puerto raz puede causar un cambio de raz-puerto. El objetivo
es hacer que el enlace ms rpido del puerto raz.
Por ejemplo, supongamos que un puerto en el interruptor B es un enlace Gigabit Ethernet y que otro puerto
Interruptor B (un enlace 10/100) es el puerto raz. El trfico de red puede ser ms eficiente en el Gigabit
Enlace Ethernet. Al cambiar la prioridad de puerto spanning-tree en el puerto Gigabit Ethernet para una mayor
prioridad (valor numrico ms bajo) que el puerto raz, el puerto Gigabit Ethernet se convierte en el nuevo puerto raz.
21-8
OL-29703-01
Captulo 21
Configuracin STP
La comprensin de spanning-tree Caractersticas
Enlace activo
Enlace Bloqueado
101226
Estaciones de Trabajo
Tambin puede crear enlaces redundantes entre switches mediante el uso de grupos EtherChannel. Para obtener ms
informacin, consulte Captulo 43, "Configuracin de EtherChannels y Link-Estado de seguimiento."
21-9
Captulo 21
Configuracin STP
Debido a que cada VLAN es una instancia de spanning-tree por separado, el interruptor acelera el envejecimiento en una VLAN
perbase. Una reconfiguracin spanning-tree en una VLAN puede hacer que las direcciones dinmicas aprendidas en ese
VLAN que han de someterse a un envejecimiento acelerado. Direcciones dinmicas en otras VLAN se vern afectados y
estando sujetas al intervalo de envejecimiento entr para el switch.
TSVP +: este modo de spanning-tree se basa en el estndar IEEE 802.1D y propiedad de Cisco
extensiones. Es el modo de spanning-tree por defecto utilizado en todas las VLAN basadas en puertos Ethernet. La TSVP +
se ejecuta en cada VLAN en el switch hasta el mximo admitido, asegurando que cada uno tiene un bucle de libre
camino a travs de la red.
La TSVP + proporciona la capa 2 de equilibrio de carga para la VLAN en la que se ejecuta. Puede crear
diferentes topologas lgicas mediante el uso de la VLAN en la red para asegurarse de que todos los vnculos son
utilizado, pero que nadie enlace es un exceso de solicitudes. Cada instancia de TSVP + en una VLAN tiene una sola raz
interruptor. Este switch raz se propaga la informacin spanning-tree asociado a esa VLAN a todos
otros switches en la red. Debido a que cada interruptor tiene la misma informacin acerca de la red, este
proceso asegura que se mantiene la topologa de red.
PVST + rpido: este modo de spanning-tree es el mismo que el TSVP +, salvo que emplea un rpido
convergencia basada en el estndar IEEE 802.1w. Para proporcionar una rpida convergencia, el rpido TSVP +
inmediatamente borra dinmicamente aprendido entradas de direcciones MAC en una base por puerto al recibir una
cambio de topologa. Por el contrario, TSVP + utiliza un tiempo de envejecimiento abreviatura de direcciones MAC aprendidas
dinmicamente
entradas.
El PVST + rpido utiliza la misma configuracin que TSVP + (excepto cuando se indique), y las necesidades de conmutacin
nica configuracin adicional mnimo. El beneficio de PVST + rpido es que se puede migrar un gran TSVP +
base instalada de PVST + rpido sin tener que aprender las complejidades de la configuracin MSTP y
sin tener que aprovisionar su red. En rpida-TSVP + modo, cada VLAN tiene su propio
instancia de spanning-tree hasta el mximo admitido.
-Este MSTP modo spanning-tree se basa en el estndar IEEE 802.1s. Puede asignar mltiples
VLAN a la misma instancia de spanning-tree, lo que reduce el nmero de instancias de spanning-tree
requerida para soportar un gran nmero de VLAN. El MSTP se ejecuta en la parte superior de la RSTP (basado en
IEEE 802.1w), que proporciona para la rpida convergencia del rbol de expansin mediante la eliminacin de la
dilacin y por la transicin rpida puertos raz y los puertos designados para el estado de reenvo.
En una pila de switches, la rpida transicin cruzada pila (CSRT) funcin realiza la misma funcin que
RSTP. No se puede ejecutar sin RSTP o MSTP CSRT.
El despliegue inicial ms comn de MSTP es en las capas de cadena principal y de distribucin de un
Capa de red de conmutacin 2. Para obtener ms informacin, consulte Captulo 22, "Configuracin de MSTP."
Para obtener informacin sobre el nmero de instancias de spanning-tree compatibles, consulte la siguiente seccin.
21-10
OL-29703-01
Captulo 21
Configuracin STP
La comprensin de spanning-tree Caractersticas
TSVP +
MSTP
Rpido TSVP +
TSVP +
S (con restricciones)
S (vuelve a TSVP +)
MSTP
S (con restricciones)
S (vuelve a TSVP +)
Rpido TSVP +
S (vuelve a TSVP +)
S (vuelve a TSVP +)
En un MSTP mixta y TSVP + red, el rbol de expansin comn (CST) de la raz debe estar dentro del MST
espina dorsal, y un interruptor de TSVP + no pueden conectarse a mltiples regiones del MST.
Cuando una red contiene interruptores que ejecutan PVST + rpido y conmutadores corriendo TSVP +, le recomendamos
que el rpido-TSVP + interruptores y conmutadores TSVP + configurarse para diferentes instancias de spanning-tree.
En el rpido-TSVP + instancias de spanning-tree, el switch raz debe ser un rpido TSVP + switch. En el
TSVP + casos, el interruptor de la raz debe ser un TSVP + switch. Los interruptores TSVP + deberan estar en el borde
de la red.
Todos los miembros de la pila se ejecutan la misma versin del rbol de expansin (todos TSVP +, todo PVST + rpido, o todos
MSTP).
21-11
Captulo 21
Configuracin STP
Una pila interruptor aparece como un solo nodo del rbol de expansin para el resto de la red, y todos pila
los miembros utilizan el mismo ID de puente para un rbol de expansin dado. El ID de puente se deriva de la MAC
direccin de la maestra de la pila.
Cuando un nuevo interruptor se une a la pila, se establece su ID de puente para el ID de puente pila-master. Si el recin
interruptor aadido tiene el ID ms bajo y si el coste de la ruta raz es la misma entre todos los miembros de la pila, la
interruptor de recin aadido se convierte en la raz de la pila.
Cuando un miembro de la pila deja la pila, reconvergencia spanning-tree se produce dentro de la pila (y
posiblemente fuera de la pila). El miembro de la pila restante con el ID de puerto pila ms bajo se convierte en el
raz pila.
Si el maestro de la pila falla o deja la pila, los miembros de la pila eligen a un nuevo maestro de la pila, y toda la pila
miembros a cambiar sus identificaciones puente de los rboles de expansin para el nuevo ID de puente maestro.
Si la pila de switches es la raz del spanning tree y el maestro de la pila falla o deja la pila, la pila
miembros eligen a un nuevo maestro de la pila, y un reconvergencia spanning-tree se produce.
21-12
OL-29703-01
Captulo 21
Configuracin STP
Configuracin de las funciones de spanning-tree
Si un nuevo interruptor externo a la pila interruptor se aade a la red, el procesamiento normal de spanning tree
ocurre. Reconvergencia Spanning-rbol podra ocurrir como resultado de la adicin de un interruptor en la red.
Para obtener ms informacin sobre las pilas de conmutacin, consulte Captulo 5, "Gestin de Pilas
interruptor."
Caracterstica
Habilitar estado
Habilitado en la VLAN 1.
Para obtener ms informacin, consulte la "Apoyado
Spanning Tree seccin Instancias "en la
pgina 21-10.
Modo Spanning-tree
Prioridad Interruptor
32768.
128.
1000 Mb / s: 4.
100 Mb / s: 19.
10 Mb / s: 100.
128.
21-13
Captulo 21
Configuracin STP
Tabla 21-3
Caracterstica
1000 Mb / s: 4.
100 Mb / s: 19.
10 Mb / s: 100.
Temporizadores spanning-tree
Precaucin Interruptores que no ejecutan rbol de expansin todava hacia adelante BPDU que reciben de modo que el otro
interruptores de la VLAN que tienen una instancia en ejecucin spanning-tree puede romper lazos. Por lo tanto, abarca
rbol debe estar corriendo en suficientes switches para romper todos los lazos en la red; por ejemplo, al menos uno
interruptor en cada bucle en la VLAN debe estar en ejecucin rbol de expansin. No es absolutamente necesario ejecutar
rbol de expansin en todos los switches en la VLAN. Sin embargo, si est ejecutando rbol de expansin slo en una mnima
conjunto de conmutadores, un cambio imprudente a la red que introduce otro bucle en la VLAN puede
dar lugar a una tormenta de difusin.
Nota
Si ya ha utilizado todas las instancias de spanning-tree disponibles en su interruptor, la adicin de otra VLAN
en cualquier parte del dominio VTP crea una VLAN que no se ejecuta el rbol de expansin en ese interruptor. Si
tiene la lista de permitidos de forma predeterminada en los puertos troncales de ese interruptor, la nueva VLAN est realizado en
todos los puertos troncales.
Dependiendo de la topologa de la red, esto podra crear un bucle en la nueva VLAN que no ser
roto, sobre todo si hay varios interruptores adyacentes que todos se han quedado sin instancias de spanning-tree.
Usted puede prevenir esta posibilidad mediante la creacin de listas permitidos en los puertos troncales de interruptores que han
utilizado
hasta su asignacin de instancias de spanning-tree. Configuracin de listas de permitidos no es necesario en muchos casos y
puede hacer que sea ms mano de obra para agregar otra VLAN a la red.
21-14
OL-29703-01
Captulo 21
Configuracin STP
Configuracin de las funciones de spanning-tree
Precaucin Guardia Loop funciona slo en enlaces punto a punto. Recomendamos que cada extremo del enlace tiene una directa
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
(Recomendado para el modo rpido TSVP + solamente) Especifica una interfaz para
configurar, y entrar en el modo de configuracin de interfaz. Interfaces vlidas
incluir puertos fsicos, VLANs y canales portuarios. El rango de ID de VLAN
es de 1 a 4094. El rango de puertos de canal es de 1 a 48.
Paso 4
(Recomendado para el modo rpido TSVP + solamente) Especifica que el tipo de enlace
para este puerto es de punto a punto.
Si conecta este puerto (puerto local) a un puerto remoto a travs de un
enlace punto a punto y el puerto local se convierte en un puerto designado, el
interruptor negocia con el puerto remoto y cambia rpidamente lo local
puerto al estado de reenvo.
Paso 5
fin
21-15
Captulo 21
Configuracin STP
Paso 6
Comando
Propsito
Paso 7
y
mostrar interfaz de spanning-tree
interface-id
Paso 8
Para volver a la configuracin por defecto, utilice el ningn modo spanning-tree comando de configuracin global. Para volver
el puerto a su configuracin por defecto, utilice el no spanning-tree-tipo de enlace comando de configuracin de interfaz.
Desactivacin de Spanning
Tree
rbol de expansin est habilitada de forma predeterminada en la VLAN 1 y en todas las VLAN de nueva creacin hasta el
spanning-tree
lmites indicados en el Seccin "Instancias Spanning Tree admitidos" en la pgina 21-10. rbol de expansin Desactivar
slo si est seguro de que no hay bucles en la topologa de la red.
Precaucin Cuando rbol de expansin est desactivado y bucles estn presentes en la topologa, el trfico excesivo e indefinido
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a habilitar spanning-tree, utilice el vlan spanning-tree id_vlan comando de configuracin global.
21-16
OL-29703-01
Captulo 21
Configuracin STP
Configuracin de las funciones de spanning-tree
El vlan spanning-tree id_vlan raz comando de configuracin global falla si el valor necesario para ser el
switch raz es menor que 1.
Nota
Si su red se compone de switches que tanto hacen y no son compatibles con el ID del sistema ampliado, es poco probable
que el interruptor con el apoyo de ID del sistema ampliado se convertir en el switch raz. El sistema ampliado
ID aumenta el valor de prioridad interruptor cada vez que el nmero de VLAN es mayor que la prioridad de la
interruptores conectados ejecutan el software ms viejos.
Nota
El switch raz para cada instancia de spanning-tree debe ser un interruptor de la columna vertebral o la distribucin. No
configurar un switch de acceso como la raz primaria spanning-tree.
Utilice el de dimetro palabra clave para especificar el dimetro de red de capa 2 (es decir, el nmero mximo de
interruptor salta entre dos estaciones finales en la red de capa 2). Cuando se especifica la red
dimetro, el switch configura automticamente un momento ptimo hola, momento en adelante-delay, y la edad mxima
tiempo para una red de ese dimetro, que puede reducir significativamente el tiempo de convergencia. Usted puede utilizar
la hola palabra clave para anular el tiempo hola calculado automticamente.
Nota
Despus de configurar el switch como el switch raz, se recomienda que evite la configuracin manual de la
hola tiempo tiempo, con visin de demora y el tiempo mximo de edad a travs de la vlan spanning-tree id_vlan
hola a tiempo, VLAN spanning-tree id_vlan forward-time, y el vlan spanning-tree id_vlan max-age
comandos de configuracin global.
21-17
Captulo 21
Configuracin STP
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un switch para convertirse en la raz de la
VLAN especificada. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el no spanning-tree vlan id_vlan raz configuracin global
de comandos.
21-18
OL-29703-01
Captulo 21
Configuracin STP
Configuracin de las funciones de spanning-tree
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un switch para convertirse en la secundaria
raz de la VLAN especificada. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Para vlan-id, puede especificar una nica VLAN identificada por VLAN
Nmero de identificacin, un rango de VLAN separadas por un guin, o una serie
de VLANs separadas por una coma. El rango es de 1 a 4094.
Utilice los mismos valores en tiempo hola dimetro de la red y que utiliz
al configurar el switch raz primaria. Consulte la "Configuracin de la
Switch raz "en la pgina 21-17.
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el no spanning-tree vlan id_vlan raz configuracin global
de comandos.
Nota
Si el interruptor es un miembro de una pila de switches, debe utilizar el spanning-tree [Vlan vlan-id] costo costo
comando de configuracin de interfaz en lugar de la spanning-tree [Vlan vlan-id] port-priority prioridad
comando de configuracin de interfaz para seleccionar una interfaz que poner en el estado de reenvo. Asignar un menor coste
valores a las interfaces que desea que se seleccion en primer lugar y los valores de costo ms alto que desea que se seleccion por
ltima. Para
ms informacin, consulte la Seccin "Configuracin de Coste de ruta" en la pgina 21-21.
21-19
Captulo 21
Configuracin STP
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la prioridad de puerto de una interfaz.
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
o
mostrar vlan spanning-tree id_vlan
Paso 7
Nota
El mostrar interfaz de spanning-tree interface-id slo privilegiado EXEC comando muestra informacin
si el puerto se encuentra en estado operativo de enlace-up. De lo contrario, puede utilizar la show interface running-config
comando privilegiado EXEC para confirmar la configuracin.
Para volver a la configuracin por defecto, utilice el no spanning-tree [Vlan vlan-id] port-priority interfaz
comando de configuracin. Para obtener informacin sobre cmo configurar la comparticin de carga en los puertos troncales
utilizando
prioridades del puerto spanning-tree, ver la Seccin "Configuracin de troncales Puertos de reparto de carga" en la pgina 16-22.
21-20
OL-29703-01
Captulo 21
Configuracin STP
Configuracin de las funciones de spanning-tree
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
o
mostrar vlan spanning-tree id_vlan
Paso 7
Nota
El mostrar interfaz de spanning-tree interface-id slo privilegiado EXEC comando muestra informacin
para los puertos que se encuentran en un estado operativo enlace arriba. De lo contrario, puede utilizar la show running-config
privilegiada
Comando EXEC para confirmar la configuracin.
21-21
Captulo 21
Configuracin STP
Para volver a la configuracin por defecto, utilice el no spanning-tree [Vlan vlan-id] costo configuracin de la interfaz
de comandos. Para obtener informacin sobre cmo configurar la comparticin de carga en los puertos troncales utilizando
spanning-tree camino
costos, ver la Seccin "Configuracin de troncales Puertos de reparto de carga" en la pgina 16-22.
Configuracin de la prioridad de un
conmutador VLAN
Puede configurar la prioridad del interruptor y hacer que sea ms probable que un interruptor independiente o un interruptor en el
pila ser elegido como el switch raz.
Nota
Tenga cuidado al utilizar este comando. Para la mayora de las situaciones, se recomienda que utilice la
vlan spanning-tree id_vlan primaria de la raz y el vlan spanning-tree id_vlan races secundarias mundial
Comandos de configuracin para modificar la prioridad de conmutacin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la prioridad de un interruptor de VLAN. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el no spanning-tree vlan id_vlan prioridad configuracin global
de comandos.
21-22
OL-29703-01
Captulo 21
Configuracin STP
Configuracin de las funciones de spanning-tree
Variable
Descripcin
Hola temporizador
Nota
Tenga cuidado al utilizar este comando. Para la mayora de las situaciones, se recomienda que utilice la
vlan spanning-tree id_vlan primaria de la raz y el vlan spanning-tree id_vlan races secundarias mundial
Comandos de configuracin para modificar el tiempo de saludar.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el tiempo de saludar de una VLAN. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el no spanning-tree vlan id_vlan hola a tiempo configuracin global
de comandos.
21-23
Captulo 21
Configuracin STP
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el no spanning-tree vlan id_vlan -en adelante mundial
comando de configuracin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el tiempo mximo para un envejecimiento
VLAN. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el no spanning-tree vlan id_vlan max-age configuracin global
de comandos.
21-24
OL-29703-01
Captulo 21
Configuracin STP
Presentacin del estado del Spanning-Tree
Nota
El cambio de este parmetro en un valor ms alto puede tener un impacto significativo en la utilizacin de la CPU, especialmente
en el modo Rpido-TSVP. La disminucin de este valor puede ralentizar la convergencia en ciertos escenarios. Nosotros
recomendamos que mantenga la configuracin predeterminada.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la transmisin de retencin recuento. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el ninguna transmisin spanning-tree atraco recuento valor mundial
comando de configuracin.
Comando
Propsito
Muestra un resumen de los estados de interfaz o muestra de las lneas totales de la STP
seccin Estado.
Nota
En una pila de switches, el proceso de spanning-tree informa ambos puertos de pila fsicas en un miembro de la pila como una
puerto lgico.
Puede borrar los contadores de spanning-tree utilizando el claro-rbol de expansin [Interfaz interface-id]
comando EXEC privilegiado.
Para obtener informacin acerca de otras palabras clave para la show spanning-tree comando privilegiado EXEC, consulte la
referencia de comandos para esta versin.
21-25
Captulo 21
Configuracin STP
21-26
OL-29703-01
E R CH A P T
22
Configuracin de
MSTP
En este captulo se describe cmo configurar la implementacin de Cisco de la IEEE 802.1s STP mltiple
(MSTP) en el Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor.
Nota
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Este captulo consta de las siguientes secciones:
22-1
Captulo 22
Configuracin de MSTP
Entendimiento MSTP
Entendimiento MSTP
MSTP, RSTP que utiliza para una rpida convergencia, permite VLAN para agrupar en un rbol de expansin
ejemplo, con cada instancia que tiene una topologa independiente spanning-tree de otra-rbol de expansin
casos. Esta arquitectura ofrece varias rutas de reenvo para el trfico de datos, permite el balanceo de carga,
y reduce el nmero de instancias de spanning-tree necesarios para apoyar un gran nmero de VLAN.
Estas secciones se describe cmo funciona el MSTP:
Para obtener informacin de configuracin, consulte la Seccin "Configuracin de MSTP Caractersticas" en la pgina
22-14.
Un rbol de expansin interna (IST), que es el rbol de expansin que se ejecuta en una regin MST.
Dentro de cada regin MST, el MSTP mantiene varias instancias de spanning-tree. Instancia 0 es un
instancia especial para una regin, conocido como el rbol de expansin interna (IST). Todas las dems instancias del MST son
numerada 1-4094.
22-2
OL-29703-01
Captulo 22
Configuracin de MSTP
Entendimiento MSTP
El IST es la nica instancia de spanning-tree que enva y recibe BPDU. Todos los dems
informacin de la instancia de spanning-tree se encuentra en M-registros, que estn encapsulados dentro de MSTP
BPDU. Debido a que el MSTP BPDU lleva la informacin para todos los casos, el nmero de BPDU que
necesitan ser procesados para soportar mltiples instancias de spanning-tree se reduce significativamente.
Todas las instancias del MST dentro de la misma regin comparten los mismos temporizadores de protocolo, pero cada
instancia MST
tiene sus propios parmetros de topologa, como ID switch raz, coste de la ruta raz, y as sucesivamente. Por defecto, todos los
Las VLAN se asignan a la IST.
Una instancia MST es local en la regin; por ejemplo, instancia MST 1 en la regin A es independiente de
Instancia de MST 1 en la regin B, incluso si las regiones A y B estn interconectadas.
Un rbol de expansin comn e interna (CIST), que es una coleccin de las TSI en cada regin MST,
y el rbol de expansin comn (CST) que interconecta las regiones del MST y los rboles individuales que abarcan.
El rbol de expansin calculada en una regin aparece como un sub-rbol en el CST, que abarca la totalidad de
dominio de conmutacin. El CIST est formado por el algoritmo de spanning tree corriendo entre interruptores que
apoyar el IEEE 802.1w, IEEE 802.1s, y las normas IEEE 802.1D. El CIST dentro de un MST
regin es la misma que la CST fuera de una regin.
Para obtener ms informacin, consulte la Seccin "Operaciones dentro de una regin MST" en la pgina 22-3 y el
Seccin "Operaciones Entre MST Regiones" en la pgina 22-3.
Nota
La aplicacin de la norma de la IEEE 802.1s, cambia algunos de los trminos asociados con MST
implementaciones. Para un resumen de estos cambios, consulte Tabla 21-1 en la pgina 21-5.
22-3
Captulo 22
Configuracin de MSTP
Entendimiento MSTP
El IST conecta todos los interruptores MSTP en la regin y se presenta como un subrbol en el CIST que
abarca todo el dominio de conmutacin. La raz del sub-rbol es la raz regional CIST. El MST
regin aparece como un conmutador virtual a conmutadores STP adyacentes y regiones del MST.
Figura 22-1 muestra una red con tres regiones MST y un interruptor IEEE 802.1D legado (D). El CIST
raz regional para la regin 1 (A) es tambin la raz CIST. La raz CIST regional para la regin 2 (B) y la cista
raz regional para la regin 3 (C) son las races de sus respectivos subrboles dentro de la cista. El RSTP corre
en todas las regiones.
Figura 22-1
Un maestro IST
y la raz de CST
D
Legado IEEE 802.1D
MST Regin 1
Maestro IST
MST Regin 2
Maestro IST
Regin MST 3
92983
Slo la instancia CST enva y recibe BPDU, y las instancias del MST aadir su spanning-tree
informacin en las BPDU para interactuar con los interruptores vecinos y calcular el spanning-tree definitiva
topologa. Debido a esto, los parmetros de spanning-tree relacionados con la transmisin BPDU (por ejemplo,
hola tiempo, momento en adelante, max-age, y max-saltos) se configuran slo en la instancia CST sino que afectan a todos
Instancias del MST. Los parmetros relacionados con la topologa de spanning-tree (por ejemplo, la prioridad de conmutacin,
puerto
Costo VLAN, y el puerto de prioridad VLAN) se pueden configurar tanto en la instancia CST y la instancia de MST.
Interruptores MSTP utilizan la versin 3 RSTP BPDU o IEEE 802.1D STP BPDU se comuniquen con el legado
IEEE 802.1D cambia. Interruptores MSTP utilizan MSTP BPDU para comunicarse con los interruptores de MSTP.
22-4
OL-29703-01
Captulo 22
Configuracin de MSTP
Entendimiento MSTP
La raz CIST es el switch raz para la instancia nica que se extiende por toda la red, la cista.
El coste de la ruta raz externa CIST es el costo de la raz CIST. Este costo no se modifica dentro de un
Regin MST. Recuerde que una regin MST se parece a un solo interruptor de la cista. El CIST
coste de la ruta raz externa es el coste de la ruta raz calculada entre estos interruptores y conmutadores virtuales
que no pertenecen a ninguna regin.
La raz regional CIST se llamaba el maestro IST en la implementacin norma previa. Si el CIST
raz est en la regin, la raz CIST regional es la raz CIST. De lo contrario, la raz es regional CIST
el interruptor ms cercano a la raz CIST en la regin. La raz CIST regional acta como un switch raz para
el IST.
El coste de la ruta raz interna CIST es el costo de la raz CIST regional en una regin. Este costo es slo
relevante para el IST, ejemplo 0.
IEEE estndar
Cisco estndar
Maestro IST
Raz de la instancia
Raz de la instancia
Conde Hop
Los casos de IST y MST no utilizan la informacin-edad mensaje y-edad mxima en el
BPDU de configuracin para calcular la topologa de spanning-tree. En su lugar, usan el coste de la ruta a la raz
y un mecanismo de conteo de saltos similar al tiempo a vivir IP (TTL) mecanismo.
Mediante el uso de la spanning-tree mst max-saltos comando de configuracin global, puede configurar el
saltos mximos dentro de la regin y aplicarlo a la IST y todas las instancias del MST en esa regin. El hop
conteo alcanza el mismo resultado que la informacin de la edad de mensajes (desencadena una reconfiguracin). La raz
interruptor de la instancia siempre enva una BPDU (o M-registro) con un coste de 0 y el nmero de saltos se establece en la
valor mximo. Cuando un switch recibe este BPDU, se disminuye el nmero de saltos recibido restante por
uno y se propaga este valor como el nmero de saltos que queda en las BPDU que genera. Cuando el recuento
llegue a cero, el conmutador descarta el BPDU y edades la informacin contenida para el puerto.
La era de mensaje y la informacin-edad mxima en la porcin del RSTP BPDU siguen siendo los mismos
toda la regin, y los mismos valores se propagan por los puertos regin designadas en el
lmite.
22-5
Captulo 22
Configuracin de MSTP
Entendimiento MSTP
Puertos de frontera
En la implementacin Cisco norma previa, un puerto lmite conecta una regin MST a una sola
spanning-tree regin que corre RSTP, a una sola regin de spanning-tree corriendo TSVP + o PVST + rpido,
o a otra regin MST MST con una configuracin diferente. Un puerto de frontera tambin se conecta a una red LAN,
el conmutador designado de los cuales es un interruptor spanning-tree simple o un interruptor con una MST diferente
configuracin.
No existe una definicin de un puerto lmite en el estndar IEEE 802.1s. El estndar IEEE 802.1Q-2002
identifica dos tipos de mensajes que un puerto puede recibir: interno (procedente de la misma regin) y
externo. Cuando un mensaje es externo, es recibido solamente por el CIST. Si el papel CIST es root o suplente,
o si el BPDU externo es un cambio en la topologa, podra tener un impacto en las instancias del MST. Cuando un
mensaje es interno, la parte CIST es recibida por el CIST, y cada instancia de MST recibe su respectivo
M-registro. La implementacin de Cisco norma previa trata a un puerto que recibe un mensaje externo como un
puerto lmite. Esto significa un puerto no puede recibir una mezcla de mensajes internos y externos.
Una regin MST incluye dos interruptores y LAN. Un segmento pertenece a la regin de su designado
puerto. Por lo tanto, un puerto en una regin diferente del puerto designado para un segmento es un puerto lmite.
Esta definicin permite que dos puertos internos a una regin para compartir un segmento con un puerto perteneciente a una
diferentes regiones, creando la posibilidad de recibir tanto mensajes internos y externos en un puerto.
El cambio principal de la aplicacin Cisco norma previa es que un puerto designado no est definido
como lmite, a menos que se est ejecutando en un modo compatible con STP.
Nota
Si hay un interruptor STP legado en el segmento, los mensajes se consideran siempre externo.
El otro cambio de la aplicacin norma previa es que el campo ID interruptor de raz regional es CIST
ahora insertada en donde un interruptor de IEEE 802.1Q RSTP o legado tiene el interruptor de ID del remitente. Toda la regin
realiza como un nico switch virtual mediante el envo de un interruptor de ID del remitente en consonancia con los conmutadores
vecinos.
En este ejemplo, el interruptor de C recibira una BPDU con el mismo ID consistente interruptor de remitente de raz,
si A o B se designa para el segmento.
El puerto lmite es el puerto raz de la raz CIST regional-Cuando el puerto de la instancia es CIST
propuso y est sincronizado, puede enviar de vuelta a un acuerdo y pasar al estado de reenvo slo despus
todos los puertos MSTI correspondientes estn sincronizados (y expedicin de este modo). Los puertos MSTI tienen ahora una
especial master papel.
22-6
OL-29703-01
Captulo 22
Configuracin de MSTP
Entendimiento MSTP
El puerto de frontera no es el puerto raz de la cista la raz: los puertos regionales MSTI siguen el estado
y el papel del puerto CIST. El estndar proporciona menos informacin, y que podra ser difcil de
entender por qu un puerto MSTI puede alternativamente bloqueando cuando recibe ninguna BPDU (MRecords).
En este caso, aunque el papel lmite ya no existe, la espectculo comandos de identificar un puerto como
en el lmite Tipo columna de la salida.
Figura 22-2
MST
Regin
Interruptor A
Cambie B
92721
Segmento Y
Nota
22-7
Captulo 22
Configuracin de MSTP
Entendimiento MSTP
Figura 22-3 ilustra una falla de enlace unidireccional que normalmente crea un bucle de puente. Interruptor A es el
switch raz, y su BPDU se pierden en el enlace que lleva a cambiar B. RSTP y MST BPDU incluyen la
funcin y el estado del puerto de envo. Con esta informacin, el interruptor A puede detectar que el interruptor B no reacciona
a las BPDU superior, que enva y que el interruptor B es el, no switch raz designado. Como resultado, el interruptor
A bloques (o mantiene el bloqueo) de su puerto, evitando as el bucle de puenteo.
Figura 22-3
Cambiar
A
Superior
BPDU
Cambiar
B
Inferior BPDU,
Designado + Learning bit igual
92722
22-8
OL-29703-01
Captulo 22
Configuracin de MSTP
Entendimiento RSTP
a un puerto cuando el conmutador al que se conecta este interruptor se ha unido a la regin. Para reiniciar el protocolo
proceso de migracin (forzar la renegociacin con los interruptores vecinos), utilice el claro-rbol de expansin
-protocolos detectados comando EXEC privilegiado.
Si todos los interruptores de legado en el enlace son interruptores RSTP, pueden procesar MSTP BPDU como si fueran
RSTP BPDU. Por lo tanto, los interruptores MSTP envan una configuracin Versin 0 y TCN BPDU o
Versin 3 MSTP BPDU en un puerto lmite. Un puerto lmite se conecta a una LAN, el interruptor designado
de los cuales es o bien un interruptor de spanning-tree sencillo o un switch con una configuracin de MST diferente.
Entendimiento RSTP
El RSTP se aprovecha de cableado punto a punto y ofrece una rpida convergencia del rbol de expansin.
La reconfiguracin del rbol de expansin puede ocurrir en menos de 1 segundo (en contraste con 50 segundos con la
configuracin predeterminada en el rbol de expansin IEEE 802.1D).
Estas secciones se describe cmo funciona el RSTP:
Para obtener informacin de configuracin, consulte la Seccin "Configuracin de MSTP Caractersticas" en la pgina
22-14.
Designado puerto-Se conecta al conmutador designado, que incurre en el costo ms bajo camino cuando
reenvo de paquetes desde que LAN hacia el switch raz. El puerto a travs del cual el interruptor designado
est unido a la LAN se llama el puerto designado.
Suplente puerto-Ofrece una ruta alternativa hacia el switch raz a la proporcionada por la raz actual
puerto.
Puerto-Hechos de copia de seguridad como una copia de seguridad para la ruta proporcionada por un puerto designado hacia
las hojas de la
rbol de expansin. Un puerto de backup slo puede existir cuando hay dos puertos conectados en un bucle de retorno por un
punto-a-punto de enlace o cuando un interruptor tiene dos o ms conexiones a un segmento de LAN compartido.
Disabled puerto-no tiene ningn papel en el funcionamiento del rbol de expansin.
Un puerto con la raz o un papel puerto designado se incluye en la topologa activa. Un puerto con el suplente
o papel de puerto de copia de seguridad est excluido de la topologa activa.
22-9
Captulo 22
Configuracin de MSTP
Entendimiento RSTP
En una topologa estable con funciones de los puertos coherentes en la red, el RSTP asegura que cada raz
puerto y puerto designado transicin de inmediato al estado de envo, mientras que todos alternativo y copia de seguridad
puertos son siempre en el estado descarte (equivalente a bloqueo en IEEE 802.1D). Los controles del Estado del puerto
la operacin de los procesos de reenvo y de aprendizaje. Tabla 22-2 proporciona una comparacin de los
IEEE 802.1D y estados del puerto RSTP.
Tabla 22-2
Activado
Activado
Escuchar
Descartando
No
Activado
Aprendizaje
Aprendizaje
Activado
Reenvo
Reenvo
Disabled
Disabled
Descartando
No
Estado operacional
Para ser consistente con las implementaciones Cisco STP, esta gua define el Estado del puerto como bloqueo lugar
de descarte. Puertos designados comienzan en el estado de escucha.
Convergencia Rpida
El RSTP ofrece una rpida recuperacin de la conectividad tras el fracaso de un interruptor, un puerto de switch, o
una LAN. Proporciona una rpida convergencia para los puertos de ltima generacin, nuevos puertos de raz, y puertos conectados
a travs de
punto a punto enlaces de la siguiente manera:
Puertos-Edge Si configura un puerto como un puerto de borde en un conmutador RSTP mediante el uso de la spanning-tree
portfast comando de configuracin de interfaz, el puerto de borde transiciones inmediatamente a la expedicin
estado. Un puerto de borde es lo mismo que un puerto puerto Fast permitido, y debe permitir que slo en los puertos
que se conectan a una nica estacin final.
Puertos-Si la raz del RSTP selecciona un nuevo puerto raz, bloquea el puerto viejo de la raz y de inmediato
transiciones del nuevo puerto raz al estado de reenvo.
Enlaces-Si-punto a punto de conectar un puerto a otro puerto a travs de un enlace punto a punto y lo local
puerto se convierte en un puerto designado, negocia una rpida transicin con el otro puerto mediante el uso de la
handshake propuesta-acuerdo para garantizar una topologa libre de bucles.
Como se muestra en Figura 22-4, Interruptor A est conectado a Switch B a travs de un enlace punto a punto, y todo
de los puertos estn en estado de bloqueo. Supongamos que la prioridad del conmutador A es un numrico ms pequeo
valor que la prioridad del conmutador B. Interruptor A enva un mensaje de propuesta (una BPDU de configuracin con
la propuesta indicador establecido) para cambiar B, proponindose como el interruptor designado.
Despus de recibir el mensaje de propuesta, Switch B selecciona como su nuevo puerto raz el puerto desde el que el
mensaje de propuesta fue recibida, obliga a todos los puertos nonedge al estado de bloqueo, y enva un
mensaje de acuerdo (un BPDU con el juego de acuerdo flag) a travs de su nuevo puerto raz.
Despus de recibir el mensaje de acuerdo interruptor B, Switch A tambin transiciones inmediatamente su designado
puerto al estado de reenvo. No hay bucles en la red se forman porque Interruptor B bloque toda su
puertos nonedge y porque hay un enlace punto a punto entre los interruptores A y B.
22-10
OL-29703-01
Captulo 22
Configuracin de MSTP
Entendimiento RSTP
Cuando interruptor C est conectado a Switch B, se intercambian un conjunto similar de mensajes de protocolo de enlace.
Interruptor C selecciona el puerto conectado a Switch B como su puerto raz, y ambos extremos de inmediato
pasar al estado de reenvo. Con cada iteracin de este proceso de toma de contacto, un interruptor ms
se une a la topologa activa. Como las converge la red, esta propuesta-acuerdo de apretn de manos
progresa desde la raz hacia las hojas del rbol de expansin.
En una pila de switches, la funcin cross-pila rpida transicin (CSRT) asegura que un miembro de la pila
recibe reconocimientos por parte de todos los miembros de la pila durante la propuesta-acuerdo de apretn de manos
Antes de trasladar el puerto al estado de reenvo. CSRT se activa automticamente cuando el interruptor est
en el modo de MST.
El switch aprende el tipo de enlace desde el modo dplex del puerto: un puerto full-duplex se considera que tiene
una conexin punto a punto; un puerto medio-duplex se considera que tiene una conexin compartida. Usted puede
anular el valor predeterminado que es controlada por la configuracin de dplex mediante el uso de la spanning-tree
-Tipo de enlace comando de configuracin de interfaz.
Figura 22-4
Interruptor A
Root
Cambie B
Propuesta
Designado
interruptor
Acuerdo
F
DP
F
RP
Designado
interruptor
Root
F
DP
Designado
interruptor
Root
F
DP
Cambie C
Propuesta
F
RP
F
RP
Acuerdo
F
DP
DP = puerto designado
RP = puerto raz
F = reenvo
F
RP
88760
Se trata de un puerto de borde (un puerto configurado para estar en el borde de la red).
Si un puerto designado se encuentra en el estado de reenvo y no est configurado como un puerto de borde, que ste pase a la
estado de bloqueo cuando el RSTP obliga a sincronizar con la nueva informacin de la raz. En general, cuando el
RSTP obliga a un puerto para sincronizar la informacin de la raz y el puerto no cumple con alguno de los anteriores
condiciones, su estado de puerto se establece en el bloqueo.
22-11
Captulo 22
Configuracin de MSTP
Entendimiento RSTP
Despus de asegurarse de que todos los puertos estn sincronizados, el conmutador enva un mensaje de acuerdo a la
conmutador designado correspondiente a su puerto raz. Cuando los conmutadores conectados por un enlace punto a punto
estn de acuerdo acerca de sus funciones de los puertos, el RSTP transiciones inmediatamente a los Estados rectores del puerto para
el reenvo.
La secuencia de eventos se muestra en la Figura 22-5.
Figura 22-5
4. Acuerdo
1. Propuesta
5. Forward
Puerto Edge
2. Bloquear
9. Forward
8. Acuerdo
3. Bloquear
11. Forward
6. Propuesta
7. Propuesta
10. Acuerdo
Puerto raz
Puerto designado
88761
Bit
Funcin
Propuesta
2-3:
Papel puerto:
00
Desconocido
01
Puerto alternativo
10
Puerto raz
11
Puerto designado
Aprendizaje
Reenvo
Acuerdo
22-12
OL-29703-01
Captulo 22
Configuracin de MSTP
Entendimiento RSTP
El conmutador emisor establece el indicador propuesta en el RSTP BPDU proponer como el conmutador designado
en esa LAN. El papel de puerto en el mensaje de propuesta siempre se establece en el puerto designado.
El conmutador emisor establece el indicador de acuerdo en el RSTP BPDU a aceptar la propuesta anterior. El puerto
papel en el mensaje de acuerdo siempre se establece en el puerto raz.
El RSTP no tiene una notificacin de cambio de topologa separada (TCN) BPDU. Se utiliza la topologa
cambio (TC) de la bandera para mostrar los cambios en la topologa. Sin embargo, para la interoperabilidad con IEEE 802.1D
interruptores, el RSTP cambiar procesos y genera las BPDU TCN.
Las banderas de aprendizaje y de la expedicin se establecen de acuerdo con el estado del puerto de envo.
Si un puerto recibe informacin superior raz (inferior ID interruptor, coste de la ruta inferior, y as sucesivamente) que actualmente
almacenado para el puerto, el RSTP desencadena una reconfiguracin. Si se propone el puerto y es seleccionado como el nuevo
puerto raz, RSTP obliga a todos los dems puertos que desea sincronizar.
Si la BPDU recibida es una BPDU RSTP con el indicador propuesta, el conmutador enva a un acuerdo
mensaje despus de que todos los dems puertos estn sincronizados. Si la BPDU es un IEEE 802.1D BPDU, el conmutador
no establece la bandera propuesta e inicia el temporizador con visin de retraso para el puerto. El nuevo puerto raz requiere
el doble del tiempo hacia adelante-delay para la transicin al estado de reenvo.
Si la informacin superior recibidas en el puerto hace que el puerto se convierta en una copia de seguridad o puerto alternativo,
RSTP establece el puerto al estado de bloqueo pero no enva el mensaje de acuerdo. El puerto designado
contina enviando BPDU con el conjunto de oferta de la bandera hacia adelante hasta que el temporizador de retardo expire,
momento en el cual
el puerto pasa al estado de reenvo.
Cambios de topologa
En esta seccin se describen las diferencias entre el RSTP y el IEEE 802.1D en el manejo de spanning-tree
cambios en la topologa.
Deteccin-A diferencia de IEEE 802.1D en el que cualquier transicin entre el bloqueo y el reenvo
Estado provoca un cambio de topologa, slo transiciones desde el bloqueo a la expedicin estado causa una
cambio de topologa con RSTP (slo un aumento en la conectividad se considera un cambio de topologa).
Los cambios de estado en un puerto de borde no causan un cambio en la topologa. Cuando un detector detecta un RSTP
cambio de topologa, se borra la informacin aprendida en todos sus puertos nonedge excepto en los de
que haya recibido la notificacin de TC.
-Notificacin diferencia IEEE 802.1D, que utiliza BPDU TCN, el RSTP no las utiliza.
Sin embargo, para la interoperabilidad IEEE 802.1D, un proceso de conmutacin RSTP y genera las BPDU TCN.
22-13
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Protocolo de la migracin-Por razones de compatibilidad con IEEE 802.1D cambia, RSTP selectivamente
enva BPDU de configuracin IEEE 802.1D y TCN BPDU en un puerto por puerto.
Cuando se inicializa un puerto, se inicia el temporizador migrate-delay (especifica el tiempo mnimo durante
que se envan RSTP BPDU se envan) y RSTP BPDU. Mientras este temporizador est activo, el interruptor
procesa toda BPDU recibida en ese puerto e ignora el tipo de protocolo.
Si el switch recibe una BPDU IEEE 802.1D despus de que el temporizador puerto migracin retraso ha caducado,
asume que est conectado a un conmutador IEEE 802.1D y comienza a usar slo IEEE 802.1D BPDU.
Sin embargo, si el interruptor est utilizando RSTP IEEE 802.1D BPDU en un puerto y recibe una BPDU RSTP
despus de transcurrir el tiempo, se reinicia el temporizador y comienza a usar RSTP BPDU en ese puerto.
Configuracin de MSTP
Caractersticas
Estas secciones contienen esta informacin de configuracin:
Especificacin del tipo de vnculo para garantizar rpidas transiciones, pgina 22-25 (Opcional)
MSTP configuracin
predeterminada
Tabla 22-4 muestra la configuracin MSTP defecto.
Tabla 22-4
Caracterstica
Modo Spanning-tree
32768.
22-14
OL-29703-01
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Tabla 22-4
Caracterstica
128.
1000 Mb / s: 4.
100 Mb / s: 19.
10 Mb / s: 100.
Hola tiempo
2 segundos.
15 segundos.
Tiempo mximo-envejecimiento
20 segundos.
20 saltos.
Para obtener informacin sobre el nmero de casos con el apoyo de spanning-tree, consulte la "Apoyado
Seccin Spanning Tree instancias "en la pgina 21-10.
Cuando se habilita MST utilizando el modo spanning-tree mst comando de configuracin global, RSTP
se habilita automticamente.
Para dos o ms Catalyst 3560-E Catalyst 3560-X interruptores estn en la misma regin MST, deben
tener el mismo mapa-VLAN-a la instancia, el mismo nmero de revisin de configuracin, y el mismo nombre.
Para dos o switches Catalyst 3750-E Catalyst 3750-X ms apilados a estar en la misma regin de MST,
deben tener el mismo mapa-VLAN-a la instancia, el mismo nmero de revisin de configuracin, y el
mismo nombre.
El Catalyst 3560-E Catalizador interruptor 3560-X soporta hasta 65 instancias del MST. El nmero de
VLANs que se puede asignar a una instancia MST particular es ilimitada.
El Catalyst 3750-E Catalizador pila de switches 3750-X soporta hasta 65 instancias del MST. El nmero
de VLAN que se pueden asignar a una instancia MST particular es ilimitada.
TSVP +, PVST + rpido, y MSTP son compatibles, pero slo una versin pueden estar activos en cualquier momento. (Para
ejemplo, todas las VLAN ejecutar TSVP +, todas las VLAN funcionan PVST + rpido, o todas las VLAN ejecutar MSTP.)
Para obtener ms
informacin, consulte la "La interoperabilidad y compatibilidad con versiones anteriores Spanning Tree" en la
pgina 21-11. Para obtener informacin sobre la configuracin de puerto de lnea recomendada, consulte la "La interaccin con
Otros en la pgina 16-18 caractersticas ".
Todos los miembros de la pila se ejecutan la misma versin del rbol de expansin (todos TSVP +, TSVP + rpido, o MSTP).
Para
ms informacin, consulte la "La interoperabilidad y compatibilidad con versiones anteriores Spanning Tree" en la
pgina 21-11.
VTP propagacin de la configuracin de MST no es compatible. Sin embargo, puede configurar manualmente
la configuracin de MST (nombre de la regin, el nmero de revisin, y-VLAN-a instancia de mapeo) en cada
cambiar dentro de la regin MST mediante la interfaz de lnea de comandos (CLI) o mediante el SNMP
apoyo.
Para el equilibrio de carga a travs de rutas redundantes en la red para trabajar, todo mapeo de VLAN a instancia
asignaciones deben coincidir; de lo contrario, todos los flujos de trfico en un solo enlace. Usted puede lograr
balanceo de carga a travs de una pila de switches configurando manualmente el coste de la ruta.
22-15
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Todos los puertos de frontera MST deben expedicion para el balanceo de carga entre una TSVP + y un MST
nubes o entre una rpida TSVP + y una nube de MST. Para que esto ocurra, el maestro IST del MST
nube tambin debe ser la raz de la CST. Si la nube MST consiste en mltiples regiones del MST, uno
de las regiones MST debe contener la raz CST, y todas las otras regiones del MST debe tener una mejor
ruta a la raz contenida dentro de la nube MST de un camino a travs de la TSVP + o rpida-TSVP +
nube. Puede que tenga que configurar manualmente los interruptores en las nubes.
No se recomienda la creacin de particiones en la red en un gran nmero de regiones. Sin embargo, si este
situacin es inevitable, se recomienda que particiona el LAN cambiado en LANs pequeas
interconectadas por routers o no dispositivos de capa 2.
Para conocer las directrices de configuracin sobre UplinkFast BackboneFast, y cross-pila UplinkFast, consulte la
Seccin "Directrices opcionales spanning-tree de configuracin" en la pgina 23-12.
Cuando el interruptor est en modo de MST, se utiliza el mtodo de clculo largo camino de costo (32 bits) para calcular
los valores de costo de trayectoria. Con el mtodo de clculo largo camino de costo, estos valores de coste de ruta son
apoyado:
Velocidad
10 Mb / s
2000000
100 Mb / s
200000
1 Gb / s
20000
10 Gb / s
2000
100 Gb / s
200
Comando
Propsito
Paso 1
configure terminal
Paso 2
22-16
OL-29703-01
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Paso 3
Comando
Propsito
Para especificar un rango de VLAN, use un guin; por ejemplo, ejemplo 1 vlan
1-63 mapas VLAN 1 a 63 a instancia de MST 1.
Para especificar una serie de VLAN, utilice una coma; por ejemplo, ejemplo 1 vlan 10,
20, 30 Mapas VLAN 10, 20, y 30 a instancia de MST 1.
Paso 4
Nombre Nombre
Paso 5
revisin versin
Paso 6
espectculo pendiente
Paso 7
Salida
Paso 8
Precaucin Cambio de los modos de spanning-tree pueden interrumpir el trfico, porque todo
fin
Para volver a la configuracin de regin MST predeterminado, utilice la ninguna configuracin de spanning-tree mst mundial
comando de configuracin. Para volver al mapa default-VLAN-a la instancia, utilice el ninguna instancia instance-id
[Vlan vlan-range] Comando de configuracin de MST. Para volver al nombre por defecto, utilice el sin nombre MST
comando de configuracin. Para volver al nmero de revisin por defecto, utilice el ninguna revisin Configuracin de MST
de comandos. Para volver a habilitar TSVP +, utilice la ningn modo spanning-tree o la modo spanning-tree TSVP mundial
comando de configuracin.
Este ejemplo muestra cmo acceder al modo de configuracin de MST, mapa VLAN 10 a 20 a instancia de MST 1,
nombrar la regin regin1, establecer la revisin de la configuracin a 1, mostrar la configuracin pendiente, aplique el
cambios y volver al modo de configuracin global:
Switch (config) # spanning-tree mst configuracin
Switch (config-mst) # ejemplo 1 vlan 10-20
Switch (config-mst) # Nombre regin1
Switch (config-mst) # revisin 1
Switch (config-mst) # espectculo pendiente
Pendiente de configuracin MST
Nombre [regin1]
Revisin 1
22-17
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Nota
Despus de configurar el switch como el switch raz, se recomienda que evite la configuracin manual de la
hola tiempo tiempo, con visin de demora y el tiempo mximo de edad a travs de la spanning-tree mst hola a tiempo,
spanning-tree mst forward-time, y el spanning-tree mst max-age configuracin global
los comandos.
22-18
OL-29703-01
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un interruptor como el switch raz. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no spanning-tree mst instance-id raz mundial
comando de configuracin.
22-19
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un switch como raz secundaria
interruptor. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Utilice los mismos valores en tiempo hola dimetro de la red y que utiliz
al configurar el switch raz primaria. Consulte la "Configuracin de la
Switch raz "en la pgina 22-18.
Paso 3
fin
Paso 4
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no spanning-tree mst instance-id raz mundial
comando de configuracin.
Nota
Si el Catalyst 3750-E switch Catalyst 3750-X es un miembro de una pila de switches, debe utilizar el
spanning-tree mst [Instance-id] costo costo comando de configuracin de interfaz en lugar de la
spanning-tree mst [Instance-id] port-priority prioridad comando de configuracin de interfaz para seleccionar un puerto
a poner en el estado de reenvo. Asigne valores de menor costo a los puertos que desee seleccionado primero y ms alto
valores de costo a los puertos que desea que seleccion pasado. Para obtener ms informacin, consulte la "Configuracin de Path
Cost"
en la pgina 22-21.
22-20
OL-29703-01
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la prioridad de puerto MSTP de un
interfaz. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
o
mostrar mst spanning-tree instance-id
Paso 6
Nota
El mostrar interfaz de spanning-tree mst interface-id privilegiado EXEC comando muestra informacin
slo si el puerto se encuentra en estado operativo de enlace-up. De lo contrario, puede utilizar la show interface running-config
comando privilegiado EXEC para confirmar la configuracin.
Para volver la interfaz a su valor predeterminado, utilice el no spanning-tree mst instance-id port-priority
comando de configuracin de interfaz.
22-21
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el costo MSTP de una interfaz. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Configure el costo.
Si se produce un bucle, la MSTP utiliza el coste de la ruta al seleccionar un
interfaz para colocar en el estado de reenvo. Un costo ms bajo camino
representa la transmisin de mayor velocidad.
Paso 4
fin
Paso 5
o
mostrar mst spanning-tree instance-id
Paso 6
Nota
El mostrar interfaz de spanning-tree mst interface-id privilegiado EXEC comando muestra informacin
slo para los puertos que estn en un estado operativo Link-Up. De lo contrario, puede utilizar la show running-config
comando privilegiado EXEC para confirmar la configuracin.
Para volver la interfaz a su valor predeterminado, utilice el no spanning-tree mst instance-id costo interfaz
comando de configuracin.
Configuracin de la prioridad de
interruptor
Puede configurar la prioridad del interruptor y hacer que sea ms probable que un interruptor independiente o un interruptor en el
pila ser elegido como el switch raz.
Nota
Tenga cuidado al utilizar este comando. Para la mayora de las situaciones, se recomienda que utilice la
spanning-tree mst instance-id primaria de la raz y el spanning-tree mst instance-id races secundarias
comandos de configuracin global para modificar la prioridad de conmutacin.
22-22
OL-29703-01
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la prioridad de conmutacin. Este procedimiento
es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no spanning-tree mst instance-id prioridad mundial
comando de configuracin.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Configure el tiempo de saludar a todas las instancias del MST. El tiempo de hola
es el intervalo entre la generacin de configuracin
mensajes por el switch raz. Estos mensajes hacen que el
interruptor est vivo.
Para segundo, el intervalo es de 1 a 10; el valor predeterminado es 2.
Paso 3
fin
Paso 4
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no spanning-tree mst hola a tiempo configuracin global
de comandos.
22-23
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comando
Propsito
Paso 1
configure terminal
Paso 2
Configure el tiempo hacia adelante para todas las instancias del MST. El delantero
retardo es el nmero de segundos de un puerto espera antes de cambiar desde
su aprendizaje spanning-tree y estados de escucha a la expedicin
estado.
Para segundo, el rango es de 4 a 30; el valor predeterminado es 15.
Paso 3
fin
Paso 4
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no spanning-tree mst forward-time mundial
comando de configuracin.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no spanning-tree mst max-age configuracin global
de comandos.
22-24
OL-29703-01
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para devolver el dispositivo a su configuracin por defecto, utilice el no spanning-tree mst max-saltos configuracin global
de comandos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver al puerto para su configuracin por defecto, utilice el no spanning-tree-tipo de enlace configuracin de la interfaz
de comandos.
22-25
Captulo 22
Configuracin de MSTP
Configuracin de MSTP
Caractersticas
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver al puerto para su configuracin por defecto, utilice el no spanning-tree mst norma previa interfaz
comando de configuracin.
22-26
OL-29703-01
Captulo 22
Configuracin de MSTP
Visualizacin de la configuracin MST y Estado
Comando
Propsito
mostrar interfaz de spanning-tree mst interface-id Muestra informacin MST para la interfaz especificada.
Para obtener informacin acerca de otras palabras clave para la show spanning-tree comando privilegiado EXEC, consulte la
referencia de comandos para esta versin.
22-27
Captulo 22
Configuracin de MSTP
22-28
OL-29703-01
E R CH A P T
23
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Este captulo consta de las siguientes secciones:
23-1
Captulo 23
La comprensin de las funciones opcionales de spanningtree
La comprensin de puerto
rpido
Fast Port trae de inmediato una interfaz configurada como un acceso o puerto de enlace troncal al estado de reenvo
de un estado de bloqueo, sin pasar por la escucha y el aprendizaje de los estados. Puede usar Fast Port en interfaces
conectado a una sola estacin de trabajo o servidor, como se muestra en Figura 23-1, para permitir a aquellos dispositivos
conectar inmediatamente a la red, en lugar de esperar a que el rbol de expansin a converger.
Interfaces conectados a una sola estacin de trabajo o servidor no deben recibir unidades de datos de protocolo de puente
(BPDU). Una interfaz con puerto habilitado Fast pasa por el ciclo normal de la condicin de spanning-tree
cambia cuando se reinicia el switch.
Nota
Debido a que el propsito de puerto rpido es reducir al mnimo las interfaces de tiempo debe esperar a spanning-tree a
converger, es eficaz slo cuando se usa en las interfaces conectadas a las estaciones finales. Si habilita Fast Port
en una interfaz de conexin a otro conmutador, corre el riesgo de crear un bucle de spanning-tree.
Puede activar esta funcin mediante el uso de la portfast spanning-tree o la configuracin de la interfaz
spanning-tree portfast defecto comando de configuracin global.
Figura 23-1
Servidor
Puerto
-Fast habilitado
puertos
Puerto
Puerto-Fast habilitado
101225
Estaciones de Trabajo
Estaciones de Trabajo
23-2
OL-29703-01
Captulo 23
A nivel de interfaz, habilita guardia BPDU en cualquier puerto utilizando el bpduguard spanning-tree
permitir comando de configuracin de interfaz, sin tambin de habilitar la funcin Fast puerto. Cuando el puerto
recibe una BPDU, se pone en el estado de error discapacitados.
La funcin de guardia BPDU ofrece una respuesta segura a configuraciones no vlidas por fuerza
poner manualmente la interfaz de nuevo en servicio. Utilice la funcin de protector de BPDU en una red de proveedores de
servicios
para evitar que un puerto de acceso de la participacin en el rbol de expansin.
Precaucin Habilitacin de filtrado de BPDU en una interfaz es la misma que la desactivacin rbol de expansin en l y puede resultar en
bucles de spanning-tree.
Puede activar la funcin de filtrado de BPDU para todo el interruptor o de una interfaz.
Entender UplinkFast
Los interruptores en redes jerrquicas se pueden agrupar en los interruptores, conmutadores troncales de distribucin, y
switches de acceso. Figura 23-2 muestra una red compleja donde switches de distribucin y conmutadores de acceso
cada uno tiene al menos un enlace redundante que abarca bloques de rboles para evitar bucles.
23-3
Captulo 23
La comprensin de las funciones opcionales de spanningtree
Figura 23-2
Interruptores de distribucin
101231
Enlace activo
Enlace Bloqueado
Switches de acceso
Si un interruptor pierde la conectividad, que comienza a utilizar las rutas alternativas tan pronto como el rbol de expansin
selecciona una
nuevo puerto raz. Al permitir UplinkFast con la UplinkFast spanning-tree configuracin global
comando, se puede acelerar la eleccin de un nuevo puerto raz cuando un enlace o switch falla o cuando el
rbol de expansin se reconfigura. El puerto raz pase al estado de reenvo inmediatamente sin
pasando por los estados de escucha y aprendizaje, como lo hara con los procedimientos normales de spanning-tree.
Cuando el rbol de expansin vuelve a configurar el nuevo puerto raz, otras interfaces inundan la red con multidifusin
paquetes, uno para cada direccin que se aprendi en la interfaz. Puede limitar estos estallidos de multidifusin
trfico al reducir el parmetro-update-tasa mxima (el valor predeterminado para este parmetro es de 150 paquetes por
segundo). Sin embargo, si se introduce cero, marcos de estaciones de aprendizaje no se generan, por lo que el rbol de expansin
topologa converge ms lentamente despus de una prdida de conectividad.
Nota
23-4
OL-29703-01
Captulo 23
Figura 23-3
Interruptor A
(Root)
Cambie B
L1
L2
L3
Puerto bloqueado
43575
Cambie C
Si el interruptor C detecta un fallo de enlace en el enlace L2 actualmente activa en el puerto raz (un directa fallo de enlace),
UplinkFast desbloquea la interfaz bloqueado el interruptor C y transiciones al estado de reenvo sin
pasando por los estados de escucha y aprendizaje, como se muestra en Figura 23-4. Este cambio tiene
aproximadamente de 1 a 5 segundos.
Figura 23-4
Interruptor A
(Root)
Cambie B
L1
L2
L3
Fracaso Enlace
Cambie C
23-5
Captulo 23
La comprensin de las funciones opcionales de spanningtree
Figura 23-5
Adelante
Switch 1
Adelante
Link 1
(Enlace Root)
Enlace 2
(Suplente
redundante
link)
Link 3
(Suplente
redundante
link)
100 o 1.000 Mb / s
100 o 1.000 Mb / s
100 o 1.000 Mb / s
Stack-raz puerto
Apilamiento alternativo
puerto raz
Apilamiento alternativo
puerto raz
StackWise Plus
conexiones de los puertos
159891
Pila de switches
Cuando ocurren eventos cierta prdida de enlace o de spanning-tree (descrito en "Los eventos que causan convergencia rpida"
en la pgina 23-7), el Fast Protocolo de Transicin Uplink utiliza la lista de vecinos para enviar rpida transicin
peticiones para apilar miembros.
El interruptor de enviar la solicitud rpida transicin tiene que hacer una transicin rpida al estado de envo de un
puerto que se ha elegido como el puerto raz, y debe obtener un acuse de recibo de cada interruptor de pila
antes de realizar la transicin rpida.
23-6
OL-29703-01
Captulo 23
Cada conmutador de la pila decide si el interruptor de envo es una opcin mejor que a s misma como la raz pila
de esta instancia de spanning-tree comparando la raz, el costo, y el ID de puente. Si el interruptor de envo es el
mejor opcin como la raz pila, cada conmutador de la pila devuelve un acuse de recibo; de lo contrario, enva
una solicitud rpida transicin. El interruptor de enviarlo y no ha recibido reconocimientos de todo pila
interruptores.
Cuando se reciben acuses de recibo de todos los switches de la pila, el Fast Protocolo Uplink Transicin en
el interruptor de envo de las transiciones de inmediato su suplente puerto pila-root en el estado de reenvo. Si
acuses de recibo de todos los conmutadores de la pila no se obtienen por el interruptor de enviar, el Normal
transiciones de spanning-tree (bloqueo, escuchando, aprendiendo, y expedicin) llevar a cabo, y la
topologa de spanning-tree converge a su ritmo normal (2 * en adelante-delay + tiempo mximo de edad).
El Fast Protocolo de Transicin Uplink se implementa sobre una base per-VLAN y afecta slo a un
instancia de spanning-tree a la vez.
Nota
El enlace averiado, que conecta la raz pila a la raz del rbol de expansin, se recupera.
Una reconfiguracin de la red provoca un nuevo interruptor de pila-raz para ser seleccionado.
Una reconfiguracin de la red provoca un nuevo puerto en el interruptor de pila-raz actual para ser elegido como el
apilar-raz puerto.
La rpida transicin podra no ocurrir si se producen varios eventos simultneamente. Por ejemplo, si una pila
miembro est apagado, y al mismo tiempo, el enlace que conecta la pila raz a la raz del rbol de expansin
regresa arriba, la convergencia normal de spanning-tree se produce.
Un nuevo interruptor, que podra llegar a ser la raz pila, se aade a la pila.
Entender BackboneFast
BackboneFast detecta fallos indirectos en el centro de la columna vertebral. BackboneFast es un complemento
la tecnologa para la funcin de UplinkFast, que responde a los fallos en los enlaces de acceso conectado directamente a
interruptores. BackboneFast optimiza el temporizador-mximo de edad, que controla la cantidad de tiempo que el
cambiar la informacin de protocolo tiendas recibido en una interfaz. Cuando un conmutador recibe una BPDU inferior
desde el puerto designado de otro interruptor, la BPDU es una seal de que el otro interruptor podra haber perdido
su ruta a la raz, y BackboneFast trata de encontrar un camino alternativo a la raz.
23-7
Captulo 23
La comprensin de las funciones opcionales de spanningtree
El interruptor trata de encontrar si tiene una ruta alternativa al conmutador raz. Si la BPDU inferior llega en una
interfaz bloqueado, el puerto raz y otras interfaces bloqueados en el interruptor convertirse caminos alternativos a la
switch raz. (Puertos autnomos bucle no se consideran caminos alternativos hacia el switch raz.) Si el inferior
BPDU llega en el puerto raz, todas las interfaces se convierten en caminos bloqueados alternativa al conmutador raz. Si el
inferior BPDU llega en el puerto raz y no hay interfaces de bloqueados, el interruptor asume que tiene
prdida de conectividad al switch raz, hace que el tiempo mximo de envejecimiento en el puerto raz de expirar, y
se convierte en el switch raz de acuerdo a las reglas normales de spanning-tree.
Si el interruptor tiene caminos alternativos hacia el switch raz, utiliza estos caminos alternativos para enviar una consulta vnculo
raz
(CID) peticin. El interruptor 3750-X Catalyst 3750-E Catalizador enva la solicitud RLQ sobre todo alternativo
caminos para saber si cualquier miembro de la pila tiene una raz alternativa al conmutador raz y espera una respuesta RLQ
de otros conmutadores en la red y en el conmutador 3560-X stack.The Catalyst 3560-E Catalizador enva
la solicitud RLQ en todas las rutas alternas y espera una respuesta RLQ de otros switches en la red.
Cuando un miembro de la pila recibe una respuesta RLQ de un miembro de nonstack en una interfaz y el bloqueado
Responder est destinado a otro switch nonstacked, reenva el paquete de respuesta, independientemente de la
estado de interfaz de spanning-tree.
Cuando un miembro de la pila recibe una respuesta RLQ de un miembro de nonstack y la respuesta est destinado a
la pila, el miembro de la pila reenva la respuesta de manera que todos los dems miembros de la pila reciben.
Si el interruptor descubre que todava tiene un camino alternativo a la raz, que expira el tiempo mximo de envejecimiento
en la interfaz que recibi el inferior BPDU. Si todos los caminos alternativos hacia el switch raz indican que
el interruptor ha perdido la conectividad con el switch raz, el interruptor que expire el tiempo mximo de envejecimiento en la
interfaz que recibi la respuesta RLQ. Si uno o ms caminos alternativos todava se pueden conectar al switch raz,
el interruptor hace que todas las interfaces en las que recibi una BPDU inferior sus puertos y movimientos designados
desde el estado de bloqueo (si estuvieran en el estado de bloqueo), a travs de la escucha y el aprendizaje
estados, y en el estado de reenvo.
Figura 23-6 muestra una topologa de ejemplo sin fallos de enlace. Interruptor A, el interruptor de la raz, se conecta
directamente a Switch B a travs del enlace L1 y al conmutador C a travs del enlace L2. La interfaz de capa 2 en el Switch C que
se conecta directamente al conmutador B est en el estado de bloqueo.
Figura 23-6
Interruptor A
(Root)
Cambie B
L1
L2
L3
Puerto bloqueado
44963
Cambie C
23-8
OL-29703-01
Captulo 23
Si el enlace falla L1 como se muestra en Figura 23-7, Interruptor C no puede detectar este fallo, ya que no est conectado
ligarse directamente a L1. Sin embargo, debido conmutador B est conectado directamente al conmutador raz sobre L1, detecta
el fracaso, elige a s misma la raz, y comienza a enviar BPDU para cambiar C, que se identifica como la raz.
Cuando Interruptor C recibe BPDU inferior del interruptor B, interruptor C asume que un fracaso indirecta
se ha producido. En ese punto, la interfaz permite BackboneFast bloqueado en el conmutador C para mover
inmediatamente al estado de escucha sin esperar a que el tiempo mximo de envejecimiento para la interfaz de expiracin.
BackboneFast entonces las transiciones de la interfaz de capa 2 en el Switch C al estado de reenvo, que proporciona una ruta
del interruptor B para encender A. La eleccin de la raz-switch toma aproximadamente 30 segundos, el doble de la Forward
Retrasar el tiempo si el tiempo predeterminado Forward Delay de 15 segundos se establece. Figura 23-7 muestra cmo
BackboneFast
reconfigura la topologa para explicar el fracaso de enlace L1.
Figura 23-7
Interruptor A
(Root)
Cambie B
L1
Fracaso Enlace
L2
L3
BackboneFast cambia puerto
travs de la escucha y el aprendizaje
declara a estado de envo.
44964
Cambie C
Si un nuevo interruptor se introduce en una topologa de medio compartido como se muestra en Figura 23-8, BackboneFast es
No activado debido a las BPDU inferior no vino desde el conmutador designado reconocido
(Interruptor B). El nuevo switch comienza a enviar BPDU inferior que indica que es el switch raz. Sin embargo,
los otros switches ignoran estas BPDU inferior, y el nuevo switch aprende que el interruptor B es la
switch designado para cambiar A, el switch raz.
Figura 23-8
Cambie B
(Puente designado)
Cambie C
Puerto bloqueado
Interruptor de Alta
44965
23-9
Captulo 23
La comprensin de las funciones opcionales de spanningtree
Precaucin El mal uso de la funcin de la raz con la guardia baja puede causar una prdida de
conectividad.
23-10
OL-29703-01
Captulo 23
Figura 23-9
Potencial
raz del spanning tree y sin
proteccin de raz habilitado
Deseado
switch raz
101232
La comprensin de la Guardia
Loop
Puede usar protector lazo para evitar puertos alternativos o raz de convertirse en puertos designados a causa de un
fracaso que conduce a un enlace unidireccional. Esta caracterstica es ms eficaz cuando est habilitado en todo el
red conmutada. Guardia Loop impide puertos alternativos y races se conviertan en puertos designados y
rbol de expansin no enva BPDU en la raz o puertos alternativos.
Puede activar esta funcin mediante el uso de la spanning-tree loopguard defecto configuracin global
de comandos.
Cuando el interruptor est funcionando en TSVP + o rpida-TSVP + modo, guardia loop evita alternativo y raz
puertos se conviertan en puertos designados, y el rbol de expansin no enva BPDU en la raz o puertos alternativos.
Cuando el interruptor est funcionando en modo MST, BPDU no se envan a los puertos nonboundary slo si el
interfaz est bloqueada por la guardia de bucle en todas las instancias del MST. En un puerto de lmite, bloques de guardia loop
los
interfaz en todas las instancias del MST.
Habilitacin UplinkFast para su uso con enlaces redundantes, pgina 23-15 (Opcional)
23-11
Captulo 23
Configuracin de las funciones opcionales de spanningtree
Caracterstica
UplinkFast
BackboneFast
Guardia EtherChannel
Guardia Root
Guardia Loop
Activacin de puerto
rpido
Una interfaz con la funcin Fast puerto habilitado se traslad directamente al estado de reenvo de spanning-tree
sin esperar a que el retardo de tiempo en adelante estndar.
Precaucin Utilice Fast Port slo al conectar una sola estacin extremo a un puerto de acceso o en el maletero. Al habilitar esta funcin
en una interfaz conectada a un switch o hub podra prevenir rbol de expansin de la deteccin y desactivacin de
bucles en la red, lo que podra provocar tormentas de broadcast y abordar los problemas de aprendizaje.
Si activa la funcin VLAN de voz, la funcin Fast Port se activa automticamente. Cuando se deshabilita
VLAN de voz, la funcin Fast puerto no se desactiva automticamente. Para obtener ms informacin, consulte Captulo 18,
"Configuracin de VLAN de voz."
23-12
OL-29703-01
Captulo 23
Puede activar esta funcin si el interruptor est funcionando TSVP +, PVST + rpido, o MSTP.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el puerto rpido. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Nota
Puede utilizar el spanning-tree portfast defecto comando de configuracin global a nivel mundial permitir a la
Funcin Fast puerto en todos los puertos nontrunking.
Para desactivar la funcin Fast Puerto, utilice el spanning-tree disable portfast configuracin de la interfaz
de comandos.
23-13
Captulo 23
Configuracin de las funciones opcionales de spanningtree
La funcin de guardia BPDU ofrece una respuesta segura a configuraciones no vlidas por fuerza
poner manualmente el puerto de nuevo en servicio. Utilice la funcin de protector de BPDU en una red de proveedores de
servicios de
evitar que un puerto de acceso de la participacin en el rbol de expansin.
Precaucin Configurar puerto rpido slo en los puertos que se conectan a las estaciones de terminar; de otro modo, un bucle accidental
topologa
podra causar un bucle de paquete de datos y perturbar el funcionamiento del interruptor y de la red.
Tambin puede utilizar el spanning-tree permite bpduguard comando de configuracin de interfaz para permitir
Guardia BPDU en cualquier puerto, sin tambin de habilitar la funcin Fast puerto. Cuando el puerto recibe una BPDU, se
se lo puso en el estado de error discapacitados.
Usted puede activar la funcin de protector de BPDU si el conmutador est funcionando TSVP +, PVST + rpido, o MSTP.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar globalmente la caracterstica guardia BPDU. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
Paso 4
portfast spanning-tree
Paso 5
fin
Paso 6
show running-config
Paso 7
Para desactivar el protector de BPDU, utilice el no spanning-tree bpduguard portfast defecto configuracin global
de comandos.
Puede anular la configuracin de la no spanning-tree bpduguard portfast defecto configuracin global
comandos mediante el spanning-tree permite bpduguard comando de configuracin de interfaz.
Precaucin Configurar puerto rpido slo en las interfaces que se conectan a las estaciones de terminar; de lo contrario, una topologa
accidental
bucle podra causar un bucle de paquete de datos y perturbar el funcionamiento del interruptor y de la red.
23-14
OL-29703-01
Captulo 23
Tambin puede utilizar el spanning-tree permite bpdufilter comando de configuracin de interfaz para permitir
BPDU filtrando en cualquier interfaz sin tambin de habilitar la funcin Fast puerto. Este comando evita que el
interfaz de envo o recepcin BPDU.
Precaucin Habilitacin de filtrado de BPDU en una interfaz es la misma que la desactivacin rbol de expansin en l y puede resultar en
bucles de spanning-tree.
Puede activar la funcin de filtrado de BPDU si el interruptor est funcionando TSVP +, PVST + rpido, o MSTP.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar globalmente la funcin de filtrado de BPDU.
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
Paso 4
portfast spanning-tree
Paso 5
fin
Paso 6
show running-config
Paso 7
Para deshabilitar el filtrado de BPDU, utilice el no spanning-tree bpdufilter portfast defecto configuracin global
de comandos.
Puede anular la configuracin de la no spanning-tree bpdufilter portfast defecto configuracin global
comandos mediante el spanning-tree permite bpdufilter comando de configuracin de interfaz.
Nota
Cuando se habilita UplinkFast, afecta a todas las VLAN en la pila de conmutadores o switch. No se puede configurar
UplinkFast en una VLAN individual.
Puede configurar el UplinkFast o la caracterstica CSUF para PVST + rpido, ni para el MSTP, pero la caracterstica
permanece desactivado (inactivo) hasta que se cambie el modo de spanning-tree para TSVP +.
23-15
Captulo 23
Configuracin de las funciones opcionales de spanningtree
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar UplinkFast y CSUF. Este procedimiento
es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Cuando UplinkFast est habilitada, la prioridad interruptor de todas las VLAN se establece en 49152. Si cambia la ruta
costo a un valor inferior a 3000 y habilita UplinkFast o UplinkFast ya est habilitado, el coste de la ruta
de todas las interfaces y troncales de VLAN se incrementa en 3000 (si se cambia el coste de la ruta a 3000 o superior,
el coste de la ruta no se modifica). Los cambios en la prioridad del interruptor y el coste de la ruta reducen la posibilidad de que
un interruptor se convertir en el switch raz.
Cuando UplinkFast est desactivado, se establecen las prioridades de conmutacin de todas las VLAN y los costes de ruta de todas
las interfaces
a valores por defecto si no ha modificado desde sus valores por defecto.
Para devolver la tasa de paquetes de actualizacin de la configuracin por defecto, utilice el no UplinkFast spanning-tree
max-update-tasa comando de configuracin global. Para desactivar UplinkFast, utilice el no spanning-tree
UplinkFast de comandos.
Habilitacin de la Cruz-Stack
UplinkFast
Al habilitar o deshabilitar la funcin UplinkFast utilizando el UplinkFast spanning-tree mundial
comando de configuracin, CSUF est automticamente globalmente activado o desactivado en el puerto nonstack
interfaces.
Para obtener ms informacin, consulte la Seccin "Activacin UplinkFast para su uso con redundante Enlaces" en la
pgina 23-15.
Para desactivar UplinkFast en el interruptor y todas sus redes VLAN, utilice el no UplinkFast spanning-tree mundial
comando de configuracin.
Habilitacin BackboneFast
Puede activar BackboneFast para detectar anomalas en los enlaces indirectos y para iniciar el spanning-tree
reconfiguracin antes.
23-16
OL-29703-01
Captulo 23
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
BackboneFast spanning-tree
Habilitar BackboneFast.
Paso 3
fin
Paso 4
Paso 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para desactivar la funcin de guardia EtherChannel, utilice el no spanning-tree guardia etherchannel misconfig
comando de configuracin global.
Puede utilizar el muestran el estado de las interfaces err-disabled comando privilegiado EXEC para mostrar qu interruptor
puertos estn desactivados debido a una mala configuracin EtherChannel. En el dispositivo remoto, puede introducir
la Mostrar resumen etherchannel comando privilegiado EXEC para verificar la configuracin EtherChannel.
Despus de corregir la configuracin, introduzca la apagado y no shutdown configuracin de la interfaz
comandos en las interfaces de puerto-canal que estaban mal configurado.
23-17
Captulo 23
Configuracin de las funciones opcionales de spanningtree
Activacin de la
proteccin de Proteccin
raz de raz habilitado en una interfaz se aplica a todas las VLAN a la que pertenece la interfaz. No
habilitar la proteccin de raz en las interfaces para ser utilizado por la funcin de UplinkFast. Con UplinkFast, la copia de seguridad
interfases (en el estado bloqueado) reemplazan el puerto raz en el caso de un fracaso. Sin embargo, si el protector de la raz es
tambin permitieron, todas las interfaces de copia de seguridad que usa la funcin UplinkFast se colocan en la raz incompatible
estado (bloqueado) y se les impide alcanzar el estado de reenvo.
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Nota
Paso 1
Comando
Propsito
o
mostrar mst spanning-tree
Paso 2
configure terminal
23-18
OL-29703-01
Captulo 23
Comando
Propsito
Paso 4
fin
Paso 5
show running-config
Paso 6
Paso 3
Para globalmente guardia loop desactivar, utilizar el no spanning-tree loopguard defecto configuracin global
de comandos. Puede anular la configuracin de la no spanning-tree loopguard defecto configuracin global
comandos mediante el spanning-tree loop guardia comando de configuracin de interfaz.
Comando
Propsito
Puede borrar los contadores de spanning-tree utilizando el claro-rbol de expansin [Interfaz interface-id]
comando EXEC privilegiado.
Para obtener informacin acerca de otras palabras clave para la show spanning-tree comando privilegiado EXEC, consulte la
referencia de comandos para esta versin.
23-19
Captulo 23
Presentacin del estado del Spanning-Tree
23-20
OL-29703-01
E R CH A P T
24
Contenido
24-1
Captulo 24
BFD slo funciona para los vecinos directamente conectados. BFD vecinos no deben tener ms de un salto IP
de distancia. Configuraciones de salto mltiple no son compatibles.
El switch soporta hasta 100 sesiones BFD con un intervalo de saludo mnimo de 100 ms y un
multiplicador de 3. El multiplicador especifica el nmero mnimo de paquetes consecutivos que pueden ser
se perdi antes de una sesin se declara abajo.
Para activar el modo eco el sistema par se debe configurar con la no hay redirecciones ip de comandos.
BFD Operacin
BFD proporciona una baja sobrecarga, el mtodo de corta duracin de los fallos de deteccin en la ruta de transmisin
entre dos interruptores adyacentes, incluidas las interfaces, enlaces de datos, y los planos de reenvo.
BFD es un protocolo de deteccin que se habilita en la interfaz y los niveles de protocolo de enrutamiento. Soportes de Cisco
el modo asncrono BFD, que depende en el envo de paquetes de control de BFD entre dos
sistemas para activar y mantener sesiones de vecinos BFD entre switches. Por lo tanto, para crear un BFD
sesin, debe configurar BFD en ambos sistemas (o pares BFD). Una vez BFD se ha habilitado en el
interfaces y en el nivel de router para los protocolos de enrutamiento adecuados, se crea una sesin BFD, BFD
temporizadores se negocian, y los compaeros BFD comenzarn a enviar paquetes de control de BFD entre s en la
intervalo negociado.
Cisco soporta el modo eco BFD. Paquetes de eco son enviados por el motor de reenvo y se envan de vuelta
por el mismo camino para realizar la deteccin. La sesin BFD en el otro extremo no participa en la
reenvo real de los paquetes de eco. Ver Configuracin de BFD Modo Eco, pgina 24-14 para ms
informacin.
Esta seccin incluye los siguientes apartados:
24-2
OL-29703-01
Captulo 24
Soporte para BFD sin escalas Forwarding con con estado de conmutacin, pgina 24-5
Relaciones Vecinales
BFD BFD proporciona rpidos tiempos de deteccin de fallos de pares de forma independiente de todos los tipos de medios,
encapsulados,
topologas y protocolos de enrutamiento BGP, EIGRP, OSPF, y rutas estticas. Mediante el envo de un fallo rpido
avisos de deteccin a los protocolos de enrutamiento en el conmutador local para iniciar el reclculo tabla de enrutamiento
proceso, BFD contribuye a reducir en gran medida el tiempo total de la convergencia de redes. Figura 24-1 muestra una
red simple con dos interruptores que ejecutan OSPF y BFD. Cuando OSPF descubre un vecino (1) se enva
una solicitud para el proceso local BFD para iniciar una sesin de BFD vecino con los routers vecinos OSPF
(2). Se establece la sesin BFD vecino con el router vecino OSPF (3).
Figura 24-1
1
Vecinos OSPF
OSPF
2
OSPF
2
Vecinos BFD
3
BFD
BFD
370018
172.16.10.2
172.16.10.1
172.18.0.1 Switch A
172.17.0.1
Cambie B
Figura 24-2 muestra lo que ocurre cuando se produce un fallo en la red (1). La sesin vecino BFD
con el router vecino OSPF es derribado (2). BFD notifica al proceso local OSPF que el BFD
vecino ya no es alcanzable (3). El proceso local OSPF destruye la relacin de vecino OSPF
(4). Si un camino alternativo est disponible, los enrutadores se iniciar inmediatamente convergen en l.
Figura 24-2
4
Vecinos OSPF
OSPF
3
OSPF
3
Vecinos BFD
BFD
BFD
2
1
172.16.10.2
172.18.0.1 Switch A
370019
172.16.10.1
Cambie B
172.17.0.1
24-3
Captulo 24
Un protocolo de enrutamiento debe registrarse con BFD para cada vecino adquiere. Una vez que un vecino est
registrado, BFD inicia una sesin con el vecino si una sesin no existe ya.
OSPF se registra con BFD cuando:
En las interfaces de difusin, OSPF establece una sesin BFD slo con el router designado (DR) y
router designado de respaldo (BDR), pero no entre dos interruptores (routers) en el estado de DROTHER.
Tpicamente, BFD se puede utilizar en cualquier capa de protocolo. Sin embargo, la implementacin de Cisco de BFD
apoya slo de Capa 3 clientes, en particular, el BGP, EIGRP, OSPF y los protocolos de enrutamiento y esttica
enrutamiento.
Dispositivos Cisco usarn una sesin BFD para mltiples protocolos de cliente en la implementacin de Cisco
BFD. Por ejemplo, si se est ejecutando una red OSPF y EIGRP a travs del mismo enlace a la misma por pares,
Se establecer una sola sesin BFD, y BFD compartir informacin de la sesin con el enrutamiento
protocolos. Sin embargo, los clientes IPv4 e IPv6 no pueden compartir una sesin BFD.
Comenzando con Cisco IOS Release 15.2 (1) E, la funcin de BFD se admite en interfaces VLAN en la
interruptor.
El intervalo bfd comando debe ser configurado en una interfaz para iniciar el monitoreo BFD.
24-4
OL-29703-01
Captulo 24
Por lo general, cuando una red dispositivo se reinicia, todos los compaeros de enrutamiento de ese dispositivo detecta que el
dispositivo fue
hacia abajo y luego volvi a subir. Estos resultados en transicin de un colgajo de enrutamiento, que podran extenderse a travs de
mltiples
dominios de enrutamiento. Solapas de enrutamiento causados por reinicia enrutamiento crean inestabilidades de enrutamiento, que
son
perjudicial para el rendimiento general de la red. Reenvo sin escalas (NSF), ayuda a suprimir el enrutamiento
NSF permite la transmisin de paquetes de datos para continuar a lo largo de las rutas conocidas mientras que el protocolo de
solapas en los dispositivos que estn habilitados con cambio de estado (SSO), reduciendo as la inestabilidad de la red.
enrutamiento
informacin est siendo restaurado despus de una conmutacin. Con NSF, dispositivos de redes de pares no experimentan
colgajos de enrutamiento. El trfico de datos se enva mientras el RP de reserva asume el control de la RP activo fallido
durante una conmutacin. La capacidad de las tarjetas de lnea y procesadores de reenvo para mantenerse a travs de un
conmutacin y para mantenerse al da con la Base de informacin de reenvo (FIB) en la RP activo es clave para
Operacin NSF.
En dispositivos que admiten RPs duales, SSO establece uno de los PR como procesador activo; la otra es RP
designado como el procesador de reserva, y luego sincroniza la informacin entre ellos. Una conmutacin
del activo al procesador de reserva se produce cuando el RP activo falla, cuando se elimina de la
dispositivo de red, o cuando se toma de forma manual de servicio por mantenimiento.
El protocolo BFD proporciona la deteccin de corta duracin de los fallos en la trayectoria entre el reenvo adyacentes
motores. En las implementaciones de red que utilizan interruptores RP duales (para proporcionar redundancia), los interruptores
tienen
un mecanismo de reinicio sencillo que protege el estado de reenvo durante una conmutacin entre el activo
RP y RP de espera.
24-5
Captulo 24
Nmero mximo de
BFD Sesiones
BFD Sesin
Tipo
Temporizador mnimo
Valor (ms)
Clientes
100
Async / eco
100
multiplicador de 3
Todos
Comentarios
Un mltiplo de 5
se recomienda
para SSO
interruptores.
A diferencia de los protocolos de enrutamiento dinmico, como OSPF y BGP, enrutamiento esttico no tiene un mtodo de pares
descubrimiento. Por lo tanto, cuando se configura BFD, la accesibilidad de la puerta de enlace es completamente dependiente
en el estado de la sesin BFD al vecino especificado. A menos que la sesin BFD est para arriba, la puerta de entrada para
la ruta esttica se considera inalcanzable, y por tanto las rutas afectadas no se instalar en el
enrutamiento adecuado Base de informacin (RIB).
Para una sesin BFD para establecer con xito, BFD se debe configurar en la interfaz en el par y
debe haber un cliente BFD registrado en el par de la direccin del vecino BFD. Cuando una interfaz
es utilizado por los protocolos de enrutamiento dinmico, el ltimo requisito Normalmente se cumple mediante la configuracin del
enrutamiento
instancias de protocolo de cada vecino para BFD. Cuando se utiliza una interfaz exclusivamente para el enrutamiento esttico,
este requisito debe cumplirse mediante la configuracin de rutas estticas en los pares.
BFD se admite en IPv4 e IPv6 rutas estticas.
Nota
Si se elimina una configuracin BFD del par remoto mientras la sesin BFD est en el estado hasta el
estado actualizado de la sesin BFD no se seala a la ruta esttica. Esto har que la ruta esttica a
permanecer en la RIB. La nica solucin consiste en eliminar la configuracin de vecino BFD ruta esttica por lo
que la ruta esttica ya no pistas estado de la sesin BFD.
Debido a BFD no est vinculado a ningn protocolo de enrutamiento particular, puede ser utilizado como un genrico y
consistente
mecanismo de deteccin de fallos para EIGRP, BGP, y OSPF.
24-6
OL-29703-01
Captulo 24
Debido a que algunas partes de BFD se pueden distribuir al plano de datos, que puede ser de menos intensivo de la CPU
la reducida EIGRP, BGP, OSPF y temporizadores, que existen en su totalidad en el plano de control.
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
configure terminal
Paso 3
Paso 4
Paso 5
fin
24-7
Captulo 24
En esta seccin se describe el procedimiento para configurar el soporte para BFD BGP para que BGP es una marca registrada
protocolo con BFD y recibir mensajes de error de deteccin de desvo de ruta de BFD.
Requisitos previos
BGP debe estar en ejecucin en todos los switches participantes.
Los parmetros de lnea de base para las sesiones BFD en las interfaces sobre las que desea ejecutar sesiones BFD a
Vecinos BFD deben configurarse. Consulte la "Configuracin de BFD Parmetros de sesin en la interfaz"
en la pgina 24-7 para obtener ms informacin.
Para configurar el soporte BFD para BGP, realizar esta tarea:
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
configure terminal
Paso 3
Paso 4
Paso 5
fin
Switch (config-router) # fin
Paso 6
Paso 7
24-8
OL-29703-01
Captulo 24
Qu hacer a
continuacin
Consulte la Seccin "Supervisin y solucin de problemas BFD" en la pgina 24-16 para ms informacin sobre
el seguimiento y la resolucin de problemas BFD. Si desea configurar el soporte BFD para otro enrutamiento
protocolo, consulte las siguientes secciones:
En esta seccin se describe el procedimiento para configurar el soporte para BFD EIGRP para que EIGRP es un
protocolo registrado con BFD y recibir mensajes de error de deteccin de desvo de ruta de BFD.
Hay dos mtodos para habilitar el soporte de BFD para EIGRP:
Puede habilitar BFD para todas las interfaces para que EIGRP es el enrutamiento mediante el uso de la bfd
todas las interfaces comando en el modo de configuracin del router.
Puede activar BFD para un subconjunto de las interfaces para que EIGRP es enrutamiento mediante el bfd
interfaz nmero de tipo comando en el modo de configuracin del router.
Requisitos previos
EIGRP debe estar en ejecucin en todos los switches participantes.
Los parmetros de lnea de base para las sesiones BFD en las interfaces sobre las que desea ejecutar sesiones BFD a
Vecinos BFD deben configurarse. Consulte la "Configuracin de BFD Parmetros de sesin en la interfaz"
en la pgina 24-7 para obtener ms informacin.
Para configurar el soporte BFD para EIGRP, realizar esta tarea:
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
configure terminal
Paso 3
Paso 4
Paso 5
fin
24-9
Captulo 24
Paso 6
Comando o accin
Propsito
Paso 7
Qu hacer a
continuacin
Consulte la Seccin "Supervisin y solucin de problemas BFD" en la pgina 24-16 para ms informacin sobre
el seguimiento y la resolucin de problemas BFD. Si desea configurar el soporte BFD para otro enrutamiento
protocolo, consulte las siguientes secciones:
En esta seccin se describen los procedimientos para configurar el soporte BFD para OSPF para que OSPF es una marca registrada
protocolo con BFD y recibir mensajes de error de deteccin de desvo de ruta de BFD. Usted puede
o bien configurar el soporte para OSPF BFD a nivel mundial en todas las interfaces o configurarlo de forma selectiva en una o
ms interfaces.
Hay dos mtodos para habilitar el soporte de BFD para OSPF:
Puede activar BFD en todas las interfaces para que OSPF es el enrutamiento mediante el bfd todas las interfaces
comando en el modo de configuracin del router. Usted puede desactivar el soporte BFD en interfaces individuales utilizando
la ip ospf bfd Comando [Desactivar] en el modo de configuracin de interfaz.
Puede activar BFD en un subconjunto de las interfaces para que OSPF es enrutamiento mediante el ip ospf
bfd comando en el modo de configuracin de interfaz.
Consulte las siguientes secciones para las tareas para configurar el soporte BFD para OSPF:
Configuracin de la compatibilidad BFD para OSPF de todas las interfaces, pgina 24-10 (Opcional)
Configuracin de la compatibilidad BFD para OSPF para una o ms interfaces, pgina 24-11 (Opcional)
Requisitos previos
OSPF debe estar en ejecucin en todos los switches participantes.
Los parmetros de lnea de base para las sesiones BFD en las interfaces sobre las que desea ejecutar sesiones BFD a
Vecinos BFD deben configurarse. Consulte la "Configuracin de BFD Parmetros de sesin en la interfaz"
en la pgina 24-7 para obtener ms informacin.
24-10
OL-29703-01
Captulo 24
Para configurar el soporte BFD para OSPF para todas las interfaces:
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
configure terminal
Switch # configure terminal
Paso 3
Paso 4
Paso 5
fin
Switch (config-if) # fin
Paso 6
Paso 7
show ip ospf
Switch # show ip ospf
Qu hacer a
continuacin
Consulte la Seccin "Supervisin y solucin de problemas BFD" en la pgina 24-16 para ms informacin sobre
el seguimiento y la resolucin de problemas BFD. Si desea configurar el soporte BFD para otro enrutamiento
protocolo, consulte las siguientes secciones:
Requisitos previos
OSPF debe estar en ejecucin en todos los switches participantes.
Los parmetros de lnea de base para las sesiones BFD en las interfaces sobre las que desea ejecutar sesiones BFD a
Vecinos BFD deben configurarse. Consulte la "Configuracin de BFD Parmetros de sesin en la interfaz"
en la pgina 24-7 para obtener ms informacin.
24-11
Captulo 24
Para configurar BFD partidario de OSPF para una o ms interfaces, realizar esta tarea:
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
configure terminal
Switch # configure terminal
Paso 3
Paso 4
Nota
Paso 5
fin
Switch (config-if) # fin
Paso 6
Paso 7
show ip ospf
Switch # show ip ospf
Qu hacer a
continuacin
Consulte la Seccin "Supervisin y solucin de problemas BFD" en la pgina 24-16 para ms informacin sobre
el seguimiento y la resolucin de problemas BFD. Si desea configurar el soporte BFD para otro enrutamiento
protocolo, consulte las siguientes secciones:
24-12
OL-29703-01
Captulo 24
Para configurar el soporte BFD para el enrutamiento esttico, realizar esta tarea:
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
configure terminal
Paso 3
Paso 4
no switchport
Paso 5
Paso 6
Paso 7
Salida
Paso 8
Paso 9
Ejemplo:
Switch (config) # ip route 10.0.0.0 255.0.0.0
GI6 / 1 10.201.201.2
Paso 10 Salida
Ejemplo:
Switch (config) # Salida
Ejemplo:
Switch # show ip ruta esttica
24-13
Captulo 24
Comando o accin
Paso 12 show ip ruta esttica bfd
Propsito
(Opcional) Muestra informacin sobre el BFD esttica
configuracin de los grupos de BFD configurados y
entradas no grupal.
Ejemplo:
Switch # show ip ruta esttica bfd
Paso 13 Salida
Ejemplo:
Switch # Salida
Requisitos previos
BFD debe estar en ejecucin en todos los switches participantes.
Antes de utilizar el modo de eco BFD, debe desactivar el envo de Protocolo de mensajes de control de Internet
(ICMP) redirigir mensajes mediante la introduccin de la no hay redirecciones ip mando, para evitar el uso elevado de CPU.
Los parmetros de lnea de base para las sesiones BFD en las interfaces sobre las que desea ejecutar sesiones BFD a
Vecinos BFD deben configurarse. Consulte la "Configuracin de BFD Parmetros de sesin en la interfaz"
en la pgina 24-7 para obtener ms informacin.
Restricciones
BFD modo que se apoya en BFD Versin 1 echo.
Esta seccin contiene las siguientes tareas de configuracin para el modo de eco BFD:
Nota
Modo de eco BFD no funciona en conjuncin con Reverse Path Forwarding Unicast (uRPF)
configuracin. Si el modo de eco BFD y configuraciones URPF estn habilitadas, entonces las sesiones se solapa.
24-14
OL-29703-01
Captulo 24
Los pasos de este procedimiento se describe cmo cambiar el valor del contador de tiempo lento BFD. Repita los pasos de este
procedimiento para cada interruptor de BFD.
Para configurar el temporizador lento BFD, realizar esta tarea:
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
configure terminal
Switch # configure terminal
Paso 3
Paso 4
fin
Switch (config) # fin
Paso 1
Comando o accin
Propsito
permitir
Ejemplo:
Cambiar> permitir
Paso 2
configure terminal
Ejemplo:
Switch # configure terminal
Paso 3
Ejemplo:
Switch (config) # GigabitEthernet interfaz 1.6
24-15
Captulo 24
Paso 4
Comando o accin
Propsito
no bfd eco
Ejemplo:
Switch (config-if) # no bfd eco
Paso 5
fin
Ejemplo:
Switch (config-if) # fin
Paso 1
Comando o accin
Propsito
permitir
Cambiar> permitir
Paso 2
Paso 3
Para ms detalles sobre todos los comandos BFD introducidas en este captulo, consulte la URL:
http://www.cisco.com/en/US/docs/ios/iproute_pi/command/reference/iri_book.html.
Ejemplo: Configuracin de BFD en una red EIGRP con el Modo Eco activado por defecto, pgina 24-17
24-16
OL-29703-01
Captulo 24
Ejemplo: Configuracin de BFD en una red EIGRP con el Modo Eco activado por
Por defecto
El siguiente ejemplo muestra cmo configurar BFD en una red EIGRP con el modo eco habilitado por
predeterminado.
En este ejemplo, la red EIGRP contiene SwitchA, SwitchB, y SwitchC. Gigabit Ethernet
interfaz 6.1 en SwitchA est conectado a la misma red que la interfaz Gigabit Ethernet 6.1 en SwitchB.
Gigabit Ethernet interfaz 6.1 en SwitchB est conectado a la misma red que la interfaz Gigabit Ethernet
1.6 en SwitchC.
SwitchA y SwitchB estn ejecutando BFD Versin 1, compatible con el modo de eco, y SwitchC se est ejecutando
BFD Versin 0, que no soporta el modo eco. Diramos que las sesiones BFD entre
SwitchC y sus vecinos BFD estn ejecutando el modo de eco con la asimetra. Esto se debe a que el modo de eco
correr en la ruta de transmisin para RutaA y SwitchB, y sus paquetes de eco devolver lo largo de la misma
camino para las sesiones BFD y detecciones de anomalas, mientras que su vecino BFD SwitchC corre BFD Versin 0
y utiliza BFD controla los paquetes para las sesiones BFD y detecciones de anomalas.
Figura 24-3 muestra una red EIGRP grande con varios interruptores, tres de los cuales son vecinos BFD que
se estn ejecutando EIGRP como protocolo de enrutamiento.
Figura 24-3
172.16.1.3
GigabitEthernet 6.1
SwitchA
332676
GigabitEthernet 6.1
SwitchC
24-17
Captulo 24
ip default-network 0.0.0.0
ip route 0.0.0.0 0.0.0.0 10.4.9.1
ip route 172.16.1.129 255.255.255.255 10.4.9.1
!
24-18
OL-29703-01
Captulo 24
La salida de la mostrar detalles de vecinos bfd comando desde SwitchA verifica que las sesiones BFD
se han creado entre los tres switches y que EIGRP est registrada para el apoyo BFD. La primera
grupo de salida muestra que SwitchC con la direccin IP 172.16.1.3 corre BFD Versin 0 y por lo tanto
no utiliza el modo de eco. El segundo grupo de salida muestra que SwitchB con la direccin IP
172.16.1.2 se ejecuta BFD Versin 1, y el parmetro de intervalo de BFD 50 milisegundos se haban adoptado.
La salida del comando relevante se muestra en negrita.
SwitchA
SwitchA # mostrar detalles de vecinos bfd
OurAddrNeighAddrLD / RD RH / RSHoldown (mult) StateInt
172.16.1.1172.16.1.35.31 (RH) 150 (3) UpGi6 / 1
El estado de sesin est listo y no se utiliza la funcin de eco.
Diag Local: 0, el modo de demanda: 0, bit Encuesta: 0
MinTxInt: 50000, MinRxInt: 50000, Multiplicador: 3
Recibido MinRxInt: 50.000, recibida Multiplicador: 3
Holdown (xitos): 150 (0), Hello (hits): 50 (1364284)
Rx de visitas: 1351813, Rx Intervalo (ms) min / max / promedio: hace 4 ms: 28/64/49
ltimos
Tx visitas: 1364289, Tx Intervalo (ms) min / max / promedio: 40/68/49 ltima: hace 32 ms
Protocolos registrados: EIGRP
Uptime: 18:42:45
ltima paquete: Versin: 0- Diagnstico: 0
I Hear You Bit demanda 1-: 0
Poco Encuesta: 0- final bits: 0
Multiplicador: 3 Duracin: 24
Mi DISCR .: 3 Su DISCR .: 5
Intervalo tx Min: intervalo rx 50000- Min: 50000
Intervalo Min Echo: 0
La salida de la mostrar detalles de vecinos bfd comando en SwitchB verifica que las sesiones BFD tienen
ha creado y que EIGRP se ha registrado para el apoyo BFD. Como se seal anteriormente, se ejecuta SwitchA BFD
Versin 1, por lo tanto, el modo eco est en marcha, y SwitchC corre BFD Versin 0, por lo que el modo de eco no se ejecuta.
La salida del comando relevante se muestra en negrita.
SwitchB
SwitchB # mostrar detalles de vecinos bfd
OurAddrNeighAddrLD / RD RH / RSHoldown (mult) Estado
172.16.1.2172.16.1.11 / 6Up0 (3) Hasta
El estado de sesin es UP y el uso de la funcin de eco con un intervalo de 50 ms.
Diag Local: 0, el modo de demanda: 0, bit Encuesta: 0
Int
GI6 / 1
24-19
Captulo 24
Figura 24-4 muestra que la interfaz Gigabit Ethernet 6.1 en SwitchB ha fallado. Cuando Gigabit Ethernet
interfaz 6.1 en SwitchB se apaga, los valores BFD de las correspondientes sesiones BFD en SwitchA
y SwitchB se reducen.
Figura 24-4
SwitchB
172.16.1.2 Gigabit Ethernet 6.1
icono que indica un fracaso
172.16.1.1
GigabitEthernet 6.1
SwitchA
172.16.1.3
GigabitEthernet 6.1
332677
SwitchC
Cuando interfaz Gigabit Ethernet 6.1 en SwitchB falla, BFD ya no detectar SwitchB como BFD
vecino para SwitchA o para SwitchC. En este ejemplo, Gigabit Ethernet interfaz 6/1 ha sido
administrativamente cerrado en SwitchB.
24-20
OL-29703-01
Captulo 24
La siguiente salida de la mostrar vecinos bfd comando en SwitchA ahora muestra slo un BFD
vecino para SwitchA en la red EIGRP. La salida del comando relevante se muestra en negrita.
SwitchA # mostrar vecinos bfd
OurAddr
172.16.1.1
NeighAddr
172.16.1.3
LD / RD RH / RS
5.3
1 (RH)
Holdown (mult)
134 (3)
Estado
Up
Int
GI6 / 1
La siguiente salida de la mostrar vecinos bfd comando en SwitchC tambin ahora muestra slo un BFD
vecino para SwitchC en la red EIGRP. La salida del comando relevante se muestra en negrita.
SwitchC # mostrar vecinos bfd
OurAddr
172.16.1.3
NeighAddr
172.16.1.1
LD / RD RH Holdown (mult)
5.3 1
114 (3)
Estado
Up
Int
GI6 / 1
24-21
Captulo 24
La salida de la mostrar detalles de vecinos bfd comando comprueba que una sesin BFD ha sido creado
y que OSPF se ha registrado para el apoyo BFD. La salida del comando relevante se muestra en negrita.
SwitchA
SwitchA # mostrar detalles de vecinos bfd
OurAddrNeighAddrLD / RD RH Holdown (mult) StateInt
172.16.10.1172.16.10.21 / 2 1532 (3) UpGi6 / 1
Diag Local: 0, el modo de demanda: 0, bit Encuesta: 0
MinTxInt: 200000, MinRxInt: 200000, Multiplicador: 5
Recibido MinRxInt: 1000, recibida Multiplicador: 3
Holdown (xitos): 600 (22), Hello (hits): 200 (84453)
Rx de visitas: 49824, Rx Intervalo (ms) min / max / promedio: 208/440/332 pasado: hace 68
ms
Tx visitas: 84488, Tx Intervalo (ms) min / max / promedio: hace 192 ms: 152/248/196 ltimos
Protocolos registrados: OSPF
Uptime: 02:18:49
ltima paquete: Versin: 0- Diagnstico: 0
I Hear You Bit demanda 1-: 0
Poco Encuesta: 0- final bits: 0
Multiplicador: 3 Duracin: 24
Mi DISCR .: 2 Su DISCR .: 1
Min tx intervalo: 50000- Min intervalo rx: 1000
Intervalo Min Echo: 0
La salida de la mostrar detalles de vecinos bfd comando en SwitchB verifica que una sesin BFD tiene
ha creado:
SwitchB
SwitchB # adjuntar 6
Cambiar> mostrar detalles de vecinos bfd
xitos del temporizador de
limpieza: 0
OurAddrNeighAddrLD / RD RH Holdown (mult) StateInt
172.16.10.2172.16.10.18 / 1 11000 (5) UpGi6 / 1
Diag Local: 0, el modo de demanda: 0, bit Encuesta: 0
MinTxInt: 50000, MinRxInt: 1000, Multiplicador: 3
Recibido MinRxInt: 200000, Recibido Multiplicador: 5
Holdown (aciertos): 1000 (0), Hello (hits): 200 (5995)
Rx de visitas: 10126, Rx Intervalo (ms) min / max / promedio: 152/248/196 pasado: hace 0 ms
Tx visitas: 5998, Tx Intervalo (ms) min / max / promedio: hace 12 ms: 204/440/332 ltimos
ltima paquete: Versin: 0- Diagnstico: 0
I Hear You Bit demanda 1-: 0
Poco Encuesta: 0- final bits: 0
Multiplicador: 5- Longitud: 24
Mi DISCR .: 1- Su DISCR .: 8
Intervalo tx Min: intervalo rx 200000- Min: 200000
Intervalo Min Echo: 0
Uptime: 00:33:13
Timer Limpieza SSO llama: 0
SSO limpieza de Accin de la toma: 0
Cuenta Pseudo proceso preventivo: 239103 min / max / promedio: 8/16/8 pasado: hace 0 ms
IPC Tx Conde Fallo: 0
IPC Rx Conde Fallo: 0
Adjs Nmero de resultados: 1
24-22
OL-29703-01
Captulo 24
La salida de la show ip ospf comando verifica que BFD se ha habilitado para OSPF. El relevante
salida del comando se muestra en negrita.
SwitchA
SwitchA # show ip ospf
Proceso de enrutamiento "OSPF 123" con el ID 172.16.10.1
Soporta slo TOS individuales (TOS0) rutas
Soporta LSA opaco
Soporta Signaling Link-local (LLS)
SPF inicial calendario de retardo 5000 milisegundos
Tiempo de espera mnimo entre dos SPFs consecutivos 10.000 milisegundos
El tiempo mximo de espera entre dos SPFs consecutivos 10.000
milisegundos
Incremental-SPF desactivado
Intervalo LSA mnimo 5 segundos
Llegada LSA mnimo 1.000 milisegundos
Grupo LSA temporizador ritmo 240 segundos
Interfaz de inundacin del temporizador de estimulacin 33 milisegundos
Retransmisin temporizador de estimulacin 66 milisegundos
Nmero de LSA externos 0 Suma de comprobacin Suma 0x000000
Nmero de opaco AS LSA 0 Suma de comprobacin Suma 0x000000
Nmero de DCbitless externa y opaco AS LSA 0
Nmero de DoNotAge externa y opaco AS LSA 0
Nmero de zonas de este router es 1 1 0 normales trozo 0 NSSA
Lista inundacin externa longitud 0
BFD est habilitado
BACKBONE Area (0)
Nmero de interfaces en esta rea es 2 (1 de bucle de retorno)
rea no tiene autenticacin
SPF algoritmo ltima ejecutado 00: 00: 08,828 Hace
SPF algoritmo ejecutado 9 veces
Rangos de rea son
Nmero de LSA 3. suma de comprobacin Suma 0x028417
Nmero de vnculo opaco LSA 0 Suma de comprobacin Suma 0x000000
Nmero de DCbitless LSA 0
Nmero de indicacin de LSA 0
Nmero de DoNotAge LSA 0
Lista Flood longitud 0
SwitchB
SwitchB # show ip ospf
Proceso de enrutamiento "OSPF 123" con el ID 172.18.0.1
Soporta slo TOS individuales (TOS0) rutas
Soporta LSA opaco
Soporta Signaling Link-local (LLS)
Soporta la capacidad de trnsito zona
SPF inicial calendario de retardo 5000 milisegundos
Tiempo de espera mnimo entre dos SPFs consecutivos 10.000 milisegundos
El tiempo mximo de espera entre dos SPFs consecutivos 10.000
milisegundos
Incremental-SPF desactivado
Intervalo LSA mnimo 5 segundos
Llegada LSA mnimo 1.000 milisegundos
Grupo LSA temporizador ritmo 240 segundos
Interfaz de inundacin del temporizador de estimulacin 33 milisegundos
Retransmisin temporizador de estimulacin 66 milisegundos
Nmero de LSA externos 0 Suma de comprobacin Suma 0x0
Nmero de opaco AS LSA 0 Suma de comprobacin Suma 0x0
Nmero de DCbitless externa y opaco AS LSA 0
Nmero de DoNotAge externa y opaco AS LSA 0
Nmero de zonas de este router es 1 1 0 normales trozo 0 NSSA
24-23
Captulo 24
La salida de la show interface ip ospf comando verifica que BFD se ha habilitado para OSPF en el
las interfaces de conexin SwitchA y SwitchB. La salida del comando relevante se muestra en negrita.
SwitchA
SwitchA # show ip ospf interface gigabitethernet 6.1
show ip ospf interface gigabitethernet 6.1
Gigabitethernet 06.01 est para arriba, el protocolo de lnea es de hasta
Direccin de Internet 172.16.10.1/24, Zona 0
ID de proceso 123, ID del router 172.16.10.1, Red Tipo BROADCAST, costo: 1
Transmit Delay es de 1 seg, Estado BDR, Prioridad 1, BFD habilitado
Router Designado (ID) 172.18.0.1, la direccin Interfaz 172.16.10.2
BDR (ID) 172.16.10.1, 172.16.10.1 direccin de interfaz
Intervalos del temporizador configurados, hola 10, Dead 40, Espere 40, retransmitir 5
oob-resincronizacin tiempo de espera 40
Hola, debido en 00:00:03
Soporta Signaling Link-local (LLS)
ndice de 01.01, inundacin longitud de la cola 0
Siguiente 0x0 (0) / 0x0 (0)
Longitud del examen ltima inundacin es 1, el mximo es 1
Tiempo de exploracin ltima inundacin es 0 ms, el mximo es 0 ms
Conde Vecino es 1, conde vecino adyacente es 1
Junto con el vecino 172.18.0.1 (Router designado)
Reprimir hola de 0 vecino (s)
SwitchB
SwitchB # show ip ospf interface gigabitethernet 6.1
Gigabitethernet 06.01 est para arriba, el protocolo de lnea es de hasta
Direccin de Internet 172.18.0.1/24, Zona 0
ID de proceso 123, ID Router 172.18.0.1, Red Tipo BROADCAST, costo: 1
Transmit Delay es de 1 seg, Estado DR, Prioridad 1, BFD habilitado
Router Designado (ID) 172.18.0.1, la direccin de interfaz 172.18.0.1
No BDR en esta red
Intervalos del temporizador configurados, hola 10, Dead 40, Espere 40, retransmitir 5
oob-resincronizacin tiempo de espera 40
Hola, debido en 00:00:01
Soporta Signaling Link-local (LLS)
ndice de 01.01, inundacin longitud de la cola 0
Siguiente 0x0 (0) / 0x0 (0)
Longitud del examen ltima inundacin es 0, el mximo es 0
Tiempo de exploracin ltima inundacin es 0 ms, el mximo es 0 ms
Conde Vecino es 0, recuento vecino adyacente es 0
Reprimir hola de 0 vecino (s)
24-24
OL-29703-01
Captulo 24
SwitchB
configure terminal
no switchport
Ethernet Gigabit interfaz 6.1
direccin IP 10.201.201.2 255.255.255.0
intervalo bfd 500 min_rx 500 multiplicador 5
ip route Ethernet Gigabit bfd esttica 6.1 10.201.201.1
ip route 10.1.1.1 255.255.255.255 Gigabit Ethernet 1.6 10.201.201.1
Nota
La ruta esttica en SwitchB existe nicamente para permitir la sesin BFD entre 10.201.201.1 y
10.201.201.2. Si no hay una ruta esttica til para configurar, seleccione un prefijo que no afectar de paquetes
expedicin, por ejemplo, la direccin de una interfaz loopback configurada localmente.
Referencias adicionales
Documentos
relacionados
Tema relacionado
24-25
Captulo 24
Referencias adicionales
Tema relacionado
Normas
Estndar
Ttulo
IETF Proyecto
IETF Proyecto
MIB
MIB
MIB Enlace
RFC
RFC
Ttulo
Asistencia Tcnica
Descripcin
Enlace
24-26
OL-29703-01
E R CH A P T
25
Nota
Entendimiento REP
Un segmento REP es una cadena de puertos conectados el uno al otro y configurados con un ID de segmento. Cada
segmento se compone de (no-borde) puertos estndar del segmento y dos puertos de borde configuradas por el usuario. Un
interruptor puede
no tener ms de dos puertos que pertenecen al mismo segmento, y cada segmento de puerto slo puede tener un
vecino externo. Un segmento puede ir a travs de un medio compartido, pero en cualquier enlace solamente dos puertos puede
pertenecer
al mismo segmento. REP slo se admite en la Capa 2 interfaces de troncales.
Figura 25-1 muestra un ejemplo de un segmento que consta de seis puertos repartidos en cuatro interruptores. Puertos E1
y E2 estn configurados como puertos de borde. Cuando todos los puertos estn en funcionamiento (como en el segmento de la
izquierda), un
de un solo puerto est bloqueado, se muestra por la lnea diagonal. Cuando hay un fallo en la red, como se muestra en
el diagrama de la derecha, el puerto bloqueado vuelve al estado de reenvo para minimizar la interrupcin de la red.
25-1
Captulo 25
Entendimiento REP
Figura 25-1
E1
Puerto Edge
Puerto bloqueado
Fracaso Enlace
E1
E2
E1
E2
201888
El segmento se muestra en la Figura 25-1 es un segmento abierto; no hay conectividad entre los dos bordes
puertos. El segmento de REP no puede causar un bucle de puente y es seguro para conectar los bordes de segmentos a cualquier
red. Todos los hosts conectados a switches dentro del segmento tienen dos conexiones posibles con el resto
de la red a travs de los puertos de borde, pero slo una conexin es accesible en cualquier momento. Si un fracaso
hace que una gran cantidad para no poder acceder a su puerta de entrada habitual, REP desbloquea todos los puertos para garantizar
que la conectividad
est disponible a travs de la otra puerta de enlace.
El segmento se muestra en la Figura 25-2, con ambos puertos de borde situadas en el mismo conmutador, es un segmento de anillo.
En esta configuracin, hay conectividad entre los puertos de borde a travs del segmento. Con esta
configuracin, puede crear una conexin redundante entre dos interruptores en el segmento.
Figura 25-2
E1
E2
201889
Si todos los puertos en el segmento estn en funcionamiento, un puerto (referido como el alternativo puerto) est en el
bloqueado
estado para cada VLAN. Si se configura el equilibrio de carga VLAN, dos puertos en el segmento de control de la
estado de bloqueo de las VLAN.
Si uno o ms puertos en un segmento no est operativo, provocando un fallo de enlace, el trfico de todos los puertos hacia
adelante
en todas las VLAN para garantizar la conectividad.
En caso de un fallo de enlace, los puertos alternativos se desbloquean lo ms rpidamente posible. Cuando el fallido
enlace vuelve a subir, un puerto lgicamente bloqueados por VLAN se selecciona con una interrupcin mnima para la
red.
25-2
OL-29703-01
Captulo 25
Usted puede construir casi cualquier tipo de red en funcin de los segmentos REP. REP tambin soporta VLAN
balanceo de carga, controlado por el puerto de borde primaria, pero que ocurren en cualquier puerto en el segmento.
En topologas de anillo de acceso, el interruptor vecino puede no ser compatible REP, como se muestra en Figura 25-3. En
este caso, usted puede configurar el no-REP hacia puertos (E1 y E2) como borde puertos no al vecino. Estos
puertos heredan todas las propiedades de los puertos de borde, y usted puede configurarlos el mismo que cualquier puerto de borde,
incluyendo
configurarlos para enviar STP o topologa REP avisos de cambio para el switch de agregacin. En este caso,
el aviso de cambio de topologa STP (TCN) que se enva es un spanning-tree (MST) de mensajes mltiples STP.
Figura 25-3
E1
REP no
apoyado
E1 y E2 estn configurados
como borde puertos no-vecinos
273792
E2
Puertos REP
Debe configurar cada puerto segmento; una configuracin incorrecta puede causar bucles de reenvo en la
redes.
REP puede manejar solamente un solo puerto intil dentro del segmento; mltiples fallas de puerto en el REP
segmento causa la prdida de la conectividad de red.
Usted debe configurar REP slo en redes con redundancia. Configuracin de REP en una red
sin redundancia causa la prdida de la conectividad.
Integridad del
enlace
REP no utiliza una funcin de extremo a extremo de votacin entre los puertos de borde para verificar la integridad del enlace. Es
implementa la deteccin de fallo de enlace local. El Estado de Capa REP Link (LSL) detecta conscientes REP-su
vecino y establece la conectividad dentro del segmento. Todas las VLANs estn bloqueados en una interfaz hasta
detecta el vecino. Una vez que se identific el vecino, REP determina qu puerto vecino debe
se convierten en el puerto alternativo y que los puertos deben reenviar el trfico.
Cada puerto en un segmento tiene un ID de puerto nico. El formato de ID de puerto es similar a la utilizada por el spanning
algoritmo de rbol: un nmero de puerto (nico en el puente), asociado a una direccin MAC (nico en el
de red). Cuando un puerto segmento se acerca, su LSL comienza a enviar paquetes que incluyen la ID del segmento
y el ID de puerto. El puerto se declar en operacin despus de que se realiza un enlace de tres vas con un
vecino en el mismo segmento.
25-3
Captulo 25
Entendimiento REP
Cada puerto crea una adyacencia con su vecino inmediato. Una vez creadas las adyacencias de vecinos,
los puertos negocian para determinar un puerto bloqueado para el segmento, el puerto alternativo. Todos los otros puertos
convertido desbloqueado. Por defecto, los paquetes REP se envan a una direccin MAC BPDU clase. Los paquetes pueden
Tambin se enviar a la direccin de multidifusin de Cisco, que se utiliza slo para enviar puerto bloqueado anuncio (BPA)
mensajes cuando hay un fallo en el segmento. Los paquetes son descartados por los dispositivos que no ejecutan REP.
Convergencia Rpida
Debido REP se ejecuta en una base de enlace fsico y no una base per-VLAN, slo se requiere un mensaje de saludo
para todas las VLAN, lo que reduce la carga en el protocolo. Le recomendamos que cree las VLAN consistentemente
en todos los switches en un segmento dado y configurar las mismas VLAN permitidas en los puertos troncales REP. Para
evitar el retardo introducido por la retransmisin de mensajes en software, REP tambin permite que algunos paquetes sean
inundado a una direccin multicast regular. Estos mensajes operan en la capa de inundacin de hardware (LIH) y
se inundan a toda la red, no slo el segmento REP. Interruptores que no pertenecen al segmento
tratarlos como trfico de datos. Puede controlar las inundaciones de estos mensajes mediante la configuracin de un dedicado
VLAN administrativa para todo el dominio.
El tiempo de recuperacin estimado de convergencia en las interfaces de fibra est entre 50 ms y 200 ms para el local de
segmento con 200 VLAN configurada. Convergencia para el equilibrio de carga de VLAN es de 300 ms o menos.
Al entrar en el vecino nmero de un puerto compensado en el segmento, que identifica el de aguas abajo
puerto vecino de un puerto de borde. El rango de nmero de desplazamiento vecino es -256-256; un valor de 0 es
vlido. El puerto de borde primaria tiene un nmero de desplazamiento de 1; nmeros positivos por encima de 1 identificar
vecinos aguas abajo del puerto de borde primaria. Los nmeros negativos indican el puerto de borde secundaria
(Offset nmero -1) y sus vecinos ro abajo.
Nota
Configura nmeros en el puerto de borde primaria compensado por la identificacin de una de aguas abajo del puerto
posicin desde el puerto de borde primaria (o secundaria). Nunca se debera introducir un valor de desplazamiento de 1
porque ese es el nmero de desplazamiento de la propia puerto de borde primaria.
Figura 25-4 muestra vecino nmeros compensado por un segmento donde E1 es el puerto principal y el borde E2
es el puerto de borde secundaria. Los nmeros rojos dentro del anillo se compensan los nmeros de la primaria
puerto de borde; los nmeros negros exterior del anillo muestran los nmeros de compensacin desde el borde secundaria
puerto. Tenga en cuenta que usted puede identificar todos los puertos (excepto el puerto de borde primaria), ya sea un
desplazamiento positivo
25-4
OL-29703-01
Captulo 25
nmero (posicin aguas abajo desde el puerto de borde primaria) o un nmero de desplazamiento negativo (aguas abajo
posicin desde el puerto de borde secundaria). Si E2 se convirti en el puerto de borde principal, su nmero de desplazamiento
hara
a continuacin, ser 1 y E1 sera -1.
Al participar en el preferido palabra clave para seleccionar el puerto que ha configurado previamente como el preferido
puerto alternativo con el segmento rep Serie de sesiones de Identificacin preferido comando de configuracin de interfaz.
Figura 25-4
-9 2
E2
10
9
-2
8-3
-8 3
4
-7
5
-6
-4
6
201890
-5
Cuando el segmento REP es completa, todas las VLAN se bloquean. Al configurar el equilibrio de carga de VLAN,
tambin debe configurar desencadenantes de una de dos maneras:
Nota
Activar manualmente la carga VLAN equilibrio en cualquier momento introduciendo el segmento preempt rep
Serie de sesiones de Identificacin comando EXEC privilegiado en el interruptor que tiene el puerto de borde
primaria.
Configure un tiempo de retardo preempt introduciendo el rep retraso preempt segundos configuracin de la interfaz
de comandos. Despus de un fallo de enlace y la recuperacin, el equilibrio de carga VLAN comienza despus de que el
configurado
perodo de tiempo que transcurra el sobreseimiento. Tenga en cuenta que el tiempo de retardo se reinicia si falla otro puerto
antes de la hora
ha transcurrido.
Cuando se configura el equilibrio de carga VLAN, no empezar a trabajar hasta que son activados por cualquiera de las
instrucciones
intervencin o un fallo de enlace y la recuperacin.
Cuando se activa el equilibrio de carga de VLAN, el puerto de borde primario enva un mensaje para alertar a todas las interfaces
en el segmento acerca de la prevencin. Cuando el puerto secundario recibe el mensaje, se refleja en
la red para notificar al puerto alternativo para bloquear el conjunto de VLAN especificada en el mensaje y para notificar
el puerto de borde primaria para bloquear las VLAN restantes.
Tambin puede configurar un puerto en particular en el segmento de bloquear todas las VLAN. Slo el puerto de borde primaria
inicia el equilibrio de carga VLAN, que no es posible si el segmento no se termina por un puerto de borde en
cada extremo. El puerto de borde primaria determina la configuracin de equilibrio de carga de VLAN local.
Vuelva a configurar el puerto de borde principal para volver a configurar el equilibrio de carga. Cuando se cambia el equilibrio de
carga
configuracin, el puerto de borde primaria espera de nuevo para el segmento preempt rep comando como para el
configurado perodo de retardo preempt tras un fallo de puerto y recuperacin antes de ejecutar la nueva
configuracin. Si cambia un puerto de borde a un puerto serie ordinaria, el balanceo de carga VLAN existente
estado no cambia. Configuracin de un nuevo puerto de borde podra causar una nueva configuracin de la topologa.
25-5
Captulo 25
Configuracin REP
REP Puertos
Puertos en segmentos REP se fall, Open, o alternativo.
Un puerto configurado como puerto serie ordinaria comienza como un puerto intil.
Despus se determinan las adyacencias de vecinos, las transiciones del puerto a fin de alternar el Estado del puerto, bloqueando
todas las VLAN en la interfaz. Negociaciones puerto bloqueado y ocurren cuando el segmento se asienta, una
puerto bloqueado se queda en el papel alternativo y todos los dems puertos se convierten en los puertos abiertos.
Cuando se produce un fallo en un enlace, todos los puertos se mueven al estado fallido. Cuando el puerto alternativo recibe
la notificacin de fallo, cambia al estado abierto, el reenvo de todas las VLAN.
Un puerto serie ordinaria convierte a un puerto de borde, o un puerto de borde convierte a un puerto serie ordinaria,
no siempre resultar en un cambio de topologa. Si convierte un puerto de borde a un puerto serie ordinaria,
Balanceo de carga VLAN no se ha implementado a menos que se haya configurado. Para el equilibrio de carga de VLAN, que
debe configurar dos puertos de vanguardia en el segmento.
Un puerto segmento que se reconfigur como abarcan reinicia portuarias rbol segn el rbol de expansin
configuracin. Por defecto, este es un bloqueo de puertos designados. Si PortFast est configurado o si es STP
desactivado, el puerto pasa al estado de reenvo.
Configuracin REP
Un segmento es una coleccin de puertos conectados uno a otro en una cadena y configurado con un segmento
ID. Para configurar segmentos REP, configure la VLAN administrativa REP (o utilice el valor por defecto
VLAN 1) y luego aadir los puertos al mismo utilizando el modo de configuracin de interfaz. Debieras
configurar dos puertos de borde en el segmento, con uno de ellos el puerto de borde primario y el otro por defecto
el puerto de borde secundaria. Un segmento tiene un solo puerto de borde primario. Si se configuran dos puertos en un
segmento que el puerto de borde primaria, por ejemplo, puertos en diferentes interruptores, el REP selecciona uno de ellos
para servir como el segmento de puerto de borde primario. Opcionalmente, tambin puede configurar a dnde enviar segmento
avisos de cambio de topologa (STCNs) y balanceo de carga VLAN.
25-6
OL-29703-01
Captulo 25
Le recomendamos que comience por configurar un puerto y luego configurar los puertos contiguos a
minimizar el nmero de segmentos y el nmero de puertos bloqueados.
Si hay ms de dos puertos en un segmento fallan cuando no hay vecinos externos estn configurados, los cambios un puerto
a un estado de reenvo de la ruta de datos para ayudar a mantener la conectividad durante la configuracin. En el
show interface rep salida de comando EXEC privilegiado, el papel de puerto para este puerto se muestra como Falla
Abrir Lgico; el papel de puerto para el otro puerto no muestra como Falla No Ext Vecino. Cuando el
vecinos externos para los puertos fallidos se configuran, los puertos pasan por el estado de puerto alternativo
transiciones y, finalmente, ir a un estado abierto o permanecer como el puerto alternativo, basado en la alternativa
operacin de eleccin puerto.
Tenga cuidado al configurar REP a travs de una conexin Telnet. Debido bloques REP todas las VLAN
hasta que otra interfaz REP enva un mensaje para desbloquearlo, es posible que pierda la conectividad con el interruptor
si habilita REP en una sesin de Telnet que tiene acceso al conmutador a travs de la misma interfaz.
No se puede ejecutar REP y STP o REP y Flex Enlaces en el mismo segmento o interfaz.
Si conecta una red STP al segmento REP, asegrese de que la conexin est en el segmento
borde. Una conexin STP que no est en el borde podra causar un bucle de puente STP porque no hace
ejecutar en segmentos REP. Todo STP BPDU se dej caer en las interfaces REP.
Debe configurar todos los puertos troncales en el segmento con el mismo conjunto de VLAN permitidas, o una
mala configuracin se produce.
puertos segmento, o un puerto normal y uno de los bordes del puerto no-prjimo. Un puerto de borde y regular
segmento puerto en un conmutador no puede pertenecer al mismo segmento.
-Si dos puertos en un switch pertenecen al mismo segmento y uno est configurado como un puerto de borde y
uno como un puerto segmento regular (una configuracin incorrecta), el puerto de borde es tratada como un segmento
regular de
puerto.
Interfaces de REP surgen en un estado bloqueado y permanece en un estado bloqueado hasta que notifique que es seguro
para desbloquear. Tienes que ser consciente de esto para evitar prdidas de conexin repentinos.
25-7
Captulo 25
Configuracin REP
REP enva toda LSL PDU en tramas sin etiquetar en la VLAN nativa. El mensaje enviado a la BPA
Cisco direccin multicast se enva en la VLAN de administracin, que es VLAN 1 por defecto.
Puede configurar el tiempo que una interfaz REP permanece sin recibir un saludo de un vecino.
Puede utilizar el rep LSL-edad-temporizador valor comando de configuracin de interfaz para ajustar el tiempo de
120 ms a 10.000 ms. El temporizador hola LSL se ajusta entonces a la edad valor del temporizador dividido por 3. En
condiciones normales
operacin, tres holas LSL se envan antes de que el temporizador de la edad en el interruptor de pares expira y cheques para
mensajes de saludo.
-EtherChannel interfaces de canal de puerto no son compatibles con los valores de la edad-temporizador LSL menos de 1000
ms. Si intenta configurar un valor inferior a 1000 ms en un canal del puerto, recibe un mensaje de error
y el comando es rechazado.
Al configurar el temporizador de edad REP LSL, asegrese de que ambos extremos del enlace tienen la misma hora
valor configurado. Configuracin de valores diferentes en los puertos en cada extremo de los resultados de enlace en un enlace
REP
colgajo.
Puertos REP no pueden configurarse como uno de estos tipos de puertos:
-Puerto de destino SPAN
-Puerto Tnel
-Puerto de acceso
Slo puede haber una VLAN de administracin en un interruptor y en un segmento. Sin embargo, esto no es
forzada por software.
Para configurar la VLAN administrativa REP, siga estos pasos, que comienza en el modo EXEC privilegiado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
25-8
OL-29703-01
Captulo 25
Este ejemplo muestra cmo configurar la VLAN de administracin como VLAN 100 y verifique la
configuracin introduciendo el Visualizar detalles interfaz rep comando en una de las interfaces de Credibilidad:
Switch # configure terminal
Switch (conf) # rep administrador vlan 100
Switch (conf-if) # fin
Switch # show interface detalle GigabitEthernet1 / 1 representante
GigabitEthernet1 / 1 REP habilitado
Segmento-id: 2 (Edge)
Portid: 00010019E7144680
Bandera preferido: No
Enlace Operativo Estado: TWO_WAY
Clave actual: 0002001121A2D5800E4D
Puerto Papel: Open
Vlan Bloqueado: <vaco>
Admin-vlan: 100
Preempt Tiempo de Retardo: desactivado
LSL Ageout Timer: 5,000 ms
Configurado equilibrio de carga Block Port: ninguno
Configurado equilibrio de carga de bloque VLAN: ninguno
STCN Propagar a: ninguno
LSL PDU rx: 3322, tx: 1722
HFL PDU rx: 32, tx: 5
Rx BPA TLV: 16849, TX: 508
BPA (STCN, LSL) TLV rx: 0, tx: 0
BPA (STCN, HFL) TLV rx: 0, tx: 0
EPA-ELECCIN TLV rx: 118, tx: 118
EPA-COMANDO TLV rx: 0, tx: 0
EPA-INFO TLV rx: 4214, tx: 4190
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
25-9
Captulo 25
Configuracin REP
Comando
Paso 4
Propsito
segmento rep Serie de sesiones de Identificacin [Borde [no-vecino] Activa REP en la interfaz, e identifica un nmero de segmento. El
[Principal]] [recomendado] Rango de ID del segmento es de 1 a 1024 Estas palabras clave son opcionales
disponible:
Debe configurar dos puertos de ltima generacin, incluyendo una primaria
puerto de borde para cada segmento.
Nota
Nota
Paso 5
25-10
OL-29703-01
Captulo 25
Comando
Paso 6
Propsito
puerto bloque rep {Id puerto-Identificacin | neighbor_offset | (Opcional) Configura el equilibrio de carga de VLAN en el borde principal
preferida} vlan {Vlan-list | all}puerto, identifica el puerto alternativo REP en una de tres maneras, y
configura las VLAN a ser bloqueados en el puerto alternativo.
Nota
Nota
Paso 7
Paso 8
Paso 9
fin
25-11
Captulo 25
Configuracin REP
Introduzca el no forma de cada comando para volver a la configuracin por defecto. Introduzca el espectculo topologa rep
comando privilegiado EXEC para ver qu puerto en el segmento es el puerto de borde primaria.
Este ejemplo muestra cmo configurar una interfaz como el puerto de borde principal para el segmento 1, para enviar STCNs
a los segmentos 2 a 5, y para configurar el puerto alternativo como el puerto con ID de puerto 0009001818D68700
bloquear todas las VLAN despus de un retraso de preferencia de 60 segundos despus de un fallo de puerto segmento y
recuperacin.
La interfaz est configurada para mantenerse para 6000 milisegundos sin recibir un saludo de un vecino.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(conf) # interfaz GigabitEthernet1 / 1
(conf-if) # segmento rep 1 borde primaria
(conf-if) # segmento representante stcn 2-5
(conf-if) # rep puerto bloque 0009001818D68700 vlan todo
(conf-if) # rep retraso preempt 60
(conf-if) # rep LSL-edad-temporizador 6000
(conf-if) # fin
Este ejemplo muestra cmo configurar la misma configuracin cuando la interfaz no tiene REP externa
vecino:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(conf) # interfaz GigabitEthernet1 / 1
(conf-if) # segmento rep 1 borde principal no-vecino
(conf-if) # segmento representante stcn 2-5
(conf-if) # rep puerto bloque 0009001818D68700 vlan todo
(conf-if) # rep retraso preempt 60
(conf-if) # rep LSL-edad-temporizador 6000
Este ejemplo muestra cmo configurar la configuracin de bloqueo de VLAN muestra en Figura 25-5. El
puerto alternativo es el vecino con vecino compensar nmero 4. Despus de preferencia manual, VLAN 100 a
200 estn bloqueados en este puerto, y todas las otras VLAN estn bloqueados en el puerto borde primaria E1 (Gigabit
Puerto Ethernet 1/1).
Switch
Switch
Switch
Switch
Switch
# configure terminal
(conf) # interfaz GigabitEthernet1 / 1
(conf-if) # segmento rep 1 borde primaria
(conf-if) # rep puerto bloque 4 vlan 100-200
(conf-if) # fin
Figura 25-5
E2
4
Puerto alternativo (offset 4)
bloques VLANs 100-200
201891
25-12
OL-29703-01
Captulo 25
Paso 1
Paso 2
Comando
Propsito
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para quitar la trampa, introduzca la sin tasa de captura de SNMP MIB rep comando de configuracin global.
En este ejemplo se configura el conmutador para que enve capturas REP a un ritmo de 10 por segundo:
Switch (config) # SNMP MIB representante trampa de tasa 10
25-13
Captulo 25
Monitoreo REP
Monitoreo REP
Tabla 25-1
Comando
Propsito
Muestra la configuracin REP y el estado de una interfaz o para todas las interfaces.
Muestra informacin de topologa REP para un segmento o para todos los segmentos,
incluyendo los puertos de borde primarias y secundarias en el segmento.
Nota
25-14
OL-29703-01
E R CH A P T
26
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
El captulo consta de las siguientes secciones:
Enlaces Flex
Enlaces Flex son una pareja de una Capa 2 interfaces (puertos de switch o canales de puerto) donde una interfaz es
configurado para actuar como una copia de seguridad a la otra. La caracterstica proporciona una solucin alternativa a la Spanning
Tree Protocol (STP). Los usuarios pueden desactivar STP y an conservan la redundancia de enlace bsico. Enlaces Flex son
26-1
Captulo 26
Entender Flex Enlaces y la direccin MAC-Tabla Move actualizacin
suelen configurar en proveedores o redes empresariales de servicios donde los clientes no quieren correr STP
en el interruptor. Si el interruptor est en ejecucin STP, Flex Enlaces no es necesario porque STP ya proporciona
redundancia a nivel de enlace o de copia de seguridad.
Se configura Flex Enlaces en una interfaz de capa 2 (el enlace activo) mediante la asignacin de otra capa 2
interfaz que el Flex Link o enlace de respaldo. El Catalyst 3750-E Catalyst 3750-X interruptores, el Flex Enlace
pueden estar en el mismo o en otro interruptor conmutador de la pila. Cuando uno de los enlaces es y reenvo
el trfico, el otro enlace est en modo de espera, listo para comenzar el reenvo de trfico si el otro enlace se apaga.
En cualquier momento dado, slo una de las interfaces est en el trfico de estado de linkup y expedicin. Si la primaria
enlace se apaga, el enlace de espera comienza reenviar trfico. Cuando el vnculo activo vuelve a subir, se va
en modo de espera y no reenva trfico. STP est desactivado en las interfaces de enlace de Flex.
En Figura 26-1, puertos 1 y 2 en el interruptor A estn conectados a los interruptores de enlace ascendente B y C. Debido a que son
configurado como Flex Enlaces, slo una de las interfaces reenva el trfico; el otro est en el modo de espera.
Si el puerto 1 es el enlace activo, comienza a enviar el trfico entre el puerto 1 y el interruptor B; el vnculo entre
puerto 2 (el enlace de respaldo) y el interruptor C no se envan trfico. Si el puerto 1 se pone, el puerto 2 se acerca y
comienza a enviar el trfico para cambiar C. Cuando el puerto 1 vuelve a subir, entra en modo de espera y hace
trfico no hacia adelante; puerto 2 contina reenviar trfico.
Tambin puede optar por configurar un mecanismo de preferencia, especificar el puerto preferido para la transmisin de
trfico. Por ejemplo, en el ejemplo de Figura 26-1, puede configurar el par Flex Enlaces con
modo de prevencin. En el escenario que se muestra, cuando el puerto 1, reaparece y cuenta con ms ancho de banda que
el puerto 2, 1 puerto comienza a enviar el trfico despus de 60 segundos. El puerto 2 se convierte en el puerto de espera. Para ello,
mediante la introduccin de la configuracin de la interfaz ancho de banda de modo de apropiacin interfaz de respaldo switchport y
switchport retraso preemption interfaz de respaldo los comandos.
Figura 26-1
Uplink
cambiar B
Uplink
cambiar C
Puerto 1
Puerto 2
116082
Interruptor A
Si un enlace primario (reenvo) va hacia abajo, una trampa notifica a las estaciones de administracin de red. Si el modo de espera
enlace se cae, una trampa notifica a los usuarios.
Enlaces Flex son compatibles slo en 2 puertos de capa y canales portuarios, no en VLAN o en la Capa 3 puertos.
26-2
OL-29703-01
Captulo 26
Figura 26-2
Uplink
cambiar B
Uplink
cambiar C
Reenvo
(1-50)
gi2 / 0/6
Reenvo
(51-100)
gi2 / 0/8
201398
Interruptor A
Aprender el otro puerto Flex Enlace como el Mrouter Puerto, pgina 26-3
Generacin de informes de
IGMP
Cuando el enlace de respaldo viene despus de la transicin, el nuevo mando de distribucin de aguas arriba no se inicia
el reenvo de datos de multidifusin, ya que el puerto en el enrutador de aguas arriba, que est conectado a la bloqueado
Enlace de puerto Flex, no es parte de ningn grupo de multidifusin. Los informes de los grupos de multidifusin no eran
remitida por el interruptor aguas abajo debido a que el enlace de respaldo se bloquea. Los datos no fluye en este
puerto, hasta que se entera de los grupos de multidifusin, que se produce slo despus de recibir los informes.
Los informes son enviados por hosts cuando se recibe una consulta general, y una consulta general se enva dentro de 60
segundos en escenarios normales. Cuando el enlace de respaldo inicia expedicin, para lograr una convergencia ms rpida de
datos de multidifusin, el interruptor aguas abajo enva de inmediato los informes de proxy para todos los grupos aprendido en este
puerto sin esperar a una consulta general.
26-3
Captulo 26
Entender Flex Enlaces y la direccin MAC-Tabla Move actualizacin
Ejemplos de configuracin
Estos son ejemplos de configuracin para aprender el otro puerto Flex Enlace como el puerto Mrouter cuando Flex
Enlace est configurado en GigabitEthernet1 / 0/11 y GigabitEthernet1 / 0/12, y la salida para el
backup show interfaces switchport comando:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Switch (config) # interfaz GigabitEthernet1 / 0/11
Switch (config-if) # switchport trunk encapsulacin dot1q
Switch (config-if) # switchport mode trunk
Switch (config-if) # interfaz de respaldo switchport Gi1 / 0/12
Switch (config-if) # Salida
Switch (config) # interfaz GigabitEthernet1 / 0/12
Switch (config-if) # switchport trunk encapsulacin dot1q
Switch (config-if) # switchport mode trunk
Switch (config-if) # fin
Switch # show interfaces switchport detalle de copia de seguridad
Cambie pares de interfaz de copia de seguridad:
Estado de interfaz de copia de seguridad Active Interface
GigabitEthernet1 / 0/11 GigabitEthernet1 / 0/12 Activo Up / Copia de seguridad en
espera
Modo Preemption: off
Multicast Convergencia rpida: Off
Ancho de banda: 100 000 Kbit (Gi1 / 0/11), 100 000 Kbit (Gi1 / 0/12)
Mac Address Move actualizacin Vlan: auto
Este resultado muestra un interrogador para VLAN 1 y 401, con sus consultas llegan al conmutador a travs de
GigabitEthernet1 / 0/11:
Switch # mostrar ip snooping IGMP
VlanIP AddressIGMP VersionPort
-------------------------------------------------- ----------11.1.1.1v2Gi1 / 0/11
40141.41.41.1v2Gi1 / 0/11
Aqu es de salida para el mostrar ip snooping IGMP Mrouter comando para las VLAN 1 y 401:
Switch # mostrar ip snooping IGMP Mrouter
Vlan
puertos
-------1
Gi1 / 0/11 (dinmico), Gi1 / 0/12 (dinmico)
401
Gi1 / 0/11 (dinmico), Gi1 / 0/12 (dinmico)
26-4
OL-29703-01
Captulo 26
Del mismo modo, ambos puertos Flex de enlaces son parte de grupos aprendido. En este ejemplo, GigabitEthernet2 / 0/11 es una
receptor / host en VLAN 1, que est interesada en dos grupos de multidifusin:
Switch # mostrar los grupos de inspeccin de IGMP ip
Lista VlanGroupTypeVersionPort
-------------------------------------------------- --------------------1228.1.5.1 igmpv2Gi1 / 0/11, Gi1 / 0/12, Gi2 / 0/11
1228.1.5.2 igmpv2Gi1 / 0/11, Gi1 / 0/12, Gi2 / 0/11
Cuando un host responde a la consulta general, el switch enva este informe sobre todos los puertos Mrouter. En
este ejemplo, cuando un host enva un informe para el grupo 228.1.5.1, se enva slo en
GigabitEthernet1 / 0/11, debido a que el puerto de backup GigabitEthernet1 / 0/12 est bloqueado. Cuando el enlace activo,
GigabitEthernet1 / 0/11, se cae, el puerto de backup, GigabitEthernet1 / 0/12, comienza el reenvo.
Tan pronto como se inicia el reenvo de este puerto, el conmutador enva informes de proxy para el 228.1.5.1 y grupos
228.1.5.2 en nombre del anfitrin. El router aguas arriba aprende los grupos y se inicia el reenvo de multidifusin
datos. Este es el comportamiento por defecto de Flex Link. Este comportamiento cambia cuando el usuario configura rpida
convergencia utilizando la switchport interfaz de respaldo gigabitethernet 1/0/12 multicast
rpida convergencia de comandos. Este ejemplo muestra encender esta funcin:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Switch (config) # gigabitethernet interfaz 1/0/11
Switch (config-if) # switchport interfaz de respaldo gigabitethernet 1/0/12 multicast
rpida convergencia
Switch (config-if) # Salida
Switch # show interfaces switchport detalle de copia de seguridad
Cambie pares de interfaz de copia de seguridad:
ActiveInterfaceBackup Estado Interface
-------------------------------------------------- ---------------------GigabitEthernet1 / 0/11 GigabitEthernet1 / 0/12 Activo Up / Copia de seguridad en espera
Modo Preemption: off
Multicast Convergencia rpida: En
Ancho de banda: 100 000 Kbit (Gi1 / 0/11), 100 000 Kbit (Gi1 / 0/12)
Mac Address Move actualizacin Vlan: auto
Este resultado muestra un interrogador para la VLAN 1 y 401 con sus consultas llegan al conmutador a travs de
GigabitEthernet1 / 0/11:
Switch # mostrar ip snooping IGMP
VlanIP AddressIGMP VersionPort
-------------------------------------------------- ----------11.1.1.1v2Gi1 / 0/11
40141.41.41.1v2Gi1 / 0/11
Esta es salida para el mostrar ip snooping IGMP Mrouter comando para la VLAN 1 y 401:
Switch # mostrar ip snooping IGMP Mrouter
Vlanports
--------1Gi1 / 0/11 (dinmico), Gi1 / 0/12 (dinmico)
401Gi1 / 0/11 (dinmico), Gi1 / 0/12 (dinmico)
Del mismo modo, tanto los puertos Flex Enlace son una parte de los grupos aprendido. En este ejemplo,
GigabitEthernet2 / 0/11 es un receptor / host en VLAN 1, que est interesada en dos grupos de multidifusin:
Switch # mostrar los grupos de inspeccin de IGMP ip
Lista VlanGroupTypeVersionPort
-------------------------------------------------- --------------------1228.1.5.1 igmpv2Gi1 / 0/11, Gi1 / 0/12, Gi2 / 0/11
1228.1.5.2 igmpv2Gi1 / 0/11, Gi1 / 0/12, Gi2 / 0/11
26-5
Captulo 26
Entender Flex Enlaces y la direccin MAC-Tabla Move actualizacin
Cada vez que un host responde a la consulta general, el switch enva este informe sobre todos los puertos Mrouter.
Cuando se activa esta funcin a travs del puerto de lnea de comandos, y cuando un informe se enva por el
encender GigabitEthernet1 / 0/11, tambin se filtr a el puerto de copia de seguridad GigabitEthernet1 / 0/12. El
router de salida aprende los grupos y se inicia el reenvo de datos de multidifusin, que se dej en la entrada
porque GigabitEthernet1 / 0/12 est bloqueado. Cuando el enlace activo, GigabitEthernet1 / 0/11, se cae, el
puerto de backup, GigabitEthernet1 / 0/12, comienza a enviar. No es necesario enviar ningn informe de proxy como
los datos de multidifusin ya est siendo enviada por el enrutador de aguas arriba. Por informes a la copia de seguridad de fugas
puerto, una ruta multicast redundante se ha establecido, y el tiempo necesario para la convergencia del trfico multicast
es muy mnimo.
26-6
OL-29703-01
Captulo 26
Figura 26-3
Cambie C
Puerto 3
Puerto 4
Cambie B
Cambiar D
Puerto 1
Puerto 2
Interruptor A
141223
PC
Directrices de configuracin
Puede configurar un solo enlace de respaldo Flex Enlace para cualquier vnculo activo, y que debe ser diferente
interfaz de la interfaz activa.
26-7
Captulo 26
Configuracin de Flex Enlaces y direcciones MAC-Tabla Move
actualizacin
Una interfaz puede pertenecer slo a un par Flex Link. Una interfaz puede ser un enlace de respaldo para una sola
enlace activo. Un vnculo activo no puede pertenecer a otro par Flex Link.
Ninguno de los enlaces puede ser un puerto que pertenece a un EtherChannel. Sin embargo, puede configurar dos
canales portuarios (EtherChannel interfaces lgicas) como Flex Enlaces, y se puede configurar un canal del puerto
y una interfaz fsica como Flex Links, ya sea con el canal del puerto o la interfaz fsica que el
enlace activo.
Un enlace de respaldo no tiene que ser del mismo tipo (Gigabit Ethernet o canal del puerto) como el enlace activo.
Sin embargo, usted debe configurar ambos Enlaces Flex con caractersticas similares, por lo que no hay bucles
o cambios en el comportamiento si el enlace de espera empieza a reenviar el trfico.
STP est desactivado en puertos Flex Link. Un puerto Flex Enlace no participa en STP, incluso si la VLAN
presente en el puerto estn configurados para STP. Cuando STP no est activado, asegrese de que no hay bucles
en la topologa configurada.
Siga estas directrices para configurar el equilibrio de carga de VLAN en la funcin Flex Enlaces:
Para el equilibrio de carga Flex Enlace VLAN, debe elegir las VLANs preferidos en la interfaz de respaldo.
No se puede configurar un mecanismo de apropiacin y de la carga de la VLAN de equilibrio para las mismas Enlaces Flex
par.
Puede activar y configurar esta funcin en los interruptores de enlace ascendente a conseguir el movimiento MAC addresstable
actualizaciones.
Configuracin de Enlaces
Flex
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un par de enlaces de Flex:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
26-8
OL-29703-01
Captulo 26
Comando
Propsito
Paso 4
fin
Paso 5
Verifique la configuracin.
Paso 6
Para desactivar una interfaz de respaldo Flex Link, utilice el sin interfaz de copia de seguridad switchport interface-id interfaz
comando de configuracin.
Este ejemplo muestra cmo configurar una interfaz con una interfaz de respaldo y para verificar el
configuracin:
Switch
Switch
Switch
Switch
# configure terminal
(conf) # interfaz GigabitEthernet1 / 0/1
(conf-if) # interfaz de respaldo switchport GigabitEthernet1 / 0/2
(conf-if) # fin
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un esquema de preferencia para un par de
Enlaces Flex:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
Paso 6
fin
26-9
Captulo 26
Configuracin de Flex Enlaces y direcciones MAC-Tabla Move
actualizacin
Comando
Propsito
Paso 7
Verifique la configuracin.
Paso 8
Para eliminar un esquema de preferencia, usar el sin interfaz de copia de seguridad switchport interface-id preemption
Modo comando de configuracin de interfaz. Para restablecer el tiempo de retardo a la predeterminada, utilice la no switchport
interfaz de respaldo interface-id retraso preemption comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar el modo de apropiacin como forzada para un par de interfaz de copia de seguridad y para
comprobar la configuracin:
Switch
Switch
Switch
Switch
Switch
# configure terminal
(conf) # interfaz GigabitEthernet1 / 0/1
(conf-if) #switchport modo GigabitEthernet1 / 0/2 preemption interfaz de respaldo forzado
(conf-if) #switchport GigabitEthernet1 interfaz de respaldo delay / 0/2 preemption 50
(conf-if) # fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Verifique la configuracin.
Paso 6
Para desactivar la funcin de equilibrio de carga de VLAN, utilice el sin interfaz de copia de seguridad switchport interface-id
prefieren vlan vlan-range comando de configuracin de interfaz.
26-10
OL-29703-01
Captulo 26
Cuando ambas interfaces estn arriba, Gi2 / 0/8 reenva el trfico de VLAN 60 y 100 a 120 y Gi2 / 0/6
reenva el trfico para las VLAN 1 a 50.
Switch # backup show interfaces switchport
Cambie pares de interfaz de copia de seguridad:
Activo InterfaceBackup InterfaceState
-------------------------------------------------- ---------------------GigabitEthernet2 / 0 / 6GigabitEthernet2 / 0 / 8Active Up / Copia de seguridad en espera
Vlans preferidos en Active Interface: 1-50
Vlans preferido en la interfaz de copia de seguridad: 60,
100-120
Cuando una interfaz Flex Enlace baja (LINK_DOWN), VLANs prefiere en esta interfaz se mueven
a la interfaz de pares de la pareja Flex Link. En este ejemplo, si la interfaz Gi2 / 0/6 va hacia abajo, Gi2 / 0/8 lleva
todas las VLAN del par Flex Enlace.
Switch # backup show interfaces switchport
Cambie pares de interfaz de copia de seguridad:
Activo InterfaceBackup InterfaceState
-------------------------------------------------- ---------------------GigabitEthernet2 / 0 / 6GigabitEthernet2 / 0 / 8Active Abajo / Copia de seguridad Up
Vlans preferidos en Active Interface: 1-50
Vlans preferido en la interfaz de copia de seguridad: 60,
100-120
Cuando una interfaz Flex Enlace surge, VLANs prefiere en esta interfaz se bloquean en el par
interfaz y se traslad al estado de reenvo en la interfaz que acaba de llegar. En este ejemplo, si
interfaz Gi2 / 0/6 aparece, VLANs preferidos en esta interfaz se bloquean en la interfaz de pares Gi2 / 0/8
y remitido el Gi2 / 0/6.
Switch # backup show interfaces switchport
Cambie pares de interfaz de copia de seguridad:
Activo InterfaceBackup InterfaceState
-------------------------------------------------- ---------------------GigabitEthernet2 / 0 / 6GigabitEthernet2 / 0 / 8Active Up / Copia de seguridad en espera
Vlans preferidos en Active Interface: 1-50
Vlans preferido en la interfaz de copia de seguridad: 60,
100-120
Switch # show interfaces switchport detalle de copia de seguridad
Cambie pares de interfaz de copia de seguridad:
Activo InterfaceBackup InterfaceState
-------------------------------------------------- ---------------------FastEthernet1 / 0 / 3FastEthernet1 / 0 / 4Active Abajo / Copia de seguridad Up
Vlans preferidos en Active Interface: 1-2,5-4094
Vlans preferidos en la interfaz de copia de seguridad: 3-4
Modo Preemption: off
Ancho de banda: 10 000 Kbit (Fa1 / 0/3), 100 000 Kbit (Fa1 / 0/4)
Mac Address Move actualizacin Vlan: auto
26-11
Captulo 26
Configuracin de Flex Enlaces y direcciones MAC-Tabla Move
actualizacin
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
o
switchport interfaz de respaldo interface-id MMU
vlan primaria id_vlan
Paso 4
fin
Paso 5
Paso 6
fin
Paso 7
Verifique la configuracin.
Paso 8
Para desactivar la direccin de la tabla caracterstica de actualizacin movimiento MAC, utilice el no mac address-table movimiento
actualizacin
transmitir comando de configuracin de interfaz. Para mostrar la direccin de la tabla de informacin de actualizacin movimiento
MAC,
utilizar
el mostrar
maccmo
address-table
movimiento
actualizacin
EXEC
privilegiado.movimiento actualizacin
Este ejemplo
muestra
configurar
un switch de
acceso paracomando
enviar MAC
address-table
Mensajes:
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(conf) # interfaz GigabitEthernet1 / 0/1
(conf-if) # interfaz de respaldo switchport GigabitEthernet0 / 2 MMU vlan primaria 2
(conf-if) # Salida
(conf) # mac address-table actualizacin movimiento de transmisin
(conf) # fin
26-12
OL-29703-01
Captulo 26
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un switch para obtener y procesar MAC
direccin de la tabla de mensajes de actualizacin de movimiento:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Verifique la configuracin.
Paso 5
Para desactivar la direccin de la tabla caracterstica de actualizacin movimiento MAC, utilice el no mac address-table
movimiento actualizacin
recibir comando de configuracin. Para mostrar la direccin de la tabla de informacin de actualizacin movimiento MAC, utilice
el
mostrar
mac address-table
actualizacin
privilegiado.
Este
ejemplo
muestra cmomovimiento
configurar un
switch paracomando
obtener yEXEC
procesar
MAC address-table movimiento actualizacin
Mensajes:
Switch # configure terminal
Switch (conf) # Actualizacin Mac address-table movimiento recibir
Switch (conf) # fin
26-13
Captulo 26
Monitoreo Flex Enlaces y la direccin MAC-Tabla Move actualizacin
Comando
Propsito
show interface
[Interface-id] switchport
copia de seguridad
26-14
OL-29703-01
E R CH A P T
27
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin, y ver la seccin de "los comandos de DHCP" en la Comando Cisco IOS IP
, Volumen 1 de 3: Direccionamiento y Servicios, versin 12.4.
27-1
Captulo 27
Base de datos del servidor DHCP del IOS de Cisco, pgina 27-6
Para obtener informacin sobre el cliente DHCP, consulte el apartado "Configuracin DHCP " seccin del "IP Direccionamiento y
Servicios " seccin de la Gua de configuracin IP de Cisco IOS, versin 12.4.
Servidor DHCP
El servidor DHCP asigna direcciones IP desde las agrupaciones de direcciones especificadas en un switch o router para DHCP
clientes y los gestiona. Si el servidor DHCP no puede dar el cliente DHCP la configuracin solicitada
parmetros a partir de su base de datos, enva la peticin a uno o ms servidores DHCP secundarias definidas por
el administrador de la red.
Agente de
retransmisin Un
DHCP
agente de retransmisin DHCP es un dispositivo de capa 3 que enva paquetes DHCP entre clientes y servidores. Relay
agentes reenviar solicitudes y respuestas entre clientes y servidores cuando no estn en la misma fsica
subred. Reenvo agente Relay es diferente de la normal de reenvo de nivel 2, en el que los datagramas IP
se conmutan de forma transparente entre redes. Los agentes de rel reciben mensajes DHCP y generar nuevos
Mensajes DHCP para enviar en las interfaces de salida.
DHCP Snooping
DHCP snooping es una caracterstica de seguridad de DHCP que proporciona seguridad de red mediante el filtrado de DHCP no se
confa
mensajes y mediante la construccin y el mantenimiento de una base de datos DHCP snooping vinculante, tambin se hace
referencia como un
DHCP snooping tabla de vinculacin. Para obtener ms informacin acerca de esta base de datos, consulte la "Viendo DHCP
Seccin
de informacin
"Curioseando
en la pgina
27-16.
DHCP snooping
acta como
un cortafuegos
entre hosts
no confiables y servidores DHCP. Utiliza snooping DHCP
para diferenciar entre las interfaces no son de confianza conectados al usuario final y las interfaces de confianza conectadas
al servidor DHCP u otro interruptor.
Nota
Para DHCP snooping para funcionar correctamente, todos los servidores DHCP deben estar conectados al switch a travs
interfaces de confianza.
Un mensaje de DHCP no es de confianza es un mensaje que se recibe desde fuera de la red o el servidor de seguridad. Cuando
utiliza DHCP snooping en un entorno de servicio de un proveedor, en un mensaje de que no se confa se enva desde un dispositivo
que no est en la red de proveedores de servicios, tales como interruptor de un cliente. Los mensajes de los dispositivos
desconocidos
no son de confianza, ya que pueden ser fuentes de ataques de trfico.
La base de datos DHCP snooping vinculante tiene la direccin MAC, la direccin IP, el tiempo de concesin, la unin
el tipo, el nmero de VLAN, y la informacin de interfaz que corresponde a las interfaces locales no son de confianza
de un interruptor. No tenemos informacin sobre los hosts interconectados con una interfaz de confianza.
En una red de proveedor de servicios, una interfaz de confianza est conectado a un puerto en un dispositivo en la misma red.
Una interfaz no es de confianza est conectado a una interfaz que no se confa en la red o a una interfaz en un dispositivo
que no est en la red.
27-2
OL-29703-01
Captulo 27
Cuando un conmutador recibe un paquete en una interfaz no es de confianza y la interfaz pertenece a una VLAN en la que
Snooping DHCP est habilitado, el switch compara la direccin MAC de origen y el hardware del cliente DHCP
direccin. Si las direcciones coinciden (por defecto), el switch reenva el paquete. Si las direcciones no lo hacen
partido, el switch descarta el paquete.
El interruptor deja caer un paquete DHCP cuando se produce una de estas situaciones:
Un paquete es recibido en una interfaz no es de confianza, y la direccin MAC de origen y el cliente DHCP
direccin de hardware no coinciden.
El switch recibe un mensaje de difusin DHCPRELEASE o DHCPDECLINE que tiene una MAC
direccin en la base de datos DHCP snooping vinculante, pero la informacin de la interfaz en la unin
base de datos no coincide con la interfaz en la que se recibi el mensaje.
Un agente de retransmisin DHCP enva un paquete DHCP que incluye una direccin IP agente de rel que no es
0.0.0.0, o el agente de retransmisin reenva un paquete que incluye la opcin-82 informacin a un puerto que no se confa.
Si el interruptor es un interruptor de agregacin de apoyo snooping DHCP y est conectado a un conmutador de borde
que es la insercin de DHCP opcin-82 informacin, el conmutador descarta los paquetes con la opcin-82 informacin cuando
paquetes son recibidos en una interfaz que no se confa. Si DHCP snooping est habilitado y los paquetes se reciban en
un puerto de confianza, el switch de agregacin no aprende el DHCP snooping enlaces para dispositivos conectados
y no se puede construir una base de datos DHCP snooping completa unin.
Cuando un switch de agregacin puede ser conectado a un conmutador de borde a travs de una interfaz no es de confianza y
entrar en el opcin de informacin snooping DHCP de direcciones IP permitidas-no es de confianza comando de configuracin
global, la
switch de agregacin acepta paquetes con la opcin-82 informacin del conmutador de acceso. La agregacin
switch aprende los enlaces para los hosts conectados a travs de una interfaz de interruptor que no se confa. La seguridad de DHCP
caractersticas, tales como la inspeccin ARP dinmica o guardia de IP de origen, an se pueden habilitar en la agregacin
cambiar mientras el conmutador recibe paquetes con la opcin-82 informacin sobre las interfaces de entrada que no se confa a
que se conectan los hosts. El puerto del conmutador de borde que se conecta al interruptor de agregacin debe ser
configurado como una interfaz de confianza.
Nota
La opcin-82 funcin DHCP slo se admite cuando snooping DHCP se habilita globalmente y en el
VLAN a la que estn asignados los dispositivos de abonados que utilizan esta caracterstica.
Figura 27-1 es un ejemplo de una red Ethernet metropolitana en la que un servidor DHCP centralizado
asigna direcciones IP a los suscriptores conectados al conmutador en la capa de acceso. Debido a que los clientes DHCP
y su servidor DHCP asociado no residen en la misma red IP o subred, un agente de retransmisin DHCP
(El switch Catalyst) est configurado con una direccin de ayudante para activar el reenvo de difusin y la transferencia de
Mensajes DHCP entre los clientes y el servidor.
27-3
Captulo 27
Figura 27-1
Switch Catalyst
(Agente de retransmisin DHCP)
Capa de acceso
VLAN 10
Host A
(Cliente DHCP)
Suscriptores
Host B
(Cliente DHCP)
98813
Cuando el interruptor recibe la peticin DHCP, aade la informacin de la opcin-82 en el paquete. Por
De forma predeterminada, la subopcin remoto-ID es la direccin MAC del switch, y la subopcin circuito-ID es el puerto
identificador, vlan-mod-puerto, a partir del cual el paquete es de recibido puede configurar el ID remoto y
ID circuito. Para obtener informacin sobre la configuracin de estas subopciones, consulte la "Habilitacin de la inspeccin
DHCP y
Opcin 82 "en la pgina 27-12.
Si se configura la direccin IP del agente de retransmisin, el switch agrega esta direccin IP en el paquete DHCP.
El interruptor reenva la solicitud de DHCP que incluye el campo de opcin-82 al servidor DHCP.
27-4
OL-29703-01
Captulo 27
En el campo Puerto de la subopcin ID de circuito, los nmeros de puerto comienzan en 3 Por ejemplo, en una
Catalizador interruptor 3750-E con 24 puertos 10/100/1000 y cuatro factor de forma pequeo conectable mdulo (SFP)
ranuras, el puerto 3 es el puerto Gigabit Ethernet 1/0/1, puerto 4 es el puerto Gigabit Ethernet 1/0/2, y as sucesivamente.
Puerto 27 es la ranura del mdulo SFP Gigabit Ethernet1 / 0/25, y as sucesivamente.
Figura 27-2 muestra los formatos de paquetes para la subopcin remoto-ID y la subopcin circuito-ID cuando
se utiliza la configuracin por defecto subopcin. Para la subopcin circuito-ID, el nmero de mdulo
corresponde al nmero de conmutador de la pila. El conmutador utiliza los formatos de paquetes cuando a nivel mundial
permitir snooping DHCP e introduzca el ip dhcp snooping opcin de informacin configuracin global
de comandos.
Figura 27-2
VLAN
Puerto Mdulo
2 bytes
1 byte 1 byte
Direccin MAC
116300
6 bytes
Figura 27-3 muestra los formatos de paquetes de control remoto-ID configurado por el usuario y el circuito-ID SUBOPCIONES El
conmutador utiliza estos formatos de paquetes cuando snooping DHCP se habilita globalmente y cuando el ip dhcp
snooping formato opcin de informacin remote-id comando de configuracin global y el ip dhcp
snooping vlan opcin de informacin de tipo de formato de cadena circuito-Identificacin comando de configuracin de interfaz son
introducido.
Los valores de estos campos en los paquetes cambian de los valores por defecto cuando se configura el
subopciones remotas-ID y circuito-ID:
27-5
Captulo 27
Figura 27-3
N+2
N+2
145774
N bytes (N = 1-63)
27-6
OL-29703-01
Captulo 27
Al volver a cargar, el interruptor lee el archivo de enlace para construir la base de datos DHCP snooping vinculante. El
interruptor actualiza el archivo de la base de datos cuando se cambia.
Cuando un interruptor se entera de nuevos enlaces o cuando pierde enlaces, el interruptor actualiza inmediatamente la
entradas en la base de datos. El switch tambin actualiza las entradas en el archivo de enlace. La frecuencia a la cual
el archivo se actualiza se basa en un retardo configurable, y las actualizaciones se procesan por lotes. Si no se actualiza el archivo
en un tiempo determinado (establecido por la escritura de retardo y abortar-timeout valores), la actualizacin se detiene.
Este es el formato del archivo con los enlaces:
<-Suma de
TIPO DHCP
VERSIN 1
Comenzar
<Entry-1>
<Entry-2>
...
...
<Entry-n>
Fin
comprobacin inicial>
Snooping
<checksum-1>
<checksum-1-2>
<checksum-1-2 -..- n>
Cada entrada en el archivo se etiqueta con un valor de suma de comprobacin de que el conmutador utiliza para verificar las
entradas cuando se
lee el archivo. El inicial-checksum entrada en la primera lnea que distingue las inscripciones asociadas con la ltima
presentar la actualizacin de las inscripciones asociadas con una actualizacin del archivo anterior.
Este es un ejemplo de un archivo de enlace:
2bb4c2a1
TIPO DHCP Snooping
VERSIN 1
Comenzar
192.1.168.1 3 0003.47d8.c91f 2BB6488E Gi1 / 0/4 21ae5fbb
192.1.168.3 3 0003.44d6.c52f 2BB648EB Gi1 / 0/4 1bdb223f
192.1.168.2 3 0003.47d9.c8f1 2BB648AB Gi1 / 0/4 584a38f0
Fin
Cuando el interruptor se inicia y el valor de la suma de comprobacin calculada es igual al valor del checksum almacenado, el
interruptor
lee las entradas del archivo de enlace y agrega los enlaces a su base de datos DHCP snooping vinculante. El
interruptor ignora una anotacin cuando se produce una de estas situaciones:
El switch lee la entrada y el valor de la suma de comprobacin calculada no es igual a la suma de comprobacin almacenada
valor. La entrada y las siguientes que se ignoran.
Cada entrada tiene un tiempo de concesin caducada (el interruptor no podra eliminar una entrada de enlace cuando el tiempo
de concesin
expira).
La interfaz de la entrada ya no existe en el sistema.
27-7
Captulo 27
Cuando se produce una combinacin de pila, todos DHCP snooping consolidaciones en el maestro de la pila se pierden si ya no es
el maestro de la pila. Con una particin de pila, el maestro de la pila existente no ha cambiado, y los enlaces
perteneciente a la edad interruptores particionado cabo. El nuevo maestro de la pila particionado comienza el procesamiento
los nuevos paquetes DHCP entrantes. Para obtener ms informacin sobre las pilas de conmutacin, consulte Captulo 5, "Gestin
Cambie las pilas ".
Habilitacin de la base de datos del servidor DHCP del IOS de Cisco, pgina 2714
Habilitacin del agente de base de datos DHCP Snooping Encuadernacin, pgina 27-15
Caracterstica
Servidor DHCP
Enabled2
Ninguno configurado
Activado
Disabled
Ninguno configurado
Untrusted
Disabled
Activado
27-8
OL-29703-01
Captulo 27
Tabla 27-1
Caracterstica
1. El conmutador responde a DHCP peticiones slo si est configurado como un servidor DHCP.
2. El conmutador transmite paquetes DHCP slo si la direccin IP del servidor DHCP est configurado en el SVI del cliente DHCP.
3. Utilice esta funcin cuando el interruptor es un switch de agregacin que recibe paquetes con la opcin-82 informacin de un borde
interruptor.
DHCP snooping no se encuentra activo hasta DHCP snooping est habilitado en una VLAN.
Antes de habilitar globalmente DHCP snooping en el interruptor, asegrese de que los dispositivos que actan como
Servidor DHCP y el agente de retransmisin DHCP se configuran y habilitan.
Al configurar un gran nmero de ID de circuito en un interruptor, tenga en cuenta el impacto de largo carcter
cuerdas de la NVRAM o la memoria flash. Si las configuraciones de circuito de identificacin, junto con otra
datos, exceden la capacidad de la NVRAM o la memoria flash, aparece un mensaje de error.
Antes de configurar el agente de retransmisin DHCP en su interruptor, asegrese de configurar el dispositivo que est
que acta como servidor DHCP. Por ejemplo, debe especificar las direcciones IP que el servidor DHCP
puede asignar o excluir, configurar las opciones de DHCP para los dispositivos, o configurar el agente de base de datos DHCP.
Si el agente de retransmisin DHCP est habilitado, pero la inspeccin DHCP est desactivado, los datos de DHCP
opcin-82
caracterstica de insercin no es compatible.
Si un puerto del conmutador est conectado a un servidor DHCP, configurar un puerto como de confianza mediante la
introduccin de la ip dhcp
confianza snooping comando de configuracin de interfaz.
Si un puerto de switch se conecta a un cliente DHCP, configurar un puerto como no es de confianza mediante la introduccin
de la no ip
dhcp snooping confianza comando de configuracin de interfaz.
Siga estas pautas al configurar la base de datos DHCP snooping vinculante:
-Debido a que tanto la NVRAM y la memoria flash tienen una capacidad de almacenamiento limitada, se recomienda que
URL configurado antes de que el interruptor puede escribir enlaces con el archivo de enlace a esa URL. Consulte la
documentacin del servidor TFTP para determinar si debe crear primero un archivo vaco
en el servidor; algunos servidores TFTP no se pueden configurar de esta manera.
27-9
Captulo 27
-Para asegurar que el tiempo de concesin en la base de datos es correcta, le recomendamos que active y
configurar NTP. Para obtener ms informacin, consulte la La seccin "La comprensin de Network Time Protocol"
en la pgina 7-2.
-Si NTP est configurado, el interruptor escribe los cambios obligatorios en el fichero vinculante slo cuando el interruptor
Nota
Comenzando con Cisco IOS 12.2 (37) SE, puede mostrar DHCP snooping estadsticas introduciendo
la show ip dhcp snooping estadsticas comando EXEC usuario, y se puede borrar el espionaje
contadores de estadsticas por entrar en el ip dhcp snooping claro estadsticas comando EXEC privilegiado.
Al configurar DHCP snooping tala inteligente, el contenido de los paquetes perdidos por DHCP son
enviado a un colector NetFlow. Si configura esta funcin, asegrese de que la tala inteligente es a nivel mundial
habilitado. Para obtener ms informacin acerca del registro inteligente, consulte la Seccin "Configuracin del registro
inteligente"
en la pgina 37-14.
No active el protocolo de configuracin dinmica de host (DHCP) husmear en RSPAN VLANs. Si DHCP
IGMP est activo en RSPAN VLAN, los paquetes DHCP no pueden llegar al puerto de destino RSPAN.
27-10
OL-29703-01
Captulo 27
Propsito
Paso 1
configure terminal
Paso 2
dhcp servicio
Paso 3
fin
Paso 4
show running-config
Paso 5
Para deshabilitar el agente de servidor DHCP y rel, utilice el no service dhcp comando de configuracin global.
Consulte la "Configuracin DHCP " seccin de la seccin de "direccionamiento IP y servicios" de la Cisco IOS IP
Gua de configuracin, versin 12.4 para estos procedimientos:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
ip helper-address Direccin
Paso 5
Salida
27-11
Captulo 27
Comando
Propsito
interfaz interface-id
Paso 7
Paso 8
Paso 9
fin
Paso 6
Para quitar la direccin de reenvo de paquetes DHCP, utilice el no ip helper-address Direccin interfaz
comando de configuracin.
Propsito
Paso 1
configure terminal
Paso 2
ip dhcp snooping
Paso 3
Paso 4
27-12
OL-29703-01
Captulo 27
Comando
Paso 5
Propsito
Nota
Paso 7
interfaz interface-id
Paso 8
ip dhcp snooping vlan vlan informacin (Opcional) Configure la subopcin circuito-ID para la interfaz especificada.
opcin de tipo de formato de circuito de Identificacin
Especificar el identificador de VLAN y el puerto, utilizando un ID de VLAN en el rango de 1
[Override] string ASCII-string
4094. El ID de circuito predeterminado es el identificador de puerto, en el formato
vlan-mod-puerto.
Puede configurar el ID de circuito para ser una cadena, de 3 a 63 caracteres ASCII
(sin espacios).
Paso 11 Salida
Paso 13 fin
27-13
Captulo 27
Comando
Propsito
Para desactivar snooping DHCP, utilice el no ip dhcp snooping comando de configuracin global. Para desactivar
DHCP snooping en una VLAN o un rango de VLAN, utilice el no ip dhcp snooping vlan vlan-range mundial
comando de configuracin. Para desactivar la insercin y extraccin del campo de opcin-82, utilice el no ip dhcp
snooping opcin de informacin comando de configuracin global. Para configurar un switch de agregacin de
descartar paquetes snooping DHCP entrantes con la opcin-82 informacin de un conmutador de acceso, utilice el no ip
opcin de informacin snooping DHCP permite-no es de confianza comando de configuracin global.
Este ejemplo muestra cmo habilitar DHCP snooping a nivel mundial y en la VLAN 10 y la configuracin de un tipo de
lmite de 100 paquetes por segundo en un puerto:
Switch
Switch
Switch
Switch
Switch
El mostrar ip dhcp snooping salida de comando EXEC privilegiado muestra todas las VLAN, incluyendo primaria
y VLANs privadas secundarias, en los que la inspeccin DHCP est habilitado.
27-14
OL-29703-01
Captulo 27
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
ip dhcp snooping base de datos de escritura de retardo Especifique el tiempo durante el cual la transferencia debe retrasarse despus de la
segundosunin cambios de base de datos. El rango es de 15 a 86400 segundos. El
predeterminado es de 300 segundos (5 minutos).
Paso 5
fin
Paso 6
ip dhcp snooping vinculante mac-address (Opcional) Agregue entradas de enlace a la base de datos DHCP snooping vinculante.
vlan id_vlan direccin-ip interfazEl id_vlan rango es de 1 a 4904. El segundos rango es de 1 a
interface-id caducidad segundos4294967295.
Paso 7
Paso 8
Para dejar de utilizar el agente de base de datos y vinculante archivos, utilice el ninguna base de datos ip dhcp snooping
mundial
comando de configuracin. Para restablecer los valores de tiempo de espera o retraso, utilice el ip dhcp snooping base de datos
tiempo de espera segundos o la ip dhcp snooping base de datos de escritura de retardo segundos configuracin global
de comandos.
Para borrar las estadsticas de la base de datos DHCP snooping agente de unin, utilice el clear ip dhcp snooping
las estadsticas de base de datos comando EXEC privilegiado. Para renovar la base de datos, utilice el renovar ip dhcp snooping
base de datos comando EXEC privilegiado.
Para eliminar entradas de unin de la base de datos DHCP snooping vinculante, utilice el no ip dhcp snooping
vinculante mac-address vlan id_vlan direccin-ip interfaz interface-id comando EXEC privilegiado. Ingrese
este comando para cada entrada que desea eliminar.
27-15
Captulo 27
Comando
Propsito
Muestra slo los enlaces configurados de forma dinmica en el DHCP snooping vinculante
base de datos, tambin conocida como una tabla de unin.
Nota
Si DHCP snooping est habilitada y una interfaz cambia al estado abajo, el interruptor no elimina la
estticamente configurado enlaces.
Nota
La ACL puerto tiene prioridad sobre cualquier ACL del router o mapas de VLAN que afectan a la misma interfaz.
La tabla de unin fuente IP tiene enlaces que se aprenden por snooping DHCP o que estn configurados manualmente
(enlaces estticos de cdigo IP). Una entrada en esta tabla tiene una direccin IP, la direccin MAC asociada y sus
nmero de VLAN asociada. El conmutador utiliza la tabla de unin fuente IP slo cuando la guardia de origen IP es
habilitado.
IPSG slo se admite en los puertos de capa 2, incluyendo el acceso y el tronco ports.You puede configurar IPSG con
IP de origen o el filtrado de direcciones IP de origen y con el filtrado de direcciones MAC.
Estas secciones contienen esta informacin:
27-16
OL-29703-01
Captulo 27
No utilice IPSG (IP Source Guard) para hosts estticos en puertos de enlace ascendente o puertos
troncales.
Secretara General de los ejrcitos estticos ampla la capacidad IPSG para entornos estticos no DHCP y. El anterior
IPSG usa las entradas creadas por DHCP snooping para validar los hosts conectados a un conmutador. Cualquier trfico
recibido de un sistema principal sin DHCP vlido entrada de enlace se ha cado. Esta caracterstica de seguridad restringe IP
trfico en Capa nonrouted 2 interfaces. Se filtra el trfico basado en la base de datos DHCP snooping vinculante
y configurado manualmente los enlaces de IP de origen. La versin anterior de la Secretara General requiere un DHCP
ambiente para IPSG funcione.
Secretara General de los ejrcitos estticos permite IPSG trabajar sin DHCP. IPSG para anfitriones estticas se apoya en el
dispositivo IP
entradas de la tabla de seguimiento para instalar ACL portuarias. El parmetro genera entradas estticas en base a las peticiones
ARP o
otros paquetes IP para mantener la lista de hosts vlidos para un puerto determinado. Tambin puede especificar el nmero de
hosts
pueden
enviardetrfico
a un puerto
determinado.
Esto es hosts
equivalente
a la seguridad
la capa
Secretara
General
los ejrcitos
estticos
tambin soporta
dinmicos.
Si un hostportuaria
dinmicoenrecibe
una3.IP asignada por DHCP
direccin que est disponible en la tabla snooping DHCP IP, la misma entrada es aprendido por el dispositivo IP
tabla de seguimiento. En un entorno de apilado, cuando se produce la conmutacin por error de maestro, las entradas IP Source
Guard para
hosts estticos conectados a los puertos miembros se mantienen. Al entrar en el espectculo dispositivo ip seguimiento de todos
Comando EXEC, la tabla de seguimiento de dispositivo IP muestra las entradas como ACTIVE.
27-17
Captulo 27
Nota
Algunos hosts IP con mltiples interfaces de red pueden inyectar algunos paquetes no vlidos en una red
interfaz. Los paquetes invlidos contienen la direccin IP o MAC para otra interfaz de red de
el host como direccin de origen. Los paquetes no vlidos pueden provocar IPSG para hosts estticos para conectarse a
el anfitrin, para aprender la IP no vlida o enlaces de direcciones MAC, y rechazar los enlaces vlidos.
Consulte al vendedor del sistema operativo correspondiente y la interfaz de red para evitar
el anfitrin de la inyeccin de paquetes invlidos.
Secretara General de los ejrcitos estticos aprende inicialmente enlaces IP o MAC de forma dinmica a travs de un espionaje
basada en ACL
mecanismo. Enlaces IP o MAC se obtienen a partir de los ejrcitos estticos de paquetes ARP e IP. Se almacenan
en la base de datos de seguimiento de dispositivo. Cuando el nmero de direcciones IP que se han aprendido de forma dinmica o
estticamente configurado en un puerto dado alcanza un mximo, el hardware gotas de cualquier paquete con un nuevo IP
direccin. Para resolver hosts que se han movido o desaparecido por cualquier razn, Secretara General de hosts estticos
apalancamientos
Dispositivo de seguimiento de IP para envejecer fuera aprendida dinmicamente vinculada a una direccin IP. Esta caracterstica se
puede utilizar con
DHCP snooping. Varios enlaces se establecen en un puerto que est conectado a ambos DHCP y esttico
anfitriones. Por ejemplo, los enlaces se almacenan tanto en la base de datos de seguimiento de dispositivo, as como en el DHCP
snooping base de datos de unin.
Configuracin de IP Source
Guard
Configuracin IP Source Guard defecto, pgina 27-18
Puede configurar los enlaces de IP estticas slo en puertos nonrouted. Si introduce la IP de origen vinculante
mac-address vlan id_vlan direccin-ip interfaz interface-id comando de configuracin global en un
interfaz de enrutado, aparece este mensaje de error:
Fuente de IP esttica unin slo se puede configurar en el puerto del switch.
Cuando guardia IP de origen con el filtrado de IP de origen est habilitado en una interfaz, snooping DHCP debe ser
habilitado en la VLAN de acceso para esa interfaz.
Si est habilitando guardia fuente IP en una interfaz de tronco con mltiples VLAN y DHCP snooping
est habilitado en todas las VLAN, el filtro de la direccin IP de origen se aplica en todas las VLANs.
Nota
Si guardia IP de origen est habilitada y activar o desactivar DHCP snooping en una VLAN en la
Interfaz troncal, el switch no puede filtrar correctamente el trfico.
27-18
OL-29703-01
Captulo 27
Si habilita guardia fuente IP con IP de origen y el filtrado de direcciones MAC, snooping DHCP y el puerto
la seguridad debe estar habilitado en la interfaz. Tambin debe introducir el ip dhcp snooping informacin
opcin comando de configuracin global y asegrese de que el servidor DHCP opcin 82 Cuando apoya
IP Source Guard se activa con el filtrado de direcciones MAC, la direccin MAC del host DHCP no se aprende
hasta que se conceda el anfitrin de un contrato de arrendamiento. Al reenviar paquetes desde el servidor al host, DHCP
snooping utiliza datos de la opcin-82 para identificar el puerto host.
Al configurar IP Source Guard en interfaces en las que se configura una VLAN privada, puerto
la seguridad no es compatible.
Puede activar esta funcin cuando la autenticacin 802.1x basada en puerto se activa.
Cuando configura el registro inteligente IP Source Guard, paquetes con una direccin de origen que no sea el
direccin o una direccin aprendida por DHCP especificado se les niega, y el contenido del paquete se envan a un
Colector NetFlow. Si configura esta funcin, asegrese de que la tala inteligente est activada de forma global.
Para obtener ms informacin acerca del registro inteligente, consulte la "Configuracin de Registro inteligente "en la
pgina 37-14.
En una pila de switches, si la proteccin de origen IP est configurado en una interfaz de miembro de la pila y se quita la
la configuracin de ese interruptor mediante la introduccin de la hay un interruptor pila-miembro de nmero prestacin
mundial
comando de configuracin, la interfaz de enlaces estticos se eliminan de la tabla de vinculacin, pero
no se eliminan de la configuracin en ejecucin. Si de nuevo el interruptor de suministro mediante la introduccin de la
interruptor pila-miembro de nmero prestacin comando, la unin se restaura.
Para eliminar la unin de la configuracin en ejecucin, debe deshabilitar IP Source Guard antes
entrar en el ninguna disposicin conmutador de comandos. Tambin se elimina la configuracin si las recargas de conmutacin
mientras que la interfaz se elimina de la tabla de vinculacin. Para obtener ms informacin acerca de provisionados
interruptores, ver la Captulo 5, "Gestin de Pilas interruptor."
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
27-19
Captulo 27
Comando
Propsito
El servidor DHCP debe ser compatible con la opcin 82, o el cliente no est
asignado una direccin IP.
Paso 4
Salida
Paso 5
Paso 6
fin
Paso 7
Paso 8
Paso 9
Para desactivar el protector de IP de origen con el filtrado de direcciones IP de origen, utilice el ninguna fuente de ip verificar
interfaz
comando de configuracin.
Para borrar una entrada de enlace IP de origen esttico, utilice la ninguna fuente de ip comando de configuracin global.
Este ejemplo muestra cmo habilitar guardia fuente IP con IP de origen y el filtrado MAC en VLAN 10
y 11:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # ip verificar fuente port-security
Switch (config-if) # Salida
Switch (config) # IP de origen vinculante 0100.0022.0010 interface vlan 10 10.0.0.2
GigabitEthernet1 / 0/1
Switch (config) # IP de origen vinculante 0100.0230.0002 interface vlan 11 10.0.0.4
GigabitEthernet1 / 0/1
Switch (config) # fin
Configuracin de IP Source Guard para hosts estticos en una VLAN privada Puerto host, pgina 27-24
27-20
OL-29703-01
Captulo 27
Comando
Propsito
Paso 1
configure terminal
Paso 2
seguimiento de dispositivos IP
Paso 3
interfaz interface-id
Paso 4
Paso 5
Paso 6
Nota
Paso 7
Paso 8
switchport port-security
Paso 9
Paso 10 fin
27-21
Captulo 27
Comando
Propsito
Verifique la configuracin mediante la visualizacin del MAC IP-ade unin para un equipo dado en la interfaz del conmutador.
Este ejemplo muestra cmo detener IPSG con hosts estticos en una interfaz.
Switch (config-if) # ninguna fuente de ip verificar
Switch (config-if) # ningn dispositivo IP de seguimiento mximo
Este ejemplo muestra cmo habilitar IPSG con hosts estticos en un puerto.
Switch (config) # seguimiento de dispositivos IP
Switch (config) # dispositivo IP de seguimiento mximo de 10
Switch (config-if) # ip verificar fuente seguimiento puerto de seguridad
Este ejemplo muestra cmo habilitar IPSG para hosts estticos con filtros IP en un puerto de acceso de capa 2 y a
verificar los enlaces IP vlidas en la interfaz Gi1 / 0/3:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # seguimiento de dispositivos IP
Switch (config) # interfaz GigabitEthernet1 / 0/3
Switch (config-if) # switchport mode access
Switch (config-if) # switchport access vlan 10
Switch (config-if) # dispositivo IP de seguimiento mximo 5
Switch (config-if) # ip verificar el seguimiento de la fuente
Switch (config-if) # fin
Switch # mostrar ip verificar fuente
Filtro en modo de interfaz de tipo de filtro
La direccin IP
--------- ----------- ------------------------Gi1 / 0 / 3IP trkactive
40.1.1.24
Gi1 / 0 / 3IP trkactive
40.1.1.20
Gi1 / 0 / 3IP trkactive
40.1.1.21
Mac-direccin
-----------------
Vlan
---10
10
10
Este ejemplo muestra cmo habilitar IPSG para hosts estticos con filtros IP-MAC en un puerto de acceso de capa 2,
para verificar los enlaces de IP-MAC vlidas en la interfaz Gi1 / 0/3, y para verificar que el nmero de enlaces
en esta interfaz se ha alcanzado el mximo:
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # seguimiento de dispositivos IP
Switch (config) # interfaz GigabitEthernet1 / 0/3
Switch (config-if) # switchport mode access
Switch (config-if) # switchport access vlan 1
Switch (config-if) # dispositivo IP de seguimiento mximo 5
Switch (config-if) # switchport port-security
Switch (config-if) # mxima switchport port-security 5
Switch (config-if) # ip verificar fuente seguimiento puerto de seguridad
Switch (config-if) # fin
27-22
OL-29703-01
Captulo 27
Mac-addressVlan
----------------00: 00: 00: 00:
00: 00: 00: 00:
00: 00: 00: 00:
00: 00: 00: 00:
00: 00: 00: 00:
---03: 04
03: 05
03: 06
03: 07
03: 08
1
1
1
1
1
Este ejemplo muestra todas las entradas de enlace IP o MAC de todas las interfaces. La CLI muestra todo activo como
as como entradas inactivas. Cuando un host se aprende en una interfaz, la nueva entrada se marca como activo. Cuando
el mismo host est desconectado de esa interfaz y conectado a una interfaz diferente, un nuevo IP o MAC
entrada de enlace se muestra como activa tan pronto como se detecta el anfitrin. La antigua entrada para este alojamiento en el
anterior
interfaz se marca como inactiva.
Switch # espectculo dispositivo ip seguimiento de todos
Tracking Device IP = Habilitado
Device IP Tracking cuenta de sondeos = 3
Device IP Tracking Sonda Intervalo = 30
-------------------------------------------------- ------------------IP AddressMAC AddressVlan InterfaceSTATE
-------------------------------------------------- ------------------200.1.1.80001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.90001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.100001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.10001.0600.0000 9GigabitEthernet1 / 0 / 2Active
200.1.1.10001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.20001.0600.0000 9GigabitEthernet1 / 0 / 2Active
200.1.1.20001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.30001.0600.0000 9GigabitEthernet1 / 0 / 2Active
200.1.1.30001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.40001.0600.0000 9GigabitEthernet1 / 0 / 2Active
200.1.1.40001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.50001.0600.0000 9GigabitEthernet1 / 0 / 2Active
200.1.1.50001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.60001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.70001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
Este ejemplo muestra todas las entradas de enlace IP o MAC activos para todas las interfaces:
Switch # mostrar dispositivo ip tracking todos activos
Tracking Device IP = Habilitado
Device IP Tracking cuenta de sondeos = 3
Device IP Tracking Sonda Intervalo = 30
-------------------------------------------------- ------------------IP AddressMAC AddressVlan InterfaceSTATE
-------------------------------------------------- ------------------200.1.1.10001.0600.0000 9GigabitEthernet1 / 0 / 1ACTIVE
200.1.1.20001.0600.0000 9GigabitEthernet1 / 0 / 1ACTIVE
200.1.1.30001.0600.0000 9GigabitEthernet1 / 0 / 1ACTIVE
200.1.1.40001.0600.0000 9GigabitEthernet1 / 0 / 1ACTIVE
200.1.1.50001.0600.0000 9GigabitEthernet1 / 0 / 1ACTIVE
27-23
Captulo 27
Este ejemplo muestra todas las entradas de enlace IP o MAC inactivos para todas las interfaces. El anfitrin se supo primero
en GigabitEthernet 1/0/1 y luego se traslad a GigabitEthernet 0/2. las entradas de enlace IP o MAC aprendidas
en GigabitEthernet1 / 0/1 estn marcados como inactivos.
Switch # mostrar dispositivo ip seguimiento de todos inactivo
Tracking Device IP = Habilitado
Device IP Tracking cuenta de sondeos = 3
Device IP Tracking Sonda Intervalo = 30
-------------------------------------------------- ------------------IP AddressMAC AddressVlan InterfaceSTATE
-------------------------------------------------- ------------------200.1.1.80001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.90001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.100001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.10001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.20001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.30001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.40001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.50001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.60001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
200.1.1.70001.0600.0000 8GigabitEthernet1 / 0 / 1INACTIVE
Este ejemplo muestra el recuento de todas las entradas de host de seguimiento dispositivo IP de todas las
interfaces:
Switch # mostrar dispositivo ip seguimiento de todos recuento
Total de entradas IP Host Tracking Device: 5
-------------------------------------------------- ------------------InterfaceMaximum LimitNumber de entradas
-------------------------------------------------- ------------------Gi1 / 0/35
Comando
Propsito
Paso 1
configure terminal
Paso 2
vlan vlan-id1
Paso 3
primaria privada-vlan
Paso 4
Salida
Paso 5
vlan vlan-id2
Paso 6
aislado privado-vlan
Paso 7
Salida
Paso 8
vlan vlan-id1
Paso 9
27-24
OL-29703-01
Captulo 27
Comando
Propsito
Paso 10 Salida
vlan-id2
Paso 14 ip tracking dispositivo de mxima nmero
Nota
Paso 16 fin
Verifique la configuracin.
todos
Paso 18 show ip verificar interfaz de origen interface-id
Este ejemplo muestra cmo habilitar IPSG para hosts estticos con filtros IP en un puerto host VLAN privada:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
27-25
Captulo 27
La salida muestra los cinco enlaces IP-MAC vlidas que se han aprendido en la interfaz Fa0 / 3. Para el
casos VLAN privadas, los enlaces estn asociados con ID de VLAN primaria. As, en este ejemplo, la
primaria VLAN ID, 200, se muestra en la tabla.
Switch # mostrar ip verificar fuente
Filtro en modo de interfaz de tipo de filtro
La direccin IP
--------- ----------- ------------------------Gi1 / 0 / 3IP trkactive
40.1.1.23
Gi1 / 0 / 3IP trkactive
40.1.1.24
Gi1 / 0 / 3IP trkactive
40.1.1.20
Gi1 / 0 / 3IP trkactive
40.1.1.21
Gi1 / 0 / 3IP trkactive
40.1.1.22
Gi1 / 0 / 3IP trkactive
40.1.1.23
Gi1 / 0 / 3IP trkactive
40.1.1.24
Gi1 / 0 / 3IP trkactive
40.1.1.20
Gi1 / 0 / 3IP trkactive
40.1.1.21
Gi1 / 0 / 3IP trkactive
40.1.1.22
Mac-direccin
-----------------
Vlan
---200
200
200
200
200
201
201
201
201
201
El resultado muestra que los cinco enlaces de IP-MAC son vlidos tanto en el VLAN primaria y secundaria.
Propsito
27-26
OL-29703-01
Captulo 27
Reservados electrnico (preasignado) no se pueden borrar mediante el uso de la claro vinculante dhcp ip mundial
comando de configuracin.
Para restringir las asignaciones de la piscina DHCP para reservas preconfiguradas (direcciones reservadas son
No se ofrece al cliente y otros clientes no son atendidos por la piscina), puede introducir el slo reservada
Comando de configuracin conjunto DHCP.
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
interfaz interface-id
Paso 5
Paso 6
fin
27-27
Captulo 27
Comando
Propsito
Paso 7
Paso 8
Despus de habilitar la asignacin de direcciones DHCP basado en puertos en el switch, utilice el ip dhcp pool mundial
comando de configuracin de direcciones IP preasignar y para asociarlos a los clientes. Para restringir
asignaciones de la piscina DHCP para reservas preconfigurados, que pueden entrar en el slo reservada DHCP
comando de configuracin de la piscina. Direcciones no reservados que forman parte de la red o en los rangos de la piscina son
no se ofrezcan al cliente, y otros clientes no son atendidos por la piscina. Al entrar a este sistema, los usuarios
puede configurar un grupo de interruptores con grupos DHCP que comparten una subred IP comn y que ignoran
las peticiones de los clientes de otros switches.
Comenzando en el modo EXEC privilegiado siga estos pasos para preasignar una direccin IP y asociar a
un cliente identificado por el nombre de la interfaz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
slo reservada
Paso 6
fin
Paso 7
Paso 8
Para desactivar el DHCP de asignacin de direccin basada en puertos, utilice el no uso dhcp ip abonado Identificacin del ID de
cliente mundial
comando de configuracin. Para desactivar la generacin automtica de un identificador de abonado, utilice el no ip
dhcp abonado Identificacin del interface-name comando de configuracin global. Para desactivar el identificador de abonado
en una interfaz, utilice el sin el uso del servidor dhcp ip abonado Identificacin del ID de cliente comando de configuracin de
interfaz.
Para eliminar una reserva de direccin IP de un conjunto DHCP, utilice el ninguna direccin La direccin IP ID de cliente string
Comando de configuracin conjunto DHCP. Para cambiar el conjunto de direcciones para no restringida, introduzca la no
slo reservada Comando de configuracin conjunto DHCP.
En este ejemplo, un identificador de abonado se genera automticamente, y el servidor DHCP ignora cualquier
campos de identificador de cliente en los mensajes DHCP y utiliza el identificador de abonado lugar. El abonado
identificador se basa en el nombre corto de la interfaz y la direccin IP del cliente preasignado 10.1.1.7.
interruptor # config show running
Building configuration ...
Configuracin actual: 4899 bytes
27-28
OL-29703-01
Captulo 27
!
versin 12.2
!
interruptor de nombre de host
!
no aaa nuevo modelo
reloj de huso horario EST 0
ip subnet-cero
ip dhcp relay informacin pad eliminacin de la poltica
no vrf uso dhcp ip conectado
ip dhcp uso abonado Identificacin del ID de cliente
ip dhcp abonado Identificacin del interface-name
ip dhcp excluido direccin 10.1.1.1 10.1.1.3
!
ip dhcp pool dhcppool
red 10.1.1.0 255.255.255.0
direccin 10.1.1.7 cliente-id "ET1 / 0" ascii
<Salida trunca>
Este ejemplo muestra que la direccin asignada previamente estaba reservado correctamente en el pool de DHCP:
interruptor # show ip dhcp pool dhcppool
Piscina dhcp pool:
Marca de Utilizacin (alta / baja): 100/0
Tamao de subred (primera / siguiente): 0/0
Direcciones totales: 254
Direcciones en leasing: 0
Direcciones Excluidos: 4
A la espera de evento: ninguno
1 de subred es actualmente en la agrupacin:
Direccin indexIP actual rangeLeased / Excluidos / Total
10.1.1.110.1.1.1 - 10.1.1.2540/ 4/254
1 direccin reservada se encuentra actualmente en la piscina
AddressClient
10.1.1.7 ET1 / 0
Para obtener ms informacin sobre cmo configurar la funcin de asignacin de direcciones basada en puerto del servidor DHCP,
vaya a
Cisco.com, e introduzca Cisco IOS Servicios de direccionamiento IP en el campo de bsqueda para acceder al Cisco IOS
documentacin del software. Tambin puede acceder a la documentacin:
http://www.cisco.com/en/US/docs/ios/ipaddr/command/reference/iad_book.html
Propsito
27-29
Captulo 27
27-30
OL-29703-01
E R CH A P T
28
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Este captulo consta de las siguientes secciones:
28-1
Captulo 28
Figura 28-1
Host A
(IA, MA)
Host B
(IB, MB)
Anfitrin C (man-in-the-middle)
(IC, MC)
111750
Los anfitriones A, B, y C estn conectados al conmutador en las interfaces A, B y C, todos los cuales estn en el mismo
subred. Sus direcciones IP y MAC se muestran entre parntesis; por ejemplo, Host A utiliza la direccin IP IA
y la direccin MAC MA. Cuando el host A necesita comunicarse con el host B en la capa IP, difunde un
Solicitud ARP para la direccin MAC asociada con la direccin IP IB. Cuando el switch y el host B reciben
la solicitud de ARP, que pueblan sus cachs de ARP con una ARP vinculante para un host con la IP abordar IA
y una direccin MAC MA; por ejemplo, la direccin IP IA est obligado a la direccin MAC MA. Cuando el host B
responde, el switch y el host A pueblan sus cachs ARP con un enlace para un host con la direccin IP
IB y la direccin MAC MB.
Anfitrin C puede envenenar la cach ARP del switch, el Host A y Host B mediante la difusin de ARP forjado
respuestas con enlaces para un host con una direccin IP de la IA (o IB) y una direccin MAC de MC. Hosts
con cachs ARP envenenadas utilizar la direccin MAC MC como la direccin MAC de destino para el trfico destinado
para IA o IB. Esto significa que los intercepta Host C Que el trfico. Debido a Host C conoce la verdadera MAC
direcciones asociadas con IA y IB, se pueden reenviar el trfico interceptado a los anfitriones utilizando el
direccin MAC correcta como el destino. Host C se ha insertado en la corriente de trfico del host A al
Host B, el clsico hombre en el medio ataque.
Inspeccin ARP dinmica es una caracterstica de seguridad que valida los paquetes ARP en una red. Intercepta, troncos,
y descarta los paquetes ARP con los enlaces no vlidos de direccin-IP-a-MAC. Esta capacidad protege la red
de ciertos ataques man-in-the-middle.
Inspeccin ARP dinmica garantiza que las solicitudes ARP slo vlidos y las respuestas se retransmiten. El conmutador
lleva a cabo estas actividades:
Intercepta todas las solicitudes ARP y respuestas sobre los puertos que no se
confa
Verifica que cada uno de estos paquetes interceptados tiene una direccin de IP a MAC vlida y vinculante antes
actualizar el local de la cach ARP o antes de enviar el paquete al destino apropiado
Inspeccin ARP dinmica determina la validez de un paquete ARP basado en vlida direccin IP a MAC
enlaces almacenados en una base de datos de confianza, la base de datos DHCP snooping vinculante. Esta base de datos se
construye por
DHCP snooping DHCP snooping si est habilitado en las VLAN y el interruptor. Si el paquete ARP es
recibido en una interfaz de confianza, el conmutador enva el paquete sin ninguna verificacin. El que no se confa
las interfaces, el switch reenva el paquete slo si es vlida.
Habilitar inspeccin ARP dinmica en funcin de cada VLAN utilizando el ip vlan inspeccin arp
vlan-range comando de configuracin global. Para obtener informacin de configuracin, consulte la "Configuracin de
ARP dinmica de Inspeccin en entornos DHCP "en la pgina 28-7.
En entornos no-DHCP, inspeccin ARP dinmica puede validar paquetes ARP contra configurado por el usuarioListas ARP de control de acceso (ACL) para las mquinas con direcciones IP configuradas estticamente. Definir una ARP
ACL mediante el uso de la arp access-list nombre-acl comando de configuracin global. Para la configuracin
informacin, consulte la "Configuracin de ARP ACL para los no DHCP Ambientes" en la pgina 28-9. El
registros interruptor paquetes perdidos. Para obtener ms informacin sobre el bfer de registro, consulte la "Registro de Dropped
Seccin de paquetes "en la pgina 28-5.
28-2
OL-29703-01
Captulo 28
Puede configurar la inspeccin ARP dinmica a descartar paquetes ARP cuando las direcciones IP en los paquetes
son vlidas o cuando las direcciones MAC en el cuerpo de los paquetes ARP no coinciden con las direcciones
especificada en la cabecera de Ethernet. Utilice el ip validar inspeccin arp {[Src-mac] [dst-mac] [IP]} mundial
comando de configuracin. Para obtener ms informacin, consulte la La seccin "Realizacin de Controles de validacin" en la
pgina 28-12.
Precaucin Utilice la configuracin de estado de confianza con cuidado. Configuracin de las interfaces como no confiable cuando debera
ser
de confianza puede resultar en una prdida de conectividad.
En Figura 28-2, asumen que tanto el interruptor A y B Interruptor estn ejecutando inspeccin ARP dinmica en la
VLAN que incluye Host 1 y Host 2 Si el Host 1 y el Host 2 adquirir sus direcciones IP del DHCP
servidor conectado a Switch A, slo el interruptor A se une la direccin IP a MAC del Host 1 Por lo tanto, si el
interfaz entre el Conmutador A y B Interruptor es de confianza, los paquetes ARP del host 1 se redujeron en
Cambie B. La conectividad entre el Host 1 y el Host 2 se pierde.
Figura 28-2
Servidor DHCP
Interruptor A
Puerto 1
Cambie B
Puerto 3
111751
Anfitrin 1
Anfitrin 2
Configuracin de interfaces de fiar cuando en realidad son no es de confianza deja un agujero de seguridad en el
red. Si Interruptor de A no se est ejecutando la inspeccin ARP dinmica, Host 1 puede envenenar fcilmente la cach ARP
Interruptor de B (y Host 2, si est configurado el enlace entre los switches como de confianza). Esta condicin puede
ocurrir incluso aunque interruptor B se est ejecutando la inspeccin ARP dinmica.
28-3
Captulo 28
Inspeccin ARP dinmica garantiza que anfitriones (en las interfaces no son de confianza) conectados a un conmutador de
funcionamiento
inspeccin ARP dinmica no envenenar la cach ARP de otros hosts en la red. Sin embargo, dinmico
Inspeccin ARP no impide que los hosts en otras partes de la red de envenenar los depsitos de la
hosts que estn conectados a un interruptor de funcionamiento de inspeccin ARP dinmica.
En los casos en los que algunos interruptores en una VLAN funcionan inspeccin ARP dinmica y otros interruptores no lo hacen,
configurar las interfaces de conexin tales como interruptores que no se confa. Sin embargo, para validar los enlaces de
paquetes de switches no dinmicas inspeccin ARP, configurar el interruptor de funcionamiento ARP dinmica
inspeccin con ARP ACL. Cuando no se puede determinar tales enlaces, en el nivel 3, aislar interruptores
corriendo inspeccin ARP dinmica de interruptores no ejecutan interruptores dinmicos de inspeccin ARP. Para
informacin de configuracin, consulte la "Configuracin de ARP ACL para entornos que faciliten la DHCP" en la
pgina 28-9.
Nota
Dependiendo de la configuracin del servidor DHCP y la red, que podra no ser posible validar un determinado
Paquete ARP en todos los switches en la VLAN.
Limitacin de velocidad de
paquetes ARPLa CPU switch realiza comprobaciones de validacin inspeccin ARP dinmicas; Por lo tanto, el nmero de
entrante paquetes ARP es la tasa limitada para prevenir un ataque de denegacin de servicio. Por defecto, la tasa de
las interfaces no son de confianza es de 15 paquetes por segundo (pps). Interfaces de confianza que no se limitan-calificar.
Usted puede
cambiar esta configuracin mediante la lmite inspeccin arp ip comando de configuracin de interfaz.
Cuando la tasa de paquetes ARP entrantes excede el lmite configurado, el interruptor coloca el puerto en el
-error discapacitados estado. El puerto permanece en ese estado hasta que se interviene. Puede utilizar el errdisable
recuperacin comando de configuracin global para habilitar la recuperacin de errores desactivar para que los puertos de forma
automtica
salir de este estado despus de un perodo de tiempo de espera especificado.
Nota
El lmite de tarifa para una EtherChannel se aplica por separado a cada conmutador en una pila. Por ejemplo, si un lmite
de 20 pps est configurado en el EtherChannel, cada switch con puertos en el EtherChannel puede transportar hasta
20 pps. Si cualquier conmutador supera el lmite, toda la EtherChannel se coloca en el estado de error discapacitados.
Para obtener informacin de configuracin, consulte la Seccin de "limitacin del tipo de entrantes ARP paquetes" en la
pgina 28-10.
28-4
OL-29703-01
Captulo 28
Configuracin de ARP dinmica de Inspeccin en entornos DHCP, pgina 28-7 (Necesario en DHCP
ambientes)
Configuracin de ARP ACL para No-DHCP Ambientes, pgina 28-9 (Necesario en la no-DHCP
ambientes)
Caracterstica
El estado de confianza de
Todas las interfaces no son de confianza.
interfaz
Tasa de lmite de entrada ARP paquetes La tasa es de 15 pps en las interfaces no son de confianza, suponiendo que el
red es una red conmutada con un host de conexin a tanto
como 15 nuevos hosts por segundo.
La tasa es ilimitada en todas las interfaces de confianza.
El intervalo de rfaga es de 1 segundo.
ARP ACL para no DHCP
entornos
Comprobaciones de validacin
No se realizan comprobaciones.
28-5
Captulo 28
Tabla 28-1
Caracterstica
Bfer de registro
Per-VLAN tala
Inspeccin ARP dinmica es una caracterstica de seguridad de ingreso; no realiza ninguna comprobacin de la salida.
Inspeccin ARP dinmica no es eficaz para los hosts conectados a switches que no son compatibles
inspeccin ARP dinmica o que no tienen esta caracterstica habilitada. Porque el hombre-en-el-medio
ataques se limitan a un nico dominio de difusin de capa 2, separar el dominio con ARP dinmica
comprobaciones de inspeccin de la una sin la comprobacin. Esta accin asegura los cachs ARP de huspedes en la
dominio habilitado para la inspeccin ARP dinmica.
Inspeccin ARP dinmica depende de las entradas de la base de datos DHCP snooping vinculante para verificar
IP-a-MAC enlaces de direcciones en las solicitudes de entrada de ARP y respuestas ARP. Asegrese de habilitar
DHCP snooping para permitir paquetes ARP que han asignado direcciones IP dinmicamente. Para
informacin de configuracin, consulte Captulo 27, "Configuracin de DHCP Caractersticas y IP Source Guard."
Cuando snooping DHCP est desactivado o en entornos no-DHCP, utilice ARP ACL para permitir o para
denegar paquetes.
Nota
Inspeccin ARP dinmica se admite en los puertos de acceso, puertos troncales, puertos EtherChannel y privado
Puertos de VLAN.
No habilite dinmico inspeccin ARP en RSPAN VLANs. Si la inspeccin ARP dinmica est habilitada en
RSPAN VLAN, los paquetes de inspeccin ARP dinmica podra no llegar al puerto de destino RSPAN.
Un puerto fsico puede conectarse a un canal de puerto EtherChannel slo cuando el estado de confianza del puerto fsico
y el partido puerto de canal. De lo contrario, el puerto fsico permanece suspendido en el canal del puerto. A
canal de puerto hereda su estado de confianza desde el primer puerto fsico que une el canal. En consecuencia,
el estado de confianza de la primera puerto fsico no es necesario que coincida con el estado de confianza del canal.
A la inversa, cuando se cambia el estado de confianza en el canal del puerto, el switch configura un nuevo fideicomiso
Estado en todos los puertos fsicos que componen el canal.
El lmite de velocidad se calcula por separado en cada switch en una pila de switches. Para una cruzada pila
EtherChannel, esto significa que el lmite de velocidad real puede ser mayor que el valor configurado. Para
ejemplo, si se establece el lmite de velocidad de 30 pps en un EtherChannel que tiene un puerto en el interruptor 1 y uno
puerto en el interruptor 2, cada puerto puede recibir paquetes a 29 pps sin causar la EtherChannel a
convertido-error discapacitados.
La tasa de operacin para el canal del puerto es acumulativo a travs de todos los puertos fsicos dentro del canal.
Por ejemplo, si configura el canal del puerto con una tasa lmite ARP de 400 pps, todas las interfaces de
combinado en el canal recibe un agregado de 400 pps. La tasa de entrada ARP paquetes en
28-6
OL-29703-01
Captulo 28
Asegrese de limitar la tasa de paquetes ARP en los puertos troncales entrantes. Configure los puertos troncales con
tasas ms elevadas para reflejar su agregacin y para manejar paquetes a travs de ARP dinmica mltiple
inspeccin habilitado VLAN. Tambin puede utilizar el inspeccin arp ip lmite ninguno interfaz
comando de configuracin para hacer que la tasa de ilimitado. Una alta tasa de lmite en una VLAN puede causar una
ataque de denegacin de servicio a otras VLAN cuando el software coloca el puerto en el error de discapacitados
estado.
Cuando se habilita la inspeccin ARP dinmica en el interruptor, policers que se configuraron para la polica
Trfico ARP ya no son eficaces. El resultado es que todo el trfico ARP se enva a la CPU.
Al configurar la inspeccin ARP dinmica tala inteligente, el contenido de todos los paquetes en el registro de
tampn (por defecto, todos los paquetes rechazados) se envan a un colector NetFlow. Si configura esta funcin,
asegurarse de que la tala inteligente est activada de forma global. Para obtener ms informacin acerca del registro inteligente,
consulte la
Seccin "Configuracin del registro inteligente" en la pgina 37-14.
Nota
Inspeccin ARP dinmica depende de las entradas de la base de datos DHCP snooping vinculante para verificar
IP-a-MAC enlaces de direcciones en las solicitudes de entrada de ARP y respuestas ARP. Asegrese de habilitar DHCP
snooping para permitir paquetes ARP que han asignado direcciones IP dinmicamente. Para la configuracin
informacin, consulte Captulo 27, "Configuracin de DHCP Caractersticas y IP Source Guard."
Para obtener informacin sobre cmo configurar la inspeccin ARP dinmica cuando slo un switch soporta la
funcin, consulte la "Configuracin de ARP ACL para los no DHCP Ambientes" en la pgina 28-9.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la inspeccin ARP dinmica. Usted debe
realizar este procedimiento en ambos interruptores. Este procedimiento es necesario.
Comando
Propsito
Paso 1
Paso 2
configure terminal
28-7
Captulo 28
Paso 3
Comando
Propsito
Paso 4
Paso 5
interfaz interface-id
Paso 6
(Opcional) Especifique que todo lo que los paquetes estn siendo actualmente
En lnea tambin son inteligentes conectado. Por defecto, todos los paquetes perdidos
son
conectado.
Especifique la interfaz conectada a otro switch, e introduzca
el modo de configuracin de interfaz.
Configurar la conexin entre los switches como de confianza.
Por defecto, todas las interfaces no son de confianza.
El interruptor no comprueba los paquetes ARP que recibe de la
otro interruptor en la interfaz de confianza. Es simplemente reenva el
paquetes.
Para las interfaces no son de confianza, el interruptor intercepta todas las peticiones
ARP
y respuestas. Se verifica que los paquetes interceptados tienen validez
IP-a-MAC enlaces de direcciones antes de actualizar la memoria cach local y
antes de reenviar el paquete al destino apropiado. El
conmutador descarta los paquetes no vlidos y los registra en el bfer de registro
de acuerdo con la configuracin de registro especificado con el ip arp
inspeccin tala vlan comando de configuracin global. Para
ms informacin, consulte la Seccin "Configuracin del bfer de registro"
en la pgina 28-13.
Paso 7
fin
Paso 8
vlan-range
Paso 11 copy running-config startup-config
Para desactivar la inspeccin ARP dinmica, utilice el no vlan inspeccin arp ip vlan-range configuracin global
de comandos. Para volver las interfaces a un estado de confianza, utilice la hay confianza inspeccin arp ip interfaz
comando de configuracin.
Este ejemplo muestra cmo configurar la inspeccin ARP dinmica en el interruptor A en VLAN 1, debera
realizar un procedimiento similar en el Switch B:
Switch (config) # vlan inspeccin arp ip 1
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # confianza inspeccin arp ip
28-8
OL-29703-01
Captulo 28
Comando
Propsito
Paso 1
configure terminal
Paso 2
Definir una ACL ARP, y entrar en el modo de configuracin de lista de acceso ARP. Por
De forma predeterminada, no hay listas de acceso ARP se definen.
Nota
Paso 3
Paso 4
Salida
Paso 5
ip filtro de inspeccin arp arp-acl-nombre vlan Aplicar la ACL ARP a la VLAN. De forma predeterminada, no se define ARP ACL
vlan-range [Esttica] se aplican a cualquier VLAN.
Para vlan-range, especificar la VLAN que los interruptores y los anfitriones son
. Puede especificar una sola VLAN identificada por el nmero ID de VLAN,
un rango de VLAN separados por un guin, o una serie de VLAN
separados por una coma. El rango es de 1 a 4094.
28-9
Captulo 28
Comando
Propsito
Paso 6
Paso 7
interfaz interface-id
Especifique que todo lo que los paquetes se est registrando en la actualidad son
tambin
-conectado inteligente. Por defecto, todos los paquetes cerrados se registran.
Especifique el interruptor de una interfaz que se conecta a Switch B, e introduzca
el modo de configuracin de interfaz.
Paso 8
Paso 9
fin
Para quitar el ARP ACL, utilice el no arp access-list comando de configuracin global. Para quitar el ARP
ACL adjunta a una VLAN, utilice el sin filtro de inspeccin arp ip arp-acl-nombre vlan vlan-range mundial
comando de configuracin.
Este ejemplo muestra cmo configurar una ACL llamada ARP host2 el interruptor A, para permitir paquetes ARP
desde el Host 2 (direccin IP 1.1.1.1 y la direccin MAC 0001.0001.0001), para aplicar la ACL a la VLAN 1, y
para configurar el puerto 1 en el conmutador A como no confiable:
Switch
Switch
Switch
Switch
Switch
Switch
28-10
OL-29703-01
Captulo 28
Nota
A menos que se configura un lmite de velocidad en una interfaz, cambiar el estado de confianza de la interfaz tambin cambia
su lmite de velocidad para el valor por defecto de ese estado de confianza. Despus de configurar el lmite de velocidad, la interfaz
retiene
el lmite de velocidad incluso cuando se cambia su estado de confianza. Si introduce la sin lmite inspeccin arp ip interfaz
comando de configuracin, la interfaz vuelve a su lmite de tasa de morosidad.
Para conocer las directrices de configuracin para la limitacin de velocidad puertos troncales y puertos EtherChannel, consulte la
"ARP dinmica
Directrices de configuracin de inspeccin "en la pgina 28-6.
Comenzando en el modo EXEC privilegiado, siga estos pasos para limitar la tasa de paquetes ARP entrantes. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Para puntuar ninguno, especificar ningn lmite superior para la tasa de ARP entrante
paquetes que se pueden procesar.
Paso 4
Salida
Paso 5
y
errdisable causa de recuperacin
arp-inspeccin
y
Paso 6
Salida
Paso 7
Verifique la configuracin.
Para volver a la configuracin de la velocidad lmite por defecto, utilice el sin lmite inspeccin arp ip interfaz
comando de configuracin. Para desactivar la recuperacin de errores para la inspeccin ARP dinmica, utilice el no errdisable
causa la recuperacin arp-inspeccin comando de configuracin global.
28-11
Captulo 28
Realizacin de Controles de
validacin
Intercepta inspeccin ARP dinmica, registros y descarta los paquetes ARP con la direccin IP no vlida-a MAC
Vinculaciones. Puede configurar el switch para realizar comprobaciones adicionales en la direccin MAC de destino,
las direcciones IP del remitente y destinatarios, y la direccin MAC de origen.
Comenzando en el modo EXEC privilegiado, siga estos pasos para realizar controles especficos sobre ARP entrante
paquetes. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Realizar una comprobacin especfica sobre paquetes ARP entrantes. De forma predeterminada, no
se aceptan cheques
se llevan a cabo.
Las palabras clave tienen estos significados:
Debe especificar al menos una de las palabras clave. Cada comando anula el
configuracin de la orden anterior; es decir, si un comando activa src
y dst mac validaciones, y un segundo comando permite slo la validacin de IP,
la src y dst mac validaciones se inhabilitan como consecuencia de la segunda
de comandos.
Paso 3
Salida
Paso 4
Verifique la configuracin.
Paso 5
Para desactivar la comprobacin, utilice el no validar inspeccin arp ip [Src-mac] [dst-mac] [IP] mundial
comando de configuracin. Para ver las estadsticas para reenviado, cado, y MAC e IP error de validacin
paquetes, utilizan el show ip estadsticas de inspeccin arp comando EXEC privilegiado.
28-12
OL-29703-01
Captulo 28
Comando
Propsito
Paso 1
configure terminal
Paso 2
inspeccin arp ip log-buffer {Entradas Configurar el bfer dinmico tala inspeccin ARP.
nmero |registros nmero intervalo
Por defecto, cuando la inspeccin ARP dinmica est activada, se les niega o se ha cado
segundos}
Paquetes ARP se registran. El nmero de entradas de registro es de 32, el nmero de
mensajes del sistema est limitado a 5 por segundo. El intervalo de tasa de registro es de 1
segundos.
Las palabras clave tienen estos significados:
28-13
Captulo 28
Comando
Paso 3
Propsito
Para vlan-range, especificar una sola VLAN identificada por el nmero ID de VLAN,
un rango de VLAN separados por un guin, o una serie de VLAN
separados por una coma. El rango es de 1 a 4094.
Para ninguno acl-partido, no registrar los paquetes que coinciden con ACL.
Para dhcp-bindings todos, registrar todos los paquetes que coincidan con enlaces DHCP.
Para dhcp-bindings ninguno, no registrar los paquetes que coincidan con DHCP
Vinculaciones.
Paso 4
Salida
Paso 5
Verifique la configuracin.
Paso 6
Para volver a la configuracin de bfer de registro por defecto, utilice el ninguna inspeccin arp ip log-buffer {entradas | logs}
comando de configuracin global. Para volver a los ajustes de registro de VLAN por defecto, utilice el ninguna inspeccin arp ip
vlan vlan-range tala {Acl-partido | dhcp-bindings} comando de configuracin global. Para borrar el registro
bfer, utilice la clear ip registro de inspeccin arp comando EXEC privilegiado.
Comando
Descripcin
mostrar interfaces de inspeccin arp ip [Interface-id] Muestra el estado de confianza y el lmite de velocidad de ARP
paquetes para la interfaz especificada o todas las interfaces
mostrar ip vlan inspeccin arp vlan-range
28-14
OL-29703-01
Captulo 28
Tabla 28-3
Comando
Descripcin
Para el show ip estadsticas de inspeccin arp comando, el interruptor se incrementa el nmero de reenviado
paquetes para cada solicitud ARP y paquete de respuesta en un puerto de inspeccin ARP dinmica de confianza. El conmutador
Incrementa el nmero de ACL o DHCP permitido paquetes para cada paquete que se les niega por fuente
MAC, MAC de destino, o controles de validacin de propiedad intelectual, y el interruptor incrementa el recuento de errores
apropiado.
Tabla 28-4
Comando
Descripcin
Para obtener ms informacin sobre estos comandos, consulte la referencia de comandos para esta versin.
28-15
Captulo 28
28-16
OL-29703-01
E R CH A P T
29
Nota
Para el trfico de IP versin 6 (IPv6), Multicast Listener Discovery (MLD) snooping realiza la misma
funcin de supervisin IGMP para el trfico IPv4. Para obtener informacin acerca de MLD, consulte Captulo 30,
"Configurar IPv6 MLD Snooping."
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el interruptor
referencia de comandos para esta versin y la seccin "IP Multicast Direccionamiento de comandos" en la Cisco IOS
IP Comando, Volumen 3 de 3: Multicast, versin 12.4.
Nota
Usted puede gestionar direcciones de grupo de multidifusin IP a travs de caractersticas tales como IGMP snooping y MVR,
o puede utilizar direcciones IP estticas.
29-1
Captulo 29
Nota
Para obtener ms informacin acerca de multidifusin IP y IGMP, consulte RFC 1112 y RFC 2236.
El router multicast (que podra ser un Catalyst 3750-E Catalizador interruptor 3750-X con los servicios IP
conjunto de caractersticas en el maestro de pila) enva consultas generales peridicas a todas las VLAN. Todos los hosts interesados
en
este envo trfico multicast unirse peticiones y se aaden a la entrada de la tabla de reenvo. El interruptor crea
una entrada por cada VLAN en el IGMP snooping tabla de reenvo de multidifusin IP para cada grupo del que
recibe una peticin IGMP.
El switch soporta puente basado en el grupo de multidifusin IP, en lugar de MAC dirigida-grupos basados. Con
grupos basados en direcciones MAC de multidifusin, si traduce una direccin IP est configurado (alias) a una
previamente configurado la direccin MAC o para cualquier direccin MAC multicast reservadas (en el rango
224.0.0.xxx), el comando falla. Debido a que el conmutador utiliza grupos de multidifusin IP, no hay direccin
problemas de solapamiento.
Los grupos de multidifusin IP aprendido a travs de snooping IGMP son dinmicos. Sin embargo, usted puede estticamente
configurar grupos de multidifusin mediante el uso de la IP IGMP snooping vlan id_vlan esttica direccin_ip interfaz
interface-id comando de configuracin global. Si especifica la pertenencia al grupo para un grupo multicast
direccin esttica, la configuracin reemplaza cualquier manipulacin automtica por la inspeccin de IGMP. Multicast
listas de miembros del grupo pueden consistir tanto en configuracin de la inspeccin-aprendido definidas por el usuario e IGMP.
Puede configurar un interrogador IGMP para apoyar la inspeccin de IGMP en subredes sin multicast
las interfaces debido a que el trfico de multidifusin no necesita ser encaminado. Para obtener ms informacin sobre el IGMP
snooping querier, consulte la Seccin "Configuracin de la inspeccin IGMP Querier" en la pgina 29-14.
Si un puerto spanning-tree, un grupo de puertos, o un ID de VLAN se produce el cambio, la inspeccin de IGMP-aprendido
multicast
se eliminan los grupos de este puerto en la VLAN.
Estas secciones se describen las caractersticas de inspeccin IGMP:
29-2
OL-29703-01
Captulo 29
Versiones de IGMP
El switch soporta IGMP versin 1, IGMP versin 2 y la versin 3 de IGMP Estas versiones son
interoperable en el interruptor. Por ejemplo, si IGMP est habilitado en un interruptor IGMPv2 y la
switch recibe un informe de IGMPv3 desde un host, el switch puede enviar el informe a la IGMPv3
router multicast.
Nota
El switch soporta IGMPv3 snooping basa slo en el destino direccin MAC de multidifusin. No hace
apoyo snooping basa en la direccin MAC de origen o en los informes de proxy.
Un interruptor IGMPv3 apoya Bsica IGMPv3 Snooping Soporte (BISS), que incluye el apoyo a la
snooping caractersticas en IGMPv1 y IGMPv2 interruptores y para IGMPv3 mensajes de informe de pertenencia.
BISS limita la saturacin por trfico de multidifusin cuando su red incluye hosts IGMPv3. Es
restringe el trfico a aproximadamente el mismo conjunto de puertos como la funcin de IGMP snooping en IGMPv2 o
IGMPv1 instalados.
Nota
IGMPv3 unirse y dejar mensajes no son compatibles con los interruptores en ejecucin filtrado IGMP o MVR.
Un interruptor IGMPv3 puede recibir mensajes desde y reenviar mensajes a un dispositivo que ejecuta la Fuente
Caracterstica Especficas Multicast (SSM).
Unirse a un grupo de
multidifusin Cuando un host conectado al switch quiere unirse a un grupo de multidifusin IP y es un IGMP versin 2
cliente, enva un mensaje IGMP no solicitado unirse, especificando el grupo de multidifusin IP para unirse.
Alternativamente, cuando el switch recibe una consulta general desde el router, se reenva la consulta a todos los puertos
en la VLAN. IGMP versin 1 o la versin 2 hosts que desean incorporarse al grupo responda multicast enviando
un mensaje de unirse al conmutador. La CPU del switch crea una entrada de reenvo-tabla multicast para el grupo si
no est ya presente. La CPU tambin aade la interfaz donde el mensaje fue recibido unirse a la
entrada de reenvo-mesa. El host asociado con esa interfaz recibe trfico de multidifusin para que
grupo multicast. Ver Figura 29-1.
29-3
Captulo 29
Figura 29-1
1
IGMP informe 224.1.2.3
VLAN
PFC
UPC
Reenvo
mesa
45750
Router A enva una consulta general al interruptor, que reenva la consulta a los puertos de 2 a 5, los cuales son
todos los miembros de la misma VLAN. Host 1 quiere unirse a 224.1.2.3 grupo de multidifusin y la multidifusin IGMP una
de informe de pertenencia (IGMP mensaje) al grupo. La CPU conmutador utiliza la informacin en el IGMP
informe para establecer una entrada de reenvo de la tabla, como se muestra en Tabla 29-1, que incluye los nmeros de puerto
Host conectado 1 y el router.
Tabla 29-1
Direccin de destino
Tipo de Paquete
Puertos
224.1.2.3
IGMP
1, 2
El hardware del switch puede distinguir los paquetes de informacin IGMP de otros paquetes para la multidifusin
grupo. La informacin de la tabla le dice al motor de conmutacin para enviar tramas dirigidas a la 224.1.2.3
direccin IP de multidifusin que no son paquetes IGMP al router ya la acogida que se ha unido al grupo.
29-4
OL-29703-01
Captulo 29
Si otro host (por ejemplo, Host 4) enva un mensaje IGMP no solicitado unirse para el mismo grupo
(Figura 29-2), la CPU recibe ese mensaje y aade el nmero de puerto del Host 4 para la tabla de reenvo
como se muestra en Tabla 29-2. Tenga en cuenta que debido a que la tabla de reenvo de mensajes IGMP dirige slo a la CPU,
el mensaje no se inunda a otros puertos del conmutador. Cualquier trfico multicast conocido se remite a la
grupo y no a la CPU.
Figura 29-2
VLAN
PFC
UPC
Reenvo
mesa
45751
Tabla 29-2
Direccin de destino
Tipo de Paquete
Puertos
224.1.2.3
IGMP
1, 2, 5
29-5
Captulo 29
Immediate Leave
Dejar inmediata slo es compatible con IGMP versin 2 hosts.
El conmutador utiliza IGMP snooping Dejar inmediato a eliminar de la tabla de reenvo de una interfaz que
enva un mensaje de cese sin el interruptor de envo de consultas especficas de grupo a la interfaz. La VLAN
interfaz se poda del rbol multicast para el grupo multicast se especifica en el mensaje de la licencia inicial.
Dejar inmediata garantiza la gestin de ancho de banda ptimo para todos los hosts en una red conmutada, incluso
cuando varios grupos de multidifusin son simultneamente en uso.
Nota
Slo debe utilizar la funcin Dejar inmediata sobre las VLAN que un nico host est conectado a cada uno
puerto. Si Immediate Leave est habilitada en las VLAN, donde ms de un host est conectado a un puerto, algunos
anfitriones podran ser dejados inadvertidamente.
Para los pasos de configuracin, consulte la Seccin "Activacin inmediata IGMP Leave" en la pgina 29-11.
Informe supresin IGMP slo se admite cuando la consulta de multidifusin tiene IGMPv1 y IGMPv2 informes.
Esta funcin no est disponible cuando la consulta incluye informa IGMPv3.
El conmutador utiliza supresin informe IGMP para reenviar slo un informe IGMP por consulta router multicast
a los dispositivos de multidifusin. Cuando la supresin de enrutador IGMP est habilitado (por defecto), el conmutador enva la
primera
Informe IGMP desde todos los hosts de un grupo para todos los routers multicast. El interruptor no enva la
restante IGMP para el grupo informa a los routers de multidifusin. Esta funcin evita que los informes duplicados
de ser enviados a los dispositivos de multidifusin.
Si la consulta router multicast incluye solicitudes slo para IGMPv1 e informa IGMPv2, el interruptor
reenva slo el primer IGMPv1 o informe IGMPv2 desde todos los hosts de un grupo para todos los routers multicast.
Si la consulta router multicast tambin incluye solicitudes de informes IGMPv3, el conmutador enva todo IGMPv1,
IGMPv2 y IGMPv3 informes para un grupo de los dispositivos de multidifusin.
Si desactiva la supresin informe IGMP, todos los informes IGMP se reenvan a los routers de multidifusin. Para
pasos de configuracin, consulte la Seccin "Desactivacin IGMP Informe Represin" en la pgina 29-15.
29-6
OL-29703-01
Captulo 29
Caracterstica
IGMP snooping
Routers de multidifusin
Ninguno configurado
Disabled
Ninguno configurado
Disabled
Disabled
Activado
29-7
Captulo 29
Comando
Propsito
Paso 1
configure terminal
Paso 2
IP IGMP snooping
Paso 3
fin
Paso 4
Para deshabilitar globalmente la inspeccin de IGMP en todas las interfaces de VLAN, utilice el no snooping IGMP ip
mundial
comando de configuracin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la inspeccin de IGMP en una interfaz de VLAN:
Comando
Propsito
Paso 1
configure terminal
Paso 2
IGMP snooping debe estar habilitado a nivel mundial antes de que pueda
habilitar VLAN snooping.
Paso 3
fin
Paso 4
Para desactivar la inspeccin de IGMP en una interfaz VLAN, utilice el no igmp ip snooping vlan id_vlan mundial
comando de configuracin para el nmero de VLAN especificada.
Estticamente la conexin a un puerto del router multicast con la ip snooping IGMP Mrouter mundial
comando de configuracin
29-8
OL-29703-01
Captulo 29
Puede configurar el switch sea para espiar a consultas de IGMP y paquetes PIM / DVMRP o escuchar
CGMP autounin o apoderado-unirse a los paquetes. Por defecto, el interruptor curiosea en los paquetes PIM / DVMRP sobre todo
VLANs. Para aprender de los puertos del router multicast slo a travs de los paquetes de CGMP, utilice el IP IGMP snooping vlan
id_vlan Mrouter aprender cGMP comando de configuracin global. Cuando se selecciona este comando, el router
escucha slo CGMP autounin y CGMP proxy paquetes de combinacin y no hay otros paquetes CGMP. Para aprender
de puertos de router de multidifusin a travs de paquetes slo PIM-DVMRP, utilice el IP IGMP snooping vlan id_vlan
Mrouter aprender pim-dvmrp comando de configuracin global.
Nota
Si desea utilizar CGMP como el mtodo de aprendizaje y no hay routers de multidifusin en la VLAN est CGMP
representante habilitado, deber introducir la -nico router IP cGMP comando para acceder de forma dinmica el router. Para
ms informacin, consulte Captulo 53, "Configuracin de IP Multicast Routing".
Comenzando en el modo EXEC privilegiado, siga estos pasos para modificar el mtodo en el que una interfaz VLAN
dinmicamente accede a un router multicast:
Comando
Propsito
Paso 1
configure terminal
Paso 2
GMPc Escuchar para los paquetes de cGMP. Este mtodo es til para
reduciendo el trfico de control.
Paso 3
fin
Paso 4
Verifique la configuracin.
Paso 5
Para volver al mtodo de aprendizaje por defecto, utilice el no igmp ip snooping vlan id_vlan Mrouter aprender cGMP
comando de configuracin global.
Este ejemplo muestra cmo configurar IGMP snooping utilizar paquetes CGMP como el mtodo de aprendizaje:
Switch # configure terminal
Switch (config) # igmp ip snooping vlan 1 Mrouter aprender cGMP
Switch (config) # fin
Nota
Conexiones estticas a enrutadores de multidifusin slo se admiten en los puertos del switch.
29-9
Captulo 29
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar una conexin esttica a una multidifusin
enrutador:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
mostrar ip snooping IGMP Mrouter [Vlan vlan-id] Verifique que snooping IGMP est habilitado en la interfaz VLAN.
Paso 5
Para quitar un puerto de router de multidifusin de la VLAN, utilice el no igmp ip snooping vlan id_vlan Mrouter
interfaz interface-id comando de configuracin global.
Este ejemplo muestra cmo habilitar una conexin esttica a un router multicast:
Switch # configure terminal
Switch (config) # igmp ip snooping vlan 200 interfaz Mrouter GigabitEthernet1 / 0/2
Switch (config) # fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
IP IGMP snooping vlan id_vlan esttica direccin_ip Estticamente configurar un puerto de capa 2 como un miembro de una de multidifusin
interfaz interface-idgrupo:
Paso 3
fin
Paso 4
Paso 5
Para eliminar el puerto de capa 2 del grupo de multidifusin, utilice el no igmp ip snooping vlan id_vlan esttica
mac-address interfaz interface-id comando de configuracin global.
29-10
OL-29703-01
Captulo 29
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para deshabilitar IGMP inmediata Dejar en una VLAN, utilice el no igmp ip snooping vlan id_vlan
inmediata-licencia comando de configuracin global.
Este ejemplo muestra cmo habilitar IGMP inmediata Deje en VLAN 130:
Switch # configure terminal
Switch (config) # igmp ip snooping vlan 130 inmediata-licencia
Switch (config) # fin
El IGMP tiempo de licencia configurable slo es compatible con ordenadores que ejecutan IGMP versin 2.
La latencia de la licencia real en la red suele ser el tiempo de licencia configurado. Sin embargo, el tiempo de licencia
podra variar en todo el tiempo configurado, dependiendo de las condiciones de carga de la CPU, los retrasos de la red en
tiempo real
y la cantidad de trfico enviado a travs de la interfaz.
29-11
Captulo 29
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el IGMP temporizador configurable-licencia:
Comando
Propsito
Paso 1
configure terminal
Paso 2
IP IGMP snooping
ltimo miembro de-bsqueda-intervalo tiempo
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para globalmente restablecer el temporizador de la licencia de IGMP a la configuracin por defecto, utilice el no
snooping IGMP ip
ltimo miembro de-bsqueda-intervalo comando de configuracin global.
Para quitar el IGMP ajuste de la VLAN especificada permiso a tiempo configurado, utilice la no igmp ip
vlan snooping id_vlan ltimo miembro de-bsqueda-intervalo comando de configuracin global.
Configuracin de Comandos TCNrelacionados Controlar el tiempo de inundacin Multicast Despus de un Evento TCN, pgina 29-12
Puede controlar el tiempo que el trfico multicast se inunda despus de un evento TCN utilizando el ip igmp
TCN snooping recuento consulta inundaciones comando de configuracin global. Este comando configura el nmero
de consultas generales para que el trfico de datos multicast est inundado despus de un evento de TCN. Algunos ejemplos de TCN
eventos son cuando el cliente cambia su ubicacin y el receptor es el mismo puerto que fue bloqueado, pero es
Ahora el reenvo, y cuando un puerto descendi sin necesidad de enviar un mensaje de cese.
Si establece el recuento de consulta inundacin TCN a 1 mediante el uso de la igmp ip TCN snooping recuento consulta
inundaciones
comando, la inundacin se detiene despus de recibir 1 consulta general. Si establece el recuento a 7, la inundacin hasta que
Se reciben 7 consultas generales. Los grupos se reaprender basan en las consultas generales recibidas durante el
Evento TCN.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la cuenta de consulta inundacin TCN:
Comando
Propsito
Paso 1
configure terminal
Paso 2
igmp ip TCN snooping recuento consulta inundaciones Especifique el nmero de consultas generales IGMP para que la multidifusin
contar
el trfico est inundado. El rango es de 1 a 10 De forma predeterminada, la consulta
inundaciones
count es 2.
29-12
OL-29703-01
Captulo 29
Comando
Propsito
Paso 3
fin
Paso 4
Paso 5
Para volver al recuento consulta inundaciones predeterminado, utilice la no igmp ip snooping recuento consulta inundacin TCN
mundial
comando de configuracin.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la solicitud de consulta por omisin, utilice el no igmp ip snooping TCN consulta de peticin mundial
comando de configuracin.
Cuando el interruptor recibe una TCN, el trfico de multidifusin se inunda a todos los puertos hasta 2 consultas generales son
recibido. Si el interruptor tiene muchos puertos con hosts conectados que se ha suscrito a diferentes multicast
grupos, estas inundaciones podran superar la capacidad del enlace y causa la prdida de paquetes. Puede utilizar el ip
IGMP snooping inundacin TCN comando de configuracin de interfaz para controlar este comportamiento.
Comenzando en el modo EXEC privilegiado, siga estos pasos para deshabilitar las inundaciones de multidifusin en una interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
29-13
Captulo 29
Paso 3
Comando
Propsito
Paso 4
Salida
Paso 5
Paso 6
Para volver a habilitar las inundaciones de multidifusin en una interfaz, utilice el igmp ip snooping inundacin TCN
interfaz
comando de configuracin.
Configure una direccin IP en la interfaz VLAN. Cuando est activado, el interrogador IGMP snooping utiliza el
Direccin IP como la direccin de origen de la consulta.
Si no hay una direccin IP configurada en la interfaz VLAN, snooping IGMP el interrogador intenta utilizar
la direccin IP global configurado para el interrogador IGMP. Si no hay una direccin IP global especificado, la
IGMP interrogador intenta utilizar la VLAN de cambiar la direccin IP virtual de la interfaz (SVI) (si existe). Si hay
hay una direccin SVI IP, el conmutador utiliza la primera direccin IP disponible configurado en el conmutador. La primera
Direccin IP disponible aparece en la salida de la show ip interface comando EXEC privilegiado. El
IGMP snooping querier no genera una consulta general IGMP si no puede encontrar una IP disponibles
abordar en el interruptor.
Cuando est habilitado administrativamente, la inspeccin de IGMP querier mueve al estado nonquerier si
detecta la presencia de un router de multidifusin en la red.
Cuando est activado administrativamente, la inspeccin de IGMP querier mueve a las personas con discapacidad
operacionalmente
estado en estas condiciones:
-IGMP snooping est desactivada en la VLAN.
-PIM est habilitada en el SVI de la VLAN correspondiente.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la funcin de interrogador IGMP en
una VLAN:
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip snooping IGMP
Paso 3
29-14
OL-29703-01
Captulo 29
Comando
Propsito
Paso 4
Paso 5
igmp ip interrogador IGMP consulta TCN [Count (Opcional) Establezca el tiempo entre cambio de topologa Notificacin
contar |intervalo intervalo](TCN) consultas. El rango de contaje es de 1 a 10. El intervalo es de 1 a
255 segundos.
Paso 6
Paso 7
Paso 8
fin
Paso 9
Este ejemplo muestra cmo configurar el IGMP snooping direccin de origen querier a 10.0.0.64:
Switch # configure terminal
Switch (config) # IP IGMP snooping querier 10.0.0.64
Switch (config) # fin
Este ejemplo muestra cmo configurar el IGMP snooping querier tiempo de respuesta mximo de 25 segundos:
Switch # configure terminal
Switch (config) # igmp ip querier snooping query-interval 25
Switch (config) # fin
Este ejemplo muestra cmo configurar la inspeccin de IGMP querier tiempo de espera en 60 segundos:
Switch # configure terminal
Switch (config) # igmp ip snooping timeout querier caducidad 60
Switch (config) # fin
Este ejemplo muestra cmo configurar la funcin de interrogador IGMP IGMP a la Versin 2:
Switch # configure terminal
Switch (config) # no igmp IP IGMP versin 2 querier
Switch (config) # fin
Informe supresin IGMP slo se admite cuando la consulta de multidifusin tiene IGMPv1 y IGMPv2 informes.
Esta funcin no est disponible cuando la consulta incluye informa IGMPv3.
Informe supresin IGMP est activado por defecto. Cuando est activado, el switch enva una sola IGMP
informe por consulta router multicast. Cuando el informe de supresin est desactivada, todos los informes IGMP se reenvan
para los routers de multidifusin.
29-15
Captulo 29
Comenzando en el modo EXEC privilegiado, siga estos pasos para desactivar la supresin informe IGMP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a habilitar la supresin informe IGMP, utilice el igmp ip snooping informe de supresin mundial
comando de configuracin.
Comando
Propsito
29-16
OL-29703-01
Captulo 29
Tabla 29-4
Comando
Propsito
(Opcional) Introduzca vlan id_vlan para mostrar la informacin de una sola VLAN.
mostrar ip snooping IGMP [Vlan vlan-id]
Para obtener ms informacin acerca de las palabras clave y las opciones en estos comandos, vea la referencia de comandos
para esta versin.
29-17
Captulo 29
En el modo compatible, los datos de multidifusin recibidos por los anfitriones del MVR se reenva a todos los puertos de datos
del MVR,
independientemente del MVR membresa de acogida en esos puertos. Los datos multicast se enva slo a los
puertos del receptor que anfitriones MVR han unido, ya sea por informes IGMP o por configuracin esttica MVR.
IGMP informes recibidos de los anfitriones MVR nunca se reenvan desde los puertos de datos MVR que eran
configurado en el conmutador.
En el modo dinmico, los datos de multidifusin recibidos por los anfitriones del MVR en el interruptor se reenvan desde slo
aquellos
Datos del MVR y puertos de cliente que los anfitriones del MVR se han unido, ya sea por IGMP informes o MVR esttica
configuracin. Cualquier informe IGMP recibidas de los ejrcitos MVR tambin estn enviados desde todo el MVR
puertos de datos en el husped. Esto elimina el uso de ancho de banda innecesario en MVR vnculos con puerto de datos, que
se produce cuando el interruptor se ejecuta en modo compatible.
Slo Layer 2 puertos participan en MVR. Debe configurar los puertos como puertos receptores MVR. Slo una MVR
VLAN de multidifusin por switch o conmutador pila es compatible.
Puertos receptor y puertos de origen pueden estar en diferentes switches en una pila de switches. Datos de multidifusin enviados en
la
Multicast VLAN se reenva a todos los puertos del receptor MVR en toda la pila. Cuando se aade un nuevo interruptor
a una pila, por defecto no tiene puertos del receptor.
Si un interruptor de falla o se quita de la pila, slo aquellos puertos del receptor perteneciente a ese interruptor se no
recibir los datos de multidifusin. Todos los dems puertos del receptor en otros switches siguen recibiendo la multidifusin
datos.
29-18
OL-29703-01
Captulo 29
Figura 29-3
Multicast VLAN
Router Cisco
Multicast
servidor
SP
Cambie B
SP
SP
SP
SP
SP
SP1
SP2
Multicast
datos
Multicast
datos
Interruptor A
Hub
IGMP
Decodificador
Decodificador
TV
datos
PC
101364
TV
RP = Receptor Puerto
SP = Puerto de origen
TV
Nota: Todos los puertos de origen pertenecen a
la VLAN de multidifusin.
Cuando un usuario cambia de canal o apaga la televisin, el decodificador enva una licencia IGMP
mensaje para el flujo de multidifusin. La CPU interruptor enva una consulta general basada en MAC a travs de la
VLAN de puerto receptor. An si hay otro decodificador en la VLAN de la suscripcin a este grupo, que
decodificador debe responder dentro del tiempo de respuesta mximo especificado en la consulta. Si la CPU no
recibir una respuesta, elimina el puerto receptor como un destino de reenvo para este grupo.
Sin Dejar inmediata, cuando el switch recibe un mensaje de la licencia de IGMP de un suscriptor en un
puerto del receptor, enva una consulta IGMP en ese puerto y espera a que los informes de pertenencia de grupo IGMP. Si
No hay informes son recibidos en un perodo de tiempo configurado, el puerto del receptor se retira del grupo de multidifusin
membresa. Con Immediate Leave, una consulta IGMP no se enva desde el puerto receptor en el que el
Se recibi permiso IGMP. Tan pronto como se recibe el mensaje de la licencia, el puerto receptor se elimina de
pertenencia a un grupo de multidifusin, lo que acelera la latencia licencia. Habilite la funcin inmediata-Dejar slo
en puertos del receptor a la que un nico dispositivo receptor est conectado.
MVR elimina la necesidad de duplicar trfico de multidifusin del canal de televisin para abonados en cada VLAN.
El trfico de multidifusin para todos los canales slo se enva alrededor del tronco VLAN sola vez en la multidifusin
VLAN. La licencia de IGMP y unirse mensajes estn en la VLAN a la que se asigna el puerto de abonado.
Estos mensajes se registran dinmicamente para los flujos de trfico de multidifusin en la VLAN de multidifusin en la
29-19
Captulo 29
Configuracin MVR
Capa 3 dispositivo. El interruptor de capa de acceso, Switch A, modifica el comportamiento de reenvo para permitir el trfico
que se transmitir desde la VLAN de multidifusin para el puerto de abonado en una VLAN diferente, de forma selectiva
permitiendo el trfico para cruzar entre dos VLANs.
Informes IGMP se envan a la misma direccin de grupo de multidifusin IP como los datos de multidifusin. La CPU del
interruptor A
debe capturar todo IGMP unirse y dejar mensajes de los puertos receptores y las remitir a la multidifusin
VLAN del puerto de origen (enlace ascendente), basado en el modo de MVR.
Configuracin MVR
Caracterstica
MVR
Ninguno configurado
0,5 segundo
Multicast VLAN
VLAN 1
Modo
Compatible
Immediate Leave
Puertos receptor slo puede ser puertos de acceso; no pueden ser puertos troncales. Puertos del receptor en un switch puede
estar en diferentes redes VLAN, pero no debe pertenecer a la VLAN de multidifusin.
El nmero mximo de entradas de multidifusin (direcciones de grupo MVR) que se puede configurar en un
Interruptor (es decir, el nmero mximo de canales de televisin que pueden recibirse) es 256.
Debido MVR en el conmutador utiliza direcciones IP multicast en lugar de direcciones de multidifusin MAC,
direcciones multicast alias IP estn permitidas en el interruptor. Sin embargo, si el interruptor est Interoperacin
con Catalizador 3550 o switches Catalyst 3500 XL, no debe configurar las direcciones IP que alias
entre s o con las direcciones reservadas IP multicast (en el 224.0.0.xxx gama).
MVR no se admite cuando el enrutamiento multicast est habilitada en un interruptor. Si se habilita el enrutamiento multicast
y un protocolo de enrutamiento multicast mientras MVR est activada, MVR est desactivado, y recibir una advertencia
mensaje. Si intenta habilitar MVR mientras enrutamiento multicast y un protocolo de enrutamiento multicast son
activado, se cancela la operacin para permitir MVR, y recibe un mensaje de error.
29-20
OL-29703-01
Captulo 29
MVR datos recibidos en un puerto receptor MVR no se reenva a los puertos de origen MVR.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en esta seccin, consulte el comando
referencia para esta versin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar los parmetros del MVR:
Comando
Propsito
Paso 1
configure terminal
Paso 2
mvr
Paso 3
Paso 4
Paso 5
(Opcional) Especifique la VLAN en la que se reciben los datos de multidifusin; todas las fuentes
puertos deben pertenecer a esta VLAN. El rango de VLAN es de 1 a 1001 y 1006 a
4094. El valor por defecto es la VLAN 1.
Paso 6
fin
Paso 8
Paso 9
copy running-config
startup-config
Para devolver el interruptor a su configuracin predeterminada, utilice el no mvr [Modo | grupo La direccin IP |querytime |vlan]
comandos de configuracin global.
29-21
Captulo 29
Configuracin MVR
Este ejemplo muestra cmo habilitar MVR, configurar la direccin de grupo, establezca el tiempo de consulta a 1 segundo
(10/10), especificar la VLAN de multidifusin MVR como VLAN 22, y establecer el modo MVR tan dinmico:
Switch
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
#
mvr
mvr
mvr
mvr
mvr
fin
grupo 228.1.23.4
querytime 10
vlan 22
modo dinmico
Puede utilizar el miembros espectculo MVR comando EXEC privilegiado para verificar el grupo multicast MVR
direcciones en el interruptor.
Comando
Propsito
Paso 1
configure terminal
Paso 2
mvr
Paso 3
interfaz interface-id
Paso 4
MVR vlan id_vlan grupo [Direccin IP] (Opcional) estticamente configurar un puerto para recibir trfico de multidifusin enviado a la
Multicast VLAN y la direccin de multidifusin IP. Un puerto estticamente configurado como
un miembro de un grupo sigue siendo un miembro del grupo hasta que se eliminen de forma esttica.
Nota
En el modo de compatibilidad, este comando slo se aplica a los puertos del receptor. En
modo dinmico, que se aplica a los puertos del receptor y los puertos de origen.
Puertos receptor tambin puede unirse a grupos de multidifusin dinmicamente utilizando IGMP
unirse y dejar mensajes.
Paso 6
MVR inmediata
Paso 7
fin
Este comando slo se aplica a los puertos del receptor y slo debe ser
habilitada en puertos del receptor a la que un dispositivo receptor solo es
conectado.
29-22
OL-29703-01
Captulo 29
Paso 8
Comando
Propsito
espectculo mvr
Verifique la configuracin.
Visualizacin de informacin
MVR
Puede visualizar informacin MVR para el interruptor o para una interfaz especificada.
Tabla 29-6
Comando
Propsito
espectculo mvr
Muestra el estado y los valores MVR para el interruptor-si MVR est activada o desactivada,
la VLAN de multidifusin, el mximo (256) y la corriente (de 0 a 256) el nmero de
grupos de multidifusin, el tiempo de respuesta de la consulta, y el modo MVR.
show interface mvr [Interface-id] Muestra todas las interfaces del MVR y sus configuraciones MVR.
[Miembros [vlan vlan-id]]
Cuando se introduce una interfaz especfica, muestra esta informacin:
Tipo-receptor o Fuente
Status-Una de ellas:
-Activo significa que el puerto forma parte de una VLAN.
-Arriba / abajo significa que el puerto est reenviando o no reenvo.
-Inactivo significa que el puerto no es parte de cualquier VLAN.
Si el miembros se introduce una palabra clave, muestra todos los miembros del grupo de multidifusin en este
puerto o,
Si se introduce una identificacin VLAN, todos los miembros del grupo de multidifusin en la VLAN. El
Rango de ID de VLAN es de 1 a 1001 y 1.006-4.094.
miembros espectculo MVR [Direccin IP]Muestra todos los puertos del receptor y de origen que son miembros de cualquier grupo multicast IP o el
direccin especificada IP del grupo de multidifusin IP.
29-23
Captulo 29
Filtrado IGMP controla de consulta y de miembros informes slo especficos de grupo, incluyendo unirse y dejar
informes. No controla peticiones IGMP generales. Filtrado de IGMP no tiene ninguna relacin con la funcin
que dirige el reenvo de trfico de multidifusin IP. La caracterstica de filtrado opera de la misma manera
si CGMP o MVR se utiliza para reenviar el trfico de multidifusin.
Filtrado IGMP slo es aplicable a la dinmica de aprendizaje de direcciones de grupo de multidifusin IP, no es esttico
configuracin.
Con la funcin de estrangulamiento IGMP, se puede establecer el nmero mximo de grupos IGMP que una Capa 2
interfaz puede unirse. Si se establece el nmero mximo de grupos IGMP, IGMP snooping tabla de reenvo
contiene el nmero mximo de entradas, y la interfaz recibe un IGMP unirse informe, se puede
configurar una interfaz para soltar el informe IGMP o para reemplazar la entrada de multidifusin seleccionado al azar con
el informe IGMP recibido.
Nota
IGMPv3 unirse y dejar mensajes no son compatibles con los interruptores en ejecucin filtrado IGMP.
Caracterstica
Filtros IGMP
Ninguno aplica
Perfiles IGMP
Definido Ninguno
29-24
OL-29703-01
Captulo 29
Cuando el nmero mximo de grupos est en la tabla de reenvo, la accin de estrangulamiento IGMP predeterminado es
negar el informe IGMP. Para conocer las directrices de configuracin, consulte la "Configuracin de la Accin IGMP Throttling"
en la pgina 29-27.
Configuracin de perfiles de
IGMP
Para configurar un perfil de IGMP, utilice el perfil igmp ip comando de configuracin global con un perfil
nmero para crear un perfil de IGMP y para entrar en el modo de configuracin de perfiles IGMP. De este modo,
puede especificar los parmetros del perfil IGMP para ser utilizadas para el filtrado IGMP unirse a las peticiones de un puerto.
Cuando est en el modo de configuracin de perfil IGMP, puede crear el perfil utilizando estos comandos:
negar: Especifica que las direcciones coincidentes se les niega; Este es el valor
predeterminado.
Salida: Sale del modo de configuracin igmp perfil.
rango: Especifica un rango de direcciones IP para el perfil. Puede introducir una nica direccin IP o un rango
con un inicio y una direccin final.
El valor predeterminado es que el interruptor tenga ningn perfil IGMP configurados. Cuando se configura un perfil, si
ni el permiso ni negar palabra clave se incluye, el valor por defecto es denegar el acceso a la gama de IP
direcciones.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un perfil de IGMP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
permitir | negar
Paso 4
Paso 5
fin
Paso 6
Paso 7
Para eliminar un perfil, utilice el sin perfil igmp ip nmero de perfil comando de configuracin global.
Para eliminar una direccin de multidifusin IP o rango de direcciones IP de multidifusin, utilice el sin rango IP multicast
Direccin Comando de configuracin de perfil IGMP.
29-25
Captulo 29
Este ejemplo muestra cmo crear perfil IGMP 4 permite el acceso a la direccin de multidifusin IP nica y
cmo verificar la configuracin. Si la accin fue negar (por defecto), no parece en el espectculo
perfil igmp ip visualizacin de salida.
Switch (config) # ip perfil igmp 4
Switch (config-igmp-perfil) # permiso
Switch (config-igmp-perfil) # rango 229.9.9.0
Switch (config-igmp-perfil) # fin
Switch # show ip perfil igmp 4
IGMP Perfil 4
permiso
rango 229.9.9.0 229.9.9.0
La aplicacin de perfiles de
IGMP
Para controlar el acceso tal como se define en un perfil de IGMP, utilice el filtro IGMP ip comando de configuracin de interfaz
para aplicar el perfil a las interfaces adecuadas. Puede aplicar perfiles IGMP slo para el acceso de capa 2
puertos; no se puede aplicar perfiles IGMP a puertos enrutados o SVI. No se puede aplicar perfiles a los puertos que
pertenecer a un grupo de puertos EtherChannel. Puede aplicar un perfil de mltiples interfaces, pero cada interfaz
slo puede tener un perfil aplicado a la misma.
Comenzando en el modo EXEC privilegiado, siga estos pasos para aplicar un perfil de IGMP a un puerto de switch:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Verifique la configuracin.
Paso 6
Para eliminar un perfil de una interfaz, utilice el sin filtro IGMP ip nmero de perfil configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo aplicar el perfil IGMP 4 a un puerto:
Switch (config) # interfaz GigabitEthernet1 / 0/2
Switch (config-if) # filtro IGMP ip 4
Switch (config-if) # fin
29-26
OL-29703-01
Captulo 29
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Verifique la configuracin.
Paso 6
Para eliminar la limitacin mxima del grupo y volver a los valores predeterminados de ningn mximo, utilice el no igmp ip
max-grupos comando de configuracin de interfaz.
Este ejemplo muestra cmo limitar a 25 el nmero de grupos IGMP que un puerto puede unirse.
Switch (config) # interfaz GigabitEthernet1 / 0/2
Switch (config-if) # IGMP ip max-grupos 25
Switch (config-if) # fin
Esta restriccin se puede aplicar slo a Capa 2 puertos. Usted puede utilizar este comando en una lgica
Interfaz EtherChannel pero no puede usarlo en los puertos que pertenecen a un grupo de puertos EtherChannel.
Cuando el lmite mximo de grupo se establece en el valor por defecto (no hay mximo), que entra en el ip igmp
max-grupos de accin {Negar | reemplazar} comando no tiene efecto.
29-27
Captulo 29
Si configura la accin de estrangulamiento y establecer el lmite mximo de grupo despus de una interfaz tiene
agregado entradas de multidifusin a la tabla de reenvo, las entradas de reenvo de mesa tienen edades ya sea fuera o
eliminado, dependiendo de la accin de estrangulamiento.
-Si configura la accin de estrangulamiento como negar, las entradas que estaban previamente en el reenvo
se eliminan tabla de reenvo. Cuando el nmero mximo de entradas est en la tabla de reenvo,
el interruptor reemplaza una entrada seleccionada al azar con el informe IGMP recibido.
Para evitar que el cambio de la eliminacin de las entradas de reenvo de mesa, se puede configurar el IGMP
estrangulamiento recurso ante una interfaz aade entradas a la tabla de reenvo.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la accin de estrangulacin cuando el
nmero mximo de entradas es en la tabla de reenvo:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
negar-Drop el informe.
Paso 4
fin
Paso 5
Verifique la configuracin.
Paso 6
Para volver a la accin por defecto de dejar caer el informe, utilice el no igmp ip max-grupos de accin interfaz
comando de configuracin.
29-28
OL-29703-01
Captulo 29
Comando
Propsito
Muestra el perfil IGMP determinado o todos los perfiles definidos IGMP en el conmutador.
29-29
Captulo 29
29-30
OL-29703-01
E R CH A P T
30
Nota
En los interruptores que ejecutan el conjunto de funciones de base LAN, la plantilla de enrutamiento no es
compatible.
Para obtener informacin relacionada, consulte los siguientes
captulos:
Para obtener ms informacin acerca de las plantillas de SDM, consulte Captulo 8, "Configuracin de SDM plantillas."
Nota
Para obtener informacin acerca de IPv6 en el interruptor, consulte Captulo 46, "Configuracin de IPv6 Unicast Routing.".
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin o la documentacin de Cisco IOS que se hace referencia en los procedimientos.
Este captulo incluye las siguientes secciones:
30-1
Captulo 30
MLD es un protocolo utilizado por los routers IPv6 multicast para descubrir la presencia de oyentes multicast (nodos
que deseen recibir paquetes de multidifusin IPv6) en los enlaces que estn directamente conectados a los routers y para
descubrir que los paquetes de multidifusin son de inters para los nodos vecinos. MLD se deriva de IGMP; MLD
Versin 1 (MLDv1) es equivalente a IGMPv2, y MLD Version 2 (MLDv2) es equivalente a IGMPv3.
MLD es un subprotocolo de control de mensajes de Internet Protocol Version 6 (ICMPv6), y los mensajes MLD
son un subconjunto de mensajes ICMPv6, identificados en los paquetes IPv6 por un valor Cabecera Siguiente precedente de 58.
El conmutador admite dos versiones de MLD snooping:
MLDv1 espionaje detecta los paquetes de control MLDv1 y establece puentes de trfico basado en IPv6
direcciones multicast de destino.
MLDv2 espionaje bsica (MBSS) utiliza paquetes de control MLDv2 configurar el reenvo de trfico basado en
Direcciones multicast IPv6 de destino.
El interruptor se puede espiar a los dos paquetes del protocolo MLDv1 y MLDv2 y salvar IPv6 multicast de datos
basado en direcciones multicast destino IPv6.
Nota
El conmutador no soporta MLDv2 mejorado snooping (MESS), que establece la fuente y IPv6
multicast reenvo basado en la direccin de destino.
MLD snooping se puede activar o desactivar de forma global o por VLAN. Cuando MLD snooping est habilitada, un
por VLAN tabla de direcciones IPv6 multicast MAC se construye en software y un multicast por VLAN IPv6
tabla de direcciones se construye en software y hardware. El switch entonces realiza IPv6 multicast direccin
puente basado en hardware.
Segn las normas de multidifusin IPv6, el interruptor se deriva la direccin de MAC de multidifusin mediante la realizacin de un
lgico-O de los cuatro octetos de orden inferior de la direccin MAC del switch con la direccin MAC de
33: 33: 00: 00: 00: 00. Por ejemplo, la direccin IPv6 MAC de FF02: DEAD: CARNE: 1: 3 mapas a la Ethernet
Direccin MAC de 33: 33: 00: 01: 00: 03.
Un paquete de multidifusin no tiene rival cuando la direccin IPv6 de destino no coincide con el destino MAC
direccin. El switch reenva el paquete sin igual en hardware basado la tabla de direcciones MAC. Si el
direccin MAC de destino no est en la tabla de direcciones MAC, el interruptor inunda el paquete a todos los puertos en el
misma VLAN que el puerto receptor.
Estas secciones se describen algunos de los parmetros de IPv6 MLD snooping:
30-2
OL-29703-01
Captulo 30
MLD mensajes
MLDv1 es compatible con tres tipos de mensajes:
Listener consultas son el equivalente de las consultas IGMPv2 y son o consultas generales o
Consultas Multicast Direccin-Especfica (MASQs).
Multicast Listener Done mensajes son el equivalente de los mensajes de la licencia IGMPv2.
MLDv2 admite consultas MLDv2 e informes, as como MLDv1 Informe y Hecho mensajes.
Temporizadores de mensajes y las transiciones de estado que resultan de los mensajes que se envan o reciben son los mismos que
los
de los mensajes IGMPv2. Mensajes MLD que no cuentan con direcciones de origen IPv6 locales de vnculo vlidos se ignoran
por los routers y switches MLD.
MLD Consultas
El interruptor enva consultas MLD, construye una base de datos de direcciones IPv6 multicast, y genera MLD
consultas especficas de grupo y MLD grupo-y-de cdigo especfica en respuesta a DLM Hecho mensajes. El
switch tambin soporta la supresin informe, informe de proxy, funcionalidad inmediata-Dejar, e IPv6 esttica
multidifusin MAC-direccin de configuracin.
Cuando MLD est deshabilitada, todas las consultas MLD se inundan en la VLAN de entrada.
Cuando MLD snooping est habilitada, recibido consultas MLD se inundan en la VLAN de entrada, y una copia del
la consulta se enva a la CPU para su procesamiento. De la consulta recibida, MLD snooping construye el IPv6
base de datos de direcciones de multidifusin. Detecta los puertos del router multicast, mantiene temporizadores, establece el
informe el tiempo de respuesta,
aprende la direccin IP de origen interrogador para la VLAN, aprende el puerto interrogador en la VLAN, y mantiene
envejecimiento multidifusin-ip.
Nota
Cuando el router multicast IPv6 es un switch Catalyst 6500 y est utilizando VLANs extendidos (en el
rango de 1.006 a 4.094), IPv6 MLD snooping debe estar habilitado en la VLAN extendida en el Catalyst 6500
cambiar para que el Catalyst 3750-E-3560 o el interruptor E para recibir consultas en la VLAN. Para
VLAN de rango normal (1 a 1005), no es necesario habilitar IPv6 MLD en la VLAN en la
Catalyst 6500 interruptor.
Cuando existe un grupo en la base de datos MLD snooping, el switch responde a una consulta especfica de grupo por
el envo de un informe MLDv1. Cuando el grupo es desconocida, la consulta especfica de grupo se inunda a la
la entrada de VLAN.
Cuando un host quiere abandonar un grupo multicast, puede enviar un mensaje de Hecho MLD (equivalente a
IGMP Dejar mensaje). Cuando el switch recibe un mensaje MLDv1 Hecho, si inmediata- Dejar no es
activado, el conmutador enva una MASQ al puerto desde el que se recibi el mensaje para determinar si
otros dispositivos conectados al puerto deben permanecer en el grupo de multidifusin.
30-3
Captulo 30
Si hay varios enrutadores de la misma interfaz de capa 2, MLD snooping rastrea un solo multicast
router en el puerto (el router que recientemente envi un paquete de control del router).
Tras el descubrimiento del primer puerto del router multicast IPv6, desconoce los datos multicast IPv6 se reenva
slo a los puertos del router descubiertos (antes de ese momento, todos los datos de multidifusin IPv6 se inunda a la entrada
VLAN).
Reportes MLD
El procesamiento de MLDv1 unirse mensajes es esencialmente la misma que con IGMPv2. Cuando no hay IPv6
routers de multidifusin se detectan en una VLAN, los informes no se procesan o reenvan desde el interruptor. Cuando
Routers IPv6 multicast se detectan y se reciba un informe MLDv1, una direccin de grupo de multidifusin IPv6
y una direccin IPv6 multicast MAC se introducen en la base de datos VLAN MLD. Entonces todo multicast IPv6
trfico al grupo dentro de la VLAN se reenva mediante esta direccin. Cuando MLD snooping est desactivada,
informes se inundan en la VLAN de entrada.
Cuando MLD est activada, el informe de la supresin MLD, llamada supresin de escucha de mensajes, es
habilita automticamente. Con el informe de la supresin, el switch enva el primer informe MLDv1 recibida por
un grupo de routers IPv6 multicast; informes posteriores para el grupo no se envan a los routers. Cuando
MLD est desactivada, el informe de la supresin est desactivado, y todos los informes MLDv1 se inundan a la
la entrada de VLAN.
El switch tambin soporta informes de proxy MLDv1. Cuando se recibe una MASQ MLDv1, el conmutador
responde con informes MLDv1 para la direccin en la que lleg la consulta si existe el grupo en el conmutador
en otro puerto y si el puerto en el que lleg la consulta no es el ltimo puerto miembro de la direccin.
30-4
OL-29703-01
Captulo 30
30-5
Captulo 30
Caracterstica
MLD (Global)
Desactivado.
Habilitado. MLD snooping debe estar habilitado a nivel mundial para la VLAN
MLD a tener lugar.
Ninguno configurado.
Ninguno configurado.
Desactivado.
Desactivado.
2.
Desactivado.
Puede configurar MLD caractersticas en cualquier momento, pero debe habilitar globalmente MLD
snooping utilizando el ipv6 MLD comando de configuracin global para la configuracin de
surta efecto.
Cuando el router multicast IPv6 es un switch Catalyst 6500 y est utilizando VLANs extendidos (en el
rango de 1.006 a 4.094), IPv6 MLD snooping debe estar habilitado en la VLAN extendida en el
Catalyst 6500 interruptor para que el Catalyst 3750-E o Catalyst 3560-E Catalyst 3750-X o
Interruptor 3560-X para recibir consultas sobre la VLAN. Para VLAN de rango normal (1 a 1005), no es
necesaria para habilitar IPv6 MLD en la VLAN en el switch Catalyst 6500.
MLD snooping e IGMP snooping acto independiente el uno del otro. Puede habilitar ambas caractersticas
al mismo tiempo en el interruptor.
El nmero mximo de entradas de multidifusin permitidos en la pila de interruptor o interruptores se determina segn
la plantilla SDM configurado.
El nmero mximo de entradas de direccin permitido para la pila de interruptor o conmutador es 1000.
30-6
OL-29703-01
Captulo 30
Comando
Propsito
Paso 1
configure terminal
Paso 2
ipv6 MLD
Paso 3
fin
Paso 4
Para deshabilitar globalmente MLD en el interruptor, utilice el no ipv6 MLD configuracin global
de comandos.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar MLD en una VLAN.
Nota
Cuando el router multicast IPv6 es un switch Catalyst 6500 y est utilizando VLANs extendidos (en el
rango de 1.006 a 4.094), IPv6 MLD snooping debe estar habilitado en la VLAN extendida en el Catalyst 6500
cambiar para que el Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor para recibir consultas
en la VLAN. Para las VLAN de rango normal (1 a 1005), no es necesario habilitar IPv6 MLD
en la VLAN en el switch Catalyst 6500.
Comando
Propsito
Paso 1
configure terminal
Paso 2
ipv6 MLD
Paso 3
MLD snooping debe estar habilitado a nivel mundial para el espionaje VLAN
est habilitado.
Paso 4
fin
Paso 5
Para desactivar el rastreador MLD en una interfaz de VLAN, utilice el no ipv6 MLD vlan id_vlan mundial
comando de configuracin para el nmero de VLAN especificada.
30-7
Captulo 30
Configuracin de un grupo de
multidifusin esttica
Hosts o Layer 2 puertos normalmente se unen a grupos de multidifusin dinmicamente, pero tambin se puede configurar de forma
esttica
una direccin IPv6 y miembro puertos multidifusin para una VLAN.
Comenzando en el modo EXEC privilegiado, siga estos pasos para agregar un puerto de Capa 2 como miembro de un multicast
grupo:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para quitar un puerto de la Capa 2 del grupo de multidifusin, utilice el no ipv6 MLD vlan id_vlan esttica
mac-address interfaz interface-id comando de configuracin global. Si se eliminan todos los puertos miembros
de un grupo, se elimina el grupo.
Este ejemplo muestra cmo configurar de forma esttica un grupo multicast IPv6:
Switch # configure terminal
Switch (config) # ipv6 MLD vlan 2 esttica GigabitEthernet1 FF12 interfaz :: 3/0/1
Switch (config) # fin
Nota
Conexiones estticas a enrutadores de multidifusin slo se admiten en los puertos del switch.
30-8
OL-29703-01
Captulo 30
Comenzando en el modo EXEC privilegiado, siga estos pasos para agregar un puerto de router de multidifusin a una VLAN:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
ipv6 show MLD Mrouter [Vlan vlan-id] Compruebe que IPv6 MLD snooping est habilitado en la VLAN
interfaz.
Paso 5
Para quitar un puerto de router de multidifusin de la VLAN, utilice el no ipv6 MLD vlan id_vlan Mrouter
interfaz interface-id comando de configuracin global.
Este ejemplo muestra cmo agregar un puerto de router multicast a la VLAN 200:
Switch # configure terminal
Switch (config) # ipv6 MLD vlan interfaz 200 Mrouter GigabitEthernet1 / 0/2
Switch (config) # Salida
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para desactivar MLD inmediata Dejar en una VLAN, utilice el no ipv6 MLD vlan id_vlan
inmediata-licencia comando de configuracin global.
Este ejemplo muestra cmo habilitar MLD inmediata Deje en VLAN 130:
Switch # configure terminal
Switch (config) # ipv6 MLD vlan 130 inmediata-licencia
Switch (config) # Salida
30-9
Captulo 30
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
ipv6 MLD
ltima-oyente-query-count contar
Paso 5
Paso 6
ipv6 MLD
ltima-oyente-query-interval intervalo
Paso 7
(Opcional) Establezca el intervalo de consulta de ltimo oyente en una base VLAN. Este
valor prevalece sobre el valor configurado a nivel mundial. El rango es de 0 a 32.768
miles de un segundo. El valor por defecto es 0 Cuando se establece en 0, lo global
se utiliza intervalo de consulta de ltima oyente.
Paso 8
Paso 9
ipv6 MLD TCN recuento consulta inundaciones (Opcional) Cuando TCN est habilitada, especifique el nmero de consultas TCN
contarpara ser enviados. El rango es de 1 a 10; el valor predeterminado es 2.
Paso 10 fin
vlan-id]
Paso 12 copy running-config startup-config
30-10
OL-29703-01
Captulo 30
Este ejemplo muestra cmo configurar el rastreador MLD variable de potencia mundial a 3:
Switch # configure terminal
Switch (config) # ipv6 MLD robustez variable 3
Switch (config) # Salida
Este ejemplo muestra cmo configurar el rastreador MLD ltimo oyente recuento de consulta para una VLAN a 3:
Switch # configure terminal
Switch (config) # ipv6 MLD vlan 200 ltimo oyente-query-count 3
Switch (config) # Salida
Este ejemplo muestra cmo configurar el rastreador MLD intervalo de consulta de ltimo oyente (tiempo mximo de respuesta)
a 2000 (2 segundos):
Switch # configure terminal
Switch (config) # ipv6 MLD-ltima-oyente-query intervalo de 2000
Switch (config) # Salida
Comando
Propsito
Paso 1
configure terminal
Paso 2
no ipv6 MLD
oyente-mensaje de supresin
Paso 3
fin
Paso 4
Paso 5
Para volver a habilitar la eliminacin de mensajes MLD, utilice el ipv6 MLD oyente-mensaje-supresin
comando de configuracin global.
30-11
Captulo 30
Comando
Propsito
30-12
OL-29703-01
E R CH A P T
31
Configuracin CDP
En este captulo se describe cmo configurar Cisco Discovery Protocol (CDP) en el Catalyst 3750-E
o 3560-E Catalyst 3750-X o switch 3560-X. A menos que se indique lo contrario, el trmino interruptor se refiere a un
Catalyst 3750-E o 3560-E Catalyst 3750-X o interruptor independiente 3560-X y un Catalyst 3750-E
Catalizador pila de switches 3750-X.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin y la seccin "Comandos de administracin del sistema" en la Cisco IOS
Fundamentos de configuracin Referencia de comandos, versin 12.4.
Entendimiento CDP
CDP es un protocolo de deteccin de dispositivos que se ejecuta en la capa 2 (nivel de enlace de datos) en todos los productos
fabricados por Cisco
dispositivos (routers, puentes, servidores de acceso y conmutadores) y permite a las aplicaciones de gestin de red a
descubrir los dispositivos de Cisco que son vecinos de los dispositivos ya conocidos. Con CDP, gestin de redes
aplicaciones pueden aprender el tipo de dispositivo y la (SNMP) agente de Simple Network Management Protocol
direccin de equipos vecinos que se ejecutan de capa inferior, protocolos transparentes. Esta funcin permite
aplicaciones enviar consultas SNMP a los dispositivos vecinos.
CDP se ejecuta en todos los medios de comunicacin que apoyan el Protocolo de acceso de subred (SNAP). Debido CDP se ejecuta
sobre la
de enlace de datos capa nica, dos sistemas que admiten diferentes protocolos de capa de red puede aprender acerca de cada
otra.
Cada dispositivo CDP-configurado enva mensajes peridicos a una direccin de multidifusin, la publicidad por lo menos un
direccin en la que puede recibir mensajes SNMP. Los anuncios contienen tambin tiempo a vivir, o
informacin de tiempo de mantenimiento, que es la longitud de tiempo que un dispositivo de recepcin contiene informacin CDP
antes
descartarlo. Cada dispositivo tambin escucha los mensajes enviados por otros dispositivos de aprender acerca de la vecina
dispositivos.
En el conmutador, CDP permite Network Assistant para mostrar una vista grfica de la red. El conmutador
utiliza CDP para encontrar candidatos de racimo y mantener la informacin sobre los miembros del clster y otros dispositivos
hasta tres dispositivos habilitados para clster de distancia desde el conmutador de comandos por defecto.
31-1
Captulo 31
Configuracin CDP
Configuracin CDP
CDP identifica los puntos terminales conectados que se comunican directamente con el interruptor.
Para evitar que los informes duplicados de los dispositivos vecinos, slo un interruptor con cable informa la ubicacin
informacin.
El interruptor con cable y los criterios de valoracin tanto enviar y recibir informacin de la ubicacin.
Para ms informacin:
http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_cdp_discover.html.
Configuracin CDP
Caracterstica
Activado
Activado
60 segundos
CDP-Versin 2 anuncios
Activado
180 segundos
31-2
OL-29703-01
Captulo 31
Configuracin CDP
Configuracin CDP
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el temporizador de CDP, tiempo de
mantenimiento, y
advertisement tipo.
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
cdp anunciar-v2
Paso 5
fin
Paso 6
show cdp
Verifique la configuracin.
Paso 7
# configure terminal
(config) # cdp temporizador 50
(config) # cdp Holdtime 120
(config) # cdp anunciar-v2
(config) # fin
Para CDP adicional espectculo comandos, consulte la "Control y apoyo CDP" en la pgina 31-5.
Activacin y desactivacin de
CDP
CDP est habilitado por defecto.
Nota
Grupos de interruptores y otros dispositivos de Cisco (tales como telfonos IP de Cisco) intercambian peridicamente mensajes
CDP.
Desactivacin CDP puede interrumpir descubrimiento clster y la conectividad del dispositivo. Para obtener ms informacin,
consulte
Captulo 6, "Interruptores Clustering" y ver Introduccin a Cisco Network Assistant, en disponible
Cisco.com.
31-3
Captulo 31
Configuracin CDP
Configuracin CDP
Comenzando en el modo EXEC privilegiado, siga estos pasos para deshabilitar la capacidad de deteccin de dispositivos CDP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
no cdp run
Desactivar CDP.
Paso 3
fin
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar CDP cuando se ha desactivado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
cdp run
Paso 3
fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no cdp permitir
Paso 4
fin
Paso 5
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el CDP en un puerto cuando ha sido
personas con discapacidad:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
cdp permite
31-4
OL-29703-01
Captulo 31
Configuracin CDP
Monitoreo y mantenimiento de CDP
Comando
Propsito
Paso 4
fin
Paso 5
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # cdp permite
(config-if) # fin
Comando
Descripcin
show cdp
Muestra informacin global, tales como la frecuencia de las transmisiones y el tiempo de mantenimiento
para los paquetes que se envan.
Muestra informacin sobre los vecinos, incluyendo el tipo de dispositivo, tipo de interfaz y
nmero, configuracin Holdtime, las capacidades, la plataforma, y el ID de puerto.
Puede limitar la visualizacin a los vecinos de una interfaz especfica o ampliar la pantalla
para proporcionar informacin ms detallada.
31-5
Captulo 31
Configuracin CDP
31-6
OL-29703-01
E R CH A P T
32
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Configuracin de control de
tormentas La comprensin del control de tormentas, pgina 32-1
El control de tormentas
EntendimientoEl control de tormentas impide el trfico en una red LAN de ser interrumpida por una emisin, multicast o unicast tormenta
en una de las interfaces fsicas. Una tormenta de LAN se produce cuando los paquetes inundan la LAN, creando excesiva
trfico y rendimiento de la red degradantes. Errores en la implementacin del protocolo-pila, errores en
configuraciones de red o usuarios que expidan un ataque de denegacin de servicio puede causar una tormenta.
32-1
Captulo 32
Configuracin de control de
tormentas
El control de tormentas (o la supresin del trfico) monitoriza los paquetes que pasan de una interfaz para el bus de conmutacin
y determina si el paquete es de unidifusin, de multidifusin o de difusin. El interruptor cuenta el nmero de paquetes
de un tipo especificado recibido dentro del intervalo de 1 segundo de tiempo y compara la medicin con un
umbral predefinido de nivel de supresin.
El control de tormentas utiliza uno de estos mtodos para medir la actividad del trfico:
Ancho de banda como un porcentaje del ancho de banda total disponible del puerto que puede ser utilizado por el
broadcast, multicast o unicast trfico
Tasa de trfico en paquetes por segundo a la que se reciben de difusin, multidifusin o paquetes unicast
Tasa de trfico en bits por segundo a la que se reciben de difusin, multidifusin o paquetes unicast
Tasa de trfico en paquetes por segundo y para los pequeos marcos. Esta funcin est activada de forma global. El
umbral para marcos pequeos se configura para cada interfaz. (Cisco IOS 12.2 (44) SE o posterior)
Con cada mtodo, el trfico de bloques de puerto cuando se alcanza el umbral de aumento. El puerto permanece bloqueado
hasta que la tasa de trfico desciende por debajo del umbral inferior (si se especifica) y luego vuelve a la normalidad
reenvo. Si el nivel de supresin de la cada no se especifica, los bloques de interruptores todo el trfico hasta que el trfico
tasa cae por debajo del aumento del nivel de supresin. En el general, cuanto mayor es el nivel, menos eficaz
la proteccin contra las tormentas de broadcast.
Nota
Cuando se alcanza el umbral de control de tormentas para el trfico multicast, todo el trfico multicast, excepto el control
trfico, tales como unidad de datos de protocolo de puente (BDPU) y Cisco Protocolo de deteccin (CDP) marcos, son
bloqueado. Sin embargo, el interruptor no diferencia entre las actualizaciones de enrutamiento, como OSPF, y regular
trfico de datos multicast, por lo tanto los tipos de trfico estn bloqueados.
El grfico de la Figura 32-1 espectculos transmiten los patrones de trfico en una interfaz durante un perodo determinado de
tiempo.
El ejemplo tambin se puede aplicar a trfico de multidifusin y unidifusin. En este ejemplo, el trfico de difusin
siendo remitido super el umbral configurado entre intervalos de tiempo T1 y T2 y T4 entre
y T5. Cuando la cantidad de trfico especificado supera el umbral, todo el trfico de ese tipo se cae por
el prximo perodo de tiempo. Por lo tanto, el trfico de difusin est bloqueada durante los intervalos siguientes T2 y T5.
En el siguiente intervalo de tiempo (por ejemplo, T3), si el trfico de difusin no supera el umbral, es de nuevo
reenviado.
Figura 32-1
Trfico reenviado
Trfico bloqueado
Total
nmero de
emisin
paquetes
o bytes
Umbral
46651
T1
T2
T3
T4
T5
Tiempo
32-2
OL-29703-01
Captulo 32
Configuracin de control de
tormentas
La combinacin del nivel de supresin del control de tormentas y el intervalo de 1 segundo de tiempo controla la forma en
el algoritmo de control de tormentas funciona. Un umbral ms alto permite ms paquetes pasen a travs. Un umbral
valor de 100 por ciento significa que no hay lmite se coloca en el trfico. Un valor de 0,0 significa que todas las transmisiones,
multicast o unicast trfico en ese puerto est bloqueado.
Nota
Debido a que los paquetes no llegan a intervalos uniformes, el 1-segundo intervalo de tiempo durante el cual el trfico
actividad se mide puede afectar el comportamiento de control de tormentas.
Se utiliza el -control de tormentas Comandos de configuracin de interfaz para establecer el valor umbral para cada trfico
escriba.
Nota
El control de tormentas se admite en interfaces fsicas. Tambin puede configurar el control de tormentas en un EtherChannel.
Cuando el control de tormentas se configura en un EtherChannel, la configuracin de control de tormentas se propagan a la
EtherChannel interfaces fsicas.
Comenzando en el modo EXEC privilegiado, siga estos pasos para asaltar los niveles de control y de umbral:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
32-3
Captulo 32
Configuracin de control de
tormentas
Paso 3
Comando
Propsito
Para nivel, especificar el aumento del nivel del umbral para la emisin,
multidifusin o unidifusin trfico como un porcentaje (hasta dos decimales
lugares) del ancho de banda. El trfico de bloques del puerto cuando el
se alcanza el aumento de umbral. El rango de 0.00 a 100.00.
Para bps bps, especificar el aumento del nivel del umbral para la emisin,
multicast o unicast trfico en bits por segundo (hasta un
decimal). El trfico de bloques del puerto cuando el aumento
se alcanza el umbral. El rango es 0,0-10000000000,0.
Para pps pps, especificar el aumento del nivel del umbral para la emisin,
multicast o unicast trfico en paquetes por segundo (hasta un
decimal). El trfico de bloques del puerto cuando el aumento
se alcanza el umbral. El rango es 0,0-10000000000,0.
Para los ajustes de BPS y PPS, puede utilizar sufijos mtricas tales como k,
m, y g para grandes umbrales numricos.
Paso 4
Especifique la accin que debe realizarse cuando se detecta una tormenta. El valor por
defecto
es para filtrar el trfico y no para enviar capturas.
Seleccione el apagado palabra clave a error-desactivar el puerto durante
una tormenta.
Paso 5
fin
Seleccione el trampa palabra clave para generar una captura de SNMP cuando
un
se detecta tormenta.
Vuelva al modo EXEC privilegiado.
32-4
OL-29703-01
Captulo 32
Comando
Configuracin de control de
tormentas
Propsito
Paso 6
mostrar-control de tormentas [Interface-id] [broadcast | Verificar los niveles de supresin de control de tormentas establecidos en la interfaz de
multicast |unicast]el tipo de trfico especificado. Si no se introduce un tipo de trfico,
Se muestra la configuracin de control de tormentas de difusin.
Paso 7
Para desactivar el control de tormentas, utilice el sin control de tormentas {Difusin | multicast |unicast} nivel interfaz
comando de configuracin.
Este ejemplo muestra cmo habilitar el control de tormentas de unidifusin en un puerto con una supresin aumento de 87 por ciento
nivel y un nivel de supresin de 65 por ciento de la cada:
Switch # configure terminal
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # nivel unicast storm-control 87 65
Este ejemplo muestra cmo habilitar el control de tormentas direccin de difusin en un puerto a un nivel de 20 por ciento.
Cuando el trfico de difusin supera el nivel configurado de 20 por ciento de la anchura de banda total disponible de
el puerto en el intervalo-storm-control de trfico, el interruptor cae todo el trfico de difusin hasta el final de
el intervalo-storm-control del trfico:
Switch # configure terminal
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # nivel broadcast storm-control 20
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
32-5
Captulo 32
Configuracin de puertos protegidos
Comando
Propsito
Paso 5
interfaz interface-id
Paso 6
Paso 7
fin
Paso 8
Verifique la configuracin.
Paso 9
Este ejemplo muestra cmo habilitar la caracterstica de velocidad de llegada a pequea marco, configurar el tiempo de recuperacin
del puerto,
y configurar el umbral de error deshabilitar un puerto:
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
# errdisable detectar la causa de pequea trama
# errdisable causa de recuperacin de pequea trama
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # pequea trama de velocidad violacin 10000
(config-if) # fin
Configuracin de puertos
protegidos Algunas aplicaciones requieren que no hay trfico se transmitir en la capa 2 entre los puertos en el mismo conmutador de modo
que un vecino no ve el trfico generado por otro vecino. En tal ambiente, el uso
de puertos protegidos se asegura de que no hay intercambio de unidifusin, difusin o trfico multicast entre
estos puertos en el switch.
Puertos protegidos tienen estas caractersticas:
Un puerto protegido no reenva cualquier trfico (unicast, multicast o broadcast) a cualquier otro puerto que
es tambin un puerto protegido. El trfico de datos no puede ser enviado entre los puertos protegidos en la capa 2; slo
control de trfico, tales como paquetes de PIM, se enva debido a que estos paquetes son procesados por la CPU
y remitido en software. Todo el trfico de datos que pasa entre los puertos protegidos debe ser enviada
a travs de un dispositivo de Capa 3.
El comportamiento de reenvo entre un puerto protegido y no protegido de un puerto procede como de costumbre.
Debido a que una pila de switches representa un nico switch lgico, capa 2 no se reenva el trfico entre cualquier
puertos protegidos en la pila de switches, ya sean en el mismo o diferentes switches de la pila.
32-6
OL-29703-01
Captulo 32
Configuracin de un puerto
protegido
Comenzando en el modo EXEC privilegiado, siga estos pasos para definir un puerto como un puerto protegido:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
protegida switchport
Paso 4
fin
Paso 5
Paso 6
Para desactivar el puerto protegido, utilice el protegida no switchport comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar un puerto como un puerto protegido:
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # protegida switchport
(config-if) # fin
Configuracin de bloqueo de
puertos
Por defecto, el interruptor inunda los paquetes con destino desconocido direcciones MAC de todos los puertos. Si
unicast desconocido y el trfico de multidifusin se reenvan a un puerto protegido, podra haber problemas de seguridad. Para
prevenir unicast desconocido o el trfico de multidifusin se reenven de un puerto a otro, usted puede
bloquear un puerto (protegido o no protegido) inunden paquetes unicast o multicast desconocidos a otro
puertos.
Nota
Con el trfico de multidifusin, el bloqueo de puertos bloques de funcin slo de Capa pura 2 paquetes. Los paquetes de
multidifusin que
contener IPv4 o IPv6 informacin en la cabecera no se bloquean.
32-7
Captulo 32
Configuracin de Seguridad
Portuaria
La interfaz puede ser una interfaz fsica o un grupo EtherChannel. Al bloquear multicast o unicast
trfico para un canal del puerto, que est bloqueado en todos los puertos en el grupo de puertos de canal.
Comenzando en el modo EXEC privilegiado, siga estos pasos para desactivar la inundacin de unicast y Capa 2
paquetes de multidifusin fuera de una interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
Paso 7
Para volver la interfaz a la condicin predeterminada en la que no hay trfico est bloqueado y expedicin normales se produce
en el puerto, utilice el ningn bloque switchport {Multicast | unicast} Comandos de configuracin de la interfaz.
Este ejemplo muestra cmo bloquear unicast y multicast de nivel 2 inundaciones en un puerto:
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # multicast bloque switchport
(config-if) # unicast bloque switchport
(config-if) # fin
Configuracin de Seguridad
Portuaria Puede utilizar la funcin de seguridad del puerto para restringir la entrada a una interfaz mediante la limitacin y la identificacin de
MAC
direcciones de las estaciones les permite acceder al puerto. Al asignar direcciones MAC seguras a un seguro
puerto, el puerto no reenva los paquetes con direcciones de origen fuera del grupo de direcciones definidas. Si
se limita el nmero de direcciones MAC seguras a uno y asigna una nica direccin MAC segura, el
estacin de trabajo conectada a ese puerto se asegura el ancho de banda del puerto.
32-8
OL-29703-01
Captulo 32
Configuracin de Seguridad
Portuaria
Si un puerto est configurado como un puerto seguro y el nmero mximo de direcciones MAC seguras que se alcance,
cuando la direccin MAC de una estacin de intentar acceder al puerto es diferente de cualquiera de los identificados
asegurar direcciones MAC, una violacin de seguridad. Adems, si una estacin con una direccin MAC segura
configurado o aprendido en uno intentos de puerto seguro para acceder a otro puerto seguro, una violacin se encuentra en posicin.
La comprensin de Seguridad
Portuaria
Las direcciones MAC seguro, pgina 32-9
Nota
Si se intenta establecer el valor mximo a un nmero menor que el nmero de direcciones seguras ya
configurado en una interfaz, el comando es rechazado.
El conmutador es compatible con este tipo de direcciones MAC seguras:
Sticky direcciones MAC seguras-Estos se pueden aprender de forma dinmica o configurados manualmente, almacenados en
la tabla de direcciones, y se aade a la configuracin en ejecucin. Si estas direcciones se guardan en la
archivo de configuracin, cuando el conmutador se reinicia, la interfaz no necesita reconfigurar dinmicamente
ellos.
Usted puede configurar una interfaz para convertir las direcciones MAC dinmicas en Sticky direcciones MAC seguras
y aadirlos a la configuracin en ejecucin, permitiendo aprendizaje pegajosa. Para permitir el aprendizaje pegajosa, introduzca
la switchport port-security mac-address sticky comando de configuracin de interfaz. Al entrar en
este comando, la interfaz convierte todas las direcciones MAC seguras dinmicas, incluyendo las que fueron
aprendido dinmicamente antes de aprendizaje pegajosa se habilit, en Sticky direcciones MAC seguras. Todo pegajosa
direcciones MAC seguras se agregan a la configuracin en ejecucin.
Las direcciones MAC seguras pegajosos no se convierten automticamente a formar parte del archivo de configuracin, que es
la configuracin de inicio se utiliza cada vez que el interruptor se reinicia. Si guarda las direcciones MAC seguras pegajosos
en el archivo de configuracin, cuando el interruptor se reinicia, la interfaz no tiene que volver a aprender estas direcciones.
Si no guarda las direcciones seguras pegajosos, que se pierden.
32-9
Captulo 32
Configuracin de Seguridad
Portuaria
Si el aprendizaje pegajosa est desactivada, las direcciones MAC seguras pegajosas se convierten en dinmicas seguras
direcciones y se eliminan de la configuracin en ejecucin.
El nmero mximo de direcciones MAC seguras que se pueden configurar en un switch o cambiar la pila es
fijado por el nmero mximo de direcciones MAC disponibles permitidos en el sistema. Este nmero es
determinado por la plantilla de administracin de conmutadores de base de datos activa (SDM). Ver Captulo 8, "Configuracin
Plantillas SDM ". Este nmero es el total de direcciones MAC disponibles, incluyendo los utilizados para otros
Capa 2 funciones y otras direcciones MAC seguras configuradas en las interfaces.
Violacines de seguridad
Se trata de una violacin de seguridad cuando se produce una de estas situaciones:
El nmero mximo de direcciones MAC seguras se han aadido a la tabla de direcciones, y una estacin
cuya direccin MAC no est en los intentos de la tabla de direcciones para acceder a la interfaz.
Una direccin aprendido o configurado en una interfaz segura es visto en otra interfaz segura en el
misma VLAN.
Usted puede configurar la interfaz de uno de los tres modos de violacin, con base en la accin a tomar si un
violacin se produce:
Nota
apagado-una violacin de la seguridad del puerto hace que la interfaz de convertirse-error discapacitados y para cerrar
inmediatamente y el LED del puerto se apaga. Cuando un puerto seguro est en el estado de errores desactivado, puede
sacarlo de este estado mediante la introduccin de la errdisable causa de recuperacin psecure-violacin mundial
comando de configuracin, o puede manualmente volver a habilitarlo mediante la introduccin de la apagado y sin cierre
abajo Comandos de configuracin de la interfaz. Este es el modo predeterminado.
apagado vlan-sela para configurar el modo de violacin de seguridad por VLAN. En este modo, la VLAN es error
deshabilitado en lugar de la totalidad del puerto cuando se produce una violacin
Tabla 32-1 muestra el modo de violacin y las medidas adoptadas al configurar una interfaz para el puerto
seguridad.
32-10
OL-29703-01
Captulo 32
Tabla 32-1
Configuracin de Seguridad
Portuaria
El trfico es
Modo de Violacin forwarded1
Enva SNMP
trampa
Enva syslog
mensaje
Error Muestra
mensaje2
Violacin
counter
incrementos
Cierra el puerto
proteger
No
No
No
No
No
No
restringir
No
No
No
apagado
No
No
No
No
vlan apagado
No
No
No
No3
1. Los paquetes con direcciones de origen desconocido se eliminan hasta que se elimine un nmero suficiente de direcciones MAC seguras.
2. El conmutador devuelve un mensaje de error si configura manualmente una direccin que podra causar una violacin de seguridad.
3. Cierra slo la VLAN en la que ocurri la violacin.
Caracterstica
La seguridad portuaria
Disabled en un puerto.
Desactivado.
1.
Modo de Violacin
El envejecimiento de la
proteccin portuaria
puede ser un
puerto de acceso dinmico.
Un puerto seguro no puede ser un puerto de destino para Switched Puerto Analyzer (SPAN).
Nota
VLAN de voz slo se admite en los puertos de acceso y no en los puertos troncales, a pesar de que la
se permite configuracin.
Cuando se habilita la seguridad portuaria en una interfaz que tambin est configurado con una VLAN de voz, ajuste el
mximo permitido direcciones seguras en el puerto a dos. Cuando el puerto est conectado a un IP Cisco
telfono, el telfono IP requiere una direccin MAC. La direccin del telfono IP de Cisco se aprende en la voz
32-11
Captulo 32
Configuracin de Seguridad
Portuaria
Cuando un puerto troncal configurado con la seguridad del puerto y se asigna a una VLAN de acceso para el trfico de datos y
a una VLAN de voz para el trfico de voz, que entra en el voz switchport y switchport priority ampliar
comandos de configuracin de la interfaz no tiene ningn efecto.
Cuando un dispositivo conectado utiliza la misma direccin MAC para solicitar una direccin IP para la VLAN de acceso
y luego una direccin IP para la VLAN de voz, slo la VLAN de acceso se asigna una direccin IP.
Cuando se introduce un valor mximo direccin segura para una interfaz, y el nuevo valor es mayor que
el valor anterior, el nuevo valor sobrescribe el valor configurado previamente. Si el nuevo valor es menor
que el valor anterior y el nmero de direcciones seguras configuradas en la interfaz excede el
nuevo valor, el comando es rechazado.
Tabla 32-3 resume la compatibilidad de la proteccin portuaria con otras caractersticas basadas en puertos.
Tabla 32-3
Puerto troncal
Dynamic-acceso port3
No
Puerto enrutado
No
No
EtherChannel
Puerto de tnel
Puerto Protegida
No
IP Source Guard
Enlaces Flex
32-12
OL-29703-01
Captulo 32
Configuracin de Seguridad
Portuaria
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
switchport port-security
Paso 6
switchport port-security
[Mximo valor [Vlan {vlan-list |
{Acceso |voz}}]]
Nota
El voz palabra clave slo est disponible si una VLAN de voz est configurado en
un puerto y si ese puerto no es la VLAN de acceso. Si una interfaz es
configurados para la VLAN de voz, configurar un mximo de dos seguro
Direcciones MAC.
32-13
Captulo 32
Configuracin de Seguridad
Portuaria
Paso 7
Comando
Propsito
Nota
Nota
32-14
OL-29703-01
Captulo 32
Paso 8
Configuracin de Seguridad
Portuaria
Comando
Propsito
switchport port-security
[Mac-address mac-address [Vlan
{Id_vlan |{Acceso |voz}}]
(Opcional) Introduzca una direccin MAC segura para la interfaz. Usted puede utilizar esta
comando para introducir el nmero mximo de direcciones MAC seguras. Si
configurar un menor nmero de direcciones MAC seguras que el mximo, el restante
Las direcciones MAC se aprenden de forma dinmica.
Nota
Nota
Paso 9
switchport port-security
mac-address pegajosa
El voz palabra clave slo est disponible si una VLAN de voz est configurado en
un puerto y si ese puerto no es la VLAN de acceso. Si una interfaz es
configurados para la VLAN de voz, configurar un mximo de dos seguro
Direcciones MAC.
Nota
El voz palabra clave slo est disponible si una VLAN de voz est configurado en
un puerto y si ese puerto no es la VLAN de acceso.
Paso 11 fin
startup-config
32-15
Captulo 32
Configuracin de Seguridad
Portuaria
Para volver la interfaz a la condicin predeterminada como no un puerto seguro, utilice el no switchport port-security
comando de configuracin de interfaz. Si introduce este comando cuando el aprendizaje pegajoso est activado, el pegajoso
direcciones seguras siguen siendo parte de la configuracin en ejecucin, pero se eliminan de la tabla de direcciones. Todos
direcciones estn ahora aprendieron de forma dinmica.
Para volver a la interfaz el nmero predeterminado de direcciones MAC seguras, utilice el no switchport
mxima port-security valor comando de configuracin de interfaz. Para volver al modo de violacin a la
condicin predeterminada (modo apagado), utilice el no switchport port-security violacin {Protocolo | restringir}
comando de configuracin de interfaz.
Para desactivar el aprendizaje adhesiva en una interfaz, utilice el no switchport port-security mac-address sticky
comando de configuracin de interfaz. La interfaz convierte los pegajosos direcciones MAC seguras a dinmico
direcciones seguras. Sin embargo, si tiene guardado previamente la configuracin con la pegajosa MAC
direcciones, debe guardar la configuracin de nuevo despus de entrar en la no switchport port-security
mac-address pegajosa comando, o las direcciones pegajosas se restaurarn si el conmutador se reinicia.
Utilice el claro port-security {Todo | configurado | dinmica | pegajosa} comando privilegiado EXEC para borrar
de la tabla de direcciones MAC seguras o todas las direcciones de todas las direcciones seguras de un tipo especfico (configurados,
dinmico, o pegajosa) en el interruptor o en una interfaz.
Para eliminar una direccin MAC seguro especfico de la tabla de direcciones, utilice el no switchport port-security
mac-address mac-address comando de configuracin de interfaz. Para eliminar todas las direcciones seguras dinmicas en
una interfaz de la tabla de direcciones, introduzca la no switchport port-security configuracin de la interfaz
comando seguido de la switchport port-security comando (para volver a habilitar la seguridad de puerto en el
interfaz). Si utiliza el no switchport port-security mac-address sticky configuracin de la interfaz
comando para convertir direcciones MAC seguras pegajosas para direcciones MAC seguras dinmicas antes de entrar
la no switchport port-security comando, todas las direcciones seguras en la interfaz, excepto los que estaban
configurado manualmente se eliminan.
Usted debe eliminar especficamente configurado direcciones MAC seguras de la tabla de direcciones utilizando el no
switchport port-security mac-address mac-address comando de configuracin de interfaz.
Este ejemplo muestra cmo habilitar la seguridad portuaria en un puerto y para establecer el nmero mximo de seguro
direcciones a 50 El modo de violacin es el valor por defecto, no hay direcciones MAC seguras estticas se configuran y
aprendizaje pegajoso est activado.
Switch
Switch
Switch
Switch
Switch
Este ejemplo muestra cmo configurar una direccin MAC esttica segura en la VLAN 3 en un puerto:
Switch
Switch
Switch
Switch
Este ejemplo muestra cmo habilitar la seguridad portuaria pegajosa en un puerto, para configurar manualmente las direcciones
MAC
para la VLAN de datos y la VLAN de voz, y para establecer el nmero mximo total de direcciones seguras al 20 (10 para
VLAN de datos y 10 para la VLAN de voz).
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
32-16
OL-29703-01
Captulo 32
Switch
Switch
Switch
Switch
Switch
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
#
#
#
#
#
switchport
switchport
switchport
switchport
switchport
Configuracin de Seguridad
Portuaria
port-security
port-security
port-security
port-security
port-security
mac-address 0000.0000.0003
mac-address pegajosa voz 0000.0000.0001 vlan
mac-address 0000.0000.0004 voz vlan
mximo 10 access vlan
mximo voz 10 vlan
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
envejecimiento switchport port-security {Static | Tiempo tiempo | Activar o desactivar el envejecimiento esttico para el puerto seguro, o
Tipo {Absoluta | Inactividad}}
establecer el
tiempo o el tipo de envejecimiento.
El conmutador no soporta envejecimiento seguridad del puerto de
Nota
direcciones seguras pegajosos.
Ingrese esttica para permitir el envejecimiento para configurada estticamente
segura
direcciones en este puerto.
Para tiempo, especificar el tiempo de envejecimiento para este puerto. El rango
vlido es
0-1440 minutos.
Para tipo, seleccione una de estas palabras clave:
Paso 4
fin
Paso 5
Paso 6
32-17
Captulo 32
Configuracin de Seguridad
Portuaria
Para desactivar la seguridad del puerto de envejecimiento para todas las direcciones seguras en un puerto, use la no switchport
port-security
tiempo de envejecimiento comando de configuracin de interfaz. Para desactivar el envejecimiento slo para configurada
estticamente segura
direcciones,
no switchport
port-security
delas
configuracin
interfaz.
Este
ejemploutilizan
muestraelcmo
configurar
el tiempo deenvejecimiento
envejecimientoesttico
como 2comando
horas para
direcciones de
seguras
en un
puerto:
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # switchport port-security tiempo 120 envejecimiento
Este ejemplo muestra cmo configurar el tiempo de envejecimiento como 2 minutos para la inactividad envejecimiento tipo con
el envejecimiento
habilitada para las direcciones seguras configuradas en la interfaz:
Switch (config-if) # switchport port-security tiempo 2 envejecimiento
Switch (config-if) # switchport port-security tipo envejecimiento inactividad
Switch (config-if) # switchport port-security envejecimiento esttico
Puede verificar los comandos anteriores mediante la introduccin de la mostrar la interfaz puerto-seguridad interface-id
comando EXEC privilegiado.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
switchport port-security
Paso 5
fin
Paso 6
Paso 7
32-18
OL-29703-01
Captulo 32
Este ejemplo muestra cmo configurar la seguridad de puerto en un host PVLAN y puertos promiscuos
Switch
Switch
Switch
Switch
Switch
Switch
Nota
Los puertos que tienen tanto la seguridad del puerto y VLAN privadas configuradas pueden ser etiquetados puertos PVLAN seguras.
Cuando una direccin segura se aprende en un puerto PVLAN seguro, la misma direccin segura no se puede aprender
en otro puerto PVLAN seguro que pertenece a la misma VLAN primaria. Sin embargo, una direccin aprendi en
puerto PVLAN no segura puede ser obtenido en un puerto PVLAN seguro que pertenece a la misma VLAN primaria.
Direcciones de seguros que se aprenden en el puerto de host replicarn automticamente en primaria asociada
VLANs, y de manera similar, direcciones seguras aprendi en los puertos promiscuos obtener automticamente replicados en
todas las VLANs secundarias asociadas. Las direcciones estticas (con mac-address-table comando esttico) no puede ser
configurado en un puerto seguro usuario.
Protocolo de enrutamiento puede batir porque los paquetes de control de protocolo no se reciben, y la vecina
adyacencias se dejan caer.
Protocolo Spanning Tree (STP) reconverges porque la unidad de datos del protocolo puente STP (BPDU)
no puede ser enviado o recibido.
El uso de proteccin contra tormentas protocolo, se puede controlar la velocidad a la que controlan los paquetes se envan al
conmutador
especificando el umbral superior para la tasa de flujo de paquetes. Los protocolos soportados son ARP, ARP
IGMP, Dynamic Host Configuration Protocol (DHCP) v4, DHCP snooping, grupos de Internet
Management Protocol (IGMP), y IGMP snooping.
Cuando el tipo de paquete supera el umbral definido, el interruptor cae todo el trfico que llega a la especificada
puerto virtual durante 30 segundos. La tasa de paquetes se mide de nuevo, y proteccin contra las tormentas protocolo es de nuevo
aplicado si es necesario.
Para mayor proteccin, puede error manualmente desactivar el puerto virtual, bloqueando todo el trfico entrante en
el puerto virtual. Puede activar manualmente el puerto virtual o establecer un intervalo de tiempo para volver a habilitar automtica
del puerto virtual.
32-19
Captulo 32
Configuracin del protocolo de proteccin contra
tormentas
Nota
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
fin
Paso 6
Este ejemplo muestra cmo configurar la proteccin contra tormentas protocolo para descartar trfico DHCP entrante en
DHCP cuando excede de 35 paquetes por segundo.
Switch # configure terminal
Switch (config) # psp dhcp pps 35
Para desactivar la proteccin contra las tormentas de protocolo para un protocolo especfico, utilice el sin psp {Arp | dhcp
|igmp}
comando EXEC privilegiado.
Para deshabilitar la deteccin de errores para desactivar la proteccin contra tormentas protocolo, utilice el detectar ningn
errdisable causa psp
comando de configuracin global.
Para volver a activar manualmente un puerto virtual de errores desactivada, utilice el recuperacin errdisable causa psp mundial
comando de configuracin.
Para desactivar la recuperacin automtica de los puertos de errores desactivada, utilice el hay recuperacin errdisable causa
psp mundial
comando de configuracin.
32-20
OL-29703-01
Captulo 32
Cuando se configura la proteccin contra las tormentas de protocolo, un contador registra el nmero de paquetes descartados. Para
ver
este contador, utilice el mostrar estadsticas psp [Arp | igmp |dhcp] comando EXEC privilegiado. Para borrar el
contador para un protocolo, utilizar el claro contador psp [Arp | igmp |dhcp] de comandos.
Comando
Propsito
Muestra los niveles de supresin de control de tormentas establecidos en todas las interfaces
o el
interfaz especificada para el tipo de trfico determinado o para el trfico de difusin
si no se introduce ningn tipo de trfico.
Muestra la configuracin de seguridad de puertos para el conmutador o para el especificado
interfaz, incluyendo el nmero mximo permitido de MAC seguro
direcciones para cada interfaz, el nmero de direcciones MAC seguro en
la interfaz, el nmero de violacines de seguridad que se han producido, y
el modo de violacin.
mostrar port-security [Interfaz interface-id] Direccin Muestra todas las direcciones MAC seguras configuradas en todos los conmutadores de interfaces
o en una interfaz especificada con el envejecimiento de la informacin para cada direccin.
mostrar la interfaz puerto-seguridad interface-id vlan
32-21
Captulo 32
Visualizacin de la configuracin de control de trfico
basado en puerto
32-22
OL-29703-01
E R CH A P T
33
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin y la seccin "Comandos de administracin del sistema" en la Cisco IOS
Fundamentos de configuracin Referencia de comandos, versin 12.4.
LLDP
El Cisco Discovery Protocol (CDP) es un protocolo de deteccin de dispositivos que se ejecuta en la capa 2 (enlace de datos
capa) en todos los dispositivos fabricados por Cisco (routers, puentes, servidores de acceso y conmutadores). CDP permite
aplicaciones de gestin de red para descubrir automticamente y aprender sobre otros dispositivos Cisco
conectado a la red.
Para apoyar a los dispositivos que no son de Cisco y para permitir la interoperabilidad con otros dispositivos, el interruptor
apoya la capa de enlace IEEE 802.1AB Discovery Protocol (LLDP). LLDP es un descubrimiento de vecinos
protocolo que se utiliza para dispositivos de red para anunciar informacin sobre s mismos a otros dispositivos en
la red. Este protocolo se ejecuta sobre la capa de enlace de datos, que permite a dos sistemas que ejecutan diferentes
protocolos de capa de red para aprender el uno del otro.
33-1
Captulo 33
La comprensin de LLDP, LLDP-MED, y Localizacin de Servicios con
conexin de cable
LLDP admite un conjunto de atributos que se utiliza para descubrir dispositivos vecinos. Estos atributos contienen tipo,
de longitud, y de valor descripciones y se les conoce como los TLV. Dispositivos LLDP apoyado pueden utilizar los TLV para
recibir
y enviar informacin a sus vecinos. Este protocolo puede anunciar detalles como la configuracin
informacin, las capacidades del dispositivo, y la identidad del dispositivo.
El switch soporta estos TLV bsicas de gestin. Estas son obligatorios TLV de LLDP.
Estos TLV de LLDP organizativo especfico tambin se hace publicidad para apoyar LLDP-MED.
Nota
MAC / PHY de configuracin / estado TLV (IEEE 802.3 organizativo especfico TLV)
Una pila interruptor aparece como un solo conmutador en la red. Por lo tanto, LLDP descubre la pila de switches,
no los miembros individuales de la pila.
Al configurar LLDP o informacin de ubicacin CDP en una base por puerto, dispositivos remotos pueden enviar
Cisco Medianet informacin de ubicacin al conmutador. Para obtener ms informacin, vaya a
http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_cdp_discover.html.
LLDP-MED
LLDP para los medios de comunicacin de punto final Dispositivos (LLDP-MED) es una extensin de LLDP que opera entre
dispositivos de punto final, como telfonos IP y dispositivos de red como switches. Proporciona especficamente
soporte para voz sobre IP (VoIP) y proporciona los TLV adicionales para las capacidades de descubrimiento,
poltica de la red, Alimentacin sobre Ethernet, gestin de inventario y la informacin de ubicacin. Por defecto, todos los
LLDP-MED TLV han sido habilitadas.
LLDP-MED apoya estas TLV:
33-2
OL-29703-01
Captulo 33
Puede cambiar la configuracin de energa mediante la introduccin de la alimentacin en lnea {Auto [max max-potencia]
|nunca |
esttica [Max max-potencia]} comando de configuracin de interfaz. Por defecto la interfaz PoE est en
auto modo; Si no se especifica ningn valor, se permite que el mximo (15.4 W30 W).
La gestin del inventario TLV
Permite un punto final para enviar informacin detallada del inventario de s misma al switch, incluyendo
informacin de revisin del hardware, versin de firmware, versin de software, nmero de serie, fabricante
nombre, nombre del modelo y TLV Identificacin de activos.
Ubicacin TLV
Proporciona informacin sobre la ubicacin del interruptor en el dispositivo de punto final. La ubicacin TLV puede enviar
esta informacin:
-Informacin de ubicacin Cvico
Proporciona la informacin de ubicacin de la persona que llama. La ubicacin es determinada por la emergencia
nmero identificador de ubicacin (ELIN), que es un nmero de telfono que encamina una llamada de emergencia a
el punto local de respuesta de seguridad pblica (PSAP) y que el PSAP puede utilizar para volver a llamar la
persona que llama emergencia.
33-3
Captulo 33
La comprensin de LLDP, LLDP-MED, y Localizacin de Servicios con
conexin de cable
Cuando el interruptor determina la presencia o ausencia de un dispositivo en un enlace-up o evento de enlace descendente, se
obtiene la informacin especfica del cliente, tales como la direccin MAC, la direccin IP y nombre de usuario. Si el cliente
es LLDP-MED o CDP-capaz, el interruptor obtiene el nmero de serie y la UDI a travs de la LLDP-MED
ubicacin TLV o CDP.
Dependiendo de las capacidades del dispositivo, el interruptor obtiene esta informacin del cliente en relacin a:
Nmero de modelo
Dependiendo de las capacidades del dispositivo, el interruptor obtiene esta informacin del cliente en el enlace abajo:
Direccin MAC
Direccin IP
Cuando el interruptor se cierra, se enva una notificacin de unin con el estado eliminar y la direccin IP
antes de cerrar la conexin NMSP al MSE. El MSE interpreta esta notificacin como disociacin
para todos los clientes cableados asociados con el conmutador.
Si cambia una direccin de ubicacin en el conmutador, el conmutador enva un mensaje de notificacin ubicacin NMSP
que identifica los puertos afectados y la informacin de direccin cambiada.
33-4
OL-29703-01
Captulo 33
Caracterstica
Disabled
120 segundos
30 segundos
LLDP tlv-select
Disabled
LLDP recibir
Disabled
LLDP transmisin
Disabled
LLDP-TLV-select med
2 segundos
Directrices de configuracin
No puede configurar direcciones MAC seguras estticas en una interfaz que tiene un perfil de red-poltica.
Para la localizacin por cable para funcionar, primero debe entrar en el seguimiento de dispositivos IP configuracin global
de comandos.
33-5
Captulo 33
Configuracin de LLDP, LLDP-MED, y Localizacin de Servicios con
conexin de cable
LLDP Habilitacin
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar LLDP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
run LLDP
Paso 3
interfaz interface-id
Paso 4
transmisin LLDP
Paso 5
LLDP recibir
Paso 6
fin
Paso 7
espectculo LLDP
Verifique la configuracin.
Paso 8
Para desactivar LLDP, utilice el no run LLDP comando de configuracin global. Para desactivar LLDP en una interfaz,
utilizar el ninguna transmisin LLDP y el no LLDP recibir Comandos de configuracin de la interfaz.
Este ejemplo muestra cmo habilitar globalmente LLDP.
Switch # configure terminal
Switch (config) # run LLDP
Switch (config) # fin
# configure terminal
(config) # interfaz Interface_Id
(config-if) # transmisin LLDP
(config-if) # LLDP recibir
(config-if) # fin
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
33-6
OL-29703-01
Captulo 33
Paso 3
Comando
Propsito
(Opcional) Especifique el tiempo de retardo en segundos para LLDP para inicializar en una
interfaz.
El rango es de 2 a 5 segundos; el valor predeterminado es de 2 segundos.
Paso 4
Paso 5
LLDP tlv-select
Paso 6
interfaz interface-id
Paso 7
LLDP-TLV-select med
Paso 8
fin
Paso 9
espectculo LLDP
Verifique la configuracin.
Utilice el no forma de cada uno de los comandos de LLDP para volver a la configuracin por defecto.
Este ejemplo muestra cmo configurar caractersticas LLDP.
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # LLDP Holdtime 120
(config) # LLDP reinit 2
(config) # LLDP temporizador 30
(config) # fin
LLDP-MED TLV
LLDP-MED TLV
Descripcin
-gestin de inventario
ubicacin
red-poltica
de administracin de energa
33-7
Captulo 33
Configuracin de LLDP, LLDP-MED, y Localizacin de Servicios con
conexin de cable
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar un TLV en una interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
# configure terminal
(config) # interfaz Interface_Id
(config-if) # LLDP-med tlv-select-gestin de inventario
(config-if) # fin
Configuracin de la red-Poltica de
TLV
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un perfil de red-poltica, configurar el
Atributos de la poltica, y aplicarlo a una interfaz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
33-8
OL-29703-01
Captulo 33
Paso 3
Comando
Propsito
Paso 4
Salida
Paso 5
interfaz interface-id
Paso 6
Paso 7
LLDP-med tlv-network-poltica
Paso 8
fin
Paso 9
Verifique la configuracin.
# configure terminal
(config) # perfil de red-poltica 1
(config-network-poltica) # VLAN de voz 100 cos 4
(config) # Salida
# configure terminal
# Interface_Id
(config-if) # red-poltica 1
(config-if) # LLDP-med tlv-network-poltica
Este ejemplo muestra cmo configurar el tipo de aplicacin de voz para la VLAN nativa con prioridad
etiquetado:
Switch (config-network-poltica) # VLAN de voz cos dot1p 4
Switch (config-network-poltica) # VLAN de voz dot1p dscp 34
33-9
Captulo 33
Configuracin de LLDP, LLDP-MED, y Localizacin de Servicios con
conexin de cable
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Salida
Paso 4
interfaz interface-id
Paso 5
Paso 6
fin
Paso 7
Paso 8
33-10
OL-29703-01
Captulo 33
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el servicio de localizacin por cable en el interruptor.
Comando
Propsito
Paso 1
configure terminal
Paso 2
NMSP permiten
Paso 3
Paso 4
fin
Paso 5
Verifique la configuracin.
Paso 6
Este ejemplo muestra cmo habilitar NMSP en un switch y para ajustar el tiempo de notificacin ubicacin a 10
segundo:
Switch (config) # NMSP permiten
Switch (config) # NMSP notificacin ubicacin intervalo de 10
Descripcin
espectculo LLDP
Muestra informacin global, tales como la frecuencia de las transmisiones, el tiempo de mantenimiento
para
los paquetes que se envan, y el tiempo de demora antes de LLDP inicializa en una interfaz.
Muestra informacin acerca de un vecino especfico.
Puede introducir un asterisco (*) para mostrar todos los vecinos, o se puede introducir el
nombre vecina.
show interface LLDP [Interface-id]
33-11
Captulo 33
Monitoreo y mantenimiento de LLDP, LLDP-MED, y Localizacin de Servicios con
conexin de cable
Comando
Descripcin
Muestra informacin sobre los vecinos, incluyendo el tipo de dispositivo, tipo de interfaz y
nmero, configuracin Holdtime, capacidades, y el ID de puerto.
Puede limitar la visualizacin a los vecinos de una interfaz especfica o ampliar la pantalla
para obtener informacin ms detallada.
mostrar ubicacin identificador cvico-ubicacin Identificacin del Mostrar la informacin de ubicacin para una ubicacin especfica cvica
mundial.
mostrar ubicacin identificador elin-ubicacin Identificacin del Mostrar la informacin de ubicacin para una ubicacin de
emergencia.
Mostrar perfil de red-poltica
Muestra los perfiles de red en polticas configuradas.
espectculo NMSP
33-12
OL-29703-01
E R CH A P T
34
Configuracin UDLD
En este captulo se describe cmo configurar el protocolo de deteccin de enlace unidireccional (UDLD) en el
Catalyst 3750-E o 3560-E Catalyst 3750-X o switch 3560-X. A menos que se indique lo contrario, el trmino interruptor
se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o 3560-X interruptor independiente y a un catalizador
3750-E Catalizador pila de switches 3750-X.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Entendimiento UDLD
UDLD es un protocolo de capa 2 que permite a los dispositivos conectados a travs de fibra ptica o par trenzado Ethernet
cables para controlar la configuracin fsica de los cables y detectar cuando existe un enlace unidireccional.
Todos los dispositivos conectados deben soportar UDLD para el protocolo para identificar y deshabilitar con xito
enlaces unidireccionales. Cuando UDLD detecta un enlace unidireccional, deshabilita el puerto y alertas afectada
usted. Enlaces unidireccionales pueden causar una variedad de problemas, incluyendo bucles de topologa de spanning-tree.
Modos de
funcionamiento
UDLD es compatible con dos modos de funcionamiento: normal (el defecto) y agresivos. En el modo normal, UDLD
puede detectar enlaces unidireccionales debido a los puertos mal conectados en las conexiones de fibra ptica. En el modo agresivo,
UDLD tambin puede detectar enlaces unidireccionales debido al trfico de una va sobre enlaces de fibra ptica y par trenzado
y para mal conectado puertos de enlaces de fibra ptica.
En los modos normal y agresiva, UDLD trabaja con los mecanismos de Capa 1 para conocer el estado fsico
de un enlace. En la capa 1, la negociacin automtica se encarga de la sealizacin fsica y deteccin de fallos. UDLD
realiza tareas que no puede realizar la negociacin automtica, tales como la deteccin de las identidades de los vecinos y
34-1
Captulo 34
Configuracin UDLD
Entendimiento UDLD
cerrando puertos mal conectado. Cuando se habilita tanto la negociacin automtica y UDLD, la Capa 1 y
Capa 2 detecciones trabajan en conjunto para evitar conexiones unidireccionales fsicos y lgicos y el
mal funcionamiento de otros protocolos.
Un enlace unidireccional se produce siempre que el trfico enviado por un dispositivo local es recibido por su vecino pero el trfico
desde el vecino no es recibida por el dispositivo local.
En el modo normal, UDLD detecta un vnculo unidireccional cuando hebras de fibra en un puerto de fibra ptica son
mal conectado y los mecanismos de Capa 1 no detectan esta mala conexin. Si se conectan los puertos
correctamente, pero el trfico es una forma, UDLD no detecta el enlace unidireccional porque la capa 1
mecanismo, que se supone para detectar esta condicin, no lo hace. En este caso, el enlace lgico es
considera indeterminada, y UDLD no desactiva el puerto.
Cuando UDLD es en modo normal, si uno de los hilos de fibra en un par est desconectada, mientras
negociacin automtica est activa, el enlace no se mantiene porque la Capa 1 mecanismos detecta un fsico
problema con el enlace. En este caso, UDLD no toma ninguna accin y el enlace lgico se considera
indeterminado.
En el modo agresivo, UDLD detecta un enlace unidireccional mediante el uso de los mtodos de deteccin anteriores. UDLD
en modo agresivo tambin puede detectar un vnculo unidireccional en un enlace punto a punto sobre el que no falla
entre los dos dispositivos est permitido. Tambin puede detectar un enlace unidireccional cuando uno de estos problemas
existe:
En los enlaces de fibra ptica o par trenzado, uno de los puertos no se puede enviar o recibir trfico.
En los enlaces de fibra ptica o par trenzado, uno de los puertos es hacia abajo, mientras que el otro es para
arriba.
Uno de los hilos de fibra en el cable est desconectado.
34-2
OL-29703-01
Captulo 34
Configuracin UDLD
Entendimiento UDLD
Si UDLD en modo normal est en el anuncio o en la fase de deteccin y todo el cach de vecino
entradas caducan, UDLD reinicia la secuencia de enlaces en marcha para volver a sincronizar con cualquier potencial
fuera de sincronizacin vecinos.
Si activa el modo agresivo cuando todos los vecinos de un puerto han envejecido a cabo bien en el anuncio
o en la fase de deteccin, UDLD reinicia la secuencia de enlaces en marcha para volver a sincronizar con cualquier potencial
fuera de sincronizacin vecino. UDLD apaga el puerto si, despus de que el tren de alta velocidad de los mensajes, el estado del
enlace es todava
indeterminado.
Figura 34-1 muestra un ejemplo de una condicin de enlace unidireccional.
Figura 34-1
RX
RX
98648
Cambie B
34-3
Captulo 34
Configuracin UDLD
Configuracin UDLD
Configuracin UDLD
Caracterstica
Directrices de configuracin
Al configurar el modo (normal o agresiva), asegrese de que el mismo modo est configurado en
ambos lados del enlace.
Precaucin Guardia Loop funciona slo en enlaces punto a punto. Recomendamos que cada extremo del enlace tiene una directa
34-4
OL-29703-01
Captulo 34
Configuracin UDLD
Configuracin UDLD
Habilitacin UDLD
Globalmente Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar UDLD en el agresivo o normal
modo y para ajustar el temporizador de mensajes configurable en todos los puertos de fibra ptica en el interruptor y todos los
miembros
en la pila de switches:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
Nota
Este comando afecta a los puertos de fibra ptica solamente. Utilice el UDLD interfaz
comando de configuracin para habilitar UDLD en otros tipos de puertos. Para
ms informacin, consulte la Seccin "Activacin UDLD en una interfaz"
en la pgina 34-6.
Paso 3
fin
Paso 4
mostrar UDLD
Paso 5
copy running-config
startup-config
Para desactivar UDLD global, utilice el no permitir UDLD comando de configuracin global para inhabilitar la normalidad
modo UDLD en todos los puertos de fibra ptica. Utilice el no UDLD agresivo comando de configuracin global para
desactivar UDLD modo agresivo en todos los puertos de fibra ptica.
34-5
Captulo 34
Configuracin UDLD
Configuracin UDLD
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Nota
Paso 4
fin
Paso 5
Paso 6
Propsito
Paso 1
UDLD restablecer
Paso 2
mostrar UDLD
El ningn puerto UDLD comando de configuracin de interfaz seguido del puerto UDLD [Agresivo]
comando de configuracin de interfaz vuelve a habilitar el puerto de fibra ptica con discapacidad.
El recuperacin errdisable causa UDLD comando de configuracin global permite que el temporizador
recuperarse automticamente del estado de error discapacitados UDLD, y la intervalo de recuperacin errdisable
intervalo comando de configuracin global especifica el tiempo para recuperarse de la UDLD error discapacidad
estado.
34-6
OL-29703-01
Captulo 34
Configuracin UDLD
Viendo UDLD Estado
34-7
Captulo 34
Configuracin UDLD
34-8
OL-29703-01
E R CH A P T
35
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
35-1
Captulo 35
SPAN Local
SPAN local soporta una sesin SPAN enteramente dentro de un interruptor; todos los puertos de origen o VLAN de origen y
puertos de destino estn en el mismo conmutador o interruptor de pila. SPAN Local copias trfico de uno o ms
puertos de origen en cualquier VLAN o de una o ms VLAN a un puerto de destino para el anlisis. Por ejemplo,
en Figura 35-1, todo el trfico en el puerto 5 (puerto de origen) se refleja en el puerto 10 (el puerto de destino). A
analizador de red en el puerto 10 recibe todo el trfico de red desde el puerto 5 sin estar conectado fsicamente
al puerto 5.
Figura 35-1
1 2 3 4 5 6 7 8 9 10 11 12
6
5
4
3
11
12
9
10
2
1
43580
Analizador de redes
35-2
OL-29703-01
Captulo 35
Figura 35-2 es un ejemplo de un SPAN local en una pila de conmutadores, donde los puertos de origen y destino
residir en diferentes miembros de la pila.
Figura 35-2
Switch 1
1/0/4
Puerto 4 el interruptor 1 en la pila
reflejado en el puerto 15 en el interruptor 2
Stackwise Plus
puerto
conexiones
2/0/15
Red
analizador
Switch 2
Switch 3
159892
SPAN remoto
RSPAN soporta puertos de origen, las VLAN de origen, y los puertos de destino en diferentes interruptores (o diferente
cambiar las pilas), lo que permite el monitoreo remoto de mltiples switches en la red. Figura 35-3 espectculos
puertos de origen en el interruptor A y B. El Interruptor de trfico para cada sesin RSPAN se realiza a travs de una
RSPAN VLAN especificada por el usuario que se dedica para esa sesin RSPAN en todos los interruptores de participantes. El
Trfico RSPAN de los puertos de origen o VLAN se copia en la RSPAN VLAN y transmiti ms
puertos troncales que llevan el RSPAN VLAN a una sesin de destino seguimiento de la RSPAN VLAN. Cada
Interruptor de la fuente RSPAN debe tener ya sea puertos o VLAN como fuentes RSPAN. El destino es siempre una
puerto fsico, como se muestra en el interruptor C en la figura.
35-3
Captulo 35
Figura 35-3
RSPAN
destino
sesin
Cambie C
Conmutadores intermedios
debe ser compatible con RSPAN VLAN
RSPAN
VLAN
Interruptor A
Cambie B
RSPAN
fuente
Una sesin
RSPAN
puertos de origen
RSPAN
fuente
sesin B
RSPAN
puertos de origen
101366
SPAN Sesiones
Sesiones SPAN (locales o remotos) le permiten controlar el trfico en uno o ms puertos, o una o ms
VLANs, y enviar el trfico que se controla a uno o ms puertos de destino.
Una sesin SPAN local es una asociacin de un puerto de destino con puertos de origen o VLAN de origen, todos en
un nico dispositivo de red. SPAN local no tiene sesiones de origen y de destino diferentes. Local
Sesiones SPAN renen un conjunto de paquetes de entrada y salida especificados por el usuario y formar con ellos una
flujo de datos SPAN, que se dirige al puerto de destino.
35-4
OL-29703-01
Captulo 35
RSPAN consta de al menos una sesin RSPAN fuente, una VLAN RSPAN, y al menos un RSPAN
sesin de destino. Usted separado configurar sesiones de origen RSPAN y sesiones de destino RSPAN
en diferentes dispositivos de la red. Para configurar una sesin fuente RSPAN en un dispositivo, se asocia un conjunto de
puertos de origen o VLAN de origen con una VLAN RSPAN. La salida de esta sesin es la corriente de SPAN
paquetes que se envan a la RSPAN VLAN. Para configurar una sesin de destino RSPAN en otro
dispositivo, asocie el puerto de destino con el RSPAN VLAN. La sesin de destino recoge toda
Trfico RSPAN VLAN y lo enva a travs del puerto de destino RSPAN.
Una sesin fuente RSPAN es muy similar a una sesin de SPAN local, excepto donde el flujo de paquetes
se dirige. En una sesin fuente RSPAN, paquetes SPAN son reetiquetados con el ID de VLAN y RSPAN
dirigido ms puertos normales del tronco a la central de destino.
Una sesin de destino RSPAN lleva todos los paquetes recibidos en la RSPAN VLAN, se despoja de la VLAN
etiquetado, y los presenta en el puerto de destino. Su propsito es presentar una copia de toda la VLAN RSPAN
paquetes (excepto los paquetes de capa 2 de control) para el usuario para el anlisis.
No puede haber ms de una sesin de origen y ms de una sesin activa de destino en el mismo
RSPAN VLAN. Tambin puede haber conmutadores intermedios que separan la fuente y el destino RSPAN
sesiones. Estos interruptores no tienen que ser capaz de ejecutar RSPAN, pero deben responder a la
requisitos de la RSPAN VLAN (vase el Seccin "RSPAN VLAN" en la pgina 35-9).
Monitoreo de trfico en una sesin SPAN tiene estas restricciones:
Las fuentes pueden ser puertos o VLAN, pero que no se pueden mezclar los puertos de origen y VLAN de origen de la misma
sesin.
El interruptor que no sea el switch Catalyst 3560E-12D soporta hasta dos SPAN local o RSPAN
sesiones de origen.
-Se puede ejecutar tanto un SPAN local y una sesin fuente RSPAN en el mismo switch o conmutador de la pila.
conjuntos de puertos y VLAN de origen SPAN. Ambos puertos conmutados y enrutados se pueden configurar como
Fuentes y destinos SPAN.
El switch Catalyst 3560E-12D slo admite una sesin de origen (ya sea un local o SPAN RSPAN
sesin fuente), que debe ser sesiones 1. conmutados y puertos con enrutamiento se puede configurar como SPAN
fuentes y destinos.
Puede tener varios puertos de destino en una sesin SPAN, pero no ms de 64 puertos de destino
por pila de switches.
Sesiones SPAN no interfieren con el funcionamiento normal del interruptor. Sin embargo, una demanda superior en
Destino SPAN, por ejemplo, a 10 Mb / s Puerto de monitoreo de un s / puerto de 100 Mb, puede dar lugar a caer
o prdida de paquetes.
Cuando SPAN o RSPAN est habilitada, cada paquete est supervisando se enva dos veces, una vez como trfico normal
y una vez como un paquete supervisado. Por lo tanto, el seguimiento de un gran nmero de puertos o VLAN podra
potencialmente generar grandes cantidades de trfico de la red.
Puede configurar sesiones SPAN en puertos con discapacidad; sin embargo, una sesin de SPAN no se convierta
activa a menos que active el puerto de destino y al menos un puerto de origen o VLAN para esa sesin.
El interruptor no admite una combinacin de SPAN local y RSPAN en una sola sesin.
-Una sesin fuente RSPAN no puede tener un puerto de destino local.
-Una sesin de destino RSPAN no puede tener un puerto de origen local.
-Una sesin de destino RSPAN y una sesin fuente RSPAN que estn utilizando el mismo RSPAN
35-5
Captulo 35
Trfico supervisado
Sesiones SPAN pueden controlar estos tipos de trfico:
Recepcin (Rx) SPAN-El objetivo de recibir (o ingreso) SPAN es vigilar lo ms posible todo
los paquetes recibidos por la interfaz de origen o VLAN antes de cualquier modificacin o transformacin
realizado por el conmutador. Una copia de cada paquete recibido por la fuente se enva al puerto de destino
para esa sesin SPAN.
Los paquetes que se modifican debido a encaminamiento o la calidad de servicio (QoS), por ejemplo, modificados
Punto de cdigo de servicios diferenciados (DSCP) -son copiado antes de la modificacin.
Caractersticas que pueden causar un paquete que se cay durante el procesamiento de recepcin no tienen ningn efecto sobre
el ingreso
SPAN; el puerto de destino recibe una copia del paquete, incluso si el paquete entrante es real
cado. Estas caractersticas incluyen listas IP estndar y extendidas de control de acceso (ACL) de entrada, la entrada de
QoS policial, ACL VLAN, QoS y egreso policial.
Transmitir (Tx) SPAN-El objetivo de la transmisin (o salida) SPAN es vigilar lo ms posible todo
los paquetes enviados por la interfaz de origen despus de todo la modificacin y el procesamiento se lleva a cabo por el
interruptor. Una copia de cada paquete enviado por la fuente se enva al puerto de destino para esa sesin SPAN.
La copia se proporciona despus de que el paquete se modifica.
Los paquetes que se modifican debido al ejemplo de enrutamiento para, con el tiempo a vivir modificado (TTL),
Estn en valores duplicados MAC-direccin, o QoS (con las modificaciones) en el puerto de destino.
Caractersticas que pueden causar un paquete que se cay durante el proceso de transmisin tambin afectan al duplicarse
copiar para SPAN. Estas caractersticas incluyen las ACL de salida estndar y extendida IP y QoS de egreso
la actuacin policial.
Ambos-En una sesin SPAN, tambin puede controlar un puerto o VLAN para ambos paquetes recibidos y enviados.
Este es el valor predeterminado.
La configuracin por defecto para los puertos de sesin SPAN locales es enviar todos los paquetes sin etiquetar. SPAN tambin hace
normalmente no supervisa puente unidad de datos de protocolo (BPDU) paquetes y protocolos de capa 2, como Cisco
Discovery Protocol (CDP), VLAN tronco Protocol (VTP), protocolo de enlace troncal dinmico (DTP), Spanning
Tree Protocol (STP), y el Protocolo de Port Aggregation (PAgP). Sin embargo, al entrar en la
rplica encapsulacin palabras clave al configurar un puerto de destino, estos cambios ocurren:
Los paquetes se envan en el puerto de destino con el mismo-encapsulacin sin etiquetar, Inter-Switch Link
(ISL), o IEEE 802.1Q-que tenan en el puerto de origen.
Los paquetes de todo tipo, incluyendo BPDU y Capa 2 paquetes de protocolo, son monitoreados.
Por lo tanto, una sesin de SPAN local con la replicacin habilitada encapsulacin puede tener una mezcla de sin etiquetar,
ISL y IEEE 802.1Q paquetes etiquetados aparecen en el puerto de destino.
Congestin interruptor puede causar que los paquetes se cayeron en los puertos de origen de ingreso, egreso puertos de origen, o
SPAN
puertos de destino. En general, estas caractersticas son independientes uno de otro. Por ejemplo:
Un paquete puede ser enviado con normalidad, pero se redujo de monitoreo debido a un exceso de solicitudes SPAN
puerto de destino.
Un paquete de entrada podra ser dado de baja de reenvo normal, pero todava aparece en la SPAN
puerto de destino.
Un paquete de egreso se redujo debido a la congestin del interruptor tambin se redujo de SPAN egreso.
En algunas configuraciones SPAN, mltiples copias de la misma fuente de paquetes se envan a la SPAN
puerto de destino. Por ejemplo, un (tanto Rx y Tx) sesin SPAN bidireccional est configurado para el Rx
monitor en el puerto A y Tx controlar en el puerto B. Si un paquete entra en el conmutador a travs del puerto A y se conecta
al puerto B, los paquetes entrantes y salientes se envan al puerto de destino. Ambos paquetes son los mismos
(A menos que ocurra una reescritura de capa-3, en cuyo caso los paquetes son diferentes debido a que el paquete
modificacin).
35-6
OL-29703-01
Captulo 35
Los puertos de
origen
Un puerto de origen (tambin llamado puertos supervisados) es un puerto conmutado o no se colocan para que supervise la red
anlisis de trfico. En una sesin SPAN local o sesin fuente RSPAN, puede supervisar los puertos de origen o
VLAN para el trfico en una o ambas direcciones. El switch soporta cualquier nmero de puertos de origen (hasta la
nmero mximo de puertos disponibles en el interruptor) y cualquier nmero de VLAN de origen (hasta la
nmero mximo de VLAN admitidas). Sin embargo, el switch soporta un mximo de dos sesiones
(Local o RSPAN) con puertos de origen o VLAN y el switch Catalyst 3560E-12D es compatible con un solo
sesin (local o RSPAN) con puertos de origen o VLAN. No se pueden mezclar los puertos y VLAN en una sola
sesin.
Se puede controlar en varias sesiones SPAN en un switch. El puerto de origen slo se puede monitorizar
en una sola sesin SPAN en el switch Catalyst 3560E-12D.
Cada puerto de origen puede ser configurado con una direccin (entrada, salida, o ambos) para supervisar.
Puede ser cualquier tipo de puerto (por ejemplo, EtherChannel, Gigabit Ethernet, y as sucesivamente).
Para fuentes EtherChannel, puede monitorear el trfico para todo el EtherChannel o individualmente en una
puerto fsico, ya que participa en el canal del puerto.
Puede ser un puerto de acceso, puerto de enlace troncal, puerto de enrutado, o puerto VLAN
de voz.
No puede ser un puerto de destino.
Fuente VLANs
SPAN segn VLAN (VSPAN) es la supervisin del trfico de red en una o ms VLAN. El SPAN
o interfaz de origen RSPAN en VSPAN es un ID de VLAN, y el trfico se controla en todos los puertos para que
VLAN.
VSPAN tiene estas caractersticas:
Todos los puertos activos en la VLAN fuente se incluyen como puertos de origen y pueden ser monitoreados en cualquiera o
ambas direcciones.
Si se agregan los puertos o eliminan las VLAN de origen, el trfico en la VLAN fuente recibi
por esos puertos se aade o retirado de las fuentes se estn monitoreando.
35-7
Captulo 35
VLAN Filtrado
Cuando supervisa un puerto troncal como un puerto de origen, por defecto, todas las VLAN activa en el tronco son monitoreados.
Puede limitar la supervisin del trfico en los puertos de origen SPAN tronco a VLAN especficas mediante el uso de VLAN
de filtrado.
Filtrado VLAN slo se aplica a los puertos troncales o de expresar los puertos de VLAN.
Filtrado VLAN slo se aplica a las sesiones basadas en puertos y no est permitido en las sesiones con VLAN
fuentes.
Cuando se especifica una lista de filtros de VLAN, slo aquellos VLAN en la lista son monitoreados en los puertos troncales o
en los puertos de acceso VLAN de voz.
Trfico SPAN procedentes de otros tipos de puertos no se ve afectada por la filtracin VLAN; es decir, todas las VLAN son
permitido en otros puertos.
Filtrado VLAN afecta slo el trfico se envan al destinatario puerto SPAN y no afecta a la
conmutacin del trfico normal.
Puerto de destino
Cada sesin SPAN local o sesin de destino RSPAN deben tener un puerto de destino (tambin llamado
Puerto de monitoreo) que recibe una copia del trfico de los puertos de origen o VLAN y enva el SPAN
paquetes para el usuario, por lo general un analizador de red.
Un puerto de destino tiene estas caractersticas:
Nota
Para una sesin SPAN local, el puerto de destino debe residir en el mismo switch o conmutador pila que el
puerto de origen. Para una sesin RSPAN, se encuentra en el interruptor que contiene el destino RSPAN
sesin. No hay puerto de destino en una pila de conmutadores o switch se ejecuta slo una fuente RSPAN
sesin.
Cuando un puerto est configurado como un puerto de destino SPAN, la configuracin sobrescribe el puerto original
configuracin. Cuando se retira la configuracin de destino SPAN, el puerto vuelve a su anterior
configuracin. Si se realiza un cambio de configuracin en el puerto mientras se est actuando como un destino SPAN
puerto, el cambio no surte efecto hasta que se haya eliminado la configuracin de destino SPAN.
Excepcin. Cuando QoS se configura en el puerto de destino SPAN, QoS entra en vigor inmediatamente.
Si el puerto estaba en un grupo EtherChannel, se retira del grupo mientras que es un puerto de destino.
Si se trataba de un puerto enrutado, ya no es un puerto de enrutado.
Se puede participar en una sola sesin SPAN a la vez (un puerto de destino en una sola sesin SPAN no puede
ser un puerto de destino para una segunda sesin SPAN).
Cuando est activo, el trfico de entrada est desactivado. El puerto no transmite todo el trfico excepto que
requerido para la sesin de SPAN. El trfico entrante nunca se aprende o se reenva en un puerto de destino.
Si el desvo de trfico de entrada est habilitada para un dispositivo de seguridad de la red, los delanteros de puerto de destino
el trfico en la capa 2.
No participa en ninguna de las capa 2 protocolos (STP, VTP, CDP, DTP, PAgP).
35-8
OL-29703-01
Captulo 35
Un puerto de destino que pertenece a una VLAN fuente de cualquier sesin SPAN est excluido de la fuente
lista y no se controla.
Puertos de destino locales SPAN y RSPAN diferente se comportan con respecto a etiquetado VLAN y
Encapsulacin:
Para SPAN local, si la rplica encapsulacin palabras clave se especifican para el puerto de destino, stos
paquetes aparecen con la encapsulacin originales (sin etiqueta, ISL o IEEE 802.1Q). Si estas palabras claves
no se especifican, los paquetes aparecen en el formato sin etiquetar. Por lo tanto, la salida de un local de SPAN
sesin con rplica encapsulacin habilitado puede contener una mezcla de no etiquetado, ISL o IEEE
Paquetes 802.1Q etiquetado-.
Para RSPAN, el ID de VLAN original se perdi porque se sobrescribe con la VLAN RSPAN
identificacin. Por lo tanto, todos los paquetes aparecen en el puerto de destino sin marcadores.
Destino-Port Group
Nota
RSPAN VLAN
El RSPAN VLAN lleva trfico SPAN entre la fuente RSPAN y sesiones de destino. Tiene estos
caractersticas especiales:
RSPAN VLAN debe estar configurado en el modo de configuracin de VLAN mediante el uso de la remoto lapso VLAN
comando de modo de configuracin.
STP se puede ejecutar en troncos RSPAN VLAN, pero no en los puertos de destino SPAN.
Para VLANs 1-1005 que son visibles a la VLAN Trunking Protocol (VTP), la ID de VLAN y su
caracterstica RSPAN asociado se propagan por el VTP. Si asigna una ID de VLAN en el RSPAN
rango VLAN extendida (1.006-4.094), debe configurar manualmente todos los interruptores intermedios.
Es normal tener mltiples RSPAN VLAN en una red al mismo tiempo con cada VLAN RSPAN
la definicin de una sesin de RSPAN de toda la red. Es decir, mltiples sesiones de origen RSPAN en cualquier parte del
la red puede contribuir a la sesin de paquetes RSPAN. Tambin es posible tener mltiples RSPAN
sesiones de destino a lo largo de la red, control de la misma RSPAN VLAN y presentan trfico
para el usuario. El RSPAN VLAN ID separa las sesiones.
35-9
Captulo 35
De ruta-SPAN no supervisa el trfico enrutado. VSPAN slo supervisa el trfico que entra o sale
el interruptor, no el trfico que se dirige entre las VLAN. Por ejemplo, si una VLAN est siendo
Rx-supervisado y el trfico de las rutas de cambiar de otra VLAN de la VLAN supervisado, que el trfico
no se controla y no se recibe en el puerto de destino SPAN.
STP-A puerto de destino no participa en STP mientras que su SPAN o RSPAN sesin est activa.
El puerto de destino puede participar en STP despus de la SPAN o sesin RSPAN est desactivada. En un
puerto de origen, SPAN no afecta el estado de STP. STP puede estar activo en los puertos troncales que llevan un
RSPAN VLAN.
CDP-Un puerto de destino SPAN no participa en CDP mientras la sesin SPAN est activo. Despus
la sesin SPAN est desactivado, el puerto participa de nuevo en CDP.
VTP-Se puede utilizar VTP para podar una VLAN RSPAN entre switches.
EtherChannel-Puede configurar un grupo EtherChannel como un puerto de origen, pero no como un SPAN
puerto de destino. Cuando un grupo est configurado como una fuente de SPAN, el grupo entero se controla.
Si un puerto fsico se agrega a un grupo EtherChannel supervisado, se aade el nuevo puerto a la SPAN
lista de puertos de origen. Si un puerto se elimina de un grupo EtherChannel monitorizada, es automticamente
retirado de la lista de puertos de origen.
Un puerto fsico que pertenece a un grupo EtherChannel puede ser configurado como un puerto de origen y SPAN
todava puede ser una parte de la EtherChannel. En este caso, los datos del puerto fsico se controla como se
participa en la EtherChannel. Sin embargo, si un puerto fsico que pertenece a un grupo EtherChannel
se configura como un destino SPAN, se retira del grupo. Despus de que el puerto se elimina de
la sesin SPAN, que vuelve a unirse al grupo EtherChannel. Puertos retirados de un grupo EtherChannel
siendo miembros del grupo, pero estn en el inactiva o suspendido estado.
Si un puerto fsico que pertenece a un grupo EtherChannel es un puerto de destino y el EtherChannel
grupo es una fuente, el puerto se elimina del grupo EtherChannel y de la lista de monitoreado
puertos.
El trfico de multidifusin puede ser monitoreado. Para la salida y el seguimiento puerto de entrada, slo un nico sin editar
paquete se enva al puerto de destino SPAN. No refleja el nmero de veces que la multidifusin
se enva paquetes.
35-10
OL-29703-01
Captulo 35
Un puerto IEEE 802.1x puede ser un puerto de origen SPAN. Puede habilitar IEEE 802.1x en un puerto que es un
Puerto de destino SPAN; Sin embargo, IEEE 802.1x est desactivado hasta que se retira el puerto como SPAN
destino.
Para las sesiones de SPAN, no habilite IEEE 802.1x en puertos con salida monitorizada cuando el ingreso
reenvo est habilitado en el puerto de destino. Para sesiones de origen RSPAN, no habilite
IEEE 802.1x en cualquier puerto que se egreso monitoreando.
Las ACL de seguridad tienen mayor prioridad que las ACL FSPAN en un switch. Si se aplican las ACL FSPAN,
y ms adelante aade ms ACL de seguridad que no caben en la memoria del hardware, las ACLs FSPAN que
aplicada se eliminan de la memoria para dejar espacio para las ACL de seguridad. Un mensaje del sistema le avisa
de esta accin, que se llama descarga. Cuando hay ms espacio para las ACL FSPAN que residen en
la memoria, que se aaden a la memoria del hardware del switch. Un mensaje del sistema le avisa de este
la accin, que se llama recarga. Los ACLs IPv4, IPv6 y MAC FSPAN se pueden descargar o recargados
de forma independiente.
35-11
Captulo 35
Si una sesin FSPAN basada en VLAN configurada en una pila no puede caber en la memoria de hardware en uno o
ms interruptores, que se trata como sin carga en los interruptores, y el trfico destinados a la FSPAN ACL y
compra de componentes en ese interruptor no se copia en los puertos de destino SPAN. El FSPAN ACL contina siendo
aplica correctamente, y el trfico se copia en los puertos de destino SPAN en los detectores en ambientes donde la FSPAN
ACL cabe en la memoria del hardware.
Cuando se conecta un vaco FSPAN ACL, algunas funciones del hardware copiar todo el trfico al SPAN
puertos de destino para que ACL. Si los recursos de hardware suficientes no estn disponibles, incluso una FSPAN vaco
ACL se puede descargar.
Nota
Caracterstica
Desactivado.
Disabled
Filtrado VLAN
En una interfaz de lnea externa utilizado como puerto de origen, todas las
VLAN son
supervisado.
Ninguno configurado.
RSPAN VLANs
35-12
OL-29703-01
Captulo 35
En cada pila de switches, puede configurar un mximo de 2 sesiones de origen y destino 64 RSPAN
sesiones. A sesin fuente es o bien una sesin SPAN local o una sesin fuente RSPAN.
Para las fuentes de SPAN, puede supervisar el trfico de un solo puerto o VLAN o una serie o rango de puertos
o VLAN para cada sesin. No se pueden mezclar los puertos de origen y VLAN de origen dentro de un solo SPAN
sesin.
El puerto de destino no puede ser un puerto de origen; un puerto de origen no puede ser un puerto de destino.
Cuando se configura un puerto de conmutacin como puerto de destino SPAN, ya no es un puerto de switch normal;
slo el trfico supervisado pasa por el puerto de destino SPAN.
Para SPAN locales, los paquetes de salida a travs del puerto de destino SPAN llevan el original
headers-sin etiquetar encapsulacin, ISL o IEEE 802.1Q-si el rplica encapsulacin palabras clave
se especifican. Si no se especifican las palabras clave, los paquetes se envan en forma nativa.
Se puede configurar un puerto inhabilitado para ser un puerto de origen o destino, pero la funcin de ajuste no
comienzan hasta el puerto de destino y al menos un puerto de origen o fuente VLAN estn habilitados.
Puede limitar el trfico SPAN para VLAN especficas mediante el uso de la vlan filtro palabra clave. Si un puerto troncal es
siendo monitoreado, slo el trfico en las VLAN especificadas con esta palabra clave es monitoreado. De forma
predeterminada,
todas las VLAN son monitoreadas en un puerto troncal.
No se puede mezclar VLAN y VLAN fuente de filtro en una sola sesin SPAN.
sesin del monitor session_number vlan remoto destino id_vlan grupo de destino puertos {A
|b|c} comando de configuracin global para estos tipos de sesiones:
-El conmutador es compatible con estos grupos de destino en puertos, dependiendo de la configuracin del puerto del switch:
35-13
Captulo 35
Comando
Propsito
Paso 1
configure terminal
Paso 2
ninguna sesin del monitor {Session_number | todo Retire cualquier configuracin SPAN existente para la sesin.
|locales |a distancia}
Para session_number, el rango es de 1 a 66.
Paso 3
Especifique todo para eliminar todas las sesiones SPAN, locales para eliminar todas las
regulaciones locales
sesiones, o a distancia para eliminar todas las sesiones remotas SPAN.
sesin del monitor session_number fuente Especifique la sesin SPAN y el puerto de origen (puerto supervisado).
{Interface interface-id | vlan vlan-id} [, |
Para session_number, el rango es de 1 a 66 Al entrar este comando
-] [Ambos | rx |tx]
en el switch Catalyst 3560E-12D, que slo se puede entrar 1para la
session_number.
Para interface-id, especificar el puerto de origen o fuente de VLAN para supervisar.
Nota
Nota
35-14
OL-29703-01
Captulo 35
Paso 4
Comando
Propsito
Paso 5
fin
Paso 6
show running-config
Paso 7
Para eliminar una sesin SPAN, utilice el ninguna sesin del monitor session_number comando de configuracin global.
Para quitar un puerto de origen o de destino o VLAN de la sesin SPAN, utilice el ninguna sesin del monitor
session_number fuente {Interface interface-id | vlan vlan-id} comando de configuracin global o la no
sesin del monitor session_number interfaz de destino interface-id comando de configuracin global. Para
interfaces de destino, las opciones de encapsulacin se ignoran con el no forma del comando.
Este ejemplo muestra cmo configurar la sesin SPAN 1 para monitorizar el trfico de puerto de origen a un destino
puerto. En primer lugar, se elimina cualquier configuracin existente SPAN para la sesin 1, y luego el trfico bidireccional es
espejo de la fuente de puerto Gigabit Ethernet 1 al puerto de destino Gigabit Ethernet 2, conservando el
mtodo de encapsulacin.
Switch (config)
Switch (config)
Switch (config)
rplica encapsulacin
Switch (config)
# no monitor session 1
# supervisar la sesin 1 fuente interfaz GigabitEthernet1 / 0/1
# supervisar la sesin 1 destino interfaz GigabitEthernet1 / 0/2
# fin
Este ejemplo muestra cmo eliminar el puerto 1 como fuente para la sesin SPAN SPAN 1:
Switch (config) # no monitor session 1 fuente interfaz GigabitEthernet1 / 0/1
Switch (config) # fin
Este ejemplo muestra cmo deshabilitar la supervisin del trfico recibido en el puerto 1, que fue configurado para
monitoreo bidireccional:
Switch (config) # no monitor session 1 fuente interfaz GigabitEthernet1 / 0/1 rx
La vigilancia del trfico recibido en el puerto 1 est desactivado, pero el trfico enviado desde este puerto sigue siendo
supervisado.
35-15
Captulo 35
Este ejemplo muestra cmo eliminar cualquier configuracin existente en sesin SPAN 2, configurar SPAN
sesin de 2 de monitor de recibido el trfico en todos los puertos que pertenecen a VLAN 1 a 3, y enviarlo a
destino puerto Gigabit Ethernet 2. La configuracin se modific para vigilar tambin todo el trfico en todo
puertos pertenecientes a la VLAN 10.
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
35-16
OL-29703-01
Captulo 35
Paso 4
Comando
Propsito
Paso 5
fin
Paso 6
Verifique la configuracin.
show running-config
Paso 7
Para eliminar una sesin SPAN, utilice el ninguna sesin del monitor session_number comando de configuracin global.
Para quitar un puerto de origen o de destino o VLAN de la sesin SPAN, utilice el ninguna sesin del monitor
session_number fuente {Interface interface-id | vlan vlan-id} comando de configuracin global o la no
sesin del monitor session_number interfaz de destino interface-id comando de configuracin global. Para
interfaces de destino, las opciones de encapsulacin y de ingreso son ignorados con la no forma de la
de comandos.
Este ejemplo muestra cmo eliminar cualquier configuracin existente en sesin SPAN 2, configurar SPAN
sesin de 2 de monitor de recibido el trfico en el puerto de origen Gigabit Ethernet 1, y enviarlo a Gigabit destino
Puerto Ethernet 2 con el mismo tipo de encapsulacin de salida como el puerto de origen, y permitir la entrada
expedicin con IEEE 802.1Q VLAN encapsulacin y 6 como la VLAN entrada por defecto.
Switch (config) # ninguna sesin del monitor 2
Switch (config) # monitor session 2 Fuente GigabitEthernet1 / 0/1 rx
Switch (config) # monitorear la sesin 2 interfaz de destino GigabitEthernet1 / 0/2 encapsulacin
replicar dot1q entrada vlan 6
Switch (config) # fin
35-17
Captulo 35
Comando
Propsito
Paso 1
configure terminal
Paso 2
ninguna sesin del monitor {Session_number | todo | Retire cualquier configuracin SPAN existente para la sesin.
locales |a distancia}
Para session_number, el rango es de 1 a 66.
Paso 3
Especifique todo para eliminar todas las sesiones SPAN, locales para eliminar todas las
regulaciones locales
sesiones, o a distancia para eliminar todas las sesiones remotas SPAN.
Especificar las caractersticas del puerto de origen (puerto supervisado) y
Sesin de SPAN.
Para session_number, el rango es de 1 a 66 Al entrar en este
comandos en el switch Catalyst 3560E-12D, que slo se puede entrar 1para
la session_number.
Para interface-id, especificar el puerto de origen a supervisar. La interfaz
especificado ya debe estar configurado como un puerto troncal.
Paso 4
sesin del monitor session_number vlan filtro Limitar el trfico de origen SPAN para VLAN especficas.
id_vlan [, | -]
Para session_number, introducir el nmero de sesin especificado en el paso 3.
Para vlan-id, el rango es de 1 a 4094.
(Opcional) Utilice una coma (,) para especificar una serie de VLANs, o utilizar un
guin (-) para especificar un rango de VLAN. Introduzca un espacio antes y despus
la coma; introducir un espacio antes y despus del guin.
Paso 5
Paso 6
fin
Paso 7
Verifique la configuracin.
show running-config
Paso 8
Para supervisar todas las VLAN en el puerto de lnea externa, utilice la ninguna sesin del monitor session_number filtro
mundial
comando de configuracin.
35-18
OL-29703-01
Captulo 35
Este ejemplo muestra cmo eliminar cualquier configuracin existente en sesin SPAN 2, configurar SPAN
sesin 2 para controlar el trfico recibido en Gigabit Ethernet de puerto de lnea 2, y enviar el trfico por slo VLAN 1
a 5 y 9 a la VLAN de destino puerto Gigabit Ethernet 1.
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
Configuracin RSPAN
Creacin de una Sesin RSPAN Destino y configuracin de trfico entrante, pgina 35-25
Todos los elementos de la Seccin "Pautas de configuracin SPAN" en la pgina 35-13 aplicar a RSPAN.
Como RSPAN VLAN tienen propiedades especiales, usted debe reservar unos VLAN en la red
para su uso como RSPAN VLAN; no asigne los puertos de acceso a estas redes VLAN.
Puede aplicar una ACL de salida a RSPAN trfico para filtrar selectivamente o monitor paquetes especficos.
Especifique estas ACL en el RSPAN VLAN en la fuente cambiar RSPAN.
Para la configuracin RSPAN, puede distribuir los puertos de origen y los puertos de destino a travs de
mltiples switches en la red.
RSPAN no soporta monitoreo de paquetes BPDU u otros protocolos de Capa 2 del switch.
El RSPAN VLAN se configura slo en los puertos troncales y no en los puertos de acceso. Para evitar la indeseada
trfico en RSPAN VLAN, asegrese de que la funcin del control remoto-palmo VLAN es compatible en todo el
interruptores de participantes.
Puertos de acceso (incluidos los puertos de VLAN de voz) en el RSPAN VLAN se ponen en el estado inactivo.
RSPAN VLAN se incluyen como fuentes de sesiones RSPAN basadas en puertos cuando los puertos troncales fuente
tener activos VLANs RSPAN. RSPAN VLAN tambin puede ser fuente de sesiones SPAN. Sin embargo, desde
el interruptor no monitorea el trfico distribuido, que no soporta spanning egreso de los paquetes en cualquier
RSPAN VLAN identificada como el destino de una sesin fuente RSPAN en el interruptor.
Puede configurar cualquier VLAN como VLAN RSPAN, siempre y cuando se cumplan las siguientes condiciones:
-El mismo RSPAN VLAN se utiliza para una sesin de RSPAN en todos los interruptores.
-Todos los interruptores de participantes apoyan RSPAN.
Le recomendamos que configure una VLAN RSPAN antes de configurar una fuente RSPAN o una
sesin de destino.
Si habilita VTP VTP y la poda, el trfico RSPAN se poda en los troncos para evitar los no deseados
la saturacin por trfico RSPAN travs de la red de ID de VLAN que son inferiores a 1005.
35-19
Captulo 35
En primer lugar crear una nueva VLAN para ser el RSPAN VLAN para la sesin RSPAN. Debe crear el RSPAN
VLAN en todos los switches que participarn en RSPAN. Si el RSPAN VLAN-ID est en el rango normal
(Inferior a 1005) y VTP est habilitada en la red, puede crear la RSPAN VLAN en un conmutador,
y VTP se propaga a los otros switches en el dominio VTP. Para VLAN de rango extendido (mayor
de 1005), debe configurar RSPAN VLAN en ambos interruptores de origen y destino y cualquier
conmutadores intermedios.
Utilice VTP poda para obtener un flujo eficiente del trfico RSPAN, o manualmente eliminar el RSPAN VLAN
todos los troncos que no necesitan para transportar el trfico RSPAN.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una VLAN RSPAN:
Comando
Propsito
Paso 1
configure terminal
Paso 2
vlan id_vlan
Paso 3
remoto lapso
Paso 4
fin
Paso 5
Para quitar la caracterstica SPAN remoto desde una VLAN y convertir de nuevo a una VLAN normal, utilice el
no-lapso remoto Comando de configuracin VLAN.
Este ejemplo muestra cmo crear RSPAN VLAN 901.
Switch (config) # vlan 901
Switch (config-vlan) # palmo a distancia
Switch (config-vlan) # fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
35-20
OL-29703-01
Captulo 35
Paso 3
Comando
Propsito
Paso 4
Paso 5
fin
Paso 6
Verifique la configuracin.
show running-config
Paso 7
Para eliminar una sesin SPAN, utilice el ninguna sesin del monitor session_number comando de configuracin global.
Para quitar un puerto de origen o VLAN de la sesin SPAN, utilice el ninguna sesin del monitor session_number
fuente {Interface interface-id | vlan vlan-id} comando de configuracin global. Para quitar el RSPAN
VLAN de la sesin, utilice el ninguna sesin del monitor session_number vlan remoto destino vlan-id.
35-21
Captulo 35
Este ejemplo muestra cmo eliminar cualquier configuracin RSPAN existente para la sesin 1, configurar RSPAN
sesin 1 para controlar mltiples interfaces de origen, y configurar el destino como RSPAN VLAN 901.
Switch
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
#
no monitor session 1
supervisar la sesin 1 interfaz de origen GigabitEthernet1 / 0/1 tx
supervisar la sesin 1 interfaz de origen GigabitEthernet1 / 0/2 rx
monitor session 1 fuente de interfaz de puerto-canal 2
monitor session 1 vlan destino remoto 901
fin
En el switch Catalyst 3560E-12D, este ejemplo muestra cmo eliminar cualquier RSPAN existente
configuracin para la sesin 1, configure sesin RSPAN 1 para monitorear mltiples interfaces de origen, y
configurar el destino como RSPAN VLAN 901.
Switch
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
#
no monitor session 1
monitorear la sesin 1 de la interfaz fuente GigabitEthernet0 / 1 tx
supervisar la sesin 1 fuente interfaz GigabitEthernet0 / 2 rx
monitor session 1 fuente de interfaz de puerto-canal 2
supervisar la sesin 1 vlan destino remoto 901 destino puertos grupo b
fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
ninguna sesin del monitor {Session_number | todo | Retire cualquier configuracin SPAN existente para la sesin.
locales |a distancia}
Para session_number, el rango es de 1 a 66.
Paso 3
Especifique todo para eliminar todas las sesiones SPAN, locales para eliminar todas las
regulaciones locales
sesiones, o a distancia para eliminar todas las sesiones remotas SPAN.
Especificar las caractersticas del puerto de origen (puerto supervisado) y
Sesin de SPAN.
Para session_number, el rango es de 1 a 66 Al entrar en este
comandos en el switch Catalyst 3560E-12D, que slo se puede entrar 1para
la session_number.
Para interface-id, especificar el puerto de origen a supervisar. La interfaz
especificado ya debe estar configurado como un puerto troncal.
Paso 4
sesin del monitor session_number vlan filtro Limitar el trfico de origen SPAN para VLAN especficas.
id_vlan [, | -]
Para session_number, introducir el nmero de sesin especificado en el paso 3.
Para vlan-id, el rango es de 1 a 4094.
(Opcional) Utilice una coma (,) para especificar una serie de VLAN o utilizar un
guin (-) para especificar un rango de VLAN. Introduzca un espacio antes y despus
la coma; introducir un espacio antes y despus del guin.
35-22
OL-29703-01
Captulo 35
Paso 5
Comando
Propsito
Paso 6
fin
Paso 7
Verifique la configuracin.
show running-config
Paso 8
Para supervisar todas las VLAN en el puerto de lnea externa, utilice la ninguna sesin del monitor session_number vlan filtro
mundial
comando de configuracin.
Este ejemplo muestra cmo eliminar cualquier configuracin existente en sesin RSPAN 2, configurar RSPAN
sesin 2 para controlar el trfico recibido en puerto troncal 2, y enviar el trfico por slo VLAN 1 a 5 y 9
al destino RSPAN VLAN 902.
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
En el switch Catalyst 3560E-12D, este ejemplo muestra cmo eliminar cualquier configuracin existente en
Sesin RSPAN 2, configure sesin RSPAN 2 para controlar el trfico recibido en puerto troncal 2, y enviar
el trfico slo a las VLAN 1 a 5 y 9 a destino RSPAN VLAN 902.
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
no monitor session 1
supervisar la sesin 1 fuente interfaz GigabitEthernet0 / 2 rx
monitor session 1 filtro vlan 1-5, 9
supervisar la sesin 1 vlan destino remoto 902 destino puertos grupo un
fin
35-23
Captulo 35
Comando
Propsito
Paso 1
configure terminal
Paso 2
vlan id_vlan
Paso 3
remoto lapso
Paso 4
Salida
Paso 5
Paso 6
Paso 7
Paso 8
fin
Paso 9
Verifique la configuracin.
show running-config
Paso 10 copy running-config startup-config
35-24
OL-29703-01
Captulo 35
Para eliminar una sesin SPAN, utilice el ninguna sesin del monitor session_number comando de configuracin global.
Para quitar un puerto de destino de la sesin SPAN, utilice el ninguna sesin del monitor session_number
interfaz de destino interface-id comando de configuracin global. Para quitar el RSPAN VLAN de
la sesin, utilice el ninguna sesin del monitor session_number vlan remota fuente vlan-id.
Este ejemplo muestra cmo configurar VLAN 901 como VLAN remoto origen y el puerto 1 como el
interfaz de destino:
Switch (config) # monitor session 1 fuente vlan remoto 901
Switch (config) # supervisar la sesin 1 destino interfaz gigabitethernet2 / 0/1
Switch (config) # fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
35-25
Captulo 35
Comando
Paso 4
Propsito
Paso 5
fin
Paso 6
Verifique la configuracin.
show running-config
Paso 7
Para eliminar una sesin RSPAN, utilice el ninguna sesin del monitor session_number configuracin global
de comandos. Para quitar un puerto de destino de la sesin RSPAN, utilice el ninguna sesin del monitor
session_number interfaz de destino interface-id comando de configuracin global. Las opciones de ingreso
son ignorados con la no forma del comando.
Este ejemplo muestra cmo configurar VLAN 901 como VLAN remoto origen en sesin RSPAN 2, a
configurar el puerto de origen Gigabit Ethernet 2 como la interfaz de destino, y para activar el reenvo de
el trfico entrante en la interfaz con VLAN 6 como la VLAN de recepcin predeterminado.
Switch (config) # monitor session 2 Fuente vlan remoto 901
Switch (config) # monitorear la sesin 2 interfaz de destino GigabitEthernet1 / 0/2 entrada
vlan 6
Switch (config) # fin
35-26
OL-29703-01
Captulo 35
Cuando no se adjuntan ACL FSPAN, FSPAN est desactivado, y todo el trfico se copia en el SPAN
puertos de destino.
se monitoriza el trfico.
-Cuando se conecte al menos un FSPAN ACL que no est vaco a una sesin SPAN, y tiene
no adjunta una o ms de las otras ACL FSPAN (por ejemplo, que haya conectado un IPv4
ACL que no est vaca, y no se han unido IPv6 y MAC ACL), FSPAN bloquea el trfico
eso habra sido filtrada por las ACL no unidas. Por lo tanto, este trfico no se supervisa.
Sesiones FSPAN basadas en puerto se pueden configurar en una pila que incluye Catalyst 3750 o Catalizador
3750-E cambia, siempre y cuando el perodo de sesiones slo incluye Catalyst 3750-E Catalyst 3750-X puertos como
puertos de origen. Si la sesin tiene ningn Catalyst 3750 o Catalyst 3750-E puertos como puertos de origen, la
Comando FSPAN ACL es rechazada. Si la sesin ha configurado FSPAN ACL, cualquier comando
incluyendo Catalyst 3750 o Catalizador puertos 3750-E como puertos de origen son rechazados. El Catalyst 3750 o
Catalyst 3750-E puertos se pueden aadir como puertos de destino en una sesin de FSPAN.
Sesiones FSPAN basada en VLAN no se pueden configurar en una pila que incluye Catalyst 3750 switches.
FSPAN ACL no se puede aplicar a las sesiones por puerto-per-VLAN. Puede configurar
por puerto-per-VLAN sesiones por primera configuracin de una sesin basada en puerto y luego la configuracin especfica
VLAN a la sesin. Por ejemplo:
Switch (config) # sesin del monitor session_number interfaz de origen interface-id
Switch (config) # sesin del monitor session_number vlan filtro id_vlan
Switch (config) # sesin del monitor session_number filtrar el acceso-grupo ip
(Access-list-number | name}
Nota
Tanto la vlan filtro y filtrar el acceso-grupo ip comandos no se puede configurar al mismo tiempo.
La configuracin de uno resultados en el rechazo de la otra.
ACL FSPAN con indicadores TCP o el log palabra clave no son compatibles.
IPv6 FSPAN ACL slo se admiten en las plantillas de SDM habilitados para IPv6. Si configura una IPv6
FSPAN ACL cuando se ejecuta una IPv6 habilitado plantilla SDM, pero luego configurar un no-IPv6 SDM
plantilla y reiniciar el switch, se pierde la configuracin IPv6 FSPAN ACL.
35-27
Captulo 35
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Nota
Nota
35-28
OL-29703-01
Captulo 35
Paso 4
Comando
Propsito
Para nombrar, especificar el nombre de la ACL que desea utilizar para filtrar
trfico.
Paso 6
fin
Paso 7
Verifique la configuracin.
show running-config
Paso 8
Comando
Propsito
Paso 1
configure terminal
Paso 2
35-29
Captulo 35
Paso 3
Comando
Propsito
Paso 4
Paso 5
vlan id_vlan
Paso 6
remoto lapso
Paso 7
Salida
Paso 8
Paso 9
fin
Para nombrar, especificar el nombre de la ACL que desea utilizar para filtrar
trfico.
Verifique la configuracin.
show running-config
Paso 11 copy running-config startup-config
35-30
OL-29703-01
Captulo 35
35-31
Captulo 35
35-32
OL-29703-01
E R CH A P T
36
Configuracin de
RMON
En este captulo se describe cmo configurar la Red de Monitoreo Remoto (RMON) en el Catalyst 3750-E
o 3560-E Catalyst 3750-X o switch 3560-X. A menos que se indique lo contrario, el trmino interruptor se refiere a un
Catalyst 3750-E o 3560-E Catalyst 3750-X o interruptor independiente 3560-X y un Catalyst 3750-E
Catalizador pila de switches 3750-X.
RMON es una especificacin estndar de monitoreo que define un conjunto de estadsticas y funciones que pueden ser
intercambiados entre RMON compatible sistemas de consola y sondas de red. RMON le proporciona
diagnstico integral de la red-culpa, la planificacin, y la informacin-la optimizacin del rendimiento.
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte el "Sistema
Seccin Comandos de gestin "en la Cisco IOS Fundamentos de configuracin Referencia de comandos,
Soltar 12.4.
La comprensin de
RMON
RMON es un Grupo de Tareas de Ingeniera de Internet (IETF) especificacin estndar de monitoreo que permite
varios agentes de la red y los sistemas de la consola para el intercambio de datos de monitoreo de la red. Puede utilizar el
Funcin RMON con el Protocolo de administracin de red (SNMP) Simple en el interruptor para controlar
todo el trfico que fluye entre conmutadores en todos los segmentos LAN conectados como se muestra en Figura 36-1.
36-1
Captulo 36
Configuracin de RMON
Configuracin de RMON
Figura 36-1
Historial de RMON
y estadstica
coleccin habilitado.
101233
Estaciones de Trabajo
Estaciones de Trabajo
Estadsticas (grupo 1 RMON) -Collects Ethernet estadsticas (incluyendo Fast Ethernet y Gigabit
Estadsticas de Ethernet, dependiendo del tipo de interruptor y interfaces soportadas) en una interfaz.
Historia (grupo RMON 2) -Collects un grupo historia de las estadsticas de los puertos Ethernet (incluyendo Fast
Estadsticas de Ethernet y Gigabit Ethernet, dependiendo del tipo de interruptor y las interfaces compatibles) para
un intervalo de sondeo especificado.
Alarma (grupo RMON 3) -monitores una base de informacin de gestin especfica (MIB) para un objeto
intervalo especificado, dispara una alarma en un valor especificado (aumento del umbral), y restablece la alarma a
otro valor (cada del umbral). Las alarmas se pueden utilizar con los acontecimientos; la alarma se dispara un evento, que
puede generar una entrada de registro o una captura SNMP.
Evento (grupo RMON 9): especifica la accin a tomar cuando se activa un evento por una alarma. El
accin puede ser el de generar una entrada de registro o una captura SNMP.
Debido a que los parmetros admitidos por esta versin del software contadores uso de hardware para el procesamiento de datos
RMON,
el control es ms eficaz, y se requiere poca potencia de procesamiento.
Nota
Configuracin de
RMON
RMON configuracin por defecto, pgina 36-3
36-2
OL-29703-01
Captulo 36
Configuracin de RMON
Configuracin de RMON
RMON configuracin
predeterminada
RMON est desactivado por defecto; no hay alarmas o eventos se configuran.
Configuracin de RMON Alarmas y Eventos
Puede configurar el conmutador para RMON mediante la interfaz de lnea de comandos (CLI) o un
Compatible con SNMP estacin de gestin de red. Le recomendamos que utilice una consola genrica RMON
aplicacin en la estacin de gestin de red (NMS) para tomar ventaja de la red RMON
capacidades de gestin. Tambin debe configurar SNMP en el interruptor para acceder a los objetos MIB RMON.
Para obtener ms informacin, consulte Captulo 38, "Configuracin de SNMP."
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
36-3
Captulo 36
Configuracin de RMON
Configuracin de RMON
Comando
Paso 3
Propsito
evento rmon nmero [Descripcin cadena] [Log] [propietario cadena] Agregar un evento en la tabla de eventos de RMON que es
[Trampa comunidad]asociado con un nmero de evento de RMON.
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar una alarma, utilice el ninguna alarma rmon nmero comando de configuracin global para cada alarma que
configurado. No se puede desactivar a la vez todas las alarmas que ha configurado. Para desactivar un evento, utilice el
ningn caso rmon nmero comando de configuracin global. Para aprender ms acerca de alarmas y eventos y cmo
que interactan entre s, ver RFC 1757.
Puede configurar una alarma en cualquier objeto MIB. El siguiente ejemplo configura RMON nmero de alarma 10 por
usando el alarma rmon de comandos. La alarma controla la variable MIB ifEntry.20.1 una vez cada 20
segundos hasta que la alarma se desactiva y comprueba el cambio en el aumento o disminucin de la variable. Si el ifEntry.20.1
valor muestra un contador de aumento de 15 o ms, tal como 100000 hasta 100015 MIB, la alarma est
disparado. La alarma a su vez desencadena evento nmero 1, que se configura con el evento rmon
de comandos. Los posibles eventos pueden incluir una entrada de registro o una captura SNMP. Si el ifEntry.20.1 los cambios de
valor
por 0, la alarma se resetea y podr volver a activarse.
Switch (config) # alarma rmon 10 ifEntry.20.1 20 delta aumento del umbral de 15 1
cayendo umbral 0 propietario jjohnson
El ejemplo siguiente crea eventos RMON nmero 1 mediante el uso de la evento rmon de comandos. El evento es
define como Altas ifOutErrors y genera una entrada de registro cuando el evento se lanza por la alarma. El usuario
jjones es propietaria de la fila que se crea en la tabla de eventos por este comando. Este ejemplo tambin genera una
SNMP trampa cuando se activa el evento.
Switch (config) # evento rmon 1 log Descripcin trampa eventtrap "High ifOutErrors" dueo
jjones
36-4
OL-29703-01
Captulo 36
Configuracin de RMON
Configuracin de RMON
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Paso 7
Para desactivar la coleccin de historia, utilice el sin antecedentes coleccin rmon ndice configuracin de la interfaz
de comandos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
36-5
Captulo 36
Configuracin de RMON
Comando
Paso 3
Propsito
Estadsticas de recoleccin rmon ndice [Propietario ownername] Habilitar recopilacin de estadsticas RMON en la interfaz.
Paso 4
fin
Paso 5
show running-config
Paso 6
Paso 7
Para desactivar la recopilacin de estadsticas de Ethernet de grupo, utilice el hay estadsticas de recoleccin rmon ndice interfaz
comando de configuracin.
Este ejemplo muestra cmo recopilar estadsticas de RMON para el propietario root:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # coleccin rmon Estadsticas raz 2 propietario
Comando
Propsito
espectculo rmon
Para obtener informacin acerca de los campos de estas pantallas, consulte la seccin "Comandos de administracin del sistema" en
la Cisco IOS Configuracin Fundamentos de mandatos, versin 12.4.
36-6
OL-29703-01
E R CH A P T
37
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte la Cisco IOS
Fundamentos de configuracin Referencia de comandos, versin 12.4 y la referencia de comandos para este
liberacin.
Precaucin Registro de mensajes a la consola a un ritmo elevado puede provocar un uso de CPU y afectar negativamente a la forma
el interruptor opera.
Nota
37-1
Captulo 37
Configuracin del registro de mensajes del
sistema
Cuando el proceso de registro est deshabilitado, los mensajes slo se envan a la consola. Los mensajes se envan como
que se generan, lo que el mensaje y la salida de depuracin se intercalan con indicaciones o salida de otros
los comandos. El Catalyst 3750-E Catalyst 3750-X interruptores, los mensajes aparecen en las consolas activas despus
el proceso que las gener ha terminado. El Catalyst 3560-E Catalyst 3560-X interruptores, mensajes
aparecer en la consola despus del proceso que las gener ha terminado.
Puede establecer el nivel de gravedad de los mensajes para controlar el tipo de mensajes que aparecen en las consolas
y cada uno de los destinos. Usted puede medir el tiempo de sello de los mensajes de registro o establecer la direccin de origen
syslog a
mejorar la depuracin y gestin en tiempo real. Para obtener informacin sobre posibles mensajes, consulte el sistema
gua mensaje para esta versin.
Se puede acceder a los mensajes del sistema registran mediante la interfaz de lnea de comandos (CLI) o por el ahorro
a un servidor syslog configurado correctamente. El software del conmutador guarda los mensajes de registro del sistema en una
interna
tampn en un interruptor independiente, y en el caso de una pila de conmutacin, en el maestro de la pila. Si un independiente
cambiar o la maestra de la pila falla, el registro se pierde a menos que hubieras guardado en la memoria flash.
Usted puede controlar de forma remota los mensajes del sistema mediante la visualizacin de los registros en un servidor syslog o
accediendo al
cambiar a travs de Telnet, a travs del puerto de consola, o mediante el puerto de gestin Ethernet. En un conmutador
pila, todas las consolas miembros pila proporcionan la misma salida de la consola.
Activacin y desactivacin de los nmeros de secuencia de mensajes de registro, pgina 37-8 (Opcional)
Limitar los mensajes syslog enviados a la Mesa de la Historia y para SNMP, pgina 37-10 (Opcional)
37-2
OL-29703-01
Captulo 37
Tabla 37-1
Elemento
Descripcin
SEQ ID NO:
Sellos mensajes de registro con un nmero de secuencia slo si el servicios secuencia nmeros mundial
comando de configuracin est configurado.
Para obtener ms informacin, consulte la "Activacin y desactivacin de los nmeros de secuencia de Mensajes de
registro"
en la pgina 37-8.
Fecha y hora del mensaje o evento. Esta informacin aparece slo si el marcas de tiempo de servicio
log [Datetime | Registro] comando de configuracin global se configura.
Para obtener ms informacin, consulte la Seccin "Activacin y desactivacin de Sellos Tiempo en Mensajes de registro"
en la pgina 37-8.
hh: mm: ss (Tiempo de funcionamiento
corto)
o
o
d h (Tiempo de
funcionamiento de largo)
instalacin
La instalacin a la que se refiere el mensaje (por ejemplo, SNMP, SYS, y as sucesivamente). Para obtener una lista de
instalaciones compatibles, vea Tabla 37-4 en la pgina 37-14.
severidad
Solo cdigo dgitos de 0 a 7 que es la gravedad del mensaje. Para una descripcin de la severidad
niveles, vase Tabla 37-3 en la pgina 37-10.
MNEMNICO
Descripcin
hostname-n
Nombre de host de un miembro de la pila y su nmero de conmutador de la pila. Aunque el maestro de la pila es una pila
miembro, lo hace no aada su nombre de host a los mensajes del sistema.
Este ejemplo muestra un mensaje del sistema canje parcial por un maestro de la pila y un miembro de la pila (nombre de host
Switch-2):
00:00:46:% LINK-3-UPDOWN: Interfaz Puerto canal1, cambi el estado de hasta
00:00:47:% LINK-3-UPDOWN: Interfaz GigabitEthernet1 / 0/1, ha cambiado el estado de hasta
00:00:47:% LINK-3-UPDOWN: Interfaz GigabitEthernet1 / 0/2, cambi el estado de hasta
00:00:48:% LINEPROTO-5-UPDOWN: protocolo de lnea en la interfaz Vlan1, cambiado el estado de abajo
00:00:48:% LINEPROTO-5-UPDOWN: protocolo de lnea en la interfaz GigabitEthernet1 / 0/1, ha cambiado
estado a la baja 2
* 01 de marzo 18:46:11:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36)
18:47:02:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36)
* 01 de marzo 18: 48: 50,483 UTC:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36)
37-3
Captulo 37
Configuracin del registro de mensajes del
sistema
Este ejemplo muestra un mensaje del sistema cambio parcial en un Catalyst 3560-E switch Catalyst 3560-X:
00:00:46:% LINK-3-UPDOWN: Interfaz Puerto canal1, cambi el estado de hasta
00:00:47:% LINK-3-UPDOWN: Interfaz GigabitEthernet0 / 1, ha cambiado el estado de hasta
00:00:47:% LINK-3-UPDOWN: Interfaz GigabitEthernet0 / 2, cambi el estado de hasta
00:00:48:% LINEPROTO-5-UPDOWN: protocolo de lnea en la interfaz Vlan1, cambiado el estado de abajo
00:00:48:% LINEPROTO-5-UPDOWN: protocolo de lnea en la interfaz GigabitEthernet0 / 1, ha cambiado
estado a la baja 2
* 01 de marzo 18:46:11:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36)
18:47:02:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36)
* 01 de marzo 18: 48: 50,483 UTC:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36)
Caracterstica
Habilitado.
Severidad Console
No se ha especificado el nombre de
archivo.
4096 bytes.
1 mensaje.
Desactivado.
Registro sncrono
Desactivado.
Servidor de registro
Desactivado.
Ninguno configurado.
Desactivar el registro de
mensajes
El registro de mensajes est activada por defecto. Debe estar activada para enviar mensajes a cualquier destino distinto de
la consola. Cuando est activada, los mensajes de registro se envan a un proceso de registro, el cual registra los mensajes de
designado ubicaciones de forma asincrnica a los procesos que generan los mensajes.
Comenzando en el modo EXEC privilegiado, siga estos pasos para deshabilitar el registro de mensajes. Este procedimiento es
opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
37-4
OL-29703-01
Captulo 37
Paso 4
Comando
Propsito
show running-config
o
show logging
Paso 5
Deshabilitar el proceso de registro puede ralentizar el interruptor debido a que un proceso debe esperar hasta que los mensajes
se escriben en la consola antes de continuar. Cuando el proceso de registro est deshabilitado, los mensajes aparecen en
la consola tan pronto como se producen, a menudo aparece en el medio de salida del comando.
El sncrono tala comando de configuracin global tambin afecta a la visualizacin de mensajes a la
consola. Cuando este comando est activado, los mensajes slo aparecen despus de pulsar Return. Para obtener ms
informacin, consulte la Seccin "Sincronizacin de Mensajes de registro" en la pgina 37-6.
Para volver a habilitar el registro de mensajes despus de que haya sido desactivado, utilice el iniciar sesin configuracin
global
de comandos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
tala acogida
37-5
Captulo 37
Configuracin del registro de mensajes del
sistema
Paso 4
Comando
Propsito
Paso 5
fin
Paso 6
terminal monitor
Paso 7
show running-config
Paso 8
El tala tamponada copias comando de configuracin global de registro de mensajes en un bfer interno. El
buffer es circular, por lo que los mensajes ms nuevos sobrescribir mensajes antiguos si la memoria intermedia est llena. Para
mostrar la
mensajes que se registran en el bfer, use la show logging comando EXEC privilegiado. La primera
mensaje que se muestra es el mensaje ms antiguo en la memoria intermedia. Para borrar el contenido del bfer, utilice la claro
tala comando EXEC privilegiado.
Utilice el registro de eventos de energa-inline-estado comando de configuracin de interfaz para habilitar y deshabilitar
la tala de alimentacin a travs de Ethernet (PoE) eventos en los puertos PoE con capacidad especficos. Inicio de sesin en estos
puertos es
activado por defecto.
Para deshabilitar el registro de la consola, utilice la ninguna consola de registro comando de configuracin global. Para desactivar
registro en un archivo, utilice el ningn archivo de registro [Gravedad-nivel-el nmero | tipo] comando de configuracin global.
Sincronizacin de Mensajes de
registro
Usted puede sincronizar los mensajes no solicitados y debug salida de comando EXEC privilegiado con solicitada
salida y las instrucciones del dispositivo para una lnea de puerto de consola o lnea de terminal virtual. Puede identificar el
tipos de mensajes a emitir de forma asncrona basada en el nivel de gravedad. Tambin puede configurar el
nmero mximo de memorias intermedias para almacenar mensajes asncronos para el terminal despus de lo cual los mensajes
se dejan caer.
Cuando el registro sincrnico de mensajes no solicitados y debug salida de comando est activado, no solicitado
salida del dispositivo aparece en la consola o impreso despus de que aparezca de salida del dispositivo solicitado o se imprime.
Los mensajes no solicitados y debug salida del comando en la consola despus de la lnea de la entrada del usuario
se devuelve. Por lo tanto, los mensajes no solicitados y debug salida del comando no se intercalan con
salida del equipo solicitado y los indicadores. Despus aparecen los mensajes no solicitados, la consola muestra de nuevo
la peticin al usuario.
37-6
OL-29703-01
Captulo 37
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el registro sincrnico. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Utilice el consola palabra clave para las configuraciones que se producen a travs de
el puerto de consola del conmutador o el puerto de administracin Ethernet.
Utilice el line vty nmero de lnea comandos para especificar que vty
lneas son tener acceso sincronizado habilitado. Se utiliza un vty
Conexin para configuraciones que se producen a travs de un Telnet
sesin. El rango de nmeros de lnea es de 0 a 15.
(Opcional) Especificar nivelar todo significa que todos los mensajes son
impresa de forma asncrona sin tener en cuenta el nivel de gravedad.
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar la sincronizacin de mensajes no solicitados y salida de depuracin, utilice el no sincrnica tala
[Nivel de nivel de gravedad |todos] [Lmite nmero-de-tampones] comando de configuracin de lnea.
37-7
Captulo 37
Configuracin del registro de mensajes del
sistema
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para desactivar las marcas de tiempo, tanto para la depuracin y los mensajes de registro, utilice el no hay marcas de tiempo
de servicio mundial
comando de configuracin.
Este ejemplo muestra parte de una pantalla de registro con el marcas de tiempo de servicio de registro de fecha y hora
mundial
comando de configuracin habilitada:
* 01 de marzo 18:46:11:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36)
(Switch-2)
Este ejemplo muestra parte de una pantalla de registro con el servicio marcas de tiempo registran tiempo de actividad
mundial
comando de configuracin habilitada:
00:00:46:% LINK-3-UPDOWN: Interface Port-canal 1, estado cambiado a un mximo (Switch-2)
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
37-8
OL-29703-01
Captulo 37
Comando
Propsito
Paso 4
show running-config
Paso 5
Para desactivar los nmeros de secuencia, utilice el no hay servicio de secuencia-numbers comando de configuracin global.
Este ejemplo muestra parte de una pantalla de registro con nmeros de secuencia permitido:
000019:% SYS-5-CONFIG_I: Configurado desde la consola por vty2 (10.34.195.36) (Switch-2)
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
fin
Para ver los pasos de configuracin del servidor syslog completos, consulte la
"Configuracin de
Servidores UNIX Syslog "en la pgina 37-12.
Vuelva al modo EXEC privilegiado.
Paso 6
show running-config
o
show logging
Paso 7
Nota
Especificacin de un nivel hace que los mensajes de ese nivel y los niveles numricamente inferiores a aparecer en el destino.
Para deshabilitar el registro de la consola, utilice la ninguna consola de registro comando de configuracin global. Para desactivar
el registro a un terminal que no sea el de la consola, utilizar el sin monitor tala comando de configuracin global.
Para desactivar el registro en servidores syslog, utilice la sin trampa tala comando de configuracin global.
37-9
Captulo 37
Configuracin del registro de mensajes del
sistema
Tabla 37-3 describe la nivel palabras clave. Tambin enumera las correspondientes definiciones de registro del sistema UNIX de
el nivel ms severa con el nivel menos grave.
Tabla 37-3
Nivel
Descripcin
Syslog Definicin
emergencias
Sistema inestable
LOG_EMERG
alertas
LOG_ALERT
crtico
Condiciones crticas
LOG_CRIT
errores
Condiciones de error
LOG_ERR
advertencias
Condiciones de advertencia
LOG_WARNING
notificaciones
LOG_NOTICE
informativo
LOG_INFO
depuracin
Mensajes de depuracin
LOG_DEBUG
Los mensajes de error sobre el mal funcionamiento de software o hardware, que se muestran en los planos advertencias a
travs
emergencias. Estos tipos de mensajes significan que la funcionalidad del conmutador se ve afectada. Para
informacin sobre cmo recuperarse de estas disfunciones, consulte la gua de mensajes del sistema para este
liberacin.
La salida de la debug comandos, aparece en la parte depuracin nivel. Comandos de depuracin son
normalmente utilizado slo por el Centro de Asistencia Tcnica.
Interfaz arriba o hacia abajo transiciones y mensajes de reinicio del sistema, que aparece en la notificaciones nivel.
Este mensaje es slo para informacin; funcionalidad de switch no se ve afectada.
Actualizar peticiones y mensajes de pila-bajo proceso, que se muestra en la informativo nivel. Este
mensaje es slo para informacin; funcionalidad de switch no se ve afectada.
37-10
OL-29703-01
Captulo 37
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar el tamao y nivel de mesa de la historia
predeterminados. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
1.
Tabla 37-3 enumera las palabras clave de nivel y nivel de gravedad. Para el uso de SNMP, el aumento de los valores de nivel de gravedad por 1. Por ejemplo, emergencias
igual a 1, no 0, y crtico es igual a 3, no 2.
Cuando la tabla de la historia est llena (contiene el nmero mximo de entradas de mensaje especificado con el
tamao del historial de registro comando de configuracin global), la entrada ms antigua mensaje se elimina de la tabla
para permitir que el nuevo ingreso de mensajes para ser almacenado.
Para devolver el registro de los mensajes de registro del sistema en el nivel predeterminado, utilice el sin antecedentes de registro
mundial
comando de configuracin. Para devolver el nmero de mensajes en la tabla de la historia para el valor predeterminado, utilice
la sin registro de historial comando de configuracin global.
37-11
Captulo 37
Configuracin del registro de mensajes del
sistema
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el registro de configuracin:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Archivo
Paso 3
log config
Paso 4
Habilitar registro
Paso 5
Paso 6
fin
Paso 7
Nota
Este ejemplo muestra cmo habilitar la configuracin de cambio de registrador y para establecer el nmero de entradas en
el registro 500.
Switch
Switch
Switch
Switch
Switch
(config) # Archivo
(config-archivo) # log config
(config-archivo-log-cfg) # Habilitar registro
(config-archivo-log-cfg) # tamao de la tala de 500
(config-archivo-log-cfg) # fin
37-12
OL-29703-01
Captulo 37
Nota
Paso 1
Algunas versiones recientes de UNIX demonios syslog ya no aceptan por los paquetes de registro del sistema por defecto de la
red. Si este es el caso de su sistema, utilice el UNIX hombre syslogd mandar a decidir qu
opciones se deben agregar o quitar de la lnea de comando syslog para habilitar el registro de syslog remoto
mensajes.
El local7 palabra clave especifica la facilidad de registro que se utilizar; ver Tabla 37-4 en la pgina 37-14 para
informacin sobre las instalaciones. El debug palabra clave especifica el nivel syslog; ver Tabla 37-3 en la
pgina 37-10 para obtener informacin sobre los niveles de gravedad. El demonio syslog enva mensajes a este nivel o por lo
un nivel ms grave en el archivo especificado en el campo siguiente. El archivo ya debe existir, y el syslog
daemon debe tener permiso para escribir en l.
Paso 2
Paso 3
Para obtener ms informacin, consulte la hombre syslog.conf y hombre syslogd comandos en el sistema UNIX.
Comando
Propsito
Paso 1
configure terminal
Paso 2
tala acogida
Los mensajes de registro a un host de servidor syslog UNIX introduciendo su direccin IP.
Para crear una lista de servidores syslog que reciben mensajes de registro, introduzca este
ordenar ms de una vez.
Paso 3
Paso 4
Paso 5
fin
37-13
Captulo 37
Configuracin del registro de Smart
Comando
Propsito
Paso 6
show running-config
Paso 7
Para eliminar un servidor syslog, utilice la ningn registro acogida comando de configuracin global, y especificar el syslog
direccin IP del servidor. Para desactivar el registro en los servidores de Syslog, introduzca la sin trampa tala configuracin global
de comandos.
Tabla 37-4 enumera las instalaciones de sistemas UNIX compatibles con el software. Para obtener ms informacin acerca de estos
instalaciones, consultar el manual de instrucciones para su sistema operativo UNIX.
Tabla 37-4
Descripcin
auth
El sistema de autorizacin
cron
Instalacin Cron
daemon
Demonio de sistema
kern
Kernel
local0-7
lpr
electrnico
Sistema de correo
noticias
Noticias USENET
sys9-14
syslog
usuario
Proceso de usuario
uucp
Para utilizar el registro inteligente, primero debe configurar un exportador NetFlow que usted identifique cuando se habilita
tala inteligente. Para obtener informacin sobre la configuracin de Cisco NetFlow Flexible, consulte la Cisco IOS Flexible
Gua de configuracin de NetFlow, estreno 12.4T:
http://www.cisco.com.do/en/US/docs/ios/fnetflow/configuration/guide/12_4t/fnf_12_4t_book.html
37-14
OL-29703-01
Captulo 37
Procesamiento de registro inteligente crea un paquete NetFlow para el evento configurado y enva el paquete a la
colector NetFlow externa. Mostradores de registro inteligentes reflejan el nmero de paquetes que se registran. Este
nmero es el mismo que el nmero de paquetes enviados al colector si no se eliminan paquetes entre el
cambiar y el colector NetFlow.
Habilita el registro inteligente a nivel mundial en el interruptor, y luego se puede configurar eventos especficos que ser inteligente
conectado.
Propsito
Paso 1
configure terminal
Paso 2
SmartLog tala
Paso 3
Paso 4
Paso 5
fin
Paso 6
Paso 7
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Verifique la configuracin.
Paso 5
37-15
Captulo 37
Configuracin del registro de Smart
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Especifica que cualquier cosa paquetes estn siendo registrados actualmente (el valor
predeterminado es todo
paquetes perdidos) son tambin-inteligente conectado.
Vuelva al modo EXEC privilegiado.
Paso 4
Verifique la configuracin.
Paso 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Habilite el registro inteligente IP Source Guard para todos los paquetes que se les niega por IP
guardia fuente.
Paso 4
fin
Paso 5
Paso 6
37-16
OL-29703-01
Captulo 37
Port ACL son IP o MAC ACL aplicadas a un puerto de la Capa 2. Inicio de sesin no se admite en las ACL de puerto,
pero la tala inteligente est soportado en las ACL IP aplicada a Capa 2 puertos.
ACL ACL del router son aplicados a la Capa 3 puertos. Tala apoyo Router ACL pero no inteligente
tala.
VLAN ACL o mapas VLAN ACL son aplicados a las VLAN. Puede configurar el registro de VLAN
mapas, pero no la tala inteligente.
Al configurar cualquier permiso o denegar ACL, usted puede configurar el registro o el registro inteligente como parte de la
lista de acceso, que se celebrar en todo el trfico que los permisos ACL o niega. El tipo de puerto que se adjunta
la ACL para determinar el tipo de registro. Si adjunta una ACL con registro inteligente configurado a un router
o una VLAN, la ACL se adjunta, pero la tala inteligente no surtan efecto. Si configura el registro en un
ACL conectado a un puerto de capa 2, se omite la palabra clave de registro.
Se agrega la opcin de configuracin de registro inteligente al crear el permiso y negar las condiciones para una ACL.
En este ejemplo se habilita el registro inteligente en una lista de acceso numerada:
Switch (config) # access-list 199 permit ip any any SmartLog
Visualizacin de la configuracin de
registro
Para mostrar la configuracin de registro y el contenido del bfer de registro, utilice el show logging privilegiada
Comando EXEC. Para obtener informacin acerca de los campos de esta pantalla, consulte la Configuracin de Cisco IOS
Fundamentos de mandatos, versin 12.4 en Cisco.com.
Para mostrar la informacin de registro inteligente, utilice el espectculo SmartLog tala de comandos. Para obtener informacin
sobre
este comando, vea la referencia de comandos para esta versin.
37-17
Captulo 37
Visualizacin de la configuracin de registro
37-18
OL-29703-01
E R CH A P T
38
Configuracin de
SNMP
En este captulo se describe cmo configurar el protocolo simple de administracin de redes (SNMP) en el
Catalyst 3750-E o 3560-E Catalyst 3750-X o switch 3560-X. A menos que se indique lo contrario, el trmino interruptor
se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o 3560-X interruptor independiente y a un catalizador
3750-E Catalizador pila de switches 3750-X.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin y la Gestin de Cisco IOS Red de Referencia de comandos, versin 12.4.
Entendimiento SNMP
SNMP es un protocolo de capa de aplicacin que proporciona un formato de mensaje para la comunicacin entre
administradores y apoderados. El sistema SNMP consiste en un gestor SNMP, un agente SNMP y un MIB.
El gestor SNMP puede ser parte de un sistema de gestin de red (NMS), tales como CiscoWorks. El agente
y MIB residen en el interruptor. Para configurar SNMP en el conmutador, se define la relacin entre
el administrador y el agente.
El agente SNMP contiene variables MIB cuyos valores del administrador SNMP puede solicitar o cambiar. A
gerente puede obtener un valor de un agente o almacenar un valor en el agente. El agente recopila datos de la
MIB, el repositorio para la informacin sobre los parmetros del dispositivo y los datos de la red. El agente tambin puede
responder a las solicitudes de un gerente para obtener o establecer datos.
Un agente puede enviar capturas no solicitados con el gerente. Las trampas son mensajes de alerta al administrador SNMP para
una condicin en la red. Las trampas pueden significar la autenticacin de usuario incorrecto, se reinicia el estado del enlace (arriba
o
abajo), el seguimiento de la direccin MAC, el cierre de una conexin TCP, la prdida de la conexin a un vecino, u otro
eventos significativos.
En el 3750-E interruptor 3750-X del catalizador, el maestro de la pila se encarga de las solicitudes de SNMP y trampas para la
pila de switches conjunto. El maestro de la pila gestiona de forma transparente las peticiones o las trampas que estn relacionados
con todos
apilar miembros. Cuando se eligi a un nuevo maestro de la pila, el nuevo maestro contina gestionando las solicitudes SNMP
y trampas como configurados en el maestro de la pila anterior, en el supuesto de que la conectividad IP para el SNMP
estaciones de administracin es todava en su lugar despus de que el nuevo maestro ha tomado el control.
Para obtener ms informacin sobre las pilas de conmutacin, consulte Captulo 5, "Gestin de Pilas
interruptor."
38-1
Captulo 38
Configuracin de SNMP
Entendimiento SNMP
Versiones de SNMP
Esta versin del software es compatible con estas versiones de SNMP:
SNMPv1-El Simple Network Management Protocol, un estndar de Internet completo, que se define en
RFC 1157.
fuente.
Nota
Tanto SNMPv1 y SNMPv2C utilizan una forma basada en la comunidad de seguridad. La comunidad de los administradores
acceder a la MIB del agente est definido por una direccin IP lista de control de acceso y contrasea.
SNMPv2C incluye un mecanismo de recuperacin mayor y el mensaje de error ms detallado de informes a
estaciones de administracin. El mecanismo de recuperacin mayor tablas y recupera grandes cantidades de informacin,
minimizando el nmero de idas y vueltas necesarias. El manejo de errores SNMPv2C mejorado incluye
cdigos de error ampliados que distinguen diferentes tipos de condiciones de error; se reportan estas condiciones
a travs de un nico cdigo de error en SNMPv1. Cdigos de retorno de error en SNMPv2C informan el tipo de error.
38-2
OL-29703-01
Captulo 38
Configuracin de SNMP
Entendimiento SNMP
SNMPv3 ofrece para los dos modelos de seguridad y niveles de seguridad. Un modelo de seguridad es una autenticacin
estrategia creado para un usuario y el grupo en el que reside el usuario. A nivel de seguridad est permitida la
nivel de seguridad dentro de un modelo de seguridad. Una combinacin del nivel de seguridad y el modelo de seguridad
determinar qu mecanismo de seguridad se utiliza para la manipulacin de un paquete SNMP. Modelos de seguridad disponibles
son SNMPv1, SNMPv2C, y SNMPv3.
Tabla 38-1 identifica las caractersticas de las diferentes combinaciones de modelos de seguridad y niveles.
Tabla 38-1
Modelo
Nivel
Autenticacin
Encryption
SNMPv1
noAuthNoPriv
Cadena de comunidad No
SNMPv2C
noAuthNoPriv
Cadena de comunidad No
SNMPv3
noAuthNoPriv
Nombre de usuario
No
SNMPv3
authNoPriv
Message Digest 5
(MD5) o Secure
Hash Algorithm
(SHA)
No
SNMPv3
authPriv
MD5 o SHA
Datos
Encryption
Estndar
(DES) o
Avanzada
Encryption
Estndar
(AES)
Resultado
Utiliza una combinacin de cadena de la comunidad para la
autenticacin.
Utiliza una combinacin de cadena de la comunidad para la
autenticacin.
Utiliza un partido de nombre de usuario para la
autenticacin.
Proporciona autenticacin basada en el HMAC-MD5
o algoritmos HMAC-SHA.
Debe configurar el agente SNMP para utilizar la versin de SNMP con el apoyo de la estacin de administracin.
Debido a que un agente puede comunicarse con varios gestores, usted puede configurar el software para apoyar
comunicaciones a travs de SNMPv1, SNMPv2C o SNMPv3.
Funciones de administracin de
SNMP
El administrador SNMP utiliza la informacin en el MIB para llevar a cabo las operaciones descritas en Tabla 38-2.
Tabla 38-2
Operaciones SNMP
Operacin
Descripcin
conseguir-pedido
Las respuestas a una solicitud a hacer, hacer-next-peticin, y puesta en solicitud enviada por un
NMS.
38-3
Captulo 38
Configuracin de SNMP
Entendimiento SNMP
Tabla 38-2
Operacin
Descripcin
-conjunto solicitud
trampa
Un mensaje no solicitado enviado por un agente SNMP a un gestor SNMP cuando algunos
Se ha producido evento.
1. Con esta operacin, un administrador de SNMP no es necesario conocer el nombre de la variable exacta. Una bsqueda secuencial se realiza para
encontrar la variable necesaria desde dentro de una tabla.
2. La conseguir-mayor comando slo funciona con SNMPv2 o posterior.
Establecer un agente MIB variable SNMP comienza esta funcin en respuesta a un mensaje del NMS.
El agente SNMP cambia el valor de la variable MIB al valor solicitado por el NMS.
El agente SNMP tambin enva mensajes de captura solicitadas a notificar a un NMS que un evento significativo tiene
ocurrido en el agente. Ejemplos de condiciones trampa incluyen, pero no se limitan a, cuando un puerto o mdulo
va hacia arriba o hacia abajo, cuando se producen cambios en la topologa de spanning-tree, y cuando se producen errores de
autenticacin.
Slo lectura (RO) -Ofrece acceso de lectura a las estaciones de administracin autorizadas para todos los objetos en la MIB
excepto las cadenas de comunidad, pero no permite el acceso de escritura
Lectura-escritura (RW) -Ofrece leer y escribir el acceso a las estaciones de administracin autorizadas para todos los objetos de
el MIB, pero no permite el acceso a las cadenas de comunidad
Cuando se crea un clster, el interruptor de mando gestiona el intercambio de mensajes entre los miembros
interruptores y la aplicacin SNMP. El software Network Assistant agrega el interruptor miembro
nmero (esN, donde Nes el nmero de interruptor) a la primera RW configurado y cadenas de comunidad RO
en el interruptor de mando y las propaga a los interruptores miembros. Para obtener ms informacin, consulte
Captulo 6, "Interruptores Clustering" y ver Introduccin a Cisco Network Assistant, disponible
en Cisco.com.
38-4
OL-29703-01
Captulo 38
Configuracin de SNMP
Entendimiento SNMP
Como se muestra en Figura 38-1, el agente SNMP recoge datos de la MIB. El agente puede enviar trampas, o
notificacin de ciertos eventos, a la administracin SNMP, que recibe y procesa las trampas. Trampas de alerta
el administrador de SNMP a una condicin en la red, tales como la autenticacin de usuario incorrecto, se reinicia enlace
de estado (arriba o abajo), el seguimiento de la direccin MAC, y as sucesivamente. El agente SNMP tambin responde a MIBrelacionada
consultas enviadas por el administrador SNMP en conseguir-peticin, conseguir-junto-peticin, y -conjunto solicitud formato.
Figura 38-1
SNMP Red
NMS
SNMP Administrador
Get-peticin, Get-next-peticin,
Get-mayor, Set-pedido
Get-respuesta, trampas
Dispositivo de red
MIB
Agente SNMP
43581
Para localizar y descargar MIB para un producto especfico Cisco y liberacin, utilizar el Cisco MIB Localizador:
http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml.
SNMP Notificaciones
Nota
SNMP permite que el conmutador para enviar notificaciones a los administradores SNMP cuando se producen determinados eventos.
SNMP
las notificaciones se pueden enviar como trampas o informan peticiones. En la sintaxis de comandos, a menos que haya una opcin
en el
comando para seleccionar las trampas o informes, la palabra clave trampas se refiere a cualquiera de las trampas o informes, o
ambos.
Utilice el snmp-server host comando para especificar si desea enviar notificaciones de SNMP como trampas o informes.
SNMPv1 no soporta informa.
Las trampas son poco fiables ya que el receptor no enva un acuse de recibo cuando recibe una trampa, y
el remitente no puede determinar si se recibi la trampa. Cuando un administrador SNMP recibe una informamos
solicitud, reconoce el mensaje con una unidad de datos de protocolo de respuesta SNMP (PDU). Si el remitente
no recibe una respuesta, la solicitud de informar se puede enviar de nuevo. Debido a que pueden ser re-enviados, informa
son ms propensos que las trampas para llegar a su destino previsto.
Las caractersticas que hacen que informa ms fiable que las trampas tambin consumen ms recursos en el interruptor
y en la red. A diferencia de una trampa, que se desecha tan pronto como se enva, una solicitud de informar se mantiene en
memoria hasta que se recibe una respuesta o la solicitud de tiempo de espera. Las trampas se envan slo una vez, sino un informan
podra ser re-enviado o juzgados de varias veces. Los reintentos de aumentar el trfico y contribuyen a una mayor sobrecarga
en la red. Por lo tanto, las trampas y los informa requieren un compromiso entre fiabilidad y recursos. Si
Es importante que el administrador SNMP recibir todas las notificaciones, utilice informar peticiones. Si el trfico en la
red o de memoria en el interruptor es una preocupacin y no se requiere la notificacin, el uso de trampas.
38-5
Captulo 38
Configuracin de SNMP
Entendimiento SNMP
Tipo de interfaz
Rango IfIndex
SVI1
1-4999
EtherChannel
5001-5048
Fsica (como Gigabit Ethernet o interfaces de SFP2 mdulos) en base 10000 hasta 14500
en nmeros de tipo y portuarias
Null
Loopback y Tnel
24567 +
Nota
38-6
OL-29703-01
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Los parmetros de DOM en tiempo real pueden ser controlados mediante la interfaz de lnea de comandos (CLI) o SNMP
interfaz.
Nota
Esta funcin slo est disponible cuando un transmisor-receptor-DOM capaz est presente y configurado para el monitoreo.
La frecuencia a la que la informacin del sensor se actualiza depende de los valores predeterminados configurados en el
SEEPROM transceptor.
Utilice el show interfaces transceptores comando privilegiado EXEC para visualizar las propiedades fsicas de
un factor de forma pequeo conectable (SFP) interfaz del mdulo. Las propiedades de calibracin incluye alta y baja
nmeros y cualquier alarma y la informacin de alerta umbral de ptica digital
Monitoreo (DOM) transceptor -capaz instalado en el interruptor.
Este ejemplo muestra el estado de funcionamiento de interfaz contra los valores de umbral.
Switch # show interfaces GigabitEthernet1 / 1/2 detalle transceptor
UIT Canal no disponible (de longitud de onda no est disponible),
Transceptor est calibrado externamente.
mA: miliamperios, dBm: decibelios (milivatios), N / A: no aplicable.
++: Alarma alta, +: advertencia de alta, -: Aviso de baja, -: alarma baja.
Lecturas A2D (si difieren), se reportan entre parntesis.
Los valores de umbral son calibradas.
Tensin
(Voltios)
Puerto
--------------------Gi1 / 0/3 3.20
Puerto
------Gi1 / 0/3
Puerto
------Gi1 / 0/3
Alarma alta
Umbral
(Voltios)
---------4.00
Alto Warn
Umbral
(Voltios)
--------3.70
Bajo Warn
Umbral
(Voltios)
--------3.00
Alarma baja
Umbral
(Voltios)
--------2.95
Configuracin de
SNMP
SNMP Configuracin por defecto, pgina 38-8
38-7
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Caracterstica
Agente SNMP
DISABLED1.
Ninguno configurado.
Capturas SNMP
Versin de SNMP
Autenticacin de SNMPv3
SNMP tipo de notificacin
1. Este es el valor por defecto cuando el interruptor se inicia y la configuracin de inicio no tiene ninguna SNMP-servidor configuracin global
los comandos.
Al configurar un grupo SNMP, no especifique una vista notificar. El snmp-server host mundial
comando de configuracin genera automticamente una vista notificar al usuario y luego agrega al grupo
asociado con ese usuario. Modificacin de notificar a la opinin del Grupo afecta a todos los usuarios asociados con esa
grupo. Consulte la Cisco IOS Fundamentos de configuracin Referencia de comandos, versin 12.4 para
informacin acerca de cundo debe configurar notificar visitas.
Para configurar un usuario remoto, especifique la direccin IP o el nmero de puerto para el agente SNMP remoto del
dispositivo donde reside el usuario.
Antes de configurar los usuarios remotos para un agente en particular, configure el ID de motor de SNMP, utilizando la
engineID SNMP-servidor configuracin global con el a distancia opcin. SNMP del agente remoto
Identificacin del motor y la contrasea del usuario se utilizan para calcular los resmenes de autenticacin y privacidad. Si lo
hace
no configura el ID remoto del motor primero, el comando de configuracin falla.
Al configurar informa SNMP, es necesario configurar el ID de motor de SNMP para el agente remoto
en la base de datos SNMP antes de poder enviar solicitudes de proxy o informes a la misma.
Si un usuario local no est asociado con un host remoto, el interruptor no enva informa de la auth
(AuthNoPriv) y el priv (authpriv) niveles de autenticacin.
38-8
OL-29703-01
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Cambiar el valor de la ID de motor de SNMP tiene efectos secundarios importantes. La contrasea de un usuario (ingres
en la lnea de comandos) se convierte en un MD5 o SHA digerir la seguridad basada en la contrasea y el
ID de motor local. La contrasea de lnea de comandos es entonces destruido, como exige el RFC 2274. Debido
de esta eliminacin, si el valor de los cambios de identificacin del motor, los compendios de seguridad de los usuarios
SNMPv3 vuelven
invlida, y necesita volver a configurar los usuarios de SNMP utilizando el usuario SNMP-servidor nombre de usuario mundial
comando de configuracin. Restricciones similares requieren la reconfiguracin de las cadenas de comunidad cuando
los cambios de identificacin del motor.
Propsito
Paso 1
configure terminal
Paso 2
no snmp-server
Paso 3
fin
Paso 4
show running-config
Paso 5
El no snmp-server comando de configuracin global se desactivan todas las versiones que se ejecutan (Versin 1,
Versin 2C, y la versin 3) en el dispositivo. No existe un comando especfico del IOS de Cisco para habilitar SNMP. El
primero SNMP-servidor comando de configuracin global que introduzca permite a todas las versiones de SNMP.
Una lista de acceso de direcciones IP de los administradores SNMP que se permite utilizar la cadena de comunidad
para obtener acceso al agente
Una vista MIB, que define el subconjunto de todos los objetos MIB accesibles para la comunidad dado
Leer y escribir o permiso de slo lectura para los objetos de la MIB accesibles a la comunidad
38-9
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una cadena de comunidad en el interruptor:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Nota
Para cadena, especificar una cadena que acta como una contrasea y
permite el acceso al protocolo SNMP. Usted puede configurar una
o ms cadenas de comunidad de cualquier longitud.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Nota
Para desactivar el acceso para una comunidad SNMP, establezca la cadena de la comunidad para que la comunidad a la nula
string (no escriba un valor para la cadena de comunidad).
38-10
OL-29703-01
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Para eliminar una cadena de comunidad especfica, utilice el ninguna comunidad SNMP-servidor string configuracin global
de comandos.
Este ejemplo muestra cmo asignar la cadena comaccess para SNMP, para permitir acceso de slo lectura, y para
especificar que la lista de acceso IP 4 puede utilizar la cadena de comunidad para acceder al conmutador con agente SNMP:
Switch (config) # SNMP-servidor comaccess comunidad ro 4
Comando
Propsito
Paso 1
configure terminal
Paso 2
engineID SNMP-servidor {Locales engineid cuerdas Configure un nombre para la copia, ya sea local o remoto de SNMP.
|a distancia La direccin IP [Udp-port nmero-puerto]
El engineid cuerdas es una cadena de ID de 24 caracteres con el nombre
engineid-string}
de la copia de SNMP. No es necesario especificar la totalidad
24 caracteres de identificacin del motor si se ha ceros finales. Especifique slo la
porcin de la ID del motor hasta el punto de que slo ceros
permanecer en el valor. Por ejemplo, para configurar una ID de motor de
123400000000000000000000, puede introducir la siguiente:
SNMP-servidor engineID locales 1234
38-11
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Comando
Paso 3
Propsito
grupo SNMP-servidor nombregrupo {V1 |v2c | v3 Configurar un nuevo grupo SNMP en el dispositivo remoto.
{Auth | noauth |priv}} [Leer readview]
Para nombre de grupo, especificar el nombre del grupo.
[Escribir WriteView] [Notificar notifyview] [Acceso
Especifique un modelo de seguridad:access-list]
-v1 es el menos seguro de los posibles modelos de seguridad.
-v2c es el modelo de segundo menos seguro. Permite
nivel de autenticacin:
auth-Activa el Message Digest 5 (MD5) y el
Secure Hash Algorithm (SHA) de autenticacin de paquetes.
noauth-Activa el nivel de seguridad noAuthNoPriv. Este
es el valor predeterminado si no se especifica ninguna palabra clave.
priv-Activa Data Encryption Standard (DES) de paquetes
cifrado (tambin llamado privacidad).
38-12
OL-29703-01
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Comando
Paso 4
Propsito
Aadir un nuevo usuario para un grupo SNMP.usuario SNMP-servidor nombre de usuario Nombre de grupo
{Remoto acogida [Udp-port puerto]} {V1 [acceso
El nombre de usuario es el nombre del usuario en el host que conecta
access-list] | v2c [Acceso access-list] | V3
al agente.
[Encrypted] [acceso access-list] [Auth {md5 |
El nombregrupo es el nombre del grupo al que el usuario estsha} auth-password]} [Priv {des | 3des |aes
. asociada {128 | 192 |256}} priv-clave]
Ingrese a distancia para especificar una entidad SNMP remoto al que el
usuario pertenece y el nombre de host o IP de esa entidad con
el nmero opcional de puerto UDP. El valor por defecto es 162.
Paso 5
fin
Paso 6
show running-config
Paso 7
38-13
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Configuracin de SNMP
Notificaciones Un administrador de capturas es una estacin de administracin que recibe y procesa las trampas. Las trampas son las alertas del
sistema que
el interruptor genera cuando se producen determinados eventos. Por defecto, ningn gerente trampa se define, y sin trampas son
enviado. Interruptores ejecutar esta versin de Cisco IOS puede tener un nmero ilimitado de administradores de trampas.
Nota
Muchos comandos utilizan la palabra trampas en la sintaxis de comandos. A menos que haya una opcin en el comando
para seleccionar las trampas o informes, la palabra clave trampas se refiere a las trampas, informa, o ambos. Utilice el SNMPservidor
acogida comando de configuracin global para especificar si desea enviar notificaciones de SNMP como trampas o informes.
Tabla 38-5 describe las trampas de conmutacin compatibles (tipos de notificacin). Puede activar cualquiera o todos estos
trampas y configurar un administrador de trampas para recibirlos.
Tabla 38-5
Tipo de notificacin
Palabra clave
Descripcin
bgp
Genera Border Gateway Protocol (BGP) trampas de cambio de estado. Esta opcin slo est disponible cuando
el conjunto de caractersticas de servicios IP est habilitada.
puente
racimo
config
copia-config
umbral de la CPU
entidad
envmon
Genera trampas monitores ambientales. Usted puede habilitar alguna o todas de estas trampas ambientales: ventilador,
apagado, el estado, el suministro, la temperatura.
Flash
Genera notificaciones SNMP FLASH. En una pila de switches, puede habilitar opcionalmente notificacin para
insercin flash o eliminacin, lo que causara una trampa que se emitirn cada vez que un conmutador de la pila es
eliminado o insertado (eliminacin fsica, ciclo de alimentacin o recarga).
fru-ctrl
Genera unidad (FRU) trampas de control reemplazables entidad. En la pila de switches, esta trampa se refiere a
la insercin o eliminacin de un conmutador de la pila.
HSRP
Genera una trampa para Protocolo Hot Standby Router (HSRP) cambios.
ipmulticast
mac-notificacin
MSDP
Genera una trampa para Multicast Fuente Discovery Protocol (MSDP) cambios.
ospf
Genera una trampa para Open Shortest Path First (OSPF) cambios. Puede activar cualquiera o todos estos
trampas: Cisco especfica, errores, anuncio de estado de enlace, de lmites de frecuencia, retransmitir, y cambios de estado.
pim
Genera una trampa para Multicast (PIM) cambios Protocol-Independent. Puede activar cualquiera o todos los
estas trampas: mensajes no vlidos PIM, cambios de vecinos, y de punto de encuentro (RP) Cambios -mapping.
38-14
OL-29703-01
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Tabla 38-5
Tipo de notificacin
Palabra clave
port-security
Descripcin
Genera trampas SNMP de seguridad portuaria. Tambin puede establecer una tasa mxima trampa por segundo. El rango es
de 0 a 1000; el valor predeterminado es 0, lo que significa que no hay lmite de velocidad.
Nota
Cuando se configura una trampa utilizando el tipo de notificacin puerto de seguridad, configurar el puerto
trampa de la seguridad en primer lugar, y luego configurar la tasa de captura de la seguridad portuaria:
rtr
snmp
Genera una trampa para las notificaciones de tipo SNMP para la autenticacin, el arranque en fro, arranque en caliente,
enlazar o
vincular abajo.
Genera una trampa SNMP-control de tormentas. Tambin puede establecer una tasa mxima trampa por minuto. El
rango es de 0 a 1000; el valor predeterminado es 0 (no se impone ningn lmite; se enva una excepcin en cada aparicin).
-control de tormentas
stpx
syslog
tty
Genera una trampa para las conexiones TCP. Esta trampa est activada por defecto.
vlan-membresa
vlancreate
vlandelete
VTP
Nota
Aunque visible en las cadenas de ayuda de lnea de comandos, la fru-ctrl, insercin, y eliminacin palabras clave no son
soportado en el 3560-ECatalyst interruptor 3560-X Catalyst. Para habilitar el envo de SNMP informamos
notificaciones, utilizan la SNMP-servidor, permite trampas comando de configuracin global combinada con la
snmp-server host host-addr informa comando de configuracin global.
Puede utilizar el snmp-server host comando de configuracin global a un host especfico para recibir la
tipos de notificacin enumeran en Tabla 38-5.
38-15
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el conmutador para enviar capturas o informes
a un host:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Nota
Para sede de direccin-, especificar el nombre o la direccin de Internet del host (el
, receptor seleccionado).
(Opcional) Introduzca trampas (Por defecto) para enviar capturas SNMP a la acogida.
Nota
38-16
OL-29703-01
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Paso 6
Comando
Propsito
Paso 7
Paso 8
Paso 9
Paso 10
fin
(Opcional) Defina con qu frecuencia para volver a enviar mensajes de captura. El rango es de
1a
1000; el valor predeterminado es 30 segundos.
Vuelva al modo EXEC privilegiado.
Paso 11
show running-config
Paso 12
El snmp-server host especifica comando que alberga reciben las notificaciones. El SNMP-servidor
permitir trampa comando habilita globalmente el mecanismo para la notificacin especificado (por trampas y
informa). Para activar un host para recibir un informe, debe configurar una informa snmp-server host
comando para el host y en el mundo permitir informa mediante el uso de la SNMP-servidor, permite trampas de comandos.
Para quitar el host especificado la recepcin de capturas, utilice el no snmp-server host acogida mundial
comando de configuracin. El no snmp-server host comando sin palabras clave desactiva las trampas, pero no
informa, al host. Para desactivar informa, utilice el no informa snmp-server host configuracin global
de comandos. Para desactivar una trampa tipo especfico, utilice el no SNMP-servidor, permite trampas de notificacin tipos
mundial
comando de configuracin.
38-17
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Comando
Propsito
Paso 1
configure terminal
Paso 2
proceso de tipo de umbral de la CPU {Totales | Establecer los tipos de notificacin de umbral de la CPU y valores:
proceso |interrupcin} creciente
total conjunto el tipo de notificacin que la utilizacin total de CPU.
porcentaje intervalo segundos [Cayendo
cada porcentual intervalo segundos]
proceso de establecer el tipo de notificacin a la utilizacin de proceso de la CPU.
Paso 3
fin
Paso 4
show running-config
Paso 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
38-18
OL-29703-01
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Comando
Propsito
Paso 5
show running-config
Paso 6
Comando
Propsito
Paso 1
configure terminal
Paso 2
SNMP-servidor tftp-server-list
access-list-nmero
Paso 3
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Ejemplos SNMP
Este ejemplo muestra cmo habilitar todas las versiones de SNMP. La configuracin permite que cualquier administrador SNMP
acceder a todos los objetos con permisos de slo lectura utilizando la cadena de comunidad pblico. Esta configuracin
no provoca el cambio a enviar todas las trampas.
Switch (config) # pblica de la comunidad SNMP-servidor
38-19
Captulo 38
Configuracin de SNMP
Configuracin de SNMP
Este ejemplo muestra cmo permitir cualquier gestor SNMP para acceder a todos los objetos con el permiso de slo lectura
utilizando la cadena de comunidad pblico. El switch tambin enva capturas VTP a los anfitriones 192.180.1.111
y 192.180.1.33, con SNMPv1 y para la 192.180.1.27 host utilizando SNMPv2C. La cadena de comunidad
pblica se enva con las trampas.
Switch
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
(config)
#
#
#
#
#
SNMP-servidor
SNMP-servidor
SNMP-servidor
SNMP-servidor
SNMP-servidor
pblica de la comunidad
permitir trampas VTP
el anfitrin 192.180.1.27 pblica 2c versin
acoger versin 192.180.1.111 1 pblica
acoger pblico 192.180.1.33
Este ejemplo muestra cmo permitir acceso de slo lectura para todos los objetos a los miembros de la lista de acceso de 4 que
utilizan
la comaccess cadena de comunidad. No hay otros gestores SNMP tienen acceso a ningn objeto. SNMP
Trampas de errores de autenticacin son enviados por SNMPv2C al host cisco.com utilizando la cadena de comunidad
pblico.
Switch (config) # SNMP-servidor comaccess comunidad ro 4
Switch (config) # SNMP-servidor, permite la autenticacin de trampas SNMP
Switch (config) # cisco.com host pblico la versin 2c del SNMP-servidor
Este ejemplo muestra cmo enviar trampas Entidad MIB al host cisco.com. La cadena de comunidad es
restringida. La primera lnea permite al conmutador para que enve capturas Entidad MIB, adems de todas las trampas previamente
habilitado. La segunda lnea especifica el destino de estas trampas y sobrescribe cualquier anterior
snmp-server host comandos para el anfitrin cisco.com.
Switch (config) # SNMP-servidor, permite trampas entidad
Switch (config) # entidad cisco.com snmp-server host restringido
Este ejemplo muestra cmo habilitar el interruptor para enviar todas las trampas para el anfitrin myhost.cisco.com usando el
cadena de comunidad pblica:
Switch (config) # SNMP-servidor, permite trampas
Switch (config) # pblica myhost.cisco.com snmp-server host
Este ejemplo muestra cmo asociar un usuario con un host remoto y enviar auth (AuthNoPriv)
-nivel de autenticacin informa cuando el usuario entra en el modo de configuracin global:
Switch (config)
Switch (config)
Switch (config)
micontrasea
Switch (config)
Switch (config)
Switch (config)
Switch (config)
38-20
OL-29703-01
Captulo 38
Configuracin de SNMP
Viendo Estado SNMP
Caracterstica
show snmp
Muestra informacin sobre el motor SNMP local y todos los motores remotos que tengan
sido configurada en el dispositivo.
Muestra informacin sobre cada nombre de usuario SNMP en la tabla de usuarios de SNMP.
Nota
38-21
Captulo 38
Configuracin de SNMP
38-22
OL-29703-01
E R CH A P T
39
Comenzando con Cisco IOS Versin 12.2 (55) SE, la funcin de EEM se apoya en la base IP y IP
servicios de conjunto de caractersticas. No es compatible con el conjunto de funciones de base LAN.
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el interruptor
referencia de comandos para esta versin y la Cisco IOS Red de Gestin de Consulta de mandatos. Para
el conjunto de documentos EEM completa, ver estos documentos en el Gestin de Red de Cisco IOS
Gua de configuracin:
39-1
Captulo 39
CLI
evento
detector
Syslog
mensaje
cola
SYSLOG
evento
detector
OIR
eventos
OIR
evento
detector
evento
gerente de ejecucin
Comando de la CLI
Hardware
temporizadores
NINGUNO
evento
detector
Timer
evento
detector
Contador
evento
detector
Evento
suscriptores
127574
EEM APPLET
EEM SCRIPT
Consulte la Configuracin EEM para Cisco Integrated Services Router Gua de Plataformas para ejemplos de EEM
despliegue.
39-2
OL-29703-01
Captulo 39
Detectores de
eventos
Programas de software EEM conocidos como detectores de eventos a determinar cundo se produce un evento EEM. Evento
detectores son sistemas separados que proporcionan una interfaz entre el agente que se est monitorizados, por ejemplo
SNMP, y las polticas de EEM donde se puede implementar una accin. Los detectores de eventos se generan slo
por el interruptor principal. Procesos de la CLI y de enrutamiento tambin se ejecutan slo desde el interruptor principal.
Nota
-Aplicacin especfica evento detector-Permite que cualquier poltica de EEM para publicar un evento.
IOS CLI evento detector-Genera polticas basadas en los comandos introducidos a travs de la CLI.
Generico Online Diagnstico (GOLD) evento detector-publica un evento cuando un fallo ORO
evento se detecta en una tarjeta y subcard especificado.
Caso Contador detector-publica un evento cuando un contador llamado cruza un umbral especificado.
Interfaz evento contador detector-publica un evento cuando un contador genrico interfaz de Cisco IOS para
una interfaz especificada cruza un umbral definido. Un umbral puede ser especificado como un valor absoluto
o un ejemplo value.For incrementales, si el valor incremental se establece en 50 un evento sera
publicados cuando la interfaz contador aumenta en 50.
Este detector tambin publica un evento sobre una interfaz basada en la tasa de cambio para la entrada y
los valores de salida.
Ninguno evento detector-publica un evento cuando el evento gerente plazo Comando CLI ejecuta una
Poltica EEM. Horarios de EEM y carreras polticas sobre la base de una especificacin de evento dentro del
la propia poltica. Una poltica EEM debe ser identificado y registrado antes de la mano gestor de eventos
run comando ejecuta.
Insercin en lnea y eventos de eliminacin detector-publica un evento cuando una insercin de hardware o
eliminacin (OIR) evento ocurre.
Evento umbral de Recursos detector-Genera polticas basadas en los valores de plataformas globales y
umbrales. Incluye recursos tales como la utilizacin de la CPU y la capacidad tampn restante. Se aplica slo
para el interruptor principal.
Llamada a procedimiento remoto (RPC) evento detector-Invoca polticas EEM desde fuera del interruptor sobre
un protocolo simple de acceso a objetos cifrados usando la conexin Secure Shell (SSH) y utiliza (SOAP)
codificacin de datos para el intercambio de mensajes basados en XML. Tambin dirige las polticas de EEM y luego obtiene
el
salida en tu respuesta con formato XML SOAP.
Evento SNMP detector-Permite a un objeto SNMP MIB estndar para ser monitoreado y un evento para ser
generada cuando el objeto coincide con los valores especificados o cruces umbrales especificados.
-El objeto coincide con los valores especificados o cruces umbrales especificados.
-El valor delta SNMP, la diferencia entre el valor de identificador de objeto supervisado (OID) a
Al principio del perodo y el valor OID real cuando se publica el evento, coincide con un
valor especificado.
Trampa e informar a los mensajes SNMP detector-Intercepta evento de notificacin SNMP recibidos por el
interruptor. El evento se genera cuando un mensaje entrante coincide con un valor especificado o cruza un
umbral definido.
39-3
Captulo 39
Evento Syslog detector-Permite la deteccin de mensajes de syslog para un patrn de expresin regular
partido. Los mensajes seleccionados pueden ser ms cualificado, lo que requiere que un nmero especfico de
sucesos se registrarn en un plazo determinado. El partido en el criterio de eventos especificados desencadena una
accin poltica configurada.
ocurre.
-Un temporizador de cuenta atrs publica un evento cuando un temporizador de cuenta regresiva a
cero.
-Un temporizador de vigilancia publica un evento cuando un temporizador de cuenta regresiva a cero. El temporizador de
forma
automtica
restablece
s a su valor inicial y empieza a contarse de nuevo.
-Un temporizador CRON publica un evento mediante el uso de una especificacin CRON estndar UNIX para definir
cuando el evento se va a publicar. Un temporizador CRON nunca publica eventos ms de una vez por
minutos.
Detector de eventos Watchdog (IOSWDSysMon) -Publishes un evento nico en el interruptor principal cuando
Publica un evento cuando se produce uno de estos eventos:
-Utilizacin de CPU para un proceso Cisco IOS cruza un umbral.
-Utilizacin de memoria para un proceso Cisco IOS cruza un umbral.
Dos eventos se pueden monitorizar al mismo tiempo, y la publicacin de sucesos criterios requiere que uno o
ambos eventos se cruzan sus umbrales especificados.
Recarga el interruptor principal en el caso de una conmutacin maestro. Si esto ocurre, un nuevo interruptor maestro
es elegido.
39-4
OL-29703-01
Captulo 39
Utiliza EEM para escribir y poner en prctica sus propias polticas utilizando el lenguaje de comandos de herramienta de poltica
EEM
(TCL) guin. Al configurar un script TCL en el interruptor principal y el archivo se enva automticamente
a los conmutadores miembros. Los scripts TCL definidos por el usuario deben estar disponibles en los switches miembros para que
si el interruptor maestro cambia, las polticas de los scripts TCL continan trabajando.
Mejoras de Cisco a TCL en forma de extensiones de palabras clave facilitan el desarrollo de EEM
polticas. Estas palabras clave identifican el evento detectado, la accin posterior, informacin de utilidad, contador
valores y la informacin del sistema.
Para obtener informacin completa sobre la configuracin de las polticas de EEM y secuencias de comandos, consulte la Gestin de
Red de Cisco IOS
Gua de configuracin, lanzamiento 12.4T.
Cisco definido variables de entorno y las variables de entorno definidas por el sistema Cisco podra aplicarse a
un detector de eventos especficos o para todos los detectores de eventos. Las variables de entorno que son definidas por el usuario
o
definido por Cisco en una poltica de muestra son fijados por el uso de la entorno de gestor de eventos mundial
comando de configuracin. Debe definido las variables en la poltica EEM antes de registrar la
poltica.
Para obtener informacin sobre las variables ambientales que EEM soportes, consulte la Cisco IOS Red
Gua de configuracin de administracin, de estreno 12.4T.
EEM 3.2
EEM 3.2 es compatible con Cisco IOS 12.2 (52) SE y despus e introduce estos detectores de eventos:
Vecino Discovery-Vecino Discovery detector de eventos proporciona la capacidad de publicar una poltica de
responder a la deteccin automtica vecino cuando:
-Se agrega una entrada de cach Cisco Discovery Protocol (CDP), eliminada o actualizada.
-se aade un Protocolo (LLDP) entrada de cach de capa de enlace, eliminar o actualizar.
-un estado de enlace de interfaz cambia.
-un estado de la lnea interfaz cambia.
Identidad Identidad detector de eventos genera un evento cuando la autorizacin y autenticacin AAA es
xito, cuando se produce un fallo, o despus de que se permite el trfico normal de usuario en el puerto a fluir.
39-5
Captulo 39
Nota
El detector de Mac-Address-Tabla evento slo se admite en las plataformas de conmutacin y se puede utilizar
slo en la capa 2 interfaces donde se aprenden las direcciones MAC. Capa 3 interfaces no aprenden
direcciones y routers no suelen apoyar la infraestructura MAC address-table necesaria para
notificar EEM de una direccin MAC aprendida.
EEM 3.2 tambin introduce comandos CLI para apoyar los applets para trabajar con los nuevos detectores de eventos.
Para ms detalles sobre EEM 3.2 funciones, consulte la 3.2 documento Embedded Event Manager:
http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_eem_3.2.html
Para obtener informacin completa sobre la configuracin de gestor de eventos incorporado, consulte la Cisco IOS Red
Gua de configuracin de administracin, de estreno 12.4T.
Nota
Para configurar EEM, debe tener los servicios IP cuentan con set instalado en el interruptor.
Nota
Slo se permite el comando applet de un evento en un applet EEM. Mltiples comandos de accin de applets son
permitido. Si no se especifica la ningn caso y ninguna accin comandos, se retira el applet cuando
modo de salir de la configuracin.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Especifique los criterios de los eventos que causa el subprograma EEM para funcionar.oid evento SNMP oid-valor
de tipo conseguir
{Exacta | siguiente} entrada-op {Eq | ge |gt |le |
(Opcional) Criterios de salida. Si no se especifican los criterios de salida, monitoreo de eventos
lt |ne} entrada-val entrada-val [Salida de peine
se vuelve a habilitar de inmediato.
{O | y}] [Exit-op {eq | ge |gt |le |lt |
ne}] [Exit-val salida-val] [-Tiempo de salida
-tiempo de salida-val] intervalo de sondeo encuesta-int-val
39-6
OL-29703-01
Captulo 39
Paso 4
Paso 5
Comando
Propsito
Especifique la accin cuando se activa un subprograma EEM. Repita esta accin para agregar
otros comandos de la CLI para el applet.
fin
Este ejemplo muestra la salida para EEM cuando uno de los campos especificados por un objeto SNMP cruces ID
un umbral definido:
Switch (config-applet) # evento de tipo get OID SNMP 1.3.6.1.4.1.9.9.48.1.1.1.6.1 exacta entrada-op
lt entrada-val 5120000 intervalo de sondeo 10
Estos ejemplos muestran las acciones que se toman en respuesta a un evento EEM:
Switch (config-applet) # accin 1.0 prioridad syslog Memoria msg crtico "agotado; actual
memoria disponible es de $ bytes _snmp_oid_val "
Switch (config-applet) # accin 2.0 Fuerza-conmutacin
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
configure terminal
Paso 4
entorno de gestor de eventos Configure el valor de la variable de entorno EEM especificado. Repita este paso para
nombre-variable de cadenatodas las variables de entorno necesarias.
Paso 5
Paso 6
Salida
Este ejemplo muestra el resultado de ejemplo para el comando show evento entorno de gestor:
Switch # mostrar entorno de gestor de evento de todo
No. NameValue
1_cron_entry0-59 / 2 0-23 / 1 * 0-6 *
2_show_cmdshow ver
3_syslog_pattern. * UPDOWN. * Ethernet1 / 0 *
39-7
Captulo 39
4
5
_config_cmd1
_config_cmd2
interfaz ethernet1 / 0
sin cierre
Este ejemplo muestra una variable de entorno temporizador CRON, que es asignado por el software, que se establece en
cada segundo minuto, cada hora de cada da:
Switch (config) # evento gerente environment_cron_entry 0-59 / 0-23 2/1 * 0-6 *
Este ejemplo muestra la poltica de muestra EEM llamado tm_cli_cmd.tcl registrada como una directiva del sistema. El
las polticas del sistema son parte de la imagen de Cisco IOS. Los scripts TCL definidas por el usuario se deben copiar primero a
parpadear
memoria.
Switch (config) # evento administrador del sistema de polticas de tipo tm_cli_cmd.tcl
39-8
OL-29703-01
E R CH A P T
40
Nota
La informacin contenida en este captulo sobre IP ACL es especfico para IP versin 4 (IPv4). Para obtener informacin acerca de
IPv6
ACL, consulte Captulo 42, "Configuracin de IPv6 ACL."
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin, consulte la seccin "Configuracin de los servicios IP" en el "direccionamiento IP y servicios"
captulo de la Gua de configuracin de Cisco IOS IP, versin 12.4, y el Comando Cisco IOS IP
, Volumen 1 de 3: Direccionamiento y Servicios, versin 12.4.
Catalyst 3750-X y 3560-X interruptores corriendo las bases o IP servicios IP conjunto de caractersticas Catalyst 3750-E y
3560-E switches tambin soportan Cisco TrustSec Security Group Tag (SCT) Exchange Protocol (SXP). Este
funcin admite listas de control de acceso de grupo de seguridad (SGACLs), que definen polticas de ACL para un grupo de
dispositivos en lugar de una direccin IP. El protocolo de control de SXP permite que los paquetes de marcado con SCTs sin
actualizacin de hardware, y corre entre los dispositivos de la capa de acceso a la orilla de dominio Cisco TrustSec y
dispositivos de la capa de distribucin dentro del dominio de Cisco TrustSec. Catalyst 3750-X y 3560-X interruptores
Catalyst 3750-E y switches 3560-E funcionan como switches de capa de acceso en la red de Cisco TrustSec.
Para obtener ms informacin acerca de Cisco TrustSec, consulte el "Interruptor de Cisco TrustSec Gua de configuracin" en este
URL:
http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html
Las secciones sobre SXP definen las capacidades soportadas en el Catalyst 3750-X y 3560-X
switchesCatalyst 3750-E y 3560-E interruptores.
Nota
En los interruptores que ejecutan el conjunto de funciones de base LAN, ACL del router slo se admiten en conmutador
virtual
interfaces (SVI). Mapas de VLAN no son compatibles.
Este captulo consta de las siguientes secciones:
40-1
Captulo 40
La comprensin de las
ACL
El filtrado de paquetes puede ayudar a trfico de red lmite y restringir el uso de la red por ciertos usuarios o dispositivos. ACL
filtran el trfico a su paso por un router o switch y permitir o denegar paquetes cruza especifica
interfaces o redes VLAN. Una ACL es una coleccin secuencial de permiso y negar las condiciones que se aplican a
paquetes. Cuando se recibe un paquete en una interfaz, el interruptor compara los campos en el paquete contra
cualquier ACL aplicada para verificar que el paquete tiene los permisos necesarios para ser reenviados, basado en la
criterios especificados en las listas de acceso. Uno por uno, se pone a prueba los paquetes con las condiciones en una lista de acceso.
El primer partido decide si el conmutador acepta o rechaza los paquetes. Debido a que las paradas de conmutacin
prueba despus de que el primer partido, el orden de las condiciones en la lista es crtica. Si no hay condiciones coinciden, el
interruptor rechaza el paquete. Si no hay restricciones, el conmutador enva el paquete; de lo contrario, la
conmutador descarta el paquete. El interruptor se puede utilizar ACL en todos los paquetes que reenva, incluyendo los paquetes
puenteados
dentro de una VLAN.
Puede configurar las listas de acceso en un router o conmutador de capa 3 para proporcionar una seguridad bsica para la red. Si
no configura ACLs, todos los paquetes que pasan a travs del conmutador se podra permitir a todas las partes del
red. Puede utilizar las ACL para controlar qu hosts pueden acceder a diferentes partes de una red o de decidir
qu tipos de trfico se reenvan o bloqueados en las interfaces del router. Por ejemplo, puede permitir que el correo electrnico
trfico que se remitir, pero no el trfico de Telnet. ACLs se pueden configurar para bloquear el trfico entrante, saliente
trfico, o ambos.
Una ACL contiene una lista ordenada de entradas de control de acceso (ACE). Cada especifica la ECA permiso o negar
y un conjunto de condiciones que el paquete debe satisfacer con el fin de que coincida con la ACE. El significado de permiso o
negar
depende del contexto en el que se utiliza la ACL.
El switch soporta ACL IP y Ethernet (MAC) ACL:
ACL IP filtrar el trfico IPv4, incluyendo TCP, User Datagram Protocol (UDP), grupos de Internet
Management Protocol (IGMP), y el Protocolo de mensajes de control de Internet (ICMP).
Este interruptor tambin es compatible con la calidad de servicio (QoS) ACL de clasificacin. Para obtener ms informacin,
consulte la
Seccin "Clasificacin basada en QoS ACL" en la pgina 41-7.
Estas secciones contienen esta informacin conceptual:
ACL compatibles
El switch soporta tres tipos de ACL para filtrar el trfico:
Nota
En los interruptores que ejecutan el conjunto de funciones de base LAN, ACL del router slo se admiten en los mapas SVIS y
VLAN
no son compatibles.
40-2
OL-29703-01
Captulo 40
Puerto ACL del trfico de control de acceso introduciendo una interfaz de capa 2. El conmutador no soporta ACL portuarias
en la direccin de salida. Slo se puede aplicar una lista de acceso IP y una lista de acceso MAC a una Capa 2
interfaz. Para obtener ms informacin, consulte la Seccin "Puerto ACL" en la pgina 40-4.
Router ACL-control de acceso enruta el trfico entre las VLAN y se aplican a la Capa 3 interfaces en
una direccin especfica (entrante o saliente). Para obtener ms informacin, consulte la Seccin "Router ACL" en la
pgina 40-5.
ACL VLAN o mapas de VLAN de acceso de control de todos los paquetes (puenteado y encaminado). Usted puede utilizar
VLAN
mapas para filtrar el trfico entre los dispositivos en la misma VLAN. Mapas de VLAN estn configuradas para proporcionar
control de acceso basado en direcciones de Capa 3 para IPv4. Protocolos no compatibles son de acceso restringido
a travs de las direcciones MAC utilizando Ethernet ACE. Despus de un mapa de VLAN se aplica a una VLAN, todos los
paquetes
(Ruta o un puente) que entra en la VLAN se comprueban con el mapa VLAN. Los paquetes pueden entrar ya sea
la VLAN a travs de un puerto de switch oa travs de un puerto derrotado despus de ser derrotados. Para obtener ms
informacin,
Ustedver
puede
utilizar"VLAN
ACL puerto
de entrada,
ACL40-5.
del router, y mapas de VLAN en el mismo conmutador. Sin embargo, una ACL
el Seccin
Mapas"
en la pgina
puerto
tiene prioridad sobre una ACL router o mapa VLAN.
Cuando se aplican tanto a un puerto de entrada de ACL y un mapa VLAN, los paquetes entrantes recibidas en los puertos
con un puerto ACL aplicada se filtran por la ACL puerto. Otros paquetes son filtrados por el mapa VLAN
Cuando un enrutador de entrada ACL y ACL puerto de entrada existen en una interfaz virtual switch (SVI), entrante
paquetes recibidos en los puertos a los que se aplica una ACL puerto se filtran por la ACL puerto. Entrante
paquetes IP enrutados recibidos en otros puertos son filtrados por la ACL del router. Otros paquetes no son
filtrada.
Cuando un enrutador de salida ACL y ACL puerto de entrada existen en un SVI, paquetes entrantes recibidas en el
puertos a los que se aplica una ACL puerto son filtrados por la ACL puerto. Paquetes IP salientes son enrutadas
filtrada por el ACL router. Otros paquetes no se filtran.
Cuando un mapa VLAN, entrada de ACL del router, y ACL puerto de entrada existen en un SVI, paquetes entrantes
recibido en los puertos a los que se aplica una ACL puerto slo se filtran por la ACL puerto. Entrante
paquetes IP enrutados recibidos en otros puertos son filtrados por tanto el mapa de VLAN y la ACL del router.
Otros paquetes se filtran slo por el mapa de VLAN.
Cuando un mapa VLAN, salida de ACL del router, y ACL puerto de entrada existen en un SVI, paquetes entrantes
recibido en los puertos a los que se aplica una ACL puerto slo se filtran por la ACL puerto. Saliente
paquetes IP enrutados son filtrados por tanto el mapa de VLAN y la ACL del router. Otros paquetes se filtran
slo por el mapa de VLAN.
Si IEEE 802.1Q tnel est configurado en una interfaz, cualquier IEEE 802.1Q encapsula los paquetes IP
recibidas en el puerto de tnel se pueden filtrar por MAC ACL, pero no por IP ACL. Esto es porque el interruptor
no reconoce el protocolo dentro de la cabecera IEEE 802.1Q. Esta restriccin se aplica a las ACL del router,
puerto ACL, y mapas de VLAN. Para obtener ms informacin acerca de IEEE 802.1Q tnel, consulte Captulo 20,
"Configuracin de IEEE 802.1Q Tunneling" y Captulo 20, "Configuracin de Layer 2 Tunneling Protocol."
40-3
Captulo 40
Puerto ACL
Port ACL son ACLs que se aplican a la Capa 2 interfaces en un switch. ACL Port slo se admiten en
interfaces fsicas y no en las interfaces EtherChannel y puede ser aplicado slo en interfaces en el
direccin entrante. Estas listas de acceso son compatibles:
Extendido las listas de acceso IP con direcciones de origen y de destino y tipo de protocolo opcional
informacin
MAC extenderse listas de acceso que utilicen origen y destino direcciones MAC y opcional tipo de protocolo
informacin
El conmutador examina ACL asociado con todas las caractersticas de entrada configuradas en una interfaz determinada y
permisos o niega el reenvo de paquetes basado en cmo el paquete coincide con las entradas de la ACL. De este modo,
Control de acceso ACL a una red oa una parte de una red. Figura 40-1 es un ejemplo de uso de las ACL del puerto
para controlar el acceso a una red cuando todas las estaciones de trabajo estn en la misma VLAN. ACL aplicada en la capa 2
entrada permitira Host A para acceder a la red de Recursos Humanos, pero evitar Host B accedan
la misma red. Puerto ACL slo se puede aplicar a la capa 2 las interfaces en la direccin entrante.
Figura 40-1
Host A
Host B
Humano
Recursos
red
Investigacin y
Desarrollo
red
= ACL negar el trfico del host B
y permite el trfico desde el host A
= Paquete
101365
Al aplicar una ACL puerto a un puerto troncal, el trfico filtros ACL en todas las VLAN presente en el tronco
puerto. Al aplicar una ACL puerto a un puerto con VLAN de voz, el trfico filtros ACL en datos y
VLAN de voz.
Con ACL de puerto, puede filtrar el trfico IP mediante el uso de listas de acceso IP y el trfico no IP mediante el uso de MAC
direcciones. Puedes realizar un filtrado IP y el trfico no IP en el mismo interfaz de capa 2 mediante la aplicacin tanto una IP
lista de acceso y una lista de acceso MAC a la interfaz.
40-4
OL-29703-01
Captulo 40
Nota
No se puede aplicar ms de una lista de acceso IP y una lista de acceso MAC a una interfaz de capa 2. Si una IP
lista de acceso o lista de acceso MAC ya est configurado en una interfaz de capa 2 y que aplican un nuevo acceso IP
lista o lista de acceso MAC de la interfaz, el nuevo ACL reemplaza la configurada previamente.
Router ACL
Nota
En los interruptores que ejecutan el conjunto de funciones de base LAN, ACL del router slo se admiten en SVI.
Puede aplicar ACL de enrutadores en los interruptores interfaces virtuales (SVI), que son de nivel 3 interfaces a las VLANs;
en la capa fsica 3 interfaces; y en la Capa 3 interfaces EtherChannel. Usted aplica ACL del router en
interfaces para direcciones especficas (entrantes o salientes). Puede aplicar una ACL del router en cada direccin
en una interfaz.
Una ACL se puede utilizar con mltiples caractersticas para una interfaz dada, y una caracterstica puede utilizar mltiples
ACL. Cuando una sola ACL del router es utilizado por mltiples caractersticas, se examina varias veces.
El conmutador es compatible con estas listas de acceso para el trfico
IPv4:
Las listas de acceso IP estndar utilizan direcciones de origen para las operaciones de juego.
Extendido las listas de acceso IP utilizan direcciones de origen y destino y la informacin de tipo de protocolo facultativo
para las operaciones de juego.
Al igual que con las ACL de puerto, el switch examina ACL asociado con caractersticas configuradas en una interfaz determinada.
Sin embargo, las ACL del router son compatibles en ambas direcciones. Cuando los paquetes entran en el interruptor en una interfaz,
Se examinan las ACL asociadas con todas las caractersticas de entrada configuradas en la interfaz. Despus de paquetes son
enrutan y antes de ser enviados a la siguiente hop, todas las ACL asociadas con rasgos salientes
configurada en la interfaz de salida se examinan.
ACL permiten o deniegan el reenvo de paquetes basado en cmo el paquete coincide con las entradas de la ACL, y
puede ser utilizado para controlar el acceso a una red o a una parte de una red. En Figura 40-1, ACL aplicada en el
de entrada del router permite el host A para acceder a la red de recursos humanos, sino a prevenir Host B accedan
la misma red.
VLAN Mapas
Nota
Mapas de VLAN no son compatibles con los interruptores que ejecutan el conjunto de funciones de
base LAN.
Mapas de uso de VLAN ACL o VLAN acceder control todo trfico. Usted puede solicitar mapas de la VLAN a todos los paquetes
que se encaminan hacia dentro o fuera de una VLAN o estn puenteados dentro de una VLAN en la pila de conmutadores o switch.
Mapas de uso de VLAN para el filtrado de paquetes de seguridad. Mapas de VLAN no estn definidos por la direccin (entrada o
salida).
Puede configurar los mapas de VLAN para que coincida con direcciones de Capa 3 para el trfico
IPv4.
Todos los protocolos no IP se controlan el acceso a travs de direcciones MAC y Ethertype usando VLAN MAC
mapas. (Trfico IP no es Acceso controlado por los mapas MAC VLAN). Puede valer mapas VLAN slo en
los paquetes que van a travs del interruptor; no se puede hacer cumplir mapas VLAN en el trfico entre los hosts en un
concentrador o
en otro interruptor conectado a este conmutador.
40-5
Captulo 40
Con mapas de VLAN, el reenvo de paquetes est permitido o negado, basado en la accin especificada en el
mapa. Figura 40-2 muestra cmo se aplica un mapa VLAN para prevenir un tipo especfico de trfico desde el host A en
VLAN 10 se reenva. Slo se puede aplicar un mapa VLAN a una VLAN.
Figura 40-2
Host A
(VLAN 10)
Host B
(VLAN 10)
92919
Permiso ACE que comprueba la informacin de capa 3 en el fragmento (incluido el tipo de protocolo, como
TCP, UDP, y as sucesivamente) se considera que coincide con el fragmento independientemente de lo que falta la capa 4
informacin podra haber sido.
Denegar ACE que comprueban Capa 4 nunca coincida con un fragmento menos que el fragmento contiene
Informacin del nivel 4.
Considere la lista de acceso 102, configurado con estos comandos, aplicados a tres paquetes fragmentados:
Switch
Switch
Switch
Switch
Nota
(config)
(config)
(config)
(config)
#
#
#
#
access-list
access-list
access-list
access-list
102
102
102
102
En la primera y segunda ACE en los ejemplos, la eq palabra clave despus de la direccin de destino significa para probar
para el destino de puertos TCP nmeros conocidos igualando Simple Mail Transfer Protocol (SMTP) y
Telnet, respectivamente.
Paquete A es un paquete TCP desde el host 10.2.2.2., El puerto 65000, va a acoger 10.1.1.1 en el puerto SMTP.
Si este paquete est fragmentado, el primer fragmento coincide con la primera ACE (un permiso) como si se tratara de un
paquete completo porque todos Capa 4 est presente. Los fragmentos restantes tambin coinciden con el
primero ACE, a pesar de que no contienen la informacin del puerto SMTP, ya que slo el primer ACE
controles de capa 3 de informacin cuando se aplica a los fragmentos. La informacin en este ejemplo es que el
paquete es TCP y que el destino es 10.1.1.1.
40-6
OL-29703-01
Captulo 40
Paquete B es desde el host 10.2.2.2, 65001 puerto, va a acoger 10.1.1.2 en el puerto Telnet. Si este paquete
est fragmentada, el primer fragmento coincide con la segunda ACE (a negar) porque toda la Capa 3 y Capa 4
la informacin est presente. Los fragmentos restantes en el paquete no coinciden con el segundo ACE porque
que se estn perdiendo Capa 4. En cambio, coinciden con el tercer ACE (un permiso).
Debido a que el primer fragmento se le neg, anfitrin 10.1.1.2 no se puede volver a montar un paquete completo, tan paquete
B es negada de manera efectiva. Sin embargo, los fragmentos posteriores que se permiten consumirn ancho de banda en
la red y los recursos de acogida 10.1.1.2 ya que trata de volver a montar el paquete.
La fragmentacin de paquetes C es desde el host 10.2.2.2, puerto 65001, va a acoger 10.1.1.3, ftp puerto. Si este paquete
est fragmentada, el primer fragmento coincide con el cuarto de la ECA (a negar). Todos los otros fragmentos tambin
coinciden
el cuarto ACE porque eso ACE no comprueba ninguna informacin de capas 4 y porque la capa 3
informacin en todos los fragmentos de muestra que estn siendo enviados a la sede de 10.1.1.3, y el permiso anterior
ACE estaban revisando diferentes hosts.
Si los paquetes deben ser enviados por el software por cualquier motivo (por ejemplo, no hardware suficiente
recursos), el interruptor principal reenva los paquetes una vez aplicada la ACL en los paquetes.
Ellos actan como interruptores de espera, listo para asumir el papel de la maestra de la pila si la maestra existente
fueron a fallar y que iban a ser elegido como el nuevo maestro de la pila.
Cuando un maestro de la pila falla y un nuevo maestro de la pila es elegido, el maestro recin elegido reparses la movi hacia atrs
corriendo configuracin. (Ver Captulo 5, "Configuracin del conmutador de pila.") La configuracin de ACL que
Se parte de la configuracin en ejecucin tambin se reparsed durante este paso. Los nuevos maestros distribuye pila
la informacin de ACL para todos los switches de la pila.
Contabilidad IP
40-7
Captulo 40
ACL reflexivas o ACL dinmicas (a excepcin de algunos ACLs dinmicos especializados utilizados por el interruptor
caracterstica de clster)
Paso 1
Crear una ACL especificando un nmero de lista de acceso o el nombre y las condiciones de acceso.
Paso 2
Aplicar la ACL a interfaces o lneas de terminal. Tambin puede aplicar las ACL IP estndar y extendidas a
Mapas de VLAN.
Las listas de acceso IP estndar utilizan direcciones de origen para las operaciones de juego.
Extendido las listas de acceso IP utilizan direcciones de origen y de destino para las operaciones de juego y opcional
informacin del tipo de protocolo para el control de granularidad ms fina.
40-8
OL-29703-01
Captulo 40
Nota
Apoyado
1-99
100-199
200-299
No
300-399
400-499
No
500-599
No
600-699
No
700-799
No
800-899
No
900-999
No
1000-1099
No
1100-1199
No
1200-1299
No
1300-1999
2000-2699
No
Adems de norma numerada y ACL extendidas, tambin puede crear estndares y ampliados llamado
ACL IP mediante el uso de los nmeros compatibles. Es decir, el nombre de una ACL IP estndar puede ser de 1 a 99; la
nombre de un IP ACL extendida puede ser de 100 a 199 La ventaja de usar las ACL nombradas en lugar de
listas numeradas es que se puede eliminar entradas individuales de una lista con nombre.
ACL Registro
El software del conmutador puede proporcionar mensajes de registro sobre los paquetes permitidos o denegados por una IP estndar
lista de acceso. Es decir, cualquier paquete que coincide con la ACL provoca un mensaje de registro de informacin sobre el
paquete que se enviar a la consola. El nivel de mensajes registrados en la consola es controlada por el registro
consola de comandos de control de los mensajes de registro del sistema.
Nota
Puesto que el enrutamiento se lleva a cabo en el hardware y el registro se hace por software, si un gran nmero de paquetes que
coincida
unpermiso o negar ACE que contiene un log palabra clave, el software podra no ser capaz de igualar el hardware
tasa de procesamiento, y no todos los paquetes se registrarn.
40-9
Captulo 40
El primer paquete que desencadena la ACL provoca un mensaje de registro de inmediato, y los paquetes subsiguientes son
recogidos durante intervalos de 5 minutos antes de que aparezcan o conectado. El mensaje de registro incluye el acceso
nmero de la lista, si el paquete se permite o se niega, la direccin IP de origen del paquete, y el
nmero de paquetes de ese origen permitido o negado en el intervalo antes de 5 minutos.
Registro Inteligente
Cuando el registro inteligente est activado en el conmutador y una ACL configurada con el registro inteligentes est conectado a
una interfaz de capa 2 (puerto ACL), los contenidos de los paquetes denegados o permitidos debido a la ACL son tambin
enviado a un colector NetFlow especificado. Para obtener ms informacin acerca del registro inteligente, consulte la
"Configuracin de
Apartado Smart Protocolos "en la pgina 37-14.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una ACL estndar numerada:
Comando
Propsito
Paso 1
configure terminal
Paso 2
access-list access-list-nmero {Negar | permiso} Definir una lista de acceso estndar IPv4 mediante el uso de una direccin de origen y
fuente [Source-wildcard] [log | SmartLog]comodn.
El access-list-nmero es un nmero decimal de 1 a 99 o 1300
a 1999.
Ingrese negar o permiso para especificar si se debe negar o permitir el acceso
Si se comparan las condiciones.
El fuente es la direccin de origen de la red o host desde el cual
el paquete se est enviando especifica como:
Paso 3
fin
Paso 4
Paso 5
40-10
OL-29703-01
Captulo 40
Utilice el ninguna lista de acceso access-list-nmero comando de configuracin global para borrar toda la ACL. Usted
no puede eliminar las ACE individuales de las listas de acceso numeradas.
Nota
Al crear una ACL, recuerde que, por defecto, el final de la ACL contiene una implcita niegan
declaracin para todos los paquetes que no se encontr una coincidencia para antes de llegar al final. Con acceso estndar
listas, si se omite la mscara de un husped especificacin ACL direccin IP asociada, 0.0.0.0 se supone que
ser la mscara.
Este ejemplo muestra cmo crear una ACL estndar para permitir el acceso a IP 171.69.198.102 anfitrin, permiso
acceso a cualquier otro, y mostrar los resultados.
Switch (config) # access-list 2 negar acogida 171.69.198.102
Switch (config) # access-list 2 permit cualquier
Switch (config) # fin
Switch # mostrar listas de acceso
Lista de acceso IP estndar 2
10 deny171.69.198.102
20 permitir que ningn
El interruptor siempre reescribe el orden de las listas de acceso estndar para que las entradas con acogida partidos y entradas
con partidos que tienen un no les importa mscara de 0.0.0.0 se traslad a la parte superior de la lista, por encima de cualquier
entrada con
distinto de cero no les importa mscaras. Por lo tanto, en espectculo salida de comando y en el archivo de configuracin, las ACE
no aparecen necesariamente en el orden en el que fueron consignados.
Despus de crear un estndar numerada IPv4 ACL, se puede aplicar a las lneas de terminales (ver la "La aplicacin de un
IPv4 ACL a una seccin Line Terminal "en la pgina 40-20), a las interfaces (vase la "La aplicacin de un IPv4 ACL para
una seccin de interfaz "en la pgina 40-21), o a las VLAN (ver el Seccin "Configuracin de VLAN Mapas" en la
pgina 40-32).
40-11
Captulo 40
Nota
El conmutador no soporta listas de acceso dinmicos o reflexivos. Tampoco admite el filtrado basado en
el tipo de servicio (ToS) minimizar el coste monetario--bit.
Parmetros admitidos se pueden agrupar en las siguientes categoras: TCP, UDP, ICMP, IGMP, u otra propiedad intelectual.
40-12
OL-29703-01
Captulo 40
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una ACL extendida:
Paso 1
Comando
Propsito
configure terminal
Nota
precedencia-Enter Para hacer coincidir paquetes con un nivel de prioridad especificado como
nmero de 0 a 7 o por nombre: rutina (0), prioridad (1), inmediata (2),
Flash (3), flash-override (4), crtico (5), Internet (6), red (7).
tos-Enter para que coincida con por tipo de nivel de servicio, especificado por un nmero de 0
a 15 o un nombre: normales (0), max-fiabilidad (2), mximo rendimiento (4),
min de retardo (8).
SmartLog-Enter cuando el registro inteligente est habilitado a nivel mundial para tener una copia
de
el paquete denegado o permitido enviado a un colector NetFlow.
tiempo-gama-Para una explicacin de esta palabra clave, consulte la "Uso de Tiempo
Rangos con la seccin ACL "en la pgina 40-18.
dscp-Enter Para hacer coincidir paquetes con el valor DSCP especificado por un nmero
de 0 a 63, o utilice el signo de interrogacin (?) para ver una lista de valores disponibles.
40-13
Captulo 40
Comando
Propsito
access-list access-list-nmero
En el modo de configuracin de la lista de acceso, definir una lista ampliada de acceso IP a travs de
{Negar | Permiso} protocolo cualquier cualquier
una
[Precedencia prioridad] [TOS tos]
abreviatura de un comodn fuente y el origen de 0.0.0.0 255.255.255.255 y
[Fragmentos] [log [log-input] |
una abreviatura de un destino y el destino comodn de 0.0.0.0
SmartLog] [Tiempo de gama
255.255.255.255.
tiempo-gama-nombre] [Dscp dscp]
Puede utilizar el cualquier palabra clave en lugar de la direccin de origen y de destino y
comodn.
access-list access-list-nmero
{Negar | permiso} protocolo
acogida fuente acogida destino
[Precedencia prioridad] [TOS tos]
[Fragmentos] [log [log-input] |
SmartLog] [Tiempo de gama
tiempo-gama-nombre] [Dscp dscp]
Definir una lista de acceso IP extendida usando una abreviatura de una fuente y un
comodn fuente de fuente 0.0.0.0 y la abreviatura de un destino y
destino comodn de destino 0.0.0.0.
Puede utilizar el acogida palabra clave en lugar del comodn de origen y destino
o enmascarar.
(Opcional) Definir una lista de acceso TCP extendida y las condiciones de acceso.
Ingrese tcp por el Protocolo de control.
Los parmetros son los mismos que los descritos en el Paso 2a, con estos
excepciones:
(Opcional) Introduzca un operador y puerto para comparar fuente (si se coloca despus de
source-wildcard fuente) o destino (si se coloca despus de destino
destino-comodn) puerto. Operadores posibles son eq (Igual), gt (Mayor
que), lt (Menos que), neq (No iguales), y gama (Intervalo inclusivo). Operadores
requerir un nmero de puerto (rango requiere dos nmeros de puerto separadas por un espacio).
Introduzca el puerto nmero como un nmero decimal (de 0 a 65535) o el nombre de un
Puerto TCP. Para ver los nombres de puerto TCP, utilice el? o consulte la seccin "Configuracin de los
servicios IP"
seccin en el "direccionamiento IP y Servicios" captulo de la Cisco IOS IP
Gua de configuracin, versin 12.4. Use los nmeros de puerto TCP o slo nombres cuando
Filtrado TCP.
Las otras palabras clave opcionales tienen estos significados:
establecida Ingrese para que coincida con una conexin establecida. Esto tiene el mismo
funcin que igualan el ack o primero bandera.
bandera-Enter una de estas banderas para que coincida con los bits de cabecera TCP especificados:
ack (Acuse de recibo), aleta (Acabado), PSH (Empujar), primero (Reset), syn (Sincronizar),
o urg (Urgente).
(Opcional) Definir una lista de acceso extendida UDP y las condiciones de acceso.
Ingrese udp para el User Datagram Protocol.
Los parmetros UDP son los mismos que los descritos para TCP excepto que el
[Operador [puerto]] nmero de puerto o nombre debe ser un nmero de puerto UDP o nombre y
la bandera y establecido parmetros no son vlidos para UDP.
40-14
OL-29703-01
Captulo 40
Comando
Propsito
(Opcional) Defina una lista ampliada de acceso ICMP y las condiciones de acceso.
Ingrese icmp de Protocolo de mensajes de control de Internet.
Los parmetros ICMP son los mismos que los descritos para la mayora de los protocolos IP en
Paso 2 bis, con la adicin de los tipos de mensajes y cdigos de parmetros ICMP.
Estas palabras clave opcionales tienen estos significados:
de tipo icmp-Enter para filtrar por tipo de mensaje ICMP, un nmero de 0 a 255.
icmp-cdigo-Enter para filtrar los paquetes ICMP que se filtran por la ICMP
mensaje de tipo de cdigo, un nmero de 0 a 255.
icmp-mensaje-Enter para filtrar los paquetes ICMP por el tipo de mensaje ICMP
nombre o el tipo de mensaje ICMP y el nombre de cdigo. Para ver una lista de ICMP
nombres de tipos de mensaje y los nombres de cdigo, utilice el?, o ver el apartado "Configuracin
de IP
Seccin de Servicios "de la Gua de configuracin IP de Cisco IOS, versin 12.4.
(Opcional) Definir una lista de acceso extendida IGMP y las condiciones de acceso.
Ingrese igmp de Protocolo de administracin de grupos de Internet.
Los parmetros IGMP son los mismos que los descritos para la mayora de los protocolos IP en
Paso 2 bis, con este parmetro opcional.
de tipo igmp-Para coincidencia de tipo de mensaje IGMP, introduzca un nmero del 0 al 15, o
introduzca
el nombre del mensaje (dvmrp, host-consulta, host-informe, pim, o rastrear).
Paso 3
fin
Paso 4
Paso 5
copy running-config
startup-config
Utilice el ninguna lista de acceso access-list-nmero comando de configuracin global para eliminar la lista de acceso completa.
No se pueden eliminar las ACE individuales de las listas de acceso numeradas.
Este ejemplo muestra cmo crear y mostrar una lista de acceso extendida para denegar el acceso Telnet desde cualquier
acoger en la red 171.69.198.0 a cualquier host en la red 172.20.52.0 y permitir ningn otro. (La eq
palabra clave despus de la direccin de destino significa poner a prueba para el nmero de puerto de destino TCP igual
Telnet.)
Switch (config) # access-list 102 tcp negar 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq
telnet
Switch (config) # access-list 102 tcp cualquier permiso alguno
Switch (config) # fin
Switch # mostrar listas de acceso
Lista de acceso IP extendida 102
10 tcp negar 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
20 permiso tcp cualquier cualquier
Despus de crear una ACL, cualquier adicin (posiblemente introducidos desde el terminal) se colocan al final de la
lista. No se puede aadir o eliminar entradas de la lista de acceso de una lista de acceso numerada de forma selectiva.
Nota
Al crear una ACL, recuerde que, por defecto, al final de la lista de acceso contiene un implcito
denegar la declaracin de todos los paquetes si no se encuentra una coincidencia antes de llegar al final.
40-15
Captulo 40
Despus de crear una ACL numerada extendida, se puede aplicar a las lneas de terminales (ver la "La aplicacin de un IPv4
ACL a una seccin Line Terminal "en la pgina 40-20), a las interfaces (vase la "La aplicacin de una ACL IPv4 a una
Seccin de interfaz "en la pgina 40-21), o a las VLAN (ver el Seccin "Configuracin de VLAN Mapas" en la
pgina 40-32).
Nota
El nombre que le asigne una ACL estndar o extendida tambin puede ser un nmero dentro del rango admitido de acceso
nmeros de la lista. Es decir, el nombre de una ACL IP estndar puede ser de 1 a 99; el nombre de un ACL IP extendida
puede ser de 100 a 199 La ventaja de usar las ACL nombradas en lugar de listas numeradas es que se puede eliminar
entradas individuales de una lista con nombre.
Tenga en cuenta estas directrices y limitaciones antes de configurar las ACL nombradas:
No todos los comandos que aceptan una ACL numerada aceptan una ACL nombrada. ACL para filtros de paquetes y
filtros ruta en interfaces pueden utilizar un nombre. VLAN mapas tambin aceptar un nombre.
ACL numeradas tambin estn disponibles, como se describe en la "Creacin de Standard and IPv4 Extendida
Seccin ACL "en la pgina 40-8.
Puede utilizar las ACL estndar y extendidos (con nombre o numerada) en mapas de VLAN.
Con IPv4 QoS ACLs, si se introduce la clase-mapa {Match-todo | match-any} clase-mapa-nombre mundial
comando de configuracin, usted puede entrar en estos partido comandos:
-partido access-group nombre-acl
Nota
40-16
OL-29703-01
Captulo 40
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una ACL estndar utilizando nombres:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para eliminar una ACL nombrada estndar, utilice el ninguna norma ip access-list Nombre configuracin global
de comandos.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una ACL extendida usando nombres:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para eliminar un llamado extendido ACL, utilice el no ip access-list extendi Nombre configuracin global
de comandos.
40-17
Captulo 40
Al crear ACL extendidas estndar, recuerde que, por defecto, el final de la ACL contiene
un rechazo implcito declaracin para todo si no encuentra una coincidencia antes de llegar al final. Para el estndar
ACL, si se omite la mscara de una direccin de host especificacin de lista de acceso asociada IP 0.0.0.0 es
asume que la mscara.
Despus de crear una ACL, cualquier adicin se colocan al final de la lista. No se pueden aadir de forma selectiva ACL
entradas a una ACL especfica. Sin embargo, puede utilizar sin permiso y sin negar modo de configuracin de lista de acceso
comandos para eliminar las entradas de una ACL nombrada. Este ejemplo muestra cmo se puede eliminar individuo
Ases de la lista de acceso nombrada border-list:
Switch (config) # ip access-list-lista frontera ampliada
Switch (config-ext-NaCl) # ningn host IP del permiso 10.1.1.3 cualquier
Ser capaz de eliminar de forma selectiva las lneas de una ACL con nombre es una de las razones que usted puede ser que utilice
llamado ACL
en lugar de las ACL numeradas.
Despus de crear una ACL nombrada, se puede aplicar a las interfaces (vase el "La aplicacin de una ACL IPv4 a una
Seccin de interfaz "en la pgina 40-21) o a las VLAN (ver el Seccin "Configuracin de VLAN Mapas" en la
pgina 40-32).
Puede aplicar selectivamente ACL extendidas en base a la hora del da y de la semana utilizando el tiempo de rango
comando de configuracin global. En primer lugar, definir un nombre de rangos de tiempo y establecer los tiempos y las fechas o el
das de la semana en el rango de tiempo. A continuacin, introduzca el nombre de rangos de tiempo al aplicar una ACL para
establecer
restricciones a la lista de acceso. Usted puede utilizar el rango de tiempo para definir cundo el permiso o negar las declaraciones
en la LCA son en efecto, por ejemplo, durante un perodo de tiempo determinado o en das especficos de la semana.
El tiempo de rango palabra clave y el argumento se hace referencia en la tarea ACL extendida nombre y un nmero
tablas de los apartados anteriores, la "Creacin de estndar y extendido IPv4 ACL" en la pgina 40-8,
y el En la pgina 40-16 "Creacin de Standard and ACL extendida Nombrado".
Estos son algunos de los beneficios del uso de rangos de tiempo:
Usted tiene ms control sobre permitir o denegar a un usuario acceso a los recursos, como por ejemplo una aplicacin
(Identificado por una direccin IP / par mscara y un nmero de puerto).
Puede controlar los mensajes de registro. Entradas de ACL se pueden configurar para registrar el trfico slo en ciertas pocas
del
da. Por lo tanto, usted puede simplemente negar el acceso sin necesidad de analizar muchos registros generados durante la
las horas pico.
Las listas de acceso basadas en el tiempo desencadenan actividad de la CPU debido a la nueva configuracin de la lista de acceso
debe ser
fusionado con otras caractersticas y la configuracin combinada cargado en la memoria del hardware. Para esto
razn, usted debe tener cuidado de no disponer de varias listas de acceso configuradas hagan efecto en estrecha sucesin
(Dentro de un pequeo nmero de minutos de diferencia.)
Nota
El intervalo de tiempo se basa en el reloj del sistema del interruptor; por lo tanto, necesita una fuente de reloj fiable. Nosotros
recomendamos que utilice el Protocolo de Tiempo de Red (NTP) para sincronizar el reloj interruptor. Para obtener ms
informacin, consulte la Seccin "Gestin del Tiempo y fecha del sistema" en la pgina 7-1.
40-18
OL-29703-01
Captulo 40
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un parmetro de tiempo de plazo para una ACL:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Asigne un nombre descriptivo (por ejemplo, horas de trabajo) para el intervalo de tiempo a
ser creado, y entrar en el modo de configuracin de rangos de tiempo. El nombre no puede
contener una marca de espacio o de presupuesto y debe comenzar con una letra.
Paso 3
o
peridica da-de-la-semana hh: mm a
[Da-de-la-semana] hh: mm
fin
Paso 5
Paso 6
Repita los pasos si tiene varios elementos que desea, en efecto, en diferentes momentos.
Para eliminar una limitacin de tiempo-rango configurado, utilice la no hay tiempo de rango tiempo-range-nombre
mundial
comando de configuracin.
Este ejemplo muestra cmo configurar los rangos de tiempo para horas de trabajo y configurar 1 de enero de 2006 como
vacaciones de la empresa y para comprobar la configuracin.
Switch (config) # tiempo de horas de trabajo alcance
Switch (config-tiempo-range) # entre semana peridicas 08:00-12:00
Switch (config-tiempo-range) # entre semana peridicas 13:00-17:00
Switch (config-tiempo-range) # Salida
Switch (config) # rangos de tiempo new_year_day_2006
Switch (config-tiempo-range) # inicio absoluto 00:00 01 de enero 2006 23:59 final 01 de enero 2006
Switch (config-tiempo-range) # fin
Switch # mostrar rangos de tiempo
entrada de tiempo de rango: new_year_day_2003 (inactivo)
inicio absoluto 00:00 01 de enero 2006 23:59 final 01 de enero 2006
entrada de tiempo alcance: horas de trabajo (inactiva)
entre semana peridicas 08:00-12:00
entre semana peridicas 13:00-17:00
Para aplicar un rango de tiempo, introduzca el nombre de rangos de tiempo en una ACL extendida que puede aplicar rangos de
tiempo.
Este ejemplo muestra cmo crear y verificar la lista de acceso extendida 188 que niega el trfico TCP de cualquier
origen a cualquier destino durante los tiempos de vacaciones y permisos definidos todo el trfico TCP durante las horas de trabajo.
Switch (config) # access-list 188 tcp negar cualquier cualquier new_year_day_2006 por rangos de tiempo
Switch (config) # access-list 188 tcp cualquier permiso de cualquier tiempo de horas de trabajo de gama
Switch (config) # fin
Switch # mostrar listas de acceso
Lista de acceso IP extendida 188
10 tcp negar cualquier cualquier new_year_day_2006 rangos de tiempo (inactivo)
20 permiso tcp cualquier cualquier horas de trabajo el tiempo alcance (inactivo)
40-19
Captulo 40
En este ejemplo se utiliza el nombre ACL para permitir y denegar el mismo trfico.
Switch (config) # ip access-list deny_access extendida
Switch (config-ext-NaCl) # tcp negar cualquier new_year_day_2006 cualquier momento-gama
Switch (config-ext-NaCl) # Salida
Switch (config) # ip access-list may_access extendida
Switch (config-ext-NaCl) # permiso tcp cualquier cualquier tiempo de horas de trabajo de gama
Switch (config-ext-NaCl) # fin
Switch # show ip access-lists
Lista de acceso extendida lpip_default IP
10 IP del permiso cualquier cualquier
Lista de acceso extendida deny_access IP
10 tcp negar cualquier cualquier new_year_day_2006 rangos de tiempo (inactivo)
Lista de acceso extendida may_access IP
10 permiso tcp cualquier cualquier horas de trabajo el tiempo alcance (inactivo)
(config)
(config)
(config)
(config)
#
#
#
#
access-list
access-list
access-list
access-list
1
1
1
1
Para una entrada en una ACL IP con nombre, utilice la observacin la lista de acceso de comandos de configuracin. Para quitar
el
remarcar, utilice el no de este comando.
En este ejemplo, no se permite la subred Jones usar Telnet saliente:
Switch (config) # ip access-list telnetting extendida
Switch (config-ext-NaCl) # Comente No permita Jones subred hacer telnet a cabo
Switch (config-ext-NaCl) # negar acogida tcp 171.69.2.88 cualquier eq telnet
40-20
OL-29703-01
Captulo 40
Comenzando en el modo EXEC privilegiado, siga estos pasos para restringir las conexiones entrantes y salientes
entre una lnea de terminal virtual y de las direcciones en una ACL:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Identificar una lnea especfica para configurar y acceder al modo de configuracin en lnea.
access-class access-list-nmero
{En | Salida}
Paso 4
fin
Paso 5
show running-config
Paso 6
Nota
Aplicar una ACL slo a la capa de entrada 2 interfaces. Aplicar una ACL ya sea saliente o entrante
Capa 3 interfaces.
En los interruptores que ejecutan el conjunto de funciones de base LAN, router (Capa 3) ACL slo se admiten en SVI y
no en las interfaces fsicas o Capa 3 EtherChannels.
Cuando se controla el acceso a una interfaz, se puede utilizar una ACL llamada o numerada.
Si se aplica una ACL a una interfaz de capa 2 que es miembro de una VLAN, la Capa 2 (puerto) ACL
tiene prioridad sobre una capa de entrada 3 ACL aplicada a la interfaz VLAN o un mapa VLAN aplicado
a la VLAN. Los paquetes entrantes recibidos en el puerto de Capa 2 estn siempre filtradas por el ACL puerto.
Si se aplica una ACL a una interfaz de Capa 3 y enrutamiento no est habilitado en el conmutador, slo la ACL
filtros de paquetes que estn destinados a la CPU, como SNMP, Telnet, o el trfico de Internet. Usted no tiene
para habilitar el enrutamiento a aplicar ACL a Capa 2 interfaces.
Cuando se configuran las VLAN privadas, puede aplicar las ACL del router slo en las primarias-VLAN SVI.
La ACL se aplica a la capa de VLAN tanto primaria como secundaria 3 de trfico.
Al configurar una ACL de salida para permitir el trfico con un determinado valor DSCP, debe utilizar
el valor original DSCP lugar de un valor reescrito.
40-21
Captulo 40
Nota
Por defecto, el router enva Internet Protocolo de control de mensajes (ICMP) mensajes inalcanzables cuando un
paquete es rechazado por un grupo de acceso. Estos paquetes access-group negados no se dejan caer en el hardware sino
se puentean a la CPU interruptor de modo que puede generar el mensaje de ICMP-inalcanzable. Puerto ACL son una
excepcin. No generan mensajes ICMP inalcanzables.
Mensajes ICMP inalcanzables se pueden desactivar en las ACL del router con la no hay unreachables ip interfaz
de comandos.
Comenzando en el modo EXEC privilegiado, siga estos pasos para controlar el acceso a una interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Para eliminar el grupo de acceso especificado, utilice el no ip access-group {Access-list-number | name} {En | Salida}
comando de configuracin de interfaz.
Este ejemplo muestra cmo aplicar la lista de acceso 2 a un puerto para filtrar los paquetes que entran en el puerto:
Switch (config) # interfaz GigabitEthernet1 / 0/1
Router (config-if) # ip access-group 2 en
Nota
Cuando se aplica el ip access-group comando de configuracin de interfaz para una interfaz de capa 3 (un SVI, un
Capa 3 EtherChannel, o un puerto enrutado), la interfaz se deben haber configurado con una direccin IP.
Paquetes de capa 3 de acceso al filtro grupos que se enrutan o se reciben por la Capa 3 procesos de la CPU.
No afectan a los paquetes puenteados dentro de una VLAN.
Para ACL entrantes, despus de recibir un paquete, el conmutador comprueba el paquete con la ACL. Si el ACL
permite el paquete, el conmutador sigue para procesar el paquete. Si el ACL rechaza el paquete, el conmutador
descarta el paquete.
Para ACL de salida, despus de recibir y encaminar un paquete a una interfaz controlada, el conmutador comprueba la
paquete con la ACL. Si el ACL permite el paquete, el conmutador enva el paquete. Si el ACL rechaza
el paquete, el conmutador descarta el paquete.
Por defecto, la interfaz de entrada enva mensajes ICMP inalcanzable cuando se descarta un paquete,
independientemente de si el paquete se descart debido a una ACL en la interfaz de entrada o debido
una ACL en la interfaz de salida. ICMP Unreachables se limita normalmente a no ms de una de cada
un segundo medio por interfaz de entrada, pero esto se puede cambiar mediante el uso de la ip tasa lmite inalcanzable ICMP
comando de configuracin global.
40-22
OL-29703-01
Captulo 40
Cuando se aplica una ACL indefinido a una interfaz, el switch acta como si la ACL no se ha aplicado a
la interfaz y los permisos de todos los paquetes. Recuerde que este comportamiento si utiliza ACL definidas para la red
seguridad.
Nota
Si una configuracin de ACL no puede ser implementado en hardware debido a una condicin fuera de los recursos en un
interruptor o miembro de la pila, entonces slo el trfico en esa VLAN llegando en ese interruptor se ve afectada (enviada
en el software). Software de reenvo de paquetes podra afectar negativamente al rendimiento del interruptor o
cambiar la pila, en funcin del nmero de ciclos de CPU que esta consume.
Para las ACL del router, otros factores pueden causar paquetes a ser enviados a la CPU:
Cuando los flujos de trfico se registran y se envan tanto, el desvo se realiza por hardware, pero la tala debe ser
realizado por software. Debido a la diferencia en el manejo de capacidad entre el hardware y el software de paquete,
si la suma de todos los flujos que se registra (tanto permitida flujos y flujos negado) es de gran suficiente
ancho de banda, no todos los paquetes que se reenvan se pueden registrar.
Si la configuracin ACL router no se puede aplicar en hardware, los paquetes que llegan en una VLAN que debe estar
enrutado se encaminan en el software, pero estn puenteados en el hardware. Si ACL causan un gran nmero de paquetes que se
enviada a la CPU, el rendimiento del conmutador puede ser afectada negativamente.
Al entrar en el show ip access-lists comando privilegiado EXEC, el juego son vlidos visualizado hace
no dar cuenta de los paquetes que son de acceso controlado en hardware. Utilice el mostrar hardware access-lists
contadores comando privilegiado EXEC para obtener algunas estadsticas bsicas de ACL hardware de conmutacin y
paquetes enrutados.
ACL del router funcionan de la siguiente manera:
Los controles de hardware permiten y niegan las acciones de ACL estndar y extendidas (entrada y salida)
para el control de acceso de seguridad.
Si log no ha sido especificado, los flujos que coinciden con una negar declaracin en un ACL de seguridad se eliminan
por el hardware si unreachables ip est deshabilitado. Los flujos que coinciden con un permiso declaracin se conmutan
en el hardware.
Adicin de la log palabra clave para una ACE en una ACL enrutador causa una copia del paquete que se enviar a la
CPU para el registro nicamente. Si el ACE es un permiso declaracin, el paquete se conmuta y se enva an
en el hardware.
ACL Solucin de
problemas
Si aparece este mensaje gerente ACL y [caracteres] es el nombre de la lista de acceso,
ACLMGR-2-NOVMR: No se puede generar la representacin de hardware de la lista de acceso
[caracteres]
40-23
Captulo 40
El interruptor tiene recursos suficientes para crear una representacin de hardware de la ACL. Los recursos
incluir la memoria del hardware y el espacio de etiqueta, pero no la memoria de la CPU. A falta de operacin lgica disponible
unidades o recursos de hardware especializados hace que este problema. Se necesitan unidades de operaciones lgicas para un
Partido flag TCP o una prueba de que no sea eq (Ne, gt, lt, o rango) sobre los nmeros de puerto TCP, UDP o SCTP.
Utilice una de estas soluciones:
Cambiar el nombre de la ACL con un nombre o un nmero que precede a los nombres de ACL de forma alfanumrica o
nmeros.
Para determinar los recursos de hardware especializados, introduzca la espectculo plataforma mapa acl layer4 privilegiada
Comando EXEC. Si el interruptor no tiene los recursos disponibles, la salida muestra que el ndice de 0 a
ndice 15 no estn disponibles.
Para obtener ms informacin sobre la configuracin de ACL con recursos insuficientes, consulte CSCsq63926 en el Bug
Toolkit.
Por ejemplo, si se aplica esta ACL a una interfaz:
permiso
permiso
permiso
permiso
tcp
tcp
tcp
tcp
fuente
fuente
fuente
fuente
source-wildcard
source-wildcard
source-wildcard
source-wildcard
destino
destino
destino
destino
destino-comodn Rango 5 60
destino-comodn rango de 15 160
destino-comodn gama 115 1660
destino-comodn
Los operadores relacionados con banderas no estn disponibles. Para evitar este
problema,
Mueva el cuarto ACE antes de la primera ACE utilizando lista de acceso IP resecuenciar configuracin global
comando:
permiso
permiso
permiso
permiso
tcp
tcp
tcp
tcp
fuente
fuente
fuente
fuente
source-wildcard
source-wildcard
source-wildcard
source-wildcard
destino
destino
destino
destino
destino-comodn
destino-comodn Rango 5 60
destino-comodn rango de 15 160
destino-comodn gama 115 1660
Cambiar el nombre de la ACL con un nombre o un nmero que precede a los dems de forma alfanumrica ACL (por
ejemplo, cambiar el nombre de ACL 79 a ACL 1).
Ahora puede aplicar el primer ACE en la ACL a la interfaz. El interruptor asigna la ACE a disposicin
mapeo de bits en el ndice opselect y luego asigna los operadores relacionados con banderas a utilizar los mismos bits en el
la memoria del hardware.
40-24
OL-29703-01
Captulo 40
Cree una ACL estndar, y filtran el trfico que viene en el servidor desde el puerto 1.
Crear una ACL extendida y filtran el trfico que viene del servidor en el puerto 1.
Figura 40-3
Puerto 2
Servidor B
Nmina
Puerto 1
Recursos humanos
172.20.128.0-31
Contabilidad
172.20.128.64-95
101354
Este ejemplo utiliza una ACL estndar para filtrar el trfico que entra en el servidor B de un puerto, que permite el trfico
slo desde la fuente de Contabilidad aborda 172.20.128.64 a 172.20.128.95. La ACL se aplica al trfico
saliendo de enrutado Puerto 1 de la direccin de origen especificada.
Switch (config) # access-list 6 permiso 172.20.128.64 0.0.0.31
Switch (config) # fin
Switch # mostrar listas de acceso
Lista de acceso IP estndar 6
10 permiso 172.20.128.64, comodn Bits 0.0.0.31
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # ip access-group 6 fuera
40-25
Captulo 40
Este ejemplo utiliza una ACL extendida para filtrar el trfico que viene desde el servidor B a un puerto, que permite el trfico
desde cualquier direccin de origen (en este caso el servidor B) slo a las direcciones de destino de Contabilidad
172.20.128.64 a 172.20.128.95. La ACL se aplica al trfico que va encaminado a Puerto 1, lo que permite a
ir slo a las direcciones de destino especificados. Tenga en cuenta que con ACL extendidas, debe introducir la
protocolo (IP) antes de la informacin de origen y destino.
Switch (config) # access-list 106 IP del permiso cualquier 172.20.128.64 0.0.0.31
Switch (config) # fin
Switch # mostrar listas de acceso
Lista de acceso IP extendida 106
10 IP del permiso cualquier 172.20.128.64 0.0.0.31
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # access-group ip 106 en
ACL numeradas
En este ejemplo, la red 36.0.0.0 es una red de clase A, cuyo segundo octeto especifica una subred; es decir, su
mscara de subred es 255.255.0.0. El tercer y cuarto octetos de una direccin de red 36.0.0.0 especifican una determinada
host. El uso de la lista de acceso 2, el interruptor acepta una direccin en la subred 48 y rechazar todos los dems en esa subred.
La ltima lnea de la lista muestra que el conmutador acepta direcciones en todas las dems redes 36.0.0.0 subredes.
La ACL se aplica a los paquetes que entran en un puerto.
Switch
Switch
Switch
Switch
Switch
ACL extendidas
En este ejemplo, la primera lnea permite las conexiones TCP entrantes con puertos de destino superiores
1023. La segunda lnea permite conexiones TCP entrantes al Simple Mail Transfer Protocol (SMTP)
el puerto del servidor 128.88.1.2. La tercera lnea permite que los mensajes entrantes ICMP para la retroalimentacin de error.
Switch
Switch
Switch
Switch
Switch
En este ejemplo, suponga que tiene una red conectada a Internet, y desea cualquier host de
que la red sea capaz de formar conexiones TCP a cualquier host en Internet. Sin embargo, usted no quiere
Hosts IP para poder formar las conexiones TCP a los hosts de la red, excepto en el correo de puerto (SMTP)
de un servidor de correo dedicado.
SMTP utiliza el puerto TCP 25 en un extremo de la conexin y un nmero de puerto aleatorio en el otro extremo. El
mismos nmeros de puerto se utilizan en toda la vida de la conexin. Paquetes de correo desde la
Internet tiene un puerto de destino de los paquetes salientes 25. tiene los nmeros de puerto invertidos. Debido a que el
sistema seguro de la red siempre acepta conexiones de correo en el puerto 25, la entrada y salida
servicios se controlan por separado. La ACL se debe configurar como una ACL de entrada en la salida
interfaz y una salida ACL en la interfaz de entrada.
Switch
Switch
Switch
Switch
40-26
OL-29703-01
Captulo 40
En este ejemplo, la red es una red de clase B con la direccin 128.88.0.0 y la direccin de host de correo
es 128.88.1.2. El establecido palabra clave se utiliza slo para el TCP para mostrar una conexin establecida. A
partido se produce si el datagrama TCP tiene los bits ACK o RST establecidos, que muestran que el paquete pertenece a
una conexin existente. Gigabit Ethernet 1 interfaz en miembro de la pila 1 es la interfaz que conecta el
router a Internet.
Switch
Switch
Switch
Switch
ACL nombradas
En este ejemplo se crea una ACL nombrada estndar internet_filter y una ACL extendida nombrada
marketing_group. El internet_filter ACL permite que todo el trfico desde la direccin de origen 1.2.3.4.
Switch (config) # ip access-list Internet_filter estndar
Switch (config-ext-NaCl) # permiso 1.2.3.4
Switch (config-ext-NaCl) # Salida
El marketing_group ACL permite que todo el trfico TCP Telnet a la direccin de destino y el wildcard
171.69.0.0 0.0.255.255 y niega cualquier otro trfico TCP. Se permite el trfico ICMP, niega el trfico UDP
de cualquier fuente para el rango de direcciones de destino 171.69.0.0 a travs de 179.69.255.255 con un destino
puerto inferior a 1024, niega cualquier otro tipo de trfico IP, y proporciona un registro de los resultados.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
En este ejemplo se deniega el trfico HTTP sobre IP de lunes a viernes entre las 8:00 de la maana y
06:00 pm (18:00). El ejemplo permite que el trfico UDP slo los sbados y domingos desde el medioda hasta las 8:00 pm
(20:00).
Switch
Switch
!
Switch
Switch
!
Switch
Switch
Switch
!
40-27
Captulo 40
(config)
(config)
(config)
(config)
#
#
#
#
access-list
access-list
access-list
access-list
1
1
1
1
En este ejemplo de una ACL numerada, las estaciones de trabajo de invierno y Smith no se les permite navegar por la
web:
Switch
Switch
Switch
Switch
(config)
(config)
(config)
(config)
#
#
#
#
access-list
access-list
access-list
access-list
100
100
100
100
remarcar Do
negar acogida
remarcar Do
negar acogida
En este ejemplo de una ACL nombrada, no se permite la subred Jones usar Telnet saliente:
Switch (config) # ip access-list telnetting extendida
Switch (config-ext-NaCl) # Comente No permita Jones subred hacer telnet a cabo
Switch (config-ext-NaCl) # negar tcp 171.69.0.0 0.0.255.255 cualquier eq telnet
ACL Registro
Dos variaciones de la tala son compatibles con ACL del router. El log enva una palabra clave de informacin
Registro de mensajes de la consola sobre el paquete que coincide con la entrada; la log-input palabra clave incluye
la interfaz de entrada en la entrada de registro.
En este ejemplo, la lista de acceso estndar llamado stan1 niega el trfico procedente de 10.1.1.0 0.0.0.255, permite el trfico
de todas las otras fuentes, e incluye la log palabra clave.
Switch (config) # ip access-list stan1 estndar
Switch (config-std-NaCl) # negar 10.1.1.0 0.0.0.255 registro
Switch (config-std-NaCl) # permitir que cualquier registro
Switch (config-std-NaCl) # Salida
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # ip stan1 acceso del grupo en
Switch (config-if) # fin
Switch # show logging
Registro Syslog: habilitado (0 mensajes cayeron, 0 rubores, sobrantes 0)
El registro de consola: la depuracin de nivel, 37 mensajes registra
El registro de Monitor: depuracin nivel, 0 mensajes registra
Tala Buffer: depuracin nivel, 37 mensajes registra
Registro del archivo: desactivado
Tala Trampa: depuracin nivel, 39 lneas de mensajes registra
40-28
OL-29703-01
Captulo 40
<Salida trunca>
00: 09: 34:% SEC-6-IPACCESSLOGS: lista stan1 permitido 0.0.0.0 1 sobrecito
00: 09: 59:% SEC-6-IPACCESSLOGS: lista stan1 neg 10.1.1.15 1 sobrecito
00: 10: 11:% SEC-6-IPACCESSLOGS: lista stan1 permitido 0.0.0.0 1 sobrecito
Este ejemplo es una lista de acceso extendida llamado ext1 que permite que los paquetes ICMP de cualquier fuente a 10.1.1.0
0.0.0.255 y niega todos los paquetes UDP.
Switch
Switch
Switch
Switch
Switch
Switch
SEC-6-IPACCESSLOGP
0.0.0.0 (0) -> 255.255.255.255 (0), 8
Tenga en cuenta que todas las entradas de registro para las ACL IP comienzan con % SEC-6-IPACCESSLOG con pequeas
variaciones en el formato
dependiendo del tipo de ACL y la entrada de acceso que ha sido igualada.
Este es un ejemplo de un mensaje de salida cuando el log-input palabra clave se introduce:
00: 04: 21:% SEC-6-IPACCESSLOGDP: lista inputlog permite icmp 10.1.1.10 (Vlan1
0001.42ef.a400) -> 10.1.1.61 (0/0), 1 paquete
Un mensaje de registro para el mismo tipo de paquete utilizando el log palabra clave no incluye la interfaz de entrada
informacin:
00: 05: 47:% SEC-6-IPACCESSLOGDP: lista inputlog permite icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1
paquete
Nota
Nota
Aunque visible en las cadenas de ayuda de lnea de comandos, appletalk no se admite como condicin coincidente para
la negar y permiso Comandos de modo de configuracin de lista de acceso MAC.
40-29
Captulo 40
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una ACL llamada MAC extendida:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
Paso 6
Utilice el no mac access-list extendi Nombre comando de configuracin global para borrar toda la ACL. Usted
Tambin puede eliminar las ACE individuales de nombre MAC ACL extendidas.
Este ejemplo muestra cmo crear y mostrar una lista de acceso nombrada mac1, negando slo EtherType
Trfico DECnet Fase IV, pero permitira que todos los dems tipos de trfico.
Switch (config) # mac access-list extendi mac1
Switch (config-ext-macl) # negar cualquier cualquier decnet-iv
Switch (config-ext-macl) # permitir que cualquier cualquier
Switch (config-ext-macl) # fin
Switch # mostrar listas de acceso
Extended MAC lista de acceso mac1
10 denyany cualquier decnet-iv
20 permiso cualquier cualquier
40-30
OL-29703-01
Captulo 40
Si se aplica una ACL a una interfaz de capa 2 que es miembro de una VLAN, la Capa 2 (puerto) ACL
tiene prioridad sobre una capa de entrada 3 ACL aplicada a la interfaz VLAN o un mapa VLAN aplicado
a la VLAN. Los paquetes entrantes recibidos en el puerto de Capa 2 estn siempre filtradas por el ACL puerto.
Puede aplicar ninguna lista de acceso de ms de una IP y una MAC lista de acceso a la misma interfaz de capa 2.
La lista de acceso IP filtra slo los paquetes IP, y la lista de acceso MAC filtra los paquetes no-IP.
Una interfaz de capa 2 slo puede tener una lista de acceso MAC. Si usted solicita una lista de acceso MAC a una Capa 2
interfaz que tiene una ACL MAC configurada, la nueva ACL sustituye a la previamente configurada.
Comenzando en el modo EXEC privilegiado, siga estos pasos para aplicar una lista de acceso MAC para controlar el acceso a
una interfaz de capa 2:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para eliminar el grupo de acceso especificado, utilice el no mac access-group {Nombre} configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo aplicar la lista de acceso MAC mac1 a un puerto para filtrar los paquetes que entran en el puerto:
Switch (config) # interfaz GigabitEthernet1 / 0/2
Router (config-if) # mac mac1 acceso del grupo en
Nota
El mac access-group comando de configuracin de interfaz slo es vlido cuando se aplica a un examen fsico
Capa 2 interfaz.Encontrars no puede utilizar el comando en los canales portuarios EtherChannel.
Despus de recibir un paquete, el conmutador comprueba contra el ACL de entrada. Si el ACL lo permite, el interruptor
sigue para procesar el paquete. Si el ACL rechaza el paquete, el conmutador descarta. Cuando se aplica un
ACL indefinido a una interfaz, el interruptor acta como si la ACL no se ha aplicado y permite que todos los paquetes.
Recuerde que este comportamiento si utiliza ACL definidas para la seguridad de red.
40-31
Captulo 40
Configuracin de VLAN
Mapas
Nota
Mapas de VLAN no son compatibles con los interruptores que ejecutan el conjunto de funciones de
base LAN.
En esta seccin se describe cmo configurar los mapas de VLAN, que es la nica manera de controlar el filtrado dentro
una VLAN. Mapas de VLAN no tienen direccin. Para filtrar el trfico en una direccin especfica mediante el uso de un mapa de
VLAN,
es necesario incluir una ACL con direcciones de origen o destino especficos. Si hay una clusula de partido para
que tipo de paquete (IP o MAC) en el mapa de VLAN, la accin predeterminada es dejar caer el paquete si el paquete
no coincide con ninguna de las entradas dentro del mapa. Si no hay clusula de coincidencia con ese tipo de paquete, la
por defecto es para reenviar el paquete.
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en esta seccin, consulte el comando
referencia para esta versin.
Para crear un mapa de VLAN y aplicarlo a uno o ms VLAN, siga estos pasos:
Paso 1
Crear las ACLs o llamado estndar o extendidas IPv4 MAC extendi ACL que desea aplicar a la
VLAN. Consulte la Seccin "Creacin de Standard and Extended IPv4 ACL" en la pgina 40-8 y el "Creacin de un
VLAN Mapa "en la pgina 40-34.
Paso 2
Introduzca el vlan acceso-map comando de configuracin global para crear un mapa de entradas VLAN ACL.
Paso 3
En el modo de configuracin de acceso-mapa, introduzca opcionalmente un accin hacia adelante (Por defecto) o desplegable y
entrar en el partido comando para especificar un paquete IP o un paquete no IP (con slo una direccin MAC conocida)
y para que coincida con el paquete contra uno o ms ACL (estndar o extendida).
Nota
Paso 4
Si el mapa de VLAN se configura con una clusula de coincidencia para un tipo de paquete (IP o MAC) y el mapa de accin
es la cada, todos los paquetes que coinciden con el tipo se dejan caer. Si el mapa de VLAN no tiene ninguna clusula de partido, y
el
accin configurada es cada, los 2 paquetes IP y Capa se dejan caer.
Utilice el Filtro vlan comando de configuracin global para aplicar un mapa de VLAN a una o ms VLAN.
40-32
OL-29703-01
Captulo 40
Cada mapa VLAN se compone de una serie de entradas. El orden de las entradas en un mapa VLAN es importante.
Un paquete que entra en el interruptor se prueba en contra de la primera entrada en el mapa de la VLAN. Si coincide,
se toma la accin especificada para esa parte del mapa VLAN. Si no hay ninguna coincidencia, el paquete se prob
en contra de la prxima entrada en el mapa.
Si el mapa de VLAN tiene al menos una clusula de fsforo para el tipo de paquete (IP o MAC) y el paquete
no coincide con ninguna de estas clusulas de coincidencia, el valor predeterminado es dejar caer el paquete. Si no hay ninguna
coincidencia
clusula para ese tipo de paquete en el mapa VLAN, el valor predeterminado es para reenviar el paquete.
El sistema puede tardar ms tiempo en arrancar si ha configurado un nmero muy grande de ACL.
Cuando un interruptor tiene una lista de acceso IP o lista de acceso MAC aplicado a una interfaz de capa 2, y que se aplica
un mapa VLAN a una VLAN que el puerto pertenece a, el puerto ACL tiene prioridad sobre la VLAN
mapa.
Si la configuracin VLAN mapa no se puede aplicar en hardware, en todos los paquetes que deben ser VLAN
puenteado y encaminado por el software.
Puede configurar mapas VLAN en VLAN primaria y secundaria. Sin embargo, se recomienda que
configurar los mismos mapas VLAN en VLAN primaria y secundaria-privadas VLAN.
Cuando una trama de capa 2 es transmitido dentro de una VLAN privada, el mismo mapa de VLAN se aplica en el
lado la entrada y en el lado de salida. Cuando una trama se encamina desde el interior de una VLAN privada a un externa
puerto, el mapa privado-VLAN se aplica en el lado de entrada.
-Para las tramas que van ro arriba de un puerto host a un puerto promiscuo, el mapa VLAN configurada
40-33
Captulo 40
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
fin
Paso 6
show running-config
Paso 7
Utilice el no access vlan-map Nombre comando de configuracin global para eliminar un mapa. Utilice el no vlan
acceso-map Nmero Nombre comando de configuracin global para borrar una entrada nica secuencia desde dentro
el mapa.
Utilice el ninguna accin comando de configuracin de acceso de ruta para hacer cumplir la accin por omisin, que es reenviar.
Mapas de VLAN no utilizan el permiso especfico o niegan palabras clave. Negar un paquete mediante el uso de mapas de VLAN,
crear una ACL que se correspondera con el paquete, y establecer la accin a caer. Un permiso de la ACL cuenta como un
partido. Un negar en la ACL significa que no hay partido.
Ejemplo 1
Este ejemplo muestra cmo crear una ACL y un mapa VLAN para negar un paquete. En el primer mapa, cualquier
paquetes que coincidan con la ip1 ACL (paquetes TCP) se cay. Primero se crea la ip1ACL para permitir
cualquier paquete TCP y no hay otros paquetes. Debido a que existe una clusula de operacin con los paquetes IP en el mapa
VLAN,
la accin predeterminada es dejar caer cualquier paquete IP que no coincide con ninguna de las clusulas de coincidencia.
Switch
Switch
Switch
Switch
Switch
Switch
40-34
OL-29703-01
Captulo 40
Este ejemplo muestra cmo crear un mapa de VLAN para permitir un paquete. ACL ip2 permite paquetes UDP y
todos los paquetes que coinciden con el ip2 ACL se reenvan. En este mapa, los paquetes IP que no encontr ningn de
las ACL anteriores (es decir, paquetes que no son paquetes TCP o paquetes UDP) conseguiran cado.
Switch
Switch
Switch
Switch
Switch
Switch
Ejemplo 2
En este ejemplo, el mapa de VLAN tiene una accin predeterminada de cada para los paquetes IP y una accin predeterminada de
avance
para los paquetes MAC. Utilizado con ACL estndar 101 y extendidas las listas de acceso nombradas igmp-partido y
tcp-partido, el mapa tendr los siguientes resultados:
Remitir todos los paquetes UDP
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Ejemplo 3
En este ejemplo, el mapa de VLAN tiene una accin predeterminada de cada para paquetes MAC y una accin predeterminada de
reenviar los paquetes IP. Se utiliza con MAC listas de acceso ampliado buenos anfitriones y buenos-protocolos, el mapa
tendr los siguientes resultados:
Switch
Switch
Switch
Switch
Switch
Switch
40-35
Captulo 40
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Ejemplo 4
En este ejemplo, el mapa de VLAN tiene una accin predeterminada de cada para todos los paquetes (IP y no IP). Se utiliza con
las listas de acceso tcp-partido y buenos anfitriones de los Ejemplos 2 y 3, el mapa tendr los siguientes resultados:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
show running-config
Paso 4
Para quitar el mapa VLAN, utilice el sin filtro vlan mapname vlan-list lista comando de configuracin global.
Este ejemplo muestra cmo aplicar mapa VLAN 1 a VLAN 20 al 22:
Switch (config) # vlan mapa filtro 1 vlan-list 20-22
40-36
OL-29703-01
Captulo 40
Configuracin de armario de
cableado
En una configuracin de armario de cableado, enrutamiento no puede ser activado en el conmutador. En esta configuracin, el
interruptor todava puede apoyar un mapa VLAN y una clasificacin ACL QoS. En Figura 40-4, asumir que Host X
y Host Y estn en diferentes VLANs y estn conectados al armario de cableado interruptores A y C. El trfico de
Host to Host X Y finalmente se enruta por el interruptor B, un conmutador de capa 3 con enrutamiento habilitado. Trfico
desde el Host to Host X Y puede ser de acceso restringido en el punto de entrada del trfico, Switch A.
Figura 40-4
Cambie B
Interruptor A
Cambie C
VLAN 1
VLAN 2
Paquete
Anfitrin X
10.1.1.32
Anfitrin Y
10.1.1.34
101355
Si no desea que el trfico HTTP cambia de Host to Host X Y, puede configurar un mapa de VLAN en
Switch A dejar caer todo el trfico HTTP desde el Host X (direccin IP 10.1.1.32) a Host Y (direccin IP 10.1.1.34)
al interruptor A y no a salvar a Interruptor B.
En primer lugar, definir la lista de acceso IP http que los permisos (partidos) todo el trfico TCP en el puerto HTTP.
Switch (config) # ip access-list extendi http
Switch (config-ext-NaCl) # permiso de host TCP 10.1.1.32 anfitrin 10.1.1.34 eq www
Switch (config-ext-NaCl) # Salida
A continuacin, cree VLAN mapa de acceso map2 para que el trfico que coincide con la http lista de acceso se deja caer y todo
otro trfico IP se reenva.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
40-37
Captulo 40
Figura 40-5
10.1.1.100
Subred
10.1.2.0/8
10.1.1.4
Anfitrin (VLAN 10)
Switch capa 3
10.1.1.8
101356
Paquete
Este ejemplo muestra como denegar el acceso a un servidor en otro VLAN mediante la creacin del mapa VLAN
SERVIDOR 1 que niega el acceso a los hosts en la subred 10.1.2.0.8, de host 10.1.1.4, 10.1.1.8 y anfitrin y permisos
el resto del trfico IP. El paso final es aplicar el mapa SERVIDOR1 a la VLAN 10.
Paso 1
Paso 2
Definir un mapa VLAN usando esta ACL que descartar los paquetes IP que coinciden SERVER1_ACL y reenviar
Paquetes IP que no coinciden con la ACL.
Switch
Switch
Switch
Switch
Switch
Switch
Paso 3
40-38
OL-29703-01
Captulo 40
Para todos los paquetes que coinciden recibidas en los ltimos 5 minutos.
Mensajes de registro se generan en funcin de cada flujo. Un flujo se define como paquetes con las mismas direcciones IP y
Capa 4 (UDP o TCP) los nmeros de puerto. Si un flujo no recibe ningn paquete en el intervalo de 5 minutos, que
flujo se elimina de la memoria cach. Cuando se genera un mensaje de syslog, el temporizador y contador de paquetes son
restablecer.
Vacl restricciones de registro:
Los paquetes que requieren el registro en el ACL de puertos salientes no se registran si se les niega por un VACL.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Salida
Paso 5
Paso 6
Salida
Paso 7
Paso 8
40-39
Captulo 40
Utilice el no access vlan-map comando con un nmero de secuencia para borrar una secuencia de mapa. Utilice el no
versin del comando sin un nmero de secuencia para borrar el mapa.
Este ejemplo muestra cmo configurar un mapa de acceso VLAN a caer y registrar los paquetes IP. Aqu el trfico IP
coincidir las entradas de permisos en net_10 se deja caer y se registra.
DOMAINMEMBER
DOMAINMEMBER
DOMAINMEMBER
DOMAINMEMBER
Este ejemplo muestra cmo configurar los parmetros globales de tala VACL:
DOMAINMEMBER (config) # vlan acceso-log Maxflow 800
DOMAINMEMBER (config) # umbral vlan access-log 4000
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en esta seccin, consulte la Cisco IOS
LAN
Cambio de Referencia de comandos:
http://www.cisco.com/en/US/docs/ios/lanswitch/command/reference/lsw_book.html
ACL del router y mapas de VLAN no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
Para el control de acceso tanto puenteado y encaminado trfico, puede utilizar los mapas de VLAN nica o una combinacin de
ACL del router y mapas de VLAN. Puede definir las ACL del router en la entrada y salida de enrutado VLAN
las interfaces, y se puede definir un mapa VLAN acceder a controlar el trfico puenteado.
Si un flujo de paquete coincide con una VLAN-mapa clusula negar en la ACL, independientemente de la ACL del
router
configuracin, se le niega el flujo de paquetes.
Nota
Cuando se utiliza ACL del router con mapas de VLAN, los paquetes que requieren el registro en el ACL del router no son
conectado si se les niega por un mapa VLAN.
Si el mapa de VLAN tiene una clusula de fsforo para el tipo de paquete (IP o MAC) y el paquete no coincide
el tipo, el valor predeterminado es dejar caer el paquete. Si no hay ninguna clusula partido en el mapa VLAN, y ninguna accin
especifica, el paquete se enva si no coincide con ninguna entrada del mapa VLAN.
Ejemplos de router ACL y VLAN Mapas Aplicadas a las VLAN, pgina 40-41
40-40
OL-29703-01
Captulo 40
Si tiene que configurar un router ACL y un mapa de VLAN en la misma VLAN, use estas pautas para ambos
enrutador ACL y la configuracin VLAN mapa:
Puede configurar un solo mapa VLAN y una ACL del router en cada sentido (entrada / salida) en un
Interfaz VLAN.
Siempre que sea posible, trate de escribir la ACL con todas las entradas con una sola accin a excepcin de la final,
accin predeterminada del otro tipo. Es decir, escribir la ACL usando una de estas dos formas:
permitir ...
permitir ...
permitir ...
negar cualquier ip cualquier
o
negar ...
negar ...
negar ...
permitir a IP cualquier
cualquier
Para definir varias acciones en una ACL (permiso, denegar), grupo de cada tipo de accin en conjunto para reducir el
nmero de entradas.
Evite incluir Capa 4 en una ACL; la adicin de esta informacin complica la fusin
proceso. Se obtienen los mejores resultados de combinacin si las ACL se filtran basndose en las direcciones IP (fuente
y destino) y no en el flujo total (direccin IP de origen, direccin IP de destino, el protocolo y
puertos de protocolo). Tambin es til usar no les importa bits de la direccin IP, siempre que sea posible.
Si necesita especificar el modo de flujo completo y el ACL contiene tanto IP ACE y TCP / UDP / ICMP
Ases con Capa 4, poner la capa 4 ACE al final de la lista. Esto le da prioridad a la
el filtrado de trfico basado en direcciones IP.
40-41
Captulo 40
Figura 40-6
VLAN 10
mapa
Entrada
enrutador
ACL
Salida
enrutador
ACL
VLAN 20
mapa
Frame
Host A
(VLAN 10)
Funcin de enrutamiento o
puente de repliegue
Anfitrin C
(VLAN 10)
101357
VLAN 10
VLAN 20
Paquete
VLAN 10
mapa
VLAN 20
mapa
Frame
Host A
(VLAN 10)
Host B
(VLAN 20)
Puente de retorno
101358
VLAN 10
Paquete
VLAN 20
40-42
OL-29703-01
Captulo 40
2.
3.
4.
Figura 40-8
VLAN 10
mapa
Entrada
enrutador
ACL
Salida
enrutador
ACL
VLAN 20
mapa
Frame
Host A
(VLAN 10)
Host B
(VLAN 20)
Funcin de encaminamiento
101359
VLAN 10
Paquete
VLAN 20
40-43
Captulo 40
Figura 40-9
VLAN 10
mapa
Entrada
enrutador
ACL
Salida
enrutador
ACL
VLAN 20
mapa
Frame
Host A
(VLAN 10)
Host B
(VLAN 20)
Funcin de encaminamiento
Anfitrin C
(VLAN 10)
101360
VLAN 10
Paquete
VLAN 20
Comando
Propsito
Mostrar el contenido de uno o de todos los IP actual y la direccin MAC listas de acceso
o una lista de acceso especfico (numeradas o con nombre).
Mostrar el contenido de todas las listas actuales de acceso IP o una lista especfica de acceso IP
(Numeradas o con nombre).
Muestra las listas de acceso MAC aplican a todos Capa 2 interfaces o el especificado
Capa de interfaz 2.
40-44
OL-29703-01
Captulo 40
Tambin puede mostrar informacin sobre mapas de acceso VLAN o filtros de VLAN. Utilice el EXEC privilegiado
comandos en Tabla 40-3 para mostrar VLAN mapa de informacin.
Tabla 40-3
Comando
Propsito
40-45
Captulo 40
40-46
OL-29703-01
E R CH A P T
41
Configuracin de
QoS
En este captulo se describe cmo configurar la calidad de servicio (QoS) mediante el uso de QoS automtico (auto-QoS)
comandos o mediante el uso estndar QoS comandos en el Catalyst 3750-E o 3560-E Catalyst 3750-X o
Interruptor 3560-X. Con calidad de servicio, que se puede brindar un trato preferencial a ciertos tipos de trfico en la
expensas de los dems. Sin QoS, el conmutador ofrece un servicio de mejor esfuerzo a cada paquete, independientemente de la
contenido del paquete o el tamao. Enva los paquetes sin ninguna garanta de fiabilidad, retrasar los lmites, o
rendimiento. A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560
Catalyst 3750-X o interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X.
Cisco IOS Versin 12.2 (52) SE y ms tarde El switch soporta QoS para IPv4 e IPv6 trfico cuando un
dual IPv4 e IPv6 SDM plantilla est configurada.
Nota
IPv6 QoS no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
Puede configurar QoS en los puertos fsicos y en las interfaces virtuales de conmutacin (SVI). Aparte de aplicar
mapas polticos, de configurar los valores de calidad de servicio, tales como la clasificacin, gestin de colas, y la programacin, la
misma
manera en puertos fsicos y SVI. Al configurar QoS en un puerto fsico, se aplica un nonhierarchical
mapa de la poltica. Al configurar QoS en una SVI, se aplica un no jerrquica o un mapa de la poltica jerrquica.
Mapas polticos no jerrquicos se denominan mapas de poltica como no jerrquicas de un solo nivel, y jerrquica
mapas polticos se les conoce como mapas jerrquicos de poltica de dos niveles en la documentacin del conmutador para la
Switch Catalyst 3750 Metro, Switch Cisco ME 3400E Series acceso Ethernet, y Cisco ME 3400 Series
Conmutador de Acceso Ethernet
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
El conmutador es compatible con algunas de las QoS modular CLI (MQC) manda. Para obtener ms informacin acerca de la
MQC comandos, consulte la "Calidad de Servicio Modular Interfaz de lnea de" captulo de la Cisco
Calidad IOS de servicio Gua de configuracin Solutions, versin 12.4.
41-1
Captulo 41
Configuracin de QoS
La comprensin de QoS
La comprensin de
QoS
Por lo general, las redes operan sobre una base de entrega de mejor esfuerzo, lo que significa que todo el trfico tiene la misma
prioridad
y la misma posibilidad de ser entregado en el momento oportuno. Cuando se produce la congestin, todo el trfico tiene un
igual oportunidad de ser abandonado.
Al configurar la caracterstica de QoS, se puede seleccionar el trfico de red especfica, establecer prioridades de acuerdo a
su importancia relativa, y el uso de gestin de la congestin y la congestin de evitacin de las tcnicas a
ofrecer un trato preferente. La implementacin de QoS en la red hace que el rendimiento de red ms
la utilizacin de ancho de banda ms predecible y eficaz.
La implementacin de QoS se basa en los Servicios Diferenciados (Diff-Serv), la arquitectura, un emergente
estndar de la Internet Engineering Task Force (IETF). Esta arquitectura especifica que cada paquete
se clasifica a la entrada en la red.
La clasificacin se realiza en la cabecera del paquete IP, usando 6 bits del tipo IP en desuso de servicio
Campo (ToS) para llevar la informacin (clase) de clasificacin. La clasificacin tambin se puede realizar en el
Capa 2 marco. Estos bits especiales en el marco de capa 2 o un paquete de Capa 3 se describen aqu y se muestran
en Figura 41-1:
Nota
Usted puede utilizar las plantillas de doble IPv4 e IPv6 SDM y habilitar IPv6 QoS a nivel mundial en el interruptor o
pila de switches. Usted debe volver a cargar el interruptor despus de configurar las plantillas de doble IPv4 e IPv6. Para obtener
ms
informacin, consulte Captulo 8, "Configuracin de SDM plantillas." IPv6 QoS no se admite en los interruptores
ejecutar el conjunto de funciones de base LAN.
41-2
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Figura 41-1
Paquete encapsulado
Capa 2
cabecera
Cabecera IP
Datos
FCS
(4 bytes)
Comience marco
DA
delimitador
SA
Tag
PT
Datos
FCS
ToS
(1 byte)
Len
ID
TTL Offset
Precedencia IP o DSCP
Capa 3 paquetes de IPv6
Version
Clase de trfico
(1 byte)
Flujo PayloadNext
etiqueta cabecera de longitud
HOP
lmite
Fuente
Direccin
Dest.
Direccin
206582
Precedencia IP o DSCP
Todos los switches y routers que acceden a Internet se basan en la informacin de clase para proporcionar la misma
reenvo de tratamiento a los paquetes con la misma informacin de clase y el tratamiento diferente a los paquetes con
informacin de clase diferente. La informacin de clase en el paquete puede ser asignada por los anfitriones finales o por
conmutadores o routers en el camino, sobre la base de una poltica configurada, el examen detallado del paquete, o
ambos. Se espera que examen detallado del paquete a pasar ms cerca del borde de la red para que
los switches de ncleo y los routers no estn sobrecargados con esta tarea.
Switches y routers a lo largo del camino pueden utilizar la informacin de clase para limitar la cantidad de recursos
asignado por clase de trfico. El comportamiento de un dispositivo individual para la manipulacin de trfico en el DiffServ
arquitectura se denomina comportamiento por salto. Si todos los dispositivos a lo largo de un camino proporcionan un
comportamiento coherente por salto,
usted puede construir una solucin de extremo a extremo de QoS.
La implementacin de QoS en la red puede ser una tarea simple o compleja y depende de las caractersticas de calidad de servicio
ofrecido por los dispositivos de interconexin de redes, los tipos y patrones de trfico en su red, y la
granularidad de control que necesita sobre el trfico entrante y saliente.
41-3
Captulo 41
Configuracin de QoS
La comprensin de QoS
Clasificar un camino distinto para un paquete al asociarla con una etiqueta de calidad de servicio. El interruptor de mapas de las
CoS
o DSCP en el paquete a una etiqueta de QoS para distinguir un tipo de trfico de otro. La etiqueta QoS
que se genera identifica todas las futuras acciones de calidad de servicio que se realizan en este paquete. Para obtener ms
informacin, consulte la Apartado "Clasificacin" en la pgina 41-5.
Vigilancia determina si un paquete est dentro o fuera de perfil mediante la comparacin de la tasa del entrante
trfico al controlador de polticas configurado. El controlador de polticas limita el ancho de banda consumido por un flujo de
trfico. El
resultado se pasa al marcador. Para obtener ms informacin, consulte la La seccin "La actuacin policial y marcado" en la
pgina 41-9.
Marcado evala la informacin de controlador de polticas y la configuracin de la accin a tomar cuando un paquete
est fuera de perfil y determina qu hacer con el paquete (pasar a travs de un paquete sin
modificacin, marque abajo la etiqueta QoS en el paquete, o descartar el paquete). Para obtener ms informacin, consulte
la La seccin "La actuacin policial y marcado" en la pgina 41-9.
Formacin de Colas evala la etiqueta QoS y el DSCP correspondiente o valor de CoS para seleccionar en cul de
las dos colas de entrada para colocar un paquete. Colas se ha mejorado con la cola-drop ponderada (DMP)
algoritmo, un mecanismo de evasin de congestin. Si se supera el umbral, el paquete se descarta.
Para obtener ms informacin, consulte la Seccin "colas y programacin general" en la pgina 41-14.
La programacin de los servicios de las colas en funcin de su robin configurado de forma redonda (SRR) pesos. Uno
de las colas de entrada es la cola de prioridad, y SRR servicios de TI para su participacin configurado antes
el servicio de la otra cola. Para obtener ms informacin, consulte la Seccin sobre "SRR Shaping y recursos compartidos"
pgina 41-15.
Colas evala la etiqueta de paquetes QoS y el DSCP correspondiente o el valor CoS antes de seleccionar
cul de las cuatro colas de salida a utilizar. Debido a la congestin puede ocurrir cuando varios puertos de ingreso
enviar datos simultneamente a un puerto de salida, WTD distingue clases de trfico y somete a la
paquetes a diferentes umbrales basados en la etiqueta de QoS. Si se supera el umbral, el paquete se
cado. Para obtener ms informacin, consulte la Seccin "colas y programacin general" en la
pgina 41-14.
Servicios de programacin de las cuatro colas de salida en funcin de su SRR configurado compartidos o pesos de forma.
Una de las colas (colas 1) puede haber acelerado la cola, que es atendida hasta que est vaca antes de la
otras colas son atendidas.
41-4
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Figura 41-2
Clasificacin
La clasificacin es el proceso de distinguir un tipo de trfico de otro mediante el examen de los campos
en el paquete. Clasificacin slo se activa si se habilita QoS a nivel mundial en el interruptor. De forma predeterminada, QoS es
globalmente deshabilitado, por lo que no se produce la clasificacin.
Durante la clasificacin, el conmutador realiza una bsqueda y asigna una etiqueta de QoS al paquete. La etiqueta QoS
identifica todas las acciones de QoS que se realizarn en el paquete y desde qu cola el paquete se enva.
La etiqueta QoS se basa en el DSCP o el valor de CoS en el paquete y decide la puesta en cola y
acciones de programacin para realizar en el paquete. La etiqueta se asigna de acuerdo con el ajuste de la confianza y la
tipo de paquete como se muestra en Figura 41-3 en la pgina 41-7.
Usted especifica qu campos de la trama o paquete que desea utilizar para clasificar el trfico entrante. Para
trfico no IP, usted tiene estas opciones de clasificacin como se muestra en Figura 41-3:
Confa en el valor de CoS en la trama entrante (configurar el puerto para confiar CoS). A continuacin, utilice la
CoS-a-DSCP mapa configurables para generar un valor DSCP para el paquete. Capa cabeceras de trama 2 ISL
llevar el valor de CoS en los 3 bits menos significativos del campo de usuario 1-byte. Capa de marco 2 802.1Q
cabeceras llevan el valor de CoS en los 3 bits ms significativos de la etiqueta de campo de informacin de control. CoS
Los valores van desde 0 para una baja prioridad a 7 para alta prioridad.
Confa en el DSCP o fideicomiso valor de precedencia IP en la trama entrante. Estas configuraciones son
sentido para el trfico no IP. Si configura un puerto con cualquiera de estas opciones y el trfico no IP
se recibe, el interruptor asigna un valor CoS y genera un valor DSCP interna de la
CoS-to-DSCP mapa. El conmutador utiliza el valor de DSCP interno para generar un valor que representa CoS
la prioridad del trfico.
Realizar la clasificacin basada en una lista de control de acceso MAC de Capa 2 configurado (ACL), lo que puede
examinar la direccin MAC de origen, la direccin de destino MAC, y otros campos. Si no es ACL
configurado, el paquete se asigna 0 como el DSCP y valores de CoS, lo que significa que el trfico de mejor esfuerzo.
De lo contrario, la poltica-mapa de accin especifica un valor de DSCP o CoS asignar a la trama entrante.
41-5
Captulo 41
Configuracin de QoS
La comprensin de QoS
Para el trfico IP, usted tiene estas opciones de clasificacin como se muestra en Figura 41-3:
Confa en el valor DSCP en el paquete entrante (configurar el puerto para confiar DSCP), y asignar el mismo
Valor de DSCP al paquete. El IETF define los 6 bits ms significativos del campo ToS de 1 byte como
el DSCP. La prioridad representado por un valor particular DSCP es configurable. Valores DSCP van
de 0 a 63.
Tambin puede clasificar el trfico IP basada en IPv6 DSCP.
Para los puertos que estn en el lmite entre dos dominios administrativos de QoS, se puede modificar el
DSCP a otro valor utilizando el mapa configurable-DSCP a DSCP-mutacin.
Confa en el valor de precedencia IP del paquete entrante (configurar el puerto para confiar en la precedencia de IP), y
generar un valor de DSCP para el paquete utilizando el mapa configurable IP-prioridad-a-DSCP. El
IP versin 4 especificacin define los 3 bits ms significativos del campo ToS de 1 byte como el IP
precedencia. Valores de precedencia IP van desde 0 para una baja prioridad a 7 para alta prioridad.
Tambin puede clasificar el trfico IP basada en IPv6 precedencia.
Nota
Confiar en el valor de CoS (si est presente) en el paquete de entrada, y generar un valor de DSCP para el paquete por
utilizando el mapa CoS-a-DSCP. Si el valor de CoS no est presente, utilice el valor CoS de puerto predeterminados.
Invalidar las CoS configurados de los paquetes entrantes, y aplicar el valor CoS de puerto predeterminados para ellos. Para
Paquetes IPv6, el valor DSCP se reescribe utilizando el mapa CoS-a-DSCP y usando el valor por defecto
CoS del puerto. Yyou puede hacer esto para IPv4 e IPv6 trfico.
IPv6 QoS no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
Despus de la clasificacin, el paquete se enva a la polica, marcado, y la entrada de cola y la programacin
etapas.
41-6
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Figura 41-3
Clasificacin Organigrama
Inicio
Confianza CoS (IP y el trfico no IP).
Leer interfaz de entrada
configuracin para la clasificacin. La confianza DSCP (trfico IP).
IP y
no IP
trfico
DSCP Fideicomiso o
Precedencia de IP
(Trfico no IP).
(Opcional) Modifique el
DSCP mediante el uso de la
-DSCP a DSCP-mutacin
mapa. Utilice el DSCP
valor para generar
la etiqueta QoS.
No
Use CoS
del bastidor.
Generar DSCP de
CoS-to-DSCP mapa.
Utilice el valor de DSCP a
generar la etiqueta de QoS.
Confianza IP
precedencia
(Trfico IP).
Done
Done
No
No
S
No
Leer siguiente ACL. Est ah
un partido con una accin de "permiso"?
S
Asigne el DSCP o CoS especificados
por la accin de ACL para generar la etiqueta de QoS.
Done
Done
86834
Nota
ACL IPv6 no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
41-7
Captulo 41
Configuracin de QoS
La comprensin de QoS
En el contexto de QoS, la concesin de permisos y negar las acciones en las entradas de control de acceso (ACE) tienen
diferente
significados que con ACL de seguridad:
Si se encuentra una coincidencia con un permiso de la accin (principio del primer partido), los especificados QoS
relacionada
se toman medidas.
Si se encuentra una coincidencia con una accin de negar, la ACL est procesando se omite, y la siguiente ACL
se procesa.
Nota
Si no se encuentra el partido con una accin de permiso y todas las ACE se han examinado, no hay QoS
procesamiento se produce en el paquete, y el conmutador ofrece un servicio de mejor esfuerzo para el paquete.
Si varias ACL estn configuradas en un puerto, la bsqueda se detiene despus de que el paquete coincide con la primera ACL
con una accin de permiso, comienza y procesamiento de QoS.
Al crear una lista de acceso, recuerde que, por defecto, al final de la lista de acceso contiene un implcito
negar la declaracin de todo si no se encuentra una coincidencia antes de llegar al final.
Despus de una clase de trfico se ha definido con la ACL, puede adjuntar una poltica a la misma. Una poltica puede contener
mltiples clases con acciones especficas para cada uno de ellos. Una poltica podra incluir comandos a
clasificar a la clase como un agregado en particular (por ejemplo, asignar un DSCP) o limitar la velocidad de la clase. Este
la poltica se conecta luego a un puerto concreto en el que se hace efectiva.
Implementa ACL IP para clasificar el trfico IP mediante el uso de la access-list comando de configuracin global;
implementar Capa 2 MAC ACL para clasificar el trfico no IP mediante el uso de la mac access-list extendi
comando de configuracin global. Para obtener informacin de configuracin, consulte la "Configuracin de una directiva QoS"
en la pgina 41-50.
41-8
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
El mapa de la poltica puede contener la polica y agregado policial comandos de configuracin de la clase poltica-mapa,
que definen el controlador de polticas, las limitaciones de ancho de banda del trfico, y la accin a tomar si los lmites son
superado.
Para activar el mapa de la poltica, lo conecta a un puerto mediante el uso de la poltica-servicio configuracin de la interfaz
de comandos.
Puede aplicar un mapa de la poltica no jerrquica a un puerto fsico o un SVI. Sin embargo, una poltica jerrquica
mapa slo se puede aplicar a un SVI. Un mapa de la poltica jerrquica contiene dos niveles. El primer nivel, el
Nivel de VLAN, especifica las acciones a tomar en contra de un flujo de trfico en la SVI. El segundo nivel, el
nivel de interfaz, especifica las medidas que deben adoptarse contra el trfico en los puertos fsicos que pertenecen a la
SVI. Las acciones a nivel de interfaz se especifican en el mapa de la poltica a nivel de interfaz.
Para obtener ms informacin, consulte la La seccin "La actuacin policial y marcado" en la pgina 41-9. Para la
configuracin
informacin, consulte la "Configuracin de una directiva QoS" en la pgina 41-50.
Actuacin policial y
Marcado
Despus de que un paquete es clasificado y tiene una etiqueta QoS DSCP-basado o basados CoS-asignado a la misma, la actuacin
policial
y proceso de marcado puede comenzar como se muestra en Figura 41-4.
Polica implica la creacin de un controlador de polticas que especifica los lmites de ancho de banda para el trfico. Los paquetes
que exceden
los lmites son fuera de perfil o no conforme. Cada controlador de polticas decide en cada paquete por paquete si
el paquete est dentro o fuera de perfil y especifica las acciones en el paquete. Estas acciones, llevadas a cabo por el
marcador, incluyen pasar a travs del paquete sin modificacin, dejando caer el paquete, o modificar
(Marcado hacia abajo) el DSCP asignado del paquete y permitiendo que el paquete pase a travs. El
configurable mapa vigilada-DSCP ofrece el paquete con una etiqueta QoS basado en DSCP nuevo. Para obtener informacin
en el mapa-DSCP vigilada, consulte la Seccin "Tablas de asignacin" en la pgina 41-13. Marcado-down paquetes uso
las mismas colas como la etiqueta QoS original para evitar los paquetes en un flujo de conseguir fuera de orden.
Nota
Todo el trfico, con independencia de que se tiende un puente o enrutado, se somete a un controlador de polticas, que se haya
configurado.
Como resultado, los paquetes puenteados podran caer o podran tener su DSCP o CoS campos modificados cuando
que son vigiladas y marcados.
Puede configurar la polica (ya sea policers individual o agregada) en un puerto fsico o un SVI. Para
ms informacin sobre la configuracin de la vigilancia en los puertos fsicos, consulte la "La actuacin policial en Puertos fsicos"
en la pgina 41-10. Al configurar los mapas de poltica en una SVI, puede crear una poltica jerrquica
mapa y puede definir un controlador de polticas individuales slo en el mapa de la poltica a nivel de interfaz secundaria. Para
obtener ms
informacin, consulte la La seccin "La actuacin policial en SVI" en la pgina 41-11.
Despus de configurar el mapa de la poltica y las acciones policiales, fije la poltica a un puerto de entrada o SVI por
usando el poltica-servicio comando de configuracin de interfaz. Para obtener informacin de configuracin, consulte la
Seccin "Clasificar, Vigilancia, y marcado Trfico en Puertos fsicos mediante el uso de Mapas de poltica" en la
pgina 41-59, la "Clasificar, Vigilancia, y marcar el trfico en SVI mediante Directiva jerrquica
Seccin de Mapas "en la pgina 41-64, y el "Clasificar, Vigilancia, y marcado trfico mediante el uso Aggregate
Seccin policers "en la pgina 41-72.
41-9
Captulo 41
Configuracin de QoS
La comprensin de QoS
En los mapas polticos sobre puertos fsicos, puede crear estos tipos de policers:
Individual-QoS se aplica el lmite de ancho de banda especificado en el controlador de polticas por separado a cada
emparejado
clase de trfico. Debe configurar este tipo de controlador de polticas dentro de un mapa de la poltica mediante el uso de la
polica policy-map
comando de configuracin
clase.
Aggregate-QoS
se aplica elde
lmite
de ancho de banda especificado en un controlador de polticas agregado acumulativamente a
todos
los flujos de trfico combinado. Debe configurar este tipo de controlador de polticas, especificando el nombre de polticas
agregado
dentro de un mapa de la poltica mediante el uso de la agregado policial poltica-mapa comando de configuracin de clase.
Usted
especificar los lmites de ancho de banda del controlador de polticas mediante el uso de la mls QoS agregada-controlador de
polticas mundial
comando de configuracin. De esta manera, el controlador de polticas agregado es compartida por mltiples clases de trfico
dentro
dePuede
un mapa
de la poltica.
Nota
configurar
slo policers individuales en una SVI.
Polica utiliza un algoritmo token-bucket. Como cada trama es recibida por el interruptor, se aade un contador al
cubo. El cubo tiene un agujero en l y se filtra a una velocidad que especifique como la tasa media del trfico en bits
por segundo. Cada vez que un token se aade a la cubeta, el interruptor verifica que hay suficiente espacio en el
cubo. Si no hay espacio suficiente, el paquete se marca como no conforme, y el controlador de polticas especificada
que se tomen medidas (cae o marcada hacia abajo).
La rapidez con la cubeta llena es una funcin de la profundidad de cubeta (byte de rfaga), la velocidad a la que las fichas
se eliminan (-bps tasa), y la duracin de la rfaga por encima de la tasa media. El tamao de la cubeta
impone un lmite superior a la longitud de la rfaga y limita el nmero de imgenes que se pueden transmitir
back-to-back. Si la explosin es corto, el cubo no se desborde, y no se tomen medidas contra el trfico
fluir. Sin embargo, si una rfaga es larga y en una tasa ms alta, los desbordamientos de cubo, y las acciones policiales son
tomada contra los marcos en esa rfaga.
Puede configurar la profundidad de la cuchara (la rfaga mxima que se tolera antes de que se desborde el cubo) por
usando el -byte estallar opcin de la polica -mapa de la poltica de comandos de configuracin de clases o la mls qos
agregada-controlador de polticas comando de configuracin global. Se configura la rapidez (la tasa promedio) que el
fichas se retiran de la cubeta mediante el uso de la tasa de bps opcin de la polica clase poltica-mapa
o el comando de configuracin mls QoS agregada-controlador de polticas comando de configuracin global.
Figura 41-4 muestra el proceso de la Polica y el marcado cuando se configuran estos tipos de mapas de poltica:
El nivel de la interfaz de un mapa de la poltica jerrquica unida a un SVI. Los puertos fsicos estn especificados
En este mapa de la poltica secundaria.
41-10
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Figura 41-4
Obtener la clasificacion
resultar para el paquete.
Se configura un controlador de
polticas
para este paquete?
S
No
No
Compruebe si el paquete est en
Perfil consultando el controlador de polticas.
S
Pass
a travs
Cada de paquetes.
Done
La actuacin policial en
SVI
Nota
Antes de configurar un mapa de la poltica jerrquica con policers individuales en una SVI, debe habilitar
QoS en los puertos fsicos que pertenecen al SVI VLAN basada. Aunque un mapa de la poltica est unido a la
SVI, las policers individuales slo afectan el trfico en los puertos fsicos especificados en la interfaz secundaria
nivel del mapa de la poltica jerrquica.
Un mapa de la poltica jerrquica tiene dos niveles. El primer nivel, el nivel de VLAN, especifica las acciones a ser
contra un flujo de trfico en un SVI. El segundo nivel, el nivel de interfaz, especifica las acciones a ser
tomada contra el trfico en los puertos fsicos que pertenecen a la SVI y que se especifican en el
interfaz de nivel mapa de la poltica.
41-11
Captulo 41
Configuracin de QoS
La comprensin de QoS
En la configuracin de la polica en un SVI, puede crear y configurar un mapa de la poltica jerrquica con estos
dos niveles:
VLAN de nivel-Crear este nivel primario mediante la configuracin de mapas de clase y clases que especifican el puerto
confiar estado o establecer una nueva DSCP o el valor de precedencia IP en el paquete. El mapa de la poltica a nivel de VLAN
se aplica slo a la VLAN en un SVI y no es compatible con policers.
Interfaz de nivel-Crear este nivel secundaria mediante la configuracin de mapas de clase y clases que especifican el
policers individuales en los puertos fsicos del pertenecen al SVI. El mapa de la poltica a nivel de interfaz nica
apoya policers individuales y no es compatible con policers agregados. Puede configurar diferentes
mapas de la poltica a nivel de interfaz para cada clase definida en el mapa de la poltica a nivel de VLAN.
Consulte la Seccin "Clasificar, Vigilancia, y marcar el trfico en SVI mediante la directiva de Jerrquicos Mapas"
en la pgina 41-64 para un ejemplo de un mapa de la poltica jerrquica.
Figura 41-5 muestra el proceso de la Polica y el marcado cuando los mapas polticos jerrquicos en un SVI.
Figura 41-5
Obtener la VLAN y
clasificacin a nivel de interfaz
Resultados para el paquete.
Gota
Verifique la accin fuera de perfil
configurado para este controlador de
polticas.
Marcos
Cada de paquetes.
Done
41-12
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Tablas de asignacin
Durante el procesamiento de calidad de servicio, el interruptor representa la prioridad de todo el trfico (incluyendo el trfico no IP)
con una
Etiqueta de QoS basado en el DSCP o el valor CoS de la etapa de clasificacin:
Durante la clasificacin, QoS utiliza tablas de asignacin configurables para derivar un DSCP correspondiente o
Valor CoS de una CoS recibidos, valor de prioridad DSCP o IP. Estos mapas incluyen la
CoS-to-DSCP mapa y el mapa IP-prioridad-a-DSCP. Puede configurar estos mapas utilizando el mls
QoS mapa dscp cos- y el mls qos mapa ip-prec-dscp comandos de configuracin global.
En un puerto de entrada configurado en el estado de confianza-DSCP, si los valores son diferentes entre DSCP
los dominios de calidad de servicio, puede aplicar el mapa configurable-DSCP a DSCP-mutacin para el puerto que est
en el lmite entre los dos dominios de QoS. Debe configurar este mapa mediante la mls qos mapa
dscp-mutacin comando de configuracin global.
Durante la vigilancia, QoS puede asignar otro valor DSCP a una IP o un paquete no IP (si el paquete es
de perfil y el controlador de polticas especifica un valor marcado-down). Este mapa configurable se denomina
vigilada-DSCP mapa. Debe configurar este mapa mediante la mls qos map-dscp vigilado mundial
comando de configuracin.
Antes de que el trfico llega a la etapa de programacin, QoS almacena el paquete en una entrada y una salida
Cola de acuerdo a la etiqueta QoS. La etiqueta QoS se basa en el DSCP o el valor de CoS en el paquete
y selecciona la cola a travs de los mapas de entrada y salida de umbral de colas de DSCP o CoS a travs de los
mapas de umbral de entrada y de cola de salida. Adems de una entrada o una cola de salida, la etiqueta QOS
Tambin identifica el valor umbral de DMT. Puede configurar estos mapas utilizando el mls qos SRR-cola
{Entrada | salida} dscp-map y el mls qos SRR-cola {Entrada | salida} cos-map mundial
comandos de configuracin.
Los cos-to-DSCP, DSCP-a-CoS, y los mapas IP-prioridad-a-DSCP tienen valores predeterminados que pueden
o podra no ser adecuada para su red.
El mapa default-DSCP a DSCP-mutacin y el defecto vigilada-DSCP mapa son nulos mapas; mapean
un valor de DSCP entrante en el mismo valor de DSCP. El mapa-DSCP a DSCP-mutacin es el nico mapa
aplicar a un puerto especfico. Todos los otros mapas se aplican a todo el interruptor.
Para obtener informacin de configuracin, consulte la Seccin "Configuracin de DSCP Mapas" en la pgina 4174.
Para obtener informacin sobre los mapas de umbral de DSCP y la cola de entrada de CoS, consulte la "Colas y
Programacin en Ingress colas "en la pgina 41-16. Para obtener informacin sobre el DSCP y salida de CoS
mapas umbral cola, ver la En la pgina 41-19 "colas y programacin de egreso colas".
41-13
Captulo 41
Configuracin de QoS
La comprensin de QoS
Trfico
Anillo Pila
Egreso
colas
Entrada
colas
Clasifica
SRR
SRR
86691
Controlador de Marker
polticas
Controlador de Marker
polticas
Figura 41-7
Trfico
Clasifica
Interna
anillo
Egreso
colas
Entrada
colas
SRR
SRR
90563
Controlador de Marker
polticas
Controlador de Marker
polticas
Debido a que el ancho de banda de entrada total de todos los puertos puede exceder el ancho de banda de la pila o el anillo interno,
colas de entrada se encuentran despus del paquete se clasifica, vigilado, y marcado y antes que los paquetes son
remitido a la matriz de conmutacin. Debido a mltiples puertos de ingreso pueden enviar simultneamente los paquetes a un
puerto de salida y la causa de la congestin, las colas de salida se encuentran despus de la pila o el anillo interno.
41-14
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Figura 41-8
CoS 6-7
CoS 4-5
CoS 0-3
1000
60%
600
40%
400
86692
Para obtener ms informacin, consulte la "DSCP Mapping o CoS Valores a una cola de entrada y configuracin WTD
Seccin Umbrales "en la pgina 41-81, la "Espacio Asignacin Buffer a Configuracin y WTD umbrales para una
Egreso Queue-Set "en la pgina 41-85, y el "DSCP Mapping o CoS Valores a una cola de salida
y para una seccin ID Umbral "en la pgina 41-87.
Tanto las colas de entrada y salida son atendidos por SRR, que controla la velocidad a la cual los paquetes son
enviado. En las colas de entrada, SRR enva paquetes a la pila o el anillo interno. En las colas de salida, SRR
enva paquetes al puerto de salida.
Puede configurar SRR en colas de salida para compartir o para dar forma. Sin embargo, para las colas de ingreso, compartiendo
es el modo por defecto, y es el nico modo soportado.
En el modo de forma, las colas de salida estn garantizados un porcentaje del ancho de banda, y estn
velocidad limitada a esa cantidad. Trfico de forma no utiliza ms que el ancho de banda asignado, incluso si el
enlace est inactivo. Shaping proporciona una mayor uniformidad del flujo de trfico a travs del tiempo y reduce los picos y valles
de
trfico a rfagas. Con la conformacin, el valor absoluto de cada peso se utiliza para calcular el ancho de banda
disponible para las colas.
41-15
Captulo 41
Configuracin de QoS
La comprensin de QoS
En modo compartido, las colas comparten el ancho de banda entre ellos de acuerdo con los pesos configurados. El
ancho de banda est garantizada en este nivel pero no se limita a ella. Por ejemplo, si una cola est vaca y ya no se
requiere una parte del enlace, las colas restantes pueden expandirse en el ancho de banda no utilizado y compartirlo
entre ellos. Con el intercambio, la relacin de los pesos controla la frecuencia de desencolado; la absoluta
valores no tienen sentido. Dar forma y el intercambio est configurado por interfaz. Cada interfaz puede ser nicamente
configurado.
Para obtener ms informacin, consulte la Seccin "Asignacin de ancho de banda entre las colas de entrada" en la
pgina 41 a 82, la "Configuracin de SRR en forma de Pesos en egreso colas" en la pgina 41-89, y el
Seccin "Configuracin de SRR compartido Pesos en egreso colas" en la pgina 41-90.
Colas y programacin Diagrama de flujo para el ingreso Puertos en Catalyst 3750-E 3750-X
Interruptores
Inicio
Son umbrales
siendo superado?
No
Cada de paquetes.
Enviar paquete a
el anillo de pila.
86693
41-16
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Figura 41-10
Colas y programacin Diagrama de flujo para el ingreso Puertos en Catalyst 3560-E 3560-X
Interruptores
Inicio
Son umbrales
siendo superado?
No
Cada de paquetes.
Enviar paquete a
el anillo interno.
Nota
90564
SRR servicios de la cola de prioridad para su participacin configurado antes de reparar la otra cola.
El conmutador es compatible con dos colas de entrada configurables, que son atendidos por SRR slo en modo compartido.
Tabla 41-1 describe las colas.
Tabla 41-1
Queue Type1
Funcin
Normal
El trfico de usuarios que se considera ser la prioridad normal. Puede configurar tres diferentes
umbrales para diferenciar entre los flujos. Puede utilizar el mls entrada qos SRR-cola
umbral, la mls qos SRR-cola de entrada dscp-map, y el mls entrada qos SRR-cola
cos-map comandos de configuracin global.
Agilizar
Tales como servicios diferenciados de trfico de usuarios de alta prioridad (DF) reenvo acelerado o
el trfico de voz. Se puede configurar el ancho de banda requerido para este trfico como porcentaje
del trfico total o trfico total pila en Catalyst 3750-E 3750-X mediante el uso de interruptores
la mls entrada qos SRR-cola-cola de prioridad comando de configuracin global. El expedita
cola ha garantizado el ancho de banda.
1. El conmutador utiliza dos colas no configurables para el trfico que es esencial para la red y que funciona correctamente pila.
41-17
Captulo 41
Configuracin de QoS
La comprensin de QoS
Se asigna a cada paquete que fluye a travs del interruptor a una cola y con un umbral. Especficamente, asignar
DSCP o CoS valores a un DSCP cola de entrada y mapa o CoS valores a un ID de umbral. Se utiliza el
mls entrada qos SRR-cola dscp-correlacin de colas cola-Identificacin {Dscp1 ... dscp8 | umbral umbral Identificacin
dscp1 ... dscp8} o la mls qos entrada SRR-cola cos-correlacin de colas cola-Identificacin {Cos1 ... COS8 | umbral
umbral Identificacin cos1 ... COS8} comando de configuracin global. Se puede visualizar la cola de entrada DSCP
mapa umbral y el CoS entrada mapa umbral de colas utilizando el Mostrar mls QoS mapas EXEC privilegiado
de comandos.
WTD Umbrales
Las colas utilizan WTD para apoyar porcentajes de abandono distintas para diferentes clases de trfico. Cada cola tiene
tres umbrales de cada: dos configurables (explcitas) umbrales de DMT y uno no configurables (implcito)
umbral programado para el estado-cola llena. Se asignan los dos porcentajes explcitos umbral DMT para
ID umbral 1 y 2 Identificacin de las colas de entrada mediante el uso de la mls qos umbral de entrada SRR-cola cola-Identificacin
umbral percentage1 umbral porcentaje2 comando de configuracin global. Cada valor umbral es un
porcentaje del nmero total de bferes asignados para la cola. El umbral de cada para ID umbral del 3
est programado para el estado-cola llena, y no puedes modificarlo. Para obtener ms informacin acerca de cmo funciona el
DMD,
ver el Seccin "Drop Tail ponderado" en la pgina 41-15.
Colas de Prioridad
Usted puede configurar una cola de entrada como la cola de prioridad mediante el uso de la mls entrada qos SRR-cola
-cola de prioridad cola-Identificacin ancho de banda peso comando de configuracin global. La cola de prioridad debe
ser utilizados para el trfico (por ejemplo, voz) que requiere la entrega garantizada porque esta cola est garantizada parte
de la anchura de banda independientemente de la carga en la pila o el anillo interno.
SRR servicios de la cola de prioridad para su peso configurado segn lo especificado por el ancho de banda palabra clave en el
mls entrada qos SRR-cola-cola de prioridad cola-Identificacin ancho de banda peso comando de configuracin global.
Entonces, SRR comparte el ancho de banda restante con dos colas y servicios les de ingreso segn lo especificado por
los pesos configurados con la mls qos ancho de banda de entrada SRR-cola peso1 peso2 mundial
comando de configuracin.
Puede combinar los comandos que se describen en esta seccin para priorizar el trfico mediante la colocacin de los paquetes con
DSCP o CoS particulares en ciertas colas, mediante la asignacin de un tamao grande cola o por el servicio de la cola
con ms frecuencia, y mediante el ajuste de umbrales de cola de modo que se dejan caer los paquetes con prioridades ms bajas. Para
informacin de configuracin, consulte la Seccin "Configuracin de las caractersticas de entrada de cola" en la pgina 41-80.
41-18
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
Nota
Si la cola est habilitada expedita, SRR servicios de TI hasta que se vace antes de dar servicio a los otros tres colas.
Figura 41-11
Colas y programacin Diagrama de flujo para puertos de salida en Catalyst 3750-E 3750-X
Interruptores
Inicio
Son umbrales
siendo superado?
No
Cada de paquetes.
Reescribir DSCP y / o
Valor CoS como
apropiada.
Enviar el paquete
fuera del puerto.
86694
Done
41-19
Captulo 41
Configuracin de QoS
La comprensin de QoS
Figura 41-12
Colas y programacin Diagrama de flujo para puertos de salida en Catalyst 3560-E 3560-X
Interruptores
Inicio
Son umbrales
siendo superado?
No
Cada de paquetes.
Reescribir DSCP y / o
Valor CoS como
apropiada.
Enviar el paquete
fuera del puerto.
90565
Done
Cada puerto soporta cuatro colas de salida, uno de los cuales (cola 1) pueden ser la cola de salida expedita. Estos
colas se asignan a una cola-set. Todo el trfico que sale del interruptor fluye a travs de uno de estos cuatro colas
y se somete a un umbral basado en la etiqueta QoS asignado al paquete.
Figura 41-13 muestra el tampn de cola de salida. El espacio de memoria intermedia se divide entre la piscina comn y
la piscina reservada. El conmutador utiliza un esquema de asignacin de memoria intermedia para reservar una cantidad mnima de
buffers
para cada cola de salida, para evitar cualquier cola o puerto de consumir todos los buffers y privando a otra
colas, y para controlar si se concede espacio de amortiguacin a una cola solicitante. El conmutador detecta si
la cola de destino no ha consumido ms tampones que su importe reservado (bajo-lmite), si tiene
consumido todos sus tampones mximos (por encima del lmite), y si la piscina comn est vaca (sin libre
41-20
OL-29703-01
Captulo 41
Configuracin de QoS
La comprensin de QoS
buffers) o no vacas (buffers libres). Si la cola no es sobre-lmite, el interruptor puede asignar espacio de bfer
de la piscina reservada o de la piscina comn (si no est vaco). Si no hay tampones libres en el
piscina comn o si la cola est sobre-lmite, el interruptor descarta la trama.
Figura 41-13
Piscina comunitaria
Puerto
Puerto
1 cola
Puerto
1 cola
Puerto
1 cola
Puerto
1 cola
Puerto
2 cola2 cola
de 1 de 2 de 3 de 4 de 1 de 2
Piscina reservada
86695
WTD Umbrales
Puede asignar a cada paquete que fluye a travs del interruptor a una cola y con un umbral. En concreto,
mapa DSCP o CoS valores a una cola y mapa DSCP o CoS egreso valores a un ID de umbral. Utilice
la mls salida qos SRR-cola dscp-correlacin de colas cola-Identificacin {Dscp1 ... dscp8 | umbral umbral Identificacin
dscp1 ... dscp8} o la mls cos mapa-salida qos SRR-cola de la cola cola-Identificacin {Cos1 ... COS8 | umbral
umbral Identificacin cos1 ... COS8} comando de configuracin global. Se puede visualizar la cola de salida DSCP
mapa umbral y la salida de CoS mapa umbral de colas utilizando el Mostrar mls QoS mapas privilegiada
Comando EXEC.
41-21
Captulo 41
Configuracin de QoS
La comprensin de QoS
Las colas utilizan WTD para apoyar porcentajes de abandono distintas para diferentes clases de trfico. Cada cola tiene
tres umbrales de cada: dos configurables (explcitas) umbrales de DMT y uno no configurables (implcito)
umbral programado para el estado-cola llena. Se asignan los dos porcentajes de umbral DMT para el umbral
ID 1 e ID 2 El umbral de cada para ID umbral del 3 est programado para el estado-cola llena, y no se puede
modificarlo. Asignar un puerto a la cola-establece mediante la cola-set Qset-Identificacin comando de configuracin de interfaz.
Modificar la configuracin de la cola-set para cambiar el lmite porcentual establecido DMT. Para obtener ms informacin
acerca de cmo funciona el DMD, consulte la Seccin "Drop Tail ponderado" en la pgina 41-15.
Nota
Los ajustes predeterminados de colas de egreso son adecuados para la mayora de situaciones. Usted debe hacerlo slo cuando
usted tiene un conocimiento profundo de las colas de salida y si estos ajustes no satisfacen sus QoS
solucin.
Modificacin de paquetes
Un paquete se clasifica, vigilado, y en cola para proporcionar QoS. Modificaciones de paquetes pueden ocurrir durante este
proceso:
Para IP y los paquetes no IP, la clasificacin consiste en asignar una etiqueta a un paquete QoS basado en la
DSCP o CoS del paquete recibido. Sin embargo, el paquete no se modifica en esta etapa; slo
indicacin de la DSCP asignado o valor de CoS se realiza a lo largo. La razn de esto es que QoS
de clasificacin y expedicin bsquedas se producen en paralelo, y es posible que el paquete se reenva
con su DSCP original a la CPU donde se procesa de nuevo a travs de software.
Durante la vigilancia, IP y los paquetes no-IP pueden tener otra DSCP asignados a ellos (si estn fuera de
perfil y el controlador de polticas especifica un DSCP de rebajas). Una vez ms, el DSCP en el paquete no es
modificado, sino una indicacin del valor marcado hacia abajo se lleva a lo largo. Para paquetes IP, el paquete
modificacin se produce en una etapa posterior; Para los paquetes no-IP DSCP se convierte en CoS y se utiliza para
colas y decisiones de planificacin.
41-22
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Dependiendo de la etiqueta QoS asignado a un marco y la mutacin elegida, el DSCP y valores de CoS
de la trama se reescriben. Si no configura el mapa de mutaciones y si configura el puerto para
confa en el DSCP de la trama entrante, el valor DSCP en el marco no se cambia, pero las CoS es
reescrito segn el mapa DSCP-a-CoS. Si configura el puerto a confiar en los CDS de la
trama entrante y es un paquete IP, el valor de CoS en el cuadro no se modifica, pero el DSCP podra
ser cambiado de acuerdo con el mapa CoS-a-DSCP.
La mutacin de entrada hace que el DSCP a ser reescrita en funcin del nuevo valor de DSCP elegido.
La accin conjunto en un mapa de la poltica tambin hace que el DSCP para ser reescrito.
Configuracin de AutoQoS
Puede utilizar la funcin de auto-QoS para simplificar el despliegue de funciones de calidad de servicio. Auto-QoS determina la
diseo de la red y permite configuraciones de QoS de manera que el interruptor puede dar prioridad a diferentes flujos de trfico.
Utiliza las colas de entrada y salida en lugar de utilizar el comportamiento predeterminado (discapacitados) QoS. El conmutador
ofrece un servicio de mejor esfuerzo a cada paquete, independientemente del contenido de paquetes o el tamao, y lo enva de un
cola nica.
Cuando se habilita la auto-QoS, que clasifica automticamente el trfico en funcin del tipo de trfico y paquetes entrada
etiqueta. El conmutador utiliza los resultados de la clasificacin de elegir la cola de salida apropiada.
Auto-QoS admite el trfico IPv4 e IPv6 al configurar la plantilla dual IPv4 e IPv6 con SDM
la sdm prefieren dual IPv4 y IPv6 comando de configuracin global.
Nota
IPv6 Auto-QoS no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
Puede usar auto-QoS comandos para identificar los puertos conectados a estos dispositivos de Cisco:
Telfonos IP de Cisco
Cisco TelePresence
Cmara IP de Cisco
Tambin puede utilizar los comandos para identificar los puertos que reciben trfico de confianza a travs de un enlace ascendente.
Auto-QoS entonces
realiza estas funciones:
Detecta la presencia o ausencia de dispositivos de auto-QoS a travs de interfaces de confianza condicionales.
41-23
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Etiqueta del paquete de entrada se utiliza para categorizar el trfico, para asignar etiquetas de paquetes, y para configurar la
entrada
y colas de salida.
QoS est habilitado globalmente (mls qos comando de configuracin global), y otra de configuracin global
comandos se generan automticamente. (Ver Tabla 41-5.)
Interruptor habilita la funcin lmite de confianza y utiliza el protocolo de descubrimiento de Cisco (CDP) para detectar
la presencia de un dispositivo compatible.
Vigilancia se utiliza para determinar si un paquete est dentro o fuera de perfil y especifica la accin en el
paquete.
Al entrar en el auto qos voip cisco-phone comando en un puerto en el borde de la red conectada
a un telfono IP de Cisco, el interruptor activa la funcin de lmite de confianza. Si el paquete no tiene
Valor DSCP de 24, 26, o 46, o est fuera de perfil, el interruptor cambia el valor DSCP a 0 Cuando hay
hay telfono IP de Cisco, la clasificacin de entrada est configurado para no confiar en la etiqueta de calidad de servicio en el
paquete. El
policial se aplica al trfico que coincide con el mapa de la poltica de clasificacin antes del interruptor permite al
confiar en funcin de lmite.
Al entrar en el qos auto confianza voip comando de configuracin de interfaz en un puerto conectado al
interior de la red, el switch confa en el valor de CoS para los puertos nonrouted o el valor DSCP para enrutado
puertos en los paquetes de ingreso (el supuesto es que el trfico ya ha sido clasificado por otro borde
dispositivos).
El interruptor configura las colas de entrada y salida en el puerto de acuerdo con los ajustes en Tabla 41-3 y
Tabla 41-4.
Tabla 41-2
VoIP1 datos
Trfico
DSCP
46
CoS
CoS-a-entrada
Queue Mapa
4, 5 (2 colas)
-CoS-a Egreso
Queue Mapa
4, 5
(Cola 1)
STP BPDU
Trfico
Real-Time
Vdeo Trfico
56
34
0, 1, 2, 3, 6, 7 (1 cola)
2, 3, 6, 7 (2 colas)
0 (cola 3)
2 (cola 3)
0, 1
(Cola 4)
41-24
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Tabla 41-3
Entrada de cola
Cola de Peso
(Ancho de banda)
Queue (Buffer)
Tamao
SRR compartida
0, 1, 2, 3, 6, 7
70 por ciento
90 por ciento
Prioridad
4, 5
30 por ciento
10 por ciento
Tabla 41-4 muestra la configuracin auto-QoS generados por las colas de salida.
Tabla 41-4
Egreso de la cola
Cola de Peso
(Ancho de banda)
Prioridad
4, 5
25 por ciento
15 por ciento
SRR compartida
2, 3, 6, 7
10 por ciento
25 por ciento
25 por ciento
SRR compartida
60 por ciento
25 por ciento
40 por ciento
SRR compartida
20 por ciento
25 por ciento
20 por ciento
Para obtener informacin sobre la funcin de lmite de confianza, consulte la "Configuracin de un lmite de confianza para
Asegurar la seccin Seguridad Portuaria "en la pgina 39-42.
Cuando se habilita la auto-QoS mediante el uso de la auto qos voip cisco-telfono, la qos autos voip
cisco-softphone, o la qos auto confianza voip comando de configuracin de interfaz, el interruptor
genera automticamente una configuracin de QoS basado en el tipo de trfico y la etiqueta de paquete de entrada y
aplica los comandos que aparecen en Tabla 41-5 al puerto.
Qos Auto voip comandos generados que ha configurado en la interfaz antes de Cisco IOS
Suelte 12.2 (55) SE migrar a los comandos mejoradas.
Los valores globales cambian con la migracin de comandos mejoradas. Para obtener una lista completa de la
comandos generados que se aplican a la configuracin en ejecucin ver Tabla 41-5.
41-25
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
se genera configuracin.
-Si configura la interfaz con la clasificacin o fideicomiso condicional basada en la nueva interfaz
Nota
Migracin Auto-QoS sucede despus de un nuevo dispositivo est conectado cuando el qos autos srnd4 mundial
comando de configuracin est habilitada.
Si una interfaz configurada previamente con el legado de auto-QoS migra a una mayor auto-QoS, voz
comandos y configuracin se actualizan para que coincida con los nuevos comandos globales de QoS.
Migracin de la configuracin Auto-QoS mejoradas de auto-QoS a herencia auto-QoS puede ocurrir slo cuando
deshabilita todas las configuraciones de auto-QoS existentes desde la interfaz.
Descripcin
41-26
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Tabla 41-5
Descripcin
41-27
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Tabla 41-5
Descripcin
SRR-cola
umbral del 3
SRR-cola
umbral del 3
SRR-cola
umbral del 3
SRR-cola
umbral del 3
SRR-cola
umbral del 3
SRR-cola
umbral 1 8
SRR-cola
umbral 2 9
SRR-cola
umbral del 3 0
41-28
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Tabla 41-5
Descripcin
Si ha introducido el auto qos voip cisco-softphone comando, el parmetro genera automticamente mapas de clase
y mapas polticos.
Switch (config) # mls qos mapa vigilada-dscp 24 26 46-0
Switch (config) # clase-mapa fsforo-todo AutoQoS-VoIP-RTP-Trust
El interruptor # (config-CMAP) partido dscp ip ef
Switch (config) # clase-mapa fsforo-todo AutoQoS-VoIP-Control-Trust
El interruptor # (config-CMAP) match ip dscp cs3 AF31
Switch (config) # -mapa poltica AutoQoS-Polica-SoftPhone
Switch (config-pmap) # clase AutoQoS-VoIP-RTP-Trust
Switch (config-pmap-c) # conjunto dscp ef
Switch (config-pmap-c) # polica 320000 8000 superar accin vigilada-dscp-transmitir
41-29
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Despus de crear los mapas de clase y mapas polticos, el interruptor se aplica automticamente el mapa de la poltica llamada
AutoQoS-Polica-SoftPhone a una interfaz de entrada en el que auto-QoS con la caracterstica de Cisco SoftPhone
est habilitado.
Switch (config-if) # entrada de servicio-poltica AutoQoS-Polica-SoftPhone
Si ha introducido el auto qos voip cisco-phone comando, el parmetro genera automticamente mapas de clase y
mapas polticos.
Switch (config-if) # mls dispositivo confianza qos cisco-phone
Si ha introducido el auto qos voip cisco-softphone comando, el parmetro genera automticamente mapas de clase
y mapas polticos.
Switch (config) # mls qos mapa vigilada-dscp 24 26 46-0
Switch (config) # clase-mapa fsforo-todo AutoQoS-VoIP-RTP-Trust
El interruptor # (config-CMAP) partido dscp ip ef
Switch (config) # clase-mapa fsforo-todo AutoQoS-VoIP-Control-Trust
El interruptor # (config-CMAP) match ip dscp cs3 AF31
Switch (config) # policy-map AutoQoS-Polica-CiscoPhone
Switch (config-pmap) # clase AutoQoS-VoIP-RTP-Trust
Switch (config-pmap-c) # conjunto dscp ef
Switch (config-pmap-c) # polica 320000 8000 superar accin vigilada-dscp-transmitir
Switch (config-pmap) # clase AutoQoS-VoIP-Control-Trust
Switch (config-pmap-c) # conjunto dscp cs3
Switch (config-pmap-c) # polica 32000 8000 superar accin vigilada-dscp-transmitir
Despus de crear los mapas de clase y mapas polticos, el interruptor se aplica automticamente el mapa de la poltica llamada
AutoQoS-Polica-SoftPhone a una interfaz de entrada en el que auto-QoS con la caracterstica de Cisco SoftPhone
est habilitado.
Switch (config-if) # entrada de servicio-poltica AutoQoS-Polica-SoftPhone
Si ha introducido este refuerzo de los comandos de auto-QoS, el interruptor configura el mapa CoS-a-DSCP (mapas
Valores de CoS en los paquetes entrantes a un valor DSCP).
-cts vdeo QoS automtico
-automtico QoS de vdeo ip-cmara
-vdeo qos auto reproductor de medios
-confianza qos autos
-qos autos cos fiduciarios
-qos dscp auto confianza
Switch (config) # mls mapa qos cos-dscp 0 8 16 24 32 46 48 56
Nota
41-30
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Si ha introducido el vdeo qos auto reproductor de medios comando, el conmutador utiliza el CDP para detectar la
presencia o ausencia de un Cisco reproductor de medios digitales.
Switch (config-if) # mls dispositivo confianza qos reproductor de medios
Si ha introducido el qos autos clasifican comando, el parmetro genera automticamente mapas y la poltica de clase
mapas.
Switch (config) # mls qos mapa vigilada-DSCP 0 10 18 24 26 46-8
Switch (config) # mls mapa qos cos-dscp 0 8 16 24 32 46 48 56
Switch (config) # clase-mapa fsforo-todo AUTOQOS_MULTIENHANCED_CONF_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-MULTIENHANCED-CONF
Switch (config) # clase-mapa fsforo-todo AUTOQOS_DEFAULT_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-DEFAULT
Switch (config) # clase-mapa fsforo-todo AUTOQOS_TRANSACTION_CLASS
El interruptor # (config-CMAP) coincidencia de nombre de acceso del grupo AutoQoS-ACL-TRANSACCIONAL-DATA
Switch (config) # clase-mapa fsforo-todo AUTOQOS_SIGNALING_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-SEALIZACIN
Switch (config) # clase-mapa fsforo-todo AUTOQOS_BULK_DATA_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-BULK-DATA
Switch (config) # clase-mapa fsforo-todo AUTOQOS_SCAVANGER_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-scavanger
Switch (config) # policy-map AutoQoS-SRND4-CLASIFICAR-POLTICA
Switch (config-pmap) # clase AUTOQOS_MULTIENHANCED_CONF_CLASS
Switch (config-pmap-c) # conjunto dscp AF41
Switch (config-pmap) # clase AUTOQOS_BULK_DATA_CLASS
Switch (config-pmap-c) # conjunto dscp AF11
Switch (config-pmap) Clase # AUTOQOS_TRANSACTION_CLASS
Switch (config-pmap-c) # conjunto dscp AF21
Switch (config-pmap) # clase AUTOQOS_SCAVANGER_CLASS
Switch (config-pmap-c) # conjunto dscp cs1
Switch (config-pmap) # clase AUTOQOS_SIGNALING_CLASS
Switch (config-pmap-c) # conjunto dscp cs3
Switch (config-pmap) # clase AUTOQOS_DEFAULT_CLASS
Switch (config-pmap-c) # conjunto dscp defecto
;
Switch (config-if) # entrada de poltica-servicio AutoQoS-SRND4-CLASIFICAR-POLTICA
Si ha introducido el qos autos clasifican polica comando, el parmetro genera automticamente mapas de clase y
mapas polticos.
Switch (config) # mls qos mapa vigilada-DSCP 0 10 18 24 26 46-8
Switch (config) # mls mapa qos cos-dscp 0 8 16 24 32 46 48 56
Switch (config) # clase-mapa fsforo-todo AUTOQOS_MULTIENHANCED_CONF_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-MULTIENHANCED-CONF
Switch (config) # clase-mapa fsforo-todo AUTOQOS_DEFAULT_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-DEFAULT
Switch (config) # clase-mapa fsforo-todo AUTOQOS_TRANSACTION_CLASS
El interruptor # (config-CMAP) coincidencia de nombre de acceso del grupo AutoQoS-ACL-TRANSACCIONAL-DATA
Switch (config) # clase-mapa fsforo-todo AUTOQOS_SIGNALING_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-SEALIZACIN
Switch (config) # clase-mapa fsforo-todo AUTOQOS_BULK_DATA_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-BULK-DATA
Switch (config) # clase-mapa fsforo-todo AUTOQOS_SCAVANGER_CLASS
El interruptor # (config-CMAP) partido el acceso de grupos de nombres AutoQoS-ACL-scavanger
Switch (config) # policy-map AutoQoS-SRND4-CLASIFICAR-POLICE-POLTICA
Switch (config-pmap) # clase AUTOQOS_MULTIENHANCED_CONF_CLASS
Switch (config-pmap-c) # conjunto dscp AF41
Switch (config-pmap-c) # polica 5000000 8000 superar accin gota
Switch (config-pmap) # clase AUTOQOS_BULK_DATA_CLASS
Switch (config-pmap-c) # conjunto dscp AF11
Switch (config-pmap-c) # polica 10000000 8000 superar accin vigilada-dscp-transmitir
Switch (config-pmap) # clase AUTOQOS_TRANSACTION_CLASS
Switch (config-pmap-c) # conjunto dscp AF21
41-31
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
;
Switch
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
Switch
Switch
Switch
Switch
Switch
Switch
41-32
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
;
Switch
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
Despus de auto-QoS est habilitado, no modifique el mapa de la poltica o polticas agregado que incluye AutoQoS
en su nombre. Si necesita modificar el mapa de la poltica o polticas agregado, haga una copia de la misma, y el cambio
el copiado mapa de la poltica o de controlador de polticas. Para utilizar este nuevo mapa de la poltica en lugar de la generada,
retire
el mapa de la poltica generada a partir de la interfaz, y aplicar el nuevo mapa de la poltica a la interfaz.
Para aprovechar las ventajas de los valores por defecto de auto-QoS, debe activar la auto-QoS antes de configurar otro
Comandos de QoS. Si es necesario, puede ajustar la configuracin de calidad de servicio, pero le recomendamos que
lo hacen slo despus de que se complete la configuracin auto-QoS. Para obtener ms informacin, consulte la "Efectos de la
Auto-QoS en la seccin de configuracin "en la pgina 8.
Puede activar auto-QoS sobre, dinmico-esttica de acceso, el acceso VLAN de voz y puertos troncales.
Por defecto, el CDP est habilitado en todos los puertos. Para auto-QoS funcione correctamente, no desactive CDP.
41-33
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Auto-QoS configura el conmutador de VoIP con telfonos IP de Cisco en los puertos nonrouted y enrutados.
Auto-QoS tambin configura el conmutador de VoIP con los dispositivos que ejecutan el Cisco SoftPhone
aplicacin.
Nota
Cuando un dispositivo que ejecuta Cisco SoftPhone est conectado a un puerto nonrouted o enrutado, la
switch admite slo una aplicacin Cisco SoftPhone por puerto.
Al activar el auto-QoS con un telfono IP de Cisco en un puerto enrutado, debe asignar una direccin IP esttica
para el telfono IP.
Esta versin soporta slo Cisco IP Softphone versin 1.3 (3) o posterior.
Los dispositivos conectados deben utilizar Cisco Call Manager versin 4 o posterior.
Comenzando con Cisco IOS Versin 12.2 (40) SE, utiliza auto-Qos VoIP la -cola de prioridad interfaz
comando de configuracin para una interfaz de salida. Tambin puede configurar un mapa de la poltica y el dispositivo de
confianza
en la misma interfaz para telfonos IP de Cisco.
Si el puerto del switch era configurado mediante el uso de la auto qos voip cisco-phone configuracin de la interfaz
mando en Cisco IOS 12.2 (37) SE o anterior, el auto-QoS generados comandos nuevos para
Cisco IOS 12.2 (40) SE no se aplican al puerto. Para que estos comandos automticamente
aplicada, debe quitar y volver a aplicar la configuracin del puerto.
Usa Auto-Qos VoIP la -cola de prioridad comando de configuracin de interfaz para una interfaz de salida.
Tambin puede configurar un mapa de la poltica y el dispositivo de la confianza en la misma interfaz para telfonos IP de
Cisco.
El qos autos srnd4 comando de configuracin global se genera como resultado de una mayor auto-QoS
configuracin.
Si el legado qos autos voip comandos se ejecutan en el conmutador y el mls qos comando es
personas con discapacidad, se genera la configuracin auto-QoS mejorada. De lo contrario, el legado de auto-QoS comandos
son ejecutados.
Habilitar Auto-QoS
Para obtener un rendimiento ptimo de calidad de servicio, permitir auto-QoS en todos los dispositivos de la
red.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar dispositivos de auto-QoS dentro de un QoS
dominio:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
41-34
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de Auto-QoS
Paso 3
Comando
Propsito
Habilitar auto-QoS.
o
confianza qos autos {cos | dscp}
cos-Class de servicio.
Paso 4
Salida
Paso 5
interfaz interface-id
Paso 6
Paso 7
fin
Paso 8
41-35
Captulo 41
Configuracin de QoS
qos voip comando, auto-QoS se considera discapacitado a pesar de que las auto-QoS-generado mundial
comandos de configuracin se mantienen (a fin de no perturbar el trfico en otros puertos afectados por el mundial
configuracin).
Puede utilizar el no hay mls qos comando de configuracin global para desactivar los auto-QoS generados mundial
comandos de configuracin. Con QoS desactivados, no existe el concepto de puertos de confianza o no confiables PORQUE
los paquetes no se modifican (los valores de precedencia CoS, DSCP, e IP en el paquete no se cambian).
Trfico se activa en el modo de acceso (los paquetes se conmutan sin reescrituras y clasificados como
mejor esfuerzo sin ningn polica).
Mostrar mls QoS mapas [Cos-dscp | cos-de entrada-q |cos-output-q |dscp-cos |dscp-input-q |
dscp-output-q]
show running-config
Para obtener ms informacin sobre estos comandos, consulte la referencia de comandos para esta versin.
Configuracin de QoS
estndar Antes de configurar QoS estndar, debe tener un conocimiento profundo de estos artculos:
Caractersticas del trfico y las necesidades de su red. Es el trfico a rfagas? Es necesario reservar
ancho de banda para los flujos de voz y video?
41-36
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Configuracin de DSCP Mapas, pgina 41-74 (Opcional, a menos que necesite utilizar el
DSCP-to-mutacin DSCP mapa o el DSCP vigilada mapa)
Tabla 41-6 muestra la configuracin de la cola de entrada por defecto cuando QoS est habilitado.
Tabla 41-6
Caracterstica
Cola 1
Cola de 2
Asignacin de bfer
90 por ciento
10 por ciento
10
1. El ancho de banda se comparte por igual entre las colas. SRR enva paquetes en slo modo compartido.
2. cola 2 es la cola de prioridad. SRR servicios de la cola de prioridad para su participacin configurado antes de reparar la otra cola.
Tabla 41-7 muestra el valor predeterminado de CoS cola de entrada mapa umbral cuando QoS est habilitado.
Tabla 41-7
CoS Valor
Queue ID-Umbral ID
0-4
1-1
2-1
6, 7
1-1
41-37
Captulo 41
Configuracin de QoS
Tabla 41-8 muestra el DSCP predeterminado cola de entrada mapa umbral cuando QoS est habilitado.
Tabla 41-8
DSCP Valor
Queue ID-Umbral ID
0-39
1-1
40-47
2-1
48-63
1-1
41-38
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Caracterstica
Cola 1
Cola de 2
Queue 3
Cola 4
Asignacin de bfer
25 por ciento
25 por ciento
25 por ciento
25 por ciento
Umbral reservados
50 por ciento
50 por ciento
50 por ciento
50 por ciento
Umbral mximo
25
25
25
25
25
1. Un peso en forma de cero significa que esta cola est funcionando en modo compartido.
2. Una cuarta parte del ancho de banda se asigna a cada cola.
Tabla 41-10 muestra el valor predeterminado de CoS cola de salida mapa umbral cuando QoS est habilitado.
Tabla 41-10
CoS Valor
Queue ID-Umbral ID
0, 1
2-1
2, 3
3-1
4-1
1-1
6, 7
4-1
Tabla 41-11 muestra la cola de salida mapa umbral DSCP predeterminada cuando QoS est habilitado.
Tabla 41-11
DSCP Valor
Queue ID-Umbral ID
0-15
2-1
16-31
3-1
32-39
4-1
40-47
1-1
48-63
4-1
41-39
Captulo 41
Configuracin de QoS
No es posible hacer coincidir los fragmentos IP contra ACL extendidas IP configuradas para aplicar QoS. IP
fragmentos se envan como de mejor esfuerzo. Fragmentos IP se denotan por los campos en la cabecera IP.
Slo una ACL por mapa de clase y slo uno partido comando de configuracin de clase-mapa por mapa de clase
son compatibles. La ACL puede tener mltiples ACE, que responden a campos contra el contenido de la
paquete.
Una declaracin de confianza en un mapa de la poltica requiere de mltiples entradas de hardware por lnea ACL. Si un
servicio de entrada
mapa de la poltica contiene una declaracin de confianza en una ACL, la lista de acceso puede ser demasiado grande para
caber en la
disponible la memoria del hardware QoS, y un error puede producirse cuando se aplica el mapa de la poltica a un puerto.
Siempre que sea posible, usted debe minimizar el nmero de lneas es una QoS ACL.
Nota
IPv6 ACL de QoS no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
41-40
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Puede configurar QoS en los puertos fsicos y SVI. Al configurar QoS en los puertos fsicos,
crear y aplicar polticas mapas no jerrquicas. Al configurar QoS en SVI, puede crear y
aplicar mapas no jerrquicas y jerrquicas de poltica.
El trfico entrante se clasifica, vigilado y marcado hacia abajo (si est configurado), independientemente de si la
el trfico se puentea, encamina, o enva a la CPU. Es posible que los marcos con puente que se retiren o para
tienen su DSCP y valores de CoS modificados.
Siga estas pautas al configurar los mapas polticos sobre puertos fsicos o SVI:
-No se puede aplicar la misma asignacin de poltica a un puerto fsico ya un SVI.
-Si QoS basada en VLAN se configura en un puerto fsico, el switch elimina toda la basada en el puerto-
poltica de los mapas en el puerto. El trfico en este puerto fsico ahora se ve afectada por el mapa de la poltica
unido a la SVI a la que pertenece el puerto fsico.
-En un mapa de la poltica jerrquica unida a un SVI, slo se puede configurar un controlador de polticas individuo en
el nivel de interfaz en un puerto fsico para especificar los lmites de ancho de banda para el trfico en el puerto.
El puerto de entrada debe ser configurado como un tronco o como un puerto de acceso a la electricidad esttica. No se
puede configurar
policers a nivel de VLAN del mapa de la poltica jerrquica.
-El conmutador no soporta policers agregados en los mapas polticos jerrquicos.
-Despus de que el mapa de la poltica jerrquica se une a un SVI, el mapa de la poltica a nivel de interfaz no puede
ser modificado o eliminado del mapa de la poltica jerrquica. Un mapa de la poltica nueva a nivel de interfaz tambin
no puede ser aadido al mapa de la poltica jerrquica. Si desea que estos cambios ocurran, el
jerrquico mapa de la poltica primero se debe quitar de la SVI. Tambin no se puede agregar o quitar un
asignacin de clase especificado en el mapa de la poltica jerrquica.
IPv6 QoS no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
Puede habilitar IPv6 QoS en un conmutador o una pila de switches. Si la pila incluye slo Catalyst 3750-X y
Catalyst 3750-E cambia, la configuracin QoS se aplica a todo el trfico. Estas son las directrices para IPv6
QoS en una pila que incluye uno o ms conmutadores Catalyst 3750:
Puede adjuntar polticas con ACL IPv6 slo en interfaces de switch 3750-E Catalyst 3750-X y.
Puede modificar una directiva adjunta para incluir una ACL IPv6 slo en Catalyst 3750-X y
Catalyst 3750-E interfaces del switch.
Una poltica que incluye la protocolo IPv6 partido clasificacin slo es vlida Catalyst 3750-X y
Catalyst 3750-E interfaces del switch.
Una poltica de QoS con IPv4 e IPv6 clasificacin se puede conectar a un SVI en un interruptor mixta
pila, pero la poltica se aplica a slo el trfico IPv4 entrar Cisco 3750 interfaces del switch, y para ambos
IPv4 y IPv6 trfico en interfaces del switch Catalyst 3750-E Catalyst 3750-X y.
Confianza IPv6 se admite en Catalyst 3750, Catalyst 3750-X, y switches Catalyst 3750-E.
41-41
Captulo 41
Configuracin de QoS
Polticas de calidad de servicio que incluyen la clasificacin-IPv6 especfica (como una ACL IPv6 o el protocolo partido
ipv6 comando) se admiten en Catalyst 3750-X y Catalyst 3750-E de interfaces y en cualquier SVI
cuando un Catalyst 3750-X o catalizador interruptor 3750-E es parte de la pila.
Polticas de calidad de servicio que incluyen clasificaciones IPv4 e IPv6 comunes estn soportados en todos
Catalyst 3750-X y las interfaces Catalyst 3750-E de la pila. Slo clasificacin IPv4 es compatible
en otros conmutadores de la pila.
Directrices Policiales
El dispositivo ASIC puerto, que controla ms de un puerto fsico, soporta 256 policers
(255 e policers configurables por el usuario y 1 controlador de polticas reservados para uso interno del sistema). La mxima
nmero de policers configurables por el usuario soportadas por puerto es de 63 Por ejemplo, podra configurar 32
policers en un puerto Gigabit Ethernet y 7 policers en un puerto Ethernet 10-Gigabit, o podra
configurar 64 policers en un puerto Gigabit Ethernet y 4 policers en un puerto de 10-Gigabit Ethernet.
Policers se asignan sobre la demanda por el software y se ven limitados por el hardware y ASIC
lmites. No se puede reservar policers por puerto; no hay garanta de que se le asignar un puerto
a cualquier controlador de polticas.
Slo un controlador de polticas se aplica a un paquete en un puerto de entrada. Slo la tasa media y rfaga suscrita
parmetros son configurables.
Se puede crear un controlador de polticas agregado que es compartida por mltiples clases de trfico dentro de la misma
mapa de la poltica no jerrquica. Sin embargo, no puede utilizar el controlador de polticas agregado en toda poltica diferente
mapas.
En un puerto configurado para la calidad de servicio, todo el trfico recibido a travs del puerto se clasifica, que monitoreaban
y marcado
de acuerdo con el mapa de la poltica unido al puerto. En un puerto troncal configurado para QoS, el trfico en todo
VLANs recibida a travs de se clasifica el puerto, vigilado y marcado de acuerdo con el mapa de la poltica
conectado al puerto.
Si usted tiene puertos EtherChannel configurados correctamente en el interruptor, se debe configurar la clasificacin de QoS,
policial, la cartografa, y las colas en los puertos fsicos individuales que componen el EtherChannel.
Usted debe decidir si la configuracin QoS debe coincidir en todos los puertos del EtherChannel.
Si necesita modificar un mapa de la poltica de una poltica de calidad de servicio existente, primero quitar el mapa de la
poltica de todo
las interfaces y, a continuacin, modificar o copiar el mapa de la poltica. Despus de terminar la modificacin, aplicar el
mapa de la poltica modificada para las interfaces. Si primero no quita el mapa de la poltica de todas las interfaces,
se puede producir un alto uso de la CPU, lo que, a su vez, puede causar la consola para hacer una pausa por un tiempo muy
largo.
Trfico de control (como las unidades de datos de protocolo de puente spanning-tree [BPDU] y actualizacin de
enrutamiento
paquetes) recibidas por el conmutador estn sujetos a todos los tratamientos de QoS de ingreso.
Es probable que la prdida de datos al cambiar la configuracin de la cola; por lo tanto, tratar de hacer cambios cuando
el trfico est en un mnimo.
Un interruptor que ejecuta los servicios IP conjunto de caractersticas soporta QoS DSCP y precedencia IP coincidente
en el enrutamiento (PBR) ruta basada en polticas mapas con las siguientes limitaciones:
-No se puede aplicar mapas de mutacin QoS DSCP y mapas de rutas de derechos de obtentor para la misma interfaz.
-No se puede configurar la transparencia DSCP y mapas de rutas PBR DSCP en el mismo conmutador.
41-42
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Propsito
Paso 1
configure terminal
Paso 2
mls qos
Paso 3
fin
Paso 4
Paso 5
copy running-config
startup-config
Para desactivar QoS, utilice el no hay mls qos comando de configuracin global.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Utilice el no hay mls qos basado vlan- comando de configuracin de interfaz para desactivar QoS basada en VLAN en la
puerto fsico.
41-43
Captulo 41
Configuracin de QoS
Configuracin del Fideicomiso del Estado de Puertos en el dominio de QoS, pgina 41-44
Configuracin del Fideicomiso Estatal DSCP en un puerto Bordeando Otro QoS dominio, pgina 41-48
Paquetes que entran en un dominio de QoS se clasifican en el borde del dominio QoS. Cuando los paquetes son
clasificado en el borde, el puerto del conmutador dentro del dominio QoS se puede configurar para uno de los de confianza
estados porque no hay necesidad de clasificar los paquetes en cada interruptor dentro del dominio de QoS.
Figura 41-14 muestra una topologa de red de ejemplo.
Figura 41-14
Interfaz Trusted
Tronco
P3
P1
IP
101236
Lmite de confianza
41-44
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el puerto para confiar en la clasificacin
del trfico que recibe:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para devolver un puerto a su estado no es de confianza, utilice la no mls qos trust comando de configuracin de interfaz.
Para obtener informacin sobre cmo cambiar el valor predeterminado de CoS, consulte la "Configuracin del valor de CoS para
una
Seccin de interfaz "en la pgina 41-45. Para obtener informacin sobre cmo configurar el mapa CoS-a-DSCP, consulte la
"Configuracin de la CoS-a-DSCP Mapa" en la pgina 41-74.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
41-45
Captulo 41
Configuracin de QoS
Paso 3
Comando
Propsito
Paso 4
fin
Para default-cos, especificar un valor predeterminado de CoS para ser asignado a un puerto.
Si
el paquete no tiene etiqueta, el valor predeterminado de CoS se convierte en la CoS paquetes
valor. El rango es de 0 a CoS 7. El valor predeterminado es 0.
Utilice el override palabra clave para anular la confianza configurado previamente
estado del paquete entrante y para aplicar el valor CoS de puerto predeterminados para
el puerto en todos los paquetes entrantes. De forma predeterminada, CoS anulacin est
desactivado.
Utilice el override palabra clave cuando todos los paquetes entrantes en los puertos
especificados
merecen mayor o menor prioridad que los paquetes que entran desde otros puertos.
Incluso si un puerto se haya establecido previamente a confiar DSCP, CoS, o precedencia de
IP,
este comando anula el estado de confianza configurado previamente, y todos
los valores de CoS entrantes se les asigna el valor predeterminado de CoS configurado
con este comando. Si se marca un paquete entrante, el valor de CoS
el paquete se modifica con las CoS predeterminada del puerto en la entrada
puerto.
Vuelva al modo EXEC privilegiado.
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el no hay mls qos cos {default-cos | override} configuracin de la interfaz
de comandos.
En una red tpica, se conecta un telfono IP de Cisco a un puerto de switch, como se muestra en Figura 41-14 en
pgina 41-44, y los dispositivos en cascada que generan paquetes de datos desde la parte posterior del telfono. El Cisco IP
Telfono garantiza la calidad de la voz a travs de un enlace de datos compartida marcando el nivel de CoS de la voz
paquetes como de alta prioridad (CoS = 5) y marcando los paquetes de datos como de baja prioridad (CoS = 0). El trfico enviado
desde el telfono hasta el interruptor normalmente est marcado con una etiqueta que utiliza el encabezado 802.1Q. La cabecera
contiene la informacin de la VLAN y la clase de servicio (CoS) campo de 3 bits, que es la prioridad de la
paquete.
Para la mayora de las configuraciones del telfono IP de Cisco, el trfico enviado desde el telfono hasta el interruptor debe estar
de confianza para asegurarse de que el trfico de voz tiene prioridad adecuada sobre otros tipos de trfico en la red. Por
usando el mls cos confianza qos comando de configuracin de interfaz, configurar el puerto del switch al que
el telfono est conectado a confiar en las etiquetas de clase de servicio de todo el trfico recibido en ese puerto. Utilice el mls qos
dscp confianza comando de configuracin de interfaz para configurar un puerto encaminado a que el telfono est
conectado a confiar en las etiquetas DSCP de todo el trfico recibido en ese puerto.
Con la configuracin de confianza, tambin puede utilizar la funcin de lmite de confianza para evitar el mal uso de un
cola de alta prioridad si un usuario no pasa por el telfono y el PC se conecta directamente al conmutador. Sin
lmite de confianza, las etiquetas de CoS generadas por el PC son de confianza por el interruptor (debido a la confianza
CoS ajuste). Por el contrario, la cobertura de confianza utiliza CDP para detectar la presencia de un telfono IP de Cisco (tales
como el telfono IP de Cisco 7910, 7935, 7940 y 7960) en un puerto de switch. Si no se detecta el telfono, el
funcin de lmite de confianza desactiva la configuracin de confianza en el puerto del switch y evita el mal uso de un
cola de alta prioridad. Tenga en cuenta que la funcin de lmite de confianza no es efectivo si el PC y el telfono IP de Cisco
estn conectados a un concentrador que est conectado al conmutador.
41-46
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
En algunas situaciones, puede evitar que un PC conectado al telfono IP de Cisco que se aprovechen de un
cola de datos de alta prioridad. Puede utilizar el switchport priority extender cos configuracin de la interfaz
comando para configurar el telfono a travs del CLI interruptor para anular la prioridad del trfico
recibido de la PC.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el lmite de confianza en un puerto:
Comando
Propsito
Paso 1
configure terminal
Paso 2
cdp run
Paso 3
interfaz interface-id
Paso 4
cdp permite
Paso 5
Paso 6
Paso 7
fin
Paso 8
Paso 9
Para desactivar la funcin de lmite de confianza, utilice la no mls qos dispositivo de confianza configuracin de la interfaz
de comandos.
El conmutador es compatible con la caracterstica transparencia DSCP. Afecta slo el campo DSCP de un paquete en la salida.
De forma predeterminada, DSCP transparencia est deshabilitado. El interruptor modifica el campo DSCP en un paquete entrante,
y el campo DSCP en el paquete saliente se basa en la calidad del servicio (QoS) de configuracin,
incluida la creacin de confianza puerto, vigilancia y sealizacin, y la asignacin de mutacin DSCP-a-DSCP.
Si DSCP transparencia se habilita mediante el uso de la no hay mls QoS reescribir dscp ip comando, el interruptor no
modificar el campo DSCP en el paquete entrante, y el campo DSCP en el paquete saliente es el mismo que
que en el paquete entrante.
Nota
Habilitar transparencia DSCP no afecta a los ajustes de seguridad portuaria en los puertos de tnel IEEE 802.1Q.
41-47
Captulo 41
Configuracin de QoS
Comando
Propsito
Paso 1
configure terminal
Paso 2
mls qos
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para configurar el conmutador para modificar el valor DSCP basado en el ajuste de la confianza o en una ACL desactivando
DSCP transparencia, utilice el mls QoS reescribir dscp ip comando de configuracin global.
Si desactiva QoS mediante el uso de la no hay mls qos comando de configuracin global, la CoS y valores DSCP
no se cambian (la configuracin QoS por defecto).
Si introduce la no hay mls QoS reescribir dscp ip comando de configuracin global para habilitar DSCP transparencia
y luego entrar en el mls qos trust [cos | dscp] comando de configuracin de interfaz, DSCP transparencia es
siendo habilitado.
Si est administrando dos dominios de calidad de servicio separadas entre las que se desea implementar caractersticas de calidad de
servicio
para el trfico IP, puede configurar los puertos de conmutacin que bordean los dominios a un estado de confianza DSCP-como se
muestra
en Figura 41-15. A continuacin, el puerto receptor acepta el valor DSCP de confianza y evita la clasificacin
etapa de QoS. Si los dos dominios utilizan diferentes valores DSCP, puede configurar el
-DSCP a DSCP-mutacin mapa para traducir un conjunto de valores DSCP para que coincida con la definicin en la otra
dominio.
Figura 41-15
QoS dominio 2
Trfico IP
101235
41-48
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el estado de DSCP-confianza en un puerto
y modificar el mapa-DSCP a DSCP-mutacin. Para asegurar una estrategia de mapeo coherente entre ambos QoS
dominios, debe realizar este procedimiento en los puertos en ambos dominios:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Para en-dscp, introducir hasta ocho valores DSCP separados por espacios.
A continuacin, introduzca la a palabra clave.
interfaz interface-id
Paso 4
Paso 5
Paso 6
fin
Paso 7
Paso 8
Para devolver un puerto a su estado no es de confianza-, utilizar la no mls qos trust comando de configuracin de interfaz. Para
volver a los valores por omisin mapa-a-DSCP-mutacin DSCP, utilice el no mls qos map-mutacin dscp
dscp-mutacin-nombre comando de configuracin global.
Este ejemplo muestra cmo configurar un puerto al estado DSCP-confianza y para modificar la
-DSCP a DSCP-mutacin mapa (llamado gi1 / 0/2-mutacin) por lo que de entrada valores de DSCP 10 al 13 son
asignada a DSCP 30:
Switch
Switch
Switch
Switch
Switch
41-49
Captulo 41
Configuracin de QoS
La clasificacin, Vigilancia, y marcar el trfico en SVI mediante la directiva de Jerrquicos Mapas, pgina 41-64
Nota
ACL IPv6 no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
Comando
Propsito
Paso 1
configure terminal
Paso 2
access-list access-list-nmero
{Negar | permiso} fuente
[Source-wildcard]
Crear una ACL IP estndar, repitiendo el comando tantas veces como sea necesario.
Utilice el permiso palabra clave para permitir un cierto tipo de trfico si las condiciones
coinciden. Utilice el negar palabra clave para negar un cierto tipo de trfico si
condiciones coinciden.
(Opcional) Para source-wildcard, introducir los bits de comodn en decimal con puntos
notacin para ser aplicado a la fuente. Queridos lugar en las posiciones de bit que
querer ignorar.
Nota
Paso 3
fin
Cuando se crea una lista de acceso, recuerde que por defecto al final de la
lista de acceso contiene una implcita niegan declaracin para todo si no lo hizo
encontrar un partido antes de llegar al final.
41-50
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Propsito
Paso 4
Paso 5
copy running-config
startup-config
Para eliminar una lista de acceso, utilice el ninguna lista de acceso access-list-nmero comando de configuracin global.
Este ejemplo muestra cmo permitir el acceso slo a los ordenadores de las tres redes especificadas. El
bits de comodn se aplican a las partes de acogida de las direcciones de red. Cualquier host con una direccin de origen que
no coincide con las declaraciones de lista de acceso es rechazado.
Switch (config) # access-list 1 permit
Switch (config) # access-list 1 permit
Switch (config) # access-list 1 permit
! (Nota: todos los dems el acceso
implcitamente
192.5.255.0 0.0.0.255
128.88.0.0 0.0.255.255
36.0.0.0 0.0.0.255
negado)
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
41-51
Captulo 41
Configuracin de QoS
Comando
Propsito
Paso 3
fin
Paso 4
Paso 5
Para eliminar una lista de acceso, utilice el ninguna lista de acceso access-list-nmero comando de configuracin global.
Este ejemplo muestra cmo crear una ACL que permita el trfico IP desde cualquier origen a cualquier destino que
tiene el valor DSCP establece en 32:
Switch (config) # access-list 100 IP del permiso cualquier cualquier dscp 32
Este ejemplo muestra cmo crear una ACL que permita el trfico IP desde un host de origen en 10.1.1.1 a un
host de destino en 10.1.1.2 con un valor de prioridad de 5:
Switch (config) # access-list 100 permit ip anfitrin 10.1.1.1 anfitrin 10.1.1.2 precedencia 5
Este ejemplo muestra cmo crear una ACL que permita el trfico PIM desde cualquier origen a un destino
direccin de grupo de 224.0.0.2 con un DSCP ajustado a 32:
Switch (config) # access-list 102 permiso de pim cualquier dscp 224.0.0.2 32
Nota
ACL IPv6 no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una ACL IPv6 para el trfico IPv6:
Nota
Antes de crear ACL IPv6, debe habilitar una plantilla SDM ipv4 y ipv6-dual y volver a cargar el switch.
Comando
Propsito
Paso 1
configure terminal
Paso 2
ipv6 access-list
acceso nombre-lista-
Crear una ACL IPv6, y entrar en el modo de configuracin de lista de acceso IPv6.
Nombres de lista de acceso no pueden contener una marca de espacio o presupuesto o comenzar con un
valor numrico.
41-52
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Paso 3
Comando
Propsito
Ingrese negar o permiso para especificar si se debe negar o permitir el paquete si las condiciones
coinciden. Estas son las condiciones:
(Opcional) Introduzca dscp valor para que coincida con un valor de punto de cdigo de servicios
diferenciados
contra el valor de la clase de trfico en el campo Clase de Trfico de cada paquete IPv6
cabecera. El rango aceptable es de 0 a 63.
(Opcional) Introduzca fragmentos para comprobar fragmentos noninitial. Esta palabra clave es
visible slo si el protocolo es ipv6.
(Opcional) Introduzca log para causar un mensaje de registro para ser enviados a la consola acerca
el paquete que coincide con la entrada. Ingrese log-input para incluir la interfaz de entrada
en la entrada del registro. Registro slo se admite para las ACL del router.
(Opcional) Introduzca enrutamiento para especificar que los paquetes IPv6 pueden
enrutar.
(Opcional) Introduzca secuencia valor para especificar el nmero de secuencia para el acceso
sentencia de la lista. El rango aceptable es de 1 hasta 4294967295.
Paso 4
fin
(Opcional) Introduzca tiempo de rango Nombre para especificar el intervalo de tiempo que se aplica a
la
negar o permitir el comunicado.
Vuelva al modo EXEC privilegiado.
Paso 5
Paso 6
copy running-config
startup-config
Para eliminar una lista de acceso, utilice el ninguna lista de acceso ipv6 access-list-nmero comando de configuracin global.
41-53
Captulo 41
Configuracin de QoS
Este ejemplo muestra cmo crear una ACL que permita el trfico IPv6 desde cualquier origen a cualquier destino
que tiene el valor de DSCP ajustado a 32:
Switch (config) # ipv6 access-list 100 IP del permiso cualquier cualquier dscp 32
Este ejemplo muestra cmo crear una ACL que permita el trfico IPv6 desde un host de origen en 10.1.1.1 a un
host de destino en 10.1.1.2 con un valor de prioridad de 5:
Switch (config) # ipv6 la lista de acceso de host ipv6_Name_ACL IP del permiso 10 :: 1 husped 10.1.1.2
precedencia 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
{Permit | deny} {Anfitrin src-MAC-addr mscara | Especifique el tipo de trfico para permitir o negar si las condiciones son
cualquier |acogida dst-MAC-addr |dst-MAC-addremparejados, entrando en el comando tantas veces como sea necesario.
mscara} [Tipo ocultar]
Para src-MAC-addr, introducir la direccin MAC del host de
las cuales se enve el paquete. Esto se especifica mediante el uso de la
formato hexadecimal (H.H.H), mediante el uso de la cualquier como una palabra clave
abreviatura para fuente 0.0.0, source-wildcard ffff.ffff.ffff, o por
usando el acogida palabra clave para fuente 0.0.0.
Nota
Paso 4
fin
Paso 5
Paso 6
Para eliminar una lista de acceso, utilice el no mac access-list extendi acceso nombre-lista- configuracin global
de comandos.
41-54
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Este ejemplo muestra cmo crear una capa 2 MAC ACL con dos declaraciones de permisos. La primera declaracin
Permite el trfico desde el host con direccin MAC 0001.0000.0001 al host con MAC
abordar 0002.0000.0001. La segunda sentencia slo permite el trfico Ethertype XNS IDP-desde el host
con direccin MAC 0001.0000.0002 al host con direccin MAC 0002.0000.0002.
Switch (config) # mac access-list extendida maclist1
Switch (config-ext-macl) # permitir 0001.0000.0001 0.0.0 0002.0000.0001 0.0.0
Switch (config-ext-macl) # permitir 0001.0000.0002 0.0.0 0002.0000.0002 0.0.0 xns-idp
! (Nota: todos los dems acceso denegado implcitamente)
Se utiliza el clase-mapa comando de configuracin global para nombrar y para aislar un flujo de trfico especfico (o
clase) del resto del trfico. El mapa de clase define los criterios a utilizar para que coincida contra un trfico especfico
de flujo para clasificar an ms. Declaraciones del partido pueden incluir criterios tales como ACL, los valores de precedencia IP,
o valores DSCP. El criterio de coincidencia se define con una instruccin partido entr dentro del mapa de clase
modo de configuracin.
Nota
Tambin se pueden crear mapas de clase durante la creacin del mapa de la poltica mediante el uso de la clase configuracin
poltica-mapa
de comandos. Para obtener ms informacin, consulte la "Clasificar, Vigilancia, y marcado Trfico en Puertos fsicos
Mediante los mapas de Poltica "en la pgina 41-59 y el "Clasificar, Vigilancia, y marcar el trfico en
SVI mediante la directiva de Jerrquicos Mapas "en la pgina 41-64.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un mapa de clase y para definir el partido
criterio para clasificar el trfico:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Crear una ACL estndar o extendida IP, una ACL IPv6 para IP
trfico, o un MAC ACL de capa 2 para el trfico no IP, repitiendo la
comando tantas veces como sea necesario.
o
access-list access-list-nmero {Negar | permiso}
fuente protocolo [Source-wildcard] destino
[Comodn-destino]
o
ipv6 access-list acceso nombre-lista- {Negar | permiso}
protocolo {-Ipv6-prefix fuente / prefijo de longitud | cualquier |
acogida fuente-ipv6-direccin}
[Operador de [nmero de puerto]] {destino-ipv6-prefix /
prefijo de longitud |cualquier |acogida destino-ipv6-direccin}
[Operador de [nmero de puerto]] [dscp valor] [fragmentos]
[Registro] [log-input] [enrutamiento] [secuencia valor]
[Tiempo de gama nombre]
o
mac access-list extendi Nombre {Permit | deny}
{Anfitrin src-MAC-addr mscara |cualquier |acogida
dst-MAC-addr |dst-MAC-addr mscara} [Tipo ocultar]
41-55
Captulo 41
Configuracin de QoS
Paso 3
Comando
Propsito
Paso 4
Nota
41-56
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Paso 5
Comando
Propsito
Paso 6
fin
Paso 7
espectculo de clase-mapa
Paso 8
Para eliminar un mapa de la poltica existente, utilice el sin mapa de la poltica -map-nombre de la directiva configuracin
global
de comandos. Para eliminar una asignacin de clase existente, utilice el no hay clase-mapa [Partido-todo | match-any]
clase-mapa-nombre comando de configuracin global. Para eliminar un criterio de coincidencia, utilice el ningn partido
{Access-group acl-index-or-name |dscp ip |Precedencia IP} clase-mapa de comandos de configuracin.
Este ejemplo muestra cmo configurar el mapa clase llamada clase1. El class1 tiene un criterio de coincidencia,
que es la lista de acceso 103 Permite el trfico desde cualquier host a cualquier destino que coincida con un valor DSCP
de 10.
Switch (config) # access-list 103 IP del permiso cualquier cualquier dscp 10
Switch (config) # clase-mapa class1
El interruptor # (config-CMAP) access-group 103 partido
El interruptor # (config-CMAP) fin
Switch #
Este ejemplo muestra cmo crear un mapa clase llamada clase 2, que coincide con el trfico de entrada con DSCP
valores de 10, 11, y 12.
Switch (config) # clase-mapa clase2
El interruptor # (config-CMAP) match ip dscp 10 11 12
El interruptor # (config-CMAP) fin
Switch #
Este ejemplo muestra cmo crear un mapa clase llamada class3, que coincide con el trfico de entrada con
Valores IP precedencia de 5, 6 y 7:
Switch (config) # clase-mapa class3
El interruptor # (config-CMAP) match ip precedencia 5 6 7
El interruptor # (config-CMAP) fin
Switch #
41-57
Captulo 41
Configuracin de QoS
El switch soporta IPv4 e IPv6 QoS cuando se configura una plantilla SDM-dual IPv4 y IPv6.
Cuando se configura la plantilla de doble IP SDM, la match ip dscp y match ip prioridad
clasificaciones coinciden tanto el trfico IPv4 e IPv6. El protocolo partido comando le permite crear un
clasificacin secundaria partido que filtra el trfico por la versin IP (IPv4 o IPv6).
Nota
IPv6 QoS no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
Para aplicar los criterios de coincidencia primarias a slo el trfico IPv4, utilice el protocolo partido comando con la ip
palabra clave. Para aplicar los criterios de coincidencia primarias a slo el trfico IPv6, utilice el protocolo partido comando con
la ipv6 palabra clave. Para obtener ms informacin acerca de la protocolo partido comando, consulte la Cisco IOS Calidad
de Soluciones de Servicio de mandatos.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un mapa de clase, definir el criterio de coincidencia
para clasificar el trfico, y filtrar el trfico IPv6:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Utilice el argumento ip para especificar el trfico IPv4 y ipv6 para especificar IPv6
trfico.
Nota
Paso 5
fin
Para dscp ip dscp-lista, introducir una lista de hasta ocho valores IP DSCP a
partido contra los paquetes entrantes. Separe cada valor con un espacio.
El rango es de 0 a 63.
41-58
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Propsito
Paso 6
espectculo de clase-mapa
Paso 7
Para eliminar un mapa de la poltica existente, utilice el sin mapa de la poltica -map-nombre de la directiva configuracin
global
de comandos. Para eliminar una asignacin de clase existente, utilice el no hay clase-mapa [Partido-todo | match-any]
clase-mapa-nombre comando de configuracin global. Para eliminar un criterio de coincidencia, utilice el ningn partido
{Access-group acl-index-or-name |dscp ip |Precedencia IP} clase-mapa de comandos de configuracin.
Este ejemplo muestra cmo configurar un mapa de clase para que coincida con DSCP IP e IPv6:
Switch (config) # Clase-mapa cm-1
El interruptor # (config-CMAP) match ip dscp 10
El interruptor # (config-CMAP) protocolo ipv6 partido
El interruptor # (config-CMAP) Salida
Switch (config) # Clase-mapa cm-2
El interruptor # (config-CMAP) partido dscp IP 20
El interruptor # (config-CMAP) protocolo match ip
El interruptor # (config-CMAP) Salida
Switch (config) # Poltica-mapa pm1
Switch (config-pmap) # clase cm-1
Switch (config-pmap-c) # conjunto dscp 4
Switch (config-pmap-c) # Salida
Switch (config-pmap) # clase cm-2
Switch (config-pmap-c) # conjunto dscp 6
Switch (config-pmap-c) # Salida
Switch (config-pmap) # Salida
Switch (config) # interfaz G1 / 0/1
Switch (config-if) # pm1 entrada de poltica-servicio
Este ejemplo muestra cmo configurar un mapa de clase que se aplica tanto trfico IPv4 e IPv6:
Switch (config) # ip access-list 101 IP del permiso cualquier cualquier
Switch (config) # ipv6 access-list-ipv6 cualquier IP del permiso cualquier cualquier
Switch (config) # Clase-mapa cm-1
El interruptor # (config-CMAP) access-group 101 partido
El interruptor # (config-CMAP) Salida
Switch (config) # clase-mapa cm-2
El interruptor # (config-CMAP) coincidencia de nombre de acceso del grupo ipv6-cualquier
El interruptor # (config-CMAP) Salida
Switch (config) # Poltica-mapa pm1
Switch (config-pmap) # clase cm-1
Switch (config-pmap-c) # conjunto dscp 4
Switch (config-pmap-c) # Salida
Switch (config-pmap) # clase cm-2
Switch (config-pmap-c) # conjunto dscp 6
Switch (config-pmap-c) # Salida
Switch (config-pmap) # Salida
Switch (config) # interfaz G0 / 1
Switch (config-if) # Acceso conmutada
Switch (config-if) # pm1 entrada de poltica-servicio
Se puede configurar un mapa de la poltica no jerrquica en un puerto fsico que especifica la clase que el trfico a
actuar sobre. Las acciones pueden incluir confiando en la CoS, DSCP o valores de precedencia IP en la clase de trfico; ajuste
un DSCP especfico o valor de precedencia IP en la clase de trfico; y especificar el ancho de banda de trfico
limitaciones para cada clase de trfico que coincida (controlador de polticas) y la accin a tomar cuando el trfico es de perfil
(Marcado).
41-59
Captulo 41
Configuracin de QoS
Un mapa de la poltica puede contener declaraciones de clases mltiples, cada uno con diferentes criterios de coincidencia y
policers.
Un mapa de la poltica puede contener una clase de trfico por defecto predefinido colocado de forma explcita en el extremo
del mapa.
Una clase poltica-mapa puede existir separada para cada tipo de trfico recibido a travs de un puerto.
Siga estas pautas al configurar los mapas polticos sobre puertos fsicos:
Si introduce o ha utilizado el set ip dscp comando, el interruptor cambia este comando para conjunto dscp en
su configuracin.
Puede utilizar el establecer la precedencia ip o la precedencia conjunto comando de configuracin de la clase poltica-mapa
para cambiar el valor de precedencia IP del paquete. Esta configuracin aparece como establecer la precedencia ip en el
conmutador
configuracin.
Se puede configurar un mapa de la poltica de segundo nivel independiente para cada clase definida para el puerto. El
de segundo nivel mapa de directiva especifica la accin de la polica a tomar para cada clase de trfico. Para obtener
informacin sobre
la configuracin de un mapa de la poltica jerrquica, consulte la "Clasificar, Vigilancia, y marcar el trfico en SVI
mediante la directiva de Jerrquicos Mapas "en la pgina 41-64.
A-mapa de la poltica y un estado de confianza puerto puede funcionar tanto en una interfaz fsica. El mapa de la poltica se
aplica antes
el estado de confianza puerto.
Cuando se configura una clase de trfico predeterminado mediante la clase-default clase configuracin poltica-mapa
comando, trfico sin clasificar (trfico que no cumpla con los criterios de coincidencia especificadas en el trfico
clases) se trata como la clase de trfico por defecto (clase-default).
41-60
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un mapa de la poltica no jerrquica:
Comando
Propsito
Paso 1
configure terminal
Paso 2
(Opcional) Utilice el match-all palabra clave para realizar una Y lgicade hacer coincidir todas las declaraciones en virtud de este mapa de clase. Todos los
criterios de coincidencia
en la asignacin de clase debe ser igualado.
(Opcional) Utilice el match-any palabra clave para realizar una lgica-OR de
todo a juego declaraciones en relacin con este mapa de clase. Uno o ms partido
criterios deben coincidir.
Para clase-mapa-nombre, especificar el nombre del mapa de clase.
Paso 3
Debido a que slo uno partido est soportada por comando mapa de clase,
la match-all y match-any palabras clave funcionan de la misma. Ver
la Seccin de "Creacin de Standard and ACL extendidas Nombrado" en la
pgina 40-16 limitaciones cuando se utiliza el match-all y el
match-any palabras clave.
Paso 4
41-61
Captulo 41
Configuracin de QoS
Paso 5
Comando
Propsito
Configure el estado de confianza, que QoS utiliza para generar una basada en CoS o
DSCP basado en QoS etiqueta.
Nota
Paso 7
41-62
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Propsito
Paso 8
Salida
Paso 9
Salida
clase-mapa-nombre]]
Paso 14 copy running-config startup-config
Para eliminar un mapa de la poltica existente, utilice el sin mapa de la poltica -map-nombre de la directiva configuracin global
de comandos. Para eliminar una asignacin de clase existente, utilice el no hay clase clase-mapa-nombre configuracin polticamapa
de comandos. Para volver al estado no es de confianza, utilice la hay confianza poltica-mapa de comandos de configuracin. Para
eliminar un DSCP asignado o valor de precedencia IP, utilice el ningn conjunto {Dscp nueva-dscp |precedencia ip
nueva-precedencia} poltica-mapa de comandos de configuracin. Para quitar un controlador de polticas existente, utilice el hay
polica
tasa de bps-byte estallar [Superar-action {drop | -dscp vigilada-transmitir}] configuracin poltica-mapa
de comandos. Para quitar el mapa de la poltica y el puerto asociacin, utilice el hay entrada de poltica-servicio
-map-nombre de la directiva comando de configuracin de interfaz.
Este ejemplo muestra cmo crear un mapa de la poltica y adjuntarlo a un puerto de entrada. En la configuracin, la
ACL estndar IP permite el trfico desde la red 10.1.0.0. Para el trfico a juego de esta clasificacin, el DSCP
valor en el paquete de entrada es de confianza. Si el trfico combinado supera una tasa media de trfico de 48.000
b / s y un tamao normal rfaga de 8000 bytes, su DSCP se marca hacia abajo (basado en el DSCP-vigilada mapa)
y enviado:
Switch (config) # access-list 1 permit 10.1.0.0 0.0.255.255
Switch (config) # clase-mapa ipclass1
El interruptor # (config-CMAP) partido de acceso del grupo 1
El interruptor # (config-CMAP) Salida
Switch (config) # policy-map flow1t
Switch (config-pmap) # clase ipclass1
Switch (config-pmap-c) # dscp confianza
Switch (config-pmap-c) # polica 1000000 8000 superar accin vigilada-dscp-transmitir
Switch (config-pmap-c) # Salida
Switch (config-pmap) # Salida
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # flow1t entrada de poltica-servicio
Este ejemplo muestra cmo crear una capa 2 MAC ACL con dos declaraciones de permisos y adjuntarlo a un
puerto de entrada. La primera declaracin de permiso permite el trfico desde el host con direccin MAC 0001.0000.0001
destinado al host con direccin MAC 0002.0000.0001. La segunda declaracin de permiso slo permite
Trfico Ethertype XNS IDP-desde el host con direccin MAC 0001.0000.0002 destinado para el con
Direccin MAC 0002.0000.0002.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
0002.0000.0001 0.0.0
0002.0000.0002 0.0.0 xns-idp
0002.0000.0003 0.0.0
0002.0000.0004 0.0.0 AARP
41-63
Captulo 41
Configuracin de QoS
Este ejemplo muestra cmo crear un mapa de clase que se aplica tanto trfico IPv4 e IPv6 con el valor por defecto
clase aplicado a trfico sin clasificar:
Switch (config) # ip access-list 101 IP del permiso cualquier cualquier
Switch (config) # ipv6 access-list-ipv6 cualquier IP del permiso cualquier cualquier
Switch (config) # clase-mapa cm-1
El interruptor # (config-CMAP) access-group 101 partido
El interruptor # (config-CMAP) Salida
Switch (config) # clase-mapa cm-2
El interruptor # (config-CMAP) coincidencia de nombre de acceso del grupo ipv6-cualquier
El interruptor # (config-CMAP) Salida
Switch (config) # policy-map pm1
Switch (config-pmap) # clase cm-1
Switch (config-pmap-c) # conjunto dscp 4
Switch (config-pmap-c) # Salida
Switch (config-pmap) # clase cm-2
Switch (config-pmap-c) # conjunto dscp 6
Switch (config-pmap-c) # Salida
Switch (config-pmap) # clase-default clase
Switch (config-pmap-c) # conjunto dscp 10
Switch (config-pmap-c) # Salida
Switch (config-pmap) # Salida
Switch (config) # interfaz G0 / 1
Switch (config-if) # Acceso conmutada
Switch (config-if) # pm1 entrada de poltica-servicio
En un SVI, el mapa de la poltica a nivel de VLAN especifica que el trfico de clase para actuar en. Las acciones pueden incluir
confiar en los valores de precedencia CoS, DSCP o IP o el establecimiento de un DSCP especfico o valor de precedencia IP en
la clase de trfico. Utilice el mapa de la poltica a nivel de interfaz para especificar los puertos fsicos que se ven afectados por
policers individuales.
Comenzando con Cisco IOS Versin 12.2 (52) SE, puede configurar la poltica jerrquica mapas de ese filtro
IPv4 e IPv6 trfico.
Siga estas pautas al configurar los mapas polticos jerrquicos:
Antes de configurar un mapa de la poltica jerrquica, debe habilitar QoS basados en VLAN en la fsica
puertos que se van a especificar en el nivel de interfaz del mapa de la poltica.
41-64
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Un mapa de la poltica puede contener declaraciones de clases mltiples, cada uno con diferentes criterios y acciones de los
partidos.
Una clase poltica-mapa puede existir separada para cada tipo de trfico recibido en la SVI.
En una pila de switches, no se puede utilizar el coincida con la entrada de la interfaz comando de configuracin de clase-mapa
especificar las interfaces a travs de miembros de la pila en una clase poltica-mapa.
A-mapa de la poltica y un estado de confianza puerto puede funcionar tanto en una interfaz fsica. El mapa de la poltica se
aplica antes
el estado de confianza puerto.
Si configura el mapa IP-prioridad-a-DSCP mediante el uso de la mls qos mapa ip-prec-dscp
dscp1 ... dscp8 comando de configuracin global, los ajustes slo afectan a los paquetes en interfaces de entrada
que estn configurados para confiar en el valor de precedencia IP. En un mapa de la poltica, si se establece el paquete IP
valor de prioridad a un nuevo valor mediante el uso de la establecer la precedencia ip nueva prioridad clase poltica-mapa
comando de configuracin, el valor de DSCP de salida no se ve afectada por el mapa de IP-prioridad-a-DSCP.
Si desea que el valor DSCP egreso sea distinto del valor de entrada, utilice la conjunto dscp nueva-dscp
poltica-mapa comando de configuracin de clase.
Si introduce o ha utilizado el set ip dscp comando, el interruptor cambia este comando para conjunto dscp en
su configuracin. Si introduce la set ip dscp comando, esta opcin aparece como conjunto dscp en el conmutador
configuracin.
Puede utilizar el establecer la precedencia ip o la precedencia conjunto comando de configuracin de la clase poltica-mapa
para cambiar el valor de precedencia IP del paquete. Esta configuracin aparece como establecer la precedencia ip en el
conmutador
configuracin.
Si QoS basada en VLAN est activado, el mapa de la poltica jerrquica sustituye el configurado previamente
basada en puertos mapa de la poltica.
El mapa de la poltica jerrquica est unido a la SVI y afecta a todo el trfico en la VLAN. Las acciones
especificado en el mapa de la poltica a nivel de VLAN afecta al trfico perteneciente a la SVI. La accin de la polica en
el mapa de la poltica a nivel de puerto afecta el trfico de ingreso en las interfaces fsicas afectadas.
Cuando se configura un mapa de la poltica jerrquica en los puertos troncales, los rangos de VLAN no deben solaparse. Si
los intervalos se superponen, las acciones especificadas en el mapa de la poltica afectan el trfico entrante y saliente
en las redes VLAN superpuestas.
Cuando se habilita QoS basada en VLAN, el switch soporta caractersticas basadas en VLAN, como la VLAN
mapa.
Se puede configurar un mapa de la poltica jerrquica slo en la VLAN primaria de una VLAN privada.
Al habilitar QoS basada en VLAN y configurar un mapa de la poltica jerrquica en una pila de switches, stos
acciones automticas se producen cuando la configuracin de la pila cambia:
-Cuando se selecciona una nueva maestra de la pila, el maestro de pila vuelve a activar y reconfigura estas caractersticas
pila vuelve a activar y vuelve a configurar estas funciones en todas las interfaces aplicables en la pila
miembros, incluido el maestro de la pila.
41-65
Captulo 41
Configuracin de QoS
Cuando se configura una clase de trfico predeterminado mediante la clase-default clase configuracin poltica-mapa
comando, trfico sin clasificar (trfico que no cumpla con los criterios de coincidencia especificadas en el trfico
clases) se trata como clase de trfico por defecto (clase-default).
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un mapa de la poltica jerrquica:
Comando
Propsito
Paso 1
configure terminal
Paso 2
(Opcional) Utilice el match-all palabra clave para realizar una Y lgicade hacer coincidir todas las declaraciones en virtud de este mapa de clase. Todos los
criterios de coincidencia
en la asignacin de clase debe ser igualado.
(Opcional) Utilice el match-any palabra clave para realizar una lgica-OR de
todo a juego declaraciones en relacin con este mapa de clase. Uno o ms partido
criterios deben coincidir.
Para clase-mapa-nombre, especificar el nombre del mapa de clase.
Paso 3
Debido a que slo uno partido est soportada por comando mapa de clase,
la match-all y match-any palabras clave funcionan de la misma. Ver
la Seccin de "Creacin de Standard and ACL extendidas Nombrado" en la
pgina 40-16 limitaciones cuando se utiliza el match-all y el
match-any palabras clave.
Para dscp ip dscp-lista, introducir una lista de hasta ocho valores IP DSCP a
partido contra los paquetes entrantes. Separe cada valor con un espacio.
El rango es de 0 a 63.
41-66
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Paso 4
Comando
Propsito
Nota
Salida
Paso 6
Salida
Paso 7
(Opcional) Utilice el match-all palabra clave para realizar una Y lgicade hacer coincidir todas las declaraciones en virtud de este mapa de clase. Todos los
criterios de coincidencia
en la asignacin de clase debe ser igualado.
(Opcional) Utilice el match-any palabra clave para realizar una lgica-OR de
todo a juego declaraciones en relacin con este mapa de clase. Uno o ms partido
criterios deben coincidir.
Para clase-mapa-nombre, especificar el nombre del mapa de clase.
Paso 8
Debido a que slo uno partido est soportada por comando mapa de clase,
la match-all y match-any palabras clave funcionan de la misma. Ver
la Seccin de "Creacin de Standard and ACL extendidas Nombrado" en la
pgina 40-16 limitaciones cuando se utiliza el match-all y el
match-any palabras clave.
coincida con la entrada de la interfaz interface-id-list Especifique los puertos fsicos en los que la asignacin de clase a nivel de interfaz acta.
Puede especificar hasta seis puertos de la siguiente manera:
Una lista de puertos separados por un espacio (cada puerto cuenta como una entrada)
Este comando slo se puede utilizar en el mapa de la poltica a nivel de los nios y deben
ser la nica condicin de coincidencia en el mapa de la poltica a nivel de nio.
Paso 9
Salida
Paso 10 Salida
41-67
Captulo 41
Configuracin de QoS
Comando
Paso 11 policy-map -map-nombre de la directiva
Propsito
Crear un mapa de la poltica a nivel de interfaz introduciendo el nombre de ruta poltica,
y entrar en el modo de configuracin del mapa poltico.
Por defecto, no hay mapas polticos se definen, y ningn polica se lleva a cabo.
Paso 14 Salida
Paso 15 Salida
Crear un mapa de la poltica a nivel de VLAN mediante la introduccin del nombre de ruta
poltica, y
entrar en el modo de configuracin del mapa poltico.
Por defecto, no hay mapas polticos se definen.
El comportamiento predeterminado de un mapa de la poltica es establecer el DSCP a 0 si el
paquete es un paquete IP y configurar las CoS a 0 si el paquete est etiquetado. No
se lleva a cabo la actuacin policial.
Definir una clasificacin del trfico a nivel de VLAN, y entrar a la clase poltica-mapa
modo de configuracin.
Por defecto, no hay poltica-mapa clase-mapas estn definidos.
Si una clase de trfico ya ha sido definido por el uso de la clase-mapa mundial
comando de configuracin, especifique su nombre para clase-mapa-nombre en este
de comandos.
Aclase-default clase de trfico es pre-definido y se puede aadir a cualquier
poltica. Siempre se coloca en el extremo de un mapa de la poltica. Con una implcita
adaptarse a cualquier incluido en el clase-default clase, todos los paquetes que no tienen
ya adaptados a las otras clases de trfico coincidirn -clase por defecto.
41-68
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Paso 18 confianza [cos | dscp |ip-precedencia]
Propsito
Configure el estado de confianza, que QoS utiliza para generar una basada en CoS o
DSCP basado en QoS etiqueta.
Nota
nueva-precedencia}
Paso 21 Salida
Paso 22 Salida
41-69
Captulo 41
Configuracin de QoS
Comando
Propsito
Paso 25 fin
clase-mapa-nombre]]
o
basado vlan-show mls qos
Paso 27 copy running-config startup-config
Para eliminar un mapa de la poltica existente, utilice el sin mapa de la poltica -map-nombre de la directiva configuracin global
de comandos. Para eliminar una asignacin de clase existente, utilice el no hay clase clase-mapa-nombre configuracin polticamapa
de comandos.
Para volver al estado que no se confa en un mapa de la poltica, utilice el hay confianza poltica-mapa de comandos de
configuracin. Para
eliminar un DSCP asignado o valor de precedencia IP, utilice el ningn conjunto {Dscp nueva-dscp |precedencia ip
nueva-precedencia} poltica-mapa de comandos de configuracin.
Para quitar un controlador de polticas existentes en un mapa de la poltica a nivel de interfaz, utilice el hay polica tasa de bps-byte
estallar
[Superar-action {drop | -dscp vigilada-transmitir}] poltica-mapa de comandos de configuracin. Para quitar el
mapa de polticas y asociaciones de puertos jerrquicos, utilizan la hay entrada de poltica-servicio -map-nombre de la directiva
comando de configuracin de interfaz.
Este ejemplo muestra cmo crear un mapa de la poltica jerrquica:
Cambiar> permitir
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL
/ Z.
Switch (config) # access-list 101 IP del permiso cualquier cualquier
Switch (config) # clase-mapa cm-1
El interruptor # (config-CMAP) Acceso partido 101
El interruptor # (config-CMAP) Salida
Switch (config) # Salida
Switch #
Switch #
41-70
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
(config-pmap-c) # Salida
(config-pmap) # clase cm-2
(config-pmap-c) # poltica-servicio-puerto plcmap-1
(config-pmap-c) # conjunto dscp 10
(config-pmap) # Salida
(config-pmap) # clase cm-3
(config-pmap-c) # poltica-servicio-puerto plcmap-2
(config-pmap-c) # conjunto dscp 20
(config-pmap) # Salida
(config-pmap) # clase cm-4
(config-pmap-c) # dscp confianza
(config-pmap) # Salida
(config) # vlan interfaz 10
(config-if) # entrada de poltica-servicio vlan-plcmap
(config-if) # Salida
(config) # Salida
#
Este ejemplo muestra que cuando un mapa de la poltica a nivel de nio se adjunta a continuacin una clase, una accin debe ser
especificado para la clase:
Switch
Switch
Switch
Switch
Este ejemplo muestra cmo configurar un mapa de clase para que coincida con DSCP IP e IPv6:
Switch (config) # clase-mapa cm-1
El interruptor # (config-CMAP) match ip dscp 10
El interruptor # (config-CMAP) protocolo ipv6 partido
El interruptor # (config-CMAP) Salida
Switch (config) # clase-mapa cm-2
El interruptor # (config-CMAP) partido dscp IP 20
El interruptor # (config-CMAP) protocolo match ip
El interruptor # (config-CMAP) Salida
Switch (config) # policy-map pm1
Switch (config-pmap) # clase cm-1
Switch (config-pmap-c) # conjunto dscp 4
Switch (config-pmap-c) # Salida
Switch (config-pmap) # clase cm-2
Switch (config-pmap-c) # conjunto dscp 6
Switch (config-pmap-c) # Salida
Switch (config-pmap) # Salida
Switch (config) # interfaz G1 / 0/1
Switch (config-if) # pm1 entrada de poltica-servicio
Este ejemplo muestra cmo configurar la clase de trfico predeterminado a un mapa de la poltica:
Switch # configure terminal
Switch (config) # clase-mapa cm-3
El interruptor # (config-CMAP) match ip dscp 30
El interruptor # (config-CMAP) protocolo ipv6 partido
El interruptor # (config-CMAP) Salida
Switch (config) # clase-mapa cm-4
El interruptor # (config-CMAP) match ip dscp 40
El interruptor # (config-CMAP) protocolo match ip
El interruptor # (config-CMAP) Salida
Switch (config) # policy-map pm3
Switch (config-pmap) # clase-default clase
Switch (config-pmap) # conjunto dscp 10
Switch (config-pmap-c) # Salida
Switch (config-pmap) # clase cm-3
Switch (config-pmap-c) conjunto dscp 4
41-71
Captulo 41
Configuracin de QoS
Switch
Switch
Switch
Switch
Switch
(config-pmap-c)
(config-pmap) #
(config-pmap-c)
(config-pmap-c)
(config-pmap) #
# Salida
clase cm-4
# cos de fideicomiso
# Salida
Salida
Este ejemplo muestra cmo la clase de trfico por defecto se coloca automticamente al final de la poltica-mapa pm3
a pesar de que la clase-default se configura por primera vez:
Switch # mostrar poltica-mapa pm3
Poltica Mapa pm3
Clase cm-3
conjunto dscp 4
Clase cm-4
cos de fideicomiso
Clase-default Clase
Polica 8000 80000 superar-accin gota
Switch #
Mediante el uso de un controlador de polticas agregado, puede crear un controlador de polticas que es compartida por mltiples
clases de trfico dentro
la misma asignacin de poltica. Sin embargo, no puede utilizar el controlador de polticas agregado a travs de diferentes mapas de
polticas o
puertos.
Puede configurar policers agregados slo en los mapas polticos no jerrquicas en los puertos fsicos.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un controlador de polticas agregado:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Crear un mapa de clase para clasificar el trfico cuando sea necesario. Para obtener
ms
informacin, consulte la "La clasificacin de trfico mediante el uso de la clase
Mapas"
en la pgina 41-55 y el "Creacin de nombre Norma y
Seccin extendida ACL "en la pgina 40-16.
41-72
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Propsito
Paso 4
Paso 5
Paso 6
agregado policial agregada de controlador de polticas- Aplicar un controlador de polticas agregado a varias clases de la misma poltica
nombre
mapa.
Para agregada de controlador de polticas-nombre, introducir el nombre especificado
en el paso 2.
Vuelva al modo de configuracin global.
Paso 7
Salida
Paso 8
interfaz interface-id
Paso 9
entrada de poltica-servicio -map-nombre de la directiva Especifique el nombre de ruta poltica, y aplicarlo a un puerto de entrada.
Slo un mapa de la poltica por puerto de entrada es compatible.
Paso 10 fin
polticas
[Globales-controlador de polticas-nombre]
Paso 12 copy running-config startup-config
Para quitar el controlador de polticas agregado especificada de un mapa de la poltica, utilice el sin agregado de polica
agregada de controlador de polticas-nombre modo de configuracin de mapa de la poltica. Para eliminar un controlador de
polticas agregado y su
parmetros, use la no hay mls QoS agregada-controlador de polticas agregada de controlador de polticas-nombre
configuracin global
de
comandos.
Este
ejemplo muestra cmo crear un controlador de polticas agregado y adjuntarlo a varias clases dentro de una poltica
mapa. En la configuracin, las ACLs IP permiten el trfico de la red 10.1.0.0 y 11.3.1.1 de acogida. Para
el trfico proveniente de la red 10.1.0.0, el DSCP en los paquetes entrantes es de confianza. Para el trfico que viene
desde el host 11.3.1.1, el DSCP en el paquete se cambi a 56 La tasa de trfico de la red 10.1.0.0
y desde el host 11.3.1.1 est vigilado. Si el trfico es superior a una tasa promedio de 48 000 b / s, y una rfaga normal
tamao de 8.000 bytes, su DSCP se marca hacia abajo (basado en el mapa vigilada-DSCP) y se enva. La poltica
mapa est conectado a un puerto de entrada.
Switch (config) # access-list 1 permit 10.1.0.0 0.0.255.255
Switch (config) # access-list 2 permit 11.3.1.1
Switch (config) # mls QoS agregada-polica transmit1 48000 8000 superar-accin
vigilada-dscp-transmitir
Switch (config) # clase-mapa ipclass1
El interruptor # (config-CMAP) partido de acceso del grupo 1
El interruptor # (config-CMAP) Salida
Switch (config) # clase-mapa ipclass2
El interruptor # (config-CMAP) partido de acceso del grupo 2
El interruptor # (config-CMAP) Salida
Switch (config) # -mapa poltica aggflow1
Switch (config-pmap) # clase ipclass1
41-73
Captulo 41
Configuracin de QoS
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Configuracin de DSCP
Mapas
Configuracin de la CoS-a-DSCP Mapa, pgina 41-74 (Opcional)
Configuracin del vigilada-DSCP Mapa, pgina 41-76 (Opcional, a menos que los ajustes nulos en el mapa son
no es apropiado)
Configuracin del DSCP-a-DSCP-Mutation Mapa, pgina 41-78 (opcional, a menos que los ajustes nulos en el
mapa no es el caso)
Todos los mapas, excepto el mapa-DSCP a DSCP-mutacin, se definen a nivel mundial y se aplican a todos los puertos.
CoS Valor
DSCP Valor
16
24
32
40
48
56
41-74
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comenzando en el modo EXEC privilegiado, siga estos pasos para modificar el mapa CoS-a-DSCP. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver al mapa por defecto, utilice el no hay mls qos dscp cos- comando de configuracin global.
Este ejemplo muestra cmo modificar y visualizar el mapa CoS-a-DSCP:
Switch (config) # mls mapa qos cos-dscp 10 15 20 25 30 35 40 45
Switch (config) # fin
Switch # Mostrar mls qos mapas cos-dscp
Mapa Cos-dscp:
cos: 0 1 2 3 4 5 6 7
-------------------------------DSCP: 10 15 20 25 30 35 40 45
Precedencia IP Valor
DSCP Valor
16
24
32
40
48
56
41-75
Captulo 41
Configuracin de QoS
Comenzando en el modo EXEC privilegiado, siga estos pasos para modificar el mapa IP-prioridad-a-DSCP.
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver al mapa por defecto, utilice el no hay mls qos ip-prec-dscp comando de configuracin global.
Este ejemplo muestra cmo modificar y visualizar el mapa IP-prioridad-a-DSCP:
Switch (config) # mls qos mapa ip-prec-dscp 10 15 20 25 30 35 40 45
Switch (config) # fin
Switch # mostrar mls qos mapas ip-prec-dscp
Mapa IpPrecedence-dscp:
ipprec: 0 1 2 3 4 5 6 7
-------------------------------DSCP: 10 15 20 25 30 35 40 45
Comando
Propsito
Paso 1
configure terminal
Paso 2
Para dscp-lista, introducir hasta ocho valores DSCP separados por espacios.
A continuacin, introduzca la a palabra clave.
Paso 3
fin
Paso 4
Paso 5
41-76
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Para volver al mapa por defecto, utilice el no hay mls qos-dscp vigilado comando de configuracin global.
Este ejemplo muestra cmo asignar DSCP 50 a 57 a una marcada hacia abajo el valor DSCP de 0:
Switch (config) # mls qos mapa vigilada-dscp 50 51 52 53 54 55 56 57-0
Switch (config) # fin
Switch # mostrar mls qos mapas-dscp vigilado
Mapa-dscp vigilado:
d1: d2 0 1 2 3 4 5 6 7 8 9
--------------------------------------0: 00 01 02 03 04 05 06 07 08 09
1: 10 11 12 13 14 15 16 17 18 19
2: 20 21 22 23 24 25 26 27 28 29
3: 30 31 32 33 34 35 36 37 38 39
4: 40 41 42 43 44 45 46 47 48 49
5: 00 00 00 00 00 00 00 00 58 59
6: 60 61 62 63
Nota
En esta vigilada-DSCP mapa, los valores DSCP marcado abajo se muestran en el cuerpo de la matriz. El d1
columna especifica el dgito ms significativo del DSCP original; la fila especifica el d2
dgito menos significativo del DSCP originales. La interseccin de los valores d1 y d2 proporciona la
marcada por valor. Por ejemplo, un valor original de 53 DSCP corresponde a un DSCP marcado hacia abajo
valor de 0.
DSCP Valor
CoS Valor
0-7
8-15
16-23
24-31
32-39
40-47
48-55
56-63
41-77
Captulo 41
Configuracin de QoS
Comenzando en el modo EXEC privilegiado, siga estos pasos para modificar el mapa DSCP-a-CoS. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Para dscp-lista, introducir hasta ocho valores DSCP separados por espacios.
A continuacin, introduzca la a palabra clave.
Para cos, introducir el valor de CoS a las que los valores DSCP corresponden.
fin
Paso 4
Paso 5
Para volver al mapa por defecto, utilice el no hay mls qos dscp-cos comando de configuracin global.
Este ejemplo muestra cmo asignar valores DSCP 0, 8, 16, 24, 32, 40, 48, y 50 a valor de CoS 0 y para
mostrar el mapa:
Switch (config) # mls qos mapa dscp-cos 0 8 16 24 32 40 48 50 a 0
Switch (config) # fin
Switch # espectculo mls qos mapas dscp-cos
Mapa dscp-cos:
d1: d2 0 1 2 3 4 5 6 7 8 9
--------------------------------------0: 00 00 00 00 00 00 00 00 00 01
1: 01 01 01 01 01 01 00 02 02 02
2: 02 02 02 02 00 03 03 03 03 03
3: 03 03 00 04 04 04 04 04 04 04
4: 00 05 05 05 05 05 05 05 00 06
5: 00 06 06 06 06 06 07 07 07 07
6: 07 07 07 07
Nota
En el mapa DSCP-a-CoS anteriormente, los valores de CoS se muestran en el cuerpo de la matriz. La columna d1
especifica el dgito ms significativo del DSCP; la fila d2 especifica el dgito menos significativo de la
DSCP. La interseccin de los valores d1 y d2 proporciona el valor de CoS. Por ejemplo, en el
DSCP-a-CoS mapa, un valor DSCP de 08 corresponde a un valor CoS de 0.
41-78
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comenzando en el modo EXEC privilegiado, siga estos pasos para modificar el mapa-DSCP a DSCP-mutacin.
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Para en-dscp, introducir hasta ocho valores DSCP separados por espacios.
A continuacin, introduzca la a palabra clave.
interfaz interface-id
Paso 4
Paso 5
Paso 6
fin
Paso 7
Paso 8
Para volver al mapa por defecto, utilice el no mls qos-mutacin dscp dscp-mutacin-nombre mundial
comando de configuracin.
Este ejemplo muestra cmo definir el mapa-DSCP a DSCP-mutacin. Todas las entradas que no son
configurado de forma explcita no se modifican (se mantiene como se especifica en el mapa null):
Switch (config) # mls qos mapa mutation1-mutacin dscp
Switch (config) # mls qos mapa mutation1-mutacin dscp
Switch (config) # mls qos mapa mutation1-mutacin dscp
Switch (config) # mls qos mapa mutation1-mutacin dscp
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # mls qos trust dscp
Switch (config-if) # mls qos-mutacin dscp mutation1
Switch (config-if) # fin
Switch # Mostrar mls qos mapas mutation1 dscp-mutacin
Dscp-dscp mapa mutacin:
mutation1:
d1: d2 0 1 2 3 4 5 6 7 8 9
--------------------------------------0: 00 00 00 00 00 00 00 00 10 10
1: 10 10 10 10 14 15 16 17 18 19
2: 20 20 20 23 24 25 26 27 28 29
3: 30 30 30 30 30 35 36 37 38 39
4: 40 41 42 43 44 45 46 47 48 49
5: 50 51 52 53 54 55 56 57 58 59
6: 60 61 62 63
1234567a0
8 9 10 11 12 13 al 10
20 21 22-20
30 31 32 33 34 to 30
41-79
Captulo 41
Configuracin de QoS
Nota
Qu paquetes estn asignados (por DSCP o el valor CoS) para cada cola?
Qu gota umbrales porcentuales se aplican a cada cola, y que CoS o DSCP valores mapa para cada
umbral?
Existe el trfico (por ejemplo, voz) que se debe dar la mxima prioridad?
DSCP Mapping o CoS Valores a una cola de entrada y configuracin WTD Umbrales, pgina 41-81
(Opcional)
41-80
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
DSCP Mapping o CoS Valores a una cola de entrada y configuracin WTD Umbrales
Usted puede priorizar el trfico mediante la colocacin de los paquetes con DSCP o CoS particulares en ciertas colas y
el ajuste de los umbrales de cola para que se abandonen los paquetes con prioridades ms bajas.
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar valores DSCP o CoS a una cola de entrada
y para establecer los umbrales de DMT. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Para dscp1 ... dscp8, introducir hasta ocho valores, y separar cada valor
con un espacio. El rango es de 0 a 63.
Para cos1 ... COS8, introducir hasta ocho valores, y separar cada valor con
un espacio. El rango es de 0 a 7.
fin
Paso 5
Paso 6
Para volver al valor predeterminado de CoS entrada mapa umbral de cola o el DSCP predeterminada mapa umbral cola de entrada,
utilizar el no hay mls qos entrada SRR-cola cos-map o la no mls qos entrada SRR-cola dscp-map mundial
comando de configuracin. Para volver a los predeterminados DMT porcentajes de umbral, utilice el no hay mls qos
umbral de entrada SRR-cola cola-Identificacin comando de configuracin global.
41-81
Captulo 41
Configuracin de QoS
Este ejemplo muestra cmo asignar valores DSCP 0 a 6 a la cola de entrada 1 y al umbral de 1 con una cada
umbral de 50 por ciento. Asigna valores de DSCP 20 a 26 a la entrada de cola 1 y 2 de umbral con una cada
umbral del 70 por ciento:
Switch (config) # mls entrada qos SRR-cola dscp-correlacin de colas 1 umbral 1 0 1 2 3 4 5 6
Switch (config) # mls entrada qos SRR-cola dscp-correlacin de colas 1 Umbral 2 20 21 22 23 24 25 26
Switch (config) # mls umbral qos entrada SRR-cola 1 50 70
En este ejemplo, los valores DSCP (0 a 6) se les asigna el umbral de DMT de 50 por ciento y sern
cado antes de lo que los valores DSCP (20 a 26) asignados al umbral WTD de 70 por ciento.
Se define la relacin (asignar la cantidad de espacio) con el que dividir los buffers de ingreso entre el
dos colas. La amortiguacin y el control de asignacin de ancho de banda de la cantidad de datos pueden ser amortiguadas antes
los paquetes se descartan.
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar los buffers entre la entrada
colas. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
o
mostrar qos mls de entrada-cola
Paso 5
Para volver a la configuracin por defecto, utilice el no hay mls qos buffers de entrada SRR-cola configuracin global
de comandos.
Este ejemplo muestra cmo asignar el 60 por ciento del espacio de amortiguacin a la entrada de cola 1 y el 40 por ciento de
el espacio de memoria intermedia a la cola de entrada 2:
Switch (config) # mls entrada qos SRR-cola amortigua 60 40
Es necesario especificar la cantidad de ancho de banda disponible se distribuir entre las colas de entrada. El
relacin de los pesos es la relacin de la frecuencia en la que el planificador SRR enva paquetes de cada uno
cola. El ancho de banda y el control de asignacin de bfer cuntos datos pueden ser amortiguadas antes que los paquetes
se dejan caer. En colas de entrada, SRR opera slo en modo compartido.
41-82
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar ancho de banda entre el ingreso
colas. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
o
mostrar qos mls de entrada-cola
Paso 5
Para volver a la configuracin por defecto, utilice el no mls qos ancho de banda de entrada SRR-cola configuracin global
de comandos.
Este ejemplo muestra cmo asignar el ancho de banda de entrada a las colas. Cola de prioridad est desactivada,
y la relacin de ancho de banda compartido asignado a la cola 1 es 25 / (25 + 75) y hacer cola 2 es 75 / (25 + 75):
Switch (config) # mls entrada qos SRR-cola de prioridad-cola de 2 de ancho de banda 0
Switch (config) # Ancho de banda de entrada mls qos SRR-cola 25 75
Se debe utilizar la cola de prioridad slo para el trfico que necesita ser acelerada (por ejemplo, el trfico de voz,
que necesita mnimo retraso y jitter).
La cola de prioridad se garantiza parte del ancho de banda para reducir el retardo y jitter en red pesada
trfico en un anillo de exceso de solicitudes (cuando hay ms trfico que el plano posterior puede llevar, y las colas
son imgenes completas y cayendo).
SRR servicios de la cola de prioridad para su peso configurado segn lo especificado por el ancho de banda palabra clave en el
mls entrada qos SRR-cola-cola de prioridad cola-Identificacin ancho de banda peso comando de configuracin global.
Entonces, SRR comparte el ancho de banda restante con dos colas y servicios les de ingreso segn lo especificado por
los pesos configurados con la mls qos ancho de banda de entrada SRR-cola peso1 peso2 mundial
comando de configuracin.
41-83
Captulo 41
Configuracin de QoS
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la cola de prioridad. Este procedimiento
es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
o
mostrar qos mls de entrada-cola
Paso 5
Para volver a la configuracin por defecto, utilice el no mls qos entrada SRR-cola-cola de prioridad cola-Identificacin mundial
comando de configuracin. Para desactivar la cola de prioridad, establecer el peso de ancho de banda a 0, por ejemplo, mls
-cola de prioridad QoS entrada SRR-cola cola-Identificacin ancho de banda de 0.
Este ejemplo muestra cmo asignar los anchos de banda de ingreso a las colas. Cola 1 es la cola de prioridad
con 10 por ciento de la anchura de banda asignada a la misma. Las relaciones de ancho de banda asignado a las colas 1 y 2 es
4 / (4 + 4). Servicios SRR cola 1 (la cola de prioridad) por primera vez para su ancho de banda del 10 por ciento configurado.
Entonces
SRR comparte igualmente el 90 por ciento restante del ancho de banda entre las colas 1 y 2 mediante la asignacin de 45
por ciento a cada cola:
Switch (config) # mls entrada qos SRR-cola de prioridad-cola 1 ancho de banda de 10
Switch (config) # mls qos ancho de banda de entrada SRR-cola 4 4
Qu paquetes se asignan por DSCP o el valor de CoS para cada cola y el umbral de identificacin?
Qu gota umbrales porcentuales se aplican a la cola-set (cuatro colas de salida por puerto), y cunto
reservado y se necesita el mximo de memoria para el tipo de trfico?
Con qu frecuencia debe ser reparado las colas de salida y qu tcnica (en forma, comparten, o ambos)
se debe utilizar?
41-84
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
La asignacin de Buffer Espacio para y configuracin WTD umbrales para una Egreso Queue-Set, pgina 41-85
(Opcional)
DSCP Mapping o CoS Valores a una cola de salida y para un ID Umbral, pgina 41-87 (Opcional)
Directrices de configuracin
Siga estas pautas cuando la cola expedita est habilitado o las colas de salida se limpian basa en
sus pesos SRR:
Si la cola expedita la salida est activada, se anula la forma y el peso compartido de cola 1 SRR.
Si la cola expedita la salida se desactiva y la SRR forma y pesos compartidos estn configurados, el
modo de forma prevalece sobre el modo compartido de cola 1, y los servicios SRR esta cola en el modo de forma.
Si la cola expedita la salida se desactiva y los pesos en forma de SRR no estn configurados, SRR
servicios de esta cola en modo compartido.
La asignacin de Buffer Espacio para y configuracin WTD umbrales para una Egreso
Queue-Set
Usted puede garantizar la disponibilidad de tampones, establecer umbrales de DMT, y configurar el mximo
asignacin para una cola-establece mediante la mls qos salida cola-set Qset-Identificacin umbral cola-Identificacin
gota-gota Threshold1-threshold2 umbral mximo reservado umbral comando de configuracin global.
Cada valor umbral es un porcentaje de bferes asignados de la cola, que se especifica mediante el uso de la mls
salida de set-cola qos Qset-Identificacin buffers allocation1 ... allocation4 comando de configuracin global. El
colas utilizan WTD para apoyar porcentajes de abandono distintas para diferentes clases de trfico.
Nota
Los ajustes predeterminados de colas de egreso son adecuados para la mayora de situaciones. Usted debe hacerlo slo cuando
usted tiene un conocimiento profundo de las colas de salida y si estos ajustes no satisfacen sus QoS
solucin.
41-85
Captulo 41
Configuracin de QoS
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la asignacin de memoria y dejar caer
umbrales para una cola-set. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Para allocation1 ... allocation4, especificar cuatro porcentajes, uno para cada
cola en la cola-set. Para allocation1, allocation3, y allocation4,
el rango es de 0 a 99 para allocation2, el rango es de 1 a 100 (incluyendo
el tampn de CPU).
Paso 4
interfaz interface-id
Paso 5
cola-set Qset-Identificacin
Paso 6
fin
41-86
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Propsito
Paso 7
Paso 8
Para volver a la configuracin por defecto, utilice el no hay mls qos salida cola-set Qset-Identificacin buffers configuracin global
de comandos. Para volver a los predeterminados DMT porcentajes de umbral, utilice el no hay mls qos salida cola-set
Qset-Identificacin umbral [Cola-id] comando de configuracin global.
Este ejemplo muestra cmo asignar un puerto para establecer-cola 2. asigna el 40 por ciento del espacio de amortiguacin a la salida
cola 1 y 20 por ciento a las colas de salida 2, 3, y 4 se configura los umbrales de cada de la cola de 2 a 40
y el 60 por ciento de la memoria asignada, garantas (reservas) 100 por ciento de la memoria asignada, y
configura un 200 por ciento como mximo de memoria que esta cola puede tener antes de que se cayeron los paquetes:
Switch
Switch
Switch
Switch
Nota
Los ajustes predeterminados de colas de egreso son adecuados para la mayora de situaciones. Usted debe hacerlo slo cuando
usted tiene un conocimiento profundo de las colas de salida y si estos ajustes no cumple con su solucin de QoS.
41-87
Captulo 41
Configuracin de QoS
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar valores DSCP o CoS a una cola de salida
y para un ID de umbral. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Para dscp1 ... dscp8, introducir hasta ocho valores, y separar cada valor
con un espacio. El rango es de 0 a 63.
Para cos1 ... COS8, introducir hasta ocho valores, y separar cada valor con
un espacio. El rango es de 0 a 7.
Paso 3
fin
Paso 4
Paso 5
Para volver a la cola de salida mapa umbral predeterminado de DSCP o la salida umbral de cola de CoS predeterminada
mapa, utilice el no mls qos salida SRR-cola dscp-map o la no hay mls qos salida SRR-cola cos-map
comando de configuracin global.
Este ejemplo muestra cmo asignar valores DSCP 10 y 11 a la cola de salida 1 y para el umbral 2:
Switch (config) # mls salida qos SRR-cola dscp-correlacin de colas 1 Umbral 2 10 11
41-88
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el ninguna forma de ancho de banda SRR-cola configuracin de la
interfaz
de comandos.
Este ejemplo muestra cmo configurar configuracin de ancho de banda en la cola 1. Debido a las relaciones de peso para
colas de 2, 3 y 4 se establecen en 0, estas colas operan en modo compartido. El peso de ancho de banda para la cola 1
es octavo, que es del 12,5 por ciento:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # SRR-cola de la forma de ancho de banda 8 0 0 0
41-89
Captulo 41
Configuracin de QoS
Nota
Los ajustes predeterminados de colas de egreso son adecuados para la mayora de situaciones. Usted debe hacerlo slo cuando
usted tiene un conocimiento profundo de las colas de salida y si estos ajustes no satisfacen sus QoS
solucin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar los pesos compartidos y permitir
compartir el ancho de banda en las cuatro colas de salida asignadas a un puerto. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el no SRR-cola cuota de ancho de banda configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo configurar la relacin en peso del planificador SRR se ejecuta en un puerto de salida.
Se utilizan cuatro colas, y la relacin de ancho de banda asignado para cada cola en modo compartido es 1 / (1 + 2 + 3 + 4),
2 / (1 + 2 + 3 + 4), 3 / (1 + 2 + 3 + 4), y 4 / (1 + 2 + 3 + 4), que es 10 por ciento, 20 por ciento, 30 por ciento, y 40
por ciento para las colas 1, 2, 3, y 4 Esto significa que la cola 4 tiene cuatro veces el ancho de banda de la cola 1, dos veces
el ancho de banda de la cola 2, y los tiempos de uno y un tercio-el ancho de banda de la cola 3.
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # SRR-cola cuota de ancho de banda de 1 2 3 4
41-90
OL-29703-01
Captulo 41
Configuracin de QoS
Configuracin de QoS estndar
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la cola de salida expedita. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
mls qos
Paso 3
interfaz interface-id
Paso 4
-cola de prioridad a
Paso 5
fin
Paso 6
show running-config
Paso 7
Para desactivar la cola de salida expedita, utilice el ninguna prioridad-cola fuera comando de configuracin de interfaz.
Este ejemplo muestra cmo habilitar la cola de salida expedita cuando se configuran los pesos SRR. El
cola expedita salida anula los pesos SRR configurados.
Switch
Switch
Switch
Switch
Switch
Nota
Los ajustes predeterminados de colas de egreso son adecuados para la mayora de situaciones. Usted debe hacerlo slo cuando
usted tiene un conocimiento profundo de las colas de salida y si estos ajustes no satisfacen sus QoS
solucin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para limitar el ancho de banda en un puerto de salida. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Especifique el puerto para ser tasa limitada, y entrar en el modo de configuracin de interfaz.
Paso 3
Paso 4
fin
41-91
Captulo 41
Configuracin de QoS
Comando
Propsito
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el sin lmite de ancho de banda SRR-cola comando de configuracin de interfaz.
Este ejemplo muestra cmo limitar el ancho de banda en un puerto a 80 por ciento:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # lmite de ancho de banda SRR-cola 80
Al configurar este comando para el 80 por ciento, el puerto est inactivo el 20 por ciento de las veces. La velocidad de lnea
se reduce a 80 por ciento de la velocidad conectado, que es 800 Mb / s. Estos valores no son exactos debido a que la
hardware ajusta la velocidad de lnea en intervalos de seis.
Comando
Propsito
show interface mls qos [Interface-id] [buffers | policers | Mostrar informacin de QoS a nivel de puertos, incluyendo el buffer
cola |Estadsticas]asignacin, policers qu puertos se han configurado, las colas
estrategia, y las estadsticas de ingreso y egreso.
Mostrar mls QoS mapas [Cos-dscp | cos-de entrada-q |
cos-output-q |dscp-cos |dscp-input-q |dscp-mutacin
dscp-mutacin-nombre |dscp-output-q |ip-prec-dscp |
vigilada-dscp]
Mostrar QoS mapas polticos, que definen los criterios de clasificacin para
el trfico entrante.
Nota
41-92
OL-29703-01
E R CH A P T
42
ACL IPv6 no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
En este captulo se incluye informacin sobre la configuracin de IPv6 ACL en el interruptor. A menos que se indique lo contrario,
el trmino interruptor se refiere a un Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor independiente y
a un Catalyst 3750-E Catalizador pila de switches 3750-X.
Nota
Para usar IPv6, debe configurar el dual IPv4 e IPv6 de Gestin de Base de datos de interruptor (SDM) plantilla
en el interruptor. Usted selecciona la plantilla mediante la introduccin de la sdm prefieren dual IPv4 y IPv6 {Default |
enrutamiento | vlan} comando de configuracin global.
Nota
Para obtener informacin acerca de IPv6 en el interruptor, consulte el Captulo 46, "Configuracin de IPv6 Unicast
Routing.".
Para obtener informacin acerca de las ACL en el interruptor, consulte Captulo 40, "Configuracin de Red de Seguridad con
ACL ".
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin o la documentacin de Cisco IOS que se hace referencia en los procedimientos.
Este captulo contiene las siguientes secciones:
42-1
Captulo 42
ACL del router IPv6 son compatibles con el trfico de salida o de entrada en la Capa 3 interfaces, que puede ser
puertos enrutados, cambiar las interfaces virtuales (SVI), o Capa 3 EtherChannels. Aplican las ACL del router IPv6
slo a los paquetes IPv6 que se enrutan.
ACL puerto IPv6 son compatibles con el trfico entrante slo 2 interfaces de capa. ACL puerto IPv6 son
aplicado a todos los paquetes IPv6 que entran en la interfaz.
Un interruptor de ejecutar el conjunto de funciones de base IP del router slo es compatible con entrada de ACL IPv6. No es
compatible con el puerto
ACL ACL del router o de salida IPv6.
Nota
Nota
Para obtener ms informacin sobre el soporte de ACL en el interruptor, consulte Captulo 40, "Configuracin de la seguridad de red
con ACL ".
Se puede aplicar tanto IPv4 como IPv6 ACL a una interfaz. Al igual que con IPv4 ACL, ACL puerto IPv6 toman
prioridad sobre las ACL del router:
Nota
Cuando un enrutador de entrada ACL y ACL puerto de entrada existen en un SVI, paquetes recibidos en los puertos a los que
un puerto ACL se aplica son filtrados por el puerto de ACL. Enrutados los paquetes IP recibidos en otros puertos son
filtrada por el ACL router. Otros paquetes no se filtran.
Cuando un enrutador de salida ACL y ACL puerto de entrada existen en un SVI, paquetes recibidos en los puertos a
que se aplica una ACL puerto se filtran por la ACL puerto. Paquetes IPv6 enrutados salientes se filtran
por la ACL del router. Otros paquetes no se filtran.
Si cualquier puerto ACL (IPv4, IPv6, o MAC) se aplica a una interfaz, que ACL puerto se utiliza para filtrar los paquetes,
y cualquier ACL router conectado a la SVI de la VLAN de puerto se ignoran.
Estas secciones se describen algunas caractersticas de ACL IPv6 del switch:
Marcos fragmentados (el fragmentos palabra clave como en IPv4) son compatibles.
Las mismas estadsticas apoyados en IPv4 son compatibles con IPv6 ACL.
Si el interruptor se queda sin espacio de hardware, los paquetes asociados con la ACL se reenvan a la CPU,
y las ACL se aplican en el software.
42-2
OL-29703-01
Captulo 42
Paquetes ruta o un puente con opciones hop-by-hop tienen IPv6 ACL aplicada en el software.
El registro se admite para las ACL del router, pero no para las ACL portuarias.
El switch soporta IPv6 direccin de coincidencia para una amplia gama de longitudes de prefijo.
Esta versin slo admite ACL y ACL puerto del router de IPv6; que no soporta VLAN ACL
(mapas de VLAN).
ACL del router de salida y de entrada de ACL del puerto para IPv6 slo se admiten en pilas de conmutacin. Interruptores
apoyar slo plano de control (entrante) IPv6 ACL.
Al configurar una ACL, no hay ninguna restriccin en palabras clave introducidas en la ACL, independientemente de
si son o no son compatibles con la plataforma. Al aplicar la ACL a una interfaz que
requiere de reenvo de hardware (puertos fsicos o SVI), los controles de conmutacin para determinar si es o
no la ACL se puede apoyar en la interfaz. Si no, adjuntando la ACL es rechazada.
Si una ACL se aplica a una interfaz y se intenta agregar una entrada de control de acceso (ACE) con un
palabra clave no compatible, el interruptor no permite la ACE que se aade a la ACL que est actualmente
conectada a la interfaz.
Nota
Para la funcionalidad completa de IPv6 en una pila de switches, todos miembros de la pila deben ejecutar la funcin de servicios IP
establecer.
Si un nuevo interruptor se hace cargo como maestra de la pila, que distribuye la configuracin de ACL a todos los miembros de la
pila. El
interruptores miembros sincronizan la configuracin distribuida por el nuevo maestro de la pila y ahuyentar a las entradas que
no son necesarios.
Cuando una ACL se modifica, unido a, o separada de una interfaz, el maestro de la pila distribuye la
cambiar a todos los miembros de la pila.
42-3
Captulo 42
Paso 1
Crear una ACL IPv6, y entrar en el modo de configuracin de lista de acceso IPv6.
Paso 2
Paso 3
Aplicar el IPv6 ACL a una interfaz. Para ACL del router, tambin debe configurar una direccin IPv6 en el
Interfaz de capa 3 a la que se aplica la ACL.
Si una ACL del router IPv6 se configura para denegar un paquete, el paquete no se encamina. Una copia del paquete
se enva a la cola de Protocolo de mensajes de control de Internet (ICMP) para generar una inalcanzable ICMP
mensaje para el marco.
Si una trama de puente se va a caer debido a un puerto ACL, la trama no est puenteado.
Puede crear tanto IPv4 como IPv6 ACL en una pila de conmutadores o switch, y se puede aplicar tanto en IPv4
y ACL IPv6 a la misma interfaz. Cada ACL debe tener un nombre nico; aparece un mensaje de error
si intenta utilizar un nombre que ya est configurado.
Utiliza diferentes comandos para crear IPv4 e IPv6 ACL y adjuntar IPv4 o IPv6 ACL a la
misma capa 2 o capa 3 de la interfaz. Si utiliza el comando correcto atribuir una ACL (por ejemplo,
manda un IPv4 adjuntar una ACL IPv6), recibir un mensaje de error.
No se puede utilizar MAC ACL para filtrar tramas IPv6. MAC ACL slo puede filtrar tramas no IP.
Si la memoria est llena de hardware, para cualquier ACL configuradas adicionales, los paquetes se envan a la
CPU, y las ACL se aplican en el software.
42-4
OL-29703-01
Captulo 42
Propsito
Paso 1
configure terminal
Paso 2
ipv6 access-list
acceso nombre-lista-
Utilice un nombre para definir una lista de acceso IPv6 y entrar en el modo de configuracin de lista de acceso
IPv6.
Paso 3a
Ingrese negar o permiso para especificar si se debe negar o permitir el paquete, si las condiciones se niegan {| permiso}
protocolo
{Source-ipv6-prefijo / prefijo-l igualados. Estas son las condiciones:
ength |cualquier |acogida
Para protocolo, introducir el nombre o nmero de un protocolo de Internet: ahp, esp, icmp,
fuente-ipv6-direccin}
ipv6, pcp, STCP, tcp, o udp, o un nmero entero en el rango de 0 a 255 que representa un
[Operador [nmero-puerto]]
Nmero de protocolo IPv6.
{Destino-ipv6-prefix /
NotaPara los parmetros especficos adicionales para ICMP, TCP, y UDP, consulte los pasos 3bprefijo de longitud |cualquier |
a 3d.acogida
destino-ipv6-direccin}
El fuente-ipv6-prefijo / prefijo de longitud o destino-ipv6-prefijo / prefijo de longitud es
[Operador [nmero-puerto]]
la red IPv6 de origen o destino o tipo de redes para la cual definir niega
[Dscp valor] [fragmentos]
o las condiciones
permiso,
en hexadecimal
y utilizando valoresintroducir
de 16 bitslaentre
Para
acogidaespecificados
fuente-ipv6-direccin
o destino-ipv6-direccin,
fuente o
del
[Log] [log-input] [ruta]
destino direccin de host IPv6 para la cual definir negar o permitir condiciones, especificadas
dos puntos (vea RFC
en 2373).
hexadecimal utilizando los valores de 16 bits entre dos puntos.
[Secuencia valor]
[Tiempo de gama nombre]Ingrese cualquier
como Para
una abreviatura
para el prefijo
IPv6 :: / 0.
operador, especificar
un operando
que compara la fuente o
(Opcional)
puertos de destino del protocolo especificado. Operandos son lt (Menos que), gt (Mayor
que), eq (Igual), neq (No iguales), y gama.
Si el operador sigue el fuente-ipv6-prefijo / prefijo de longitud argumento, debe
coincidir con el puerto de origen. Si el operador sigue el destino-para IPv6
prefijo / prefijo de longitud argumento, que debe coincidir con el puerto de destino.
(Opcional) Introduzca dscp valor para que coincida con un valor de punto de cdigo de servicios
diferenciados
contra el valor de la clase de trfico en el campo Clase de Trfico de cada encabezado de paquete IPv6.
El rango aceptable es de 0 a 63.
(Opcional) Introduzca fragmentos para comprobar fragmentos noninitial. Esta palabra clave es visible
slo si el protocolo es ipv6.
(Opcional) Introduzca log para causar un mensaje de registro para ser enviados a la consola acerca
el paquete que coincide con la entrada. Ingrese log-input para incluir la interfaz de entrada en
la entrada del registro. Registro slo se admite para las ACL del router.
(Opcional) Introduzca enrutamiento para especificar que los paquetes IPv6 pueden
enrutar.
(Opcional) Introduzca secuencia valor para especificar el nmero de secuencia de la lista de acceso
comunicado. El rango aceptable es de 1 hasta 4294967295.
(Opcional) Introduzca tiempo de rango Nombre para especificar el intervalo de tiempo que se aplica a la
negar o permitir el comunicado.
42-5
Captulo 42
Comando
Propsito
Paso 3b
(Opcional) Defina una lista de acceso TCP y las condiciones de acceso {negar. | permiso tcp}
{Source-ipv6-prefijo / prefijo-l Introduzca tcp por el Protocolo de control. Los parmetros son los mismos que los
ength |cualquier |acogida
se describe en el Paso 3a, con estos parmetros opcionales adicionales:
fuente-ipv6-direccin}
ack-Reconocimiento conjunto de bits. [operador [nmero-puerto]]
{Destino-para IPv6
Un establecida conexin establecida. Un partido se produce si el datagrama TCP tiene
prefijo / prefijo de longitud |cualquier |
los ACK o RST bits establecidos.
acogida
-fin Finalizado bit; hay ms datos de remitente.
destino-ipv6-direccin}
[Operador [nmero-puerto]]neq {Port | protocolo} -Partidos slo los paquetes que no estn en un nmero de puerto determinado.
[Ack] [dscp valor]
PSH-push funcin poco ajustado.
[Establecido] [fin] [registro]
gama {Port | protocolo} -Partidos slo los paquetes en el rango de nmeros de puerto [de entrada log-] [neq {puerto. |
protocolo}] [PSH] [rango
primera-Reset poco ajustado.
{Port | protocolo}] [Primera]
[Ruta] [secuencia valor] syn-Sincronizar poco ajustado.
Paso 3c {Negar
| permiso}
udp nombre]-urg
(Opcional)
de acceso
UDP y las condiciones de acceso.
[Syn] [Tiempo
de gama
UrgenteDefinir
punterouna
dellista
conjunto
de bits.
{-Ipv6-prefix
fuente / prefijo-l
[Urg]
Ingrese udp para el User Datagram Protocol. Los parmetros UDP son los mismos que los
ength |cualquier |acogida
descrito para TCP, a excepcin de que el [operador [puerto]] nmero de puerto o nombre debe ser una
fuente-ipv6-direccin}
Nmero de puerto UDP o el nombre y la establecido parmetro no es vlido para UDP.
[Operador [nmero-puerto]]
{Destino-ipv6-prefix / pr
efix de longitud |cualquier |acogida
destino-ipv6-direccin}
[Operador [nmero-puerto]]
[Dscp valor] [Registro]
[Log-input] [neq {port |
protocolo}] [Rango {port |
protocolo}] [Ruta]
[Secuencia valor]
[Tiempo de gama nombre]
Paso 4
fin
42-6
OL-29703-01
Captulo 42
Comando
Propsito
Paso 5
Paso 6
copy running-config
startup-config
Utilice el no {Negar | permiso} Comandos de configuracin de IPv6 lista de acceso con palabras clave para eliminar el negar
o las condiciones del permiso de la lista de acceso especificada.
En este ejemplo se configura la lista de acceso IPv6 llamado CISCO. La primera entrada en la lista de negar niega todo
paquetes que tienen un nmero de destino puerto TCP superior a 5000 La segunda negar la entrada niega
paquetes que tienen un nmero de puerto UDP fuente menos de 5000. El segundo niegan informa de todos los partidos a
la consola. La primera entrada de permiso en la lista permite que todos los paquetes ICMP. La segunda entrada de permiso en el
lista acepta el resto del trfico. La segunda entrada de permiso es necesario porque un rechazo implcito -all condicin
est en el extremo de cada lista de acceso IPv6.
Switch (config) # ipv6 lista de acceso CISCO
Switch (config-ipv6-acl) # tcp negar cualquier cualquier gt 5000
Cambiar config-ipv6-acl) # deny :: / 0 lt 5000 :: / 0 log
Switch (config-ipv6-acl) # icmp permiso cualquier cualquier
Switch (config-ipv6-acl) # permitir que cualquier cualquier
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Identificar una interfaz de capa 2 (para el puerto ACL) o la interfaz de capa 3 (para el router
ACL) sobre la que se aplica una lista de acceso, y entrar en el modo de configuracin de interfaz.
Paso 3
no switchport
Paso 4
Configure una direccin IPv6 en una interfaz de capa 3 (para el router ACL).
Nota
Nota
Paso 5
ipv6 trfico filtro acceso nombre-lista- Aplicar la lista de acceso para el trfico entrante o saliente en la interfaz.
{En | Salida}
NotaEl Salida palabra clave no es compatible con las interfaces de capa 2 (ACL portuarias).
Si el interruptor est en marcha el conjunto de funciones de base IP, la Salida palabra clave no es
apoyado por Capa 3 interfaces.
Paso 6
fin
Paso 7
show running-config
Paso 8
copy running-config
startup-config
42-7
Captulo 42
Utilice el ningn trfico-filtro ipv6 acceso nombre-lista- comando de configuracin de interfaz para eliminar una lista de acceso
desde una interfaz.
Este ejemplo muestra cmo aplicar la lista de acceso Cisco para el trfico de salida en una interfaz de Capa 3:
Switch
Switch
Switch
Switch
Comando
Propsito
Mostrar todas las listas de acceso IPv6 configurado o la lista de acceso especificada por
nombre.
Este es un ejemplo de la salida de la mostrar listas de acceso comando EXEC privilegiado. La salida
muestra todas las listas de acceso que se configuran en la pila de conmutadores o switch.
Cambie #show listas de acceso
Lista de acceso IP extendida hola
10 IP del permiso cualquier cualquier
IPv6 lista de acceso ipv6
permiso de ipv6 cualquier cualquier
secuencia 10
Este es un ejemplo de la salida de la ipv6 show access-lists comando EXEC privilegiado. La salida
slo muestra las listas de acceso IPv6 configuradas en la pila de conmutadores o switch.
Switch # mostrar ipv6 access-list
IPv6 lista de acceso de entrada
permitir tcp cualquier secuencia de cualquier bgp eq (8 partidos)
10
permiso tcp cualquier secuencia de cualquier eq telnet (15
partidos) 20
permitir UDP cualquier cualquier secuencia 30
IPv6 lista de acceso de salida
udp negar cualquier cualquier secuencia 10
negar secuencia telnet tcp cualquier cualquier eq
20
42-8
OL-29703-01
E R CH A P T
43
Nota
Capa 3 EtherChannels no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
En este captulo tambin se describe cmo configurar el seguimiento del estado de
enlace.
A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o
Interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Entender EtherChannels
43-1
Captulo 43
Entender EtherChannels
EtherChannel Informacin
general
Un EtherChannel consiste en enlaces Gigabit Ethernet que compongan el lote en un nico enlace lgico, como se muestra
en Figura 43-1.
Figura 43-1
Gigabit EtherChannel
1000BASE-X
1000BASE-X
10/100
Switched
enlaces
10/100
Switched
enlaces
101237
Estaciones de Trabajo
Estaciones de Trabajo
Nota
Capa 3 EtherChannels no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
43-2
OL-29703-01
Captulo 43
Entender EtherChannels
Puede configurar un EtherChannel en uno de estos modos: Port Aggregation Protocol (PAgP), Link
Protocolo de control de agregacin (LACP), u On. Configurar ambos extremos de la EtherChannel en el mismo
modo:
Al configurar un EtherChannel en el en modo, no hay negociaciones tienen lugar. Las fuerzas de conmutacin
puertos de todo compatibles para convertirse en activo en el EtherChannel. El otro extremo del canal (en el otro
interruptor) tambin debe estar configurado en el en modo; de lo contrario, puede ocurrir la prdida de paquetes.
Figura 43-2
Individual-Switch EtherChannel
Pila de switches
Switch 1
Canal
grupo 1
StackWise Plus
puerto
conexiones
Switch 2
Canal
grupo 2
Interruptor A
159893
Switch 3
43-3
Captulo 43
Entender EtherChannels
Figura 43-3
Cruz-Stack EtherChannel
Pila de switches
Switch 1
StackWise Plus
puerto
conexiones
Interruptor A
Switch 2
Canal
grupo 1
159894
Switch 3
Interfaces Port-Channel
Cuando se crea un EtherChannel, una interfaz lgica puerto-canal se trate:
Con Capa 2 puertos, utilice el -grupo de canales comando de configuracin de interfaz para crear dinmicamente
la interfaz lgica puerto-canal.
Tambin puede utilizar el interfaz puerto-canal port-channel nmero- comando de configuracin global
para crear manualmente la interfaz lgica puerto-canal, pero entonces debe utilizar el -grupo de canales
del canal-grupo-nmero mandar a asociar la interfaz lgica a un puerto fsico. El
del canal-grupo-nmero puede ser el mismo que el port-channel nmero-, o puede utilizar un nmero nuevo.
Si utiliza un nuevo nmero, el -grupo de canales comando crea dinmicamente un nuevo canal del puerto.
Con Capa 3 puertos, debe crear manualmente la interfaz lgica mediante el uso de la interfaz
puerto-canal comando de configuracin global, seguido por el no switchport configuracin de la interfaz
de comandos. Luego de asignar manualmente una interfaz para el EtherChannel utilizando el -grupo de canales
comando de configuracin de interfaz.
Para ambos de Capa 2 y Capa 3 puertos, la -grupo de canales comando se une el puerto fsico y la lgica
interactuar juntos como se muestra en la Figura 43-4.
Cada EtherChannel tiene una interfaz lgica canal de puertos numerados del 1 al 48 Este canal de puertos
nmero de interfaz se corresponde con el especificado con el -grupo de canales configuracin de la interfaz
de comandos.
43-4
OL-29703-01
Captulo 43
Figura 43-4
Entender EtherChannels
Canal grupovinculante
101238
Puertos fsicos
43-5
Captulo 43
Entender EtherChannels
Modos PAgP
Tabla 43-1 muestra los modos EtherChannel PAgP configurables por el usuario para la -grupo de canales interfaz
comando de configuracin.
Tabla 43-1
Modo
Descripcin
auto
Coloca un puerto en un estado de negociacin pasiva, en la que el puerto responde a PAgP paquetes
que recibe, pero no se inicia PAgP negociacin de paquetes. Esta configuracin minimiza la
transmisin de paquetes de PAgP. Este modo no es compatible cuando el EtherChannel
miembros son de diferentes switches de la pila de switches (cross-pila EtherChannel).
deseable Coloca un puerto en un estado de negociacin activa, en la que el puerto inicia las negociaciones con otra
puertos mediante el envo de paquetes PAgP. Este modo no es compatible cuando el EtherChannel
miembros son de diferentes switches de la pila de switches (cross-pila EtherChannel).
Los puertos de switch intercambian paquetes PAgP slo con puertos asociados configurados en el auto o deseable modos.
Puertos configurados en el en modo no intercambian paquetes PAgP.
Tanto la auto y deseable modos permiten puertos para negociar con puertos asociados para formar un EtherChannel
sobre la base de criterios tales como la velocidad del puerto y, para capa 2 EtherChannels, estado de enlace troncal y los nmeros de
VLAN.
Los puertos pueden forman un EtherChannel cuando estn en diferentes modos PAgP siempre que los modos estn
compatible. Por ejemplo:
Un puerto en el deseable modo puede formar una EtherChannel con otro puerto que est en la deseable o
auto de modo.
Un puerto en el auto modo se puede formar un EtherChannel con otro puerto en el deseable de modo.
Un puerto en el auto modo no se puede formar un EtherChannel con otro puerto que tambin est en la auto Modo
porque ni el puerto comienza la negociacin PAgP.
Si el conmutador est conectado a un socio que es PAgP-capaz, puede configurar el puerto del conmutador para
nonsilent operacin mediante el uso de la no silenciosa palabra clave. Si no se especifica no silenciosa con la auto o
deseable modo, se supone que el modo silencioso.
Utilice el modo silencioso cuando el interruptor est conectado a un dispositivo que no es-PAgP capaz y rara vez, si
alguna vez, enva los paquetes. Un ejemplo de un socio silencioso es un servidor de archivos o un analizador de paquetes que no est
la generacin de trfico. En este caso, se ejecuta PAgP en un puerto fsico conectado a un silenciadora evita asociadas
que puerto de switch de llegar a ser nunca operativa. Sin embargo, el ajuste de silencio permite PAgP para operar, a
conecte el puerto a un grupo de canales, y para utilizar el puerto para la transmisin.
43-6
OL-29703-01
Captulo 43
Entender EtherChannels
Para evitar una situacin de doble activo, los conmutadores centrales envan unidades de datos de protocolo (PDU) PAgP a travs de
la
RSL a los interruptores remotos. Las PDU PAgP identificar el interruptor activo, y los interruptores remotos
remitir las PDU para conmutadores de ncleo para que los conmutadores centrales estn sincronizados. Si el interruptor activo falla
o
restablece, el interruptor de espera asume el control como el interruptor activo. Si la VSL se cae, un interruptor central sabe
el estado de la otra y no cambia de estado.
Modos de LACP
Tabla 43-2 muestra los modos EtherChannel LACP configurables por el usuario para la -grupo de canales interfaz
comando de configuracin.
Tabla 43-2
Modo
Descripcin
activo
Coloca un puerto en un estado de negociacin activa en la que el puerto inicia las negociaciones con otra
puertos mediante el envo de paquetes LACP.
pasiva
Coloca un puerto en un estado de negociacin pasiva en la que el puerto responde a LACP paquetes
que recibe, pero no se inicia la negociacin de paquetes LACP. Esta configuracin minimiza la
transmisin de paquetes LACP.
Tanto la activo y pasiva LACP modos permiten puertos para negociar con los puertos asociados a un
EtherChannel basado en criterios como la velocidad del puerto y, para capa 2 EtherChannels, estado de enlace troncal y
Nmeros de las VLAN.
43-7
Captulo 43
Entender EtherChannels
Los puertos pueden forman un EtherChannel cuando estn en diferentes modos de LACP siempre que los modos estn
compatible. Por ejemplo:
Un puerto en el activo modo puede formar una EtherChannel con otro puerto que est en la activo o pasiva
de modo.
Un puerto en el pasiva modo no se puede formar un EtherChannel con otro puerto que tambin est en la pasiva
porque ni modo de puerto comienza la negociacin LACP.
Modo EtherChannel On
EtherChannel en modo se puede utilizar para configurar manualmente un EtherChannel. El en modo obliga a un puerto
a participar en un EtherChannel sin negociaciones. El en modo puede ser til si el dispositivo remoto no
apoyo PAgP o LACP. En el en modo, un EtherChannel utilizable slo existe cuando se cambian en tanto
extremos del enlace se configuran en el en de modo.
Los puertos que estn configuradas en el en el modo en el mismo grupo de canales debe tener puerto compatible
caractersticas, como la velocidad y el dplex. Los puertos que no son compatibles se suspenden, aunque
se configuran en el en de modo.
Precaucin Usted debe tener cuidado al utilizar el en de modo. Esta es una configuracin manual, y puertos en ambos extremos de
la EtherChannel debe tener la misma configuracin. Si el grupo est mal configurado, la prdida de paquetes o
pueden producirse bucles de spanning-tree.
43-8
OL-29703-01
Captulo 43
Entender EtherChannels
Con destino-MAC reenvo de direcciones, cuando los paquetes se envan a un EtherChannel, son
distribuido a travs de los puertos en el canal basado en la direccin MAC del host de destino del entrante
paquete. Por lo tanto, los paquetes para el mismo destino se envan sobre el mismo puerto, y los paquetes a un
diferente destino se envan en un puerto diferente en el canal.
Con fuente-y-direccin MAC de destino de reenvo, cuando los paquetes se envan a un EtherChannel,
que se distribuyen a travs de los puertos en el canal basado en el origen y destino MAC
direcciones. Este mtodo de reenvo, una combinacin fuente-MAC y la direccin de destino MACreenvo de los mtodos de distribucin de la carga, se puede utilizar si no est claro si la fuente-MAC o
destino-MAC reenvo de direccin se adapta mejor en un interruptor particular. Con origen y destino
Reenvo de direcciones MAC, los paquetes enviados desde el host A al host B, el host A al host C, y C de acogida para albergar B
podran utilizar todos los diferentes puertos en el canal.
Con el redireccionamiento basado en direcciones IP de origen, cuando los paquetes se envan a un EtherChannel, son
distribuida a travs de los puertos en el EtherChannel basndose en la direccin IP fuente del paquete entrante.
Por lo tanto, para proporcionar equilibrio de carga, los paquetes de diferentes direcciones IP utilizan diferentes puertos de la
canal, pero los paquetes de la misma direccin IP utilizan el mismo puerto en el canal.
Con el redireccionamiento basado en direcciones IP de destino-, cuando los paquetes se envan a un EtherChannel, son
distribuida a travs de los puertos en el EtherChannel basado en la direccin de destino IP del entrante
paquete. Por lo tanto, para proporcionar equilibrio de carga, los paquetes de la misma direccin IP de origen enviados a diferentes
Direcciones de destino IP podran ser enviados en diferentes puertos del canal. Pero los paquetes enviados desde diferentes
direcciones IP de origen a la misma direccin IP de destino siempre se envan en el mismo puerto en el canal.
Con el redireccionamiento basado en direcciones IP de origen y destino, cuando los paquetes se envan a un
EtherChannel, que se distribuyen a travs de los puertos en el EtherChannel basado en el origen y
direcciones IP de destino del paquete entrante. Este mtodo de reenvo, una combinacin de IPs de fuente
y destino IP basada en direccin de reenvo, se puede utilizar si no est claro si IPs de fuente o
reenvo basado en direcciones IP de destino-se adapta mejor en un interruptor particular. En este mtodo, los paquetes
enviado desde la direccin IP de A a B la direccin IP, la direccin IP desde la A a la direccin IP C, y desde la direccin IP C a
Todo IP direccin B podra utilizar diferentes puertos en el canal.
Diferentes mtodos de equilibrio de carga tienen diferentes ventajas, y la eleccin de un particular,
de equilibrio de carga mtodo debe basarse en la posicin del conmutador en la red y el tipo de
trfico que tiene que ser de carga distribuida. En Figura 43-5, un EtherChannel de cuatro estaciones de trabajo
comunica con un enrutador. Debido a que el router es un MAC solo-direccin del dispositivo, basado fuenteexpedicin en el EtherChannel interruptor asegura que el conmutador utiliza todo el ancho de banda disponible para el router.
El router est configurado para el reenvo a base de destino, porque el gran nmero de estaciones de trabajo
garantiza que el trfico se distribuye uniformemente desde el EtherChannel router.
Utilice la opcin que ofrece la mayor variedad en su configuracin. Por ejemplo, si el trfico en una
canal se va slo a una nica direccin MAC, utilizando la direccin de destino MAC-siempre elige la
mismo enlace en el canal. El uso de direcciones de origen o direcciones IP podra resultar en un mejor equilibrio de carga.
43-9
Captulo 43
Entender EtherChannels
Figura 43-5
Interruptor con
basada en el origen
reenvo habilitado
EtherChannel
Router Cisco
con destino basadoreenvo habilitado
101239
43-10
OL-29703-01
Captulo 43
Configuracin EtherChannels
Para obtener ms informacin sobre las pilas de conmutacin, consulte Captulo 5, "Gestin de Pilas
interruptor."
Configuracin EtherChannels
Estas secciones contienen esta informacin de configuracin:
Nota
Asegrese de que los puertos estn configurados correctamente. Para obtener ms informacin, consulte la "EtherChannel
Directrices de configuracin "en la pgina 43-12.
Nota
EtherChannel configuracin
predeterminada
Tabla 43-3
Caracterstica
Ninguno asignado.
Define Ninguno.
Modo PAgP
PAgP aprender mtodo
Sin valor
predeterminado.
Aprendizaje Aggregate-puerto en todos los puertos.
Prioridad PAgP
El modo LACP
LACP aprender mtodo
Sin valor
predeterminado.
Aprendizaje Aggregate-puerto en todos los puertos.
32768.
LACP sistema de
identificacin
El equilibrio de carga
43-11
Captulo 43
Configuracin EtherChannels
Configurar un PAgP EtherChannel con hasta ocho puertos Ethernet del mismo tipo.
Configurar un LACP EtherChannel con hasta 16 puertos Ethernet del mismo tipo. Hasta ocho puertos puede
ser activos, y hasta ocho puertos pueden estar en modo de espera.
Configure todos los puertos en un EtherChannel para funcionar a la misma velocidad y modos dplex.
Habilitar todos los puertos en un EtherChannel. Un puerto en un EtherChannel que est desactivado mediante el
apagado comando de configuracin de interfaz se trata como un fallo de enlace, y su trfico se transfiere
a uno de los puertos restantes en el EtherChannel.
Cuando se crea primero un grupo, todos los puertos siguen los parmetros establecidos para el primer puerto que se aaden a la
grupo. Si cambia la configuracin de uno de estos parmetros, tambin debe hacer los cambios
a todos los puertos en el grupo:
-Lista de animales-VLAN
-Spanning-tree coste de la ruta para cada VLAN
-Spanning-tree priority puerto para cada VLAN
-Spanning-tree puerto Ajuste Rpido
No configure un EtherChannel tanto en los modos PAgP y LACP. Grupos EtherChannel ejecutan
PAgP y LACP pueden coexistir en el mismo switch o en diferentes switches de la pila. Individual
Grupos EtherChannel pueden funcionar tanto PAgP o LACP, pero no pueden interoperar.
No configure un puerto Switched Analyzer (SPAN) puerto de destino como parte de un EtherChannel.
No habilite el seguimiento del estado de enlace en interfaces individuales que sern parte de una corriente abajo
Interfaz etherchannel.
IEEE 802.1Q) es el mismo en todos los troncos. Modos tronco inconsistentes sobre puertos EtherChannel puede
tener resultados inesperados.
-Un EtherChannel admite el mismo rango permitido de VLAN en todos los puertos en un enlace troncal
43-12
OL-29703-01
Captulo 43
Configuracin EtherChannels
-Los puertos con diferentes costes de la ruta spanning-tree se forman EtherChannel si son de otro modo
compatibilidad configurada. Establecer diferentes costes de la ruta spanning-tree no es as, por s mismo, hacer puertos
incompatibles para la formacin de un EtherChannel.
Nota
Capa 3 EtherChannels no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
Para configuraciones EtherChannel en toda la pila, asegrese de que todos los puertos especficos para el EtherChannel son
ya sea configurado para LACP o se configuran manualmente para estar en el grupo de canales utilizando el
-grupo de canales del canal-grupo-nmero el modo en comando de configuracin de interfaz. El PAgP
protocolo no est soportado en EtherChannels pila cruzadas.
Si EtherChannel cruzada pila est configurado y las particiones pila de switches, bucles y expedicin
pueden ocurrir malos comportamientos.
Configuracin de Capa 2
EtherChannelsSe configura Capa 2 EtherChannels mediante la asignacin de puertos a un grupo de canales con la -grupo de canales
comando de configuracin de interfaz. Este comando crea automticamente el canal de puerto lgico
interfaz.
Si habilit PAgP en un puerto en el auto o deseable modo, debe reconfigurarlo para que sea el en
el modo o el modo LACP antes de aadir este puerto a un EtherChannel cruzada pila. PAgP no soporta
EtherChannels en toda la pila.
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar un puerto Ethernet de Capa 2 a una Capa 2
EtherChannel. Este procedimiento es necesario.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
43-13
Captulo 43
Configuracin EtherChannels
Paso 4
Comando
Propsito
fin
Paso 6
show running-config
Paso 7
Para quitar un puerto del grupo EtherChannel, utilice el ningn canal-grupo configuracin de la interfaz
de comandos.
43-14
OL-29703-01
Captulo 43
Configuracin EtherChannels
Este ejemplo muestra cmo configurar un EtherChannel en un nico conmutador de la pila. Asigna dos
puertos como puertos de acceso a la electricidad esttica en la VLAN 10 al canal 5 con el modo PAgP deseable:
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # gama interfaz gigabitethernet2 / 0/1 -2
(config-if-range) # switchport mode access
(config-if-range) # switchport access vlan 10
(config-if-range) # canal-grupo 5 Modo deseable no silenciosa
(config-if-range) # fin
Este ejemplo muestra cmo configurar un EtherChannel en un nico conmutador de la pila. Asigna dos
puertos como puertos de acceso a la electricidad esttica en la VLAN 10 al canal 5 con el modo LACP activo:
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # gama interfaz gigabitethernet2 / 0/1 -2
(config-if-range) # switchport mode access
(config-if-range) # switchport access vlan 10
(config-if-range) # canal-grupo 5 modo activo
(config-if-range) # fin
Este ejemplo muestra cmo configurar un EtherChannel cruzada pila. Utiliza el modo pasivo y LACP
asigna dos puertos en miembro de la pila 2 y un puerto en miembro de la pila 3 puertos como esttica de acceso en la VLAN 10
al canal 5:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # gama interfaz gigabitethernet2 / 0/4 -5
(config-if-range) # switchport mode access
(config-if-range) # switchport access vlan 10
(config-if-range) # canal-grupo 5 modo activo
(config-if-range) # Salida
(config) # interfaz gigabitethernet3 / 0/3
(config-if) # switchport mode access
(config-if) # switchport access vlan 10
(config-if) # canal-grupo 5 modo activo
(config-if) # Salida
Configuracin de Capa 3
EtherChannelsPara configurar Capa 3 EtherChannels, se crea la interfaz lgica puerto-canal y luego poner la
Puertos Ethernet en el canal de puertos como se describe en las dos secciones siguientes.
Nota
Capa 3 EtherChannels no son compatibles con los interruptores que ejecutan el conjunto de funciones de base
LAN.
Nota
Para mover una direccin IP de un puerto fsico de un EtherChannel, debe eliminar la direccin IP de la
puerto fsico antes de configurarlo en la interfaz puerto-canal.
43-15
Captulo 43
Configuracin EtherChannels
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear una interfaz de puerto-canal para una capa 3
EtherChannel. Este procedimiento es necesario.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
no switchport
Paso 4
Paso 5
fin
Paso 6
Paso 7
Paso 8
Para quitar el canal de puertos, utilice el sin interfaz puerto-canal port-channel nmero- mundial
comando de configuracin.
Este ejemplo muestra cmo crear el puerto lgico canal 5 y asigna 172.10.20.10 como su direccin IP:
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # puerto-canal 5 interfaz
(config-if) # no switchport
(config-if) # direccin IP 172.10.20.10 255.255.255.0
(config-if) # fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no ip address
Paso 4
no switchport
43-16
OL-29703-01
Captulo 43
Paso 5
Configuracin EtherChannels
Comando
Propsito
fin
Paso 7
show running-config
Paso 8
43-17
Captulo 43
Configuracin EtherChannels
Este ejemplo muestra cmo configurar un EtherChannel. Asigna dos puertos al canal 5 con la LACP
Modo activo:
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # gama interfaz gigabitethernet2 / 0/1 -2
(config-if-range) # no ip address
(config-if-range) # no switchport
(config-if-range) # canal-grupo 5 modo activo
(config-if-range) # fin
Este ejemplo muestra cmo configurar un EtherChannel cruzada pila. Asigna dos puertos en miembro de la pila
2 y un puerto en miembro de la pila 3 al canal 7 usando el modo activo LACP:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # gama interfaz gigabitethernet2 / 0/4 -5
(config-if-range) # no ip address
(config-if-range) # no switchport
(config-if-range) # canal-grupo de modo activo 7
(config-if-range) # Salida
(config) # interfaz gigabitethernet3 / 0/3
(config-if) # no ip address
(config-if) # no switchport
(config-if) # canal-grupo de modo activo 7
(config-if) # Salida
Comando
Propsito
Paso 1
configure terminal
Paso 2
43-18
OL-29703-01
Captulo 43
Configuracin EtherChannels
Comando
Propsito
Paso 3
fin
Paso 4
Paso 5
Para volver EtherChannel de balanceo de carga a la configuracin por defecto, utilice el ningn puerto-canal
de equilibrio de carga comando de configuracin global.
Nota
El switch soporta el aprendizaje electrnico slo en los puertos agregados a pesar de que la fsico-puerto palabra clave es
proporcionada en el CLI. El PAgP aprender-mtodo comando y el PAgP port-priority comando no tienen
Efecto sobre el hardware del switch, pero son necesarias para PAgP interoperabilidad con dispositivos que slo
direccin de apoyo al aprendizaje de los puertos fsicos, como el switch Catalyst 1900.
Cuando el socio de enlace del Catalyst 3750-E o 3560-E Catalyst 3750-X o X-3560 es un conmutador fsico
alumno (como un conmutador Catalyst de la serie 1900), le recomendamos que configure el Catalyst 3750-E
o 3560-E Catalyst 3750-X o switch 3560-X como un aprendiz fsico-puerto utilizando el PAgP aprender-mtodo
fsico-puerto comando de configuracin de interfaz. Establecer el mtodo de carga-distribucin basada en la fuente
Direccin MAC mediante el uso de la puerto-canal de carga-equilibrio src-mac comando de configuracin global. El
cambiar luego enva paquetes al switch Catalyst 1900 usando el mismo puerto en el EtherChannel de
que aprendi la direccin de origen. Slo utilice el PAgP aprender-mtodo comando en esta situacin.
43-19
Captulo 43
Configuracin EtherChannels
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el switch como un PAgP
alumno fsico-puerto y para ajustar la prioridad para que se seleccione el mismo puerto en el paquete para el envo de
paquetes. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Asignar una prioridad a fin de que se elige el puerto seleccionado para el paquete
transmisin.
Para prioridad, el rango es de 0 a 255 El valor por defecto es 128 Cuanto ms alto
la prioridad, ms probable es que el puerto ser utilizado para PAgP
transmisin.
Paso 5
fin
Paso 6
show running-config
o
espectculo PAgP del canal-grupo-nmero interna
Paso 7
Para devolver la prioridad a su configuracin por defecto, utilice el no PAgP port-priority configuracin de la interfaz
de comandos. Para volver al mtodo de aprendizaje a su configuracin por defecto, utilice el no PAgP aprender-mtodo interfaz
comando de configuracin.
43-20
OL-29703-01
Captulo 43
Configuracin EtherChannels
Nmero de puerto
En las comparaciones de prioridad, los valores numricamente inferiores tienen mayor prioridad. La prioridad decide qu puertos
se debe poner en modo de espera cuando hay una limitacin de hardware que impide que todos los puertos compatibles
de la agregacin.
La determinacin de qu puertos estn activos y que son de reserva en caliente es un procedimiento de dos pasos. En primer lugar el
sistema
con una prioridad del sistema numricamente inferior y sistema de identificacin se coloca a cargo de la decisin. A continuacin,
que
sistema decide qu puertos estn activos y que estn en espera activa, en funcin de sus valores de prioridad de puerto y
nmerocambiar
de puerto.
se utilizan
los valores
de los puertos
prioritarios
y el puerto
de nmeros
para el
sistema.
Puede
los No
valores
por defecto
de la prioridad
del sistema
de LACP
y la prioridad
de puerto
deotro
LACP
para afectar la forma
en
el software selecciona los enlaces activos y de reserva. Para obtener ms informacin, consulte la "Configuracin de la LACP
Seccin Prioridad del sistema "en la pgina 43-21 y el Seccin "Configuracin de la prioridad de LACP puerto" en la
pgina 43-22.
Puede configurar la prioridad del sistema para todos los EtherChannels que estn habilitadas para LACP mediante el uso de la
lacp sistema de prioridad comando de configuracin global. No se puede configurar una prioridad del sistema para cada
Canal LACP-configurado. Al cambiar este valor de la predeterminada, puede afectar la manera en que el software
selecciona vnculos activos y en espera.
Puede utilizar el Mostrar resumen etherchannel comando privilegiado EXEC para ver qu puertos estn en el
el modo en espera activa (indicado con una bandera de estado de puerto H).
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la prioridad del sistema de LACP. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para regresar la prioridad del sistema de LACP para el valor predeterminado, utilice la no lacp sistema de prioridad mundial
comando de configuracin.
43-21
Captulo 43
Viendo EtherChannel, PAgP, y LACP Estado
De forma predeterminada, todos los puertos utilizan la misma prioridad de puerto. Si el sistema local tiene un valor ms bajo para el
sistema
prioridad y el ID del sistema que el sistema de control remoto, puede afectar a cul de los enlaces hot-standby convertirse
activa por primera vez por el cambio de la prioridad de puerto de los puertos de LACP EtherChannel a un valor menor que el valor
predeterminado.
Los puertos hot-standby que tienen nmeros de puerto inferiores se activan en el primer canal. Puede utilizar el
Mostrar resumen etherchannel comando privilegiado EXEC para ver qu puertos estn en el hot-standby
el modo (indicado con una Hbandera del Estado del puerto).
Nota
Si LACP no es capaz de agregar todos los puertos que son compatibles (por ejemplo, el sistema remoto podra
tener limitaciones de hardware ms restrictivas), todos los puertos que no pueden incluirse activamente en la
EtherChannel se ponen en el estado de reposo dinmico y slo se utilizan si falla uno de los puertos canalizados.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la prioridad de puerto de LACP. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
show running-config
o
espectculo lacp [Canal-grupo-nmero]
interna
Paso 6
Para devolver la prioridad de puerto de LACP para el valor predeterminado, utilice la no lacp port-priority interfaz
comando de configuracin.
Comando
Descripcin
43-22
OL-29703-01
Captulo 43
Tabla 43-4
Comando
Descripcin
Puede borrar PAgP de informacin y de trfico del grupo de canales contadores mediante el uso de la PAgP clara
{-Grupo-nmero de canal contadores |contadores} comando EXEC privilegiado.
Puede borrar LACP la informacin y de trfico del grupo de canales contadores mediante el uso de la lacp clara
{-Grupo-nmero de canal contadores |contadores} comando EXEC privilegiado.
Para obtener informacin detallada sobre los campos en las pantallas, consulte la referencia de comandos para esta versin.
La comprensin de Seguimiento de
estado de enlace
Seguimiento del estado del enlace, tambin conocido como failover tronco, es una caracterstica que se une el estado de enlace de
mltiples
interfaces. Seguimiento del estado del enlace proporciona redundancia en la red cuando se utiliza con la red del servidor
tarjeta de interfaz (NIC) teaming adaptador. Cuando los adaptadores de red del servidor se configuran en una primaria o
relacin secundaria conocida como trabajo en equipo y el enlace se pierde en la interfaz principal, la conectividad
transparente cambia a la interfaz secundaria.
Figura 43-6 en la pgina 43-24 muestra una red configurada con seguimiento de estado de enlace. Para habilitar de estado de enlace
seguimiento, crear un grupo de estado de enlace, y especificar las interfaces que se asignan al grupo de estado de enlace. Un
interfaz puede ser una agregacin de puertos (un EtherChannel), un nico puerto fsico en el acceso o en el maletero
de modo, o un puerto enrutado. En un grupo de estado de enlace, estas interfaces se agrupan. El aguas abajo
interfaces de estn vinculados a la interfaces de aguas arriba. Interfaces conectados a los servidores se denominan
aguas abajo interfaces, y las interfaces conectados a switches de distribucin y dispositivos de red son
denominado aguas arriba interfaces.
43-23
Captulo 43
La comprensin de Seguimiento de estado de
enlace
Figura 43-6
Red
Capa de enlace de 3
Distribucin
interruptor 1
Link-Estado
grupo 1
Link-Estado
grupo 1
Distribucin
interruptor 2
Link-Estado
grupo 2
Link-Estado
grupo 2
Puerto Puerto
6
7
Puerto
8
Puerto
1
Puerto
5
Cambie B
Linkestado
grupo 2
Linkestado
grupo 1
Linkestado
grupo 1
Linkestado
grupo 2
Server 1
Server 2
Server 3
Server 4
141680
Enlace Primaria
Enlace Secundaria
La configuracin en Figura 43-6 asegura que el flujo de trfico de la red se equilibra de la siguiente manera:
conectado al servidor 1 y puerto 2 est conectado al servidor de 2 puertos 1 y 2 son los de aguas abajo
interfaces en el grupo de estado de enlace 1.
-Puerto 5 y 6 puertos estn conectados al conmutador de distribucin del 1 al grupo de estado de enlace 1. Puerto 5 y
43-24
OL-29703-01
Captulo 43
es Conectado al servidor 3, y el puerto 4 est conectado al servidor 4. Puerto 3 y 4 son el puerto aguas abajo
interfaces en el grupo de estado de enlace 2.
-Puerto 7 y 8 puertos estn conectados al conmutador de distribucin 2 al grupo de estado de enlace 2. Puerto 7 y
es Conectado al servidor 3, y el puerto 4 est conectado al servidor 4. Puerto 3 y 4 son el puerto aguas abajo
interfaces en el grupo de estado de enlace 2.
-Puerto 5 y 6 puertos estn conectados al conmutador de distribucin 2 al grupo de estado de enlace 2 Puerto 5 y
conectado al servidor 1 y puerto 2 est conectado al servidor de 2 puertos 1 y 2 son los de aguas abajo
interfaces en el grupo de estado de enlace 1.
-Puerto 7 y 8 puertos estn conectados al conmutador de distribucin del 1 al grupo de estado de enlace 1. Puerto 7 y
Si cualquiera de las interfaces de aguas arriba se encuentran en el estado de enlace-up, las interfaces aguas abajo pueden
cambiar o
permanecer en el estado de enlace-up.
Si todas las interfaces de aguas arriba de estar disponible, el seguimiento del estado de enlace pone automticamente el
interfaces de downstream en el estado-error discapacitados. Conectividad hacia y desde los servidores es
cambiado automticamente a partir de la interfaz del servidor principal a la interfaz servidor secundario.
Para un ejemplo de un cambio de la conectividad de grupo de estado de enlace del 1 al grupo de estado de enlace 2 en el
interruptor A,
ver Figura 43-6 en la pgina 43-24. Si se pierde el enlace ascendente para el puerto 6, los estados de los enlaces de abajo
los puertos 1 y 2 no cambian. Sin embargo, si se pierde tambin el enlace para el puerto de aguas arriba 5, el estado del enlace
de la
puertos de bajada cambios en el estado de enlace descendente. La conectividad con el servidor 1 y servidor 2 es entonces
cambiado desde el grupo 1 del estado de enlace al grupo de estado de enlace 2. Los puertos de bajada 3 y 4 no cambian
Estado porque estn en enlace-grupo 2.
Si el grupo de estado de enlace se configura, el seguimiento del estado de enlace se desactiva, y las interfaces ascendentes
perder
conectividad, los estados de enlace de las interfaces de aguas abajo se mantienen sin cambios. El servidor no
reconoce que la conectividad de aguas arriba se ha perdido y no conmutacin por error a la interfaz secundaria.
Puede recuperar una condicin de enlace descendente interfaz aguas abajo quitando el puerto de descarga no
del grupo de estado de enlace. Para recuperarse de mltiples interfaces de aguas abajo, desactivar el grupo de estado de enlace.
Configuracin de seguimiento de
estado de enlace
Por defecto de estado de enlace Configuracin de seguimiento, pgina 43
26
Link-Estado Directrices de configuracin de seguimiento, pgina 43-26
Configuracin de estado de enlace de seguimiento, pgina 4326
Viendo Estado de seguimiento de estado de enlace, pgina 43-27
43-25
Captulo 43
Configuracin de seguimiento de estado de
enlace
No habilite el seguimiento del estado de enlace en interfaces individuales que sern parte de una corriente abajo
Interfaz etherchannel.
Puede configurar slo dos grupos de estado de enlace por Catalizador interruptor 3560-E.
Puede configurar slo diez grupos de estado de enlace por switch Catalyst 3750-E.
Puede configurar slo dos grupos de estado de enlace por Catalizador interruptor 3560-X.
Puede configurar slo diez grupos de estado de enlace por Catalizador interruptor 3750-X.
Configuracin de seguimiento de
estado de enlace
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un grupo de estado de enlace y para asignar una
interfaz a un grupo:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
Paso 4
Paso 5
fin
Paso 6
show running-config
Paso 7
43-26
OL-29703-01
Captulo 43
Este ejemplo muestra cmo crear un grupo de estado de enlace y para configurar las interfaces:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Nota
# configure terminal
(config) # articulacin de la oruga estado 1
(config) # gama interfaz GigabitEthernet1 / 0/21 -22
(config-if) # grupo de estado de enlace 1 aguas arriba
(config-if) # interfaz GigabitEthernet1 / 0/1
(config-if) # grupo de estado de enlace 1 aguas abajo
(config-if) # interfaz GigabitEthernet1 / 0/3
(config-if) # grupo de estado de enlace 1 aguas abajo
(config-if) # interfaz GigabitEthernet1 / 0/5
(config-if) # grupo de estado de enlace 1 aguas abajo
(config-if) # fin
Si las interfaces son parte de un EtherChannel, debe especificar el nombre del canal de puerto como parte de la
grupo de estado de enlace, y no los miembros de puerto individuales.
Para desactivar un grupo de estado de enlace, utilice la hay pistas de estado de enlace nmero comando de configuracin
global.
Para obtener informacin detallada sobre los campos de la pantalla, consulte la referencia de comandos para esta versin.
43-27
Captulo 43
Configuracin de seguimiento de estado de
enlace
43-28
OL-29703-01
E R CH A P T
44
Esta funcin no se admite en los interruptores que ejecutan el conjunto de funciones de base LAN.
El Catalyst 3750-E y 3560-E3750-X y 3560-X referencia comando switch tiene la sintaxis de comandos
y la informacin de uso.
Telfono-Codec-Interruptor de conexin
277226
IP
Cambiar
Telfono IP
44-1
Captulo 44
Utilice la funcin de ayuda del telfono TelePresence E911 IP para asegurarse de que el telfono IP est siempre encendido y
disponible para llamadas de emergencia. Cuando un telfono IP habilitado CDP est conectado al codec a travs de un interruptor,
puede configurar el conmutador para enviar paquetes CDP desde el telfono IP slo para el codec en el Cisco
TelePresence System. El switch agrega pares de puertos de ingreso-egreso a la tabla de reenvo de CDP. Un
par puerto de entrada-salida es una asignacin uno a uno entre un puerto de entrada de interruptor conectado a la IP
telfono y un puerto del conmutador de salida conectado al codec.
El telfono IP y el cdec se comunican a travs de la red IP. Si el poder al codec falla, se interrumpe
o si el cdec falla, el telfono IP est todava conectado a la red IP y est disponible para llamadas de emergencia.
El conmutador enva todos los paquetes CDP que se reciben en el puerto de entrada al puerto de salida. Si varios telfonos IP
estn conectados al codec travs de un solo puerto del conmutador, slo un telfono se comunica con ella
a travs de la red IP. Este telfono es generalmente el que envi el primer paquete CDP recibida por el
codec.
Figura 44-2
Telfono-Switch-Codec Conexin
277226
IP
Cambiar
Directrices de configuracin
Debe utilizar slo telfonos compatibles con CDP con soporte telefnico TelePresence E911 IP.
Puede conectar el telfono IP y el codec en el Sistema de Telepresencia de Cisco a travs de cualquiera de los dos puertos de
una pila interruptor.
44-2
OL-29703-01
Captulo 44
Propsito
Paso 1
configure terminal
Paso 2
fin
Paso 4
Paso 5
Ejemplo
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Switch (config) # cdp entrada hacia adelante gigabitethernet2 / 0/1 salida gigabitethernet2 / 0/12
Switch (config) # cdp entrada hacia adelante gigabitethernet2 / 0/1 salida gigabitethernet2 / 0/13
Interfaz de entrada ya est configurado
Switch (config) # cdp entrada hacia adelante gigabitethernet2 / 0/2 egreso gigabitethernet2 / 0/12
Interfaz de salida ya est configurado
Switch (config) # cdp entrada hacia adelante gigabitethernet2 / 0/2 egreso gigabitethernet2 / 0/13
Switch (config) # fin
Switch #
* 01 de marzo 13: 38: 34,954:% SYS-5-CONFIG_I: Configurado desde la consola por la consola
Switch # show running-config | Incluye cdp
cdp adelante penetracin GigabitEthernet2 / 0/1 salida GigabitEthernet2 / 0/12
cdp adelante penetracin GigabitEthernet2 / 0/2 egreso GigabitEthernet2 / 0/13
Switch # show cdp adelante
44-3
Captulo 44
Switch #
44-4
OL-29703-01
E R CH A P T
45
Configuracin de IP Unicast
Routing
En este captulo se describe cmo configurar IP versin 4 (IPv4) de enrutamiento unicast en el Catalyst 3750-E
o 3560-E Catalyst 3750-X o switch 3560-X.
Nota
En los interruptores que ejecutan la operacin base LAN, enrutamiento esttico en las VLAN slo es compatible con Cisco IOS
Suelte 12.2 (58) SE y posteriores.
A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X
o interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X. Una pila de switches
opera y aparece como un solo router para el resto de los routers de la red. Funciones bsicas de enrutamiento,
incluyendo el enrutamiento esttico y el Protocolo de informacin de enrutamiento (RIP), estn disponibles tanto con la base de IP
conjunto de caractersticas y los servicios IP disponen de set. Para utilizar las funciones avanzadas de enrutamiento y otros
protocolos de enrutamiento,
debe tener los servicios IP cuentan conjunto habilitado en el conmutador independiente o en el maestro de la pila.
Nota
Adems del trfico IPv4, tambin puede habilitar IP versin 6 (IPv6) de enrutamiento unicast y configurar
interfaces para reenviar el trfico IPv6 si la pila de conmutadores o switch se ejecuta la funcin de los servicios de base o IP IP
establecer. Para obtener informacin sobre la configuracin de IPv6 en el interruptor, consulte Captulo 46, "Configuracin de IPv6
Unicast
Enrutamiento ".
Para obtener informacin de configuracin IP unicast ms detallada, consulte la Cisco Gua de configuracin IP IOS,
Soltar 12.4. Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte
estas referencias de comandos:
45-1
Captulo 45
Enrutamiento IP Entendimiento
Nota
Al configurar los parmetros de enrutamiento en el interruptor y asignar los recursos del sistema para maximizar la
nmero de rutas unicast permitido, puede utilizar el sdm prefieren enrutamiento comando de configuracin global
para establecer la Gestin (sdm) funcin Cambio de base de datos a la plantilla de enrutamiento. Para obtener ms informacin sobre
las plantillas de SDM, consulte Captulo 8, "Configuracin de plantillas SDM" o ver el sdm prefieren mando en
la referencia de comandos para esta versin.
Nota
En los interruptores que ejecutan la base o IP servicios IP conjunto de caractersticas, al configurar los parmetros de enrutamiento
en el
cambiar y para asignar los recursos del sistema para maximizar el nmero de rutas unicast permite, puede utilizar
la sdm prefieren enrutamiento comando de configuracin global para configurar la base de datos de administracin de conmutadores
(SDM)
funcin para la plantilla de enrutamiento. En los interruptores que ejecutan el conjunto de funciones de base LAN, enrutamiento
esttico IP es
apoyado slo con la plantilla sdm defecto. Para obtener ms informacin sobre las plantillas de SDM, consulte
Captulo 8, "Configuracin de plantillas SDM" o ver el sdm prefieren comando en la referencia de comandos
para esta versin.
Enrutamiento IP
Entendimiento
En algunos entornos de red, VLAN estn asociadas con las redes o subredes individuales. En una
Red IP, cada subred se asigna a una VLAN individual. Configuracin de VLAN ayuda a controlar la
tamao del dominio de difusin y mantiene el trfico local local. Sin embargo, los dispositivos de red en diferentes VLANs
no se pueden comunicar entre s sin un dispositivo de Capa 3 (router) para enrutar el trfico entre el
VLAN, conocido como el enrutamiento entre VLAN. Puede configurar uno o ms routers para enrutar el trfico a la
VLAN destino apropiado.
Figura 45-1 muestra una topologa de enrutamiento bsico. Interruptor de A est en la VLAN 10, y el interruptor B est en la VLAN
20 El
router tiene una interfaz en cada VLAN.
Figura 45-1
A
Anfitrin
VLAN 20
Interruptor A
Cambie B
C
Anfitrin
B
Anfitrin
18071
Trunks ISL
Cuando el host A en la VLAN 10 necesita para comunicarse con el host B en la VLAN 10, enva un paquete dirigido
a ese host. El Switch A enva el paquete directamente al host B, sin enviarlo al router.
45-2
OL-29703-01
Captulo 45
Cuando el host A enva un paquete al host C en la VLAN 20, Switch A enva el paquete al router, que
recibe el trfico en la interfaz VLAN 10. El router comprueba la tabla de enrutamiento, encuentra la correcta
interfaz de salida, y enva el paquete en la interfaz VLAN 20 para cambiar B. Interruptor B recibe
el paquete y lo reenva al host C.
Esta seccin contiene informacin sobre estos temas de enrutamiento:
Tipos de
enrutamiento
Routers que utilizan protocolos de vector-distancia mantienen tablas de enrutamiento con valores de distancia de red
recursos, y pasan peridicamente estas tablas para sus vecinos. Protocolos de vector-distancia utilizan una
o una serie de indicadores para calcular las mejores rutas. Estos protocolos son fciles de configurar y utilizar.
Routers que utilizan protocolos de estado de enlace mantienen una base de datos compleja de la topologa de la red, basado en
la
intercambio de publicaciones del estado de enlace (LSA) entre routers. LSA son provocados por un evento en
la red, lo que acelera el tiempo o el tiempo de convergencia necesario para responder a estos cambios.
Protocolos de estado de enlace responden rpidamente a los cambios en la topologa, pero requieren mayor ancho de banda y
ms
recursos que los protocolos de vector-distancia.
Protocolos de vector-distancia apoyados por el interruptor se Routing Protocolo de Informacin (RIP), que utiliza
una nica mtrica de distancia (costo) para determinar la mejor ruta y el Border Gateway Protocol (BGP), que
aade un mecanismo de trazado vectorial. El switch tambin soporta el Open Shortest Path First (OSPF) de estado de enlace
protocolo y IGRP mejorado (EIGRP), que aade algunas caractersticas de enrutamiento de estado de enlace al tradicional
Interior Protocolo de enrutamiento de gateway (IGRP) para mejorar la eficiencia.
Nota
En una pila de interruptor o conmutador, los protocolos soportados son determinados por el software que se ejecuta en el
cambiar o apilar maestro. Si el conmutador o pila principal se est ejecutando el conjunto de funciones de base IP, slo por defecto
enrutamiento, enrutamiento esttico y RIP son compatibles. Si el interruptor est en marcha el conjunto de funciones de base LAN,
usted puede
configurar 16 rutas estticas en SVI. Todos los otros protocolos de enrutamiento requieren el IP servicios de conjunto de
caractersticas.
45-3
Captulo 45
Enrutamiento IP Entendimiento
Procesa los mensajes de protocolo de enrutamiento y actualizaciones recibidas de los routers de pares.
Genera, mantiene y distribuye el Cisco Express Forwarding (DCEF) base de datos distribuida
a todos los miembros de la pila. Las rutas estn programadas en todos los switches en las bases de la pila en esta base de datos.
La direccin MAC de la maestra de la pila se utiliza como la direccin MAC del router para toda la pila, y todos
dispositivos externos utilizan esta direccin para enviar paquetes IP a la pila.
Todos los paquetes IP que requieren reenvo o procesamiento de software pasan a travs de la CPU de la pila
amo.
Actan como interruptores de espera de enrutamiento, listo para asumir el control en caso de ser elegidos como la nueva pila
dominar si la maestra de la pila falla.
Programan las rutas en hardware. Las rutas programadas por los miembros de la pila son los mismos
que se descargan por el maestro de la pila, como parte de la base de datos DCEF.
Si un maestro de la pila falla, la pila detecta que el maestro de la pila es hacia abajo y elige a uno de los miembros de la pila
para ser el nuevo maestro de la pila. Durante este perodo, a excepcin de una interrupcin momentnea, el hardware
contina para enviar paquetes sin protocolos activos.
Sin embargo, a pesar de que la pila de conmutador mantiene la identificacin de hardware despus de un fallo, el encaminamiento
protocolos sobre los vecinos del router pueden batir durante la breve interrupcin antes de que se reinicie el maestro de la pila.
Los protocolos de enrutamiento como OSPF y EIGRP deben reconocer transiciones vecino. El router utiliza dos
niveles de reenvo sin parar (NSF) para detectar un cambio de conexin, para continuar reenva trfico de red, y
para recuperar informacin de la ruta de los dispositivos de pares:
Routers NSF-aware toleran vecina fallas del router. Una vez reiniciado el router vecino, un
NSF-consciente suministros enrutador informacin sobre sus adyacencias estatales y ruta en peticin.
Routers NSF-capaces apoyan NSF. Cuando detectan un cambio maestra de la pila, que reconstruyen enrutamiento
informacin de los vecinos NSF-consciente o NSF-capaces y no espere a que se reinicie.
La pila de switches soporta enrutamiento NSF-capaz de OSPF y EIGRP. Para obtener ms informacin, consulte la
Seccin "OSPF NSF Capability" en la pgina 45-30 y el Seccin "EIGRP NSF Capability" en la pgina 45-41.
Tras la eleccin, el nuevo maestro de la pila realiza estas funciones:
Construye tablas de enrutamiento, genera la base de datos CEF, y la distribuye a apilar miembros.
Utiliza su direccin MAC como la direccin MAC del router. Para notificar a sus pares de la red de la nueva MAC
direccin, peridicamente (cada pocos segundos durante 5 minutos) enva una respuesta ARP gratuito con el nuevo
direccin MAC del router.
45-4
OL-29703-01
Captulo 45
Nota
Nota
Se trata de determinar la accesibilidad de todas las entradas ARP de proxy mediante el envo de una peticin ARP a la
Proxy ARP direccin IP y la recepcin de una respuesta ARP. Para cada proxy ARP alcanzable direccin IP,
genera un ARP gratuito responder con la nueva direccin MAC del router. Este proceso se repite para
5 minutos despus de una nueva eleccin maestra de la pila.
Cuando un maestro de la pila se est ejecutando el servicio conjunto de funciones IP, la pila puede ejecutar todos los protocolos
soportados,
incluyendo Open Shortest Path First (OSPF), IGRP mejorado (EIGRP) y Border Gateway Protocol
(BGP). Si el maestro de la pila falla y la nueva maestra de la pila elegida est ejecutando la base IP o base LAN
conjunto de caractersticas, estos protocolos, dejar de funcionar en la pila.
Precaucin Particionamiento de pila de switches en dos o ms pilas podra llevar a un comportamiento indeseable en el
red.
Un puerto de enrutado: un puerto fsico configurado como un puerto de Capa 3 utilizando el no switchport interfaz
comando de configuracin.
Una interfaz de conmutador virtual (SVI): una interfaz VLAN creado usando el interfaz vlan vlan_id
comando de configuracin global y por defecto una interfaz de capa 3.
Nota
Nota
Si el interruptor est en marcha el conjunto de funciones de base LAN, rutas estticas slo se admiten en SVI.
Un canal del puerto EtherChannel en el modo de capa 3: una interfaz lgica puerto-canal creado por el uso de
la interfaz puerto-canal port-channel nmero- comando de configuracin global y vinculante de la
Interfaz de Ethernet en el grupo de canales. Para obtener ms informacin, consulte la "Configuracin de Capa 3
Seccin EtherChannels "en la pgina 43-15.
El interruptor no es compatible con las interfaces de tnel para unicast enruta el trfico.
Todos Capa 3 interfaces en las que se producir el enrutamiento deben tener direcciones IP asignadas a ellos. Consulte la
Seccin "Asignacin de direcciones IP a las interfaces de red" en la pgina 45-7.
45-5
Captulo 45
Configuracin de direccionamiento IP
Nota
Un conmutador de capa 3 pueden tener una direccin IP asignada a cada puerto enrutado y SVI. El nmero de enrutado
puertos y SVI que se pueden configurar no est limitado por software. Sin embargo, la interrelacin entre
este nmero y el nmero y el volumen de funciones que se ejecutan pueden tener un impacto en la CPU
utilizacin debido a limitaciones de hardware. Para optimizar la memoria del sistema para el enrutamiento, utilice el sdm prefieren
enrutamiento comando de configuracin global cuando se ejecuta la base o IP servicios IP conjunto de caractersticas.
Para dar soporte a interfaces de VLAN, crear y configurar las VLAN en la pila de conmutadores o switch, y asignar
Pertenencia a la VLAN a la capa 2 interfaces. Para obtener ms informacin, consulte Captulo 16, "Configuracin de
VLAN ".
Configuracin de
direccionamiento
IP para configurar el enrutamiento IP es asignar direcciones IP a Capa 3 interfaces de red para
Una tarea necesaria
permitir a las interfaces y permitir la comunicacin con los hosts de esas interfaces que utilizan IP. Estos
secciones describen cmo configurar diversas funciones de direccionamiento IP. Asignacin de direcciones IP a la
Se requiere la interfaz; los otros procedimientos son opcionales.
Nota
En los interruptores que ejecutan el conjunto de funciones de base LAN, slo se puede asignar una direccin IP a un SVI y
configurar
una ruta de unidifusin esttica en la interfaz. Otras configuraciones no son compatibles.
45-6
OL-29703-01
Captulo 45
Caracterstica
Direccin IP
Define Ninguno.
ARP
Direccin de difusin IP
Habilitado.
Puerta de enlace
predeterminada IP
Dirigidas por IP broadcast
Desactivado.
Dominio IP
Si una direccin de ayudante se define o protocolo de datagramas de usuario (UDP) inundaciones est configurado, UDP
reenvo est habilitado en los puertos por defecto.
Cualquier-local-emisin: Desactivado.
Protocolo Spanning Tree (STP): Desactivado.
Turbo-inundacin: Disabled.
Direccin auxiliar IP
Desactivado.
Host IP
Desactivado.
PDRI
Desactivado.
Predeterminados cuando habilitadas:
Preferencia: 0.
ARP de proxy IP
Habilitado.
Enrutamiento IP
Desactivado.
Subnet-cero IP
Desactivado.
45-7
Captulo 45
Configuracin de direccionamiento IP
Una interfaz puede tener una direccin IP primaria. Una mscara identifica los bits que indican el nmero de red
en una direccin IP. Cuando se utiliza la mscara de subred de una red, la mscara se le conoce como una mscara de subred.
Para recibir un nmero de red asignado, pngase en contacto con su proveedor de servicios de Internet.
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar una direccin IP y una mscara de red para
una interfaz de capa 3:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no switchport
Paso 4
Paso 5
no shutdown
Paso 6
fin
Paso 7
show ip route
show ip interface [Interface-id]
show interface running-config [Interface-id]
Paso 8
En los interruptores que ejecutan la imagen base LAN, slo se puede asignar una direccin IP a un SVI y luego
configurar una ruta esttica para el interruptor SVI.The soporta 16 rutas estticas configuradas por el usuario. Consulte la
Seccin "Configuracin de rutas estticas Unicast" en la pgina 45-94. No hay otras configuraciones de enrutamiento son
apoyado.
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip subnet-cero
Paso 3
fin
Habilitar el uso de la subred cero para las direcciones de interfaz y las actualizaciones de
enrutamiento.
Vuelva al modo EXEC privilegiado.
Paso 4
show running-config
Verifique su entrada.
Paso 5
45-8
OL-29703-01
Captulo 45
Utilice el no ip subnet-cero comando de configuracin global para restablecer el valor predeterminado y desactivar el uso de
subred cero.
Figura 45-2
128.0.0.0/8
128.20.4.1
128.20.0.0
128.20.1.0
Sin clases IP
128.20.3.0
128.20.2.0
128.20.4.1
45749
Anfitrin
45-9
Captulo 45
Configuracin de direccionamiento IP
Figura 45-3
128.0.0.0/8
128.20.4.1
128.20.0.0
Cubo Bit
128.20.1.0
128.20.3.0
128.20.2.0
128.20.4.1
45748
Anfitrin
Para evitar que el interruptor de envo de paquetes destinados a subredes no reconocidos a la mejor superred
ruta posible, se puede desactivar el comportamiento de enrutamiento sin clase.
Comenzando en el modo EXEC privilegiado, siga estos pasos para deshabilitar el enrutamiento sin clases:
Comando
Propsito
Paso 1
configure terminal
Paso 2
no ip classless
Paso 3
fin
Paso 4
show running-config
Verifique su entrada.
Paso 5
Para restaurar el valor por defecto y tienen los paquetes de reenvo interruptores destinados a una subred de una red sin
red de rutas por defecto para la mejor ruta posible superred, utilice el ip sin clases configuracin global
de comandos.
En una pila de conmutadores, la comunicacin de red utiliza una nica direccin MAC y la direccin IP de la pila.
La direccin local o la direccin MAC se conoce como direccin de enlace de datos, ya que se encuentra en el enlace de datos
seccin de capa (Capa 2) de la cabecera del paquete y es ledo por enlace de datos (Capa 2) dispositivos. Para comunicarse
con un dispositivo de Ethernet, el software debe conocer la direccin MAC del dispositivo. El proceso de
aprender la direccin MAC de una direccin IP se denomina resolucin de la direccin. El proceso de aprendizaje de la
Direccin IP de la direccin MAC se denomina resolucin de direcciones inverso.
45-10
OL-29703-01
Captulo 45
Address Resolution Protocol (ARP) se utiliza para asociar la direccin IP con direcciones MAC. Tomar un
Direccin IP como entrada, ARP aprende la direccin MAC asociada y luego guarda la direccin IP / MAC
asociacin de direcciones en una cach ARP para una recuperacin rpida. A continuacin, el datagrama IP se encapsula en un
marco y enviada a travs de la red de capa de enlace. Peticiones de encapsulacin de datagramas IP y ARP o
respuestas sobre IEEE 802 redes distintas de Ethernet se especifican en el Protocolo de acceso de subred
(SNAP).
Proxy ARP ayuda hosts sin tablas de enrutamiento aprenden las direcciones MAC de los hosts en otras redes
o subredes. Si el interruptor (router) recibe una solicitud ARP para un host que no est en la misma interfaz
como el remitente de la peticin ARP, y si el router tiene todos sus rutas al host a travs de otras interfaces,
que genera un paquete ARP de proxy dando su propia direccin de enlace de datos local. El servidor que envi la ARP
solicitud enva sus paquetes al router, que los reenva al husped deseado.
El interruptor tambin utiliza la direccin de Protocolo de resolucin (RARP), que funciona igual que
ARP hace, excepto que los paquetes RARP solicitar una direccin IP en lugar de una direccin MAC local. Utilizando
RARP requiere un servidor RARP en el mismo segmento de red que la interfaz del router. Utilice el ip
rarp-servidor Direccin comando de configuracin de interfaz para identificar el servidor.
Para obtener ms informacin acerca de RARP, consulte la Cisco IOS Gua de configuracin Fundamentos de configuracin,
Soltar 12.4.
Puede realizar estas tareas para configurar la resolucin de direcciones:
Comando
Propsito
Paso 1
configure terminal
Paso 2
45-11
Captulo 45
Configuracin de direccionamiento IP
Comando
Propsito
Paso 3
Paso 4
interfaz interface-id
Paso 5
Paso 6
fin
Paso 7
Paso 8
espectculo arp
o
show ip arp
Paso 9
Para eliminar una entrada de la cach ARP, utilice el no arp La direccin IP de tipo direccin_hardware mundial
comando de configuracin. Para eliminar todas las entradas no estticos desde la cach ARP, utilice el clear arp-cache
comando EXEC privilegiado.
Establecer ARP
encapsulacin
Por defecto, Ethernet ARP encapsulacin (representado por el arpa palabra clave) est habilitado en una interfaz IP.
Puede cambiar los mtodos de encapsulacin de SNAP si es requerido por su red.
Comenzando en el modo EXEC privilegiado, siga estos pasos para especificar el tipo de encapsulacin ARP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para desactivar un tipo de encapsulado, utilice el no arpa arp o no arp complemento comando de configuracin de interfaz.
45-12
OL-29703-01
Captulo 45
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
ip del proxy-arp
Paso 4
fin
Paso 5
Paso 6
Para desactivar el ARP proxy en la interfaz, utilice la no ip del proxy-arp comando de configuracin de interfaz.
Proxy ARP
Proxy ARP, el mtodo ms comn para el aprendizaje de otras rutas, permite a un host Ethernet sin
informacin de enrutamiento para comunicarse con hosts de otras redes o subredes. El anfitrin asume que todos
anfitriones estn en la misma Ethernet local y que pueden utilizar ARP para conocer sus direcciones MAC. Si un interruptor
recibe una solicitud ARP para un host que no est en la misma red que el emisor, los evala interruptor
si tiene la mejor ruta para ese host. Si es as, enva un paquete de respuesta ARP con su propio Ethernet
Direccin MAC, y el host que envi la solicitud enva el paquete al interruptor, que remite al
husped pretendido. Proxy ARP trata a todas las redes como si son locales y realiza peticiones ARP para cada
Direccin IP.
Proxy ARP est habilitada por defecto. Para habilitarlo despus de que haya sido desactivado, consulte la "Habilitar Proxy ARP"
en la pgina 45-13. Proxy ARP funciona siempre y cuando los dems routers soportan.
Puerta de enlace
predeterminada
Otro mtodo para la localizacin de rutas es definir un router por defecto o puerta de enlace predeterminada. Todos los paquetes no
locales
son enviados a este router, que o bien rutas adecuadamente o enva un Protocolo de mensajes de control IP
(ICMP) redirigir mensaje de vuelta, la definicin de qu router local, el anfitrin debe utilizar. El switch almacena en cach la
redirigir mensajes hacia delante y cada paquete tan eficientemente como sea posible. Una limitacin de este mtodo es que
no hay manera de detectar cuando el router por defecto se ha reducido o no est disponible.
45-13
Captulo 45
Configuracin de direccionamiento IP
Comenzando en el modo EXEC privilegiado, siga estos pasos para definir una puerta de enlace predeterminada (enrutador)
cuando IP
enrutamiento est inhabilitada:
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip default-gateway La direccin IP
Paso 3
fin
Paso 4
mostrar redirecciones ip
Paso 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
irdp ip
Paso 4
IP multicast irdp
Paso 5
45-14
OL-29703-01
Captulo 45
Comando
Propsito
Paso 6
Paso 7
Paso 8
Paso 9
Paso 10 fin
Nota
Un paquete de difusin dirigida se enva a una red especfica o una serie de redes. Una difusin dirigida
direccin incluye los campos de red o subred.
Tambin puede limitar la difusin, unicast, y trfico de multidifusin de capa 2 interfaces utilizando el
-control de tormentas comando de configuracin de interfaz para ajustar los niveles de supresin de trfico. Para obtener ms
informacin,
ver Captulo 32, "Configuracin de Control de Trfico basado en puertos."
Los routers proporcionan cierta proteccin contra las tormentas de broadcast, al limitar su grado en el cable local.
Bridges (incluyendo puentes inteligentes), ya que son dispositivos de Capa 2, emisiones a plazo a todos
segmentos de red, propagando de este modo las tormentas de broadcast. La mejor solucin para el problema tormenta de difusin
es utilizar un esquema de direccin de difusin nica en una red. En la mayora de las implementaciones de IP modernas, puede
establecer la direccin que se utilizar como la direccin de difusin. Muchas implementaciones, incluyendo el de la
cambiar, apoyar varios esquemas de direccionamiento para la transmisin de mensajes de difusin.
Lleve a cabo las tareas en estas secciones para que estos esquemas:
45-15
Captulo 45
Configuracin de direccionamiento IP
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Nota
Paso 4
Salida
Paso 5
ip forward-protocol {Udp [puerto] | nd | sdns} Especificar qu protocolos y puertos de los delanteros router cuando
reenvo de paquetes de difusin.
Paso 6
fin
Paso 7
o
show running-config
Paso 8
Utilice el no ip dirigido a la radiodifusin comando de configuracin de interfaz para deshabilitar la traduccin de las indicaciones
transmitido a las emisiones fsicas. Utilice el no ip forward-protocol comando de configuracin global para
quitar un protocolo o puerto.
45-16
OL-29703-01
Captulo 45
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
ip helper-address Direccin
Paso 4
Salida
Paso 5
ip forward-protocol {Udp [puerto] | nd | sdns} Especifique qu protocolos de los delanteros del router cuando envian
difundir paquetes.
Paso 6
fin
Paso 7
o
show running-config
Paso 8
La direccin IP de difusin ms popular (y por defecto) es una direccin que consiste en todos los
(255.255.255.255). Sin embargo, el conmutador puede ser configurado para generar cualquier forma de direccin de difusin IP.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar la direccin de difusin IP en una interfaz:
45-17
Captulo 45
Configuracin de direccionamiento IP
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
IP broadcast-address La direccin IP
Paso 4
fin
Paso 5
Paso 6
Para restaurar la direccin de difusin IP por defecto, utilice el ninguna emisin de direccin IP configuracin de la interfaz
de comandos.
Inundaciones difusiones IP
Puede permitir que las transmisiones IP a ser inundadas a travs de su red interna de una forma controlada mediante el uso de
la base de datos creada por la STP puente. Con esta funcin tambin evita bucles. Para apoyar esta
capacidad, puente debe estar configurado en cada interfaz que es participar en la inundacin. Si la reduccin de
no est configurada en una interfaz, todava puede recibir emisiones. Sin embargo, la interfaz nunca reenva
transmite lo recibe, y el router no utiliza la interfaz para enviar transmisiones recibidas en un
interfaz diferente.
Los paquetes que se envan a una nica direccin de red mediante el mecanismo de ayudante-direccin IP puede ser
inundado. Slo se enva una copia del paquete en cada segmento de la red.
Para ser considerado para las inundaciones, los paquetes deben cumplir con estos criterios. (Tenga en cuenta que estas son las
mismas condiciones
utilizado para considerar el reenvo de paquetes utilizando direcciones IP de ayuda.)
El paquete debe ser una emisin a nivel de MAC.
El paquete debe ser un TFTP, DNS, Tiempo, NetBIOS, ND, o de paquetes BOOTP, o un UDP especificado por
la ip forward-protocol udp comando de configuracin global.
El (TTL) de valor tiempo de vida del paquete debe ser al menos dos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip forward-protocol spanning-tree
45-18
OL-29703-01
Captulo 45
Comando
Propsito
Paso 3
fin
Paso 4
show running-config
Verifique su entrada.
Paso 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip forward-protocol turbo-inundacin
Paso 3
fin
Paso 4
show running-config
Verifique su entrada.
Paso 5
Para desactivar esta funcin, utilice el no ip forward-protocol turbo-inundacin comando de configuracin global.
Comando
Propsito
clear arp-cache
Retire una o todas las entradas del nombre de host y la memoria cach de direcciones.
Usted puede ver las estadsticas especficas, tales como el contenido de las tablas de enrutamiento IP, cachs y bases de datos; la
accesibilidad de nodos; y la ruta de enrutamiento que los paquetes estn tomando a travs de la red. Tabla 45-3 listas
ordena al EXEC privilegiado para la visualizacin de estadsticas de IP.
45-19
Captulo 45
Tabla 45-3
Comando
Propsito
espectculo arp
show hosts
mostrar los alias IP
show ip arp
show ip irdp
mostrar redirecciones ip
show ip route [Direccin [mscara]] | [protocolo]
Comando
Propsito
Paso 1
configure terminal
Paso 2
enrutamiento IP
Paso 3
enrutador ip_routing_protocol
Paso 4
fin
Paso 5
show running-config
Paso 6
45-20
OL-29703-01
Captulo 45
Ahora puede configurar los parmetros de los protocolos de enrutamiento seleccionados como se describe en las siguientes
secciones:
Configuracin de RIP, pgina 45-21
Configuracin de
RIP
El Protocolo de informacin de enrutamiento (RIP) es un protocolo de gateway interior (IGP) creada para su uso en pequeas,
redes homogneas. Es un protocolo de enrutamiento por vector de distancia que utiliza datagramas de difusin usuario
Paquetes de datos (UDP) Protocolo para el intercambio de informacin de enrutamiento. El protocolo se documenta en RFC 1058.
Puede encontrar informacin detallada acerca de RIP en Principios bsicos de enrutamiento IP, publicado por Cisco Press.
Nota
RIP es el nico protocolo de enrutamiento con el apoyo del conjunto de funciones de base IP; otros protocolos de enrutamiento
requieren el
interruptor o maestra de la pila de estar ejecutando el IP servicios conjunto de caractersticas.
El uso de RIP, el conmutador enva actualizaciones de informacin de enrutamiento (anuncios) cada 30 segundos. Si un router
no recibir una actualizacin de otro router durante 180 segundos o ms, que marca las rutas servidas por
ese router como inutilizables. Si an no hay actualizacin despus de 240 segundos, el router elimina toda la tabla de enrutamiento
entradas para el router no actualizacin.
RIP utiliza la cantidad de saltos en evaluar el valor de las diferentes rutas. El nmero de saltos es el nmero de routers que puede
ser atravesado en una ruta. Una red conectada directamente tiene un nmero de saltos de cero; una red con un nmero de saltos
de 16 es inalcanzable. Este pequeo rango (0 a 15) hace que RIP inadecuado para grandes redes.
Si el router tiene una ruta de red predeterminada, RIP anuncia una ruta que conecta el router al pseudonetwork
0.0.0.0. La red 0.0.0.0 no existe; se trata por RIP como una red para implementar el defecto
funcin de enrutamiento. El switch anuncia la red por defecto si el impago ha sido aprendida por RIP o si el router
tiene un gateway de ltimo recurso y RIP est configurado con una mtrica por defecto. RIP enva actualizaciones a la
interfaces en redes especificadas. Si no se especifica la red de una interfaz, que no se anuncia en cualquier
Actualizacin RIP.
Estas secciones contienen esta informacin de configuracin:
45-21
Captulo 45
Configuracin de RIP
Caracterstica
Resumen Auto
Habilitado.
Default-information originate
Desactivado.
IP RIP activa
Horizonte dividido IP
Vecino
Red
Ninguno especifica.
Lista Offset
Desactivado.
Retardo a la salida
0 milisegundos.
Timers bsica
Actualizacin: 30 segundos.
Validar-update-fuente
Habilitado.
Version
Para configurar RIP, se habilita el enrutamiento RIP para una red y opcionalmente configurar otros parmetros. En
el Catalyst 3560-E Catalyst 3750-X y 3560-X interruptores, comandos de configuracin RIP 3750-E y
son ignorados hasta que configure el nmero de red.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar y configurar RIP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
enrutamiento IP
Paso 3
router rip
45-22
OL-29703-01
Captulo 45
Paso 4
Comando
Propsito
Asociar una red con un proceso de enrutamiento RIP. Puede especificar mltiples
red los comandos. RIP actualizaciones de enrutamiento se envan y reciben a travs de
interfaces de slo en estas redes.
Nota
Paso 5
Paso 6
Paso 7
vecino La direccin IP
-El elemento de retencin tiempo antes de que una ruta se elimina de la enrutamiento
tabla. El valor predeterminado es de 180 segundos.
Paso 8
versin {1 | 2}
Paso 9
Paso 10 no validate-update-fuente
Paso 12 fin
(Opcional) Agregue retraso interpacket para las actualizaciones RIP que se envan.
De forma predeterminada, los paquetes en una actualizacin RIP mltiples paquetes han ningn
retraso aadido
entre paquetes. Si va a enviar paquetes a un dispositivo de menor velocidad, que
puede aadir un retardo interpacket en el intervalo de 8 a 50 milisegundos.
Vuelva al modo EXEC privilegiado.
45-23
Captulo 45
Configuracin de RIP
Para desactivar el proceso de enrutamiento RIP, utilice el no router rip comando de configuracin global.
Para visualizar los parmetros y el estado actual del proceso de protocolo de enrutamiento activo, utilice el show ip
protocolos comando EXEC privilegiado. Utilice el mostrar ip rip database comando EXEC privilegiado a
visualizacin entradas de direcciones de resumen en la base de datos RIP.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
Paso 7
Para restaurar la autenticacin de texto no cifrado, utilice el ningn modo de autenticacin ip rip configuracin de la interfaz
de comandos. Para evitar la autenticacin, utilice el sin autenticacin ip rip-llavero interfaz
comando de configuracin.
Nota
En general, la desactivacin de horizonte dividido no es recomendable a menos que est seguro de que su aplicacin
requiere para anunciar adecuadamente rutas.
45-24
OL-29703-01
Captulo 45
Si desea configurar una interfaz corriendo RIP para anunciar un conjunto de direcciones IP local se resume en una
servidor de acceso a la red de clientes de acceso telefnico, utilice el ip resumen direccin rip configuracin de la interfaz
de comandos.
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
ip resumen direccin rip Direccin IP Mscara de red IP- Configure la direccin IP para ser resumida y la IP
mscara de red.
Paso 5
Paso 6
fin
Paso 7
Paso 8
Para deshabilitar la sumarizacin IP, utilice el hay resumen direccin ip rip comando de configuracin del router.
En este ejemplo, el mayor neto es 10.0.0.0. La direccin de resumen 10.2.0.0 anula el autosummary
direccin de 10.0.0.0 10.2.0.0 para que se anuncia fuera de interfaz de puerto Gigabit Ethernet 2, y 10.0.0.0 es
no se anuncia. En el ejemplo, si la interfaz se encuentra todava en el modo de capa 2 (por defecto), deber introducir un no
switchport comando de configuracin de interfaz antes de entrar en la direccin ip configuracin de la interfaz
de comandos.
Nota
Si horizonte dividido est habilitada, ni direcciones de resumen autosummary ni de interfaz (los configurados con
la ip resumen direccin rip comando de configuracin de router) se anuncian.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
45-25
Captulo 45
Configuracin de RIP
Configuracin de la divisin
Horizonte
Routers conectados a difunden tipo de redes IP y el uso de los protocolos de enrutamiento vector-distancia normalmente
utilizar el mecanismo de horizonte dividido para reducir la posibilidad de bucles de enrutamiento. Bloques horizonte dividido
informacin sobre las rutas de que se anuncia por un router en cualquier interfaz de la que esa informacin
originado. Esta caracterstica se puede optimizar la comunicacin entre mltiples routers, especialmente cuando los enlaces son
rota.
Nota
En general, no se recomienda deshabilitar el horizonte dividido a menos que est seguro de que su aplicacin
requiere para anunciar adecuadamente rutas.
Comenzando en el modo EXEC privilegiado, siga estos pasos para desactivar el horizonte dividido en la interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
no ip split-horizonte
Paso 5
fin
Paso 6
Paso 7
Para activar el mecanismo de horizonte dividido, utilice el ip split-horizonte comando de configuracin de interfaz.
45-26
OL-29703-01
Captulo 45
Configuracin de
OSPF
Esta seccin describe brevemente cmo configurar Open Shortest Path First (OSPF). Para una completa
Descripcin de los comandos OSPF, consulte el captulo "Comandos de OSPF" del Comando Cisco IOS IP
, Volumen 2 de 3: Protocolos de enrutamiento, versin 12.4.
Nota
OSPF clasifica diferentes medios de comunicacin en las redes de difusin, no es de difusin, y de punto a punto. El conmutador
soportes de difusin (Ethernet, Token Ring y FDDI) y las redes de punto a punto (interfaces Ethernet
configurado como enlaces punto a punto).
OSPF es un protocolo de gateway interior (IGP) diseado expresamente para redes IP, soporte IP
subredes y etiquetado de la informacin de enrutamiento derivados externamente. OSPF tambin permite paquete
autenticacin y utiliza multidifusin IP al enviar y recibir paquetes. La implementacin de Cisco
soporta RFC 1253, OSPF base de informacin de gestin (MIB).
La aplicacin Cisco cumple con las especificaciones OSPF versin 2 con estas caractersticas clave:
Rutas reconocidas a travs de cualquier protocolo de enrutamiento IP pueden ser redistribuidos en otro protocolo de
enrutamiento IP.
A nivel intradominio, esto significa que OSPF puede importar rutas aprendidas a travs de EIGRP y RIP.
Rutas OSPF tambin pueden ser exportados a RIP.
Texto sin formato y autenticacin MD5 entre routers vecinos, dentro de un rea es compatible.
Parmetros de la interfaz de enrutamiento configurables incluyen el coste de salida de la interfaz, intervalo de retransmisin,
retardo de la interfaz de transmisin, la prioridad del router, router y muertos hola intervalos, y la clave de autenticacin.
OSPF normalmente requiere la coordinacin entre muchos routers internos, routers de borde de rea (ABR)
conectado a mltiples reas, y enrutadores de lmite de sistema autnomo (ASBRs). El mnimo
configuracin usara todos los valores por defecto de los parmetros, sin autenticacin e interfaces asignadas a las reas.
Si personaliza el entorno, debe asegurarse de configuracin coordinada de todos los routers.
Estas secciones contienen esta informacin de configuracin:
45-27
Captulo 45
Configuracin de OSPF
Caracterstica
Parmetros de interfaz
Area
Costo Auto
100 Mb / s.
Default-information originate
Desactivado. Cuando est activado, el ajuste mtrica por defecto es 10, y el tipo de ruta externa
predeterminado es de tipo 2.
Armarios empotrados, traduccin mtrica automtica, segn corresponda para cada protocolo de
enrutamiento.
dist1 (todas las rutas dentro de un rea): 110.
dist2 (todas las rutas de una zona a otra): 110.
y dist3 (rutas desde otros dominios de enrutamiento): 110.
Desactivado. Todos los anuncios de salida de estado de enlace (LSA) se inundan a la interfaz.
Desactivado.
Habilitado.
Vecino
Ninguno especifica.
Zona Red
Desactivado.
Conciencia NSF1
Enabled2. Permite conmutadores de nivel 3 para continuar el envo de paquetes de una vecina
Enrutador NSF-capaz durante los cambios de hardware o software.
Capacidad de NSF
Desactivado.
Nota
Router ID
Direccin Resumen
Desactivado.
240 segundos.
45-28
OL-29703-01
Captulo 45
Tabla 45-5
Caracterstica
Enlace virtual
Nota
OSPF para enrutado acceso slo admite una OSPFv2 y una instancia OSPFv3 con un total combinado de
200 rutas aprendidas dinmicamente. La imagen Base IP OSPF ofrece para el acceso enrutado.
Sin embargo, estas restricciones no se aplican en este comunicado.
Con la topologa tpica (hub and spoke) en un entorno de campus, donde los armarios de cableado (radios)
estn conectados al interruptor de distribucin (hub) que reenva todo el trfico no local a la capa de distribucin,
el interruptor de armario de cableado no deber mantener una tabla de enrutamiento completa. Un diseo de mejores prcticas,
donde el
interruptor de distribucin enva una ruta por defecto en el interruptor armario de cableado para llegar Interrea y externos rutas
(Taln de OSPF o totalmente la configuracin de rea de rutas internas) deben utilizarse cuando OSPF para enrutado de acceso se
utiliza en
el armario de cableado.
Para ms detalles, consulte la "Alta disponibilidad Campus Red Capa de Diseo-Enrutada Acceso mediante
EIGRP o OSPF "documento.
45-29
Captulo 45
Configuracin de OSPF
Despus de un cambio de maestra de la pila, el nuevo maestro enva una seal a la vecina OSPF NSF NSF-consciente
dispositivos. Un dispositivo reconoce esta seal en el sentido de que no debe restablecer la relacin de vecino con
la pila. A medida que el maestro de la pila NSF-capaces recibe seales de otras rutas en la red, comienza
para reconstruir su lista de vecinos.
Cuando se restablecen las relaciones de vecindad, la maestra de la pila NSF-capaz vuelve a sincronizar su
base de datos con sus vecinos-NSF conscientes, y la informacin de enrutamiento se intercambia entre el OSPF
vecinos. El nuevo maestro de pila utiliza esta informacin de enrutamiento para eliminar rutas rancios, para actualizar la
base de datos de enrutamiento de la informacin (RIB), y para actualizar la base de datos de reenvo (FIB) con el nuevo
informacin. Los protocolos OSPF convergen luego totalmente.
Nota
OSPF NSF requiere que todos los dispositivos de red vecinos sean NSF-consciente. Si un router-NSF capaz
descubre vecinos conscientes no NSF en un segmento de red, deshabilita las capacidades de la NSF para ese segmento.
Otros segmentos de red donde todos los dispositivos son NSF-consciente o NSF-capaz continan proporcionando NSF
capacidades.
Utilice el nsf Comando de configuracin de enrutamiento OSPF para habilitar el enrutamiento OSPF NSF. Utilice el show ip ospf
comando privilegiado EXEC para verificar que est activado.
Para obtener ms informacin, consulte Cisco sin escalas Forwarding:
http://www.cisco.com/en/US/docs/ios/ha/configuration/guide/ha-nonstp_fwdg.html
Nota
NSF no es compatible con las interfaces configuradas para el protocolo Hot Standby Router (HSRP).
45-30
OL-29703-01
Captulo 45
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
(Opcional) Active las operaciones de Cisco NSF para OSPF. El hacer cumplir
mundial palabra clave cancela reinicio NSF cuando no NSF-consciente
vecina dispositivos de red se detectan.
Paso 4
Paso 5
fin
Paso 6
show ip protocols
Paso 7
Para finalizar un proceso de enrutamiento OSPF, utilice el sin router ospf proceso de Identificacin comando de configuracin
global.
Este ejemplo muestra cmo configurar un proceso de enrutamiento OSPF y asignarle un nmero de proceso de 109:
Switch (config) # router ospf 109
Switch (config-router) # red de rea 255.255.255.0 131.108.0.0 24
45-31
Captulo 45
Configuracin de OSPF
Configuracin de OSPF
Interfaces
Puede utilizar el ip ospf Comandos de configuracin de interfaz para modificar OSPF interfaz especfica
parmetros. Usted no est obligado a modificar alguno de estos parmetros, pero algunos parmetros de la interfaz (hola
intervalo, intervalo muerto, y la clave de autenticacin) deben ser consistentes a travs de todos los routers en un adjunto
red. Si modifica estos parmetros, asegrese de que todos los routers de la red tienen valores compatibles.
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
ip ospf costo
Paso 4
Paso 5
Paso 6
Paso 7
Paso 8
Paso 9
(Opcional) Asigne una contrasea para ser utilizado por el vecino OSPF
routers. La contrasea puede ser cualquier cadena de teclado entrpersonajes hasta 8 bytes de longitud. Todos los routers vecinos sobre la
misma red debe tener la misma contrasea para el intercambio de OSPF
informacin.
Paso 12 fin
45-32
OL-29703-01
Captulo 45
Comando
Propsito
Opciones es 0x52
Opciones LLS es 0x1 (LR)
Cuando ambas lneas aparecen, el conmutador vecino es NSF
conscientes.
Utilice el no forma de estos comandos para eliminar el valor del parmetro configurado o volver a la
valor por defecto.
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
zona area-id de autenticacin de mensaje de digerir (Opcional) Habilite la autenticacin MD5 en la zona.
Paso 5
(Opcional) Defina un rea como un rea de rutas internas. El no-summary palabra clave
impide un ABR de envo de publicidad de enlaces resumen en el
rea de rutas internas.
45-33
Captulo 45
Configuracin de OSPF
Paso 6
Comando
Propsito
(Opcional) Define un rea como un rea no exclusiva de rutas internas. Cada enrutador
dentro de la misma rea deben estar de acuerdo que la zona es NSSA. Seleccione una de
estas palabras clave:
Paso 7
Paso 8
fin
Paso 9
show ip ospf [Proceso-id [area-id]] base de datos Mostrar listas de informacin relacionados con la base de datos OSPF de un
enrutador especfico.
Paso 10 copy running-config startup-config
Utilice el no forma de estos comandos para eliminar el valor del parmetro configurado o para volver a la
valor por defecto.
Ruta resumen: Cuando la redistribucin de rutas de otros protocolos como se describe en la "Utilizacin
Mapas de ruta para redistribuir la seccin de informacin de enrutamiento "en la pgina 45-96, cada ruta se anuncia
individualmente en un LSA externo. Para ayudar a disminuir el tamao de la base de datos de estado de enlace OSPF, puede
utilizar el Resumen de direccin comando de configuracin del router para anunciar un nico router para toda la
rutas redistribuidas incluidos en una direccin de red especificada y la mscara.
Los enlaces virtuales: En OSPF, todas las reas deben estar conectadas a un rea de red troncal. Usted puede establecer un
virtual
enlace en caso de rotura de la columna vertebral-la continuidad mediante la configuracin de dos zona fronteriza Routers como
criterios de valoracin
de un enlace virtual. La informacin de configuracin incluye la identidad del otro punto final virtual (la
otra ABR) y el enlace nonbackbone que los dos routers tienen en (la zona de trnsito comn). Virtual
enlaces no se pueden configurar a travs de un rea de rutas internas.
Ruta predeterminada: Cuando se configura especficamente redistribucin de rutas en un enrutamiento OSPF
dominio, la ruta se convierte automticamente en un router de lmite de sistema autnomo (ASBR). Usted puede
forzar el ASBR para generar una ruta por defecto en el dominio de enrutamiento OSPF.
Nombres para su uso en todo OSPF Domain Name Server (DNS) espectculo EXEC privilegiado comando muestra
hace que sea ms fcil identificar un router de mostrarla por ID router o ID vecino.
Mtricas predeterminado: OSPF calcula la mtrica OSPF para una interfaz de acuerdo con el ancho de banda de
la interfaz. La mtrica se calcula como ref-pc dividido por el ancho de banda, en donde ref es 10 por defecto,
y ancho de banda (BW) es especificado por el ancho de banda comando de configuracin de interfaz. Para mltiples
vnculos con gran ancho de banda, puede especificar un nmero mayor de diferenciar el costo de esos vnculos.
45-34
OL-29703-01
Captulo 45
La distancia administrativa es una clasificacin de la fiabilidad de una fuente de informacin de enrutamiento, un entero
entre 0 y 255, con un valor ms alto significa una calificacin menor confianza. Una distancia administrativa de
255 significa que la fuente de informacin de enrutamiento no se puede confiar en absoluto y debe ser ignorado. Usos OSPF
tres distancias administrativas diferentes: las rutas dentro de un rea (Interrea), rutas a otra rea
(Interrea), y rutas de otro dominio de enrutamiento aprendidas a travs de la redistribucin (externo). Usted
puede cambiar cualquiera de los valores de distancia.
Interfaces de pasivos: Porque interfaces entre dos dispositivos en una red Ethernet representan slo una
segmento de red, para evitar OSPF de envo de paquetes de saludo para la interfaz de envo, debe
configurar el dispositivo de envo para ser una interfaz pasiva. Ambos dispositivos pueden identificarse unos a otros a travs de
el paquete hello para la interfaz de recepcin.
Temporizadores clculo de la ruta: Puede configurar el tiempo de retardo entre el momento en OSPF recibe una topologa
cambiar y cuando empieza la ruta ms corta primero (SPF) de clculo y el tiempo de espera entre dos
Clculos SPF.
Entrar cambios vecinos: Se puede configurar el router para enviar un mensaje de syslog cuando un OSPF
cambios en el estado vecino, proporcionando una vista de alto nivel de los cambios en el router.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar estos parmetros OSPF:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
(Opcional) Fuerza la ASBR para generar una ruta por defecto en el OSPF
dominio de enrutamiento. Los parmetros son opcionales.
Paso 6
Paso 7
(Opcional) Especifique un rango de direcciones para que una sola ruta ser
anunciado. Utilice este comando solamente con routers de borde de rea.
Paso 8
ospf distancia {[Inter-rea dist1] [Inter-rea (Opcional) Cambie los valores de distancia de OSPF. La distancia por defecto
dist2] [Externa dist3]}para cada tipo de ruta es 110 El rango es de 1 a 255.
Paso 9
Paso 10 temporizadores acelerador spf spf-delay spf-Holdtime (Opcional) Configure los temporizadores de clculo de la ruta.
spf-espera
45-35
Captulo 45
Configuracin de OSPF
Comando
Propsito
Paso 12 fin
Paso 13 show ip ospf [Proceso-id [area-id]] base de datos Mostrar listas de informacin relacionados con la base de datos OSPF de un
enrutador especfico. Para algunas de las opciones de palabras clave, consulte la "Monitoreo
Seccin de OSPF "en la pgina 45-37.
Paso 14 copy running-config startup-config
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Para volver al valor predeterminado, utilice la hay temporizadores lsa-grupo-estimulacin comando de configuracin del router.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz loopback 0
Paso 3
45-36
OL-29703-01
Captulo 45
Comando
Propsito
Paso 4
fin
Paso 5
show ip interface
Paso 6
Utilice el ninguna interfaz loopback 0 comando de configuracin global para deshabilitar la interfaz de bucle invertido.
Monitorizacin OSPF
Usted puede ver las estadsticas especficas tales como el contenido de las tablas de enrutamiento IP, cachs y bases de datos.
Tabla 45-6 enumera algunos de los comandos EXEC privilegiados para la visualizacin de estadsticas. Para obtener ms show ip
ospf
base de datos comando EXEC privilegiado opciones y explicaciones de los campos en la pantalla resultante, consulte
la Cisco IOS IP Comando, Volumen 2 de 3: Protocolos de enrutamiento, versin 12.4.
Tabla 45-6
Comando
Propsito
Configuracin de
EIGRP
IGRP mejorado (EIGRP) es una versin mejorada de la propiedad de Cisco IGRP. EIGRP utiliza el mismo
algoritmo de vector de distancia y distancia mientras IGRP; sin embargo, las propiedades de convergencia y
la eficiencia operativa de EIGRP se mejoran significativamente.
La convergencia de la tecnologa emplea un algoritmo denominado Algoritmo de actualizacin Diffusing
(DUAL), lo que garantiza un funcionamiento libre de bucles a cada instante durante todo un clculo de rutas y
permite que todos los dispositivos que participan en un cambio de topologa para sincronizar al mismo tiempo. Los routers que no
son
afectado por los cambios de topologa no estn involucrados en nuevos clculos.
45-37
Captulo 45
Configuracin de EIGRP
IP EIGRP proporciona mayor ancho de red. Con RIP, el mayor ancho posible de la red es
15 saltos. Debido a que la mtrica de EIGRP es lo suficientemente grande como para soportar miles de saltos, la nica barrera para
la expansin de la red es el contador de saltos de capa de transporte. EIGRP incrementa el campo de control de transporte
slo cuando un paquete IP ha recorrido 15 routers y el siguiente salto hacia el destino se conoci a travs de
EIGRP. Cuando se utiliza una ruta RIP como el siguiente salto hacia el destino, el campo de control de transporte es
incrementado como de costumbre.
EIGRP ofrece estas caractersticas:
Convergencia rpida.
Las actualizaciones incrementales cuando el estado de un destino cambia, en lugar de enviar todo el contenido
de la tabla de enrutamiento, minimizar el ancho de banda requerido para los paquetes EIGRP.
Menos uso de la CPU porque los paquetes de actualizaciones completas no tienen que ser procesados cada vez que se
reciben.
Mecanismo de descubrimiento de vecinos independiente del protocolo para aprender acerca de los routers vecinos.
Vecino descubrimiento y recuperacin es el proceso que los routers utilizan para aprender de forma dinmica de otros routers
en sus redes conectadas directamente. Los routers tambin deben descubrir cuando sus vecinos se convierten en
inalcanzable o inoperante. Vecino descubrimiento y la recuperacin se logra con pocos gastos por
enviando peridicamente pequeos paquetes hello. Mientras se reciben paquetes de saludo, el Cisco IOS
software puede aprender que un vecino est vivo y funcionando. Cuando se determina este estado, el
routers vecinos pueden intercambiar informacin de enrutamiento.
La mquina de estados finitos DUAL encarna el proceso de decisin para todos los clculos de ruta. Realiza un seguimiento
todas las rutas anunciadas por todos los vecinos. DUAL utiliza la informacin de distancia (conocido como una mtrica) para
seleccionar, rutas sin bucles eficientes. DUAL selecciona las rutas para ser insertado en una tabla de enrutamiento basado en
sucesores factibles. Un sucesor es un router vecino utilizada para el reenvo de paquetes que tiene una
ruta de menor costo a un destino que est garantizado para no ser parte de un bucle de enrutamiento. Cuando no hay
sucesores factibles, pero hay vecinos que anuncian el destino, debe ocurrir un reclculo.
Este es el proceso mediante el cual se determina un nuevo sucesor. La cantidad de tiempo que se necesita para volver a calcular
la ruta afecta el tiempo de convergencia. Reclculo es intensivo del procesador; es ventajoso
evitar reclculo si no es necesario. Cuando se produce un cambio en la topologa, DUAL pruebas para posible
sucesores. Si hay sucesores factibles, utiliza los que encuentre para evitar reclculo innecesaria.
El mdulos de protocolo dependiente son responsables de tareas especficas del protocolo de capa de red. Un
ejemplo es el mdulo IP EIGRP, que es responsable de enviar y recibir paquetes EIGRP
que estn encapsulados en IP. Tambin es responsable de analizar los paquetes EIGRP e informar DUAL
de la nueva informacin recibida. EIGRP DUAL pide para tomar decisiones de enrutamiento, pero los resultados son
almacenada en la tabla de enrutamiento IP. EIGRP es tambin responsable de la redistribucin de las rutas aprendidas por otra
Protocolos de enrutamiento IP.
45-38
OL-29703-01
Captulo 45
Nota
Para habilitar EIGRP, el conmutador o pila maestro debe estar ejecutando el IP servicios de conjunto de
caractersticas.
Caracterstica
Resumen Auto
Default-information
Las rutas exteriores son aceptadas e informacin por defecto se pasa entre los procesos de EIGRP
cuando se hace la redistribucin.
Slo las rutas conectadas y de interfaz rutas estticas pueden ser redistribuidos sin defecto
mtrica. La mtrica incluye:
Distancia
Confiabilidad: cualquier nmero entre 0 y 255 (255 representa el 100 por ciento de confiabilidad).
Carga: ancho de banda efectivo como un nmero entre 0 y 255 (255 es el 100 por ciento
de carga).
MTU: tamao mximo de unidad de transmisin de la ruta en bytes. 0 o cualquier nmero entero positivo.
EIGRP cambios de registro del vecino Desactivado. No hay cambios de adyacencia registran.
-Llavero de autenticacin IP
Modo de autenticacin IP
50 por ciento.
Intervalo de saludo IP
Para baja velocidad multiacceso de no difusin (NBMA) redes: 60 segundos; todos los dems
redes: 5 segundos.
IP-tiempo de retencin
Para las redes NBMA de baja velocidad: 180 segundos; todas las dems redes: 15 segundos.
IP horizonte dividido
Habilitado.
Direccin de resumen IP
Pesos mtricos
45-39
Captulo 45
Configuracin de EIGRP
Tabla 45-7
Caracterstica
Red
Ninguno especifica.
Conciencia NSF1
Enabled2. Permite conmutadores de nivel 3 para continuar el envo de paquetes de una vecina
Enrutador NSF-capaz durante los cambios de hardware o software.
Capacidad de NSF
Desactivado.
Nota
Offset-list
Desactivado.
Router EIGRP
Desactivado.
Establezca mtricas
Trfico en acciones
Varianza
Para crear un proceso de enrutamiento EIGRP, debe habilitar redes EIGRP y asociados. EIGRP enva
cambios a las interfaces en las redes especificadas. Si no se especifica una interfaz de red, no es
anunciados en las actualizaciones EIGRP.
Nota
Si usted tiene los routers de la red que estn configuradas para IGRP, y desea cambiar a EIGRP, que
debe designar routers de transicin que tienen tanto IGRP y EIGRP configurado. En estos casos, realizar
Los pasos 1 a 3 en la siguiente seccin y tambin ver la Seccin "Configuracin de Split Horizon" en la pgina 45-26.
Debe utilizar el mismo nmero de AS para las rutas que se redistribuirn automticamente.
45-40
OL-29703-01
Captulo 45
Nota
NSF no es compatible con las interfaces configuradas para el protocolo Hot Standby Router (HSRP).
Utilice el nsf EIGRP comando de configuracin de enrutamiento para habilitar el enrutamiento EIGRP NSF. Utilice el show ip
protocolos comando privilegiado EXEC para verificar que NSF est activado en el dispositivo. Vase el comando
referencia para esta versin para obtener informacin sobre la nsf de comandos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
nsf
Paso 4
red network-number
Paso 5
eigrp log-neighbor-changes
45-41
Captulo 45
Configuracin de EIGRP
Paso 6
Comando
Propsito
Paso 8
Paso 9
lista de desplazamiento [Access-list nmero | nombre] {En | Salida} (Opcional) Aplicar una lista de compensacin a las mtricas de enrutamiento
para aumentar
desplazamiento [Tipo nmero]mtricas entrantes y salientes a las rutas aprendidas a travs de EIGRP.
Puede limitar la lista de compensacin con una lista de acceso o una interfaz.
no auto-summary
(Opcional) Desactive la sumarizacin automtica de rutas de subred en
rutas a nivel de red.
ip resumen direccin eigrp
-sistema autnomo-nmero de mscara de direccin
Paso 10 fin
Utilice el no formas de estos comandos para deshabilitar la caracterstica o devolver el ajuste a su valor predeterminado.
Configuracin de EIGRP
Interfaces
Otros parmetros EIGRP opcionales se pueden configurar de forma interfaz.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar las interfaces de EIGRP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
45-42
OL-29703-01
Captulo 45
Comando
Propsito
Paso 5
Paso 6
no ip split-horizonte eigrp -sistema autnomo-nmero (Opcional) Desactive el horizonte dividido para permitir que la informacin de ruta
ser anunciado por un router a cabo cualquier interfaz desde la que que
informacin se origin.
Paso 8
fin
Paso 9
Utilice el no formas de estos comandos para deshabilitar la caracterstica o devolver el ajuste a su valor predeterminado.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
Salida
Paso 6
llavero nombre-de-cadena
Paso 7
clave nmero
Paso 8
key-string texto
45-43
Captulo 45
Configuracin de EIGRP
Comando
Paso 9
Propsito
aceptar la vida tiempo de inicio {Infinita | Tiempo final | duracin (Opcional) Especifique el periodo de tiempo durante el cual la clave
segundos}se pueden recibir.
El tiempo de inicio y del tiempo del fin sintaxis puede ser tanto
hh: ao ss Mes Fecha: mm o hh: mm: ss Fecha Mes
ao. El valor predeterminado es para siempre con el valor por defecto
tiempo de inicio
y la fecha ms aceptable como el 1 de enero de 1993 El
por defecto del tiempo del fin y duracin es infinito.
segundos}
Paso 11 fin
Utilice el no formas de estos comandos para desactivar la funcin o para devolver el ajuste a su valor predeterminado.
EIGRP Stub
enrutamiento
Nota
La funcin de enrutamiento EIGRP trozo, disponible en todos los conjuntos de caractersticas, reduce la utilizacin de recursos
moviendo
trfico encaminado ms cerca del usuario final.
El conjunto de funciones de base IP contiene la capacidad de enrutamiento EIGRP trozo, que slo anuncia conectado o
rutas de resumen de las tablas de enrutamiento a otros switches en la red. El conmutador utiliza EIGRP trozo
encaminamiento en la capa de acceso para eliminar la necesidad de otros tipos de anuncios de enrutamiento. Para mayor
capacidad y enrutamiento EIGRP completa, el interruptor debe estar ejecutando el IP servicios de conjunto de caractersticas. En un
cambiar de ejecutar el conjunto de funciones de base IP, si intenta configurar multi-VRF-CE y el enrutamiento EIGRP trozo en
Al mismo tiempo, no se permite la configuracin.
En una red utilizando EIGRP trozo de enrutamiento, la nica ruta permitida para el trfico IP para el usuario es a travs de un
interruptor que est configurado con el enrutamiento EIGRP trozo. El conmutador enva el trfico encaminado a interfaces que
se configuran como interfaces de usuario o est conectado a otros dispositivos.
Cuando se utiliza el enrutamiento EIGRP trozo, es necesario configurar los routers de distribucin y remotos para utilizar EIGRP
y para configurar slo el interruptor como un trozo. Slo rutas especificadas se propagan desde el interruptor. El
conmutador responde a todas las consultas de los resmenes, las rutas conectadas, y las actualizaciones de enrutamiento.
Cualquier vecino que recibe un paquete para informarle sobre el estado de cdigo auxiliar no consulta el router de zona para
cualquier
rutas y un router que tiene un compaero taln no consulta que pares. El router de zona depende de la distribucin
router para enviar los cambios apropiados a todos los compaeros.
En Figura 45-4, interruptor B est configurado como un router de zona EIGRP. Los interruptores A y C estn conectados al resto
de la WAN. Interruptor B anuncia conectados, esttico, la redistribucin, y rutas de resumen para cambiar A y C.
Interruptor B no anuncia ningn rutas aprendidas desde el interruptor A (ya la inversa).
45-44
OL-29703-01
Captulo 45
Figura 45-4
Enrutado a WAN
Interruptor A
Cambie B
Cambie C
145776
Host A
Host B
Anfitrin C
Para obtener ms informacin acerca del enrutamiento EIGRP trozo, consulte la seccin "Configuracin de EIGRP Stub
enrutamiento" de la
Cisco IOS IP Gua de configuracin, el volumen 2 de 3: Protocolos de enrutamiento, versin 12.4.
Comando
Propsito
Configuracin de
BGP
El Border Gateway Protocol (BGP) es un protocolo de pasarela exterior utilizado para configurar una interdomain
sistema de enrutamiento que garantiza el intercambio libre de bucles de informacin de enrutamiento entre autnoma
sistemas. Los sistemas autnomos se componen de routers que operan bajo la misma administracin y
que ejecutan protocolos de gateway interior (IGP), como RIP o OSPF, dentro de sus fronteras y que
interconectan utilizando un Exterior Gateway Protocol (EGP). BGP versin 4 es el estndar para EGP
enrutamiento entre en el Internet. El protocolo se define en el RFC 1163, 1267, y 1771 Usted puede encontrar
informacin detallada acerca de BGP en Internet Routing Architectures, publicado por Cisco Press, y en el
Captulo "Configuracin de BGP" en la Cisco IP y configuracin de enrutamiento IP.
45-45
Captulo 45
Configuracin de BGP
Para obtener ms informacin sobre los comandos de BGP y palabras clave, consulte la parte "Protocolos de enrutamiento IP" de la
Cisco IOS
IP Comando, Volumen 2 de 3: Protocolos de enrutamiento, versin 12.4. Para obtener una lista de comandos de BGP
que son visibles pero no apoyado por el interruptor, consulte Apndice 59, "Comandos no admitidos en
Cisco IOS Release 15.2 (1) E ".
Los routers que pertenecen al mismo sistema autnomo (AS) y que el intercambio de actualizaciones BGP corren interna
BGP (IBGP), y los routers que pertenecen a diferentes sistemas autnomos y que el intercambio de actualizaciones BGP
run externo BGP (EBGP). La mayora de los comandos de configuracin son los mismos para configurar EBGP y IBGP.
La diferencia es que las actualizaciones de enrutamiento se intercambian o bien entre los sistemas autnomos (EBGP) o
dentro de un AS (IBGP). Figura 45-5 muestra una red que ejecuta tanto EBGP y IBGP.
Figura 45-5
AS 100
AS 300
Router D
129.213.1.2
192.208.10.1
EBGP
EBGP
129.213.1.1
Router B
192.208.10.2
IBGP
175.220.212.1
Router C
175.220.1.2
74775
AS 200
Antes de intercambio de informacin con un AS externo, BGP asegura que las redes dentro del AS pueden ser
alcanzado mediante la definicin de BGP interno atisbando entre los routers en el AS y por BGP redistribuir
informacin de enrutamiento a IGPs que se ejecutan dentro del AS, como IGRP y OSPF.
Los routers que ejecutan un proceso de enrutamiento BGP se refieren a menudo como BGP altavoces. BGP utiliza el
Protocolo de Control de Transmisin (TCP) como su protocolo de transporte (especficamente el puerto 179). Dos oradores BGP
que tienen una conexin TCP entre s para intercambiar informacin de enrutamiento que se conoce como compaeros o
vecinos. En Figura 45-5, Routers A y B son iguales BGP, al igual que los routers B y C y Routers C y
D. La informacin de enrutamiento es una serie de nmeros AS que describen la ruta completa al destino
red. BGP utiliza esta informacin para construir un mapa libre de bucles de sistemas autnomos.
La red tiene estas caractersticas:
Routers A y B estn ejecutando EBGP y Routers B y C estn ejecutando IBGP. Tenga en cuenta que la EBGP
compaeros estn directamente conectados y de que los interlocutores IBGP no lo son. Mientras no es un IGP en ejecucin que
permite que los dos vecinos para llegar a uno del otro, los pares IBGP no tienen que estar conectados directamente.
Todos los oradores BGP dentro de un AS deben establecer una relacin entre iguales entre s. Es decir, el BGP
altavoces dentro de un AS deben ser plenamente malla lgicamente. BGP4 proporciona dos tcnicas que reduzcan
el requisito de una malla completa lgica: confederaciones y reflectores de ruta.
AS 200 es un AS de trnsito para AS 100 y AS 300, es decir, AS 200 se utiliza para transferir paquetes entre
AS 100 y AS 300.
BGP compaeros inicialmente intercambian sus tablas de enrutamiento BGP completo y luego envan actualizaciones slo
incrementales. BGP
interlocutores tambin intercambian mensajes de actividad (para asegurar que la conexin est lista) y los mensajes de notificacin
(En respuesta a errores o condiciones especiales).
45-46
OL-29703-01
Captulo 45
En BGP, cada ruta se compone de un nmero de red, una lista de sistemas autnomos que la informacin tiene
pasado a travs de (la va del sistema autnomo), y una lista de otro atributos de ruta. La funcin primaria
de un sistema BGP es informacin de accesibilidad a la red de intercambio, incluyendo informacin sobre la lista
de AS caminos, con otros sistemas BGP. Esta informacin puede utilizarse para determinar la conectividad, a
podar los bucles de enrutamiento, y para hacer cumplir las decisiones de poltica AS-nivel.
Un router o switch ejecuta Cisco IOS no seleccione ni utilizar una ruta IBGP a menos que tenga una ruta disponible
al router del siguiente salto y ha recibido la sincronizacin de una IGP (a menos que la sincronizacin IGP es
personas con discapacidad). Cuando hay varias rutas estn disponibles, BGP basa su seleccin de ruta en atributo valores. Consulte
la
"Configuracin de la Decisin cualidades del BGP" en la pgina 45-54 para obtener informacin sobre los atributos BGP.
BGP versin 4 admite el enrutamiento entre dominios sin clase (CIDR) por lo que puede reducir el tamao de su encaminamiento
mesas creando rutas agregadas, lo que resulta en superredes. CIDR elimina el concepto de red
clases dentro de BGP y apoya la publicidad de los prefijos IP.
Estas secciones contienen esta informacin de configuracin:
Para una descripcin detallada de la configuracin de BGP, consulte el captulo "Configuracin de BGP" en el "enrutamiento IP
Protocolos "parte de la Gua de configuracin IP de Cisco IOS, versin 12.4. Para obtener detalles acerca especfica
comandos, consulte la Cisco IOS IP Comando, Volumen 2 de 3: Protocolos de enrutamiento, versin 12.4.
Para obtener una lista de comandos de BGP que son visibles pero no apoyado por el interruptor, consulte Apndice 59,
"Comandos no admitidos en Cisco IOS Release 15.2 (1) E".
45-47
Captulo 45
Configuracin de BGP
Tabla 45-9
Caracterstica
Direccin Aggregate
Define Ninguno.
Resumen Auto
Habilitado.
Mejor camino
Nmero: Ninguno definido. Cuando usted permite que un valor para el nmero de la comunidad, la
Lista defecto es un implcito niegan para todo lo dems que no se ha permitido.
Peers: No identificado.
Habilitado.
Red BGP
BGP ID de router
La direccin IP de una interfaz de bucle de retorno que se haya configurado o la direccin IP ms alta
configurado para una interfaz fsica del router.
Distribuir la lista
Desactivado.
Lista de prefijos IP
Define Ninguno.
45-48
OL-29703-01
Captulo 45
Tabla 45-9
Caracterstica
Vecino
Publicidad intervalo: 30 segundos para los pares externos; 5 segundos pares internos.
Descripcin: Ninguno.
Multihop BGP Externo: Slo los vecinos directamente conectados estn permitidos.
Siguiente hop (router como siguiente salto para BGP vecino): Desactivado.
Contrasea: Desactivado.
Peso: Rutas aprendidas a travs de pares BGP: 0; rutas de origen por el router local:
32768.
Conciencia NSF1
Disabled2. Permite conmutadores de nivel 3 para continuar el envo de paquetes de una vecina
Enrutador NSF-capaz durante los cambios de hardware o software.
Reflector de ruta
Ninguno configurado.
Habilitado.
Tabla de actualizacin de
mapas
Timers
Desactivado.
2. conciencia NSF puede ser habilitado para IPv4 en los interruptores con los servicios IP conjunto de caractersticas, permitiendo Graceful Restart.
45-49
Captulo 45
Configuracin de BGP
router vecino durante el intervalo entre el procesador de ruta primaria (RP) en un defecto del router y
el RP backup hacerse cargo, o mientras el RP primaria se vuelve a cargar manualmente por un software sin interrupciones
actualizar.
Para obtener ms informacin, consulte la seccin "BGP sin escalas Forwarding (NSF) de la conciencia" de la Cisco IOS
Gua de configuracin de los protocolos de enrutamiento IP, versin 12.4.
Habilitacin de BGP
Routing
Para habilitar el enrutamiento BGP, a establecer un proceso de enrutamiento BGP y definir la red local. Debido BGP
debe reconocer completamente las relaciones con sus vecinos, tambin debe especificar un vecino BGP.
BGP es compatible con dos tipos de vecinos: interna y externa. Vecinos Internos estn en el mismo AS;
vecinos externos estn en diferentes sistemas autnomos. Vecinos externos son generalmente adyacente a cada uno
otros y compartir una subred, pero internas vecinos pueden estar en cualquier lugar en el mismo AS.
El conmutador es compatible con el uso de nmeros de AS privados, por lo general asignadas por los proveedores de servicios y
dadas a
sistemas cuyas rutas no se anuncian a los vecinos externos. Los nmeros de AS privados son de 64.512
a 65535 Puede configurar vecinos externos para eliminar privado AS nmeros de la ruta AS utilizando
la vecino remove-privada-como comando de configuracin del router. Entonces, cuando una actualizacin se pasa a un
vecino externa, si la ruta de AS incluye privada como nmeros, estos nmeros se eliminan.
Si el AS se pasando trfico a travs de l de otros, como a un tercio AS, es importante ser consistente
sobre las rutas que anuncia. Si BGP anuncia una ruta antes de todos los routers de la red haban aprendido
sobre la ruta a travs de la IGP, el AS puede recibir el trfico que algunos routers an no poda ruta. Para
evitar que esto suceda, BGP debe esperar hasta que la IGP ha propagado la informacin a travs de la AS por lo
que es BGP sincronizado con el IGP. La sincronizacin est habilitada por defecto. Si el AS no pasa
trfico de un AS a otro AS, o si todos los routers en sus sistemas autnomos se estn ejecutando BGP, usted
puede desactivar la sincronizacin, lo que le permite a su red para llevar a un menor nmero de rutas en la IGP y BGP permite
a converger ms rpidamente.
Nota
Para habilitar BGP, el conmutador o pila maestro debe estar ejecutando el IP servicios de conjunto de
caractersticas.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el enrutamiento BGP, establecer un enrutamiento BGP
proceso, y especifique un vecino:
Comando
Propsito
Paso 1
configure terminal
Paso 2
enrutamiento IP
Paso 3
Paso 4
45-50
OL-29703-01
Captulo 45
Paso 5
Comando
Propsito
Paso 6
Paso 7
sin sincronizacin
Paso 8
no auto-summary
Paso 9
Verifique la configuracin.
o
espectculo ip bgp vecino
Utilice el sin router bgp -sistema autnomo comando de configuracin global para eliminar un BGP AS. Utilice el
ninguna red network-number comando de configuracin del router para eliminar la red de la tabla BGP.
Utilice el ningn vecino {Direccin-ip | peer-group-name} remote-as nmero comando de configuracin del router
para eliminar un vecino. Utilice el ningn vecino {Direccin-ip | peer-group-name} remove-privada-como enrutador
comando de configuracin para incluir privada Nmeros de AS en cambios a un vecino. Utilice el
sincronizacin comando de configuracin del router para volver a activar la sincronizacin.
Estos ejemplos muestran cmo configurar BGP en los routers Figura 45-5.
Router A:
Switch (config) # router bgp 100
Switch (config-router) # 129.213.1.1 vecino remoto-como 200
45-51
Captulo 45
Configuracin de BGP
Router B:
Switch (config) # router bgp 200
Switch (config-router) # 129.213.1.2 vecino remoto como 100
Switch (config-router) # 175.220.1.2 vecino remoto-como 200
Router C:
Switch (config) # router bgp 200
Switch (config-router) # 175.220.212.1 vecino remoto-como 200
Switch (config-router) # vecino 192.208.10.1 remote-as 300
Router D:
Switch (config) # router bgp 300
Switch (config-router) # vecino 192.208.10.2 remote-as 200
Para verificar que los interlocutores BGP se estn ejecutando, utilice el mostrar vecinos BGP ip comando EXEC privilegiado. Este
es el resultado de este comando en el Router A:
Switch # mostrar vecinos BGP ip
BGP vecino es 129.213.1.1, remoto AS 200, enlace externo
BGP versin 4, router remoto 175.220.212.1 ID
Estado BGP = establecido, mesa version = 3, para 0:10:59
ltima leer 0:00:29, mantenga el tiempo es de 180, intervalo activo es de 60 segundos
Tiempo mnimo entre anuncio se ejecuta es de 30 segundos
Recibido 2.828 mensajes, 0 notificaciones, 0 en la cola
Enviado 2.826 mensajes, 0 notificaciones, 0 en la cola
Conexiones establecieron 11; bajado 10
Cualquier cosa que no sea Estado = establecido significa que los compaeros no se estn ejecutando. La ID del router remoto es
la direccin ms alta IP en ese router (o el ms alto interfaz de bucle de retorno). Cada vez que se actualiza la tabla
con la nueva informacin, el nmero de versin de mesa incrementos. Un nmero de versin de tabla que continuamente
incrementos significa que una ruta est agitando, haciendo que las actualizaciones de enrutamiento continuos.
Para los protocolos exteriores, una referencia a una red IP desde la red comando de configuracin del router
controles slo que se anuncian las redes. Esto est en contraste con los Protocolos de gateway interior (IGP),
tales como EIGRP, que tambin utiliza el red comando para especificar dnde enviar actualizaciones.
Para una descripcin detallada de la configuracin de BGP, ver la parte "Protocolos de enrutamiento IP" de la Cisco IOS IP
Gua de configuracin, versin 12.4. Para obtener detalles sobre los comandos especficos, consulte la Cisco IOS IP
Comando, Volumen 2 de 3: Protocolos de enrutamiento, versin 12.4. Ver Apndice 59, "no compatible
Los comandos de Cisco IOS 15.2 (1) E " para obtener una lista de comandos de BGP que son visibles pero no
apoyado por el interruptor.
45-52
OL-29703-01
Captulo 45
establecer una sesin TCP. Un restablecimiento de software permite el intercambio dinmico de solicitudes de actualizacin de ruta
y enrutamiento
informacin entre routers BGP y la posterior re-anuncio de la respectiva salida
tabla de enrutamiento.
Cuando reinicio por software genera cambios entrantes de un vecino, se llama restablecimiento automtico de entrada
dinmica.
Cuando reinicio por software enva un conjunto de cambios a un vecino, se llama restablecimiento automtico
de salida.
Un restablecimiento de entrada suave hace que la nueva poltica de entrada en vigor. Un restablecimiento de salida suave hace que el
nuevo
directiva de salida local para tomar efecto sin reiniciar la sesin BGP. Como se enva un nuevo conjunto de cambios
durante el reset directiva de salida, una nueva poltica de entrada tambin puede tener efecto.
Tabla 45-10 enumera las ventajas y desventajas de restablecimiento duro y restablecimiento
automtico.
Tabla 45-10
Tipo de
restablecimiento
Restablecimiento
completo
Ventajas
Desventajas
No sobrecarga de memoria
Restablecimiento automtico de
salida
Paso 1
Paso 2
Comando
Propsito
Paso 3
Paso 4
show ip bgp
mostrar vecinos BGP ip
Escriba un asterisco (*) para especificar que pueden restablecer todas las
conexiones.
Introduzca una direccin IP Direccin para especificar que la conexin se
restablece.
Introduzca un nombre de grupo de pares para restablecer el grupo
de pares.
(Opcional) Realice un restablecimiento parcial de salida para restablecer la tabla de enrutamiento de
entrada en el
de conexin especificado. Utilice este comando si se admite actualizacin de ruta.
Escriba un asterisco (*) para especificar que pueden restablecer todas las
conexiones.
Introduzca una direccin IP Direccin para especificar que la conexin se
restablece.
Introduzca un nombre de grupo de pares para restablecer el grupo
de pares.
Verifique el restablecimiento comprobando la informacin sobre la tabla de enrutamiento y de BGP
vecinos.
45-53
Captulo 45
Configuracin de BGP
Si la ruta especifica un siguiente salto que es inaccesible, la cada de la actualizacin. El atributo de salto siguiente BGP,
determinada automticamente por el software, es la direccin IP del salto siguiente que se va a utilizar
para alcanzar un destino. Para EBGP, esta es normalmente la direccin IP del vecino especificado por el
vecino remote-as comando de configuracin del router. Usted puede desactivar el procesamiento del siguiente salto utilizando
mapas de ruta o la vecino de al-hop-self comando de configuracin del router.
2.
Prefiero el camino con el mayor peso (un parmetro de propiedad de Cisco). El atributo de peso es local
al router y no se propaga en las actualizaciones de enrutamiento. De forma predeterminada, el atributo de peso es 32768 para
rutas que el router se origina y cero para los otros caminos. Se prefieren las rutas con el peso ms grande.
Puede utilizar listas de acceso, mapas de rutas, o el peso vecino comando de configuracin del router para configurar
pesos.
3.
Prefiero la ruta con la mayor preferencia local. Preferencia local es parte de la actualizacin de enrutamiento y
intercambiada entre los routers en el mismo AS. El valor por defecto del atributo de preferencia local es 100.
Puede establecer preferencias locales mediante el uso de la -preferencia local bgp default configuracin del router
de comandos o mediante el uso de una hoja de ruta.
4.
5.
6.
Prefiero la ruta con el tipo de origen ms bajo. Una ruta interior o IGP es menor que una ruta aprendido
por EGP, y una ruta aprendido-EGP es menor que uno de origen desconocido o aprendido de otra manera.
7.
Prefiero la ruta con el discriminador ms bajo mltiples -exit (MED) atributo mtrica si el vecino
Como es el mismo para todas las rutas consideradas. Puede configurar el MED utilizando mapas de rutas o por
usando el -default mtrica comando de configuracin del router. Cuando una actualizacin se enva a un IBGP pares,
el MED est incluido.
8.
9.
Prefiero la ruta que se puede llegar a travs del vecino IGP ms cercano (la mtrica IGP ms bajo). Este
significa que el router se prefiere el camino ms corto interno dentro de los AS para llegar al destino (el
camino ms corto a la BGP siguiente salto).
10. Si las condiciones siguientes son ciertas, introduzca la ruta de este camino en la tabla de enrutamiento IP:
Tanto la mejor ruta y esta ruta son del mismo sistema autnomo vecina.
11. Si multipath no est habilitada, prefiere la ruta con el valor de la direccin IP ms baja para el ID del router BGP.
La ID del router es normalmente la direccin IP ms alta en el router o la direccin de bucle invertido (virtual), pero
podra ser especfico de la implementacin.
45-54
OL-29703-01
Captulo 45
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar alguna decisin atributos:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
vecino {Direccin-ip | peer-group-name} next-hop-self (Opcional) Desactive el procesamiento del siguiente salto en las actualizaciones BGP
a un vecino mediante la introduccin de una direccin IP especfica para ser utilizado
en lugar de la direccin del siguiente salto.
Paso 5
Paso 6
(Opcional) Establezca una mtrica MED para definir las rutas preferidas a
vecinos externos. Todas las rutas sin MED tambin estarn
ajustado a este valor. El rango es de 1 a 4294967295 El ms bajo
valor es el ms deseable.
Paso 7
Paso 8
Paso 9
Paso 13 fin
45-55
Captulo 45
Configuracin de BGP
Comando
Propsito
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
Mostrar todos los mapas de ruta configurados o slo la especificada para verificar
configuracin.
Paso 6
Utilice el no route-map mapa-tag comando para eliminar la hoja de ruta. Utilice el ningn conjunto IP del siguiente salto La
direccin IP
comando para volver a habilitar el procesamiento del siguiente salto.
45-56
OL-29703-01
Captulo 45
nmeros de ruta, de la comunidad, y de la red. Autnoma correspondiente ruta del sistema requiere la partido como de la ruta
access-list comando route-map, juego basado en la comunidad requiere la partido de la comunidad-lista
comando route-map y juego basado en la red requiere la ip access-list configuracin global
de comandos.
Comenzando en el modo EXEC privilegiado, siga estos pasos para aplicar una hoja de ruta por vecino:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
fin
Paso 6
Verifique la configuracin.
Paso 7
Utilice el ningn vecino distribuir lista comando para eliminar la lista de acceso del vecino. Utilice el no
vecino route-map mapa-tag comando de configuracin del router para eliminar la hoja de ruta de la
vecino.
Otro mtodo de filtrado es especificar una lista de filtros de acceso en ambas actualizaciones entrantes y salientes,
basado en las rutas del sistema autnomo BGP. Cada filtro es una lista de acceso basado en expresiones regulares.
(Consulte la seccin "Expresiones regulares" en el apndice Cisco IOS Dial Tecnologas de mandatos,
Suelte 12.4 para obtener ms informacin sobre la formacin de las expresiones regulares.) Para utilizar este mtodo, defina una
lista de acceso de va del sistema autnomo, y aplicarlo a las actualizaciones desde y hacia los vecinos particulares.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el filtrado de ruta BGP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ip como de la ruta de acceso a la lista access-list-nmeroDefinir una lista de acceso relacionados con
{Permit | deny} -expresiones como-regulares
BGP-.
Paso 3
Paso 4
Paso 5
fin
Paso 6
Verifique la configuracin.
Paso 7
45-57
Captulo 45
Configuracin de BGP
Una negacin implcita se asume si un prefijo dado no coincide con ninguna entrada en una lista de prefijos.
Cuando varias entradas de una lista de prefijos coinciden con un prefijo dado, el nmero de secuencia de una entrada de lista de
prefijos
identifica la entrada con el nmero de secuencia ms bajo.
De forma predeterminada, los nmeros de secuencia se generan automticamente y se incrementa en unidades de cinco. Si
desactivar la generacin automtica de nmeros de secuencia, debe especificar el nmero de secuencia para cada
entrada. Puede especificar valores de secuencia en cualquier incremento. Si especifica incrementos de uno, no se puede
Aada ms entradas en la lista; si elige incrementos muy grandes, es posible que se quede sin valores.
No es necesario especificar un nmero de secuencia al retirar una entrada de configuracin. Mostrar comandos
incluir los nmeros de secuencia en su produccin.
Antes de utilizar una lista de prefijos en un comando, debe configurar la lista de prefijos. A partir de EXEC privilegiado
modo, siga estos pasos para crear una lista de prefijos o para agregar una entrada a una lista de prefijos:
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip prefix-list nombre-lista [SEC ss-value] negar | Crear una lista de prefijos con un nmero de secuencia opcional para negar o
permiso red / len [Ge ge-value] [Le le-valor] permiso Acceso condiciones coincidentes. Debe introducir al menos un
permiso o negar clusula.
Paso 3
ip prefix-list nombre-lista ss ss-valor negar | (Opcional) Agregue una entrada a una lista de prefijos, y asignar una secuencia
permiso red / len [Ge ge-value] [Le le-valor] nmero de la entrada.
Paso 4
fin
Paso 5
mostrar lista de prefijos IP [Detalle | Resumen] Nombre Verifique la configuracin de visualizacin de la informacin acerca de un prefijo
[Red / len] [ss ss-num] [Ms]
lista o lista de prefijos entradas.
[Primer partido]
Paso 6
Para eliminar una lista de prefijos y todas sus entradas, utilice el no ip prefix-list nombre-lista configuracin global
de comandos. Para borrar una entrada de una lista de prefijos, utilice el no ip prefix-list ss ss-valor mundial
comando de configuracin. Para desactivar la generacin automtica de nmeros de secuencia, utilice el no ip prefix-list
45-58
OL-29703-01
Captulo 45
nmero de secuencia comando; para volver a activar la generacin automtica, utilice el ip prefix-list nmero de secuencia
de comandos. Para borrar la tabla hit-el recuento de entradas de la lista de prefijos, utilice el clear ip prefix-list EXEC privilegiado
de comandos.
Internet-Publicidad esta ruta a la comunidad de Internet. Todos los routers pertenecen a ella.
locales-como-Do No anunciar esta ruta con sus compaeros fuera del sistema autnomo local.
Con base en la comunidad, puede controlar qu informacin de enrutamiento para aceptar, prefieren, o distribuir a
otros vecinos. Un orador BGP puede configurar, aadir, o modificar la comunidad de una ruta cuando se est aprendiendo,
publicidad, o rutas redistribucin. Cuando se agregan rutas, el agregado resultante tiene un
COMUNIDADES atributo que contiene todas las comunidades de todas las rutas iniciales.
Puede utilizar las listas de la comunidad para crear grupos de comunidades para utilizar en una clusula de partido de una hoja de
ruta.
Al igual que con una lista de acceso, se puede crear una serie de listas de la comunidad. Las declaraciones se comprueban hasta que
un partido
se encuentra.
Tan
pronto como
se cumple unaysentencia,
a la conclusin
prueba.
Para
establecer
el atributo
COMUNIDADES
clusulas se
delleg
coincidencia
basadosdeenlalas
comunidades, consulte la partido
comunidad-lista y comunidad conjunto Comandos de configuracin del mapa de la ruta en la "Uso de Mapas de ruta a
Redistribuir informacin de enrutamiento "en la pgina 45-96.
Por defecto, no hay COMUNIDADES atributo se envan a un vecino. Puede especificar que las Comunidades
atributo de ser enviado al vecino en una direccin IP mediante el uso de la vecino de envo en la comunidad enrutador
comando de configuracin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear y aplicar una lista de la comunidad:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
vecino {Direccin-ip | Nombre del grupo de pares} Especificar que las comunidades atribuyen ser enviados al vecino en
send-community
esta direccin IP.
45-59
Captulo 45
Configuracin de BGP
Comando
Propsito
Paso 5
Paso 6
Salida
Paso 7
fin
Paso 8
Paso 9
Verifique la configuracin.
(Opcional) Guarde sus entradas en el archivo de configuracin.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
45-60
OL-29703-01
Captulo 45
Comando
Propsito
Paso 7
(Opcional) Permitir que un orador BGP (el router local) para enviar el
ruta por defecto 0.0.0.0 a un vecino para su uso como ruta por defecto.
Paso 8
Paso 9
(Opcional) Permitir que las sesiones internas BGP para usar cualquier operativa
interfaz para las conexiones TCP.
ebgp-multihop
Local-como nmero
Paso 12 vecino {Direccin-ip | peer-group-name}
anuncio-interval segundos
Paso 13 vecino {Direccin-ip | peer-group-name}
next-hop-self
Paso 15 vecino {Direccin-ip | peer-group-name}
contrasea string
send-community
Paso 18 vecino {Direccin-ip | peer-group-name} temporizadores (Opcional) temporizadores para el grupo vecino o compaero.
Holdtime keepalive
El keepalive intervalo es el tiempo en el que keepalive
Paso 19 vecino {Direccin-ip | peer-group-name} peso (Opcional) Especifique un peso de todas las rutas de un vecino.
peso
Paso 20 vecino {Direccin-ip | peer-group-name}
versin valor
45-61
Captulo 45
Configuracin de BGP
Comando
Propsito
entrante soft-reconfiguracin
Paso 24 fin
Verifique la configuracin.
Para desactivar un grupo de vecinos o igual vecino BGP existente, utilice el apagado vecino enrutador
comando de configuracin. Para habilitar un grupo de vecinos o igual vecino previamente existente que haba sido
desactivada, utilice el no shutdown vecino comando de configuracin del router.
Configuracin de direcciones de
agregado
Enrutamiento entre dominios sin clase (CIDR) le permite crear rutas agregadas (o superredes) para minimizar
el tamao de las tablas de enrutamiento. Puede configurar rutas agregadas en BGP, ya sea mediante la redistribucin de un
ruta agregada en BGP o mediante la creacin de una entrada agregada en la tabla de enrutamiento BGP. Un agregado
direccin se agrega a la tabla BGP cuando hay al menos una entrada ms especfica en la tabla de BGP.
Comenzando en el modo EXEC privilegiado, use estos comandos para crear una direccin agregada en el enrutamiento
tabla:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
aggregate-address address-mask
-Slo resumen
Paso 6
Paso 7
Paso 8
Paso 9
fin
Verifique la configuracin.
45-62
OL-29703-01
Captulo 45
Para eliminar una entrada agregada, utilice el sin direccin agregada mscara de direccin configuracin del router
de comandos. Para volver a las opciones de los valores por defecto, utilice el comando con palabras clave.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
fin
Paso 6
Verifique la configuracin.
45-63
Captulo 45
Configuracin de BGP
Cuando el reflector de rutas recibe una ruta anunciada, se necesita una de estas acciones, en funcin de la
vecino:
Una ruta de un altavoz externo BGP se anuncia a todos los clientes y los compaeros no cliente.
Una ruta de un cliente se anuncia a todos los clientes y los compaeros no cliente. Por lo tanto, los clientes no tienen que ser
totalmente mallada.
Por lo general, un grupo de clientes tiene un solo reflector de ruta, y el grupo se identifica por el reflector de rutas
ID del router. Para aumentar la redundancia y para evitar un punto nico de fallo, un grupo puede tener ms de
un reflector de ruta. En este caso, todos los reflectores de ruta del clster deben estar configurados con la misma de 4 bytes
clster ID para que un reflector de ruta puede reconocer cambios de reflectores de ruta en el mismo clster. Todos
los reflectores de ruta al servicio de un grupo deben ser totalmente mallada y deben tener conjuntos idnticos de cliente y
compaeros no cliente.
Comenzando en el modo EXEC privilegiado, use estos comandos para configurar un reflector de rutas y clientes:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
fin
Paso 7
show ip bgp
Paso 8
45-64
OL-29703-01
Captulo 45
Comenzando en el modo EXEC privilegiado, use estos comandos para configurar BGP ruta amortiguacin:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
bgp amortiguacin
Paso 4
Paso 5
fin
Paso 6
mostrar ip bgp flap-estadsticas [{Regexp regexp} | (Opcional) Supervisar las solapas de todos los caminos que estn aleteando. El
{Lista de filtro lista} | {Direccin enmascarar [Ya-prefix]}] estadsticas se borran cuando la ruta no se suprime y se
estable.
Paso 7
Paso 8
ip bgp flap-estadsticas claras [{Regexp regexp} | (Opcional) estadsticas solapa Claro BGP para que sea menos probable que un
{Lista de filtro lista} | {Direccin enmascarar Ser humedecido [ms largo prefijo]} ruta.
Paso 9
Para desactivar la amortiguacin solapa, utilice el sin amortiguacin bgp configuracin del router comando sin
palabras clave. Para establecer los factores de amortiguacin de nuevo a los valores por defecto, utilice el sin amortiguacin
bgp enrutador
comando de configuracin con los valores.
Comando
Propsito
claro ip bgp *
45-65
Captulo 45
Tabla 45-11
Comando
Propsito
Ver todas las rutas BGP que contienen subred y superred red
mscaras.
Mostrar las rutas que tienen una trayectoria de AS que coincida con el especificado
expresin regular entr en la lnea de comandos.
show ip bgp
Tambin puede habilitar el registro de mensajes que se generan cuando un vecino BGP reinicia, sube, o va
por el uso de la bgp log-vecino cambia comando de configuracin del router.
45-66
OL-29703-01
Captulo 45
Al enrutar dinmicamente, utilice IS-IS. Este protocolo de enrutamiento es compatible con el concepto de reas. Dentro
una zona, todos los routers saber cmo llegar a todos los ID de sistema. Entre las zonas, routers saben cmo llegar a la
rea apropiada. IS-IS es compatible con dos niveles de direccionamiento: direccionamiento de estacin (Dentro de un rea) y rea
de Encaminamiento
(Entre las zonas).
La diferencia clave entre el IGRP ISO e IS-IS NSAP esquemas de direccionamiento est en la definicin de
las direcciones del rea. Ambos utilizan el ID del sistema para el nivel 1 de encaminamiento (routing dentro de un rea). Sin
embargo, difieren
en el camino se especifican las direcciones de enrutamiento rea. Una direccin ISO IGRP NSAP incluye tres separada
campos de enrutamiento: el dominio, rea, y ID del sistema. Una direccin de IS-IS incluye dos campos: un solo
continua zona campo (que comprende los campos de dominio y de rea) y el ID del sistema.
Nota
Para obtener informacin ms detallada acerca de ISO CLNS, consulte la Cisco IOS Apollo Domain, Banyan VINES,
DECnet, ISO CLNS y configuracin XNS, versin 12.4. Para sintaxis completa y el uso
informacin para los comandos que se utilizan en este captulo, consulte la Cisco IOS Apollo Domain, Banyan VINES,
DECnet, ISO CLNS y XNS Referencia de comandos, versin 12.4, utilizar el maestro de referencia de comandos IOS
ndice o la bsqueda en lnea.
Nota
Para obtener informacin ms detallada acerca de IS-IS, consulte el captulo "Protocolos de enrutamiento IP" de la Cisco IOS IP
Gua de configuracin, versin 12.4. Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan
en esta seccin, consulte la Cisco IOS IP de mandatos, versin 12.4.
45-67
Captulo 45
Caracterstica
Habilitado.
Convencional IS-IS: el router acta como un nivel 1 (estacin) y un Nivel 2
(rea) del router.
Multiarea IS-IS: la primera instancia del proceso de enrutamiento IS-IS es un Nivel 1-2
router. Casos restantes son de nivel 1 routers.
Default-information originate
Desactivado.
Desactivado.
1497 bytes.
NSF Awareness1
Evitacin de reparto
Desactivado.
Contrasea
Set-sobrecarga de bits
Resumen-direccin
Desactivado.
45-68
OL-29703-01
Captulo 45
Comando
Propsito
Paso 1
configure terminal
Paso 2
clns enrutamiento
Paso 3
Paso 4
net red-entidad-ttulo
Paso 5
(Opcional) Puede configurar el router para que acte como Nivel 1 (estacin) del router,
a 2 (rea) del router de nivel para el enrutamiento multi-zona, o ambos (por defecto):
Paso 6
Salida
Paso 7
interfaz interface-id
Especifique una interfaz para enrutar IS-IS, y entrar en el modo de configuracin de interfaz.
Si la interfaz no est configurada como una interfaz de capa 3, escriba la no
switchport mandar ponerlo en el modo de capa 3.
Paso 8
Paso 9
45-69
Captulo 45
Comando
Propsito
Paso 11 fin
Para desactivar el enrutamiento IS-IS, utilice el sin router isis zona-tag comando de configuracin del router.
Este ejemplo muestra cmo configurar tres routers para ejecutar convencional IS-IS como un protocolo de enrutamiento IP.
En convencional IS-IS, todos los routers actan como Nivel 1 y Nivel 2 routers (por defecto).
Router A
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Router B
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Router C
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
45-70
OL-29703-01
Captulo 45
Estas son algunas opcional IS-IS parmetros globales que se pueden configurar:
Puede forzar una ruta por defecto en un dominio de enrutamiento IS-IS mediante la configuracin de una ruta predeterminada
controlada
por un mapa de la ruta. Tambin puede especificar otras opciones de filtrado configurables bajo un mapa de la ruta.
Usted puede configurar el router para ignorar IS-IS LSP que se reciben con errores de suma de comprobacin internos
o para purgar LSP daados, lo que provoca el iniciador de la LSP para regenerarla.
Usted puede crear direcciones de agregado que se representan en la tabla de enrutamiento por una direccin de resumen
(Ruta-resumen). Rutas aprendidas de otros protocolos de enrutamiento tambin pueden resumirse. El
mtrica utilizada para anunciar el resumen es la mtrica ms pequea de todas las rutas especficas.
Puede configurar el intervalo de actualizacin de LSP y el tiempo mximo que un LSP puede permanecer en el
base de datos de router sin una actualizacin
Puede configurar los temporizadores de estrangulamiento para la generacin de LSP, camino ms corto primer clculo, y
parcial
clculo de las rutas.
Puede configurar el switch para generar un mensaje de registro cuando un IS-IS cambios de adyacencia estado (hasta
o hacia abajo).
Si un enlace en la red tiene una unidad de transmisin mxima (MTU) de menos de 1500 bytes, que
puede reducir el LSP MTU tan quieto ocurrir que el enrutamiento.
El comando de configuracin del router evitacin particin impide un rea se conviertan particionado
cuando se pierde la conectividad total entre un router Level1-2 frontera, Nivel 1 routers adyacentes, y al final
anfitriones.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar IS-IS parmetros:
Comando
Propsito
Paso 1
configure terminal
Paso 2
clns enrutamiento
Paso 3
isis enrutador
Paso 4
default-information originate
[Route-map mapa-nombre]
(Opcional) Fuerza una ruta por defecto en el domain.If enrutamiento IS-IS que introduzca
route-map mapa-nombre, el proceso de enrutamiento genera la ruta por defecto si el
mapa de la ruta est satisfecho.
Paso 5
ignore-LSP-errores
(Opcional) Configure el router para ignorar LSP con suma de control interno
errores, en lugar de purgar los LSP. Este comando est activado por defecto
(LSP daados se eliminan). Para purgar los LSP corruptos, introduzca la no
ignore-LSP-errores comando de configuracin del router.
Paso 6
zona-contrasea contrasea
Paso 7
Paso 8
45-71
Captulo 45
Paso 9
Comando
Propsito
(Opcional) Establezca un poco de sobrecarga (un poco hippity) para permitir que otros routers
ignorar
el router en su ruta ms corta primero (SPF) clculos si el router es
tener problemas.
(Opcional) on-startup-conjuntos el bit de sobrecarga slo en el arranque. Si
on-startup no se especifica, el bit de sobrecarga se ajusta de inmediato y
permanece establecido hasta que introduzca la ningn conjunto sobrecarga bits de
comandos. Si
on-startup se especifica, debe introducir un nmero de segundos o
espera-BGP.
LSP-max-esperar [LSP-inicial-esperar
LSP-segundo-wait]
spf-max-esperar [Spf-inicial-esperar
spf-segundo-wait]
45-72
OL-29703-01
Captulo 45
Comando
Propsito
(Opcional) Provoca una frontera router IS-IS Nivel 1-2 para detener la publicidad de la
Nivel 1 rea de prefijo en la cadena principal de nivel 2 cuando se pierde la conectividad total
entre el router frontera, todos los niveles adyacentes 1 routers y hosts finales.
Paso 18 fin
Para desactivar la generacin de ruta por defecto, utilice el no default-information originate configuracin del router
de comandos. Utilice el ninguna zona-password o ningn dominio-contrasea comando de configuracin de router para desactivar
contraseas. Para desactivar la configuracin LSP MTU, utilice el no LSP MTU comando de configuracin del router. Para volver
a las condiciones predeterminadas de resumen que abordan, intervalo de refresco LSP, de por vida, temporizadores LSP LSP, SFP
temporizadores, temporizadores y la Repblica Popular China, utilizan la no forma de los comandos. Utilice el no evitacin particin
enrutador
comando de configuracin para desactivar el formato de salida.
Opcionalmente, puede configurar cierta especfica interfaz IS-IS parmetros, independientemente de otras
enrutadores conectados. Sin embargo, si cambia algunos valores de los valores predeterminados, como multiplicadores y tiempo
intervalos, tiene sentido cambiar tambin ellos en mltiples routers e interfaces. La mayor parte de la interfaz
parmetros pueden ser configurados para el nivel 1, nivel 2, o ambos.
Estos son algunos de los parmetros de nivel de interfaz que se pueden configurar:
La mtrica predeterminada en la interfaz, que se utiliza como un valor para el IS-IS mtrica y asignado cuando
no hay calidad de servicio (QoS) de enrutamiento realizado.
El intervalo de saludo (la longitud de tiempo entre paquetes de saludo enviados a la interfaz) o la falta hola
multiplicador de paquete utilizado en la interfaz para determinar el tiempo de retencin enviado en IS-IS paquetes de saludo. El
tiempo de espera determina el tiempo que un vecino espera a que otro paquete de saludo antes de declarar la
vecino abajo. Esto determina la rapidez con que se detecte un vnculo o vecino fracasado hasta que las rutas pueden
ser recalculados. Cambie el hola-multiplicador en circunstancias en que se pierden los paquetes de saludo
45-73
Captulo 45
frecuencia y IS-IS adyacencias estn fracasando innecesariamente. Puede aumentar el multiplicador de hola y
reducir el intervalo de saludo correspondiente para hacer el protocolo de saludo ms fiable sin aumentar
el tiempo requerido para detectar un fallo de enlace.
entre paquetes) en la que IS-IS LSP se re-enva en enlaces punto a punto de este intervalo es
diferente del intervalo de retransmisin, que es el tiempo entre sucesivas retransmisiones
de la misma LSP
Designado prioridad elecciones router, el cual le permite reducir el nmero de adyacencias requeridas
en una red multiacceso, que a su vez reduce la cantidad de trfico de protocolo de enrutamiento y el tamao
de la base de datos de topologa.
El tipo de circuito de interfaz, que es el tipo de adyacencia deseada para vecinos en el especificado
interfaz
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar IS-IS parmetros de la interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
Paso 6
45-74
OL-29703-01
Captulo 45
Comando
Propsito
Paso 7
Paso 8
isis retransmitir-acelerador-interval
milisegundos
Paso 9
-nico nivel-2}
Paso 12 fin
nivel-2]
45-75
Captulo 45
Configuracin de Multi-VRF CE
Tabla 45-13
Comando
Propsito
Retire la informacin del sistema final (ES) vecino de la base de datos de adyacencia.
Mostrar clns
Juegos de filtros de
visualizacin.
Visualizar los CLNS-especficos o ES-ES informacin sobre cada interfaz.
Anote la informacin especfica del protocolo para cada enrutamiento IS-IS o ISO IGRP
proceso en este router.
Mostrar todos los destinos a los que este router sabe cmo CLNS ruta
paquetes.
Mostrar una historia de la ruta ms corta primero (SPF) clculos para IS-IS.
Mostrar una lista de todos los routers conectados en todas las reas.
espectculo route-map
Descubre los caminos tomados a un destino especificado por los paquetes en la red.
Configuracin de Multi-VRF
CE
Redes privadas virtuales (VPN) proporcionan una manera segura para que los clientes comparten el ancho de banda a travs de una
ISP
red troncal. Una VPN es una coleccin de sitios que comparten una tabla de enrutamiento comn. Un sitio del cliente es
conectado a la red de proveedores de servicios por uno o ms interfaces y los proveedores de servicios asociados
cada interfaz con una tabla de enrutamiento VPN, llamada reenvo tabla de enrutamiento VPN / (VRF).
El switch soporta mltiples VPN de enrutamiento / reenvo (multi-VRF) casos en el borde del cliente (CE)
dispositivos (multi-VRF CE) cuando el que se est ejecutando los servicios IP y servicios IP avanzados conjunto de caractersticas.
Multi-VRF CE permite a un proveedor de servicios de apoyo a dos o ms redes VPN con direcciones IP superpuestas.
45-76
OL-29703-01
Captulo 45
Nota
El interruptor no utiliza conmutacin de etiquetas multiprotocolo (MPLS) para apoyar las VPN. Para obtener informacin sobre
MPLS FRV, ver la Conmutacin Cisco IOS Gua de configuracin de servicios, versin 12.4.
Entender Multi-VRF CE
Multi-VRF CE es una caracterstica que permite a un proveedor de servicios de apoyo a dos o ms redes privadas virtuales, donde la
propiedad intelectual
direcciones se pueden superponer entre las VPNs. Multi-VRF CE utiliza interfaces de entrada para distinguir rutas
para diferentes VPNs y formas tablas de reenvo de paquetes virtuales mediante la asociacin de una o ms de nivel 3
interfaces con cada VRF. Interfaces en un VRF pueden ser fsicas, tales como puertos Ethernet, o lgica,
tales como VLAN SVI, pero una interfaz no puede pertenecer a ms de un VRF en cualquier momento.
Nota
Borde Cliente dispositivos (CE) proporcionar a los clientes acceso a la red de proveedores de servicios de datos a travs de una
enlace a una o ms routers de borde de proveedor. El dispositivo CE anuncia rutas locales del sitio a la
router y aprende las rutas VPN remotos de ella. A Catalyst 3750-E o 3560-E Catalyst 3750-X o
Interruptor 3560-X puede ser una CE.
Borde Proveedor de cambio (PE) routers informacin de enrutamiento con dispositivos de CE utilizando enrutamiento esttico
o
un protocolo de enrutamiento como BGP, RIPv2, OSPF o EIGRP. El PE slo est obligado a mantener VPN
rutas para esos VPNs a los que est unido directamente, eliminando la necesidad de que el PE para mantener
todas las rutas VPN de proveedores de servicios. Cada router PE mantiene un VRF para cada uno de su directamente
sitios conectados. Mltiples interfaces de un router PE pueden estar asociados con un solo VRF Si todos estos
sitios participan en la misma VPN. Cada VPN se asigna a un VRF especificado. Despus de aprender locales
Rutas VPN de CEs, un intercambio de router VPN PE informacin de enrutamiento con otros routers PE por
utilizando BGP interno (IBGP).
Routers de proveedores o routers de ncleo son los enrutadores en la red de proveedores de servicios que no se adhieren a
Dispositivos CE.
Con multi-VRF CE, varios clientes pueden compartir un CE, y slo un enlace fsico se utiliza entre
la CE y el PE. La CE compartida mantiene tablas VRF separadas para cada cliente y los interruptores o
enruta paquetes para cada cliente en funcin de su propia tabla de enrutamiento. Multi-VRF CE extiende PE limitada
funcionalidad de un dispositivo CE, dndole la capacidad de mantener las tablas VRF independientes para ampliar la privacidad
y la seguridad de una red privada virtual a la sucursal.
45-77
Captulo 45
Configuracin de Multi-VRF CE
Figura 45-6 muestra una configuracin usando Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptores
como mltiples CEs virtuales. Este escenario es ideal para los clientes que tienen bajos requerimientos de ancho de banda para
sus servicios de VPN, por ejemplo, las pequeas empresas. En este caso, se requiere multi-VRF CE en el apoyo
Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptores. Debido multi-VRF CE es una capa 3
caracterstica, cada interfaz en un VRF debe ser una interfaz de capa 3.
Figura 45-6
VPN 1
VPN 1
CE1
PE1
PE2
CE2
Servicio
proveedor
VPN 2
VPN 2
Dispositivo CE = Cliente de punta
PE device = Proveedor de punta
101385
Cuando el interruptor CE recibe un comando para agregar una interfaz de capa 3 a un VRF, en ella se establece la adecuada
estructuras de datos de mapeo entre la ID de VLAN y la etiqueta de la poltica (PL) en multi-VRF-CE relacionadas con el y
agrega el ID de VLAN y PL a la base de datos de la VLAN.
Cuando se configura multi-VRF CE, la tabla de reenvo de capa 3 se divide conceptualmente en dos
secciones:
La seccin global de enrutamiento contiene rutas a redes no VPN, tales como Internet.
ID de VLAN de diferentes VRFs se asignan a diferentes etiquetas de poltica, que se utilizan para distinguir
los VRFs durante el procesamiento. Para cada nueva ruta VPN aprendi, la funcin de configuracin de Capa 3 recupera la
etiqueta de la poltica mediante el uso de la ID de VLAN del puerto de entrada e inserta la etiqueta de la poltica y la nueva ruta a la
seccin de enrutamiento multi-VRF CE. Si se recibe el paquete desde un puerto de enrutado, el puerto interno ID de VLAN
nmero se utiliza; Si el paquete es recibido de un SVI, se utiliza el nmero de VLAN.
Este es el proceso de reenvo de paquetes en una red habilitada-CE-multi-VRF:
Cuando el switch recibe un paquete de un VPN, el switch busca la tabla de enrutamiento basada en el
Introduccin del nmero de etiqueta poltica. Cuando se encuentra una ruta, el conmutador enva el paquete a la PE.
Cuando el ingreso PE recibe un paquete de la CE, se realiza una bsqueda VRF. Cuando una ruta est
encontrado, el router aade una etiqueta MPLS correspondiente al paquete y lo enva a la red MPLS.
Cuando una salida PE recibe un paquete de la red, tiras y utiliza la etiqueta de la etiqueta para
identificar la tabla de enrutamiento de VPN correcta. Luego se realiza la bsqueda normal de ruta. Cuando una ruta est
encontrado, reenva el paquete a la adyacencia correcta.
Cuando un CE recibe un paquete desde una salida PE, utiliza la etiqueta de poltica de entrada para buscar la correcta
Tabla de enrutamiento de VPN. Si se encuentra una ruta, reenva el paquete dentro de la VPN.
45-78
OL-29703-01
Captulo 45
Para configurar VRF, se crea una tabla VRF y especificar la interfaz de capa 3 asociada a la VRF.
A continuacin, configure el protocolo de enrutamiento en la VPN y entre la CE y el PE. BGP es el preferido
protocolo de enrutamiento utiliza para distribuir la informacin de enrutamiento de VPN a travs de la columna vertebral del
proveedor. El
red multi-VRF CE tiene tres componentes principales:
VPN objetivo ruta comunidades Listas de todos los dems miembros de una comunidad VPN. Necesitas
configurar objetivos ruta VPN para cada miembro de la comunidad VPN.
VPN reenvo-transporta todo el trfico entre todos los miembros de la comunidad VPN a travs de una VPN
la red de proveedores de servicios.
Caracterstica
VRF
Mapas
Tabla de reenvo
Para utilizar multi-VRF CE, debe tener los servicios IP y servicios IP avanzados conjunto de caractersticas habilitado en su
interruptor.
Un interruptor con multi-VRF CE es compartida por varios clientes, y cada cliente tiene su propia ruta
tabla.
Dado que los clientes utilizan diferentes tablas VRF, las mismas direcciones IP pueden ser reutilizados. Superpuesta IP
direcciones estn permitidos en diferentes VPNs.
Multi-VRF CE permite que varios clientes comparten el mismo enlace fsico entre el PE y la CE.
Puertos troncales con mltiples VLANs paquetes separados entre los clientes. Cada cliente tiene su propio
VLAN.
Para el enrutador PE, no hay ninguna diferencia entre el uso de multi-VRF CE o el uso de mltiples CEs. En
Figura 45-6, capa virtual mltiples interfaces de 3 estn conectados al dispositivo CE multi-VRF.
El conmutador admite la configuracin de VRF utilizando puertos fsicos, VLAN SVI, o una combinacin de
ambos. Los SVI pueden conectarse a travs de un puerto de acceso o un puerto troncal.
45-79
Captulo 45
Configuracin de Multi-VRF CE
Un cliente puede utilizar varias VLAN, siempre y cuando no se superponen con los de otros clientes.
VLAN de un cliente se asignan a un ID de tabla de enrutamiento especfico que se utiliza para identificar el
tablas de encaminamiento apropiados almacenados en el conmutador.
La mayora de los protocolos de enrutamiento (BGP, OSPF, RIP y enrutamiento esttico) se pueden usar entre la CE y la
PE. Sin embargo, se recomienda utilizar BGP externo (EBGP) por estas razones:
-BGP no requiere mltiples algoritmos para comunicarse con mltiples CEs.
-BGP est diseado para pasar informacin de enrutamiento entre sistemas gestionados por diferentes
administraciones.
-BGP hace que sea fcil de transferir los atributos de las rutas de la CE.
Puede configurar 104 polticas o no VRFs estn configurados en la pila de conmutadores o switch.
No puede habilitar VRF cuando se habilita el enrutamiento (PBR) basada en polticas en una interfaz, y el
revertir.
No se puede habilitar cuando VRF del protocolo de comunicacin de Web Cache (WCCP) est habilitado en un
interfaz, y lo contrario.
Configuracin VRFs
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una o ms VRFs. Para completa
sintaxis y la informacin de uso de los comandos, consulte la referencia de comandos interruptor para esta versin y
la Cisco IOS conmutacin Services Command Reference, Release 12.4.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
enrutamiento IP
Paso 3
ip vrf VRF-nombre
o
definicin vrf VRF-nombre
Paso 4
Paso 5
rd ruta-distinguisher
Paso 6
Paso 7
45-80
OL-29703-01
Captulo 45
Accin o Comando
Propsito
Paso 8
interfaz interface-id
Paso 9
o
reenvo vrf VRF-nombre
Paso 10 fin
[VRF-nombre]
Paso 12 copy running-config startup-config
Utilice el no vrf ip VRF-nombre o ninguna definicin vrf VRF-nombre comandos de configuracin global para eliminar un
VRF y para eliminar todas las interfaces de ella. Utilice el sin reenvo vrf ip VRF-nombre o sin reenvo vrf
VRF-nombre Comandos de configuracin de interfaz para eliminar una interfaz de la VRF.
Nota
ARP
Ping
Syslog
Traceroute
FTP y TFTP
El conmutador no soporta servicios de VRF conscientes de Reverse Path Forwarding Unicast (uRPF) o
Network Time Protocol (NTP).
45-81
Captulo 45
Configuracin de Multi-VRF CE
Accin o Comando
Propsito
Accin o Comando
Propsito
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
usuario SNMP-servidor grupo de usuarios a distancia acogida Agrega un usuario a un grupo SNMP para un host remoto en un VRF para SNMP
vrf modelo de seguridad de ejemplo VPN-de acceso.
Paso 7
fin
45-82
OL-29703-01
Captulo 45
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no switchport
Paso 4
Paso 5
direccin ip direccin IP
Paso 6
espera 1 ip La direccin IP
Paso 7
fin
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no switchport
Paso 4
Paso 5
direccin ip La direccin IP
Paso 6
Paso 7
fin
45-83
Captulo 45
Configuracin de Multi-VRF CE
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
iniciar sesin
Paso 3
Paso 4
Paso 5
Paso 6
Paso 7
fin
Accin o Comando
Propsito
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
45-84
OL-29703-01
Captulo 45
Para especificar la direccin IP de una interfaz como la direccin de origen para conexiones TFTP, utilice el ip tftp
fuente-interfaz mostrar el modo comando. Para volver a los valores predeterminados, utilice el no de este comando.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
enrutamiento IP
Paso 3
ip vrf VRF-nombre
Paso 4
rd ruta-distinguisher
Paso 5
Paso 6
Paso 7
Paso 8
interfaz interface-id
Paso 9
Paso 12 fin
[VRF-nombre]
Paso 14 copy running-config startup-config
Para obtener ms informacin sobre la configuracin de un multicast dentro de un Multi-VRF CE, consulte la Cisco IOS IP
Gua de configuracin de multidifusin, versin 12.4.
45-85
Captulo 45
Configuracin de Multi-VRF CE
Nota
Para configurar un proceso de enrutamiento EIGRP para funcionar dentro de una instancia VRF, debe configurar una
nmero de sistema autnomo mediante la introduccin de la -sistema autnomo -sistema autnomo-nmero
direccin familiar comando de modo de configuracin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar OSPF en la VPN:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
log-adyacencia-cambios
Paso 4
redistribuir BGP
-sistema autnomo-nmero subredes
Paso 5
Paso 6
fin
Paso 7
Paso 8
Utilice el sin router ospf proceso de Identificacin vrf VRF-nombre comando de configuracin global para disociar el VPN
tabla de reenvo del proceso de enrutamiento OSPF.
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
redistribuir OSPF proceso de Identificacin partido Establece el interruptor para redistribuir rutas internas OSPF.
interna
Paso 5
45-86
OL-29703-01
Captulo 45
Accin o Comando
Propsito
Paso 6
Paso 7
Paso 8
Paso 9
fin
Utilice el sin router bgp -sistema autnomo-nmero comando de configuracin global para eliminar el BGP
proceso de enrutamiento. Utilice el comando con palabras clave para eliminar las caractersticas de enrutamiento.
Figura 45-7
Cambie B
Cambie C
VPN1
Cambiar D
VPN1
208.0.0.0
Fast
Ethernet
8
Cambie H
Cambiar E
108.0.0.0
Fast
Ethernet
7
CE1
VPN2
PE
VPN2
Cambie F
118.0.0.0
Fast
Ethernet
11
CE2
Cambie J
Gigabit
Ethernet
1
Red global
Cambie K
Red global
Cambie T
168.0.0.0
Fast
Ethernet
3
101386
45-87
Captulo 45
Configuracin de Multi-VRF CE
Configuracin de interruptor A
El interruptor A, habilitar el enrutamiento y configurar VRF.
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # enrutamiento IP
Switch (config) # ip vrf v11
Switch (config-vrf) # rd 800: 1
Switch (config-vrf) # exportacin ruta-destino 800: 1
Switch (config-vrf) # ruta-destino de importacin de 800: 1
Switch (config-vrf) # Salida
Switch (config) # ip vrf v12
Switch (config-vrf) # rd 800: 2
Switch (config-vrf) # exportacin ruta-destino 800: 2
Switch (config-vrf) # ruta-destino de importacin 800: 2
Switch (config-vrf) # Salida
Configure el bucle de retorno y las interfaces fsicas en A. Interruptor puerto Gigabit Ethernet 1 es un tronco
conexin con el PE. Puertos Ethernet Gigabit de 8 y 11 se conectan a redes privadas virtuales:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Configurar las VLAN utilizadas en el interruptor A. VLAN 10 es utilizado por VRF 11 entre la CE y el PE.
VLAN 20 es utilizado por VRF 12 entre la CE y el PE. VLAN 118 y 208 se utilizan para las VPNs
que incluyen Interruptor F y Switch D, respectivamente:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
45-88
OL-29703-01
Captulo 45
(config) # enrutador
(config-router) #
(config-router) #
(config-router) #
(config) # enrutador
(config-router) #
(config-router) #
(config-router) #
Switch
Switch
Switch
Switch
Switch
Switch
45-89
Captulo 45
Configuracin de Multi-VRF CE
(config) # ip vrf v2
(config-vrf) # rd 100: 2
(config-vrf) # exportacin ruta-destino 100: 2
(config-vrf) # ruta-destino de importacin 100: 2
(config-vrf) # Salida
Router
Router
Router
Router
Router
(config) # cef ip
(config) # interfaz Loopback1
(config-if) # ip v1 reenvo vrf
(config-if) # direccin IP 3.3.1.3 255.255.255.0
(config-if) # Salida
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
Router
45-90
OL-29703-01
Captulo 45
Accin o Comando
Propsito
Para obtener ms informacin acerca de la informacin en las pantallas, consulte la Servicios de conmutacin de Cisco IOS
Mandatos del sistema, versin 12.4.
Nota
No configure RPF unidifusin si el interruptor se encuentra en una pila de hardware mixto que combina ms de un interruptor
Tipo: Catalyst 3750-X, Catalyst 3750-E y Catalyst 3750 switches.
Para obtener informacin detallada de la configuracin IP unicast RPF, consulte la Otras funciones de seguridad captulo en el
Gua de configuracin de Cisco IOS Seguridad, versin 12.4.
45-91
Captulo 45
La FIB es similar a una base de la mesa o informacin de enrutamiento y mantiene una imagen especular de la
la transmisin de informacin en la tabla de enrutamiento IP. Al tender o cambios en la topologa ocurrir en el
red, la tabla de enrutamiento IP se actualiza, y esos cambios se reflejan en el FIB. El FIB
mantiene la informacin de direccin del siguiente salto en base a la informacin de la tabla de enrutamiento IP. Debido
el FIB contiene todas las rutas conocidas que existen en la tabla de enrutamiento, CEF elimina cach de rutas
mantenimiento, es ms eficiente para el trfico de conmutacin, y no se ve afectada por los patrones de trfico.
Los nodos en la red se dice que son adyacentes si pueden alcanzar unos a otros con un solo salto a travs de una
capa de enlace. CEF utiliza tablas de adyacencia para anteponer Capa 2 informacin de direccionamiento. La adyacencia
tabla mantiene direcciones de capa 2 del prximo salto para todas las entradas de la FIB.
Debido a que la pila de conmutadores o switch utiliza circuitos integrados de aplicacin especfica (ASICs) para lograr
Gigabit velocidad velocidad de lnea del trfico IP, CEF o reenvo DCEF slo se aplica a la ruta de acceso de software de reenvo,
es decir, el trfico que se enva por la CPU.
CEF CEF o distribuida es posible a nivel mundial de forma predeterminada. Si por alguna razn se desactiva, se puede volver a
habilitar
mediante el uso de la ip cef cef o ip distribuye comando de configuracin global.
La configuracin por defecto es CEF o DCEF habilitado en todos los interfaces de Capa 3. Al entrar en la no ip
cef route-cache comando de configuracin de interfaz desactiva CEF para el trfico que est siendo transmitida por
software. Este comando no afecta a la transmisin va hardware. Desactivacin de CEF y el uso de la
debug ip packet detalle comando privilegiado EXEC puede ser til para el trfico reenviado software de depuracin.
Para habilitar CEF en una interfaz para la ruta de reenvo de software, utilice el ip route-cache cef interfaz
comando de configuracin.
Precaucin Aunque el no cef ip route-cache comando de configuracin de interfaz para desactivar CEF en una interfaz es
visible en la CLI, le recomendamos encarecidamente que no deshabilite CEF o DCEF en interfaces excepto
para propsitos de depuracin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar CEF o DCEF a nivel mundial y en una
interfaz para el trfico de software reenvan si se ha desactivado:
45-92
OL-29703-01
Captulo 45
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
cef ip
o
cef ip distribuido
o
permite la operacin CEF en un Catalyst 3750-E Catalyst 3750-X
interruptor.
Paso 3
interfaz interface-id
Paso 4
ip route-cache cef
Paso 5
fin
Paso 6
show ip cef
Paso 7
o
espectculo cef linecard [Slot-number] [detalle]
Paso 8
Paso 9
espectculo de adyacencia
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
45-93
Captulo 45
Accin o Comando
Propsito
Paso 3
Paso 4
fin
Paso 5
show ip protocols
Paso 6
Utilice el No hay mximo-caminos comando de configuracin del router para restablecer el valor predeterminado.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show ip route
Paso 5
Utilice el no ip route mscara de prefijo {Direccin | interface} comando de configuracin global para eliminar una esttica
ruta.
El interruptor conserva rutas estticas hasta que los elimine. Sin embargo, puede anular rutas estticas con
informacin de enrutamiento dinmico mediante la asignacin de valores de distancia administrativa. Cada enrutamiento dinmico
protocolo tiene una distancia administrativa por defecto, como se indica en Tabla 45-16. Si quieres una ruta esttica para ser
anulado por la informacin de un protocolo de enrutamiento dinmico, ajuste la distancia administrativa de la esttica
ruta ms alta que la del protocolo dinmico.
Tabla 45-16
Fuente de carreteras
Interfaz conectada
Ruta esttica
BGP externo
20
45-94
OL-29703-01
Captulo 45
Tabla 45-16
Fuente de carreteras
90
IGRP
100
OSPF
110
BGP interno
200
Desconocido
225
Las rutas estticas que apuntan a una interfaz se anuncian a travs de RIP, IGRP, y otra de enrutamiento dinmico
protocolos, ya sea o no esttica redistribuir comandos de configuracin del router se especificaron para aquellos
protocolos de enrutamiento. Estas rutas estticas se anuncian porque las rutas estticas que apuntan a una interfaz son
considerado en la tabla de enrutamiento para ser conectado y por lo tanto pierden su naturaleza esttica. Sin embargo, si se define
una ruta esttica a una interfaz que no es una de las redes definidas en un comando de la red, no dinmico
protocolos de enrutamiento anuncian la ruta a menos que un redistribuir se especifica comando esttico para estos
protocolos.
Cuando una interfaz cae, todas las rutas estticas a travs de esa interfaz se eliminan del enrutamiento IP
tabla. Cuando el software ya no puede encontrar un siguiente salto vlido para la direccin especificada como el reenvo
la direccin del router en una ruta esttica, la ruta esttica tambin se elimina de la tabla de enrutamiento IP.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show ip route
Paso 5
Utilice el no ip default-network nmero de red comando de configuracin global para eliminar la ruta.
45-95
Captulo 45
Cuando la informacin por defecto se pasa a travs de un protocolo de enrutamiento dinmico, sin necesidad de configuracin
adicional es
requerida. El sistema analiza peridicamente su tabla de enrutamiento para elegir la red por defecto ptima como su
ruta por defecto. En las redes IGRP, puede haber varias redes de candidatos para el defecto del sistema. Cisco
routers utilizan distancia administrativa y la informacin mtrica para establecer la ruta por defecto o el gateway de ltimo
resort.
Si la informacin por defecto dinmica no se est pasando al sistema, los candidatos a la ruta por defecto son
especificado con el ip default-network comando de configuracin global. Si esta red aparece en la
enrutamiento de mesa, de cualquier fuente, que se marca como una opcin posible para la ruta predeterminada. Si el router no tiene
interactuar en la red por defecto, pero tiene un camino a la misma, la red se considera como un posible
candidato, y la puerta de entrada a la mejor ruta por defecto se convierte en el gateway de ltimo recurso.
Nota
Un mapa de la ruta sin conjunto configuracin de la ruta de mapa de comandos se enva a la CPU, lo que podra causar una alta
Utilizacin de la CPU.
Tambin puede identificar las declaraciones de ruta-mapa como permiso o negar. Si la declaracin se marca como negar, la
paquetes que satisfacen los criterios de coincidencia son enviados de vuelta a travs de los canales normales de reenvo
(Enrutamiento basado en destino). Si la declaracin se marca como permiso, clusulas de configuracin se aplican a los paquetes
el cumplimiento de los criterios de coincidencia. Los paquetes que no cumplan con los criterios de coincidencia se envan a travs de
la normal
canal de enrutamiento.
Usted puede utilizar el mapa de la ruta BGP continuar clusula para ejecutar entradas adicionales en una hoja de ruta despus de una
entrada se ejecuta con clusulas de coincidencia y establecer exitosas. Puede utilizar el continuar clusula de configurar
y organizar las definiciones de polticas ms modulares, para que las configuraciones especficas de poltica no es necesario repetir
dentro de la misma hoja de ruta. A partir de Cisco IOS Versin 12.2 (37) SE, el switch soporta la
continuar clusula de las polticas de salida. Para obtener ms informacin acerca del uso de la hoja de ruta continuar clusula,
ver el BGP Route-Mapa Continuar Asistencia para una gua caracterstica Directiva saliente para Cisco IOS
Suelte 12.4 (4) T.
Aunque cada uno de los pasos 3 a 14 en la siguiente seccin es opcional, debe ingresar al menos un
partido comando de configuracin de route-map y uno conjunto route-map comando de configuracin.
45-96
OL-29703-01
Captulo 45
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una hoja de ruta para la redistribucin:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
partido de la comunidad-lista
comunidad-lista-nmero [Exacta]
Paso 5
direccin ip partido {Access-list-number | Compara con una lista de acceso estndar especificando el nombre o el nmero. Puede
access-list-name} [... Access-list-number | ser un nmero entero desde 1 hasta 199.
... Access-list-nombre]
Paso 6
Paso 7
match ip del siguiente salto {Access-list-number | Encaja en una direccin del router del siguiente salto pas por una de las listas de acceso
access-list-name} [... Access-list-number | especificado (numeradas del 1 al 199).
... Access-list-nombre]
Paso 8
Paso 9
Coincide con la mtrica de la ruta especificada. El mtrica-valor puede ser una EIGRP
mtricas con un valor especificado 0-4294967295.
Coincide con el valor de la variable especificada en una lista de uno o ms valores de las
variables de ruta.
Cada uno puede ser un nmero entero 0 a 4294967295.
Coincide con la siguiente ruta salto especificado por una de las interfaces especificadas.
Coincide con la direccin especificada por las listas de acceso anunciado especificados.
{Access-list-nmero | Access-list-name}
[... Access-list-nmero |
... Access-list-nombre]
Paso 11 -tipo de ruta partido {Locales | interna |
Paso 12 conjunto de amortiguacin suprimir la reutilizacin Establece BGP factores de amortiguacin ruta.
halflife
-reprimir tiempo mximo
Paso 13 configuracin de preferencia local valor
Paso 14 origen conjunto {IGP | EGP como |incompleto}
45-97
Captulo 45
Accin o Comando
Paso 15 establecer como-path {Tag | Anteponer
Propsito
Modifica la ruta del sistema autnomo BGP.
as-path-string}
Paso 16 nivel establecido {Nivel-1 |nivel-2 |nivel 1-2 |
stub-area |backbone}
carga mtu
Paso 22 fin
Muestra todos los mapas de rutas configurados o slo la especificada para verificar
configuracin.
Para borrar una entrada, utilice el no route-map mapa tag comando de configuracin global o la ningn partido o no
conjunto Comandos de configuracin de route-map.
Puede distribuir las rutas de un dominio de enrutamiento a otro y controlar la distribucin de rutas.
Comenzando en el modo EXEC privilegiado, siga estos pasos para controlar la redistribucin de rutas. Tenga en cuenta que el
las palabras clave son las mismas como se define en el procedimiento anterior.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
45-98
OL-29703-01
Captulo 45
Accin o Comando
Propsito
Paso 3
Paso 4
Paso 5
Paso 6
fin
Paso 7
espectculo route-map
Paso 8
RIP puede redistribuir automticamente las rutas estticas. Asigna rutas estticas una mtrica de 1 (directamente
conectado).
Aplicacin
Protocolo
Puede usar PBR para proporcionar acceso equitativo y enrutamiento sensible-fuente, enrutamiento basado en interactivo
contra el trfico de lotes, o encaminamiento basado en enlaces dedicados. Por ejemplo, usted puede transferir los registros de
existencias
a una oficina corporativa en un gran ancho de banda, enlace de alto costo por un corto tiempo durante la transmisin de rutina
datos de aplicaciones como el correo electrnico a travs de un ancho de banda bajo, enlace de bajo costo.
45-99
Captulo 45
Con PBR, usted clasifica el trfico mediante listas de control de acceso (ACL) y luego hacer que el trfico pase por una
camino diferente. PBR se aplica a los paquetes entrantes. Todos los paquetes recibidos en una interfaz con PBR
habilitado se pasan a travs de mapas de rutas. Sobre la base de los criterios definidos en los mapas de rutas, paquetes son
remitido (enrutado) al siguiente salto apropiado.
Si los paquetes no coinciden con ninguna de las declaraciones Mapa de rutas, se aplican todas las
clusulas de configuracin.
Si una declaracin est marcada como permitido y los paquetes no coinciden con ninguna de las declaraciones de rutamapa, el
los paquetes se envan a travs de los canales normales de reenvo y enrutamiento basado en destino es
realizado.
Para PBR, declaraciones ruta-mapa marcados como deny no son compatibles.
Para obtener ms informacin sobre la configuracin de mapas de rutas, consulte el "Uso de Mapas de ruta para redistribuir
Enrutamiento
Seccin de informacin "en la pgina 45-96.
Usted puede utilizar IP ACL estndar para especificar criterios de coincidencia para una direccin de origen o ampliada IP ACL
para
especificar criterios de coincidencia basados en una aplicacin, un tipo de protocolo, o una estacin final. El producto del proceso
a travs del mapa de la ruta hasta que se encuentra una coincidencia. Si no se encuentra ninguna coincidencia de enrutamiento,
basada en el destino normal de
ocurre.
Hay un rechazo
implcito
al final
de la lista
de declaraciones
de equivalencia.
Si las clusulas
de los partidos
estn
satisfechos,
puede
utilizar una clusula
set para especificar las direcciones IP que identifican la
prxima
hop router en el camino.
Para obtener ms informacin sobre los comandos de PBR y palabras clave, consulte la Cisco IOS IP Comando, Volumen 2 de
3: Protocolos de enrutamiento, versin 12.4. Para obtener una lista de comandos de derechos de obtentor que son visibles pero no
con el apoyo de la
conmutador, consulte Apndice 59, "Los comandos no compatibles en Cisco IOS Release 15.2 (1) E".
Configuracin de PBR se aplica a toda la pila, y todos los interruptores de utilizar la configuracin maestra pila.
Nota
Esta versin del software no soporta Policy-Based Routing (PBR) en el tratamiento de IPv4 e IPv6
trfico.
Directrices de configuracin de
derechos de obtentor
Para utilizar PBR, debe tener los servicios IP cuentan con set habilitado en el conmutador o pila principal.
El trfico de multidifusin no est encaminada por la poltica. PBR se aplica nicamente al trfico
unicast.
Puede activar PBR en un puerto desviados o un SVI.
Usted puede solicitar una hoja de ruta poltica a un canal de puerto EtherChannel en el modo de capa 3, pero no puedes
aplicar una hoja de ruta poltica a una interfaz fsica que es miembro de la EtherChannel. Si intenta
hacerlo, el comando es rechazado. Cuando un mapa de ruta poltica se aplica a una interfaz fsica, que
interfaz no puede ser miembro de un EtherChannel.
Se puede definir un mximo de 246 mapas de ruta poltica de propiedad intelectual sobre la pila de conmutadores
o switch.
Se puede definir un mximo de 512 entradas de control de acceso (ACE) para PBR en el interruptor o interruptor
apilar.
paquetes, lo que podra causar ping o Telnet falla o flappping protocolo de ruta.
-No coinciden con ACL negar ACE. Los paquetes que coincidan con un ACE negar se envan a la CPU, lo que
45-100
OL-29703-01
Captulo 45
Para utilizar PBR, primero debe habilitar la plantilla de enrutamiento mediante el sdm prefieren enrutamiento mundial
comando de configuracin. PBR no es compatible con la plantilla de VLAN o por defecto. Para obtener ms
informacin sobre las plantillas de SDM, consulte Captulo 8, "Configuracin de SDM plantillas."
VRF y PBR son mutuamente excluyentes en una interfaz de switch. No se puede habilitar VRF cuando PBR es
habilitado en una interfaz. Lo contrario tambin es cierto, no se puede habilitar PBR cuando VRF est activada en
una interfaz.
Web Cache Protocol Comunicacin (WCCP) y PBR son mutuamente excluyentes en un interruptor
interfaz. No puede habilitar WCCP cuando PBR est habilitado en una interfaz. Lo contrario tambin es cierto,
no puede habilitar PBR cuando WCCP est habilitado en una interfaz.
El nmero de entradas de hardware utilizado por PBR depende de la propia hoja de ruta, las ACLs usan, y
el orden de las ACL y las entradas de ruta-mapa.
Enrutamiento basado en polticas sobre la base de la longitud del paquete, TOS, interfaz de sistema, sistema por defecto
siguiente salto, o un conjunto predeterminado
interfaz no son compatibles. Los mapas de polticas con ninguna accin conjunto vlido o con el conjunto de accin conjunto
para No
Fragmento
no sonQoS
compatibles.
El
switch soporta
DSCP y precedencia IP coincidente en mapas de rutas de derechos de obtentor, con estos
limitaciones:
-No se puede aplicar mapas de mutacin QoS DSCP y mapas de rutas de derechos de obtentor para la misma interfaz.
-No se puede configurar la transparencia DSCP y mapas de rutas PBR DSCP en el mismo conmutador.
-Al configurar PBR con QoS DSCP, puede configurar QoS para ser habilitados (mediante la introduccin de la mls
qos comando de configuracin global) o desactivado (mediante la introduccin de la no hay mls qos comando). Cuando
QoS est habilitado, para asegurar que el valor DSCP del trfico no se ha modificado, debe configurar
DSCP estado de confianza en el puerto donde el trfico entra en el interruptor mediante la introduccin de la mls qos trust
dscp
comando de configuracin de interfaz. Si el estado de la confianza no es DSCP, de forma predeterminada todo el trfico
nontrusted
tendra el valor de DSCP marcado como 0.
PBR Habilitacin
De forma predeterminada, PBR est deshabilitado en el conmutador. Para activar la PBR, debe crear una hoja de ruta que especifica
los criterios de coincidencia y la accin resultante si todas las clusulas de coincidencia se cumplen. A continuacin, debe habilitar
PBR
para ese mapa de la ruta en una interfaz. Todos los paquetes que llegan a la interfaz especificada coincida con el partido
clusulas estn sujetas a derechos de obtentor.
PBR puede ser conmutada rpido o implementado a velocidades que no ralentizan el interruptor. -Fast conmutada
PBR soporta ms el partido y los comandos establecidos. PBR debe estar habilitado antes de habilitar cambi rpido
PBR. Fast conmutacin de PBR est desactivado por defecto.
Los paquetes que se generan por el interruptor, o los paquetes locales, no son normalmente la poltica de enrutado. Cuando se
a nivel mundial permitir PBR local en el switch, todos los paquetes que se originan en el interruptor estn sujetos a PBR local.
PBR Local est desactivado por defecto.
Nota
Para activar la PBR, el conmutador o pila maestro debe estar ejecutando el IP servicios de conjunto de
caractersticas.
45-101
Captulo 45
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar PBR:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Define los mapas de rutas utilizadas para controlar que los paquetes son
salida, e introduzca el modo de configuracin de la ruta-mapa.
Paso 3
Paso 5
Salida
Paso 6
interfaz interface-id
Paso 7
Paso 8
Paso 9
Salida
45-102
OL-29703-01
Captulo 45
Accin o Comando
Propsito
Paso 11 fin
Utilice el no route-map mapa-tag comando de configuracin global o la ningn partido o ningn conjunto route-map
Comandos de configuracin para borrar una entrada. Utilice el ninguna poltica ip route-map mapa-tag interfaz
comando de configuracin para desactivar PBR en una interfaz. Utilice el no ip poltica de cach de ruta interfaz
comando de configuracin para desactivar la conmutacin rpida de PBR. Utilice los no ip polticas locales route-map mapa-tag
comando de configuracin global para deshabilitar el enrutamiento basado en polticas en paquetes que se originan en el interruptor.
Filtrado de informacin de
enrutamiento Puedes realizar un filtrado informacin de protocolo de enrutamiento mediante la realizacin de las tareas descritas en
esta seccin.
Nota
Cuando las rutas se redistribuyen entre los procesos OSPF, se conservan sin mtrica OSPF.
Configuracin de Interfaces
pasivas
Para evitar que otros routers en una red local de aprender de forma dinmica sobre las rutas, se puede utilizar el
passive-interface comando de configuracin del router para mantener los mensajes de actualizacin de enrutamiento que se enven
a travs de una interfaz del router. Cuando se utiliza este comando en el protocolo OSPF, la interfaz de la direccin que usted
especificar aparece como pasivas como una red de conexin en el dominio OSPF. Informacin de enrutamiento OSPF es ni
enviado ni recibido a travs de la interfaz del router especificado.
En redes con muchas interfaces, para evitar tener que configurar manualmente como pasiva, puede configurar todos
interfaces para ser pasivos por defecto mediante el uso de la passive-interface por defecto comando de configuracin del router
y establecer manualmente las interfaces donde se desean adyacencias.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar las interfaces pasivas:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
passive-interface interface-id
Paso 4
Paso 5
Paso 6
45-103
Captulo 45
Accin o Comando
Propsito
Paso 7
fin
Paso 8
Utilice una red de monitoreo de comando EXEC privilegiado como show interface ip ospf para verificar el
interfaces que se habilit como pasiva, o utilizar el show ip interface comando privilegiado EXEC para verificar
las interfaces que puede habilitar como activo.
Para volver a habilitar el envo de actualizaciones de enrutamiento, utilice el sin interfaz pasiva interface-id enrutador
comando de configuracin. El por defecto conjuntos de palabras clave Todas las interfaces como pasivo de forma predeterminada. A
continuacin, puede
configurar las interfaces individuales en las que desea adyacencias mediante el sin interfaz pasiva enrutador
comando de configuracin. El por defecto palabra clave es til en proveedor de servicios de Internet y las grandes empresas
redes en las que muchos de los routers de distribucin de ms de 200 interfaces.
Puede utilizar el distribute-list comando de configuracin de router con listas de control de acceso para suprimir rutas
de ser anunciados en las actualizaciones de enrutamiento y para prevenir otros routers de aprender una o ms rutas.
Cuando se utiliza en OSPF, esta funcin slo se aplica a las rutas externas, y no se puede especificar una interfaz
nombre.
Tambin puede utilizar un distribute-list comando de configuracin del router para evitar el procesamiento de ciertas rutas que
aparecen
en las actualizaciones entrantes. (Esta funcin no se aplica a OSPF.)
Comenzando en el modo EXEC privilegiado, siga estos pasos para controlar la publicidad o la transformacin de
actualizaciones de enrutamiento:
Comando Accin
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
distribute-list {Access-list-number |
access-list-name} Salida [Nombre-interfaz | enrutamiento
proceso |autnoma-sistema-nmero]
Paso 4
distribute-list {Access-list-number |
access-list-name} en [Tipo de nmero]
Paso 5
fin
Paso 6
Utilice el sin distribuir-lista en comando de configuracin del router para cambiar o cancelar un filtro. Para cancelar
la supresin de la publicidad de la red en las actualizaciones, utilice el no distribuir lista cabo configuracin del router
de comandos.
Debido a que algunos informacin de enrutamiento puede ser ms preciso que otros, puede utilizar el filtrado de priorizar
informacin proveniente de diferentes fuentes. Un distancia administrativa es una clasificacin de la fiabilidad
de una fuente de informacin de enrutamiento, como un router o un grupo de routers. En una red de gran tamao, algunos de
enrutamiento
protocolos pueden ser ms fiables que otros. Al especificar valores de distancia administrativa, se habilita la
router para discriminar de forma inteligente entre las fuentes de informacin de enrutamiento. El router siempre recoge el
45-104
OL-29703-01
Captulo 45
cuya ruta de enrutamiento protocolo tiene la menor distancia administrativa. Tabla 45-16 en la pgina 45-94 espectculos
distancias administrativas el incumplimiento de diversas fuentes de informacin de enrutamiento.
Debido a que cada red tiene sus propios requisitos, no existen pautas generales para la asignacin de
distancias administrativas.
Comenzando en el modo EXEC privilegiado, siga estos pasos para filtrar las fuentes de informacin de enrutamiento:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
Paso 5
show ip protocols
Paso 6
Para eliminar una definicin distancia, utilice el hay distancia comando de configuracin del router.
45-105
Captulo 45
Comenzando en el modo EXEC privilegiado, siga estos pasos para gestionar las claves de autenticacin:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
llavero nombre-de-cadena
Paso 3
clave nmero
Paso 4
key-string texto
Paso 5
aceptar la vida tiempo de inicio {Infinita | del tiempo del fin |duracin (Opcional) Especifica el perodo de tiempo durante el cual el
segundos}
clave puede ser recibido.
El tiempo de inicio y del tiempo del fin sintaxis puede ser tanto
hh: ao ss Mes Fecha: mm o hh: mm: ss Fecha Mes
ao. El valor predeterminado es para siempre con el valor por defecto
tiempo de inicio
y la fecha ms aceptable como el 1 de enero de 1993 El
por defecto del tiempo del fin y duracin es infinito.
Paso 6
Paso 7
fin
Paso 8
mostrar llavero
Paso 9
Accin o Comando
Propsito
show ip protocols
45-106
OL-29703-01
Captulo 45
Tabla 45-17
Accin o Comando
Propsito
espectculo cache ip
45-107
Captulo 45
45-108
OL-29703-01
E R CH A P T
46
Nota
Para utilizar todas las caractersticas de IPv6 en este captulo, el conmutador o pila maestro debe ejecutar la funcin de los servicios
IP
establecer. Interruptores ejecutan la operacin base IP fijan apoyo slo IPv6 enrutamiento esttico y RIP para IPv6. Interruptores
ejecutar la operacin base set soporte LAN slo las funciones de host IPv6.
El escritorio por defecto de gestin de base de datos de conmutacin (SDM) plantilla admite enrutamiento IPv6. Para habilitar IPv6
enrutamiento o QoS basada en polticas, debe configurar el conmutador para usar la plantilla dual IPv4 e IPv6 SDM.
Consulte la En la pgina 46-11 "dual IPv4 e IPv6 Protocolo de Pilas".
A menos que se indique lo contrario, el trmino interruptor se refiere a un interruptor independiente 3750-X o X-3560 y a un
catalizador
Pila de switches 3750-X.
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte la Cisco IOS
documentacin contemplada en los procedimientos
Este captulo consta de las siguientes secciones:
Entendimiento IPv6
Usuarios IPv4 pueden pasar a IPv6 y recibir servicios como la seguridad de extremo a extremo, la calidad de servicio (QoS),
y direcciones nicas a nivel mundial. El espacio de direcciones IPv6 reduce la necesidad de direcciones privadas y
La traduccin de direcciones de red (NAT) de procesamiento por los routers de frontera en los bordes de la red.
46-1
Captulo 46
Entendimiento IPv6
Para obtener informacin acerca de cmo Cisco Systems implementa IPv6, vaya a:
http://www.cisco.com/en/US/products/ps6553/products_ios_technology_home.html
Para obtener informacin acerca de IPv6 y otras caractersticas en este captulo
Utilice el campo de bsqueda en Cisco.com para localizar la documentacin del software Cisco IOS. Por ejemplo, si
quiere informacin acerca de las rutas estticas, puede introducir La implementacin de rutas estticas para IPv6 en el
campo de bsqueda para aprender acerca de las rutas estticas.
46-2
OL-29703-01
Captulo 46
Apoyo en el conmutador incluye la capacidad de direccin ampliados, formato de cabecera simplificacin, la mejora de
soporte de extensiones y opciones, y el anlisis de hardware de la cabecera de extensin. Los soportes del conmutador
hop-by-hop paquetes con cabeceras de extensin, que son ruta o un puente en el software.
El conmutador proporciona la capacidad de enrutamiento IPv6 sobre Ethernet Inter-Switch Link nativa (ISL) o 802.1Q
puertos troncales para rutas estticas, Protocolo de informacin de enrutamiento (RIP) para IPv6, y Open Shortest Path First
Protocolo (OSPF), versin 3. Soporta hasta 16 rutas de igual costo y puede IPv4 simultneamente hacia adelante
y enmarca IPv6 a velocidad de lnea.
Direcciones unicast globales agregables son direcciones IPv6 de la unicast global agregable
prefijo. La estructura de direccin permite estricta agregacin de prefijos de enrutamiento y limita el nmero de
entradas de la tabla de enrutamiento en la tabla de enrutamiento global. Estas direcciones se utilizan en los enlaces que se
encuentran agregados
a travs de las organizaciones y, finalmente, al proveedor de servicios de Internet.
46-3
Captulo 46
Entendimiento IPv6
Estas direcciones se definen por un prefijo global de enrutamiento, un ID de subred, y un ID de interfaz. Actual
asignacin de la direccin unicast global utiliza el rango de direcciones que comienzan con el valor binario 001
(2000 :: / 3). Las direcciones con un prefijo de 2000 :: / 3 (001) a travs de E000 :: / 3 (111) debe tener 64 bits
identificadores de interfaz en el identificador nico extendido (EUI) -64 de formato.
Enlace direcciones unicast locales se pueden configurar de forma automtica en cualquier interfaz usando el enlace local
prefijo FE80 :: / 10 (1111 1110 10) y el identificador de interfaz en el formato EUI modificado. De enlace local
direcciones se utilizan en el protocolo de descubrimiento de vecinos (NDP) y la configuracin automtica sin estado
proceso. Los nodos de un local de uso enlace direcciones de enlace local y no necesitan direcciones nicas a nivel mundial
para comunicarse. Routers IPv6 no reenvan paquetes con direcciones de origen o destino de vnculo local
a otros enlaces.
Para obtener ms informacin, consulte la seccin acerca de las direcciones IPv6 unicast en la "Implementacin de IPv6
Direccionamiento y Conectividad Bsica captulo "en la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
ICMPv6
El Internet Control Message Protocol (ICMP) en IPv6 genera mensajes de error, como ICMP
mensajes de destino inaccesible, que informan de errores durante otras funciones de diagnstico y procesamiento. En
Paquetes IPv6, ICMP tambin se utilizan en el protocolo de descubrimiento de vecinos y la ruta del descubrimiento del MTU.
Descubrimiento Vecino
El switch soporta NDP para IPv6, un protocolo que se ejecuta en la parte superior de ICMPv6, y las entradas de vecinos estticas
para
Estaciones de IPv6 que no son compatibles NDP. El proceso de descubrimiento de vecinos IPv6 utiliza mensajes ICMP y
multidifusin de nodo solicitado dirige a determinar la direccin de nivel de vnculo de un vecino en la misma red
(Enlace local), para verificar la accesibilidad de los vecinos, y para realizar un seguimiento de los routers vecinos.
El switch soporta ICMPv6 redirigir para rutas con distancias mscara de menos de 64 bits. ICMP de redireccionamiento es
no se admite para las rutas de host o para rutas resumidas con longitudes mscara superiores a 64 bits.
Estrangulamiento descubrimiento de vecinos asegura que la CPU del switch no est cargado innecesariamente mientras est en
el proceso de obtener la siguiente informacin de reenvo hop para enrutar un paquete IPv6. Las gotas de conmutacin
ningn paquete IPv6 adicionales cuya siguiente salto es el mismo vecino que el interruptor est activamente tratando de
resolver. Esta cada evita an ms la carga de la CPU.
46-4
OL-29703-01
Captulo 46
Nota
Usted debe estar familiarizado con la funcin de descubrimiento de vecinos IPv6. Para obtener ms informacin,
consulte
"Implementacin Las direcciones IPv6 y la conectividad bsica " captulo de la Cisco IOS IPv6
Configuracin de la biblioteca en Cisco.com.
46-5
Captulo 46
Entendimiento IPv6
Aunque visible en las cadenas de ayuda de lnea de comandos, el primero en la seguridad hop IPv6 (FHS) no se admite en
el Catalyst 3750-G y 3750v2 interruptores. Las cadenas de ayuda de lnea de comandos son visibles en estos interruptores
para apoyar la funcin de FHS en un escenario de pila de switches mixto donde uno de estos interruptores podran convertirse en
un maestro.
IPv6 Snooping
IPv6 snooping acta como una poltica contenedor que permite la mayora de las funciones disponibles con FHS en IPv6.
Para obtener ms informacin, consulte la Seccin "Configuracin de una Poltica Snooping IPv6" en la pgina 46-21.
ND trfico-Para obtener ms informacin, consulte la Seccin "NDP Direccin Espigando" en la pgina 46-6.
-Para el trfico DHCP ms informacin, consulte la Seccin "IPv6 DHCP Direccin Espigando" en la
pgina 46-6.
-Para el trfico de datos de ms informacin, consulte la Seccin "IPv6 DHCP Direccin Espigando" en la pgina 46-6.
DHCP-SOLICITUD
DHCP-CONFIRMAR
Dhcp- RENOVAR
DHCP-REBIND
DHCP-RESPUESTA
DHCP-RELEASE
DHCP-DECLIVE
Despus de un switch recibe un mensaje DHCP-peticin de un cliente, una de las siguientes situaciones:
El switch recibe un mensaje DHCP-respuesta del servidor DHCP y una entrada de tabla de unin es
creado en el estado alcanzable y completado. La respuesta contiene la direccin IP y el MAC
abordar en el campo de la Capa 2 DMAC.
46-6
OL-29703-01
Captulo 46
Creacin de una entrada en la tabla de unin permite el cambio a aprender las direcciones asignadas por DHCP. A
tabla de unin puede tener uno de los siguientes estados:
-Resolucin INCOMPLETA Direccin est en curso y la direccin de capa de enlace no se conoce todava.
-REACHABLE-La tabla se conoce para ser alcanzable en el ltimo intervalo de tiempo accesible.
-Rancio-La mesa requiere re-resolucin.
-SEARCH-La caracterstica de crear la entrada no tiene la direccin de Capa 2 y pide al
Para habilitar esta funcin, configure una directiva mediante la poltica de husmear ipv6 nombre-poltica mundial
comando de configuracin. Para obtener ms informacin, consulte la Seccin "Configuracin de una Poltica Snooping IPv6"
en la pgina 46-21.
Puede configurar una poltica y adjuntarlo a un guardia de DHCP para evitar que la tabla de vinculacin se llene
con mensajes DHCP falsos. Para obtener ms informacin, consulte la Seccin "IPv6 Guardia DHCP" en la pgina 46-9
y Seccin "Configuracin de IPv6 Guardia DHCP" en la pgina 46-23.
46-7
Captulo 46
Entendimiento IPv6
Para habilitar esta funcin, configure una poltica con datos-espigar y adjuntar la poltica a un puerto de destino. Para depurar
la poltica, utilice el debug ipv6 espionaje comando EXEC privilegiado.
IPv6 ND Inspeccin
IPv6 ND inspeccin aprende y asegura fijaciones para las direcciones de autoconfiguracin sin estado en la capa 2
mesas vecinas. IPv6 ND inspeccin analiza los mensajes de descubrimiento de vecinos con el fin de construir una confianza
base de datos de la tabla de unin e IPv6 mensajes de descubrimiento de vecinos que no cumplan se dejan caer. Una SA
ND mensaje es considerado digno de confianza si su control de acceso IPv6 a medios (MAC) de mapeo es verificable.
Esta caracterstica mitiga algunas de las vulnerabilidades inherentes al mecanismo de ND, tales como ataques a
DAD, de resolucin de direcciones, el descubrimiento de enrutadores, y la cach de vecinos.
Para obtener informacin detallada acerca de guardia RA, consulte la " IPv6 RA Guard " captulo de la Cisco IOS IPv6
Gua de configuracin de la biblioteca en Cisco.com.
46-8
OL-29703-01
Captulo 46
Nota
Cuando guardia fuente IPv6 est habilitado en un puerto de switch, NDP o snooping DHCP deben estar activos
la interfaz a la que pertenece el puerto del switch. De lo contrario, todo el trfico de datos de este puerto ser
bloqueado.
Una poltica de guardia fuente IPv6 no se puede conectar a una VLAN. Es apoyado slo en la interfaz
nivel.
Para obtener informacin sobre la configuracin de las listas de acceso IPv6, consulte la "Aplicacin Filtros de trfico y Firewalls
para IPv6 Seguridad " captulo de la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
46-9
Captulo 46
Entendimiento IPv6
Para obtener informacin detallada acerca de guardia de destino, consulte el "IPv6 Guardia de destino " captulo de la Cisco
IOS IPv6 Configuracin Gua de la biblioteca en Cisco.com.
Router predeterminado
Preferencia
El switch soporta IPv6 preferencia router por defecto (DRP), una extensin de anuncio de enrutador
mensajes. DRP mejora la capacidad de un husped para seleccionar un router apropiado, especialmente cuando el hospedador es
multitarjeta y los routers estn en diferentes eslabones. El interruptor no es compatible con la Informacin de ruta
Opcin en el RFC 4191.
Un host IPv6 mantiene una lista router por defecto de la que selecciona a un router para el trfico de offlink
destinos. El router selecciona un destino se almacena en cach y luego en la cach de destino. NDP para IPv6
especifica que los routers que son accesibles o probablemente alcanzable se prefieren sobre routers cuyos
accesibilidad es desconocido o sospechoso. Para los routers alcanzables alcanzables o probablemente, NDP o bien puede seleccionar
el mismo router cada vez o en bicicleta a travs de la lista de router. Mediante el uso de DRP, puede configurar un host de IPv6
preferir un router sobre otro, siempre que ambos son accesibles o probablemente alcanzable.
Para obtener ms informacin acerca de DRP para IPv6, consulte "Direcciones implementando IPv6 y Bsico
Conectividad captulo "en la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
46-10
OL-29703-01
Captulo 46
Aplicaciones IPv6
El interruptor tiene soporte IPv6 para estas aplicaciones:
Para obtener ms informacin acerca de la gestin de estas aplicaciones, consulte la seccin "Gestin de aplicaciones Cisco IOS
a travs de IPv6 "captulo y la" Ejecucin de las direcciones IPv6 y Conectividad Bsica captulo "en la
Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
IPv4
10.1.1.1
122379
IPv6
3ffe: aaaa :: 1
Utilice la plantilla dual de gestin de base de datos del interruptor IPv4 e IPv6 (SDM) para permitir enrutamiento IPv6 dual
entornos de pila (con soporte para IPv4 e IPv6). Para obtener ms informacin acerca de la dual IPv4 e IPv6
Plantilla de SDM, consulte Captulo 8, "Configuracin de SDM plantillas."
Las plantillas dual IPv4 e IPv6 permiten el cambio a ser utilizada en entornos de doble pila.
Si intenta configurar IPv6 sin seleccionar primero una plantilla dual IPv4 e IPv6, un mensaje de advertencia
aparece.
En slo IPv4 entornos, las rutas y los paquetes IPv4 interruptor aplica IPv4 QoS y ACL en
hardware. Paquetes IPv6 no son compatibles.
Paquetes y se aplica en entornos IPv4 doble IPv4 e IPv6, las rutas de conmutacin IPv4 e IPv6
QoS en hardware.
Si usted no planea usar IPv6, no utilice la plantilla de pila dual, porque esta plantilla los resultados en
menos capacidad de memoria de hardware para cada recurso.
46-11
Captulo 46
Entendimiento IPv6
Para obtener ms informacin acerca de IPv4 e IPv6 pilas de protocolos, consulte la seccin "La implementacin del IPv6
Direccionamiento y
Conectividad Bsica captulo de " Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
DHCPv6 permite que los servidores DHCP para pasar parmetros de configuracin, como las direcciones de red IPv6, para
Clientes IPv6. La funcin de asignacin de direccin gestiona la asignacin de direcciones no duplicados en la correcta
prefijo basado en la red donde est conectado el anfitrin. Direcciones asignadas pueden ser de uno o mltiples
piscinas prefijo. Las opciones adicionales, tales como dominio predeterminado y DNS la direccin de servidor de nombres, se
pueden pasar
de vuelta al cliente. Las agrupaciones de direcciones se pueden asignar para su uso en una interfaz especfica, en varias interfaces,
o el servidor puede encontrar automticamente la piscina apropiado.
Comenzando con Cisco IOS Versin 12.2 (58) SE, el switch soporta estas caractersticas:
Para ms informacin y para configurar estas funciones, consulte la Cisco IOS Gua de configuracin IPv6,
Soltar 12.4.
Este documento describe slo la asignacin de direcciones DHCPv6. Para obtener ms informacin acerca de la configuracin
el cliente DHCPv6, funciones de servidor o agente de retransmisin, consulte el captulo "Implementacin de DHCP para IPv6" en
la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
46-12
OL-29703-01
Captulo 46
La funcin de reinicio sencillo requiere que los interruptores vecinos ser graciosa-reiniciar conscientes.
Para obtener ms informacin, consulte el captulo "Implementacin OSFP para IPv6" en la Cisco IOS IPv6
Configuracin de la biblioteca en Cisco.com.
46-13
Captulo 46
Entendimiento IPv6
EIGRP IPv6
Interruptores ejecutan la funcin de Servicios IP establecida apoyan la Enhanced Interior Gateway Protocol Routing
(EIGRP) para IPv6. Est configurado en las interfaces en las que se ejecuta y no requiere un IPv6 global
direccin.
Nota
Interruptores que ejecutan el IP Base de apoyo conjunto de caractersticas IPv6 EIGRP trozo de
enrutamiento nica.
Antes de correr, una instancia de EIGRP IPv6 requiere una identificacin implcita o explcita router. Un enrutador implcita
ID se deriva de una direccin IPv4 local, as que cualquier nodo IPv4 siempre tiene un ID de enrutador disponible. Sin embargo,
EIGRP IPv6 podra estar ejecutndose en una red con nodos slo IPv6 y, por tanto, podra no tener un
disponible IPv4 ID router.
Para obtener ms informacin acerca de EIGRP para IPv6, consulte el captulo "Implementacin de EIGRP para IPv6" en la
Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
Transporte IPv6 para SNMP y para modificar el agente SNMP para apoyar trampas para un host de IPv6
Para el apoyo a travs de IPv6, SNMP modifica la cartografa de transporte IP existente para soportar simultneamente IPv4
e IPv6. Estas acciones SNMP apoyan la gestin del transporte IPv6:
Abre usuario socket Datagram Protocol (UDP) SNMP con la configuracin predeterminada
46-14
OL-29703-01
Captulo 46
Para obtener informacin sobre SNMP a travs de IPv6, incluyendo los procedimientos de configuracin, consulte la seccin
"Gestin de Cisco IOS
Aplicaciones a travs de IPv6 captulo "en la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
Para obtener informacin acerca de syslog a travs de IPv6, incluyendo los procedimientos de configuracin, consulte la seccin
"Implementacin de IPv6
Direccionamiento y Conectividad Bsica captulo "en la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
El cliente HTTP enva solicitudes a IPv4 e IPv6 servidores HTTP, que responden a las peticiones de
clientes IPv4 e IPv6 HTTP. URL con direcciones IPv6 literales se deben especificar en hexadecimal
utilizando valores de 16 bits entre dos puntos.
La llamada socket aceptar elige una familia de direcciones IPv4 o IPv6. La toma de aceptar es o un IPv4 o
Socket IPv6. El socket de escucha contina escuchando para ambas seales IPv4 e IPv6 que indican una
conexin. El socket de escucha IPv6 se une a un comodn de la direccin IPv6.
La pila TCP / IP subyacente soporta un entorno de doble pila. HTTP se basa en la pila TCP / IP y
las tomas de corriente de las interacciones de procesamiento de capa de red.
Conectividad bsica de red (ping) debe existir entre el cliente y los hosts de servidor HTTP antes
se pueden hacer conexiones.
Para obtener ms informacin, consulte la seccin "Gestin de aplicaciones Cisco IOS ms de IPv6" en el captulo Cisco IOS
Biblioteca de configuracin de IPv6 en Cisco.com.
Red privada virtual IPv6 (VPN) de enrutamiento y reenvo (VRF) soporte de la mesa
El switch como punto final del tnel apoyar IPv4 a IPv6 o protocolos de tnel IPv6 a IPv4
Limitaciones
Debido a IPv6 se implementa en hardware del switch, se producen algunas limitaciones debido a la IPv6 comprimido
direcciones de la memoria del hardware. Estas limitaciones de hardware resultan en una prdida de funcionalidad y
limita algunas de las caractersticas:
ICMPv6 redirigir funcionalidad no es compatible con IPv6 rutas de host (rutas usadas para llegar a un host especfico)
o para rutas IPv6 con mscaras superiores a 64 bits. El interruptor no puede redirigir anfitriones a un mejor primer salto
router para un destino especfico que se puede llegar a travs de una ruta de host o por medio de una ruta con mscaras
mayor que 64 bits.
El equilibrio de carga utilizando igual coste y rutas de costos desiguales no es compatible con IPv6 rutas de host o para
Rutas IPv6 con una mscara superior a 64 bits.
46-15
Captulo 46
Entendimiento IPv6
Nota
Hay una limitacin similar para paquetes encapsulados SNAP-IPv4, pero los paquetes se
a tierra en el interruptor y no se reenvan.
Las rutas de conmutacin de IPv6 a IPv4 y IPv4 a IPv6 paquetes en hardware, pero el cambio no puede ser un
IPv6 a IPv4 o punto final del tnel IPv4 a IPv6.
Paquetes IPv6 puenteados con cabeceras de extensin Hop-by-hop se envan en software. En IPv4, stos
paquetes se encaminan en software, sino un puente en el hardware.
Contadores de interfaz para el trfico IPv6 incluyen slo el trfico en software remitido; hardware de conmutacin
se excluye el trfico.
El interruptor no se puede aplicar la clasificacin QoS o enrutamiento basado en polticas sobre los paquetes IPv6 de origen
enrutado
en el hardware.
El interruptor no puede generar ICMPv6 Paquete demasiado grande Mensajes de los paquetes de multidifusin.
Nota
Para los paquetes IPv6 de ruta en una pila, todos los switches de la pila deben estar ejecutando el conjunto de funciones IP Services.
Si un nuevo interruptor se convierte en el maestro de la pila, se vuelve a calcular las tablas de enrutamiento IPv6 y los distribuye a
el miembro de interruptores. Mientras que la nueva maestra de la pila est siendo elegido y se est restableciendo, la pila de switches
hace
no reenviar paquetes IPv6. Los cambios de direccin MAC de la pila, que tambin cambia la direccin IPv6. Cuando
se especifica la direccin IPv6 de pila con un identificador nico extendido (EUI) mediante el uso de la direccin ipv6
ipv6-prefijo / longitud de prefijo Eui-64 comando de configuracin de interfaz, la direccin se basa en la interfaz
Direccin MAC. Consulte la "Configuracin de las direcciones IPv6 y habilitar Enrutamiento IPv6" en la
pgina 46-18.
Si configura la funcin de la direccin MAC persistente en la pila y los maestros de los cambios de pila, la pila
Direccin MAC no cambia durante aproximadamente 4 minutos. Para obtener ms informacin, consulte la "Habilitacin
Seccin persistente Direccin MAC "en la pgina 5-24 en Captulo 5, "Gestin de Pilas interruptor."
El capitn y los miembros de la pila IPv6 tienen estas caractersticas:
Master Pila:
-Ejecuta los protocolos de enrutamiento IPv6
-Genera tablas de enrutamiento
46-16
OL-29703-01
Captulo 46
-Distribuye las tablas de enrutamiento CEFv6 apilar miembros que usan dCEFv6
-Ejecuta las funciones de host IPv6 y aplicaciones IPv6
Miembro de la pila (debe estar ejecutando los servicios IP cuentan con set):
-Recibe las tablas de enrutamiento CEFv6 de la maestra de la pila
-Programas de las vas de entrada de hardware
Nota
Paquetes IPv6 son enrutados en hardware a travs de la pila si el paquete no tiene excepciones
(IPv6 Opciones) y los conmutadores de la pila no se han agotado los recursos de hardware.
Configuracin de
IPv6
IPv6 Configuracin por defecto, pgina 46-17
Afinacin LSA y SPF Timers para OSPFv3 Convergencia Rpida, pgina 46-37
Configuracin de los dispositivos de salvamento y SPF Throttling para OSPFv3 Convergencia Rpida,
pgina 46-37
Configuracin de IPSec en OSPFv3, pgina 46-38
Caracterstica
Plantilla de SDM
Enrutamiento IPv6
46-17
Captulo 46
Configuracin de IPv6
Tabla 46-1
Caracterstica
CEFv6 o dCEFv6
Ninguno configurado
No todas las caractersticas que se describen en este captulo son compatibles con el switch. Consulte la "IPv6 no compatible
Unicast Caractersticas de enrutamiento "en la pgina 46-15.
Para reenviar el trfico IPv6 en una interfaz, debe configurar una direccin IPv6 global en esa interfaz.
Configuracin de una direccin IPv6 en una interfaz se configura automticamente una direccin y activa de enlace local
IPv6 para la interfaz. La interfaz configurada une automticamente estos grupos de multidifusin requeridos para
en el enlace:
de nodo solicitado de multidifusin FF02 grupo: 0: 0: 0: 0: 1: FF00 :: / 104 para cada direccin unicast asignada a la
interfaz (Esta direccin se utiliza en el proceso de descubrimiento de vecinos.)
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
46-18
OL-29703-01
Captulo 46
Accin o Comando
Propsito
Paso 4
recargar
Paso 5
configure terminal
Paso 6
interfaz interface-id
Paso 7
no switchport
Paso 8
o
direccin ipv6 ipv6-direccin / longitud de prefijo
o
direccin ipv6 ipv6-direccin de enlace local
o
Paso 9
ipv6 permitir
Salida
Paso 10 enrutamiento IP
Paso 12 fin
Para eliminar una direccin IPv6 de una interfaz, utilice el ninguna direccin IPv6 ipv6-prefijo / longitud de prefijo Eui-64
o ninguna direccin IPv6 ipv6-direccin de enlace local comando de configuracin de interfaz. Para eliminar toda forma manual
configurado las direcciones IPv6 de una interfaz, utilice el ninguna direccin IPv6 comando de configuracin de interfaz
sin argumentos. Para deshabilitar el procesamiento de IPv6 en una interfaz que no se ha configurado de forma explcita
con una direccin IPv6, use el no hay ipv6 permiten comando de configuracin de interfaz. Para deshabilitar globalmente IPv6
enrutamiento, utilice el no unicast-routing IPv6 comando de configuracin global.
Este ejemplo muestra cmo habilitar IPv6 tanto con una direccin de enlace local y una direccin global basado en la
IPv6 prefijo 2001: 0db8: c18: 1 :: / 64. El ID de interfaz EUI-64 se utiliza en el orden inferior de 64 bits de ambos
direcciones. La salida de la show interface ipv6 Comando EXEC se incluye para mostrar cmo la interfaz
ID (20B: 46ss: FE2F: D940) se aade al prefijo de enlace local FE80 :: / 64 de la interfaz.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
46-19
Captulo 46
Configuracin de IPv6
Ejemplos de configuracin para la implementacin de Primera Hop Seguridad en IPv6, pgina 46-24
46-20
OL-29703-01
Captulo 46
Propsito
Paso 1 permitir
Paso 4 [Datos espigar | por defecto |dispositivo de papel [Nodo Permite direccin de datos espigando, valida los mensajes contra varios
| Interruptor] |lmite {Direccin-count valor } | Criterios, especifica el nivel de seguridad de los mensajes.
no |protocolo [Todo | dhcp |ndp] |
(Opcional) datos-espigar-Activa direccin de datos espigando. Esta opcin
-nivel de seguridad [Espigar | guardia |inspeccionar] |
est desactivado por defecto.
seguimiento [Deshabilitar | enable] |
(Opcional) defecto-Sets todas las opciones predeterminadas.confianza-puerto}
(Opcional) dispositivo de papel [Nodo | Interruptor] -Qualifies el papel de la
dispositivo conectado al puerto.
rechaza los mensajes del servidor RA y DHCP. Este es el valor por defecto
opcin.
-inspeccionar-Espiga direcciones, valida los mensajes para la consistencia
Paso 5 Salida
46-21
Captulo 46
Configuracin de IPv6
Para fijar una poltica de husmear a una interfaz o VLAN, siga los siguientes pasos:
Accin o Comando
Propsito
Paso 1 permitir
Paso 4 switchport
Paso 5 Salida
nombre-poltica
o
configuracin de la VLAN lista de vlan
snooping ipv6 adjuntar-poltica
nombre-poltica
Nota
Para configurar la poltica Vecino Descubrimiento Multicast reprimir en un dispositivo, siga los siguientes pasos:
Accin o Comando
Propsito
Paso 1 permitir
Para configurar la poltica Vecino Descubrimiento Multicast reprimir en una interfaz, complete el siguiente
pasos:
Accin o Comando
Propsito
Paso 1 permitir
46-22
OL-29703-01
Captulo 46
Accin o Comando
Propsito
o
configuracin de la VLAN id_vlan
Paso 5 Salida
Propsito
Paso 1 permitir
Paso 4 [Default | dispositivo de papel [Client | servidor] |no Configura los parmetros de la poltica de guardia DHCP.
|Salida |confianza-puerto]
(Opcional) Set default- una orden a sus valores predeterminados.
Nota
Paso 5 Salida
nombre-poltica
O
configuracin de la VLAN id_vlan
Paso 8 mostrar poltica ipv6 guardia dhcp
nombre-poltica
46-23
Captulo 46
Configuracin de IPv6
Propsito
Paso 1 permitir
de origen
modo de configuracin.
Permite todo el trfico de datos que proviene de una direccin de enlace local.
-nombre de la directiva]
Paso 7 Salida
Nombre
Este ejemplo muestra cmo adjuntar una poltica fisgonear a una VLAN y configurar un RA confiar
puerto del router y DHCP confiaron puerto del servidor:
Switch (config) # configuracin de la VLAN 100
Switch (config-vlan-config) # ipv6 espionaje
Switch (config-vlan-config) # Salida
Switch (config) # ipv6 nd enrutador poltica raguard
Switch (config-nd-raguard) # enrutador dispositivo en roles
Switch (config-nd-raguard) # Salida
Switch (config) # dhcp ipv6 servidor poltica guardia
Switch (config-dhcp-guardia) # servidor de dispositivo de papel
Switch (config-dhcp-guardia) # Salida
Caracterstica
Guardia DHCP
Zona de destino
vlan todo
46-24
OL-29703-01
Captulo 46
Te2 / medio
vlan 100
PUERTO enrutador
VLAN
por defecto
Guardia RA
Curioseando
vlan todo
vlan todo
Este ejemplo muestra cmo crear una poltica de husmear llamada Prueba y permitir direccin de datos espigando
en ella:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
#
#
#
#
#
#
#
#
Prueba de la poltica
datos-espigar
nodo del dispositivo en roles
Direccin de conteo 1 Lmite
Protocolo DHCP
espigar-nivel de seguridad
seguimiento permitir
no-puerto de confianza
Salida
Este ejemplo muestra cmo configurar la poltica de husmear llamado Prueba, permitir direccin de datos espigando en
la poltica, y permitir guardia fuente donde se permiten las direcciones local y global
direcciones de autoconfiguracin se les niega la entrada:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Este ejemplo muestra cmo adjuntar una poltica husmeando con guardia de fuente a una interfaz:
Switch (config) # interfaz gigabitethernet2 / 0/3
Switch (config-if) # snooping ipv6 Prueba attach-poltica
Switch (config-if) # ipv6 fuente-guardia Prueba attach-poltica
Switch # mostrar prueba poltica ipv6 fuente-guard
Poltica de configuracin de prueba:
link-local de permiso
global de rechazo-autoconf
Poltica de prueba se aplica en los siguientes objetivos:
Tipo Rango de Target Poltica FeatureTarget
Gi2 / 0/3 PUERTO TestSource vlan guardia todo
Este ejemplo muestra cmo configurar una poltica guardia llamado DHCP Prueba y adjuntarlo a una interfaz:
Switch (config) # Prueba de la poltica ipv6 dhcp-guard
Switch (config-dhcp-guardia) # no-puerto de confianza
Switch (config-dhcp-guardia) # Salida
Switch
Switch
Switch
O
Switch
Switch
Switch
46-25
Captulo 46
Configuracin de IPv6
Este ejemplo muestra cmo se puede activar la funcin de FHS en una interfaz o VLAN, sin crear un
snooping poltica.
Nota
Creacin de una directiva le da la flexibilidad para configurar segn sus necesidades. Si activa la funcin
sin crear una poltica, a continuacin, se aplica la configuracin de la poltica por defecto:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
O
Switch
Switch
Switch
Switch
Switch
Nota
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Verifica la configuracin.
Paso 6
Utilice el No ND ipv6 router preferencia comando de configuracin de interfaz para desactivar un DRP IPv6.
46-26
OL-29703-01
Captulo 46
Este ejemplo muestra cmo configurar un DRP de alta para el router en una interfaz.
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # ipv6 nd enrutador preferencia alta
(config-if) # fin
Para obtener ms informacin sobre la configuracin de DRP para IPv6, consulte "Direcciones implementando IPv6 y Bsico
Conectividad captulo "en la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
enrutamiento IP
Paso 3
ipv6 unicast-routing
Paso 4
interfaz interface-id
Paso 5
no switchport
Paso 6
Paso 7
o
direccin ipv6 ipv6-direccin de enlace local
o
ipv6 permitir
Paso 8
fin
Paso 9
46-27
Captulo 46
Configuracin de IPv6
Para deshabilitar el enrutamiento IPv4, utilice el sin enrutamiento IP comando de configuracin global. Para deshabilitar el
enrutamiento IPv6,
utilizar el no unicast-routing IPv6 comando de configuracin global. Para eliminar una direccin IPv4 de un
interfaz, utilice el no ip address mscara de direccin-ip comando de configuracin de interfaz. Para eliminar una IPv6
abordar desde una interfaz, utilice el ninguna direccin IPv6 ipv6-prefijo / longitud de prefijo Eui-64 o ninguna direccin IPv6
ipv6-direccin de enlace local comando de configuracin de interfaz. Para eliminar toda IPv6 configurada manualmente
direcciones desde una interfaz, use el ninguna direccin IPv6 comando de configuracin de interfaz sin
argumentos. Para deshabilitar el procesamiento de IPv6 en una interfaz que no se ha configurado explcitamente con una
Direccin IPv6, use el no hay ipv6 permiten comando de configuracin de interfaz.
Este ejemplo muestra cmo habilitar el enrutamiento IPv4 e IPv6 en una interfaz:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
46-28
OL-29703-01
Captulo 46
En los procedimientos, la interfaz especificada debe ser una de estas Capa 3 interfaces:
-Enrutamiento IPv6 DHCPv6 debe estar habilitado en una interfaz de capa 3.
-Interfaz SVI- Una VLAN creada mediante el interfaz vlan vlan_id de comandos.
-Canal del puerto EtherChannel en el modo de capa 3 - interfaz lgica Aport canal creado por el uso de
Antes de configurar DHCPv6, debe seleccionar una base de datos de administracin de conmutadores (SDM) plantilla que
es compatible con IPv4 e IPv6.
El interruptor puede actuar como un cliente DHCPv6, el servidor o agente de retransmisin. El cliente DHCPv6, el servidor y
el rel
funcin son mutuamente excluyentes en una interfaz.
El cliente, el servidor o agente de retransmisin DHCPv6 se ejecuta slo en el interruptor principal. Cuando hay una pila
reeleccin maestro, el nuevo interruptor principal conserva la configuracin DHCPv6. Sin embargo, lo local
No se conserva copia de RAM de la base de datos de informacin de concesin del servidor DHCP.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la funcin de servidor DHCPv6 en un
interfaz:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
prefijo de la direccin IPv6-prefix vida {T1 t1 |infinito} (Opcional) Especifica un prefijo de direccin de direccin
asignacin.
Esta direccin debe estar en hexadecimal, utilizando valores de 16 bits
entre dos puntos.
vida t1 t1-Especifica un intervalo de tiempo (en segundos) que un
Prefijo de la direccin IPv6 permanece en estado vlido. El rango es de 5
a 4294967295 segundos. Especifique infinita sin intervalo de tiempo.
Paso 4
46-29
Captulo 46
Configuracin de IPv6
Accin o Comando
Propsito
Paso 5
Paso 6
Paso 7
Salida
Paso 8
Salida
Paso 9
interfaz interface-id
Paso 11 fin
o
mostrar la interfaz dhcp ipv6
Paso 13 copy running-config startup-config
Para suprimir una agrupacin de DHCPv6, utilice el no hay piscina dhcp ipv6 poolname comando de configuracin global. Utilice el
no forma del modo de configuracin de la agrupacin DHCP comandos para cambiar las caractersticas de la piscina DHCPv6.
Para desactivar la funcin de servidor DHCPv6 en una interfaz, utilice el ningn servidor dhcp ipv6 interfaz
comando de configuracin.
Este ejemplo muestra cmo configurar un grupo llamado ingeniera con un prefijo de direccin IPv6:
Switch
Switch
Switch
Switch
# configure terminal
(config) # dhcp ipv6 ingeniera piscina
(config-dhcpv6) #address prefijo 2001: 1000 :: 0/64
(config-dhcpv6) # fin
46-30
OL-29703-01
Captulo 46
Este ejemplo muestra cmo configurar un grupo llamado TestGroup con tres conexiones en direcciones y un IPv6
prefijo de direccin:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # dhcp ipv6 piscina TestGroup
(config-dhcpv6) # enlace de direccin 2001: 1001 :: 0/64
(config-dhcpv6) # enlace de direccin 2001: 1002 :: 0/64
(config-dhcpv6) # enlace de direccin 2001: 2000 :: 0/48
(config-dhcpv6) # prefijo de la direccin 2001: 1003 :: 0/64
(config-dhcpv6) # fin
Este ejemplo muestra cmo configurar un grupo llamado 350 con opciones especficas del proveedor:
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # ipv6 dhcp pool 350
(config-dhcpv6) # prefijo de la direccin 2001: 1005 :: 0/48
(config-dhcpv6) # especfica del proveedor 9
(config-dhcpv6-vs) # subopcin 1 direccin 1000: 235D :: 1
(config-dhcpv6-vs) # subopcin 2 ascii "-Telfono IP"
(config-dhcpv6-vs) # fin
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
Para desactivar la funcin de cliente DHCPv6, utilice el no dhcp direccin ipv6 comando de configuracin de interfaz.
Para retirar la solicitud del cliente DHCPv6, utilice el ninguna direccin ipv6 solicitud del cliente DHCP interfaz
comando de configuracin.
Este ejemplo muestra cmo adquirir una direccin IPv6 y habilitar la opcin rpida-commit:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # dhcp direccin ipv6 rpida-commit
Este documento describe slo la asignacin de direcciones DHCPv6. Para obtener ms informacin acerca de la configuracin
el cliente DHCPv6, funciones de servidor o agente de retransmisin, consulte el captulo "Implementacin de DHCP para IPv6" en
la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
46-31
Captulo 46
Configuracin de IPv6
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
Paso 5
Para volver a la configuracin por defecto, utilice el ningn error-intervalo icmp ipv6 configuracin global
de comandos.
Este ejemplo muestra cmo configurar un intervalo de mensaje de error ICMP IPv6 de 50 milisegundos y una
tamao de la cubeta de 20 fichas.
Switch (config) # ipv6 ICMP error de intervalo de 50 20
46-32
OL-29703-01
Captulo 46
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
Paso 3
fin
46-33
Captulo 46
Configuracin de IPv6
Paso 4
Accin o Comando
Propsito
Para eliminar una ruta esttica configurada, utilice el ninguna ruta ipv6 ipv6-prefijo / longitud de prefijo {Ipv6-direccin |
interface-id [Ipv6-address]} [administrativa distancia] comando de configuracin global.
Este ejemplo muestra cmo configurar una ruta esttica flotante a una interfaz con un administrativo
distancia de 130:
Switch (config) # ipv6 route 2001: 0db8 :: / 32 gigabitethernet2 / 0/1 130
Para obtener ms informacin acerca de la configuracin de enrutamiento IPv6 esttico, consulte la "Implementacin de rutas
estticas para
IPv6 captulo "en la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Salida
Paso 5
interfaz interface-id
Paso 6
46-34
OL-29703-01
Captulo 46
Paso 7
Accin o Comando
Propsito
Para evitar bucles de enrutamiento despus de la ruta por defecto IPv6 (:: /
0)
se origina desde cualquier interfaz, el proceso de enrutamiento
ignora todas las rutas por defecto recibidos en cualquier interfaz.
slo- Se origina la ruta por defecto, pero suprimir todos los dems
rutas en las actualizaciones enviadas en esta interfaz.
Paso 8
fin
Paso 9
o
mostrar ipv6 rip ruta [Actualizada]
Paso 10 copy running-config startup-config
Para desactivar un proceso de enrutamiento RIP, utilice el no router rip ipv6 Nombre comando de configuracin global. Para
desactivar el proceso de enrutamiento RIP para una interfaz, utilice el no rip ipv6 Nombre configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo habilitar el proceso de enrutamiento RIP cisco con un mximo de ocho igual costo
rutas y para activarlo en una interfaz:
Switch
Switch
Switch
Switch
Switch
Para obtener ms informacin sobre cmo configurar el enrutamiento RIP para IPv6, consulte el "RIP La implementacin de
IPv6"
captulo en el Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com
Tenga cuidado al cambiar los valores por defecto para los comandos de IPv6. Cambio de los valores predeterminados podran
adversamente
afectar OSPF para la red IPv6.
Antes de habilitar IPv6 OSPF en una interfaz, debe habilitar el enrutamiento mediante el uso de la enrutamiento IP
comando de configuracin global, habilite el reenvo de paquetes IPv6 utilizando el ipv6
unicast-routing comando de configuracin global, y habilitar IPv6 en la Capa 3 interfaces en el que
est habilitando IPv6 OSPF.
46-35
Captulo 46
Configuracin de IPv6
Comenzando en el modo EXEC privilegiado, siga estos pasos obligatorios y opcionales para configurar IPv6 OSPF:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
costo funcin de los costos (Opcional) Mtricas o costo para esta ruta de
resumen,
que se utiliza durante el clculo de OSPF para determinar el SPF
caminos ms cortos hacia el destino. El valor puede ser de 0 a
16777215.
(Opcional) Define el nmero mximo de rutas de igual costo para
el mismo destino que IPv6 OSPF debe entrar en el enrutamiento
tabla. El rango es de 1 a 64, y el valor predeterminado es de 16 caminos.
Paso 4
Paso 5
Salida
Paso 6
interfaz interface-id
Paso 7
Paso 8
fin
Paso 9
o
espectculo ipv6 ospf [Proceso-id] [area-id]
Paso 10 copy running-config startup-config
46-36
OL-29703-01
Captulo 46
Para desactivar un proceso de enrutamiento OSPF, utilice el no ipv6 router ospf proceso de Identificacin configuracin global
de comandos. Para desactivar el proceso de enrutamiento OSPF para una interfaz, utilice el no ipv6 ospf proceso de Identificacin
zona
area-id comando de configuracin de interfaz.
Para obtener ms informacin acerca de la configuracin de enrutamiento OSPF para IPv6, consulte la "Implementacin de OSPF
para IPv6"
captulo en el Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
Para obtener ms informacin, consulte el apartado "Habilitacin Registro de eventos para LSA y SPF Limitacin de velocidad "
"Verificacin
Configuracin de OSPFv3 y Operacin ", y "Ejemplo: Configuracin de los dispositivos de salvamento y SPF Throttling para
OSPFv3 Convergencia rpida " secciones de la Implementacin OSPFv3 captulo de la Cisco IOS IPv6
Configuracin de la biblioteca en Cisco.com.
46-37
Captulo 46
Configuracin de IPv6
Configuracin de IPSec en
OSPFv3
Nota
Para habilitar la autenticacin y el cifrado, configurar la seguridad IP (IPsec) aplicacin de conexin segura
interfaz de programacin (API) sobre OSPFv3.
Para obtener informacin sobre la configuracin de IPsec, consulte las siguientes secciones de la Cisco IOS Configuracin IPv6
Biblioteca en Cisco.com:
Definicin de la autenticacin y encriptacin para una Virtual Link en una zona OSPFv3
Nota
Si EIGRP para IPv6 no est en modo de apagado, EIGRP puede empezar a correr antes de entrar al EIRGP
-el modo de enrutador comandos para configurar el router y la interfaz.
Para configurar un router ID explcita, utilice el mostrar eigrp ipv6 comando para ver las ID del router configurados, y luego
utilizar el router-id de comandos.
Al igual que con EIGRP IPv4, puede utilizar EIGRPv6 para especificar las interfaces IPv4 EIGRP y para seleccionar un subconjunto
de esas interfaces como pasivas. Utilice el passive-interface por defecto comando para hacer que todas las interfaces
pasivo, y luego usar el sin interfaz pasiva comandos en interfaces seleccionadas para que sean activos.
EIGRP IPv6 no necesita ser configurado en una interfaz pasiva.
Para ms procedimientos de configuracin, consulte el captulo "Implementacin de EIGRP para IPv6" en la Cisco IOS
Biblioteca de configuracin de IPv6 en Cisco.com.
46-38
OL-29703-01
Captulo 46
Para conocer las directrices de configuracin al configurar HSRP para IPv6 con HSRPv1 y HSRPv2, consulte la
Seccin "HSRP Configuracin por defecto" en la pgina 48-5 y el "Solucin de problemas HSRP para pilas mixtas
seccin del Catalyst 3750-X, 3750-E y 3750 Interruptores "en la pgina 48-12.
Para obtener ms informacin acerca de HSRP para IPv6 y HSRPv2, consulte la Captulo 48, "Configuracin HSRP y
VRRP ".
Nota
Antes de configurar un grupo HSRP para IPv6, debe habilitar el reenvo de paquetes IPv6 utilizando
la ipv6 unicast-routing comando de configuracin global y habilitar el IPv6 en la interfaz en la que
configurar un grupo HSRP para IPv6.
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Versin de espera {1 | 2}
Paso 4
fin
Paso 5
espectculo de espera
Verifica la configuracin.
Paso 6
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear o habilitar HSRP para IPv6 en una capa 3
interfaz:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
46-39
Captulo 46
Configuracin de IPv6
Accin o Comando
Paso 3
Propsito
standby [Grupo-nmero] ipv6 {Link-local-direccin de Crea (o permite) el HSRP para IPv6 grupo.
|autoconfig}
(Opcional) grupo-number-La nmero de grupo en la
HSRP interfaz para la que est siendo activado. El rango es de 0
de 4095. El valor predeterminado es 0 Si slo hay un grupo HSRP,
que no es necesario introducir el nmero de grupo.
Paso 4
Utilice el no forma del comando para restaurar los valores por defecto.
Paso 5
Paso 6
fin
Paso 7
Verifica la configuracin.
Paso 8
Utilice el no espera [Grupo-nmero] ipv6 comando de configuracin de interfaz para desactivar HSRP para IPv6.
Este ejemplo muestra cmo activar HSRP para IPv6 para el grupo 1 en un puerto. La direccin IP utilizada por el
grupo espera activa se aprende mediante el uso de HSRP para IPv6.
Nota
Este procedimiento es el nmero mnimo de pasos necesarios para permitir HSRP para IPv6. Otras configuraciones
son opcionales.
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # espera 1 ipv6 autoconfig
46-40
OL-29703-01
Captulo 46
Para obtener ms informacin sobre la configuracin de HSRP para IPv6, consulte la "Configuracin de Primera Hop
Redundancia
Protocolos en IPv6 captulo "en la Cisco IOS IPv6 Configuracin de la biblioteca en Cisco.com.
Configuracin de Multi-VRF
CE
El switch soporta mltiples VPN de enrutamiento / reenvo (multi-VRF) casos en el borde del cliente (CE)
dispositivos (multi-VRF CE) cuando se est ejecutando el conjunto de funciones IP Services. Multi-VRF CE permite un servicio
proveedor para apoyar dos o ms VPNs con la superposicin de direcciones IP.
Para entender multi-VRF CE, consulte la Seccin "Comprensin Multi-VRF CE" en la pgina 45-77.
Multi-VRF CE se puede configurar para una familia de direcciones particular, IP (IPv4 o IPv6 o ambos). En esta seccin
proporciona informacin acerca de CE multi-VRF para IPv6.
Nota
El interruptor no utiliza conmutacin de etiquetas multiprotocolo (MPLS) para apoyar las VPN.
IPv6 routing multicast no se admite en una interfaz VRF asociada.
Caracterstica
VRF
Mapas
Tabla de reenvo
Configuracin VRFs
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una o ms VRFs.
46-41
Captulo 46
Configuracin de Multi-VRF CE
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
ipv6 unicast-routing
Paso 3
Paso 4
Paso 5
rd ruta-distinguisher
Paso 6
Paso 7
Paso 8
interfaz interface-id
Paso 9
Paso 10 fin
[VRF-nombre]
Paso 12 copy running-config startup-config
Utilice el ninguna definicin vrf VRF-nombre comando de configuracin global para eliminar un VRF y para eliminar todo
las interfaces de ella. Utilice el sin reenvo vrf VRF-nombre comando de configuracin de interfaz para eliminar un
interfaz de la VRF.
Descubrimiento de vecinos
Ping
Traceroute
FTP y TFTP
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar los servicios de VRF conscientes de Vecino
descubrimiento.
46-42
OL-29703-01
Captulo 46
Accin o Comando
Propsito
Accin o Comando
Propsito
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no switchport
Paso 4
Paso 5
Paso 6
Paso 7
fin
Accin o Comando
Propsito
46-43
Captulo 46
Configuracin de Multi-VRF CE
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Ruta esttica
Paso 1
Accin o Comando
Propsito
Protocolos de
Enrutamiento
Nota
La configuracin que se muestra aqu es para OSPF, pero el proceso es el mismo para otros protocolos.
Para configurar un proceso de enrutamiento EIGRP para funcionar dentro de una instancia VRF, debe configurar una
nmero de sistema autnomo mediante la introduccin de la -sistema autnomo -sistema autnomo-nmero
direccin familiar comando de modo de configuracin.
46-44
OL-29703-01
Captulo 46
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar OSPF en la VPN:
Accin o Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
enrutador router-id
Paso 4
log-adyacencia-cambios
Paso 5
direccin familiar ipv6 unicast vrf VRF-nombre Entra en el modo de comandos familia de direcciones para el VRF.
Paso 6
Paso 7
redistribuir BGP
-sistema autnomo-nmero
Redistribuye las rutas de proceso de enrutamiento BGP para proceso de enrutamiento OSPF.
Paso 8
fin
Paso 9
Utilice el no OSPFv3 Router proceso de Identificacin comando de configuracin global para disociar el reenvo VPN
tabla desde el proceso de enrutamiento OSPF.
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Define los parmetros de BGP para PE a sesiones de enrutamiento CE, y entra VRF
el modo de direccin familiar.
Paso 6
Paso 7
Paso 8
Paso 9
fin
46-45
Captulo 46
Configuracin de Multi-VRF CE
Utilice el sin router bgp -sistema autnomo-nmero comando de configuracin global para eliminar el BGP
proceso de enrutamiento. Utilice el comando con palabras clave para eliminar las caractersticas de enrutamiento.
Figura 46-2
Cambie B
Cambie C
VPN1
VPN1
Cambiar D
Cambie T
Gigabit
Ethernet
1/0/1
VPN2
Tronco
Cambiar E
4000 :: 0/64 Gigabit
Ethernet
1/0/2
Gigabit
Ethernet
1/0/24
CE1
VPN2
Tronco
Gigabit
Ethernet
1/0/1
Gigabit
Ethernet
1/0/2
PE
Gigabit
Ethernet
1/0/24
Cambie H
Gigabit
Ethernet
1/0/2
CE2
Red global
Cambie F
Red global
Cambie J
5000 :: 0/64
Gigabit
Ethernet
1/0/3
Gigabit
Ethernet
1/0/3
370230
Configuracin de interruptor A
El interruptor A, habilitar el enrutamiento y configurar VRF.
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea.
Terminar con CTRL / Z.
Switch (config) # ipv6 unicast-routing
Switch (config) # vrf definicin v11
Switch (config-vrf) # rd 11: 1
Switch (config-vrf) # ipv6 direccin familiar
Switch (config-vrf-af) # Salida
Switch (config-vrf) # vrf definicin v12
Switch (config-vrf) # rd 12: 1
Switch (config-vrf) # ipv6 direccin familiar
Switch (config-vrf-af) # fin
46-46
OL-29703-01
Captulo 46
Configure las interfaces fsicas en el interruptor A. interfaz Gigabit Ehernet 1/0/24 es una conexin troncal de
el PE. Puertos Gigabit Ethernet 1/0/1 y 1/0/2 se conectan a redes privadas virtuales.
Switch # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL /
Z.
Switch (config) # GigabitEthernet interfaz 1/0/1
Switch (config-if) # switchport access vlan 208
Switch (config-if) # no ip address
Switch (config-if) # Salida
Switch (config) # gigabitethernet interfaz 1/0/2
Switch (config-if) # switchport access vlan 118
Switch (config-if) # no ip address
Switch (config-if) # Salida
Switch (config) # GigabitEthernet interfaz 1/0/24
Switch (config-if) # switchport trunk encapsulacin dot1q
Switch (config-if) # switchport mode trunk
Switch (config-if) # Salida
Configurar las VLAN utilizadas en el interruptor A. VLAN 10 es utilizado por VRF11 entre la CE y el PE.
VLAN 20 es utilizado por VRF12 entre la CE y el PE. VLAN 118 y 208 se utilizan para las VPNs
que incluir E y el interruptor D, respectivamente.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
46-47
Captulo 46
Configuracin de Multi-VRF CE
Switch
Switch
Switch
Switch
Switch
(config-router-af)
(config-router-af)
(config-router-af)
(config-router-af)
(config-router-af)
#
#
#
#
#
Switch
Switch
Switch
Switch
Switch
redistribuir ospf 1
vecino 1000 :: 2 remote-as 100
vecino 1000 :: 2 activate
red 3000 :: / 64
Salida
Switch
Switch
Switch
Switch
Switch
46-48
OL-29703-01
Captulo 46
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Comando
Propsito
mostrar ipv6 ruta vrf VRF-nombre [Conectado] [protocolo [as-number]] [lista] Muestra asocia informacin de la tabla de enrutamiento IP
[mviles] [ODR] [Perfil] [esttica] [Resumen] [superredes-only] con una VRF.
mostrar vrf ipv6 [Breve | detalle |Interfaces] [VRF-nombre]
Viendo IPv6
Para conocer la sintaxis completa y la informacin de uso de estos comandos, vea la referencia de comandos de Cisco IOS
publicaciones.
Tabla 46-4
Comando
Propsito
46-49
Captulo 46
Viendo IPv6
Tabla 46-4
Comando
Propsito
Tabla 46-5
Comando
Propsito
mostrar la topologa EIGRP ipv6 [As-number | ipv6-address] Muestra EIGRP entradas en la tabla de topologa IPv6.
[Activo | todos los enlaces |detalle-enlaces |pendiente |Resumen |
cero sucesores]
Tabla 46-6
Comando
Propsito
Muestra una lista de los ltimos 20 peticiones hechas por el cliente HTTP al servidor.
46-50
OL-29703-01
Captulo 46
FF02 :: 2
FF02 :: 1: FF2F: D940
MTU es de 1500 bytes
Mensajes ICMP de error limitan a uno cada 100 milisegundos
Redirecciones ICMP estn habilitados
ND DAD est habilitada, el nmero de intentos DAD: 1
ND tiempo alcanzable es 30.000 milisegundos
ND tiempo alcanzable anunciado es 0 milisegundos
ND intervalo de retransmisin anunciada es 0 milisegundos
Anuncios de enrutador ND se envan cada 200 segundos
Anuncios de enrutador ND viven 1.800 segundos
<Salida trunca>
46-51
Captulo 46
Viendo IPv6
46-52
OL-29703-01
E R CH A P T
48
Entendimiento HSRP
HSRP es el mtodo estndar de Cisco de proporcionar alta disponibilidad de la red, proporcionando la primera-hop
redundancia para hosts IP en una LAN IEEE 802 configurados con una direccin IP de puerta de enlace predeterminada. Rutas
HSRP
Trfico IP sin depender de la disponibilidad de un solo router. Permite a un conjunto de interfaces del router a
trabajar juntos para presentar la apariencia de un nico enrutador o puerta de enlace predeterminada virtual para los hosts en una
LAN. Cuando HSRP est configurado en una red o segmento, proporciona un control de acceso a medios virtuales
(MAC) y una direccin IP que se comparte entre un grupo de routers configurados. HSRP permite dos
o ms routers HSRP-configurado para utilizar la direccin MAC y la direccin IP de un router virtual.
El router virtual no existe; que representa el objetivo comn entre los routers que estn configurados para
48-1
Captulo 48
Entendimiento HSRP
proporcionar copia de seguridad el uno al otro. Uno de los routers se selecciona para ser el router activo y otro para ser el
router de reserva, que asume el control de la direccin MAC de grupo y la direccin IP si el designado
enrutador activos fallan.
Nota
Routers en un grupo HSRP puede ser cualquier interfaz del router que soporta HSRP, incluyendo Catalyst 3750-E
o 3560-E Catalyst 3750-X o 3560-X enrutan puertos y cambiar interfaces virtuales (SVI). Interruptores
ejecutar la operacin base set soporte LAN slo enrutamiento esttico en SVI.
HSRP proporciona una alta disponibilidad de la red al proporcionar redundancia para el trfico IP de los hosts en redes.
En un grupo de interfaces del router, el router activo es el router de eleccin para los paquetes de enrutamiento; la espera
router es el router que se hace cargo de las funciones de enrutamiento cuando un router activo falla o cuando las condiciones
preestablecidas
se cumplan.
HSRP es til para aquellas mquinas que no son compatibles con un protocolo de deteccin de enrutador y no se puede cambiar a un
nuevo router
cuando sus recargas de router seleccionados o pierde el poder. Cuando HSRP se configura en un segmento de red,
proporciona una direccin MAC virtual y una direccin IP que se comparte entre las interfaces del router en un grupo de
interfaces del router corriendo HSRP. El router seleccionado por el protocolo para ser el router activo recibe y
enruta los paquetes destinados a la direccin MAC del grupo. Para nrouters ejecutando HSRP, hay n 1 IP y
Direcciones MAC asignadas.
HSRP detecta cuando falla el router activo designado, y un router de espera seleccionado asume el control de
direcciones MAC e IP del grupo Hot Standby. Un nuevo router de espera tambin se selecciona en ese momento.
Los dispositivos que ejecutan HSRP enviar y recibir paquetes de saludo basado en UDP multidifusin para detectar el fracaso router
y
para designar routers activos y en espera. Cuando HSRP est configurado en una interfaz, de control de Internet
Protocolo de mensajes (ICMP) redirigir mensajes se habilitan automticamente para la interfaz.
Puede configurar varios grupos Hot Standby entre interruptores y cambiar las pilas que estn operando en
Capa 3 para hacer un mayor uso de los routers redundantes. Para ello, especifique un nmero de grupo para cada Hot
Grupo comando Standby se configura para una interfaz. Por ejemplo, es posible configurar una interfaz
el interruptor 1 como router activo y uno en el interruptor 2 como un router de reserva y tambin configurar otro
interfaz en el interruptor 2 como un router activo con otra interfaz en el interruptor 1 como router de reserva.
Figura 48-1 muestra un segmento de una red configurada para HSRP. Cada router se configura con el MAC
direccin y direccin de red IP del router virtual. En lugar de la configuracin de hosts en la red con
la direccin IP del Router A, usted los configure con la direccin IP del router virtual como su defecto
router. Cuando Host C enva paquetes al host B, que los enva a la direccin MAC del router virtual. Si
por cualquier razn, el router A deja de transferencia de paquetes, el router B responde a la direccin IP virtual y
direccin y MAC virtual se convierte en el router activo, asumiendo las funciones de router activos. Organiza C contina
para utilizar la direccin IP del router virtual para tratar los paquetes destinados para el Host B, que Router B ahora
recibe y enva al Host B. Hasta el Router A reanuda el funcionamiento, HSRP permite Router B para proporcionar
servicio ininterrumpido a los usuarios en el segmento Host de C que necesitan comunicarse con los usuarios en el host B de
segmento y tambin sigue llevando a cabo su funcin normal de los paquetes de manejo entre el host A
segmento y el host B.
48-2
OL-29703-01
Captulo 48
Figura 48-1
Activo
enrutador
172.20.128.1
Virtual
enrutador
Standby
enrutador
172.20.128.3
172.20.128.2
Router A
Router B
172.20.128.55
172.20.128.32
101361
Anfitrin C
Host A
Versiones HSRP
Cisco IOS 12.2 (46) SE y posteriores admiten estas versiones Hot Standby Router Protocol (HSRP):
El conmutador es compatible con estas versiones HSRP:
HSRPv1-Versin 1 del HSRP, la versin predeterminada de HSRP. Tiene las siguientes caractersticas:
-El nmero de grupo HSRP puede ser de 0 a 255.
-HSRPv1 utiliza la direccin multicast 224.0.0.2 para enviar paquetes de saludo, que puede entrar en conflicto con
Protocolo de administracin de grupos de Cisco (CGMP) dejar de procesamiento. No puede habilitar HSRPv1 y
CGMP al mismo tiempo; son mutuamente excluyentes.
Un interruptor de funcionamiento HSRPv1 no puede identificar el router fsico que envi un paquete hello porque
la direccin MAC de origen del router es la direccin MAC virtual.
48-3
Captulo 48
Entendimiento HSRP
HSRPv2 tiene un formato de paquete diferente que HSRPv1. Utiliza un paquete HSRPv2 la
formato tipo-longitud-valor (TLV) y tiene un campo identificador de 6 bytes con la direccin MAC de la
asignador de ruta fsica que envi el paquete.
Si una interfaz corriendo HSRPv1 recibe un paquete HSRPv2, el campo de tipo se ignora.
Multiple HSRP
El switch soporta HSRP Mltiple (MHSRP), una extensin de HSRP que permite la comparticin de carga entre
dos o ms grupos HSRP. Puede configurar MHSRP para lograr el equilibrio de carga y utilizar dos o ms
grupos de reserva (y caminos) de una red de acogida a una red de servidores.
En Figura 48-2, la mitad de los clientes estn configurados para el router A, y la mitad de los clientes estn configurados para
Router B. Juntos, la configuracin de Routers A y B establece dos grupos HSRP. Para el grupo 1,
Router A es el router activo por defecto, ya que tiene la prioridad ms alta asignada, y el Router B es la
router de reserva. Para el grupo 2, el router B es el router activo por defecto, ya que ha asignado la ms alta
prioridad, y el Router A es el router de reserva. Durante el funcionamiento normal, los dos routers comparten el trfico IP
carga. Cuando cualquiera de los enrutadores de estar disponible, el otro router se activa y asume la
funciones de transferencia de paquetes del router que no est disponible.
Consulte la Seccin "Configuracin MHSRP" en la pgina 48-10 para los pasos de configuracin de ejemplo.
Nota
Para MHSRP, es necesario introducir la preempt espera comando de configuracin de interfaz en el HSRP
interfaces de modo que si un router falla y luego vuelve a subir, el sobreseimiento restaura la carga compartida.
Figura 48-2
10.0.0.1
10.0.0.2
121235
Cliente 1
Cliente 2
Cliente 3
Cliente 4
48-4
OL-29703-01
Captulo 48
Configuracin HSRP
Solucin de problemas HSRP para pilas mixtas de Catalyst 3750-X, 3750-E y 3750 Interruptores,
pgina 48-12
Caracterstica
Versin HSRP
Versin 1
Grupos HSRP
Ninguno configurado
Prioridad de espera
100
En espera de retardo
0 (sin retardo)
10
3 segundos
Standby Holdtime
10 segundos
48-5
Captulo 48
Configuracin HSRP
Directrices de configuracin de
HSRP
HSRPv2 y HSRPv1 son mutuamente excluyentes. HSRPv2 no es interoperable con HSRPv1 en una
interfaz y a la inversa.
En los procedimientos, la interfaz especificada debe ser una de estas Capa 3 interfaces:
-Enrutada puerto: un puerto fsico configurado como un puerto de capa 3 mediante la introduccin de la no switchport
Todos Layer 3 interfaces deben tener direcciones IP asignadas a ellos. Consulte la "Configuracin de Capa 3
Seccin Interfaces "en la pgina 15-38.
La versin de un grupo HSRP se puede cambiar de HSRPv2 a HSRPv1 slo si el nmero de grupo
es menor que 256.
Si cambia la versin HSRP en una interfaz, cada grupo HSRP restablece porque ahora tiene un nuevo
direccin MAC virtual.
tiempo.
-Grupos HSRP se pueden configurar hasta 32 casos.
-Configure una sola instancia de un primer protocolo de redundancia Hop (FHRP). El apoyo interruptores
rangos que sean mltiplos de 256. rangos vlidos son de 0 a 255, 256 a 511, 512 a 767, desde 3.840 hasta 4.095,
etctera.
Ejemplos de nmeros de grupo vlidos y no vlidos:
Si configura los grupos con los nmeros 2, 150, y 225, no se puede configurar otro grupo
con el nmero 3850 no est en el rango de 0 a 255.
Si configura los grupos con los nmeros 520, 600, y 700, no se puede configurar otro
grupo con el nmero 900 no est en el rango de 512 a 767.
Habilitar HSRP
El espera ip comando de configuracin de interfaz activa HSRP en la interfaz configurada. Si una IP
direccin se especifica, que la direccin se utiliza como la direccin designada para el grupo Hot Standby. Si no IP
direccin se especifica, la direccin se aprende a travs de la funcin de espera. Debe configurar al menos una
Capa 3 puertos de la LAN con la direccin designada. Configuracin de una direccin IP siempre tiene preferencia
otra direccin designada actualmente en uso.
Cuando el espera ip comando est habilitado en una interfaz y el proxy ARP est habilitada, si la interfaz de
Estado Hot Standby est activo, las peticiones ARP de proxy se responden utilizando el grupo Hot Standby MAC
direccin. Si la interfaz est en un estado diferente, respuestas ARP de proxy se suprimen.
48-6
OL-29703-01
Captulo 48
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear o habilitar HSRP en una interfaz de Capa 3:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Versin de espera {1 | 2}
1-Seleccionar HSRPv1.
2 Seleccione HSRPv2.
Paso 5
fin
Paso 6
Verifique la configuracin.
Paso 7
Utilice el no espera [Grupo-nmero] ip Comando de configuracin de interfaz [direccin IP] para desactivar HSRP.
Este ejemplo muestra cmo activar HSRP para el grupo 1 en una interfaz. La direccin IP utilizada por el calor
grupo de reserva se aprende mediante el uso de HSRP.
Nota
Este procedimiento es el nmero mnimo de pasos necesarios para permitir HSRP. Otro configuracin es
opcional.
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # espera 1 ip
(config-if) # fin
# espectculo de espera
48-7
Captulo 48
Configuracin HSRP
Asignar una prioridad le permite seleccionar los routers activos y en espera. Si preferencia est activada,
el router con la prioridad ms alta se convierte en el router activo. Si las prioridades son iguales, la corriente
router activo no cambia.
El nmero ms alto (1 a 255) representa la prioridad ms alta (mayor probabilidad de convertirse en el activo
router).
Al establecer la prioridad, adelantarse, o ambos, se debe especificar al menos una palabra clave (prioridad,
adelantarse, o ambos).
La prioridad del dispositivo puede cambiar dinmicamente si una interfaz se configura con el standby
pista comando y otra interfaz en el router deja de funcionar.
El pista de espera comando de configuracin de interfaz de los lazos de la prioridad de espera activa del router a la
disponibilidad de sus interfaces y es til para las interfaces de seguimiento que no estn configurados para HSRP.
Cuando una interfaz de seguimiento de falla, la prioridad de espera activa en el dispositivo en el que el seguimiento ha sido
disminuciones configurados por 10. Si una interfaz no se hace un seguimiento, sus cambios de estado no afectan a la caliente
prioridad de espera del dispositivo configurado. Para cada interfaz configurada para hot standby, puede
configurar una lista separada de las interfaces a ser rastreado.
Cuando mltiples interfaces de seguimiento estn abajo y interfaz de prioridad valores se han configurado, el
decrementos prioritarios configurados son acumulativos. Si las interfaces de orugas que no fueron configurados con
valores de prioridad fallan, el decremento por defecto es 10, y es acumulativo.
Cuando est habilitado el enrutamiento por primera vez para la interfaz, no tiene una tabla de enrutamiento completa. Si es
configurado para adelantarse, se convierte en el router activo, a pesar de que no es capaz de proporcionar una adecuada
servicios de enrutamiento. Para resolver este problema, configure un tiempo de retardo para que el router para actualizar su
tabla de enrutamiento.
Comenzando en el modo EXEC privilegiado, utilice uno o ms de los siguientes pasos para configurar la prioridad HSRP
caractersticas en una interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Establecer un prioridad valor utilizado en la eleccin del router activo. El rango es de 1 a 255;
la prioridad por defecto es 100 El nmero ms alto representa la ms alta prioridad.
Utilice el no forma del comando para restaurar los valores por defecto.
48-8
OL-29703-01
Captulo 48
Comando
Paso 4
Propsito
standby [Grupo-nmero] adelantarse Configure el router para adelantarse, lo que significa que cuando el router local tiene
[Retardo [mnimo segundos] [Volver a cargar una prioridad ms alta que el router activo, se convierte en el router activo.
segundos] [Sync segundos]]
(Opcional) grupo-number-La nmero de grupo a la que el comando
aplica.
(Opcional) retraso reload-Set para hacer que el router local para posponer la adopcin de
sobre el papel activo despus de una recarga para el nmero de segundos mostrados. El
rango es de 0 a 36.000 segundos (1 hora); el valor predeterminado es 0 (sin retardo antes
asumiendo el control despus de una recarga).
(Opcional) retardo para la sincrona-Set para hacer que el router local para posponer la adopcin
de
sobre el papel activo para que los clientes de redundancia de IP pueden responder (ya sea con un
Okay o espere responder) para el nmero de segundos mostrados. El rango es de 0 a 36.000
segundos (1 hora); el valor predeterminado es 0 (sin retardo antes de hacerse cargo).
Utilice el no forma del comando para restaurar los valores por defecto.
Paso 5
Configurar una interfaz para rastrear otras interfaces de modo que si una de la otra
interfaces de baja, se baja prioridad Hot Standby del dispositivo.
Paso 6
fin
Paso 7
show running-config
Paso 8
copy running-config
startup-config
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # standby IP 172.20.128.3
(config-if) # prioridad de espera de retardo 120 300 preempt
(config-if) # fin
48-9
Captulo 48
Configuracin HSRP
Configuracin MHSRP
Para habilitar MHSRP y balanceo de carga, se configuran dos routers como routers activos para sus grupos, con
routers virtuales como routers de espera. Este ejemplo muestra cmo habilitar la configuracin MHSRP muestra
en Figura 48-2. Es necesario introducir la preempt espera comando de configuracin de interfaz en cada HSRP
interfaz de modo que si un router falla y vuelve a subir, la preferencia se produce y restablece el equilibrio de carga.
Router A se configura como el router activo para el grupo 1, y el Router B se configura como el router activo
para el grupo 2. La interfaz HSRP para Router A tiene una direccin IP de 10.0.0.1 con un grupo 1 en espera
prioridad de 110 (el valor predeterminado es 100). La interfaz HSRP para Router B tiene una direccin IP 10.0.0.2 con
un grupo 2 prioridad de espera de 110.
Grupo 1 utiliza una direccin IP virtual de 10.0.0.3 y el grupo 2 utiliza una direccin IP virtual de 10.0.0.4.
Router A Configuracin
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # direccin IP 10.0.0.1 255.255.255.0
(config-if) # espera 1 ip 10.0.0.3
(config-if) # de espera de prioridad 1 110
(config-if) # standby 1 preempt
(config-if) # standby 2 IP 10.0.0.4
(config-if) # standby 2 preempt
(config-if) # fin
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # direccin IP 10.0.0.2 255.255.255.0
(config-if) # espera 1 ip 10.0.0.3
(config-if) # standby 1 preempt
(config-if) # standby 2 IP 10.0.0.4
(config-if) # standby 2 prioridad 110
(config-if) # standby 2 preempt
(config-if) # fin
La cadena de autenticacin se enva sin cifrar en todos los mensajes HSRP. Debe configurar la misma
cadena de autenticacin en todos los routers y servidores de acceso en un cable para asegurar la interoperabilidad.
Desajuste de autenticacin impide un dispositivo de aprendizaje de la direccin IP Hot Standby designado y
valores del temporizador de otros routers configurados con HSRP.
Los enrutadores o servidores de acceso en la que los valores de temporizador de espera no estn configurados pueden aprender
los valores del temporizador
del router activo o de reserva. Los temporizadores configurados en un router activo siempre anulan cualquier
otros ajustes de temporizador.
Todos los routers en un grupo Hot Standby deben utilizar los mismos valores de temporizador. Normalmente, el tiempo de
mantenimiento es
mayor que o igual a 3 veces los Hellotime.
48-10
OL-29703-01
Captulo 48
Comenzando en el modo EXEC privilegiado, utilice uno o ms de los siguientes pasos para configurar la autenticacin de HSRP
y temporizadores en una interfaz:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
Paso 5
fin
Paso 6
show running-config
Paso 7
Utilice el no espera [Grupo-nmero] autenticacin string comando de configuracin de interfaz para borrar
una cadena de autenticacin. Utilice el no espera [Grupo-nmero] temporizadores Hellotime Holdtime interfaz
comando de configuracin para restablecer los temporizadores a sus valores predeterminados.
Este ejemplo muestra cmo configurar palabra como la cadena de autenticacin necesaria para permitir Hot Standby
routers en el grupo 1 para interoperar:
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # espera palabra 1 autenticacin
(config-if) # fin
Este ejemplo muestra cmo configurar los temporizadores en el grupo de espera 1 con el tiempo entre los paquetes de saludo a las 5
segundos y el tiempo despus de que un router se considera a ser de 15 segundos:
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # espera 1 ip
(config-if) # espera 1 temporizadores 5 15
(config-if) # fin
48-11
Captulo 48
Configuracin HSRP
Grupo FHRP% no es consistente con los grupos que ya estn configurados en la pila de switches virtuales
Reserva MAC no
Tabla 48-2
Situacin
Accin
Se configura HSRP para IPv4 y HSRP para IPv6 al mismo Configure cualquiera HSRP para IPv4 o HSRP para IPv6 en el
timeswitch.
Puede configurar nmeros de grupo que no estn en los rangos vlidos de Configure los nmeros de grupo en un rango vlido.
256.
48-12
OL-29703-01
Captulo 48
Configuracin de
VRRP
VRRP es un protocolo de eleccin que asigna dinmicamente responsable de uno o ms enrutadores virtuales para
los routers VRRP en una LAN, permitiendo que varios routers en un enlace de acceso mltiple a usar la misma IP virtual
direccin. Un router VRRP est configurado para ejecutar VRRP en conjuncin con uno o ms de otros routers
conectado a una LAN. En una configuracin de VRRP, un router es elegido como el maestro router virtual, y la
otros routers actan como las copias de seguridad en caso de que falle.
VRRP Limitaciones
Puede configurar tanto HSRP y VRRP en una pila de conmutadores o switch. Sin embargo, no se puede agregar un
modelo de interruptor que slo es compatible con un protocolo a una pila que est configurado para ambos protocolos.
Para ms informacin y configuracin de VRRP instrucciones, consulte la Configuracin de VRRP mdulo de funcin.
48-13
Captulo 48
Configuracin de VRRP
48-14
OL-29703-01
E R CH A P T
49
Interruptores que funcionan con el apoyo conjunto de funciones de base IP nica funcionalidad que responde IP SLAs y debe ser
configurado con otro dispositivo que soporta la funcionalidad completa IP SLA, por ejemplo, un catalizador 3750E
cambiar ejecutando los servicios IP cuentan con set.
Interruptores ejecutan la base IP LAN o conjunto de caractersticas base de apoyo nica funcionalidad que responde IP SLA y
debe estar configurado con otro dispositivo que soporta la funcionalidad completa IP SLA, por ejemplo, una
Catalyst 3750-3750-X ECatalyst interruptor de funcionamiento de los servicios IP conjunto de caractersticas.
Nota
A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X
o interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X.
Comenzando con Cisco IOS 12.2 (58) SE, el switch tambin soporta el incorporado Simulador de trfico utilizando
Operaciones de vdeo Cisco IOS IP SLA para generar trfico sinttico para una variedad de aplicaciones de vdeo, tales
como telepresencia, IPTV y cmara de vigilancia de vdeo IP. Usted puede utilizar la herramienta del simulador:
-para la evaluacin de la red antes de implementar aplicaciones que tienen rendimiento de la red estrictas
requisitos.
-junto con el Mediatrace Cisco para la solucin de problemas post-despliegue para cualquier red relacionada
problemas de rendimiento.
El simulador de trfico incluye un programador sofisticado que permite al usuario ejecutar varias pruebas
simultneamente o peridicamente y durante perodos de tiempo prolongados. Para obtener informacin sobre la configuracin de
este
funcin, consulte la Configuracin de Cisco IOS IP SLA Operaciones Vdeo documento en:
http://www.cisco.com/en/US/docs/ios-xml/ios/ipsla/configuration/12-2se/Configuring_IP_SLAs_Vide
o_Operations.html
Para obtener ms informacin acerca de IP SLA, consulte la Gua de configuracin del IOS de Cisco IP SLA, estreno 12.4T:
http://www.cisco.com/en/US/docs/ios/ipsla/configuration/guide/12_4t/sla_12_4t_book.html
Para obtener informacin de sintaxis de comandos, vea la referencia de comandos:
http://www.cisco.com/en/US/docs/ios/ipsla/command/reference/sla_book.html
Este captulo consta de las siguientes secciones:
Catalyst 3750-X y configuracin de interruptor de software 3560-X
OL-29703-01
49-1
Captulo 49
Jitter (direccional)
Conectividad (direccional)
Debido Cisco IOS IP SLA es-SNMP accesible, tambin puede ser utilizado por-monitoreo del desempeo
aplicaciones como CiscoWorks Internetwork Performance Monitor (IPM) y otra de otro fabricante Cisco
socios productos de gestin del rendimiento. Puede encontrar ms detalles sobre la gestin de redes
productos que utilizan Cisco IOS IP SLA:
http://www.cisco.com/go/ipsla
Usando SLAs IP puede proporcionar los siguientes
beneficios:
Monitoreo acuerdo de nivel de servicio, medicin y verificacin.
Evaluacin de la salud de la red de servicios IP para comprobar que la calidad de servicio existente es suficiente para los
nuevos servicios IP.
Monitoreo de borde a borde disponibilidad de la red para la verificacin proactiva y pruebas de conectividad de
recursos de red (por ejemplo, muestra la disponibilidad de la red de un servidor de NFS utilizado para almacenar
negocio de datos crticos desde un sitio remoto).
49-2
OL-29703-01
Captulo 49
Solucin de problemas de funcionamiento de la red, proporcionando una medicin coherente y confiable que
inmediatamente identifica problemas y ahorra tiempo de resolucin de problemas.
Conmutacin de etiquetas multiprotocolo (MPLS) de supervisin del rendimiento y la verificacin de la red (si el
switch soporta MPLS)
En esta seccin se incluye esta informacin sobre la funcionalidad de los SLA IP:
Figura 49-1
Para llevar a cabo la medicin del desempeo de la red IP SLA, debe realizar estas tareas:
1.
2.
3.
4.
5.
Programe la operacin a ejecutar, entonces que la operacin dirigida por un perodo de tiempo para reunir estadsticas.
49-3
Captulo 49
6.
Visualizar e interpretar los resultados de la operacin utilizando la CLI de Cisco IOS o una red
sistema de gestin (NMS) del sistema con SNMP.
Para obtener ms informacin acerca de las operaciones de IP SLA, consulte los captulos especficas de las operaciones en el Cisco
IOS IP
Gua de configuracin del SLA:
http://www.cisco.com/en/US/docs/ios/ipsla/configuration/guide/12_4t/sla_12_4t_book.html
El conmutador no soporta voz sobre IP (VoIP) los niveles de servicio que utilizan el retraso de registro del Gatekeeper
mediciones de operaciones. Antes de configurar cualquier aplicacin IP SLA, puede utilizar la show ip sla
aplicacin comando privilegiado EXEC para verificar que el tipo de operacin se apoya en su software
imagen.
Nota
El respondedor IP SLA puede ser una capa de Cisco IOS 2, el interruptor-respuesta configurable, tal como una
Catalyst 3750-X o switch 3560-X de ejecutar el conjunto de funciones de base LAN o un switch Catalyst 2960. El
respuesta no tiene que soportar la funcionalidad completa IP SLA.
Figura 49-1 muestra que el respondedor Cisco IOS IP SLA cabe en la red IP. El respondedor escucha
en un puerto especfico para los mensajes del protocolo de control enviados por una operacin de IP SLA. Tras la recepcin de la
mensaje de control, permite la UDP especificado o puerto TCP para la duracin especificada. Durante este tiempo,
el respondedor acepta las peticiones y responde a ellos. Se desactiva el puerto despus de que responde a la IP
Paquete de SLAs, o cuando expira el tiempo especificado. Autenticacin MD5 para los mensajes de control est disponible
para mayor seguridad.
No es necesario para que la respuesta en el dispositivo de destino para todas las operaciones de IP SLA. Para
ejemplo, una respuesta no es necesaria para los servicios que ya se prestan por el router de destino (por ejemplo,
como Telnet o HTTP). No se puede configurar el contestador SLAs IP en los dispositivos que no son Cisco y Cisco IOS
IP SLA puede enviar paquetes operativos slo a los servicios nativos de esos dispositivos.
49-4
OL-29703-01
Captulo 49
por delta. Este valor delta se sustrae a continuacin de el tiempo total de ida y vuelta. Ntese que el mismo
principio se aplica mediante SLAs IP del router de origen donde tambin se toma la marca de tiempo entrante 4 (TS4)
en el nivel de interrupcin para permitir una mayor precisin.
Figura 49-2
Enrutador Fuente
T2
Enrutador Target
Responder
T1
T3
T4
= T3-T2
121380
Un beneficio adicional de los dos sellos de tiempo en el dispositivo de destino es la capacidad de realizar un seguimiento de retardo
en un sentido,
jitter y prdida de paquetes direccional. Debido a que el comportamiento de la red tanto es asncrona, es fundamental contar con
estas estadsticas. Sin embargo, para capturar medidas de retardo de un solo sentido, debe configurar tanto la fuente
router y el router de destino con tiempo de red Protocolo (NTP) de modo que el origen y el destino son
sincronizado a la misma fuente de reloj. Unidireccional mediciones de jitter no requieren reloj
sincronizacin.
Prdida de conexin
Tiempo de espera
Unidireccional jitter
Catalyst 3750-X y configuracin de interruptor de software 3560-X
OL-29703-01
49-5
Captulo 49
Latencia unidireccional
Un umbral de violacin de IP SLA tambin puede desencadenar otra operacin de IP SLA para su posterior anlisis. Para
ejemplo, la frecuencia podra ser aumentado o una operacin de trazado jitter ICMP de eco ICMP camino o podra ser
iniciado para la solucin de problemas.
La determinacin del tipo de umbral y el nivel para ajustar puede ser complejo, y depende del tipo de IP
servicio que se utiliza en la red. Para ms detalles sobre el uso de umbrales con Cisco IOS IP SLA
operaciones, ver la "SLA-proactivas IP Umbral Monitoreo" captulo de los IP SLA Cisco IOS
Gua de configuracin.
Analizando los niveles de servicio IP mediante el Jitter Operacin UDP, pgina 49-8
Analizando los niveles de servicio IP mediante la Operacin Echo ICMP, pgina 49-11
Directrices de configuracin
Para obtener informacin sobre los comandos de IP SLA, consulte la Cisco IOS IP SLA de mandatos,
Lanzamiento 12.4T Referencia de comandos:
http://www.cisco.com/en/US/docs/ios/ipsla/command/reference/sla_book.html
Las descripciones detalladas y procedimientos de configuracin, consulte la Gua de configuracin de Cisco IOS IP SLA,
Lanzamiento 12.4T L:
http://www.cisco.com/en/US/docs/ios/ipsla/configuration/guide/12_4t/sla_12_4t_book.html
Tenga en cuenta que no todos los SLAs IP comandos o las operaciones descritas en esta gua son compatibles con la
interruptor. El conmutador es compatible con el anlisis de nivel de servicio IP mediante el uso de UDP jitter, UDP echo, HTTP,
TCP
conectar, de eco ICMP, ruta eco ICMP, ruta ICMP jitter, FTP, DNS y DHCP, as como mltiples
la programacin de la operacin y supervisin del umbral proactiva. No es compatible con los niveles de servicio de VoIP utilizando
las mediciones de retardo de operaciones de registro del Gatekeeper.
49-6
OL-29703-01
Captulo 49
Antes de configurar cualquier aplicacin IP SLA, puede utilizar la aplicacin muestran sla ip EXEC privilegiado
comando para verificar que el tipo de operacin se apoya en su imagen de software. Este es un ejemplo de
la salida del comando:
Switch # aplicacin muestran sla ip
SLA IP
Versin: 2.2.0 Ida y Vuelta Tiempo MIB, Infraestructura Motor-II
Hora del ltimo cambio en los SLA enteros IP: 22: 17: 39,117 UTC Vie Jun
Nmero mximo sistema estimado de entradas: 15.801
Estimado
Nmero de
Nmero de
Nmero de
Nmero de
Tipo
Tipo
Tipo
Tipo
Tipo
Tipo
Tipo
Tipo
Tipo
Tipo
Tipo
Tipo
de
de
de
de
de
de
de
de
de
de
de
de
Apoyado
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Tipos de operacin
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
Para llevar a cabo:
802.1agEcho
802.1agJitter
dhcp
dns
echo
ftp
http
jitter
pathEcho
pathJitter
tcpConnect
udpEcho
Comando
Propsito
Paso 1
configure terminal
Paso 2
Nota
Paso 3
fin
49-7
Captulo 49
Comando
Propsito
Paso 4
Paso 5
Para desactivar el contestador SLAs IP, introduzca la no respondedor sla ip comando de configuracin global. Este
ejemplo muestra cmo configurar el dispositivo como una respuesta para la UDP jitter funcionamiento de IP SLA en el
siguiente procedimiento:
Switch (config) # ip sla respondedor 172.29.139.134 udp-echo 5000
Debido a que las rutas de acceso para el envo y recepcin de datos puede ser diferente (asimtrica), que pueden utilizar la
per-direccin de los datos para identificar con mayor facilidad que la congestin u otros problemas estn ocurriendo en el
red.
La operacin UDP jitter genera sinttica (simulado) de trfico UDP y enva una serie de UDP
paquetes, cada uno de un tamao especificado, envan un nmero especificado de milisegundos de diferencia, de un router de origen
a
un router de destino, a una frecuencia dada. Por defecto, diez paquetes marcos, cada uno con un tamao de carga til de 10 bytes
se generan cada 10 ms, y la operacin se repite cada 60 segundos. Puede configurar cada uno de
estos parmetros para simular mejor el servicio IP que desea proporcionar.
Para proporcionar informacin precisa retardo en un sentido (latencia) mediciones, sincronizacin de tiempo, como la prevista
por NTP, se requiere entre la fuente y el dispositivo de destino. Sincronizacin de tiempo no es necesario para
los jitter y prdida de paquetes mediciones de un solo sentido. Si el tiempo no est sincronizada entre la fuente y
dispositivos de destino, se devuelve un solo sentido jitter y prdida de paquetes de datos, pero los valores de 0se devuelven para la
medidas de retardo de una va que ofrece el funcionamiento jitter UDP
Nota
Antes de configurar una operacin de jitter UDP en el dispositivo de la fuente, debe habilitar los SLAs IP
respuesta del dispositivo de destino (la meta operativa).
49-8
OL-29703-01
Captulo 49
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el funcionamiento del jitter UDP en la fuente
dispositivo:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
udp-jitter {Destination-ip-direccin de configurar el funcionamiento de IP SLA como una operacin de jitter UDP, UDP e introduzca
modo de configuracin jitter. | destino-hostname}
-puerto de destino [Fuente-ip
destino-ip-address |destino-el nombre de host: especifique la IP de destino
{Direccin-ip | nombre de host}]
direccin o nombre de host.
[Source-port nmero-puerto]
destino de puerto Especifique el nmero de puerto de destino en el intervalo de 1 [Control {enable | desactivar}]
a 65.535 [nm-paquetes nmero-de-paquetes]
[Intervalo interpacket intervalo]
(Opcional) fuente-ip {Direccin-ip | nombre de host}: Especifique la IP de origen
direccin o nombre de host. Cuando una direccin IP de origen o nombre de host no es
especificado, IP SLAs elige la direccin IP ms cercana al destino
(Opcional) source-port nmero-puerto-Especificar el nmero de puerto de origen en
el rango de 1 a 65535 Cuando un nmero de puerto no se especifica, SLAs IP
elige un puerto disponible.
Paso 4
frecuencia segundos
Paso 5
Salida
49-9
Captulo 49
Comando
Paso 6
Propsito
Configurar los parmetros de programacin de una operacin individual IP SLA.ip horario monitor de sla
operacin de nmero [{Vida para siempre |
operacin-nmero-Ingrese el nmero de entrada RTR.
segundos}] [Start-time {hh: mm [: ss]
[Mes da |da mes] |pendiente (Opcional) vida-Set la operacin se ejecute indefinidamente (siempre) o para un
nmero especfico de segundos. El rango es de 0 a 2147483647 El | ahora |despus hh: mm: ss] [Ageout
predeterminado es de 3600 segundos (1 hora).segundos] [Recurrente]
inicio
es
seleccionado.
-Ingrese ahora para iniciar la operacin de inmediato.
-Ingrese despus hh: mm: ss para demostrar que la operacin debe comenzar despus de la
Paso 7
fin
Paso 8
Paso 9
copy running-config
startup-config
(Opcional) Los valores de configuracin de pantalla, incluyendo todos los valores por defecto para
todos los SLA IP
operaciones o una operacin especificada.
(Opcional) Guarde sus entradas en el archivo de configuracin.
Para desactivar la operacin de IP SLA, introduzca los no ip sla operacin de nmero comando de configuracin global.
Este ejemplo muestra cmo configurar una operacin de SLAs IP jitter UDP:
Switch (config) # ip sla 10
Switch (config-ip-sla) # udp-jitter 172.29.139.134 5000
Switch (config-ip-sla-jitter) # frecuencia 30
Switch (config-ip-sla-jitter) # Salida
Switch (config) # ip horario sla 5-hora de inicio ahora la vida para siempre
Switch (config) # fin
Switch # show ip configuracin sla 10
IP SLA, Infraestructura Motor-II.
Nmero de entrada: 10
Propietario:
Tag:
Tipo de operacin a realizar: udp-jitter
Target direccin de direccin / Fuente: 1.1.1.1/0.0.0.0
Target port puerto / Fuente: 2/0
Solicitud tamao (parte de datos ARR): 32
Tiempo de espera de la operacin (milisegundos): 5000
Intervalo de paquetes (milisegundos) / Nmero de paquetes: 20/10
Tipo de parmetros de servicio: 0x0
Verificar los datos: No
Vrf Nombre:
Los paquetes de control: habilitados
49-10
OL-29703-01
Captulo 49
Horario:
Frecuencia de trabajo (segundo): 30
Siguiente programada Hora de inicio: A la espera de gatillo
Grupo Programado: FALSO
Aleatoriamente programada: FALSO
Vida (segundos): 3600
Ageout entrada (segundos): nunca
Recurrente (Todos los das de inicio): FALSO
El estado del registro (SNMP RowStatus): NotInService
Umbral (milisegundos): 5000
Estadstica de distribucin:
Nmero de horas de estadsticas mantiene: 2
Nmero de cubos de distribucin estadstica mantiene: 1
Intervalo de distribucin de Estadstica (milisegundos): 20
Historia mejorada:
Nota
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
icmp-eco {Destination-ip-direccin de configurar el funcionamiento de IP SLA como una operacin ICMP Echo y entrar ICMP
|destino-hostname} [Modo de configuracin echo fuente-ip.
{Direccin-ip | nombre de host} |
destino-ip-address |destino-el nombre de host: especifique la IP de destino
fuente-interfaz interface-id]
direccin o nombre de host.
(Opcional) fuente-ip {Direccin-ip | nombre de host}: Especifique la IP de origen
direccin o nombre de host. Cuando una direccin IP de origen o nombre de host no es
especificado, IP SLAs elige la direccin IP ms cercana al destino
Paso 4
frecuencia segundos
Paso 5
Salida
49-11
Captulo 49
Paso 6
Comando
Propsito
inicio
es
seleccionado.
-Ingrese ahora para iniciar la operacin de inmediato.
-Ingrese despus hh: mm: ss para indicar que la operacin debera comenzar despus
Paso 7
fin
Paso 8
Paso 9
copy running-config
startup-config
(Opcional) Los valores de configuracin de pantalla, incluyendo todos los valores predeterminados
para todos los SLA IP
operaciones o una operacin especificada.
(Opcional) Guarde sus entradas en el archivo de configuracin.
Para desactivar la operacin de IP SLA, introduzca la no sla ip operacin de nmero comando de configuracin global.
Este ejemplo muestra cmo configurar una operacin SLAs IP de eco ICMP:
Switch (config) # ip sla 12
Switch (config-ip-sla) # icmp-echo 172.29.139.134
Switch (config-ip-sla-echo) # frecuencia 30
Switch (config-ip-sla-echo) # Salida
Switch (config) # ip horario sla 5-hora de inicio ahora la vida para siempre
Switch (config) # fin
Switch # configuracin sla show ip 22
IP SLA, Infraestructura Motor-II.
Nmero de entrada: 12
Propietario:
Tag:
Tipo de operacin a realizar: echo
Direccin de destino: 2.2.2.2
Direccin de origen: 0.0.0.0
Solicitud tamao (parte de datos ARR): 28
Tiempo de espera de la operacin (milisegundos):
5000
Tipo de parmetros de servicio: 0x0
Verificar los datos: No
Vrf Nombre:
Horario:
Frecuencia de trabajo (segundo): 60
49-12
OL-29703-01
Captulo 49
Comando
Propsito
49-13
Captulo 49
49-14
OL-29703-01
E R CH A P T
50
NetFlow es una funcin de supervisin utilizado en aplicaciones de clientes por red de monitoreo, supervisin usuario
y perfiles, planificacin de redes, anlisis de seguridad, facturacin y contabilidad, y el almacenamiento de datos y
la minera. Puede utilizar NetFlow Flexible en puertos de enlace ascendente para monitorear los flujos definidos por el usuario,
recoger flujo
estadsticas, y llevar a cabo la vigilancia por la corriente. Recoge y exportaciones fluya estadsticas a un dispositivo colector.
Nota
NetFlow Flexible slo se admite en el 3750-X y 3560-X switch Catalyst de ejecutar la base de IP o IP
servicios de conjunto de caractersticas y equipadas con el mdulo de servicios de red. No se admite en los interruptores
corriendo el la imagen de base LAN o NPE.
Para obtener informacin ms detallada acerca de NetFlow Flexible, consulte la Gua de configuracin NetFlow:
http://www.cisco.com/en/US/docs/ios/fnetflow/configuration/guide/12_4t/fnf_12_4t_book.html
Para obtener informacin sobre los comandos, consulte la Cisco IOS Comando Flexible NetFlow Referencia:
http://www.cisco.com/en/US/docs/ios/fnetflow/command/reference/fnf_book.html
Nota
Registros son combinaciones de campos clave y sin clave asignados para vigilar los monitores NetFlow Flexible
para definir la cach utilizada para almacenar datos.
Monitores de flujo se aplican a las interfaces para realizar la supervisin del trfico de red. Un monitor de flujo
incluye un registro definido por el usuario, un exportador de flujo opcional, y una cach que se crea automticamente
cuando se aplica el monitor a la primera interfaz. El switch soporta cachs normales que envejecen a cabo
de acuerdo con los ajustes.
Exportadores de flujo exportar los datos en la memoria cach del monitor de flujo para un sistema remoto, como por ejemplo
un servidor en funcionamiento
Colector NetFlow.
50-1
Captulo 50
Muestreadores de flujo reducen la carga que NetFlow Flexible pone en el dispositivo de red para monitorear
trfico al limitar el nmero de paquetes que se analizan.
Usted puede configurar el flujo unidireccional (destino o direccin de origen flujos basados), y que tambin puedes
configurar el envejecimiento de flujo. Estas caractersticas son compatibles con el mdulo de servicios de red:
Puede configurar las estadsticas de recoleccin de Capa 2 de conmutacin de trfico (nonrouting), Capa 3 IPv4 y
El trfico IPv6, y Capa 4 TCP, IGMP, y el trfico ICMP.
Anlisis NetFlow se realiza en el trfico que cruza las interfaces fsicas en los servicios de red
mdulo. El (saliente) del trfico procesos de conmutacin de salida despus de reenviar las decisiones se llevan a cabo.
Puede forzar conmutada o enrutado el trfico a travs de puertos del mdulo de servicio mediante la configuracin privada
local
VLANs o puertos protegidos.
Estas caractersticas de NetFlow no son compatibles:
Netflow-5 protocolo
ISL
Aunque otros mdulos que se pueden instalar en el Catalyst 3750-X y 3560-X tienen de 1 Gigabit y
Interfaces de enlace ascendente 10 Gigabit, NetFlow slo se admite en el mdulo de servicios de red.
Para obtener ms informacin acerca de NetFlow Flexible, consulte la Gua de configuracin de NetFlow de Cisco IOS Flexible:
http://www.cisco.com/en/US/docs/ios/fnetflow/configuration/guide/12_4t/fnf_12_4t_book.html
Para obtener informacin sobre los comandos, consulte la Cisco IOS Comando Flexible NetFlow Referencia:
http://www.cisco.com/en/US/docs/ios/fnetflow/command/reference/fnf_book.html
Campos de enlace de datos para identificar la capa fuente 2 y direccin de destino y VLAN para el trfico que entra o
dejando las interfaces, proporcionando la direccin MAC del host conectado directamente. Clase de servicio
Campos de cabecera de enlace de datos (CoS) y Ethertype estn tambin disponibles.
50-2
OL-29703-01
Captulo 50
Puertos de origen y de destino sobre el terreno de Transporte para identificar el tipo de aplicacin: ICMP, IGMP, o TCP
trfico.
El nmero total de bytes, los flujos o paquetes enviados por el exportador (exportador) o el nmero de bytes
o paquetes en un contador de 64 bits (de largo).
La marca de tiempo basado en el tiempo de actividad del sistema desde el momento en que el primer paquete fue enviado o
desde el momento en que el
ms reciente (ltimo) paquete fue visto.
El ndice de SNMP de la interfaz de entrada o salida. La interfaz para el trfico de entrada y salida del
mdulo de servicio se basa en la memoria cach de reenvo interruptor. Este campo se utiliza tpicamente en conjuncin
con enlace de datos, IPv4 y las direcciones IPv6, y proporciona la interfaz actual de primer salto para directamente
hosts conectados.
Consulte la Gua de configuracin de NetFlow de Cisco IOS Flexible y el Comando Cisco IOS NetFlow Flexible
Referencia para obtener informacin ms detallada.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el registro de flujo personalizado.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Descripcin Descripcin
Paso 4
Paso 5
Paso 6
Paso 7
Paso 8
fin
50-3
Captulo 50
Paso 9
Comando
Propsito
#
descripcin de registro para monitorear el trfico de red
#
coincidir con la direccin de destino IPv4
#
recoger los paquetes de venta libre
#
recoger bytes de contador
#
fin
50-4
OL-29703-01
Captulo 50
Nota
El opcional -Protocolo de exportacin comando de configuracin exportador de flujo especifica la exportacin NetFlow
protocolo utilizado por el exportador. El switch soporta solamente NetFlow v9-. Aunque visible en la ayuda de la CLI,
netflow-5 no se admite.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Descripcin Descripcin
Paso 4
destino {Nombre de host | ip-address} [Vrf Especifica la direccin IP o nombre de host del sistema de destino para el
VRF-nombre]exportador.
Paso 5
dscp dscp
Paso 6
fuente interface-id
Paso 7
opcin {exportador-stats | interfaz de mesa (Opcional) Configura los parmetros de datos de opciones para el exportador. Usted puede
|sampler-table} [Tiempo de espera segundos]configurar las tres opciones al mismo tiempo.
El rango para el tiempo de espera es de 1 a 86.400 segundos. El valor por defecto es 600.
Paso 8
Paso 9
Paso 11 fin
exportador-nombre
Paso 13 exportador espectculo de flujo exportador-nombre(Opcional) Muestra el estado de un flujo exportador.
Paso 14 copy running-config startup-config
50-5
Captulo 50
QoS-Collector
#Descripcin QoS Collector edificio 19
#destino 172.20.244.28
#fuente vlan 1
#dscp 3
#udp transporte 2055
#fin
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Descripcin Descripcin
Paso 4
registro record-nombre
Paso 5
(Opcional) Modifica los parmetros de cach de monitor de flujo, tales como tiempo de espera
valores, el nmero de entradas de la cach, y el tipo de cach.
Nota
Paso 6
Paso 7
exportador exportador-nombre
50-6
OL-29703-01
Captulo 50
Comando
Propsito
Paso 8
Paso 9
fin
monitorear -name
Paso 11 monitor de mostrar el flujo monitorear -name
#
#
#
#
#
#
FLOW-MONITOR-1
Se utiliza para el anlisis de trfico IPv4
registro FLOW-RECORD-1
tiempo de espera de cach activa 300
tipo de cach normales
exportador EXPORTADOR-1
Salida
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
50-7
Captulo 50
Comando
Paso 3
Propsito
{Ip | Ipv6} monitor de flujo monitorear -name Activa un monitor de flujo creado previamente mediante la asignacin a la
[Conmutada capa2- | Multidifusin | sampler | interfaz para analizar el trfico entrante o saliente.
unicast] {Entrada | salida}
ip-Enter en los registros coincidentes direcciones IPv4 IP.
Nota
Paso 4
Salida
Paso 5
Paso 6
fin
Paso 7
Paso 8
Mostrar nombre de monitor de flujo monitorear -name datos (Opcional) Muestra en la cach de monitor de flujo.
cach
Paso 9
50-8
OL-29703-01
Captulo 50
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Descripcin Descripcin
Paso 4
Paso 5
Salida
Paso 6
interfaz interface-id
Paso 7
{Ip | ipv6} monitor de flujo monitor de nombreActiva un monitor de flujo de IPv4 o IPv6 creado previamente mediante la asignacin
sampler muestreador-nombre {Entrada | salida} a la interfaz para analizar el trfico.
Paso 8
fin
Paso 9
50-9
Captulo 50
50-10
OL-29703-01
E R CH A P T
51
Nota
Seguimiento de objetos mejorada no se admite en los interruptores que ejecutan el conjunto de funciones de base
LAN.
A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o
Interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X.
El captulo incluye las siguientes secciones:
51-1
Captulo 51
Propsito
Paso 1
configure terminal
Paso 2
(Opcional) Cree una lista de seguimiento para seguir el estado de la lnea del protocolo de una interfaz
y entrar en el modo de configuracin de seguimiento.
Paso 3
retraso {Arriba segundos [Abajo segundos] (Opcional) Especifique un perodo de tiempo en segundos para retrasar la comunicacin de estado
| [Arriba segundos] abajo segundos}cambios de un objeto seguido. El rango es de 1 a 180 segundos.
Paso 4
Salida
Paso 5
(Opcional) Cree una lista de seguimiento para seguir el estado de enrutamiento IP de una interfaz, y
introducir seguimiento modo de configuracin. Seguimiento de IP-ruta rastrea una ruta IP en el
tabla de enrutamiento y la capacidad de una interfaz para paquetes IP ruta.
51-2
OL-29703-01
Captulo 51
Comando
Propsito
Paso 6
retraso {Arriba segundos [Abajo segundos] (Opcional) Especifique un perodo de tiempo en segundos para retrasar la comunicacin de estado
| [Arriba segundos] abajo segundos}cambios de un objeto seguido. El rango es de 1 a 180 segundos.
Paso 7
fin
Paso 8
Paso 9
copy running-config
startup-config
En este ejemplo se configura el seguimiento de un estado de la interfaz de lnea de protocolo y verifica la configuracin:
Switch (config) # pista 33 gigabitethernet interfaz de lnea de 1/0/1 protocolo
Switch (config-pista) # fin
Switch # espectculo de pista 33
Track 33
Interfaz GigabitEthernet1 / 0/1 lnea-protocolo
El protocolo de lnea est abajo (HW abajo)
1 cambio, ltimo cambio 00:18:28
Se configura una expresin booleana para especificar el clculo mediante el uso de cualquiera de "Y" o "O"
operadores.
Cuando se mide la lista del estado seguido por un umbral de peso, se asigna un peso a cada
objeto de la lista de seguimiento. El estado de la lista de seguimiento se determina en funcin de si o no el umbral
se cumpli. El estado de cada objeto se determina comparando el peso total de todos los objetos contra
un peso umbral para cada objeto.
Cuando se mide la lista seguido por un umbral de porcentaje, se asigna un umbral de porcentaje de
todos los objetos de la lista de seguimiento. El estado de cada objeto se determina comparando el asignado
porcentajes de cada objeto a la lista.
51-3
Captulo 51
Configuracin de una lista de seguimiento con una expresin booleana permite el clculo mediante el uso de cualquiera de "Y" o
"O"
operadores. Por ejemplo, cuando el seguimiento de dos interfaces utilizando el operador "AND", hasta significa que tanto
interfaces son, y abajo significa que, o interfaz est desactivada.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una lista de seguimiento de objetos con un
Expresin booleana:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
y-Especificar que la lista est si todos los objetos son arriba o hacia abajo si uno o
ms objetos estn abajo.
o Especificar que la lista est si un objeto est arriba o abajo si todos los objetos
han bajado.
Paso 4
retraso {Arriba segundos [Abajo segundos] | (Opcional) Especifique un perodo de tiempo en segundos para retrasar la comunicacin de estado
[Arriba segundos] abajo segundos}
cambios de un objeto seguido. El rango es de 1 a 180 segundos.
Paso 5
fin
Paso 6
Paso 7
4 Lista boolean y
(config) # pista
(config-pista) # objeto 1
(config-pista) # objeto 2 no
(config-pista) # Salida
51-4
OL-29703-01
Captulo 51
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
retraso {Arriba segundos [Abajo segundos] | (Opcional) Especifique un perodo de tiempo en segundos para retrasar la comunicacin de estado
[Arriba segundos] abajo segundos}
cambios de un objeto seguido. El rango es de 1 a 180 segundos.
Paso 6
fin
Paso 7
Paso 8
(config) # pista
(config-pista)
(config-pista)
(config-pista)
(config-pista)
(config-pista)
#
#
#
#
#
Esta configuracin puede ser til si los rubros 1 y 2 representan dos conexiones de ancho de banda pequeos y
objeto 3 representa una conexin de ancho de banda grande. El configurada abajo 10 significa que una vez que el valor
objeto rastreado se ha terminado, no va a ir hacia abajo hasta que el valor umbral es igual o inferior a 10, en el que
este ejemplo significa que todas las conexiones se han reducido.
51-5
Captulo 51
Para realizar el seguimiento de umbral de porcentaje, configurar una lista de seguimiento de objetos, especifique que un porcentaje
ser
usado como el umbral, y especificar un porcentaje para todos los objetos en la lista. Se determina el estado de la lista
comparando el porcentaje de cada objeto asignado a la lista.
No se puede utilizar el "NO" operador booleano en una lista umbral de porcentaje.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una lista de seguimiento de objetos mediante el uso de
un
umbral de porcentaje:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
objeto objeto-nmero
Paso 4
Paso 5
retraso {Arriba segundos [Abajo segundos] | (Opcional) Especifique un perodo de tiempo en segundos para retrasar la comunicacin de estado
[Arriba segundos] abajo segundos}
cambios de un objeto seguido. El rango es de 1 a 180 segundos.
Paso 6
fin
Paso 7
Paso 8
(config) # pista
(config-pista)
(config-pista)
(config-pista)
(config-pista)
(config-pista)
#
#
#
#
#
51-6
OL-29703-01
Captulo 51
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ingrese lista para rastrear objetos agrupados en una lista. Configure la lista como
descrito en las pginas anteriores.
-Para boolean, ver el "Configuracin de una lista de cadenas con un booleano
Paso 3
Salida
Paso 4
interfaz interface-id
Paso 5
standby [Grupo-nmero] ip
[Direccin-ip [secundaria]]
51-7
Captulo 51
Paso 6
Comando
Propsito
Configure HSRP para rastrear un objeto y cambiar la prioridad de reserva en caliente con base
sobre el estado del objeto.
Paso 7
fin
Paso 8
espectculo de espera
Paso 9
Puede hacer un seguimiento de la alcanzabilidad de una ruta IP mediante el uso de la rastrear ip route accesibilidad
mundial
comando de configuracin.
Puede utilizar el pista ip route umbral de mtrica comando de configuracin global para determinar si un
ruta est por encima o por debajo del umbral.
Puede utilizar el resolucin pista comando de configuracin global para cambiar la resolucin mtrica
valores por defecto para los protocolos de enrutamiento.
Puede utilizar el temporizador pista el seguimiento de comandos de configuracin para configurar el proceso de seguimiento a
sondear peridicamente los objetos rastreados.
Utilice el pista aparezca comando privilegiado EXEC para verificar mejorada configuracin de seguimiento de objetos.
51-8
OL-29703-01
Captulo 51
aspectos de la operacin de IP SLA: Estado y accesibilidad. Para el estado, si el cdigo de retorno es correcto, el estado de
seguimiento es
hasta; si el cdigo de retorno no es correcto, el estado de seguimiento est abajo. Por accesibilidad, si el cdigo de retorno es OK o
OverThreshold, accesibilidad corresponde; si no hay continuidad, la accesibilidad est abajo.
Comenzando en el modo EXEC privilegiado, siga estos pasos para realizar un seguimiento del estado de una operacin SLAs IP o el
accesibilidad de un host IP SLA IP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
retraso {Arriba segundos [Abajo segundos] | (Opcional) Especifique un perodo de tiempo en segundos para retrasar la comunicacin de estado
[Arriba segundos] abajo segundos}
cambios de un objeto seguido. El rango es de 1 a 180 segundos.
Paso 4
Salida
Paso 5
Paso 6
retraso {Arriba segundos [Abajo segundos] | (Opcional) Especifique un perodo de tiempo en segundos para retrasar la comunicacin de estado
[Arriba segundos] abajo segundos}
cambios de un objeto seguido. El rango es de 1 a 180 segundos.
Paso 7
fin
Paso 8
Paso 9
51-9
Captulo 51
Configuracin de la compatibilidad
enrutamiento esttico
Interruptores que ejecutan los servicios IP conjunto de caractersticas con versin de Cisco IOS 12.2 (46) SE o posterior apoyo
objeto mejorar el seguimiento de enrutamiento esttico. Apoyo de enrutamiento esttico utilizando el seguimiento de objetos
mejorada proporciona
la capacidad para el cambio a utilizar pings ICMP para identificar cuando una ruta esttica preconfigurada o DHCP
ruta va hacia abajo. Cuando el seguimiento est habilitado, el sistema realiza un seguimiento del estado de la ruta e informa al
cliente
cuando que los cambios de estado. Seguimiento de objetos ruta esttica usa SLAs IP de Cisco para generar pings ICMP a
vigilar el estado de la conexin a la pasarela primaria.
Para obtener ms informacin sobre el soporte de Cisco IP SLA en el interruptor, consulte Captulo 49, "Configuracin de Cisco
IOS IP Operaciones SLA ".
Paso 1
Paso 2
Configurar un agente de IP SLA para hacer ping a una direccin IP utilizando una interfaz primaria y un objeto de seguimiento para
monitorear
el estado del agente.
Configure una ruta predeterminada esttica por defecto utilizando una interfaz secundaria. Esta ruta se utiliza slo si la primaria
se retira ruta.
Paso 3
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Descripcin string
Paso 4
Paso 5
Salida
51-10
OL-29703-01
Captulo 51
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una interfaz principal para DHCP:
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Descripcin string
Paso 4
Paso 5
dhcp direccin IP
Paso 6
Salida
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el monitoreo de red con Cisco IP
SLA:
Paso 1
configure terminal
Paso 2
Paso 3
icmp-eco {Destination-ip-direccin |
nombre de host de destino [Source- ipaddr
{Direccin-ip | Nombre de host fuente-interfaz
interface-id]
Paso 4
Paso 5
frecuencia segundos
Paso 6
umbral milisegundos
Paso 7
Salida
Paso 8
Realizar el seguimiento del estado de una operacin de Cisco IOS IP SLA y entrar en el
seguimiento de
modo de configuracin.
Vuelva al modo EXEC privilegiado.
{Estado | accesibilidad}
51-11
Captulo 51
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una poltica de encaminamiento para copia de
seguridad esttica
enrutamiento mediante el seguimiento de objetos. Para ms detalles sobre los comandos en el procedimiento, consulte:
http://www.cisco.com/en/US/docs/ios/12_3/12_3x/12_3xe/feature/guide/dbackupx.html
Paso 1
configure terminal
Paso 2
access-list access-list-nmero
Paso 3
Paso 4
Distribuir las rutas que tienen una direccin de red nmero de destino
que se permite por una lista o realiza el acceso estndar o extendida
la poltica de enrutamiento de los paquetes. Puede introducir varios nmeros o nombres.
Paso 5
Slo para redes DHCP. Establezca el siguiente salto a la pasarela que era
ms recientemente aprendido por el cliente DHCP.
Paso 6
Paso 7
Salida
Paso 8
Comando
Propsito
51-12
OL-29703-01
Captulo 51
Tabla 51-1
Comando
Propsito
51-13
Captulo 51
51-14
OL-29703-01
E R CH A P T
52
Nota
Para utilizar esta funcin, el conmutador o el maestro de la pila debe estar ejecutando el IP servicios de conjunto de
caractersticas.
WCCP es una tecnologa de enrutamiento de contenido desarrollado por Cisco que se puede utilizar para integrar en toda la zona
aplicacin motores-conocen como aplicacin motores-en su infraestructura de red. El
motores de aplicaciones almacenan de forma transparente el contenido de acceso frecuente y luego cumplir con las solicitudes
sucesivas
para el mismo contenido, eliminando las transmisiones repetitivas de contenido idntico de los servidores. Aplicacin
motores aceleran la entrega de contenido y asegurar la mxima escalabilidad y disponibilidad de contenidos. En una
la red de proveedores de servicios, puede implementar la solucin WCCP y motor de aplicacin en los puntos de
presencia (POPs). En una red de la empresa, puede implementar la solucin WCCP y motor de aplicacin
en el sitio regional y la pequea oficina.
A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o
Interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X.
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte la "WCCP
Comandos de configuracin del router "seccin en el" Sistema Comandos de gestin " parte de la Cisco
IOS Fundamentos de configuracin Referencia de comandos, versin 12.4.
52-1
Captulo 52
Entendimiento WCCP
Entendimiento WCCP
Los motores WCCP y Cisco cach (u otros motores de aplicacin que se ejecutan WCCP) localizan el trfico
patrones en la red, lo que permite las solicitudes de contenido que han de cumplir a nivel local.
WCCP permite apoy routers y switches Cisco para redirigir de forma transparente las solicitudes de contenido. Con
redireccin transparente, los usuarios no tienen que configurar su navegador para utilizar un proxy web. En su lugar,
puede utilizar la direccin URL de destino para solicitar el contenido, y sus solicitudes se redirigen automticamente a un
motor de aplicacin. La palabra transparente significa que el usuario final no sabe que un archivo solicitado
(Por ejemplo, una pgina web) procedan del motor de aplicacin en lugar de desde el servidor especificado originalmente.
Cuando un motor de aplicacin recibe una solicitud, se intenta atender desde su propia cach local. Si el
informacin solicitada no est presente, el motor de aplicacin enva una peticin separada al servidor fin a
recuperar la informacin solicitada. Despus de recibir la informacin solicitada, el motor de aplicacin
reenva al cliente solicitante y tambin almacena en cach para cumplir con las solicitudes futuras.
Con WCCP, el clster de la aplicacin-motor (una serie de motores de aplicacin) puede dar servicio a mltiples routers
o interruptores, como se muestra Figura 52-1.
Figura 52-1
Tree Fuente
(Ms corto
rbol de ruta)
Router A
Router B
rbol compartido
de RP
Router C
RP
44967
Receptor
WCCP intercambio de
mensajes
Esta secuencia de eventos describe el intercambio de mensajes WCCP:
1.
Los motores de aplicaciones envan sus direcciones IP al conmutador con capacidad para WCCP utilizando WCCP,
sealizacin de su presencia a travs de un Aqu estoy mensaje. Los motores de conmutacin y de aplicacin
comunicarse entre s a travs de un canal de control basado en el puerto UDP 2048.
2.
El conmutador con capacidad para WCCP utiliza la informacin IP motor de aplicacin para crear una vista de clster (una lista
de los motores de aplicaciones del clster). Este punto de vista se enva a travs de un Te veo mensaje a cada uno
motor de aplicacin en el clster, esencialmente, hace que todos los motores de aplicaciones conscientes de la otra.
Una visin estable se establece despus de la composicin del grupo sigue siendo el mismo durante un determinado
cantidad de tiempo.
3.
Cuando se establece un punto de vista estable, el motor de aplicacin en el grupo con la direccin IP ms baja es
elegido como el motor de aplicacin designada.
52-2
OL-29703-01
Captulo 52
WCCP Negociacin
En el intercambio de mensajes de protocolo WCCP, el motor de aplicacin designada y la WCCP habilitado
cambiar negociar estos artculos:
Mtodo de reenvo (el mtodo por el cual el conmutador reenva los paquetes al motor de aplicacin).
El interruptor vuelve a escribir el encabezado de la Capa 2 mediante la sustitucin de la direccin MAC de destino del paquete
con la
apuntar motor de aplicacin de direcciones MAC. A continuacin, reenva el paquete al motor de aplicacin. Este
reenvo mtodo requiere el motor de aplicacin de destino para ser conectado directamente al conmutador en
Capa 2.
Mtodo de asignacin (el mtodo por el cual los paquetes se distribuyen entre los motores de aplicacin en
el clster). El conmutador utiliza algunos bits de la direccin IP de destino, la direccin IP de origen, el
Capa de destino 4 puerto, y el puerto de origen de capa 4 para determinar que recibe motor de aplicacin
los paquetes redirigidos.
Mtodo de paquetes de retorno (el mtodo por el cual los paquetes se devuelven desde el motor de aplicacin a la
cambiar para el reenvo normal). Estas son las razones tpicas por las que un motor de aplicacin rechaza
paquetes e inicia la funcin de paquetes de retorno:
-El motor de aplicacin est sobrecargado y no tiene espacio para dar servicio a los paquetes.
-El motor de aplicacin recibe un mensaje de error (por ejemplo, un error de protocolo o autenticacin)
desde el servidor y utiliza la caracterstica de derivacin cliente dinmico. El bypass permite a los clientes pasar por alto
los motores de aplicacin y se conecten directamente al servidor.
El motor de aplicacin devuelve un paquete al conmutador con capacidad para WCCP para reenviar al servidor como si
el motor de aplicacin no est presente. El motor de aplicacin no intercepta la reconexin
intento. De esta manera, el motor de aplicacin anula eficazmente la redireccin de un paquete a la
motor de aplicacin y crea un flujo de derivacin. Si el mtodo de retorno es la encapsulacin genrica ruta
(GRE), el interruptor recibe el paquete devuelto a travs de un tnel GRE que est configurado en el
motor de aplicacin. La CPU conmutador utiliza Cisco Express Forwarding para enviar estos paquetes a la
servidor de destino. Si el mtodo de retorno es de nivel 2 de reescritura, los paquetes se envan en el hardware de la
servidor de destino. Cuando el servidor responde con la informacin, el conmutador utiliza la capa normal de 3
reenvo para devolver la informacin al cliente solicitante.
Seguridad MD5
WCCP proporciona un componente opcional de seguridad en cada mensaje de protocolo para permitir el cambio a utilizar
Autenticacin MD5 en los mensajes entre el interruptor y el motor de aplicacin. Los mensajes que no lo hacen
autenticar mediante MD5 (cuando la autenticacin del interruptor est activado) son descartados por el conmutador. El
cadena de contrasea se combina con el valor MD5 para crear seguridad para la conexin entre el conmutador
y el motor de aplicacin. Debe configurar la misma contrasea en cada motor de aplicacin.
52-3
Captulo 52
Entendimiento WCCP
Puede configurar hasta 8 grupos de servicio en una pila de conmutadores o switch y hasta 32 motores de cach por
grupo de servicio. WCCP mantiene la prioridad del grupo de servicio en la definicin del grupo. Utiliza WCCP la
prioridad para configurar los grupos de servicio en el hardware del switch. Por ejemplo, si el grupo de servicio 1 tiene un
prioridad de 100 y busca el puerto de destino 80, y el grupo de servicio de 2 tiene una prioridad de 50 y busca
puerto de origen 80, el paquete entrante con origen y el puerto de destino 80 se transmite mediante el uso de servicios
grupo 1 porque tiene la mayor prioridad.
WCCP soporta un grupo de motores de aplicacin para cada grupo de servicio. Redirigido trfico puede ser enviado
a uno cualquiera de los motores de aplicacin. El conmutador es compatible con el mtodo de asignacin de la mscara de la carga
equilibrar el trfico entre los motores de aplicaciones del clster para un grupo de servicio.
Despus WCCP est configurado en el conmutador, el conmutador enva todo el grupo de servicio de paquetes recibidos de
clientes a los motores de aplicacin. Sin embargo, estos paquetes no son redirigidos:
Los paquetes devueltos o rechazados por el motor de aplicacin. Estos paquetes se envan al servidor.
Se puede configurar una nica direccin multicast por grupo de servicios de envo y recepcin de protocolo
mensajes. Cuando hay una nica direccin de multidifusin, el motor de aplicacin enva una notificacin a uno
direccin, que da cobertura a todos los routers en el grupo de servicio, por ejemplo, 225.0.0.0. Si agrega
y quitar routers dinmicamente, usando una nica direccin multicast proporciona una configuracin ms fcil porque
no es necesario para entrar especficamente las direcciones de todos los dispositivos en la red WCCP.
Puede utilizar una lista de grupos router para validar los paquetes de protocolo recibidas del motor de aplicacin.
Los paquetes que coincidan con la direccin en la lista de grupos se procesan, los paquetes que no coincida con la direccin de la
lista de grupos
se dejan caer.
Para deshabilitar el almacenamiento en cach para clientes, servidores o parejas de cliente / servidor especficas, puede utilizar un
WCCP redirigir
lista de control de acceso (ACL). Los paquetes que no coincidan con la ACL redireccin omitir el cach y se reenvan
normalmente.
Antes de paquetes WCCP se redirigen, el interruptor examina ACL asociado con todas las caractersticas entrantes
configurada en la interfaz y permite o deniega el reenvo de paquetes basado en cmo los partidos de paquetes
las entradas de la ACL.
Nota
Comenzando con Cisco IOS Versin 12.2 (58) SE, tanto permiso y negar Entradas de ACL se apoyan en
WCCP redirigir listas.
Cuando se redirigen los paquetes, las ACL de salida asociados con la interfaz redirigida se aplican a la
paquetes. Cualquier ACL asociado con el puerto original no se aplican a menos que configure especficamente
las ACL de salida necesarios en las interfaces redirigidas.
Recibe los paquetes de protocolo de cualquier interfaz habilitada para WCCP y los enva a cualquier
Interfaz WCCP a habilitar en la pila.
52-4
OL-29703-01
Captulo 52
Miembros de la pila reciben la informacin WCCP desde el interruptor principal y programar su hardware.
Caractersticas no admitidas
WCCP
Estas caractersticas WCCP no se admiten en esta versin del software:
Redireccin de paquetes en una interfaz de salida que se configura mediante el uso de la WCCP ip redirigir a cabo
comando de configuracin de interfaz. Este comando no es compatible.
Configuracin WCCP
Estas secciones describen cmo configurar WCCP en su interruptor:
Caracterstica
Protocol versin
WCCPv2.
Desactivado.
Los motores de aplicaciones e interruptores en el mismo grupo de servicios deben estar en la misma subred
conectado directamente al conmutador que tiene WCCP habilitado.
Configurar las interfaces de conmutacin que estn conectados a los clientes, los motores de aplicacin, y el
servidor como Capa 3 interfaces (puertos y enrutado cambiar interfaces virtuales [SVI]). Para paquetes WCCP
redireccin a trabajar, los servidores de aplicaciones, motores, y los clientes deben estar en diferentes subredes.
Utilice nicamente las direcciones de multidifusin no reservado al configurar una nica direccin multicast para cada
motor de aplicacin.
52-5
Captulo 52
Configuracin WCCP
Entradas WCCP y entradas PBR utilizan la misma regin TCAM. WCCP slo se admite en la
plantillas que soportan PBR: acceso, encaminamiento y enrutamiento dual / v6 IPv4.
Cuando las entradas TCAM no estn disponibles para aadir entradas WCCP, los paquetes no se redirigen y son
remitida por el uso de las tablas de enrutamiento estndar.
El nmero de enrutamiento basado en polticas disponibles (PBR) etiquetas se reducen a medida que ms interfaces son
habilitado para WCCP entrada de redireccin. Por cada interfaz que soporta grupos de servicio, una etiqueta es
consumido. Las etiquetas WCCP se toman de las etiquetas de derechos de obtentor. Es necesario para supervisar y gestionar la
etiquetas que estn disponibles entre PBR y WCCP. Cuando las etiquetas no estn disponibles, el interruptor no puede
aadir grupos de servicio. Sin embargo, si otro interfaz tiene la misma secuencia de grupos de servicio, un nuevo
No es necesario etiqueta, y el grupo puede ser aadido a la interfaz.
El enrutamiento de unidad de transmisin mxima (MTU) configurada en los interruptores miembros pila
debe ser mayor que el tamao de la MTU cliente. El tamao de MTU de nivel MAC configurada en los puertos conectados
a solicitud motores deben tener en cuenta los bytes de cabecera del tnel GRE.
No puede configurar WCCP y VPN de enrutamiento / reenvo (VRF) en el mismo interfaz del conmutador.
No puede configurar WCCP y una VLAN privada (PVLAN) en la misma interfaz interruptor.
Nota
Antes de configurar los comandos WCCP, configurar la plantilla de SDM, y reiniciar el conmutador. Para obtener ms
informacin, consulte Captulo 8, "Configuracin de SDM plantillas."
52-6
OL-29703-01
Captulo 52
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
Paso 4
no switchport
Paso 5
Paso 6
no shutdown
Habilitar la interfaz.
Paso 7
Salida
Paso 8
interfaz interface-id
Paso 9
no switchport
Paso 11 no shutdown
Habilitar la interfaz.
redirigir en
Paso 13 ip WCCP {Web-cache | servicio-nmero}
grupo-escuchar
Paso 14 Salida
Paso 15 fin
52-7
Captulo 52
Configuracin WCCP
Comando
Propsito
y
show running-config
Paso 17 copy running-config startup-config
Para deshabilitar el servicio de cach, utilice el no WCCP ip web-cache comando de configuracin global. Para desactivar
redireccin de paquetes de entrada, utilice la no WCCP ip web-cache redirigir en comando de configuracin de interfaz.
Despus de completar este procedimiento, configurar los motores de aplicaciones en la red.
Este ejemplo muestra cmo configurar las interfaces enrutadas y para habilitar el servicio de cach con un multicast
direccin de grupo y una lista de acceso de redireccin. Puerto Gigabit Ethernet 1 est conectado a el motor de aplicacin,
se configura como un puerto enrutado con una direccin IP de 172.20.10.30, y se vuelve a habilitar. Gigabit Ethernet
puerto 2 est conectado a travs de Internet con el servidor, se configura como un puerto distribuido con una direccin IP
de 175.20.20.10, y se vuelva a habilitar. Puertos Ethernet Gigabit de 3 a 6 estn conectados a los clientes y son
configurado como puertos enrutados con direcciones IP 175.20.30.20, 175.20.40.30, 175.20.50.40, y
175.20.60.50. El interruptor escucha el trfico de multidifusin y redirige los paquetes recibidos desde el cliente
interfaces con el motor de aplicacin.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # ip WCCP web-cache 80 grupo de direccin 224.1.1.100 lista de redireccionamiento 12
(config) # access-list 12 permiso anfitrin 10.1.1.1
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # no switchport
(config-if) # direccin IP 172.20.10.30 255.255.255.0
(config-if) # no shutdown
(config-if) # WCCP ip web-cache grupo-escuchar
(config-if) # Salida
(config) # interfaz GigabitEthernet1 / 0/2
(config-if) # no switchport
(config-if) # direccin IP 175.20.20.10 255.255.255.0
(config-if) # no shutdown
(config-if) # Salida
(config) # interfaz GigabitEthernet1 / 0/3
(config-if) # no switchport
(config-if) # direccin IP 175.20.30.20 255.255.255.0
(config-if) # no shutdown
(config-if) # ip WCCP web-cache redirigir en
(config-if) # Salida
(config) # interfaz GigabitEthernet1 / 0/4
(config-if) # no switchport
(config-if) # direccin IP 175.20.40.30 255.255.255.0
(config-if) # no shutdown
(config-if) # ip WCCP web-cache redirigir en
(config-if) # Salida
(config) # interfaz GigabitEthernet1 / 0/5
(config-if) # no switchport
(config-if) # direccin IP 175.20.50.40 255.255.255.0
(config-if) # no shutdown
(config-if) # ip WCCP web-cache redirigir en
(config-if) # Salida
(config) # interfaz GigabitEthernet1 / 0/6
(config-if) # no switchport
(config-if) # direccin IP 175.20.60.50 255.255.255.0
(config-if) # no shutdown
(config-if) # ip WCCP web-cache redirigir en
(config-if) # Salida
52-8
OL-29703-01
Captulo 52
Este ejemplo muestra cmo configurar SVI y cmo habilitar el servicio de cach con un grupo multicast
lista. VLAN 299 es creado y configurado con una direccin IP de 175.20.20.10. Gigabit Ethernet puerto 1 es
conectado a travs de Internet con el servidor y se configura como un puerto de acceso en la VLAN VLAN 299.
300 es creado y configurado con una direccin IP de 172.20.10.30. Puerto Gigabit Ethernet 2 est conectado
para el motor de aplicacin y est configurado como un puerto de acceso en la VLAN 300 VLAN 301 se crea y se
configurado con una direccin IP de 175.20.30.50. Puertos Fast Ethernet 3 a 6, que estn conectados a la
clientes, estn configurados como puertos de acceso en la VLAN 301. El interruptor vuelve a dirigir los paquetes recibidos desde el
las interfaces de cliente con el motor de aplicacin.
Nota
Comenzando con Cisco IOS Versin 12.2 (58) SE, tanto permiso y negar Entradas de ACL se apoyan en
WCCP redirigir listas.
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
# configure terminal
(config) # ip WCCP web-cache 80 grupo-lista 15
(config) # access-list 15 permiso 171.69.198.102 anfitrin
(config) # access-list 15 permiso 171.69.198.104 anfitrin
(config) # access-list 15 permiso 171.69.198.106 anfitrin
(config) # vlan 299
(config-vlan) # Salida
(config) # vlan interfaz 299
(config-if) # direccin IP 175.20.20.10 255.255.255.0
(config-if) # Salida
(config) # interfaz GigabitEthernet1 / 0/1
(config-if) # switchport mode access
(config-if) # switchport access vlan 299
(config) # vlan 300
(config-vlan) # Salida
(config) # vlan interfaz 300
(config-if) # direccin IP 171.69.198.100 255.255.255.0
(config-if) # Salida
(config) # interfaz GigabitEthernet1 / 0/2
(config-if) # switchport mode access
(config-if) # switchport access vlan 300
(config-if) # Salida
(config) # vlan 301
(config-vlan) # Salida
(config) # vlan interfaz 301
(config-if) # direccin IP 175.20.30.20 255.255.255.0
(config-if) # ip WCCP web-cache redirigir en
(config-if) # Salida
(config) # gama interfaz GigabitEthernet1 / 0 / 3-6
(config-if-range) # switchport mode access
(config-if-range) # switchport access vlan 301
(config-if-range) # Salida
52-9
Captulo 52
Comando
Propsito
show ip interface
52-10
OL-29703-01
E R CH A P T
53
Configuracin de IP Multicast
Routing
En este captulo se describe cmo configurar el enrutamiento multicast IP en el Catalyst 3750-E o 3560-E Catalizador
3750-X o switch 3560-X. Multidifusin IP es una forma ms eficiente de utilizar recursos de la red, especialmente
para los servicios de gran ancho de banda, tales como audio y video. Enrutamiento multicast IP permite a un host (fuente)
enviar paquetes a un grupo de hosts (receptores) en cualquier lugar dentro de la red IP mediante el uso de una forma especial
de direccin IP llamada IP direccin de grupo multicast. El host emisor inserta la direccin de grupo multicast
en el campo de direccin IP de destino del paquete y routers IP multicast y switches multicapa
reenviar paquetes de multidifusin IP entrantes a cabo todas las interfaces que llevan a los miembros del grupo de multidifusin.
Cualquier host, independientemente de si es un miembro de un grupo, puede enviar a un grupo. Sin embargo, slo el
miembros de un grupo reciben el mensaje.
Para utilizar esta funcin, el conmutador o pila maestro debe ejecutar los servicios IP cuentan con set. Para utilizar el PIM
funcin de enrutamiento de cdigo auxiliar, el interruptor o pila maestro puede estar en ejecucin la imagen base IP.
Nota
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte la Cisco IOS IP
Comando, Volumen 3 de 3: Multicast, versin 12.4.
Para obtener informacin sobre la configuracin de la Fuente Multicast Discovery Protocol (MSDP), ver Captulo 54,
"Configuracin de MSDP."
53-1
Captulo 53
Protocolo de administracin de grupos de Internet (IGMP) se utiliza entre los hosts de una red LAN y los routers (y
switches multicapa) de dicha LAN para realizar un seguimiento de los grupos de multidifusin de que los ejrcitos son
miembros.
Protocol-Independent Multicast protocolo (PIM) se utiliza entre routers y switches multicapa para
un seguimiento de los paquetes de multidifusin que transmita a la otra ya sus LANs conectadas directamente.
Distancia Vector Multicast Routing Protocol (DVMRP) se utiliza en la red troncal de multidifusin de la
Internet (MBONE). El software es compatible con la interaccin-PIM-a DVMRP.
Protocolo de administracin de grupos de Cisco (CGMP) se utiliza en los routers Cisco y switches multicapa
conectado a Capa 2 switches Catalyst para realizar tareas similares a las realizadas por IGMP.
Figura 53-1 muestra que estos protocolos funcionen en el entorno de multidifusin IP.
Figura 53-1
DVMRP
CGMP
Anfitrin
PIM
Anfitrin
44966
IGMP
Segn las normas de multidifusin IPv4, la direccin de multidifusin de destino MAC comienza con 0100: 5e y
se adjunta por los ltimos 23 bits de la direccin IP. Por ejemplo, si la direccin de destino IP es 239.1.1.39,
la direccin MAC de destino es 0100: 5e01: 0127.
Un paquete de multidifusin no tiene rival cuando la direccin IPv4 de destino no coincide con el destino MAC
direccin. El switch reenva el paquete sin igual en hardware basado la tabla de direcciones MAC. Si el
direccin MAC de destino no est en la tabla de direcciones MAC, el interruptor inunda el paquete al puerto en todos
la misma VLAN que el puerto receptor.
Esta seccin incluye informacin sobre los siguientes temas:
53-2
OL-29703-01
Captulo 53
Entendimiento IGMP
Para participar en la multidifusin IP, hosts multicast, routers y switches multicapa deben tener el IGMP
operativo. Este protocolo define los roles Querier y de acogida:
Un interrogador es un dispositivo de red que enva mensajes de consulta para descubrir que los dispositivos de red son
miembros de un grupo multicast indicado.
Un host es un receptor que enva mensajes de informe (en respuesta a consultar los mensajes) para informar a un interrogador
de una calidad de miembro de acogida.
Un conjunto de interrogadores y anfitriones que reciben flujos de datos de multidifusin desde la misma fuente se denomina
multidifusin
grupo. Interrogadores y hosts utilizan mensajes IGMP para unirse y dejar grupos multicast.
Cualquier host, independientemente de si es un miembro de un grupo, puede enviar a un grupo. Sin embargo, slo el
miembros de un grupo reciben el mensaje. La pertenencia a un grupo de multidifusin es dinmica; hosts pueden unirse
y salir en cualquier momento. No hay ninguna restriccin en la ubicacin o el nmero de miembros en un grupo de multidifusin.
Un host puede ser miembro de ms de un grupo de multidifusin a la vez. Cmo activo un grupo de multidifusin es y
lo que los miembros que tiene puede variar de un grupo a otro y de vez en cuando. Un grupo de multidifusin puede ser activa
por un largo tiempo, o puede ser de muy corta duracin. La pertenencia a un grupo en constante puede cambiar. Un grupo que
tiene miembros pueden tener ninguna actividad.
Trfico de multidifusin IP utiliza direcciones de grupo, que son las direcciones de clase D. Los bits de orden superior de una Clase
D
direccin estn 1110. Por lo tanto, las direcciones de grupo de acogida puede estar en el rango de 224.0.0.0 a travs
239.255.255.255. Las direcciones de multidifusin en el rango de 224.0.0.0 a 224.0.0.255 estn reservados para su uso por
protocolos de enrutamiento y el resto del trfico de control de red. La direccin 224.0.0.0 se garantiza que no sea
asignado a ningn grupo.
Paquetes IGMP se envan utilizando estas direcciones de grupo de multidifusin IP:
Consultas generales IGMP se destinan a la direccin 224.0.0.1 (todos los sistemas en una subred).
Consultas especficas de grupo IGMP estn destinados a la direccin IP de grupo para que el interruptor est consultando.
IGMP informes de pertenencia a grupos estn destinados a la direccin IP de grupo para que el interruptor est
la presentacin de informes.
IGMP versin 1
IGMP versin 1 (IGMPv1) utiliza principalmente un modelo de preguntas y respuestas que permite al router multicast y
multicapa cambiar para encontrar qu grupos multicast estn activos (tienen uno o ms huspedes interesados en un
grupo de multidifusin) en la subred local. IGMPv1 tiene otros procesos que permiten a un host a unirse y dejar un
grupo multicast. Para obtener ms informacin, vea RFC 1112.
IGMP versin 2
IGMPv2 ampla la funcionalidad IGMP al proporcionar caractersticas tales como el proceso de la licencia de IGMP para reducir
dejar latencia, consultas especficas de grupo, y un tiempo mximo de respuesta de la consulta explcita. IGMPv2 tambin aade
la capacidad de los routers para elegir al interrogador IGMP sin depender del protocolo multicast para
realizar esta tarea. Para obtener ms informacin, vea RFC 2236.
53-3
Captulo 53
Entendimiento PIM
PIM se llama independiente del protocolo: independientemente de los protocolos de enrutamiento unicast se utilizan para rellenar el
tabla de enrutamiento unicast, PIM utiliza esta informacin para llevar a cabo el reenvo de multidifusin en lugar de mantener
una tabla de enrutamiento multicast independiente.
PIM se define en el RFC 2362, Independiente Protocolo-Mode-Multicast Sparse (PIM-SM): Protocolo
Especificaciones. PIM se define en estas Internet Engineering Task Force (IETF) borradores de Internet:
Versiones PIM
PIMv2 incluye estas mejoras sobre PIMv1:
Existe un nico punto de encuentro activo (RP) por grupo de multidifusin, con mltiples RPs de copia de seguridad. Este
solo RP se compara con mltiples RPs activos para el mismo grupo en PIMv1.
Un enrutador bootstrap (BSR) proporciona un descubrimiento RP automatizado con tolerancia a fallos y la distribucin
mecanismo que permite que los routers y switches multicapa para aprender de forma dinmica el grupo RP-aasignaciones.
Sparse Mode y el modo denso son propiedades de un grupo, en contraposicin a una interfaz. Estamos fuertemente
recomendar modo esparcido-densa, a diferencia de cualquiera de los modos escasa o slo en el modo denso.
PIM unirse y mensajes de poda tienen codificacin ms flexible para mltiples familias de direcciones.
Un formato de paquete de saludo ms flexible reemplaza el paquete de consulta para codificar actual y futura
opciones de capacidad.
Registrar mensajes a un RP especifican si son enviados por un router frontera o un router designado.
Paquetes PIM ya no se encuentran dentro de los paquetes IGMP; que son paquetes independientes.
Modos PIM
PIM puede funcionar en modo denso (DM), modo disperso (SM), o en el modo de escasa densidad (PIM DM-SM),
que se ocupa de ambos grupos dispersas y densas grupos al mismo tiempo.
PIM DM
PIM DM construye rboles de distribucin multicast en la fuente. En el modo denso, un router PIM DM o multicapa
interruptor supone que todos los dems enrutadores o conmutadores multicapa reenviar paquetes de multidifusin para un grupo. Si
un
Dispositivo PIM DM recibe un paquete de multidifusin y se ha conectado no directamente a los miembros o vecinos PIM
Actualmente, un mensaje de ciruela es enviado de vuelta a la fuente para detener el trfico de multidifusin no deseado. Posterior
paquetes de multidifusin no se inundan a este router o switch en esta rama podada porque las ramas sin
receptores se podan desde el rbol de la distribucin, dejando slo las ramas que contienen los receptores.
53-4
OL-29703-01
Captulo 53
Cuando un nuevo receptor en una rama previamente podado del rbol se une a un grupo multicast, el PIM DM
dispositivo detecta el nuevo receptor e inmediatamente enva un mensaje de injerto hasta el rbol de la distribucin hacia
la fuente. Cuando el dispositivo PIM DM aguas arriba recibe el mensaje de injerto, se pone inmediatamente a la
interfaz en la que se recibi el injerto en el estado de reenvo para que comience el trfico multicast
que fluye hacia el receptor.
PIM-SM
PIM-SM utiliza rboles compartidas y la ruta ms corta-rboles (SPTs) para distribuir el trfico multicast a multicast
receptores de la red. En PIM-SM, un switch o router de mltiples capas supone que otros routers o switches
no reenviar paquetes de multidifusin para un grupo, a menos que exista una peticin explcita para el trfico (unirse
mensaje). Cuando un host se une a un grupo de multidifusin utilizando IGMP, su dispositivo PIM-SM conectado directamente
enva
PIM unirse mensajes hacia la raz, tambin conocida como la RP. Este mensaje unirse viaja enrutador por enrutador
hacia la raz, la construccin de una rama del rbol compartido que va.
El RP realiza un seguimiento de los receptores de multidifusin. Tambin registra fuentes a travs de mensajes de registro recibidos
desde el router de primer salto de la fuente (designado enrutador [DR]) para completar la ruta de rbol compartido de la
fuente al receptor. Cuando se utiliza un rbol compartido, fuentes deben enviar su trfico a la RP para que el
el trfico llega a todos los receptores.
Prune mensajes se envan hasta el rbol de la distribucin para podar el trfico del grupo de multidifusin. Esta accin permite
ramas del rbol o SPT compartida que se crearon con unirse a mensajes explcitos a ser derribadas cuando
que ya no son necesarios.
Cuando el nmero de interfaces PIM-permitido excede la capacidad de hardware y PIM-SM est habilitado con
el umbral se establece en SPT el infinito, el interruptor no crea (S, G) entradas en la tabla de enrutamiento multicast
para las interfaces algunas conectadas directamente si no estn ya en la tabla. El interruptor no podra
correctamente el trfico hacia adelante desde estas interfaces.
La imagen de base IP contiene slo enrutamiento trozo PIM. La imagen de servicios IP multicast contiene completa
enrutamiento. En un conmutador corriendo la imagen base IP, si intenta configurar una interfaz VLAN con PIM
de modo denso, de modo disperso, o escasa en modo denso, no se permite la configuracin.
En una red que utiliza enrutamiento taln de PIM, la nica ruta permitida para el trfico IP para el usuario es a travs de un
conmutador
que se configura con el enrutamiento de cdigo auxiliar PIM. Las interfaces pasivas PIM estn conectados a Capa 2 Acceso
dominios, tales como VLAN, o en las interfaces que se conectan a otros dispositivos de Capa 2. Slo directamente
multicast (IGMP) receptores y fuentes conectadas estn permitidos en los dominios de acceso de capa 2. El PIM
interfaces de pasivos no envan o procesan paquetes de control PIM recibidas.
Cuando se utiliza el enrutamiento de cdigo auxiliar PIM, debe configurar los routers de distribucin y remotos para utilizar IP
enrutamiento multicast y configurar slo el conmutador como un router de zona PIM. El interruptor no transita ruta
trfico entre enrutadores de distribucin. Tambin es necesario configurar un puerto de enlace ascendente enrutado en el interruptor.
El
cambiar puerto de enlace ascendente no se puede utilizar con SVI. Si necesita PIM para un puerto de enlace ascendente SVI, debe
actualizar
a la IP los servicios cuentan con set.
Tambin debe configurar el enrutamiento EIGRP trozo al configurar el enrutamiento taln de PIM en el interruptor. Para obtener
ms
informacin, consulte la Seccin "EIGRP Stub enrutamiento" en la pgina 45-44.
53-5
Captulo 53
La topologa router de zona PIM redundante no es compatible. Existe la topologa redundante cuando hay
ms de un router PIM reenviar trfico multicast a un dominio de acceso nico. Mensajes PIM son
comandos, y el activo PIM y los mecanismos electorales designados enrutador no se admiten en el PIM
las interfaces pasivas. Slo la topologa router de acceso redundante se admite en la funcin de cdigo auxiliar PIM.
Mediante el uso de una topologa no redundante, la interfaz pasiva PIM asume que es la nica interfaz y
enrutador designado en ese dominio de acceso.
La funcin de cdigo auxiliar PIM se hace cumplir en la imagen base IP. Si actualiza a una versin de software superior, la
Configuracin trozo PIM permanece hasta que se vuelva a configurar las interfaces.
En Figura 53-2, Interruptor Un puerto de enlace ascendente enrutado 25 est conectado al router y enrutamiento taln de PIM est
habilitado
en las interfaces de VLAN 100 y en el Host 3. Esta configuracin permite que los hosts conectados directamente a
recibir trfico de multidifusin 200.1.1.3 fuente. Consulte la Seccin "Configuracin de PIM Stub enrutamiento" en la
pgina 53-22 para obtener ms informacin.
Figura 53-2
Fuente
200.1.1.3
Puerto 20
Router
VLAN 100
Anfitrin 3
202361
Anfitrin 1
Anfitrin 2
IGMP Helper
PIM de enrutamiento stub mueve encaminan trfico ms cerca del usuario final y reduce el trfico de red. Tambin puede
reducir el trfico mediante la configuracin de un router de zona (switch) con la funcin de ayudante de IGMP.
Se puede configurar un router de zona (switch) con el ayudante igmp ayuda-direccin configuracin de la interfaz
comando para activar el interruptor para enviar informes a la interfaz del prximo salto. Los hosts que no son directamente
conectado a un router aguas abajo puede entonces unirse a un grupo multicast procedente de una red de aguas arriba.
Los paquetes IGMP desde un host que desee unirse a una secuencia de multidifusin se reenvan aguas arriba hasta el siguiente salto
dispositivo cuando se ha configurado. Cuando el router central de aguas arriba recibe el IGMP ayudante
informes u hojas, se aade o elimina las interfaces de su lista de interfaz de salida para ese grupo.
Para conocer la sintaxis completa y la informacin de uso de la igmp ip helper-address comando, consulte la Cisco IOS
IP y enrutamiento IP de mandatos, versin 12.4.
53-6
OL-29703-01
Captulo 53
Auto-RP
Esta caracterstica patentada elimina la necesidad de configurar manualmente la informacin de RP en todos los routers
y el interruptor de mltiples capas en la red. Para auto-RP a trabajar, se configura un router Cisco o multicapa
cambiar como el agente de mapeo. Utiliza multicast IP para saber qu routers o conmutadores de la red son
posibles candidatos para recibir RPs candidatos anuncios RP. RP candidatos envan peridicamente
multicast RP-announce mensajes a un grupo de rango o grupo en particular de anunciar su disponibilidad.
Agentes Cartografa escuchan anuncios candidatos RP y utilizan la informacin para crear entradas en
sus cachs de asignacin de grupo a RP. Slo se crea una entrada en la cach de mapeo para cualquier rango-Grupo-a RP
recibidas, incluso si mltiples RPs candidatos estn enviando avisos RP para el mismo rango. Como
RP-anuncian los mensajes llegan, el agente de la cartografa selecciona el router o switch con la direccin IP ms alta
como la RP activa y almacena esta direccin RP en la cach de asignacin de grupo a RP.
Agentes Asignacin de multidifusin peridicamente los contenidos de sus cachs de asignacin de grupo a RP. Por lo tanto, todo
routers y switches automticamente descubren que RP a utilizar para los grupos que apoyan. Si un router
o el interruptor no puede recibir mensajes de RP-descubrimiento y la expira informacin de asignacin de grupo-a-RP, que
cambios en un RP configurado estticamente que se definen con la pim rp ip-direccin configuracin global
de comandos. Si no existe ningn RP configurada de forma esttica, el router o switch cambia el grupo de modo denso
operacin.
Mltiples RP sirven para diferentes rangos de grupos o sirven como copias de seguridad en caliente de
unos a otros.
Bootstrap Router
PIMv2 BSR es otro mtodo para distribuir informacin-grupo-a RP cartografa a todos los routers PIM y
multicapa cambia en la red. Se elimina la necesidad de configurar manualmente la informacin de RP en cada
router y conmutador en la red. Sin embargo, en lugar de usar la multidifusin IP para distribuir grupo-a-RP
informacin de mapas, BSR utiliza inundaciones hop-by-hop de mensajes especiales BSR para distribuir la correspondencia
informacin.
La BSR es elegido a partir de un conjunto de routers candidatos y los interruptores en el dominio que se han configurado
para funcionar como BSRs. El mecanismo de eleccin es similar al mecanismo de eleccin de la raz-puente utilizado en
LAN con puentes. La eleccin BSR se basa en la prioridad del dispositivo BSR contenida en el BSR
mensajes que se envan hop-by-hop a travs de la red. Cada dispositivo BSR examina el mensaje y
reenva a todas las interfaces slo el mensaje que tiene ya sea una prioridad ms alta que su prioridad BSR BSR
o la misma prioridad BSR, pero con una direccin IP BSR superior. Usando este mtodo, el BSR es elegido.
El BSR electo enva mensajes BSR con un TTL de 1 vecinos routers PIMv2 o multicapa
switches reciben el mensaje de BSR y multicast a cabo todas las dems interfaces (excepto el de la que
fue recibido) con un TTL de 1 De esta forma, los mensajes BSR hop-by-hop viajan a travs de la PIM
dominio. Dado que los mensajes BSR contienen la direccin IP de la corriente de BSR, el mecanismo de inundacin
permite candidato RPs para aprender automticamente qu dispositivo es el BSR elegido.
RP candidatos envan anuncios RP candidatos que muestran el rango de grupo de los que son
responsable ante el BSR, que almacena esta informacin en su cach candidato-RP local. El BSR
anuncia peridicamente el contenido de esta memoria cach en los mensajes de BSR a todos los otros dispositivos en el PIM
dominio. Estos mensajes hop-by-hop viajan a travs de la red a todos los routers y conmutadores, que almacenan
la informacin RP en el mensaje de BSR en su cach RP local. Los routers y switches seleccionar el mismo
RP para un determinado grupo, ya que todos utilizan un algoritmo de hash comn RP.
53-7
Captulo 53
El interruptor de router o de mltiples capas examina la direccin de origen del paquete de multidifusin llegar a
decidir si el paquete lleg en una interfaz que est en el camino de retorno de nuevo a la fuente.
2.
Si el paquete llega a la interfaz que conduce de vuelta a la fuente, la comprobacin RPF tiene xito y el
paquete se reenva a todas las interfaces de la lista de interfaz de salida (que podra no ser todas las interfaces
en el router).
3.
Algunos protocolos de enrutamiento multicast, como DVMRP, mantienen una tabla de enrutamiento multicast independiente y uso
para la comprobacin RPF. Sin embargo, PIM utiliza la tabla de enrutamiento unicast para realizar la comprobacin RPF.
Figura 53-3 muestra el puerto 2 que recibe un paquete de multidifusin de la fuente 151.10.3.21. Tabla 53-1 muestra que
el puerto en el camino de retorno a la fuente es el puerto 1, puerto 2 no porque la comprobacin RPF falla, la multicapa
conmutador descarta el paquete. Otro paquete de multidifusin de la fuente 151.10.3.21 se recibe en el puerto 1, y
la tabla de enrutamiento muestra este puerto est en el camino de retorno a la fuente. Debido a que el cheque RPF pasa, la
interruptor reenva el paquete a todos los puertos en la lista de puertos de salida.
Figura 53-3
RPF Check
Multicast
paquete desde
fuente 151.10.3.21
se reenva.
Multicast
paquete desde
fuente 151.10.3.21
paquete se descarta.
Switch capa 3
Ethernet Gigabit 0/3
Tabla 53-1
101242
Red
Puerto
151.10.0.0/16
198.14.32.0/32
204.1.16.0/24
53-8
OL-29703-01
Captulo 53
PIM utiliza dos rboles de cdigo fuente y rboles compartidos RP-arraigado para reenviar datagramas (descrito en el "PIM
Seccin DM "en la pgina 53-4 y el Seccin "PIM-SM" en la pgina 53-5). La comprobacin RPF se realiza
de forma diferente para cada uno:
Si un router PIM o switch multicapa tiene un estado de origen-rbol (es decir, un (S, G) est presente en la
tabla de encaminamiento de multidifusin), se realiza la comprobacin RPF en contra de la direccin IP de la fuente de la
paquete de multidifusin.
Si un router PIM o switch multicapa tiene un estado-rbol compartido (y ningn estado fuente-rbol explcito), que
realiza la comprobacin RPF en la direccin de la AD (que se sabe cuando los miembros se unen al grupo).
-Modo Sparse PIM utiliza la funcin de bsqueda de RPF para decidir donde debe enviar une y ciruelas pasas:
(S, G) se une (que son estados de fuente de rboles) se envan hacia la fuente.
(*, G) se une (que son estados de rboles compartida) son enviados hacia el RP.
DVMRP y modo densa uso PIM slo rboles de origen y utilizar RPF como se describi anteriormente.
Entendimiento DVMRP
DVMRP se implementa en el equipo de muchos vendedores y se basa en el dominio pblico mrouted
programa. Este protocolo se ha desplegado en el MBONE y en otras redes multicast intradominio.
Routers de Cisco y los conmutadores multicapa ejecutar PIM y puede reenviar paquetes de multidifusin y recibir de un
Vecino DVMRP. Tambin es posible propagar rutas DVMRP en ya travs de una nube PIM. El
software propaga rutas DVMRP y construye una base de datos independiente para estas rutas en cada router y
multicapa interruptor, pero PIM utiliza esta informacin de enrutamiento para tomar la decisin de reenvo de paquetes. El
software no implementa el DVMRP completa. Sin embargo, es compatible con el descubrimiento dinmico de DVMRP
routers y pueden interoperar con ellos sobre los medios tradicionales (como Ethernet y FDDI) o sobre
Tneles DVMRP especficos.
Vecinos DVMRP construir una tabla de rutas mediante el intercambio peridicamente red fuente de informacin de enrutamiento
en los mensajes de ruta-informe. La informacin de encaminamiento almacenada en la tabla de enrutamiento DVMRP es
independiente de
la tabla de enrutamiento unicast y se utiliza para construir un rbol de distribucin de origen y al cumplimiento de las multidifusin
utilizando RPF.
DVMRP es un protocolo en modo denso y construye una base de datos de elementos primarios y secundarios mediante un multicast
limitado
modelo para construir un rbol de reenvo enraizado en el origen de los paquetes de multidifusin. Los paquetes de multidifusin son
inicialmente inundado por este rbol de origen. Si las rutas redundantes estn en el rbol de cdigo fuente, los paquetes no son
remitido por esos caminos. Forwarding se produce hasta que se reciban mensajes de poda en los padres e hijos
enlaces, que restringen an ms la transmisin de paquetes de multidifusin.
Entendimiento CGMP
Esta versin del software ofrece soporte CGMP-servidor en el conmutador; ninguna funcionalidad del lado del cliente es
proporcionado. El interruptor sirve como un servidor CGMP para dispositivos que no son compatibles con la inspeccin de IGMP,
pero tienen
Funcionalidad CGMP-cliente.
CGMP es un protocolo utilizado en los routers Cisco y switches multicapa conectados a Capa 2 Catalizador
interruptores para realizar tareas similares a las realizadas por IGMP. CGMP permite grupo de nivel 2
informacin de pertenencia a comunicar desde el servidor CGMP al interruptor. El interruptor puede entonces
pueden aprender en el que interconecta miembros de multidifusin residen en lugar de trfico de multidifusin inundaciones a todos
los conmutadores
interfaces. (Snooping IGMP es otro mtodo para limitar la inundacin de paquetes de multidifusin. Para ms
informacin, consulte Captulo 29, "Configuracin de la inspeccin de IGMP y MVR.")
53-9
Captulo 53
CGMP es necesario porque el conmutador de capa 2 no puede distinguir entre los paquetes y los datos de multidifusin IP
Mensajes de informe IGMP, que son tanto a nivel de MAC y se dirigen a la misma direccin de grupo.
CGMP es mutuamente excluyente con HSRPv1. No puede habilitar CGMP procesamiento de salir y HSRPv1
al mismo tiempo. Sin embargo, puede habilitar CGMP y HSRPv2 al mismo tiempo. Para obtener ms informacin,
ver el Seccin "Versiones HSRP" en la pgina 48-3.
Actan dispositivos en espera de enrutamiento como multicast y estn listos para asumir el control si hay un maestro de la
pila
fracaso.
Si el maestro de la pila falla, todos los miembros de la pila borrar sus tablas de enrutamiento multicast. El recin elegido
maestra de la pila comienza la construccin de las tablas de enrutamiento y los distribuye a los miembros de la pila.
Si un maestro de la pila de ejecutar el conjunto de caractersticas de los servicios IP falla y si el maestro de la pila
recin elegido
se est ejecutando el conjunto de funciones de base IP, la pila de switches pierde su capacidad de enrutamiento
multicast.
Para obtener informacin sobre el proceso electoral maestra de la pila, consulte Captulo 5, "Gestin de Pilas interruptor."
Nota
No construyen tablas de enrutamiento multicast. En su lugar, utilizan la tabla de enrutamiento multicast que es
distribuido por el maestro de la pila.
Configuracin de IP Multicast
Routing
Por defecto Multicast configuracin de enrutamiento, pgina 53-11
Configuracin de un Punto de Encuentro, pgina 53-24 (Necesario si la interfaz est en modo disperso-denso, y
desea tratar al grupo como un grupo disperso)
Uso de Auto-RP y un BSR, pgina 53-34 (Necesario para los dispositivos que no son Cisco PIMv2 para interoperar con
Cisco PIM dispositivos v1))
53-10
OL-29703-01
Captulo 53
Caracterstica
Enrutamiento multicast
Versin PIM
Versin 2.
Modo PIM
No se define el modo.
Ninguno configurado.
Direccin RP PIM
Ninguno configurado.
Desactivado.
Ninguno.
BSRs candidatos
Desactivado.
RP candidatos
Desactivado.
0 kb / s.
30 segundos.
53-11
Captulo 53
Grupos de modo minimalista en una regin mixta PIMv1 y PIMv2 son posibles porque la caracterstica Auto-RP en
PIMv1 interopera con la caracterstica PIMv2 RP. Aunque todos los dispositivos PIMv2 tambin pueden usar PIMv1, nos
Recomendar a los RPs actualizarse a PIMv2. Para facilitar la transicin a PIMv2, tenemos estos
recomendaciones:
Si Auto-RP no est configurado en las regiones PIMv1, configurar Auto-RP. Para obtener ms informacin,
ver el Seccin "Configuracin de Auto-RP" en la pgina 53-26.
Si la red es todo Cisco routers y switches multicapa, puede utilizar cualquiera de Auto-RP o BSR.
Si tiene Cisco PIMv1 y PIMv2 routers y switches multicapa y routers no-Cisco, que
debe utilizar tanto Auto-RP y BSR. Si su red incluye routers de otros proveedores, configurar el
Agente mapeo Auto-RP y el BSR en un dispositivo Cisco PIMv2. Asegrese de que no hay ningn dispositivo PIMv1 es
ubicado en el camino a entre la BSR y un dispositivo no-Cisco PIMv2.
Dado que los mensajes de arranque se envan hop-by-hop, un dispositivo PIMv1 impide que estos mensajes de
llegar a todos los routers y switches multicapa en su red. Por lo tanto, si su red tiene una
Dispositivo PIMv1 en ella y slo los routers Cisco y switches multicapa, lo mejor es utilizar Auto-RP.
Si usted tiene una red que incluye routers que no son Cisco, configurar el agente de mapeo Auto-RP y
la BSR en un router o switch Cisco multicapa PIMv2. Asegrese de que no hay ningn dispositivo PIMv1 est en el camino
entre el BSR y un router no Cisco PIMv2.
Si usted tiene routers Cisco no PIMv2 que necesitan interoperar con routers Cisco PIMv1 y
switches multicapa, se requieren tanto Auto-RP y BSR. Recomendamos que un Cisco PIMv2
dispositivo sea tanto el agente mapeo Auto-RP y el BSR. Para obtener ms informacin, consulte la "Utilizacin
Auto-RP y una seccin BSR "en la pgina 53-34.
Nota
Si habilita PIM en varias interfaces, cuando la mayora de estas interfaces no estn en la interfaz de salida
lista, y IGMP est desactivado, la interfaz de salida no puede ser capaz de mantener una velocidad de lnea para
el trfico de multidifusin debido a la replicacin extra.
53-12
OL-29703-01
Captulo 53
En poblar la tabla de enrutamiento multicast, las interfaces en modo denso siempre se agregan a la tabla.
Las interfaces en modo Sparse se agregan a la tabla slo cuando se reciben unirse correos peridicos de
dispositivos aguas abajo o cuando hay un miembro conectado directamente en la interfaz. Al reenviar
de una LAN, la operacin en modo escasa se produce si hay un RP conocido para el grupo. Si es as, los paquetes se
encapsulado y enviado hacia el RP. Cuando no se conoce RP, el paquete es inundado en una densa modo
la moda. Si el trfico de multidifusin de una fuente especfica es suficiente, primera-hop router del receptor podra
enviar mensajes unirse hacia la fuente para construir un rbol de la distribucin basada en la fuente.
De forma predeterminada, el enrutamiento multicast se desactiva y no hay ajuste de modo por defecto. Este procedimiento es
necesario.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar la multidifusin IP, para configurar un PIM
versin, y para configurar un modo de PIM. Este procedimiento es necesario.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
IP versin pim [1 | 2]
Paso 5
Paso 6
fin
53-13
Captulo 53
Comando
Propsito
Paso 7
show running-config
Paso 8
Para deshabilitar la multidifusin, utilice el no ip multicast routing distribuido comando de configuracin global. Para
volver a la versin PIM predeterminado, utilice la ninguna versin pim ip comando de configuracin de interfaz. Para
deshabilitar PIM en una interfaz, utilice el no ip pim comando de configuracin de interfaz.
SSM es un modelo de entrega de datagramas que mejor soporta uno a muchas aplicaciones, tambin conocidas como de difusin
aplicaciones. SSM es una tecnologa de red de ncleo para la implementacin de Cisco de multidifusin IP
soluciones especficas para entornos de aplicaciones de difusin de audio y vdeo. El switch soporta estos
componentes que apoyan la aplicacin de la SSM:
53-14
OL-29703-01
Captulo 53
las direcciones IP de las fuentes de las que reciben su trfico. El enfoque estndar propuesto para
uso de sealizacin de suscripcin canal IGMP incluyen informes de miembros de modo, que se apoyan slo
en IGMP versin 3.
Intervalo de direcciones IP
SSM
SSM puede coexistir con el servicio ISM mediante la aplicacin del modelo de entrega SSM a un subconjunto configurado del
Rango de direcciones de grupo de multidifusin IP. Software Cisco IOS permite la configuracin SSM para la multidifusin IP
rango de direcciones de 224.0.0.0 a 239.255.255.255. Cuando se define un rango de SSM, IP existente
Receptor de las solicitudes de multidifusin no reciben ningn trfico cuando tratan de usar una direccin en la SSM
rango (a menos que la aplicacin se ha modificado para utilizar una explcita (S, G) la suscripcin de canales).
Operaciones SSM
Una red establecida, en el que el servicio de multidifusin IP se basa en PIM-SM, puede soportar servicios de SSM.
SSM tambin se puede implementar solo en una red sin la gama completa de protocolos requerido para interdomain
PIM-SM (por ejemplo, MSDP, Auto-RP, o enrutador bootstrap [BSR]) si slo se necesita el servicio SSM.
Si SSM se despliega en una red ya configurada para PIM-SM, slo la ltima-hop apoyo routers SSM.
Los routers que no estn conectados directamente a los receptores no requieren soporte para SSM. En general, estos
routers no-ltima-hop slo deben ejecutar PIM-SM en la gama SSM y es posible que el control de acceso adicional
configuracin para suprimir la sealizacin MSDP, registrarse o PIM-SM comparti operaciones de rboles de
perpetrada dentro de la gama SSM.
Utilice el ip pim ssm comando de configuracin global para configurar la gama SSM y permitir SSM. Este
configuracin tiene los siguientes efectos:
Por grupos dentro de la gama SSM, (S, G) suscripciones a canales se aceptan a travs de IGMPv3
incluir de modo de informes de miembros.
Operaciones PIM dentro del rango de direcciones SSM cambian para PIM-SSM, un modo derivado de
PIM-SM. En este modo, slo PIM (S, G) se unen y mensajes de poda son generados por el router, y
no se generan (S, G) rbol de punto de encuentro (RPT) o (*, G) mensajes RPT. Los mensajes entrantes
relacionados con las operaciones de RPT son ignorados o rechazados, y los mensajes de registro PIM entrantes son
inmediatamente contestado con mensajes de registro de punto. PIM-SSM es backward-compatible con
PIM-SM a menos que un router es un router ltima-hop. Por lo tanto, los routers que no son routers ltima-hop pueden ejecutar
PIM-SM para grupos SSM (por ejemplo, si no todava apoyan SSM).
No se aceptan fuente activa MSDP (SA) mensajes dentro de la gama SSM, genera, o
reenviado.
53-15
Captulo 53
Directrices de configuracin
Esta seccin contiene las directrices para la configuracin de SSM.
53-16
OL-29703-01
Captulo 53
Configuracin de SSM
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar SSM. Este procedimiento es opcional.
Comando
Propsito
Paso 1
Paso 2
Paso 3
Paso 4
IP IGMP versin 3
Monitoreo SSM
Comenzando en el modo EXEC privilegiado, use estos comandos para monitorear SSM.
Comando
Propsito
show ip mroute
Antes de configurar el mapeo SSM, habilitar el enrutamiento multicast IP, habilite PIM modo disperso, y
configurar SSM. Para obtener informacin sobre cmo activar el enrutamiento multicast IP y el modo escasa PIM, consulte
la
En la pgina 53-11 "Configuracin de enrutamiento de multidifusin por defecto".
Antes de configurar el mapeo SSM esttica, debe configurar listas de control de acceso (ACL) que
definir el grupo va a ser asignado a las direcciones de origen. Para obtener informacin sobre la configuracin de una ACL,
ver Captulo 40, "Configuracin de Red de Seguridad con ACL."
53-17
Captulo 53
Antes de poder configurar y utilizar la asignacin de SSM con las bsquedas de DNS, debe ser capaz de agregar registros
a un servidor DNS en funcionamiento. Si an no dispone de un servidor DNS en funcionamiento, es necesario instalar uno.
Puede usar un producto como Cisco Network Registrar.
La funcin de mapeo SSM no tiene todos los beneficios de una plena SSM. Como la transformacin SSM toma
un grupo unirse desde un host e identifica este grupo con una aplicacin asociada con uno o ms
fuentes, que slo puede admitir una tal solicitud por grupo. Aplicaciones completas SSM todava pueden compartir
el mismo grupo que en la cartografa de SSM.
Habilitar IGMPv3 con cuidado en el ltimo salto del router cuando se basan nicamente en la cartografa SSM como
solucin de transicin para la plena SSM. Cuando se habilita tanto la cartografa SSM y IGMPv3 y los anfitriones
ya apoyar IGMPv3 (pero no SSM), los hosts envan informes de los grupos IGMPv3. Mapeo SSM hace
es compatible con estos informes de los grupos IGMPv3, y el router no asocia correctamente con fuentes
estos informes.
53-18
OL-29703-01
Captulo 53
El router busca los registros de recursos de direcciones IP y los utiliza como las direcciones de origen asociados con
este grupo. Mapeo SSM soporta hasta 20 fuentes para cada grupo. El router se une a todas las fuentes
configurada para un grupo (vase Figura 53-4).
Figura 53-4
DNS-Based SSM-Mapping
Fuente
(S, G) Ingreso
(S, G) Ingreso
Servidor DNS
Respuesta DNS
Bsqueda de DNS inversa
STB host 1
STB husped 2
STB host 3
El mecanismo de asignacin de SSM que habilita el ltimo salto del router para unirse a mltiples fuentes para un grupo puede
proporcionar redundancia fuente de una emisin de televisin. En este contexto, la ltima hop router proporciona redundancia
utilizando la correlacin de SSM para unirse simultneamente dos fuentes de vdeo para el mismo canal de televisin. Sin embargo,
para
evitar que el ltimo salto del router de duplicar el trfico de vdeo, las fuentes de vdeo deben utilizar un server-side
mecanismo de conmutacin. Una fuente de vdeo est activa, y la otra fuente de vdeo de copia de seguridad es pasivo. El
fuente pasiva espera hasta que se detecta un fallo de la fuente activa antes de enviar el trfico de vdeo para el televisor
canal. As, el mecanismo de conmutacin del lado del servidor asegura que slo uno de los servidores est activamente
el envo de trfico de vdeo para el canal de TV.
Para buscar una o ms direcciones de origen para un grupo que incluye G1, G2, G3, y G4, debe
configurar estos registros DNS en el servidor DNS:
G4.G3.G2.G1 [multicast-domain] [timeout] EN UN fuente-direccin-1
EN UN fuente-direccin-2
EN UN fuente-direccin-n
Consulte la documentacin del servidor DNS para obtener ms informacin sobre la configuracin de los registros de recursos
DNS.
Configuracin de la asignacin
SSM
Configuracin esttica reenvo de trfico con SSM Mapping, pgina 53-21 (Opcional)
53-19
Captulo 53
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
fin
Paso 7
show running-config
Paso 8
Para obtener informacin adicional acerca de la asignacin SSM, consulte el "Origen Especficas Multicast (SSM) Mapping"
captulo de la Cisco IOS IP Multicast Gua de configuracin, lanzamiento 12.4T.
Comando
Propsito
Paso 1
configure terminal
Paso 2
53-20
OL-29703-01
Captulo 53
Paso 3
Comando
Propsito
Paso 4
Paso 6
Paso 7
fin
Paso 8
show running-config
Paso 9
Comando
Propsito
Paso 1
configure terminal
Paso 2
Seleccione una interfaz en la que el trfico de forma esttica hacia adelante para una
multidifusin
grupo mediante mapeo SSM, y entrar en el modo de configuracin de interfaz.
El reenvo del trfico esttico con el mapeo de SSM trabaja con ya sea
Nota
Mapeo MSE basado en DNS o SSM configurado estticamente
mapeo.
Paso 3
Paso 4
show running-config
Paso 5
53-21
Captulo 53
Comando
Propsito
mostrar igmp ssm-mapping ip grupo de direccin Muestra las fuentes que la cartografa SSM usa para un grupo en particular.
mostrar grupos IGMP ip [Nombre-grupo |
grupo de direccin |-Tipo de interfaz
nmero-interfaz] [Detalles]
Visualice los grupos de multidifusin con receptores que estn conectados directamente a la
router y que fueron aprendidas a travs de IGMP.
anfitrin de la
demostracin
Para obtener informacin adicional acerca de la asignacin SSM, consulte el "Origen Especficas Multicast (SSM) Mapping"
captulo de la Cisco IOS IP Multicast Gua de configuracin, lanzamiento 12.4T.
Antes de configurar el enrutamiento de cdigo auxiliar PIM, debe tener el enrutamiento multicast IP configurada tanto en el
taln
router y el router central. Tambin debe tener el modo PIM (modo denso, de modo disperso, o
de modo denso-escasa) configurada en la interfaz de enlace ascendente del router de zona.
El router de zona PIM no encamina el trfico de trnsito entre los routers de distribucin. Unicast
(EIGRP) de enrutamiento de cdigo auxiliar impone esta conducta. Debe configurar el enrutamiento unicast taln para ayudar
a la
PIM trozo comportamiento router. Para obtener ms informacin, consulte la Seccin "EIGRP Stub enrutamiento" en la
pgina 45-44.
Slo multicast conectado directamente (IGMP) receptores y fuentes se permiten en el acceso de capa 2
dominios. El protocolo PIM no se admite en dominios de acceso.
La topologa router de zona PIM redundante no es compatible.
53-22
OL-29703-01
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el enrutamiento PIM taln en una interfaz. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
ip pim pasiva
Paso 4
fin
Paso 5
Paso 6
show running-config
Paso 7
Para deshabilitar el enrutamiento de cdigo auxiliar PIM en una interfaz, utilice el no pasiva pim ip comando de configuracin de
interfaz.
En este ejemplo, el enrutamiento multicast IP est activado, Switch Un puerto de enlace ascendente PIM 25 est configurado como
un derrotado
puerto de enlace ascendente con -Modo de repuesto de alta densidad habilitado. Enrutamiento taln de PIM est habilitado en las
interfaces de VLAN 100
y en el puerto
Gigabit
Ethernet
en Figura
53-2:
Switch
(config)
# IP
multicast20
routing
distribuido
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Para verificar que recibo de PIM est habilitado para cada interfaz, utilice el show interface ip pim EXEC privilegiado
comando:
Interruptor # show interfaz ip pim
Direccin Interface Ver / NBR Consulta DR DR
Modo Conde intervalos Prior
3.1.1.2 GigabitEthernet3 / 0/25 v2 / SD 1 30 1 3.1.1.2
100.1.1.1 VLAN100 v2 P / 0 30 1 100.1.1.1
10.1.1.1 GigabitEthernet3 / 0/20 v2 / P 0 30 1 10.1.1.1
53-23
Captulo 53
Utilice estos comandos EXEC privilegiados para mostrar informacin acerca de la configuracin de cdigo auxiliar PIM y el estado:
show interface ip pim muestra el taln de PIM que se habilita en cada interfaz.
mostrar detalles igmp ip muestra los clientes interesados que se han sumado la fuente de multidifusin especfica
grupo.
mostrar mroute igmp ip Verifica que los delanteros stream multicast desde la fuente a la interesada
clientes.
Configuracin de un Punto de
Encuentro
Usted debe tener un RP si el interfaz est en modo disperso-denso y si usted quiere tratar al grupo como una escasa
grupo. Puede utilizar varios mtodos, como se describe en las siguientes secciones:
Configuracin de Auto-RP, pgina 53-26 (Un independiente, el protocolo propietario de Cisco separado de PIMv1)
Configuracin PIMv2 BSR, pgina 53-30 (Un protocolo de seguimiento de las normas en el Internet Engineering Task
Fuerza [IETF])
Puede usar auto-RP, BSR, o una combinacin de ambos, dependiendo de la versin PIM que est ejecutando
y los tipos de routers en su red. Para obtener ms informacin, consulte la "PIMv1 y PIMv2
Seccin Interoperabilidad "en la pgina 53-11 y el Seccin de "Auto-RP y configuracin BSR Directrices"
en la pgina 53-12.
53-24
OL-29703-01
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar manualmente la direccin del RP.
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Para La direccin IP, introduzca la direccin unicast del RP en decimal con puntos
notacin.
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Para eliminar una direccin de la AD, utilice el no ip pim rp-direccin La direccin IP [Access-list-number] [override]
comando de configuracin global.
Este ejemplo muestra cmo configurar la direccin del RP a 147.106.6.22 para multicast
225.2.2.2 grupo nico:
Switch (config) # access-list 1 permit 225.2.2.2 0.0.0.0
Switch (config) # pim rp IP-direccin 147.106.6.22 1
53-25
Captulo 53
Configuracin de Auto-RP
Auto-RP utiliza multidifusin IP para automatizar la distribucin de las asignaciones de grupo a RP a todos los routers de Cisco y
multicapa conmutadores en una red PIM. Tiene las siguientes ventajas:
Es fcil de usar mltiples RPs dentro de una red para servir a diferentes rangos de grupos.
Proporciona divisin de la carga entre diferentes RPs y disposicin de los RPs de acuerdo con la ubicacin de
los participantes del grupo.
Evita, configuraciones RP manuales inconsistentes en cada interruptor de router y de mltiples capas en un PIM
red, que puede causar problemas de conectividad.
Si las interfaces enrutadas estn configurados en el modo escaso, Auto-RP todava se puede usar si todos los dispositivos
estn
configurado con una direccin RP manual para los grupos de Auto-RP.
Si las interfaces enrutadas estn configurados en modo escaso y se introduce el ip autorp pim oyente mundial
comando de configuracin, Auto-RP todava se puede utilizar incluso si todos los dispositivos no estn configurados con una
direccin RP manual para los grupos de Auto-RP.
53-26
OL-29703-01
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para desplegar Auto-RP en un modo disperso existente
nube. Este procedimiento es opcional.
Paso 1
Comando
Propsito
show running-config
Paso 2
configure terminal
Paso 3
Configurar otro dispositivo PIM ser el RP candidato para los grupos locales.
Paso 4
Para alcance ttl, especificar el valor de tiempo de vida en el lpulo. Introduzca un salto
cuentan que es lo suficientemente alto como para que el RP-announce mensajes lleguen
todos los agentes de mapeo en la red. No hay ningn valor predeterminado. El
rango es de 1 a 255.
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
53-27
Captulo 53
Paso 5
Comando
Propsito
Paso 6
fin
Paso 7
show running-config
espectculo pim rp ip
Para retirar el dispositivo PIM configurado como RP candidato, utilice el no ip pim send-rp-announce
interface-id comando de configuracin global. Para quitar el interruptor como el agente RP-mapping, utilice el no
pim ip send-rp-descubrimiento comando de configuracin global.
Este ejemplo muestra cmo enviar anuncios RP a cabo todas las interfaces PIM-habilitado para un mximo de 31
lpulo. La direccin IP del puerto 1 es el RP. Lista de acceso 5 describe el grupo para el que este interruptor sirve
como RP:
Switch (config) # pim ip send-rp-announce GigabitEthernet1 / alcance 0/1 31 grupo-lista 5
Switch (config) # access-list 5 permiso 224.0.0.0 15.255.255.255
53-28
OL-29703-01
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para filtrar mensajes de anuncio RP entrantes.
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
53-29
Captulo 53
En este ejemplo, el agente de la cartografa acepta anuncios RP candidato de slo dos dispositivos,
172.16.5.1 y 172.16.2.1. El agente de la cartografa acepta anuncios RP candidato de estos dos
dispositivos slo para grupos de multidifusin que caen en el rango de grupo de 224.0.0.0 a 239.255.255.255. El
agente de mapeo no acepta anuncios RP candidato de cualquier otro dispositivo en la red.
Adems, el agente de la cartografa no acepta anuncios RP candidato de 172.16.5.1
o 172.16.2.1 si los anuncios son de ningn grupo en el rango 239.0.0.0 a travs de 239.255.255.255.
Este rango es el rango de direcciones de mbito administrativo.
Para obtener informacin general, consulte el Seccin "Bootstrap Router" en la pgina 53-7.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
pim ip bsr-frontera
Paso 4
fin
Paso 5
show running-config
Paso 6
Para quitar la frontera PIM, utilice el no ip pim bsr-frontera comando de configuracin de interfaz.
53-30
OL-29703-01
Captulo 53
Figura 53-5
Configurar el
pim ip bsr-frontera
ordenar en
esta interfaz.
La vecina
Dominio PIMv2
BSR
mensajes
Capa 3
interruptor
Configurar el
pim ip bsr-frontera
ordenar en
esta interfaz.
BSR
mensajes
BSR
Capa 3
interruptor
La vecina
Dominio PIMv2
101243
Comando
Propsito
Paso 1
configure terminal
Paso 2
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 3
interfaz interface-id
Paso 4
IP multicast lmite
access-list-nmero
Paso 5
fin
Paso 6
show running-config
Paso 7
Para quitar el lmite, utilice el sin lmite de multidifusin IP comando de configuracin de interfaz.
53-31
Captulo 53
En este ejemplo se muestra una parte de una configuracin de lmite de multidifusin IP que niega Auto-RP
informacin:
Switch
Switch
Switch
Switch
Switch
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para eliminar este dispositivo como un candidato BSR, utilice el no ip pim bsr-candidato configuracin global
de comandos.
Este ejemplo muestra cmo configurar un BSR candidato, que utiliza la direccin IP 172.21.24.18 en un puerto
como la direccin BSR anunciado, utiliza 30 bits como la mscara de longitud hash, y tiene una prioridad de 10.
Switch
Switch
Switch
Switch
53-32
OL-29703-01
Captulo 53
En una red de routers Cisco y switches multicapa, donde slo se usa Auto-RP, cualquier dispositivo puede
ser configurado como un RP.
En una red que incluye slo los routers Cisco PIMv2 y switches multicapa y con routers de
otros proveedores, cualquier dispositivo puede ser utilizado como un RP.
En una red de routers Cisco, routers Cisco PIMv1 PIMv2 y routers de otros proveedores,
configurar slo los routers Cisco PIMv2 y switches multicapa como RPs.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el conmutador para anunciarse como un
PIMv2 candidato RP a la BSR. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Para eliminar este dispositivo como un RP candidato, utilice el no ip pim rp-candidato interface-id mundial
comando de configuracin.
53-33
Captulo 53
Este ejemplo muestra cmo configurar el conmutador para anunciarse como un RP candidato a la BSR en su
Dominio PIM. Lista de acceso estndar nmero 4 especifica el prefijo del grupo asociado con la RP que tiene
la direccin identificada por un puerto. Eso RP es responsable de los grupos con el prefijo 239.
Switch (config) # GigabitEthernet1 ip pim rp-candidato / 0/2 grupo-lista 4
Switch (config) # access-list 4 permiso 239.0.0.0 0.255.255.255
Configure los BSRs candidatos como los agentes RP-mapping para Auto-RP. Para obtener ms informacin, consulte
la Seccin "Configuracin de Auto-RP" en la pgina 53-26 y el Seccin "Configuracin Candidato BSRs"
en la pgina 53-32.
Para prefijos del grupo anuncian a travs de Auto-RP, el mecanismo PIMv2 BSR no debera anunciar un
subrango de estos prefijos grupo sirvi por un conjunto diferente de RPs. En un PIMv1 mixta y PIMv2
dominio, tiene RPs de copia de seguridad sirven los mismos prefijos de grupo. Esto evita que el PIMv2 DRs de
la seleccin de un RP diferentes de los PIMv1 DR, debido a la bsqueda de coincidencia ms larga en el RP-mapeo
base de datos.
Comenzando en el modo EXEC privilegiado, siga estos pasos para verificar la consistencia de grupo-a-RP
asignaciones. Este procedimiento es opcional.
Paso 1
Paso 2
Comando
Propsito
(Opcional) Para grupo de direccin, especificar la direccin del grupo sobre el cual
para mostrar RPs.
(Opcional) Utilice el mapeo palabra clave para mostrar todas las asignaciones de grupo a RP
de los cuales el dispositivo de Cisco es consciente (ya sea configurado o aprendido de
Auto-RP).
53-34
OL-29703-01
Captulo 53
Seguimiento de la RP informacin
cartogrfica Para monitorizar la informacin de asignacin RP, utilice estos comandos en el modo EXEC privilegiado:
show ip pim rp-hash grupo muestra la RP que se seleccion para el grupo especificado.
espectculo pim rp ip [Nombre-grupo | grupo de direccin |mapeo] muestra cmo el switch aprende de la RP
(A travs de la BSR o el mecanismo Auto-RP).
Verificar mapeo RP con la show ip pim rp-hash comando EXEC privilegiado, asegurndose de que todos los
sistemas estn de acuerdo en el mismo RP para el mismo grupo.
2.
Verifique la interoperabilidad entre las diferentes versiones de los proyectos de resolucin y RPs. Asegrese de que los PR son
interactuar con los proyectos de resolucin adecuada (al responder con registro-stops y reenvo descapsulados
paquetes de datos de registros).
El retraso en el uso de PIM ruta ms corta del rbol, pgina 53-37 (Opcional)
53-35
Captulo 53
Figura 53-6
Tree Fuente
(Ms corto
rbol de ruta)
Router A
Router B
rbol compartido
de RP
Router C
RP
44967
Receptor
Si el tipo de datos de Warrants, enrutadores (routers hoja sin ninguna conexin aguas abajo) en el rbol compartido
puede utilizar el rbol de la distribucin de datos arraigada en la fuente. Este tipo de rbol de la distribucin se llama
rbol-camino ms corto o rbol de las fuentes. Por defecto, el software cambia a un rbol de fuentes sobre la recepcin del
primer paquete de datos de una fuente.
Este proceso describe el movimiento de un rbol compartido a un rbol de origen:
1.
Un receptor se une a un grupo; hoja Router C enva un mensaje unirse hacia el RP.
2.
3.
Una fuente enva datos; Router A encapsula los datos en un mensaje de registro y lo enva a la RP.
4.
El RP reenva los datos para entrar por el rbol compartido al Router C y enva un mensaje de unirse a la
fuente. En este punto, los datos pueden llegar dos veces en el Router C, una vez encapsulado y una vez de forma nativa.
Cuando los datos llegan de forma nativa (sin encapsular) en la RP, enva un mensaje de registro de ventanilla nica para el
Router A.
6. De forma predeterminada, la recepcin del primer paquete de datos solicita Router C para enviar un mensaje de unirse a la
fuente.
5.
7.
Cuando el router C recibe los datos en (S, G), enva un mensaje de poda para la fuente hasta el rbol compartido.
8.
El RP elimina el vnculo al Router C de la interfaz de salida de (S, G). La RP desencadena una ciruela
mensaje hacia la fuente.
nete y mensajes de poda son enviados por las fuentes y RPs. Son enviados hop-by-hop y son procesados por
cada dispositivo PIM a lo largo de la ruta de acceso a la fuente o RP. Inscripcin y registro-parar los mensajes no se envan
hop-by-hop. Ellos son enviados por el router designado que est conectado directamente a una fuente y se reciben
por el RP para el grupo.
Mltiples fuentes que envan a grupos utilizan el rbol compartido.
Puede configurar el dispositivo PIM para permanecer en el rbol compartido. Para obtener ms informacin, consulte la "Retrasar
el uso de la seccin PIM ruta ms corta del rbol "en la pgina 53-37.
53-36
OL-29703-01
Captulo 53
Comando
Propsito
Paso 1
configure terminal
Paso 2
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 3
Nota
53-37
Captulo 53
Comando
Propsito
Paso 4
fin
Paso 5
show running-config
Paso 6
Para volver a la configuracin por defecto, utilice el no ip pim spt-umbral {kbps | infinito} configuracin global
de comandos.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el ninguna consulta-intervalo pim ip [Segundos] configuracin de la interfaz
de comandos.
53-38
OL-29703-01
Captulo 53
Cambio del tiempo de espera de consultas IGMP para IGMPv2, pgina 53-42 (Opcional)
Cambio del tiempo de respuesta mximo de consultas para IGMPv2, pgina 53-43 (Opcional)
Configuracin del switch como miembro estticamente conectada, pgina 53-44 (Opcional)
Caracterstica
Versin IGMP
Precaucin La ejecucin de este procedimiento puede afectar al rendimiento de la CPU debido a que la CPU recibir todos los datos
53-39
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el switch para ser miembro de un
grupo. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para cancelar la pertenencia a un grupo, utilice la no ip IGMP-grupo grupo de direccin configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo habilitar el cambio a unirse a grupo de multidifusin 255.2.2.2:
Switch (config) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # igmp ip unirse a grupo 255.2.2.2
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Especifique los grupos de multidifusin que alberga en la subred est servido por un
interfaz puede unirse.
Por defecto, todos los grupos se les permite en una interfaz.
Para access-list-nmero, especificar un nmero de lista de acceso IP estndar.
El rango es de 1 a 99.
Paso 4
Salida
53-40
OL-29703-01
Captulo 53
Paso 5
Comando
Propsito
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 6
fin
Paso 7
Paso 8
Para desactivar los grupos en una interfaz, utilice el no igmp ip access-group comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar hosts conectados a un puerto como capaces de unirse slo 255.2.2.2 grupo:
Switch (config) # access-list 1 255.2.2.2 0.0.0.0
Switch (config-if) # interfaz GigabitEthernet1 / 0/1
Switch (config-if) # ip igmp acceso del grupo 1
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
versin igmp ip {1 | 2}
Paso 4
fin
53-41
Captulo 53
Comando
Propsito
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el ninguna versin igmp ip comando de configuracin de interfaz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el ninguna consulta-intervalo igmp ip comando de configuracin de interfaz.
53-42
OL-29703-01
Captulo 53
Puede configurar el intervalo de consulta mediante la introduccin de la mostrar la interfaz IGMP ip interface-id privilegiada
Comando EXEC.
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar el tiempo de espera de consulta IGMP. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
IP IGMP-timeout segundos
Paso 4
fin
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el no igmp ip querier-timeout comando de configuracin de interfaz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para volver a la configuracin por defecto, utilice el no igmp ip-max-respuesta-tiempo de consulta configuracin de la interfaz
de comandos.
53-43
Captulo 53
Utilice el igmp ip unirse a grupos comando de configuracin de interfaz. Con este mtodo, el interruptor acepta
los paquetes de multidifusin, adems de los reenve. La aceptacin de los paquetes de multidifusin evita la
cambiar de conmutacin rpida.
Utilice el igmp ip esttica-grupo comando de configuracin de interfaz. Con este mtodo, el interruptor hace
no aceptar las propias paquetes, pero slo las reenva. Este mtodo permite la conmutacin rpida. El
interfaz de salida aparece en la cach de IGMP, pero el cambio en s no es un miembro, como lo demuestra
por la falta de un LBandera (local) en la entrada de la ruta de multidifusin.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el switch a s misma como una forma esttica
elemento conectado de un grupo (y permitir el cambio rpido). Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
Paso 6
Para quitar el interruptor como un miembro del grupo, utilice el no igmp ip esttica-grupo grupo de direccin interfaz
comando de configuracin.
Procedimiento para configurar un multicast dentro de un enrutamiento VPN / reenvo (VRF) Tabla:
-Configuracin Multicast VRFs, pgina 45-85 (Opcional)
53-44
OL-29703-01
Captulo 53
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
ip cGMP [Proxy]
Paso 4
fin
Paso 5
show running-config
Paso 6
Paso 7
53-45
Captulo 53
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
ip sdr escuchar
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar el soporte sdr, utilice el no sdr ip escuchar comando de configuracin de interfaz.
53-46
OL-29703-01
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para limitar el tiempo que se mantiene una entrada de cach sdr activo
en la memoria cach. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Limite el tiempo que se mantiene una entrada de cach sdr activo en la memoria
cach.
De forma predeterminada, las entradas nunca se borran de la memoria
cach.
Para minutos, el rango es de 1 a 4294967295.
Paso 3
fin
Paso 4
show running-config
Paso 5
Para volver a la configuracin por defecto, utilice el no sdr ip cache-timeout comando de configuracin global. Para
borrar toda la memoria cach, utilice el claro sdr ip comando EXEC privilegiado.
Para mostrar la cach de directorio de sesin, utilice la show ip sdr comando EXEC privilegiado.
Nota
Lmites de multidifusin y umbrales TTL controlan la determinacin del alcance de los dominios de multidifusin; Sin
embargo, TTL
umbrales no son compatibles con el interruptor. Debe utilizar lmites de multidifusin en lugar de TTL
umbrales para limitar el reenvo de trfico de multidifusin fuera de un dominio o un subdominio.
Figura 53-7 muestra que la empresa XYZ tiene un conjunto de contornos administrativamente con mbito para la multidifusin
rango de direcciones 239.0.0.0/8 en todas las interfaces enrutadas en el permetro de su red. Este lmite impide
todo el trfico multicast en el rango 239.0.0.0 a 239.255.255.255 entren o salgan de la
red. Del mismo modo, los departamentos de ingeniera y marketing tienen un punto de vista administrativo de mbito de
lmite de 239.128.0.0/16 alrededor del permetro de sus redes. Este lmite impide multicast
el trfico en el rango de 239.128.0.0 a travs de 239.128.255.255 entren o salgan de sus respectivas
redes.
53-47
Captulo 53
Figura 53-7
Administrativamente Scoped-Lmites
Compaa XYZ
Ingeniera
Comercializacin
45154
239.128.0.0/16
239.0.0.0/8
Puede definir un lmite administrativo de mbito-en una interfaz de enrutado de direcciones de grupo de multidifusin.
Una lista de acceso estndar define el rango de direcciones afectadas. Cuando se define un lmite, no multicast
paquetes de datos se les permite fluir a travs de la frontera desde cualquier direccin. El lmite permite que el
misma direccin de grupo multicast para ser reutilizado en diferentes dominios administrativos.
La IANA ha designado el rango de direcciones 239.0.0.0 multicast a 239.255.255.255 como la
direcciones administrativamente con mbito. Este rango de direcciones puede ser reutilizado en los dominios administrados
por diferentes organizaciones. Las direcciones se consideraran local, no global nico.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un lmite de mbito administrativo-.
Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 3
interfaz interface-id
Paso 4
IP multicast lmite
access-list-nmero
Paso 5
fin
Paso 6
show running-config
Paso 7
53-48
OL-29703-01
Captulo 53
Para quitar el lmite, utilice el sin lmite de multidifusin IP comando de configuracin de interfaz.
Este ejemplo muestra cmo configurar un lmite para todas las direcciones administrativamente con mbito:
Switch
Switch
Switch
Switch
Configuracin de Interoperabilidad
DVMRP
Routers multicast Cisco y switches multicapa utilizando PIM puede interoperar con Cisco no multicast
routers que utilizan el DVMRP.
Dispositivos PIM descubren dinmicamente DVMRP routers de multidifusin en redes conectadas al escuchar
Mensajes sonda DVMR. Cuando un vecino DVMRP ha sido descubierto, el dispositivo peridicamente PIM
enva mensajes de informe DVMRP anuncian las fuentes unicast alcanzables en el dominio PIM. De forma predeterminada,
directamente conectado subredes y redes se anuncian. El dispositivo enva paquetes de multidifusin que tienen
remitida por enrutadores DVMRP y, a su vez, enva los paquetes multicast a dvmrp routers.
Usted puede configurar una lista de acceso en la interfaz PIM enrutado conectado al MBONE para limitar el
nmero de rutas unicast que se anuncian en los informes de ruta DVMRP. De lo contrario, todas las rutas en el unicast
tabla de enrutamiento se anuncian.
Nota
El protocolo mrouted es una implementacin de dominio pblico de DVMRP. Debe utilizar la versin 3.8 mrouted
(Que implementa una versin nonpruning de DVMRP) cuando los routers Cisco y switches multicapa son
directamente conectado con dvmrp routers o interoperar con routers DVMRP ms de un tnel MBONE.
Anuncios DVMRP producidos por el software Cisco IOS pueden causar las versiones anteriores del mrouted
protocolo para corromper sus tablas de enrutamiento y los de sus vecinos.
53-49
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar las fuentes que se anuncian y
las mtricas que se utilizan cuando se envan mensajes DVMRP ruta-informe. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 3
interfaz interface-id
Paso 4
mtrica ip dvmrp mtrica [ListConfigure la mtrica asociada con un conjunto de destinos para DVMRP
access-list-number] [[Protocolo proceso-id] informes.
| [Dvmrp]]
Para mtrica, el rango es de 0 a 32 Un valor de 0 significa que la ruta
no se anuncia. Un valor de 32 es equivalente al infinito
(Inalcanzable).
Paso 5
fin
Paso 6
show running-config
Paso 7
Para desactivar el mapa mtrica o ruta, utilice el no mtrica dvmrp ip mtrica [Lista access-list-number]
[[Protocolo proceso-id] | [Dvmrp]] o la no mtrica dvmrp ip mtrica route-map mapa-nombre interfaz
comando de configuracin.
Una forma ms sofisticada para lograr los mismos resultados que el comando anterior es el uso de una hoja de ruta
(Ip dvmrp mtrica mtrica route-map mapa-nombre comando de configuracin de interfaz) en lugar de un acceso
lista. Usted rutas unicast sujetas a condiciones ruta-mapa antes de que se inyectan en DVMRP.
53-50
OL-29703-01
Captulo 53
Este ejemplo muestra cmo configurar la interoperabilidad DVMRP cuando el dispositivo PIM y el DVMRP
enrutador estn en el mismo segmento de red. En este ejemplo, la lista de acceso 1 anuncia las redes
(198.92.35.0, 198.92.36.0, 198.92.37.0, 131.108.0.0, 150.136.0.0 y) al router DVMRP, y el acceso
lista 2 evita todas las dems redes de que se anuncia (ip dvmrp mtrica 0 configuracin de la interfaz
comando).
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
El software no anunciar subredes a travs del tnel si el tnel tiene un nmero de red diferente
de la subred. En este caso, el software slo anuncia el nmero de red a travs del tnel.
53-51
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un tnel DVMRP. Este procedimiento
es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Cree una lista de acceso estndar, repitiendo el comando tantas veces como
necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 3
Paso 4
Paso 5
Paso 6
Paso 7
Paso 8
Paso 9
ip dvmrp acepta-filtro
access-list-nmero [Distancia]
vecino-lista access-list-nmero
Paso 10 fin
Por defecto, todos los informes de destino se aceptan con una distancia de 0.
Se aceptan los informes de todos los vecinos.
53-52
OL-29703-01
Captulo 53
Comando
Propsito
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
dvmrp ip default-information
{Originarse | Slo}
53-53
Captulo 53
Comando
Propsito
Paso 4
fin
Paso 5
show running-config
Paso 6
Para evitar que la ruta por defecto anuncio, utilice la no dvmrp ip default-information interfaz
comando de configuracin.
Para obtener informacin sobre las caractersticas bsicas DVMRP, consulte la "Configuracin de interoperabilidad bsicos
DVMRP
Seccin de Caractersticas "en la pgina 53-49.
53-54
OL-29703-01
Captulo 53
Dispositivos Cisco no realizan el enrutamiento multicast DVMRP entre s, pero pueden intercambiar
Rutas DVMRP. Las rutas DVMRP proporcionan una topologa multicast que podran diferir de la unicast
topologa. Esto permite a los PIM de atropellar a la topologa multicast, permitiendo de este modo-el modo escasa PIM sobre
la topologa MBONE.
Cuando DVMRP enrutamiento unicast est activado, el router o switch almacena en cach las rutas aprendidas en el informe
DVMRP
mensajes en una tabla de enrutamiento DVMRP. Cuando PIM se est ejecutando, estas rutas pueden ser preferidos sobre rutas
en la tabla de enrutamiento unicast, permitiendo PIM para funcionar en la topologa MBONE cuando es diferente de la
topologa unicast.
Enrutamiento unicast DVMRP se puede ejecutar en todas las interfaces. Para tneles DVMRP, utiliza multicast DVMRP
enrutamiento. Esta caracterstica no habilita DVMRP enrutamiento multicast entre los routers de Cisco y de mltiples capas
interruptores. Sin embargo, si hay un router multicast-DVMRP capaz, el dispositivo de Cisco puede hacer PIM / DVMRP
enrutamiento multicast.
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar DVMRP enrutamiento unicast. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
dvmrp IP unicast-routing
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar esta funcin, utilice el no dvmrp IP unicast-routing comando de configuracin de interfaz.
53-55
Captulo 53
Figura 53-8
Fuente enrutador o RP
RP
Router A
Vlido
multicast
trfico
Router B
Receptor
Switch capa 3
Innecesario
multicast
trfico
Hoja nonpruning
Dispositivo DVMRP
101244
Usted puede evitar que el interruptor de peering (comunicar) con un vecino DVMRP si ese vecino hace
es compatible con la poda DVMRP o injerto. Para ello, configure el interruptor (que es un vecino de la hoja,
nonpruning DVMRP mquina) con la ip dvmrp rechazar-los no podadores comando de configuracin de interfaz
en la interfaz conectada a la mquina como se muestra en nonpruning Figura 53-9. En este caso, cuando el
switch recibe sonda DVMRP o mensaje de informe sin el flag-ciruela capaz, el conmutador registra un
mensaje syslog y descarta el mensaje.
53-56
OL-29703-01
Captulo 53
Figura 53-9
Fuente enrutador o RP
RP
Router A
Multicast
el trfico se pone
al receptor,
no hoja
DVMRP
dispositivo
Router B
Receptor
Switch capa 3
Configurar el ip dvmrp
rechazar-los no podadores comando
en esta interfaz.
101245
Tenga en cuenta que el ip dvmrp rechazar-los no podadores comando de configuracin de interfaz evita igualitarios con
vecinos solamente. Si hay routers nonpruning varios saltos de distancia (aguas abajo hacia el potencial
, una red DVMRP nonpruning todava podran existir receptores) que no son rechazadas.
Comenzando en el modo EXEC privilegiado, siga estos pasos para evitar igualitarios con DVMRP nonpruning
vecinos. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Para desactivar esta funcin, utilice el no ip dvmrp rechazar-los no podadores comando de configuracin de interfaz.
53-57
Captulo 53
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para configurar ningn lmite ruta, utilice el no dvmrp ip route-lmite comando de configuracin global.
53-58
OL-29703-01
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar el nmero mnimo de rutas que
desencadenar la advertencia. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para volver a la configuracin por defecto utilizar el no dvmrp ip routehog notificacin configuracin global
de comandos.
Utilice el mostrar la interfaz IGMP ip comando privilegiado EXEC para mostrar una cuenta corriente de rutas. Cuando
el recuento se excede, ALERTA *** *** se adjunta a la lnea.
De forma predeterminada, un dispositivo Cisco anuncia en DVMRP slo mensajes ruta-informe rutas unicast conectados
(Es decir, slo rutas a subredes que estn conectados directamente al router) de su tabla de enrutamiento unicast.
Estas rutas se someten DVMRP normal de ruta con clase de resumen. Este proceso depende de si
la ruta que se anuncia est en la misma red con clase como la interfaz sobre la que se est
anunciado.
Figura 53-10 muestra un ejemplo del comportamiento predeterminado. Este ejemplo muestra que envi el informe DVMRP
por el router Cisco contiene las tres rutas originales recibidos desde el router DVMRP que han sido
veneno-revertido por la adicin de 32 a la mtrica DVMRP. Listado despus de estas rutas son dos rutas que son
la publicidad de las dos redes conectadas directamente (176.32.10.0/24 y 176.32.15.0/24) que eran
tomado de la tabla de enrutamiento unicast. Debido a que las acciones del tnel DVMRP la misma direccin IP que Fast
Puerto Ethernet 1 y cae en la misma red de clase B como las dos subredes directamente conectadas, con clase
No se realiz el resumen de estas rutas. Como resultado, el router es capaz de DVMRP
veneno inversa slo estas dos rutas a las subredes conectadas directamente y es capaz de slo RPF correctamente
para el trfico de multidifusin enviado por fuentes de estos dos segmentos Ethernet. Cualquier otra fuente de multidifusin en el
red detrs del router de Cisco que no est en estos dos segmentos Ethernet no adecuadamente RPF-check
en el router DVMRP y se desecha.
Puede que el router de Cisco para anunciar la direccin de resumen (especificado por la direccin y la mscara de par
en el dvmrp ip resumen direccin mscara de direccin comando de configuracin de interfaz) en lugar de cualquier
ruta que cae en este rango de direcciones. La direccin de resumen se enva en un reporte de la ruta DVMRP si el unicast
tabla de enrutamiento contiene al menos una ruta en este rango; de lo contrario, la direccin de resumen no se anuncia.
En Figura 53-10 y Figura 53-11, configurar el dvmrp ip resumen direccin comando en el
Cisco interfaz de tnel router. Como resultado de ello, el enrutador Cisco enva slo un nico resumida de Clase B
anuncio para la red 176.32.0.0.16 de la tabla de enrutamiento unicast.
53-59
Captulo 53
Figura 53-10
Conectado Rutas Unicast Anunciado por defecto (Catalyst 3750-E 3750-X Switches)
interfaz de tnel 0
ip GigabitEthernet1 sin numerar / 0/1
DVMRP Informe
151.16.0.0/16m = 39
172.34.15.0/24m = 42
202.13.3.0/24m = 40
176.32.10.0/24m=1
176.32.15.0/24m=1
Tnel
Cisco
enrutador
Intf
Gi1 / 0/1
Gi1 / 0/1
Gi1 / 0/1
Metric
7
10
8
Dist
0
0Gigabit
0Ethernet
1/0/1
Intf
Gi1 / 0/1
Gi1 / 0/2
Gi1 / 0/2
Metric
10514432
10512012
45106372
Dist
90
90
90
159888
176.32.10.0/24
Figura 53-11
176.32.15.0/24
Conectado Rutas Unicast Anunciado por defecto ((Catalyst 3560-E 3560-X Switches)
interfaz de tnel 0
ip gi0 sin numerar / 1
DVMRP Informe
151.16.0.0/16m = 39
172.34.15.0/24m = 42
202.13.3.0/24m = 40
176.32.10.0/24m=1
176.32.15.0/24m=1
interfaz GigabitEthernet0 / 1
ip addr 176.32.10.1 255.255.255.0
densa-mode ip pim
Enrutador DVMRP
interfaz GigabitEthernet0 / 2
ip addr 176.32.15.1 255.255.255.0
densa-mode ip pim
Tnel
Cisco
enrutador
Intf
Gi0 / 1
Gi0 / 1
Gi0 / 1
Metric
7
10
8
Dist
0
0Gigabit
0Ethernet
0/1
Intf
Gi0 / 1
Gi0 / 2
Gi0 / 2
Metric
10514432
10512012
45106372
Dist
90
90
90
159889
176.32.10.0/24
176.32.15.0/24
53-60
OL-29703-01
Captulo 53
Comenzando en el modo EXEC privilegiado, siga estos pasos para personalizar el resumen de DVMRP
rutas si el autosummarization clase predeterminada no satisface sus necesidades. Este procedimiento es opcional.
Nota
Al menos una ruta especfica ms debe estar presente en la tabla de enrutamiento unicast antes de que un configurado
direccin de resumen se anuncia.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
Paso 5
show running-config
Paso 6
Para quitar la direccin de resumen, utilice el no dvmrp ip resumen direccin mscara de direccin [Mtrica valor]
comando de configuracin de interfaz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
no dvmrp IP auto-summary
Paso 4
fin
53-61
Captulo 53
Comando
Propsito
Paso 5
show running-config
Paso 6
Para volver a habilitar el resumen automtico, utilice la ip dvmrp auto-summary comando de configuracin de interfaz.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
fin
Paso 5
show running-config
Paso 6
Para volver a la configuracin por defecto, utilice el no dvmrp ip mtrica-offset comando de configuracin de interfaz.
53-62
OL-29703-01
Captulo 53
Comando
Propsito
claro cGMP ip
Nota
Tabla 53-6
Comando
Propsito
53-63
Captulo 53
Tabla 53-6
Comando
Propsito
Muestra informacin acerca de las interfaces configuradas para PIM. Este comando
est disponible en todas las imgenes de software.
espectculo pim rp ip [Nombre-grupo | grupo de direccin] Visualice los routers RP asociadas con un grupo multicast en modo disperso.
Este comando est disponible en todas las imgenes de software.
show ip rpf {Source-ip | name}
Comando
Propsito
53-64
OL-29703-01
E R CH A P T
47
47-1
Captulo 47
Los paquetes entregados a los miembros del grupo se identifican por una sola direccin de grupo de multidifusin. Los paquetes de
multidifusin
se entregan a un grupo usando la fiabilidad de mejor esfuerzo, al igual que los paquetes IPv6 unicast.
El entorno de multidifusin consiste en emisores y receptores. Cualquier host, independientemente de si se trata de un
miembro de un grupo, puede enviar a un grupo. Sin embargo, slo los miembros de un grupo pueden escuchar y recibir el
mensaje.
Una direccin de multidifusin se elige para los receptores en un grupo de multidifusin. Los remitentes utilizan esa direccin
como
direccin de destino de un datagrama para llegar a todos los miembros del grupo.
La pertenencia a un grupo de multidifusin es dinmica; hosts pueden unirse y salir en cualquier momento. No hay ninguna
restriccin
sobre la ubicacin o el nmero de miembros en un grupo multicast. Un host puede ser miembro de ms de una
grupo de multidifusin a la vez.
Cmo activo un grupo multicast es, su duracin, y su membresa puede variar de un grupo a otro y de
vez en cuando. Un grupo que tiene miembros puede tener ninguna actividad.
Nota
MLD es utilizado por los interruptores de IPv6 para descubrir oyentes multicast (nodos que desean recibir multicast
los paquetes destinados a las direcciones de multidifusin especficas) sobre enlaces directamente conectados. Hay dos
versiones
de MLD: MLD versin 1 se basa en la versin 2 del Protocolo de administracin de grupos de Internet (IGMP)
para IPv4, y MLD versin 2 se basa en la versin 3 de la IGMP para IPv4. Multicast IPv6 de Cisco
Software IOS utiliza tanto en la versin 2 y la versin MLD MLD 1. MLD versin 2 es totalmente
compatible hacia atrs con MLD versin 1 (que se describe en el RFC 2710). Hosts que slo admiten MLD
versin 1 interoperar con un interruptor que ejecuta la versin MLD 2. LANs mezcla con ambos MLD
versin 1 y versin 2 MLD anfitriones son igualmente compatibles.
PIM-SM se utiliza entre los conmutadores de modo que puedan realizar un seguimiento de lo que los paquetes de multidifusin
que transmita a cada
s y con sus LANs conectadas directamente.
PIM en Origen Especficas Multicast (PIM-SSM) es similar a la PIM-SM con la capacidad adicional de
informar inters en recibir paquetes desde las direcciones de origen especficas (o de todos, pero la fuente especfica
direcciones) a una direccin IP multicast.
Un interrogador es un dispositivo de red, tal como un interruptor, que enva mensajes de consulta para descubrir qu
dispositivos de red son miembros de un grupo multicast dado.
Un host es un receptor, incluyendo interruptores, que envan mensajes de informe para informar al interrogador de un host
membresa.
47-2
OL-29703-01
Captulo 47
Un conjunto de interrogadores y anfitriones que reciben flujos de datos de multidifusin desde la misma fuente se denomina
multidifusin
grupo. Interrogadores y hosts utilizan MLD informa a unirse y dejar grupos multicast y para comenzar a recibir
trfico de grupo.
MLD utiliza el Protocolo de mensajes de control de Internet (ICMP) para llevar sus mensajes. Todos los mensajes MLD
de enlace local con un lmite de saltos de 1, y todos ellos tienen el interruptor conjunto de opciones de alerta. La opcin de alerta
interruptor
implica una implementacin de la cabecera opcin hop-by-hop.
MLD tiene tres tipos de mensajes:
Consulta - General, especfico de grupo, y multicast direccin especfica. El campo de direccin de multidifusin se establece
en
0 cuando MLD enva una consulta general. La consulta general se entera de que las direcciones de multidifusin tienen
oyentes en un enlace adjunto.
Consultas de direcciones especficas de grupo especfico y multicast tanto establecer el campo de la direccin multicast a la
direccin
que se est consultando. Una direccin de grupo es una direccin de multidifusin.
Informe - En un mensaje de informe, el campo de direccin de multidifusin es la de la direccin de multidifusin especfica
IPv6
a la que el remitente est escuchando.
Hecho - En un mensaje hecho, el campo de direccin de multidifusin es la de la direccin de multidifusin especfica IPv6
a la que la fuente del mensaje MLD ya no est a la escucha.
Nota
47-3
Captulo 47
IPv6 multicast por diseo permite que cualquier host de la red se convierta en un receptor o una fuente de multidifusin
grupo. Por lo tanto, se necesita el control de acceso de multidifusin para controlar el trfico de multidifusin en la red. Acceso
funcionalidad de control consiste principalmente en el control de acceso de origen y la contabilidad, el control de acceso del receptor
y la contabilidad, y el aprovisionamiento de este mecanismo de control de acceso.
Control de acceso de multidifusin proporciona una interfaz entre multidifusin y la autenticacin, autorizacin y
contabilidad (AAA) para el aprovisionamiento, autorizacin, y contabilidad en el cambio de ltimo salto, el acceso receptor
funciones de control de multidifusin, y el grupo o canal deshabilitar la capacidad de multidifusin.
Al implementar un nuevo entorno de servicio de multidifusin, es necesario aadir la autenticacin de usuarios y
proporcionar una descarga perfil de usuario en funcin de cada interfaz. El uso de AAA e IPv6 multicast soportes
autenticacin de usuario y la descarga del perfil de usuario en un entorno de multidifusin.
El evento que desencadena la descarga de un perfil de control de acceso de multidifusin desde el servidor RADIUS para
el interruptor de acceso es la llegada de un MLD unirse en el interruptor de acceso. Cuando se produce este caso, un usuario puede
causar
la cach de autorizacin para el tiempo de espera y la solicitud de descarga peridicamente o utilice un multicast apropiado
claro mandato para disparar una nueva descarga en caso de cambios de perfil.
Contabilidad se produce a travs de cuentas RADIUS. Iniciar y detener los registros de contabilidad se envan al RADIUS
servidor desde el conmutador de acceso. Con el fin de realizar un seguimiento de consumo de recursos en funcin de cada corriente,
stos
registros contables proporcionan informacin sobre el origen y el grupo de multidifusin. Se enva el registro de inicio
cuando el interruptor ltima-hop recibe un nuevo informe MLD, y se enva el registro parada en MLD salir o si
el grupo o el canal se eliminan por cualquier razn.
Modo-PIM Sparse
IPv6 multicast proporciona soporte para intradominio enrutamiento multicast utilizando PIM-SM. PIM-SM utiliza unicast
enrutamiento para proporcionar la informacin de la ruta inversa para la construccin del rbol de multidifusin, pero no depende de
ningn
particular, el protocolo de enrutamiento unicast.
47-4
OL-29703-01
Captulo 47
PIM-SM se utiliza en una red de multidifusin cuando relativamente pocas interruptores estn involucrados en cada uno de
multidifusin y
estos interruptores no reenviar paquetes de multidifusin para un grupo, a menos que exista una peticin explcita de la
trfico. PIM-SM distribuye informacin sobre las fuentes de activos mediante el envo de paquetes de datos en la compartida
rbol. PIM-SM utiliza inicialmente rboles compartidos, lo que requiere el uso de un RP.
Las solicitudes se llevan a cabo a travs de PIM se une, que se envan salto a salto hacia el nodo raz del rbol.
El nodo raz de un rbol en PIM-SM es el RP en el caso de un rbol compartido o el interruptor de primer salto que es
conectado directamente a la fuente de multidifusin en el caso de un rbol de ruta ms corta (SPT). La RP sigue la pista
de grupos de multidifusin y los anfitriones que envan paquetes de multidifusin estn registrados en la RP por ese host de
interruptor de primer salto.
Como PIM unirse viaja hasta el rbol, los interruptores en la va fijada por el estado de reenvo de multidifusin para que el
trfico multicast solicitado se enviar de vuelta por el rbol. Cuando el trfico de multidifusin ya no es
necesario, un interruptor enva una PIM podar el rbol hacia el nodo raz para podar (o eliminar) la
el trfico innecesario. Como esta ciruela PIM viaja salto a salto encima del rbol, cada switch actualiza su reenvo
estado adecuadamente. En ltima instancia, el estado de reenvo asociado con un grupo de multidifusin o la fuente es
eliminado.
Un remitente enva datos multicast de datos destinados a un grupo de multidifusin. El switch designado (DR) de la
remitente toma esos paquetes de datos, ellos unicast-encapsula, y las enva directamente a la RP. La RP
recibe estos paquetes de datos encapsulados, ellos de-encapsula, y las enva en el rbol compartido.
Los paquetes a continuacin, siga el (*, G) estado del rbol de multidifusin en los interruptores en el rbol de RP, siendo replicado
donde las ramas de los rboles RP, y, finalmente, llegar a todos los receptores para ese grupo multicast. El
proceso de encapsular paquetes de datos a la RP se llama registro, y los paquetes de encapsulacin son
llama paquetes de registros PIM.
Interruptor Designado
Switches Cisco usan PIM-SM para reenviar el trfico de multidifusin y seguir un proceso de eleccin para seleccionar un
designado interruptor cuando hay ms de un interruptor en un segmento de LAN.
El conmutador designado se encarga de enviar el registro y PIM PIM unirse y mensajes de poda hacia
el RP que le informe acerca de las fuentes activas y la pertenencia al grupo de acogida.
Si hay varios PIM-SM se conecta una LAN, un switch designado debe ser elegido para evitar
duplicar el trfico de multidifusin para los hosts conectados. El interruptor de PIM con la direccin ms alta se convierte en IPv6
el DR para la LAN a menos que usted elija para forzar la eleccin DR mediante el uso del pim ipv6 dr-prioridad
de comandos. Este comando le permite especificar la prioridad DR de cada interruptor en el segmento de LAN
(Prioridad por defecto = 1) de modo que el interruptor con la prioridad ms alta ser elegido como el DR. Si todos los interruptores
en el segmento de LAN tienen la misma prioridad, a continuacin, la direccin ms alta IPv6 se utiliza de nuevo como el desempate.
Si el DR falla, el PIM-SM ofrece una forma de detectar el fallo de interruptor A y elegir a una conmutacin por error
DR. Si el DR (interruptor A) se convirti en inoperable, Switch B detectara esta situacin cuando su vecino
adyacencia con interruptor A Tiempo de espera agotado. Debido Interruptor B ha sido la audicin informes de miembros de MLD
Host A, que ya tiene estado MLD para el Grupo A en esta interfaz y enviara inmediatamente una combinacin con el
RP cuando se convirti en el nuevo DR. Este paso restablece el flujo de trfico por una nueva rama de la compartida
rbol a travs del interruptor B. Adems, si el host A se abastece de trfico, Switch B iniciara un nuevo registro
proceso inmediatamente despus de recibir el siguiente paquete de multidifusin desde el Host A. Esta accin dara lugar a la
RP para unirse a la SPT al host A travs de una nueva rama a travs del interruptor B.
Nota
Dos interruptores de PIM son vecinos si hay una conexin directa entre ellos. Para mostrar su PIM
vecinos, utilizan la espectculo pim ipv6 vecino comando EXEC privilegiado.
47-5
Captulo 47
Rendezvous Point
IPv6 PIM proporciona apoyo RP embebido. Apoyo RP Embedded permite el cambio a aprender RP
informacin a travs de la direccin de destino de grupo multicast en lugar de la RP configurado estticamente. Para
interruptores que son el RP, el interruptor se deben configurar de forma esttica como la RP.
Las bsquedas de conmutacin para direcciones de grupo RP incrustados en MLD informes o PIM mensajes y datos
paquetes. En la bsqueda de un domicilio, el switch aprende el RP para el grupo desde el enlace en s. Es
a continuacin, utiliza este sabio RP de toda la actividad de protocolo para el grupo. Para los interruptores que son el RP, el
interruptor
se anuncia como un RP incrustado debe estar configurado como el RP.
Para seleccionar un RP esttico durante un RP incrustado, el rango o la mscara especfica incrustado grupo RP deben ser
configurado en la lista de acceso de la RP esttico. Cuando PIM est configurado en modo disperso, tambin debe
elegir uno o ms conmutadores para operar como un RP. Un RP es una sola raz comn colocado en un punto elegido
de un rbol de distribucin compartido y est configurado de forma esttica en cada caja.
PIM DRs reenviar datos a partir de fuentes de multidifusin conectados directamente a la RP para su distribucin por la
rbol compartido. Los datos se reenva al RP en una de dos maneras:
Los datos se encapsula en paquetes de registros y unicast directamente al RP por el interruptor de primer salto
operando como el DR.
Si el RP tiene en s se unieron al rbol de cdigo fuente, es multidifusin reenviado por el reenvo de RPF
algoritmo descrito en la seccin de PIM-Sparse Mode.
La direccin de la AD es utilizado por interruptores primera-hop para enviar mensajes de registro PIM en nombre de un host de
envo
un paquete al grupo. La direccin de la AD tambin es utilizado por los interruptores ltima-hop para enviar PIM unirse y ciruela
mensajes al RP que le informe acerca de la pertenencia al grupo. Debe configurar la direccin de la AD en todo
interruptores (incluyendo el interruptor RP).
Un interruptor de PIM puede ser un RP para ms de un grupo. Slo una direccin de RP se puede utilizar a la vez dentro de
un dominio PIM para un determinado grupo. Las condiciones especificadas por la lista de acceso determinan para qu grupos
el interruptor es un RP.
IPv6 de multidifusin PIM acepta apoya la funcin de registro, que es la capacidad de realizar PIM-SM registro
filtrado de mensajes en el RP. El usuario puede coincidir con una lista de acceso o comparar la trayectoria de AS para el domicilio
fuente con la ruta como se especifica en un mapa de la ruta.
47-6
OL-29703-01
Captulo 47
El soporte bidireccional BSR permite RPs bidireccionales a ser objeto de publicidad en los mensajes C-RP y bidireccional
rangos en el BSM. Todos los interruptores en un sistema debe ser capaz de utilizar la gama bidireccional en el BSM;
de lo contrario, la funcin de RP bidireccional no funcionar.
47-7
Captulo 47
Receptor se une a un grupo; hoja Interruptor C enva un mensaje unirse hacia el RP.
2.
3.
Fuente enva los datos; Interruptor A encapsula los datos en el registro y lo enva a la RP.
4.
RP reenva los datos por el rbol compartido a Switch C y enva un mensaje de unirse a la fuente.
En este punto, los datos pueden llegar dos veces en el interruptor C, una vez encapsulado y una vez de forma nativa.
Cuando los datos llegan de forma nativa (sin encapsular) en el RP, el RP enva un mensaje de registro de ventanilla nica
para
Interruptor A.
6. De forma predeterminada, la recepcin del primer paquete de datos solicita interruptor C para enviar un mensaje de unirse
a la
fuente.
7. Cuando el interruptor de C recibe los datos en (S, G), enva un mensaje de poda para la fuente hasta el rbol compartido.
5.
8.
9.
nete y mensajes de poda son enviados por las fuentes y RPs. Son enviados hop-by-hop y son procesados por
cada interruptor PIM lo largo de la ruta de acceso a la fuente o RP. Inscripcin y registro-parar los mensajes no se envan
hop-by-hop. Ellos son enviados por el interruptor designado que est conectado directamente a una fuente y estn
recibida por el RP para el grupo.
Si un conmutador recibe un datagrama en una interfaz que utiliza para enviar paquetes de unidifusin a la fuente, la
paquete ha llegado en la interfaz RPF.
Si el paquete llega a la interfaz RPF, un conmutador reenva el paquete a cabo las interfaces presentes en
la lista de interfaz de salida de una entrada de la tabla de enrutamiento multicast.
Si el paquete no llega en la interfaz RPF, el paquete se descarta en silencio para evitar bucles.
47-8
OL-29703-01
Captulo 47
PIM utiliza dos rboles de cdigo fuente y rboles compartidos RP-arraigado para reenviar datagramas; la comprobacin
RPF es
realiza de forma diferente para cada uno, como sigue:
Si un interruptor de PIM tiene Estado de la fuente-rbol (es decir, una entrada (S, G) est presente en la tabla de enrutamiento
de multidifusin),
el conmutador realiza la comprobacin RPF en contra de la direccin IPv6 de la fuente del paquete de multidifusin.
Estado-rbol compartido Si un interruptor PIM ha (y ningn estado fuente-rbol explcito), se realiza la comprobacin RPF
en la direccin del RP (que se conoce cuando los miembros se unen al grupo).
-Modo Sparse PIM utiliza la funcin de bsqueda de RPF para determinar donde debe enviar une y ciruelas pasas.
(S, G) se une (que son estados de fuente de rboles) se envan hacia la fuente. (*, G) se une (-rbol compartido que se
estados) son enviados hacia el RP.
Bidireccional PIM
Bidireccional PIM permite interruptores de multidifusin para mantener informacin de estado reducida, en comparacin con los
rboles compartidos unidireccionales en PIM-SM. rboles bidireccionales compartidos transmiten los datos a partir de fuentes de la
direccin de punto de encuentro (RPA) y distribuirlos de la RPA a los receptores. A diferencia de PIM-SM,
bidireccional PIM no conmuta al rbol de origen, y no hay registro de encapsulacin de datos
desde la fuente a la RP.
Existe una sola forwarder designado (DF) para cada RPA en cada enlace dentro de un dominio PIM bidireccional
(Incluyendo multiacceso y enlaces punto a punto). La nica excepcin es el RPL en el que no existe DF.
El DF es el interruptor en el enlace con la mejor ruta a la EPR, que se determina mediante la comparacin
MRIB siempre-mtricas. Un DF para un RPA reenva el trfico descendente dado a su vinculacin y hacia adelante
trfico de subida de su conexin hacia el enlace de punto de encuentro (RPL). El DF realiza esta funcin para
todos los grupos bidireccionales que se asignan a la RPA. El DF en un vnculo tambin es responsable de la tramitacin de Ingreso
mensajes de interruptores aguas abajo en el enlace, as como asegurar que los paquetes se reenvan a locales
receptores descubiertos a travs de un mecanismo de pertenencia local, como MLD.
Bidireccional PIM ofrece ventajas cuando hay muchas fuentes de tasa baja moderada o. Sin embargo, la
bidireccionales compartida rboles pueden tener peores caractersticas de retardo de hacer los rboles de fuentes construidas en PIMSM
(Dependiendo de la topologa).
Slo configuracin esttica de RPs bidireccionales se admite en IPv6.
47-9
Captulo 47
Mroutes estticas
IPv6 mroutes estticos se comportan de la misma manera como IPv4 mroutes estticos utilizados para influir en la RPF
comprobar. IPv6 mroutes estticos comparten la misma base de datos como IPv6 rutas estticas y son implementadas por
la ampliacin del apoyo ruta esttica para cheques del FPR. Mroutes estticas apoyan mroutes trayectorias mltiples de igual costo,
y
tambin apoyan rutas unicast slo esttica.
MRIB
El Multicast Routing Base de Informacin (MRIB) es un repositorio independiente del protocolo de multidifusin
entradas de enrutamiento instanciados por los protocolos de enrutamiento multicast (clientes de enrutamiento). Su funcin
principal es
proporcionar la independencia entre los protocolos de enrutamiento y el reenvo de Base de informacin de multidifusin
(MFIB). Tambin acta como un punto de coordinacin y comunicacin entre sus clientes.
Clientes de enrutamiento utilizan los servicios prestados por el MRIB para crear instancias de entradas de enrutamiento y recuperar
los cambios
hecho para encaminar las entradas por otros clientes. Adems de los clientes de enrutamiento, MRIB tambin tiene un desvo de
clientes
(instancias MFIB) y clientes especiales como MLD. MFIB recupera sus entradas de reenvo de MRIB
y notifica al MRIB de eventos relacionados con la recepcin de paquetes. Estas notificaciones pueden ser
expresamente solicitado por los clientes o espontneamente generados por el MFIB enrutamiento.
Otra funcin importante de la MRIB es permitir la coordinacin de varios clientes de enrutamiento en
establecer la conectividad multicast dentro de la misma sesin de multidifusin. MRIB tambin permite la
coordinacin entre MLD y protocolos de enrutamiento.
MFIB
El MFIB es una biblioteca independiente de la plataforma y de enrutamiento de protocolo independiente de software IPv6. Su
objetivo principal es proporcionar una plataforma Cisco IOS con una interfaz con el que leer la multidifusin IPv6
tabla de envos y notificaciones cuando cambia la tabla de reenvo. La informacin proporcionada por el
MFIB ha definido claramente la semntica de reenvo y est diseada para hacer ms fcil para que la plataforma
traducir a sus mecanismos de hardware o software especficos de reenvo.
Al tender o cambios en la topologa ocurrir en la red, la tabla de enrutamiento IPv6 se actualiza, y los
cambios se reflejan en el MFIB. El MFIB mantiene informacin de la direccin del siguiente salto en base a la
la informacin en la tabla de enrutamiento IPv6. Debido a que existe una correlacin uno a uno entre las entradas MFIB
y entradas de la tabla de enrutamiento, el MFIB contiene todas las rutas conocidas y elimina la necesidad de cach de ruta
mantenimiento que se asocia con las trayectorias de conmutacin, tales como el cambio rpido y la conmutacin ptima.
Distribuido MFIB
MFIB distribuido (dMFIB) se utiliza para cambiar los paquetes IPv6 multicast en plataformas distribuidas. dMFIB
Tambin puede contener informacin especfica de la plataforma en la replicacin a travs de tarjetas de lnea. El MFIB bsica
rutinas que implementan el ncleo de la lgica de reenvo son comunes a todos los entornos de reenvo.
dMFIB implementa las siguientes funciones:
Actos protocolarios rels controlados por datos generados en las tarjetas de lnea de PIM.
Proporciona una interfaz de programacin de aplicaciones de plataforma MFIB (API) para propagar los cambios a MFIB
cdigo responsable de la programacin del motor de aceleracin de hardware de la plataforma. Esta API
tambin incluye puntos de entrada para conmutar un paquete en software (es necesaria si el paquete es un desencadenante
basada en datos de eventos) y para subir las estadsticas de trfico en el software.
47-10
OL-29703-01
Captulo 47
Proporciona ganchos para permitir a los clientes que residen en el RP para leer las estadsticas de trfico en la demanda.
(DMFIB hace
No subas peridicamente estas estadsticas a la RP.)
La combinacin de subsistemas dMFIB y MrIB tambin permite el cambio a tener una copia "a medida"
de la base de datos MFIB en cada tarjeta de lnea y transportar MFIB relacionados con la informacin especfica de la plataforma de
el RP para las tarjetas de lnea.
47-11
Captulo 47
47-12
OL-29703-01
Captulo 47
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 multicast routing
Paso 3
Configuracin de seguimiento explcito de receptores para rastrear el comportamiento del sistema, pgina
47-16
Configuracin Multicast autenticacin de usuario y el perfil de soporte, pgina 47-16
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # interface FastEthernet 1/0
47-13
Captulo 47
Paso 3
Comando
Propsito
Ejemplo:
Switch (config-if) # ipv6 Mld unirse a grupos
FF04 :: 10
Paso 4
Paso 5
ipv6 Mld esttica-grupo grupo de direccin ] [Incluirn | estticamente reenva el trfico para el grupo multicast en una
excluir] {Source-ip | fuente-list [acl]} interfaz especificada y hacer que la interfaz se comporte como si un MLD
carpintero estaban presentes en la interfaz.
Ejemplo:
Switch (config-if) # ipv6 Mld esttica-grupo
ff04 :: 10 incluyen 100 :: 1
Paso 6
Paso 7
Paso 8
Salida
Ejemplo:
Introduzca este comando dos veces para salir del modo de configuracin de interfaz
y entrar en el modo EXEC privilegiado.
Paso 9
Ejemplo:
Interruptor # muestran grupos MLD ipv6 FastEthernet
2.1
Ejemplo:
nmero]
Ejemplo:
Switch # show interface ipv6 mld
FastEthernet 2.1
47-14
OL-29703-01
Captulo 47
Comando
Propsito
-Tipo de interfaz]
Ejemplo:
Interruptor # depuracin mld
ipv6
grupo de direccin]
Ejemplo:
Switch # debug ipv6 Mld explcita
Per-interfaz y lmites globales MLD operar independientemente el uno del otro. Tanto por interfaz y global
Lmites MLD se pueden configurar en el mismo conmutador. El nmero de lmites MLD, globalmente o por interfaz,
no est configurado de manera predeterminada; los lmites deben ser configuradas por el usuario. Un informe de membresa que
supera
ya sea la interfaz por el lmite o el estado global se ignora.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 Mld estado-lmite de 300
Paso 3
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # interface FastEthernet 1/0
Paso 3
Ejemplo:
Switch (config-if) # ipv6 Mld lmite de 100
Paso 4
47-15
Captulo 47
La funcin de seguimiento explcito permite un interruptor para rastrear el comportamiento de los hosts dentro de su red IPv6
y permite que el mecanismo de licencia rpido para ser utilizado con los informes MLD versin 2 de acogida.
Comenzando en el modo EXEC privilegiado, siga estos pasos:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # interface FastEthernet 1/0
Paso 3
Paso 4
El puerto, interfaz, VC, o ID de VLAN es la identidad del usuario o suscriptor. La identidad del usuario por nombre de host,
ID de usuario o contrasea no es compatible.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # aaa nuevo modelo
Paso 3
47-16
OL-29703-01
Captulo 47
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # multicast autorizacin aaa
por defecto
Paso 3
Ejemplo:
Switch (config) # aaa multicast contabilidad
por defecto
Paso 4
Paso 5
Ejemplo:
Switch (config-if) # ipv6 multicast aaa
cuenta recibir lista1
Paso 6
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 multicast grupo alcance
Paso 3
47-17
Captulo 47
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 MLD-host proxy
proxy grupo
Paso 3
Paso 4
Ejemplo:
Switch (config) # show ipv6 MLD-host proxy
Ethernet0 / 0
Paso 5
Paso 1
Comando
Propsito
Ejemplo:
Switch # ipv6 clara multicast aaa
autorizacin FastEthernet 1/0
Paso 2
47-18
OL-29703-01
Captulo 47
Paso 1
Comando
Propsito
Ejemplo:
Switch # ipv6 clara Mld trfico
Paso 2
Ejemplo:
Interruptor # show ipv6 Mld trfico
Paso 3
Paso 4
Comando
Propsito
Ejemplo:
Switch # claro ipv6 Mld contadores ethernet1 / 0
Paso 5
Configuracin de PIM
En esta seccin se explica cmo configurar PIM.
Comando
Propsito
Paso 1
configure terminal
Paso 2
ipv6 pim [vrf VRF-nombre] RP-direccin ipv6-direccin Configura la direccin de un RP PIM para un rango determinado grupo.
[Grupo-access-list] [bidir]
Ejemplo:
Pim Switch (config) # ipv6 rp-direccin
2001: DB8 :: 01: 800: 200E: 8C6C acc-grp-1
47-19
Captulo 47
Paso 3
Comando
Propsito
Salida
Ejemplo:
Switch (config) # exit
Paso 4
Ejemplo:
Switch # show interface ipv6 pim
Paso 5
Paso 6
Ejemplo:
Interruptor # ipv6 muestran pim vecino
Paso 7
ipv6 show pim [Vrf VRF-nombre] rango-lista [config] Muestra informacin acerca de IPv6 listas rango de multidifusin.
[Rp-ip | rp-nombre]
Ejemplo:
Interruptor # ipv6 muestran pim rango-lista
Paso 8
Ejemplo:
Interruptor # ipv6 muestran tnel pim
Paso 9
Ejemplo:
Switch # debug ipv6 pim
47-20
OL-29703-01
Captulo 47
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Pim Switch (config) # ipv6 spt-umbral
infinity grupo-lista acc-grp-1
Paso 3
Ejemplo:
Pim Switch (config) # ipv6 aceptar-registro
route-map reg-filtro
Paso 4
Paso 5
Ejemplo:
Switch (config-if) # ipv6 pim dr-prioridad 3
Paso 6
Ejemplo:
Switch (config-if) # ipv6 pim hola-interval
45
Paso 7
Paso 8
Salida
Ejemplo:
Introduzca este comando dos veces para salir del modo de configuracin de interfaz
y entrar en el modo EXEC privilegiado.
Paso 9
Ejemplo:
Interruptor # show ipv6 pim estadstica join-prune
47-21
Captulo 47
Comando
Propsito
Paso 1
configure terminal
Paso 2
ipv6 pim [Vrf VRF-nombre] RP-direccin ipv6-direccin Configura la direccin de un RP PIM para un rango determinado grupo.
[Grupo-access-list] [bidir] El uso de la bidir palabra clave significa que el rango de grupo ser
utilizado para el reenvo bidireccional-rbol compartido.
Ejemplo:
Pim Switch (config) # ipv6 rp-direccin
2001: DB8 :: 01: 800: 200E: 8C6C bidir
Paso 3
Salida
Ejemplo:
Switch (config-if) # exit
Paso 4
Ejemplo:
Interruptor # ipv6 muestran pim df
Paso 5
Ejemplo:
Interruptor # ipv6 muestran ganador df pim ethernet
1/0 200 :: 1
Paso 6
Si el mal funcionamiento o PIM con el fin de verificar que el nmero esperado de paquetes PIM son recibidas y enviadas,
el usuario puede borrar los contadores de trfico PIM. Una vez que los contadores de trfico se borran, el usuario puede entrar en el
espectculo
trfico IPv6 pim comando para verificar que PIM est funcionando correctamente y que los paquetes PIM estn siendo
recibido y enviado correctamente.
Comenzando en el modo EXEC privilegiado, siga estos pasos:
Paso 1
Comando
Propsito
Ejemplo:
Switch # ipv6 clara trfico pim
Paso 2
Ejemplo:
Interruptor # mostrar el trfico pim
ipv6
Paso 3
47-22
OL-29703-01
Captulo 47
Paso 1
Comando
Propsito
Ejemplo:
Switch # ipv6 clara pim topologa FF04 :: 10
Paso 2
Ejemplo:
Interruptor # ipv6 muestran cliente MrIB
Paso 3
ipv6 show MrIB [Vrf VRF-nombre] ruta [de enlace local | Muestra la informacin de la ruta MRIB.
Resumen | [SourceAddress-or-name | *]
[Nombre de grupo-o-direccin [longitud-prefijo]]]
Ejemplo:
Interruptor # ipv6 muestran ruta MrIB
Paso 4
ipv6 show pim [Vrf VRF-nombre] topologaMuestra informacin de la tabla de topologa PIM para un grupo especfico o
[Nombre de grupo-o-direccin [SourceName-o-Direccin] todos los grupos.
|de enlace local |ruta de conteo [Detalle]]
Ejemplo:
Interruptor # ipv6 muestran topologa pim
Paso 5
Ejemplo:
Switch # debug cliente MrIB ipv6
Paso 6
Ejemplo:
Interruptor # MrIB debug ipv6 io
Paso 7
Paso 8
Ejemplo:
Switch # debug ruta MrIB ipv6
Paso 9
Ejemplo:
Switch # debug mesa MrIB ipv6
47-23
Captulo 47
Configuracin de un
BSR
Las tareas incluidas aqu se describen a continuacin.
Configuracin de un BSR y Verificacin de Informacin
BSR
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 bsr pim candidato bsr
2001: DB8: 3000: 3000 :: 42 124 prioridad 10
Paso 3
Paso 4
Paso 5
Salida
Ejemplo:
Introduzca este comando dos veces para salir del modo de configuracin de interfaz
y entrar en el modo EXEC privilegiado.
Paso 6
Ejemplo:
Interruptor # ipv6 muestran eleccin bsr pim
Paso 7
47-24
OL-29703-01
Captulo 47
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 rp pim candidato bsr
2001: DB8: 3000: 3000 :: 42 prioridad 0
Paso 3
Paso 4
Paso 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 bsr pim candidato bsr
2001: DB8: 1: 1: 4
Paso 3
Ejemplo:
Switch (config) # ipv6 rp pim candidato bsr
2001: DB8: 1: 1: 1 grupo-list lista de alcance 6
Paso 4
47-25
Captulo 47
Paso 5
Comando
Propsito
Ejemplo:
Switch (config-if) # ipv6 multicast lmite
alcance 6
Paso 6
Interruptores IPv6 BSR se pueden configurar de forma esttica en anunciar asignaciones de alcance-a RP directamente en lugar de
aprenderlas de mensajes candidato-RP. Un usuario podra querer configurar un interruptor BSR para anunciar
asignaciones de alcance-a RP para que un RP que no admite BSR se importan a la BSR. La activacin de esta
caracterstica tambin permite a un RP posicionada fuera del dominio BSR de la empresa para ser aprendido por lo conocido
RP remoto del interruptor de BSR candidato local.
Comenzando en el modo EXEC privilegiado, siga estos pasos:
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 pim bsr anunci rp
2001: DB8: 3000: 3000 :: 42 prioridad 0
Paso 3
Configuracin de la asignacin
SSM
Cuando la funcin de mapeo SSM est habilitada, la cartografa MSE basado en DNS se activa automticamente, lo que
significa que el interruptor buscar la fuente de una versin de MLD de multidifusin 1 informe de un servidor DNS.
Puede utilizar cualquiera de DNS-based o mapeo SSM esttica, dependiendo de la configuracin del switch. Si
optar por utilizar la asignacin de SSM esttica, puede configurar varias asignaciones SSM estticas. Si mltiples esttica
Asignaciones SSM se configuran, se utilizarn las direcciones de origen de todas las listas de acceso coincidentes.
Nota
Para utilizar la asignacin de MSE basado en DNS, el interruptor tiene que encontrar al menos un servidor DNS configurado
correctamente,
a la que el conmutador puede estar unido directamente.
47-26
OL-29703-01
Captulo 47
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Switch (config) # ipv6 Mld ssm-mapa, permite
Paso 3
no mld ipv6 [Vrf VRF-nombre] SSM-map consulta dns Desactiva mapeo MSE basado en DNS.
Ejemplo:
Switch (config) # no mld ipv6 ssm-map consulta
dns
Paso 4
Ejemplo:
Switch (config) # ipv6 Mld ssm-mapa esttico
SSM_MAP_ACL_2 2001: DB8: 1 :: 1
Paso 5
Salida
Ejemplo:
Switch (config-if) # exit
Paso 6
Ejemplo:
Interruptor # show mld ipv6 ssm-map
Paso 7
Comando
Propsito
Paso 1
configure terminal
Paso 2
Ejemplo:
Ruta Switch (config) # ipv6 2001: DB8 :: / 64
6 :: 6 100
47-27
Captulo 47
Paso 3
Comando
Propsito
Salida
Ejemplo:
Switch (config-if) # exit
Paso 4
Ejemplo:
Interruptor # mroute ipv6 show FF07 :: 1
Paso 5
Ejemplo:
Interruptor # show ipv6 mroute activo
Paso 6
Paso 7
Paso 1
Comando
Propsito
Ejemplo:
Interruptor # muestran MFIB ipv6
Paso 2
Ejemplo:
Interruptor # show ipv6 MFIB activo
Paso 3
Ejemplo:
Interruptor # muestran recuento MFIB
ipv6
47-28
OL-29703-01
Captulo 47
Paso 4
Comando
Propsito
Ejemplo:
Switch # show interface ipv6 MFIB
Paso 5
Ejemplo:
Interruptor # muestran el estado MFIB
ipv6
Paso 6
Paso 7
Ejemplo:
Switch # debug ipv6 MFIB FF04 :: 10 pak
Paso 8
Paso 1
Comando
Propsito
Ejemplo:
Switch # claro ipv6 MFIB contadores FF04 :: 10
Paso 2
47-29
Captulo 47
47-30
OL-29703-01
E R CH A P T
54
Configuracin MSDP
En este captulo se describe cmo configurar la Fuente Discovery Protocol Multicast (MSDP) en el
Catalyst 3750-E o 3560-E Catalyst 3750-X o switch 3560-X. El MSDP conecta mltiples
Protocol-Independent Multicast de modo disperso (PIM-SM) dominios.
MSDP no es totalmente compatible en esta versin del software debido a una falta de apoyo a la multidifusin de Fronteras
Gateway Protocol (MBGP), que trabaja en estrecha colaboracin con MSDP. Sin embargo, es posible crear por defecto
compaeros que MSDP puede operar con MBGP si no se est ejecutando.
Para utilizar esta funcin, el conmutador o pila maestro debe ejecutar los servicios IP cuentan con set. A menos
de lo contrario se ha sealado, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o-X 3560
interruptor independiente ya una pila de switches 3750-X Catalyst 3750-E Catalyst.
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte la Cisco IOS IP
Comando, Volumen 3 de 3: Multicast, versin 12.4.
Este captulo consta de las siguientes secciones:
Entendimiento MSDP
MSDP permite que las fuentes de multidifusin para que un grupo sea conocida de todos los puntos de encuentro (RPS) en
diferentes
dominios. Cada dominio PIM-SM utiliza sus propios RPs y no depende de RPs en otros dominios. Un RP
corre MSDP sobre el Protocolo de Control de Transmisin (TCP) para descubrir las fuentes de multidifusin en otra
dominios.
Un RP en un dominio PIM-SM tiene una relacin de interconexin MSDP con dispositivos habilitados para MSDP en otra
dominio. La relacin de interconexin se produce en una conexin TCP, el intercambio principalmente una lista de fuentes
enviar a los grupos de multidifusin. Las conexiones TCP entre RPs se consiguen mediante el enrutamiento subyacente
sistema. El RP receptor utiliza las listas de origen para establecer una ruta de origen.
54-1
Captulo 54
Configuracin MSDP
Entendimiento MSDP
El propsito de esta topologa es tener dominios descubrir fuentes de multidifusin en otros dominios. Si el
fuentes de multidifusin son de inters para un dominio que tiene receptores, los datos multicast se entrega a travs de la
, mecanismo normal edificio fuente-rbol en PIM-SM. MSDP tambin se utiliza para anunciar el envo de fuentes
a un grupo. Estos anuncios deben originarse en RP del dominio.
MSDP depende en gran medida de la Border Gateway Protocol (BGP) o MBGP para la operacin entre dominios. Nosotros
Recomendamos que ejecute MSDP en RPs en su dominio que son RPs para las fuentes que envan a grupos globales
que se anunciar a Internet.
MSDP Operacin
Figura 54-1 muestra MSDP opera entre dos pares MSDP. PIM utiliza como el estndar MSDP
mecanismo para registrar una fuente de la RP de un dominio. Cuando se configura MSDP, esta secuencia
ocurre.
Cuando una fuente enva su primer paquete de multidifusin, la primera-hop router (designado enrutador o RP) directamente
conectado a la fuente enva un mensaje de registro a la PIM RP. El RP utiliza el mensaje de registro a
registrar la fuente activa y remitir el paquete de multidifusin por el rbol compartido en el dominio local.
Con MSDP configurado, el RP tambin enva un mensaje de cdigo activo (SA) a todos MSDP compaeros. La SA
mensaje identifica la fuente, el grupo de la fuente es el envo a, y la direccin del RP o el
ID originador (la direccin IP de la interfaz que se utiliza como la direccin RP), si est configurado.
Cada MSDP pares recibe y reenva el mensaje SA lejos de la RP de origen para lograr pares
inundaciones reverse-path (RPF). El dispositivo MSDP examina la tabla de enrutamiento BGP o MBGP para descubrir
que los compaeros es el siguiente salto hacia el RP originario del mensaje SA. Tal pares se denomina RPF
pares (Reverse-path expedicin de pares). El dispositivo MSDP reenva el mensaje a todos MSDP pares diferentes
que el peer RPF. Para obtener informacin sobre cmo configurar un MSDP pares cuando BGP y MBGP no son
compatible, consulte la Seccin "Configuracin de un defecto MSDP Peer" en la pgina 54-4.
Si el MSDP pares recibe el mismo mensaje SA de un compaero no-FPR hacia la RP originario, cae
el mensaje. De lo contrario, reenva el mensaje a todos sus pares MSDP.
El RP para un dominio recibe el mensaje SA desde un MSDP pares. Si el RP tiene cualquier unirse a las solicitudes de
el grupo el mensaje SA describe y si el (*, G) existe la entrada con una lista de interfaz de salida no vaco,
el dominio est interesado en el grupo, y el RP desencadena una (S, G) se unen hacia la fuente. Despus de la (S, G)
join alcanza DR de la fuente, una rama del rbol de cdigo fuente se ha construido a partir de la fuente de la RP en el
dominio remoto. El trfico de multidifusin ahora puede fluir desde la fuente a travs del rbol de cdigo fuente para el RP y luego
el rbol compartido en el dominio remoto al receptor.
54-2
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Figura 54-1
MSDP pares
RP + MSDP pares
MSDP SA
P
SD
M
MSDP pares
Receptor
Registro
49885
Multicast
(S, G) Ingreso
PIM
DR
Fuente
Beneficios MSDP
MSDP tiene los siguientes beneficios:
Se rompe el rbol de distribucin multicast compartido. Puede hacer que el rbol compartido local a su
dominio. Sus miembros locales se unen al rbol local, y se unen a los mensajes para el rbol compartido nunca necesitan
deje su dominio.
Dominios de modo escasa PIM pueden confiar slo en su propia RPs, disminuyendo la dependencia de RPs en otro
dominio. Esto aumenta la seguridad, ya que puede evitar que sus fuentes sean conocidos fuera
su dominio.
Los dominios con slo receptores pueden recibir datos a nivel mundial y sin publicidad de la pertenencia al grupo.
Configuracin MSDP
54-3
Captulo 54
Configuracin MSDP
Configuracin MSDP
El control de Fuente de informacin que su interruptor hacia adelante, pgina 54-12 (Opcional)
Configuracin de una direccin de origen que no sea el RP Direccin, pgina 54-18 (Opcional)
Si se especifica una lista de prefijos, el par es un par predeterminado slo para los prefijos de la lista. Usted puede tener mltiples
pares predeterminados activos cuando se tiene una lista de prefijos asociados con cada uno. Cuando usted no tiene ningn prefijo
listas, puede configurar varios compaeros por defecto, pero slo el primero de ellos es el interlocutor por defecto activa mientras
el router tiene conectividad a esta inter pares y el par est vivo. Si la primera entre pares configurado falla o el
conectividad a este peer falla, el segundo pares configurado se convierte en el valor predeterminado activo, y as sucesivamente.
El ISP probablemente usa una lista de prefijos para definir qu prefijos se acepta desde el router del cliente.
54-4
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Figura 54-2
Router C
Por defecto MSDP pares
10.1.1.1
SA
SA
SA
Cambie B
Router A
Por defecto MSDP pares
Comenzando en el modo EXEC privilegiado, siga estos pasos para especificar un MSDP pares por defecto. Este procedimiento
se requiere.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Definir un compaero por defecto desde la que acepta todos los mensajes MSDP SA.
54-5
Captulo 54
Configuracin MSDP
Configuracin MSDP
Paso 3
Paso 4
Comando
Propsito
(Opcional) Configure una descripcin para el interlocutor especificado para que sea
ms fcil de identificar en una configuracin o en espectculo salida del comando.
Por defecto, no hay una descripcin se asocia con un MSDP pares.
Paso 5
fin
Paso 6
show running-config
Paso 7
Para quitar el par predeterminado, utilice la no MSDP ip default-pares La direccin IP |Nombre configuracin global
de comandos.
Este ejemplo muestra una configuracin parcial del Router A y el Router C en Figura 54-2. Cada uno de estos ISPs
tener ms de un cliente (como el cliente en Figura 54-2) que utilizan la interconexin por defecto (sin BGP o
MBGP). En ese caso, puede ser que tengan configuraciones similares. Es decir, aceptan las SA slo de un defecto
mirar si el SA es permitida por la lista de prefijos correspondiente.
Router A
Router (config) # MSDP ip default peer 10.1.1.1
Router (config) # MSDP ip default peer 10.1.1.1 prefix-list sitio-a
Router (config) # ip prefix-list sitio-b permiso 10.0.0.0/1
Router C
Router (config) # MSDP ip default peer 10.1.1.1 prefix-list sitio-a
Router (config) # ip prefix-list sitio-b permiso 10.0.0.0/1
54-6
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Comenzando en el modo EXEC privilegiado, siga estos pasos para habilitar el almacenamiento en cach de pares de fuente / de
grupo. Este
procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Crear una lista de acceso extendida IP, repitiendo el comando tantas veces
segn sea necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Nota
Una alternativa a este comando es la ip MSDP sa-pedido comando de configuracin global, lo que provoca
el interruptor para enviar un mensaje de solicitud de SA a la MSDP pares cuando un nuevo miembro de un grupo se convierte en
activo. Para obtener ms informacin, consulte la siguiente seccin.
Para volver a la configuracin por defecto (no se crea un estado de SA), utilice el no-estado-sa cach MSDP ip mundial
comando de configuracin.
Este ejemplo muestra cmo habilitar el estado de cach para todas las fuentes de 171.69.0.0/16 enva a
grupos 224.2.0.0/16:
Switch (config) # MSDP ip cache-sa-100 del estado
Switch (config) # access-list 100 permit ip 171.69.0.0 0.0.255.255 224.2.0.0 0.0.255.255
54-7
Captulo 54
Configuracin MSDP
Configuracin MSDP
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para volver a la configuracin por defecto, utilice el MSDP no ip sa-solicitud {Direccin-ip | name} configuracin global
de comandos.
Este ejemplo muestra cmo configurar el conmutador para enviar mensajes de solicitud de SA a la MSDP pares
en 171.69.1.1:
Switch (config) # MSDP ip sa-peticin 171.69.1.1
Para obtener ms informacin, consulte la La seccin "Fuentes de Redistribucin" en la pgina 54-9 y el "Filtrado
Fuente-Active mensajes de solicitud "en la pgina 54-11.
54-8
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Redistribucin Fuentes
SA mensajes se originan en RPs al que las fuentes han sido registrados. De forma predeterminada, cualquier fuente que registra
se anuncia con un RP. El Una bandera se establece en el RP cuando se ha registrado una fuente, lo que significa que la fuente
se anuncia en una SA a menos que se filtra.
Comenzando en el modo EXEC privilegiado, siga estos pasos para restringir an ms los que registraron las fuentes son
anunciado. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
54-9
Captulo 54
Configuracin MSDP
Configuracin MSDP
Paso 3
Comando
Propsito
Crear una lista de acceso extendida IP, repitiendo el comando tantas veces
segn sea necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
54-10
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Para volver a la configuracin por defecto, utilice el no MSDP ip filter-sa-pedido {Direccin-ip | name} mundial
comando de configuracin.
Este ejemplo muestra cmo configurar el switch para filtrar los mensajes de solicitud de la SA MSDP pares
a 171.69.2.2. SA mensajes de solicitud de fuentes en la red 192.4.22.0 pase de lista de acceso 1 y son
aceptado; todos los otros son ignorados.
Switch (config) # Filtro MSDP ip sa-peticin 171.69.2.2 lista 1
Switch (config) # access-list 1 permit 192.4.22.0 0.0.0.255
54-11
Captulo 54
Configuracin MSDP
Configuracin MSDP
Uso de un filtro
Mediante la creacin de un filtro, puede realizar una de estas acciones:
Especifique una lista de acceso extendida IP para pasar slo ciertos pares de origen / grupo
Comenzando en el modo EXEC privilegiado, siga estos pasos para aplicar un filtro. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
ip MSDP sa-filtro de salida La direccin IP |NombreFiltra los mensajes de SA a la MSDP pares especificados.
o
ip MSDP sa-filtro de salida {Direccin-ip | name} Para el par especificado, pasar nicamente los mensajes de SA que pasen la IP
lista de acceso extendida. El rango para el extendido access-list-nmerolista access-list-nmero
es 100 a 199.
Si tanto el lista y el route-map se utilizan palabras clave, todas las condiciones
debe ser cierto para pasar cualquier (S, G) par en los mensajes salientes SA.
o
o
Para el MSDP pares especificado, pasar nicamente los mensajes de SA que cumplan la
ip MSDP sa-filtro de salida {Direccin-ip | name} criterios de coincidencia en la hoja de ruta mapa-tag.
route-map mapa-tag
Si todos los criterios de coincidencia son verdaderas, una permiso de la hoja de ruta pasa rutas
a travs del filtro. A negar filtros rutas.
54-12
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Paso 3
Comando
Propsito
(Opcional) Cree una lista de acceso extendida IP, repitiendo el comando como
tantas veces como sea necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Para quitar el filtro, utilice el no MSDP ip sa-filtrar {Direccin-ip | name} [Lista access-list-number]
[Route-map mapa-tag] comando de configuracin global.
Este ejemplo muestra cmo permitir slo parejas que pasan a la lista de acceso 100 para ser enviados en una SA (S, G)
mensaje al interlocutor llamado switch.cisco.com:
Switch (config) # ip MSDP pares switch.cisco.com conectar-fuente GigabitEthernet1 / 0/1
Switch (config) # MSDP ip sa-filtran switch.cisco.com lista 100
Switch (config) # access-list 100 permit ip 171.69.0.0 0.0.255.255 224.20 0 0.0.255.255
54-13
Captulo 54
Configuracin MSDP
Configuracin MSDP
Usted puede utilizar un valor TTL para controlar qu datos se encapsula en el primer mensaje SA para cada fuente.
Slo los paquetes de multidifusin con un TTL-cabecera IP mayor que o igual a la ttl argumento se envan a la
especificada MSDP pares. Por ejemplo, se puede limitar el trfico interno a un TTL de 8 Si desea que otros grupos
para ir a ubicaciones externas, debe enviar los paquetes con un TTL mayor que 8.
Comenzando en el modo EXEC privilegiado, siga estos pasos para establecer un umbral TTL. Este procedimiento es
opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
MSDP ip ttl-umbral {Direccin-ip | name} Lmite de datos de multidifusin que se encapsula en el primer mensaje SA a
ttlel MSDP pares especificados.
Para ttl, introducir el valor TTL. El valor por defecto es 0, lo que significa que todos
paquetes de datos de multidifusin se reenvan al par hasta que el TTL es
agotado. El rango es de 0 a 255.
Paso 3
fin
Paso 4
show running-config
Paso 5
Para volver a la configuracin por defecto, utilice el no MSDP ip ttl-umbral {Direccin-ip | name} mundial
comando de configuracin.
Especifique una lista de acceso extendida IP para pasar ciertos pares de origen / grupo
54-14
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Comenzando en el modo EXEC privilegiado, siga estos pasos para aplicar un filtro. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Desde el MSDP pares especificado, pasar slo aquellos mensajes que cumplan SA
los criterios de coincidencia en la hoja de ruta mapa-tag.
Si todos los criterios de coincidencia son verdaderas, una permiso de la hoja de ruta pasa
rutas
a travs del filtro. A negar filtrar rutas.
(Opcional) Cree una lista de acceso extendida IP, repitiendo el comando como
tantas veces como sea necesario.
Recordemos que la lista de acceso siempre se termina por una implcita negar
declaracin para todo.
Paso 4
fin
Paso 5
show running-config
Paso 6
Para quitar el filtro, utilice el MSDP no ip sa-filtro en {Direccin-ip | name} [Lista access-list-number]
[Route-map mapa-tag] comando de configuracin global.
Este ejemplo muestra cmo filtrar todos los mensajes SA desde el interlocutor llamado switch.cisco.com:
Switch (config) # ip MSDP pares switch.cisco.com conectar-fuente GigabitEthernet1 / 0/1
Switch (config) # ip MSDP sa-filtro en switch.cisco.com
54-15
Captulo 54
Configuracin MSDP
Configuracin MSDP
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Paso 6
54-16
OL-29703-01
Captulo 54
Configuracin MSDP
Configuracin MSDP
Comenzando en el modo EXEC privilegiado, siga estos pasos para cerrar un compaero. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
Para llevar la copia de seguridad de los compaeros, utilizar el no shutdown MSDP ip {Peer-nombre | direccin pares}
mundial
comando de configuracin. La conexin TCP se restablece
Nota
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el router de borde para enviar SA
mensajes de fuentes activas en la regin de modo denso a los MSDP compaeros. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
Paso 4
fin
54-17
Captulo 54
Configuracin MSDP
Configuracin MSDP
Comando
Propsito
Paso 5
show running-config
Paso 6
Tenga en cuenta que el MSDP ip originador-Identificacin comando de configuracin global tambin identifica una interfaz para ser
utilizado como la direccin de RP. Si tanto el sa-direccin IP MSDP frontera y el MSDP ip originador-Identificacin mundial
comandos de configuracin se configuran, la direccin derivados de la MSDP ip originador-Identificacin comando
especifica la direccin de la AD.
Para volver a la configuracin por defecto (fuentes activas en la regin de modo denso no participan en MSDP),
utilizar el no sa-frontera MSDP direccin IP interface-id comando de configuracin global.
Si usted tiene un interruptor que limita con un dominio de modo escasa PIM y un dominio de modo denso. Si un interruptor
limita con un dominio de modo denso para un sitio, y de modo disperso est siendo utilizado externamente, es posible que
desee
fuentes de modo denso para ser conocidas por el mundo exterior. Debido a que este cambio no es un RP, no lo sera
tener una direccin de RP para utilizar en un mensaje SA. Por lo tanto, este comando proporciona la direccin RP por
especificando la direccin de la interfaz.
Comenzando en el modo EXEC privilegiado, siga estos pasos para permitir a un orador MSDP que se origina una
Mensaje SA se utiliza la direccin IP en la interfaz como la direccin de la AD en el mensaje SA. Este procedimiento
es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Paso 5
54-18
OL-29703-01
Captulo 54
Configuracin MSDP
Monitoreo y mantenimiento de MSDP
Comando
Propsito
mostrar ip MSDP sa-cache [Grupo de direccin | direccin de origen | Displays (S, G) estado aprendidas de MSDP compaeros.
grupo-nombre |source-name] [-Sistema-nmero autnoma]
Mostrar resumen MSDP ip
Para borrar las conexiones MSDP, estadsticas, o entradas de cach SA, utilice los comandos EXEC privilegiados en
Tabla 54-2:
Tabla 54-2
Comando
Propsito
Borra los contadores de estadsticas para uno o todos los pares MSDP sin restablecer
las sesiones.
Borra las entradas de cach SA para todas las entradas, todas las fuentes para un grupo
especfico,
o todas las entradas para un par fuente / grupo especfico.
54-19
Captulo 54
Configuracin MSDP
54-20
OL-29703-01
E R CH A P T
55
Nota
Para conocer la sintaxis completa y la informacin de uso de los comandos que se utilizan en este captulo, consulte la Cisco IOS
Tender un puente e IBM Networking Comando, Volumen 1 de 2, versin 12.4.
55-1
Captulo 55
Un grupo puente es una organizacin interna de las interfaces de red en un switch. No puede utilizar el puente
grupos para identificar el trfico cambiaron dentro del grupo puente fuera del interruptor en el que estn definidas.
Grupos de puente sobre la funcin de cambio de puente distintas; es decir, los datos del protocolo de puente de trfico y puentes
unidades (BPDU) no se intercambian entre los diferentes grupos de puente en un switch.
Puente de retorno no permite que los rboles de expansin de las redes VLAN se puentean a colapsar. Cada
VLAN tiene su propia instancia de spanning-tree y un rbol de expansin por separado, llamado VLAN-puente
rbol de expansin, que se ejecuta en la parte superior del grupo de puente para evitar bucles.
El switch crea una instancia de spanning-tree-VLAN puente cuando se crea un grupo puente. El conmutador
corre el grupo puente y trata el SVI y puertos con enrutamiento en el grupo de puente como sus puertos spanning-tree.
Estas son las razones para la colocacin de las interfaces de red en un grupo de puente:
Para cerrar todo el trfico nonrouted entre las interfaces de red que componen el grupo de puente. Si el
direccin de destino del paquete est en la tabla puente, el paquete se reenva en una sola interfaz en el
grupo puente. Si la direccin de destino del paquete no est en la tabla del puente, el paquete es inundado en todo
el reenvo de las interfaces en el grupo puente. Una direccin MAC de origen se aprende en un grupo nico puente
cuando la direccin se aprende en una VLAN (lo inverso no es cierto). Cualquier direccin que se aprende en un
miembro de la pila es aprendido por todos los switches de la pila.
Para participar en el algoritmo spanning-tree por recibir, y en algunos casos el envo, BPDU en
las redes de rea local a los que estn unidos. Un proceso de spanning-tree separada corre para cada configurado
grupo puente. Cada grupo puente participa en una instancia de spanning-tree separada. Un grupo puente
establece una instancia de spanning-tree basado en las BPDU se recibe solamente en sus interfaces miembros.
Si el puente STP BPDU se recibe en un puerto cuyo VLAN no pertenece a un grupo puente, el
BPDU se inunda en todos los puertos de reenvo de la VLAN.
Figura 55-1
Puerto enrutado
172.20.130.1
Anfitrin C
172.20.128.1
SVI 1
SVI 2
Host A
172.20.129.1
Host B
101240
VLAN 20
VLAN 30
55-2
OL-29703-01
Captulo 55
Nota
Si un maestro de la pila de ejecutar el conjunto de caractersticas de los servicios IP falla y si el maestro de la pila recin elegido est
en ejecucin
el conjunto de funciones de base IP, la pila de switches pierde su funcin de recuperacin en puente.
Si las pilas se fusionan o si un interruptor se aade a la pila, cualquier nueva VLAN que son parte de un grupo puente y
se activar se incluyen en el STP VLAN-puente.
Cuando un miembro de la pila falla, las direcciones aprendidas de este miembro se eliminan del grupo de puente
Tabla de direcciones MAC.
Para obtener ms informacin sobre las pilas de conmutacin, consulte Captulo 5, "Gestin de Pilas
interruptor."
Caracterstica
Grupos Bridge
Prioridad Interruptor
32768.
Prioridad de puerto
128.
10 Mb / s: 100.
100 Mb / s: 19.
1000 Mb / s: 4.
2 segundos.
20 segundos.
30 segundos.
55-3
Captulo 55
Nota
La caracterstica de puerto protegido no es compatible con puente de retorno. Cuando repliegue puente est habilitado,
es posible que los paquetes se enven desde un puerto protegido en un conmutador a otro puerto protegido
en el mismo conmutador si los puertos estn en diferentes VLANs.
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un grupo de puente y para asignar una
interconectar a ella. Este procedimiento es necesario.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
interfaz interface-id
Nota
Paso 4
puente-grupo puente-grupo
55-4
OL-29703-01
Captulo 55
Comando
Propsito
Paso 5
fin
Paso 6
show running-config
Paso 7
Para eliminar un grupo de puente, utilice el no hay puente puente-grupo comando de configuracin global. El no
puente puente-grupo comando elimina automticamente todos los SVI y puertos rutas de ese grupo puente.
Para eliminar una interfaz de un grupo puente y para eliminar el grupo puente, utilizar el no hay puente-grupo
puente-grupo comando de configuracin de interfaz.
Este ejemplo muestra cmo crear grupo de puente 10, para especificar que el VLAN-puente STP se ejecuta en el
grupo de puente, para definir un puerto como puerto de enrutado, y para asignar el puerto al grupo de puente:
Switch
Switch
Switch
Switch
Switch
Este ejemplo muestra cmo crear grupo de puente 10 y para especificar que el VLAN-puente STP se ejecuta en el
grupo puente. Define un SVI para la VLAN 2 y la asigna al grupo de puente:
Switch
Switch
Switch
Switch
Switch
Switch
Nota
Slo los administradores de red con una buena comprensin de cmo y de funcin de STP deben hacer
ajustes en los parmetros de spanning-tree. Mal ajustes previstos pueden tener un impacto negativo en
rendimiento. Una buena fuente de conmutacin es la especificacin IEEE 802.1D. Para obtener ms informacin, consulte
el "Referencias y lecturas recomendadas" en el apndice Cisco IOS Fundamentos de configuracin
Consulta de mandatos.
55-5
Captulo 55
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Verifique su entrada.
Paso 5
Para volver a la configuracin por defecto, utilice el no hay puente puente-grupo prioridad comando de configuracin global.
Para cambiar la prioridad de un puerto, use la prioridad de puente-grupo comando de configuracin de interfaz
(Que se describe en la siguiente seccin).
Este ejemplo muestra cmo configurar la prioridad cambia a 100 para el grupo de puente 10:
Switch (config) # puente 10 de prioridad 100
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Paso 4
fin
55-6
OL-29703-01
Captulo 55
Comando
Propsito
Paso 5
show running-config
Verifique su entrada.
Paso 6
Para volver a la configuracin por defecto, utilice el no hay puente-grupo puente-grupo prioridad configuracin de la interfaz
de comandos.
Este ejemplo muestra cmo cambiar la prioridad a 20 en un puerto en el grupo puente 10:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # puente-grupo 10 de prioridad 20
Asignacin de un coste de la
ruta
Cada puerto tiene un coste de ruta asociado con l. Por convencin, el coste de la ruta es de 1000 tasa / datos del adjunto
LAN, en Mb / s.
Comenzando en el modo EXEC privilegiado, siga estos pasos para asignar un coste de la ruta. Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
Para costo, introducir un nmero entre 0 y 65.535 Cuanto mayor sea el valor,
mayor ser el costo.
-Por 10 Mb / s, el coste de la ruta por defecto es 100.
-Por 100 Mb / s, el coste de la ruta por defecto es 19.
-Para 1000 Mb / s, el coste de la ruta por defecto es 4.
Paso 4
fin
Paso 5
show running-config
Verifique su entrada.
Paso 6
Para volver al coste de la ruta por defecto, utilice el no hay puente-grupo puente-grupo ruta de costo interfaz
comando de configuracin.
Este ejemplo muestra cmo cambiar el coste de la ruta 20 en un puerto en el grupo puente 10:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # puente-grupo 10 ruta de costo 20
55-7
Captulo 55
Nota
Cada switch en un rbol de expansin adopta el intervalo entre hola BPDU, el intervalo de retardo de envo, y
los parmetros de intervalo de inactividad mximo del switch raz, independientemente de cul sea su configuracin individual
podra ser.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Verifique su entrada.
Paso 5
Para volver a la configuracin por defecto, utilice el no hay puente puente-grupo hola a tiempo configuracin global
de comandos.
Este ejemplo muestra cmo cambiar el intervalo de saludo a 5 segundos en el grupo de puente 10:
Switch (config) # puente 10 hola a tiempo 5
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Verifique su entrada.
Paso 5
55-8
OL-29703-01
Captulo 55
Para volver a la configuracin por defecto, utilice el no hay puente puente-grupo -en adelante configuracin global
de comandos.
Este ejemplo muestra cmo cambiar el intervalo de avance-retraso de 10 segundos en el grupo de puente 10:
Switch (config) # puente 10 forward-time 10
Cambiar el intervalo mximo de esperaSi un conmutador no recibe BPDU desde el switch raz dentro de un intervalo especificado, se vuelve a calcular la
topologa de spanning-tree.
Comenzando en el modo EXEC privilegiado, siga estos pasos para cambiar el intervalo de inactividad mximo (mximo
tiempo de envejecimiento). Este procedimiento es opcional.
Comando
Propsito
Paso 1
configure terminal
Paso 2
Paso 3
fin
Paso 4
show running-config
Verifique su entrada.
Paso 5
Para volver a la configuracin por defecto, utilice el no hay puente puente-grupo max-age comando de configuracin global.
Este ejemplo muestra cmo cambiar el intervalo de inactividad mximo de 30 segundos en el grupo de puente 10:
Switch (config) # puente 10 30 max-age
Comando
Propsito
Paso 1
configure terminal
Paso 2
interfaz interface-id
Paso 3
puente-grupo puente-grupo
-spanning discapacitados
fin
Paso 4
55-9
Captulo 55
Comando
Propsito
Paso 5
show running-config
Verifique su entrada.
Paso 6
Para volver a habilitar el rbol de expansin en el puerto, utilice el no hay puente-grupo puente-grupo -spanning discapacitados
comando de configuracin de interfaz.
Este ejemplo muestra cmo deshabilitar rbol de expansin en un puerto en el grupo puente 10:
Switch (config) # interfaz gigabitethernet2 / 0/1
Switch (config-if) # grupo de 10 personas con discapacidad spanning-puente
Propsito
Para visualizar el puente-grupo de la tabla de direcciones MAC en un miembro de la pila, iniciar una sesin de la maestra de la pila
a la miembro de la pila utilizando el sesin pila-miembro de nmero comando de configuracin global. Ingrese
la bridge show [Puente-grupo] [interface-id | mac-address |verbose] comando EXEC privilegiado en el
apilar pronta miembro.
Para obtener informacin acerca de los campos de estas pantallas, consulte la Cisco IOS Bridging e IBM Networking
Referencia de comandos, el Volumen 1 de 2, versin 12.4.
55-10
OL-29703-01
E R CH A P T
56
Solucin de
problemas
En este captulo se describe cmo identificar y resolver problemas de software relacionados con el software Cisco IOS
en el Catalyst 3750-E o 3560-E Catalyst 3750-X o 3560-X interruptor. Dependiendo de la naturaleza de la
problema, puede utilizar la interfaz de lnea de comandos (CLI), el administrador de dispositivos, o Network Assistant para
identificar y resolver problemas.
A menos que se indique lo contrario, el trmino interruptor se refiere a un catalizador 3750-E o E-3560 Catalyst 3750-X o
Interruptor independiente 3560-X y un Catalyst 3750-E Catalizador pila de switches 3750-X.
Informacin adicional de solucin de problemas, tales como descripciones de los LED, se proporciona en el hardware
gua de instalacin.
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin y la Comando del IOS de Cisco Resumen, versin 12.4.
Nota
56-1
Captulo 56
Solucin de problemas
Paso 1
Paso 2
La imagen de Cisco IOS se almacena como un archivo bin en un directorio en el fichero tar. Para obtener informacin sobre la
localizacin de
los archivos de imagen de software en Cisco.com, ver las notas de la versin.
Extraiga el archivo bin desde el archivo tar.
Si est utilizando Windows, utilice un programa de compresin que puede leer un archivo tar. Utilice el programa de
compresin de navegar
ay extraer el archivo bin.
Si utiliza UNIX, siga estos pasos:
1.
Mostrar el contenido de el archivo tar mediante el uso de la tar -tvf Comando <image_filename.tar> UNIX.
Interruptor% tar -tvf image_filename.tar
2.
3.
Compruebe que el archivo bin se extrajo mediante el uso de la ls-l Comando <image_filename.bin> UNIX.
Interruptor% ls-l image_filename.bin
rw-r - r - 1 boba3970586 21 de abril 12:00 image_name.bin
Paso 3
Paso 4
Paso 5
Puede soltar el Modo botn de uno o dos segundos despus de que el LED situado sobre el puerto 1 se apaga. Varias lneas de
informacin sobre el software aparecen con instrucciones:
El sistema ha sido interrumpido antes de inicializar el sistema de archivos flash. La siguiente
comandos inicializar el sistema de archivos flash, y terminar de cargar el sistema operativo
software #
flash_init
arranque
56-2
OL-29703-01
Captulo 56
Solucin de problemas
Recuperacin de una contrasea perdida u olvidada
Paso 6
Paso 7
Paso 8
b.
Paso 9
Paso 10
Paso 11
Utilice el archive download-sw comando EXEC privilegiado para descargar la imagen de software para el interruptor
o a la pila de interruptor.
Paso 12
Utilice el recargar comando privilegiado EXEC para reiniciar el interruptor y verificar que la nueva imagen de software
funciona correctamente.
Paso 13
En estos interruptores, un administrador del sistema puede desactivar algunas de las funciones de esta funcin
lo que permite a un usuario final para restablecer una contrasea nica al acordar volver a la configuracin por defecto. Si
estn tratando de un usuario final para restablecer una contrasea de recuperacin de contrasea cuando se ha desactivado, un
mensaje de estado
muestra esto durante el proceso de recuperacin.
Estas secciones se describe cmo recuperar una contrasea interruptor olvidado o perdido:
Para habilitar o deshabilitar la recuperacin de contraseas mediante el uso de la de recuperacin de contrasea de servicio
configuracin global
de comandos. Al entrar en el de recuperacin de contrasea de servicio o no hay servicio de recuperacin de contrasea comando
en el maestro de la pila, que se propaga a lo largo de la pila y se aplica a todos los switches de la pila.
56-3
Captulo 56
Solucin de problemas
Paso 1
Conecte un terminal o un PC con el software de emulacin de terminal al puerto de consola del conmutador. Si usted es
recuperacin de la contrasea de una pila de conmutadores, conecte al puerto de consola del maestro de la pila.
Paso 2
Paso 3
En un Catalyst 3750-E Catalizador interruptor 3750-X, apague el interruptor independiente o toda la pila de switches.
En un Catalyst 3560-E Catalizador interruptor 3560-X, apague el interruptor.
Paso 4
Vuelva a conectar el cable de alimentacin al interruptor o el maestro de la pila. Dentro de 15 segundos, pulse el Modo botn
mientras que el LED del sistema an parpadea en verde. Siga pulsando el Modo botn hasta que el LED del sistema
convierte brevemente en mbar y despus slido de color verde; luego suelte el Modo botn.
Varias lneas de informacin sobre el software aparecen con instrucciones, que le informa si la contrasea
procedimiento de recuperacin ha sido deshabilitado o no.
proceder a la La seccin "Procedimiento de recuperacin de contrasea para discapacitados" en la pgina 56-6, y seguir el
pasos.
Paso 5
Paso 6
Para Catalyst 3750-E Catalyst 3750-X interruptores, el poder sobre el resto de la pila de switches.
56-4
OL-29703-01
Captulo 56
Solucin de problemas
Recuperacin de una contrasea perdida u olvidada
Paso 1
Paso 2
Si ha configurado la velocidad del puerto de consola para que no sea 9600 nada, se ha restablecido a esa particular
velocidad. Cambie la velocidad de la lnea de software de emulacin para que coincida con el puerto de consola del conmutador.
Paso 3
Paso 4
Paso 5
Paso 6
Arranque el sistema:
cambiar: arranque
Paso 7
Paso 8
Nota
Antes de continuar con el paso 9, el poder sobre cualquier miembro de la pila conectados y esperar hasta que tengan
totalmente inicializado. Si no sigue este paso puede resultar en una perdida de configuracin en funcin de
cmo su interruptor est configurado.
56-5
Captulo 56
Solucin de problemas
Paso 9
Paso 11
Cambiar la contrasea:
Switch (config) # enable secret contrasea
La contrasea secreta puede ser de 1 a 25 caracteres alfanumricos, puede empezar con un nmero, es el caso
sensible, y permite espacios pero ignora espacios iniciales.
Paso 12
Paso 13
Nota
Paso 14
Este procedimiento es probable que deje su interfaz virtual del switch en estado de apagado. Usted puede ver
qu interfaz se encuentra en este estado mediante la introduccin de la show running-config comando EXEC privilegiado.
Para volver a habilitar la interfaz, ingrese el interfaz vlan id_vlan comando de configuracin global, y
especificar el ID de VLAN de la interfaz de apagado. Con el interruptor en configuracin de interfaz
modo, entrar en el no shutdown de comandos.
Precaucin Devolviendo el dispositivo a los resultados de la configuracin por defecto en la prdida de todas las configuraciones existentes.
Nosotros
recomendamos que se ponga en contacto con el administrador del sistema para verificar si hay interruptor de copia de seguridad y
VLAN
archivos de configuracin.
Catalyst 3750-X y configuracin de interruptor de software 3560-X
56-6
OL-29703-01
Captulo 56
Solucin de problemas
Recuperacin de una contrasea perdida u olvidada
Si introduce n(No), el proceso de arranque normal contina como si el Modo botn no haba sido presionado;
no se puede acceder al prompt de un gestor de arranque, y no se puede introducir una nueva contrasea. Usted ve la
mensaje:
Pulse Intro para continuar ........
Paso 1
Si introduce y(S), se eliminan del archivo de configuracin en la memoria flash y el archivo de base de datos de la VLAN.
Cuando se carga la configuracin predeterminada, puede restablecer la contrasea.
Paso 2
Paso 3
Paso 4
Arranque el sistema:
Interruptor: arranque
Se le pedir que inicie el programa de instalacin. Para continuar con la recuperacin de la contrasea, introduzca Nen el indicador:
Continuar con el dilogo de configuracin? [Yes / no]: N
Paso 5
Paso 6
Paso 7
Cambiar la contrasea:
Switch (config) # enable secret contrasea
La contrasea secreta puede ser de 1 a 25 caracteres alfanumricos, puede empezar con un nmero, es el caso
sensible, y permite espacios pero ignora espacios iniciales.
Paso 8
Nota
Paso 9
Antes de continuar con el paso 9, el poder sobre cualquier miembro de la pila conectados y esperar hasta que tengan
totalmente inicializado.
56-7
Captulo 56
Solucin de problemas
Nota
Paso 10
Este procedimiento es probable que deje su interfaz virtual del switch en estado de apagado. Usted puede ver
qu interfaz se encuentra en este estado mediante la introduccin de la show running-config comando EXEC privilegiado.
Para volver a habilitar la interfaz, ingrese el interfaz vlan id_vlan comando de configuracin global, y
especificar el ID de VLAN de la interfaz de apagado. Con el interruptor en configuracin de interfaz
modo, entrar en el no shutdown de comandos.
Ahora debe volver a configurar el switch. Si el administrador del sistema tiene el interruptor de copia de seguridad y VLAN
archivos de configuracin disponibles, usted debe utilizar los.
Asegrese de que los interruptores que agregar o quitar de la pila de switches estn apagados. Para
todas las consideraciones que alimentan en las pilas de conmutacin, ver el captulo "Instalacin del interruptor" en el hardware
gua de instalacin.
Despus de aadir o eliminar miembros de la pila, asegrese de que la pila de switches est operando a plena
ancho de banda (32 Gb / s). Pulse el botn de modo en un miembro de la pila hasta que el LED de modo de Pila est encendido.
El
ltimos dos indicadores LED del puerto del switch deben ser de color verde. Dependiendo del modelo de conmutador, los dos
ltimos puertos
son o bien puertos 10/100/1000 o factor de forma pequeo conectable mdulo (SFP). Si uno o ambos de la ltima
dos LED de los puertos no son de color verde, la pila no est operando a plena ancho de banda.
Recomendamos el uso de slo una sesin de CLI en la gestin de la pila de switches. Tenga cuidado al usar
varias sesiones de la CLI a la maestra de la pila. Los comandos que se introducen en una sesin no se muestran
en las otras sesiones. Por lo tanto, es posible que usted podra no ser capaz de identificar la sesin de
que ha introducido un comando.
La asignacin manual de los nmeros de miembro de la pila de acuerdo con la colocacin de los interruptores en la pila
puede hacer que sea ms fcil solucionar problemas de forma remota la pila de switches. Sin embargo, es necesario recordar
que
los interruptores se han asignado los nmeros manualmente si aade, quitar o reorganizar los interruptores ms tarde. Uso
la interruptor actual-stack-miembro de nmero renumerar nueva-stack-miembro-nmero mundial
comando de configuracin para asignar manualmente un nmero de miembro de la pila. Para obtener ms informacin acerca
de
apilar nmeros de miembros, consulte la Seccin "Nmeros Pila miembros" en la pgina 5-7.
Si se sustituye un miembro de la pila por un modelo idntico, las nuevas funciones de los interruptores con la misma exacta
configuracin que sustituir el interruptor. Esto tambin est asumiendo el nuevo interruptor est utilizando el mismo miembro
nmero que sustituir el interruptor.
Extraccin de miembros de la pila con motor sobre las causas de la pila de switches para dividir (particin) en dos o ms
cambiar las pilas, cada uno con la misma configuracin. Si desea que el interruptor de pilas de permanecer separados, el cambio
la direccin o direcciones IP de las pilas de conmutacin de nueva creacin. Para recuperarse de un conmutador con particiones
apilar:
1.
2.
Vuelva a conectar a la pila de switches original a travs de sus puertos StackWise Plus.
3.
Para los comandos que puede utilizar para controlar la pila de switches y sus miembros, consulte la "Viendo
Cambie la seccin Informacin Pila "en la pgina 5-30.
56-8
OL-29703-01
Captulo 56
Solucin de problemas
Recuperarse de un Interruptor de fallo de Comando
Nota
Paso 1
Desconecte el interruptor de mando de los interruptores de miembros, y eliminar fsicamente del clster.
Paso 2
Inserte el interruptor de miembro en lugar del interruptor de mando fracasado, y duplicar sus conexiones con el
miembros del clster.
Paso 3
Paso 4
Puede acceder a la CLI a travs del puerto de consola, utilizando el puerto de administracin de Ethernet, o, si una IP
direccin ha sido asignada al conmutador, mediante el uso de Telnet. Para obtener ms informacin sobre cmo usar el puerto de la
consola, consulte
la gua de instalacin del hardware del switch. Para obtener ms informacin sobre cmo usar el puerto de administracin de
Ethernet, consulte la
"Utilizacin
Ethernet
de gestin"
enEXEC
la pgina
15-24 y la gua de instalacin de hardware.
En el smbolodel
delpuerto
interruptor,
ingrese
al modo
privilegiado:
Cambiar> permitir
Switch #
Paso 5
56-9
Captulo 56
Solucin de problemas
Paso 6
Paso 7
Paso 8
Paso 9
Utilice el programa de instalacin para configurar la informacin IP del switch. Este programa le pedir la direccin IP
informacin y contraseas. Desde el modo EXEC privilegiado, introduzca configuracin, y pulse Regreso.
Switch # configuracin
--- De configuracin del sistema de dilogo --Continuar con el dilogo de configuracin? [Yes / no]: y
En cualquier momento usted puede entrar en un signo de interrogacin
"?" en busca de ayuda.
Utilice ctrl-c para abortar dilogo de configuracin en cualquier
smbolo.
Los ajustes predeterminados estn entre corchetes "[]".
Configuracin de gestin Bsica configura slo lo suficiente
conectividad
para la gestin del sistema, la configuracin extendida le pedir que
para configurar cada interfaz en el sistema
Le gustara entrar en la configuracin bsica de gestin? [Yes / no]:
Paso 10
o
Configuracin de los parmetros globales:
Si este mensaje no aparece, introduzca habilitar, y pulse Regreso. Ingrese configuracin, y pulse Volver para iniciar
el programa de instalacin.
Paso 11
Paso 12
Cuando se le solicite el enable secret y permitir contraseas, introduzca las contraseas de la comando fallido
interruptor de nuevo.
Paso 13
Cuando se le solicite, asegrese de activar el interruptor como el interruptor de comandos de grupo, y oprima Regreso.
Paso 14
Paso 15
Despus de las pantallas de configuracin inicial, compruebe que las direcciones son correctas.
Paso 16
56-10
OL-29703-01
Captulo 56
Solucin de problemas
Recuperarse de un Interruptor de fallo de Comando
Paso 17
Paso 18
En el men de clsteres, seleccione Aadir a la Categora para mostrar una lista de parmetros de candidatos para agregar al clster.
Inserte el nuevo interruptor en lugar del interruptor de mando fracasado, y duplicar sus conexiones con el grupo
miembros.
Paso 2
Paso 3
Puede acceder a la CLI a travs del puerto de consola, utilizando el puerto de administracin de Ethernet, o, si una IP
direccin ha sido asignada al conmutador, mediante el uso de Telnet. Para obtener ms informacin sobre cmo usar el puerto de la
consola, consulte
la gua de instalacin del hardware del switch. Para obtener ms informacin sobre cmo usar el puerto de administracin de
Ethernet, consulte la
"Utilizacin
Ethernet
de gestin"
enEXEC
la pgina
15-24 y la gua de configuracin de hardware.
En el smbolodel
delpuerto
interruptor,
ingrese
al modo
privilegiado:
Cambiar> permitir
Switch #
Paso 4
Paso 5
Paso 6
o
Configuracin de los parmetros globales:
Si este mensaje no aparece, introduzca habilitar, y pulse Regreso. Ingrese configuracin, y pulse Volver para iniciar
el programa de instalacin.
56-11
Captulo 56
Solucin de problemas
Paso 7
Paso 8
Cuando se le solicite el enable secret y permitir contraseas, introduzca las contraseas de la comando fallido
interruptor de nuevo.
Paso 9
Cuando se le solicite, asegrese de activar el interruptor como el interruptor de comandos de grupo, y oprima Regreso.
Paso 10
Paso 11
Cuando las pantallas de configuracin inicial, compruebe que las direcciones son correctas.
Paso 12
Paso 13
Paso 14
En el men de clsteres, seleccione Aadir a la Categora para mostrar una lista de parmetros de candidatos para agregar al clster.
Un interruptor miembro (Catalyst 3750-X, Catalyst 3750-E, Catalyst 3750, Catalyst 356-X, Catalyst
3560-E, Catalyst 3560, Catalyst 3550, Catalyst 3500 XL, Catalyst 2970, Catalyst 2960, CGESM,
Catalizador 2950, Catalyst 2900 XL, Catalyst 2820 y Catalyst 1900 switch) no puede conectarse a la
comando de conmutacin a travs de un puerto que se define como un puerto de red.
Catalyst 3500 XL, 2900 XL Catalizador, Catalyst 2820 y Catalyst 1900 switches miembros deben
conectar con el conmutador de comando a travs de un puerto que pertenece a la misma VLAN de administracin.
Un interruptor miembro (Catalyst 3750-X, Catalyst 3750-E, Catalyst 3750, Catalyst 3560-X, Catalyst
3560-E, Catalyst 3560, Catalyst 3550, Catalyst 2970, Catalyst 2960, CGESM, Catalyst 2950,
Catalizador 3500 XL, Catalyst 2900 XL, Catalyst 2820 y Catalyst 1900 interruptor) conectado a la
interruptor de mando a travs de un puerto seguro puede perder la conectividad si el puerto est desactivado debido a una
violacin de la seguridad.
56-12
OL-29703-01
Captulo 56
Solucin de problemas
Prevencin Autonegotiation Desajustes
Una velocidad ajustada manualmente o parmetro duplex es diferente de la velocidad o dplex configurar manualmente
parmetro en el puerto conectado.
Un puerto se establece negociar automticamente, y el puerto conectado est configurado para dplex sin negociacin
automtica.
Para maximizar el rendimiento de conmutacin y garantizar un vnculo, siga una de estas instrucciones al cambiar la
configuracin de dplex y la velocidad:
Nota
Establezca manualmente los parmetros de velocidad y dplex para los puertos en ambos extremos de la conexin.
Si un dispositivo remoto no autonegotiate, configurar los valores de dplex en los dos puertos de igualar. El
parmetro de velocidad puede ajustarse incluso si el puerto conectado no autonegotiate.
pgina 56-13
Puerto discapacitados Causada por Falso Link Up, pgina 56-14
56-13
Captulo 56
Solucin de problemas
El mensaje de error de seguridad hace referencia a la instalacin GBIC_SECURITY. El conmutador es compatible con los mdulos
SFP
y no es compatible con mdulos GBIC. Aunque el texto del mensaje de error hace referencia a las interfaces GBIC y
mdulos, los mensajes de seguridad se refieren en realidad a los mdulos SFP y las interfaces de mdulos. Para obtener ms
informacin sobre los mensajes de error, consulte la gua de mensajes del sistema para esta versin.
Si est utilizando un mdulo no Cisco SFP, retire el mdulo SFP del interruptor, y sustituirla por
un mdulo de Cisco. Despus de insertar un mdulo Cisco SFP, utilice el errdisable causa recuperacin gbic-no vlido
comando de configuracin global para comprobar el estado del puerto, e introduzca un intervalo de tiempo para recuperarse de la
-error discapacitados estado. Despus del intervalo transcurrido, el interruptor trae la interfaz de el error de discapacitados
Estado y vuelve a intentar la operacin. Para obtener ms informacin acerca de la recuperacin errdisable comando, consulte la
referencia de comandos para esta versin.
Si el mdulo se identifica como un mdulo de Cisco SFP, pero el sistema es incapaz de leer los datos de proveedorinformacin para verificar su exactitud, se genera un mensaje de error en el mdulo SFP. En este caso, usted debe
retire y vuelva a insertar el mdulo SFP. Si contina fallando, el mdulo SFP puede estar defectuoso.
56-14
OL-29703-01
Captulo 56
Solucin de problemas
Monitoreo de temperatura
Monitoreo de temperatura
El interruptor monitorea las condiciones de temperatura y utiliza la informacin de temperatura para controlar los ventiladores.
Utilice el mostrar la temperatura env comando EXEC privilegiado status para visualizar el valor de la temperatura,
estatales, y los umbrales. El valor de temperatura es la temperatura en el interruptor (no la externa
temperatura) Usted puede configurar solamente el nivel de umbral de color amarillo (en grados Celsius) utilizando el env sistema
umbral de temperatura de color amarillo valor comando de configuracin global para establecer la diferencia entre el
umbrales de amarillo y rojo. No puede configurar los umbrales verdes o rojos. Para obtener ms informacin, consulte
la referencia de comandos para esta versin.
El uso de Ping
Entendimiento Ping
El switch soporta ping-IP, que se puede utilizar para probar la conectividad a los hosts remotos. Ping enva un eco
paquete de solicitud a una direccin y espera una respuesta. Ping devuelve uno de estas respuestas:
Respuesta-The Normal respuesta normal (nombre de host est vivo) se presenta en 1 a 10 segundos, dependiendo
en el trfico de red.
Red o host inalcanzable-Si no hay una entrada en la tabla de rutas para el anfitrin o red, un
red o host inalcanzable se devuelve mensaje.
Ejecutando Ping
Si intenta hacer ping a un host en una subred IP diferente, debe definir una ruta esttica a la red
o tienen enrutamiento IP configurada para enrutar entre esas subredes. Para obtener ms informacin, consulte Captulo 45,
"Configuracin de IP Unicast Routing".
Enrutamiento IP est desactivado por defecto en todos los switches. Si tiene que activar o configurar el enrutamiento IP,
consulte
Captulo 45, "Configuracin de IP Unicast Routing".
Comenzando en el modo EXEC privilegiado, use este comando para hacer ping a otro dispositivo de la red desde el
cambiar:
Comando
Propsito
56-15
Captulo 56
Solucin de problemas
Nota
Aunque otras palabras clave de protocolo estn disponibles con la de ping comando, que no son compatibles con este
liberacin.
Este ejemplo muestra como hacer ping a un host IP:
Switch # de ping 172.20.52.3
Secuencia de escape Tipo de abortar.
Envo de 5, 100-byte ICMP Echoes a 172.20.52.3, tiempo de espera es de 2 segundos:
!!!!!
La tasa de xito es del 100 por ciento (5.5), de ida y vuelta min / avg / max =
1/2/4 ms
Switch #
Personajes
Descripcin
Cada perodo significa que el servidor de red agotado el tiempo a la espera de una respuesta.
Para finalizar una sesin de ping, escriba la secuencia de escape (Ctrl ^ Xpor defecto). Simultneamente presione y suelte
la Ctrl, Shift, y 6teclas y despus pulse el Xclave.
56-16
OL-29703-01
Captulo 56
Solucin de problemas
El uso de Capa 2 Traceroute
Directrices de uso
Cisco Discovery Protocol (CDP) debe estar habilitado en todos los dispositivos de la red. Para la capa 2
Ruta de seguimiento para que funcione correctamente, no desactive CDP.
Si todos los dispositivos en la ruta fsica son transparentes para CDP, el interruptor no se puede identificar la ruta
a travs de estos dispositivos. Para obtener ms informacin sobre cmo activar CDP, consulte Captulo 31, "Configuracin
de
CDP ".
Un conmutador es accesible desde otro interruptor cuando se puede probar la conectividad mediante el uso de la de ping
comando EXEC privilegiado. Todos los switches de la ruta de acceso fsica deben ser accesibles el uno del otro.
Usted puede entrar en el traceroute mac o la traceroute mac ip comando EXEC privilegiado en un interruptor
que no est en la ruta fsica desde el dispositivo de origen al dispositivo de destino. Todos los switches de la
ruta debe ser accesible desde este interruptor.
El traceroute mac salida de comando muestra la ruta de nivel 2 slo cuando la fuente especificada y
direcciones MAC de destino pertenecen a la misma VLAN. Si se especifica la fuente y el destino MAC
direcciones que pertenecen a diferentes VLANs, la ruta de acceso de capa 2 no se identifica, y un mensaje de error
aparece.
Si se especifica una fuente de multidifusin o direccin MAC de destino, el camino no ha sido identificado, y un error
Aparece el mensaje.
Si la direccin de origen o destino MAC pertenece a varias VLAN, debe especificar la VLAN
a la que pertenecen tanto el origen y destino direcciones MAC. Si no se especifica la VLAN, el
camino no ha sido identificado, y aparece un mensaje de error.
El traceroute mac ip salida de comando muestra la ruta de nivel 2 cuando la fuente especificada y
direcciones IP de destino pertenecen a la misma subred. Al especificar las direcciones IP, el interruptor
utiliza el protocolo de resolucin de direcciones (ARP) para asociar las direcciones IP con el correspondiente
Direcciones MAC y los ID de VLAN.
-Si existe una entrada ARP para la direccin IP especificada, el switch utiliza la direccin MAC asociada
Si hay varios dispositivos conectados a un puerto a travs de hubs (por ejemplo, mltiples vecinos CDP
se detectan en un puerto), la funcin de Ruta de seguimiento de nivel 2 no es compatible. Cuando ms de un CDP
vecino se detecta en un puerto, la ruta de acceso de capa 2 no se identifica, y aparece un mensaje de error.
56-17
Captulo 56
Solucin de problemas
Usando Traceroute IP
Usando Traceroute IP
Traceroute IP Entendimiento
Puede usar traceroute IP para identificar la ruta que toman los paquetes a travs de la red en un hop-by-hop
base. El mensaje de salida de comandos todas las capas de red (Capa 3) dispositivos, tales como routers, que el trfico
pasa a travs de camino a su destino.
Sus interruptores pueden participar como origen o destino de la traceroute comando EXEC privilegiado
y puede o no puede aparecer como un salto en el traceroute salida del comando. Si el interruptor es el destino
de la Ruta de seguimiento, que se muestra como el destino final en el resultado de traceroute. Conmutadores intermedios
no aparecen en el resultado de traceroute si slo estn acortando el paquete de un puerto a otro
dentro de la misma VLAN. Sin embargo, si el interruptor intermedio es un interruptor de mltiples capas que se encaminar un
particular, paquete, este interruptor se muestra como un salto en el resultado de traceroute.
El traceroute comando privilegiado EXEC utiliza el campo Time To Live (TTL) en el encabezado IP para causar
routers y servidores para generar mensajes de retorno especficos. Traceroute se inicia mediante el envo de un datagrama de usuario
Protocol (UDP) de datagramas para el host de destino con el campo TTL establecido en 1 Si un router encuentra un valor TTL
de 1 0, descarta el datagrama y enva un Internet Control Message Protocol (ICMP)
mensaje de time-to-live-super al remitente. Traceroute encuentra la direccin de la primera hop examinando
el campo de direccin de origen del mensaje superado-time-to-live ICMP.
Para identificar el siguiente salto, traceroute enva un paquete UDP con un valor TTL de 2 El primer router
decrementa el campo TTL por 1 y enva el datagrama al siguiente enrutador. El segundo router ve un TTL
valor de 1, descarta el datagrama, y devuelve el mensaje superado-en tiempo a vivir a la fuente. Este
proceso contina hasta que el TTL se incrementa a un valor suficientemente grande para que el datagrama para llegar a la
host de destino (o hasta que se alcanza el TTL mximo).
Para saber cuando un datagrama llega a su destino, traceroute establece el nmero de puerto de destino UDP en el
datagrama a un valor muy grande que es poco probable que sea con el host de destino. Cuando un host recibe un
datagrama destinado a s mismo que contiene un nmero de puerto de destino que no se utiliza de forma local, enva un ICMP
-puerto inalcanzable error a la fuente. Debido a que todos los errores, excepto errores de puerto inalcanzable provienen de
saltos intermedios, la recepcin de un error de puerto inalcanzable significa que este mensaje fue enviado por el
puerto de destino.
Ejecucin Traceroute IP
Comenzando en el modo EXEC privilegiado, siga este paso para rastrear los paquetes que llevan a travs de la ruta de acceso
red:
Nota
Comando
Propsito
Ruta de seguimiento de IP
acogida
Aunque otras palabras clave de protocolo estn disponibles con la traceroute comando privilegiado EXEC, son
no se admite en esta versin.
56-18
OL-29703-01
Captulo 56
Solucin de problemas
El uso de TDR
La pantalla muestra el nmero de saltos, la direccin IP del router, y el tiempo de ida y vuelta en milisegundos
para cada una de las tres sondas que se envan.
Tabla 56-2
Personajes
Descripcin
Administrativamente inalcanzable. Por lo general, esta salida significa que una lista de acceso es
bloqueando el trfico.
Anfitrin inalcanzable.
Red inalcanzable.
Protocolo inalcanzable.
DTO.
Puerto inalcanzable.
Para finalizar una traza en proceso, introduzca la secuencia de escape (Ctrl ^ Xpor defecto). Presione simultneamente y
liberar el Ctrl, Shift, y 6teclas y despus pulse el Xclave.
El uso de TDR
Entendimiento TDR
Usted puede utilizar la funcin Time Domain Reflector (TDR) para diagnosticar y resolver problemas de cableado. Cuando
corriendo TDR, un dispositivo local enva una seal a travs de un cable y compara la seal reflejada a la inicial
seal.
TDR es compatible slo con puertos Ethernet 10/100/1000 de cobre. No es compatible con el 10-Gigabit Ethernet
los puertos y en los puertos del mdulo SFP.
56-19
Captulo 56
Solucin de problemas
Abiertas, rotos o cortados los alambres-Los cables de par trenzado no estn conectados a los cables del mando a distancia
dispositivo.
En corto los cables-Los cables de par trenzado se tocan entre s o los cables desde el dispositivo remoto.
Por ejemplo, un par trenzado cortocircuito puede ocurrir si un cable de par trenzado est soldada a la otra
de alambre.
Si uno de los cables de par trenzado est abierto, TDR puede encontrar la longitud en la que el cable est abierto.
Utilice TDR para diagnosticar y resolver problemas de cableado en estas situaciones:
Sustitucin de un interruptor
Solucin de problemas de conexin entre dos dispositivos cuando un enlace no puede establecerse o cuando es
no funciona correctamente
El cable para la conexin Gigabit es un cable de par trenzado o est en serie con un cable de ncleo slido.
El uso de comandos de
depuracin Habilitar la depuracin en una caracterstica especfica, pgina 56-21
Precaucin Debido a la salida de depuracin se asigna una alta prioridad en el proceso de la CPU, que puede hacer que el sistema
inutilizable. Por esta razn, utilizar debug comandos slo para solucionar problemas especficos o durante
sesiones de solucin de problemas con Cisco personal de apoyo tcnico. Es mejor utilizar es debug comandos durante
perodos de menor trfico de red y menos usuarios. Depuracin durante estos perodos disminuye la
probabilidad de que aument debug sobrecarga de procesamiento de comandos afectar el uso del sistema.
56-20
OL-29703-01
Captulo 56
Solucin de problemas
El uso de comandos de depuracin
Nota
Para conocer la sintaxis completa y la informacin de uso de concreto debug comandos, vea la referencia de comandos
para esta versin.
El interruptor sigue generando la salida hasta que introduzca la no forma del comando.
Si habilita un debug comando y no hay salida aparece, considere estas posibilidades:
El interruptor no est configurado correctamente para generar el tipo de trfico que desea supervisar. Uso
la show running-config comando para comprobar su configuracin.
Incluso si el interruptor est configurado correctamente, puede que no genere el tipo de trfico que desea
supervisar durante el perodo en particular que la depuracin est habilitada. Dependiendo de la funcin que est
depuracin, puede utilizar comandos como el TCP / IP de ping comando para generar trfico de red.
Para deshabilitar la depuracin de SPAN, introduzca este comando en el modo EXEC privilegiado:
Switch # no debug perodo de sesiones
Como alternativa, en el modo EXEC privilegiado, se puede introducir el undebug forma del comando:
Switch # undebug perodo de sesiones
Para mostrar el estado de cada opcin de depuracin, introduzca este comando en el modo EXEC privilegiado:
Switch # espectculo de depuracin
Habilitacin Todos-System
Diagnostics Comenzando en el modo EXEC privilegiado, introduzca este comando para permitir que todos los del sistema de
diagnstico:
Precaucin Debido a la salida de depuracin tiene prioridad sobre otro trfico de red, y porque el debug all privilegiada
Comando EXEC genera ms produccin que cualquier otro debug comando, puede disminuir severamente interruptor
rendimiento o incluso inutilizarla. En prcticamente todos los casos, lo mejor es utilizar ms especfica debug
los comandos.
El no debug todo comando EXEC privilegiado desactiva todas las salidas de diagnstico. Uso de la no debug todo
comando es una forma conveniente de asegurarse de que usted no ha dejado accidentalmente cualquier debug comandos
habilitado.
56-21
Captulo 56
Solucin de problemas
Nota
Tenga en cuenta que el destino de depuracin que utiliza afecta la sobrecarga del sistema. Registro de mensajes a la
consola produce muy alta la cabeza, mientras que los mensajes de registro a un terminal virtual produce menos
gastos generales. Registro de mensajes a un servidor syslog produce an menos, y el registro en un buffer interno
produce la menor sobrecarga de cualquier mtodo.
Cuando miembros de la pila generan un mensaje de error del sistema, el maestro de la pila muestra el mensaje de error para
todos los miembros de la pila. El syslog reside en el maestro de la pila.
Nota
Asegrese de guardar el syslog en la memoria flash para que el syslog no se pierde si el maestro de la pila falla.
Para obtener ms informacin acerca del registro de mensajes del sistema, consulte Captulo 37, "Configuracin de mensajes de
sistema
Registro y Registro Inteligente ".
Nota
Para obtener ms informacin de la sintaxis y el uso de la espectculo plataforma hacia adelante comando, consulte el
interruptor
referencia de comandos para esta versin.
La mayor parte de la informacin de la salida del comando es til principalmente para el apoyo tcnico
personal, que tienen acceso a la informacin detallada sobre el interruptor especfico de la aplicacin integrada
circuitos (ASIC). Sin embargo, el reenvo de paquetes de informacin tambin puede ser til en la solucin de problemas.
Este es un ejemplo de la salida de la espectculo plataforma hacia adelante comando en el puerto 1 en VLAN 5 cuando
el paquete de entrar en ese puerto se dirige a las direcciones MAC desconocidas. El paquete debe ser inundado a
todos los dems puertos en VLAN 5.
Switch # espectculo plataforma GigabitEthernet1 adelante / 0/1 vlan 5 1.1.1 2.2.2 IP 13.1.1.1 13.2.2.2
udp 10 20
Nmero Mundial de puerto: 24, Nmero Asic: 5
Src real Vlan Id: 5, asignada Vlan Id: 5
Entrada:
LookupKey-UsedIndex-Hit A-Data
InptACL 40_0D020202_0D010101-00_40000014_000A000001FFA03000000
L2Local 80_00050002_00020002-00_00000000_0000000000C710000002B
Estacin de descriptores: 02340000, DestIndex: 0239, RewriteIndex: F005
56-22
OL-29703-01
Captulo 56
Solucin de problemas
Uso del comando hacia adelante espectculo
plataforma
==========================================
Egreso: Asic 2, interruptor 1
Los paquetes de salida:
-----------------------------------------Paquete 1
LookupKey-Usados
OutptACL 50_0D020202_0D010101-00_40000014_000A0000
Puerto
Gi1 / 0/1
VlanSrcMac
0005 0001.0001.0001
DstMacCos
0002.0002.0002
-----------------------------------------Paquete de 2
LookupKey-Usados
OutptACL 50_0D020202_0D010101-00_40000014_000A0000
Puerto
Gi1 / 0/2
VlanSrcMac
0005 0001.0001.0001
DstMacCos
0002.0002.0002
ndice-Hit A-Data
01FFE03000000
Dscpv
ndice-Hit A-Data
01FFE03000000
Dscpv
-----------------------------------------<Salida trunca>
-----------------------------------------Paquete de 10
LookupKey-UsedIndex-Hit A-Data
OutptACL 50_0D020202_0D010101-00_40000014_000A000001FFE03000000
Paquete cay debido al fallido Comprobar Deja_Vu en Gi1 / 0/2
Este es un ejemplo de la salida cuando el paquete entrando en el puerto 1 en la VLAN 5 se enva a una direccin
ya aprendido en la VLAN en otro puerto. Debe ser enviada desde el puerto en el que la direccin de
que se aprendi.
Switch # espectculo plataforma GigabitEthernet1 adelante / 0/1 vlan 5 1.1.1 0009.43a8.0145 IP 13.1.1.1
13.2.2.2 udp 10 20
Nmero Mundial de puerto: 24, Nmero Asic: 5
Src real Vlan Id: 5, asignada Vlan Id: 5
Entrada:
LookupKey-UsedIndex-Hit A-Data
InptACL 40_0D020202_0D010101-00_40000014_000A000001FFA03000000
L2Local 80_00050009_43A80145-00_00000000_000000000008602010197
Estacin de descriptores: F0050003, DestIndex: F005, RewriteIndex: 0003
==========================================
Egreso: Asic 3, interruptor 1
Los paquetes de salida:
-----------------------------------------Paquete 1
LookupKey-Usados
OutptACL 50_0D020202_0D010101-00_40000014_000A0000
Puerto
Gi1 / 0/2
VlanSrcMac
0005 0001.0001.0001
DstMacCos
0009.43A8.0145
ndice-Hit A-Data
01FFE03000000
Dscpv
56-23
Captulo 56
Solucin de problemas
Este es un ejemplo de la salida cuando el paquete entrando en el puerto 1 en la VLAN 5 tiene un destino MAC
direccin establecida en la direccin MAC del router en VLAN 5 y la direccin IP de destino desconocido. Debido a que hay
hay un conjunto de rutas por defecto, el paquete debe suprimirse.
Switch # espectculo plataforma GigabitEthernet1 adelante / 0/1 vlan 5 1.1.1 03.e319.ee44 IP 13.1.1.1
13.2.2.2 udp 10 20
Nmero Mundial de puerto: 24, Nmero Asic: 5
Src real Vlan Id: 5, asignada Vlan Id: 5
Entrada:
LookupKey-UsedIndex-Hit A-Data
InptACL 40_0D020202_0D010101-00_41000014_000A000001FFA03000000
L3Local 00_00000000_00000000-90_00001400_0D020202010F001880290
L3Scndr 12_0D020202_0D010101-00_40000014_000A0000034E0000C001D_00000000
Bsqueda Usado: Secundaria
Estacin de descriptores: 02260000, DestIndex: 0226, RewriteIndex: 0000
Este es un ejemplo de la salida cuando el paquete entrando en el puerto 1 en la VLAN 5 tiene un destino MAC
direccin establece en la direccin MAC del router en VLAN 5 y la direccin IP de destino ajustado en una direccin IP que
est en la tabla de enrutamiento IP. Debe ser enviada como se especifica en la tabla de enrutamiento.
Switch # espectculo plataforma GigabitEthernet1 adelante / 0/1 vlan 5 1.1.1 03.e319.ee44 ip 110.1.5.5
16.1.10.5
Nmero Mundial de puerto: 24, Nmero Asic: 5
Src real Vlan Id: 5, asignada Vlan Id: 5
Entrada:
LookupKey-UsedIndex-Hit A-Data
InptACL 40_10010A05_0A010505-00_41000014_000A000001FFA03000000
L3Local 00_00000000_00000000-90_00001400_10010A05010F001880290
L3Scndr 12_10010A05_0A010505-00_40000014_000A000001D2830090001_00000000
Bsqueda Usado: Secundaria
Estacin de descriptores: F0070007, DestIndex: F007, RewriteIndex: 0007
==========================================
Egreso: Asic 3, interruptor 1
Los paquetes de salida:
-----------------------------------------Paquete 1
LookupKey-Usados
OutptACL 50_10010A05_0A010505-00_40000014_000A0000
Puerto
Gi1 / 0/2
VlanSrcMac
0007 XXXX.XXXX.0246
DstMacCos
0009.43A8.0147
ndice-Hit A-Data
01FFE03000000
Dscpv
Archivo-La crashinfo bsico parmetro genera automticamente este archivo la prxima vez que arranque el Cisco
Imagen del IOS despus del fracaso.
Archivo-La crashinfo Extended parmetro genera automticamente este archivo cuando el sistema est fallando.
56-24
OL-29703-01
Captulo 56
Solucin de problemas
Uso de la crashinfo Archivos
56-25
Captulo 56
Solucin de problemas
HULC Forwarding TCAM Manager (HFTM) Superficie: En relacin con el reenvo de capa 2 y capa 3
tablas.
Calidad HULC de servicio (QoS) / lista de control de acceso (ACL) TCAM Manager (HQATM) Superficie: Relacionados
a ACL y ACL-mesas como tales como la clasificacin de QoS y poltica de enrutamiento.
La salida de la mostrar errores TCAM plataforma comando privilegiado EXEC proporciona informacin sobre
la integridad coherencia de memoria TCAM en el interruptor.
Comenzando en el modo EXEC privilegiado, utilice el mostrar errores TCAM plataforma comando para mostrar la
TCAM de consistencia de memoria errores de comprobacin detectaron en el interruptor:
Comando
Propsito
mostrar errores TCAM plataforma Muestra los errores de comprobacin de consistencia de memoria TCAM en el HQATM, y
HFTM.
Tabla 56-3
Personajes
Descripcin
Valores
Mscaras
Composturas
Reintentos
Fallas
Para obtener ms informacin acerca de la mostrar errores TCAM plataforma comando privilegiado EXEC, consulte la
referencia de comandos para esta versin.
56-26
OL-29703-01
Captulo 56
Solucin de problemas
Usando a Bordo La falta de registro
Entender OBFL
De forma predeterminada, OBFL est habilitada. Recopila informacin sobre el interruptor y pequeos conectables con factor de
forma
mdulos (SFP). Los switch almacena esta informacin en la memoria flash:
Comandos CLI-Record de los comandos de la CLI OBFL que se introducen en un interruptor independiente o un
miembro de pila de switches
Informacin para el Medio Ambiente identificador de dispositivo-de datos nica (UDI) para un interruptor independiente o
una pila
miembro y para todos los dispositivos FRU conectados: la identificacin de producto (PID), la versin
identificacin (VID), y el nmero de serie
Mensaje-Record de los mensajes del sistema relacionados con el hardware generados por un interruptor independiente o un
miembro de la pila
Alimentacin a travs de Ethernet (PoE) -Registro del consumo de energa de los puertos PoE en un switch independiente
o un miembro de la pila
Uptime datos en tiempo cuando un interruptor independiente o un miembro de la pila comienza, la razn el interruptor
reinicios, y la longitud de tiempo que el interruptor ha estado funcionando desde la ltima reinicia
Usted debe configurar manualmente el reloj del sistema o configurar mediante el uso de Network Time Protocol (NTP).
Cuando el interruptor est en ejecucin, puede recuperar los datos mediante el uso de la OBFL show logging a bordo
comandos EXEC privilegiados. Si el interruptor falla, comunquese con su representante de soporte tcnico de Cisco para
encontrar la manera de recuperar los datos.
Cuando se reinicia un conmutador con capacidad para OBFL, hay un retraso de 10 minutos antes de la tala de nuevos datos
comienza.
Configuracin OBFL
Para habilitar OBFL, utilice el hw-mdulo de mdulo [Interruptor-nmero] registro a bordo [Mensaje nivel nivel]
comando de configuracin global. El Catalyst 3750-E Catalyst 3750-X interruptores, el rango de
interruptor de nmero es de 1 a 9 en el catalizador 3560-E Catalyst 3750-X interruptores, el nmero interruptor est
siempre 1. Utilice el nivel de mensaje nivel parmetro para especificar la gravedad de los mensajes relacionados con el hardware
que el interruptor genera y almacena en la memoria flash.
Para copiar los datos OBFL a la red local o en un sistema de archivos especfico, utilice el copia el registro a bordo
mdulo destino pila miembros comando EXEC privilegiado.
Precaucin Le recomendamos que no desactive OBFL y que no elimine los datos almacenados en el flash
memoria.
Para desactivar OBFL, utilice el ningn mdulo HW-mdulo [Interruptor-nmero] registro a bordo [Mensaje nivel]
comando de configuracin global.
56-27
Captulo 56
Solucin de problemas
Fallas Fan
Para borrar todos los datos OBFL en la memoria flash, excepto para el tiempo de actividad y la informacin de comandos CLI,
utilizar el la deforestacin de a bordo comando EXEC privilegiado.
En una pila de switches, puede habilitar OBFL en un interruptor independiente o en todos los miembros de la pila mediante el uso
de la
mdulo de registro de hw-mdulo de a bordo [Mensaje nivel nivel] comando de configuracin global.
En una pila de switches, si se introduce la hw-mdulo de mdulo [Interruptor-nmero] registro a bordo ordenar en
un miembro de la pila que no admite OBFL, como un switch Catalyst 3750, aparece un mensaje con el que
informacin. Si un switch Catalyst 3750 es un maestro de la pila en una pila mixta de Catalyst 3750-E
Catalyst 3750-X y 3750 interruptores y introduce un comando OBFL en el switch Catalyst 3750, el
comando no tiene efecto sobre el maestro de la pila, pero la maestra de la pila enva la configuracin OBFL
informacin a los miembros de la pila.
Para obtener ms informacin acerca de los comandos de esta seccin, vea la referencia de comandos para esta versin.
Visualizacin de informacin
OBFL
Para mostrar la informacin OBFL, utilice uno o ms de los comandos EXEC privilegiados en Tabla 56-4:
Tabla 56-4
Comando
Propsito
Mostrar los mensajes relacionados con el hardware generados por un interruptor independiente
o la especificada miembros de la pila.
Para obtener ms informacin sobre cmo utilizar los comandos Tabla 56-4 y para ejemplos de datos OBFL, consulte la
referencia de comandos para esta versin.
Fallas Fan
Los fallos de los ventiladores funcin slo se admite en el switch Catalyst 3560E-12D. Puede utilizar esta funcin para
evitar el recalentamiento del interruptor.
56-28
OL-29703-01
Captulo 56
Solucin de problemas
Fallas Fan
Por defecto, la funcin est desactivada. Cuando ms de uno de los ventiladores en una unidad reemplazable en campo (FRU) o
en falla una fuente de alimentacin, el interruptor no se cierra y aparece este mensaje de error:
Ventilador mltiple (FRU / PS) falla detectada. El sistema puede sobrecalentarse. Cambie el ventilador
rpidamente.
Despus de que el primer ventilador se apague, si el conmutador detecta un segundo fallo del ventilador, el interruptor de espera
durante 20 segundos
antes de apagarse.
Para reiniciar el switch, debe ser apagado y encendido.
56-29
Captulo 56
Solucin de problemas
Tablas de solucin de
problemas Estas tablas son una versin resumida de los documentos de solucin de problemas en Cisco.com.
La falta de respuesta a las solicitudes de gestin (ICMP ping, SNMP tiempos de espera, Telnet o SSH lenta
sesiones)
UDLD aleteo
Conmutadores de nivel 3:
Nota
Capa 3 no se encuentran disponibles en los switches ejecuten el conjunto de funciones de base LAN.
HSRP aleteo
56-30
OL-29703-01
Captulo 56
Solucin de problemas
Tablas de solucin de problemas
...
<Salida trunca>
Este ejemplo muestra la utilizacin de CPU normal. El resultado muestra que la utilizacin de los ltimos 5 segundos es
8% / 0%, que tiene este significado:
La utilizacin total de CPU es del 8 por ciento, incluyendo tanto tiempo en marcha procesos y tiempo de Cisco IOS
gastado tratar las alarmas
\
Tabla 56-5
Tipo de problema
Causa
Accin Correctiva
Para obtener informacin completa sobre la utilizacin de CPU y cmo solucionar los problemas de utilizacin, consulte la
Solucin de problemas de alta utilizacin de la CPU documentar en Cisco.com.
56-31
Captulo 56
Solucin de problemas
Sntoma o problema
El problema es que en slo un puerto de switch. PoE y Uso del mostrar plazo, mostrar el estado de la interfaz, o mostrar los detalles de alimentacin
en lnea
dispositivos no PoE no funcionan en este puerto, pero los comandos EXEC usuario para verificar que el puerto no se apaga o error
disabled.do en otros puertos.
La mayora de los interruptores de apagar la energa del puerto cuando el puerto est
Nota
cerrado,
a pesar de que las especificaciones IEEE hacen de este opcional.
Verifique que el cable Ethernet del dispositivo con alimentacin al puerto del switch
es bueno: Conecte un dispositivo bien no PoE Ethernet conocido a Ethernet
cable, y asegurarse de que el dispositivo con alimentacin establece un vnculo y
intercambia trfico con otro host.
Compruebe que la longitud total del cable desde el panel frontal del switch a la
dispositivo alimentado no es ms de 100 metros.
Desconecte el cable Ethernet del puerto del switch. Utilice un corto Ethernet
cable para conectar un buen dispositivo Ethernet conocido directamente a este puerto en
el panel frontal del switch (no en un panel de conexin). Compruebe que puede establecer
un enlace Ethernet y trfico de intercambio con otro host, o haga ping al puerto
VLAN SVI. A continuacin, conecte un dispositivo con alimentacin a este puerto, y verificar
que
poderes a encenderlo.
Si un dispositivo con alimentacin no se enciende cuando se conecta con un cable de conexin
a
el puerto del switch, comparar el nmero total de dispositivos que funcionan conectados
al presupuesto de alimentacin del interruptor (disponible PoE). Utilice el mostrar
alimentacin en lnea
y mostrar los detalles de alimentacin en lnea comandos para verificar la cantidad de
potencia disponible.
Para obtener ms informacin, consulte No PoE en un puerto en Cisco.com.
56-32
OL-29703-01
Captulo 56
Solucin de problemas
Tablas de solucin de problemas
Figura 56-1
Sntoma o problema
56-33
Captulo 56
Solucin de problemas
Figura 56-1
Sntoma o problema
56-34
OL-29703-01
Captulo 56
Solucin de problemas
Tablas de solucin de problemas
Sntoma / problema
Puerto miembro interruptor no viene Introduzca el Visualizar detalles interruptor privilegiadaConexin del cable StackWise poco fiable o
comando upEXEC.
interfaz (vase StackWise Puerto Batiendo).
Ancho de banda del anillo stack reducido, Introduzca el espectculo interruptor de velocidad-ring
Mala conexin entre el cable StackWise
pila
conexin y el conector de chasis del conmutador (vase
EXEC usuario command.or lento rendimiento entre
Prueba de cables StackWise e interfaces).
conmutar entre puertos o los interruptores
en la pila.
Defectuoso o inexistente cable StackWise (ver
Introduzca el Visualizar detalles interruptor EXEC usuario
Prueba de cables StackWise e interfaces).
comando para ver qu cable pila o
conexin est causando el problema.
Compruebe los tornillos de retencin de la
Tornillos de sujecin sueltos o demasiado apretados
Conectores del cable StackWise.
tornillos de retencin (ver StackWise Verificacin
Conexiones de los cables).
Introduzca el show switch privilegiada
Comando EXEC para ver si la nueva Comprobar el estado de los miembros de la pila (vase
interruptor muestra como Ready, Progresando,Verificacin StackWise Conexiones de los cables).
o aprovisionada.
Numeracin de los puertos en uno o ms Acceso a la Visualizar detalles interruptor EXEC usuario mltiples cables StackWise estn desconectados
interruptores son incorrectos o cambiado. miembros de la pila command.from creando dos por separado
pilas. (Vase Pila Maestro Eleccin y Port
Asignacin de nmero).
56-35
Captulo 56
Solucin de problemas
Tabla 56-6
Sntoma / problema
Problemas con pila masterReview las reglas de eleccin maestra de la pila. Maestra de la pila actual se reinicia o
eleccin. apila la fusin, o newdisconnected (ver Maestra de la pila se reinicia o
interruptores de unin pilaDesconectado).
Numeracin de los puertos parece
apagado.
Introduzca el show switch EXEC privilegiado
de comandos.
56-36
OL-29703-01
E R CH A P T
57
Nota
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el comando
referencia para esta versin.
Diagnstico en lnea se clasifican como bajo demanda, programada, o el diagnstico de salud de monitoreo.
En la demanda de diagnstico se ejecutan desde la CLI; diagnstico programadas se ejecuten a intervalos designado por el usuario
o por lo
veces especificado cuando el interruptor est conectado a una red activa; y vigilancia de la salud se ejecuta en el
fondo.
57-1
Captulo 57
Comando
Propsito
test-id-gama-ID los nmeros de las pruebas que aparecen en el mostrar contenido de diagnstico
salida del comando.
Para obtener informacin detallada acerca de este comando, consulte la referencia de comandos para esta versin.
Utilice el hay un interruptor horario de diagnstico nmero prueba {Nombre | prueba de Identificacin |test-id-gama |todo
|bsica |
no disruptiva} {Diaria hh: mm |en mm dd aaaa hh: mm |semanal das de la semana los hh: mm} mundial
comando de configuracin para eliminar las pruebas programadas.
Este ejemplo muestra cmo programar las pruebas de diagnstico para un da y hora especfica aCatalyst 3560-E
cambiar:
Switch (config) # diagnstico TestPortAsicCam prueba de horario en 03 de diciembre 2006 22:25
Este ejemplo muestra cmo programar las pruebas de diagnstico que se produzca semanalmente en un momento especfico en
el elemento
conmutar 6 cuando se introduce este comando en un Catalyst 3750-E master Catalyst 3750-X pila:
Switch (config) # interruptor horario de diagnstico 6 prueba 1-4,7 Sbado semanal 10:30
57-2
OL-29703-01
Captulo 57
Comando
Propsito
Paso 1
configure terminal
Paso 2
interruptor de intervalo monitor de diagnstico Configure el intervalo de la salud-el seguimiento de las pruebas especificadas.
nmero prueba {Nombre | prueba de Identificacin |
El interruptor nmero palabra clave slo se admite en Catalyst 3750-E
test-id-gama |all} hh: mm: ss
Catalyst 3750-X interruptores. El rango es de 1 a 9.
da milisegundos
Al especificar las pruebas, utilice uno de estos parmetros:
Paso 3
57-3
Captulo 57
Comando
Paso 4
Propsito
interruptor de valor umbral monitor de diagnstico(Opcional) Establezca el umbral de fallos para las pruebas de vigilancia de la salud.
nmero prueba {Nombre | prueba de Identificacin |
El interruptor nmero palabra clave slo se admite en Catalyst 3750-E
test-id-gama |all} recuento de errores contar
Catalyst 3750-X interruptores. El rango es de 1 a 9.
Al especificar las pruebas, utilice uno de estos parmetros:
interruptor de monitor de diagnstico nmero prueba Habilitar las pruebas de salud de monitoreo especificados.
{Nombre | prueba de Identificacin |test-id-gama |all}
El interruptor nmero palabra clave slo se admite en Catalyst 3750-E
Catalyst 3750-X interruptores. El rango es de 1 a 9.
Al especificar las pruebas, utilice uno de estos parmetros:
Paso 6
fin
Paso 7
Paso 8
mostrar diagnstico {Content | post | resultado Visualizar los resultados de la prueba de diagnstico en lnea y los bancos de pruebas admitidas.
Ver
| Horario |estado | Interruptor}la Seccin "Viendo Online Pruebas de Diagnstico y Resultados del examen" en la
pgina 57-6 para obtener ms informacin.
show running-config
Verifique sus entradas.
Paso 9
Para desactivar las pruebas de diagnstico y volver a la configuracin por defecto, utilice los siguientes
comandos:
Para desactivar la prueba de diagnstico en lnea, utilice el hay interruptor monitor de diagnstico nmero prueba {Nombre |
prueba de Identificacin |test-id-gama |all} comando de configuracin global.
Para volver al intervalo predeterminado vigilancia de la salud, use el hay interruptor intervalo monitor de diagnstico
nmero prueba {Nombre | prueba de Identificacin |test-id-gama |all} comando de configuracin global.
Para configurar el conmutador para no generar un mensaje de syslog cuando falla la prueba de vigilancia de la salud, el uso
la no syslog monitor de diagnstico comando de configuracin global.
Para volver al umbral de fallo predeterminado, utilice la hay un interruptor de umbral monitor de diagnstico nmero
prueba {Nombre | prueba de Identificacin |test-id-gama |all} recuento de errores contar comando de configuracin global.
Nota
El interruptor nmero palabra clave slo se admite en Catalyst 3750-E Catalyst 3750-X interruptores.
57-4
OL-29703-01
Captulo 57
Comando
Propsito
test-id-gama-Enter el rango de ID de pruebas mediante el uso de nmeros enteros separados por una coma
y un guin. Para obtener ms informacin, consulte la inicio de diagnstico comando en el
referencia de comandos para esta versin.
todo uso esta palabra clave cuando se quiere correr todas las pruebas.
bsica-Uso esta palabra clave cuando se quiere ejecutar el conjunto de pruebas bsico.
no disruptiva-Uso esta palabra clave cuando se quiere ejecutar la prueba sin interrupciones
suite.
Este ejemplo muestra cmo iniciar todas las pruebas diagnsticas bsicas:
Switch # interruptor de arranque de diagnstico 1 prueba de todo
57-5
Captulo 57
Comando
Propsito
mostrar interruptor resultado diagnstico [Nmero | todos]1 [detalle | Visualizar los resultados de la prueba de diagnstico en
prueba {Nombre | prueba de Identificacin |test-id-gama |all} [Detalle]]
lnea.
ver que el interruptor de diagnstico [Nmero | todos]1 [detalle]
mostrar interruptor horario de diagnstico [Nmero | todos]1
mostrar mensaje de diagnstico
1. La interruptor [Nmero | todos] parmetro slo se admite en Catalyst 3750-E Catalyst 3750-X interruptores.
Para ejemplos de la mostrar diagnstico salida del comando, consulte la seccin de "Ejemplos" espectculo
diagnstico comando en la referencia de comandos para esta versin.
57-6
OL-29703-01
APPENDIX
58
Para obtener informacin sintaxis y el uso completo de los comandos utilizados en este captulo, consulte el interruptor
referencia de comandos para esta versin y la Cisco IOS Configuracin Fundamentos Comando
Reference, Release 12.4.
58-1
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Banderas
rw
rw
rw
rw
rw
rw
rw
ro
ro
Los prefijos
Flash:
bs:
vb:
nvram:
tftp:
nula:
sistema:
xmodem:
ymodem:
Este ejemplo muestra una pila de conmutadores. En este ejemplo, el maestro de la pila es miembro de la pila 2; por lo tanto,
flash2: es un alias para Flash:. El sistema de archivos en miembro de la pila 5 se muestra como flash5 en la pila
amo.
Switch # sistemas de espectculo de archivos
Sistemas de archivos:
Tamao (b)
Gratis (b)
Tipo
opaca
57409536
25664000
Flash
opaca
524288
512375
nvram
opaca
opaca
opaca
opaca
red
red
red
red
opaca
57409536
27306496
Flash
BanderasLos prefijos
ro
bs:
rw
Flash: flash2:
rw
sistema:
rw
nvram:
ro
xmodem:
ro
ymodem:
rw
nula:
ro
tar:
rw
tftp:
rw
rcp:
rw
http:
rw
ftp:
ro
cns:
rw
flash5:
58-2
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajo con el sistema de archivos Flash
Tabla 58-1
Campo
Valor
Tamao (b)
Gratis (b)
Tipo
Banderas
Los prefijos
58-3
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Para mostrar informacin acerca de los archivos en un sistema de archivos, utilice uno de los comandos EXEC privilegiados
en
Tabla 58-2:
Tabla 58-2
Comando
Descripcin
descriptores espectculo de
archivos
Mostrar una lista de descriptores de archivos abiertos. Los descriptores de archivo son las representaciones
internas
archivos de abiertos. Usted puede utilizar este comando para ver si otro usuario tiene un archivo abierto.
Para mostrar informacin sobre el objeto de texto en el controlador CISCO-MEMORIA-POOL-MIB, utilice el espectculo
memoria privilegiada comando EXEC:
Switch # espectculo de memoria
Jefe
Total (b)
Processor2BF1A9C
205661540
I / OF000000
16769024
Te1800000 Conductor
4194304
Usado (b)
43619116
10503052
44
Paso 1
Comando
Propsito
Paso 2
new_configs cd
Paso 3
pwd
58-4
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajo con el sistema de archivos Flash
Paso 1
Comando
Propsito
Paso 2
old_configs mkdir
Paso 3
Verifique su entrada.
Para eliminar un directorio con todos sus archivos y subdirectorios, utilice la eliminar / fuerza / recursiva
sistema de archivos: / archivo-url comando EXEC privilegiado.
Utilice el / Recursiva palabra clave para borrar el directorio especificado ya sus subdirectorios y los archivos contenidos
en ella. Utilice el / Force palabra clave para reprimir el impulso que confirma una delecin de cada archivo en el
directorio. Se le pide una sola vez al inicio de este proceso de eliminacin. Utilice el / Force y
/ Recursiva palabras clave para eliminar imgenes de software que fueron instaladas mediante el uso de la Archivo
download-sw de comandos, pero ya no son necesarios.
Para sistema de archivos, uso Flash: para el dispositivo flash de la placa base. Para archivo-url, introduzca el nombre del directorio
que desea eliminar. Se quitan todos los archivos en el directorio y el directorio.
Precaucin Cuando se eliminan los archivos y directorios, sus contenidos no se pueden recuperar.
Copia de archivos
Para copiar un archivo de un origen a un destino, utilice el copia fuente-destino-url url EXEC privilegiado
de comandos. Para las direcciones URL de origen y destino, puede utilizar running-config y startup-config
accesos directos del teclado. Por ejemplo, la copy running-config startup-config comando guarda la actualidad
archivo de configuracin en ejecucin en la seccin NVRAM de memoria flash para ser utilizado como la configuracin durante
inicializacin del sistema.
Tambin puede copiar de los sistemas de archivos especiales (xmodem :, ymodem :) como la fuente para el archivo desde un
equipo de red que utiliza el protocolo Xmodem o Ymodem.
Red URLs del sistema de archivos incluyen ftp :, rcp :, y tftp: y tienen estas sintaxis:
58-5
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Existen algunas combinaciones no vlidas de origen y destino. En concreto, no se puede copiar estos
combinaciones:
Desde un dispositivo para el mismo dispositivo (por ejemplo, la copiar de flash: flash: comando no es vlido)
Para obtener ejemplos especficos del uso de la copia comando con los archivos de configuracin, consulte la "Trabajar con
Archivos de configuracin "en la pgina 58-9.
Para copiar imgenes de software, ya sea mediante la descarga de una nueva versin o por subir la existente, utilice el
archive download-sw o la archivo upload-sw comando EXEC privilegiado. Para obtener ms informacin, consulte
la Seccin "Trabajar con software de imgenes" en la pgina 58-25.
Eliminacin de
archivos
Cuando ya no necesite un archivo en un dispositivo de memoria flash, puede eliminarlo de forma permanente. Para eliminar un
archivo
o directorio desde un dispositivo flash especificado, utilice el eliminar [/ Force] [/ recursive] [sistema de archivos:] / archivo-url
comando EXEC privilegiado.
Utilice el / Recursiva palabra clave para borrar un directorio y todos los subdirectorios y los archivos contenidos en ella.
Utilice el / Force palabra clave para reprimir el impulso que confirma una eliminacin de cada archivo en el directorio.
Se le pide una sola vez al inicio de este proceso de eliminacin. Utilice el / Force y / Recursiva
palabras clave para eliminar imgenes de software que fueron instaladas mediante el uso de la archive download-sw
de comandos, pero ya no son necesarios.
Si omite el sistema de archivos: opcin, el conmutador utiliza el dispositivo predeterminado especificado por el cd de comandos.
Para
archivo-url, especifica que desea eliminar la ruta (directorio) y el nombre del archivo.
Cuando intenta eliminar todos los archivos, el sistema le pedir que confirme la eliminacin.
Este ejemplo muestra cmo eliminar el archivo myconfig desde el dispositivo de memoria flash por defecto:
Switch # eliminar myconfig
En lugar de utilizar el copia comando EXEC privilegiado o el Archivo comando privilegiado EXEC, nos
recomendar el uso de la archive download-sw y archivo upload-sw EXEC privilegiado manda
descargar y cargar archivos de imagen de software. Para pilas de conmutacin, la archive download-sw y Archivo
upload-sw comandos EXEC privilegiados slo se pueden utilizar a travs de la maestra de la pila. Imgenes de software
descargado a la maestra de la pila se descargan automticamente al resto de los miembros de la pila.
Para actualizar un interruptor de una imagen de software incompatible con, utilice el Archivo de copia-sw EXEC privilegiado
comando para copiar la imagen del software de un miembro de la pila existente al conmutador incompatible. Eso
interruptor de recarga automticamente y se une a la pila como un miembro de pleno funcionamiento.
58-6
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajo con el sistema de archivos Flash
Comenzando en el modo EXEC privilegiado, siga estos pasos para crear un archivo, muestre el contenido, y el extracto de
ella.
Paso 1
Comando
Propsito
FTP sintaxis:
ftp: [[// nombre de usuario [: directoriolocation] / contrasea]] / - nombre de
archivo.
Sintaxis RCP:
rcp: [[usuario @ // ubicacin] / directorio] / - nombre de archivo.
Paso 2
TFTP sintaxis:
tftp: [[// ubicacin] / directorio] / - nombre de archivo.
Para Flash: / archivo-url, especifique la ubicacin en el sistema de archivos flash local en el que
Se crea el nuevo archivo. Tambin puede especificar una lista opcional de archivos o directorios
dentro del directorio de origen para agregar al nuevo archivo. Si no se especifica ninguno, todos los
archivos
y directorios de este nivel se escriben en el archivo recin creado.
Mostrar el contenido de un archivo.
Para fuente-url, especificar el alias de URL de origen para el archivo local o de red
sistema. El -filename. es el archivo para mostrar. Estas opciones son compatibles:
FTP sintaxis:
ftp: [[// nombre de usuario [: directoriolocation] / contrasea]] / - nombre de
archivo.
Sintaxis RCP:
rcp: [[usuario @ // ubicacin] / directorio] / - nombre de archivo.
TFTP sintaxis:
tftp: [[// ubicacin] / directorio] / - nombre de archivo.
Tambin puede limitar el archivo muestra al especificar una lista de archivos o directorios
despus de que el archivo. Slo aparecen los archivos. Si no se especifica ninguno, todos los
archivos y
aparecen directorios.
58-7
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Paso 3
Comando
Propsito
FTP sintaxis:
ftp: [[// nombre de usuario [: directoriolocation] / contrasea]] / - nombre de
archivo.
Sintaxis RCP:
rcp: [[usuario @ // ubicacin] / directorio] / - nombre de archivo.
Paso 4
TFTP sintaxis:
tftp: [[// ubicacin] / directorio] / - nombre de archivo.
Para Flash: / archivo-url [Dir / archivo ...], especifique la ubicacin en el sistema de archivos flash
locales
de la que se extrae el archivo. Utilice el dir / archivo ... opcin para especificar una lista de archivos
o directorios dentro del archivo a extraer. Si no se especifica ninguno, todos los archivos y
directorios se extraen.
Mostrar el contenido de cualquier archivo legible, incluyendo un archivo en un archivo remoto
sistema.
Este ejemplo muestra cmo crear un archivo. Este comando escribe el contenido de la nuevos-configs directorio
en el dispositivo flash local a un archivo con el nombre salvado. en el servidor TFTP al 172.20.10.30:
Switch # Archivo / crear tftp: 172.20.10.30/saved. Flash: / nuevas configuraciones
Nota
Los siguientes ejemplos muestran salidas de conmutacin Catalyst 3750-E. Las salidas seran similares para el
Catalyst 3750-X y 3560-X.
Este ejemplo muestra cmo mostrar el contenido de un archivo de cambio que est en la memoria flash.
Switch # Archivo / table Flash: C3750E-universal-mz.122-35.SE2.
info (219 bytes)
-C3750E universal-mz.122-35.SE2 / (directorio)
-C3750E universal-mz.122-35.SE2 / html / (directorio)
-C3750E universal-mz.122-35.SE2 / html / foo.html (0 bytes)
-C3750E universal-mz.122-35.SE2 / C3750E-universal-mz.122-35.SE2.bin (610856 bytes)
C3750E-universal-mz.122-35.SE2 / Informacin (219 bytes)
Este ejemplo muestra cmo extraer el contenido de un archivo ubicado en el servidor TFTP al 172.20.10.30.
Switch # Archivo / Xtract tftp: /172.20.10.30/saved. Flash: / nuevas configuraciones
58-8
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
Este ejemplo muestra cmo mostrar el contenido de un archivo de configuracin en un servidor TFTP:
Switch # ms tftp: // Servera / Hampton / savedconfig
!
! Guardado
de configuracin en el servidor
!
versin
servicio 12.2
servicio marcas de tiempo de registro de fecha y hora
servicio localtime
servicio numerolinea
udp-small-servidores
!
<Salida pt-vty-tala
truncada>
Para obtener informacin acerca de los archivos de configuracin en pilas de conmutacin, consulte la "Cambiar los archivos de
configuracin de pila"
en la pgina 5-16.
Los archivos de configuracin contienen comandos entraron para personalizar la funcin del software Cisco IOS. A
manera de crear un archivo de configuracin bsica es utilizar la configuracin programar o para entrar en el configuracin EXEC
privilegiado
de comandos. Para obtener ms informacin, consulte Captulo 4, "Asignacin de la direccin IP del conmutador y por defecto
Gateway ".
Puede copiar (transferir) archivos de configuracin desde un servidor TFTP, FTP o servidor de RCP para el funcionamiento
configuracin configuracin o el inicio del switch. Es posible que desee realizar esta para uno de estos
razones:
Puede copiar archivos (upload) de configuracin del interruptor a un servidor de archivos mediante TFTP, FTP, o RCP.
Es posible realizar esta tarea de copia de seguridad de un archivo de configuracin actual en un servidor antes de cambiar su
contenidos de modo que usted puede restaurar posteriormente el archivo de configuracin original del servidor.
El protocolo que se utiliza depende del tipo de servidor que est utilizando. El FTP y transporte RCP
mecanismos proporcionan un rendimiento ms rpido y la entrega ms fiable de datos que TFTP. Estos
mejoras son posibles porque FTP y RCP se construyen en y usan la pila TCP / IP, que es
orientado a la conexin.
Estas secciones contienen esta informacin de configuracin:
58-9
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Nota
Le recomendamos que se conecta a travs del puerto de consola o puerto de administracin de Ethernet para la
configuracin inicial del interruptor. Si accede al conmutador a travs de una conexin de red
en lugar de a travs de una conexin directa con el puerto de consola o puerto de gestin Ethernet, tenga en cuenta
que algunos cambios en la configuracin (como el cambio de la direccin IP del switch o deshabilitar puertos) puede
causar una prdida de conectividad al conmutador.
Si no ha establecido una contrasea en el interruptor, le recomendamos que configure una mediante el uso de la enable secret
secreto-contrasea comando de configuracin global.
El copia {Ftp: | Rcp: | tftp:} sistema: running-config cargas comando EXEC privilegiado los
archivos de configuracin en el switch como si entraban los comandos en la lnea de comandos. El conmutador
no borra la configuracin activa existente antes de aadir los comandos. Si un comando en el
archivo de configuracin copiado reemplaza un comando en el archivo de configuracin existente, el comando existente es
borrado. Por ejemplo, si el archivo de configuracin copiado contiene una direccin IP diferente en una determinada
comando de la configuracin existente, se utiliza la direccin IP en la configuracin copiada. Sin embargo,
algunos comandos de la configuracin existente no pueden ser reemplazados o negados. En este caso, el resultante
archivo de configuracin es una mezcla del archivo de configuracin existente y el archivo de configuracin copiado, con
el archivo de configuracin copiado tener precedencia.
Para restaurar un archivo de configuracin de una copia exacta de un archivo almacenado en el servidor, copie el archivo de
configuracin
directamente a la configuracin de inicio (mediante el uso de la copia {Ftp: | Rcp: | tftp:} nvram: startup-config
comando privilegiado EXEC), y volver a cargar el switch.
58-10
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
Paso 1
Paso 2
Abra el archivo de configuracin en un editor de texto, como vi o emacs en UNIX o el Bloc de notas en un PC.
Paso 3
Extraer la parte del archivo de configuracin con los comandos deseados, y guardarlo en un archivo nuevo.
Paso 4
Copie el archivo de configuracin para la ubicacin del servidor apropiado. Por ejemplo, copie el archivo en el TFTP
directorio en la estacin de trabajo (por lo general / Tftpboot en una estacin de trabajo UNIX).
Paso 5
Antes de empezar a descargar o cargar un archivo de configuracin mediante TFTP, realice estas tareas:
Asegrese de que la estacin de trabajo que acta como servidor TFTP est configurado correctamente. En una estacin de
trabajo Sun,
asegrese de que el archivo /etc/inetd.conf contiene esta lnea:
dgram udp wait root tftp /usr/etc/in.tftpd in.tftpd -p s / tftpboot
Nota
Debe reiniciar el daemon inetd despus de modificar el /etc/inetd.conf y / archivos etc / services.
Para reiniciar el demonio, ya sea detener el proceso inetd y reiniciarlo, o introduzca un fastboot
comando (en el SunOS 4.x) o una reboot comando (en Solaris 2.x o SunOS 5.x). Para obtener ms
informacin sobre el daemon TFTP, consulte la documentacin de su estacin de trabajo.
Asegrese de que el interruptor tiene una ruta al servidor TFTP. El switch y el servidor TFTP deben estar en
la misma subred si no tienes un router para enrutar el trfico entre las subredes. Comprobar la conectividad
al servidor TFTP mediante el uso de la de ping de comandos.
58-11
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Asegrese de que el archivo de configuracin para ser descargado en el directorio correcto en el servidor TFTP
(Generalmente / Tftpboot en una estacin de trabajo UNIX).
Para las operaciones de descarga, asegrese de que los permisos del archivo se han establecido correctamente. El permiso
en el archivo debera ser lectura mundo.
Antes de cargar el fichero de configuracin, es posible que deba crear un archivo vaco en el servidor TFTP.
Para crear un archivo vaco, ingrese el tocar nombre de archivo comando, donde nombre de archivo es el nombre del archivo
que va a utilizar cuando subindolo al servidor.
Durante las operaciones de carga, si va a sobrescribir un archivo existente (incluyendo un archivo vaco, si tuvieras
para crear uno) en el servidor, asegrese de que los permisos del archivo se han establecido correctamente. Los permisos en
el archivo debe ser mundial-escritura.
Paso 1
Paso 2
Verifique que el servidor TFTP est configurado apropiadamente de acuerdo a la "Preparacin para la descarga o carga
un archivo de configuracin mediante TFTP seccin "en la pgina 58-11.
Paso 3
Inicie sesin en el switch a travs del puerto de consola, el puerto de administracin de Ethernet, o una sesin de Telnet.
Paso 4
copy tftp: [[[// ubicacin] / directorio] / nombre de archivo] flash [n]: / directorio / startup-config
Nota
Slo se puede entrar en el flashN parmetro (por ejemplo, flash3) el Catalyst 3750-E interruptores.
Las descargas de archivos de configuracin y los comandos se ejecutan como el archivo se analiza lnea por lnea.
Este ejemplo muestra cmo configurar el software desde el archivo tokyo-confg en la direccin IP 172.16.2.155:
Switch # copy tftp: sistema //172.16.2.155/tokyo-confg: running-config
Configure utilizando tokyo-confg de 172.16.2.155? [Confirm] y
Arrancar tokyo-confg de 172.16.2.155: !!! [OK - 874/16000 bytes]
58-12
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
Verifique que el servidor TFTP est configurado apropiadamente de acuerdo a la "Preparacin para la descarga o carga
un archivo de configuracin mediante TFTP seccin "en la pgina 58-11.
Paso 2
Inicie sesin en el switch a travs del puerto de consola, el puerto de administracin de Ethernet, o una sesin de Telnet.
Paso 3
Sube la configuracin del switch al servidor TFTP. Especifique la direccin IP o nombre de host del TFTP
servidor y el nombre del archivo de destino.
Utilice uno de estos comandos EXEC privilegiados:
flash de copia [n]: / directorio / startup-config tftp: [[[// ubicacin] / directorio] / nombre de archivo]
Nota
Slo se puede entrar en el flashN parmetro (por ejemplo, flash3) el Catalyst 3750-E interruptores.
Este ejemplo muestra cmo cargar un archivo de configuracin desde un interruptor a un servidor TFTP:
Switch # sistema de copia: running-config tftp: //172.16.2.155/tokyo-confg
Escribir archivo tokyo-confg en el host 172.16.2.155? [Confirm] y
#
Escribir tokyo-confg !!! [Okay]
El nombre de usuario establecido por el ip nombre de usuario ftp nombre de usuario comando de configuracin global si el
comando
est configurado.
Annimo.
La contrasea establecida por el ip contrasea ftp contrasea comando de configuracin global si el comando
est configurado.
58-13
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
El nombre de usuario y la contrasea deben estar asociados a una cuenta en el servidor FTP. Si usted est escribiendo a
el servidor, el servidor FTP debe estar bien configurado para aceptar su peticin FTP escritura.
Utilice el ip nombre de usuario ftp y ip contrasea ftp comandos para especificar un nombre de usuario y contrasea para todos
copias. Incluya el nombre de usuario en el copia comando si desea especificar slo un nombre de usuario para esa copia
operacin.
Si el servidor tiene una estructura de directorios, el archivo de configuracin est escrito o copiado del directorio
asociado con el nombre de usuario en el servidor. Por ejemplo, si el archivo de configuracin reside en el hogar
directorio de un usuario en el servidor, especifique el nombre de ese usuario como el nombre de usuario remoto.
Para obtener ms informacin, consulte la documentacin de su servidor FTP.
Estas secciones contienen esta informacin de configuracin:
Asegrese de que el interruptor tiene una ruta al servidor FTP. El switch y el servidor FTP deben estar en el
misma subred si no tienes un router para enrutar el trfico entre las subredes. Comprobar la conexin a
el servidor FTP mediante el uso de la de ping de comandos.
Si accede al conmutador a travs de la consola o una sesin de Telnet y usted no tiene una cuenta de
nombre de usuario, asegrese de que el actual nombre de usuario FTP es la que desea utilizar para el FTP
descargar. Usted puede entrar en el Mostrar usuarios comando privilegiado EXEC para ver el nombre de usuario vlido. Si
usted no desea utilizar este nombre de usuario, crear un nuevo nombre de usuario FTP utilizando el ip nombre de usuario ftp
nombre de usuario comando de configuracin global durante todas las operaciones de copia. El nuevo nombre de usuario se
almacena en
NVRAM. Si accede al conmutador a travs de una sesin de Telnet y usted tiene un nombre de usuario vlido,
se utiliza este nombre de usuario, y no es necesario para establecer el nombre de usuario FTP. Incluya el nombre de usuario en
el
copia comando si desea especificar un nombre de usuario para slo esa operacin de copia.
Cuando se carga un archivo de configuracin en el servidor FTP, debe estar bien configurado para aceptar la
escribir peticin del usuario en el interruptor.
Comenzando en el modo EXEC privilegiado, siga estos pasos para descargar un archivo de configuracin mediante el uso de FTP:
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
58-14
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
Comando
Propsito
(Opcional) Cambie el nombre de usuario remoto predeterminado.
Paso 5
Paso 6
fin
Paso 7
Paso 4
o
copia
ftp: [[[// [nombre de usuario [: contrasea] @] Ubicacin] / directorio]
/ Filename] nvram: startup-config
Este ejemplo muestra cmo copiar un archivo de configuracin llamado host1-confg Del netadmin1 directorio
en el servidor remoto con una direccin IP de 172.16.101.101 y para cargar y ejecutar esos comandos en el
cambiar:
Switch # copia ftp: // netadmin1: sistema mypass@172.16.101.101/host1-confg: running-config
Configure utilizando host1-confg de 172.16.101.101? [Confirm]
Conectado a 172.16.101.101
Cargando 1112 archivo byte host1-confg: [OK]
Switch #
% SYS-5-CONFIG: Configurado desde host1-config por ftp desde 172.16.101.101
Este ejemplo muestra cmo especificar un nombre de usuario remoto de netadmin1. El software copia los
archivo de configuracin host2-confg Del netadmin1 directorio en el servidor remoto con una direccin IP
de 172.16.101.101 a la configuracin de inicio del switch.
Switch # configure terminal
Switch (config) # ip ftp nombre de usuario netadmin1
Switch (config) # ip ftp mypass contrasea
Switch (config) # fin
Switch # copia ftp: nvram: startup-config
Direccin de host remoto [255.255.255.255]? 172.16.101.101
Nombre del archivo de configuracin [RTR2-confg]? host2-confg
Configure utilizando host2-confg de 172.16.101.101?[confirm]
Conectado a 172.16.101.101
Cargando 1112 archivo byte host2-confg: [OK]
[Okay]
Switch #
% SYS-5-CONFIG_NV: almacenamiento no voltil configurado desde host2-config por ftp desde
172.16.101.101
58-15
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Comenzando en el modo EXEC privilegiado, siga estos pasos para cargar un archivo de configuracin mediante el uso de FTP:
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
Paso 4
Paso 5
Paso 6
fin
Paso 7
Este ejemplo muestra cmo copiar el archivo de configuracin en ejecucin llamado switch2-confg a la netadmin1
directorio en el host remoto con una direccin IP de 172.16.101.101:
Switch # sistema de copia: ftp running-config: // netadmin1: mypass@172.16.101.101/switch2-confg
Escribir archivo switch2-confg en 172.16.101.101?[confirm anfitrin]
Building configuration ... [OK]
Conectado a 172.16.101.101
Switch #
Este ejemplo muestra cmo almacenar un archivo de configuracin de inicio en un servidor mediante FTP para copiar el archivo:
Switch # configure terminal
Switch (config) # ip ftp nombre de usuario netadmin2
Switch (config) # ip ftp mypass contrasea
Switch (config) # fin
Switch # copiar nvram: startup-config ftp:
Host remoto []? 172.16.101.101
Nombre del archivo de configuracin para escribir [switch2-confg]?
Escribir archivo switch2-confg en 172.16.101.101?[confirm anfitrin]
! [Okay]
58-16
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
El nombre de usuario establecido por el ip rcmd remoto nombre de usuario nombre de usuario comando de configuracin
global si el
comando est configurado.
El nombre de usuario remoto asociado con el actual proceso TTY (terminal). Por ejemplo, si el usuario
est conectado al router a travs de Telnet y fue autenticado a travs del nombre de usuario comando,
el software del conmutador enva el nombre de usuario Telnet como el nombre de usuario remoto.
Para una solicitud de copia RCP exitosa, debe definir una cuenta en el servidor de red para el control remoto
nombre de usuario. Si el servidor tiene una estructura de directorios, el archivo de configuracin est escrito o copiado del
directorio asociado con el nombre de usuario remoto en el servidor. Por ejemplo, si el archivo de configuracin se encuentra en
el directorio principal de un usuario en el servidor, especifique el nombre de ese usuario como el nombre de usuario remoto.
Estas secciones contienen esta informacin de configuracin:
Antes de empezar a descargar o cargar un archivo de configuracin mediante el uso de RCP, hacer estas tareas:
Asegrese de que la estacin de trabajo que acta como servidor RCP apoya el shell remoto (rsh).
Asegrese de que el interruptor tiene una ruta al servidor de RCP. El switch y el servidor deben estar en la misma
subred si no tienes un router para enrutar el trfico entre las subredes. Comprobar la conexin a
Servidor de RCP utilizando el de ping de comandos.
Si accede al conmutador a travs de la consola o una sesin de Telnet y usted no tiene una cuenta de
nombre de usuario, asegrese de que el nombre del usuario actual RCP es el que desea utilizar para la RCP
descargar. Usted puede entrar en el Mostrar usuarios comando privilegiado EXEC para ver el nombre de usuario vlido. Si
usted no desea utilizar este nombre de usuario, crear un nuevo nombre de usuario mediante el uso de la RCP ip rcmd
remote-nombre de usuario nombre de usuario comando de configuracin global que se utilizar durante todas las operaciones
de copia.
El nuevo nombre de usuario se almacena en la NVRAM. Si accede al conmutador a travs de una sesin de Telnet
y usted tiene un nombre de usuario vlido, se utiliza este nombre de usuario, y que no es necesario para establecer el nombre de
usuario RCP.
Incluya el nombre de usuario en el copia comando si desea especificar un nombre de usuario para que slo copia
operacin.
58-17
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Al cargar un archivo al servidor RCP, debe estar correctamente configurado para aceptar la escritura RCP
solicitud del usuario en el interruptor. Para los sistemas UNIX, debe aadir una entrada al archivo .rhosts para
el usuario remoto en el servidor de RCP. Por ejemplo, supongamos que el interruptor contiene estos
lneas de configuracin:
Switch1 nombre de host
ip rcmd remoto nombre de usuario USER0
Si la direccin IP del switch se traduce en Switch1.company.com, el archivo de .rhosts para USER0 en el RCP
servidor debe contener la siguiente lnea:
Switch1.company.com Switch1
Comenzando en el modo EXEC privilegiado, siga estos pasos para descargar un archivo de configuracin mediante el uso de RCP:
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
Paso 4
Paso 5
fin
Paso 6
copia
El uso de RCP, copie el archivo de configuracin de una red
rcp: [[[// [usuario @] Ubicacin] / directorio] / nombre de archivo]servidor para la configuracin en ejecucin o para la puesta en marcha
archivo de configuracin.
sistema: running-config
o
copia
rcp: [[[// [usuario @] Ubicacin] / directorio] / nombre de archivo]
nvram: startup-config
Este ejemplo muestra cmo copiar un archivo de configuracin llamado host1-confg Del netadmin1 directorio
en el servidor remoto con una direccin IP de 172.16.101.101 y carga y ejecuta los comandos en el
cambiar:
Switch # copia rcp: sistema de //netadmin1@172.16.101.101/host1-confg: running-config
Configure utilizando host1-confg de 172.16.101.101? [Confirm]
Conectado a 172.16.101.101
Cargando 1112 archivo byte host1-confg: [OK]
Switch #
% SYS-5-CONFIG: Configurado desde host1-config por rcp desde 172.16.101.101
58-18
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
Este ejemplo muestra cmo especificar un nombre de usuario remoto de netadmin1. Entonces copia la configuracin
archivo host2-confg Del netadmin1 directorio en el servidor remoto con una direccin IP de 172.16.101.101
a la configuracin de inicio:
Switch # configure terminal
Switch (config) # ip rcmd remoto nombre de usuario netadmin1
Switch (config) # fin
Switch # copia rcp: nvram: startup-config
Direccin de host remoto [255.255.255.255]? 172.16.101.101
Nombre del archivo de configuracin [RTR2-confg]? host2-confg
Configure utilizando host2-confg de 172.16.101.101?[confirm]
Conectado a 172.16.101.101
Cargando 1112 archivo byte host2-confg: [OK]
[Okay]
Switch #
% SYS-5-CONFIG_NV: almacenamiento no voltil configurado desde host2-config por rcp desde
172.16.101.101
Comenzando en el modo EXEC privilegiado, siga estos pasos para cargar un archivo de configuracin mediante el uso de RCP:
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
Paso 4
Paso 5
fin
Paso 6
Este ejemplo muestra cmo copiar el archivo de configuracin en ejecucin llamado switch2-confg a la netadmin1
directorio en el host remoto con una direccin IP de 172.16.101.101:
Switch # sistema de copia: running-config rcp: //netadmin1@172.16.101.101/switch2-confg
Escribir archivo de conexin confg en 172.16.101.101?[confirm anfitrin]
Building configuration ... [OK]
Conectado a 172.16.101.101
Switch #
58-19
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Precaucin No se puede restaurar el archivo de configuracin inicial despus de haber sido eliminado.
Para eliminar una configuracin guardada desde la memoria flash, utilice el eliminar el flash: el nombre de archivo EXEC
privilegiado
de comandos. Dependiendo de la configuracin de la smbolo del archivo comando de configuracin global, es posible que
le solicite la confirmacin antes de eliminar un archivo. Por defecto, el interruptor solicita su confirmacin en
operaciones con archivos destructivos. Para obtener ms informacin acerca de la smbolo del archivo comando, consulte la Cisco
IOS
Referencia de comandos para versin 12.4.
58-20
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
El copia fuente-url running-config comando es una operacin de combinacin y preserva todos los comandos
tanto desde el archivo de origen y la configuracin en ejecucin. Este comando no elimina comandos
desde la configuracin en ejecucin que no estn presentes en el archivo de origen. En contraste, la configurar
reemplazar objetivo-url comando elimina comandos de la configuracin en ejecucin que no estn presentes
en el archivo de sustitucin y agrega comandos a la configuracin en ejecucin que no estn presentes.
Puede utilizar un archivo de configuracin parcial como archivo de origen para la copia fuente-url running-config
de comandos. Debe utilizar un archivo de configuracin completa que el archivo de reemplazo para el configurar
reemplazar objetivo-url de comandos.
58-21
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Restablecimiento de una
configuracin
Tambin puede utilizar el configurar reemplazar comando para deshacer los cambios que se hicieron desde el anterior
se salv de configuracin. En lugar de basar la operacin de reversin en un conjunto especfico de los cambios que estaban
aplicada, la capacidad de reversin de configuracin vuelve a una configuracin especfica basada en una salvado
archivo de configuracin.
Si desea que el poder revertirla configuracin, primero debe guardar la configuracin en ejecucin antes de
hacer cambios en la configuracin. Entonces, despus de entrar en los cambios de configuracin, puede utilizar esa salvos
archivo de configuracin para hacer retroceder los cambios mediante el uso de la configurar reemplazar objetivo-url de comandos.
Puede especificar cualquier archivo de configuracin guardado como la configuracin de reversin. Usted no est limitado a un fijo
nmero de retrocesos, como es el caso de algunos modelos de rollback.
Directrices de configuracin
Siga estas pautas al configurar y realizar la sustitucin de configuracin y rollback:
Asegrese de que el interruptor tiene memoria libre ms grande que el tamao combinado de la configuracin de dos
archivos (la configuracin en ejecucin y la configuracin de reemplazo salvado). De lo contrario, la
operacin de sustitucin de configuracin falla.
Asegrese de que el interruptor tambin tiene suficiente memoria libre para ejecutar la sustitucin de configuracin
o deshacer comandos de configuracin.
Ciertos comandos de configuracin, tales como las relativas a los componentes fsicos de una red
dispositivo (por ejemplo, las interfaces fsicas), no pueden ser aadidos o eliminados de la carrera
configuracin.
-Una operacin de sustitucin de configuracin no puede eliminar el interfaz interface-id lnea de comandos
Nota
Cuando se utiliza el configurar reemplazar comando, debe especificar una configuracin guardada como la
archivo de configuracin del reemplazo para la configuracin en ejecucin. El archivo de sustitucin debe ser un
configuracin completa generada por un dispositivo Cisco IOS (por ejemplo, una configuracin generada por
la copy running-config destino-url comando).
Si genera el archivo de configuracin de sustitucin externamente, debe cumplir con el formato de archivos
generada por los dispositivos Cisco IOS.
58-22
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con archivos de configuracin
Comando
Propsito
Paso 1
configure terminal
Paso 2
Archivo
Paso 3
camino url
Paso 4
mxima nmero
Paso 5
tiempo-perodo minutos
Paso 6
fin
Paso 7
show running-config
Verifique la configuracin.
Paso 8
copy running-config
startup-config
Paso 1
Comando
Propsito
config Archivo
Paso 2
configure terminal
Paso 3
Paso 4
Salida
58-23
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Paso 5
Comando
Propsito
configurar confirmar
Paso 7
copy running-config
startup-config
Utilice este comando slo si el tiempo segundos palabra clave y los argumentos de
la configurar reemplazar se especifican comando.
58-24
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
Nota
En lugar de utilizar el copia comando EXEC privilegiado o el tar archivo comando privilegiado EXEC, nos
recomendar el uso de la archive download-sw y archivo upload-sw EXEC privilegiado manda
descargar y cargar archivos de imagen de software. Para pilas de conmutacin, la archive download-sw y Archivo
upload-sw comandos EXEC privilegiados slo se pueden utilizar a travs de la maestra de la pila. Imgenes de software
descargado a la maestra de la pila se descargan automticamente al resto de los miembros de la pila.
Cuando una pila de energa contiene miembros sin una fuente de alimentacin, utilice el archive download-sw
/ Force-reload-ucode comando privilegiado EXEC para descargar los archivos de imgenes de software.
Para actualizar un interruptor de una imagen de software incompatible con, utilice el Archivo de copia-sw EXEC privilegiado
comando para copiar la imagen del software de un miembro de la pila existente al conmutador incompatible. Eso
interruptor de recarga automticamente y se une a la pila como un miembro de pleno funcionamiento.
Puede descargar un archivo de imagen cambio de un TFTP, FTP o servidor de RCP para actualizar el software del conmutador.
Si usted no tiene acceso a un servidor TFTP, puede descargar un archivo de imagen de software directamente en tu PC
o estacin de trabajo mediante el uso de un navegador Web (HTTP) y luego utilizando el administrador de dispositivos o la red de
Cisco
Asistente para actualizar su interruptor. Para obtener informacin sobre la actualizacin del interruptor mediante el uso de un
servidor TFTP
o un navegador Web (HTTP), ver las notas de la versin.
Puede sustituir la imagen actual por uno nuevo o mantener la imagen actual en la memoria flash despus de un
descargar.
Puede utilizar el archive download-sw / allow-funcin-upgrade comando privilegiado EXEC para permitir
instalacin de una imagen con un conjunto de caractersticas diferentes, por ejemplo, la actualizacin de la imagen universal a
los servicios IP cuentan con set. Tambin puede utilizar el de arranque auto-descarga-sw comando de configuracin global
para especificar una URL a utilizar para obtener una imagen de las actualizaciones de software automticas. Al entrar en este
comando,
el interruptor general utiliza esta URL en caso de un conflicto de versiones.
Cargar un archivo de imagen de cambio a un TFTP, FTP o servidor de RCP para fines de respaldo. Usted puede utilizar esta
imagen cargada para futuras descargas al mismo conmutador oa otro del mismo tipo.
El protocolo que se utiliza depende de qu tipo de servidor que est utilizando. El FTP y transporte RCP
mecanismos proporcionan un rendimiento ms rpido y la entrega ms fiable de datos que TFTP. Estos
mejoras son posibles porque FTP y RCP se construyen en y usan la pila TCP / IP, que es
orientado a la conexin.
Estas secciones contienen esta informacin de configuracin:
58-25
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Nota
Para obtener una lista de imgenes de software y las rutas de actualizacin admitidas, consulte las notas de la
versin.
Ubicacin de la imagen en el
switch
La imagen de Cisco IOS se almacena como una .bin presentar en un directorio que muestra el nmero de versin. Un subdirectorio
contiene los archivos necesarios para la gestin web. La imagen se almacena en la memoria flash placa del sistema
(Flash :).
Puede utilizar el show version comando privilegiado EXEC para ver la versin del software que est actualmente
que se ejecuta en el conmutador. En la pantalla, marque la lnea que comienza con Archivo de imagen del sistema es ... . Es
muestra el nombre del directorio en la memoria flash en la que se almacena la imagen.
Tambin puede utilizar el dir sistema de archivos: comando privilegiado EXEC para ver los nombres de los directorios de otros
imgenes de software que usted puede ser que haya almacenado en la memoria flash. Puede utilizar el archive download-sw
Directorio / comando EXEC privilegiado para especificar un directorio una vez seguido de un archivo tar o una lista de archivos tar
para ser descargado en lugar de especificar rutas completas con cada archivo tar. Por ejemplo, en un mezclado
pila de hardware, puede introducir archive download-sw / directorio tftp: //10.1.1.10/
C3750-ipservices-tar.122-35.SE.tar-C3750E universal-tar.122-35.SE2.tar.
Un info archivo, que sirve como una tabla de contenido para el archivo
Uno o varios subdirectorios que contienen otras imgenes y archivos, como imgenes y web de Cisco IOS
Archivos de gestin
Este ejemplo muestra parte de la informacin contenida en un archivo de informacin. Tabla 58-3 proporciona adicional
detalles acerca de esta informacin:
system_type: 0x00000000: C3750E-universal-mz.122-35.SE2
image_family: C3750E
stacking_number: 1.9
info_end:
version_suffix: universal-mz.122-35.SE2
version_directory: C3750E-universal-mz.122-35.SE2
image_system_type_id: 0x00000000
nombre_imagen: C3750E-universal-mz.122-35.SE2.bin
ios_image_file_size: 6398464
total_image_file_size: 8133632
image_feature: IP | LAYER_3 | PLUS | MIN_DRAM_MEG = 128
image_family: C3750E
stacking_number: 1.9
board_ids: 0x401100c4 0x00000000 0x00000001 0x00000003 0x00000002 0x00008000 0x00008002
0x40110000
info_end:
Nota
58-26
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
Tabla 58-3
Campo
Descripcin
version_suffix
version_directory
nombre_imagen
ios_image_file_size
Especifica el tamao de la imagen de Cisco IOS en el archivo, que es una medida aproximada del flash
memoria que necesita la imagen de Cisco IOS.
total_image_file_size
Especifica el tamao de todas las imgenes (la imagen del IOS de Cisco y los archivos de administracin web) en el
archivo, que es una medida aproximada de la memoria flash sea necesario.
image_feature
image_min_dram
Especifica la cantidad mnima de memoria DRAM necesario para ejecutar esta imagen
image_family
En lugar de utilizar el copia comando EXEC privilegiado o el tar archivo comando privilegiado EXEC, nos
recomendar el uso de la archive download-sw y archivo upload-sw EXEC privilegiado manda
descargar y cargar archivos de imagen de software. Para pilas de conmutacin, la archive download-sw y Archivo
upload-sw comandos EXEC privilegiados slo se pueden utilizar a travs de la maestra de la pila. Imgenes de software
descargado a la maestra de la pila se descargan automticamente al resto de los miembros de la pila.
Para actualizar un interruptor de una imagen de software incompatible con, utilice el Archivo de copia-sw EXEC privilegiado
comando para copiar la imagen del software de un miembro de la pila existente al conmutador incompatible. Eso
interruptor de recarga automticamente y se une a la pila como un miembro de pleno funcionamiento.
Preparacin para descargar o cargar un archivo de imagen mediante el uso de TFTP, pgina 58-28
58-27
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Antes de empezar a descargar o cargar un archivo de imagen mediante el uso de TFTP, realice estas tareas:
Asegrese de que la estacin de trabajo que acta como servidor TFTP est configurado correctamente. En una estacin de
trabajo Sun,
asegrese de que el archivo /etc/inetd.conf contiene esta lnea:
dgram udp wait root tftp /usr/etc/in.tftpd in.tftpd -p s / tftpboot
Nota
Debe reiniciar el daemon inetd despus de modificar el /etc/inetd.conf y / archivos etc / services.
Para reiniciar el demonio, ya sea detener el proceso inetd y reiniciarlo, o introduzca un fastboot
comando (en el SunOS 4.x) o una reboot comando (en Solaris 2.x o SunOS 5.x). Para obtener ms
informacin sobre el daemon TFTP, consulte la documentacin de su estacin de trabajo.
Asegrese de que el interruptor tiene una ruta al servidor TFTP. El switch y el servidor TFTP deben estar en
la misma subred si no tienes un router para enrutar el trfico entre las subredes. Comprobar la conectividad
al servidor TFTP mediante el uso de la de ping de comandos.
Asegrese de que la imagen que se est descargado en el directorio correcto en el servidor TFTP (normalmente
/ Tftpboot en una estacin de trabajo UNIX).
Para las operaciones de descarga, asegrese de que los permisos del archivo se han establecido correctamente. El permiso
en el archivo debera ser lectura mundo.
Antes de cargar el archivo de imagen, es posible que deba crear un archivo vaco en el servidor TFTP. Para
crear un archivo vaco, ingrese el tocar nombre de archivo comando, donde nombre de archivo es el nombre del archivo que
utilizar al cargar la imagen al servidor.
Durante las operaciones de carga, si va a sobrescribir un archivo existente (incluyendo un archivo vaco, si tuvieras
para crear uno) en el servidor, asegrese de que los permisos del archivo se han establecido correctamente. Los permisos en
el archivo debe ser mundial-escritura.
Puede descargar un archivo de imagen y sustituir la imagen actual o guardar la imagen actual.
Comenzando en el modo EXEC privilegiado, siga los pasos 1 a 3 para descargar una nueva imagen a partir de un TFTP
servidor y sobrescribir la imagen existente. Para mantener la imagen actual, siga los pasos 1, 2 y 4.
Comando
Paso 1
Paso 2
Propsito
Copie la imagen en el directorio TFTP apropiado en el
estacin de trabajo. Asegrese de que el servidor TFTP est configurado correctamente;
ver
la "Preparacin para descargar o cargar un archivo de imagen mediante el uso de
Seccin TFTP "en la pgina 58-28.
Inicie sesin en el switch a travs del puerto de consola, el Ethernet
Puerto de administracin, o una sesin de Telnet.
58-28
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
Paso 3
Paso 4
Comando
Propsito
archive download-sw
/ Allow-funcin-upgrade [/ Directorio]
/ Sobreescritura / recarga
tftp: [[// ubicacin] / directorio] /image-name1.tar
[Imagen-name2.tar imagen-name3.tar
imagen-name4.tar]
El algoritmo de descarga verifica que la imagen es apropiada para el modelo de interruptor y que lo suficientemente
DRAM est presente, o se aborta el proceso y notifica un error. Si especifica el / Sobrescribir opcin, el
descarga algoritmo elimina la imagen existente en el dispositivo de flash si es o no es el mismo que el
uno nuevo, descarga la nueva imagen, y luego vuelve a cargar el software.
Nota
Si el dispositivo flash dispone de espacio suficiente para almacenar dos imgenes y desea sobrescribir una de estas imgenes
con la misma versin, se debe especificar el / Sobrescribir opcin.
Si especifica el / Dejar-de edad, sw, los archivos existentes no se eliminan. Si no hay suficiente espacio para instalar
la nueva imagen y mantener la imagen corriente de funcionamiento, el proceso de descarga se detiene, y un mensaje de error es
visualizada.
58-29
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
El algoritmo se instala la imagen descargada en el dispositivo flash de la placa del sistema (flash :). La imagen es
colocado en un nuevo directorio llamado con la cadena de versin de software, y la variable de entorno BOOT
se actualiza para que apunte a la imagen que acaba de instalar.
Si se queda con la vieja imagen durante el proceso de descarga (que ha especificado el / Dejar-old-sw palabra clave), que
puede quitarlo mediante la introduccin de la eliminar / fuerza / recursiva sistema de archivos: / archivo-url comando EXEC
privilegiado.
Para sistema de archivos, uso Flash: para el dispositivo flash de la placa base. Para archivo-url, introducir el nombre del directorio
del
vieja imagen. Se quitan todos los archivos en el directorio y el directorio.
Precaucin Para los algoritmos de carga y descarga para operar adecuadamente, hacer no cambiar el nombre de los nombres de
imagen.
Puedes subir una imagen desde el cambio a un servidor TFTP. Ms tarde, puede descargar esta imagen a la
o cambiar a otro conmutador del mismo tipo.
Utilice la funcin de carga slo si las pginas web de gestin asociados con el administrador de dispositivos embebidos
se han instalado con la imagen existente.
Comenzando en el modo EXEC privilegiado, siga estos pasos para subir una imagen a un servidor TFTP:
Comando
Propsito
Paso 1
Paso 2
Paso 3
archivo upload-sw
tftp: [[// ubicacin] / directorio] /image-name.tar
El archivo upload-sw comando privilegiado EXEC construye un archivo de imagen en el servidor mediante la subida de stos
archivos en orden: info, la imagen de Cisco IOS, y los archivos de gestin web. Despus de estos archivos se cargan,
el algoritmo de carga crea el formato de archivo.
Precaucin Para los algoritmos de carga y descarga para operar adecuadamente, hacer no cambiar el nombre de los nombres de
imagen.
58-30
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
En lugar de utilizar el copia comando EXEC privilegiado o el tar archivo comando privilegiado EXEC, nos
recomendar el uso de la archive download-sw y archivo upload-sw EXEC privilegiado manda
descargar y cargar archivos de imagen de software. Para pilas de conmutacin, la archive download-sw y Archivo
upload-sw comandos EXEC privilegiados slo se pueden utilizar a travs de la maestra de la pila. Imgenes de software
descargado a la maestra de la pila se descargan automticamente al resto de los miembros de la pila.
Para actualizar un interruptor de una imagen de software incompatible con, utilice el Archivo de copia-sw EXEC privilegiado
comando para copiar la imagen del software de un miembro de la pila existente al conmutador incompatible. Eso
interruptor de recarga automticamente y se une a la pila como un miembro de pleno funcionamiento.
Preparacin para descargar o cargar un archivo de imagen mediante el uso de FTP, pgina 58-31
El protocolo FTP requiere un cliente para enviar un nombre de usuario y la contrasea remota en cada peticin FTP a un
servidor. Al copiar un archivo de imagen desde el cambio a un servidor mediante FTP, el software Cisco IOS
enva el primer nombre de usuario vlido en esta lista:
El nombre de usuario establecido por el ip nombre de usuario ftp nombre de usuario comando de configuracin global si el
comando
est configurado.
Annimo.
La contrasea establecida por el ip contrasea ftp contrasea comando de configuracin global si el comando
est configurado.
El nombre de usuario y la contrasea deben estar asociados a una cuenta en el servidor FTP. Si usted est escribiendo a
el servidor, el servidor FTP debe estar bien configurado para aceptar la peticin FTP escritura de usted.
58-31
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Utilice el ip nombre de usuario ftp y ip contrasea ftp comandos para especificar un nombre de usuario y contrasea para todos
copias. Incluya el nombre de usuario en el archive download-sw o archivo upload-sw EXEC privilegiado
comando si desea especificar un nombre de usuario nico para esa operacin.
Si el servidor tiene una estructura de directorios, el archivo de imagen est escrito o copiado del directorio asociado
con el nombre de usuario en el servidor. Por ejemplo, si el archivo de imagen se encuentra en el directorio personal de un usuario
en el servidor, especifique el nombre de ese usuario como el nombre de usuario remoto.
Antes de empezar a descargar o cargar un archivo de imagen mediante el uso de FTP, hacer estas tareas:
Asegrese de que el interruptor tiene una ruta al servidor FTP. El switch y el servidor FTP deben estar en el
misma subred si no tienes un router para enrutar el trfico entre las subredes. Comprobar la conexin a
el servidor FTP mediante el uso de la de ping de comandos.
Si accede al conmutador a travs de la consola o una sesin de Telnet y usted no tiene una cuenta de
nombre de usuario, asegrese de que el actual nombre de usuario FTP es la que desea utilizar para el FTP
descargar. Usted puede entrar en el Mostrar usuarios comando privilegiado EXEC para ver el nombre de usuario vlido. Si
usted no desea utilizar este nombre de usuario, crear un nuevo nombre de usuario FTP utilizando el ip nombre de usuario ftp
nombre de usuario comando de configuracin global. Este nuevo nombre se utilizar durante todas las operaciones de archivo.
El nuevo nombre de usuario se almacena en la NVRAM. Si accede al conmutador a travs de una sesin de Telnet
y usted tiene un nombre de usuario vlido, se utiliza este nombre de usuario, y que no es necesario para establecer el nombre de
usuario FTP.
Incluya el nombre de usuario en el archive download-sw o archivo upload-sw EXEC privilegiado
comando si desea especificar un nombre de usuario para slo esa operacin.
Al cargar un archivo de imagen al servidor FTP, debe estar bien configurado para aceptar la escritura
solicitud del usuario en el interruptor.
Puede descargar un archivo de imagen nuevo y sobreescribir la imagen actual o guardar la imagen actual.
Comenzando en el modo EXEC privilegiado, siga los pasos 1 a 7 para descargar una nueva imagen desde un FTP
servidor y sobrescribir la imagen existente. Para mantener la imagen actual, siga los pasos 1 a 6 y el paso 8.
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
Paso 4
Paso 5
Paso 6
fin
58-32
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
Paso 7
Paso 8
Comando
Propsito
Para /directory/image-name1.tar
[/directory/image-Name2.tar imagen-name3.tar
imagen-name4.tar], especificar el directorio (opcional) y el
imgenes para descargar. Los nombres de directorio y de imagen entre
maysculas
sensible.
El algoritmo de descarga verifica que la imagen es apropiada para el modelo de interruptor y que lo suficientemente
DRAM est presente, o se aborta el proceso y notifica un error. Si especifica el / Sobrescribir opcin, el
descarga algoritmo elimina la imagen existente en el dispositivo flash, si es o no es el mismo que el
uno nuevo, descarga la nueva imagen, y luego vuelve a cargar el software.
58-33
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Nota
Si el dispositivo flash dispone de espacio suficiente para almacenar dos imgenes y desea sobrescribir una de estas imgenes
con la misma versin, se debe especificar el / Sobrescribir opcin.
Si especifica el / Dejar-de edad, sw, los archivos existentes no se eliminan. Si no hay suficiente espacio para instalar
la nueva imagen y mantener la imagen corriente, el proceso de descarga se detiene y un mensaje de error es
visualizada.
El algoritmo instala la imagen descargada en el dispositivo flash de la placa del sistema (flash :). La imagen es
colocado en un nuevo directorio llamado con la cadena de versin de software, y la variable de entorno BOOT
se actualiza para que apunte a la imagen que acaba de instalar.
Si se queda con la vieja imagen durante el proceso de descarga (que ha especificado el / Dejar-old-sw palabra clave), que
puede quitarlo mediante la introduccin de la eliminar / fuerza / recursiva sistema de archivos: / archivo-url comando EXEC
privilegiado.
Para sistema de archivos, uso Flash: para el dispositivo flash de la placa base. Para archivo-url, introducir el nombre del directorio
del
imagen de software de edad. Se quitan todos los archivos en el directorio y el directorio.
Precaucin Para los algoritmos de carga y descarga para operar adecuadamente, hacer no cambiar el nombre de los nombres de
imagen.
Puedes subir una imagen desde el cambio a un servidor FTP. Ms tarde, puede descargar esta imagen a la
mismo interruptor o conmutador a otro del mismo tipo.
Utilice la funcin de carga slo si las pginas web de gestin asociados con el administrador de dispositivos embebidos
se han instalado con la imagen existente.
Comenzando en el modo EXEC privilegiado, siga estos pasos para subir una imagen a un servidor FTP:
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
Paso 4
Paso 5
58-34
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
Comando
Propsito
Paso 6
fin
Paso 7
El archivo upload-sw comando construye un archivo de imagen en el servidor mediante la carga de estos archivos en orden:
informacin, la imagen de Cisco IOS, y los archivos de administracin web. Despus de estos archivos se cargan, la carga
algoritmo crea el formato de archivo.
Precaucin Para los algoritmos de carga y descarga para operar adecuadamente, hacer no cambiar el nombre de los nombres de
imagen.
En lugar de utilizar el copia comando EXEC privilegiado o el tar archivo comando privilegiado EXEC, nos
recomendar el uso de la archive download-sw y archivo upload-sw EXEC privilegiado manda
descargar y cargar archivos de imagen de software. Para pilas de conmutacin, la archive download-sw y Archivo
upload-sw comandos EXEC privilegiados slo se pueden utilizar a travs de la maestra de la pila. Imgenes de software
descargado a la maestra de la pila se descargan automticamente al resto de los miembros de la pila.
Para actualizar un interruptor de una imagen de software incompatible con, utilice el Archivo de copia-sw EXEC privilegiado
comando para copiar la imagen del software de un miembro de la pila existente al conmutador incompatible. Eso
interruptor de recarga automticamente y se une a la pila como un miembro de pleno funcionamiento.
Preparacin para descargar o cargar un archivo de imagen mediante el uso de RCP, pgina 58-36
58-35
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
RCP proporciona otro mtodo para descargar y cargar archivos de imagen entre los hosts remotos y la
interruptor. A diferencia de TFTP, que utiliza el Protocolo de datagramas de usuario (UDP), un protocolo sin conexin, usos RCP
TCP, que es orientado a la conexin.
Para utilizar RCP para copiar archivos, el servidor de origen o destino se le copiando archivos deben apoyar RCP. El
Comandos de copia de RCP se basan en el servidor rsh (o demonio) en el sistema remoto. Para copiar archivos mediante el uso de
RCP, no es necesario crear un servidor de distribucin de archivos como lo hace con TFTP. Slo es necesario tener
el acceso a un servidor que soporta el shell remoto (rsh). (La mayora de los sistemas UNIX rsh apoyo.) Debido a que usted
se copia un archivo de un lugar a otro, usted debe haber permiso de lectura en el archivo de origen y escribir
permiso en el archivo de destino. Si no existe el archivo de destino, RCP crea por usted.
RCP requiere un cliente para enviar un nombre de usuario remoto en cada solicitud de RCP a un servidor. Al copiar un
imagen del cambio a un servidor mediante el uso de RCP, el software Cisco IOS enva el primer nombre de usuario vlido
en esta lista:
El nombre de usuario establecido por el ip rcmd remoto nombre de usuario nombre de usuario comando de configuracin
global si el
se introduce comando.
El nombre de usuario remoto asociado con el actual proceso TTY (terminal). Por ejemplo, si el usuario
est conectado al router a travs de Telnet y fue autenticado a travs del nombre de usuario comando,
el software del conmutador enva el nombre de usuario Telnet como el nombre de usuario remoto.
Para la solicitud de copia RCP para ejecutar con xito, una cuenta debe estar definido en el servidor de red para
el nombre de usuario remoto. Si el servidor tiene una estructura de directorios, el archivo de imagen est escrito o copiado de
el directorio asociado con el nombre de usuario remoto en el servidor. Por ejemplo, si el archivo de imagen reside
en el directorio principal de un usuario en el servidor, especifique el nombre de ese usuario como el nombre de usuario remoto.
Antes de empezar a descargar o cargar un archivo de imagen mediante el uso de RCP, hacer estas tareas:
Asegrese de que la estacin de trabajo que acta como servidor RCP apoya el shell remoto (rsh).
Asegrese de que el interruptor tiene una ruta al servidor de RCP. El switch y el servidor deben estar en la misma
subred si no tienes un router para enrutar el trfico entre las subredes. Comprobar la conexin a
Servidor de RCP utilizando el de ping de comandos.
Si accede al conmutador a travs de la consola o una sesin de Telnet y usted no tiene una cuenta de
nombre de usuario, asegrese de que el nombre del usuario actual RCP es el que desea utilizar para la RCP
descargar. Usted puede entrar en el Mostrar usuarios comando privilegiado EXEC para ver el nombre de usuario vlido. Si
usted no desea utilizar este nombre de usuario, crear un nuevo nombre de usuario mediante el uso de la RCP ip rcmd
remote-nombre de usuario nombre de usuario comando de configuracin global que se utilizar durante todo el archivo
operaciones. El nuevo nombre de usuario se almacena en la NVRAM. Si accede al conmutador a travs de un Telnet
sesin y usted tiene un nombre de usuario vlido, se utiliza este nombre de usuario, y no hay necesidad de ajustar la RCP
nombre de usuario. Incluya el nombre de usuario en el archive download-sw o archivo upload-sw privilegiada
Comando EXEC si desea especificar un nombre de usuario nico para esa operacin.
Al cargar una imagen para la RCP en el servidor, debe estar bien configurado para aceptar la
Solicitud de escritura RCP por parte del usuario en el interruptor. Para los sistemas UNIX, debe agregar una entrada a la
.rhosts archivo para el usuario remoto en el servidor de RCP. Por ejemplo, supongamos que el interruptor contiene estos
lneas de configuracin:
Switch1 nombre de host
ip rcmd remoto nombre de usuario USER0
58-36
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
Si la direccin IP del switch se traduce en Switch1.company.com, el archivo de .rhosts para USER0 en el RCP
servidor debe contener la siguiente lnea:
Switch1.company.com Switch1
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
Paso 4
Paso 5
fin
Paso 6
archive download-sw / allow-funcin-upgrade Descargue el archivo de imgenes del servidor de RCP para el interruptor y
sobreescribir la imagen actual. [/ directorio] / Sobreescritura / recarga
tftp: [[// ubicacin] / directorio] /image-name1.tar
El / Allow-funcin-upgrade permite la instalacin de un software
[Imagen-name2.tar imagen-name3.tar
imagen con un conjunto de caractersticas diferentes.
imagen-name4.tar]
(Opcional) El Directorio / opcin especifica un directorio para el
imgenes.
El / Sobrescribir opcin sobrescribe la imagen de software flash
memoria con la imagen descargada.
58-37
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Paso 7
Comando
Propsito
El algoritmo de descarga verifica que la imagen es apropiada para el modelo de interruptor y que lo suficientemente
DRAM est presente, o se aborta el proceso y notifica un error. Si especifica el / Sobrescribir opcin, el
descarga algoritmo elimina la imagen existente en el dispositivo de flash si es o no es el mismo que el
uno nuevo, descarga la nueva imagen, y luego vuelve a cargar el software.
Nota
Si el dispositivo flash dispone de espacio suficiente para almacenar dos imgenes y desea sobrescribir una de estas imgenes
con la misma versin, se debe especificar el / Sobrescribir opcin.
Si especifica el / Dejar-de edad, sw, los archivos existentes no se eliminan. Si no hay suficiente espacio para instalar
la nueva imagen de una mantener la imagen en ejecucin, el proceso de descarga se detiene, y un mensaje de error es
visualizada.
El algoritmo instala la imagen descargada en el dispositivo flash de la placa del sistema (flash :). La imagen es
colocado en un nuevo directorio llamado con la cadena de versin de software, y la variable de entorno BOOT
se actualiza para que apunte a la imagen que acaba de instalar.
Si se queda con el viejo software durante el proceso de descarga (que ha especificado el / Dejar-old-sw palabra clave), que
puede quitarlo mediante la introduccin de la eliminar / fuerza / recursiva sistema de archivos: / archivo-url comando EXEC
privilegiado.
Para sistema de archivos, uso Flash: para el dispositivo flash de la placa base. Para archivo-url, introducir el nombre del directorio
del
imagen de software de edad. Se quitan todos los archivos en el directorio y el directorio.
Precaucin Para los algoritmos de carga y descarga para operar adecuadamente, hacer no cambiar el nombre de los nombres de
imagen.
Puedes subir una imagen desde el cambio a un servidor de RCP. Ms tarde, puede descargar esta imagen a la
mismo interruptor o conmutador a otro del mismo tipo.
58-38
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
La funcin de carga se debe utilizar slo si las pginas web de gestin asociados al incrustado
administrador de dispositivos se han instalado con la imagen existente.
Comenzando en el modo EXEC privilegiado, siga estos pasos para subir una imagen a un servidor de RCP:
Comando
Propsito
Paso 1
Paso 2
Paso 3
configure terminal
Paso 4
Paso 5
fin
Paso 6
archivo upload-sw
rcp: [[[// [usuario @] Ubicacin] / directorio] / imagen-na
me.tar]
El archivo upload-sw comando privilegiado EXEC construye un archivo de imagen en el servidor mediante la subida de stos
archivos en orden: info, la imagen de Cisco IOS, y los archivos de gestin web. Despus de estos archivos se cargan,
el algoritmo de carga crea el formato de archivo.
Precaucin Para los algoritmos de carga y descarga para operar adecuadamente, hacer no cambiar el nombre de los nombres de
imagen.
58-39
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Nota
Para utilizar el Archivo de copia-sw comando privilegiado EXEC, usted debe haber descargado desde un servidor TFTP
las imgenes, tanto para el interruptor de miembro de la pila que se agregan y el maestro de la pila. Se utiliza el Archivo
download-sw comando privilegiado EXEC para realizar la descarga.
Comenzando en el modo EXEC privilegiado desde el miembro de la pila que desea actualizar, siga estos pasos
para copiar el archivo de imagen que va desde la memoria flash de un miembro de la pila diferente:
Paso 1
Comando
Propsito
Si el interruptor se encuentra en una pila de switches, comprueba la compatibilidad del protocolo de pila y los interruptores
en la pila.
Si se instala un mdulo de servicios de red, comprueba la compatibilidad del software del conmutador y el
servicios de red de software del mdulo.
58-40
OL-29703-01
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
Trabajar con software Imgenes
Nota
Si el interruptor no est en una pila o si no hay ningn mdulo de servicios de red instalado, no compatibilidad de la versin
se necesita verificacin.
Si se detecta una discrepancia entre el mdulo de servicio y el interruptor, aparece este mensaje syslog:
El Mdulo FRULink 10G Servicio (C3KX-SM-10G) la versin del software
es incompatible con la versin del software IOS. Por favor, actualice
el software. El mdulo est en pasar-por el modo.
Caractersticas especficas del mdulo de servicio requieren la base o IP servicios IP conjunto de caractersticas. Si el interruptor
est ejecutando
el conjunto de caractersticas de software de base LAN, aparece este mensaje:
01 de marzo 00: 01: 32,341:% PLATFORM_SM10G-6-LICENCIA: FRULink Mdulo de Servicio 10G
(C3KX-SM-10G) funciones no son compatibles con este nivel de licencia. El mdulo est en
pasar-por el modo.
Puede utilizar el show switch servicio-mdulo comando EXEC usuario ver un mdulo de servicio en el
interruptor o cualquier mdulo de servicio de la pila, y la versin de software del mdulo de servicio con el apoyo de la
interruptor /
Este es un ejemplo de salida cuando las versiones de software son compatibles:
Switch # mostrar servicios-mdulos de conmutacin
Switch / Stack soporta el servicio versin CPU mdulo: 03.00.24
TemperatureCPU
Switch # H / W Status (CPU / FPGA) LinkVersion CPU
-------------------------------------------------- --------------1OK86C / 70Cconnected03.00.24
Este es un ejemplo de salida cuando un interruptor con un mdulo de servicio instalado se est ejecutando la base LAN
conjunto de caractersticas:
Switch # mostrar servicios-mdulos de conmutacin
Switch / Stack soporta el servicio versin CPU mdulo: 03.00.25
TemperatureCPU
Switch # H / W Status (CPU / FPGA) LinkVersion CPU
-------------------------------------------------- --------------1LB-pass-thru * 71C / 59Cnotconnected N / A
58-41
Apndice 58
Trabajo con el sistema Cisco IOS archivo, archivos de configuracin y software Imgenes
58-42
OL-29703-01
APPENDIX
59
Comandos no admitidos en
Cisco IOS Release 15.2 (1) E
En este apndice se enumeran algunos de la interfaz de lnea de comandos (CLI) comandos que aparecen al entrar en la
signo de interrogacin (?) en el Catalyst 3750-E o indicador del switch 3560-E Catalyst 3750-X o 3560-X, pero son
no se admite en esta versin, ya sea porque no se ponen a prueba o por Catalyst 3750-E o 3560-E
Catalyst 3750-X o 3560-X limitaciones de hardware de conmutacin. Esta no es una lista completa. El no soportado
comandos se muestran por la caracterstica del software y modo de comando.
Nota
Adems de los mencionados, Layer 3 comandos no son compatibles con los interruptores que ejecutan la base LAN
conjunto de caractersticas.
Listas de Control de
Acceso
No compatibles Comandos Privileged EXEC
Acceso a habilitar [Host] [timeout minutos]
acceso-plantilla [Access-list-number | nombre] [Dinmica-nombre] [fuente] [destino] [timeout minutos]
acceso claro-plantilla [Access-list-number | nombre] [Dinmica-nombre] [fuente] [destino].
mostrar listas de acceso rate-limit [Destino]
espectculo de contabilidad
espectculo de contabilidad ip [] [Puesto de control de salida-paquetes | violacines de acceso]
espectculo cache ip [Prefijo de mscara] [Tipo nmero]
59-1
Apndice 59
Comandos Archivo
Comandos Archivo
No compatibles Comandos Privileged EXEC
config Archivo
registro persistente
mostrar config Archivo
mostrar registro de archivado
59-2
OL-29703-01
Apndice 59
Comandos de
depuracin
Nota
59-3
Apndice 59
etiqueta
gatillo (EEM)
Fallback Bridging
No compatibles Comandos Privileged EXEC
puente claro [Puente-grupo] multicast [Router-puertos | grupos |recuentos] [Grupo de direccin] [interfaz de unidad]
[recuentos]
Estadsticas vlan claras
bridge show [Puente-grupo] circuito-grupo [Circuito-grupo] [src-mac-address] [dst-mac-address]
bridge show [Puente-grupo] multicast [Router-puertos | Grupos] [Grupo de direccin]
bridge show vlan
show interfaces CRB
show interfaces {Ethernet | fastethernet} [Interfaz | ranura / puerto] irb
espectculo abonado poltica gama
59-4
OL-29703-01
Apndice 59
59-5
Apndice 59
HSRP
HSRP
Comandos de configuracin globales no
compatibles interfaz asncrono
interfaz BVI
interfaz del sintonizador
interfaz de Grupo-Async
interfaz Lex
interfaz Multilink
interfaz-de plantilla virtual
interfaz virtual-Tokenring
Seales de interfase
No compatibles Comandos Privileged EXEC
show interfaces [Interface-id | vlan vlan-id] [CRB | -cola justo |irb |mac-contable |precedencia |irb
|random-detectar |rate-limit |forma]
59-6
OL-29703-01
Apndice 59
59-7
Apndice 59
IP Multicast Routing
IP Multicast Routing
No compatibles Comandos Privileged EXEC
claro rtp IP header-compresin [Tipo nmero]
El paquete debug ip comando muestra los paquetes recibidos por la CPU del interruptor. No muestra los paquetes
que son hardware de conmutacin.
El debug ip mCache mandato afecta a los paquetes recibidos por la CPU del interruptor. No muestra los paquetes
que son hardware de conmutacin.
El debug ip mpacket [Detalles] [access-list-number [nombre-grupo-o-Direccin] mandato slo afecta a
paquetes recibidos por la CPU del switch. Porque la mayora de los paquetes de multidifusin son hardware de conmutacin de
utilizar este
comando slo cuando se sabe que la ruta reenviar el paquete a la CPU.
debug ip pim atm
mostrar frame relay rtp IP header-compresin [Interfaz nmero de tipo]
El mostrar ip mCache comando muestra las entradas en la memoria cach para aquellos paquetes que se envan al conmutador
UPC. Porque la mayora de los paquetes de multidifusin se conmutan en hardware sin la participacin de la CPU, puede utilizar
este comando, pero la informacin de paquetes de multidifusin no se muestra.
El show ip mpacket comandos son compatibles, pero slo son tiles para los paquetes recibidos en el conmutador
UPC. Si la ruta es el hardware de conmutacin de, el comando no tiene ningn efecto porque la CPU no recibe
el paquete y no puede mostrarlo.
espectculo pim ip vc [Grupo de direccin |nombre] [Tipo nmero]
espectculo rtp IP header-compresin [Tipo nmero] [Detalles]
59-8
OL-29703-01
Apndice 59
IP Unicast Routing
EXEC privilegiado no compatible o los comandos de
ejecucin del usuario
contabilidad clear ip [Checkpoint]
claro ip bgp Direccin solapa-estadsticas
claro bgp ip prefix-list
Estadsticas cef debug ip
espectculo cef [Drop | no-cef-switched]
espectculo de contabilidad ip [] [Puesto de control de salida-paquetes | access-violacines]
mostrar ip bgp humedecido caminos
show ip bgp inconsistente-como
espectculo ip bgp regexp expresin regular
59-9
Apndice 59
IP Unicast Routing
router mvil
ODR enrutador
esttica enrutador
59-10
OL-29703-01
Apndice 59
Comandos de direcciones
MAC
No compatibles Comandos Privileged EXEC
show mac-address-table
show mac-address-table direccin
mostrar mac-address-table en tiempo de
envejecimiento
mostrar conteo de mac-address-table
show mac-address-table dinmico
mostrar interfaz de mac-address-table
mostrar mac-address-table de multidifusin
mostrar notificacin mac-address-table
show mac-address-table static
mostrar mac-address-table vlan
mostrar mac address-table de multidifusin
Nota
Utilice el mostrar los grupos de inspeccin de IGMP ip comando EXEC privilegiado de pantalla Capa 2 multicast
entradas de direcciones de mesa para una VLAN.
Varios
Los comandos de ejecucin no
compatible usuario
verificar
59-11
Apndice 59
MSDP
MSDP
No compatibles Comandos Privileged EXEC
mostrar el acceso-expresin
espectculo de excepcin
mostrar ubicacin
espectculo pm LNEA
espectculo smf [Interface-id]
espectculo abonado poltica [-Nmero de pliza]
espectculo plantilla [Plantilla-nombre]
59-12
OL-29703-01
Apndice 59
Multicast
No compatibles Comandos PIM bidireccional
Todos
Comandos NetFlow
Comandos de configuracin globales no
compatibles ip cach de flujo de agregacin
ip entradas de flujo de cach
ip flow-exportacin
59-13
Apndice 59
QoS
QoS
Comando de configuracin global no compatible
-lista de prioridades
RADIUS
Comandos de configuracin globales no
compatibles extendi aaa puerto nas
autenticacin aaa funcin por defecto permitir
autenticacin aaa funcin lnea por defecto
radius-server atributo nas-puerto
radius-server configure
radio-server-portnames extendidas
SNMP
Comandos de configuracin globales no
compatibles SNMP-servidor, permite informa
SNMP-servidor ifindex persisten
discriminador tala discr-nombre [[las instalaciones] [mnemotecnia] [msg-cuerpo] {gotas string |incluye
cadena}] [severidad {gotas sev-num |incluye sev-num}] [-Lmite de velocidad msglimit]
tala discriminador tamponada
59-14
OL-29703-01
Apndice 59
Spanning Tree
Comando de configuracin global no compatible
mtodo pathcost spanning-tree {Long | short}
VLAN
Comando de configuracin global no compatible
poltica de asignacin interna vlan {Ascendiente | descendiendo}
VTP
No compatible comando EXEC privilegiado
VTP {Password contrasea |poda |versin nmero}
Nota
59-15
Apndice 59
VTP
59-16
OL-29703-01