Comandos CCNP SWITCH

Borrar todas las configuraciones del SW

Switch# delete flash:vlan.dat
Switch# erase startup-config
Switch#reload

Configurar la Interfaz VLAN
DLS1(config)# interface vlan [Nvlan, generalmente 1]
DLS1(config-if)# ip address 10.1.1.101 255.255.255.0
DLS1(config-if)# no shutdown
Verificar si la interfaz esta en modo Dynamic Auto
# show interfaces fastEthernet 0/7 switchport
Configurar interfaces Trunk con 802.1q e ISL para capa 3
DLS1(config)# interface range fastEthernet 0/x - y
DLS1(config-if-range)# switchport trunk encapsulation [dot1q | isl]
DLS1(config-if-range)# switchport mode trunk
Nota: Para capa 2 solo el mode trunk
Para suspender una vlan
ALS1(config)# vlan 120
ALS1(config-vlan)# state suspend
Para activarla nuevamente
ALS1(config)# vlan 120
ALS1(config-vlan)# no shutdown
Creacion de Etherchannel
CAPA 2
Para PAgP modo desirable
Para LACP modo active

Con eso agrupamos las interfaces

ALS1(config)# interface range fastEthernet 0/11 - 12
ALS1(config-if-range)# channel-group [Numero_grupo] mode [desirable | active]
ALS1(config-if-range)#switchport mode trunk
Creamos la interfaz port-channel y la dejamos modo Trunk

ALS1(config)# interface port-channel [Numero_grupo]
ALS1(config-if)# switchport mode trunk
# show etherchannel summary \\ ver los etherchannel creados
CAPA 3
DLS1(config)# interface range fastEthernet 0/11 - 12
DLS1(config-if-range)# no switchport
DLS1(config-if-range)# channel-group 3 mode desirable
Creating a port-channel interface Port-channel 3
DLS1(config-if-range)# interface port-channel 3
DLS1(config-if)# no switchport
DLS1(config-if)# ip address [IP] [Mask]

Configurar balanceo de inicio-destino por MAC
ALS1(config)# port-channel load-balance src-dst-mac

SPANNING-TREE
Configurar ROOT primario o segundario
(config)# spanning-tree vlan [NVLAN] root [primary | secondary]
Configurar prioridad de spanning-tree
Nota: Va de 0 a 240 con incrementos de 16
DLS1(config-if)# spanning-tree port-priority 112
Configurar PortFast
(config)#spanning-tree portfast \\ Solo en interfaces mode Access
(config)#spanning-tree portfast default \\ a todas las mode Access
(config)# spanning-tree portfast trunk \\ a todas las mode trunk


PVRST+ (Rapid Spanning-tree Plus)
(config)#spanning-tree mode rapid-pvst
(config)# spanning-tree vlan [NVLAN] root [primary | secondary]
#show spanning-tree vlan [NVLAN]


MST (Multiple Spanning-Tree)

Habilitar MST
(config)#spanning-tree mode mst

Entrar al modo configuracin de MST
(config)#spanning-tree mst configuration

Ver la configuracin existente de MST
(config-mst)#show current

Ingresar nombre a la instancia
(config-mst)#name [Nombre]

Crear numero de revisin que va incrementa en 1 con cada cambio
(config-mst)#revision [N]
Crear instancia de MST
(config-mst)#instance [Nde la instancia] vlan [Rango_Vlan]
NOTA: Todas las vlans estn mapeadas por defecto en la instancia 0,
el rango de las vlans permitido es de 1-4094

Ver las configuraciones aplicadas a MST (despus de exit)
(config-mst)#show pending

Configurar ROOT primario o segundario en MST
(config)#spanning-tree mst [Nde instancia] root [primary|secundary]


BPDU Guard

Configura bpduguard en todos los mode access
ALS1(config)# spanning-tree portfast bpduguard default


Enrutamiento inter-vlan

(config)#ip default-gateway [IP]

Habilitar opciones Capa 3 en SW capa3
(config)#ip routing

Ver tabla CEF (Tabla de conmutacin)
# show ip cef

Habilitar enlace Troncal
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan [NVLAN Nativa]


Configurar una interfaz como CAPA3
Switch(config)# interface GigabitEthernet 1/1
Switch(config-if)# no switchport *********
Switch(config-if)# ip address 10.10.1.1 255.255.255.252
Switch(config-if)# exit


Configurar DHCP en SW
Switch(config)# ip dhcp excluded-address 10.1.10.1 10.1.10.20
Switch(config)# ip dhcp pool XYZ10
Switch(config-dhcp)# network 10.1.10.0 255.255.255.0
Switch(config-dhcp)# default-router 10.1.10.1
Switch(config-dhcp)# option 150 10.1.1.50
Switch(config-dhcp)# lease 0 8 0 \\ 0 days 8 hours 0 minutes
Switch(config)# interface vlan10
Switch(config-if)# ip address 10.1.10.1 255.255.255.0


HSRP

Configurar la prioridad
(config)#standby [Num_grupo] priority [Numero_Prioridad]

Modificar los temporizadores, holdtime>=3 Hello
(config)#standby [Num_grupo] timers [mseg] hello [mseg] holdtime

El router con mayor prioridad sea el activo
(config)#standby [Num_grupo] preeempt [Delay_mseg] [reload_seg]

Asignar la IP virtual
(config)#standby [Num_grupo] ip [IP]

Ejemplo:
(config)#int vlan X
(config-if)#ip addre 192.168.10.1 255.255.255.0
(config-if)#standby 1 priority 200
(config-if)# standby 1 preempt
(config-if)# standby 1 ip 192.168.10.10



Configurar seguridad de puerto
4503(config)# interface FastEthernet 3/47
4503(config-if)# switchport
4503(config-if)# switchport mode access
4503(config-if)# switchport port-security
4503(config-if)# switchport port-security mac-address 0000.0000.0008
4503(config-if)# switchport port-security maximum 1
4503(config-if)# switchport port-security aging time 2
4503(config-if)# switchport port-security aging static
4503(config-if)# switchport port-security violation restrict


IP SLA

En el capa 2 se configura el envio y recepcin los paquetes de control
de IP SLA
ASL1(config)#ip sla responder

Configurar en el capa 2 como respondedores IP SLA para UDP jitter.
Especifique la direccin IP de la VLAN 1 DLS1 para actuar como la
direccin IP de destino para el trfico UDP se refleja en los capa2
ALS1(config)# ip sla responder udp-echo ipaddress 172.16.1.1 port 5000

En el Capa 3
Crear e ingresar a la configuracin del modo IP SLA
DLS1(config)#ip sla [N]

Configuracion del icmp-echo host destino
DLS1(config-ip-sla)#icmp-echo [IP_Host]
DLS1(config-ip-sla)#exit


VACL

Configurar el map access de VACL
Switch(config)# vlan access-map map_name [seq#]

Configuracin del match
Switch(config-access-map)# match {drop [log]} | {forward [capture]} |
{redirect {{fastethernet | gigabitethernet | tengigabitethernet}
slot/port} | {port-channel channel_id}}

Configuracion de la accin a realizar despus del match
Switch(config-access-map)# action {drop [log]} | {forward [capture]} |
{redirect {{fastethernet | gigabitethernet | tengigabitethernet}
slot/port} | {port-channel channel_id}}

Aplicar el match a la vlan
Switch(config)# vlan filter map_name vlan_list list


Verificar la configuracion de la VACL
Switch# show vlan access-map map_name
Switch# show vlan filter [ access-map map_name | vlan vlan_id ]


Configurar DHCP snooping

Habilitar DHCP snooping
Switch(config)# ip dhcp snooping

Habilitar Opcion DHCP 82:
Switch(config)# ip dhcp snooping information option

Configure DHCP server interfaces or uplink ports as trusted:
Switch(config-if)# ip dhcp snooping trust

Configure the number of DHCP packets per second (pps) that are
acceptable on the port:
Switch(config-if)# ip dhcp snooping limit rate rate

Enable DHCP snooping on specific VLANs:
Switch(config)# ip dhcp snooping vlan number [number]

Verificacin de la configuracion
Switch# show ip dhcp snooping


Dynamic ARP Inspection (DAI)

Habilitar DAI en rango de vlans
Switch(config)# ip arp inspection vlan vlan_id [vlan_id]

Enables DAI on an interface and sets the interface as a trusted
interface
Switch(config-if)# ip arp inspection trust


Configura la DAI para descartar los paquetes ARP cuando las
direcciones IP no son vlidos, o cuando las direcciones MAC de los
paquetes ARP no coinciden con las direcciones especificadas en el
encabezado Ethernet
Switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}


IPSG requiere que DHCP snooping se encuentre habilitado en la VLAN
necesaria para permitir enlaces automticos IP de origen

PASOS:

1.- Permite snooping DHCP, de forma global. Puede utilizar la palabra
clave para desactivar DHCP snooping.
Switch(config)# ip dhcp snooping

2.- Permite snooping DHCP en sus VLANs.
Switch(config)# ip dhcp snooping vlan number [number]

3.- Permite IP Source Guard con el filtrado de IP de origen.
Switch(config-if)# ip verify source vlan dhcp-snooping
or
Switch(config-if)# ip verify source vlan dhcp-snooping port-security

4.- Permite IP Source Guard con la IP de origen y fuente de filtrado
de direcciones MAC.(Opcional) Establece el lmite de velocidad para
los paquetes malos. Este lmite de velocidad tambin se aplica al
puerto donde est habilitado DHCP snooping modo de seguridad como el
filtrado de la direccin IP y MAC.

Switch(config-if)# switchport portsecurity limit rate invalid-source-
mac N

Configura un enlace IP esttica en el puerto.

Switch(config)# ip source binding ipaddr ip vlan number interface
interface-id


CONFIGURACION CDP

CDP se encuentra habilitado por defecto.
#no cdp run deshabilita CDP
(config-if)#no cdp enable Desabilita CDP en una interfaz.


CONFIGURACION LLDP
LLDP is disabled by default.
The command lldp run enables LLDP globally.
The command lldp enable enables LLDP on an interface.
No genera conflictos con CDP


CONFIGURACION SSH

Step 1. Configure a user with a password.
Step 2. Configure the hostname and domain name.
Step 3. Generate RSA keys.
Step 4. Allow SSH transport on the vty lines.

switch(config)# username xyz password abc123
switch(config)# ip domain-name xyz.com
switch(config)# crypto key generate rsa
switch(config)# ip ssh version 2
switch(config)# line vty 0 15
switch(config-line)# login local
switch(config-line)# transport input ssh


ACL DENTRO DE VTY

1.-Crear ACL
2.-Ingresar a line vty 0 15
3.-comando access-class 100 in



CONFIGURACION HTTPS

1.-Configurar el nombre de usuario y contrasea.
2.-Configurar el nombre de dominio.
3.-Generar las claves RSA.
4.-Habilitar HTTPS (SSL) del servidor.
5.-Configurar la autenticacin HTTP.
6.-Configurar una lista de acceso para limitar el acceso.


sw(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any
sw(config)# username xyz password abc123
sw(config)# ip domain-name xyz.com
sw(config)# crypto key generate rsa
sw(config)# no ip http server
sw(config)# ip http secure-server
sw(config)# http access-class 100 in
sw(config)# http authentication local



AUTENTICACION AAA CON SERVIDOR TACACS+

Switch(config)# aaa new-model
Switch(config)# aaa authentication login TEST tacacs+
Switch(config)# tacacs-server host [IP]
Switch(config)# line vty 0 4
Switch(config-line)# login authentication TEST
AUTORIZACION AAA CON SERVIDOR TACACS+

aaa authorization {auth-proxy | network | exec | commands level |
reverse-access | configuration | ipmobile} {default | list-name}
[method1 [method2...]] authorization {arap | commands level | exec |
reverse-access} {default | list-name}

Ejemplo
Switch(config)# aaa new-model
Switch(config)# aaa authorization commands 0 default if-authenticated
group tacacs+
Switch(config)# line vty 0 4
Switch(config-line)# authorization commands 0 default


CONFIGURACION DE CONTABILIDAD AAA

Switch(config)# aaa new-model
Switch(config)# aaa accounting exec default start-stop group tacacs+
Switch(config)# line vty 0 4
Switch(config-line)# accounting exec default


CONFIGURACION 802.X

1.-Activar AAA
2.-Crear un puerto 802.1X basada en la lista de mtodos de
autenticacin
3.-A nivel mundial permiten 802.1X autenticacin basada en puerto
4.-Ingrese al modo de interfaz de configuracin y especificar la
interfaz para estar habilitado para 802.1X autenticacin basada en
puerto
5.-Activacin de 802.1X autenticacin basada en puerto en la interfaz

EJEMPLO
sw(config)# aaa new-model
sw(config)# radius-server host 10.1.1.50 auth-port 1812 key xyz123
sw(config)# aaa authentication dot1x default group radius
sw(config)# dot1x system-auth-control
sw(config)# interface fa0/1
sw(config-if)# description Access Port
sw(config-if)# switchport mode access
sw(config-if)# dot1x port-control auto


CONFIGURACION DE IGMP SNOOPING

1.-Habilitar IGMP snooping de forma global (viene asi por defecto)
Switch(config)# ip igmp snooping

2.-(Opcional) Los Switchs agregan los puertos multicast del router de
la tabla de forwarding entradas capa 2. El Switch aprende los puertos
por medio de las consultas IGMP snooping, los paquetes flowing y DVMRP
o interpreta los paquetes CGMP de otros Routers. Configurar el metodo
de inspeccion de IGMP. El valor por defecto es el PIM

3.-(Opcional) Configure el puerto del router de forma esttica. De
forma predeterminada. IGMP detecta automticamente los puertos del
router.


4.-(Opcional) Configurar IGMP fast leave

5.-(Optional) Por defecto todos los hosts se registran, agregan su MAC
y puerto de la tabla de forwarding automaticamente. Si es necesario se
configura un hosts de forma estatica en una interfaz, las
configuraciones estaticas son necesarias para solucionar problemas
asociados a IGMP

Switch(config)# ip igmp snooping
Switch(config)# ip igmp snooping vlan vlan-id mrouter learn [cgmp |
pim-dvmrp]
Switch(config)# ip igmp snooping vlan vlan-id mrouter interface
interface-num
Switch(config)# ip igmp snooping vlan vlan-id fast-leave
Switch(config)# ip igmp snooping vlan vlan-id immediate-leave
Switch(config)# ip igmp snooping vlan vlan-id static mac-address
interface interface-id



CONFIGURAR IP MULTICAST

1.-Habilitar multicast routing en capa 3
Switch(config)# ip multicast-routing

2.-Habilitar PIM en la interfaz que requiera multicast
Switch(config-if)# ip pim [dense-mode | sparse-mode | sparse-dense-
mode]

3.-(Opcional) Configurar RP si se esta ejecutando el PIM en modo
sparse o PIM en modo sparse-dense. Se puede configurar los paquetes
para que solo un grupo multicast pueda utilizar uno o mas RP en todos
los Routers (Incluyendo el Router RP), Ingrese el siguiente comando
para configurar la direccion RP
Switch(config)# ip pim rp-address ip-address [access-list-number]
[override]

4.-(Opcional) Designar a un router candidato como RP de todos los
grupos mulicast o para alguno en especifico por medio de una ACL
Switch(config)# ip pim send-rp-announce interface-type interface-
number scope ttl [group-list access-list-number] [interval seconds]

5.-Asignar al router configurado en el paso 4 el rol de RP mapping
agent para AutoRP
Switch(config)# ip pim send-rp-discovery scope ttl

6.-(Opcional) Todos los sistemas que utilizan Cisco IOS v11.3(2)T o
superior el PIM inicia por defecto en version 2, En caso que necesite
volver a habilitar PIM v2 u otra version se ejecuta el siguiente
comando:
Switch(config-if)# ip pim version [1 | 2]

7.-Configurar un router de borde BSR en el dominio PIM para que los
mensajes de arranque no crucen la frontera en cualquier direccion.
Switch(config-if)# ip pim bsr-border

8.-Para configurar una interfaz como candidato BSR
Switch(config)# ip pim bsr-candidate interface-type hash-mask-length
[priority]

9.-Configurar una interfaz como candidato RP del BSR para determinados
grupos de multicast
Switch(config)# ip pim rp-candidate interface-type interface-number
ttl group-list access-list


EJEMPLO CONFIGURACION MODO SPARSE
Router# conf t
Router(config)# ip multicast-routing
Router(config)# interface vlan 1
Router(config-if)# ip pim sparse-mode
Router(config-if)# interface vlan 3
Router(config-if)# ip pim sparse-mode
Router(config-if)# exit
Router(config)# ip pim rp-address 10.20.1.254

EJEMPLO CONFIGURACION MODO SPARSE_DENSE

Router(config)# ip multicast-routing
Router(config)# interface vlan 1
Router(config-if)# ip pim sparse-dense-mode
Router(config-if)# exit
Router(config)# ip pim bsr-candidate vlan 1 30 200


EJEMPLO CONFIGURACION AUTO_RP

Router(config)# ip multicast-routing
Router(config)# interface vlan 1
Router(config-if)# ip pim sparse-dense-mode
Router(config-if)# exit
Router(config)# ip pim send-rp-announce vlan 1 scope 15 group-list 1
Router(config)# access-list 1 permit 225.25.25.0.0.0.0.255
Router(config)# exit


CONFIGURACION VLAN DE VOZ

SW(config)# interface range fastEthernet 0/x - y
SW(config-if-range)# switchport mode access
SW(config-if-range)# switchport access vlan [N]
SW(config-if-range)# switchport voice vlan [N]
SW(config-if-range)# auto qos voip cisco-phone
SW(config-if-range)# exit