Академический Документы
Профессиональный Документы
Культура Документы
Guía de configuración
de los switches 3Com
4500 y 5500-EI
Versión 141014
Jorge I. Amaya Siosi
14
CONTENIDO
pag.
INTRODUCCIÓN ............................................................................................................................ 7
1. GENERALIDADES .................................................................................................................. 9
1.1 OBJETIVOS ........................................................................................................................ 9
1.2 DESCRIPCIÓN DE MATERIALES USADOS ....................................................................... 9
1.2.1 SWITCH 3COM 5500-EI ............................................................................................ 9
1.2.2 PATCH CORD ......................................................................................................... 10
1.2.3 CABLE DE CONSOLA ............................................................................................. 10
1.3 CONVENCIONES .............................................................................................................. 11
1.3.1 COMANDO EN TEXTO FIJO ................................................................................... 11
1.3.2 COMANDO EN TEXTO VARIABLE ......................................................................... 11
1.3.3 ÍTEMS ALTERNATIVOS .......................................................................................... 11
1.3.4 ÍTEMS OPCIONALES .............................................................................................. 11
2
5.4.2 ESPECIFICAR LA INTERFAZ DE ORIGEN O LA DIRECCIÓN IP DE ORIGEN PARA
UN CLIENTE TFTP ............................................................................................................... 52
5.5 ADMINISTRACIÓN DEL DISPOSITIVO ........................................................................... 57
5.5.1 REINICIAR EL SWITCH ........................................................................................... 57
5.5.2 DESIGNAR LA APP ADOPTADA CUANDO SE REINICIE EL SWITCH .................. 58
5.5.3 ACTUALIZAR LA BOOTROM .................................................................................. 58
5.5.4 MOSTRAR Y DEPURAR LA ADMINISTRACIÓN DEL DISPOSITIVO ..................... 58
5.6 HERRAMIENTAS DE PRUEBA DE CONEXIÓN DE LA RED. ........................................... 59
5.6.1 PING ........................................................................................................................ 59
3
10.2 VLAN TAG ......................................................................................................................... 93
10.2.1 ETIQUETADO Y NO ETIQUETADO DE UN PUERTO ............................................. 94
10.3 COMUNICACIÓN ENTRE VLANS ..................................................................................... 95
10.4 CONFIGURACIÓN DE UNA VLAN .................................................................................... 97
10.4.1 CONFIGURACIONES BÁSICAS .............................................................................. 97
10.4.2 CONFIGURACIÓN DE LA INTERFAZ DE LA VLAN................................................. 97
10.4.3 MOSTRAR LA CONFIGURACIÓN DE LA VLAN ...................................................... 98
10.4.4 CONFIGURAR EL TIPO DE ENLACE DE UN PUERTO ETHERNET....................... 98
10.4.5 CONFIGURAR LA VLAN PREDETERMINADA PARA UN PUERTO ETHERNET .... 98
10.4.6 ASIGNAR PUERTOS ETHERNET A UNA VLAN ..................................................... 98
ANEXO F Conexiones de la red del Laboratorio de Redes de la Universidad de la Guajira ........ 150
5
6
INTRODUCCIÓN
Esta guía es un amplio y detallado curso teórico/práctico, sobre la configuración y gestión básica de los
switches de interconexión de computadores y redes informáticas 3Com 4500 y 5500, presentes en el
laboratorio de redes de la Universidad de la Guajira; que resulta apropiado para estudiantes, profesores,
ingenieros y todo interesado en el temas de las redes informáticas, con un grado básico de conocimientos
previos sobre las redes de computadores.
Para efectos de practicidad durante el desarrollo de esta guía, solo se hará referencia al switch ·3Com 5500,
pero queda claro que la totalidad de esta guía es 100 % aplicable a el switch 3Com 4500.
Se han seleccionado y extraído los temas de varios manuales suministrados directamente por el fabricante a
través de su página WEB. www.hp.com, de acuerdo con el programa de Redes y Software de redes de la
universidad de la Guajira y sugerencias de los docentes de las asignaturas de seguridad de redes, redes y
software de redes.
El lector se verá ayudado por explicaciones paso a paso, junto a una gran cantidad de ejemplos y ejercicios
prácticos, que aclaran cualquier duda desde el primer momento, simplificando el aprendizaje.
Esta guía está diseñada para ser impresa a doble cara, por lo que se encontrará una serie de páginas en
blanco con el fin de que todos los inicio de capitulo comiencen en páginas impares. También tiene
implementados vínculos en todas las referencias como también en el índice, esto se consigue colocando el
puntero sobre la referencia o cualquier línea del índice a y haciendo clic sobre esta.
Si el lector quisiera profundizar, ampliar o aclarar cualquier duda con respecto a algún comando o tema
específico se recomienda consultar los manuales disponibles en el internet a través de la página del
fabricante www.hp.com, haciendo la salvedad de que todos estos se encuentran en idioma inglés. Estos
también estarán disponibles junto con esta guía, como también los softwares de instalación de los
programas necesarios para la gestión de los switches, como lo son el Hyperterminal de Hylgraeve, cliente y
servidor FTP de FileZilla, servidor TFTP de SolarWinds, que al igual están disponibles de forma gratuita en
las respectivas páginas WEB de los propietarios.
7
8
1. GENERALIDADES
1.1 OBJETIVOS
Al estudiar esta guía y desarrollar las diferentes practicas del taller, el lector deberá adquirir los
conocimientos y habilidades necesarios para desempeñarse como técnico o administrador de redes
informáticas, que utilicen o basen su estructura en los switches de la familia 3com 4500 y 5500, dispositivos
de gran difusión nacional e internacional, dada la importancia, prestigio y reconocimiento mundial de la
marca ·3com, al ser esta el segundo proveedor mundial de productos de computación, redes y servicios,
superado únicamente por Cisco Systems Inc.
Los switches Gigabit Ethernet proporcionan una seguridad y fiabilidad excepcional, así como capacidades de
soporte multiservicio, que ofrecen una sólida conmutación en la capa de perímetro o de agregación en
redes de grandes empresas y de campus, o en la capa de núcleo de las redes de pymes. La serie de
switches HP 5500-EI está compuesta por switches Gigabit Ethernet de capa 2/3 que pueden alojar las
aplicaciones más exigentes y proporcionar una conectividad resistente y segura, así como las últimas
tecnologías de priorización de tráfico que optimizan las aplicaciones en redes convergentes. Con
compatibilidad total con doble pila IPv4/IPv6, la serie proporciona una ruta de migración de IPV4 a IPV6. La
serie es compatible con el hardware para IPV6. Diseñados para alcanzar una mayor flexibilidad, estos
switches están disponibles con 24 o 48 puertos Gigabit Ethernet. Los modelos de alimentación a través de
Ethernet (PoE) y no PoE están disponibles con capacidades de expansión opcionales de GbE y 10 GbE. El
modelo totalmente de fibra con fuentes de alimentación dobles es ideal para aplicaciones que requieren la
más alta disponibilidad.
9
1.2.2 PATCH CORD
El patch cord o cable de red es uno de los medios más usados para transmitir información a través de una
red. Esta elaborado generalmente en cable UTP y conectores machos RJ45. Su calidad está designada por
categorías, siendo las más altas la 6, 6a, 7 y 7a.
Este cable sirve para conectar el switch 3COM 5500 al PC, utilizando el puerto de consola del switch y el
puerto serie o DB9 del PC. Elaborado en cable UTP con terminal DB9 hembra y RJ45 macho. Es el principal
medio de conexión utilizado para gestionar el Switch, ya que permite acceso nivel 3 (el más alto)
inmediatamente se inicia sección.
10
1.3 CONVENCIONES
Esta guía utiliza las siguientes convenciones.
Ejemplo:
flow-control {hardware | none |software}
Las llaves y las barras verticales combinados indican que se debe entrar solo uno de los parámetros
hardware, none, o software.
Ejemplo 1:
display users [all]
Los corchetes indican que el parámetro all es opcional. Puede introducir el comando con o sin este
parámetro.
Ejemplo 2:
Ejemplo 3:
Los corchetes indican que los parámetros Shell, incoming y login son opcionales. Las barras
verticales indican que sólo uno de los parámetros se permite.
11
12
2. INICIAR SESIÓN EN EL SWITCH
Al conectar el switch a la alimentación de 110 V. este enciende inmediatamente. Por defecto no se requiere
autenticación para iniciar sesión, pero si el switch ha sido configurado para solicitar autenticación este trae
tres usuarios por defecto, los cuales son descritos en la Tabla 1.
Se recomienda usar el usuario admin para iniciar sesión en el switch y llevar a cabo las configuraciones
iniciales.
Este tipo de interfaz se conoce como terminal por no ser gráfica. CLI permite gestionar el switch de las
siguientes formas:
Se dice que una conexión es local cuando se realiza mediante un cable conectado directamente entre el PC
y el switch a configurar, ya sea por el puerto de consola o un puerto Ethernet y de manera remota lo
contrario, cuando el cable no está conectado directamente entre el PC y el switch.
13
De los anteriores métodos de iniciar sesión no se trataran en esta guía SSH ni NMS por limitaciones de
tiempo y por considerarse estos avanzados, si se requiere información sobre estos, diríjase al manual del
fabricante, cuya dirección se encuentra en la bibliografía.
La primera vez que se inicia sesión en un switch 5500 solo es posible mediante el puerto de consola, una
vez dentro del switch es posible configurar otros métodos de ingresar al switch. Este método de conexión
también es llamado conexión local o terminal.
Para iniciar sesión por el puerto de consola, se requiere que el PC tenga instalado un software emulador tal
como Hyperterminal, que ya viene instalado en la mayoría de versiones de Windows, si no este debe
instalarse, para lo cual se puede descargar del siguiente enlace http://www.hilgraeve.com/hyperterminal/
Conecte el cable de alimentación del switch al toma de 110 V, este encenderá inmediatamente. Conecte el
puerto serial (RS-232) del PC al puerto de consola del switch mediante el cable de consola. Ver figura 4,
luego en el menú de inicio de Windows seleccione el programa Hyperterminal en el cuadro de texto digite
un nombre que se asignará a la conexión y presione Enter para establecer una nueva conexión.
14
Configure el puerto para la conexión, o sea seleccione uno de los puertos COM que esté disponible.
Establezca los siguientes parámetros de comunicación en el cuadro de dialogo COM (1) propiedades.
15
Presione OK, aparecerá la interfaz de línea de comando (CLI), presione Enter y aparecerá el promtp
<SW5500> que indica que esta en vista usuario (user view). Por defecto no se requiere autenticación para
iniciar sesión por puerto de consola pero si se le solicita autentíquese como usuario admin como se indica en
la Tabla 1.
202.38.160.92 /24
202.38.160.90 /24
La conexión vía telnet se realiza sólo entre los puertos Ethernet del switch y el puerto de red del PC y se
utiliza para iniciar sesión en el switch desde un PC diferente al que inicia sesión por puerto de consola,
aunque se pueden realizar ambas acciones desde un mismo PC.
Antes de iniciar sesión vía telnet es necesario configurar mediante el puerto de consola, el password de la
interfaz de usuario y la dirección IP de la VLAN a la que se encuentran conectado el PC. Por defecto el
switch trae creada la VLAN 1, a la que pertenecen inicialmente todos los puertos.
Dado que por defecto es requerido el password cuando se inicia sesión vía telnet o vía WEB, si un usuario
inicia sesión vía telnet o WEB sin haber configurado el password vera el siguiente mensaje.
16
Práctica 2 Iniciar sesión vía telnet
# Configurar el password
<SW5500>system-view
[SW5500]user-interface vty 0
[SW5500-ui-vty0]set authentication password simple prueba
Prueba es el password escogido.
<5500>system view
[5500]interface vlan-interface 1
[SW5500-Vlan-interface1]ip address 202.38.160.92 255.255.255.0
[SW5500-Vlan-interface1]quit
# Conectar el PC al switch mediante el cable de red o patch cord, para ello conecte una punta al puerto de
red del PC, y la otra a un puerto de la VLAN 1 del switch. Recuerde que inicialmente todos los puertos del
switch pertenecen a la VLAN 1.
# En el cuadro de texto ejecutar escriba el comando telnet seguido de la dirección IP asignada a la VLAN.
202.38.160.92. Ver Figura 11.
Nota. Si recibe el mensaje de error de la Figura 12 al ejecutar el comando telnet, se debe a que en algunas
versiones de Windows sobre todo las últimas como Vista, 7 y 8 se requiere activar el cliente telnet para
poder usarlo. Ver ANEXO A Activar el cliente telnet de Windows.
17
Figura 12 Mensaje de error telnet.
# Presione Enter, aparecerá la terminal de Windows, digite su username y password si estos son solicitados,
presione Enter para iniciar sesión, aparecerá el promtp <SW5500> que indica que esta en vista usuario
(user view).
Figura 14 Diagrama de red para iniciar sesión en un switch mediante otro switch vía telnet
Se puede iniciar sesión en un switch remoto desde un switch local, en este caso el switch local opera como
cliente y el switch remoto como servidor. Los puertos Ethernet que interconectan los dos switches deben
estar en el mismo segmento de red, o debe haber una ruta entre ellos para que se dé la comunicación.
18
Práctica 3 Iniciar sesión en un switch mediante otro switch vía telnet.
# Realice el montaje de la Figura 14. Utilice cable de red para las conexiones.
# Configure el switch local o cliente de modo que se pueda iniciar sesión vía telnet. Refiérase la sección
iniciar sesión vía telnet pagina 16 y asigne la IP 192.168.1.2 / 24 como se indica en la figura.
# Configure el switch remoto o server de modo que se pueda iniciar sesión vía telnet. Refiérase la sección
iniciar sesión vía telnet pagina 16 y asigne la IP 192.168.1.3 / 24 como se indica en la figura.
# Una vez iniciada sesión en el switch cliente ejecute el comando telnet en la vista usuario (user view) para
iniciar sesión en el switch remoto.
Si la conexión fue exitosa la CLI mostrará el prompt <5500>, y se podrá configurar o mostrar la
configuración del switch remoto, mediante los comandos correspondientes.
Además de los métodos de iniciar sesión vía puerto de consola y telnet el switch trae incorporado un servidor
web, que permite iniciar sesión mediante un navegador web, y configurar el switch a través de este. Para
esto debe crearse, igual que para telnet, la interfaz del switch, es decir, asignar una dirección IP a la Vlan a
la cual pertenece el puerto donde está conectado el PC, refiérase a la sección iniciar sesión vía telnet
pagina16, además se debe crear el username y password de usuario, el cual será requerido siempre que se
utilice este método para iniciar sesión.
# Realice el montaje de la Figura 15. Utilice cable de red para las conexiones.
19
Como ya se asignó dirección IP ala Vlan 1 en la telnet o es necesario realizar esta operación en esta
práctica.
# Inicie sesión vía puerto de consola, cree el usuario juan, asígnele el password 123456 y nivel 3.
<5500> system-view
[5500] local-user juan
[5500-luser-juan] service-type telnet level 3
[5500-luser-juan] password simple 123456
# Conecte el PC a un puerto Ethernet del switch perteneciente a la vlan 1. Ver Figura 15.
# Arranque el navegador WEB del PC (Internet Explorer, Mozilla etc.), en la barra de dirección del navegador
escriba la dirección IP asignada a la VLAN 1, 202..38.160.92 /24, aparecerá el siguiente cuadro de texto,
digite el username y el password requerido.
20
Cierre la sesión WEB
Inicie sesión vía telnet o puerto de consola, cree el usuario luis, asígnele el password 123456 y nivel 1.
Inicie sesión WEB como usuario luis, observe la diferencia entre la actual y la anterior interfaz, esto se debe
a la diferencia entre los niveles de usuario.
21
22
3. INTERFAZ DE LÍNEA DE COMANDO CLI
La CLI (Interfaz de Línea de Comando) es una interfaz de usuario para interactuar con el switch. Mediante la
CLI se pueden ingresar los comandos para configurar el switch, ver la información de salida y verificar la
configuración. Este tipo de interfaz se conoce como terminal por ser no gráfica.
Nivel visitante (nivel 0): Los comandos de este nivel se utilizan principalmente para diagnosticar la red.
Por ejemplo, ping, tracert, y telnet. En este nivel no está permitido realizar configuraciones del
switch.
Nivel Monitor (nivel 1): Los comandos de este nivel se utilizan principalmente para mantenimiento del
sistema, fallas de servicio y diagnóstico. Estos comandos incluyen display y debugging. En este nivel
no está permitido realizar configuraciones del switch.
Nivel Sistema (nivel 2): Estos comandos se utilizan para configurar servicios de red. Incluye comandos
de enrutamiento y comandos para cada capa de red.
Nivel Administrador (nivel 3): Los comandos de este nivel están asociados con el funcionamiento
básico y los módulos de soporte del sistema. En este nivel se incluyen los comandos del sistema de
archivos, comandos FTP, comandos TFTP, comandos de administración de usuarios y comandos de
configuración.
23
Práctica 5 Mostrar los comandos pertenecientes a sus respectivos niveles.
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user jorge
[Sysname-luser-jorge] service-type telnet level 0
#Para verificar la configuración salga del sistema usando el comando quit e inicie sesión nuevamente vía
telnet usando el username jorge, luego liste los comandos disponibles para este usuario nivel 0, como se
muestra a continuación.
<Sysname> ?
User view commands:
cluster Run cluster command
display Display current system information
nslookup Query Internet name servers
ping Ping function
quit Exit from current command view
super Set the current user priority level
telnet Establish one TELNET connection
tracert Trace route function
undo Cancel current setting
#Cierre la sesión, inicie sesión nuevamente vía puerto de consola, Ingrese a la interfaz del usuario jorge,
cambie el nivel de usuario a 1(monitor).
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user jorge
[Sysname-luser-jorge] service-type telnet level 1
24
3.1.2 Comando super
El comando super permite a un usuario acceder a un nivel superior que su nivel de usuario asignado. Para
usar el comando super se requiere antes configurar el password por medio del comando super password
Operación Comando
Cambiar a un nivel de usuario superior super level
Configurar el password super password [ level level ]{ simple |
cipher } password
Cancelar el super password undo super password [ level level ]
<SW5500>system-view
System View: return to User View with Ctrl+Z.
[SW5500]super password level 3 simple zbr
<SW5500>super 3
Password: zbr
25
3.2 FUNCIONES Y CARACTERÍSTICAS DE LA LÍNEA DE COMANDOS
26
4. CONFIGURACIÓN DE LA INTERFAZ DE USUARIO
(User Interface View)
Las Tareas para configurar la interfaz de usuario son descritas en la siguiente sección.
Operación Comando
Entrar a una o a múltiples interfaces user-interface [ type ]
first-number [ last-number ]
27
4.2 CONFIGURACIÓN DEL PROTOCOLO DE LA INTERFAZ DE USUARIO
Un usuario solo puede iniciar sesión mediante el protocolo configurado en la interfaz de usuario, la
configuración se hace efectiva cuando el usuario inicie sesión nuevamente. Esto solo aplica para la interfaz
de usuario tipo VTY.
Realice la siguiente configuración en User Interface View. (VTY user interface solamente)
Operación Comando
Configurar el protocolo de la interfaz de usuario protocol inbound { all | ssh |
telnet }
Realice las siguientes con figuraciones en user interface view (AUX User interface solamente).
Operación Comando
Configurar la velocidad de transmisión del speed speed_value
puerto de consola (AUX)
Restaurar la velocidad de transmisión por undo speed
defecto
Por defecto la velocidad de transmisión del puerto de consola es 19200 bps (bit por segundos).
Operación Comando
Configurar el control de flujo del puerto de flow-control { hardware | none
consola (AUX) | software }
Restaurar el control de flujo del puerto de undo flow-control
consola (AUX)
28
4.3.3 Configuración del modo de paridad
Por seguridad el comando undo Shell no puede ser usado en la interfaz AUX (puerto de consola).
29
No es posible usar este comando en la interfaz en la cual se ha iniciado sesión.
Operación Comando
Configurar el idle timeout idle-timeout minutes [seconds ]
Restaurar el idle time out por defecto undo idle-timeout
Operación Comando
Configurar el número de líneas de la pantalla screen-length screen_length
Restaurar el números de líneas de la pantalla undo screen-length
por defecto
Operación Comando
Configurar el número de comandos alma history-command max-size value
cenados en la línea de comandos
Restaurar el número de comandos alma undo history-command max-size
cenados por defecto en la línea de comandos
30
4.4.2 Bloquear la interfaz de usuario
Esta configuración bloquea la interfaz de usuario y solicita el password para poder iniciar sesión
nuevamente. Esto impide a usuarios no autorizados usar la interfaz cuando el usuario actual la abandona
temporalmente.
Operación Comando
Bloquear la interfaz de usuario lock
Operación Comando
Configurar el método de autenticación authentication-mode{ password |
scheme | none }
Por defecto no se requiere autenticación al ingresar al switch vía puerto de consola, mientras es requerido
para ingresar al switch vía telnet o vía WEB.
31
Para una mejor comprensión de este tema es recomendable conocer y entender las diferencias entre las
vistas user view, local-user view y user interface view para lo cual se hará uso de la siguiente tabla.
Operación Comando
Configurar el password para determinada set authentication password { cipher
interfaz de usuario |simple}password
Desactivar la el modo de autenticación undo set authentication password
password
32
Práctica 7 Configurar el método de autenticación password.
Configurar la interfaz de usuario VTY 0 en modo de autenticación password y establezca el password como
prueba.
Nota.
Este ejercicio es el mismo que se realizó en la Práctica 2 Iniciar sesión vía telnet.
<SW5500>system view
[SW5500]user-interface vty 0
[SW5500-ui-vty0]authentication-mode password
[SW5500-ui-vty0]set authentication password simple prueba
Realizar la siguiente configuración para un usuario que inicia sesión mediante la interfaz de usuario VTY 0, y
establezca y el username y el password como juan y 123456 respectivamente. Note que en esta práctica
entramos a la interfaz de usuario local mediante el comando local-user.
<5500>system view
[SW5500]user-interface vty 0
[SW5500-ui-vty0]authentication-mode scheme
[SW5500-ui-vty0]quit
# Nótese que aquí salimos de la interfaz de usuario VTY 0 ahora se crea y se ingresa a la interfaz de
usuario local juan.
[SW5500]local-user juan
[SW5500-luser-juan]password simple 123456
[SW5500-luser-zbr]service-type telnet
#Cierre la sesión e inicie sesión vía telnet usando los parámetros establecidos en el paso anterior.
Note que ahora se requerirá username y password para iniciar sesión.
33
4.5.3 Método de autenticación none
<5500>system view
[SW5500]user-interface vty 0
[SW5500-ui-vty0]authentication-mode none
Cierre la sesión e inicie sesión vía telnet note que ahora no se requiere autenticación para iniciar sesión vía
telnet.
Operación Comando
Configurar el nivel de un usuario service-type { ftp [ ftp-directory directory
|lan-access | { ssh | telnet | terminal }*
[level level ] }
Restaurar nivel por defecto de un usuario undo service-type { ftp [ ftp-directory ]lan-
access | { ssh | telnet | terminal }* }
Operación Comando
Configurar el nivel de comando de una interfaz user privilege level level
de usuario
Restaurar nivel de comando por defecto de una undo user privilege level
interfaz de usuario
De forma predeterminada, un usuario puede acceder a los comandos en el nivel 3 después de acceder a
través de la interfaz de usuario AUX (puerto de consola), y los comandos de nivel 0 después de acceder a
través de la interfaz de usuario de VTY (puertos Ethernet).
34
Cuando un usuario inicia sesión en el switch, el nivel de comandos disponibles depende de dos puntos. Uno
de es el nivel de comando que el usuario está autorizado a acceder, el otro es el nivel de comando
establecido de esta interfaz de usuario. Si los dos niveles son diferentes, el primero será tomado. Por
ejemplo, el nivel de comando de interfaz de usuario VTY 0 es 1, sin embargo, si el usuario tiene privilegio de
acceder a los comandos de nivel 3, si inicia la sesión desde interfaz VTY 0, puede acceder a los comandos
de nivel 3 e inferiores.
Operación Comando
Borrar la configuración de una interfaz de usuario free user-interface [ type ] number
Mostrar la información de usuario de la interfaz de display users [ all ]
usuario
Mostrar los atributos físicos y algunas display user-interface [ type number |
configuraciones de la interfaz de usuario number ] [ summary ]
Mostrar los usuarios y sus respectivos passwords Display saved-configuration
Nota.
Los parámetros type y number del comando free user-interface corresponden a VTY y 0
respectivamente.
Inicie sesión mediante el puerto de consola como usuario nivel de privilegio administrador (3). Realice la
siguiente configuración para usuarios que inician sesión en VTY 0 mediante telnet.
35
Figura 18 Conexión por puerto de consola
<5500> system-view
[5500-ui-vty0] screen-length 30
[5500-ui-vty0] idle-timeout 6
Inicie sesión vía telnet. Note que no se requiere autenticación para iniciar sesión. Recuerde que la conexión
telnet solo es posible mediante los puertos Ethernet del switch y el puerto de red del PC.
Muestre la configuración realizada en VTY 0.
36
Borre las configuraciones establecidas en esta interfaz, y vuelva a mostrar la para confirmar los resultados.
Inicie sesión mediante el puerto de consola como usuario nivel de privilegio administrador (3). Realice la
siguiente configuración para usuarios que inician sesión en VTY 0 mediante telnet.
Inicie sesión mediante el puerto de consola como usuario nivel de privilegio administrador (3). Realice la
siguiente configuración para usuarios que inician sesión en VTY 0 mediante telnet.
37
38
5. ADMINISTRACIÓN DEL SISTEMA DE ARCHIVOS
Sobre la base de los objetos operados, el sistema de archivos se puede dividir de la siguiente manera:
Se puede utilizar el sistema de archivos para crear o eliminar un directorio, visualizar el directorio de trabajo
actual, y mostrar la información sobre los archivos o directorios dentro de un directorio específico. Puede
usar los siguientes comandos para realizar operaciones de directorio.
OPERACIÓN COMANDO
Crear directorio mkdir directory
Borrar directorio rmdir directory
Mostrar el directorio actual pwd
Mostrar información sobre directorios y archivos dir [ /all ] [ /fabric | file-url ]
específicos
Entrar a un directorio especifico cd directory
Al usar el comando delete file-url para eliminar un archivo, este aún permanece en la memoria flash
del switch, tal como en una bandeja de reciclaje, por lo que no se gana espacio en la memoria y el archivo
puede ser recuperado con el comando undelete. Para eliminar un archivo permanentemente y liberar el
espacio en la menoría flash, utilice el comando delete /unreserved file-url. Con este comando se
asegurará de que el espacio está disponible en el sistema de archivos flash. Para asegurarse de que todos
los archivos borrados se han eliminado del sistema, utilice el comando reset recycle bin, este
solicitará la eliminación de todos los archivos de la bandeja de reciclaje del sistema de archivos.
En la información de salida del comando dir/all, los archivos borrados, ósea, los que están en la bandeja de
reciclaje, aparecen entre corchetes.
El sistema de archivo permite realizar las siguientes operaciones con los archivos.
OPERACIÓN COMANDO
Borrar un archivo delete [ /unreserved ] file-url
delete { running-files | standby-files } [ /fabric ]
[/unreserved ]
Recuperar un archivo de la bandeja de reciclaje undelete file-url
Borrar un archivo de la bandeja de reciclaje reset recycle-bin [ file-url ] [ /force ]
Renombrar un archivo rename fileurl-source fileurl-dest
Copiar un archivo copy fileurl-source fileurl-dest
Mover un archivo move fileurl-source fileurl-dest
Mostrar el contenido de un archivo. more file-url
Mostrar la información sobre un directorio o un dir [ /all ] [ /fabric | file-url ]
archivo
.cfg En este archivo se guardan las configuraciones realizadas por el usuario, como los usuarios y
passwords creados, VLANs etc, también se conoce como configuración activa.
.def En este archivo se almacenan las configuraciones por defecto o predeterminadas del switch y,
solo es usado si no existe un archivo de configuración activa en el sistema de archivos flash. Este
archivo casi nunca es cambiado
40
.web Este archivo almacena la interfaz web. Es usado para gestionar la red mediante la interfaz
web.
.app ó .bin Este archivo almacena el software de la aplicación del switch, es un archivo ejecutable.
En los switches que soportan XRN la URL (Universal Resource Locator) de un archivo debe comenzar con
unit [No.]> flash :/ . [No.] representa el ID de la unidad del switch, por ejemplo, si el ID de la unidad de un
switch es 1, la dirección URL de un archivo llamado text.txt y que reside en el directorio raíz de dicho switch
debe ser unit1>flash:/ text.txt.
En el caso de no tener una fabric ósea cuando se tiene un solo switch, se puede obviar la parte unit[No]>, es
decir solo se escribe flash :/
En el caso de encontrarse en un directorio especifico, se puede digitar la ruta o el nombre del archivo
directamente.
Mostrar todos los archivos en el directorio raíz del sistema de archivos del switch.
.
<5500> copy flash:/config.cfg flash:/test/1.cfg
Copy unit1>flash:/config.cfg to unit1>flash:/test/1.cfg?[Y/N]:y
..
%Copy file unit1>flash:/config.cfg to unit1>flash:/test/1.cfg...Done.
2. Mostrar los directorios de la memoria flash y verificar que contienen el directorio test después de la
operación de copiado.
Directory of unit1>flash:/
1 (*) -rw- 5822215 Jan 01 1970 00:07:03 test.bin
2 -rwh 4 Apr 01 2000 23:55:49 snmpboots
3 -rwh 428 Apr 02 2000 00:47:30 hostkey
4 -rwh 572 Apr 02 2000 00:47:38 serverkey
5 -rw- 1220 Apr 02 2000 00:06:57 song.cfg
6 -rw- 5026103 Jan 01 1970 00:04:34 testv1r1.bin
7 -rwh 88 Apr 01 2000 23:55:53 private-data.txt
8 (*) -rw- 1376 Apr 02 2000 01:56:28 config.cfg
9 drw- - Apr 04 2000 04:50:07 test
15367 KB total (4631 KB free)
(*) -with main attribute (b) -with backup attribute
(*b) -with both main and backup attribute
3. Mostrar el contenido del directorio (carpeta) test y velicar que contiene el archivo 1.cfg
Directory of unit1>flash:/test/
1 -rw- 1376 Apr 04 2000 04:50:30 1.cfg
15367 KB total (2025 KB free)
(*) -with main attribute (b) -with backup attribute
(*b) -with both main and backup attribute
Nota. Es posible que la información mostrada por el switch no sea exactamente igual a la mostrada en esta
práctica, en caso tal seleccione otro archivo para realizar el ejercicio.
42
5.1.5 ATRIBUTOS DE LOS ARCHIVOS
Los archivos app, configuración y web soportan tres clase de atributos: mian, backup y none como se
describe en la Tabla 24.
Un archivo puede tener ambos atributos main y backup, esta clase de archivos se identifican con *b.
Los archivos con el atributo main perderán el atributo main cuando se asigne el atributo main a otro archivo,
el cual tendrá ahora el atributo main. Esto asegura que solo habrá un archivo app/ configuración/ web con el
atributo main en la memoria flash, es los mismo con el atributo backup.
Las operaciones sobre un archivo y las operaciones sobre el atributo del archivo son independientes. Por
ejemplo, se borra un archivo con el atributo main de la memoria flash, sin embargo la relación de
correspondencia entre el atributo main y el nombre de este archivo no es cancelada y después de descargar
otro archivo valido que tenga el mismo nombre a la memoria flash, este nuevo archivo heredará el atributo
main.
Las siguientes operaciones se realizan en user view entre las cuales display se realiza en cualquier vista.
43
Tabla 25 Configuración de los atributos de archivo
OPERACIÓN COMANDO
Asigne el atributo mainl a un archivo App con el fin boot boot-loader file-url [ fabric ]
de utilizar este archivo como el archivo de arranque
principal en el siguiente inicio
Asigne el atributo de backup a un archivo App con el boot boot-loader backup-attribute file-url [ fabric ]
fin de utilizar este archivo como el archivo de inicio
de copia de seguridad al siguiente inicio
Asigne el atributo main o backup a un archivo Web, boot web-package webfile { backup | main }
con el fin de utilizar este archivo como el archivo
Web principal o de copia de seguridad en el próximo
inicio.
Asigne el atributo main o backup a un archivo de Startup saved-configuration cfgfile [ backup |
configuración, con el fin de utilizar este archivo como main ]
el archivo de configuración main o de backup en el
siguiente reinicio
Configure el switch para utilizar el archivo de undo startup saved-configuration [ unit unit-id ]
configuración nulo al siguiente inicio
Alternar entre los atributos main y backup de un boot attribute-switch { all | app | configuration |
archivo web }
Habilitar el usuario para acceder al menú principal de startup bootrom-access enable
arranque (Boot menú) con una contraseña
personalizada
Mostrar la información sobre el archivo App que se display boot-loader [ unit unit-id ]
usara en el próximo reinicio.
Visualice la información sobre los archivos de display startup [ unit unit-id ]
configuración de inicio
Mostrar información sobre el archivo web usado por display web package
el dispositivo
Nota. La asignación del atributo main o backup en un archivo web surte efecto inmediatamente, sin
necesidad de reiniciar el switch.
El archivo de configuración graba y almacena las configuraciones realizadas por los usuarios en un switch.
Tiene la extensión .cfg. Predeterminadamente tiene el nombre 3comscfg.cfg. El archivo de configuración es
gravado en formato de texto, con la extensión .txt, por lo que también permite a los usuarios revisar
fácilmente las configuraciones del switch.
Las secciones se enumeran en el siguiente orden: sección de configuraciones del sistema, sección
de configuraciones de la interfaz lógica, sección de configuraciones de puerto físico, sección de
configuraciones de protocolos de enrutamiento, configuraciones de la interfaz de usuario, y así
sucesivamente.
Los atributos main y backup indica el atributo principal y de copia de seguridad del archivo de configuración
respectivamente. Un archivo de configuración principal y un archivo de configuración de copia de seguridad
pueden coexistir en un mismo switch. De esta forma cuando el archivo de configuración principal falla o está
dañado, el archivo de copia de seguridad será usado en su lugar. Esto aumenta la seguridad y fiabilidad del
sistema de archivos, en comparación con switches que sólo admiten un archivo de configuración. Se puede
configurar un archivo para tener atributo main y backup al tiempo, pero sólo se permite un archivo con
atributo, ya sea principal o de copia de seguridad en un switch.
Los siguientes tres situaciones se presentan con los atributos main y backup:
Al guardar la configuración actual, se puede especificar el archivo de configuración para ser main,
backup o none.
Al reiniciar (booting), el sistema selecciona los archivos de configuración siguiendo las siguientes reglas:
45
La administración de los archivos de configuración incluye:
OPERACIÓN COMANDO
Mostrar la información de la display saved-configuration
configuración salvada o activa
Mostrar el archivo de configuración display startup [ unit unit-id ]
usado en el próximo inicio
Mostrar la información de la display current-configuration [ controller
configuración actual |interface interface-type [ interface-number
]| configuration [ configuration ] ] [ |
{begin | exclude | include } regular
expression ]
Mostrar la configuración ejecutandose display this
en la vista actual
OPERACIÓN COMANDO
Salvar la configuración actual save [ cfgfile | [ safely ] [ backup | main ] ]
46
5.2.5 ESPECIFICAR EL ARCHIVO DE CONFIGURACIÓN PARA EL PRÓXIMO INICIO
La siguiente operación específica el archivo de configuración que será usado por el switch la próxima vez
que se inicie (encienda) el switch.
OPERACIÓN COMANDO
Especificar el archivo de configuración Startup saved-configuration cfgfile [ backup | main ]
para el próximo inicio
OPERACIÓN COMANDO
Borrar los archivos de configuración de la Reset saved-configuration [backup | main ]
memoria flash
5.3 FTP
El protocolo de transferencia de archivo (FTP, File Tranfer Protocol) es una forma común de transmitir
archivos en la Internet y en las redes IP. FTP es un protocolo TCP/IP que trabaja en la capa de aplicación y
es usado para transmitir archivos entre un servidor remoto y un host local.
47
Figura 20 Configuración FTP
Servidor FTP: se puede correr un programa cliente FTP en un host remoto para iniciar sesión en el
servidor FTP del switch y tener acceso a los archivos de este.
Cliente FTP: se puede conectar a un servidor FTP en un host remoto y acceder a los archivos de
este.
OPERACIÓN COMANDO
Activar el servidor FTP ftp server enable
Desactivar el servidor FTP undo ftp server
El servidor FTP admite a múltiples usuarios acceder al mismo tiempo. Un cliente FTP remoto envía la
solicitud al servidor FTP, a continuación el servidor FTP llevará a cabo la correspondiente operación y
devolverá el resultado al cliente.
OPERACIÓN COMANDO
Entrar a system view system-view
Crear un nuevo usuario local y entrar a local user local-user username
view
Configurar el password para el usuario local password [ cipher | simple ] password
Configurar el tipo de servicio para el usuario local service-type ftp [ftp-directory
directory]
48
OPERACIÓN COMANDO
Borrar el usuario local undo local-user [ username | all
[ service-type ftp ] ]
Cancelar el password para el usuario local undo password
Cancelar el tipo de servicio para el usuario local undo service-type ftp [ ftp-directory ]
Interfaz de origen se refiere a la interfaz de una VLAN existente en el dispositivo. Dirección IP de origen se
refiere a la dirección IP configurada para una interfaz en el dispositivo. Cada interfaz de origen corresponde
a una dirección IP de origen. Por lo tanto, especificar una interfaz de origen para el servidor FTP es lo mismo
que especificar la dirección IP de esta interfaz como la dirección IP de origen.
OPERACIÓN COMANDO
Entrar a system view system-view
Especificar la dirección IP de origen para el ftp-server source-ip ip-address
servidor
Especificar la interfaz de origen para el servidor ftp-server source-interface
interface-type interface-number
La interfaz especificada debe ser una ya existente; de lo contrario aparecerá un mensaje indicando
error de configuración.
El valor del argumento dirección IP debe ser una dirección IP ya existente en el dispositivo en el que
se realiza la configuración, de lo contrario aparecerá un mensaje indicando error de configuración..
Puede especificar sólo una interfaz de origen o una dirección IP de origen para el FTP al mismo
tiempo. Es decir, sólo uno de los comandos de ftp-server source-interface y ftp-server source-ip
puede ser válido a la vez. Si se ejecutan ambos, el último se sobrescribirá al primero
OPERACIÓN COMANDO
Entrar a system view system-view
Desconectar a un usuario especifico ftp disconnect user-name
49
5.3.1.4 Visualizar y depurar el servidor FTP
Después de las anteriores configuraciones ejecute el comando display en cualquier vista para visualizar
las configuraciones del servidor FTP y verificar el efecto de estas.
OPERACIÓN COMANDO
Mostrar la información del servidor FTP display ftp-server
Mostrar los usuarios FTP conectados display ftp-user
Mostrar la dirección IP de origen del servidor display ftp-server source-ip
50
5.3.2.1 Especificar la interfaz de origen y la dirección IP de origen del cliente FTP
Se puede especificar la dirección IP de origen y la interfaz de origen de un switch que actúa como cliente
FTP, de modo que pueda conectarse a un servidor FTP remoto.
OPERACIÓN COMANDO
Especificar la interfaz de origen usada para la ftp { cluster | remote-server } source-interface
conexión actual interface-type interface-number
Especificar la dirección IP de origen usada para ftp { cluster | remote-server } source-ip ip-address
la conexión actual
Entrar a system view system-view
Especificar una interfaz como la interfaz de ftp source-interface interface-type interface-number
origen del cliente FTP utilizada cada vez que se
conecta a un servidor FTP
Especificar una dirección IP como la dirección IP ftp source-ip ip-address
de origen del cliente FTP utilizada cada vez que
se conecta a un servidor FTP
Muestra la dirección IP de origen utilizado por un display ftp source-ip
cliente de FTP cada vez que se conecta a un
servidor FTP
La interfaz especificada debe ser una ya existente en el switch. De lo contrario, aparecerá un aviso
para indicar que la configuración falla.
El valor del argumento dirección IP debe ser la dirección IP del dispositivo en el que se lleva a cabo
la configuración. De lo contrario, aparece un aviso para indicar que la configuración falla.
5.4 TFTP
El protocolo trivial de transferencia de archivos (TFTP, Trivial Transfer Protocol) es un protocolo simple para
la transmisión de archivos. En comparación con FTP, otro protocolo de transmisión de archivos. TFTP no
tiene ninguna interfaz de acceso interactivo complicado o control de autenticación y por lo tanto se puede
utilizar cuando no hay interacción complicada entre los clientes y el servidor, es decir el cliente y el servidor
se encuentran en el mismo segmento de red o hay un enrutamiento entre ellos. TFTP se implementa sobre
la base de UDP.
La transmisión TFTP se origina del lado del cliente. Para descargar un archivo, el cliente envía una solicitud
al servidor TFTP, recibe los datos de este y envía un acuse de recibo al mismo. Para cargar un archivo, el
cliente envía una solicitud al servidor TFTP transmite los datos y luego recibe el acuse de recibo del servidor
TFTP. TFTP transmite archivos de dos modos: el modo binario para archivos de programa y el modo ASCII
para archivos de texto.
51
5.4.1 Switch como cliente TFTP
OPERACIÓN COMANDO
Descargar archivos mediante TFTP tftp tftp-server get source-file [ dest-file ]
Cargar (subir)archivos mediante TFTP tftp tftp-server put source-file [ dest-file ]
Entrar a System View system-view
Establecer el modo de transmición tftp { ascii | binary }
Especificar una regala ACL usada por tftp-server acl acl-number
un cliente TFTP especifico accesar a un
servidor TFTP
Se puede especificar la interfaz de origen o la dirección IP de origen para un switch operando como cliente
FTP, de modo que se pueda conectar con un servidor FTP remoto, mediante la dirección IP de la interfaz
especificada o la dirección IP especificada.
OPERACIÓN COMANDO
Especificar la interfaz de origen usada para la tftp tftp-server source-interface interface-type
conexión actual. interface-number { get source-file [ dest-file ] | put
source-file-url [ dest-file ] }
Especificar la dirección IP de origen usada para tftp tftp-server source-ip ip-address { get source-file [
la conexión actual dest-file ] | put source-file-url [ dest-file ] }
Entrar a System View system-view
Especificar una interfaz como la interfaz de tftp source-interface interface-type interface-number
origen de un cliente TFTP utilizada cada vez
que se conecta a un servidor TFTP
Especificar una dirección IP como la dirección tftp source-ip ip-address
IP de origen de un cliente TFTP utilizada cada
vez que se conecta a un servidor TFTP
Mostrar la dirección IP de origen utilizada por display tftp source-ip
un cliente TFTP cada vez que se conecta a un
servidor TFTP
La interfaz especificada debe ser una ya existente; de lo contrario aparecerá un mensaje indicando
error de configuración.
El valor del argumento dirección IP debe ser una dirección IP ya existente en el dispositivo en el que
se realiza la configuración, de lo contrario aparecerá un mensaje indicando error de configuración..
52
La dirección IP / interfaz de origen establecida para una conexión tiene prioridad sobre la dirección
IP / interfaz fija establecida para cada conexión. Es decir, para una conexión entre un cliente y un
servidor TFTP, si se especifica la dirección IP /interfaz de origen sólo usada para la conexión esta
vez, y la dirección IP/ interfaz de origen especificado es diferente de la fija, la primera se utilizará
para la conexión esta vez.
Se puede especificar sólo la interfaz de origen o la dirección IP de origen para el cliente TFTP a la
vez. Es decir, sólo uno de los comandos tftp source-interface y tftp source-ip puede ser efectiva a
la vez. Si se configuran ambos comandos, el comando configurado de último se sobrescribirá a el
primero.
Nota. Para la realización de esta práctica se requiere tener instalado un servidor TFTP en el PC. Se
recomienda el servidor TFTP de SolarWinds, por su sencillez y facilidad para el manejo. Este es
suministrado en el paquete que conforma esta guía. También puede ser descargado de forma libre de la
página del propietario.
El switch funciona como un cliente TFTP y el PC como servidor TFTP. Cree un archivo en el PC con el
programa block de notas de Windows y colóquele el nombre switch o seleccione un archivo con la extensión
.txt almacenado en el PC.
Cargar o subir el archivo de configuración config.cfg del switch al directorio del PC, para realizar una
copia de seguridad del archivo de configuración.
<5500>
53
# Entrar a system view
<5500> system-view
[5500]
#Configurar la dirección IP de la VLAN 1 como 1.1.1.1 y asegurar que el puerto por el cual se conecta el PC
al switch pertenece a esta VLAN 1.
# Utilice el comando dir para mostrar los archivos en la memoria flash del switch y verifique que contienen el
archivo switch.txt descargado desde el PC. Verifique que el archivo config.cfg, fue cargado en el directorio
del PC.
Nota. Para la realización de esta práctica se requiere tener instalado un servidor FTP en el PC. Se
recomienda el servidor FTP de FileZilla, por su sencillez y facilidad para el manejo. Este es suministrado en
el paquete que conforma esta guía también puede ser descargado de forma libre de la página del
propietario.
El switch sirve como el cliente FTP y el PC remoto como el servidor FTP. La configuración en el servidor
FTP: usuario switch, contraseña hello y con autorización de lectura y escritura sobre el directorio raíz. La
dirección IP de la interfaz de VLAN en el switch es 1.1.1.1, y la de la PC es 2.2.2.2. Existe comunicación
entre el switch y el PC o se puede colocar las direcciones IPs en el mismo segmento de red ejemplo 1.1.1.1
/24 y 1.1.1.2/24 como se hizo en la Práctica 14.
Cree un directorio con el nombre dirftp en el PC, dentro de este cree un archivo con el programa block de
notas de Windows y colóquele el nombre switch o seleccione un archivo con la extensión .txt almacenado en
el PC. Usando FTP, el switch puede descargar el archivo switch.txt desde el servidor FTP remoto y cargar el
archivo config.cfg al servidor FTP desde el directorio del switch para fines de backup.
54
1. Configure los parámetros del servidor FTP en el PC: username switch, password hello y autorización de
lectura y escritura sobre el directorio del PC.
2. Configure el switch.
Inicie sesión en el switch localmente mediante el puerto de consola o remotamente mediante telnet.
<SW5500>
[ftp] cd dirftp
[ftp]put config.cfg
5. Descargue el archivo switch.app desde el servidor FTP a la memoria flash del switch.
[ftp]get switch.txt
[ftp]quit
<SW5500>
7. Utilice el comando dir para mostrar los archivos en la memoria flash del switch y verifique que contienen
el archivo switch.txt descargado desde el PC. Verifique que el archivo config.cfg fue cargado en el
directorio del PC.
55
Práctica 16 Configuración del switch como servidor FTP.
Nota. Para la realización de esta práctica se requiere tener instalado un cliente FTP en el PC. Se
recomienda el cliente FTP de FileZilla, por su sencillez y facilidad para el manejo. Este es suministrado en el
paquete que conforma esta guía también puede ser descargado de forma libre de la página del propietario.
El switch sirve como servidor FTP y el PC remoto con cliente FTP. La configuración en el servidor FTP:
username switch, password hello y autorización de lectura y escritura sobre el directorio raíz flash en el PC.
La dirección IP de la interfaz de la VLAN en el switch is 1.1.1.1 y la del PC es 2.2.2.2. Existe comunicación
entre el switch y el PC o se puede colocar las direcciones IPs en el mismo segmento de red ejemplo 1.1.1.1
/24 y 1.1.1.2/24 como se hizo en la Práctica 14.
El archivo switch.txt esta almacenada en el PC. Usando FTP el PC puede cargar el archivo switch.txt en la
memoria flash del switch y descargar el archivo config.cfg desde el servidor FTP a la memoria del PC con
fines de backup.
1. Configurar el Switch
Inicie sesión en el switch localmente mediante el puerto de consola o remotamente mediante telnet.
<SW5500>
Windows viene con un cliente FTP activado por defecto, al cual se puede acceder desde símbolo del
sistema, para lo cual se hace clic en el botón de inicio y se digita cmd en la caja de texto que aparece en el
menú de inicio. Se hace clic sobre el icono de símbolo del sistema. Luego se digita ftp más la dirección IP
del servidor. Si la conexión fue exitosa se visualizará el siguiente pantallazo.
56
Figura 24 Pantallazo cliente FTP de Windows
4. Utilizar los comandos correspondientes para cargar el archivo switch.app a la memoria flash del switch y
descargar el archivo config.cfg del switch al directorio del PC.
6. Utilizar el comando dir para mostrar los archivos en la memoria flash del switch y verifique que contienen
el archivo switch.app cargado desde el PC. Verifique que el archivo config.cfg fue descargado en los
archivos del PC.
OPERACIÓN COMANDO
Reiniciar el switch reboot [ unit unit-id ]
57
5.5.2 Designar la app adoptada cuando se reinicie el switch
En el caso de que haya varias APPs en la memoria flash, se puede usar este comando para designar la APP
que se usara cuando se inicie el switch la próxima vez.
OPERACIÓN COMANDO
Designar la app adoptada cuando se inicie boot boot-loader file-url
el switch la próxima vez
OPERACIÓN COMANDO
Actualizar la bootrom boot bootrom { file-url | device-name }
OPERACIÓN COMANDO
58
5.6 HERRAMIENTAS DE PRUEBA DE CONEXIÓN DE LA RED.
5.6.1 PING
El comando ping se usa para probar las conexiones de red y comprobar si los host son alcanzables.
Funciona tal cual como funciona en un PC.
Nota. Cuando se hace ping a una dirección IP de una VLAN, solo se mostrará que hay comunicación con
esta dirección si hay un PC u otro dispositivo conectado en esta Vlan, de lo contrario se mostrará que la
VLAN es inalcanzable.
OPERACIÓN COMANDO
Soporte IP ping ping [ -a ip-address ] [-c count ] [ -d ] [ -h ttl ] [ -i { interface-type interface-
num | interface-name } ] [ ip ] [ -n ] [ - p pattern ] [ -q ] [ -r ] [ -s packetsize ] [
-t timeout ] [ -tos tos ] [ -v ] host
<SW5500>ping 202.38.160.244
ping 202.38.160.244 : 56 data bytes
Reply from 202.38.160.244 : bytes=56 sequence=1 ttl=255 time = 1ms
Reply from 202.38.160.244 : bytes=56 sequence=2 ttl=255 time = 2ms
Reply from 202.38.160.244 : bytes=56 sequence=3 ttl=255 time = 1ms
Reply from 202.38.160.244 : bytes=56 sequence=4 ttl=255 time = 3ms
Reply from 202.38.160.244 : bytes=56 sequence=5 ttl=255 time = 2ms
--202.38.160.244 ping statistics--
5 packets transmitted
5 packets received
0% packet loss
round-trip min/avg/max = 1/2/3 ms
59
60
6. ACTUALIZACIÓN DEL SOFTWARE
Esta sesión describe como actualizar los archivos del switch desde la línea de comandos CLI.
Al igual que los sistemas operativos de los PCs y otros dispositivos, el software de los switches debe ser
actualizado periódicamente. Para ello el fabricante, provee el software de actualización, el cual puede ser
descargado a través de su página web www.hp.com para lo cual se pueden utilizar los siguientes enlaces.
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber=JE101A&lang=&cc=&pro
dSeriesId=
Para el switch 5500
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber=JE045A&lang=&cc=&pro
dSeriesId=
Para el switch 4500.
En este ejemplo puede apreciarse que solo se suministran los archivos .BTM, WEB y APP. Los archivos .def
y .cfg no requieren actualización.
Antes de actualizar el software del switch es importante revisar el contenido de la memoria flash del switch,
para asegurase que hay suficiente espacio para los nuevos archivos. El espacio necesario para los nuevos
archivos es de 5.5 MB aproximadamente.
61
Nota. Si no se tiene suficiente espacio en la memoria flash, actualice primero el programa de BootROM y
luego la aplicación del dispositivo.
El bootrom firmware del switch puede no requerir actualización en cada actualización de software, Para
visualizar la versión del software de firmware del switch digite en cualquier vista.
El numero 4.06 coincide con el número de versión en el archivo de bootrom a descargar (s4e04_06.btm), el
cual es 04_06. Si el número de la versión del archivo a descargar en lamemoria flash del switch coincide con
la versión visualizada, no es necesario descargar el archivo de bootrom (.btm).
Antes de actualizar el software es recomendable realizar un backup de los archivos de configuración activa
(.cfg ) y por defecto (.def). Siga los siguientes pasos.
El archivo de configuración por defecto o predeterminado debe tener el nombre 3ComOScfg.def. Este
archivo sólo es utilizado por el switch si no hay ningún archivo de configuración activo o creado por el
usuario (.Cfg) en el sistema de archivos flash. El archivo de configuración por defecto es el mismo para cada
Switch 5500 del mismo tipo (ejemplo, Switch 5500 de 28 puertos) y difiere del archivo de configuración de un
Switch 5500 de un tipo diferente (ejemplo, Switch 5500 de 52 puertos). Un archivo de configuración por
defecto es suministrado con el switch.
<SW5500>more 3comoscfg.def
Este archivo es muy pocas veces cambiado, así el número de versión puede no coincidir con el número de
versión del software de aplicación (.app).
Se puede crear un archivo configuración por defecto, cambiando el nombre del archivo de la configuración
activa xxx.cfg a 3ComOScfg.def.
62
6.1 ACTUALIZACIÓN DEL SOFTWARE VÍA TFTP
Para esta práctica se requiere haber descargado el paquete con los archivos de actualización al PC que
servirá como servidor TFTP.
Inicie sesión en el switch por puerto de consola o vía telnet. Digite el siguiente comando.
dir unit1>flash:
Directory of unit1>flash:/
La anterior lista de archivos debe contener uno de cada uno de los siguientes tipos de archivos: .web, .def,
.cfg y .app.
Cualquier archivo adicional debe ser considerado para eliminarse y así permitir el máximo espacio para la
descarga de los archivos nuevos. Para eliminar un archivo de la lista digite:
delete/unreserved unit1>flash:/filename
La opción /unreserved, hará que el archivo sea borrado tanto de la memoria flash como de la papelera de
reciclaje. Para comprobar que los archivos borrados han sido eliminados de la papelera de reciclaje digite lo
siguiente:
Para realizar una copia de seguridad del archivo de configuración por defecto digite:
El PC debe tener instalado un servidor TFTP. Ejemplo TFTP Server de SolarWinds.Net, el cual puede ser
descargado desde el siguiente enlace http://solarwinds-tftp-server.softonic.com/
Realice el montaje de la Figura 25, arranque el servidor TFTP en el PC y digite el siguiente comando en la
CLI del switch.
El archivo de la interfaz de usuario WEB (.web) y el archivo de aplicación (.app), no requieren backup dado
que estos archivos tendrán un nuevo número de versión.
64
El bootrom firmware del switch puede no requerir actualización en cada actualización de software, Para
visualizar la versión del software de firmware del switch digite en cualquier vista.
El numero 4.06 coincidirá con el número de versión en el archivo de bootrom a descargar, el cual es 04_06.
Si el número de la versión del archivo coincide con la versión visualizada, no es necesario descargar el
archivo de bootrom (.btm).
Para configurar el switch de forma que arranque desde los nuevos softwares descargados realice las
siguientes operaciones.
Para configurar el switch para arrancar desde el nuevo bootrom firmware, digite
Para que los cambios tengan efecto es necesario reiniciar el switch. El switch actualizara el bootrom
firmware y arrancará desde el software especificado, archivo .app.
<SW5500> reboot
En este punto los archivos que fueron salvados en la fase de backup pueden ser borrados una vez la
actualización se haya completado satisfactoriamente.
65
Práctica 19 Actualización del software vía FTP.
Prerrequisitos
Descargar el software de actualización del switch desde la página WEB del fabricante y almacenarlo en el
PC, para lo cual siga los siguientes enlaces.
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber=JE101A&lang=&cc=&pro
dSeriesId=
Para el switch 5500
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber=JE045A&lang=&cc=&pro
dSeriesId=
Para el switch 4500
El PC debe tener instalado un servidor FTP, por ejemplo FileZilla Server el cual puede ser descargado de la
página WEB FileZilla. https://filezilla-project.org/
El switch sirve como el cliente FTP y el PC remoto como el servidor FTP. En el servidor FTP (PC) configure
un usuario FTP llamado switch, con la contraseña hello y con privilegio de lectura y escritura sobre el
directorio donde se encuentra el software de actualización. La dirección IP de la interfaz de VLAN en el
switch es 1.1.1.1 y la dirección IP de la PC es 2.2.2.2. Debe haber un enrutamiento (comunicación) entre
switch y el PC, compruebe esto mediante el comando ping.
Realice el montaje la Figura 26, arranque el servidor FTP en el PC y siga los siguientes pasos.
1. Inicie sesión en el switch mediante el puerto de consola o vía telnet y digite el siguiente comando en user
iew para establecer la conexión con servidor, luego digite el username y el password para iniciar sesión
en el servidor FTP.
[ftp]cd directorio
[ftp]get s4m03_03_02s168ep22.app
66
Descargue el archivo de interfaz de usuario WEB.
[ftp]get s4h05_01.web
Para configurar el switch de forma que arranque desde el nuevo software descargado digite el
siguiente comando
Para configurar el switch para arrancar desde el nuevo bootrom firmware, digite
Para que los cambios tengan efecto es necesario reiniciar el switch. El switch actualizara el bootrom
firmware y arrancará desde el software especificado, archivo .app.
<SW5500> reboot
67
68
7. CONFIGURACIONES BÁSICAS DEL SISTEMA
OPERACIÓN COMANDO
Establecer el nombre del switch sysname sysname
Restaurar el nombre por defecto del switch undo sysname
OPERACIÓN COMANDO
Establecer la hora del switch clock datetime time date
Mostrar la información de la hora y fecha display clock
Parámetros
Colocar el nombre 3Com al switch, fijar la hora y fecha en 09:30:00, 2013/1/1 luego mostrar la configuración
realizada.
<SW5500>system-view
System View: return to User View with Ctrl+Z.
[SW5500]sysname 3Com
[3Com] quit
<3Com>clock datetime 09:30:00 2013/01/01
<3Com >display clock
09:30:00 UTC Tue 01/01/2013
69
70
8. RECUPERACIÓN DEL PASSWORD
Las contraseñas que se utilizan en la interfaz de usuario web y la CLI y son almacenadas en el archivo
3comscfg.cfg.
Si la contraseña de protección de la bootrom se olvida o se pierde, una contraseña de reparación puede ser
proporcionada por el soporte técnico de 3Com para remplazar la contraseña perdida. Este mecanismo de
recuperación de contraseña se puede desactivar en el menú de la bootrom. Sin embargo, si el mecanismo
de recuperación de contraseña está deshabilitado y la contraseña de la bootrom se pierde, entonces no
habrá ningún mecanismo de recuperación disponible, en este caso, el switch tendrá que ser llevado a 3Com
para su reparación.
Los siguientes comandos están ejecutados desde la ROM de arranque utilizando directamente la consola.
Antes de que la cuenta regresiva llegue a 0, presione CTRL B. El temporizador es seguido por una solicitud
de contraseña. Por defecto no se requiere contraseña. Pulse Enter para visualizar el menú de arranque.
BOOT MENU
71
8.2 MOSTRAR LOS ARCHIVOS EN LA MEMORIA FLASH
En el menú de arranque (boot menu) seleccione la opción 3 para mostrar la siguiente información.
72
8.4 RECUPERACIÓN DEL PASSWORD DE CONSOLA
Desconecte y vuelva a conectar el switch a la toma de 110 V. para que se reinicie el switch.
Starting......
********************************************************************************
*
HP A5800-24G-PoE+ Switch BOOTROM, Version 212 *
*
********************************************************************************
Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
Creation Date : Feb 23 2011,15:47:03
CPU Clock Speed : 750MHz
Memory Size : 512MB
Flash Size : 512MB
CPLD Version : 003
PCB Version : Ver.B
Mac Address : 00238927AFDB
Press Ctrl-B to enter Extended Boot menu...1
Please input BootRom password:
Presione Ctrl + B dentro del tiempo requerido (cinco segundos) y escriba la contraseña del ROM de
arranque (BOOTROM) para acceder al menú de arranque.
BOOT MENU
NOTA:
Por defecto, se puede acceder al menú de arranque sin contraseña. Si se ha olvidado o perdido la
contraseña de BOOTROM, esta se puede recuperar, como se describe en "Recuperación de la contraseña
de la ROM de arranque".
73
Seleccione la opción 7, esto iniciara al switch con la configuración predeterminada de fábrica, (archivo
3comoscfg.def) en el siguiente arranque del switch.
El switch salta la configuración activa y reinicia con la configuración de fábrica, permitiendo ingresar al
BOOTROM sin solicitar contraseña.
********************************************************************************
* *
* HP A5800-24G-PoE+ Switch BOOTROM, Version 212 *
* *
********************************************************************************
Configuration file is skipped.
User interface aux0 is available.
Press ENTER to get started.
<SW5500>
Utilice el comando more para visualizar el archivo de configuración de inicio y ver la contraseña de acceso
mediante el puerto de consola.
Si el modo de autenticación password es usado, el password puede ser visualizado en texto cifrado (cipher
text)o en texto plano (plain text) como se indica a continuación.
74
Password en texto plano
#
user-interface aux 0
authentication-mode password
set authentication password simple juan1
NOTA:
• Si el password de la consola se muestra en texto cifrado, HP le recomienda cambiar el password.
• No se mostrara la contraseña si la función password control está activada. Para ver la contraseña, primero
desactive la función de control de contraseña con el comando password-control enable.
Si el modo de autenticación scheme es usado, revise las cuentas de usuarios locales que utilizan el servicio
de terminal para ver el nombre de usuario y contraseña. Dependiendo de su configuración, la contraseña se
muestra en texto plano o texto cifrado, como sigue:
NOTA:
• Si el password de la consola se muestra en texto cifrado, HP recomienda cambiar el password.
Si se quiere cambiar la contraseña o deshabilitar la autenticación, use el comando copy para realizar una
copia de seguridad del archivo de configuración. Si no, reinicie el switch e inicie sesión con la contraseña
antigua. En este ejemplo, la copia de seguridad archivo se llama startup_bak.cfg.
Utilice un servidor FTP o TFTP, para transferir el archivo de configuración 3comoscfg.cfg a su PC, y
editarlo con un editor de texto, tal como Bloc de notas o WordPad en una de las siguientes formas.
Cambie la palabra authentication-mode por none.
75
En el modo de autenticación password, en la línea del comando set authentication password remplace
la palabra cipher por simple y digite un nuevo password.
Remplace la palabra cipher en la línea de comando password por simple y digite un nuevo password
para el modo de autenticación scheme
Utilice el comando display current-configuration para visualizar la configuración actual del password
telnet.
76
NOTA
El sistema no muestra la línea de comandos authentication-mode para el modo de autenticación password,
el modo de autenticación por defecto en una interfaz de usuario telnet (VTY).
Ingrese al boot menú, seleccione la opción 7 para que el switch arranque con la configuración por defecto en
el próximo reinicio y reinicie el switch. Ver recuperación del password de consola pag. 73.
Use el comando more para visualizar el archivo de configuración de arranque y buscar el nivel de privilegio
del password de usuario.
Si se utiliza la autenticación local, revise la línea de comando super password para ver el nivel de privilegio
del password de usuario. Dependiendo de la configuración, la contraseña se mostrará en texto plano o texto
cifrado.
#
super password level 2 simple 123
super password level 3 simple 123
#
super password level 2 cipher 7-CZB#/YX]KQ=^Q`MAF4<1!!
super password level 3 cipher AN$TBB7'VF3Q=^Q`MAF4<1!!
NOTA:
No se mostrará el password si la función password control está activada. Para ver el password, primero
deshabilite la función control de contraseña usando el comando undo password-control enable.
Si se muestra la contraseña del nivel de privilegios del usuario en texto cifrado, HP recomienda cambiar la
contraseña.
Si se quiere cambiar la contraseña o deshabilitar la autenticación, use el comando copy para realizar una
copia de seguridad del archivo de configuración. Si no, reinicie el switch e inicie sesión con la contraseña
antigua. En este ejemplo, la copia de seguridad archivo se llama startup_bak.cfg.
77
Use un servidor FTP o TFTP, para transferir el archivo de configuración 3comoscfg.cfg a su PC, y
editarlo con un editor de texto, tal como Bloc de notas o WordPad en una de las siguientes formas.
En el modo de autenticación password, en la línea del comando password remplace la palabra cipher por
simple y digite un nuevo password.
Elimine la línea super authentication-mode scheme para restaurar la autenticación local, y añadir una
línea de comandos super password para establecer la nueva contraseña. Antes de realizar estas acciones,
obtener el permiso de su administrador y asegúrese de que las acciones no violen la política de seguridad de
su organización.
Inicie sesión en el switch y ahora se puede utilizar el nuevo nivel de privilegio del password.
Obtenga la dirección MAC del switch por alguno de los siguientes métodos:
Reinicie el switch
* *
* HP A5800-24G-PoE+ Switch BOOTROM, Version 212 *
* *
********************************************************************************
Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
Creation Date : Feb 23 2011,15:47:03
CPU Clock Speed : 750MHz
Memory Size : 512MB
Flash Size : 512MB
CPLD Version : 003
PCB Version : Ver.B
Mac Address : 00238927AFDB
78
Contacte al soporte de HP y suminístrele la dirección MAC del switch para solicitar el password de
BOOTROM.
Utilice el password de bootrom suministrado para acceder al menú de inicio, seleccione la opción 5 en el
menú, digite el password suministrado cuando se le solicite la contraseña antigua y luego digite una
contraseña de arranque nueva.
BOOT MENU
Utilice el comando display current-configuration para revisar las cuentas de usuarios locales que
utilizan servicio Telnet para visualizar el usuario y la contraseña. Dependiendo de la configuración, la
contraseña se muestra en texto plano o texto cifrado:
NOTA.
Si la contraseña se muestra en texto cifrado, HP recomienda cambiar la contraseña.
No se mostrará el password si la función password control está activada. Para ver el password, primero
deshabilite la función password control usando el comando undo password-control enable.
79
Cambie el password. En este ejemplo el password del usuario admin será cambiado por 123456.
<SW5500> system-view
[SW5500] local-user admin
[SW5500-luser-admin] password simple 123456
Utilice el comando save para salvar la configuración. Ahora se podrá iniciar sesión en la interface WEB con
el nuevo password.
80
9. CONFIGURACIÓN DE LOS PUERTOS ETHERNET
Los puertos son cada una de las entradas para terminal RJ45 que tiene el switch en la parte frontal, también
son llamados puertos Ethernet, particularmente el switch 3Com 5500 EI 28 port presenta 28 puertos
enumerados de 1 al 28, los primeros veinticuatro se designan como 10/100BASE-T Ethernet port y se
caracterizan principalmente por tener una velocidad máxima de transmisión de 100 Mbps (Megabit por
segundo), los últimos cuatro se designan como Gigabit Ethernet port y tienen una velocidad única de
transmisión de 1000 Mbps o 1Gbps.
La configuración u operación de puertos son todas las características y propiedades de dichos puertos, las
cuales pueden ser ajustadas según las necesidades y gustos del usuario o administrador del switch, en este
taller se trataran solo las principales o de mayor aplicación, o sea que el switch presenta muchas más
configuraciones y características, las cuales pueden ser consultadas en el manual de 3Com. (Ver
bibliografía).
81
9.1 ENTRAR EN LA VISTA DEL PUERTO (Ethernet Port View)
Antes de configurar un puerto Ethernet primero debemos entrar a la vista sistema por medio del comando
system-view, luego se debe entrar a la vista puerto, como se describe a continuación.
Operación Comando
Entrar a la vista puerto interface {interface_type
interface_num|interface_name }
Operación Comando
Deshabilitar Pto. Shutdown
Habilitar Pto undoshutdown
82
9.3 ASIGNAR UNA DESCRIPCIÓN A UN PUERTO ETHERNET
Es posible asignar un nombre mediante una cadena de caracteres par distinguir un Pto Ethernet.
Operación Comando
Asignar descripción description text
Borrar descripción undo description
Operación Comando
Establecer el modo dúplex duplex { auto | full | half }
Borrar el modo duplex undo duplex
los puertos 10/100BASE-T Ethernet soportan full duplex, half duplex y negociación automática, los puertos
Gigabit Ethernet soportan full duplex y auto. El modo por defecto para ambos tipos de puertos es auto (auto-
negociación).
83
Práctica 29 Configuración del atributo dúplex del puerto ethernet
Operación Comando
Ajustar la velocidad del puerto speed { 10 | 100 | 1000 | auto }
Restaurar la velocidad por defecto del puerto. undo speed
Nota. la luz indicadora del puerto cambia a color amarillo o ámbar cuando la velocidad del puerto se ajusta
a 10 o 100 Mbps y verde a 1000 Mbps.
84
Tabla 53 Ajustar el tipo de cable conectado a un puerto
Operación Comando
Ajustar el tipo de cable conectado a un puerto mdi { across | auto | normal }
Ethernet.
Restaurar el tipo de cable por defecto del undo mdi
puerto.
La configuración por defecto del tipo de cable de un puerto Ethernet es en modo auto, en el cual el sistema
reconocerá automáticamente el tipo de cable conectado.
Operación Comando
Habilitar el control de flujo del puerto Ethernet flow-control
Deshabilitar el control de flujo del puerto undo flow-control
Ethernet
85
9.7 CONFIGURAR EL TIPO DE ENLACE PARA UN PUERTO ETHERNET
Un puerto Ethernet puede operar en cuatro tipos de enlaces diferentes: access, trunk, hybrid, y stack. Un
puerto Access (acceso) pertenece a una única VLAN, se utiliza para la conexión de la computadora del
usuario. Un puerto trunk (troncal) puede pertenecer a más de una VLAN y recibir / enviar los paquetes en
varias VLANs, es utilizado para la conexión entre los switches. Un puerto hybrid (hibrido) también puede
pertenecer a más de una VLAN y recibir / enviar los paquetes en múltiples VLANs, se utiliza para conectar
las computadoras de los usuarios y también para conexiones entre switches. La diferencia entre un puerto
híbrido y un puerto troncal es que un puerto híbrido permite que los paquetes de múltiples VLANs puedan
ser enviados sin etiquetas (VLAN tags), pero un puerto troncal sólo permite que los paquetes de la VLAN
por defecto sean enviados sin etiquetas (VLAN tags). Un puerto stack (pila) se utiliza cuando se van
conectar o combinar varios switches como una sola unidad, lo que se conoce como Fabric. Únicamente los
puertos Gigabit Ethernet1/0/27 y Gigabit Ethernet1/0/28 pueden ser configurados como puertos stack.
Operación Comando
Configurar el Puerto como puerto Access port link-type access
Configurar el Puerto como puerto hybrid port link-type hybrid
Configurar el Puerto como puerto trunk port link-type trunk
Configurar el Puerto como puerto stack port link-type xrn-fabric
Restaurar el tipo de puerto por defecto undo port link-type
NOTA.
Se puede configurar cuatro tipos de puertos de forma simultánea en el mismo switch, pero no puede cambiar
el tipo de puerto entre un puerto troncal, un puerto híbrido y un puerto de pila (stack). Se debe primero
devolver el puerto a tipo acceso y luego al otro tipo. Por ejemplo, no se puede configurar un puerto troncal
directamente como un puerto híbrido, se debe en primer lugar establecerse como un puerto acceso y luego
como un puerto híbrido.
<SW5500>system-view
[SW5500]interface ethernet1/0/2
[SW5500-ethernet1/0/2]port link-type hybrid
86
9.8 AGREGAR UN PUERTO ETHERNET A UNA VLAN ESPECIFICA
Los puertos access solo pueden ser agregados a una sola VLAN, mientras que los puertos trunk y hybrid
pueden ser agregados en múltiples VLANs.
OPERACIÓN COMANDO
Enrar a system view system-view
Entrar a Ethernet port view interface interface-type interface-number
Agregar un Puerto acces a una VLAN port access vlan vlan-id
Agregar un Puerto trunk a una VLAN port trunk permit vlan { interface-type interface-
number [ to interface-type interface-number ]| all }
Agregar un Puerto hybrid a una VLAN port hybrid vlan { interface-type interface-number [
to interface-type interface-number ] }{ tagged |
untagged }
# Crear la Vlan
<SW5500>system-view
[SW5500]vlan 3
[SW5500-vlan3]quit
87
Práctica 35 Agregar un Puerto trunk a una VLAN
Agregar el puerto trunk 1/0/10 a las VLANs 2, 4 y a las VLANs en el rango de 50 a 100
<SW5500>system-view
System View: return to User View with Ctrl+Z.
# Crear las VLANs. Use luego el comando quit para salir de VLAN view si es necesario.
[SW5500]vlan 2 4 50 to 100
Please wait............. Done.
[SW5500]interface ethernet 1/0/10
[SW5500-Ethernet1/0/10]port link-type trunk
[SW5500-Ethernet1/0/10]port trunk permit vlan 2 4 50 to 100
Please wait... Done.
[SW5500-Ethernet1/0/10]
Agregar el Puerto hybrid 1/0/12 a las Vlans 2, 4 y a las VLANs en el rango de 50 a 100.
Como en el ejercicio anterior se crearon las VLANs no es necesario crearlas nuevamente para este ejercicio.
<SW5500>system-view
System View: return to User View with Ctrl+Z.
[SW5500]interface ethernet 1/0/12
[SW5500-Ethernet1/0/12]port link-type hybrid
[SW5500-Ethernet1/0/12]port hybrid vlan 2 4 50 to 100 tagged
[SW5500-Ethernet1/0/12]
88
Realice la siguiente configuración en Ethernet Port View.
Operación Comando
Establecer la VLAN predeterminada para un port hybrid pvid vlan vlan_id
puerto hibrido
Establecer la VLAN predeterminada para un port trunk pvid vlan vlan_id
puerto troncal
Restaurar la VLAN ID predeterminada de un undo port hybrid pvid
Puerto hibrido al valor por defecto
Restaurar la VLAN ID predeterminada de un undo port trunk pvid
Puerto trunk al valor por defecto
Por defecto, la VLAN de un puerto híbrido y un puerto de troncal es la VLAN 1 y el de un puerto de acceso
es la VLAN a la cual este pertenece.
NOTA.
Para garantizar la adecuada transmisión de paquetes, la ID de VLAN predeterminado del puerto local híbrido
o troncal debe ser idéntica a la del puerto híbrido o troncal en el switch remoto.
Operación Comando
Entrar a System View system-view
Copiar la configuración de un puerto a otro copy configuration source { interface-type interface-number
puerto } destination { interface-type interface-number [ to interface-
type interface-number ] }
# Copiar la configuración del puerto Ethernet 1/0/1 al puerto Ethernet 1/0/2 y puerto Ethernet 1/0/3
<SW5500> system-view
System View: return to User View with Ctrl+Z.
[SW5500] copy configuration source ethernet 1/0/1 destination ethernet 1/0/2
ethernet 1/0/3
Note: The following will be removed from destination port list:
Aggregation port(s), Voice vlan port(s).
Copying VLAN configuration...
Copying Protocol based VLAN configuration...
Copying LACP configuration...
Copying QOS configuration...
89
Copying speed/duplex configuration...Copying GARP configuration...
Copying STP configuration...
Operación Comando
Mostrar toda la información del puerto display interface { interface_type |
interface_type interface_number }
Mostrar los puertos híbridos o los troncales display port { hybrid | trunk }
Configurar la Vlan2 como Vlan por defecto para el Pto. No. 10 y mostrar la configuración de este puerto.
<SW5500>system-view
[SW5500]interface ethernet1/0/10
[SW5500-ethernet1/0/10]port link-type hybrid
Requerimientos de red
Switch A y switch B están interconectados mediante los puertos trunk (Ethernet 1/0/1).
Configurar la VLAN 100 como la VLAN por defecto de ambos puertos Ethernet 1/0/1.
Permitir que los paquetes de las VLAN 2, VLAN 6 a VLAN 50 y VLAN 100 pasen a través de
ambos puertos Ethernet 1/0/1.
Procedimiento
<5500> system-view
[5500] interface ethernet 1/0/1
91
[5500-Ethernet1/0/1] port link-type trunk
# Permitir que los paquetes de las VLAN 2, VLAN 6 a VLAN 50 y VLAN 100 pasen a través del puerto
Ethernet 1/0/1
# Configurar la VLAN 100 como la VLAN por defecto del puerto Ethernet 1/0/1
# use los comandos ping y display para comprobar la comunicación entre las VLANs y mostrar la
configuración respectivamente.
92
10. VLAN
VLAN (virtual local area net) red de área local virtual, es un método de crear redes lógicas e independientes
dentro de una misma red física, que sigue el estándar IEEE 802.1Q. Mediante la creación de VLAN en una
LAN física, se puede dividir la LAN en múltiples LANs lógicas, cada una de las cuales tiene su propio
dominio de broadcast. Los host de la misma VLAN se comunican de forma Ethernet tradicional. Sin
embargo, los host en diferentes VLANs no pueden comunicarse directamente entre sí, pero pueden hacerlo
con la ayuda de dispositivos de capa de red, como routers y switches de Capa 3. La Figura 29 ilustra una
implementación de VLANs en una LAN.
Los switches 3Com 4500 y 5500 soportan Vlans basadas en protocolos y Vlans basadas en puertos. En esta
guía solo se tratara Vlan basada en puerto.
93
Figura 30 Formato de la etiqueta de VLAN (VLAN tag)
Como se aprecia en la Figura 30, la etiqueta de VLAN es agregada entre los campos DA&SA que se refiere
a la dirección MAC de origen y destino y el campo Type de los encabezados de los paquetes IP. El campo
VLAN ID de la etiqueta 802.1Q indica la ID de la VLAN a la cual pertenece el paquete y su rango va de 0 a
4.095 donde 0 y 4.095 no son generalmente usados.
Las etiquetas 802.1Q solo son admitidas en una LAN puesto que estas son eliminadas cuando los paquetes
pasan a través de un router.
Los swithes suelen permitir a los puertos ser miembros etiquetados o no etiquetados de una VLAN. Si un
puerto es un miembro sin etiquetar de una VLAN, los paquetes transmitidos en el puerto no contienen
información de VLAN. Si un puerto es un miembro etiquetado de una VLAN, los paquetes transmitidos en el
puerto contienen la ID de VLAN como se especifica en el estándar 802.1Q. Puertos etiquetados y no
etiquetados pueden coexistir en la misma VLAN. Al configurar las VLAN, es necesario entender cuándo
utilizar el etiquetado o no etiquetado de un puerto miembro de una VLAN.
El puerto debe ser un miembro de múltiples VLANs. Cuando un puerto tiene que ser miembro de
múltiples VLANs, puede ser un miembro sin etiquetar de una de estas VLAN, pero tiene que ser
definido como un miembro etiquetado de todas las otras VLAN.
El puerto es utilizado para la interconexión entre dos switches en los cuales existen VLANs
distribuidas entre estos. En una red donde las VLANs estén distribuidas entre más de un switch, los
puertos que interconectan los switches deben utilizar etiquetado 802.1Q, para que todo el tráfico de
VLAN pueda transmitirse a lo largo de los enlaces entre los switches. El etiquetado 802.1Q sólo se
puede utilizar si los dispositivos en ambos extremos de un enlace admiten el estándar IEEE 802.1Q.
Está conectado a dispositivos que no son compatibles con el etiquetado de paquetes de la norma
802.1Q. Por lo general, las estaciones finales descartaran los paquetes etiquetados, por lo que
deben ser conectadas a puertos sin etiquetar.
94
Figura 31 Ejemplo de VLANs distribuidas en varios switches.
En la Figura 31 se ilustra un ejemplo simple. Cada switch tiene una estación final en la VLAN 1 y en la VLAN
2. Todas las estaciones finales en la VLAN 1 tienen que comunicarse con el servidor de la VLAN 1 que está
conectado al Switch 1 y todas las estaciones finales en la VLAN 2 tienen que comunicarse con el servidor 2
de la VLAN 2 que está conectado al Switch 2. Ambas VLAN se distribuyen entre los dos switches. Esto se
consigue al hacer que los puertos en cada extremo del enlace que conecta Switch 1 con el Switch 2 sean
miembros etiquetados de las VLANs 1 y 2.
La Figura 32 muestra otro ejemplo. Los swiches son conectados mediante enlaces con etiqueta 802.1Q. El
switch D capa3, puede decirle a los switches A, B y C para cual VLAN son destinados los paquetes. Todos
los switches en el extremo de los enlaces reciben tráfico para todas las VLANs. El tráfico en cada VLAN se
realiza en la capa 2 vía switch D y ruteado en capa 3 a otras VLANs vía switch D. Por ejemplo el tráfico
desde la VLAN 1 en el switch A es enviado a la VLAN 1 en el switch B vía switch D en capa 2. El tráfico
desde la VLAN 1 en el switch C hacia la VLAN 2 en el switch C, es ruteado en capa 3 vía switch D.
95
Figura 32 Switches conectados mediante enlace con etiquetado 802.1Q.
96
10.4 CONFIGURACIÓN DE UNA VLAN
OPERACIÓN COMANDO
Entrar a system view system-view
Crear múltiples VLANs vlan { vlan-id1 to vlan-id2 | all}
Crear una Vlan y entrar a VLAN view vlan vlan-id
Asignar un nombre a la VLAN name text
Especificar la descripción de la VLAN description text
Restaurar la descripción predeterminada de la undo description
VLAN actual o de la interfaz de la VLAN
Borrar una o varias VLANs undo vlan { vlan_id [ to vlan_id ] | all}
NOTA: La Vlan 1 es la VLAN por defecto del sistema no necesita ser creada y no puede ser borrada.
El switch permite dos clases de VLANs: estática y dinámica, las VLANs creadas de la forma descrita en la
tabla anterior son VLANs estáticas. Si se crea una VLAN usando el comando vlan y esta ya existe de forma
dinámica esta VLAN será transformada a estática y el switch mostrará la información de dicho cambio.
OPERACIÓN COMANDO
Entrar a system view system-view
Crear y entrar a la vista de la interfaz de la VLAN. interface Vlan-interface vlan-id
VLAN interface view
Configurar la dirección IP de la interfaz de la VLAN ip address ip_address { mask |
mask_length } [ sub ]
Desactivar la interfaz de la VLAN shutdown
Activar la interfaz de la VLAN undo shutdown
Borrar la interfaz de una VLAN especifica undo interface vlan-interface vlan_id
97
10.4.3 Mostrar la configuración de la VLAN
OPERACIÓN COMANDO
Mostar la información de la interfaz de la VLAN display interface Vlan-interface [vlan-id ]
Mostar la información de la interfaz de la VLAN display ip interface Vlan-interface vlan-id
Mostar la información de la interfaz de la VLAN display ip interface brief Vlan-interface vlan-
id
Mostar la información de la VLAN display vlan [ vlan-id [ to vlan-id ] | all |
dynamic | static ]
OPERACIÓN COMANDO
Enrar a system view system-view
Entrar a Ethernet port view interface interface-type interface-number
Agregar un Puerto acces a una VLAN port access vlan vlan-id
Agregar un Puerto trunk a una VLAN port trunk permit vlan { interface-type interface-
number [ to interface-type interface-number ]| all }
Agregar un Puerto hybrid a una VLAN port hybrid vlan { interface-type interface-number [
to interface-type interface-number ] }{ tagged |
untagged }
NOTA. En la vista VLAN (VLAN view) solo se puede agregar puertos tipo acces, para agregar puertos tipos
trunk e hybrid debe hacerse en la vista del puerto (Ethernet por view). Refiérase a la sección configuración
de los puertos Ethernet página 87.
98
Práctica 40 Crear una Vlan y asignarle puertos.
Crear la VLAN2 y la VLAN3, asigne los puertos ethernet 1/0/1 y 1/0/2 a la VLAN2 y los puertos Ethernet
1/0/3 y 1/0/4 a la VLAN3 como indica la siguiente figura.
Haga ping de una VLAN a otra para confirmar que no hay comunicación entre las VLANs.
Nota. Cuando de hace ping a una VLAN y en esta no hay ningún PC conectado, la acción siempre indicara
que no hay comunicación con esa VLAN, para evitar falsos resultados siempre debe haber algún PC
conectado a la VLAN a la cual se está haciendo pinn.
99
Práctica 41 Configurar la dirección IP de la interfaz de una VLAN
[SW5500]vlan 3
[SW5500-vlan3]quit
[SW5500]interface vlan-interface 3
100
Configuración del Switch A
#Cree la VLAN 100, especifique su descripción como Dpto1 y adicione el puerto 1/0/1 a la VLAN 100
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] description Dept1
[SwitchA-vlan100] port Ethernet 1/0/1
[SwitchA-vlan100] quit
#Cree la VLAN 100, especifique su descripción como Dpto1 y adicione el puerto 1/0/13 a la VLAN 100
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] description Dept1
[SwitchB-vlan100] port Ethernet 1/0/13
[SwitchB-vlan103] quit
#Cree la VLAN 200, especifique su descripción como dpto2 y adicione el puerto 1/0/11 y 1/0/12 a la VLAN
200
Debido a que el enlace entre los switches A y B necesita transmitir datos tanto de la VLAN100 como de la
VLAN 200, se debe configurar los puertos en ambos extremos del enlace como puertos troncales y permitir
a los paquetes de ambas VLANs pasar a través de ambos puertos.
# Muestre los puertos y las VLANs implicadas en este ejercicio. Y compruebe sus configuraciones.
101
102
11. ENRUTAMIENTO
El router es un dispositivo de capa 3 que selecciona una ruta de acceso adecuada a través de una red para
un paquete IP, de acuerdo a la dirección de destino del paquete. Cada router en la ruta de acceso recibe el
paquete y lo reenvía al siguiente enrutador. El último router de la ruta de acceso envía el paquete al host de
destino. Los switches 3Com 4500 y 5500 pueden realizar funciones de router.
Los switches 3Com soportan dos tipos de enrutamiento: dinámico y estático los cuales se explican a
continuación.
En esta guía solo se tratará el enrutamiento estático, para información sobre enrutamiento dinámico
refiérase a los manuales citados en la bibliografía.
Si hay ruta predeterminada en la tabla de enrutamiento, la ruta por defecto será seleccionada para
enviar el paquete.
Si no hay una ruta predeterminada, el paquete será descartado y un (ICMP) Protocolo de mensajes
de control de Internet se envía al host de origen, para indicar que el host de destino o red es
inalcanzable.
Una ruta por defecto se puede configurar manualmente o generada por algun protocolo de enrutamiento
dinámico tales como OSPF o RIP.
OPERACIÓN COMANDO
Configurar una ruta por defecto ip route-static 0.0.0.0 { 0.0.0.0 | 0 } {
interface_type
interface_number | gateway_address } [ preference
value]
[ reject | blackhole ]
103
OPERACIÓN COMANDO
Borrar una ruta por defecto undo ip route-static 0.0.0.0 { 0.0.0.0 | 0 }
[interface_type interface_number | gateway_address
]
[preference value ] [ reject | blackhole ]
Nota. Cuando sólo una interfaz del dispositivo está interconectada con otro segmento de red, se puede
implementar la comunicación de red mediante la configuración de una ruta ya sea estática o ruta por defecto.
OPERACIÓN COMANDO
Agregar una ruta estática ip route-static ip_address { mask |mask_length }
{interface_type interface_number | gateway_address
} [preference value ] [reject| blackhole ]
Borrar una ruta estática undo ip route-static ip_address { mask |
mask_length }
[ interface_type interface_number | gateway_address
] [preference value ] [reject | blackhole ]
Borrar todas las rutas estáticas delete static-routes all
OPERACIÓN COMANDO
Mostrar todas las tablas display ip routing-table
Mostrar los detalles de una tabla display ip routing-table verbose
Mostrar información detallada de una ruta display ip routing-table ip_address [mask ]
especifica [ longer-match ] [ verbose ]
Mostrar la información de una ruta en un rango display ip routing-table ip_address1 mask1
de direcciones especifica ip_address2 mask2 [ verbose ]
104
Práctica 43 Realizar enrutamiento en una red
NOTA.
Los puertos que sirven de enlace entre dos switches, es decir los puertos que están conectados por medio
del cable de red, deben estar en el mismo segmento de red para que se dé la comunicación entre los dos
switches.
# Realice el montaje de la Figura 36. Para realizar las conexiones refiérase al ANEXO F página 150.
# Haga ping desde los host a todas las diferentes redes, no debe haber comunicación debido a que aun no
se ha realizado el enrutamiento entre las diferentes redes o VLANs.
# Configuración en el switch A
<SwitchA> system-view
[SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2
[SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2
[SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2
105
# Configuración en el switch B
<SwitchB> system-view
[SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1
[SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1.
# Configuración en el switch C.
<SwitchC> system-view
[SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1
[SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2
# Haga ping desde los host a todas las diferentes redes, debe haber comunicación debido a que ya existe un
enrutamiento entre las diferentes redes.
<SW5500>display ip routing-table
106
12. LISTAS DE CONTROL DE ACCESO ACL
A medida que el tamaño y tráfico de las redes crecen cada vez más, el control de la seguridad y la
asignación de ancho de banda desempeñan un papel cada vez más importante en la gestión de la red. El
filtrado de paquetes de datos puede prevenir el acceso de usuarios no autorizados de manera eficiente,
mientras que el control de tráfico de la red, el ahorro de recursos. Las listas de control de acceso ACL
(Acces Control List) a menudo se utilizan para filtrar los paquetes que coincidan con reglas previamente
configuradas.
Al recibir un paquete, el switch compara el paquete con las reglas de la ACL aplicadas a un puerto para
permitir o descartar el paquete.
Las reglas de una ACL pueden hacer referencia a otras funciones que requieren clasificación de tráfico, tales
como la calidad de servicio QoS.
Las ACL clasifican los paquetes de acuerdo con una serie de condiciones conocidas como reglas. Las
condiciones se pueden basar en las direcciones IP de origen, las direcciones IP de destino y números de
puertos transportados en los paquetes.
De acuerdo con los propósitos de aplicación, las ACL se dividen en los siguientes cuatro tipos.
ACL Básica. Las reglas son creadas basadas sólo en las direcciones IP de origen.
ACL avanzada. Las reglas son creadas basadas en la información de la Capa 3 y Capa 4, tales
como: direcciones IP de origen y destino, el tipo de los protocolos transportado por IP, las
características específicas del protocolo, y así sucesivamente.
ACL Capa 2. Las reglas se crean basadas en la información de la capa 2 tales como las
direcciones MAC de origen y de destino, las prioridades de VLAN, el tipo de protocolo de Capa 2, y
así sucesivamente.
ACL Definidas por el usuario. Una ACL de este tipo clasifica los paquetes mediante la
comparación de las cadenas de caracteres recuperados de los paquetes, con las cadenas de
caracteres especificadas.
Las reglas en una ACL se pueden ejecutar en una de las dos siguientes formas:
config. Donde las reglas de una ACL se ejecutan en el orden definido por el usuario.
auto. Donde las reglas de una ACL se ejecutan en el orden determinado por el sistema, es decir por el
principio depth-first (primero en profundidad). Las ACL capa 2 y ACL definidas por el usuario no admiten
esta característica.
107
El principio depth-first consiste en poner la declaración que especifique el rango más pequeño de los
paquetes en la parte superior de la lista. Esto se puede implementar mediante la comparación de la mascara
de wildcard de las direcciones. Cuanto menor sea la mascara de wildcard menos hosts que se pueden
especificar. Por ejemplo, 129.102.1.1 0.0.0.0 especifica un host, mientras que 129.102.1.1 0.0.255.255
especifica el segmento de red, desde 129.102.0.1 hasta 129.102.255.255. Obviamente, el primero se coloca
en la parte superior de la lista de las reglas de la ACL.
Para ACLs avanzadas, se comparan primero las mascaras de wildcard de las direcciones de origen. Si son
la misma, a continuación se compararan las mascaras de wildcard de las direcciónes de destino. Para las
mismas mascaras de wildcard de las direcciónes de destino, se compararan los rangos de números de
puertos, el puerto con el rango más pequeño se coloca en la parte superior de la lista. Si los números de
puerto están en el mismo rango, se siggue la secuencia de configuración.
config, donde las reglas en una ACL se asignan en el orden definido por el usuario.
auto, donde las reglas en una ACL se se asignan en el orden determinado por el sistema, es decir,
el orden depth-first (ACLs capa 2 y ACLs definidas por el usuario no admiten esta caracteristica).
Al aplicar una ACL de esta manera, se puede especificar el orden en el que se asignan las reglas de la ACL.
El orden de asignación no puede ser modificado una vez que se determine, a menos que se eliminen todas
las reglas en la ACL y se defina el orden de asignación.
108
Se utiliza para controlar inicio de sesión de usuariosTelnet, SNMP y Web
o Cuando una ACL se aplica directamente al hardware para el filtrado de paquetes, el switch permitirá
los paquetes si los paquetes no coinciden con la ACL.
o Cuando una ACL es referenciada en el software de capa superior para el control de inicio de sesión
de usuariosTelnet, SNMP y Web, el switch no admitirá paquetes si los paquetes no coinciden con la
ACL.
Rango de tiempo periódico. El cual se repite periódicamente en un día o en los días de la semana.
Rango de tiempo absoluto. El cual tiene efecto solo en un periodo de tiempo y no se repite.
Cuando no se define un rango de tiempo específico la ACL funcionara siempre después de activada.
Cuando no se configura hora de inicio ni hora final la ACL estará activa todo el día por un día.
Si no se especifica fecha ni hora de inicio la ACL se activará en 1970/1/1 00:00 y finalizará en el tiempo
especificado. Si no se especifica la hora y fecha de finalización, la ACL se activará en el tiempo especificado
y finaliza en 2100/12/31 00:00.
109
OPERACIÓN COMANDO
days-of-the-week [ from start-time start-date ] [ to
end-time end-date ] | from start-time start-date [
to end-time end-date ] | to end-time end-date ]
Definir un rango de tiempo periódico que comprenda desde las 8:00 a las 18.00 de lunes a viernes.
<5500> system-view
[5500] time-range test 8:00 to 18:00 working-day
[5500] display time-range test
Current time is 13:27:32 Apr/16/2005 Saturday
Time-range : test ( Inactive )
08:00 to 18:00 working-day
Definir un rango de tiempo absoluto que comprenda desde las 15:00 1/28/2006 a 15:00 1/28/2008
<5500> system-view
[5500] time-range test from 15:00 1/28/2006 to 15:00 1/28/2008
[5500] display time-range test
Current time is 13:30:32 Apr/16/2005 Saturday
Time-range : test ( Inactive )
From 15:00 Jan/28/2000 to 15:00 Jan/28/2004
110
12.5 CONFIGURACIÓN DE UNA ACL BÁSICA
Las ACL básicas se enumeran del 2000 al 2999.
Nota. Cuando se establece el match-order en config en una ACL básica, se puede modificar una regla
existente. La parte no modificada de la regla permanecerá igual. Cuando se establece el match-order en
auto no se puede modificar una regla existente.
Configure la ACL 2000 para denegar el acceso a los paquetes cuya dirección IP de origen es
192.168.0.1.
<5500> system-view
[5500] acl number 2000
[5500-acl-basic-2000] rule deny source 192.168.0.1 0.0.0.0
Nota. En esta práctica se utiliza la máscara de wildcard para denotar la dirección IP de la regla ACL, para
ampliar detalles sobre esta refiérase al ANEXO G página 151
111
12.6 CONFIGURACIÓN DE UNA ACL AVANZADA
Las ACLs avanzada se enumeran de 3000 a 3999. Tenga en cuenta que ACL 3998 y ACL 3999 no se
pueden configurar debido a que están reservadas para la gestión de cluster.
Una ACL avanzada puede filtrar los paquetes de acuerdo con: sus direcciones IP de origen y destino, los
protocolos soportados por IP, y las características específicas del protocolo, como: TCP / UDP puertos de
origen y destino, ICMP tipo de mensaje y el código de mensaje.
Usando ACLs avanzadas se pueden definir reglas de clasificación que son más precisas, más abundantes y
más flexible que las definidas para ACLs básicas.
Antes de crear una ACL avanzada se debe crear primero el rango de tiempo.
OPERACIÓN COMANDO
Entrar a system view system-view
Crear la ACL y entrar a advanced basic acl number acl-number [ match-order { auto | config } ]
ACL view
Definir una regla ACL rule [ rule_id ] { permit | deny } protocol
[source { source_addr wildcard | any } ]
[destination { dest_addr wildcard | any } ]
[source-port operator port1 [ port2 ] ]
[destination-port operator port1 [ port2 ] ]
[icmp-type type code ] [ established ] [ [
{precedence precedence tos tos | dscp dscp }*
|
vpn-instance instance ] | fragment | logging
| time-range name ]*
Asignar un descripción a una regla de una rule rule-id comment text
ACL
Configurar una descripción para la ACL description text
Borrar un regla ACL (desde Advance ACL undo rule rule_id [ source | destination |
View) source-port | destination-port | icmp-type |
precedence | tos | dscp | fragment | logging
| time-range | vpn-instance ]*
Borrar una o todas las ACL desde System undo acl { number acl_number | all }
View
Nota. Cuando se establece el match-order en config en una ACL avanzada, se puede modificar una regla
existente. La parte no modificada de la regla permanecerá igual. Cuando se establece el match-order en
auto no se puede modificar una regla existente.
112
Práctica 46 Configuración de una ACL avanzada.
Configurar la ACL 3000 para permitir los paquetes TCP de la red 129.9.0.0/16 y red de destino
202.38.160.0/24 y con puerto de destino 80.
<5500> system-view
[5500] acl number 3000
[5500-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination
202.38.160.0 0.0.0.255 destination-port eq 80
OPERACIÓN COMANDO
Entrar a system view system-view
Crear la ACL y entrar a Layer 2 ACL view acl number acl_number [ match-order { config
| auto }
Definir una regla ACL rule [ rule_id ] { permit | deny }
[ [ type protocol_type type_mask | lsap
lsap_type type_mask ] | format_type |
cos cos | source {source_vlan_id |
source_mac_addr source_mac_wildcard }* | dest
{dest_mac_addr dest_mac_wildcard } | time-
range name ]*
Asignar un descripción a una regla de una rule rule-id comment text
ACL
Configurar una descripción para la ACL description text
Borrar una regla de la ACL (desde Advance undo rule rule_id [ source | destination |
ACL View) source-port | destination-port | icmp-type
|precedence | tos | dscp | fragment | logging
| time-range | vpn-instance ]*
Borrar una o Todas Las ACL (desde System undo acl { number acl_number | all }
View)
113
Nota. Se puede modificar una regla existente de una ACL capa 2. La parte no modificada de la regla
permanecerá igual.
Configurar la ACL 4000 para denegar los paquetes de origen de la dirección MAC 0011-4301-991e y con
prioridad 3, según estándar 802.1P.
<5500> system-view
[5500] acl number 4000
[5500-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed
ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff
OPERACIÓN COMANDO
Entrar a system view system-view
Crear la ACL definida por el usuario y entrar a user- acl number acl_number [ match-order
defined ACL view { config | auto } ]
Definir una regla ACL rule [ rule-id ] { permit | deny} [ rule-string rule-
mask offset] &<1-8> [ time-range time-name ]
Asignar un descripción a una regla de una ACL rule rule-id comment text
Nota. Se puede modificar una regla existente de una ACL definida por el usuario. Si se modifica solamente
el rango de tiempo y/o la acción, la parte no modificada permanecerá igual. Si se modifica los caracteres, la
máscara o el offset, la nueva combinación remplazará a la regla original.
114
Práctica 48 Configuración de una ACL definida por el usuario
# Configurar la ACL 5000 para denegar todos los paquetes TCP. Donde el número del protocolo TCP es 06,
la máscara es ff y offset 27.
<5500> system-view
[5500] acl number 5000
[5500-acl-user-5000] rule deny 06 ff 27
OPERACIÓN COMANDO
Entrar a system view system-view
Práctica 49 Aplicar la ACL 2000 en el puerto 1/0/1 para filtrar los paquetes de entrada.
<5500> system-view
[5500] interface Ethernet 1/0/1
[5500-Ethernet1/0/1] packet-filter inbound ip-group 2000
OPERACIÓN COMANDO
Entrar a system view system-view
Aplicar la ACL a una VLAN packet-filter vlan vlan-id { inbound | outbound } acl-rule
<5500> system-view
[5500] packet-filter vlan 1 inbound ip-group 2000
115
12.11 MOSTRAR LA CONFIGURACIÓN DE UNA ACL
Después de configurar una ACL se puede ejecutar el comando display en cualquier vista para mostrar la
información de la ACL que se está ejecutando y verificar la configuración.
OPERACIÓN COMANDO
Mostrar la configuración de una o todas display acl { all | acl-number }
las ACLs
Mostrar uno o todos los rangos de tiempo display time-range { all |
time-name }
Mostrar la información del filtrado de display packet-filter { interface interface-type interface-number
paquetes | unitid unit-id }
Práctica 51 Aplicar una ACL para permitir a usuarios iniciar sesión vía telnet en el switch.
Aplicar una ACL para permitir a usuarios con la dirección IP de origen 10.110.100.52 iniciar sesión vía telnet
en el switch.
<5500> system-view
[5500] acl number 2000
[5500-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[5500-acl-basic-2000] quit
116
# Inicie sesión vía telnet para verificar la configuración.
Nota. Cuando se establece la máscara de wildcard cero (0), es lo mismo que establecer la máscara de
wildcard 0.0.0.0, que significa se está especificando un solo host.
Aplicar una ACL que permita a usuarios WEB iniciar sesión en el switch mediante HTTP.
Aplicar una ACL que permita a usuarios WEB con dirección IP de origen 10.110.100.46 iniciar sesión en el
switch mediante HTTP.
<5500> system-view
[5500] acl number 2001
[5500-acl-basic-2001] rule 1 permit source 10.110.100.46 0
[5500-acl-basic-2001] quit
PC1 y PC2 están conectados al switch mediante el puerto Ethernet 1/0/1, PC1 tiene la dirección IP 10.1.1.1
aplicar una ACL en el puerto 1/0/1 para denegar los paquetes de datos de la IP 10.1.1.1 de 8:00 a 18:00
todos los días.
117
Figura 39 Diagrama de red Práctica 53
Los diferentes departamentos de una empresa están interconectados a través de un switch. La dirección IP
del servidor de consultas salarial es 192.168.1.2. El departamento de R&D se conecta al puerto Ethernet
1/0/1 del switch. Aplicar una ACL para denegar las solicitudes del departamento R&D destinadas al servidor
salario durante las horas de trabajo de I&D (8:00 a 18:00).
118
# Defina el rango de tiempo periódico de 8:00 a 18:00 todos los días.
<5500> system-view
[5500] time-range test 8:00 to 18:00 working-day
#Haga ping desde PC R&D hacia el switch dentro del rango de tiempo establecido para verificar la
configuración.
PC1 y PC2 se conectan al switch mediante el puerto 1/0/1. PC1 tiene la dirección MAC 0011-0011-0011,
aplique una ACL para filtrar paquetes con la dirección MAC de origen 0011-0011-0011 y dirección MAC de
destino 0011-0011-0012 de 8:00a 18:00 todos los días.
<5500> system-view
[5500] time-range test 8:00 to 18:00 daily
119
ffff-ffff-ffff dest 0011-0011-0012 ffff-ffff-ffff time-range test
[5500-acl-ethernetframe-4000] quit
#Haga ping desde PC1 hacia el switch dentro del rango de tiempo establecido para verificar la configuración.
Nota. Identifique la dirección MAC de su PC y remplace la indicada en esta práctica por la de su PC. Tenga
en cuenta utilizar la misma mascara. ffff-ffff-ffff.
PC1, PC2 y PC3 pertenecen a la VLAN 10 y están conectados al switch a través de los puertos 1/0/1, 1/0/2 y
1/0/3 respectivamente, La IP del servidor de base de datos es 192.168.1.2. Aplique una ACL para denegar
los paquetes desde los PCs de la VLAN 10 al servidor de base de datos, de 8:00 a 18:00 de lunes a viernes.
<5500> system-view
[5500] time-range test 8:00 to 18:00 working-day
# Defina la ACL.
#Haga ping dentro y fuera del rango de tiempo establecido para verificar la configuración.
121
122
13. CALI DAD DE SERVICIO QoS
13.1 INTRODUCCIÓN
QoS (QoS, Quolity of Service) es un concepto en el cual se evalúa la habilidad para satisfacer las
necesidades de un cliente. Su propósito es analizar las condiciones donde el servicio es el mejor y las
condiciones donde el servicio aún necesita mejorar, para luego realizar las mejoras en aspectos específicos.
En una internet QoS evalúa la habilidad de la red para entregar los paquetes, la evaluación sobre QoS
puede estar basada en diversos aspectos debido a que la red proporciona varios servicios.
En las redes IP tradicionales, los paquetes son tratados por igual. Es decir, la política FIFO (primero en
entrar primero en salir) es implementada para el procesamiento de los paquetes. Los recursos de la red
necesarios para el reenvío de paquetes están determinados por el orden en que estos llegan. Todos los
paquetes comparten los recursos de la red. Los recursos de red disponibles para los paquetes dependen por
completo del tiempo de llegada. Esta política de servicio se conoce como Best-Effort (mejor esfuerzo), el
cual entrega los paquetes a su destino con el mejor esfuerzo, sin ninguna seguridad y garantía de que no se
presenten retardos en la entrega, jitter, pérdida de paquetes, y otros inconvenientes.
La política tradicional de servicio tradicional Best-Effort es adecuado solo para aplicaciones insensibles al
ancho de banda y de retardo, tales como WWW, transferencia de archivos, correo electrónico y FTP.
Con la expansión de las redes de computadores más y más redes se convierten en parte del internet. El
internet gana un rápido desarrollo en términos de tamaño, cobertura y cantidad de usuarios. Más y más
usuarios usan el internet como una plataforma para sus servicios y para transmisión de datos.
Al lado de aplicaciones tradicionales tales como WWW, E-mail, y FTP nuevos servicios se han desarrollado
en el internet, tales como teleeducación, telemedicina, video teléfono, videoconferencia y otros. Empresas
conectan sus sucursales regionales juntas mediante VPN, para compartir bases de datos o gestionar
equipos remotos mediante Telnet.
Todas estas nuevas aplicaciones tienen una cosa en común, es decir, que tienen requisitos especiales para
el ancho de banda, retardo y jitter. Por ejemplo, el ancho de banda, retardo y jitter son críticos para la
videoconferencia y vídeo bajo demanda o la carta (VoD). En cuanto a otras aplicaciones, tales como
procesamiento de transacciones y Telnet, aunque el ancho de banda no es tan crítico, en un largo plazo
puede causar resultados inesperados. Es decir, que necesitan obtener servicio aun que ocurra congestión.
Las nuevas aplicaciones emergentes exigen un mayor rendimiento de las redes IP. Además de la simple
entrega de paquetes a su destino, se demandan mejores servicios de red, tales como la asignación de
ancho de banda dedicado, reducción de la tasa de pérdida de paquetes, evitar la congestión, regulación del
tráfico de red y configuración de la prioridad de los paquetes. Para satisfacer todos esos requerimientos las
redes deben estar provistas con una mejor capacidad de servicio.
Clasificar el tráfico consiste en identificar los paquetes que cumplen con ciertas características, de acuerdo a
ciertas reglas configuradas por el administrador, basadas en los requerimientos de la red. Las reglas pueden
ser muy simples, por ejemplo, el bit de prioridad en el campo ToS (tipo de servicio) en los encabezados de
los paquetes puede ser usado para identificar paquetes con diferentes prioridades. También existen reglas
123
complejas, por ejemplo, la información de la capa de acceso, capa de red, y capa de transporte, tales como
la dirección MAC, el protocolo IP, dirección IP de origen, dirección IP de destino y el número de puerto de
aplicación etc. Generalmente la clasificación de tráfico se realiza en los encabezados de los paquetes. El
contenido de los paquetes es raramente usado para la clasificación de tráfico.
13.3 PRECEDENCIA
Algunas redes ofrecen prioridad de servicio, la cual trata de algún modo el tráfico de alta prioridad como más
importante que el resto del tráfico, generalmente aceptando sólo tráfico por encima de cierta prioridad en
momentos de sobrecarga o congestión. La elección más común es un compromiso a tres niveles entre baja
demora, alta fiabilidad, y alto rendimiento.
El campo ToS (Tipo de Servicio) compuesto por 8 bits se encuentra el encabezado de los paquetes IPv4.
El tipo de servicio (ToS) ha tenido diversos usos a lo largo de los años, y ha sido definido de diferentes
maneras por cinco RFC (Request For Comment). La redefinición moderna del campo ToS es una de seis
bits, de servicios diferenciados (DS) y una de dos bits Explicit Congestion Notification (ECN). Mientras que
los Servicios Diferenciados es algo compatible con ToS, ECN no lo es.
El campo ToS puede especificar la prioridad de un datagrama y solicitar una ruta de bajo retardo, de alto
rendimiento, o un servicio altamente confiable. Sobre la base de estos valores ToS, un paquete se coloca en
una cola de salida priorizada o toma una ruta con una latencia, rendimiento o fiabilidad apropiada. En la
práctica, el campo ToS nunca tuvo un uso generalizado, sin embargo, una gran parte de la investigación y el
trabajo de implementación experimental se ha centrado en cómo hacer uso de estos ocho bits, dando como
resultado la definición actual del campo DS.
Se pueden configurar 4 tipos de precedencia como son: Precedencia IP, Precedencia ToS, Precedencia
DSCP, Precedencia CoS (Prioridad 802.1P)
124
13.3.1 Precedencia IP
En el RFC 791 Figura 43 (derecha), Los tres primeros bits (bit 0 a bit 2) indican la Precedencia IP, en el
rango de 0 a 7 como se describe en la Tabla 76.
Tabla 76 Precedencia IP
125
Valor DSCP (decimal) Valor DSCP (binario) Descripción
32 100000 cs4
40 101000 cs5
48 110000 cs6
56 111000 cs7
0 000000 be (Predeterminado)
En una red que proporcione servicios diferenciados, los tráficos se agrupan en las siguientes cuatro clases, y
los paquetes se procesan de acuerdo a sus valores DSCP.
Reenvío acelerado. Clase EF (EF, Expedited Forwarding). En esta clase, los paquetes pueden ser
enviados independientemente del enlace compartido de otro tráfico. La clase es adecuado para los
servicios preferenciales con bajo retardo, bajo ratio de pérdida de paquetes, jitter bajo y ancho de
banda garantizado (por ejemplo, línea dedicada virtual).
Reenvío asegurado. Clase AF. (AF, Assured forwarding) Esta clase se divide en cuatro subclases
(AF1/2/3/4) y una subclase se divide en tres prioridades de descarte, por lo que el nivel de servicio
de AF se puede segmentar. El rango de QoS de la clase AF es menor que la de la clase de EF.
Selector de Clase.Clase CS. (CS, Class Selector) Esta clase viene del campo IP ToS e incluye
ocho subclases.
Mejor esfuerzo. clase BE. (BE, Best Effort) esta clase es una clase especial sin ninguna garantía
de la clase CS. La clase AF puede ser degradada a la categoría BE si excede el límite.
El tráfico de red IP pertenece a esta clase de forma predeterminada.
El estándar 802.1P está integrado dentro el estándar 802.1Q. Todos los dispositivos de interconexión que
soportan VLAN deben seguir la norma IEEE 802.1Q que especifica con detalle el funcionamiento y
administración de redes virtuales. 802.1Q en realidad no encapsula la trama original sino que añade 4 bytes
al encabezado Ethernet original, como se observa en la Figura 44.
Como se muestra en la Figura 44, cada host compatible con el protocolo 802.1Q agrega una etiqueta 4-
byte 802.1Q después de la dirección de origen al encabezado de la trama Ethernet cuando envía los
126
paquetes. La etiqueta 4-byte 802.1Q consiste de dos etiquetas: TPID (tag protocol identifier) cuyo valor es
0x8100 y la etiqueta TCI (tag control information). Estos detalles son descriptos en la Figura 45.
Figura 45 Etiqueta 802.1Q
En la Figura 45 el campo prioridad formado por 3 bit en la etiqueta TCI es el campo del estándar prioridad
802.1P también conocido como precedencia COS (Clase de Servicio) su rango va de 0 a 7, su descripción
y valores se muestran en la Tabla 78.
Prioridad 802.1P se encuentra en la capa 2 del encabezado de los paquetes y es aplicable a las ocasiones
en que la información de capa 3 del encabezado del paquete no necesita análisis, pero QoS debe
garantizarse en la capa 2.
Existen 8 clases diferentes de servicios, expresados por medio de los 3 bits del campo prioridad de usuario
(user_priority) de la cabecera IEEE 802.1Q añadida a la trama, asignando a cada paquete un nivel de
prioridad entre 0 y 7. Aunque es un método de priorización bastante utilizado en entornos LAN, cuenta con
varios inconvenientes, como el requerimiento de una etiqueta adicional de 4 bytes (definida en el estándar
IEEE802.1Q). Además solo puede ser admitida en una LAN, ya que las etiquetas 802.1Q se eliminan
cuando los paquetes pasan a través de un router.
Cuando un paquete que no transporta la etiqueta 802.1Q llega a un switch, el switch utiliza la prioridad del
puerto de recepción como la prioridad 802.1P del paquete y asigna la prioridad a la precedencia local
127
correspondiente. Para un paquete que transporta la etiqueta 802.1Q, un switch proporciona los siguientes
dos modos prioridades de confianza:
<5500> system-view
[5500] interface Ethernet1/0/1
[5500-Ethernet1/0/1] priority trust
Por defecto el switch confía la prioridad de los puertos al estándar 802.p y envía los paquetes dentro de una
de las ocho colas de este estándar. Después de configurar la prioridad de puerto, el switch coloca los
paquetes en la cola específica asociada con la prioridad asignado al puerto de recepción.
128
Tabla 81 Configuración del modo de confianza en la prioridad del puerto
OPERACIÓN COMANDO
Establecer la prioridad del puerto priority priority_level
Restaurar la prioridad por defecto undo priority
Configurar el modo de confianza en la prioridad del puerto en el puerto Ethernet 1/0/1 y establecer la
prioridad del mismo puerto en 7
<5500> system-view
[5500] interface Ethernet1/0/1
[5500-Ethernet1/0/1] priority 7
OPERACIÓN COMANDO
Configuración de la relación de qos cos-local-precedence-map
correspondencia entre 802.1p (COS) y la cos0_map_local_prec
Precedencia Local cos1_map_local_prec
cos2_map_local_prec
cos3_map_local_prec
cos4-map-local-prec
cos5_map_local-prec
cos6_map_local_prec
cos7_map_local_prec
Restaurar al valor por defecto undo qos cos-local-precedence-map
129
Práctica 59 Configuración de la correspondencia entre la precedencia local y la prioridad 802.1p
Mostrar la configuración
<5500> system-view
[5500] qos cos-local-precedence-map 2 3 4 1 7 0 5 6
[5500] display qos cos-local-precedence-map
cos-local-precedence-map:
cos(802.1P) : 0 1 2 3 4 5 6 7
--------------------------------------------------------------------------
local precedence(queue) : 2 3 4 1 7 0 5 6
OPERACIÓN COMANDO
Entrar a System View system-view
Configurar la prioridad del protocolo de protocol-priority protocol-type protocol-type { ip-
los paquetes precedence
ip-precedence | dscp dscp-value }
Mostrar la prioridad del protocolo de los display protocol-priority
paquetes
Nota. Se puede configurar la prioridad de los paquetes con protocolo Telnet, OSPF (Open Shortest Path
First), SNMP (Simple Network Management Protocol), e ICMP (Internet Control Message Protocol).
130
13.7 REMARCADO DE LA PRIORIDAD DE LOS PAQUETES
La función remarcado de la prioridad consiste en usar reglas ACL para identificar tráfico y reasignar la
prioridad a los paquetes que coincidan con las reglas ACL. Esta función se puede implementar de dos
formas.
Mediante TP (Traffic Policing)
Cuando se configura TP se puede definir la acción de remarcado de la precedencia DSCP para los paquetes
que excedan el trafico especificado.
OPERACIÓN COMANDO
Remarcado de la prioridad del traffic-priority { inbound | outbound } acl-rule { { dscp dscp-
tráfico de un puerto value | ip-precedence { pre-value | from-cos } } | cos { pre-
value | from-ipprec } | local-precedence pre-value }*
OPERACIÓN COMANDO
Remarcado de la prioridad del traffic-priority vlan vlan-id { inbound | outbound }
tráfico en una Vlan acl-rule { { dscp dscp-value | ip-precedence { pre-value | from-
cos } } |
cos { pre-value | from-ipprec } | local-precedence pre-value }*
El puerto Ethernet 1/0/1 pertenece a la Vlan 2 y está conectado al segmento de red 10.1.1.0/24.
Marcar la precedencia DSCP como 56 para los paquetes desde el segmento de red 10.1.1.0/24
# Método 1
<5500> system-view
[5500] acl number 2000
[5500-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[5500-acl-basic-2000] quit
[5500] interface Ethernet1/0/1
[5500-Ethernet1/0/1] traffic-priority inbound ip-group 2000 dscp 56
131
# Método 2
<5500> system-view
[5500] acl number 2000
[5500-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[5500-acl-basic-2000] quit
[5500] traffic-priority vlan 2 inbound ip-group 2000 dscp 56
OPERACIÓN COMANDO
Configuración del límite del tráfico traffic-limit inbound { user-group acl_number
[ rule rule ] | ip-group acl_number [ rule rule
[ link-group acl_number rule rule ] ] | link-
group acl_number [ rule rule ] } target_rate
[ exceed action ]
La granularidad o definición del límite de trafico es de 64 kbps, por lo tanto los valores de este parámetro
deben ser múltiplos de 64, por ejemplo 64, 128, 192, etc. Si se especifica un valor diferente este será
ajustado automáticamente al valor superior más cercano que sea múltiplo de 64.
El rango para este argumento varía según el tipo de puerto como se describe a continuación.
132
La granularidad o definición del límite de línea es de 64 kbps, por lo tanto los valores de este parámetro
deben ser múltiplos de 64, por ejemplo 64, 128, 192, etc. Si se especifica un valor diferente este será
ajustado automáticamente al valor superior más cercano que sea múltiplo de 64.
Configure el límite de tráfico y la tasa de línea para satisfacer los siguientes requerimientos.
Configure la máxima tasa de salida de paquetes IP enviados por PC 1 en el departamento R&D a 640 Kbps.
Descarte los paquetes que excedan el limite.
640 Kbps
64 Kbps
Procedimiento.
<5500> system-view
[5500] acl number 2000
# Definir una regla para los paquetes con dirección IP de origen 192.168.0.1.
133
# Configurar la máxima tasa de salida de paquetes originados en el departamento de mercadeo a 64 Kbps.
Configurar la máxima tasa de salida de paquetes IP enviados por PC 1 en el departamento R&D a 640 Kbps.
Nota. Observe la diferencia entre límite de tráfico y tasa de línea. Con Límite de tráfico se puede limitar la
tasa de uno o varios hosts específicos, en este caso PC 1, mientras que con LR se limita el tráfico de toda la
red conectada a un puerto determinado.
La intranet se conecta a través del puerto 1000 Mbps entre los departamentos, y el servidor de salario se
conecta a través del puerto Ethernet1/0/1 (dirección de subred 129.110.1.2). Para el servidor de los salarios,
el tráfico de entrada está limitado a 128 kbps y la velocidad del puerto de entrada a 128 kbps. Aquellos
paquetes que superan el umbral serán etiquetados con el nivel de prioridad DSCP 4.
Procedimiento.
# Definir una regla para los paquetes con dirección IP de origen 129.110.1.2
134
[SW5500-acl-adv-3000]rule 1 permit ip source 129.110.1.2 0.0.0.0 destination any
# Limitar el tráfico medio desde el servidor de salarios a 128 Kbps etiquetar los paquetes que sobrepasen el
umbral con nivel de prioridad 4.
SP está especialmente diseñado para aplicaciones de servicios críticos. Una característica importante de los
servicios críticos es que exigen un servicio preferencial en momentos de congestión, a fin de reducir el
retardo de respuesta. Supongamos que hay ocho colas de salida en el puerto y se clasifican en ocho clases,
135
que son queue7, queue6, queue5, queue4, Queue3, Queu2, Queu1 y Queue0. Sus prioridades disminuyen
en orden, como se muestra en la Figura 48.
SP envía los paquetes en la cola de mayor prioridad siguiendo estrictamente el orden de prioridad de mayor
a menor. Cuando la cola de mayor prioridad está vacía, se envían los paquetes en la cola con menor
prioridad. Se puede poner los paquetes de servicios esenciales en las colas con mayor prioridad y poner los
paquetes de servicios no críticos (como el correo electrónico) en las colas con una prioridad menor. En este
caso, los paquetes de servicios críticos se envían preferentemente y paquetes de servicios no críticos se
envían cuando los grupos de servicios críticos no se envían.
La desventaja de SP es que cuando se produce una congestión, si hay muchos paquetes en espera en la
cola de prioridad más alta, se requiere un largo tiempo para transmitir estos paquetes, mientras que los
mensajes de la cola de prioridad más baja permanecerán continuamente en espera y sin servicio.
Antes de introducir WFQ (Weighted Fair Queu), se debe entender encolamiento justo (FQ). FQ se ha
diseñado con el propósito de compartir los recursos de red de manera justa, y la optimización de los retardos
y de retardos de jitter de todos los flujos. Toma los intereses de todas las partes en cuenta, tales como:
Las diferentes colas son programadas de manera justa, por lo que el retraso de cada flujo se compensa
globalmente.
Tanto paquetes cortos y paquetes largos son programados de manera justa. Cuando hay múltiples paquetes
largos y paquetes cortos a ser enviados entre distintas colas, los paquetes cortos deben programarse
preferentemente, de forma que el retardo de jitter de los paquetes de cada flujo se reduce globalmente.
En comparación con FQ, WFQ toma en cuenta la prioridad en el cálculo de la secuencia de programación
de paquetes. Estadísticamente hablando, WFQ asigna más posibilidades de programación a los paquetes de
alta prioridad que a los paquetes de baja prioridad.
136
WFQ puede clasificar el tráfico de forma automática, de acuerdo a la información de tráfico que incluye los
tipos de protocolo, números de puerto de origen y destino TCP o UDP, las direcciones IP de origen y destino
y los valores de prioridad en el campo ToS.
WFQ también proporcionan tantas colas como sea posible, para dar cabida a cada flujo uniformemente. Por
lo tanto, el retardo de cada flujo se equilibra globalmente. Cuando los paquetes salen de la cola, WFQ
asigna un ancho de banda para cada flujo en la salida, de acuerdo con la prioridad de tráfico o precedencia
DSCP. Cuanto menor es la prioridad del tráfico, menos ancho de banda se obtiene. Cuanto mayor es la
prioridad del tráfico, mayor ancho de banda se obtiene. Por último, cada cola se sondea y el número
correspondiente de paquetes se saca para ser enviados, de acuerdo a la proporción de ancho de banda.
Se puede utilizar el algoritmo WFQ para asignar ancho de banda a las colas de salida de un puerto, y luego
decidir en qué cola el tráfico fluye de acuerdo con la correlación entre el valor de prioridad COS del tráfico y
la cola, y también decidir cuánto ancho de banda es asignado a cada tráfico.
WRR (Weighted Round Robin) programa todas las colas en turno y a su vez cada cola puede tener la
seguridad de un determinado tiempo de servicio. Supongamos que hay ocho colas de salida en un puerto.
WRR configura un valor de ponderación para cada cola, el cual es w7, w6, w5, w4, w3, W2, W1, y w0. El
valor ponderal indica la proporción de la obtención de recursos. En un puerto 100 Mbps, configurar el valor
de ponderación de WRR a 5, 5, 3, 3, 1, 1, 1, y 1 (correspondiente a W7, W6, W5, W4, W3, W2, W1, y w0 en
orden). De esta manera, la cola con la prioridad más baja puede obtener 5 Mbps de ancho de banda por lo
menos, y se evita el inconveniente de SP donde los paquetes en las colas con una prioridad más baja
pueden no obtener el servicio por un largo tiempo. Otra ventaja de WRR es que: aunque las colas se han
programado en orden, el tiempo de servicio para cada cola no es fijo; es decir, si una cola está vacía, la
siguiente cola será programada. De esta manera, los recursos de ancho de banda tendrán un uso completo.
137
Las siguientes configuraciones se realizan en System View
OPERACIÓN COMANDO
Configurar la programación de colas queue-scheduler { strict-priority | wfq
queue0-width queue1-width
queue2-width queue3-width
queue4-width queue5-width
queue6-width queue7-width |
wrr queue0-weight
queue1-weight queue2-weight
queue3-weight queue4-weight
queue5-weight queue6-weight
queue7-weight }
Por defecto el algoritmo usado en la programación de las colas de todos los puertos es WRR. El valor de
ponderación predeterminado para cada una de las 8 colas de salida de un puerto son 1, 2, 3, 4, 5, 9, 13 y 15
en el orden de 0 a 7 respectivamente.
OPERACIÓN COMANDO
Configurar la programación de colas queue-scheduler { wfq
queue0-width queue1-width
queue2-width queue3-width
queue4-width queue5-width
queue6-width queue7-width |
wrr queue0-weight
queue1-weight queue2-weight
queue3-weight queue4-weight
queue5-weight queue6-weight
queue7-weight }
Por defecto el algoritmo usado en la programación de las colas de todos los puertos es WRR. El valor de
ponderación predeterminado para cada una de las 8 colas de salida de un puerto son 1, 2, 3, 4, 5, 9, 13 y 15
en el orden de 0 a 7 respectivamente.
138
Práctica 64 Configurar cola de turno rotativo ponderado.
Establezca WRR para la programación de colas, establezca la ponderación de las colas de salida a 2, 2, 3,
3, 4, 4 y 5 (en el orden de cola 0 a cola 7)
Verifique la configuración.
<5500> system-view
[5500] queue-scheduler wrr 2 2 3 3 4 4 5 5
[5500]display queue-scheduler
Queue scheduling mode: weighted round robin
weight of queue 0: 2
weight of queue 1: 2
weight of queue 2: 3
weight of queue 3: 3
weight of queue 4: 4
weight of queue 5: 4
weight of queue 6: 5
weight of queue 7: 5
Tal política se traducirá en la sincronización global de conexión TCP. Si una cola descarta paquetes de
múltiples conexiones TCP al mismo tiempo, las conexiones TCP cambiaran al estado de prevención de
congestión y de inicio lento para los tráficos a ser regulados. El pico de tráfico entonces ocurrirá en un
determinado momento futuro. En consecuencia, el tráfico de red tendrá jitters todo el tiempo.
En el algoritmo WRED, un límite superior y un límite inferior se establecen para cada cola y los paquetes en
una cola se procesan de la siguiente forma.
Cuando la longitud de la cola es menor que el límite inferior, los paquete no se descartan.
Cuando la longitud de la cola excede el límite superior, todos los paquetes recibidos recientemente se
descartan.
Cuando la longitud de la cola es de entre el límite inferior y el límite superior, los paquetes recibidos
recientemente se descartan al azar. Cuanto más tlarga la cola, más probabilidad que los paquetes recibidos
recientemente se descarten. Sin embargo, existe una probabilidad de descarte máxima.
139
En WRED, números aleatorios se generan para determinar los paquetes que se descartaran. Como la
política de descarte se determina por la precedencia IP, los paquetes con menor prioridad tienen más
probabilidades de ser descartados.
WRED evita la sincronización de sesión TCP global. Permite que otras sesiones TCP estén libres de una
sesión TCP ralentizada, debido a que sus paquetes están siendo descartados. De esta forma, las sesiones
TCP pueden operar en diferentes tasas en cualquier caso y el ancho de banda de enlace puede ser utilizado
plenamente.
<5500> system-view
[5500] interface Ethernet1/0/1
[5500-Ethernet1/0/1] wred 2 64 20
140
Práctica 66 Contabilizar el tráfico de determinada red.
<5500> system-view
[5500] acl number 2000
[5500-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[5500-acl-basic-2000] quit
[5500] interface Ethernet1/0/1
[5500-Ethernet1/0/1] traffic-statistic inbound ip-group 2000
[5500-Ethernet1/0/1] reset traffic-statistic inbound ip-group 2000
Un switch admite solo un puerto monitor y un puerto duplicador (monitoreado). Si varios switches forman una
fabirc (varios switches conectados como una sola unidad), solo un puerto duplicador y un puerto monitor
podrán ser configurados para toda la fabric.
141
Las siguientes configuraciones se realizan en Ethernet Port View.
Usar un servidor para monitorear los paquetes de dos PCs conectados a los puertos E3/0/1 y E3/0/2
respectivamente, el servidor está conectado al puerto E3/0/8. Como muestra la Figura 44.
[SW5500-Ethernet3/0/8]monitor-port
[SW5500-Ethernet3/0/1]mirroring-port both
Un switch admite solo un puerto monitor y un puerto duplicador (monitoreado). Si varios switches forman una
fabirc (varios switches conectados como una sola unidad), solo un puerto duplicador y un puerto monitor
podrán ser configurados para toda la fabric.
142
13.14.2 Configurar la duplicación de tráfico.
OPERACIÓN COMANDO
Configurar el puerto como el mirrored-to { inbound |outbound } acl-rule { monitor-interface | cpu }
puerto duplicador de origen o
puerto monitoreado
<5500> system-view
[5500] acl number 2000
[5500-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[5500-acl-basic-2000] quit
[5500] interface Ethernet1/0/4
[5500-Ethernet1/0/4] monitor-port
[5500-Ethernet1/0/4] quit
[5500] interface Ethernet1/0/1
[5500-Ethernet1/0/1] mirrored-to inbound ip-group 2000 monitor-interface
143
144
ANEXO A Activar el cliente telnet de Windows
Activar o desactivar el cliente Telnet de Windows es muy sencillo. En Windows XP ya viene habilitado por
defecto, para Windows Vista, 7 y 8 siga los siguientes pasos.
En el cuadro de dialogo activar o desactivar las características de Windows active la casilla cliente
telnet, luego aceptar y eso es todo, ya puede usar el cliente Telnet de Windows.
145
ANEXO B Clases de direcciones IP
Clase 1st Octeto 1st Octeto Red/Host ID Máscara de Cantidad de Hosts por red (direcciones
rango High Order (N=Red, H=Host) Subred por redes usables)
Decimal Bits defecto
A 1 – 126* 0 N.H.H.H 255.0.0.0 126 16,777,214 (224 – 2)
(27 – 2)
B 128 – 191 10 N.N.H.H 255.255.0.0 16,382 65,534 (216 – 2)
(214 – 2)
C 192 – 223 110 N.N.N.H 255.255.255.0 2,097,150 254 (28 – 2)
(221 – 2)
D 224 – 239 1110 Reservada para Multicasting
E 240 – 254 1111 Experimental; usada para búsqueda.
http://www.vlsm-calc.net/ipclasses.php
http://www.vlsm-calc.net/ipclasses.php
146
ANEXO C Mascaras de subred
http://www.vlsm-calc.net/subnetmasks.php
147
ANEXO D Modelo OSI
Tabla 97 Modelo OSI
http://www.vlsm-calc.net/models.php
148
ANEXO E Comparación Modelo OSI/ Modelo TCP/IP
http://www.vlsm-calc.net/models.php
149
ANEXO F Conexiones de la red del Laboratorio de Redes de la Universidad de la Guajira
Los siguientes diagramas muestran la forma de realizar las conexiones entre los dispositivos ubicados en las
mesas y los dispositivos ubicados en el gabinete principal.
Conexión entre un PC ubicado en una de las mesas y el puerto de consola de un switch ubicado en el
gabinete principal.
Conexión entre un switch ubicado en una de las mesas y un switch ubicado en el gabinete principal.
150
ANEXO G Máscara de wildcard
La máscara de wildcard no es más que la inversión de los números binarios de la máscara de red normal y
es usada por las ACLs, como máscara de red junto con las direcciones IP cuando se filtran paquetes de una
red especifica. Por ejemplo, la Máscara de red 255.255.255.0 que en notación binaria sería
11111111.11111111.11111111.00000000 equivale a la máscara de wildcard 0.0.0.255 que en notación
binaria sería 00000000.00000000.00000000.11111111. La Tabla 99 ilustra esta explicación.
Para hallar máscara de wildcard equivalente de una máscara de red normal, se puede hacer mediante la
sencilla operación de restar la máscara de red normal a la máscara de red 255.255.255.255, como se
muestra en el siguiente ejemplo.
Cuando en una regla ACL se quiere especificar los paquetes de todos los host de una red o segmento de
red, se utiliza la máscara de wildcard 255.255.255.255 o el comando any en lugar la máscara de wildcard.
Cuando en una regla ACL se quiere especificar un solo host de una red o segmento de red, se utiliza la
máscara de wildcard 0.0.0.0 o simplemente 0 (cero), en lugar la máscara de wildcard.
151
ANEXO H Formato del archivo de configuración
152
BIBLIOGRAFIA
Switch 4500 Family Configuration Guide, Product Version: V03.03.00. Manual Version: 6W101-20090811,
Marlborough (Middlesex, Massachusetts, USA): 3Com Corporation, July 2010. Disponible en:
<http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02586084-1.pdf >
Switch 5500 Family Configuration Guide, Part Number: 10014922 Rev. AD, Marlborough, (Middlesex,
Massachusetts, USA): 3Com Corporation, December 2006. Disponible en:
<http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c02581968/c02581968.pdf>
Switch 5500 Family Configuration Guide, Part Number: 10014922 Rev. AD, Marlborough (Middlesex,
Massachusetts, USA): 3Com Corporation, November 2007. Disponible en:
<http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c02582034/c02582034.pdf>
3Com® Switch 4500 Family Command Reference Guide, Part No. 10015729, Rev. AA, Marlborough
(Middlesex, Massachusetts, USA): 3Com Corporation, january 2007. Disponible en:
<http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02586084-1.pdf >
3Com® Switch 5500 Family Configuration Guide Part Number: 10014923 Rev. AA Published: May 2006
http://www.vlsm-calc.net/
http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c02581968/c02580258.pdf
3Com® Switch 5500 Family Command Reference Guide Part Number: 10014923 Rev. AA Published: May
2006
http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c02586111/c02586111.pdf
http://h17007.www1.hp.com/device_help/H3C-Manuals/E5500/E5000-Getting-Started-Guide.pdf
http://bizsupport2.austin.hp.com/bc/docs/support/SupportManual/c02581615/c02581615.pdf
153