UNIDAD 3: MANTENIMIENTO DE INFRAESTRUCTURA

CAPITULO 10
CDP (CISCO DISCOVERY PROTOCOL)
LLDP (LINK LAYER DISCOVER PROTOCOL)
NTP (NETWORK TIME PROTOCOL)
SYSLOG (SYSTEM MESSAGE LOGGING)

CDP
El Protocolo de descubrimiento de Cisco, es un protocolo de Capa 2 que se utiliza para
recopilar información sobre los dispositivos Cisco que comparten el mismo enlace de datos.
Es independiente de los medios y del protocolo y se ejecuta en todos los dispositivos Cisco,
como routers, switches y servidores de acceso.

El dispositivo envía anuncios CDP periódicos (60 segundos) a los dispositivos conectados.
Estos mensajes comparten información sobre el tipo de dispositivos que se descubre, el
nombre, y la cantidad y tipo de interfaces.

Debido a que la mayoría de los dispositivos de red se conectará a otros dispositivos, el CDP
puede ayudar a tomar decisiones de diseño, solucionar problemas, y realizar cambios en el
equipo. El CDP se puede ocupar como herramienta de análisis de redes para conocer
información sobre los dispositivos vecinos. Esta información recopilada del CDP puede
ayudar a crear una topología lógica de una red cuando falta documentación o detalles.

Para los dispositivos Cisco, el CDP está habilitado de manera predeterminada. Por motivos
de seguridad, puede ser conveniente deshabilitar el CDP en un dispositivo de red de manera
global, o por interfaz. Con el CDP, un atacante puede recolectar información valiosa sobre
el diseño de la red, como direcciones IP, versiones de IOS, y tipos de dispositivos.

Para verificar el estado de CDP y mostrar información, se debe ingresar el comando show
cdp.

Comando show cdp

1
Para habilitar el CDP globalmente para todas las interfaces admitidas en el dispositivo, se
debe ingresar el comando cdp run en el modo de configuración global. CDP se puede
deshabilitar para todas las interfaces del dispositivo con el comando no cdp run, en el
modo de configuración global.

Configuración de CDP en interfaz

CDP deshabilitado y habilitado nuevamente en forma global

Para deshabilitar CDP en una interfaz específica, como la que entra en contacto con un ISP,
se deberá ingresar el comando no cdp enable en el modo de configuración de la interfaz.

Visualización de interfaces con CDP habilitado

Para verificar el estado de CDP y mostrar una lista de sus componentes adyacentes, se debe
utilizar el comando show cdp neighbors o show cdp neighbors detail, en el modo
EXEC privilegiado. También se puede utilizar el comando show cdp interface para
mostrar las interfaces que están habilitadas en CDP en el dispositivo. También se muestra
el estado de cada interfaz.

2
3
ACTIVIDAD QUE REALIZAR: 10.1.1.4

4
LLDP
Los dispositivos Cisco también admiten el Protocolo de detección de capa de enlace (LLDP),
que es un protocolo abierto de detección de componentes adyacentes similar a CDP. El LLDP
funciona con los dispositivos de red, como routers, switches y puntos de acceso inalámbrico
LAN. Este protocolo informa su identidad y capacidades a otros dispositivos y recibe
información de un dispositivo físicamente conectado de Capa 2.

Para habilitar y deshabilitar LLDP a nivel global, se deben ejecutar los comandos llpd run
o no llpd run en configuración global. Al igual que CDP, el LLDP se puede configurar en
interfaces específicas. Sin embargo, LLDP se debe configurar individualmente para
transmitir y recibir paquetes LLDP.

Para verificar se utilizan los comandos show lldp, show lldp neighbors o show lldp
neighbors detail.

5
6
NTP
El reloj de software de un router o un switch se inicia cuando arranca el sistema y es de
donde el sistema extrae la hora. Es importante sincronizar la hora en todos los dispositivos
de la red porque todos los aspectos de administración, seguridad, solución de problemas y
planificación de redes requieren una marca de hora precisa. Cuando no se sincroniza la hora
entre los dispositivos, será imposible determinar el orden de los eventos y la causa de un
evento.
Generalmente, las configuraciones de fecha y hora en un router o switch se pueden
configurar de dos maneras:

De forma manual con el comando clock,

O, configurando el Protocolo de tiempo de Red (NTP).

A medida que una red crece, se hace difícil garantizar que todos los dispositivos de
infraestructura operen con una hora sincronizada. Incluso en un entorno de red pequeño,
el método manual no es lo ideal.

Una mejor solución es configurar el NTP en la red. Este protocolo permite que los routers
de la red sincronicen sus ajustes de hora con un servidor NTP. Si un grupo de clientes NTP
obtienen información de fecha y hora de un único origen, tendrá ajustes de hora más
consistentes. Cuando se implementa NTP en la red, se lo puede configurar para
sincronizarse con un reloj maestro privado o se puede sincronizar con un servidor NTP
disponible públicamente en Internet. NTP utiliza el puerto 123 de UDP.

Las redes NTP utilizan un sistema jerárquico de fuentes horarias. Cada nivel en este sistema
jerárquico se denomina estrato. El nivel de estrato se define como la cantidad de saltos
desde la fuente autorizada.

7
Estrato 0:
Una red NTP obtiene la hora de fuentes horarias autorizadas. Estas fuentes autorizadas
conocidas como dispositivos de estrato 0, son dispositivos de cronometraje de alta precisión
que son presuntamente precisos y con poco o ningún retraso asociado con los mismos.

Estrato 1:
Los dispositivos de estrato 1 están conectados directamente a las fuentes horarias válidas.
Actúan como el estándar horario de la red principal.

Estrato 2 y más bajos:

Los servidores de estrato 2 están conectados a dispositivos del estrato 1 a través de
conexiones de red. Los dispositivos del estrato 2, como clientes NTP, sincronizan su horario
con los paquetes NTP desde servidores del estrato 1. Podrían también actuar como
servidores para dispositivos del estrato 3.

Los números más bajos de estratos indican que el servidor está más cerca de la fuente
horaria autorizada que los números de estrato más altos. Cuanto mayor sea el número de
estrato, menor es el nivel del estrato. El recuento de saltos máximo es 15. El estrato 16, el
nivel de estrato inferior, indica que un dispositivo no está sincronizado. Los servidores
horarios en el mismo nivel de estrato pueden configurarse para actuar como un par con
otros servidores horarios en el mismo nivel de estrato para la verificación o la copia de
respaldo del horario.

Antes de configurar NTP en la red, el comando show clock muestra la hora actual en el
reloj del software. Con la opción detail, también se muestra la fuente de la hora.

Ejemplo:
Utilice el comando ntp server [dirección-ip] en el modo de configuración global
para configurar 209.165.200.225 como el servidor NTP para R1. Para verificar que la
fuente de la hora esté definida en NTP, vuelva a utilizar el comando show clock detail.

8
Utilice los comandos show ntp associations y show ntp status para verificar que
R1 esté sincronizado con el servidor NTP en 209.165.200.225. se puede observar que el
R1 está sincronizado con un servidor NTP de estrato 1 en 209.165.200.225, que se
sincroniza con un reloj GPS. El comando show ntp status, indica que R1 ahora es un
dispositivo de estrato 2 sincronizado con el servidor NTP 209.165.200.225.

El reloj de S1 está configurado para sincronizarse con R1. La salida del comando show ntp
associations verifica que el reloj de S1 ahora está sincronizado con R1 en 192.168.1.1
por medio de NTP. El R1 es un dispositivo de estrato 2 y un servidor NTP para el S1. Ahora
el S1 es un dispositivo de estrato 3 que puede proporcionar el servicio NTP a otros
dispositivos en la red, por ejemplo, terminales.

ACTIVIDAD QUE REALIZAR: 10.2.1.4

9
SYSLOG
Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos de
confianza para notificar mensajes detallados del sistema al administrador. Estos mensajes
pueden ser importantes o no. Los administradores de red tienen una variedad de opciones
para almacenar, interpretar y mostrar estos mensajes, así como para recibir estos mensajes
que podrán tener el mayor impacto en la infraestructura de la red.

El método más común para acceder a los mensajes del sistema es utilizar el protocolo
SYSLOG.

El término “syslog” se utiliza para describir un estándar. También se utiliza para describir el
protocolo desarrollado para ese estándar. Syslog usa el puerto UDP 514 para enviar
mensajes de notificación de eventos a través de redes IP a recopiladores de mensajes de
eventos.

Muchos dispositivos de red admiten syslog, incluidos routers, switches, servidores de

aplicación, firewalls y otros dispositivos de red.

El servicio de registro de syslog proporciona tres funciones principales:

− La capacidad de recopilar información de registro para el control y la resolución de

problemas.
− La capacidad de seleccionar el tipo de información de registro que se captura.
− La capacidad de especificar los destinos de los mensajes de syslog capturados.

En los dispositivos de red Cisco, el protocolo syslog comienza enviando los mensajes del
sistema y el resultado del comando debug a un proceso de registro local interno del
dispositivo. Por ejemplo, los mensajes de syslog se pueden enviar a través de la red a un
servidor de syslog externo.

10
Estos mensajes se pueden recuperar sin necesidad de acceder al dispositivo propiamente
dicho. Los resultados y los mensajes de registro almacenados en el servidor externo se
pueden incluir en varios informes para facilitar la lectura.

Por ora parte, los mensajes de syslog se pueden enviar a un búfer interno. Los mensajes
enviados al búfer interno sólo se pueden ver mediante la CLI del dispositivo.

Por último, el administrador de red puede especificar que sólo se envíen determinados tipos
de mensajes del sistema a varios destinos. Por ejemplo, se puede configurar el dispositivo
para que reenvíe todos los mensajes del sistema a un servidor de syslog externo. Sin
embargo, los mensajes del nivel de depuración se reenvían al búfer interno, y sólo el
administrador puede acceder a ellos desde la CLI.

Los destinos comunes para los mensajes de syslog incluyen:

− Búfer de registro (RAM dentro de un router o switch).

− Línea de consola.
− Línea de terminal.
− Servidor Syslog.

Es posible controlar los mensajes del sistema de manera remota viendo los registros en un
servidor de syslog o accediendo al dispositivo mediante Telnet, SSH o a través del puerto de
consola.
Los dispositivos de Cisco generan mensajes de syslog como resultado de los eventos de red.
Cada mensaje de syslog contiene un nivel de gravedad y una instalación. Cuanto más bajos
son los números de nivel, más fundamentales son las alarmas de syslog. El nivel de gravedad
de los mensajes se puede establecer para controlar dónde se muestra cada tipo de mensaje
(es decir, en la consola o los otros destinos).

11
Nivel de Advertencia 4 – Nivel de Emergencia 0
Estos mensajes son de error sobre desperfectos de software o hardware; indican que la
funcionalidad del dispositivo está afectada.

Nivel de Notificación 5
Este nivel de notificaciones es para eventos normales, pero significativos. Por ejemplo, las
transiciones para activar o desactivar interfaces y los mensajes para reiniciar el sistema se
muestran en el nivel de notificaciones.

Nivel Informativo 6
Un mensaje informativo normal que no afecta la funcionalidad del dispositivo. Por ejemplo,
cuando un dispositivo Cisco está arrancando, se podría ver el siguiente mensaje
informativo: §LICENCE-6-EULA_ACEPT_ALL: The Rigth to Use End User
License Agreement is accepted.

Nivel de Depuración 7
Este nivel indica que los mensajes son generados como salida a partir de la ejecución de
diversos comandos debug(ver detalle al final del documento)(de depuración).

Además de especificar la gravedad, los mensajes de syslog también contienen información

sobre la instalación. Las instalaciones de syslog son identificadores de servicios que
identifican y categorizan los datos de estado del sistema para informar los mensajes de
error y de eventos. Por ejemplo, los switches Cisco de la serie 2960 que ejecutan el IOS
versión 15.0 y los routers Cisco 1941 que ejecutan el IOS versión 15.2 admiten 24 opciones
de instalación que se categorizan en 12 tipos de instalación.

Algunas instalaciones comunes de mensajes de syslog que se informan en los routers con
IOS de Cisco incluyen:

− IP
− Protocolo OSPF
− Sistema operativo SYS
− Seguridad IP (IPsec)
− IP de interfaz (IF)

12
De manera predeterminada, el formato de los mensajes de syslog en el software IOS de
Cisco es el siguiente:
seq no: timestamp: %facility-severity-MNEMONIC: description

Los campos incluidos en el mensaje de syslog del software IOS de Cisco se explican en la
siguiente figura.

Formato de mensaje de Syslog

Por ejemplo, el resultado de ejemplo de un switch Cisco para un enlace EtherChannel que
cambia al estado activo es el siguiente:

00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to

up

Aquí la instalación es LINK, y el nivel de gravedad es 3, con la nemotecnia UPDOWN.

Los mensajes más comunes son los de enlace activo y enlace inactivo, y los mensajes que
produce un dispositivo cuando sale del modo de configuración. Si se configura el registro
de ACL, el dispositivo genera mensajes de syslog cuando los paquetes coinciden con una
condición de parámetros.

De manera predeterminada, los mensajes de registro no tienen marca de hora. Por ejemplo:
en la figura, la interfaz gigabitEthernet 0/0 de R1 está apagada. El mensaje que se
registra en la consola no identifica cuándo se modificó el estado de la interfaz. Los mensajes
de registro deben tener marcas de hora de manera que, cuando se envían a otro destino,
como un servidor syslog, haya un registro del momento en el que se generó el mensaje.

13
Utilice el comando service timestamps log datetime para obligar a los eventos
registrados a que indiquen la fecha y hora.

Nota: Cuando se utiliza la palabra datetime, se debe configurar el reloj del dispositivo de
red, ya sea manualmente o a través de NTP.

De manera predeterminada, los routers y switches Cisco envían mensajes de registro a la

consola para todos los niveles de gravedad. En algunas versiones del IOS, el dispositivo
también almacena en búfer los mensajes de registro de manera predeterminada. Para
habilitar estas dos configuraciones, utilice los comandos de configuración global logging
console y logging buffered, respectivamente.

El comando show logging muestra la configuración predeterminada del servicio de

registro en un router Cisco.

14
Existen tres pasos para configurar el router para que envíe los mensajes del sistema a un
servidor syslog donde se puedan almacenar, filtrar y analizar:

Paso 1: En el modo de configuración global, utilice el comando logging [nombre-host

o IP] para configurar el nombre de host del destino o la dirección IPv4 del syslog.

Paso 2: Controle los mensajes que se enviarán al servidor syslog con el comando logging
trap [level] en el modo de configuración global.

Paso 3: Opcionalmente, configure la interfaz de origen con el comando logging source-

interface [tipo-interfaz número-interfaz] en el modo de configuración global.

15
Puede utilizar el comando show logging para ver cualquier mensaje que se registre.
Cuando el búfer de registro es grande, resulta útil utilizar la opción de la barra vertical (|)
con el comando show logging. La opción de la barra vertical permite que el administrador
indique específicamente qué mensajes se deben mostrar. Por ejemplo: puede utilizar la
barra vertical para filtrar solo los mensajes con include changed state to up, tal
como se muestra en la figura.

ACTIVIDAD QUE REALIZAR: 10.2.3.5

16
EL COMANDO DEBUG
Los procesos, protocolos, mecanismos y eventos de IOS generan mensajes para comunicar
su estado. Estos mensajes pueden proporcionar información valiosa cuando hay que
solucionar problemas o verificar las operaciones del sistema. El comando debug de IOS
permite que el administrador muestre estos mensajes en tiempo real para su análisis. Es
una herramienta muy importante para supervisar eventos en un dispositivo Cisco IOS.

Todos los comandos debug se introducen en el modo EXEC privilegiado. El IOS de Cisco
permite limitar el resultado de debug para incluir solo la función o la subfunción relevante.
Esto es importante porque se le asigna alta prioridad al resultado de depuración en el
proceso de CPU y puede hacer que el sistema no se pueda utilizar. Por este motivo, use los
comandos debug solo para solucionar problemas específicos. Para supervisar el estado de
mensajes de ICMP en un router Cisco, utilice debug ip icmp. El Ejemplo
siguiente muestra el resultado de debug ip icmp.

Ejemplo: Resultado del comando debug ip icmp

R1# debug ip icmp
ICMP packet debugging is on
R1# ping 10.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
*Nov 13 12:56:08.147: ICMP: echo reply rcvd, src 10.0.0.10, dst 10.0.0.1,
topology BASE, dscp 0 topoid 0
*Nov 13 12:56:08.151: ICMP: echo reply rcvd, src 10.0.0.10, dst 10.0.0.1,
topology BASE, dscp 0 topoid 0
*Nov 13 12:56:08.151: ICMP: echo reply rcvd, src 10.0.0.10, dst 10.0.0.1,
topology BASE, dscp 0 topoid 0
*Nov 13 12:56:08.151: ICMP: echo reply rcvd, src 10.0.0.10, dst 10.0.0.1,
topology BASE, dscp 0 topoid 0
*Nov 13 12:56:08.151: ICMP: echo reply rcvd, src 10.0.0.10, dst 10.0.0.1,
topology BASE, dscp 0 topoid 0
R1# undebug all
All possible debugging has been turned off
R1#

Para ver una lista con una breve descripción de todas las opciones del comando de
depuración, utilice el comando debug? en modo EXEC privilegiado en la línea de comando.
Para desactivar una característica de depuración específica, agregue la palabra no delante
del comando debug:

Router# no debug ip icmp

17
Alternativamente, puede ingresar la forma undebug del comando en modo EXEC
privilegiado:

Router# undebug ip icmp

Para desactivar todos los comandos debug activos de inmediato, utilice el

comando undebug all:

Router# undebug all

Algunos comandos de depuración como debug all y debug ip packet generan una
importante cantidad de resultados y usan una gran porción de recursos del sistema. El
router estaría tan ocupado mostrando mensajes de depuración que no tendría suficiente
potencia de procesamiento para realizar las funciones de red, o incluso escuchar los
comandos para desactivar la depuración. Por este motivo, no se recomienda y se debe
evitar utilizar estas opciones de comando.

18