MANUAL DE PROCEDIMIENTO DE UN EQUIPO

SWITCH CISCO

Nombre: Christian Zuleta Gonzalez

Carrera: ingeniería en telecomunicaciones, conectividad y redes.
Sección: 779
Profesor Keny Cortes González

1
 INDICE

Tabla de contenido
1.-introducción 3
2.-Comprobando el equipo hardware 4
3.-Requisitos y alternativas previas de la configuración 5
4.-Configuración de un switch cisco
4.1.- configuración de VLAN 4
4.2.- configuración de hosts 5
4.3.- configuración de un troncal 6
4.4.- Conexión hacia la capa de distribución 5.- Seguridad.
6.- Administración de la red 6.1.- mensajes syslog
6.1.1.- Niveles de gravedad de Syslog
6.1.2.-Formato de mensaje Syslog 6.2.-CONFIGURACIÓN
6.2.1.-Habilitación marca de tiempo
6.2.2.-Almacenaje de mensajes Syslog localmente 6.2.3.-
Almacenamiento en Servidor Syslog
7.-documentacion
8.- conclusión

2
 Introducción

Para esta actividad descubriremos procedimientos correctos con las buenas practicas
desde que se recibe un equipo hasta la puesta en marcha de una red, para eso es
importante establecer un manual de instalación de un equipo switch Catalyst Cisco
2960 series este trabaja en capa 2 del modelo O.S.I., donde el equipo pueda distribuir
los servicios y administrar los equipos finales, llamados hots, siguiendo las buenas
practicas del fabricante cisco.
Cisco menciona que en toda configuración e instalación debe incluir identificar,
administrar y colocar la seguridad a cada uno de los equipos de la red.
Cisco también especifica un buen correcto de la instalación del hardware para que su
identificar algún fallo antes de ponerlo en marcha.
Este procedimiento es aplicable a todo el personal competente en la configuración de
equipamiento cisco.

3
1.-Comprobando el equipo hardware

Realizar un chequeo del equipo una vez estando en nuestras manos se puede
garantizar de inmediato con el proveedor Cisco, el excelente estado del equipo para el
funcionamiento correcto de la operatividad.

Sugerencias del fabricante:

Paso 1: Comprobar que la caja que contiene el equipo este en buen estado, en el caso
lo contrario devolverlo de inmediato al proveedor.
Paso 2: Una vez abierta la caja revisar que contenga cada uno de los componentes
que menciona el modelo requerido.
Paso 3: Ensamblar cada componente con un atornillador de cruz de punta media, se
requiere que estén ajustados para no provocar accidente una vez estando en
operación.
Paso 4: Antes de enchufar el equipo, medir la corriente de la PDU o enchufe del rack,
con un multímetro digital, corriente (amperes), voltaje (volt), potencia (WATT) y tierra,
teniendo en consideración la zona del país o lugar de trabajo son los valores a respetar.
Paso 5: Una vez conectada al enchufe probado, el equipo debe encender todas las
luces led de las puertas del switch y hace funcionar el ventilador interno. Después de 4
minutos aproximadamente, las luces deberían apagarse excepto power.
Paso 6: es importante verificar el equipo de forma lógica, para esto seguir lo siguiente:
- entrar al modo PRIVILEGIADO (#) debe introducir el comando enable en el modo de
usuario (>)
- Una vez en el modo Privilegiado (#) se debe Realizar la inspección de la configuración
completa que trae el Switch cisco con el comando Show Running-config.
- Posteriormente se debe Realizar la inspección de vlan.dat con el comando show
flash: Esto se debe realizar en el modo PRIVILEGIADO (#).

Para mayor información de la instalación, visitar la página web de Cisco,

www.cisco.com o presionar este link del modelo: switch Catalyst Cisco 2960 series:
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/catalyst2960/hardware/quick/g
uide_stack/All_languages/2960S_gsg_esp.pdf
4
3.-Requisitos y alternativas previas de la configuración

Para la configuración inicial del Switch se debe tener un cable de consola y un

adaptador RJ-45 a DB-9 para conectarse al puerto COM1- 5 según el computador o
notebook que posea en ese momento. Este debe tener instalado un software de
emulación de terminal, como el HyperTerminal, putty o el que se le acomode más de
usar.
Para utilizar la opción del puerto USB para la configuración inicial, tome en cuenta que
posiblemente necesitará un driver controlador en su PC según el sistema operativo que
utilice. Para las conexiones desde su PC al puerto USB, posiblemente también necesite
un cable adaptador.
Cuando un switch Catalyst Cisco se ponen en marcha, hay tres operaciones
fundamentales que han de llevarse a cabo en el dispositivo de red:

 El dispositivo localiza el hardware y lleva a cabo una serie de rutinas de

detección del mismo. Un término que se suele utilizar para describir este
conjunto inicial de rutinas es power-on self test (POST), o pruebas de inicio.

 Una vez que le hardware se muestra en una disposición correcta de

funcionamiento, el dispositivo lleva a cabo rutinas de inicio del sistema. Estas
rutinas inician el switch o el router localizando y cargando el software del sistema
operativo.

 Tras cargar el sistema operativo, el dispositivo trata de localizar y aplicar las

opciones de configuración que definen los detalles necesarios para operar en la
red. Generalmente, hay una secuencia de rutinas de arranque que proporcionan
alternativas al inicio del software cuando es necesario.
 Un router o un switch pueden ser configurados desde distintas ubicaciones:

5
  -En la instalación inicial, el administrador de la red configura generalmente los
dispositivos de la red desde un terminal de consola, conectado por medio del
puerto de consola.
 -Si el administrador debe dar soporte a dispositivos remotos, una conexión local
por módem con el puerto auxiliar del dispositivo permite a aquél configurar los
dispositivos de red.
 Dispositivos con direcciones IP establecidas pueden permitir conexiones Telnet
para la tarea de configuración.
 -Descargar un archivo de configuración de un servidor Trivial File Transfer
Protocol (TFTP).
 -Configurar el dispositivo por medio de un navegador Hypertext Transfer Protocol
(http).

4.-Configuración de un switch cisco

Es importante antes de todo personalizar al menos de forma básica el switch, ya que la

seguridad y privacidad te resguarda los equipo propios de la red contra personal no
autorizado, y la identificación de los equipos de tu red es importante para realizar una
documentación más detallada y te entrega mayor seguridad, ya que al momento de
modificar, agregar o asignar tu configuración puedas tener mayor control y poder
decisión.

Para la configuración básica se configurará lo siguiente:

Switch>enable: entra en modo privilegiado

Switch#configure terminal: entra al modo de configuración
Switch(config)#hostname SW_PLANTA: sirve para crear el nombre del equipo
SW_PLANTA(config)#service password-encryption: para la encriptación de todas las
claves dentro del switch.
SW_PLANTA(config)#enable secret Inacap: es una contraseña para restringir el acceso
al modo EXEC privilegiado.
SW_PLANTA(config)#line console 0: se utiliza para entrar a la configuración del puerto
consola del equipo

6
SW_PLANTA(config-line)#password Inacap: se establece la contraseña para el puerto
consola del equipo
SW_PLANTA(config-line)#login local: establece para entrar al equipo con un usuario y
contraseña única para cada uno.
SW_PLANTA (config-line)#exec-timeout 5:se utiliza para establecer el tiempo de espera
inactivo de la sesión remota, en minutos.
SW_PLANTA(config-line)#exit: para salir del Puerto consola
SW_PLANTA(config)#line vty 0 4: entra al terminal virtual del equipo, accesos remotos.
SW_PLANTA(config-line)#password Inacap: establece la contraseña para sesiones
remotas.
SW_PLANTA(config-line)#login local: se establece para entrar al equipo con un usuario
y contraseña única para cada uno.
SW_PLANTA(config-line)#exec-timeout 5: se utiliza para establecer el tiempo de espera
inactivo de la sesión remota, en minutos
SW_PLANTA(config-line)#transport input ssh: establece el tipo de conexión que se
utilizara, en este caso SSH.
SW_PLANTA(config-line)#exit: para salir del Puerto virtual VTY
SW_PLANTA(config)#username inacap privilege 15 password Inacap: se utiliza para
crear un nombre, contraseña y privilegios que tendrá un usuario en el equipo.
SW_PLANTA (config)#vtp mode transparent: VTP en modo transparente se utiliza para
no recibir ni enviar sus VLAN a otros equipos.
SW_PLANTA(config)#vtp version 2: es la versión VTP que se utilizara en la red.
SW_PLANTA(config)#vtp domain inacap.cl: es el dominio VTP que debe existir en
todos los equipos por igual.
SW_PLANTA(config)#vtp password Inacap: contraseña para VTP
SW_PLANTA(config)#ip domain-name inacap.cl: establece el nombre de dominio del
DNS.
SW_PLANTA(config)# ip ssh time-out 10: establece el tiempo de sesión ssh, en minutos
SW_PLANTA(config)# ip ssh authentication-retries 3:establece los intentos para
ingresar al equipo, luego de 3 se cerrara la sesión
SW_PLANTA(config)# ip ssh version 2: se establece la version de ssh
SW_PLANTA(config)# crypto key generate rsa: 1024: el comando es para dar el
tamaño de cifrado de las llaves, en este caso de 1024 bits de longitud.
7
SW_PLANTA(config)#spanning-tree mode rapid-pvst: establece el modo en que
trabajara spanning-tree, en este caso por vlan.

Se realizó la configuración de seguridad del equipo, tanto para entrar de forma remota
como por consola, adicional se configuro VTP en modo transparente y Rapid-pvst. En
versiones recientes de IOS se puede apagar VTP para evitar ataques. Ssh para generar
un túnel seguro para establecer conexiones remotas.

4.1 configuración de VLAN

Para la configuración de las VLAN, es necesario segmentar los servicios para tener un
mejor orden de tus servicios hacia los usuarios, con los siguientes comandos.

SW_PLANTA# configure terminal

SW_PLANTA (config)#vlan 10
SW_PLANTA(config-vlan)#name datos
SW_PLANTA (config-vlan)#vlan 20
SW_PLANTA(config-vlan)#name voz
SW_PLANTA(config-vlan)#vlan 30
SW_PLANTA(config-vlan)#name video
SW_PLANTA(config-vlan)#vlan 99
SW_PLANTA(config-vlan)#name administracion
SW_PLANTA(config-vlan)#vlan 150
SW_PLANTA(config-vlan)#name no_uso (se usa para puertos sin conexión)

Como se había mencionado se debe segmentar los servicios para un mayor orden
hacia los usuario, con nombre del tipo de servicio entregado como datos, voz, video,
etc…, la vlan 150 se crea para los puertos sin conexión que no fueron utilizados en el
momento de la implementación, estos puertos se deben apagar para mayor seguridad
de la red.

8
 4.2.- configuración de hosts

Para la configuración de los puertos de hosts para en los servicios de datos se utilizarán
los siguientes comandos.

SW_PLANTA(config)#interface fastethernet 0/1: ingreso a interface fastethernet 0/1 o

interfaces gigabitethernet 0/1 dependiendo del puerto.
SW_PLANTA(config-if)#switchport mode Access: establece la interface como una
interface de acceso y no troncal
SW_PLANTA(config-if)#switchport access vlan 10: establece el acceso a la vlan 10,
previamente creada para datos
SW_PLANTA(config-if)#no lldp receive: comando para no recibir protocolo lldp
SW_PLANTA(config-if)#no lldp transmit: comando para no transmitir protocolo lldp”
SW_PLANTA(config-if)#no cdp enable: comando para deshabilitar cdp en la interface
SW_PLANTA(config-if)#duplex auto: comando para que se configure de manera
automática el tipo de transmisión de paquetes
SW_PLANTA(config-if)#speed auto: comando para establecer de forma automática la
velocidad del puerto.
SW_PLANTA(config-if)#ip dhcp snooping limit rate 5: comando para establecer que no
es un puerto seguro para la transmisión de DHCP.
SW_PLANTA(config-if)#switchport port-security: comando para habilitar seguridad en la
interface.
SW_PLANTA(config-if)#switchport port-security violation shutdown: comando establece
que se apagara la interface en caso de una mac desconocida.
SW_PLANTA(config-if)#switchport port-security maximum 1: al ser una interface para 1
hosts se establece como máximo 1 mac al puerto

9
SW_PLANTA(config-if)#switchport port-security mac-address sticky: comando para
conocer de forma automática la primera mac que se conectará y se permitirá en la
interface del switch
SW_PLANTA(config-if)#spanning-tree portfast: es una función que permite a las
estaciones de usuarios finales obtener acceso inmediato a la red de capa 2.
SW_PLANTA(config-if)#spanning-tree bpduguard enable: comando para proteger
bpdus que puedan ingresar al puerto.
Con la configuración mostrada, se define la vlan en la cual participara el hosts, a la
misma vez se bloquea todo tipo de trafico en los protocolos lldp y cdp para evitar
ataques de este mismo, para mayor seguridad de la red se configura el protocolo port-
security el cual ante una mac que no este registrada en su interface la apagara y solo
para recuperar este estado se deberá ingresar al equipo y volver a activar la interface,
de igual manera se activa spanning-tree portfas el cual no negociara y entregara
inmediatamente datos, y el comando spanning-tree bpduguard el cual BPDU guard
previene que un puerto reciba BPDUs. Si el puerto recibe un BPDU, el puerto es
colocado en un estado de error-disabled como una manera de proteger el puerto. Dhcp
snooping limit rate se configura para establecer que un puerto de hosts no sea un
puerto confiable para la transmisión de dhcp, donde bloquea cualquier dato dhcp que
quiera introducirse a la red a través del mismo puerto. Con los comandos duplex y
speed auto se deja configurada la interface para que negocie de forma automática.

Para la configuración de hosts para (DATOS Y VOZ) y buenas prácticas se utilizarán

los siguientes comandos.

SW_PLANTA(config)#interface fastethernet 0/1: ingreso a interface fastethernet 0/1

SW_PLANTA(config-if)#switchport mode Access: establece la interface como una
interface de acceso y no troncal.
SW_PLANTA(config-if)#switchport access vlan 10: establece el acceso a la vlan 10,
previamente creada para datos.
SW_PLANTA(config-if)#switchport voice vlan 20: establece acceso a la vlan 20,
previamente creada para voz.
SW_PLANTA(config-if)#no lldp receive: comando para no recibir protocolo lldp
SW_PLANTA(config-if)#no lldp transmit: comando para no transmitir protocolo lldp
10
 SW_PLANTA(config-if)#no cdp enable: comando para deshabilitar cdp en la
interface
SW_PLANTA(config-if)#duplex auto: comando para que se configure de manera
automática el tipo de transmisión de paquetes.
SW_PLANTA(config-if)#speed auto: comando para establecer de forma automática
la velocidad del puerto.
SW_PLANTA(config-if)#ip dhcp snooping limit rate 5:comando para establecer que
no es un puerto seguro para la transmisión de DHCP.
SW_PLANTA(config-if)#switchport port-security: comando para habilitar seguridad
en la interface.
SW_PLANTA(config-if)#switchport port-security violation shutdown: comando
establece que se apagara la interface en caso de una mac desconocida.
SW_PLANTA(config-if)#switchport port-security maximum 2: al ser una interface
para 2 hosts se establece como máximo 2 mac al puerto
SW_PLANTA(config-if)#switchport port-security mac-address sticky: comando para
conocer de forma automática la primera mac que se conectará y se permitirá en la
interface del switch.
SW_PLANTA(config-if)#spanning-tree portfast: es una función que permite a las
estaciones de usuarios finales obtener acceso inmediato a la red de capa 2.
SW_PLANTA(config-if)#spanning-tree bpduguard enable: comando para proteger
bpdus que puedan ingresar al puerto

Sumando a la configuración anterior de un puerto para un solo hosts, Detrás de escena,

tenemos un enlace entre nuestro switch y el teléfono IP. El puerto en el teléfono IP que
se conecta a la computadora es un puerto de acceso. El teléfono IP reenviará todo el
tráfico de la computadora al switch sin etiquetar, el tráfico del propio teléfono IP se
etiquetará. Sin embargo, las únicas dos VLAN que están permitidas son las VLAN de
acceso y de voz.

Para la configuración de hosts para (video) y buenas prácticas se utilizarán los

siguientes comandos.

SW_PLANTA(config)#interface fastethernet 0/1: ingreso a interface fastethernet 0/1.

11
SW_PLANTA(config-if)#switchport mode Access: establece la interface como una
interface de acceso y no troncal.
SW_PLANTA(config-if)#switchport access vlan 30: establece el acceso a la vlan 10,
previamente creada para video.
SW_PLANTA(config-if)#auto qos video ip-camera: commando para establecer calidad
de servicio automático para una cámara.

SW_PLANTA(config-if)#no lldp receive: comando para no recibir protocolo lldp.

SW_PLANTA(config-if)#no lldp transmit: comando para no transmitir protocolo lldp.
SW_PLANTA(config-if)#no cdp enable: comando para deshabilitar cdp en la interface.
SW_PLANTA(config-if)#duplex auto: comando para que se configure de manera
automática el tipo de transmisión de paquetes.
SW_PLANTA(config-if)#speed auto: comando para establecer de forma automática la
velocidad del puerto.
SW_PLANTA(config-if)#ip dhcp snooping limit rate 5:comando para establecer que no
es un puerto seguro para la transmisión de DHCP.
SW_PLANTA(config-if)#switchport port-security: comando para habilitar seguridad en la
interface.
SW_PLANTA(config-if)#switchport port-security violation shutdown: comando establece
que se apagara la interface en caso de una MAC desconocida.
SW_PLANTA(config-if)#switchport port-security maximum 1: al ser una interface para 1
hosts se establece como máximo 1 MAC al puerto.
SW_PLANTA(config-if)#switchport port-security mac-address sticky: comando para
conocer de forma automática la primera mac que se conectará y se permitirá en la
interface del switch.
SW_PLANTA(config-if)#spanning-tree portfast: es una función que permite a las
estaciones de usuarios finales obtener acceso inmediato a la red de capa 2
SW_PLANTA(config-if)#spanning-tree bpduguard enable: comando para proteger
bpdus que puedan ingresar al puerto.

Distinto a las dos configuraciones anteriores, se puede sumar la calidad de servicio

automática aplicada a la interface para cámara, esto se puede realizar en equipamiento

12
con versión sobre la 15.0, para esta versión igualmente se puede establecer calidad de
servicio para todo el switch con el comando auto qos srnd4.

4.3.- configuración de un troncal

Para la configuración de un troncal y sus buenas prácticas se utilizarán los siguientes

comandos.

SW_PLANTA(config)#interface gigabitEthernet 0/1: comando para ingreso a interface

gigabitethernet 0/1.
SW_PLANTA(config-if)#switchport mode trunk: comando para establecer la interface
como troncal
SW_PLANTA (config-if)#switchport trunk allowed vlan 10,20,30,99: comando para
permitir el paso de vlan específicas
SW_PLANTA(config-if)#switchport trunk native vlan 99: comando para declarar la vlan
nativa, La vlan nativa es implícitamente usada para todo el tráfico sin etiqueta en un
enlace troncal y puede ser recibida en un puerto configurado con el 802.1Q”
SW_PLANTA(config-if)#switchport nonegotiate: para establecer el Puerto siempre en
modo troncal sin envió DTP.
SW_PLANTA(config-if)#ip dhcp snooping trust :establece un Puerto Seguro para el
envío y recepción de dhcp
SW_PLANTA(config-if)#ip arp inspection trust: establece un Puerto confiable para arp y
no realiza inspección de paquetes, solo los reenvía.
SW_PLANTA(config-if)#description “hacia-sw-3”: descripción para saber hacia dónde
ira conectada la interface troncal.

Con la configuración mostrada, se activa una interface en modo troncal donde aparece
explícitamente que vlan pasaran por el troncal, evitando que pasen vlan no habilitadas
en la red, de la misma manera se muestra como se aplica el comando nonegotiate este

13
comando Fuerza siempre al puerto a permanecer en modo troncal, pero no envía
tramas DTP. Los vecinos deberán establecer el modo troncal en el enlace de forma
manual y así llevar la misma configuración que lleva el puerto, un tipo de transparencia
entre puertos. Con dhcp snooping trust se dejara el puerto como un puerto confiable
para la transmisión de DHCP. El comando ip arp inspection trust deja la interface como
confiable y el troncal solamente reenviara los paquetes sin realizar la inspección puesto
que viene de una fuente confiable. Para interfaces no confiables, el conmutador
intercepta todas las solicitudes y respuestas ARP. Verifica que los paquetes
interceptados tengan enlaces de dirección IP a MAC válidos antes de actualizar el
caché local y antes de reenviar el paquete al destino apropiado

4.4.- Conexión hacia la capa de distribución

Para la configuración de un troncal hacia la capa de distribución y sus buenas prácticas
se utilizarán los siguientes comandos.

SW_PLANTA(config)#interface port-channel 1: comando para la creación de una

interface port-channel.
SW_PLANTA(config-if)#switchport mode trunk: comando para establecer la interface
port-channel como troncal
SW_PLANTA(config-if)#switchport trunk native vlan 99: comando para configuración de
vlan nativa en la interface port-channel.
SW_PLANTA(config-if)#switchport trunk allowed vlan 10,20,30,99: comando para
permitir el paso de vlan especificas en la interface port-channel.
SW_PLANTA(config-if)#switchport nonegotiate: para establecer el Puerto port-channel
siempre en modo troncal sin envió DTP”
SW_PLANTA(config-if)#description “hacia-sw-2”:descripción para saber hacia dónde ira
conectada la interface troncal.

Port-channel se utilizará para la agregación de enlace y a la misma vez para la

agregación de ancho de banda. Posterior al port-channel se asignarán los puertos que
serán participes de este grupo. Estos puertos deben ser un espejo de la configuración
de la interface port-channel
Para esto veremos los distintos modos que tiene port-channel
14
active Habilita LACP incondicionalmente
Auto Habilita PAgP solo si se detecta un dispositivo PAgP
desirable Habilita PAgP incondicionalmente
on Habilita solo Etherchannel
Passive Habilita LACP solo si se detecta un dispositivo LACP

Aquí se debe tomar la decisión del protocolo a utilizar, puesto que el protocolo PAGP es
prioritario de cisco por ende solo esta en equipamiento cisco, si se tiene otro tipo de
equipo y se quiere aplicar agregación de enlace debemos establecer el protocolo LACP
realizado y validado por la IEEE 802.3ad.

SW_PLANTA(config)#interface gigabitEthernet 0/1: comando para ingreso a interface

gigabitethernet 0/1.
SW_PLANTA(config-if)#switchport mode trunk: comando para establecer la interface
como troncal.
SW_PLANTA(config-if)#switchport trunk native vlan 99: comando para configuración de
vlan nativa en la interface.
SW_PLANTA(config-if)#switchport trunk allowed vlan 10,20,30,99: comando para
permitir el paso de vlan especificas en la interface.
SW_PLANTA(config-if)#switchport nonegotiate: para establecer el Puerto port-channel
siempre en modo troncal sin envió DTP.
SW_PLANTA(config-if)#description “hacia-sw-3”: descripción para saber hacia dónde
ira conectada la interface troncal.
SW_PLANTA(config-if)# channel-group 1 mode on: hace participe de port-channel a la
interface gigabitethernet 0/1 en modo ON, esto es habilitar siempre EtherChannel de
forma manual sin utilizar el protocolo dinámico.

5.- Seguridad.

Como se muestra en las configuraciones anteriores, se utilizan varios comandos para

poder dar una mayor seguridad a nuestra red, donde aparecen los siguientes:

15
  service password-encryption
 transport input ssh
 ip ssh time-out 10
 ip ssh authentication-retries 3
 crypto key generate rsa: 1024
 no lldp transmite
 no lldp receive
 no cdp enable
 port-security
 ip dhcp snooping vlan 10,20,30,99
 spanning-tree bpduguard
 ip arp inspection trust
 switchport trunk allowed vlan 10,20,30,99

Esto mencionando algunas de las técnicas de seguridad para la configuración de un

switch cisco administrable, sin embargo, es necesario en la red establecer y aplicar un
servidor AAA para el sistema de autenticación, autorización y contabilización para el
inicio de sesiones mas seguros en la red.
A la misma vez se debe aplicar un servidor de SYSLOG, NTP y SNMP para saber en
que momento se realizo alguna configuración dentro de la red.
Para establecer mayor seguridad se debe aplicar un respaldo de las configuraciones de
forma quincenal para respaldo de la red en caso de cualquier ataque que pueda sufrir la
misma y colapsar toda la red.
Establecer no realizar envió de contraseñas a través de medios electrónicos, estos ya
sean correos, mensajería o cualquier tipo de aplicación que use la internet, solamente
se podrá realizar la entrega de claves a través de sobres hacia el ingeniero de redes.

6.- Administración de la red

Para la administración de la red solamente estará autorizado el ingeniero de redes

quien contara con todas las credenciales necesarias para la administración de la red, a

16
la misma vez se utilizarán los siguientes servidores para la toma de decisiones y
seguimiento de lo que pasa en la red.

 Servidor SYSLOG
 Servidor NTP
 Servidor SNMP
 Monitoreo de la red por PRTG
 Monitoreo de la red por Solardwinds

6.1.-MENSAJES SYSLOG

Syslog es un protocolo que permite a un dispositivo enviar mensajes de notificación a

través de una red IP para que sean almacenados en otro dispositivo o servidor colector.
Por defecto, los dispositivos IOS envían los mensajes del sistema y los que resultan de
la ejecución de comandos debug al proceso de logging. Este proceso controla la
distribución de mensajes a varios destinos: un buffer de memoria, dispositivos
terminales, consola de CLI o un servidor.
Inicialmente, por defecto los mensajes se envían solamente a la consola después de
que el proceso que da origen a cada mensaje concluye.
Es posible configurar el destino de los mensajes y filtrarlos de acuerdo al nivel de
severidad. La inclusión de fecha y hora es opcional y debe ser incluida explícitamente si
se desea contar con esa referencia.

Los switches pueden ser configurados para para generar una auditoria describiendo
importantes eventos que han ocurrido. El sistema de mansajes logs (syslog) puede ser
recolectado y analizado para determinar que ocurrió, cuando y cuan severo fue.

Por defecto, estos mensajes de syslog solo se envían a la consola. Esto se debe a que
el comando de la logging console está habilitado de forma predeterminada. Si inicia
sesión a través de telnet o SSH, no verá ningún mensaje de syslog. Puede habilitar esto
con el comando de terminal monitor.

6.1.1.- Niveles de gravedad de Syslog

Existen diferentes niveles de gravedad para el registro de información. Probablemente

sea más importante conocer una interfaz que se cae que un mensaje que nos dice que
salimos de la configuración global. En total hay 8 niveles de gravedad:

0. Emergencia
1. Alerta
2. Crítico
3. Error
17
 4. Advertencia
5. Aviso
6. Informativo
7. Depuración

Cuanto menor es el número, más importante es el mensaje de syslog. Las alertas y las

emergencias se usan cuando sucede algo malo, como cuando el enrutador se queda
sin memoria y un proceso falla. Los mensajes críticos, de error y de advertencia se
utilizan para eventos importantes como las interfaces que fallan.

6.1.2.-Formato de mensaje Syslog

Podemos ver que el protocolo de línea de la interfaz GigabitEthernet0 / 1 subió, pero hay un poco más de
información además de eso.

*Feb 14 09:40:10.326: %LINEPROTO-5-UPDOWN: Line protocol on Interface

GigabitEthernet0/1, changed state to up

Formato:

 marca de tiempo : 14 de febrero 0: 40: 10.326

 instalación :% LINEPROTO
 nivel de severidad : 5
 mnemotécnico : UPDOWN
 descripción : Protocolo de línea en la interfaz GigabitEthernet0 / 1, cambio de estado a UP.

6.2.-CONFIGURACIÓN

Los siguientes comandos de configuración corresponden a:

 Habilitación marca de tiempo.

 Almacenaje de mensajes Syslog localmente.
 Almacenaje en Servidor Syslog.

6.2.1.-Habilitación marca de tiempo

Ingresar el siguiente comando en modo de configuración global

Switch(config)#service timestamp log: Incluye en el mensaje la fecha y hora en la que

se ha generado el mensaje.

6.2.2.-Almacenaje de mensajes Syslog localmente

18
El buffer para el logging tiene un tamaño finito, por defecto está ajustado a 4096, el
almacenamiento funciona de manera circular, una vez agotado el tamaño los mensajes
nuevos se iran sobreponiendo, este tipo de almacenamiento no es recomendable a la
hora de requerir algún análisis de algún incidente.

Ingresar el siguiente comando en modo de configuración global para habilitar y

comenzar el envío de mensajes al buffer.

Switch(config)#logging trap severity :Indicar el nivel de severidad de los mensajes.

(nombre o numero del 1- 7)
Switch(config)#logging buffered size :Aumentar el tamaño del buffer, por defecto 4096
bytes o características, aproximadamente 50 líneas.

Configuración opcional
Switch(config)#logging console debugging: Nivel de gravedad en la consola Valor
predeterminado.
Switch(config)#logging monitor debugging: Nivel de gravedad de mensajes que se
mostrará al iniciar una sesión a través de Telnet o SSH.

Comandos de revisión y limpieza

Switch#show logging: Revisión configuración log

Switch#show logging | include Log Buffer: Revisión tamaño de buffer.
Switch#clear logging : Borrar el historial log

6.2.3.- Almacenamiento en Servidor Syslog

Un historial local es bueno pero está almacenado en la RAM. Si reinicia el enrutador o

el conmutador, desaparecerá. ¿Qué sucede si el enrutador falla y quiere ver si registró
algo antes de que se cayera? Si tiene docenas de enrutadores y conmutadores, iniciar
sesión en cada dispositivo uno por uno para buscar mensajes de syslog tampoco es la
mejor manera de pasar el tiempo.

En las redes de producción, se utiliza un servidor central llamado servidor syslog. 

Ingresar el siguiente comando en modo de configuración global

Switch(config)#logging host ip-address: Ingresar la ip del servidor Syslog.

Switch(config)#logging trap severity: Indicar el nivel de severidad.(nombre o numero del
1- 7)

Ejemplo de configuración

Switch(config)#logging host 172.16.30.121

19
Switch(config)#logging trap informational

Switch#show logging: Revisión configuración log

7.-DOCUMENTACION

la documentación es importante, ya que se hace un registro de toda tu red, y esto

ayuda a tomar decisiones en la ampliación de aquella, aca dejo unas tablas como
ejemplo

lista de equipamiento

Name Device Function Location T1 1G 10G

NL-B1-SW1 3750X Core L3 Switch MDF 48
NL-B1-SW2 2960S L2 Switch MDF 48

Name Device Qty Function T1 1G 10G

NL-B1-SW1 WS-C3750X-48PF-S 1 Core L3 Switch 48
4 Port Gigabit SFP C3KX-NM-1G 1 4
Redundant PSU C3KX-PWR-715WAC 1

tabla de direccionamiento IP
Network Mask VLAN Description
10.1.1-63.0 255.255.192.0 Corporate Office
10.1.64.0 255.255.254.0 VLAN 64 Client VoIP
Branch 1 Summary: 10.1.64.0/21 (255.255.248.0)

Tabla de vlan
VLAN 64 – Client VoIP
IP Address Mask VLAN Description
10.1.64.0 255.255.254.0 64 Client VoIP Network
10.1.64.1 NL-B1-SW1 VLAN 64 IP (Default Gateway)
10.1.64.2-10 Reserved

VLAN 68 – Server
IP Address Mask VLAN Description
10.1.68.0 255.255.255.0 68 Server Network
10.1.68.1 NL-B1-SW1 VLAN 68 IP (Default Gateway)

Lista de puertos

NL-B1-SW1

20
 Physical VLAN / TRUNK / Remote Remote Notes
IP Device Interface
G0/1 Trunk NL-B1-SW2 G0/1 EtherChannel 1
2 Trunk NL-B1-SW2 G0/2 EtherChannel 1
3 V10 ISP - CCT ID 392021

Conclusion

Al desarrollar este informe se realiza un paso a paso de protocolos y

recomendaciones que da el fabricante (cisco), para mantener la calidad del producto y
realizando una configuración medianamente básica, en la cual podemos realizar la
actividad, diferenciando y dando detalles de ciertos protocolos que normalmente se
confunde en la práctica. Y añadiendo lo importante que es la seguridad, documentación
y administración de la red, a la hora de toma de decisiones.

21