Aquí tienes la hoja de trucos de comandos de conmutador (switch) Cisco CLI que necesitas para configurar y gestionar conmutadores (switches) Cisco.
La Interfaz de Línea de Comandos (CLI) de Cisco es una interfaz basada en texto utilizada para configurar y gestionar dispositivos de red Cisco, incluidos los conmutadores. La CLI proporciona un entorno basado en comandos donde los administradores de red pueden ingresar comandos para realizar varias tareas de configuración, monitoreo y solución de problemas en los conmutadores Cisco.
Tabla de Contenido
Configurando las Funciones Administrativa
Las funciones administrativas te ayudan a gestionar/mejorar mejor tu red y facilitan mucho la solución de problemas. Estas funciones incluyen:
- Nombres de host
- Contraseñas
- Descripciones de interfaces
Ahora que has iniciado la CLI, escribe el comando enable para ingresar al modo EXEC privilegiado. Establece un nombre de host, una contraseña de modo EXEC, una contraseña de consola, una contraseña TELNET (VTY) y descripciones de interfaces para el conmutador como se muestra en la tabla a continuación.
| Descripción | Comando |
|---|---|
| Entrar en el modo EXEC privilegiado | Switch>enable |
| Entrar en el modo de configuración global | Switch#config t |
| Establecer un nombre de host | Switch(config)#hostname Core-Switch |
Core-Switch(config)# | |
| Contraseña de modo EXEC | |
| Establecer contraseña de modo EXEC | Core-Switch(config)#enable secret EXEC_P@55w0rd |
Core-Switch(config)# | |
| Contraseña de consola | |
| Entrar en el modo de configuración de línea | |
| Establecer contraseña de consola | Core-Switch(config-line)# password CONSOLE_P@55w0rd |
| Volver al modo EXEC anterior | Core-Switch(config-line)# exit |
Core-Switch(config)# | |
| Contraseña de TELNET (VTY) | |
| Entrar en el modo de configuración de línea | Core-Switch(config)# line vty 0 15 |
| Establecer contraseña de TELNET | Core-Switch(config-line)# password TELNET_P@55w0rd |
Core-Switch(config-line)# login | |
| Volver al modo EXEC anterior | Core-Switch(config-line)# exit |
Core-Switch(config)# | |
| Descripciones de interfaz | |
| Entrar en el modo de configuración de interfaz | Core-Switch(config)#int fa0/1 |
| Establecer descripción de interfaz para int. f0/1 | Core-Switch(config-if)#description 1st Connection to Core Switch |
Core-Switch(config-if)#int fa0/2 | |
| Establecer descripción de interfaz para int. f0/2 | Core-Switch(config-if)#description 2nd Connection to Core Switch |
Configuración de la Dirección IP y la Máscara de Subred
Dado que todos los puertos de un conmutador están habilitados de forma predeterminada, generalmente no se configura ninguna dirección IP en sus interfaces. Las direcciones IP no son necesarias en un conmutador. La única razón por la que configuraríamos una dirección IP, máscara y puerta de enlace predeterminada es para fines de gestión. La dirección IP se configura bajo una interfaz lógica, llamada dominio de gestión o VLAN. Normalmente usarías la VLAN predeterminada 1 para gestionar un conmutador, como se muestra en el ejemplo a continuación.
| Descripción | Comando |
|---|---|
| Entrar en el modo de configuración de línea | Core-Switch(config)#line vty 0 15 |
| Establecer contraseña de TELNET | Core-Switch(config-line)#password TELNET_P@55w0rd |
Core-Switch(config-line)#login | |
| Entrar en el modo de configuración de interfaz VLAN | Core-Switch(config-line)#int vlan 1 |
| Configurar una dirección IP para la interfaz | Core-Switch(config-if)#ip address 192.168.10.2 255.255.255.0 |
| Habilitar la interfaz | Core-Switch(config-if)#no shut |
| Volver al modo EXEC anterior | Core-Switch(config-if)#exit |
| Establecer el mensaje del día (motd) | Core-Switch(config)#banner motd # Este es el Core-Switch # |
| Volver al modo EXEC anterior | Core-Switch(config)#exit |
Configuración de la Puerta de Enlace Predeterminada IP
Si deseas gestionar tus conmutadores desde fuera de tu LAN, necesitas establecer una puerta de enlace predeterminada en los conmutadores, igual que lo harías con un host. La puerta de enlace predeterminada es esencialmente la dirección del enrutador con el que el conmutador estará comunicándose. Si no configuras una puerta de enlace predeterminada, entonces VLAN1 no podrá enviar tráfico a otra red. Esto se hace desde una configuración global.
| Descripción | Comando |
|---|---|
| Entrar en el modo de configuración global | Core-Switch#config t |
| Configurar la puerta de enlace predeterminada | Core-Switch(config)#ip default-gateway 192.168.10.1 |
| Volver al modo EXEC anterior | Core-Switch(config)#exit |
Core-Switch# |
Configuración de Seguridad de Puertos
Para evitar el acceso no autorizado a tu LAN, generalmente es recomendable identificar y limitar las direcciones MAC de las estaciones de trabajo que tienen permiso para acceder al puerto del conmutador. La seguridad de puertos es la herramienta que nos ayuda a lograr esto.
Si limitas el número de direcciones MAC seguras a una y asignas una única dirección MAC segura, la estación de trabajo conectada a ese puerto tiene garantizado todo el ancho de banda del puerto. Si un puerto está configurado como puerto seguro y se alcanza el número máximo de direcciones MAC seguras. Cuando la dirección MAC de una estación de trabajo que intenta acceder al puerto es diferente de cualquiera de las direcciones MAC seguras identificadas, se produce una violación de seguridad.
Tenemos dos opciones para asociar direcciones MAC con interfaces: estáticas y dinámicas. En el método estático, tenemos que definir manualmente la dirección MAC exacta del host. En el método dinámico, utilizamos la función “sticky” (ver tabla a continuación) que permite a las interfaces aprender direcciones MAC automáticamente hasta que se alcance el número máximo de hosts permitidos.
| Descripción | Comando |
|---|---|
| Entrar en el modo EXEC privilegiado | Core-Switch#enable |
| Entrar en el modo de configuración global | Core-Switch#config t |
| Entrar en el modo de configuración de interfaz | Core-Switch(config)#int range fa0/2-3 |
| Configurar la seguridad de puerto | Core-Switch(config-if-range)#switchport port-security maximum 1 |
| Configurar la interfaz para aprender automáticamente direcciones MAC | Core-Switch(config-if-range)#switchport port-security mac-address sticky |
Los comandos anteriores establecen la seguridad de puerto en los puertos fa0/2 y fa0/3 para permitir una asociación máxima de una dirección MAC, y solo la primera dirección MAC asociada con el puerto podrá enviar tramas a través del conmutador. Usa el comando sticky si no deseas ingresar manualmente todas las direcciones MAC de cada dispositivo. Se produce una violación de seguridad si una estación de trabajo cuya dirección MAC no es reconocida intenta acceder a la interfaz. Necesitamos especificar qué acción se debe tomar para las violaciones de seguridad. Hay tres modos posibles disponibles:
Protect: Los marcos de direcciones no permitidas serán descartados, y no se generará un registro para los marcos descartados. Este modo solo funcionará con opciones “sticky”.Restrict: Los marcos de direcciones no permitidas serán descartados, y se generará un registro y una alerta de violación de seguridad.Shutdown: El switch generará la alerta de violación y deshabilitará el puerto. La única forma de volver a habilitar el puerto es ingresar manualmente el comandono shutdown. Este es el modo de violación predeterminado. Aquí está el comando:
| Descripción | Comando |
|---|---|
| Deshabilitar el puerto en violación de la política | Core-Switch(config-if-range)#switchport port-security violation shutdown |
| Volver al modo EXEC anterior | Core-Switch(config-if-range)#exit |
Guardar Cambios de Configuración
Siempre que realices cambios en el archivo de configuración de tu conmutador, debes guardar los cambios en la memoria para que no se pierdan después de un reinicio. Hay dos tipos de archivos de configuración: la configuración en ejecución (configuración actual en funcionamiento) y la configuración de arranque.
La configuración en ejecución se almacena en la RAM (una memoria volátil que pierde su contenido después de un reinicio o apagado); la configuración de arranque se almacena en la NVRAM (una memoria no volátil que retiene su contenido incluso después de un reinicio o apagado), evitando así la reconfiguración cada vez que se apaga.
| Descripción | Comando |
|---|---|
| Entrar en el modo EXEC privilegiado | Core-Switch > enable |
| Guardar configuración en NVRAM | Core-Switch # copy running-config startup-config |
Configuración de VLANs
La Red de Área Local Virtual (VLAN, por sus siglas en inglés), como su nombre lo indica, es una segmentación virtual de una red conmutada para proporcionar seguridad, flexibilidad y una administración efectiva de la red. Al asignar puertos de conmutador o usuarios a grupos de VLAN en un conmutador o grupo de conmutadores conectados, obtienes la flexibilidad para agregar solo los usuarios o departamentos que desees en ese dominio de difusión, sin preocuparte por la ubicación física de los hosts.
Puedes crear VLANs desde 2 hasta 4094, dependiendo del modelo de tu conmutador. VLAN 1 es la VLAN predeterminada. Puedes configurar un puerto manualmente o de manera dinámica (a través del Protocolo de Troncal Dinámico) como un puerto de acceso o de troncal. Un puerto de conmutador puede pertenecer a solo una VLAN si es un puerto de acceso (transporta el tráfico de solo una VLAN) o a todas las VLAN si es un puerto de troncal (transporta el tráfico de múltiples VLAN). Para configurar VLANs en un conmutador Cisco Catalyst, utiliza el comando de configuración global vlan como se muestra a continuación:
| Descripción | Comando |
|---|---|
| Entrar en el modo de configuración global | Core-Switch#config t |
| Crear VLAN 2 | Core-Switch(config)#vlan 2 |
| Asignar VLAN 2 al departamento de Finanzas | Core-Switch (config-vlan)#name Finance |
| Crear VLAN 3 | Core-Switch(config-vlan)#vlan 3 |
| Asignar VLAN 3 al departamento de Auditoría | Core-Switch(config-vlan)#name Audit |
| Volver al modo EXEC anterior | Core-Switch(config-vlan)#^Z |
Core-Switch# |
Asignación de Puertos de Conmutador a VLANs
Configuras un puerto para pertenecer a una VLAN asignando un modo de membresía que especifica el tipo de tráfico que lleva el puerto, además del número de VLANs a las que puede pertenecer. Puedes configurar cada puerto en un conmutador para estar en una VLAN específica (puerto de acceso) utilizando el comando interface switchport como se muestra a continuación:
| Descripción | Comando |
|---|---|
| Entrar en el modo de configuración global | Core-Switch#config t |
| Entrar en el modo de configuración de interfaz | Core-Switch(config)#int fa0/3 |
| Configurar el puerto como puerto de acceso | Core-Switch(config-if)#switchport mode access |
| Asignar el puerto a la VLAN 3 | Core-Switch(config-if)#switchport access vlan 3 |
Para configurar el trunking y la encapsulación en un puerto Fast Ethernet fa0/5, utiliza el siguiente comando:
| Descripción | Comando |
|---|---|
| Entrar en el modo de configuración global | Core-Switch#config t |
| Entrar en el modo de configuración de interfaz | Core-Switch(config)#int fa0/5 |
| Configurar encapsulación | Core-Switch(config-if)#switchport trunk encapsulation dot1q |
| Configurar trunking | Core-Switch(config-if)#switchport mode trunk |
El comando switchport mode se puede configurar con cuatro opciones diferentes:
- Switchport mode trunk: Configura la interfaz en modo de trunking perpetuo y negocia para convertir el enlace vecino en un enlace de trunk.
- Switchport mode access: Desactiva el modo trunk en el puerto; coloca la interfaz (puerto de acceso) en modo de no trunking permanente. No se realiza ninguna negociación de trunking.
- Switchport mode is dynamically desirable: Este es el modo predeterminado para todas las interfaces Ethernet. La interfaz se convierte en una interfaz de trunk si la interfaz vecina está configurada en modo trunk, desirable o auto.
- Switchport mode dynamic auto: Hace que la interfaz se convierta en un trunk solo si el puerto conectado está configurado en trunk o en modo desirable.
- Switchport no-negotiate: Evita que la interfaz produzca tramas de Protocolo de Troncal Dinámico.
Configurar Lista de Control de Acceso
Para configurar la lista de control de acceso y los parámetros asociados, utiliza el siguiente comando:
| Descripción | Comando |
|---|---|
| Ingresar el número de lista de acceso, permisos y otros parámetros | Core-Switch(config)#access-list [acl-number] [permit|deny] [source] [destination] [protocol] |
| Configurar el nombre de la interfaz | Core-Switch(config-if)#interface [interface-name] |
| Configurar el grupo de acceso IP | Core-Switch(config-if)#ip access-group [acl-number] [in|out] |
Verificando tu Configuración
Ahora que has terminado de configurar tu conmutador, necesitas probar y verificar tu configuración. A continuación, se muestran algunos comandos útiles:
| Descripción | Comando |
|---|---|
| Mostrar la configuración actual en ejecución | Core-Switch# show run |
| Mostrar la configuración de todas las interfaces y el estado de cada una | Core-Switch#show interfaces |
| Mostrar todos los números de VLAN, nombres y puertos asociados con cada VLAN | Core-Switch# show vlan |
| Mostrar el estado de las interfaces, velocidad, dúplex | Core-Switch#show interface status |
| Mostrar la tabla de direcciones MAC actual y las direcciones MAC aprendidas en cada interfaz | Core-Switch# show mac |
| Mostrar el árbol de expansión (Spanning Tree) | Core-Switch#(config)#do show spanning-tree |
El resumen anterior proporciona una descripción básica de los comandos de conmutador de la CLI de Cisco. Recuerda reemplazar los parámetros específicos utilizados y/o marcadores de posición como [interface-name], [mode], [number], [acl-number], [source], [destination] y [protocol] con los valores apropiados para tu configuración. Ten en cuenta que la sintaxis específica del comando y las opciones disponibles pueden variar según el modelo de conmutador y la versión del firmware. Consulta la documentación de Cisco y las referencias de comandos para obtener información detallada sobre comandos específicos y su uso.
Descarga PDF
Esta guía está dirigida al profesional de redes que utiliza la interfaz de línea de comandos (CLI) de Cisco IOS para gestionar el conmutador Catalyst 2960. Antes de utilizar esta guía, deberás tener experiencia trabajando con los comandos de Cisco IOS y las funciones del software del conmutador. Antes de utilizar esta guía, deberás tener experiencia en el manejo de los conceptos y la terminología de Ethernet y las redes de área local.
