Comandos CCNP SWITCH

Borrar todas las configuraciones del SW

Switch# delete flash:vlan.dat

Switch# erase startup-config
Switch#reload

Configurar la Interfaz VLAN

DLS1(config)# interface vlan [N°vlan, generalmente 1]

DLS1(config-if)# ip address 10.1.1.101 255.255.255.0
DLS1(config-if)# no shutdown

Verificar si la interfaz esta en modo “Dynamic Auto”

# show interfaces fastEthernet 0/7 switchport

Configurar interfaces Trunk con 802.1q e ISL para capa 3

DLS1(config)# interface range fastEthernet 0/x - y

DLS1(config-if-range)# switchport trunk encapsulation [dot1q | isl]
DLS1(config-if-range)# switchport mode trunk

Nota: Para capa 2 solo el mode trunk

Para suspender una vlan

ALS1(config)# vlan 120

ALS1(config-vlan)# state suspend

Para activarla nuevamente

ALS1(config)# vlan 120

ALS1(config-vlan)# no shutdown

Creacion de Etherchannel

CAPA 2

Para PAgP modo desirable

Para LACP modo active

Con eso agrupamos las interfaces

ALS1(config)# interface range fastEthernet 0/11 - 12

ALS1(config-if-range)# channel-group [Numero_grupo] mode [desirable | active]

ALS1(config-if-range)#switchport mode trunk

Creamos la interfaz port-channel y la dejamos modo Trunk

ALS1(config)# interface port-channel [Numero_grupo]

ALS1(config-if)# switchport mode trunk
# show etherchannel summary \\ ver los etherchannel creados

CAPA 3

DLS1(config)# interface range fastEthernet 0/11 - 12

DLS1(config-if-range)# no switchport
DLS1(config-if-range)# channel-group 3 mode desirable
Creating a port-channel interface Port-channel 3
DLS1(config-if-range)# interface port-channel 3
DLS1(config-if)# no switchport
DLS1(config-if)# ip address [IP] [Mask]

Configurar balanceo de inicio-destino por MAC

ALS1(config)# port-channel load-balance src-dst-mac

SPANNING-TREE

Configurar ROOT primario o segundario

(config)# spanning-tree vlan [N°VLAN] root [primary | secondary]

Configurar prioridad de spanning-tree

Nota: Va de 0 a 240 con incrementos de 16

DLS1(config-if)# spanning-tree port-priority 112

Configurar PortFast

(config)#spanning-tree portfast \\ Solo en interfaces mode Access

(config)#spanning-tree portfast default \\ a todas las mode Access
(config)# spanning-tree portfast trunk \\ a todas las mode trunk

PVRST+ (Rapid Spanning-tree Plus)

(config)#spanning-tree mode rapid-pvst
(config)# spanning-tree vlan [N°VLAN] root [primary | secondary]
#show spanning-tree vlan [N°VLAN]

MST (Multiple Spanning-Tree)

Habilitar MST
(config)#spanning-tree mode mst

Entrar al modo configuración de MST

(config)#spanning-tree mst configuration

Ver la configuración existente de MST

(config-mst)#show current

Ingresar nombre a la instancia

(config-mst)#name [Nombre]
Crear numero de revisión que va incrementa en 1 con cada cambio
(config-mst)#revision [N°]
Crear instancia de MST
(config-mst)#instance [N°de la instancia] vlan [Rango_Vlan]
NOTA: Todas las vlans están mapeadas por defecto en la instancia “0”,
el rango de las vlans permitido es de 1-4094

Ver las configuraciones aplicadas a MST (después de exit)

(config-mst)#show pending

Configurar ROOT primario o segundario en MST

(config)#spanning-tree mst [N°de instancia] root [primary|secundary]

BPDU Guard

Configura bpduguard en todos los mode access

ALS1(config)# spanning-tree portfast bpduguard default

Enrutamiento inter-vlan

(config)#ip default-gateway [IP]

Habilitar opciones Capa 3 en SW capa3

(config)#ip routing

Ver tabla CEF (Tabla de conmutación)

# show ip cef

Habilitar enlace Troncal

Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan [N°VLAN Nativa]

Configurar una interfaz como CAPA3

Switch(config)# interface GigabitEthernet 1/1
Switch(config-if)# no switchport *********
Switch(config-if)# ip address 10.10.1.1 255.255.255.252
Switch(config-if)# exit

Configurar DHCP en SW
Switch(config)# ip dhcp excluded-address 10.1.10.1 10.1.10.20
Switch(config)# ip dhcp pool XYZ10
Switch(config-dhcp)# network 10.1.10.0 255.255.255.0
Switch(config-dhcp)# default-router 10.1.10.1
Switch(config-dhcp)# option 150 10.1.1.50
Switch(config-dhcp)# lease 0 8 0 \\ 0 days 8 hours 0 minutes
Switch(config)# interface vlan10
Switch(config-if)# ip address 10.1.10.1 255.255.255.0

HSRP

Configurar la prioridad
(config)#standby [Num_grupo] priority [Numero_Prioridad]

Modificar los temporizadores, holdtime>=3 Hello

(config)#standby [Num_grupo] timers [mseg] hello [mseg] holdtime
El router con mayor prioridad sea el activo
(config)#standby [Num_grupo] preeempt [Delay_mseg] [reload_seg]

Asignar la IP virtual
(config)#standby [Num_grupo] ip [IP]

Ejemplo:
(config)#int vlan X
(config-if)#ip addre 192.168.10.1 255.255.255.0
(config-if)#standby 1 priority 200
(config-if)# standby 1 preempt
(config-if)# standby 1 ip 192.168.10.10

Configurar seguridad de puerto

4503(config)# interface FastEthernet 3/47
4503(config-if)# switchport
4503(config-if)# switchport mode access
4503(config-if)# switchport port-security
4503(config-if)# switchport port-security mac-address 0000.0000.0008
4503(config-if)# switchport port-security maximum 1
4503(config-if)# switchport port-security aging time 2
4503(config-if)# switchport port-security aging static
4503(config-if)# switchport port-security violation restrict

IP SLA

En el capa 2 se configura el envio y recepción los paquetes de control

de IP SLA
ASL1(config)#ip sla responder

Configurar en el capa 2 como respondedores IP SLA para UDP jitter.

Especifique la dirección IP de la VLAN 1 DLS1 para actuar como la
dirección IP de destino para el tráfico UDP se refleja en los capa2
ALS1(config)# ip sla responder udp-echo ipaddress 172.16.1.1 port 5000

En el Capa 3
Crear e ingresar a la configuración del modo IP SLA
DLS1(config)#ip sla [N°]

Configuracion del icmp-echo host destino

DLS1(config-ip-sla)#icmp-echo [IP_Host]
DLS1(config-ip-sla)#exit

VACL

Configurar el map access de VACL

Switch(config)# vlan access-map map_name [seq#]

Configuración del match

Switch(config-access-map)# match {drop [log]} | {forward [capture]} |
{redirect {{fastethernet | gigabitethernet | tengigabitethernet}
slot/port} | {port-channel channel_id}}

Configuracion de la acción a realizar después del match

Switch(config-access-map)# action {drop [log]} | {forward [capture]} |
{redirect {{fastethernet | gigabitethernet | tengigabitethernet}
slot/port} | {port-channel channel_id}}

Aplicar el match a la vlan

Switch(config)# vlan filter map_name vlan_list list

Verificar la configuracion de la VACL

Switch# show vlan access-map map_name
Switch# show vlan filter [ access-map map_name | vlan vlan_id ]

Configurar DHCP snooping

Habilitar DHCP snooping

Switch(config)# ip dhcp snooping

Habilitar Opcion DHCP 82:

Switch(config)# ip dhcp snooping information option

Configure DHCP server interfaces or uplink ports as trusted:

Switch(config-if)# ip dhcp snooping trust

Configure the number of DHCP packets per second (pps) that are
acceptable on the port:
Switch(config-if)# ip dhcp snooping limit rate rate

Enable DHCP snooping on specific VLANs:

Switch(config)# ip dhcp snooping vlan number [number]

Verificación de la configuracion
Switch# show ip dhcp snooping

Dynamic ARP Inspection (DAI)

Habilitar DAI en rango de vlan´s

Switch(config)# ip arp inspection vlan vlan_id [vlan_id]

Enables DAI on an interface and sets the interface as a trusted

interface
Switch(config-if)# ip arp inspection trust

Configura la DAI para descartar los paquetes ARP cuando las

direcciones IP no son válidos, o cuando las direcciones MAC de los
paquetes ARP no coinciden con las direcciones especificadas en el
encabezado Ethernet
Switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}

IPSG requiere que DHCP snooping se encuentre habilitado en la VLAN

necesaria para permitir enlaces automáticos IP de origen

PASOS:

1.- Permite snooping DHCP, de forma global. Puede utilizar la palabra

clave para desactivar DHCP snooping.
Switch(config)# ip dhcp snooping
2.- Permite snooping DHCP en sus VLAN´s.
Switch(config)# ip dhcp snooping vlan number [number]

3.- Permite IP Source Guard con el filtrado de IP de origen.

Switch(config-if)# ip verify source vlan dhcp-snooping
or
Switch(config-if)# ip verify source vlan dhcp-snooping port-security

4.- Permite IP Source Guard con la IP de origen y fuente de filtrado

de direcciones MAC.(Opcional) Establece el límite de velocidad para
los paquetes malos. Este límite de velocidad también se aplica al
puerto donde está habilitado DHCP snooping modo de seguridad como el
filtrado de la dirección IP y MAC.

Switch(config-if)# switchport portsecurity limit rate invalid-source-

mac N

Configura un enlace IP estática en el puerto.

Switch(config)# ip source binding ipaddr ip vlan number interface

interface-id

CONFIGURACION CDP

 CDP se encuentra habilitado por defecto.

 #no cdp run deshabilita CDP
 (config-if)#no cdp enable Desabilita CDP en una interfaz.

CONFIGURACION LLDP
 LLDP is disabled by default.
 The command lldp run enables LLDP globally.
 The command lldp enable enables LLDP on an interface.
 No genera conflictos con CDP

CONFIGURACION SSH

 Step 1. Configure a user with a password.

 Step 2. Configure the hostname and domain name.
 Step 3. Generate RSA keys.
 Step 4. Allow SSH transport on the vty lines.

switch(config)# username xyz password abc123

switch(config)# ip domain-name xyz.com
switch(config)# crypto key generate rsa
switch(config)# ip ssh version 2
switch(config)# line vty 0 15
switch(config-line)# login local
switch(config-line)# transport input ssh

ACL DENTRO DE VTY

1.-Crear ACL
2.-Ingresar a line vty 0 15
3.-comando access-class 100 in
CONFIGURACION HTTPS

1.-Configurar el nombre de usuario y contraseña.

2.-Configurar el nombre de dominio.
3.-Generar las claves RSA.
4.-Habilitar HTTPS (SSL) del servidor.
5.-Configurar la autenticación HTTP.
6.-Configurar una lista de acceso para limitar el acceso.

sw(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any

sw(config)# username xyz password abc123
sw(config)# ip domain-name xyz.com
sw(config)# crypto key generate rsa
sw(config)# no ip http server
sw(config)# ip http secure-server
sw(config)# http access-class 100 in
sw(config)# http authentication local

AUTENTICACION AAA CON SERVIDOR TACACS+

Switch(config)# aaa new-model

Switch(config)# aaa authentication login TEST tacacs+
Switch(config)# tacacs-server host [IP]
Switch(config)# line vty 0 4
Switch(config-line)# login authentication TEST
AUTORIZACION AAA CON SERVIDOR TACACS+

aaa authorization {auth-proxy | network | exec | commands level |

reverse-access | configuration | ipmobile} {default | list-name}
[method1 [method2...]] authorization {arap | commands level | exec |
reverse-access} {default | list-name}

Ejemplo
Switch(config)# aaa new-model
Switch(config)# aaa authorization commands 0 default if-authenticated
group tacacs+
Switch(config)# line vty 0 4
Switch(config-line)# authorization commands 0 default

CONFIGURACION DE CONTABILIDAD AAA

Switch(config)# aaa new-model

Switch(config)# aaa accounting exec default start-stop group tacacs+
Switch(config)# line vty 0 4
Switch(config-line)# accounting exec default

CONFIGURACION 802.X

1.-Activar AAA
2.-Crear un puerto 802.1X basada en la lista de métodos de
autenticación
3.-A nivel mundial permiten 802.1X autenticación basada en puerto
4.-Ingrese al modo de interfaz de configuración y especificar la
interfaz para estar habilitado para 802.1X autenticación basada en
puerto
5.-Activación de 802.1X autenticación basada en puerto en la interfaz
EJEMPLO
sw(config)# aaa new-model
sw(config)# radius-server host 10.1.1.50 auth-port 1812 key xyz123
sw(config)# aaa authentication dot1x default group radius
sw(config)# dot1x system-auth-control
sw(config)# interface fa0/1
sw(config-if)# description Access Port
sw(config-if)# switchport mode access
sw(config-if)# dot1x port-control auto

CONFIGURACION DE IGMP SNOOPING

1.-Habilitar IGMP snooping de forma global (viene asi por defecto)

Switch(config)# ip igmp snooping

2.-(Opcional) Los Switchs agregan los puertos multicast del router de

la tabla de forwarding entradas capa 2. El Switch aprende los puertos
por medio de las consultas IGMP snooping, los paquetes flowing y DVMRP
o interpreta los paquetes CGMP de otros Routers. Configurar el metodo
de inspeccion de IGMP. El valor por defecto es el PIM

3.-(Opcional) Configure el puerto del router de forma estática. De

forma predeterminada. IGMP detecta automáticamente los puertos del
router.

4.-(Opcional) Configurar IGMP fast leave

5.-(Optional) Por defecto todos los hosts se registran, agregan su MAC

y puerto de la tabla de forwarding automaticamente. Si es necesario se
configura un hosts de forma estatica en una interfaz, las
configuraciones estaticas son necesarias para solucionar problemas
asociados a IGMP

Switch(config)# ip igmp snooping

Switch(config)# ip igmp snooping vlan vlan-id mrouter learn [cgmp |
pim-dvmrp]
Switch(config)# ip igmp snooping vlan vlan-id mrouter interface
interface-num
Switch(config)# ip igmp snooping vlan vlan-id fast-leave
Switch(config)# ip igmp snooping vlan vlan-id immediate-leave
Switch(config)# ip igmp snooping vlan vlan-id static mac-address
interface interface-id

CONFIGURAR IP MULTICAST

1.-Habilitar multicast routing en capa 3

Switch(config)# ip multicast-routing

2.-Habilitar PIM en la interfaz que requiera multicast

Switch(config-if)# ip pim [dense-mode | sparse-mode | sparse-dense-
mode]

3.-(Opcional) Configurar RP si se esta ejecutando el PIM en modo

sparse o PIM en modo sparse-dense. Se puede configurar los paquetes
para que solo un grupo multicast pueda utilizar uno o mas RP en todos
los Routers (Incluyendo el Router RP), Ingrese el siguiente comando
para configurar la direccion RP
Switch(config)# ip pim rp-address ip-address [access-list-number]
[override]

4.-(Opcional) Designar a un router candidato como RP de todos los

grupos mulicast o para alguno en especifico por medio de una ACL
Switch(config)# ip pim send-rp-announce interface-type interface-
number scope ttl [group-list access-list-number] [interval seconds]

5.-Asignar al router configurado en el paso 4 el rol de RP mapping

agent para AutoRP
Switch(config)# ip pim send-rp-discovery scope ttl

6.-(Opcional) Todos los sistemas que utilizan Cisco IOS v11.3(2)T o

superior el PIM inicia por defecto en version 2, En caso que necesite
volver a habilitar PIM v2 u otra version se ejecuta el siguiente
comando:
Switch(config-if)# ip pim version [1 | 2]

7.-Configurar un router de borde BSR en el dominio PIM para que los

mensajes de arranque no crucen la frontera en cualquier direccion.
Switch(config-if)# ip pim bsr-border

8.-Para configurar una interfaz como candidato BSR

Switch(config)# ip pim bsr-candidate interface-type hash-mask-length
[priority]

9.-Configurar una interfaz como candidato RP del BSR para determinados

grupos de multicast
Switch(config)# ip pim rp-candidate interface-type interface-number
ttl group-list access-list

EJEMPLO CONFIGURACION MODO SPARSE

Router# conf t
Router(config)# ip multicast-routing
Router(config)# interface vlan 1
Router(config-if)# ip pim sparse-mode
Router(config-if)# interface vlan 3
Router(config-if)# ip pim sparse-mode
Router(config-if)# exit
Router(config)# ip pim rp-address 10.20.1.254

EJEMPLO CONFIGURACION MODO SPARSE_DENSE

Router(config)# ip multicast-routing
Router(config)# interface vlan 1
Router(config-if)# ip pim sparse-dense-mode
Router(config-if)# exit
Router(config)# ip pim bsr-candidate vlan 1 30 200

EJEMPLO CONFIGURACION AUTO_RP

Router(config)# ip multicast-routing
Router(config)# interface vlan 1
Router(config-if)# ip pim sparse-dense-mode
Router(config-if)# exit
Router(config)# ip pim send-rp-announce vlan 1 scope 15 group-list 1
Router(config)# access-list 1 permit 225.25.25.0.0.0.0.255
Router(config)# exit

CONFIGURACION VLAN DE VOZ

SW(config)# interface range fastEthernet 0/x - y

SW(config-if-range)# switchport mode access
SW(config-if-range)# switchport access vlan [N°]
SW(config-if-range)# switchport voice vlan [N°]
SW(config-if-range)# auto qos voip cisco-phone
SW(config-if-range)# exit