CCIE Foundation 

The GAP from CCNP to CCIE 


Narbik Kocharians 
CCIE #12410 
R&S, Security, SP 


CCIE Foundation by Narbik Kocharians 

Switching Lab                                          Page 1 of 55 

© 2007 Narbik Kocharians. All rights reserved 

Router to Switch connection 




F0/0                F0/1 


F0/0                F0/1 
R3 F0/3 










F0/0            F0/1 



CCIE Foundation by Narbik Kocharians 


Switching Lab                                          Page 2 of 55 

© 2007 Narbik Kocharians. All rights reserved 

Switch to Switch Connection 



F0/22    F0/21 

F0/21  F0/22 








CCIE Foundation by Narbik Kocharians 

Switching Lab                                          Page 3 of 55 

© 2007 Narbik Kocharians. All rights reserved 

Lab 1 
3550/3560 Switching
Task 1 
The first Catalyst switch should be configured with a hostname of “SW­1” and the 
second Catalyst should have a hostname of “SW­2”. 

On the first Switch 
Switch(config)#Hostname SW­1 

On the Second Switch 
Switch(config)#Hostname SW­2 
Task 2 
Configure SW­1 to be in VTP domain called CCIE, this configuration should be 
propagated to SW­2 via VTP messages. 

Maintaining a consistent list of VLANs in a huge network where there are many 
interconnected switches can be an administrative nightmare, in order to reduce this 
administrative overhead switches that share a common VLAN information can be 
organized into logical groups called VTP domains. These domain do not create a 
layer two boundary, they only create different management domains. 
Switches in a given VTP domain exchange VTP updates to synchronize VLAN 
information. In order for two or more switches to exchange VTP updates, the two 
switches must have a trunk established between them, this is because VTP messages 
can ONLY cross trunk links. 
Note the two switches are connected with 2 cross over ethernet cables, if these 
switches are 3550s, the two ports would negotiate an ISL trunk, but if the two 
switches are 3560s, they would NOT negotiate a trunk, because by default the ports 
on 3560 switches are in auto mode, whereas, the ports on 3550 switches are in 
desirable mode. 
To see this on the switches: 

CCIE Foundation by Narbik Kocharians 

Switching Lab                                          Page 4 of 55 

© 2007 Narbik Kocharians. All rights reserved 

On 3550 switches: 
3550#Show interface status 
Port      Name          Status 
Vlan  Duplex  Speed Type 
Fa0/1                        notconnect   1            auto  auto  10/100BaseTX 
Fa0/2                        notconnect   1 
auto  auto  10/100BaseTX 
Fa0/3                        notconnect   1            auto  auto  10/100BaseTX 
Fa0/4                        notconnect   1            auto  auto  10/100BaseTX 
(The rest of the output is omitted) 

On 3560 switches: 
3560#Show run 
Building configuration... 
Current configuration : 2102 bytes 

interface FastEthernet0/1 
switchport mode dynamic desirable 

interface FastEthernet0/2 
switchport mode dynamic desirable 

interface FastEthernet0/3 
switchport mode dynamic desirable 
(The rest of the output is omitted) 
To create the trunk, we should first check to see if the trunk was automatically 
negotiated, if the switches are 3560s, they will NOT negotiate a trunk, as follows: 
3560#Show int trunk 
Note the trunk is not negotiated. 
If the switches are 3550s, you should see that the trunk is automatically negotiated 
using Cisco proprietary trunking protocol called ISL, as follows: 
3550#Show interface trunk 
Port           Mode         Encapsulation  Status 
Native vlan 
Fa0/20      desirable     n­isl                 trunking      1 
Fa0/21      desirable     n­isl                 trunking      1
CCIE Foundation by Narbik Kocharians 

Switching Lab                                          Page 5 of 55 

© 2007 Narbik Kocharians. All rights reserved 

 in this  mode the switches will not propagate VLAN information from one switch to  another. All rights reserved  .  Changing VTP domain name from NULL to CCIE  This task could also be accomplished by entering the “VLAN database” as follows:  SW­1#Vlan database  SW­1(vlan)#Vtp domain CCIE CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 6 of 55  © 2007 Narbik Kocharians. you can go on with VTP  configuration as follows:  On SW­1  By default the 3550/3560 switches are member of a domain called NULL.  To configure the ports as trunk:  On Both switches:  (config)#int range f0/19­20  (config­if­range)#switchport trunk encapsulation isl  (config­if­range)#switchport mode trunk  These commands will be explained in later steps. which means negotiated ISL. Enter the following to change the VTP domain name to “CCIE”.  SW­1(config)#VTP domain CCIE  Note once the above command is entered.  To verify the configuration:  On Both switches:  #Show int trunk  Port  Fa0/19  Fa0/20  Mode         Encapsulation  Status  Native vlan  on  isl  trunking      1  on  isl  trunking      1  (The rest of the output is omitted)  Now that the trunk is established between the two switches. you should see the following message  telling you that the domain name was changed from the default name of “NULL” to  “CCIE”.Note the status is “n­isl”.

  Note the display below reveals that VTP propagated the VTP domain information to  the second switch:  On SW­2:  SW­2#Sh vtp status  VTP Version  : 2  Configuration Revision  : 0  Maximum VLANs supported locally : 1005  Number of existing VLANs  : 5  VTP Operating Mode  : Server  VTP Domain Name  : CCIE  VTP Pruning Mode  : Disabled  VTP V2 Mode  : Disabled  VTP Traps Generation  : Disabled  MD5 digest  : 0x57 0xCD 0x40 0x65 0x63 0x59 0x47 0xBD  Configuration last modified by 0.  VTP password can be changed in three ways:  Privilege mode:  Switch#vtp password Cisco  Vlan Database:  Vlan database  Vtp password Cisco  Exit  Global config mode:  Switch(config)#vtp password Cisco  In this task it is configured in Global config mode as follows: CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 7 of 55  © 2007 Narbik Kocharians.SW­1(vlan)#Exit  When a command is entered in the Vlan database. you must perform the “exit” or  the “apply” command for the changes to take effect. All rights reserved  .0.0 (no valid interface found)  Task 3  This VTP domain should be password protected using “Cisco” as the password.0 at 0­0­00 00:00:00  Local updater ID is

CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 8 of 55  © 2007 Narbik Kocharians. All rights reserved  .  Once the command is entered you should get the following message:  Setting device to VTP CLIENT mode.  On SW­2  SW­2(config)#Vtp mode client  This configuration can be performed in the vlan database or global config mode.On both switches  (config)#vtp password Cisco  You should get the following message:  Setting device VLAN database password to Cisco  Note. If this command must  be configured in the vlan database. you must first enter the “vtp database”  command in the privilege mode. a password can not be assigned. enter “vtp client” and lastly the “exit”  command must be used for the changes to take effect.  To verify the configuration:  On any of the switches:  #Show VTP password  This verifies the password. if a domain name is not assigned to the switches and the default name (NULL)  is used.  The password command must be configured statically on both switches because this  change will NOT get propagated via VTP messages.  The above command was entered in the global config mode.  privilege configuration mode or in the VLAN database mode.  This “VTP password” command can be entered in global configuration mode. then. remember  Spaces will not show  VTP Password: Cisco  Task 4  SW­2 should NOT have the ability to create. delete or rename VLAN or VLAN  information.

 modify or delete VLAN information  Forwards the VTP advertisements  Synchronizes VLAN information  CAN NOT save the configuration in the NVRAM  Transparent mode:  Ø  Ø  Ø  Ø  Creates. All rights reserved  . deletes and modifies VLANs locally  Forwards the VTP advertisements  Does NOT process VTP messages  Saves VLAN information in NVRAM and NOT the VLAN database  Task 5  Create and configure the following VLAN assignments:  Router Interface  R1 – F0/0  R2 – F0/0  R3 – F0/0  R4 – F0/0  R5 – F0/0  R6 – F0/0  R1 – F0/1  VLAN number  12  12  34  34  56  56  111  30  CAT Switches Port  SW1 – F0/1  SW1 – F0/2  SW1 – F0/3  SW1 – F0/4  SW1 – F0/5  SW1 – F0/6  SW2 – F0/1  On SW­1  SW­1(config)#interface range f0/1 ­ 2 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 9 of 55  © 2007 Narbik Kocharians. modifies and deletes VLANs  Sends and forwards VTP advertisements  Synchronizes VLAN information  Saves VLAN information in “vlan.The switches can operate in three different VTP modes and they are as follows:  Server mode:  Ø  Ø  Ø  Ø  Creates.dat” in the flash memory  Client mode:  Ø  Ø  Ø  Ø  CAN NOT create.

 All rights reserved  . Fa0/18. because  both switches are in the same VTP domain. Fa0/24  Gi0/1. Fa0/3. Fa0/2. Gi0/2  12   VLAN0012                         active  34   VLAN0034                         active  56   VLAN0056                         active  30   VLAN0030  active  (The rest of the output is omitted)  SW­2#Show VTP Status  VTP Version                                       : 2  Configuration Revision                       : 4  Maximum VLANs supported locally  : 1005  Number of existing VLANs  : 8  VTP Operating Mode                          : Client  VTP Domain Name                             : CCIE  VTP Pruning Mode                             : Disabled CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 10 of 55  © 2007 Narbik Kocharians. Fa0/12  Fa0/13. Fa0/11. password and they have a trunk  connecting them to each other. Fa0/7. Fa0/15. Fa0/8  Fa0/9. Fa0/10. Fa0/4  Fa0/5.  On SW­2  SW­2#Show vlan brie  VLAN Name                             Status    Ports  ­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  1    default  active    Fa0/1.SW­1(config­if)#switch mode access  SW­1(config­if)#switch access vlan 12  SW­1(config)#interface range f0/3 ­ 4  SW­1(config­if)#switch mode access  SW­1(config­if)#switch access vlan 34  SW­1(config)#interface range F0/5 ­ 6  SW­1(config­if)#switch mode access  SW­1(config­if)#switch access vlan 56  SW­1(config)Vlan 30  SW­1(config)exit  Note the Vlan information will be propagated to the other switch (SW­2). Fa0/14. Fa0/23. Fa0/6. Fa0/16  Fa0/17.

0.0 (no valid interface found)  Note. All rights reserved  .  SW­1 should be used to create VLAN 111. and the reason the VLAN  information was propagated is because the VTP domain name and the password is  identical on both switches and the switches are trunked.0. VTP version is 2. this is because SW­2 is in VTP client  mode.  You should see the following error message if SW­2 is used to create VLAN 111. Configuration revision is 4.0 at 3­1­93 00:06:11  Local updater ID is 0. number of existing VLANs is 8  on both switches. (no valid interface found)  On SW­1  SW­1#Show VTP Status  VTP Version                                      : 2  Configuration Revision                      : 4  Maximum VLANs supported locally : 1005  Number of existing VLANs               : 8  VTP Operating Mode                         : Server  VTP Domain Name                            : CCIE  VTP Pruning Mode                             : Disabled  VTP V2 Mode                                     : Disabled  VTP Traps Generation                        : Disabled  MD5 digest  : 0x97 0x9D 0xF1 0xF9 0xFE 0x21 0xCC 0x1D  Configuration last modified by 0.VTP V2 Mode                                     : Disabled  VTP Traps Generation  : Disabled  MD5 digest                                          : 0x97 0x9D 0xF1 0xF9 0xFE 0x21 0xCC 0x1D  Configuration last modified by 0.  On SW­1  SW­1(config)#vlan 111  SW­1(config­vlan)#exit  To verify the configuration:  On SW­2 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 11 of 55  © 2007 Narbik Kocharians.0.  SW­2(config)#vlan 111  VTP VLAN configuration not allowed when device is in CLIENT mode.0.0.0 at 3­1­93 00:06:11  Local updater ID is 0. (because they are synchronized).

  SW­1 can be configured such that the IP address of any of it’s interfaces in this case  Loopback0 is used as the source of all VTP messages. Fa0/24.0. Fa0/10.SW­2#Show vlan brief  VLAN Name                             Status    Ports  ­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  1    default  active  Fa0/1.  the last line of the output displayed the fact that (no valid interface found). Fa0/15.  the above command can be used to specify the IP address of a given interface as the  source of all VTP updates. as follows:  On SW­1  SW­1(config)# Interface Loopback 0  SW­1(config­if)# Ip address 1.1. Fa0/7. Fa0/3. Fa0/22  Fa0/23.1. All rights reserved  . as long as SW­1 has an IP address  configured the source of all VTP updates will use that specific IP address as the  source IP address of all VTP messages. and you must use a specific IP address as the source of the updates. Fa0/2.1 /8) interface is used as the preferred source for the  VTP IP updater address. then. Gi0/2  12   VLAN0012  active  34   VLAN0034                         active  56   VLAN0056                         active  111 VLAN0111  active  30   VLAN0030                         active  Task 6  Ensure that SW1’s Loopback0 (1. Fa0/4  Fa0/5. Fa0/14. Fa0/6. Fa0/16  Fa0/17. Fa0/8  Fa0/9. if your switch is configured with multiple IP  addresses.1.  Note in the last Task when the “show vtp status” command was entered on SW­1.1 255.  SW­1#Show vtp status  VTP Version  : 2  Configuration Revision                      : 4 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 12 of 55  © 2007 Narbik Kocharians. Fa0/11. Fa0/18.1.0  SW­1(config­if)# Exit  SW­1(config)# Vtp interface Loopback0  Note the above command is not needed. Gi0/1.0. Fa0/12  Fa0/13. Fa0/21.

0 at 3­1­93 00:22:29  Create a VLAN (VLAN 80) on SW­1 so you can see that the change was made by an  IP address of This VLAN should be deleted before proceeding to  the next task.0.0. All rights reserved  .0 at 3­1­93 00:06:11  Local updater ID is 1.Maximum VLANs supported locally : 1005  Number of existing VLANs               : 8  VTP Operating Mode                         : Server  VTP Domain Name                            : CCIE  VTP Pruning Mode                            : Disabled  VTP V2 Mode                                    : Disabled  VTP Traps Generation                        : Disabled  MD5 digest                                         : 0x97 0x9D 0xF1 0xF9 0xFE 0x21 0xCC 0x1D  Configuration last modified by 0.1 on SW­2.1.  On SW­1  SW­1(config)#Vlan 80  Sw­1(config)#exit  On SW­2  SW­2#Show vtp status  VTP Version  : 2  Configuration Revision  : 5  Maximum VLANs supported locally : 1005 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 13 of 55  © 2007 Narbik Kocharians.1 on interface Lo0 (preferred interface)  Preferred interface name is lo0  On SW­2  SW­2#Show vtp status  VTP Version  : 2  Configuration Revision  : 4  Maximum VLANs supported locally : 1005  Number of existing VLANs    : 8  VTP Operating Mode              : Client  VTP Domain Name                 : CCIE  VTP Pruning Mode  : Disabled  VTP V2 Mode  : Disabled  VTP Traps Generation  : Disabled  MD5 digest  : 0x97 0x9D 0xF1 0xF9 0xFE 0x21 0xCC 0x1D  Configuration last modified by 0.

1. at 3­1­93 00:12:48  Local updater ID is 1.  This task calls for VTP pruning and the following Show command reveals the  current status of VTP pruning:  On SW­2  SW­2#Show vtp status  VTP Version  : 2  Configuration Revision  : 5  Maximum VLANs supported locally : 1005  Number of existing VLANs  : 8  VTP Operating Mode  : Server  VTP Domain Name  : CCIE  VTP Pruning Mode                         : Disabled  VTP V2 Mode  : Disabled  Pruning is disabled  VTP Traps Generation  : Disabled  MD5 digest  : 0x97 0x9D 0xF1 0xF9 0xFE 0x21 0xCC 0x1D  Configuration last modified by o interface Lo0 (First layer3 interface found)  Note the above show command reveals that VTP Pruning is disabled  On SW­1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 14 of 55  © 2007 Narbik Kocharians.1.1 at 3­1­93 00:34:33  On SW­1  SW­1(config)#No vlan 80  Task 7  Configure the switches such that flooded traffic is restricted to the trunk links that the  traffic must use to reach the destination device.1. All rights reserved  .1.Number of existing VLANs  VTP Operating Mode  : 9  : Client  VTP Domain Name  : CCIE  VTP Pruning Mode  : Disabled  VTP V2 Mode  : Disabled  VTP Traps Generation  : Disabled  MD5 digest  : 0x02 0x05 0x92 0x34 0xF0 0xC0 0x35 0x9D  Configuration last modified by 1.

  To verify the configuration on both switches:  On SW­2  SW­2#Show vtp status  VTP Version  : 2  Configuration Revision  : 6  Maximum VLANs supported locally : 1005  Number of existing VLANs  : 8  VTP Operating Mode  : Server  VTP Domain Name  : CCIE  VTP Pruning Mode  : Enabled  VTP V2 Mode  : Disabled  VTP Traps Generation  : Disabled  MD5 digest  : 0x97 0x9D 0xF1 0xF9 0xFE 0x21 0xCC 0x1D  Configuration last modified by 1.  Task 8  Ensure that SW­1 is the root bridge for the VLANs 12 and SW­2 is the root bridge for  VLAN 56. VTP pruning increases the available bandwidth on  the trunk links by restricting flooded traffic to those trunk links that the traffic  must use to access the give host.SW­1#Vtp pruning  This command can be configured in privilege mode.1. it will get propagated to the other  switches within the VTP domain. Its  possible to have a switch within the enterprise that does not have local port  membership in a given VLAN/s.  Remember that VLAN 1 is always ineligible for pruning and traffic from VLAN 1  can not be pruned. and/or in  the Vlan database. Global config mode. All rights reserved  . Remember that this can ONLY be configured on the switches  that are in VTP server mode.1 at 3­1­93 00:12:48  Note VTP messages propagate the change through the entire VTP domain.  There are three commands that can be used to display the BID for a given switch:  Ø  Show version  Ø  Show spanning­tree bridge  Ø  Show interface Vlan 1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 15 of 55  © 2007 Narbik Kocharians.1. Do NOT use the “priority” command to accomplish this task. Once this feature is enabled.

  SW­1#Show spanning­tree bridge  Vlan  ­­­­­­­­­­­­­­­­  VLAN0001  VLAN0012  VLAN0034  VLAN0056  VLAN0030  Hello  Max  Fwd  Bridge ID  Time  Age  Dly  Protocol  ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­  ­­­­­­­  ­­­  ­­­­­­­­  32769 (32768. therefore.067f.8900  2     20     15     ieee  Note the priority starts with 32768. All rights reserved  .  34) 0019.   1)  0019.  Base ethernet MAC Address       : 00:19:06:7F:89:00  Motherboard assembly number     : 73­9897­06  Power supply part number        : 341­0097­02  Motherboard serial number       : CAT10297MHE  Power supply serial number      : AZS1025050V  Model revision number           : D0  The rest of the output is omitted  The base MAC  The following command reveals the base MAC address of the switch.8900  2  20  15  ieee  32824 (32768.2(25)SEE2.  56) 0019. which is displayed to the left  of the parenthesis).067f. the combination of  priority and the base MAC address is the BID for a given switch. each VLAN that is created adds it’s VLAN number to  the default priority value (If the base priority and the VLAN number is added within the  parenthesis. data­base: 0x012237D0  (The output of this show command is modified)  512K bytes of flash­simulated non­volatile configuration memory.  Note that the MAC is the base MAC address and it remains the same. the priority is  32780 and VLAN 34 adds 34 to the default priority value.067f.8900  2  20  15  ieee  32898 (32768.067f.  30) 0019. the priority is 32802.  RELEASE SOFTWARE (fc1)  Copyright (c) 1986­2006 by Cisco Systems.  Compiled Fri 28­Jul­06 12:34 by yenanh  Image text­base: 0x00003000.8900). therefore.067f.067f.8900  2  20  15  ieee  32802 (32768. Version 12.On SW­1  SW­1#Show version  SW­1#Show ver  Cisco IOS Software.  12) 0019.8900  2  20  15  ieee  32780 (32768. Inc. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 16 of 55  © 2007 Narbik Kocharians. the sum will be the priority for that given VLAN. in this case  (0019.  Note your MAC address maybe different. VLAN 12 adds 12 to the default priority value. C3560 Software (C3560­ADVIPSERVICESK9­M).

067f. address is 0019. Enter the following commands to configure SW­1 to  be the root bridge for VLANs 12:  On SW­1  SW­1(config)#Spanning­tree vlan 12 root primary  The above command configures SW­1 to be the root for VLAN 12; the “root” keyword is a CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 17 of 55  © 2007 Narbik Kocharians. DLY 10 usec.8940 (bia 0019.22  P2p  Note even though the above show commands reveals that SW­1 is the root bridge for VLAN  12 we should statically configure this switch so in the future a topology change will not  change the root bridge for this VLAN.21  P2p  Fa0/20  Desg   FWD  19  128. All rights reserved  .SW­1#Show int Vlan 1  Vlan1 is up.b989.8280  This bridge is the root  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Bridge ID  Priority    32780  (priority 32768 sys­id­ext 12)  Address     0018. BW 1000000 Kbit. line protocol is up  Hardware is EtherSVI.Nbr Type  ­­­­­­­­­­­­­­­­ ­­­­­­  ­­­­­­ ­­­­­­­­­ ­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  Fa0/19  Desg  FWD  19        128. enter the following Show  command:  On SW­1  SW­1#Show spanning­tree vlan 12  SW­1#Show spanning­tree vlan 12  VLAN0012  Spanning tree enabled protocol ieee  The MAC address of the root bridge  Root ID    Priority    32780  Address     0018.8280  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Aging Time 300  The Mac address of the local switch  Interface  Role  Sts  Cost      Prio. rxload 1/255  The output of the above command will reveal the bia or the MAC address of VLAN 1  interface which is also the base MAC address of the switch  To find out the BID and the root bridge for a given VLAN.8940)  MTU 1500 bytes. txload 1/255.067f.b989.  reliability 255/255.

  SW­1#Show spanning­tree vlan 12  VLAN0012  Note 32768+12­8192 = 24588  Spanning tree enabled protocol ieee  Root ID  Priority  24588  Address  0018.b989.2f0a.8280  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Aging Time 300  Interface        Role Sts Cost      Prio.2f0a.22   P2p  On SW­2  SW­2(config)##Spanning­tree vlan 56 root primary  To verify the configuration:  On SW­2  SW­2#Sh spanning­tree vlan 56  VLAN0056  Spanning tree enabled protocol ieee  Root ID  Priority    24632  Address  001a.8280  This bridge is the root  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Bridge ID  Priority    24588  (priority 24576 sys­id­ext 12)  Address  0018.b989.Nbr Type  ­­­­­­­­­­­­­­­­ ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  Fa0/19  Desg FWD 19        128.macro that reduces the BID of the switch for a given VLAN by a value of 8192 (The lower  value is the preferred value).2000  This bridge is the root  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Bridge ID  Priority    24632  (priority 24576 sys­id­ext 56)  Address  001a.Nbr Type CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 18 of 55  © 2007 Narbik Kocharians.2000  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Aging Time 15  Interface        Role Sts Cost      Prio. All rights reserved  .21   P2p  Fa0/20           Desg FWD 19        128.

  On SW­1  SW­1(config)#spanning­tree vlan 34 priority 0  Note the priority of this VLAN is set to zero.Nbr Type  ­­­­­­­­­­­­­­­­ ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  Fa0/19           Desg FWD 19        128.2000  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Aging Time 300  Interface        Role Sts Cost      Prio. Cisco plays two games. basketball and golf. When it comes to spanning­tree.  To verify the configuration  On Sw­1  SW­1#Show spanning­tree vlan 34  VLAN0034  Spanning tree enabled protocol ieee  Root ID    Priority    34  Address  001a.22   P2p  Task 9  Configure SW­1 to be the root bridge for VLAN 34 and SW­2 to be the root bridge for  VLAN 111; you should use the “priority” command to accomplish this task.  what I mean by that is that sometimes the lower number has more preference and  sometimes the higher number.21   P2p  Fa0/20           Desg FWD 19        128. All rights reserved  . the lower number  has more preference. which is the lowest number within the  range.22   P2p  On Sw­2 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 19 of 55  © 2007 Narbik Kocharians.­­­­­­­­­­­­­­­­ ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  Fa0/19           Desg FWD 19        128.2f0a.2f0a.2000  This bridge is the root  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Bridge ID  Priority    34     (priority 0 sys­id­ext 34)  Address  001a.21   P2p  Fa0/20           Desg FWD 19        128.  When it comes to priority and values.

 Use minimum number of commands to accomplish this task.Nbr Type  ­­­­­­­­­­­­­­­­ ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  Fa0/19           Desg FWD 19        128.  If BPDU guard is configured. If PortFast is enabled on a port connecting to another  switch. the port will transition into err­disable mode blocking all traffic. This  configuration should only be applied to the ports that the routers R1 ­ R6 are connected  to. PortFast should be configured on interfaces that have  a single host connected.  On SW­1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 20 of 55  © 2007 Narbik Kocharians. and an interface configured as PortFast receives  BPDUs.2f0a. Spanning­tree PortFast causes an interface that is configured as a layer 2 access  port to transition from blocking to forwarding state immediately by bypassing the  listening and learning states.2f0a.2000  This bridge is the root  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Bridge ID  Priority    111    (priority 0 sys­id­ext 111)  Address  001a.22   P2p  Task 10  Configure SW­1 such that the ports that the routers are connected to bypass listening and  learning state.21   P2p  Fa0/20           Desg FWD 19        128. All rights reserved  .2000  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Aging Time 15  Interface        Role Sts Cost      Prio. If any of these ports receive BPDU packets.SW­2(config)#spanning­tree vlan 111 priority 0  To verify the configuration:  On Sw­2  SW­2#Show spanning­tree vlan 111  VLAN0111  Spanning tree enabled protocol ieee  Root ID    Priority    111  Address  001a. a Spanning­tree loop may result. they should transition into  errdisable state.

 in this task the traffic for VLAN 30  should NOT traverse this trunk link. For  security or other reasons it’s a good practice to configure the trunk links such that  they ONLY carry traffic for intended VLANs. Basically the sending switch  marks each frame with a VLAN ID before sending the traffic through the trunk link  so the receiving switch can distinguish the destination VLAN of the frames.  Once the portfast command is entered you should see the following warning  message:  %Warning: portfast should only be enabled on ports connected to a single  host.  Ø  Ensure that traffic for VLAN 30 does NOT traverse this trunk link.SW­1(config)#Spanning­tree portfast bpduguard default  SW­1(config)#Interface range F0/1 ­ 6  SW­1(config­if)#Spanning­tree portfast  This command could also be configured globally... All rights reserved  . etc. Connecting hubs.  A trunk by default carries traffic for all VLANs; in order to differentiate traffic  from different VLANs a trunking protocol is used.  Ø  These ports should NOT use any DTP for establishing the trunk  Ø  Ensure that VLAN 111 does not get tagged as the traffic for this VLAN  traverses this trunk link.  The “spanning­tree portfast bpduguard default” command in global config mode  will shut the port down in err­disable mode if any portfast enabled port receives  BPDU packets. bridges. to this  Interface when portfast is enabled. concentrators.  Task 11  Ø  Ensure that ports F0/19 of both switches are trunking. by using the “Spanning­tree  portfast default” command; this command enables PortFast on all non­trunking  ports.  Use with CAUTION  %Portfast will be configured in 6 interfaces due to the range command  but will only have effect when the interfaces are in a non­trunking mode. switches. can cause temporary bridging loops.  A trunk can be established between the following devices:  Ø  Between two Switches  Ø  A switch and a router  Ø  A switch and a NIC that has the capability of establishing a trunk CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 21 of 55  © 2007 Narbik Kocharians.

 this task and task 19 would have been configured already. the native  VLAN is VLAN 1 by default. the traffic from different VLANs will merge. In this case if this entire section was read  before. All rights reserved  .  Ø  Negotiate – Specifies that the local interface should negotiate with the  neighboring interface (The interface to which it is connected to) to  become either dot1q or ISL. the trunk link will go down if the VLANs are not identical on  both ends of a trunk.  The last item of this task requires us to configure DOT1Q trunking.  Ø  ISL ­ Specifies dot1q encapsulation on the trunk link. in order to prevent  this from occurring.  To verify the configuration:  On both Switches  SW­1#Show int trunk  Port  Fa0/19  Fa0/20  Mode         Encapsulation  Status  Native vlan  on              802.  On Both Switches  (config)#Interface F0/19  (config­if)#Switchport trunk encapsulation dot1q  (config­if)#Switchport mode trunk  The “Switchport trunk encapsulation” command can have the following  parameters:  Ø  Dot1q – Specifies dot1q encapsulation on the trunk link. Remember that  when a switch configured with DOT1Q receives an untagged frame. you must ensure that native  VLAN is identical on both ends of the trunk. If VLANs are not identical on both  ends of a trunk. it will assign it  to the native VLAN. depending on the configuration of the  neighboring interface.In CCIE lab exam.  The “Switchport mode trunk” command puts the interface into permanent trunking  mode.1q              trunking      1  on  isl  trunking      1  Port        Vlans allowed on trunk CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 22 of 55  © 2007 Narbik Kocharians. I highly recommend reading each section entirely before  configuring the tasks within that section. In DOT1Q the native VLAN traffic is NOT tagged. Because of this fact.

 34.34  To configure the second bullet item:  To see the default setting:  On Both Switches:  SW­2#Show int f0/19 switchport  Name: Fa0/19  Switchport: Enabled  Administrative Mode: trunk  Operational Mode: trunk  Administrative Trunking Encapsulation: dot1q  Operational Trunking Encapsulation: dot1q  Negotiation of Trunking: On  Access Mode VLAN: 1 (default)  Trunking Native Mode VLAN: 1 (default)  Administrative Native VLAN tagging: enabled  (The rest of the output is omitted)  Note the negotiation of  trunking is ON  To change this setting:  On Both Switches:  (config)#int f0/19  (config­if)#switchport nonegotiate  To verify the configuration:  On Both Switches:  #Show int f0/19 switchport CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 23 of 55  © 2007 Narbik Kocharians.12.56. 111  Fa0/20  1.Fa0/19  Fa0/20  1­4094  1­4094  Port        Vlans allowed and active in management domain  Fa0/19  1.12.30. All rights reserved  . 34.  Fa0/20  12.12. 111  Port        Vlans in spanning tree forwarding state and not pruned  Fa0/19  1.56.

 with SW­2 FastEthernet0/19  On Sw­2  SW­1(config­if)#switchport trunk native vlan 111  To configure the forth item:  To see the default behavior:  SW­1#Show interface trunk  Port          Mode       Encapsulation  Status  Native vlan  Fa0/19      on            802.111  Port        Vlans in spanning tree forwarding state and not pruned  Fa0/19      1  Fa0/20      1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 24 of 55  © 2007 Narbik Kocharians.111  Fa0/20      1. All rights reserved  .1q              trunking      111  Fa0/20      on            isl                     trunking      1  Note by default all VLAN are allowed to  Port  Vlans allowed on trunk  to traverse the trunk  Fa0/19      1­4094  Fa0/20      1­4094  Port        Vlans allowed and active in management domain  Fa0/19 Fa0/19  Note the trunking negotiation is OFF  Switchport: Enabled  Administrative Mode: trunk  Operational Mode: trunk  Administrative Trunking Encapsulation: dot1q  Operational Trunking Encapsulation: dot1q  Negotiation of Trunking: Off  Access Mode VLAN: 1 (default)  (The rest of the output is omitted)  To configure the third bullet item:  On SW­1  SW­1(config­if)#switchport trunk native vlan 111  Note once this command is entered you should see the following console message:  %CDP­4­NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on  FastEthernet0/19 (111).

12.111  Fa0/20      1.34.31­4094  Fa0/20      1­4094  Note VLAN 30 is NOT allowed to traverse  the trunk  Port        Vlans allowed and active in management domain  Fa0/19      1.56. All rights reserved  .30.12.1q               trunking      111  Fa0/20      on  isl                      trunking      1  Port      Vlans allowed on trunk  Fa0/19      1­29.111  Port        Vlans in spanning tree forwarding state and not pruned  Fa0/19      1  Fa0/20      1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 25 of 55  © 2007 Narbik Kocharians.34.To configure this item:  On Both Switches:  (config­if)#switchport trunk allowed vlan except 30  Note the following reveals all options:  (config­if)#switchport trunk allowed vlan ?  WORD    VLAN IDs of the allowed VLANs when this port is in trunking mode  add     add VLANs to the current list  all     all VLANs  except  all VLANs except the following  none    no VLANs  remove  remove VLANs from the current list  You can use some of these options to accomplish this task.  To verify the configuration:  On Both Switches:  #Show interface trunk  Port          Mode         Encapsulation   Status          Native vlan  Fa0/19      on              802.56.

 All rights reserved  . Tx is for Transmitted traffic. Tx. and both is in both  direction. you have connected the  packet analyzer to port F0/15 on the same switch.  SW­1(config)#monitor session 1 destination interface F0/15  This command identifies the destination port. which is the interface that needs  to be monitored in both directions. this is the port to which the packet  analyzer is connected to.  On SW­1  SW­1(config)#monitor session 1 source interface F0/14 both  The above command identifies the source interface. or Both.Task 12  You received a request from the IT department to monitor and analyze all the packets  sent and received by the host connected to port F0/14 on SW­1. enter the “Show monitor session 1”  command.  Note the following:  Ø  There can only be two monitor sessions configured on a given switch  Ø  Their direction to monitor can be configured as Rx. Rx is  for received traffic.  Ø  To verify the configuration.  Ø  VLANs can ONLY be configured in Rx direction.  To verify the configuration:  On SW­1  SW­1#Show monitor session 1  Session 1  ­­­­­­­­­  Type                     : Local Session  Source Ports         :  Both               :Fa0/14  Destination Ports : Fa0/15  Encapsulation  : Native  Ingress       : Disabled CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 26 of 55  © 2007 Narbik Kocharians. configure the switch to accommodate  this request.

2 255.2 /8 with traps called “PRIVATE” to accomplish this task.Task 13  You received another request from your IT department to keep track of all the MAC  addresses that are learned by SW­2 port F0/18. The switch must use the NMS located at  192.2.1 traps PRIVATE  To setup the Snmp­Server’s IP address and the traps PRIVATE  SW­2(config)#snmp­server enable traps mac­notification  Configures the switch to send mac­address traps to the NMS  SW­2(config)#mac­address­table notification  To enable MAC­address notification  SW­2(config)#Inter f0/18  SW­2(config­if)#snmp trap mac­notification added  The above command enables the SNMP trap on interface F0/18 and configures the  switch to send MAC notification traps whenever a MAC­address is learned (added). You should use an IP  address of 2. an IP address should be configured before entering the  “snmp­server” command as follows:  SW­2(config)#Int lo0  SW­2(config­if)#Ip addr 2.1 trap PRIVATE  %IP_SNMP­3­SOCKET: can't open UDP socket  Unable to open socket on port 161  Note since this switch is not configured with an IP address.2. it will fail to configure  the Snmp server.  If the switch must be configured to report the MAC addresses that are learnt and  expired. then “snmp trap mac­notification removed” command must also be  configured under the interface.168.0. Therefore. All rights reserved  .168. configure the switch to handle this request.  On SW­2  SW­2(config)#Snmp­server host 192.0.  To verify the configuration:  SW­2#Show mac­address­table notification interface f0/18  MAC Notification Feature is Enabled on the switch  Interface  MAC Added Trap MAC Removed Trap  ­­­­­­­­­  ­­­­­­­­­­­­­­  ­­­­­­­­­­­­­­­­  FastEthernet0/18  Enabled  Disabled CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 27 of 55  © 2007 Narbik Kocharians.0  SW­2(config)#snmp­server host 192.1 /24.2.

 if any other MAC address besides the pertaining  router’s MAC address is detected on any of these ports.  switchport mode access  switchport port­security  switchport port­security maximum 1  switchport port­security violation protect  @ SW­2(config)#  The above configuration configures a smartport macro. the switch should not send an  SNMP trap or syslog message.  SW­2#Show mac­address­table notification  MAC Notification Feature is Enabled on the switch  Interval between Notification Traps : 1 secs  Number of MAC Addresses Added : 0  Number of MAC Addresses Removed : 0  Number of Notifications sent to NMS : 0  Maximum Number of entries configured in History Table : 1  Current History Table Length : 0  MAC Notification Traps are Enabled  History Table contents  ­­­­­­­­­­­­­­­­­­­­­­  Task 14  Configure SW­2 using the following policy:  The ports that routers R1 – R6 are connected should be configured such that they only  allow one MAC­address to be detected. End with the character '@'.  On SW­2  SW­2(config)#Define interface­range ROUTER­PORTS F0/1 ­ 6  The above command defines a range of ports on the switch and names them “ROUTER­  PORTS”  SW­2(config)#Macro name PORT­SECUR  Enter macro commands one per line. under the “MAC removed Trap” column you would also see as  “Enabled”. All rights reserved  .  You should use a regular and a smart port macro to accomplish this task.Note if the “snmp trap mac­notification removed” command was also entered for  F0/19 interface. A smartport macro is started by the CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 28 of 55  © 2007 Narbik Kocharians. the appropriate switch should  drop the traffic for the newly learned MAC addresses.

.  Lines 3 to 6 contain the actual commands that the macro will execute.  !  macro name Port­Secur  switchport mode access  switchport port­security  switchport port­security mac­address sticky  switchport port­security maximum 1  switchport port­security violation shutdown  @ !  !  interface FastEthernet0/1  switchport mode access  switchport port­security  switchport port­security violation protect  macro description ROUTER­SECUR  !  interface FastEthernet0/2  switchport mode access  switchport port­security  switchport port­security violation protect  macro description ROUTER­SECUR  !  interface FastEthernet0/3  switchport mode access  switchport port­security  switchport port­security violation protect  macro description ROUTER­SECUR  ! CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 29 of 55  © 2007 Narbik Kocharians. This message  tells us to use the “@” sign in order to end and exit from this macro.. a message is displayed in the command line. A smartport macro  can be applied to an interface. interface range. most of the output from this  show command is omitted and only the pertaining parts are shown:  SW­2#Show run  Building configuration.“Macro name” global config command and then followed by an arbitrary name that is  assigned to the macro. All rights reserved  . a “Show run” command is entered. as follows:  SW­2(config)#Interface range macro ROUTER­PORTS  SW­2(config­if­range)#Macro apply PORT­SECUR  To verify the configuration.  Once that command is entered.  Lastly the Smartport Macro is applied to the regular macro. or a regular macro.

 A threshold value of 100 percent means  that no limit is placed for the specified type of traffic; a value of 0.0 means that the  particular type of traffic is blocked all together. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 30 of 55  © 2007 Narbik Kocharians.  On SW­2  SW­2(config)#Interface F0/14  SW­2(config­if)#Storm­control broadcast level 50.00  Storm­control can be used for Broadcast. Multicast and Unicast) is dropped until the level of  Multicast traffic is dropped below the threshold level.  On 3550 switches when the rate of Multicast traffic exceeds a predefined threshold. only the Spanning­tree packets are forwarded.  When Broadcast or Unicast thresholds are exceeded. Unicast and Multicast traffic. this  command specifies traffic suppression level for a given type of traffic for a  particular interface. traffic is blocked for only the  type of traffic that exceeded the threshold. The level can be from 0 to 100 and an optional fraction of a  level can also be configured from 0 – 99. All rights reserved  .  all incoming traffic (Broadcast.interface FastEthernet0/4  switchport mode access  switchport port­security  switchport port­security violation protect  macro description ROUTER­SECUR  !  interface FastEthernet0/5  switchport mode access  switchport port­security  switchport port­security violation protect  macro description ROUTER­SECUR  !  interface FastEthernet0/6  switchport mode access  switchport port­security  switchport port­security violation protect  macro description ROUTER­SECUR  !  define interface­range Router­Ports FastEthernet0/1 ­ 6  !  end  Task 15  On SW­2 port F0/14 configure the amount of bandwidth utilization for broadcast traffic  to 50%. When the interface is in  blocking mode.

 These  ports should be configured in VLAN 88.  On SW­1  SW­1(config)#Vlan 88  To see the default setting:  On SW­2  SW­2(config)#Interface range F0/15 – 16  SW­2(config­if­range)#Switchport mode access  SW­2(config­if­range)#Switch access vlan 88  SW­2#Show inter f0/15 switch  Name: Fa0/15  Switchport: Enabled  Administrative Mode: static access  Operational Mode: down  Administrative Trunking Encapsulation: negotiate  Negotiation of Trunking: Off  Access Mode VLAN: 88 (Inactive)  Trunking Native Mode VLAN: 1 (default)  Administrative Native VLAN tagging: enabled  Voice VLAN: none  Administrative private­vlan host­association: none  Administrative private­vlan mapping: none  Administrative private­vlan trunk native VLAN: none  Administrative private­vlan trunk Native VLAN tagging: enabled  Administrative private­vlan trunk encapsulation: dot1q CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 31 of 55  © 2007 Narbik Kocharians. All rights reserved  . You should NOT use private VLANs to accomplish this task.To verify the configuration:  SW­2#Show storm­control f0/14 broadcast  Interface  Filter State  Upper  Lower        Current  ­­­­­­­­­  ­­­­­­­­­­­­­  ­­­­­­­­­­­  ­­­­­­­­­­­  ­­­­­­­­­­­  Fa0/14     Forwarding       50.00%  Task 16  SW­2’s ports F0/15 and F0/16 are connected to company’s web and e­mail server.00%        0. Ensure that these ports can’t communicate with  each other.00%       50.

 All rights reserved  .Administrative private­vlan trunk normal VLANs: none  Administrative private­vlan trunk private VLANs: none  Operational private­vlan: none  Trunking VLANs Enabled: ALL  Pruning VLANs Enabled: 2­1001  Capture Mode Disabled  Capture VLANs Allowed: ALL  Protected: false  Note the port is not in protected mode  Unknown unicast blocked: disabled  Unknown multicast blocked: disabled  Appliance trust: none  SW­2#  On SW­2  Interface range F0/15 – 16  Switchport protected  To verify the configuration:  On SW­2  SW­2#Show inter f0/15 switch  Name: Fa0/15  Switchport: Enabled  Administrative Mode: static access  Operational Mode: down  Administrative Trunking Encapsulation: negotiate  Negotiation of Trunking: Off  Access Mode VLAN: 88 (Inactive)  Trunking Native Mode VLAN: 1 (default)  Administrative Native VLAN tagging: enabled  Voice VLAN: none  Administrative private­vlan host­association: none  Administrative private­vlan mapping: none  Administrative private­vlan trunk native VLAN: none  Administrative private­vlan trunk Native VLAN tagging: enabled  Administrative private­vlan trunk encapsulation: dot1q  Administrative private­vlan trunk normal VLANs: none  Administrative private­vlan trunk private VLANs: none  Operational private­vlan: none  Trunking VLANs Enabled: ALL  Pruning VLANs Enabled: 2­1001 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 32 of 55  © 2007 Narbik Kocharians.

Capture Mode Disabled  Capture VLANs Allowed: ALL  Protected: true  The port is now in protected mode  Unknown unicast blocked: disabled  Note unknown unicast or multicast  Unknown multicast blocked: disabled  traffic is not blocked  Appliance trust: none  SW­2#  Typically port blocking is implemented when protected ports are configured. as follows:  SW­2(config)#Interface range F0/15 – 16  SW­2(config­if­range)#Switchport block unicast  SW­2(config­if­range)#Switchport block multicast  To verify the configuration:  SW­2#Show inter f0/15 switch  Name: Fa0/15  Switchport: Enabled  Administrative Mode: static access  Operational Mode: down  Administrative Trunking Encapsulation: negotiate  Negotiation of Trunking: Off  Access Mode VLAN: 88 (Inactive)  Trunking Native Mode VLAN: 1 (default)  Administrative Native VLAN tagging: enabled  Voice VLAN: none  Administrative private­vlan host­association: none  Administrative private­vlan mapping: none  Administrative private­vlan trunk native VLAN: none  Administrative private­vlan trunk Native VLAN tagging: enabled  Administrative private­vlan trunk encapsulation: dot1q  Administrative private­vlan trunk normal VLANs: none  Administrative private­vlan trunk private VLANs: none  Operational private­vlan: none  Trunking VLANs Enabled: ALL  Pruning VLANs Enabled: 2­1001  Capture Mode Disabled  Capture VLANs Allowed: ALL CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 33 of 55  © 2007 Narbik Kocharians. unknown broadcast or unicast packets should be  blocked. All rights reserved  . By  default the switch will flood packets with unknown destination MAC addresses to  all ports but the port that the packet/s was received. If unknown unicast or  multicast traffic is forwarded to a protected port. In  order to prevent this behavior. there could be security issues.

 the  following command will accomplish this task:  Before configuring this task. All rights reserved  . 10 minutes equates to 600 seconds.Protected: true  Unknown unicast blocked: enabled  Unknown multicast blocked: enabled  Appliance trust: none  SW­2#  The ports are now blocking  unknown unicast and multicast  Note in the CCIE lab you should ONLY implement what is asked from you. always ask the proctor for clarification  Task 17  Mac addresses learnt dynamically by these two switches should not stay in the MAC  address table if they are inactive for longer than 10 minutes.  By default the MAC addresses that are inactive will expire within 300 seconds. this  task is asking for a 10 minutes threshold. the default settings should be displayed as follows:  On SW­1 and SW­2  #Sh mac­address­table aging­time  Vlan    Aging Time  ­­­­  ­­­­­­­­­­  1     300  12    300  34    300  56    300  111   300  30    300  To change the default settings:  On Both Switches:  (config)#Mac­address­table aging­time 600  To verify the configuration:  On Both Switches: CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 34 of 55  © 2007 Narbik Kocharians. if you  are in doubt.

  On SW­1  SW­1(config)#Inter Vlan 1  SW­1(config­if)#Ip address /24 to SW­1.1.11 255.2  To verify the configuration:  SW­1#sh run int vlan 1  interface Vlan1  ip address 10.#Sh mac­address­table aging­time  Vlan    Aging Time  ­­­­  ­­­­­­­­­­  1     600  12    600  34    600  56    600  111   600  30    600  Note this setting can also be changed for a given VLAN using the following  command:  (config)#mac­address­table aging­time 600 vlan ?  <1­4094>  VLAN id  Task 18  For management purposes.255.1.0  end  SW­1#Sh ip route  Default gateway is 10.1.1. with a default  gateway of 10.2 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 35 of 55  © 2007 Narbik Kocharians.1.1.2 /24.255. All rights reserved  .1.0  SW­1(config­if)#No shut  SW­1(config­if)#Exit  SW­1(config)#Ip default­gateway 10.1.1. assign an IP address of 255.

 instance 1 and 2  Instance 1 should handle VLANs 12 and 34  Instance 2 should handle VLAN 56 and 111  All future VLANs should use instance 0  Instance 1 should use F0/19  Instance 2 should use F0/20  SW­1 should be the root bridge for the first instance  SW­2 should be the root bridge for the second instance  The name of this configuration should be CCIE  The revision number should be 1  On Both Switches  The default mode for spanning­tree is PVST. You should use a Cisco  proprietary solution for this trunk. the following Show command verifies  this information:  SW­1#Show spanning­tree summary  Switch is in pvst mode  Root bridge for: none  Extended system ID           is enabled  (The rest of the output is omitted)  On Both Switches  (config)#Spanning­tree mode mst  This command changes the mode of the switch to MST. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 36 of 55  © 2007 Narbik Kocharians.Host               Gateway           Last Use    Total Uses  Interface  ICMP redirect cache is empty  Task 19  Configure the F0/20 port of these two switches to trunk. All rights reserved  .  This task was configured in Task 2  Task 20  Configure Multi­instance of Spanning Tree on the switches using the follows policy:  Ø  Ø  Ø  Ø  Ø  Ø  Ø  Ø  Ø  Ø  There should be two instances of STP.

34  2         56.   1) 0019.067f.   2) 0019.8900  2  20  MST2  32770 (32768. instance 0 is the catch all instance. 57­110.  To verify this configuration:  On both Switches  Show spanning­tree mst configuration  Name      [CCIE]  Revision  1  Instance  Vlans mapped  ­­­­­­­­  ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  0         1­11.(config)#Spanning­tree mst configuration  (config­mst)#Revision 1  (config­mst)#Name CCIE  (config­mst)#Instance 1 vlan 12. in this case  CCIE.8900  2  20  MST1  32769 (32768.111  The first command allows us to enter in the MST configuration mode.35­55.34  (config­mst)#Instance 2 vlan 56.8900  2  20  CCIE Foundation by Narbik Kocharians  Fwd  Dly  ­­­  15  15  15  Protocol  ­­­­­­­­­­­  mstp  mstp  mstp Switching Lab                                          Page 37 of 55  © 2007 Narbik Kocharians. All rights reserved  . 112­4094  1         12.  To Verify the configuration before configuring the next portion of the  task:  On SW­1  Show spanning­tree bridge  Hello  Max  MST Instance                 Bridge ID  Time  Age  ­­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  ­­­­  ­­­­­  MST0  32768 (32768. The second  command specifies the configuration revision number; the range for this number is  1­65535. by default all the future VLANs will be  assigned to instance 0. The third command specifies the name for this configuration.111  Note instance 0 handles the rest of the vlans that are not assigned to a given  instance; instance 0 is the catch all instance.13­33. The forth and fifth commands map the requested VLANs to the specified  instances.067f.067f. MST supports 16 instances.   0) 0019.

8900  0  2  20  15  The above command displays the BID of the root bridge for different instances.  To verify the configuration:  On SW­1  SW­1#Show spanning root  Root  Hello  Max  Fwd  MST Instance  Root ID  Cost  Time  Age  Dly  ­­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­­  ­­­­­­  ­­­­­  ­­­­­­­­  MST0  32768  0019.067f.2000  200000  2  20  15  CCIE Foundation by Narbik Kocharians  Root Port  ­­­­­­­­­­­­­­­­  Fa0/19 Switching Lab                                          Page 38 of 55  © 2007 Narbik Kocharians.  This number must be in increments of 4096.  Note in this case SW­1 is the root for all instances.8900  0  2  20  15  MST2  2  001a.067f.8900  0        2          20  Fwd  Dly  Root Port  ­­­­  ­­­­­­­­­­­­­­­­  15  15  MST2  32770  0019.Note this command displays the BID for your switch. there is a BID for each instance.  On SW­1  SW­1(config)#Spanning­tree mst 1 priority 0  SW­1(config)#Spanning­tree mst 2 priority 4096  On SW­2  SW­2(config)#Spanning­tree mst 1 priority 4096  SW­2(config)#Spanning­tree mst 2 priority 0  The above commands will change the switch priority and make it more likely that  SW­1 will be chosen as the root switch for instance 1 and SW­2 will be chosen as the  root bridge for instance 2.  On SW­1  SW­1#Show spanning­tree root  Root  Hello  Max  MST Instance           Root ID  Cost  Time  Age  ­­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­  ­­­­­­­­­  ­­­­­­­  MST0  32768  0019.067f.8900  0  2          20  MST1  32769  0019.067f.8900  0  2  20  15  MST1  1  0019.2f0a. Remember the lower value has higher  preference.067f. All rights reserved  . and instead of assigning a BID  to each VLAN.

 In this  case port F0/21 will be used by all the VLANs that are assigned to instance 1. whereas. port­priority feature is used as follows:  On Both Switches  (config)#Int F0/19  (config­if)#Spanning­tree mst 1 port­priority 0  (config­if)# Spanning­tree mst 2 port­priority 128  High priority  (config)#Int F0/20  (config­if)#Spanning­tree mst 1 port­priority 128  (config­if)#Spanning­tree mst 2 port­priority 0  In this task Port­priority is used when selecting an interface to put into the  forwarding state for a given instance; a lower value has a higher priority. All rights reserved  .  On SW­2  SW­2#Show spanning root  Root  Hello  Max  Fwd  MST Instance  Root ID  Cost  Time  Age  Dly  ­­­­­­­­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­­  ­­­­­­  ­­­­­  ­­­­­­­­  MST0            32768  0019.  because it has a higher priority (Lower value). SW­1 is the root for instance 0  and 1.8900   200000  2  20  15  Root Port  ­­­­­­­­­­­­­­­­  Fa0/19  Fa0/19  MST2  2  001a.2000  0  2  20  15  Note SW­2 is the root bridge for instance 2.8900  0  2  20  15  MST1  1  0019.  To verify the configuration:  On SW­1  SW­1#Show spanning­tree int f0/19  Mst Instance     Role   Sts         Cost  CCIE Foundation by Narbik Kocharians  Prio.Nbr      Type Switching Lab                                          Page 39 of 55  © 2007 Narbik Kocharians. and the second instance will use port  F0/22 because it has been configured with a higher priority (Lower value).  To configure the last portion of this task.2f0a. SW­2  is the root for instances 2.067f. whereas.Note the local switch (SW­1) is the root bridge for instance 0 and 1.067f.

 Configure the switches to  accommodate this request.22         P2p  MST2              Root  FWD   200000        0.21  ­­­­­­­  P2p  P2p  P2p  SW­1#Sh spanning­tree int f0/20  Mst Instance     Role     Sts         Cost      Prio.21  MST1             Desg    FWD     200000        0. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 40 of 55  © 2007 Narbik Kocharians.­­­­­­­­­­­­­­­­ ­­­­­­­­  ­­­­­­­­­ ­­­­­­­­­­  ­­­­­­­­­­  MST0  Desg  FWD     200000    128.21          P2p  MST1              Root    FWD     200000        0. You received a request  to monitor and analyze all packets for port F0/16 on SW­1.22         P2p  On SW­2  SW­2#Show spanning­tree int f0/19  Mst Instance     Role   Sts         Cost        Prio.Nbr      Type  ­­­­­­­­­­­­­­­­ ­­­­­­­­  ­­­­­­­­­ ­­­­­­­­­­  ­­­­­­­­­­  ­­­­­­­  MST0  Root  FWD     200000    128.22          P2p  MST2              Desg    FWD    200000         0.22          P2p  Note mst instance 1 is blocked on port F0/20 but forwarded on F0/19 and mst  instance 2 is blocked on interface F0/19 and forwarded on F0/20.21          P2p  MST2              Desg    FWD     200000    128. All rights reserved  .  Task 21  There is another protocol analyzer connected to F0/18 on SW­2.21  MST2             Altn     BLK  200000    128.22         P2p  MST1              Desg    FWD    200000    128.22  P2p  MST1              Altn     BLK     200000     128.Nbr      Type  ­­­­­­­­­­­­­­­­ ­­­­­­­­  ­­­­­­­­­ ­­­­­­­­­­  ­­­­­­­­­­  ­­­­­­­  MST0  Desg  FWD  200000  128.Nbr      Type  ­­­­­­­­­­­­­­­­ ­­­­­­­­  ­­­­­­­­­ ­­­­­­­­­­  ­­­­­­­­­­  ­­­­­­­  MST0  Altn  BLK  200000  128.21          P2p  SW­2#Sh spanning­tree int f0/20  Mst Instance     Role     Sts         Cost      Prio.

 Fa0/9. Fa0/10. Fa0/3. Fa0/12  Fa0/13. Fa0/10  Fa0/11. Gi0/2  12   VLAN0012  active    Fa0/1. Fa0/7. Fa0/8.On SW­1  SW­1(config)#Vlan 90  SW­1(config­vlan)#Remote­span  SW­1(config­vlan)#Exit  The creation of this VLAN can only be done in the global configuration mode. Fa0/16. Fa0/24  Gi0/1. Fa0/23. Fa0/11. Fa0/4  56   VLAN0056                         active    Fa0/5.  To verify the configuration:  On SW­1:  SW­1#Sh vlan brie  VLAN Name                             Status    Ports  ­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  1    default  active    Fa0/7. Note in this case we had to create the VLAN on  SW­1. Fa0/15. Fa0/13. Fa0/2  30  VLAN0030  active  34   VLAN0034                         active    Fa0/3. Gi0/2 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 41 of 55  © 2007 Narbik Kocharians. Fa0/2. Fa0/18. Fa0/4  Fa0/5. Ensure  that this VLAN is propagated to SW­2. Fa0/14. All rights reserved  . Fa0/19. because if you remember SW­2 was in VTP client mode. Fa0/16  Fa0/17. Fa0/17.  because this is the only mode that allows us to set the VLAN as remote­span. Fa0/8  Fa0/9. Fa0/18  Fa0/19. Fa0/6  90   VLAN0090  active  Ensure that this VLAN is propagated  to SW­2  On SW­2  SW­2#Sh vlan brie  VLAN Name                             Status    Ports  ­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ ­­­­­­­­­ ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  1    default  active    Fa0/1. Fa0/6. Fa0/24. Fa0/14  Fa0/15. Gi0/1. Fa0/20. Fa0/20  Fa0/23. Fa0/12.

  On SW­1  SW­1(config)#Monitor session 2 source interface F0/16  SW­1(config)#Monitor session 2 destination remote vlan 90  To verify the configuration:  On SW­1  SW­1#Show monitor session 2  Session 2  ­­­­­­­­­  Type  : Remote Source Session  Source Ports  :  Both  : Fa0/16  Dest RSPAN VLAN       : 90  On SW­2 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 42 of 55  © 2007 Narbik Kocharians. All rights reserved  .12   VLAN0012                         active  30  VLAN0030  active  34   VLAN0034                         active  56   VLAN0056                         active  90   VLAN0090  active  Ensure that this VLAN is propagated  to SW­2  On SW­1  SW­1#Show vlan remote­span  Remote SPAN VLANs  ­­­­­­­­­­­­­­­­­­­­­­­­­­­­  90 On SW­2  SW­2#Show vlan remote­span  Remote SPAN VLANs  ­­­­­­­­­­­­­­­­­­­­­­­­­­­­  90 Note VLAN 90 should be displayed as remote­span on both switches.

SW­2(config)#Monitor session 2 source remote vlan 90  SW­2(config)#Monitor session 2 destination interface F0/18  Port F0/18 is where the protocol analyzer is connected. the  led will change to amber and then green. if you look at the led on top of port F0/23. The traffic for RSPAN traverses over a user defined RSPAN VLAN (remote  vlan).  SW­1(config)#Vlan 90  SW­1(config­vlan)#Remote­span  SW­1(config­vlan)#Exit  On SW­2  SW­2(config)#Monitor session 2 source remote vlan 90  SW­2(config)#Monitor session 2 destination interface F0/18  Port F0/18 is where the protocol analyzer is connected. All rights reserved  . CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 43 of 55  © 2007 Narbik Kocharians. in this case VLAN 90. then you should identify the port that reflects  the traffic to VLAN 90 using the following commands:  On SW­1  Monitor session 2 destination remote vlan 90 reflector­port f0/23  Note port F0/23 should NOT be in use.  To verify the configuration:  On SW­2  SW­2#Sh monitor session 2  Session 2  ­­­­­­­­­  Type                                     : Remote Destination Session  Source RSPAN VLAN        : 90  Destination Ports                  : Fa0/18  Encapsulation  : Native  Ingress                        : Disabled  RSPAN extends SPAN by enabling remote monitoring of multiple switches across your  network. The SPAN traffic from port F0/16 is reflected to VLAN 90  (The RSPAN VLAN) and then forwarded over the trunk to port F0/18 an RSPAN  destination. If 3550 switches are in use.

  Sending 255.0  SW­1(config)#Ip access­list extended Deny­TFTP  SW­1(config­ext­nacl)#Permit udp any any eq 69 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 44 of 55  © 2007 Narbik Kocharians. All rights reserved  .!!!!  Success rate is 80 percent (4/5).1. the following configuration is performed on R1 and R2:  On R1  R1(config)#int f0/0  R1(config­if)#ip address 10.0 host 10.1 0.  Ø  You should configure VACL to accomplish this task.255.2 round­trip min/avg/max = 1/1/4 ms  On SW­1  SW­1(config)#Ip access­list extended R1­R2  SW­1(config­ext­nacl)#Permit ip You can use any IP addressing to test this step.0  R1(config­if)#No shut  On R2  R2(config)#int f0/0  R2(config­if)#ip address 10.  therefore.1.Task 22  You have been requested to implement the following policy on SW­1:  Ø  Hosts R1 or R2 should NOT have the ability to communicate with each other  within their VLAN.1. timeout is 2 seconds:  .  Ø  None of the hosts within any of the VLANs should have the ability to access the  TFTP server.1 255. 100­byte ICMP Echos to 10.255.2  Type escape sequence to abort.0. we should ensure that R1 can communicate with R2.0  R2(config­if)#No shut  To test the configuration:  On R1  R1#Ping  Before configuring this task.

2  Type escape sequence to abort.3 /24 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 45 of 55  © 2007 Narbik Kocharians.34.1. All rights reserved  ..1.  Success rate is 0 percent (0/5)  Task 23  Configure routers R1 and R3 using the following IP addresses:  Ø  R1 ­ F0/0 = 10.1.1..1 /24  Ø  R3 ­ F0/0 = 10.1. 100­byte ICMP Echos to 10.  Sending 5.SW­1(config)#Vlan access­map TEST 10  SW­1(config­access­map)# Match ip addr R1­R2  SW­1(config­access­map)#Action drop  SW­1(config­access­map)#Exit  SW­1(config)#Vlan access­map TEST 20  SW­1(config­access­map)#Match ip addr Deny­TFTP  SW­1(config­access­map)#Action drop  SW­1(config­access­map)#Exit  SW­1(config)#Vlan access­map TEST 30  SW­1(config­access­map)#Action forward  SW­1(config­access­map)#Exit  SW­1(config)#Vlan filter TEST vlan­list all  To Verify the configuration:  SW­1#Show vlan filter access­map TEST  VLAN Map TEST is filtering VLANs:  1­4096  SW­1#Show vlan filter vlan 12  Vlan 12 has filter TEST.12. timeout is 2 seconds:  ..2..  To test the configuration:  On R1  R1#Ping 10.1.

1.255.0  R1(config­if)#No shut  R1(config)#Ip route 0.0. Use any IP address on SW­1 to accomplish this task.0  SW­1(config­if)#No shut  A Switch Virtual Interface (SVI) represents a VLAN of switch ports as one interface  to the routing. When creating an SVI for a VLAN.  To verify the configuration:  On R1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 46 of 55  © 2007 Narbik Kocharians. All rights reserved  .  On R3  R3(config)#Interface F0/0  R3(config­if)#Ip address 34.100 is chosen as the default gateway.34.255.Configure SW­1 to route between VLAN 12 and 34 such that these routers can ping each  other.  SW­1(config)#Interface Vlan 34  SW­1(config­if)#Ip address 10.0. Only one SVI can be associated with a VLAN.0.0 0.100 255.  On R1  R1(config)#Interface F0/0  R1(config­if)#Ip address 10.0 0.12.100  On SW­1  SW­1(config)#Ip routing  The above command is required to enable IP routing.100  Note here the IP address of 255. the designated  number must match the VLAN number.0  R3(config­if)#No shut  R3(config)#Ip route 0.100 10.0  SW­1(config­if)#No shut  Note the IP address of this logical interface is used as the default gateway of the  hosts in VLAN12.255.34.12.  SW­1(config)#Interface Vlan 12  SW­1(config­if)#Ip address 255. This is necessary when  configuring Inter Vlan routing.12.

 100­byte ICMP Echos to 10. R5’s F0/1 is used to accomplish this task.  On SW­1  SW­1(config)#No Interface Vlan 12  SW­1(config)#No Interface Vlan 34  SW­1#clear mac­address­table  On SW­2  SW­2(config)#Interface F0/5  SW­2(config­if)#Switchport trunk encap Dot1q  SW­2(config­if)#Switchport mode trunk  On R5  R5(config)#Interface F0/1  R5(config­if)#No shut  R5(config­if)#Exit CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 47 of 55  © 2007 Narbik Kocharians.  Sending 5. timeout is 2 seconds:  !!!!!  Success rate is 100 percent (5/5).1.1  Type escape sequence to abort.1.34. Ensure to use an industry standard protocol for the trunk. round­trip min/avg/max = 1/2/4 ms  Task 24  Remove the configuration from the previous step and configure Inter Vlan routing  between VLANs 12 and 34.3. DO NOT use SVIs to accomplish this task.3  Type escape sequence to abort.34.  Since R5’s F0/0 is part of VLAN 56.  Sending 5. timeout is 2 seconds:  !!!!!  Success rate is 100 percent (5/5). 100­byte ICMP Echos to 10. Use the IP addressing from the previous  task.R1#Ping 10. All rights reserved  .12.1. F0/1 interface of  any router must be used to accomplish this task. round­trip min/avg/max = 1/2/4 ms  On R3  R3#Ping

100 255.1. the switch  should ignore the frames from the newly learned MAC address/es.1  Type escape sequence to abort.1. round­trip min/avg/max = 1/1/4 ms  On R3  R3#Ping 10. well if you think a little harder you will  soon realize that port security was enabled with one MAC address as the maximum  and you also configured the switch such that if this threshold is exceeded.3.0  Note this IP address will be used as the default gateway of the routers in VLAN 12  R5(config)#Int f0/1. timeout is 2 seconds:  !!!!!  Success rate is 100 percent (5/5).1.  Task 25  Configure a static MAC address on SW­1 for R6’s F0/0 interface in VLAN 56 such that  if the switch receives frames destined to R6’s MAC address.34. timeout is 2 seconds:  !!!!!  Success rate is 100 percent (5/5).34  R5(config­if)#Encap dot1q 34  R5(config­if)#Ip address 10.12.255. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 48 of 55  © 2007 Narbik Kocharians.34.1. All rights reserved  .12. 100­byte ICMP Echos to 10.255.255.  Sending 5. You should assign a MAC address of 0000.1.1.6666 to R6’s F0/0 interface.3  Type escape sequence to abort.100 255. it forwards the frames to  F0/6.255.  Sending 5. 100­byte ICMP Echos to 10.1.12  R5(config­if)#Encap dot1q 12  R5(config­if)#Ip address 10.R5(config)#Int f0/1. All you need to  do is remove all the switchport port­security commands and also remove the Macro  that was applied to the interface.0  To verify the configuration:  On R1  R1#Ping 10.6666.34. round­trip min/avg/max = 1/2/4 ms  I guess you are Not getting the same result. and things will work properly.12.

2016    DYNAMIC     Fa0/20  12    0011.2f0a.6666  STATIC      Fa0/6  Total Mac Addresses for this criterion: 1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 49 of 55  © 2007 Narbik Kocharians.2f0a.14c0  DYNAMIC     Fa0/1  34    0012.6666.203d.6666 vlan 56 interface f0/6  To verify the configuration:  SW­1#Show mac­address­table static interface f0/6  Mac Address Table  ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  Vlan  Mac Address  Type  Ports  ­­­­  ­­­­­­­­­­­­­­­­­­­­­  ­­­­­­­­­­  ­­­­­­­­  56  0000.6666 DYNAMIC     Fa0/6  Total Mac Addresses for this criterion: 7  Note when we entered the “No shut” command SW­1 learned the MAC address of  R6.c880  DYNAMIC     Fa0/2  12    0012.6666  R6(config­if)#No shut  To test this configuration:  On SW­1  SW­1#Sh mac­address­table dynamic  Mac Address Table  ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­  Vlan    Mac Address     Type              Ports  ­­­­  ­­­­­­­­­­­­­­­­­­  ­­­­­­­­­­­­­­  ­­­­­­­­  1    000f.6666.0024.6501    DYNAMIC     Fa0/19  1    001a.d9e7.On R6  R6(config)#Interface F0/0  R6(config­if)#mac­address 0000.6666.e9e0  DYNAMIC      Fa0/3  56    0000. All rights reserved  .2015    DYNAMIC     Fa0/19  1    001a.  SW­1(config)#Mac address­table static 0000.6666.34df.

  The selected template optimizes the resources in  the switch to support this level of features for CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 50 of 55  © 2007 Narbik Kocharians. the packet should be dropped.1234.5678.  Switch database management (SDM) are templates that can be configured to  allocate memory resources in the switch for a specific feature depending on what the  switch is used for in a given network.  On SW­1  SW­1(config)#Mac address­table static 0000.Task 26  Configure Unicast Mac address filtering on SW­1 such that the switch drops packets that  have a source or destination address of 0000. All rights reserved  .  A switch can be configured to use one of the following templates:  Ø  Ø  Ø  Ø  Access – Used for QOS classification and Security.5687 vlan 34 drop  Task 27  Optimize the two switches using the following policies:  Ø  SW­1 should be configured such that its memory resources in the switch are  optimized for routing.  To Verify the configuration after the reload:  On SW­1  SW­1#Show sdm prefer  The current template is "desktop routing" template.  Extended­match – Reformats routing memory space to allow 144­bit layer 3  TCAM support needed for WCCP and/or multiple VRF instances.  Routing – Used for routing  Vlan – Disables routing and sets the switch to be a layer 2 switch. If a packet is received in VLAN  34 with this MAC address as its source or destination.1234.  On SW­1  SW­1(config)#Sdm prefer routing  You must reboot the switch for the settings to take effect.

 the logical interface is created automatically.  Ø  Up to 8 links can be combined to provide more bandwidth.  EtherChannels provide the follows:  Ø  Fault­tolerant. these links should  appear to STP as a single link. the traffic should use the other link without any  interruption. therefore.  Ø  STP will not block one of the links in the bundle because to STP. high speed links between switches and routers.  Ø  With Layer 2.  This may override some of the task/s that was previously configured. All rights reserved  .  speed and etc.  Ø  With both Layer 2 and Layer 3.  Ø  The links within the bundle must have the same characteristics such as duplexing. If one of the links fails.  Ø  EtherChannel provides an automatic recovery for the loss of a link by  redistributing the traffic across the remaining link/s. the bundle looks  like a single link.  Ø  Switches can be configured to use PAgP by configuring them in AUTO or  DESIRABLE mode. none of the interfaces should be in blocking  state.  Ø  EtherChannel can be configured as layer 2 or layer 3.  number of unicast mac addresses:  3K  number of IPv4 IGMP groups + multicast routes:    1K  number of IPv4 unicast routes:  11K  number of directly­connected IPv4 hosts:  3K  number of indirect IPv4 routes:  number of IPv4 policy based routing aces:  number of IPv4/MAC qos aces:  number of IPv4/MAC security aces:  8K  512  512  1K  Task 28  Re­Configure the trunk ports using an industry standard protocol. physical interfaces must be manually assigned to  the logical interface using “channel­group” configuration command. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 51 of 55  © 2007 Narbik Kocharians.  Ø  PAgP is a Cisco proprietary protocol.8 routed interfaces and 1024 VLANs.  Ø  With Layer 3.3ad protocol. a logical interface (Port­Channel) is statically configured and all  Layer 3 configurations are performed under that interface.  Ø  EtherChannels can be configured automatically using Port aggregation protocol  (PAgP) or Link Aggregation protocol (LACP). whereas LACP is an industry standard  IEEE 802.  These two ports should NOT use any protocol to negotiate.

 In this mode the switch  will not start the negotiation process; this setting minimizes the transmission of  LACP packets.Ø  Switches can be configured to use LACP by configuring them in ACTIVE or  PASSIVE mode.  Ø  If the switches are configured in ON mode.  Ø  ACTIVE – Used in LACP. you should check to ensure that the interfaces are  configured with the same characteristics.  On Both Switches  (config)#default interface FastEthernet0/19  (config)#default interface FastEthernet0/20  (config)#Int range f0/19 ­ 20 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 52 of 55  © 2007 Narbik Kocharians. it places the interface in a passive negotiation mode; It  only responds to PAgP packets that it receives.  There are 5 modes that the switches can be configured in:  Ø  ON – Forces the interface into an EtherChannel without PAgP or LACP packets. it places the interface in a passive negotiation mode  where it only responds to LACP packets that it receives.  The following table is very important when configuring EtherChannels:  Switch one is configured as  Switch two is configured as  Will an EtherChannel  be established?  Desirable  Desirable  YES  Desirable  Auto  YES  Auto  Auto  NO  Active  Active  YES  Active  Passive  YES  Passive  Passive  NO  Before configuring EtherChannel.  both switches must be configured in ON mode for the EtherChannel to be  established. the switches will actively negotiate an EtherChannel  link. they will not exchange LACP or  PAgP packets.  Ø  AUTO – Used in PAgP. All rights reserved  .  Ø  DESIRABLE – Used in PAgP. In this mode the switch will not  start the negotiation process; this setting minimizes the transmission of PAgP  packets.  Ø  PASSIVE – Used in LACP. the switches will actively negotiate an  EtherChannel link.

616  P2p  MST02            Root  FWD 100000    128.111  On SW­1  SW­1#Show spanning­tree inter f0/19  Mst Instance     Role  Sts     Cost       Prio.  P2p  MST01            Desg  FWD 100000    128.  To verify the configuration:  On SW­1  SW­1#Show interface trunk  Port        Mode      Encapsulation  Status        Native vlan  Po1         on           802.616  P2p  SW­1#Show spanning­tree inter po1 CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 53 of 55  © 2007 Narbik Kocharians.Nbr Type  ­­­­­­­­­­­­­­­­  ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­  ­­­­­­  MST00            Desg  FWD 100000    128.Nbr Type  ­­­­­­­­­­­­­­­­  ­­­­­­  ­­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­  ­­­­­­  MST00            Desg  FWD 100000    128.616  P2p  SW­1#Show spanning­tree inter f0/20  Mst Instance     Role  Sts     Cost        Prio.12.111  Port        Vlans in spanning tree forwarding state and not pruned  Po1         1.616  P2p  MST01            Desg  FWD 100000    128. you must ensure that the interfaces in the group  are configured identical.34.30. All rights reserved  .90.616  P2p  MST02            Root  FWD 100000    128.12.1q              trunking    1  Port      Vlans allowed on trunk  Po1          1­4094  Port        Vlans allowed and active in management domain  Po1         1.90.(config­if­range)#Switchport trunk encap dot1q  (config­if­range)#Switchport mode trunk  (config­if­range)#Channel­group 1 mode on  When EtherChannels are created.

616  P2p  MST01            Root  FWD 100000    128.616  P2p  MST02            Desg   FWD 100000    128. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 54 of 55  © 2007 Narbik Kocharians.616  P2p  MST02            Root   FWD 100000    128. All rights reserved  . the port­  channel appears as a single interface.616  P2p  On SW­2  SW­2#Show spanning­tree interface f0/19  Mst Instance     Role  Sts     Cost       Prio. This task may override some of the task/s that was  previously configured.616  P2p  MST02            Desg  FWD 100000    128.616  P2p  SW­2#Show spanning­tree interface po1  Mst Instance   Role   Sts     Cost        Prio.616  P2p  MST01            Desg   FWD 100000    128.616  P2p  MST01            Root   FWD 100000    128.Nbr Type  ­­­­­­­­­­­­­­­­ ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­  ­­­­­­  MST00            Desg   FWD 100000    128.Nbr Type  ­­­­­­­­­­­­­­­­ ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­  ­­­­­­­­­­  ­­­­­­  MST00            Root   FWD 100000    128.616  P2p  MST01            Root   FWD 100000    128.Mst Instance     Role  Sts Cost           Prio.616  P2p  Note all interfaces are in forwarding state because to spanning­tree.  Task 29  Create VLAN 2006 on SW­2.  A “show etherchannel 1 detail” or “Show etherchannel summary” commands can  reveal that the interfaces are working in the bundle.Nbr Type  ­­­­­­­­­­­­­­­­  ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­  ­­­­­­  MST00  Root   FWD 100000    128.616  P2p  MST02            Desg   FWD 100000    128.616  P2p  SW­2#Show spanning­tree interface f0/20  Mst Instance     Role Sts      Cost        Prio.Nbr Type  ­­­­­­­­­­­­­­­­ ­­­­ ­­­ ­­­­­­­­­ ­­­­­­­­ ­­­­­­­­­­  ­­­­­­  MST00            Root  FWD 100000    128.

  On SW­2  SW­2(config)#Vtp mode transparent  SW­2(config)#Vlan 2006  Note.  These VLANs are NOT saved in the VLAN.34.  SW­2#Show run  Building configuration.30.2006  !  Note.. extended vlans are not created in the VLAN database and they are part of the  running/Startup config. the extended VLAN is part of the running  configuration  Task 30  Erase the startup­configuration.  Can only be configured in the global config mode.. They are part of the  running config and they can be saved to the startup config. all the VLANs and reload the switches before proceeding  to the next task. CCIE Foundation by Narbik Kocharians  Switching Lab                                          Page 55 of 55  © 2007 Narbik Kocharians.DAT.Extended­range VLANs:  Ø  Ø  Ø  Ø  Range is 1006 – 4094.56  !  vlan 90  remote­span  !  vlan 111. All rights reserved  .  !  vlan 12.  The switch must be configured in transparent mode.

Sign up to vote on this title
UsefulNot useful