Modulos en estado Unknown o Pwrdown

Si estamos esperando ver mas puertos y no salen, igual el módulo

está sin power

Switch#show module

Mod Ports Card Type Model Serial No.

--- ----- -------------------------------------- ------------------ -----------

1 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAD09040FXH

2 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAD09050BT8

5 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAD090406AF

Mod MAC addresses Hw Fw Sw Status

--- ---------------------------------- ------ ------------ ------------ -------

1 0011.bb2b.9b2c to 0011.bb2b.9b5b 2.1 Unknown Unknown PwrDown

2 0011.93d0.acb0 to 0011.93d0.acdf 2.1 12.2(14r)S5 12.2(18)SXD3 Ok

5 0011.21ba.b6c8 to 0011.21ba.b6cb 4.1 8.1(3) 12.2(18)SXD3 Ok

Mod Sub-Module Model Serial Hw Status

--- --------------------------- ------------------ ------------ ------- -------

1 Centralized Forwarding Card WS-F6700-CFC SAL09051F61 2.0 PwrDown

2 Centralized Forwarding Card WS-F6700-CFC SAL09051F5F 2.0 Ok

5 Policy Feature Card 3 WS-F6K-PFC3B SAD090407MW 1.1 Ok

5 MSFC3 Daughterboard WS-SUP720 SAD090306XN 2.2 Ok

Mod Online Diag Status

--- -------------------

1 Unknown

2 Pass

5 Pass

Para levantar un módulo que aparece en PwrDown podemos hacerlo power enable module [número de módulo]

Switch(config)#power enable module 4

Ahora pueden ocurrir tres cosas, que encienda, que cambie el estado a

Unknown ó PwrDeny o que siga en Pwrdown, si el estado es Unkown o PwrDeny

ocurre que no hay suficiente alimentación para levantar el puerto

Switch#show module

Mod Ports Card Type Model Serial No.

--- ----- -------------------------------------- ------------------ -----------

1 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45 SAL062410XB

2 6 Firewall Module WS-SVC-FWM-1 SAD0918068W

3 6 Firewall Module WS-SVC-FWM-1 SAD090709TE

5 2 Supervisor Engine 720 (Active) WS-SUP720-BASE SAD090702NV

6 2 Supervisor Engine 720 (Hot) WS-SUP720-BASE SAD085105XN

7 48 CEF720 48 port 1000mb SFP WS-X6748-SFP SAL09148J7G

9 8 Intrusion Detection System WS-SVC-IDSM-2 SAD09180065

Mod MAC addresses Hw Fw Sw Status

--- ---------------------------------- ------ ------------ ------------ -------

1 0009.1279.5ef8 to 0009.1279.5f27 6.1 5.4(2) 8.3(0.110)TE Ok

2 0013.c301.1a44 to 0013.c301.1a4b 3.0 7.2(1) 2.3(1) Ok

3 0003.e472.940c to 0003.e472.9413 3.0 7.2(1) 1.1(4) Ok

5 0011.92e7.8a60 to 0011.92e7.8a63 3.2 8.1(3) 12.2(17d)SXB Ok

6 0011.21ba.9c4c to 0011.21ba.9c4f 3.2 8.1(3) 12.2(17d)SXB Ok

7 0013.7f97.d210 to 0013.7f97.d23f 1.4 Unknown Unknown PwrDeny

9 0013.8038.063c to 0013.8038.0643 5.0 Unknown Unknown PwrDeny

Mod Sub-Module Model Serial Hw Status

--- --------------------------- ------------------ ------------ ------- -------

1 Inline Power Module WS-F6K-PWR 1.0 Ok

5 Policy Feature Card 3 WS-F6K-PFC3A SAD0906076P 2.4 Ok

5 MSFC3 Daughterboard WS-SUP720 SAD0905052Z 2.4 Ok

6 Policy Feature Card 3 WS-F6K-PFC3A SAD08490B95 2.4 Ok

6 MSFC3 Daughterboard WS-SUP720 SAD0850062A 2.4 Ok

7 Centralized Forwarding Card WS-F6700-CFC SAL090607GH 2.0 PwrDeny

Mod Online Diag Status

--- -------------------

1 Pass

2 Pass

3 Pass

5 Pass

6 Pass

7 Unknown

9 Unknown

Si el estado es PwrDown lo que ocurre es que no reconoce ese hardware, al hacer

un show log despues de dar power al módulo habrá un output que

indicará que el hardware es incompatible con el chasis.

Si creemos que un módulo se ha quedado "colgado" lo podemos reiniciar.

Switch#hw-module module 4 reset

Proceed with reload of module?[confirm]

% reset issued for module 4

Switch#

*Jun 18 19:31:58: %C6KPWR-SP-4-DISABLED: power to module in slot 4 set off (Reset)

*Jun 18 19:32:43: %DIAG-SP-6-RUN_COMPLETE: Module 4: Running Complete Diagnostics...

*Jun 18 19:33:01: %LINK-3-UPDOWN: Interface FastEthernet4/1, changed state to down

*Jun 18 19:33:01: %LINK-3-UPDOWN: Interface FastEthernet4/2, changed state to down

*Jun 18 19:33:01: %LINK-3-UPDOWN: Interface FastEthernet4/3, changed state to down

*Jun 18 19:33:01: %LINK-3-UPDOWN: Interface FastEthernet4/4, changed state to down

*Jun 18 19:33:01: %LINK-3-UPDOWN: Interface FastEthernet4/10, changed state to down

*Jun 18 19:33:01: %LINK-3-UPDOWN: Interface FastEthernet4/47, changed state to down

*Jun 18 19:33:01: %LINK-3-UPDOWN: Interface FastEthernet4/48, changed state to down

*Jun 18 19:33:00: %DIAG-SP-6-DIAG_OK: Module 4: Passed Online Diagnostics

*Jun 18 19:33:02: %OIR-SP-6-INSCARD: Card inserted in slot 4, interfaces are now online

Switch#

Actualizar IOS 3750 switches en stack

Los 3 pasos generales para actualizar las IOS de un stack de switches:

1. Copiar la IOS del servidor tftp al switch que actúa como MASTER del stack
2. Descomprimir la IOS en la memoria flash de cada uno de los switches del stack
3. Configurar la variable boot

Imagen de los switches en stack:

 

DESCARGAR LA IMAGEN A LA FLASH. Comprobar que el switch MASTER tiene al menos el DOBLE del espacio de lo que ocupa la imagen. Este espacio es necesario para almacenar la copia de la IOS y para descomprimir la imagen en cada una de las flash de los switches.

1. 3750−stack#copy tftp: flash:
   Address or name of remote host []? 10.10.10.10
   Source filename []? c3750−advipservicesk9−tar.122−25.SEE1.tar
   Destination filename [c3750−advipservicesk9−tar.122−25.SEE1.tar]?
   Accessing tftp://10.10.10.10/c3750−advipservicesk9−tar.122−25.SEE1.tar...
   Loading c3750−advipservicesk9−tar.122−25.SEE1.tar from 10.10.10.10 (via Vlan10
   ): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

DESCOMPRIMIR LA IOS EN LA FLASH. Descomprimir la imagen en cada uno de los swithces del stack

•  3750−stack#archive tar /xtract c3750−advipservicesk9−tar.122−25.SEE1.tar flash1:
•  3750−stack#archive tar /xtract c3750−advipservicesk9−tar.122−25.SEE1.tar flash2:
•  3750−stack#archive tar /xtract c3750−advipservicesk9−tar.122−25.SEE1.tar flash3:

CONFIGURAR LA VARIABLE BOOT
Una vez descomprimida la imagen es necesario configurar la variable boot para que apunte al archivo .bin
El comando archive tar /xtract habra creado un directorio dentro de la flash:

3750−stack#dir
Directory of flash:/
2 drwx192 Mar 11 1993 00:31:05 +00:00 c3750−advipservicesk9−mz.122−25.SEE1

3750−stack#dir flash:c3750−advipservicesk9−mz.122−25.SEE1
Directory of flash:/c3750−advipservicesk9−mz.122−25.SEE1/
3 −rwx 8169055 Mar 11 1993 00:29:52 +00:00 c3750−advipservicesk9−mz.1
22−25.SEE1.bin
4 drwx 4160 Mar 11 1993 00:30:29 +00:00 html
454 −rwx 709 Mar 11 1993 00:31:05 +00:00 info
 Configuramos la variable boot system y guardamos la configuracion:

3750−stack(config)#boot system switch all flash:/c3750−
advipservicesk9−mz.122−25.SEE1/c3750−advipservicesk9−mz.122−25.SEE1.bin
3750−stack(config)#exit
3750−stack#write memory

Despues de hacer un reload comprobamos que la IOS se actualizó:

3750−stack#show version

Switch Ports Model SW Version SW Image
−−−−−− −−−−− −−−−− −−−−−−−−−− −−−−−−−−−−
* 1 28 WS−C3750G−24PS 12.2(25)SEE1 C3750−ADVIPSERVICESK
2 52 WS−C3750G−48TS 12.2(25)SEE1 C3750−ADVIPSERVICESK
3 26 WS−C3750−24TS 12.2(25)SEE1 C3750−ADVIPSERVICESK

Gestion de switch 3com del que no tienes dirección IP

Para los que tienen en su red un switch 3Com y no tienen puesta una ip de gestión, existe una solución. Si no hay servidor dhcp en la red el 3Com se autoasignará una ip lo que en Microsoft se llama dirección APIPA (Automatic Private IP Addressing) , para calcular la ip que utilizará necesitamos los 4 ultimos dígitos de la mac.4B17 por ejemplo tendria la ip 168.254.75.23  siendo 4B = 75 y 17 = 23, convirtiendo de hexadecimal a decimal. Ya podríamos hacer un telnet al equipo de al lado poniendonos una loopback en esa red y haciendole un telent. Las claves suelen ser security/security o manager/manager

MST Multiple spanning-tree

La principal ventaja de MST es que crea una instancia de spanning-tree para un grupo de vlans que nosotros definamos.

Comparado con PVST o rapid PVST que crean una instancia por cada vlan. En switches con un alto numero de vlans , mantener una instancia de STP puede afectar al rendimiento. Con MST disminuye el numero de root bridges, root ports, designated ports, BPDUS....

Los switches en una misma region comparten la misma configuracion, tienen las mismas vlans mapeadas para cada instancia.

Cuando se conecta una region MST con una region no MST lo que se ve es como si toda la ragion MST fuera un solo switch. Para ello MST corre una instancia 0 llamada IST (Internal Spanning Tree) por compatibilidad con STP fuera de la region.

La configuracion es sencilla ya que como hemos dicho, todos los switches de la region tendran las vlans mapeadas a la misma instancia:

(config)# spanning-tree mode mst
(config)# spanning-tree mst configuration
(config-mst)# name NOMBRE_REGION
(config-mst)# revision NUMERO_REVISION
(config-mst)# instance number vlan vlan_range
(config-mst)# end

 Ahora veremos un ejemplo para que quede mas claro:

Vamos a crear una instancia distinta para las vlans de datos y voz, el root bridge para la vlan de datos sera el distribucion1 y el root bridge para la vlan de voz sera distribucion2 para balancear trafico.

La configuracion en los switches de distribucion seria la siguiente:

Distribution1 Configuration
Distribution1(config)# spanning-tree mst configuration
Distribution1(config-mst)# name region1
Distribution1(config-mst)# revision 10
Distribution1(config-mst)# instance 1 vlan 10, 30, 100
Distribution1(config-mst)# instance 2 vlan 20, 40, 200
Distribution1(config-mst)# exit
Distribution1(config)# spanning-tree mst 0-1 root primary
Distribution1(config)# spanning-tree mst 2 root secondary

Distribution2 Configuration
Distribution2(config)# spanning-tree mst configuration
Distribution2(config-mst)# name region1
Distribution2(config-mst)# revision 10
Distribution2(config-mst)# instance 1 vlan 10, 30, 100
Distribution2(config-mst)# instance 2 vlan 20, 40, 200
Distribution2(config-mst)# exit
Distribution2(config)# spanning-tree mst 2 root primary
Distribution2(config)# spanning-tree mst 0-1 root secondary

La configuracion en los switches de acceso1, acceso2, servicios1 y servicio2 seria la misma:

Services1(config)#spanning-tree mst configuration
Services1(config-mst)# name region1
Services1(config-mst)# revision 10
Services1(config-mst)# instance 1 vlan 10, 30, 100
Services1(config-mst)# instance 2 vlan 20, 40, 200
Services1(config-mst)#exit

Cargar IOS router cisco por tftp

Necesitamos un pc con cable de consola y un cable de red cruzado si nos conectamos directos al router.

Necesitamos un servidor tftp, si no tenemos ninguno para windows existe éste gratuito el tftp32 es gratis y funciona bastante bien. Dejais el archivo .bin dentro de la carpeta que tengais el tftp32 y lo arrancais.

IP_ADDRESS=ip de tu pc

IP_SUBNET_MASK=mascara de red

DEFAULT_GATEWAY=esto es indiferente

TFTP_SERVER=ip del pc que tenga el server tftp

TFTP_FILE=/nombreios.bin

tftpdnld

y comenzará la transferencia de archivos hacia el router. Si teneis una imagen corrupta en la flash y no os entra una nueva, podeis formatear la flash, format flash: y ya entrará la que esté diseñada para vuestro modelo, tamaño de flash y de ram.

802.1X EAP WIFI Overview

El protocolo 802.1X standard (Extensible Authentication Protocol EAP) fue desarrollado por el IEEE.
Este protocolo inicialmente permitía que los switches pudiesen realizar el control de acceso a la red basandose en el puerto.

Este protocolo se adoptó rapidamente para controlar el acceso a redes inhalambricas.

Cisco, Microsoft y otros vendors han desarrollado distintas variaciones de EAP.

Los principales beneficios de EAP:

• El protocolo RADIUS junto con un servidor RADIUS son utilizados para la autenticacion centralizada. Los usuarios son autenticados basados en usernames y passwords almacenados en el directorio activo. Un servidor RADIUS o un servidor ACS de Cisco puede utilizar la base de datos del directorio activo para realizar la autenticacion.
• Se realiza una autenticacion mutua entre el cliente y el servidor de autenticacion.
• 802.1X puede utilizar diferentes algoritmos de encriptacion como AES, WPA TKIP, WEP(no recomendado)
• Sin intervencion del usuario puede usar claves dinamicas en lugar de estaticas como WEP
• Soporta roaming

Componentes requeridos para la autenticacion 802.1X:

• Cliente soporte EAP (suplicante)
• Access Point soporte 802.1X (autenticador)
• Servidor Radius soporte EAP (Servidor de autenticacion)

Esquema:

Servidor DHCP con router Cisco

¿Que es dhcp?
DHCP significa Dynamic Host Configuration Protocol, es un protocolo para que una máquina que no tenga configuración ip

¿Que información puedo mandar mediante dhcp?
No solo la ip y la máscara de red, si no la puerta de enlace, servidores dns, servidor WINS, Ip del call manager...

La teoria
Cuando conectamos un pc y no tiene ip, mandará un broadcast capa 2 para buscar una ip, es decir mandara un dhcp discover, una vez el servidor o los servidores dhcp escuchen el discover el qeu quiera le mandara un dhcp offer diciendo quienes son y que tienen ips para el, el primer offer que escuche el pc le mandara un request de ip y el servidor dhcp le devuelve un ack con la ip puerta de enlace y los parámetros configurados

¿Como se configura en un router cisco?
1º Crear un nuevo pool y asignarle la red de la cual queremos dar ips y debemos tener una interfaz del router en la misma red de la cual queramos dar ips.


ip dhcp pool 10
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server 80.58.0.33

exit

con ésto empezaremos a dar ips de la red 192.160.10.0/24, no olvidemos excluir la ip del router (aunque el servidor dns primero comprueba que esa ip esté libre)


ip dhcp excluded-address 192.168.10.1

Para ver que ips a ha dado podemos usar

Router#show ip dhcp binding

Bindings from all pools not associated with VRF:

IP address          Client-ID/              Lease expiration        Type

                    Hardware address/

                    User name

192.168.10.2        0500.2197.82bc.08       Jun 19 2009 01:24 PM    Automatic

Para ver el depurado de como se da una ip o si el pool esta lleno podemos usar 

debug ip dhcp server events

Y para ver las ips del pool que se hayan intentado dar pero que ya estén en uso (puestas a mano)¨

Router#show ip dhcp conflict

IP address        Detection method   Detection time          VRF


Las Option
En el pool se puede configurar el comando option seguido de un número y luego un valor, voy a poner los usos mas comunes
option 150 ip   -> direccion del call manager
option 003 ip  -> direccion puerta de enlace (igual que el comando default-router)
option 004 ip  -> direccion servidor NTP
option 005 ip -> servidor dns (igual que dns-server)

Configuración QoS en un switch Congestion Management

Primero vamos a ver que puede hacer el switch, poniendo de ejemplo el 3550 el fabricante nos dice ésto

1P3Q2T
1P = 1 Cola de prioridad
3Q = 3 Colas normales
2T = 2 Drop Thresholds (limites de descartes)

En el swith no se puede hacer marcado (en general) vamos a ver como se aplica "Congestion Management" según el marcado que tengamos. Tratamos de aprovechar el marcado capa 2 cos y capa 3 dscp relacionándolos. (Éstos comandos varían según el switch)

mls qos map cos-dscp 0 8 16 26 32 46 48 56

Con ello relacionamos cos 0 con dscp 0, cos 1 con dscp 8 y así sucesivamente.
se puede comprobar (en algún switch) el mapeo del cos con el dscp con el comando:

show wrr-qos cos map

Ahora tenemos que ver como repartirmos los marcados en las cuatro colas que tenemos (por interface)

wrr-queue cos-map 1 0 1 
 wrr-queue cos-map 2 2 
 wrr-queue cos-map 3 3 4 6 7 
 wrr-queue cos-map 4 5

Para el puerto en el que lo tengamos configurado quedará así
Cola 1 dscp o cos 0 y 1
Cola 2 dscp o cos 2
Cola 3 dscp o cos 3, 4, 6 y 7
Cola 4 dscp o cos 5

Y ahora vamos a darle prioridad a cada cola

wrr-queue bandwidth 5 10 25 50

Lo que significa que de cada 90 paquetes
5 a la cola 1
10 a la cola 2
25 a la cola 3
50 a la cola 4
El comando para comprobar esto es:

show wrr-queue bandwidth

Si queremos hacer uso de la cola de prioridad con prioridad absoluta lo haríamos así

wrr-queue bandwidt 5 10 25 0

la cola 4 siempre envía si tiene tráfico (cola de prioridad valor 0)
del resto lo repartimos de cada 50 paquetes (sin contar la cola de máxima prioridad) 5 a la 1, 10 a la 2 y 25 a la 3.