Guia Administración Equipos Cisco 500 Series

GUA DE
ADMINISTRACIN
Gua de Administracin para Cisco Small Business

500 Series Stackable Managed Switch
Resumen
Captulo 1: Introduccin
Inicio de la utilidad de configuracin de switch basada en la Web
9
9
Configuracin de switch de inicio rpido
13
Convenciones para la asignacin de nombres a las interfaces
14
Diferencias entre dispositivos Sx500 y SG500X
15
Navegacin con ventanas
16
Captulo 2: Visualizacin de estadsticas
20
Visualizacin de interfaces Ethernet
20
Visualizacin de estadsticas Etherlike
22
Visualizacin de estadsticas de GVRP
23
Visualizacin de estadsticas de EAP 802.1X
25
Visualizacin de la utilizacin de la TCAM
26
Administracin de RMON
27
Captulo 3: Administracin de los registros del sistema
36
Configuracin de los valores del registro del sistema
36
Configuracin de los valores de registro remoto
38
Visualizacin de los registros de memoria
39
Captulo 4: Administracin de archivos del sistema
41
Tipos de archivos de sistema
41
Actualizacin/copia de seguridad del firmware/idioma
44
Seleccin de la imagen activa
49
Descarga o realizacin de copia de seguridad de una configuracin

o un registro
50
Ver propiedades de archivos de configuracin
55
Copiado de archivos de configuracin
56
Configuracin automtica DHCP
58
Gua de Administracin para Cisco Small Business 500 Series Stackable Managed Switch
Resumen
Captulo 5: Administracin de pilas
64
Informacin general
64
Tipos de unidades en pila
66
Modo de pila
66
Puertos de pila
68
Topologa de pila
71
Asignacin de ID de unidad
73
Proceso de seleccin de unidad maestro
75
Cambios de pila y asignacin de ID de unidad
76
Fallo de la unidad en la pila
78
Sincronizacin automtica del software en pila
80
Modo de sistema y administracin de pilas
81
Captulo 6: Informacin general administrativa
84
Modelos de switch
84
Informacin del sistema
86
Configuracin de consola (Soporte de velocidad autobaud)
90
Reinicio del switch
91
Asignacin de TCAM
92
Monitoreo del estado del ventilador y la temperatura
95
Definicin de la caducidad de sesin por inactividad
96
Ping a un host
96
Traceroute
98
Captulo 7: Hora del sistema
100
Opciones de la hora del sistema
101
Modos SNTP
102
Configuracin de la hora del sistema
103
Resumen
Captulo 8: Administracin del diagnstico de dispositivos
113
Prueba de puertos de cobre
113
Visualizacin del estado del mdulo ptico
115
Configuracin de duplicacin de puertos y VLAN
117
Visualizacin de la utilizacin de la CPU y tecnologa de ncleo seguro
119
Captulo 9: Configuracin de Discovery
120
Configuracin de Bonjour Discovery
120
LLDP y CDP
122
Configuracin de LLDP
124
Configuracin de CDP
145
Captulo 10: Administracin de puertos
155
Configuracin de puertos
155
Ajuste de la configuracin bsica de los puertos
156
Configuracin de la aadidura de enlaces
160
Configuracin de Green Ethernet
167
Captulo 11: Smartports
175
Informacin general
176
Qu es un Smartport?
177
Tipos de Smartport
177
Macros de Smartport
180
Falla de macro y operacin de reinicio
181
Cmo funciona la funcin Smartport
182
Smartport automtico
183
Gestin de errores
187
Configuracin predeterminada
187
Relaciones con otras funciones y compatibilidad hacia atrs
187
Tareas comunes de Smartport
188
Resumen
Configuracin de Smartport con interfaz basada en Web
190
Macros de Smartport incorporados
196
Captulo 12: Administracin de dispositivos Power over Ethernet
208
PoE en el switch
208
Configuracin de las propiedades de PoE
211
Configuracin de la alimentacin PoE, la prioridad y la clasificacin
213
Captulo 13: Administracin de VLAN
216
VLAN
216
Configuracin de los valores de la VLAN predeterminada
220
Crear VLAN
221
Configuracin de los valores de las interfaces de VLAN
223
Definicin de afiliacin VLAN
224
Configuracin del GVRP
228
Grupos VLAN
229
VLAN de voz
234
VLAN de TV de multidifusin de puerto de acceso
248
VLAN de TV de multidifusin de puerto de cliente
252
Captulo 14: Configuracin del protocolo del rbol de expansin
255
Tipos de STP
255
Establecimiento del estado y configuracin global del STP
256
Definicin de la configuracin de interfaz del rbol de expansin
258
Establecimiento de la configuracin del rbol de expansin rpido
261
rbol de expansin mltiple
264
Definicin de las propiedades de MSTP
264
Asignacin de VLAN a una instancia de MSTP
266
Definicin de la configuracin de instancias de MSTP
267
Definicin de la configuracin de la interfaz de MSTP
268
Resumen
Captulo 15: Administracin de tablas de direcciones MAC
271
Configuracin de direcciones MAC estticas
272
Administracin de direcciones MAC dinmicas
273
Definicin de direcciones MAC reservadas
274
Captulo 16: Configuracin del reenvo de multidifusin
276
Reenvo de multidifusin
276
Definicin de las propiedades de multidifusin
280
Aadidura de direccin MAC de grupo
282
Aadidura de direcciones IP de grupo de multidifusin
284
Configuracin de la indagacin IGMP
286
Indagacin MLD
289
Consulta de grupo de multidifusin IP IGMP/MLD
291
Definicin de puertos de router de multidifusin
293
Definicin del reenvo de toda la multidifusin
294
Definicin de la configuracin de multidifusin sin registrar
295
Captulo 17: Configuracin de informacin de IP
296
Administracin e interfaces IP
296
Definicin de rutas IPv4
314
Configuracin de ARP
315
Habilitacin de ARP Proxy
317
Definicin de retransmisin UDP
318
Sistemas de nombres de dominio
318
Captulo 18: Configuracin de la seguridad
322
Definicin de usuarios
323
Configuracin de TACACS+
327
Configuracin de RADIUS
329
Administracin de claves
332
Resumen
Configuracin de la autenticacin de acceso a administracin
333
Definicin del mtodo de acceso a administracin
334
Configuracin de servicios TCP/UDP
340
Definicin del control de saturacin
342
Configuracin de la seguridad de puertos
343
Configuracin de 802.1X
346
Definicin de intervalos de tiempo
357
Prevencin de negacin de servicio
357
Proteccin de la IP de origen
364
Inspeccin de ARP dinmica
369
Captulo 19: Uso de la funcin cliente SSH
376
Copia segura (SCP) y SSH
376
Mtodos de proteccin
377
Autenticacin del servidor SSH
379
Autenticacin del cliente SSH
380
Antes de empezar
381
Tareas comunes
381
Configuracin del cliente SSH a travs de la GUI
383
Captulo 20: Uso de la funcin del servidor SSH
387
Informacin general
387
Tareas comunes
388
Pginas de configuracin del servidor SSH
389
Captulo 21: Uso de la funcin SSL
391
Informacin general de SSL
391
Configuracin y valores predeterminados
392
Configuracin de la autenticacin del servidor SSL
392
Resumen
Captulo 22: Datos confidenciales seguros
395
Introduccin
395
Reglas SSD
396
Propiedades SSD
402
Archivos de configuracin
405
Canales de administracin de SSD
411
Men CLI y recuperacin de contrasea
412
Configuracin de SSD
412
Captulo 23: Configuracin de DHCP
416
Indagacin de DHCP
416
Retransmisin DHCP
417
Opcin 82
417
Interacciones entre Indagacin DHCP, Retransmisin DHCP

y Opcin 82
418
Base de datos de vinculacin de indagacin de DHCP
423
Configuracin DHCP
427
Captulo 24: Control de acceso
431
Listas de control de acceso
431
Definicin de ACL basadas en MAC
434
ACL basadas en IPv4
436
ACL basadas en IPv6
441
Definicin de vinculacin de ACL
445
Captulo 25: Configuracin de calidad de servicio
447
Funciones y componentes de QoS
448
Configuracin de QoS - General
451
Modo bsico de QoS
461
Modo avanzado de QoS
464
Administracin de estadsticas de QoS
476
Resumen
Captulo 26: Configuracin de SNMP
481
Flujos de trabajo y versiones de SNMP
481
ID de objeto de modelos
484
ID de motor de SNMP
486
Configuracin de las vistas SNMP
488
Creacin de grupos SNMP
489
Administracin de usuarios SNMP
491
Definicin de comunidades SNMP
493
Definicin de la configuracin de trampas
495
Receptores de una notificacin
496
Filtros de notificaciones SNMP
500
Captulo 27: RIP
501
Informacin general
501
Cmo funciona RIP en el dispositivo
502
Configuracin de RIP
508
Captulo 28: VRRP
518
Informacin general
518
Elementos configurables de VRRP
522
Configuracin de VRRP
526
1
Introduccin
Esta seccin contiene una introduccin a la configuracin basada en Web y

abarca los siguientes temas:
Inicio de la utilidad de configuracin de switch basada en la Web
Inicio de la utilidad de configuracin de switch basada en la

Web
En esta seccin se describe cmo navegar por la utilidad de configuracin de
switch basada en la Web.
Si est usando un bloqueador de ventanas emergentes, asegrese de
desactivarlo.
Los exploradores tienen las siguientes restricciones:
Si est usando versiones anteriores de Internet Explorer, no puede usar

directamente una direccin IPv6 para acceder al switch. Sin embargo,
puede usar el servidor DNS (del ingls, Domain Name System, Sistema de
nombre de dominio) para crear un nombre de dominio que contenga la
direccin IPv6 y, a continuacin, utilizar ese nombre de dominio en la barra
de direcciones en lugar de la direccin IPv6.
Si tiene varias interfaces IPv6 en su estacin de administracin, use la

direccin IPv6 global en lugar de la direccin IPv6 local de enlace para
acceder al switch desde el explorador.
Introduccin
Inicio de la utilidad de configuracin

Para abrir la utilidad de configuracin basada en la Web:
PASO 1 Abra un explorador web.
PASO 2 Ingrese la direccin IP del switch que est configurando en la barra de
direcciones en el explorador y luego presione Entrar. Se abre la pgina Iniciar
sesin
NOTA Cuando el switch usa la direccin IP predeterminada de fbrica 192.168.1.254, el
indicador LED de alimentacin parpadea continuamente. Cuando el switch usa una

direccin IP asignada por DHCP, o una direccin IP esttica configurada por el
administrador, el indicador LED de alimentacin permanece encendido.
Inicio de sesin
El nombre de usuario predeterminado es cisco y la contrasea predeterminada es
cisco. La primera vez que inicie sesin con el nombre de usuario y la contrasea
predeterminados, deber ingresar una nueva contrasea.
NOTA Si no ha definido un idioma para la Interfaz grfica para el usuario (GUI), el idioma
de la pgina de inicio de sesin estar determinado por el idioma que requiera el

navegador y los idiomas configurados en el switch. Por ejemplo, si el navegador
requiere chino y este idioma se ha cargado en el switch, la pgina de inicio de
sesin estar automticamente en chino. Si no se ha cargado tal idioma al switch,
la pgina de inicio de sesin se mostrar en ingls.
Los idiomas cargados al switch poseen un cdigo de idioma y pas (en-US, en-GB,
etctera). Para que la pgina de inicio de sesin se vea automticamente en un
idioma determinado, segn los requisitos del navegador, tanto el idioma como el
cdigo de pas de la solicitud del navegador deben coincidir con el idioma
cargado en el switch. Si la solicitud del navegador posee nicamente el cdigo de
idioma sin el cdigo de pas (por ejemplo: fr), se tomar el primer idioma con un
cdigo de idioma que coincida (sin cdigo de pas que coincida, por ejemplo:
fr_CA).
Para iniciar sesin en la utilidad de configuracin de dispositivos:
PASO 1 Introduzca el nombre de usuario y la contrasea. La contrasea puede contener
hasta 64 caracteres ASCII. Las reglas de complejidad de la contrasea se
10
Introduccin
describen en la seccin Configuracin de reglas de complejidad de la

contrasea del captulo Configuracin de la seguridad.
PASO 2 Si no est usando el ingls, seleccione el idioma que desea en el men
desplegable Idioma. Para aadir un idioma nuevo al switch o actualizar el idioma

actual, consulte la seccin Actualizacin/respaldo de firmware/idioma.
PASO 3 Si esta es la primera vez que inicia sesin con el ID de usuario predeterminado
(cisco) y la contrasea predeterminada (cisco) o su contrasea ha caducado, se

abre la pgina Cambiar contrasea. Para obtener ms informacin, consulte
Vencimiento de contrasea.
PASO 4 Seleccione si desea Deshabilitar aplicacin de complejidad de la contrasea o
no. Para obtener ms informacin sobre la complejidad de la contrasea, consulte

la seccin Configuracin de reglas de complejidad de la contrasea.
PASO 5 Ingrese la contrasea y haga clic en Aplicar.
Cuando el intento de inicio de sesin se realiza correctamente, se abre la pgina

Introduccin.
En caso de que haya ingresado un nombre de usuario o una contrasea incorrecta,
aparecer un mensaje de error y la pgina Iniciar sesin permanecer abierta en
pantalla.
Seleccione No mostrar esta pgina en el inicio de sesin para impedir que la
pgina Introduccin se muestre cada vez que inicie sesin en el sistema. Si
selecciona esta opcin, se abre la pgina Resumen del sistema en lugar de la
pgina Introduccin.
HTTP/HTTPS
Puede abrir una sesin HTTP (no segura) al hacer clic en Iniciar sesin, o bien
puede abrir una sesin HTTPS (segura) al hacer clic en Explorador seguro
(HTTPS). Se le pedir que apruebe el inicio de sesin con una clave RSA
predeterminada y la sesin HTTPS se abrir.
Para obtener informacin sobre la configuracin de HTTP, consulte la seccin
Configuracin de la autenticacin del servidor SSL.
11
Introduccin
Vencimiento de contrasea
Se muestra la pgina Nueva contrasea :
La primera vez que accede al switch con el nombre de usuario cisco y la

contrasea cisco predeterminados. Esta pgina lo obliga a reemplazar la
contrasea predeterminada de fbrica.
Cuando la contrasea vence, esta pgina lo obliga a seleccionar una

contrasea nueva.
Cierre de sesin
De forma predeterminada, la aplicacin cierra sesin despus de diez minutos de
inactividad. Usted puede cambiar este valor predeterminado tal como se describe
en la seccin Definicin de la Caducidad de sesin por inactividad en el captulo
Informacin y operaciones administrativas generales.
PRECAUCIN A menos que la configuracin en ejecucin se copie en la configuracin de inicio,
si se reinicia el switch se perdern todos los cambios realizados desde la ltima

vez que se guard el archivo. Guarde la configuracin en ejecucin en la
configuracin de inicio antes de cerrar la sesin, a fin de conservar los cambios que
hizo durante esta sesin.
Una X roja intermitente a la izquierda del enlace de la aplicacin Guardar indica
que los cambios en la configuracin en ejecucin an no se han guardado en el
archivo de configuracin de inicio. La intermitencia se puede deshabilitar al hacer
clic en el botn Deshabilitar Guardar cono intermitente en la pgina Copiar/
guardar configuracin.
Si el switch detecta automticamente un dispositivo, por ejemplo, un telfono IP
(consulte la seccin Captulo 11, Qu es un Smartport?), configura el puerto
correctamente para el dispositivo. Los comandos de configuracin se escriben en
el archivo Configuracin en ejecucin. Esto hace que el cono Guardar comience a
parpadear cuando el usuario se conecta, aunque el usuario no haya hecho ninguna
modificacin en la configuracin.
Cuando hace clic en Guardar, se muestra la pgina Copiar/guardar
configuracin. Para guardar el archivo Configuracin en ejecucin, cpielo en el
archivo de configuracin de inicio. Luego de guardarlo, el cono de la X de color
rojo y el enlace de aplicacin Guardar ya no se muestran.
12
Introduccin
Para cerrar sesin, haga clic en Cerrar sesin en la esquina superior derecha de
cualquier pgina. El sistema cierra la sesin del switch.
Cuando se agota el tiempo de espera o usted cierra sesin intencionalmente, se
muestra un mensaje y se abre la pgina Iniciar sesin, con un mensaje que indica
el estado de sesin cerrada. Despus de iniciar sesin, la aplicacin vuelve a la
pgina inicial.
La pgina inicial que se muestra depende de la opcin "No mostrar esta pgina
durante el inicio" en la pgina Introduccin. Si no seleccion esta opcin, la pgina
inicial es la pgina Introduccin. Si seleccion esta opcin, la pgina inicial es la
pgina Resumen del sistema.

Para simplificar la configuracin del switch a travs de la navegacin rpida, la
pgina Introduccin proporciona enlaces a las pginas que se utilizan
habitualmente.
Enlaces a la pgina de introduccin

Categora
Nombre del enlace

(en la pgina)
Pgina vinculada
Configuracin
inicial
Cambiar el modo de sistema y

la administracin de pilas
Pgina Modo de sistema y
Cambiar servicios y
aplicaciones de
administracin
Pgina Servicios TCP/UDP
Cambiar direccin IP del

dispositivo
Pgina Interfaz IPv4
Crear VLAN
Pgina Crear VLAN
Configurar los valores del

puerto
Pgina Configuracin de
Resumen del sistema
Pgina Resumen del sistema
Estadsticas del puerto
Pgina Interfaz
Estadsticas RMON
Pgina Estadsticas
Estado del
dispositivo
administracin de pilas
puertos
13
Introduccin
Enlaces a la pgina de introduccin (continuacin)

Categora
Acceso
rpido
Nombre del enlace

(en la pgina)
Pgina vinculada
Ver registro
Pgina Memoria RAM
Cambiar contrasea del

dispositivo
Pgina Cuentas de usuario
Actualizar software del

dispositivo
Pgina Actualizacin/copia de
seguridad del firmware/

idioma
PginaDescarga/actualizacin
Configuracin del dispositivo

de copia de seguridad
de configuracin/registro
Crear ACL basada en MAC
Pgina ACL basada en MAC
Crear ACL basada en IP
Pgina ACL basada en IPv4
Configurar QoS
Pgina Propiedades de QoS
Configurar duplicacin de
puertos
Pgina Duplicacin de puerto
y VLAN
En la pgina de introduccin hay dos vnculos activos que lo llevan a las pginas
web de Cisco para ofrecerle ms informacin. Al hacer clic en el vnculo
Asistencia tcnica ingresa a la pgina de asistencia tcnica del producto para
switch y al hacer clic en el vnculo Foros, ingresa a la pgina de Comunidad de
asistencia tcnica de Small Business.

Dentro de la GUI, las interfaces se designan mediante la concatenacin de los
siguientes elementos:
Tipo de interfaz: En diversos tipos de dispositivos se encuentran los

siguientes tipos de interfaces:
-
Fast Ethernet (10/100 bits): aparecen como FE.
Puertos Gigabit Ethernet (10/100/1000 bits): aparecen como GE.
Puertos de diez Gigabit Ethernet (10000 bits): aparecen como XG.
LAG (Canal de puerto): aparecen como LAG.
14
Introduccin
VLAN: aparecen como VLAN.
Tnel: aparecen como Tnel.
Nmero de unidad: unidad en la pila. En modelos independientes siempre

es 1.
Nmero de ranura: el nmero de ranura es 1 o 2. El nmero 1 identifica un

dispositivo SG500 o SG500X. El nmero 2 identifica un SF500.
Nmero de interfaz Puerto, LAG, tnel o ID de VLAN

Esta gua es vlida para dispositivos Sx500 y SG500X. Se presentan notas
cuando una funcin es relevante para uno de los dispositivos y no para ambos.
A continuacin se resumen las diferencias entre los dos dispositivos:
Las funciones RIP y VRRP son compatibles nicamente con dispositivos

SG500X.
Tamao de TCAM, consulte la seccin Visualizacin de la utilizacin de la

TCAM.
Modo del sistema. Los dispositivos Sx500 pueden configurarse para que se
ejecuten en modos de capa 2 o capa 3 del sistema. Los dispositivos
SG500X siempre se ejecutan en modos para capa 3 de sistema.
Los puertos de pila son distintos. Consulte Puertos de pila.
La disponibilidad de velocidad de los puertos por tipo de cable es distinta

en ambos dispositivos. Consulte Tipos de cables.
La habilitacin de enrutamiento IPv4 se realiza de distinta forma para los

dos dispositivos, a saber:
-
SG500X: el enrutamiento IPv4 debe habilitarse desde la pgina Interfaz

IPv4.
Sx500: cuando el dispositivo cambia modo para capa 2 a capa 3 del

sistema, el enrutamiento IPv4 se habilita de forma automtica.
15
Introduccin

En esta seccin se describen las funciones de la utilidad de configuracin de
switch basada en la Web.
Encabezado de la aplicacin
El encabezado de la aplicacin se muestra en todas las pginas. Proporciona los
siguientes enlaces de las aplicaciones:
Enlaces de las aplicaciones

Nombre del
enlace de la
aplicacin
Descripcin
Una X roja intermitente a la izquierda del enlace de la

aplicacin Guardar indica que se han realizado cambios
en la configuracin en ejecucin que an no se han
guardado en el archivo de configuracin de inicio. La X roja
intermitente se puede deshabilitar en la Pgina Copiar/
guardar configuracin.
Haga clic en Guardar para mostrar la pgina Copiar/
guardar configuracin. Para guardar el archivo
Configuracin en ejecucin, cpielo en el tipo de archivo
de configuracin de inicio en el switch. Luego de
guardarlo, el cono de la X de color rojo y el enlace de
aplicacin Guardar ya no se muestran. Cuando el switch
se reinicia, se copia el tipo de archivo de configuracin de
inicio en la configuracin en ejecucin y se configuran los
parmetros del switch segn los datos de la configuracin
en ejecucin.
Nombre de
usuario
Muestra el nombre del usuario que inici sesin en el

switch. El nombre de usuario predeterminado es cisco. (La
contrasea predeterminada es cisco).
16
Introduccin
Enlaces de las aplicaciones (continuacin)

Nombre del
enlace de la
aplicacin
Descripcin
Men de idiomas
Este men ofrece las siguientes opciones:
Seleccionar idioma: seleccione uno de los idiomas

que aparecen en el men. Este idioma ser el
idioma de la utilidad de configuracin basada en la
Web.
Descargar idioma: aada un nuevo idioma al

switch.
Eliminar idioma: elimine el segundo idioma del

switch. El primer idioma (Ingls) no puede
eliminarse.
Depuracin: para fines de traduccin. Si selecciona

esta opcin, todas las etiquetas de la utilidad de
configuracin basada en la Web desaparecen y las
reemplazan los ID de las cadenas que se
corresponden con los ID del archivo de idioma.
NOTA Para actualizar un archivo de idioma, use la
pgina Actualizacin/respaldo de firmware/

idioma.
Cerrar sesin
Haga clic para cerrar sesin en la utilidad de configuracin

de switch basada en la Web.
Acerca de
Haga clic para ver el nombre del switch y el nmero de

versin del switch.
Ayuda
Haga clic para ver la ayuda en lnea.

El cono de estado de alerta de SYSLOG se muestra
cuando se registra un mensaje de SYSLOG, arriba del
nivel de gravedad crtico. Haga clic en este cono para
abrir la pgina Memoria RAM. Despus de que acceda a
esta pgina, el cono de estado de alerta de SYSLOG ya
no se muestra. Para ver la pgina cuando no hay un
mensaje de SYSLOG activo, haga clic en Estado y
estadsticas > Ver registro > Memoria RAM.
17
Introduccin
Botones de administracin
En la siguiente tabla se describen los botones ms usados que aparecen en
distintas pginas en el sistema.
Botones de administracin
Nombre del botn
Descripcin
Utilice el men desplegable para configurar la cantidad de
entradas por pgina.
Indica un campo obligatorio.
Aadir
Haga clic para mostrar la pgina Aadir relacionada y

aada una entrada en la tabla. Introduzca la informacin y
haga clic en Aplicar para guardar los cambios en la
configuracin en ejecucin. Haga clic en Cerrar para
volver a la pgina principal. Haga clic en Guardar para
mostrar la pgina Copiar/guardar configuracin y
guardar la configuracin en ejecucin en el tipo de archivo
de configuracin de inicio en el switch.
Aplicar
Haga clic para aplicar los cambios en la configuracin en

ejecucin en el switch. Si el switch se reinicia, la
configuracin en ejecucin se pierde, a menos que se
guarde en el tipo de archivo de configuracin de inicio u
otro tipo de archivo. Haga clic en Guardar para mostrar la
pgina Copiar/guardar configuracin y guardar la
configuracin en ejecucin en el tipo de archivo de
configuracin de inicio en el switch.
Cancelar
Haga clic para restablecer los cambios realizados en la

pgina.
Borrar todos los

contadores de
interfaz
Haga clic para borrar los contadores estadsticos para

todas las interfaces.
Borrar
contadores de
interfaz
Haga clic para borrar los contadores estadsticos para la

interfaz seleccionada.
Borrar registros
Borra los archivos de registro.
18
Introduccin
Botones de administracin (continuacin)

Nombre del botn
Descripcin
Borrar tabla
Borra las entradas de la tabla.
Cerrar
Vuelve a la pgina principal. Si hay cambios que no se

aplicaron a la configuracin en ejecucin, se muestra un
mensaje.
Copiar
configuracin
Por lo general, una tabla contiene una o ms entradas con

los valores de configuracin. En lugar de modificar cada
entrada individualmente, es posible modificar una entrada
y luego copiarla en varias, como se describe a
continuacin.
1. Seleccione la entrada que desea copiar. Haga clic en
Copiar configuracin para mostrar la ventana
emergente.
2. Ingrese los nmeros de la entrada de destino en el
campo a.
3. Haga clic en Aplicar para guardar los cambios y haga
clic en Cerrar para volver a la pgina principal.
Eliminar
Una vez que haya seleccionado una entrada en la tabla,

haga clic en Eliminar para borrarla.
Detalles
Haga clic para mostrar los detalles asociados con la

entrada seleccionada.
Editar
Seleccione la entrada y haga clic en Editar. Se abre la

pgina Editar y puede modificar la entrada.
1. Haga clic en Aplicar para guardar los cambios en la
configuracin en ejecucin.
2. Haga clic en Cerrar para volver a la pgina principal.
Ir a
Ingrese los criterios de filtrado de consulta y haga clic en

Ir a. Se muestran los resultados en la pgina.
Prueba
Haga clic en Prueba para realizar las pruebas

relacionadas.
19
2
Visualizacin de estadsticas
En esta seccin se describe cmo ver las estadsticas del switch.

Abarca los siguientes temas:

En la pgina Interfaz se muestran las estadsticas del trfico por puerto. Se puede
seleccionar la velocidad de actualizacin de la informacin.
Esta pgina es til para analizar la cantidad de trfico que se enva y se recibe y su
dispersin (unidifusin, multidifusin y difusin).
20
Para mostrar las estadsticas de Ethernet o establecer la velocidad de

actualizacin, haga lo siguiente:
PASO 1 Haga clic en Estado y estadsticas > Interfaz. Se muestra la pgina Interfaz.
PASO 2 Ingrese los parmetros.
Interfaz: seleccione el tipo de interfaz y la interfaz especfica para la que

desea visualizar las estadsticas de Ethernet.
Vel. de actualizacin: seleccione el perodo de tiempo que transcurre antes

de que se actualicen las estadsticas de Ethernet de la interfaz. Las opciones
disponibles son:
-
Sin actualizacin: las estadsticas no se actualizan.
15 seg.: las estadsticas se actualizan cada 15 segundos.
En el rea Recibir estadsticas se muestra informacin acerca de los paquetes

entrantes.
Total de bytes (octetos): octetos recibidos, incluidos octetos FCS

(Secuencia de verificacin de tramas) y paquetes defectuosos, pero sin
incluir bits de entramado.
Paquetes de unidifusin: paquetes de unidifusin vlidos recibidos.
Paquetes de multidifusin: paquetes de multidifusin vlidos recibidos.
Paquetes de transmisin: paquetes de transmisin vlidos recibidos.
Paquetes con errores: paquetes con errores recibidos.
En el rea Transmitir estadsticas se muestra informacin acerca de los paquetes

salientes.
Total de bytes (octetos): octetos transmitidos, incluidos octetos FCS y

paquetes defectuosos, pero sin incluir bits de entramado.
Paquetes de unidifusin: paquetes de unidifusin vlidos transmitidos.
Paquetes de multidifusin: paquetes de multidifusin vlidos transmitidos.
Paquetes de transmisin: paquetes de transmisin vlidos transmitidos.
21
Para borrar los contadores de estadsticas:
Haga clic en Borrar contadores de interfaz para borrar los contadores de

la interfaz visualizada.
Haga clic en Borrar todos los contadores de interfaz para borrar los
contadores de todas las interfaces.

En la pgina Etherlike se muestran las estadsticas por puerto segn la definicin
estndar de MIB (Base de informacin de administracin) Etherlike. Se puede
seleccionar la velocidad de actualizacin de la informacin. En esta pgina se
proporciona informacin ms detallada sobre los errores en la capa fsica (capa 1),
que pueden interrumpir el trfico.
Para ver las estadsticas de Ethernet o establecer la velocidad de actualizacin,
haga lo siguiente:
PASO 1 Haga clic en Estado y estadsticas > Etherlike. Se muestra la pgina Etherlike.
Interfaz: seleccione el tipo de interfaz y la interfaz especfica para la que

desea visualizar las estadsticas de Ethernet.
Vel. de actualizacin: seleccione el tiempo que transcurre antes de que se

actualicen las estadsticas Etherlike.
Se muestran los campos para la interfaz seleccionada.
Errores de secuencia de Verificacin de Tramas (FCS): tramas recibidas

que no pasaron la CRC (verificacin cclica de redundancia).
Tramas de colisin simple: tramas que se incluyeron en una colisin simple,

pero que se transmitieron correctamente.
Colisiones tardas: colisiones que se detectaron luego de los primeros

512 bits de datos.
Colisiones excesivas: cantidad de transmisiones rechazadas debido a

colisiones excesivas.
22
Paquetes de tamao excesivo: paquetes mayores de 2000 octetos

recibidos.
Errores internos de recepcin de MAC: tramas rechazadas debido a

errores del receptor.
Tramas de pausa recibidas: tramas de pausa de control de flujo recibidas.
Tramas de pausa transmitidas: tramas de pausa de control de flujo

transmitidas de la interfaz seleccionada.

la interfaz seleccionada.

La pgina GVRP muestra informacin sobre las tramas de Protocolo de registro
de VLAN de GARP (GVRP, GARP VLAN Registration Protocol) que se enviaron o
recibieron desde un puerto. GVRP es un protocolo de red de capa 2 basado en
normas, para la configuracin automtica de informacin de VLAN en los switch.
Se defini en la enmienda 802.1ak de 802.1Q-2005.
Las estadsticas de GVRP para un puerto solo se muestran si GVRP est
habilitado globalmente y en el puerto. Consulte la pgina GVRP.
Para ver las estadsticas de GVRP o establecer la velocidad de actualizacin, haga
lo siguiente:
PASO 1 Haga clic en Estado y estadsticas > GVRP. Se muestra la pgina GVRP.
Interfaz: seleccione la interfaz especfica para la que desea visualizar las

estadsticas de GVRP.
Velocidad de actualizacin: seleccione el perodo de tiempo que

transcurre antes de que se actualice la pgina Estadsticas de GVRP.
23
En el bloque Contador de atributos se muestran los contadores para varios tipos

de paquetes por interfaz.
Unin vaca: nmero de paquetes GVRP de Unin vaca recibidos/

transmitidos.
Vacos: nmero de paquetes GVRP vacos recibidos/transmitidos.
Dejar vacos: nmero de paquetes GVRP Dejar vacos recibidos/

transmitidos.
Unir: nmero de paquetes GVRP Unir recibidos/transmitidos.
Dejar: nmero de paquetes GVRP Dejar recibidos/transmitidos.
Dejar todos: nmero de paquetes GVRP Dejar todos recibidos/transmitidos.
En la seccin GVRP Estadsticas de error se muestran los contadores de errores

GVRP.
ID de protocolo no vlido: errores de ID de protocolo no vlido.
Tipo de atributo no vlido: errores de ID de atributo no vlido.
Valor de atributo no vlido: errores de valor de atributo no vlido.
Longitud de atributo no vlida: errores de longitud de atributo no vlida.
Evento no vlido: eventos no vlidos.
Haga clic en Borrar contadores de interfaz para borrar los contadores

seleccionados.
24

En la pgina 802.1x EAP se muestra informacin detallada sobre las tramas EAP
(Extensible Authentication Protocol, Protocolo de autenticacin extensible) que se
enviaron o recibieron. Para configurar la funcin 802.1X, consulte la pgina
Propiedades de 802.1x.
Para ver las estadsticas de EAP o establecer la velocidad de actualizacin, haga
lo siguiente:
PASO 1 Haga clic en Estado y estadsticas > 802.1x EAP. Se muestra la pgina 802.1x
EAP.
PASO 2 Seleccione la interfaz para el que desean consultarse las estadsticas.
PASO 3 Seleccione el perodo de tiempo (Vel. de actualizacin) que transcurre antes de
que se actualicen las estadsticas de EAP.

Se muestran los valores para la interfaz seleccionada.
Tramas EAPOL recibidas: tramas EAPOL vlidas recibidas en el puerto.
Tramas EAPOL transmitidas: tramas EAPOL vlidas transmitidas por el

puerto.
Tramas de inicio EAPOL recibidas: las tramas de inicio EAPOL recibidas en

el puerto.
Tramas de desconexin EAPOL recibidas: las tramas de desconexin

EAPOL recibidas en el puerto.
Tramas EAP de ID/de respuesta recibidas: tramas EAP de ID/de respuesta

recibidas en el puerto.
Tramas EAP de respuesta recibidas: tramas EAP de respuesta recibidas

por el puerto (diferentes a las tramas Resp/ID).
Tramas EAP de pedido/ID transmitidas: tramas EAP de pedido/ID

transmitidas por el puerto.
Tramas EAP de pedido transmitidas: tramas EAP de pedido transmitidas

por el puerto.
Tramas EAPOL no vlidas recibidas: las tramas EAPOL no reconocidas que

se recibieron en este puerto.
25
Tramas de error de longitud EAP recibidas: tramas EAPOL con una

longitud de cuerpo del paquete no vlida que se recibieron en este puerto.
ltima versin de trama EAPOL: nmero de versin del protocolo asociado

con la ltima trama EAPOL recibida.
ltimo origen de trama EAPOL: direccin MAC de origen asociada con la

ltima trama EAPOL recibida.


La arquitectura del switch utiliza una TCAM (Memoria direccionable de contenido
ternario) para admitir acciones de paquete a la velocidad de cable.
TCAM incluye las reglas generadas por otras aplicaciones, como las ACL (lista de
control de acceso) y Calidad de servicio (QoS) y las reglas creadas por el usuario.
La cantidad mxima de reglas de TCAM que puede asignarse a travs de todas
las aplicaciones en el dispositivo es 512.
Algunas aplicaciones asignan reglas luego de iniciarse. Adems, los procesos que
se inician durante el inicio del sistema utilizan algunas de sus reglas durante el
proceso de arranque.
Para ver la utilizacin de la TCAM, haga clic en Estado y estadsticas > Utilizacin
de TCAM.
Se muestra la pgina Utilizacin de TCAM, donde se muestra el porcentaje de
utilizacin de TCAM por sistema y por unidad de pila.
Reglas de TCAM
Para ver cmo se puede cambiar la asignacin entre varios procesos (para las
series 500), consulte la seccin Asignacin de TCAM.
26
RMON (del ingls Remote Networking Monitoring, Monitoreo remoto de redes) es
una especificacin SNMP que permite que un agente SNMP en el switch monitoree
proactivamente las estadsticas de trfico en un perodo determinado y enve
trampas a un administrador SNMP. El agente SNMP local compara los contadores
de tiempo real con umbrales predefinidos y genera alarmas, sin necesidad de
realizar consultas a travs de una plataforma de administracin SNMP central. Este
es un mecanismo eficaz para la administracin proactiva, siempre que los
umbrales correctos estn establecidos en la base lineal de su red.
RMON disminuye el trfico entre el administrador y el switch, ya que el
administrador SNMP no debe realizar consultas frecuentes de informacin al
switch, y permite que el administrador obtenga informes de estado oportunos, ya
que el switch informa los eventos a medida que ocurren.
Con esta funcin, puede realizar las siguientes acciones:
Ver las estadsticas actuales (ya que se eliminaron los valores de

contadores). Tambin puede reunir los valores de estos contadores en un
perodo de tiempo y, luego, ver la tabla de los datos recolectados, donde
cada conjunto recolectado est representado en una lnea de la ficha
Historial.
Definir cambios interesantes en valores de contadores, como alcanz un

cierto nmero de colisiones tardas (define la alarma), y luego, especificar
la accin que se realizar cuando ocurra este evento (registro, trampa o
registro y trampa).
Visualizacin de estadsticas de RMON

En la pgina Estadsticas se muestra informacin detallada sobre los tamaos de
los paquetes e informacin sobre los errores de la capa fsica. La informacin
mostrada es acorde a la norma RMON. Un paquete de tamao excesivo se define
como una trama Ethernet con los siguientes criterios:
La longitud del paquete es mayor que el tamao de la unidad de recepcin

mxima (MRU) en bytes.
No se detect un evento de colisin.
No se detect un evento de colisin tarda.
No se detect un evento de error de Rx recibido.
El paquete tiene una CRC vlida.
27
Para ver las estadsticas de RMON o establecer la velocidad de actualizacin,

haga lo siguiente:
PASO 1 Haga clic en Estado y estadsticas > RMON > Estadsticas. Se muestra la pgina
Estadstica.
PASO 2 Seleccione la interfaz para la que desea ver las estadsticas de Ethernet.
PASO 3 En Vel. de actualizacin seleccione el perodo de tiempo que transcurre antes de
que se actualicen las estadsticas de la interfaz.

Se muestran las estadsticas para la interfaz seleccionada.
Bytes recibidos: cantidad de octetos recibidos, incluidos paquetes

defectuosos y octetos FCS, pero sin incluir bits de entramado.
Eventos descartados: cantidad de paquetes que se descartaron.
Paquetes recibidos: nmero de paquetes correctos recibidos, incluidos los

paquetes de multidifusin y de transmisin.
Paquetes de transmisin recibidos: nmero de paquetes de transmisin

vlidos recibidos. Este nmero no incluye paquetes de multidifusin.
Paquetes de multidifusin recibidos: nmero de paquetes de multidifusin

vlidos recibidos.
Errores de alineacin y CRC: nmero de errores de CRC y alineacin que

ocurrieron.
Paquetes ms pequeos de lo normal: nmero de paquetes ms pequeos

de lo normal (menos de 64 octetos) que se recibieron.
Paquetes de tamao excesivo: nmero de paquetes de tamao excesivo

(ms de 2000 octetos) que se recibieron.
Fragmentos: nmero de fragmentos (paquetes con menos de 64 octetos,

excluidos bits de entramado, pero incluidos octetos FCS) que se recibieron.
Jabbers (trama sup.): total de paquetes recibidos que tenan ms de 1632

octetos. Este nmero no incluye los bits de trama, pero incluye los octetos
FCS que tienen una FCS (secuencia de verificacin de tramas) defectuosa
con un nmero integral de octetos (error FCS) o una FCS defectuosa con un
nmero no integral de octetos (error de alineacin). Un paquete jabber se
define como una trama Ethernet que satisface los siguientes criterios:
-
La longitud de datos del paquete es mayor que la MRU.
El paquete tiene una CRC no vlida.
28
No se detect un evento de error de Rx recibido.
Colisiones: nmero de colisiones recibidas. Si las tramas jumbo estn

habilitadas, el umbral de tramas jabber se eleva al tamao mximo de
tramas jumbo.
Tramas de 64 bytes: nmero de tramas recibidas que contienen 64 bytes.
Tramas de 65 a 127 bytes: nmero de tramas recibidas que contienen

entre 65 y 127 bytes.



Tramas de ms de 1024 bytes: nmero de tramas que contienen entre

1024 y 2000 bytes y tramas jumbo que se recibieron.

Configuracin del historial de RMON

La funcin RMON permite controlar las estadsticas por interfaz.
La pgina Tabla de control de historial define la frecuencia de muestreo, la
cantidad de muestras que se guardarn y el puerto del que se recolectan los
datos.
Luego del muestreo y almacenamiento de los datos, estos aparecen en la pgina
Tabla de historial que se puede ver al hacer clic en la Tabla de historial.
Pasos para ingresar la informacin de control RMON:
PASO 1 Haga clic en Estado y estadsticas > RMON > Historial. Se muestra la pgina
Tabla de control de historial. Los campos que se muestran en esta pgina se
29
definen en la pgina Aadir historial RMON a continuacin. El nico campo que se

encuentra en esta pgina y no est definido en la pgina Aadir es el siguiente:
Nmero de muestras actual: por norma, RMON no puede otorgar todas las
muestras solicitadas, sino que limita el nmero de muestras por solicitud. Por
lo tanto, este campo representa el nmero de muestras que se otorga a la
solicitud que es igual o menor al valor solicitado.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir historial RMON.

Nueva entrada en historial: muestra el nmero de la nueva entrada de la

tabla Historial.
Interfaz de origen: seleccione el tipo de interfaz del que se van a tomar las
muestras del historial.
N. mximo de muestras a guardar: ingrese el nmero de muestras que se

guardar.
Intervalo de muestreo: ingrese el tiempo en segundos en que se recolectan

muestras de los puertos. El intervalo del campo oscila entre 1 y 3600.
Propietario: ingrese el usuario o la estacin de RMON que solicit la

informacin de RMON.
PASO 4 Haga clic en Aplicar. Se agrega la entrada a la pgina Tabla de control de historial,
y se actualiza el archivo Configuracin en ejecucin.

PASO 5 Haga clic en Tabla de historial para ver las estadsticas reales.
Visualizacin de la tabla del historial de RMON

En la pgina Tabla de historial se muestran los muestreos de red estadsticos
especficos de una interfaz. Las muestras fueron configuradas en la tabla Historial
de control descrita ms arriba.
Para ver las estadsticas del historial de RMON haga lo siguiente:
PASO 1 Haga clic en Estado y estadsticas > RMON > Historial. Se muestra la pgina
Historial.
PASO 2 Haga clic en la Tabla de historial. Se muestra la pgina Tabla de control de
historial.
30
PASO 3 Haga clic en Tabla de historial para ir a la pgina Tabla de historial.

PASO 4 Seleccione el nmero de entrada de la muestra que se visualizar de la lista N. de
entrada de historial.
Se muestran los campos para la muestra seleccionada.
Propietario: propietario de la entrada de la tabla del historial.
N. de muestra: se tomaron las estadsticas de esta muestra.
Eventos descartados: paquetes descartados debido a falta de recursos de

red durante el intervalo de muestreo. Usted puede no representar el nmero
exacto de paquetes descartados, sino el nmero de veces que se
detectaron paquetes descartados.
Bytes recibidos: octetos recibidos que incluidos los paquetes defectuosos

y octetos FCS, pero no los bits de entramado.
Paquetes recibidos: paquetes recibidos, incluidos paquetes defectuosos,

de multidifusin y de difusin.
Paquetes de transmisin: paquetes de transmisin vlidos sin incluir los

paquetes de multidifusin.
Paquetes de multidifusin: paquetes de multidifusin vlidos recibidos.
Errores de alineacin y CRC: errores de CRC y alineacin que ocurrieron.
Paquetes ms pequeos de lo normal: paquetes ms pequeos de lo

normal (menos de 64 octetos) que se recibieron.
Paquetes de tamao excesivo: paquetes de tamao excesivo (ms de

2000 octetos) que se recibieron.
Fragmentos: fragmentos (paquetes con menos de 64 octetos) que se

recibieron, sin incluir los bits de entramado, pero incluidos los octetos FCS.
Jabbers: total de paquetes recibidos que tenan ms de 2000 octetos. Este

nmero no incluye los bits de trama, pero incluye los octetos FCS que tienen
una FCS (secuencia de verificacin de tramas) defectuosa con un nmero
integral de octetos (error FCS) o una FCS defectuosa con un nmero no
integral de octetos (error de alineacin).
Colisiones: colisiones recibidas.
31
Utilizacin: porcentaje de trfico actual en la interfaz comparado con el

trfico mximo que admite la interfaz.
Definicin del control de eventos RMON

Puede controlar los eventos que activan una alarma y el tipo de notificacin que se
produce. Esto se realiza de la siguiente manera:
Pgina Eventos: configura lo que ocurre cuando se activa una alarma. Este
evento puede ser cualquier combinacin de registros o trampas.
Pgina Alarmas: configura los eventos que activan una alarma.
Para definir eventos RMON haga lo siguiente:

PASO 1 Haga clic en Estado y estadsticas > RMON > Eventos. Se muestra la pgina
Eventos.
En esta pgina se muestran los eventos definidos anteriormente.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir eventos RMON.
N. de entrada de evento: se muestra el nmero de ndice del evento para

la nueva entrada.
Comunidad: ingrese la cadena de comunidad de SNMP que se incluir al

enviar trampas (optativo).
Descripcin: ingrese un nombre para el evento. Este nombre se usa en la

pgina Aadir alarma RMON para vincular una alarma a un evento.
Tipo de notificacin: seleccione el tipo de accin que se genera a partir de

este evento. Los valores son:
-
Ninguna: no ocurre ninguna accin cuando se apaga la alarma.
Registro (Tabla de registro de eventos): se aade una entrada en la tabla

de Registro de eventos cuando se activa la alarma.
32
Trampa (SNMP Manager y servidor Syslog): se enva una trampa al

servidor de registro remoto cuando se apaga la alarma.
Registro y trampa: se aade una entrada de registro en la tabla de

Registro de eventos y se enva una trampa al servidor de registro remoto
cuando se apaga la alarma.
Hora: la hora del evento. (Esta es un tabla de solo lectura en la ventana

primaria y no se puede definir).
Propietario: ingrese el dispositivo o usuario que defini el evento.
PASO 4 Haga clic en Aplicar. El evento RMON se escribe en el archivo Configuracin en
ejecucin.
PASO 5 Haga clic en Tabla de registro de eventos para mostrar el registro de alarmas que
ocurrieron y que se han registrado (vea la descripcin a continuacin).
Visualizacin de registros de eventos RMON

En la pgina Tabla de registro de eventos se muestra el registro de eventos
(acciones) que ocurrieron. Se pueden registrar dos tipos de eventos: Registro o
Registro y trampa. La accin en el evento se realiza cuando el evento est
vinculado a una alarma (consulte la pgina Alarmas) y ocurrieron las condiciones
de la alarma.
PASO 1 Haga clic en Estado y estadsticas > RMON > Eventos. Se muestra la pgina
Eventos.
PASO 2 Haga clic en Tabla de registro de eventos. Se muestra la pgina Tabla de
registro de eventos.
Esta pgina muestra los siguientes campos:
N. de entrada de evento: el nmero de entrada del registro de eventos.
N. de registro: el nmero de registro (dentro del evento).
Hora de registro: hora en que se introdujo la entrada del registro.
Descripcin: la descripcin del evento que activ la alarma.
33
Definicin de alarmas RMON

Las alarmas RMON proporcionan un mecanismo para configurar umbrales e
intervalos de muestreo a fin de generar eventos de excepcin en cualquier
contador o cualquier otro contador de objetos SNMP que mantiene el agente. En la
alarma deben configurarse los umbrales ascendentes y descendentes. Una vez
que se atraviesa un umbral ascendente, no se genera otro evento ascendente
hasta que se atraviesa el umbral descendente complementario. Luego de que se
emite una alarma descendente, la siguiente alarma se genera cuando se atraviesa
un umbral ascendente.
Una o ms alarmas estn vinculadas a un evento, que indica la accin que debe
realizarse cuando ocurre la alarma.
En la pgina Alarmas se pueden configurar alarmas y vincularlas a eventos. Los
contadores de alarmas pueden monitorearse mediante valores absolutos o
cambios (delta) en los valores de los contadores.
Para ingresar alarmas RMON:
PASO 1 Haga clic en Estado y estadsticas > RMON > Alarmas. Se muestra la pgina
Alarmas. Se muestran todas las alarmas definidas anteriormente. Los campos se

describen en la pgina Aadir alarma RMON a continuacin. Adems de esos
campos, se muestra el siguiente:
Valor del contador: muestra el valor de la estadstica durante el ltimo

perodo de muestreo.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir alarma RMON.

N. de entrada de alarma: se muestra el nmero de entrada de la alarma.
Interfaz: seleccione el tipo de interfaz para el que se muestran las

estadsticas de RMON.
Nombre del contador: seleccione la variable MIB que indica el tipo de

evento medido.
Tipo de muestra: seleccione el mtodo de muestreo para generar una

alarma. Las opciones son:
-
Absoluto: si se atraviesa el umbral, se genera una alarma.
Delta: se sustrae el ltimo valor muestreado del valor actual. La diferencia

en los valores se compara con el umbral. Si se atraves el umbral, se
genera una alarma.
34
Umbral ascendente: ingrese el valor que activa la alarma de umbral

ascendente.
Evento ascendente: se selecciona un evento que se realizar cuando se

active un evento ascendente. Los eventos se crean en la pgina Eventos.
Umbral descendente: ingrese el valor que activa la alarma de umbral

descendente.
Evento descendente: se selecciona un evento que se realizar cuando se

active un evento descendente.
Alarma de inicio: seleccione el primer evento a partir del que se iniciar la

generacin de alarmas. El valor ascendente se define al atravesar el umbral
de un umbral de bajo valor a un umbral de mayor valor.
-
Alarma ascendente: un valor ascendente activa la alarma de umbral

ascendente.
Alarma descendente.: un valor descendente activa la alarma de umbral

descendente.
Ascendente y descendente: los valores ascendente y descendente

activan la alarma.
Intervalo: ingrese el tiempo del intervalo de la alarma en segundos.
Propietario: ingrese el nombre del sistema de administracin de red o

usuario que recibe la alarma.
PASO 4 Haga clic en Aplicar. La alarma RMON se escribe en el archivo Configuracin en
ejecucin.
35
3
Administracin de los registros del sistema
En esta seccin se describe la funcin Registro del sistema, que permite que el
switch genere varios registros independientes. Cada registro es un conjunto de
mensajes que describe los eventos del sistema.
El switch genera los siguientes registros locales:
Registro enviado a la interfaz de la consola.
Registro escrito en una lista cclica de eventos registrados en la memoria

RAM y borrados cuando el switch se reinicia.
Registro escrito en un archivo de registro cclico que se guarda en la

memoria Flash y persiste de un reinicio al otro.
Adems, puede enviar mensajes a servidores SYSLOG remotos en forma de

trampas SNMP y mensajes SYSLOG.
Esta seccin cubre las siguientes secciones:

Usted puede habilitar o deshabilitar el registro en la pgina Configuracin de
registro y seleccionar si desea agregar mensajes de registro.
Puede seleccionar los eventos por nivel de gravedad. Cada mensaje de registro
tiene un nivel de gravedad marcado con la primera letra del nivel de gravedad
concatenado con un guin (-) a cada lado (excepto para Emergencia que se indica
con la letra F). Por ejemplo, el mensaje de registro "%INIT-I-InitCompleted " tiene
un nivel de gravedad de I, que significa Informativo.
36
Los niveles de gravedad de los eventos se detallan de mayor gravedad a menor

gravedad, de la siguiente manera:
Emergencia: el sistema no se puede utilizar.
Alerta: se necesita accin.
Crtico: el sistema est en condicin crtica.
Error: el sistema est en condicin de error.
Advertencia: se ha presentado una advertencia del sistema.
Nota: el sistema est funcionando correctamente, pero se ha presentado un

aviso del sistema.
Informativo: informacin de dispositivos.
Depuracin: informacin detallada acerca de un evento.
Puede seleccionar distintos niveles de gravedad para los registros de memoria

RAM y Flash. Estos registros se pueden mostrar en la pgina Memoria RAM y en
la pgina Memoria Flash, respectivamente.
Al seleccionar un nivel de gravedad para almacenar en un registro, todos los
eventos de mayor gravedad se almacenan automticamente en el registro. Los
eventos de menor gravedad no se almacenan en el registro.
Por ejemplo, si se selecciona Advertencia, todos los niveles de gravedad que
sean Advertencia y los de mayor gravedad se almacenan en el registro
(Emergencia, Alerta, Crtico, Error y Advertencia). No se almacena ningn evento
con nivel de gravedad por debajo de Advertencia (Nota, Informativo y
Depuracin).
Para configurar parmetros de registro globales:
PASO 1 Haga clic en Administracin > Registro del sistema > Configuracin de registro.
Se abre la pgina Configuracin de registro.

Registro: seleccione esta opcin para habilitar el registro de mensajes.
Agregador de Syslog: seleccione para habilitar la agrupacin de mensajes

y trampas SYSLOG. Si esta opcin est habilitada, se agrupan mensajes y
trampas SYSLOG idnticas y contiguas en el tiempo mximo de
agrupamiento especificado y se envan en un nico mensaje. Los mensajes
agrupados se envan en el orden de llegada. Cada mensaje establece la
cantidad de veces que se agrup.
37
Tiempo mximo de agrupamiento: ingrese el intervalo de tiempo en el que

se agregan los mensajes SYSLOG.
Registro de memoria RAM: seleccione los niveles de gravedad de los

mensajes a registrar en la memoria RAM.
Registro de memoria Flash: seleccione los niveles de gravedad de los

mensajes a registrar en la memoria Flash.
PASO 3 Haga clic en Aplicar. Se actualiza el archivo Configuracin en ejecucin.

La pgina Servidores de registro remotos permite definir los servidores SYSLOG
remotos donde se envan los mensajes de registro (a travs del protocolo
SYSLOG). Para cada servidor, puede configurar la gravedad de los mensajes que
recibe.
Para definir los servidores SYSLOG:
PASO 1 Haga clic en Administracin > Registro del sistema > Servidores de registro
remotos. Se abre la pgina Servidores de registro remotos.

En esta pgina se muestra una lista de servidores de registro remotos.
PASO 2 Haga clic en Aadir. Se abre la pgina Aadir servidor de registro remoto.
Definicin del servidor: seleccione si el servidor de registro remoto se

identificar por direccin IP o nombre.
Versin de IP: seleccione el formato IP admitido.
Tipo de direccin IPv6: seleccione el tipo de direccin IPv6 (si se usa IPv6).
Las opciones son:
-
Enlace local: la direccin IPv6 identifica hosts de manera exclusiva en un

enlace de red simple. Una direccin local de enlace tiene un prefijo de
FE80, no es enrutable y se puede usar para comunicaciones solo en la
red local. Solo se admite una direccin local de enlace. Si existe una
direccin local de enlace en la interfaz, esta entrada reemplaza a la
direccin en la configuracin.
38
Global: la direccin IPv6 es un tipo de direccin IPV6 de unidifusin

global que es visible y accesible desde otras redes.
Interfaz local de enlace: seleccione la interfaz local de enlace (si se

selecciona Enlace local como Tipo de direccin IPv6) en la lista.
Nombre/direccin IP del servidor de registro: ingrese la direccin IP o el

nombre de dominio del servidor de registro.
Puerto UDP: ingrese el puerto UDP a donde se envan los mensajes de

registro.
Instalacin: seleccione un valor de instalacin de donde se envan los

registros del sistema al servidor remoto. Solo se puede asignar un valor de
instalacin por servidor. Si se asigna un segundo cdigo de instalacin, se
anula el primer valor de instalacin.
Descripcin: ingrese una descripcin del servidor.
Gravedad mnima: seleccione el nivel mnimo de mensajes de registro de

sistema para enviar al servidor.
PASO 4 Haga clic en Aplicar. Se cierra la pgina Aadir servidor de registro remoto, se
aade el servidor SYSLOG y se actualiza el archivo Configuracin en ejecucin.

El switch puede escribir en los siguientes registros:
Registro en memoria RAM (se borra durante el reinicio)
Registro en memoria Flash (solo se borra por comando de usuario)
Usted puede configurar los mensajes que se escriben en cada registro por
gravedad, y un mensaje puede ir a ms de un registro, incluidos los registros que
residen en servidores SYSLOG externos.
Memoria RAM
La pgina Memoria RAM muestra todos los mensajes que se han guardado en la
memoria RAM (cach) en orden cronolgico. Las entradas se almacenan en el
registro de memoria RAM segn la configuracin de la pgina Configuracin de
registro.
39
Para ver las entradas del registro, haga clic en Estado y estadsticas > Ver
registro > Memoria RAM. Se abre la pgina Memoria RAM.
Al comienzo de la pgina hay un botn que le permite Deshabilitar icono de alerta
intermitente. Haga clic para alternar entre habilitar y deshabilitar.
ndice de registro: nmero de entrada en el registro.
Hora de registro: hora a la que se gener el mensaje.
Gravedad: gravedad del evento.
Descripcin: texto del mensaje que describe el evento.
Para borrar los mensajes de registro, haga clic en Borrar registros. Se borran los
mensajes.
Memoria Flash
La pgina Memoria Flash muestra todos los mensajes que se han guardado en la
memoria Flash en orden cronolgico. La gravedad mnima para el registro se
configura en la pgina Configuracin de registro. Los registros de memoria Flash
se conservan cuando el switch se reinicia. Puede borrar los registros
manualmente.
Para ver los registros de memoria Flash, haga clic en Estado y estadsticas > Ver
registro > Memoria Flash. Se abre la pgina Memoria Flash.
ndice de registro: nmero de entrada en el registro.
Hora de registro: hora a la que se gener el mensaje.
Gravedad: gravedad del evento.
Descripcin: texto del mensaje que describe el evento.
Para borrar los mensajes, haga clic en Borrar registros. Se borran los mensajes.
40
4
Administracin de archivos del sistema
Esta seccin describe cmo se administran los archivos de sistema.

Se cubren los siguientes temas:
Descarga o realizacin de copia de seguridad de una configuracin o un

registro

Los archivos de sistema son archivos que contienen informacin de configuracin,
imgenes de firmware y cdigos de inicio.
Con estos archivos se pueden realizar diversas acciones, tales como: seleccionar
el archivo de firmware a partir del cual se inicia el switch, copiar internamente
distintos tipos de archivos de configuracin en el switch o copiar archivos desde o
hacia un dispositivo externo, como un servidor externo.
Los posibles mtodos de transferencia de archivos son:
Copia interna
HTTP/HTTPS que utiliza los recursos que proporciona el explorador.
Cliente TFTP/SCP que requiere un servidor TFTP/SCP.
41
Los archivos de configuracin del switch estn definidos por su tipo y contienen
las opciones y los valores de los parmetros para el dispositivo.
Cuando se hace referencia a una configuracin en el switch, esta se realiza a
travs de su tipo de archivo de configuracin (p. ej., Configuracin de inicio o
Configuracin de ejecucin), en vez de un nombre de archivo que el usuario
puede modificar.
Se puede copiar el contenido de un tipo de configuracin a otra, pero el usuario
no puede cambiar los nombres de los tipos de archivo.
Otros archivos en el dispositivo incluyen archivos de firmware, cdigo de inicio y
registro, a los que se hace referencia como archivos operativos.
Los archivos de configuracin son archivos de texto que se pueden editar en un
editor de texto, como Notepad, una vez que los copia en un dispositivo externo,
como una PC.
Archivos y tipos de archivo
En el switch se encuentran los siguientes tipos de archivos de configuracin y
operativos:
Configuracin en ejecucin: contiene los parmetros que el switch est

utilizando para funcionar. Es el nico tipo de archivo que se modifica cuando
se cambian los valores de los parmetros en el dispositivo.
Si se reinicia el switch, se pierde la configuracin en ejecucin. La
configuracin de inicio, que se almacena en Flash, se escribe en la
configuracin en ejecucin, que se almacena en RAM.
Para guardar los cambios que haya hecho en el switch, debe guardar la
configuracin en ejecucin en la Configuracin de inicio u otro tipo de
archivo.
Configuracin de inicio: Los valores de los parmetros que guard al copiar

otra configuracin (en general, la configuracin en ejecucin) en la
configuracin de inicio.
La configuracin de inicio se guarda en flash y se conserva cuando se
reinicia el switch. En ese momento, la configuracin de inicio se copia en
RAM y se identifica como la configuracin en ejecucin.
42
Configuracin de duplicado: Una copia de la configuracin de inicio, que el

switch crea cuando se presentan las siguientes condiciones:
-
El switch haya estado funcionando continuamente durante 24 horas.
No se hayan realizado cambios de configuracin en la configuracin en

ejecucin en las 24 horas anteriores.
La configuracin de inicio sea idntica a la configuracin en ejecucin.
Solo el sistema puede copiar la configuracin de inicio en la configuracin

de duplicado. Sin embargo, usted puede copiar desde la configuracin de
duplicado a otros tipos de archivo o a otro dispositivo.
La opcin de copiar automticamente la configuracin en ejecucin a la
configuracin de duplicado puede deshabilitarse desde la pgina
Propiedades de los archivos de configuracin.
Configuracin de respaldo: una copia manual de los archivos de

configuracin usados para brindar proteccin frente al apagado del
sistema o para realizar el mantenimiento de un estado operativo especfico.
Usted puede copiar la configuracin de duplicado, la configuracin de
inicio o la configuracin en ejecucin a un respaldo de la configuracin. La
configuracin del respaldo existe en flash y se conserva en caso de que se
reinicie el dispositivo.
Firmware: el programa que controla las operaciones y la funcionalidad del

switch, que se conoce comnmente como la imagen.
Cdigo de inicio: controla el inicio bsico del sistema e inicia la imagen de

firmware.
Archivo de idioma: el diccionario que permite mostrar las ventanas de la

utilidad de la configuracin basada en la Web en el idioma seleccionado.
Registro flash: los mensajes SYSLOG guardados en la memoria flash.
Acciones de archivos
Se pueden realizar las siguientes acciones para administrar los archivos de
configuracin y firmware:
Actualizar el firmware o el cdigo de inicio, o reemplazar un segundo idioma,

tal como se describe en la seccin Actualizacin/copia de seguridad del
firmware/idioma.
43
Ver la imagen de firmware en uso o seleccionar la imagen que se usar en

el siguiente reinicio, tal como se describe en la seccin Seleccin de la
imagen activa.
Guardar archivos de configuracin en el switch en un lugar en otro

dispositivo, tal como se describe en la seccin Descarga o realizacin de
copia de seguridad de una configuracin o un registro.
Borrar los tipos de archivo de configuracin de inicio o configuracin de

respaldo, tal como se describe en la seccin Ver propiedades de archivos
de configuracin.
Copiar un tipo de archivo de configuracin en otro tipo de archivo de

configuracin, tal como se describe en la seccin Copiado de archivos de
configuracin.
Habilitar la carga automtica de un archivo de configuracin de un servidor

DHCP al switch, tal como se describe en la seccin Configuracin
automtica DHCP.
Esta seccin abarca los siguientes temas:
Descarga o realizacin de copia de seguridad de una configuracin o un

registro

El proceso Actualizacin/respaldo de firmware/idioma se puede usar para:
Actualizar o realizar un respaldo de la imagen de firmware.
Actualizar o realizar un respaldo del cdigo de inicio.
Importar o actualizar un segundo archivo de idioma.
44
Se admiten los siguientes mtodos para transferir archivos:
HTTP/HTTPS que utiliza los recursos que proporciona el explorador
TFTP que requiere un servidor TFTP
SCP que requiere un servidor SCP
Si se carg un archivo de idioma nuevo en el switch, el idioma nuevo puede

seleccionarse en el men desplegable (No es necesario reiniciar el switch).
Todas las imgenes de software en la pila deben ser idnticas para garantizar el
funcionamiento adecuado de la pila. Si se aade un dispositivo a una pila y la
imagen del software no coincide con la imagen de software maestra, esta
automticamente carga la imagen correcta en el dispositivo nuevo.
Existen dos formas distintas de actualizar imgenes en la pila:
La imagen puede actualizarse antes de conectar una unidad a una pila. Este
es el mtodo recomendado.
Actualizar principal. Las unidades esclavo se actualizan automticamente.
Los siguientes pasos pueden realizarse desde una CLI o desde la interfaz web.
Copie la imagen desde un servidor TFTP/SCP al maestro.
Cambie la imagen activa en el maestro.
Reinicie el maestro.
Hay dos imgenes de firmware almacenadas en el switch. Una de las imgenes se

identifica como la imagen activa y la otra imagen se identifica como la imagen
inactiva.
Al actualizar el firmware, la nueva imagen siempre reemplaza a la imagen
identificada como la imagen inactiva.
Luego de cargar nuevo firmware en el switch, el switch contina inicindose con la
imagen activa (la versin anterior) hasta que cambie el estado de la imagen nueva
para que sea la imagen activa a travs del procedimiento de la seccin Seleccin
de la imagen activa. Luego, inicie el switch.
NOTA Si el switch est en modo de Apliamiento nativo, el firmware se enva a todas las
unidades de la pila. Si un nuevo switch se va a unir a la pila con una versin de

firmware distinta, la unidad maestra sincroniza automticamente la versin de
firmware con la nueva unidad. Esto ocurre de manera transparente, sin ninguna
intervencin manual.
45
Actualizacin y copias de seguridad del firmware y los

archivos de idioma
Para actualizar o realizar una copia de seguridad de un archivo de sistema o
idioma:
PASO 1 Haga clic en Administracin > Administracin de archivo > Actualizacin/
respaldo de firmware/idioma. Se abre la pgina Actualizacin/respaldo de

firmware/idioma
PASO 2 Haga clic en el mtodo de transferencia en Mtodo de transferencia. Proceda de
la siguiente manera:
Si seleccion TFTP, vaya al PASO 3.
Si seleccion va HTTP/HTTPS, vaya al PASO 4.
Si seleccion va SCP, vaya al PASO 5.
PASO 3 Si seleccion vaTFTP, ingrese los parmetros tal como se describe en este paso.
Caso contrario, siga con el PASO 4.

Seleccione una de las siguientes acciones:
Mtodo de guardar Actualizacin: especifica que el tipo de archivo en el

switch debe reemplazarse con una nueva versin de ese tipo de archivo que
se encuentra en un servidor TFTP.
Mtodo de guardar Respaldo: especifica que se debe guardar una copia

de ese tipo de archivo en otro dispositivo.
Ingrese los siguientes campos:
Tipo de archivo: seleccione el tipo de archivo de destino. Solo aparecen los

tipos de archivo vlidos (los tipos de archivo se describen en la seccin
Archivos y tipos de archivo).
Definicin del servidor TFTP: seleccione si el servidor TFTP se

especificar por direccin IP o nombre de dominio.
Versin de IP: seleccione si se usa una direccin IPv4 o IPv6.
Las opciones son:
-

46
-

Interfaz local de enlace: seleccione la interfaz local de enlace (si se usa

IPv6) en la lista.
Nombre/direccin IP del servidor TFTP: ingrese la direccin IP o el nombre

de dominio del servidor TFTP.
(Para actualizacin) Nombre del archivo de origen: ingrese el nombre del

archivo de origen.
(Para copia de seguridad) Nombre del archivo de origen: ingrese el

nombre del archivo de seguridad.
PASO 4 Si seleccion va HTTP/HTTPS, solo puede actualizar. Ingrese los parmetros
como se describe en este paso.
Tipo de archivo: seleccione el tipo de archivo de configuracin. Solo se

pueden seleccionar tipos de archivo vlidos (los tipos de archivo se
describen en la seccin Archivos y tipos de archivo). Se pueden usar los
siguientes tipos de archivo:
-
Imagen de firmware: seleccione esta opcin para actualizar la imagen

de firmware.
Idioma: seleccione un archivo para actualizar el idioma.
Nombre de archivo: haga clic en Examinar para seleccionar un archivo o

ingrese la ruta y el nombre de archivo de origen que se usar en la
transferencia.
PASO 5 Si seleccion va SCP (por SSH), consulte la seccin Uso de la funcin cliente
SSH para obtener ms instrucciones. Luego, ingrese los siguientes campos: (solo
se describen los campos nicos, para campos no nicos, vea las descripciones
anteriores).
Autenticacin remota del servidor SSH: para habilitar la autenticacin del

servidor SSH (deshabilitado de manera predeterminada), haga clic en Editar.
Esto lo lleva a la pgina Autenticacin del servidor SSH, para configurar el
servidor SSH y volver a la pgina. Use la pgina Autenticacin del usuario
SSH para seleccionar un mtodo de autenticacin de usuario SSH
47
(contrasea o clave pblica/privada), establezca un usuario y una

contrasea en el switch (si selecciona el mtodo de contrasea) y genere
una clave RSA o DSA si lo requiere.
Autenticacin de cliente SSH: la autenticacin del cliente puede hacerse de
cualquiera de las siguientes formas:
Uso de credenciales del sistema cliente SSH: establece credenciales de

usuario SSH permanentes. Haga clic en Credenciales del sistema para ir a la
pgina de Autenticacin del usuario SSH, donde puede establecer el
usuario y la contrasea para usos futuros.
Utilizar credenciales de cliente SSH de uso nico: ingrese lo siguiente:

-
Nombre de usuario: ingrese un nombre de usuario para esta accin de

copia.
Contrasea: ingrese una contrasea para esta copia.
NOTA El nombre de usuario y la contrasea para una credencial nica no se
guardarn en el archivo de configuracin.
Definicin del servidor: seleccione si el servidor SCP se especificar por

direccin IP o por nombre de dominio.
Tipo de direccin IPv6: seleccione el tipo de direccin IPv6 (si se usa). Las
opciones son:
-


Interfaz local de enlace: seleccione la interfaz local de enlace en la lista.
Nombre/direccin IP del servidor SCP: ingrese la direccin IP o el nombre

de dominio del servidor SCP.
(Para actualizacin) Nombre del archivo de origen: ingrese el nombre del

archivo de origen.
48
(Para copia de seguridad) Nombre del archivo de origen: ingrese el

nombre del archivo de seguridad.
PASO 6 Haga clic en Aplicar. Si los archivos, contraseas y direcciones del servidor son
correctas, puede suceder lo siguiente:
Si se habilita la autenticacin del servidor SSH (en la pgina Autenticacin

del servidor SSH) y el servidor SCP es confiable, la operacin se lleva a
cabo correctamente. Si el servidor SCP no es confiable, la operacin falla y
se muestra un mensaje de error.
Si no se habilita la autenticacin del servidor SSH, la operacin se lleva a

cabo correctamente para cualquier servidor SCP.

Hay dos imgenes de firmware almacenadas en el switch. Una de las imgenes se
identifica como la imagen activa y la otra imagen se identifica como la imagen
inactiva. El switch se inicia desde la imagen que configura como la imagen activa.
Usted puede cambiar la imagen identificada como la imagen inactiva por la
imagen activa. (Usted puede reiniciar el switch mediante el proceso descrito en la
seccin Reinicio del switch).
Para seleccionar la imagen activa:
PASO 1 Haga clic en Administracin > Administracin de archivo > Imagen activa. Se
abre la pgina Imagen activa.

La pgina muestra lo siguiente:
Imagen activa: se muestra el archivo de la imagen que est activa en el

switch.
Nmero de versin de imagen activa: se muestra la versin del firmware de

la imagen activa.
Imagen activa luego de reinicio: muestra la imagen que permanece activa

luego del reinicio.
Nmero de versin de imagen activa luego de reinicio: muestra la versin

de firmware de la imagen activa como sera luego del reinicio.
49
PASO 2 Seleccione la imagen en el men Imagen activa despus de reiniciar para
identificar la imagen de firmware que se usa como la imagen activa luego de que
se reinicia el switch. En Nmero de versin de la imagen activa despus de
reiniciar se muestra la versin del firmware de la imagen activa que se usa una
vez que se reinicia el switch.
PASO 3 Haga clic en Aplicar. Se actualiza la seleccin de la imagen activa.
Descarga o realizacin de copia de seguridad de una

configuracin o un registro
Se habilita la pgina Descarga/actualizacin de configuracin/registro.
Respaldo de archivos de configuracin o registros desde el switch a

dispositivos externos.
Restauracin de archivos de configuracin desde un dispositivo externo al

switch.
NOTA Si el dispositivo funciona en modo de apilamiento nativo, los archivos de
configuracin se toman desde la unidad maestra.

Al restaurar un archivo de configuracin en la configuracin en ejecucin, el
archivo importado aade los comandos de configuracin que no existan en el
archivo antiguo y sobrescribe los valores de parmetros en los comandos de
configuracin existentes.
Al restaurar un archivo de configuracin en la configuracin de inicio o un archivo
de configuracin de respaldo, el nuevo archivo reemplaza al archivo anterior.
Al restaurar un archivo a la configuracin de inicio, es necesario reiniciar el switch
para que la configuracin de inicio restaurada se utilice como la configuracin en
ejecucin. Usted puede reiniciar el switch mediante el proceso descrito en la
seccin Configuracin de consola (Soporte de velocidad autobaud).
Para realizar un respaldo o restaurar el archivo de configuracin del sistema:
PASO 1 Haga clic en Administracin > Administracin de archivo > Descarga/Respaldo
de configuracin/registro. Se abre la pgina Descarga/actualizacin de

configuracin/registro.
PASO 2 Haga clic en el mtodo de transferencia en Mtodo de transferencia.
50
PASO 3 Si seleccion va TFTP, ingrese los parmetros. Caso contrario, siga con el PASO 4.
Seleccione Descarga o Respaldo como Mtodo de guardar.

Mtodo de guardar Descarga: especifique que el archivo de otro dispositivo
reemplazar un tipo de archivo en el switch. Ingrese los siguientes campos:
a. Definicin del servidor: seleccione si el servidor TFTP se especificar por
b. Versin de IP: seleccione si se usa una direccin IPv4 o IPv6.
NOTA Si en Definicin del servidor se selecciona el servidor por nombre, no
es necesario seleccionar las opciones relacionadas con la Versin de IP.

c. Tipo de direccin IPv6: seleccione el tipo de direccin IPv6 (si se usa). Las
opciones son:
-


d. Interfaz local de enlace: seleccione la interfaz local de enlace en la lista.

e. Servidor TFTP: ingrese la direccin IP del servidor TFTP.
f.
Nombre del archivo de origen: ingrese el nombre de archivo de origen. Los

archivos no pueden contener smbolos diagonales (\ o /), no pueden comenzar
con un punto (.) y deben incluir entre 1 y 160 caracteres. (Caracteres vlidos: AZ, a-z, 0-9, ., -, _).
g. Tipo de archivo de destino: ingrese el tipo de archivo de configuracin de

destino. Solo aparecen los tipos de archivo vlidos (los tipos de archivo se
describen en la seccin Archivos y tipos de archivo).
Mtodo de guardar Respaldo: especifica que se debe copiar un tipo de archivo
en un archivo en otro dispositivo. Ingrese los siguientes campos:
a. Definicin del servidor: seleccione si el servidor TFTP se especificar por
b. Versin de IP: seleccione si se usa una direccin IPv4 o IPv6.
51
c. Tipo de direccin IPv6: seleccione el tipo de direccin IPv6 (si se usa). Las
opciones son:

enlace de red simple. Una direccin local de enlace tiene un prefijo de FE80,
no es enrutable y se puede usar para comunicaciones solo en la red local.
Solo se admite una direccin local de enlace. Si existe una direccin local de
enlace en la interfaz, esta entrada reemplaza a la direccin en la
configuracin.
Global: la direccin IPv6 es un tipo de direccin IPV6 de unidifusin global

que es visible y accesible desde otras redes.
d. Interfaz local de enlace: seleccione la interfaz local de enlace en la lista.

e. Nombre/direccin IP del servidor TFTP: ingrese la direccin IP o el nombre
f.
Tipo de archivo de origen: ingrese el tipo de archivo de configuracin de

origen. Solo aparecen los tipos de archivo vlidos (los tipos de archivo se
describen en la seccin Archivos y tipos de archivo).
g. Datos confidenciales: seleccione cmo deberan incluirse los datos

confidenciales en el archivo de respaldo. Las opciones disponibles son las
siguientes:
-
Excluir: no incluir datos confidenciales en el respaldo.
Cifrado: incluir datos confidenciales en el respaldo en forma cifrada.
Texto simple: incluir datos confidenciales en el respaldo en forma de

texto simple.
NOTA Las reglas SSD del usuario actual determinan las opciones de datos
confidenciales disponibles. Para ms detalles, consulte la pgina

Administracin segura de datos confidenciales > Reglas SSD.
h. Nombre de archivo de destino: ingrese el nombre de archivo de destino. Los
nombres de archivo no pueden incluir smbolos diagonales (\ o /), la primera
letra del nombre de archivo no debe ser un punto (.) y el nombre de archivo
debe tener entre 1 y 160 caracteres. (Caracteres vlidos: A-Z, a-z, 0-9, ., -,
_).
i.
Haga clic en Aplicar. Se actualiza el archivo o se realiza un respaldo del mismo.
PASO 4 Si seleccion va HTTP/HTTPS, ingrese los parmetros tal como se describe en
este paso.
52
Seleccione la accin de guardado en Mtodo de guardar.

Si la opcin de Mtodo de guardar es Descargar (reemplazo de un archivo en el
switch con una versin nueva de otro dispositivo), haga lo siguiente. En caso
contrario, vaya al siguiente procedimiento en este paso.
a. Nombre del archivo de origen: haga clic en Examinar para seleccionar un
archivo o ingrese la ruta y el nombre de archivo de origen que se usar en la
transferencia.
b. Tipo de archivo de destino: seleccione el tipo de archivo de configuracin.
Solo aparecen los tipos de archivo vlidos (los tipos de archivo se describen
en la seccin Archivos y tipos de archivo).
c. Haga clic en Aplicar. Se transfiere el archivo del otro dispositivo al switch.
Si el Mtodo de guardar es Copia de seguridad (copia un archivo a otro
dispositivo), haga lo siguiente:
a. Tipo de archivo de origen: seleccione el tipo de archivo de configuracin. Solo
aparecen los tipos de archivo vlidos (los tipos de archivo se describen en la
seccin Archivos y tipos de archivo).
b. Datos confidenciales: seleccione cmo deberan incluirse los datos
siguientes:
-

texto simple.

c. Haga clic en Aplicar. Se actualiza el archivo o se realiza un respaldo del mismo.
PASO 5 Si seleccion va SCP (por SSH), Uso de la funcin cliente SSH consulte la
seccin para obtener ms instrucciones. Luego, ingrese los siguientes campos:
Autenticacin remota del servidor SSH: para habilitar la autenticacin del

servidor SSH (est deshabilitado de manera predeterminada), haga clic en
Editar, lo cual lo redirige a la pgina Autenticacin del servidor SSH para
configurar esto y volver a la pgina. Use la pgina Autenticacin del
servidor SSH para seleccionar un mtodo de autenticacin de usuario SSH
53
(contrasea o clave pblica/privada), establezca un usuario y una

contrasea en el switch (si selecciona el mtodo de contrasea) y genere
una clave RSA o DSA si lo requiere.
Autenticacin de cliente SSH: la autenticacin del cliente puede hacerse de
cualquiera de las siguientes formas:
Uso de cliente SSH: establece credenciales de usuario SSH permanentes.

Haga clic en Credenciales del sistema para ir a la pgina de Autenticacin
del usuario SSH, donde puede establecer el usuario y la contrasea para
usos futuros.
Utilizar credenciales de cliente SSH de uso nico: ingrese lo siguiente:

-
Nombre de usuario: ingrese un nombre de usuario para esta accin de

copia.
Contrasea: ingrese una contrasea para esta copia.
Definicin del servidor SCP: seleccione si el servidor TFTP se especificar

por direccin IP o por nombre de dominio.
Tipo de direccin IPv6: seleccione el tipo de direccin IPv6 (si se usa). Las
opciones son:
-


Interfaz local de enlace: seleccione la interfaz local de enlace en la lista.
Nombre/direccin IP del servidor SCP: ingrese la direccin IP o el nombre

Si la opcin de Mtodo de guardar es Descargar (reemplazo de un archivo en el

swtich con una versin nueva de otro dispositivo), haga lo siguiente:
Nombre del archivo de origen: ingrese el nombre del archivo de origen.
54
Tipo de archivo de destino: seleccione el tipo de archivo de configuracin.

Si el Mtodo de guardar es Copia de seguridad (copia un archivo a otro

dispositivo), ingrese los siguientes campos (adems de aquellos campos que
figuran ms arriba):
Tipo de archivo de origen: seleccione el tipo de archivo de configuracin.

Datos confidenciales: seleccione cmo deberan incluirse los datos

siguientes:
-

texto simple.

Nombre de archivo de destino: nombre de archivo al cual se copia.
PASO 6 Haga clic en Aplicar. Se actualiza el archivo o se realiza un respaldo del mismo.

La pgina Propiedades de archivos de configuracin le permite ver cundo se
crearon los distintos archivos de configuracin del sistema. Tambin puede
eliminar la configuracin de inicio o la configuracin de archivos de respaldo, pero
no puede eliminar los otros tipos de archivo de configuracin.
NOTA Si el dispositivo funciona en modo de apilamiento nativo, los archivos de
configuracin se toman desde la unidad maestra.
55
Para establecer si se crearn los archivos de configuracin de duplicado, limpie

los archivos de configuracin y vea cundo se crearon los archivos de
configuracin:
PASO 1 Haga clic en Administracin > Administracin de archivo > Propiedades de
archivo de configuracin. Se abre la pgina Propiedades de archivos de

configuracin.
PASO 2 De ser necesario, deshabilite la Configuracin de duplicado automtico. Esta
accin deshabilita la creacin automtica de archivos de configuracin de

duplicado. Al deshabilitar esta funcin, el archivo de configuracin de duplicado, si
existe, se elimina. Consulte la seccin Tipos de archivos de sistema para obtener
una descripcin de los archivos de configuracin y por qu no querra crear
automticamente archivos de configuracin de duplicado.
PASO 3 De ser necesario, seleccione Configuracin de inicio o Configuracin de respaldo,
o ambas, y haga clic en Borrar archivos para borrar estos archivos.

En esta pgina se muestran los siguientes campos:
Nombre del archivo de configuracin: se muestra el tipo de archivo.
Hora de creacin: se muestra la fecha y la hora en que se modific el

archivo.

Al hacer clic en Aplicar en una ventana, los cambios que hizo en las opciones de
configuracin del switch se guardan solo en la configuracin en ejecucin. Para
conservar los parmetros en la configuracin en ejecucin, esta debe copiarse en
otro tipo de configuracin o guardarse en otro dispositivo.
PRECAUCIN A menos que la configuracin en ejecucin se copie en la configuracin de inicio u
otro archivo de configuracin, al reiniciar el switch se pierden todos los cambios

realizados desde la ltima vez que se copi el archivo.
56
Se permiten las siguientes combinaciones de copiado de tipos de archivo

internos:
De la configuracin en ejecucin a la configuracin de inicio o la

configuracin de respaldo
De la configuracin de inicio a la configuracin de respaldo
De la configuracin de respaldo a la configuracin de inicio
De la configuracin de duplicado a la configuracin de inicio o la

configuracin de respaldo
Para copiar un tipo de archivo de configuracin a otro tipo de archivo de

configuracin:
PASO 1 Haga clic en Administracin > Administracin de archivo > Copiar/guardar
configuracin. Se abre la pgina Copiar/guardar configuracin.

PASO 2 Seleccione el Nombre de archivo de origen que desea copiar. Solo los tipos de
archivo se muestran (descritos en la seccin Archivos y tipos de archivo).

PASO 3 Seleccione el Nombre de archivo de destino que sobrescribir el archivo de
origen.
Si va a realizar una copia de seguridad de un archivo de configuracin,

seleccione uno de los siguientes formatos para el archivo de respaldo.
-
Excluir: no se incluyen datos confidenciales en el respaldo.
Cifrado: se incluyen datos confidenciales en el respaldo en forma

cifrada.
Texto simple: se incluyen datos confidenciales en el respaldo en forma

de texto simple.

PASO 4 El campo Guardar icono intermitente indica si un icono parpadea cuando hay
datos sin guardar. Para habilitar o deshabilitar esta funcin, haga clic en Habilitar/
deshabilitar la opcin de guardar icono intermitente.
PASO 5 Haga clic en Aplicar. Se copia el archivo.
57

El switch soporta la configuracin automtica de DHCP, lo que proporciona un
medio para transmitir informacin de configuracin (incluida la direccin IP de un
servidor TFTP TFTP o SCP y un nombre de archivo) a hosts en una red TCP/IP.
Segn este protocolo, la funcin de configuracin automtica habilita a un switch a
descargar archivos de configuracin desde un servidor de TFTP/SCP.
Por opcin predeterminada, el switch se habilita como cliente DHCP cuando la
funcin de configuracin automtica est habilitada.
El proceso de configuracin automtica tambin admite la descarga de un archivo
de configuracin sin informacin confidencial, o un archivo de configuracin que
incluya informacin confidencial como claves TACACS+ y claves SSH/SSL,
mediante el uso del Protocolo de copia asegurada (SCP).
Activacin de la configuracin automtica DHCP

El proceso de configuracin automtica se activa en los siguientes casos:
Luego del reinicio cuando una direccin IP se asigna o renueva

dinmicamente (con DHCP).
Por solicitud explcita de renovacin de DCHP, y si el switch y el servidor

estn configurados para ello.
Por renovacin automtica de la concesin de DHCP.
Nombre/direccin del servidor

Puede especificar la direccin IP o el nombre del servidor TFTP/SCP. Este
servidor se utiliza si no se especific ninguna direccin IP al mensaje de DCHP.
Este mensaje de DHCP es el mensaje de presentacin de DHCP que proviene del
servidor DHCP. Las opciones posibles son las opciones bottp sname y siadrr y la
opcin DHCP 150 o la opcin 66. Es un parmetro opcional.
Nombre del archivo de configuracin de respaldo

Puede especificar el archivo de configuracin de respaldo. Este archivo se usa si
no se especific ningn nombre de archivo en el mensaje DHCP. Parmetro
opcional.
58
Protocolo de descarga de configuracin automtica

El protocolo de descarga de configuracin automtica puede configurarse como
se indica a continuacin:
Extensin automtica de archivo: si selecciona esta opcin, puede proporcionar
una extensin de archivo (la extensin predeterminada del archivo es scp). Los
archivos con esta extensin especfica de archivo se descargan con el uso de
SCP (por SSH), mientras que los archivos con otras extensiones se descargan con
TFTP. Por ejemplo, si el archivo de extensin especificado es .xyz, los archivos con
la extensin .xyz se descargarn usando SCP, y los archivos con otras extensiones
se descargarn mediante TFTP. La opcin predeterminada es Extensin
automtica de archivo.
Solo TFTP: la descarga se realiza a travs de TFTP sin importar la

extensin del archivo del nombre de archivo de configuracin.
Solo SCP: la descarga se realiza a travs de SCP (por SSH) sin importar la
extensin del archivo del nombre de archivo de configuracin.
Parmetros de autenticacin del cliente SSH

Por opcin predeterminada, la autenticacin remota del servidor ssh est
deshabilitada, por lo que el dispositivo acepta cualquier servidor ssh remoto sin
presencia de red. Puede deshabilitar la autenticacin remota del servidor ssh para
permitir conexiones nicamente desde servidores en una lista de servidores
confiables.
Los parmetros de autenticacin del cliente SSH se requieren para acceder al
servidor SSH por el cliente (que es el switch). Los parmetros de autenticacin de
cliente SSH predeterminados son:
Mtodo de autenticacin SSH: nombre de usuario y contrasea
Nombre de usuario SSH: annimo
Contrasea SSH: annimo
Tenga en cuenta que los parmetros de autenticacin del cliente SSH tambin
pueden usarse para descargar un archivo para descarga manual (descarga que
no se realiza mediante la funcin de configuracin automtica de DHCP).
59
Proceso de configuracin automtica

Cuando se activa el proceso de configuracin automtica, ocurre la siguiente
secuencia de eventos:
Se accede al servidor DHCP para adquirir la direccin IP del servidor TFTP/

SCP y el nombre del archivo de configuracin. Estos parmetros se envan a
los parmetros de la opcin DCHP.
Si el servidor DHCP no proporcion una direccin IP, se utiliza la direccin

del servidor de respaldo (si la configur el usuario).
Si el servidor DHCP no proporcion la direccin IP y el parmetro de

direccin del servidor TFTP/SCP de respaldo est vaco, el proceso de
configuracin automtica se detiene.
NOTA En las dos vietas anteriores, la direccin IP se refiere a la direccin o
nombre de host del servidor TFTP o SCP.
Si el servidor DHCP configur el nombre de archivo de configuracin,

entonces el protocolo de copia (SCP/TFTP) se selecciona tal como se
describe en Configuracin automtica DHCP.
Al descargar con SCP, el dispositivo acepta cualquier servidor SCP/SSH (sin

autenticacin) si alguna de las siguientes opciones es verdadera:
-
El proceso de autenticacin de servidor SSH est deshabilitado. Tenga

en cuenta que, por opcin predeterminada, la autenticacin del servidor
SSH est deshabilitada para permitir la descarga de archivos de
configuracin para los dispositivos con configuracin predeterminada
de fbrica (por ejemplo, dispositivos sin red).
El servidor SSH se configura en la lista de Servidores confiables SSH.
Si se habilita el proceso de autenticacin del servidor SSH, y el servidor

SSH no se encuentra en la lista de servidores confiables de SSH, el
proceso de configuracin automtica se detiene.
Si el servidor DHCP no suministr un nombre de archivo de configuracin,

se usa el nombre de archivo de configuracin de respaldo.
Si el servidor DHCP no suministr el nombre de archivo de configuracin, y

el nombre de archivo de configuracin de respaldo est vaco, el proceso
de configuracin automtica se detiene.
60
Se accede al servidor TFTP/SCP para descargar el archivo desde all.

El proceso de descarga se lleva a cabo solamente si el nuevo archivo de
configuracin es distinto del archivo de configuracin actual (an si el
archivo de configuracin actual est vaco).
Se generar un mensaje SYSLOG para reconocer que el proceso de

Configuracin automtica se ha completado.
Proceso de configuracin automtica con configuracin

predeterminada de fbrica
Los dispositivos con configuracin predeterminada de fbrica admiten la
configuracin automtica con o sin datos confidenciales. El proceso de descarga
si describe en el documento Administracin de datos confidenciales.
Configuracin automtica de DHCP

Se utiliza la pgina Configuracin automtica DHCP para realizar las siguientes
acciones cuando el mensaje de DHCP no proporciona ninguna informacin:
Habilite la funcin de configuracin automtica de DHCP.
Especifique el protocolo de descarga.
Configure el switch para que reciba informacin de configuracin desde un

archivo especfico en un servidor especfico.
Tenga en cuenta las siguientes limitaciones con respecto al proceso de

configuracin automtica de DHCP:
Un archivo de configuracin que se coloca en el servidor TFTP/SCP debe

coincidir con los requisitos de forma y formato de un archivo de
configuracin compatible. Se comprueba la forma y el formato del archivo,
pero la validez de los parmetros de configuracin no se comprueba antes
de cargarlo a la configuracin de inicio.
Para asegurarse de que la configuracin de los dispositivos funcione de la

manera prevista, y debido a la asignacin de diferentes direcciones IP con
cada ciclo de renovacin DHCP, se recomienda que las direcciones IP se
asocien a direcciones MAC en la tabla del servidor DHCP. Esto garantiza
que cada dispositivo posea su propia direccin IP reservada y dems
informacin relevante.
61
Para establecer la configuracin automtica del servidor DHCP:

PASO 1 Haga clic en Administracin > Administracin de archivo > Configuracin
automtica DHCP. Se abre la pgina Configuracin automtica de DHCP.

PASO 2 Ingrese los valores.
Configuracin automtica va DHCP: seleccione este campo para habilitar

la configuracin automtica de DHCP, es decir, que el archivo de
configuracin se descargar automtica al dispositivo desde el servidor
DHCP.
Protocolo de descarga: seleccione una de las siguientes opciones:

-
Extensin automtica por archivo: seleccione esta opcin para indicar

que la configuracin automtica utiliza el protocolo TFTP o SCP, segn la
extensin del archivo de configuracin. Si selecciona esta opcin, la
extensin del archivo de configuracin no necesariamente debe
brindarse. En tal caso, se utilizar la extensin predeterminada (como se
indica a continuacin).
Extensin de archivo para SCP: si se selecciona Extensin automtica

por archivo, puede indicar la extensin del archivo en este paso.
Cualquier archivo con esta extensin se descargar mediante SCP. Si no
se ingresa ninguna extensin, se utilizar la extensin de archivo
predeterminada .scp.
Solo TFTP: seleccione esta opcin para indicar que solamente el

protocolo TFTP debe usarse para configuracin automtica.
Solo SCP: seleccione esta opcin para indicar que solamente el

protocolo SCP debe usarse para configuracin automtica.
Configuracin SSH para SCP: cuando utilice SCP (Protocolo de copia de

seguridad) para descargar archivos de configuracin, seleccione una de las
siguientes opciones:
-
Autenticacin remota de servidor SSH: haga clic en el enlace Habilitar/

Deshabilitar para navegar a la pgina Autenticacin del servidor SSH.
All puede habilitar la autenticacin del servidor SSH que se utilizar para
la descarga e ingresar el servidor SSH si se le solicita.
Autenticacin de cliente SSH: haga clic en el enlace Credenciales de

sistema para ingresar las credenciales de usuario en la pgina
Autenticacin del usuario SSH.
62
PASO 3 Ingrese la informacin opcional que se muestra a continuacin que se utilizar en
caso de que el servidor DHCP no haya recibido el nombre de archivo de

configuracin.
Definicin del servido r de respaldo: seleccione Por direccin IP o Por

nombre para configurar el servidor.
Nombre/direccin IP del servidor de respaldo: ingrese la direccin IP o el

nombre del servidor que se utilizar si no se especific una direccin IP del
servidor en el mensaje DHCP.
Nombre de archivo de configuracin de respaldo: ingrese la ruta y el

nombre del archivo que se utilizar cuando no se haya especificado un
nombre de archivo de configuracin en el mensaje DHCP.
En la ventana se muestra lo siguiente:
Direccin IP del servidor de la ltima configuracin automtica: se

muestra la direccin IP del servidor que se utiliz por ltima vez para realizar
la configuracin automtica.
Nombre del archivo de la ltima configuracin automtica: se muestra el

ltimo nombre de archivo que us el switch en la configuracin automtica.
NOTA El ltimo nombre de archivo de configuracin automtica se
compara con la informacin recibida desde un servidor DHCP cuando se
recibe una direccin IP para el switch. Si estos valores no coinciden, el
switch transfiere el archivo de configuracin del servidor identificado por el
servidor DHCP al archivo de configuracin de inicio y da comienzo a un
reinicio. Si los valores coinciden, no se realiza accin alguna.
PASO 4 Haga clic en Aplicar. La funcin de configuracin automtica DHCP se actualiza en
la configuracin en ejecucin.
63
5
Administracin de pilas
En esta seccin se describe cmo se administran las pilas. Abarca los siguientes
temas:
Informacin general
Modo de pila
Puertos de pila
Topologa de pila
Informacin general
Los dispositivos pueden funcionar por su cuenta o se pueden conectar a una pila
de hasta cuatro dispositivos (unidades).
Cuando una unidad funciona por s misma, su modo de pila es independiente.
Cuando funciona como parte de una pila, su modo de pila es apilamiento nativo. En
el modo apilamiento nativo, todas las unidades de la pila deben ser del mismo tipo
(Sx500 o SG500X). De manera predeterminada, todos los dispositivos Sx500 y
SG500X funcionan en modo apilamiento nativo.
64
Las unidades de las pilas se conectan a travs de puertos de pila. Estos

dispositivos despus se administran de manera colectiva como un dispositivo
lgico nico.
Esta pila se basa en una unidad maestro/de respaldo nica y varios modelos
esclavos.
A continuacin, se muestra un ejemplo de cuatro dispositivos conectados a una
pila:
Arquitectura de pila
Las pilas ofrecen los siguientes beneficios:
La capacidad de red se puede expandir o contraer en forma dinmica. Si se

agrega una unidad, el administrador puede aumentar la cantidad de
puertos de la pila en forma dinmica mientras que mantiene un dispositivo
nico administrado en forma lgica. De la misma manera, las unidades se
pueden eliminar para disminuir la capacidad de la red.
El sistema apilado admite redundancia en las siguientes maneras:

-
La unidad de respaldo se convierte en la unidad maestro de la pila si la

unidad maestro original falla.
El sistema de pila admite dos tipos de topologas: en cadena y en anillo.

En la topologa en anillo, si uno de los puertos de pila falla, la pila sigue
funcionando en la topologa en cadena.
65
En los puertos de las pilas de anillos se admite un proceso conocido

como Recuperacin tras fallas del enlace de pila rpido, para reducir la
duracin de la prdida de paquetes de datos cuando uno de los enlaces
de los puertos de pila falla. Hasta que la pila se recupera para la nueva
topologa en cadena, el puerto de pila que actualmente est inactivo
enva los paquetes que supuestamente deban ser enviados a travs de
un bucle de retorno a travs de este, para que los paquetes lleguen a
destino utilizando los enlaces de pila restantes. Durante la recuperacin
tras fallas del enlace de pila rpido, las unidades maestro/de respaldo
permanecen activas y en funcionamiento.

Las pilas estn compuestas por un mximo de cuatro unidades. Las unidades de
las pilas son de uno de los siguientes tipos:
Maestro: el ID de la unidad maestro debe ser 1 o 2. La pila se administra a

travs de la unidad maestro que se administra a s misma, a la unidad de
respaldo y a las unidades esclavo.
De respaldo: Si la unidad maestro falla, la unidad de respaldo asume el rol

de maestro (conmutacin). El ID de la unidad de respaldo debe ser 1 o 2.
Esclavo: estas unidades son administradas por la unidad maestro.
Para que un grupo de unidades funcione como una pila, debe haber una unidad
habilitada por la unidad maestro. Cuando la unidad habilitada por la unidad
maestro falla, la pila sigue funcionando siempre que haya una unidad de respaldo
(la unidad activa que asume el rol de maestro).
Modo de pila
Todos los dispositivos Sx500 y SG500X pueden funcionar en uno de los
siguientes modos:
Independiente: los dispositivos independientes no tienen puertos de pila.

Tienen cuatro puertos de red y no se unen a ningn otro dispositivo para
formar pilas. El dispositivo funciona por su cuenta.
66
Apilamiento nativo: los dispositivos pueden unirse a otros dispositivos en

modo apilamiento nativo con sus puertos de pila para formar pilas. Todas
las unidades del apilamiento nativo deben ser del mismo tipo (todas Sx500
o todas SG500X), excepto las unidades SF500 y SG500, que se pueden
apilar juntas.
Cambio de modo de pila

Los dispositivos pueden cambiar de modo apilamiento nativo a modo
independiente (para eliminarlo de la pila) o viceversa (a fin de prepararlo para que
forme parte de una pila). El cambio de modo de pila puede afectar si se conserva
la configuracin de inicio y el modo de sistema del switch (de capa 2 o de capa 3)
despus del reinicio. La eliminacin de la configuracin de inicio se realiza durante
el proceso de inicio durante el reinicio.
El modo de sistema (de capa 2 o de capa 3) de las unidades de respaldo y esclavo
se toma de la unidad habilitada por la unidad maestro. Este modo se puede
configurar antes del proceso de reinicio y puede verse afectado despus del
reinicio (consulte la siguiente tabla).
A continuacin, se describe si la configuracin de inicio y el modo de sistema se
conservan despus del reinicio.
Cambio del modo de apilamiento
SG500X
De apilamiento
independiente a
nativo
Sx500
Configuracin
de inicio
Modo de
sistema (de
capa 2/3)
Configuracin
de inicio
Modo de
sistema (de
capa 2/3)
La configuracin
de inicio se
conserva solo
cuando el ID de
la unidad se
establece en 1
(forzar
configuracin).
El modo de
sistema de capa
3 siempre es
compatible.
La configuracin
de inicio se
conserva solo
cuando el ID de
la unidad se
establece en 1
(forzar
configuracin).
El modo actual
se conserva.
67
SG500X
De apilamiento
nativo a
independiente
Sx500
Configuracin
de inicio
Modo de
sistema (de
capa 2/3)
Configuracin
de inicio
Modo de
sistema (de
capa 2/3)
Se elimina la
configuracin
inicial.
El modo de
sistema de capa
3 siempre es
compatible.
Se elimina la
configuracin de
inicio.
Si el modo
actual no se
establece
especficamente
antes del
reinicio, el
dispositivo
estar en modo
de sistema de
capa 2 despus
del reinicio.
Puertos de pila
Los puertos de pila se utilizan para conectar unidades en la pila y para transferir
datos y paquetes de protocolo entre las unidades.
Si se configura la seleccin automtica de la velocidad de puerto de pila, el
sistema identifica automticamente el tipo de cable de pila y selecciona la
velocidad ms rpida que admiten el cable y el puerto.
Si no se configura la seleccin automtica de la velocidad de puerto de pila, todos
los puertos de pila se deben establecer en la misma velocidad para que la pila
funcione correctamente.
A continuacin, se describen los tipos de puertos de pila posibles y sus
velocidades en los distintos tipos de dispositivos:
Velocidades de puertos de pila
Tipo de
unidades en
la pila del
dispositivo
Nombre del
puerto de pila
del panel frontal
Velocidades de
puerto de pila en
la pila
Seleccin de
velocidad
automtica
disponible
SG500X
S1, S2 - XG
10 G/1 G
SG500X
S1, S2 - 5G
5 G/1 G
Sx500
S1, S2
1G
No
Sx500
S3, S4
5 G/1 G
68
Cuando un dispositivo Sx500 funciona en modo apilamiento nativo, S1 y S2

funcionan como puertos de red comunes, y S3 y S4 funcionan como puertos de
pila de manera predeterminada. En SG500X, S1 y S2 son puertos de pila de
manera predeterminada. Puede reconfigurar manualmente S1/S2 y S3/S4 como
puertos de red o puertos de pila. Todos los puertos de pila de un dispositivo que
funcionan en modo independiente se convierten automticamente en puertos de
red Ethernet comunes.
Tipos de cables
A continuacin se describen las combinaciones posibles de tipos de cables y
puertos.
Disponibilidad de velocidades de puerto por tipo de cable
Puertos de pila
Puertos de red
Tipo de cable
S1, S2 - 5G
para
SG500X y
S3, S4 para
Sx500
S1, S2 en
Sx500
S1, S2 - XG
en SG500X
S1, S2 - 5G
para
SG500X y
S3, S4 para
Sx500
S1, S2 en
Sx500
S1, S2 - XG
en SG500X
Cable de cobre
Cisco SFPH10GB-CU1M
5G
1G
10 G
1G
1G
10 G
Cable de cobre
Cisco SFPH10GB-CU3M
5G
1G
10 G
1G
1G
10 G
Cable de cobre
Cisco SFPH10GB-CU5M
5G
1G
10 G
1G
1G
10 G
SFP-10 G-SR de
Cisco
No
soportados
No
soportados
10 G
No
soportados
No
soportados
10 G
SFP-10 G-LRM
de Cisco
No
soportados
No
soportados
10 G
No
soportados
No
soportados
10 G
SFP-10 G-LR de
Cisco
No
soportados
No
soportados
10 G
No
soportados
No
soportados
10 G
Mdulo MGBSX1
de 1 G SFP
1G
1G
1G
1G
1G
1G
Mdulo MGBT1
de 1 G SFP
1G
1G
1G
1G
1G
1G
69
Disponibilidad de velocidades de puerto por tipo de cable

Puertos de pila
Puertos de red
Tipo de cable
S1, S2 - 5G
para
SG500X y
S3, S4 para
Sx500
S1, S2 en
Sx500
S1, S2 - XG
en SG500X
S1, S2 - 5G
para
SG500X y
S3, S4 para
Sx500
S1, S2 en
Sx500
S1, S2 - XG
en SG500X
Mdulo MGBLX1
de 1 G SFP
1G
1G
1G
1G
1G
1G
Mdulo MGBBX1
de 1 G SFP
1G
1G
1G
1G
1G
1G
Mdulo SFP
MFELX1 de
100 Mbs
No
soportados
No
soportados
No
soportados
No
soportados
100 Mbs
No
soportados
Mdulo SFP
MFEFX1 de
100 Mbs
No
soportados
No
soportados
No
soportados
No
soportados
100 Mbs
No
soportados
Mdulo SFP
MFEBX1 de
100 Mbs
No
soportados
No
soportados
No
soportados
No
soportados
100 Mbs
No
soportados
Otros SFP
1G
Segn:
Segn:
1G
Segn:
Segn:
Velocidad
de usuario
forzada
Velocidad
de usuario
forzada
Velocidad
de usuario
forzada
Velocidad
de usuario
forzada
Velocidad
EEPROM
Velocidad
EEPROM
Velocidad
EEPROM
Velocidad
EEPROM
Velocidad
de 1 G
Velocidad
de 1 G
Velocidad
de 1 G
Velocidad
de 10 G
70
Topologa de pila
Tipos de topologa de pila
Las unidades de una pila se pueden conectar en uno de los siguientes tipos de
topologas:
Topologa en cadena: un puerto de pila (izquierda o derecha) de la primera unidad
se conecta al puerto de pila de la segunda unidad. Todas las unidades de la pila
estn conectadas con el puerto de pila de la unidad siguiente, excepto la primera
y la ltima unidad. A continuacin se muestra una topologa en cadena:
Pila en topologa en cadena
Topologa en anillo: todas las unidades de la pila estn conectadas en una cadena.
La ltima unidad est conectada con la primera unidad. A continuacin se muestra
una topologa en anillo:
71
Pila en topologa en anillo
Una topologa en anillo es ms confiable que una topologa en cadena. La falla de

un enlace en un anillo no afecta a la funcin de la pila, mientras que la falla de un
enlace en una conexin de cadenas hace que la pila se divida.
Deteccin de topologa
Se establece una pila a travs de un proceso llamado deteccin de topologa.
Este proceso se activa mediante un cambio en el estado activo/inactivo de un
puerto de pila.
El proceso se activa en los siguientes casos:
Cambio de la topologa de pila de anillo a cadena
Fusin de dos pilas en una sola pila
Divisin de pilas
Insercin de otras unidades esclavo en la pila, por ejemplo porque las

unidades fueron previamente desconectadas de la pila por una falla. Esto
puede ocurrir en una topologa en cadena, si una unidad del medio de la
pila falla.
72
Durante la deteccin de topologa, cada unidad de la pila intercambia paquetes

que contienen informacin sobre la topologa. Una vez que se completa el
proceso de deteccin de topologa, cada unidad contiene la tabla de informacin
de asignacin de pila de todas las unidades de la pila.
Una vez que se completa la deteccin de topologa, se le asigna a cada unidad de
una pila un ID de unidad nico.
El ID de unidad se establece en la pgina Modo de sistema y administracin de
pilas en una de las siguientes maneras:
Automticamente (auto): el ID de unidad se asigna mediante el proceso de

deteccin de topologa. Este es el valor predeterminado.
Manualmente: el ID de unidad se establece en forma manual.
ID de unidad duplicada
Si asigna el mismo ID de unidad a dos unidades separadas, solo una de ellas
puede unirse a la pila con ese ID de unidad.
Si se seleccion la numeracin automtica, se asigna un nmero de unidad nuevo
a la unidad duplicada. Si no se seleccion la numeracin automtica, la unidad
duplicada se cierra.
En los siguientes ejemplos se muestra dnde puede ocurrir la duplicacin de ID
de unidad.
A continuacin, se muestra un caso donde las dos unidades recibieron el mismo ID
de unidad en forma manual. La segunda unidad 1 se cerr posteriormente.
73
Cierre de la unidad duplicada
En la figura anterior, la unidad 1 no se une a la pila y se cierra. No gan el proceso

de seleccin de la unidad maestro entre las unidades habilitadas por la unidad
maestro (1 o 2).
A continuacin, se muestra un caso donde una de las unidades duplicadas
(numerada automticamente) se vuelve a numerar.
Unidad duplicada que se vuelve a numerar
A continuacin, se muestra un caso donde una de las unidades duplicadas se

vuelve a numerar. La que tiene MAC ms bajo retiene su ID de unidad (consulte
Proceso de seleccin de unidad maestro para ver una descripcin de este
proceso).
74
Duplicacin entre dos unidades con ID de unidad de numeracin automtica
Si una pila nueva tiene ms que la cantidad mxima de unidades (4), todas las
unidades adicionales se cierran.

La unidad maestro se selecciona entre las unidades habilitadas por la unidad
maestro (1 o 2). Los factores para seleccionar la unidad maestro se tienen en
cuenta con la siguiente prioridad:
Forzar maestro: Si la opcin Forzar maestro est activada en una unidad, se

selecciona. Si una unidad est forzada, permanece forzada incluso
despus de reiniciarse.
Tiempo de activ. del sistema: Las unidades habilitadas por la unidad

maestro intercambian tiempo, que se mide en segmentos de 10 minutos. La
unidad que tiene la mayor cantidad de segmentos es seleccionada como
maestro. Nota: El tiempo de actividad de la unidad de respaldo se retiene
cuando es seleccionada como maestro en el proceso de recuperacin tras
fallas del switch.
ID de unidad: Si las dos unidades tienen la misma cantidad de segmentos

de tiempo, se selecciona la unidad que tiene el ID de unidad ms bajo.
Direccin MAC: Si los ID de las dos unidades son iguales, se elije la unidad
que tiene la direccin MAC ms baja.
75
NOTA Para que una pila funcione, debe tener una unidad maestro. La unidad maestro se
define como la unidad activa que asume el rol de maestro. La pila debe contener
una unidad 1 o unidad 2 despus del proceso de seleccin de la unidad maestro.
De lo contrario, la pila y todas sus unidades se cierran en forma parcial; no se
apagan por completo, pero se detiene el trfico.

En esta seccin se describen distintos eventos que pueden ocasionar un cambio
en la pila. Las topologas de pila cambian cuando ocurre alguna de las siguientes
situaciones:
Una o ms unidades se conectan a la pila o se desconectan de ella.
Alguno de los enlaces de sus puertos de pila estn activos o inactivos.
La pila cambia entre formacin de anillo y de cadena.
Cuando las unidades se agregan a la pila o son eliminadas de ella, se activan los
cambios de topologa, el proceso de eleccin de unidad maestro y la asignacin
de ID de unidad.
Conexin/Desconexin de un cable de pila

La conexin o la desconexin de un cable de pila o la configuracin de la
activacin de desactivacin de un enlace de puerto de pila activan un cambio de
topologa. Esto puede ser el resultado de agregar o eliminar una unidad de la pila o
de cambiar la topologa de la pila entre una cadena y un anillo.
Conexin de una unidad nueva

Cuando se inserta una unidad en la pila, se activa un cambio en la topologa de la
pila. Se asigna el ID de la unidad (en el caso de la numeracin automtica) y se
descarga la configuracin de la unidad maestro.
Puede ocurrir uno de los siguientes casos al conectar una unidad nueva a una pila
existente:
No existe ningn ID de unidad duplicada.

-
Las unidades que tienen ID definidos por el usuario retienen su ID de

unidad.
76
Las unidades que tienen ID asignados en forma automtica retienen su

ID de unidad.
Las unidades predeterminadas de fbrica reciben los ID de unidad en

forma automtica, comenzando por el ID ms bajo disponible.
Existen uno o ms ID de unidad duplicada. La numeracin automtica

resuelve conflictos y asigna los ID de unidad. En caso de numeracin
manual, solo una unidad retiene su ID de unidad y la(s) dems se cierra(n).
La cantidad de unidades de la pila supera la cantidad mxima de unidades

permitida. Las unidades nuevas que se unieron a la pila estn desactivadas
y se enva una notificacin al servidor SYSLOG.
A continuacin, se muestra un ejemplo de numeracin automtica cuando una

unidad habilitada por la unidad maestro se une a la pila. Hay dos unidades con ID
de unidad = 1. El proceso de seleccin de unidad maestro selecciona a la mejor
unidad para que sea la unidad maestro (su reinicio fue ms largo que el original).
La otra unidad se convierte en unidad de respaldo.
Unidad habilitada por la unidad maestro numerada automticamente
A continuacin, se muestra un ejemplo de numeracin automtica cuando una

unidad nueva se une a la pila. Las unidades existentes retienen su ID. La unidad
nueva recibe el ID ms bajo disponible.
77
Unidad de numeracin automtica
A continuacin, se muestra lo que pasa cuando una unidad asignada por el usuario
y habilitada por la unidad maestro con ID de unidad 1 se une a una pila que ya
tiene una unidad maestro con ID de unidad asignada por el usuario 1. La unidad 1
ms nueva no se une a la pila y se desactiva.
Unidad habilitada por la unidad maestro asignada por el usuario

Fallo de la unidad maestro
Si la unidad maestro falla, la unidad de respaldo toma el rol de maestro y contina
operando la pila normalmente.
78
Para que la unidad de respaldo pueda tomar el lugar de la unidad maestro, ambas
unidades mantienen una espera suave todo el tiempo. Durante la espera suave, la
unidad maestro y sus unidades de respaldo se sincronizan con la configuracin
esttica (contenida en los archivos de configuracin de inicio y en ejecucin). Los
archivos de configuracin de respaldo no estn sincronizados. El archivo de
configuracin de respaldo permanece en la unidad maestro anterior.
La informacin dinmica de estado de proceso, como la tabla de estado de STP,
las direcciones MAC aprendidas dinmicamente, los tipos de Smartport
aprendidos dinmicamente, las tablas de multidifusin MAC, LACP y GVRP no
est sincronizada.
Cuando se configura una unidad maestro, la unidad de respaldo se sincroniza
inmediatamente. La sincronizacin se realiza tan pronto como se ejecuta un
comando. Esto es transparente.
Si una unidad se inserta en una pila en ejecucin y se selecciona como una unidad
de respaldo, la unidad maestro la sincroniza de manera que tenga una
configuracin actualizada y, a continuacin, genera un SYSLOG.
Conmutacin de la unidad maestro/de respaldo

Cuando una unidad maestro falla o cuando configura una unidad maestro de
fuerza en la unidad de respaldo, ocurre una conmutacin.
La unidad de respaldo se convierte en unidad maestro y todos sus procesos y
pilas de protocolo se inicializan para tomar la responsabilidad de toda la pila.
Como resultado, no hay reenvo de trfico en esta unidad temporalmente, pero las
unidades esclavo permanecen activas.
NOTA Cuando se utiliza STP y los puertos se encuentran en enlace ascendente, el estado
del puerto STP es temporalmente Bloqueo y no puede reenviar el trfico ni

aprender direcciones MAC. Esto es para evitar bucles de rbol de expansin entre
las unidades activas.
Tratamiento de las unidades esclavo

Mientras que la unidad de respaldo se convierte en la unidad maestro, las
unidades esclavo activas permanecen activas y siguen reenviando paquetes
segn la configuracin de la unidad maestro original. Esto minimiza la interrupcin
del trfico de datos de las unidades. Una vez que la unidad de respaldo completa
la transicin al estado de la unidad maestro, inicializa las unidades esclavo de a
una por vez y realiza las siguientes operaciones:
79
Borrar y restaurar los parmetros predeterminados de la configuracin de

la unidad esclavo (para evitar una configuracin incorrecta de la unidad
maestro nueva). Como resultado, no hay reenvo de trfico en la unidad
esclavo.
Aplicar configuraciones relacionadas con el usuario a la unidad esclavo.
Intercambiar informacin dinmica, como el estado STP del puerto, las

direcciones MAC y el estado de enlace activo/inactivo entre la unidad
maestro y la unidad esclavo. El reenvo de paquetes en la unidad esclavo se
retoma despus de que el estado de sus puertos se establece para que la
unidad maestro realice el reenvo segn STP.
NOTA Ocurre un desborde de paquetes a direcciones MAC de
unidifusin desconocidas hasta que se aprenden o se vuelven a

aprender las direcciones MAC.
Reconexin de la unidad maestro original despus de una

falla
Despus de la recuperacin tras fallas, si la unidad maestro original se conecta
nuevamente, se realiza el proceso de seleccin de unidad maestro. Si se vuelve a
seleccionar la unidad maestro original (unidad 1) para que sea la unidad maestro,
la unidad maestro actual (la unidad 2, que era la unidad de respaldo original) se
reinicia y se convierte en la unidad de respaldo nuevamente.
NOTA Durante la recuperacin tras fallas de la unidad maestro/de respaldo, se retiene el
tiempo de actividad de la unidad de respaldo.

Todas las unidades de la pila deben ejecutar la misma versin de software
(firmware y bootcode). Cada unidad de la pila descarga automticamente el
firmware y bootcode de la unidad maestro si el firmware y el cdigo de inicio que
ejecutan la unidad y la unidad maestro son diferentes. La unidad se reinicia
automticamente para ejecutar la versin nueva.
80

En esta seccin se describe cmo configurar un dispositivo independiente, una
pila y los dispositivos de la pila. Si desea obtener informacin adicional acerca de
las opciones de hardware relacionadas con la pila, consulte la Gua de inicio
rpido.
En la pgina Modo de sistema y administracin de pilas puede realizar lo
siguiente:
Cambiar el modo de un dispositivo de independiente a apilamiento nativo.
Cambiar el modo de apilamiento, el ID de la unidad de pila, los puertos de

pila y la velocidad de bits del puerto de pila de los dispositivos de una pila.
Cambiar el modo de sistema (de capa 2/3) de un dispositivo independiente

o de la pila.
Configuracin de pila
Para configurar la pila, haga lo siguiente:
PASO 1 Haga clic en Administracin > Modo de sistema y administracin de pilas. Se
abre la pgina Modo de sistema y administracin de pilas .

El estado operativo de un dispositivo independiente o de una pila se muestra en el
bloque Estado operativo:
Modo de pila: muestra el modo de pila del dispositivo:

-
Independiente: el dispositivo no forma parte de la pila.
Apilamiento nativo: el dispositivo forma parte de la pila.
Topologa de pila: muestra la topologa que est en uso con la pila, la cadena
o el anillo.
Modo de sistema: muestra si la pila/los dispositivos independientes estn

funcionando en modo de sistema de capa 2 o capa 3. En los dispositivos
500X, siempre muestra que el dispositivo est funcionando en modo de
sistema de capa 2 y capa 3.
Maestro de pila: muestra el ID de unidad de la unidad maestro de la pila.
Estado de eleccin de maestro: muestra cmo fue seleccionada la unidad

maestra de la pila. Consulte Proceso de seleccin de unidad maestro.
81
PASO 2 Para configurar el modo de sistema despus del reinicio, seleccione la siguiente
opcin.
Modo de sistema: seleccione si la pila/el dispositivo independiente

funcionar en modo de sistema de capa 2 o capa 3 despus del reinicio. (Se
aplica a los modos Sx500 nicamente, no se aplica a los modelos SG500X).
PASO 3 Configura las unidades en una pila desde la Tabla de configuracin
administrativa de pila. Estos cambios se aplican despus del reinicio.

NOTA Si el dispositivo es un Sx500 y el modo de pila se cambia de
apilamiento nativo a independiente, el dispositivo estar en modo de
sistema de capa 2 despus del reinicio, a menos que cambie el campo
Modo de sistema a capa 3.
El siguiente estado operativo de cada unidad de una pila se muestra en la tabla.
Nmero de unidad de pila: muestra el ID de unidad de una unidad conocida

y activa.
Nombre del modelo: nombre del modelo de una unidad conocida y activa.
Conexin de pila 1: informacin para la primera conexin de pila:
Puerto: nombre del puerto que est conectado.
Velocidad: velocidad del puerto que est conectado.
Vecino: nombre de la unidad de pila del vecino.
Conexin de pila 2: informacin para la segunda conexin de pila:

-
Puerto: nombre del puerto que est conectado.
Velocidad: velocidad del puerto que est conectado.
Vecino: ID de unidad de la unidad de pila del vecino.
Los parmetros configurables de las unidades de una pila son los siguientes (se
aplican despus del reinicio):
Modo de unidad de pila: el modo de pila (apilamiento nativo o

independiente) de la unidad despus del reinicio.
Nmero de unidad de pila: el ID de unidad de la unidad despus del reinicio.

Las opciones disponibles son las siguientes:
-
Automtico: la unidad maestro de la pila asigna automticamente el ID de

unidad de la unidad.
82
1, 2, 3, 4: el ID de unidad de la unidad se asigna manualmente a 1, 2, 3 o 4.
1 - Forzar Maestro: el ID de unidad de la unidad se asigna manualmente

a 1 y la unidad es forzada a tomar el rol de maestro despus del reinicio.
2 - Forzar Maestro: el ID de unidad de la unidad se asigna manualmente

a 2 y la unidad es forzada a tomar el rol de maestro despus del reinicio.
Puertos de pila: el par de puertos que se utilizarn para vincular las

unidades de la pila, si la unidad permanecer en modo apilamiento nativo
despus del reinicio.
Velocidad de puerto de pila: velocidad de los puertos de red para

conectarlos a las unidades vecinas de la pila despus del reinicio.
PASO 4 Haga clic en Aplicar y reiniciar para reiniciar el dispositivo con la configuracin
nueva.
83
6
Informacin general administrativa
En esta seccin se describe cmo ver informacin del sistema y configurar varias
opciones en el switch.
Modelos de switch
Reinicio del switch
Asignacin de TCAM
Ping a un host
Traceroute
Modelos de switch
Todos los modelos pueden administrarse completamente a travs de la utilidad
de configuracin de switch basada en la Web.
En el modo de capa 2 de sistema, el switch reenva los paquetes como un puente
preparado para VLAN. En el modo de capa 3 de sistema, el switch realiza
enrutamiento IPv4 y puenteo preparado para VLAN.
84
NOTA Cada modelo puede configurarse en modo para capa 3 de sistema mediante la
pgina Modo de sistema y administracin de pilas, excepto los modelos SG500X

que siempre se ejecutan tanto en modo para capa 2 y 3 de sistema.
Cuando el switch est en el modo de capa 3 de sistema, el lmite de velocidad de
VLAN y los reguladores de QoS no funcionan, pero s otras funciones del modo
avanzado de QoS.
nicamente los modelos SG500 admiten el protocolo de redundancia de router
virtual (VRRP) y el protocolo de informacin de enrutamiento (RIP).
NOTA Se utilizan las siguientes convenciones de puertos:
GE para puertos Gigabit Ethernet (10/100/1000).
FE para puertos Fast Ethernet (10/100).
XG para puertos 10 Gigabit Ethernet.
La tabla a continuacin describe los distintos modelos, el nmero y tipo de

puertos que poseen y la informacin de Alimentacin por Ethernet (Power over
Ethernet).
Modelos de switch administrados y apilables

Nombre de
modelo
ID del producto
(PID)
Descripcin de los puertos del

dispositivo
SF500-24
SF500-24-K9
Switch administrable y apilable 10/

100 de 24 puertos
SF500-24P
SF500-24P-K9
Switch administrable y apilable

PoE 10/100 de 24 puertos
SF500-48
SF500-48-K9
Switch administrable y apilable 10/

100 de 48 puertos
SF500-48P
SF500-48P-K9
Switch administrable y apilable

PoE 10/100 de 48 puertos
SG500-28
SG5000-28-K9
Switch Gigabit administrable y

apilable de 28 puertos
SG500-28P
SG500-28P-K9

apilable PoE de 28 puertos
Energa
dedicada
a PoE
N. de
puertos
compatibles con
PoE
180 W
24
375 W
48
180 W
24
85
Modelos de switch administrados y apilables (continuacin)

Nombre de
modelo
ID del producto
(PID)
Descripcin de los puertos del

dispositivo
SG500-52
SG500-52-K9

apilable de 52 puertos
SG500-52P
SG500-52P-K9

apilable PoE de 52 puertos
SG500X-24
SG500X-24-K9
Gigabit de 24 puertos con switch

administrable y apilable de 4
puertos Gigabit 10
SG500X-24P
SG500X-24P-K9

administrable y apilable PoE de 4
puertos Gigabit 10
SG500X-48
SG500X-48-K9

administrable y apilable de 4
puertos Gigabit 10
SG500X-48P
SG500X-48P-K9

administrable y apilable PoE de 4
puertos Gigabit 10
Energa
dedicada
a PoE
N. de
puertos
compatibles con
PoE
375 W
48
375 W
24
375 W
48

En la pgina Resumen del sistema se proporciona una vista grfica del switch,
donde se muestra el estado del switch, informacin de hardware, informacin de
la versin del firmware, el estado general de PoE y otros elementos.
Visualizacin del resumen del sistema

Para ver informacin del sistema, haga clic en Estado y estadsticas > Resumen
del sistema. Se abre la pgina Resumen del sistema.
La pgina Resumen del sistema incluye informacin del sistema y el hardware.
86
Informacin del sistema:
Modo de pila del sistema: muestra si el dispositivo es parte de una pila

(Apilamiento nativo o Independiente). Las opciones disponibles son las
siguientes:
Modo operativo del sistema: especifica si el sistema funciona en el modo

de capa 2 o capa 3 del sistema para dispositivos 500. Los dispositivos
SG500X tambin funcionan en modo de capa 2 y capa 3 del sistema, pero
el modo de sistema no puede modificarse. Siempre est en capa 3.
Descripcin del sistema: una descripcin del sistema.
Ubicacin del sistema: ubicacin fsica del switch. Haga clic en Editar para
ir a la pgina Configuracin del sistema e ingresar este valor.
Contacto del sistema: el nombre de una persona de contacto. Haga clic en

Editar para ir a la pgina Configuracin del sistema e ingresar este valor.
Nombre del host: el nombre del switch. Haga clic en Editar para ir a la
pgina Configuracin del sistema e ingresar este valor. De manera
predeterminada, el nombre de host del switch est compuesto por la
palabra switch combinada con los tres bytes menos importantes de la
direccin MAC del switch (los seis dgitos hexadecimales del extremo
derecho).
ID de objeto de sistema: identificacin nica del proveedor del sistema de

administracin de red incluido en la entidad (usado en SNMP).
Tiempo de act. del sist.: el tiempo transcurrido desde el ltimo reinicio.
Hora actual: la hora actual del sistema.
Direccin MAC base: la direccin MAC del switch. Si el sistema se

encuentra en modo pila, se ver la direccin MAC base de la unidad
principal.
Tramas jumbo: estado del soporte de tramas jumbo. Este soporte se

puede habilitar o deshabilitar a travs de la pgina Configuracin del
puerto del men Administracin de puertos.
NOTA El soporte de las tramas jumbo tiene efecto solo despus de
habilitarlo y luego de reiniciar el switch.

Informacin del software:
Versin de firmware (imagen activa): nmero de versin del firmware de

la imagen activa.
87
NOTA Si el sistema se encuentra en modo pila (modo de apilamiento nativo),
se mostrar el nmero de versin de firmware en funcin de la versin del

principal. Para obtener ms informacin acerca de los modos de
apilamiento, consulte la seccin Administracin de pilas.
Suma de comprobacin de firmware MD5 (imagen activa): suma de

comprobacin MD5 de la imagen activa.
Versin de firmware (imagen no activa): nmero de versin del firmware

de la imagen no activa. Si el sistema se encuentra en modo de pila, se ver
la versin de la unidad principal.
Suma de comprobacin de firmware MD5 (imagen no activa): suma de

comprobacin MD5 de la imagen no activa.
Versin de inicio: nmero de versin de inicio.
Suma de comprobacin MD5 del inicio: suma de comprobacin MD5 de la

versin de inicio.
Configuracin regional: configuracin regional del primer idioma. (Es

siempre ingls).
Versin del idioma: la versin del paquete de idiomas del primer idioma o
ingls.
Suma de comprobacin de idioma MD5: suma de comprobacin MD5 del

archivo de idioma.
Estado de los servicios TCP/UDP:
Servicio HTTP: muestra si HTTP est habilitado o deshabilitado.
Servicio HTTPS: muestra si HTTPS est habilitado o deshabilitado.
Servicio SNMP: muestra si SNMP est habilitado o deshabilitado.
Servicio Telnet: muestra si Telnet est habilitado o deshabilitado.
Servicio SSH: muestra si SSH est habilitado o deshabilitado.
Informacin de alimentacin de PoE en la unidad principal:
Mxima energa PoE disponible (W): energa mxima disponible que se

puede suministrar a travs de PoE.
Consumo de energa PoE total (W): energa PoE total suministrada a los
dispositivos PoE conectados.
Modo de energa PoE: lmite del puerto o lmite de la clasificacin.
88
Al lado de Informacin de energa de PoE en la unidad principal hay un vnculo a

Detalles, que cuando se selecciona lo dirige directamente a la pgina
Administracin de puerto > PoE > Propiedades. Esta pgina muestra la
informacin de energa de PoE por unidad.
Las unidades en la pila se visualizan grficamente, junto con la siguiente
informacin para cada unidad:
ID de unidad de la unidad principal
Descripcin del modelo: descripcin del modelo del switch.
Nmero de serie: nmero de serie.
PID VID: el ID de la versin y el nmero de pieza.
Establecimiento de la configuracin del sistema

Para ingresar la configuracin del sistema:
PASO 1 Haga clic en Administracin > Configuracin del sistema. Se abre la pgina
Configuracin del sistema.

PASO 2 Vea o modifique la configuracin del sistema.
Descripcin del sistema: se muestra una descripcin del switch.
Ubicacin del sistema: ingrese la ubicacin en la que se encuentra

fsicamente el switch.
Contacto del sistema: ingrese el nombre de una persona de contacto.
Nombre del host: seleccione el nombre del host de este switch. Se utiliza en
la solicitud de comandos CLI:
-
Usar predeterminado: el nombre de host predeterminado (nombre del

sistema) de estos switches es: switch123456, donde 123456 representa
los ltimos tres bytes de la direccin MAC del switch en formato
hexadecimal.
Definido por el usuario: ingrese el nombre del host. Usted solo puede
utilizar letras, dgitos y guiones. Los nombres de host no pueden
comenzar ni terminar con un guion. No se permite ningn otro smbolo,
caracter de puntuacin ni espacios en blanco (tal como se especifica en
RFC1033, 1034, 1035).
89
Config. personalizada de pantalla inicio de sesin: para que el texto

aparezca en la pgina iniciar sesin, ingrese el texto en el cuadro de texto
Mensaje de registro. Haga clic en Vista previa para ver los resultados.
NOTA Cuando define un mensaje de registro de la utilidad de configuracin
de interfaz web, tambin activa el anuncio para las interfaces CLI (Consola,
Telnet y SSH).
PASO 3 Haga clic en Aplicar para establecer los valores en el archivo Configuracin en
ejecucin.

La velocidad de puerto de la consola se puede configurar en una de las siguientes
velocidades: 4800, 9600, 19200, 38400, 57600 y 115200 o en deteccin
automtica.
La deteccin automtica permite que el dispositivo detecte la velocidad de la
consola automticamente, de manera tal que no tenga que configurarla
explcitamente.
Cuando no se habilita la deteccin automtica, la velocidad del puerto de la
consola se configura automticamente en la ltima velocidad configurada de
forma manual a (115,200 de manera predeterminada).
Cuando la deteccin automtica est habilitada pero la velocidad en baudios de la
consola todava es desconocida, el sistema utiliza la velocidad 115,200 para
visualizar el texto (por ejemplo, la informacin de inicio).
Luego de que la deteccin automtica ha sido habilitada en la pgina
Configuracin de consola, puede activarse al conectar la consola al dispositivo y
presionar la tecla Enter dos veces. El dispositivo detecta la velocidad en baudios
de manera automtica.
Para habilitar la deteccin automtica o configurar manualmente la velocidad en
baudios de la consola:
PASO 1 Haga clic en Administracin > Configuracin de la consola. Se muestra la pgina
Configuracin de la consola.
PASO 2 Seleccione uno de los siguientes:
90
Deteccin automtica: la velocidad en baudios de la consola se detecta

automticamente.
Esttico: seleccione una de las velocidades disponibles.
Reinicio del switch

Algunos cambios de configuracin, como activar el soporte de tramas jumbo,
requieren que se reinicie el sistema para que surtan efecto. Sin embargo, al
reiniciar el switch se elimina la configuracin en ejecucin, por lo que es
fundamental guardarla en la configuracin de inicio antes de reiniciar el switch. Al
hacer clic en Aplicar no se guarda la configuracin en la configuracin de inicio.
Para obtener ms informacin sobre archivos y tipos de archivo, consulte la
seccin Archivos y tipos de archivo en la seccin Administracin de archivos
del sistema.
Usted puede hacer una copia de seguridad de la configuracin a travs de
Administracin > Administracin de archivos> Guardar/copiar configuracin, o al

hacer clic en Guardar en la parte superior de la ventana. Tambin puede cargar la
configuracin desde un dispositivo remoto. Consulte la seccin Descarga o
realizacin de copia de seguridad de una configuracin o un registro en la
seccin Administracin de archivos del sistema.
Para reiniciar el switch:
PASO 1 Haga clic en Administracin > Reiniciar. Se abre la pgina Reiniciar.
PASO 2 Haga clic en uno de los botones de Reiniciar para reiniciar el switch.
Borrar archivo de configuracin de inicio: seleccione esta opcin para

borrar la configuracin en el switch la prxima vez que se inicie.
Reiniciar: se reinicia el switch. Dado que al reiniciar el switch, se descarta la

informacin que no se haya guardado en la configuracin en ejecucin, debe
hacer clic en Guardar en la esquina superior derecha de cualquier ventana
para conservar la configuracin durante el proceso de inicio. Si la opcin
Guardar no aparece, la configuracin en ejecucin coincide con la
configuracin de inicio y no es necesario realizar accin alguna.
Reiniciar a valores predeterminados de fbrica: se reinicia el switch

utilizando la configuracin predeterminada de fbrica. Este proceso elimina
el archivo de Configuracin de inicio y el archivo de configuracin de
respaldo. El ID de unidad de pila se configura como automtico. El modo de
sistema se configura para capa 2 y cualquier configuracin que no se
91
guarde en otro archivo se eliminar cuando se seleccione esta opcin. La el

archivo de configuracin de duplicado no se pierde cuando se restablecen
los valores al predeterminado de fbrica.
NOTA Si el dispositivo se encuentra en modo de apilamiento nativo, el botn
restaura los valores predeterminados de fbrica en toda la pila.

NOTA La eliminacin del archivo de configuracin de inicio y el reinicio
subsiguiente no es lo mismo que el restablecimiento a los valores

predeterminados de fbrica. La restauracin a valores predeterminados de
fbrica es un proceso ms intrusivo.
Asignacin de TCAM
La asignacin de TCAM es distinta en los dispositivos Sx500 y SG500X:
Sx500: La asignacin de TCAM puede modificarse desde la pgina

Configuracin de asignacin de TCAM de IP cuando los dispositivos
estn en modo de capa 3 del sistema (consulte Pgina de configuracin
de asignacin de TCAM).
NOTA SG500X: Las asignaciones de TCAM pueden verse en la pgina
Asignacin de TCAM de IP (consulte Pgina de asignacin de TCAM).
Pgina de configuracin de asignacin de TCAM

Las entradas TCAM se dividen en los siguientes grupos:
Entradas IP: las entradas TCAM reservadas para las rutas estticas IPv4,
las interfaces IP y los hosts IP. Cada tipo genera la siguiente cantidad de
entradas TCAM:
-
Rutas estticas IPv4: una entrada por ruta
Interfaz IP: dos entradas por interfaz
Hosts IP: una entrada por host
Entradas no IP: entradas TCAM reservadas para otras aplicaciones como

reglas ACL, reguladores CoS y lmites de velocidad de VLAN.
92
Si cambia la asignacin de TCAM de manera incorrecta, se muestra un mensaje

de error. Si la asignacin TCAM es posible, se muestra un mensaje que indica que
se realizar un reinicio automtico con la nueva configuracin. Es posible que la
asignacin de TCAM no se modifique correctamente, de una de las siguientes
formas:
La cantidad de entradas TCAM que asigna es menor que la cantidad

actualmente en uso.
La cantidad de entradas TCAM que asigna es mayor que el mximo

disponible para esa categora (los valores mximos aparecen en la pgina).
Para ver y modificar la asignacin de asignaciones TCAM:

PASO 1 Haga clic en Administracin > Configuracin de asignacin de TCAM.
Se muestran los siguientes campos:
Tamao de TCAM reservado: muestra la cantidad actual de entradas

TCAM.
-
Entradas IP: las entradas TCAM reservadas para las rutas estticas IPv4,
las interfaces IP y los hosts IP.
Entradas no IP: entradas TCAM reservadas para otras aplicaciones,

como reglas ACL, reguladores CoS y lmites de velocidad de VLAN.
Total: muestra la cantidad de entradas IP y entradas no IP.
Asignacin de TCAM real: muestra la cantidad actual de entradas TCAM

que se utilizaron y la cantidad que an se encuentra disponible.
-
Rutas IPv4 estticas: muestra la cantidad de entradas de rutas IPv4

estticas utilizadas y disponibles.
Interfaces IP: muestra la cantidad de entradas de interfaces IP utilizadas

y disponibles.
IP de host: muestra la cantidad de entradas de IP de host utilizadas y

disponibles.
Entradas no IP: entradas TCAM reservadas para otras aplicaciones,

como reglas ACL, reguladores CoS y lmites de velocidad de VLAN.
PASO 2 Para cambiar la asignacin de TCAM para las entradas IP, ingrese los valores
nuevos en el bloque Nueva configuracin.
93
Debe guardar su configuracin actual antes de cambiar la Configuracin de

asignacin de TCAM.
Ingrese la Nueva Configuracin, que debe cumplir con las siguientes reglas:
Para el Nmero mximo de rutas estticas IPv4 el valor nuevo debe ser
mayor o equivalente al que est en uso actualmente.
Para el Nmero mximo de interfaces IP el valor nuevo debe ser mayor o

equivalente al que est en uso actualmente.
Nuevo nmero mximo de Rutas estticas IPv4 + 2*Nmero mximo de

Interfaces IP + Nmero mximo de Host IP <= Cantidad total de entradas
TCAM - Cantidad total de entradas no IP utilizadas.
Se muestra la cantidad disponible de entradas no IP despus de haber

realizado los cambios.
PASO 3 Guarde la nueva configuracin: haga clic en el enlace Guardar. Esto comprueba la
probabilidad de la asignacin de TCAM. Si es incorrecta, se muestra un mensaje

de error. Si es correcta, la asignacin se copia al archivo Configuracin en
ejecucin.
PASO 4 Haga clic en Aplicar y se realiza un reinicio automtico con la configuracin nueva.
Pgina de asignacin de TCAM

Para observar la configuracin de asignacin de TCAM en los modelos SG500X,
haga clic en Administracin > IP Asignacin TCAM
Rutas IPv4: muestra la cantidad de entradas de rutas IPv4 utilizadas y

disponibles.
Interfaces IP: muestra la cantidad de entradas de interfaces IP utilizadas y

disponibles.
IP de host: muestra la cantidad de entradas de IP de host utilizadas y

disponibles.
94

La pgina Estado muestra el estado y la temperatura del ventilador del switch en
todos los dispositivos con ventiladores.
Para ver los parmetros de integridad del switch, haga clic en Estado y
estadsticas > Estado. Se abre la pgina Estado.
En la pgina Estado se muestran los siguientes campos para cada unidad:
Unidad: nmero de unidad.
Estado del ventilador 1: estado del ventilador. Los siguientes valores son
posibles:
-
Correcto: el ventilador funciona normalmente.
Error: el ventilador no funciona normalmente.
N/D: el ID de ventilador no se corresponde con el modelo especfico.
Estado del ventilador 2: estado del ventilador para el ventilador 2. Vea los
valores para ventilador 1.
Temperatura (en grados Celsius y Fahrenheit): la temperatura interna de la

unidad (para dispositivos relevantes).
Temperatura de alarma (en grados Celsius y Fahrenheit): la temperatura

interna de la unidad (para dispositivos relevantes) que activa una alarma.
95

La opcin Caducidad de sesin por inactividad permite configurar los intervalos
de tiempo que las sesiones de administracin pueden permanecer inactivas antes
de que caduquen y usted deba iniciar sesin nuevamente para establecer una de
las siguientes sesiones:
Tiempo de espera de la sesin HTTP
Tiempo de espera de la sesin HTTPS
Tiempo de espera de la sesin de consola
Tiempo de espera de la sesin de Telnet
Tiempo de espera de la sesin SSH
Para establecer el tiempo de espera de sesin por inactividad para diferentes

tipos de sesiones:
PASO 1 Haga clic en Administracin > Caducidad de sesin por inactividad. Se abre la
pgina Caducidad de sesin por inactividad.

PASO 2 Seleccione la caducidad para cada sesin en la lista correspondiente. El valor
predeterminado de caducidad es de 10 minutos.

PASO 3 Haga clic en Aplicar para establecer la configuracin en el switch.
Ping a un host
Ping es una utilidad que se utiliza para probar si se puede obtener acceso a un
host remoto y para medir el tiempo de viaje de ida y vuelta de los paquetes
enviados desde el switch a un dispositivo de destino.
Ping funciona enviando paquetes de peticin de eco de Internet Control Message
Protocol (ICMP, Protocolo de mensajes de control de Internet) al host de destino y
esperando una respuesta ICMP, a veces llamada pong. Mide el tiempo de viaje de
ida y vuelta y registra la prdida de paquetes.
96
Para hacer ping a un host:

PASO 1 Haga clic en Administracin > Ping. Se abre la pgina Ping.
PASO 2 Complete los siguientes campos para configurar el ping:
Definicin de host: seleccione si los hosts se especificarn por direccin IP

o nombre.
Versin de IP: si el host se identifica por su direccin IP, seleccione IPv4 o

IPv6 para indicar que se ingresar en el formato seleccionado.
Tipo de direccin IPv6: seleccione Enlace local o Global como el tipo de

direccin IPv6 que se ingresar.
-


Interfaz local de enlace: si el tipo de direccin IPv6 es Enlace local,

seleccione desde dnde se recibe.
Direccin IP/nombre del host: direccin o nombre de host del dispositivo

al que se har ping. La definicin del host determina si es una direccin IP o
un nombre de host.
Intervalo de ping: cantidad de tiempo que el sistema espera entre paquetes

de ping. El ping repite la cantidad de tiempos configurados en el campo
"Cantidad de pings", ya sea que el ping sea correcto o no. Elija utilizar el
intervalo predeterminado o especifique su propio valor.
Cantidad de pings: la cantidad de veces que se realiza la operacin de ping.

Elija utilizar el valor predeterminado o especifique su propio valor.
Estado: muestra si el ping se realiz con xito o si fall.
PASO 3 Haga clic en Activar ping para hacer ping al host. Se muestra el estado de ping y
se aade otro mensaje a la lista de mensajes donde se indica el resultado de la

operacin de ping.
PASO 4 Visualice los resultados de ping en la seccin Estado y contadores de ping de la
pgina.
97
Traceroute
Traceroute detecta las rutas IP cuyos paquetes se reenviaron al enviar un paquete
IP al host de destino y de regreso al switch. La pgina Traceroute muestra cada
salto entre el switch y el host de destino y el tiempo del viaje de ida y vuelta a
cada uno de esos saltos.
PASO 1 Haga clic en Administracin > Traceroute. Se abre la pgina Traceroute.
PASO 2 Configure Traceroute, ingrese la informacin en los siguientes campos:
Definicin de host: seleccione si desea que los hosts se identifiquen por su

direccin IP o nombre.
Versin de IP: si el host se identifica por su direccin IP, seleccione IPv4 o

IPv6 para indicar que se ingresar en el formato seleccionado.

direccin IPv6 que se ingresar.
-



seleccione desde dnde se recibe.
Direccin IP/nombre del host: ingrese el nombre o la direccin de host.
TTL: ingrese la cantidad mxima de saltos que permite Traceroute. Se utiliza

para evitar un caso en el que las tramas enviadas lleguen a un bucle sin fin.
El comando traceroute termina cuando se alcanza el destino o cuando se
llega a este valor. Para usar el valor predeterminado (30), seleccione Usar
predeterminado.
Caducidad: ingrese la cantidad de tiempo que el sistema espera el regreso

de una trama antes de declararla perdida o seleccione Usar
predeterminado.
98
PASO 3 Haga clic en Activar Traceroute. Se realiza la operacin.
Se muestra una pgina que muestra el tiempo de viaje de ida y vuelta (RTT) y el
estado de cada recorrido en los campos:
ndice: se muestra el nmero del salto.
Host: muestra una parada a lo largo de la ruta hasta el destino.
Tiempo de viaje de ida y vuelta (1-3): muestra el tiempo del viaje de ida y
vuelta en (ms) para la primera a tercera trama y el estado de la primera a la
tercera operacin.
99
7
Hora del sistema
Los relojes sincronizados del sistema brindan un marco de referencia entre todos
los dispositivos de la red. La sincronizacin de la hora de la red es de importancia
fundamental porque en todos los aspectos de la administracin, la seguridad, la
planificacin y la depuracin de una red se debe determinar cundo se producen
los eventos. Sin relojes sincronizados, la correlacin exacta de archivos de
registro entre estos dispositivos al realizar el seguimiento de las brechas en la
seguridad o del uso de la red es imposible.
La hora sincronizada tambin reduce la confusin en los sistemas de archivos
compartidos, ya que es importante que las horas de modificacin concuerden,
independientemente de la mquina en la que residen los sistemas de archivos.
Por estos motivos, es importante que la hora configurada en todos los dispositivos
de la red sea exacta.
NOTA El switch admite el Simple Network Time Protocol (SNTP, Protocolo simple de
tiempo de redes) y cuando est habilitado, el switch sincroniza dinmicamente la

hora del switch con la hora del servidor SNTP. El switch funciona solo como cliente
SNTP y no puede proporcionar servicios de hora a otros dispositivos.
En esta seccin se describen las opciones para configurar la hora del sistema, la
zona horaria y el horario de verano (DST, Daylight Savings Time). Abarca los
siguientes temas:
Modos SNTP
100
Hora del sistema

El usuario puede configurar manualmente la hora del sistema, de forma dinmica
desde un servidor SNTP, o sincronizarla desde la computadora que ejecuta la
interfaz de usuario grfica GUI. Si se elige un servidor SNTP, la configuracin
manual de hora se sobrescribe cuando se establecen las comunicaciones con el
servidor.
Como parte del proceso de inicio, el switch siempre configura la hora, la zona
horaria y el DTS. Estos parmetros se obtienen desde la computadora que ejecuta
la interfaz de usuario grfica, del SNTP y valores configurados manualmente o, si
todos los dems fallan, mediante los valores predeterminados de fbrica.
Hora
Los siguientes mtodos se encuentran disponibles para configurar la hora o
configurarla en el switch:
Manual: debe configurar manualmente la hora.
Desde el explorador: se puede recibir la hora desde la computadora a

travs de la informacin del explorador.
La configuracin de la hora de la computadora se guarda en el archivo
Configuracin en ejecucin. Debe copiar la configuracin en ejecucin en la
configuracin de inicio para permitir que el dispositivo utilice la hora de la
computadora tras el reinicio. La hora posterior al reinicio se establece
durante la primera conexin web al dispositivo.
Cuando se configura esta funcin por primera vez, si la hora no fue ya
establecida, el dispositivo establece la hora desde la computadora.
Este mtodo de configuracin de la hora funciona con conexiones HTTP y
con conexiones HTTPS.
SNTP: la hora se puede recibir de los servidores SNTP horario. El SNTP

garantiza la sincronizacin exacta de la hora de la red del switch hasta el
milisegundo mediante el servidor SNTP para la fuente de reloj. Cuando deba
especificar un servidor SNTP, si opta por identificarlos por nombre de host,
la gua de interfaz del usuario da tres recomendaciones:
-
time-a.timefreq.bldrdoc.gov
time-b.timefreq.bldrdoc.gov
time-c.timefreq.bldrdoc.gov
101
Hora del sistema
Una vez que se haya establecido la hora con cualquiera de las fuentes antes
mencionadas, el navegador no volver a establecerla.
NOTA El mtodo recomendado para la configuracin de la hora es SNTP.
Zona horaria y horario de verano (DST)

La zona horaria y el DST se pueden configurar en el switch de las siguientes
maneras:
Configuracin dinmica del switch a travs de un servidor DHCP, en donde:

-
El DST dinmico, cuando est habilitado y disponible, siempre tiene

prioridad sobre la configuracin manual del DST.
Si el servidor que proporciona los parmetros de la fuente falla o el

usuario deshabilita la configuracin dinmica, se usa la configuracin
manual.
La configuracin dinmica de la zona horaria y el DST contina despus

de que el tiempo de concesin de la direccin IP ha finalizado.
La configuracin manual de la zona horaria y del DST se convierte en el

DST y la zona horaria operativos, solo si la configuracin dinmica se
deshabilita o falla.
NOTA El servidor DHCP debe suministrar la opcin DHCP 100 para que se
lleve a cabo la configuracin dinmica de la zona horaria.
Modos SNTP
El switch puede recibir la hora del sistema desde un servidor SNTP de una de las
siguientes formas:
Recepcin de difusin del cliente (modo pasivo)

Los servidores SNTP difunden la hora, y el switch escucha esta difusin.
Cuando el switch est en este modo, no hay necesidad de definir un
servidor SNTP de unidifusin.
102
Hora del sistema
Transmisin de difusin del cliente (modo activo): el switch, como cliente

SNTP, solicita peridicamente las actualizaciones de horario del SNTP. Este
modo funciona de cualquiera de las dos maneras siguientes:
-
Modo cliente de cualquier tipo de difusin SNTP: el switch difunde

paquetes de solicitud de hora a todos los servidores SNTP en la subred
y espera una respuesta.
Modo de servidor SNTP de unidifusin: el switch enva consultas de

unidifusin a la lista de servidores SNTP configurados manualmente y
espera una respuesta.
El switch admite todos los modos activos al mismo tiempo y selecciona el mejor
sistema horario que proviene de un servidor SNTP, en funcin de un algoritmo
basado en el estrato ms cercano (distancia desde el reloj de referencia).

Seleccin de la fuente de la hora del sistema
Utilice la pgina Hora del sistema para seleccionar la fuente de la hora del sistema.
Si la fuente es manual, puede ingresar la hora aqu.
PRECAUCIN Si la hora del sistema se configura manualmente y el switch se reinicia, es
necesario volver a ingresar la configuracin manual de la hora.

Para definir la hora del sistema:
PASO 1 Haga clic en Administracin > Configuracin de la hora > Hora del sistema. Se
abre la pgina Hora del sistema.

Hora actual (esttica): hora del sistema en el dispositivo.
Servidor sincronizado por ltima vez: direccin, estrato y tipo de servidor

SNTP desde el que se tom la hora por ltima vez.
PASO 2 Ingrese estos parmetros:
103
Hora del sistema
Configuracin de fuente de reloj: seleccione la fuente usada para configurar el

reloj del sistema.
Fuente de reloj principal (Servidores SNTP): si habilita esta opcin, la hora

del sistema se obtiene de un servidor SNTP. Para utilizar esta funcin,
tambin debe configurar una conexin a un servidor SNTP en la pgina
Configuracin de la interfaz SNTP. Como opcin, aplique la autenticacin de
las sesiones SNTP mediante la pgina Autenticacin de SNTP .
Fuente de reloj alternativa (PC a travs de sesiones activas de HTTP/

HTTPS): seleccione esta opcin para establecer la fecha y la hora de la
computadora de configuracin que utiliza el protocolo HTTP.
NOTA La Configuracin de la fuente del reloj debe configurarse para
cualquiera de las opciones anteriores, para que funcione la RIP con

autenticacin MD5. Esto tambin ayuda a las funciones asociadas con la
hora, por ejemplo: ACL basada en horarios, Puerto, autenticacin de puerto
802.1, funciones que estn habilitadas en algunos dispositivos.
Configuracin manual: establezca la fecha y la hora manualmente. La hora local
se usa cuando no hay una fuente de hora alternativa, como un servidor SNTP:
Fecha: ingrese la fecha del sistema.
Hora local: ingrese la hora del sistema.
Configuracin de la hora: la hora local se utiliza a travs de DHCP o del

desplazamiento de zona horaria.
Obtener zona horaria desde el DHCP: seleccione para habilitar la

configuracin dinmica de la zona horaria y del DST desde el servidor DHCP.
La posibilidad de configurar uno de estos parmetros o ambos depende de
la informacin que se encuentra en el paquete DHCP. Si se habilita esta
opcin, tambin debe habilitar el cliente DHCP en el switch. Para esto,
configure el Tipo de direccin IP a Dinmica en la Interfaz de IPv4.
NOTA El cliente DHCP admite la opcin 100, lo cual posibilita la
configuracin de zona horaria dinmica. El switch no admite el cliente

DHCPv6.
Desplazamiento de zona horaria: seleccione la diferencia de horas entre la

Hora del meridiano de Greenwich (GMT) y la hora local. Por ejemplo, el
desplazamiento de zona horaria para Pars es GMT +1, mientras que el
desplazamiento de zona horaria para Nueva York es GMT 5.
104
Hora del sistema
Configuracin de horario de verano: seleccione cmo se define DST:
Horario de verano: seleccione esta opcin para habilitar el horario de

verano.
Desplazamiento horario: ingrese la cantidad de desplazamiento en minutos

de GMT desde 1 hasta 1440. El valor predeterminado es 60.
Tipo de horario de verano: haga clic en uno de los siguientes:

-
EE.UU.: el DST se establece de acuerdo con las fechas utilizadas en EE.UU.
Europeo: el DST se establece segn las fechas que se usan en la Unin

Europea y en otros pases que usan este estndar.
Por fechas: el DST se establece manualmente, por lo general, para un

pas que no sea EE.UU. o un pas europeo. Ingrese los siguientes
parmetros:
Recurrente: el DST se produce en la misma fecha todos los aos.
Al seleccionar Por fechas se puede personalizar el inicio y el fin del DST:

-
Del: da y hora en que comienza el DST.
Al: da y hora en que termina el DST.
Al seleccionar Recurrente se puede personalizar el inicio y la detencin del

DST:
Del: fecha en la que comienza el DST cada ao.

-
Da: da de la semana en el que comienza el DST cada ao.
Semana: semana dentro del mes desde la que comienza el DST cada ao.
Mes: mes del ao en el que el DST comienza cada ao.
Hora: hora a la que el DST comienza cada ao.
Al: fecha en la que termina el DST cada ao. Por ejemplo, el DST termina
localmente cada cuarto viernes de octubre a las 5:00 a. m. Los parmetros
son:
-
Da: da de la semana en el que termina el DST cada ao.
Semana: semana dentro del mes en la que termina el DST cada ao.
Mes: mes del ao en el que el DST termina cada ao.
Hora: hora en la que el DST termina cada ao.
105
Hora del sistema
PASO 3 Haga clic en Aplicar. Los valores de horario del sistema se escriben en el archivo
Configuracin en ejecucin.
Incorporacin de un servidor SNTP de unidifusin

Se pueden configurar hasta ocho servidores SNTP de unidifusin.
NOTA Para especificar un servidor SNTP de unidifusin por nombre, primero debe
configurar los servidores DNS en el switch (consulte la seccin Definicin de

servidores DNS). Para aadir un servidor SNTP de unidifusin, seleccione la casilla
para habilitar la Unidifusin de cliente SNTP.
Para aadir un servidor SNTP de unidifusin:
PASO 1 Haga clic en Administracin > Configuracin de la hora > SNTP de unidifusin.
Se abre la pgina SNTP de unidifusin.

En esta pgina se muestra la siguiente informacin de cada servidor de
unidifusin SNTP:
Servidor SNTP: direccin IP del servidor SNTP. Se pueden definir hasta

ocho servidores SNTP. El servidor preferido, o nombre de host, se elige
segn su nivel de estrato.
Intervalo de consulta: muestra si las consultas estn habilitadas o

deshabilitadas.
ID de clave de autenticacin: identificacin de la clave que se usa para

establecer comunicaciones entre el servidor SNTP y el switch.
Nivel de estrato: distancia desde el reloj de referencia expresada como

valor numrico. Un servidor SNTP no puede ser el servidor principal (nivel de
estrato1) a menos que se habilite el intervalo de consulta.
Estado: estado del servidor SNTP. Los valores posibles son:

-
Activo: el servidor SNTP est funcionando normalmente.
Inactivo: el servidor SNTP no est disponible en este momento.
Desconocido: el switch est buscando el servidor SNTP.
En proceso: se produce cuando el servidor SNTP no ha confiado

plenamente en su propio servidor horario (es decir, al iniciar el servidor
NTP por primera vez).
106
Hora del sistema
ltima respuesta: fecha y hora de la ltima vez que se recibi una respuesta
del servidor SNTP.
Desplazamiento: el desplazamiento estimado del reloj del servidor en

relacin con el reloj local, en milisegundos. El host determina el valor de este
desplazamiento con el algoritmo que se describe en RFC 2030.
Retraso: el retraso de ida y vuelta estimado del reloj del servidor en relacin
con el reloj local en el trayecto de red que hay entre ellos, en milisegundos.
El host determina el valor de este retraso con el algoritmo que se describe
en RFC 2030.
PASO 2 Para aadir un servidor SNTP de unidifusin, habilite la Unidifusin de cliente
SNTP.
PASO 3 Haga clic en Aadir para mostrar la pgina Aadir servidor SNTP .
PASO 4 Ingrese los siguientes parmetros:
Definicin del servidor: seleccione si el servidor SNTP ser identificado

por su direccin IP o si usted seleccionar un servidor SNTP conocido por
nombre de la lista.
NOTA Para especificar un servidor SNTP conocido, el switch debe estar
conectado a Internet y configurado con un servidor DNS o configurado de

manera que un servidor DNS se identifique mediante DHCP. (Consulte la
seccin Definicin de servidores DNS).
Versin de IP: seleccione la versin de la direccin IP: Versin 6 o Versin 4.
Las opciones son:
-



Direccin IP de servidor SNTP: ingrese la direccin IP del servidor SNTP. El

formato depende de qu tipo de direccin se ha seleccionado.
107
Hora del sistema
Servidor SNTP: seleccione el nombre del servidor SNTP de una lista de

servidores NTP conocidos. Si elige otro, ingrese el nombre del servidor
SNTP en el campo adyacente.
Intervalo de consulta: seleccione para habilitar las consultas del servidor

SNTP sobre informacin de la hora del sistema. Se consultan todos los
servidores NTP que estn registrados para consultas, y se selecciona el
reloj del servidor con el nivel de estrato (distancia que hay con respecto al
reloj de referencia) ms bajo accesible. El servidor con el estrato ms bajo
es el servidor primario. El servidor con el siguiente estrato ms bajo es un
servidor secundario, y as sucesivamente. Si el servidor primario est
inactivo, el switch consulta todos los servidores con la configuracin de
consulta habilitada y selecciona un nuevo servidor primario con el estrato
ms bajo.
Autenticacin: seleccione la casilla de verificacin para habilitar la

autenticacin.
ID de clave de autenticacin: si la autenticacin est habilitada, seleccione

el valor del ID de la clave. (Cree las claves de autenticacin mediante la
pgina Autenticacin de SNTP).
PASO 5 Haga clic en Aplicar. Se aade el servidor STNP, y usted vuelve a la pgina
principal.
Configuracin del Modo de SNTP

El switch puede estar en modo activo o pasivo (consulte la seccin Modos SNTP
para obtener ms informacin).
Para habilitar la recepcin de paquetes SNTP desde todos los servidores de la
subred, o para habilitar la transmisin de solicitudes horarias a los servidores
SNTP:
PASO 1 Haga clic en Administracin > Configuracin de la hora > SNTP de
multidifusin/difusin por proximidad. Se abre la pgina SNTP de multidifusin/

difusin por proximidad.
PASO 2 Seleccione alguna de las siguientes opciones:
Modo de cliente de multidifusin de SNTP (Recepcin de difusin del

cliente): seleccione esta opcin para recibir la hora del sistema desde
cualquier servidor SNTP de la subred.
108
Hora del sistema
Modo de cliente de difusin por proximidad de SNTP (Transmisin de

difusin del cliente): seleccione esta opcin para transmitir los paquetes de
sincronizacin de difusin SNTP que solicitan la informacin horaria del
sistema. Si se han definido los servidores SNTP, los paquetes se dirigen a
estos servidores; de lo contrario, se transmiten a todos los servidores SNTP
de la subred.
PASO 3 Si el sistema se encuentra en modo de capa 3 de sistema (el dispositivo SG500X
siempre est en modo de capa 3 de sistema), haga clic en Aadir para ingresar la
interfaz para la recepcin/transmisin de SNTP. Se abre la pgina Aadir
configuracin de interfaz de SNTP.
Seleccione una interfaz y las opciones de recepcin/transmisin.
PASO 4 Haga clic en Aplicar para guardar los ajustes en el archivo Configuracin en
ejecucin.
Definicin de la autenticacin de SNTP

Los clientes SNTP pueden autenticar las respuestas con HMAC-MD5. Un servidor
SNTP est asociado a una clave, la cual se usa como dato de entrada junto con la
respuesta para la funcin MD5. El resultado de MD5 tambin se incluye en el
paquete de respuesta.
La pgina Autenticacin de SNTP habilita la configuracin de las claves de
autenticacin que se usan al establecer una comunicacin con un servidor SNTP
que requiere autenticacin.
La clave de autenticacin se crea en el servidor SNTP en un proceso aparte que
depende del tipo de servidor SNTP que est utilizando. Consulte con el
administrador del servidor SNTP para obtener ms informacin al respecto.
Flujo de trabajo
PASO 1 Habilite la autenticacin en la pgina Autenticacin de SNTP.
PASO 2 Cree una clave en la pgina Autenticacin de SNTP.
PASO 3 Asocie la clave con un servidor SNTP en la pgina Unidifusin de SNTP.
109
Hora del sistema
Para habilitar la autenticacin SNTP y definir las claves:

PASO 1 Haga clic en Administracin > Configuracin de la hora > Autenticacin de
SNTP. Se abre la pgina Autenticacin de SNTP.

PASO 2 Seleccione Autenticacin de SNTP para posibilitar la autenticacin de una sesin
SNTP entre el switch y un servidor SNTP.

PASO 3 Haga clic en Aplicar para actualizar el switch.
PASO 4 Haga clic en Aadir. Se abre la pgina Aadir autenticacin SNTP.
PASO 5 Ingrese los siguientes parmetros:
ID de clave de autenticacin: ingrese el nmero que se usa para identificar

esta clave de autenticacin de SNTP internamente.
Clave de autenticacin: ingrese la clave que se usa para la autenticacin

(hasta ocho caracteres). El servidor SNTP debe enviar esta clave para que el
switch se sincronice con este.
Clave confiable: seleccione esta opcin para permitir que el switch reciba
informacin de sincronizacin solo de un servidor SNTP mediante esta clave
de autenticacin.
PASO 6 Haga clic en Aplicar. Los parmetros de autenticacin de SNTP se escriben en el
archivo Configuracin en ejecucin.
Intervalo de tiempo
Los intervalos de tiempo pueden definirse y asociarse con los siguientes tipos de
comandos, de manera tal que se aplican solo durante dicho intervalo de tiempo:
ACL
Autenticacin de puerto 8021X
Estado del puerto
Hay dos tipos de intervalos de tiempo:
Absoluto: este tipo de intervalo de tiempo comienza en una fecha

especfica o de manera inmediata y finaliza en una fecha especfica o se
extiende de forma infinita. El intervalo se crea en las pginas Intervalo de
tiempo. Se puede agregar un elemento recurrente.
110
Hora del sistema
Recurrente: este tipo de intervalo de tiempo contiene un elemento de

intervalo de tiempo que se aade a un intervalo absoluto y comienza y
finaliza de manera peridica. El intervalo se crea en las pginas Intervalo de
tiempo.
Si un intervalo de tiempo incluye intervalos absolutos y recurrentes, el proceso

asociado al intervalo se activa solo si se alcanz la hora de inicio absoluta y el
intervalo de tiempo recurrente. El proceso se desactiva cuando cualquiera de los
intervalos de tiempo se haya alcanzado.
El switch admite un mximo de 10 intervalos de tiempo absolutos.
Todas las especificaciones de tiempo se interpretan como la hora local (la hora de
ahorro de luz diurna no lo afecta).
Para garantizar que las entradas del intervalo de tiempo entren en efecto en los
momentos deseados, se debe configurar la hora del sistema.
Esta funcin puede usarse para restringir el acceso de las computadoras a la red
durante horas laborales; luego, los puertos de red se cierran y el acceso al resto
de la red se bloquea.
Intervalo de tiempo absoluto

Para definir un intervalo de tiempo absoluto:
PASO 1 Haga clic en Administracin > Configuracin de hora > Intervalo de tiempo para
poder ver la pgina Intervalo de tiempo

Se muestran los intervalos de tiempo existentes.
PASO 2 Para aadir un nuevo intervalo de tiempo, haga clic en Aadir.
PASO 3 Ingrese los siguientes campos:
Nombre del intervalo de tiempo: ingrese un nuevo nombre para el intervalo

de tiempo.
Tiempo de inicio absoluto: para definir la hora de inicio, ingrese las

Inmediato: para que el intervalo de tiempo comience inmediatamente.
Fecha, hora: ingrese la fecha y la hora en la que comienza el intervalo de

tiempo.
Tiempo de finalizacin absoluto: para definir la hora de finalizacin, ingrese

las siguientes opciones:
111
Hora del sistema
Infinito: para que el intervalo de tiempo nunca termine.
Fecha, hora: ingrese la fecha y la hora en la que finaliza el intervalo de

tiempo.
PASO 4 Para aadir un nuevo intervalo de tiempo recurrente, haga clic en Intervalo
recurrente.
Intervalo de tiempo recurrente

Se puede incorporar un elemento de tiempo recurrente a un intervalo de tiempo
absoluto. Esto limita el funcionamiento a ciertos perodos de tiempo dentro del
intervalo absoluto.
Para aadir un elemento de intervalo de tiempo recurrente a un intervalo de
tiempo absoluto:
PASO 1 Haga clic en Administracin > Configuracin de hora > Intervalo recurrente para
poder ver la pgina Intervalo recurrente

Se muestran los intervalos de tiempo recurrentes que ya existen (filtrados por
cada intervalo de tiempo absoluto especfico).
PASO 2 Seleccione el intervalo de tiempo absoluto al cual desea agregar un intervalo
recurrente.
PASO 3 Para aadir un nuevo intervalo de tiempo recurrente, haga clic en Aadir.
Tiempo de inicio recurrente: ingrese la fecha y la hora en la que comienza el

intervalo de tiempo peridicamente.
Tiempo de finalizacin recurrente: ingrese la fecha y la hora en la que finaliza

el intervalo de tiempo peridicamente.
112
8
Administracin del diagnstico de dispositivos
En esta seccin se ofrece informacin para configurar la duplicacin de puertos,

ejecutar pruebas de cables y ver informacin operacional de dispositivos.
Visualizacin de la utilizacin de la CPU y tecnologa de ncleo seguro

La pgina Prueba de cobre muestra los resultados de las pruebas de cable
integradas realizadas en los cables de cobre con el Comprobador de cable virtual
(VCT).
El comprobador de cable virtual realiza dos tipos de prueba:
La tecnologa de reflectometra en el dominio del tiempo (TDR) evala la

calidad y las caractersticas de un cable de cobre conectado a un puerto.
Se pueden realizar pruebas en cables de hasta 140 metros de largo. Estos
resultados se muestran en el bloque Resultados de la prueba de la pgina
Prueba de cobre.
Las pruebas basadas en DSP se realizan en enlaces GE activos para medir

la longitud del cable. Estos resultados se muestran en el bloque Informacin
avanzada de la pgina Prueba de cobre.
113
Condiciones previas a la ejecucin de la prueba de puertos de cobre

Antes de realizar la prueba, haga lo siguiente:
(Obligatorio) Desactive el modo Alcance corto (consulte la pgina

Administracin de puertos > Green Ethernet > Propiedades).
(Opcional) Desactive el modo EE (consulte la pgina Administracin de

puertos > Green Ethernet> Propiedades).
Al realizar las pruebas en el cable (VCT), utilice un cable de datos CAT5.

La exactitud de los resultados de la prueba puede tener un margen de error de +/
- 10 para las pruebas avanzadas y de +/- 2 para las pruebas bsicas.
PRECAUCIN Cuando se realiza una prueba en un puerto, se le configura en el estado inactivo y
se interrumpen las comunicaciones. Luego de la prueba, se vuelve a activar el

puerto. No se recomienda realizar la prueba en un puerto de cobre que se est
usando para ejecutar la utilidad de configuracin de switch basada en la Web, ya
que se interrumpen las comunicaciones con ese dispositivo.
Para realizar una prueba en cables de cobre conectados a puertos:
PASO 1 Haga clic en Administracin > Diagnsticos > Prueba de cobre. Se abre la
pgina Prueba de cobre.

PASO 2 Seleccione el puerto en el que se ejecutar la prueba.
PASO 3 Haga clic en Prueba de cobre.
PASO 4 Cuando aparezca el mensaje, haga clic en Aceptar para confirmar que el enlace
puede deshabilitarse, o en Cancelar para cancelar la prueba.

En el bloque Resultados de la prueba se muestran los siguientes campos:
ltima actualizacin: hora de la ltima prueba realizada en el puerto.
Resultados de la prueba: resultados de la prueba del cable. Los valores

posibles son:
-
Correcto: el cable pas la prueba.
Sin cable: el cable no est conectado al puerto.
Cable abierto: el cable est conectado solo en un lado.
Cable corto: ocurri un cortocircuito en el cable.
Resultado de la prueba desconocido: ocurri un error.
114
Distancia hasta la falla: distancia desde el puerto hasta el lugar del cable
donde se detect la falla.
Estado del puerto operativo: muestra si el puerto est activo o inactivo.
Si el puerto que se est sometiendo a prueba es un puerto Giga, el bloque de

Informacin avanzada muestra la siguiente informacin (se actualiza cada vez que
ingresa a la pgina):
Longitud del cable: Brinda una aproximacin de la longitud.
Par: par de cable en que se realiza la prueba.
Estado: estado del par de cables. El color rojo indica una falla y el color
verde indica un estado correcto.
Canal: canal de cable que indica si los cables son directos o estn cruzados
Polaridad: indica si se activ la deteccin y correccin automtica de

polaridad para el par de cables.
Desviacin de pares: diferencia en demora entre pares de cables.
NOTA No se pueden llevar a cabo pruebas TDR si la velocidad del puerto es 10 Mbit/s.

En la pgina Estado del mdulo ptico se muestran las condiciones operativas
que informa el transceptor SFP (enchufable pequeo). Es posible que parte de la
informacin no est disponible para los SFP que no sean compatibles con la
norma de monitoreo diagnstico digital SFF-8472.
SFP compatibles con MSA

Se admiten los siguientes transceptores SFP FE (100 Mbps):
MFEBX1: transceptor SFP 100BASE-BX-20U para fibra de modo simple,

longitud de onda de 1310 nm, compatible con hasta 20 km.
MFEFX1: transceptor SFP 100BASE-FX para fibra de modo mltiple, longitud

de onda de 1310 nm, compatible con hasta 2 km.
MFELX1: transceptor SFP 100BASE-LX para fibra de modo simple, longitud

de onda de 1310 nm, compatible con hasta 10 km.
115
Se admiten los siguientes transceptores SFP GE (1000 Mbps):
MGBBX1: transceptor SFP 1000BASE-BX-20U para fibra de modo simple,

MGBLH1: transceptor SFP 1000BASE-LH para fibra de modo simple,

MGBLX1: transceptor SFP 1000BASE-LX para fibra de modo simple,

MGBSX1: transceptor SFP 1000BASE-SX para fibra de modo mltiple,

longitud de onda de 850 nm, compatible con hasta 550 m.
MGBT1: transceptor SFP 1000BASE-T para cable de cobre categora 5,

compatible con hasta 100 m.
Para ver los resultados de las pruebas pticas, haga clic en Administracin >
Diagnsticos > Estado del mdulo ptico. Se abre la pgina Estado del mdulo
ptico .
Puerto: nmero de puerto en el que est conectado el SFP.
Temperatura: temperatura (Celsius) a la que funciona el SFP.
Voltaje: el voltaje operativo del SFP.
Corriente: el consumo de corriente del SFP.
Potencia de salida: la potencia ptica transmitida.
Potencia de entrada: la potencia ptica recibida.
Fallo en el transmisor: el SFP remoto informa de una prdida de seal. Los

valores son verdadero, falso y sin seal (N/S, No signal).
Prdida de seal: el SFP local informa de una prdida de seal. Los valores
son verdadero y falso.
Datos listos: el SFP est en modo operativo. Los valores son verdadero y
falso.
116

La duplicacin de puertos se utiliza en el switch de una red para enviar una copia
de los paquetes de red detectados en un puerto del switch, varios puertos del
switch o una VLAN completa a una conexin de monitoreo de red en otro puerto
del switch. Esta funcin suele utilizarse para dispositivos de red que requieren el
monitoreo del trfico de red, como un sistema de deteccin de intrusos. Un
analizador de red conectado al puerto de monitoreo procesa los paquetes de
datos para realizar diagnstico, depuracin y monitoreo del rendimiento. Se
pueden duplicar hasta ocho orgenes, que puede ser cualquier combinacin de
ocho puertos o VLAN individuales.
Un paquete que se recibe en un puerto de red asignado a una VLAN que est
sujeta a la duplicacin, se duplica en el puerto del analizador, incluso si finalmente
el paquete se captur o descart. Los paquetes que enva el switch se duplican
cuando la duplicacin de transmisin (Tx) est activada.
La duplicacin no garantiza que se reciba todo el trfico de los puertos de origen
en el puerto del analizador (destino). Si se envan ms datos al puerto del
analizador que los que admite, es posible que se pierdan algunos datos.
La duplicacin de VLAN no est activa en una VLAN que no se cre manualmente.
Por ejemplo, si la VLAN 23 se cre a travs del GVRP (Generic VLAN Registration
Protocol, Protocolo genrico de registro de VLAN), y usted cre manualmente
VLAN 34 y se cre una duplicacin de puerto que incluye VLAN 23, VLAN 34, o
ambas y luego elimina VLAN 34, el estado de la duplicacin de puertos se
establece en No est listo, ya que la VLAN34 no est ms en la base de datos y
VLAN23 no se cre manualmente.
Solo se admite una instancia de duplicacin en todo el sistema. El puerto del
analizador (o puerto de destino para la duplicacin de VLAN o de puertos) es el
mismo para todas las VLAN duplicadas o los puertos.
Para habilitar la duplicacin:
PASO 1 Haga clic en Administracin > Diagnsticos > Duplicacin de puerto y VLAN. Se
abre la pgina Duplicacin de puerto y VLAN.

Puerto de destino: puerto en el que se copiar el trfico; el puerto del

analizador.
Interfaz de origen: interfaz, puerto o VLAN, desde la que se enva el trfico

al puerto del analizador.
117
Tipo: tipo de monitoreo: entrante al puerto (Rx), saliente desde el puerto (Tx),
o ambos.
Estado: muestra uno de los siguientes valores:

-
Activo: las interfaces de origen y destino estn activas y reenvan trfico.
No est listo: el origen o el destino (o ambos) no estn activos o no

reenvan trfico por algn motivo.
PASO 2 Haga clic en Aadir para aadir un puerto o una VLAN que desee duplicar. Se
abre la pgina Aadir duplicacin de puerto y VLAN.

PASO 3 Ingrese los parmetros:
Puerto de destino: seleccione el puerto del analizador en el que se copian

los paquetes. Un analizador de red, como una PC con Wireshark en
ejecucin, est conectado a este puerto. Si se identifica un puerto como
puerto del analizador de destino, permanece con esta funcin hasta que se
eliminan todas las entradas.
Interfaz de origen: seleccione el puerto o VLAN de origen de donde debe

duplicarse el trfico.
Tipo: seleccione si se duplica el trfico entrante, saliente o de ambos tipos

en el puerto del analizador. Si se selecciona Puerto, las opciones son:
-
Solo Rx: duplicacin de puerto en paquetes entrantes.
Solo Tx: duplicacin de puerto en paquetes salientes.
Tx y Rx: duplicacin de puerto en paquetes entrantes y salientes.
PASO 4 Haga clic en Aplicar. La duplicacin del puerto se aade a la configuracin en
ejecucin.
118
Visualizacin de la utilizacin de la CPU y tecnologa de ncleo

seguro
En esta seccin se describe la tecnologa de ncleo seguro (SCT, Secure Core
Technology) y de qu manera visualizar el uso de la CPU.
El switch maneja los siguientes tipos de trfico, adems de trfico de usuario final:
Trfico de administracin
Trfico de protocolo
Trfico de indagacin
El trfico excesivo carga la CPU y podra impedir el correcto funcionamiento del

switch. El switch utiliza la funcin de tecnologa de ncleo seguro (SCT) para
garantizar que el switch recibe y procesa el trfico de protocolo y administracin,
independientemente de cunto trfico total se reciba. SCT est habilitado de
forma predeterminado en el dispositivo y no se puede desactivar.
No hay interacciones con otras funciones.
Para ver la utilizacin de la CPU:
PASO 1 Haga clic en Administracin > Diagnsticos > Utilizacin de CPU.
Se abre la pgina Utilizacin de la CPU.

El campo Velocidad entrada de la CPU muestra la velocidad de las tramas de
entrada a la CPU por segundo.
La ventana muestra un grfico de la utilizacin de la CPU. El eje Y representa el
porcentaje de uso y el eje X es el nmero de muestra.
PASO 2 Seleccione la velocidad de actualizacin en Velocidad de actualizacin (tiempo
en segundos) que pasa antes de que se actualicen las estadsticas. Se crea una
nueva muestra para cada perodo.
119
9
Configuracin de Discovery
Esta seccin contiene informacin para configurar Discovery.

LLDP y CDP
Configuracin de CDP

Como cliente de Bonjour, el switch transmite peridicamente paquetes de
protocolo Bonjour Discovery a las subredes IP conectadas directamente y
anuncia su existencia y los servicios que ofrece, como por ejemplo, HTTP, HTTP y
Telnet. (Use la pgina Seguridad > Servicios TCP/UDP para habilitar o deshabilitar
los servicios del switch). El switch puede ser detectado por un sistema de
administracin de red u otras aplicaciones de terceros. Bonjour est habilitado de
manera predeterminada en la VLAN de administracin. La consola de Bonjour
detecta automticamente el dispositivo y lo muestra.
Bonjour en el modo del sistema de capa 2

Cuando el switch est en el modo del sistema de capa 2, Bonjour Discovery est
habilitado globalmente; no se puede habilitar por puerto o por VLAN. El switch
anuncia todos los servicios que activ el administrador segn la configuracin de
la pgina Servicios.
Cuando Bonjour Discovery e IGMP estn habilitados, la direccin IP de
multidifusin de Bonjour se muestra en la pgina Aadidura de direccin IP de
grupo de multidifusin.
120
Cuando Bonjour Discovery est deshabilitado, el switch detiene cualquier anuncio

de tipo de servicio y no responde a las solicitudes de servicio de las aplicaciones
de administracin de red.
Para habilitar globalmente Bonjour cuando el sistema est en el modo del sistema
de capa 2:
PASO 1 Haga clic en Administracin > Discovery - Bonjour. Se abre la pgina Discovery -
Bonjour .
PASO 2 Seleccione Habilitar para habilitar Bonjour Discovery globalmente en el switch.
PASO 3 Haga clic en Aplicar. Bonjour se habilita o se deshabilita en el switch segn la
seleccin.
Bonjour en el modo del sistema de capa 3

En el modo del sistema de capa 3, se puede asignar una direccin IP a cada
interfaz (VLAN, puerto o LAG). Cuando Bonjour est habilitado, el switch puede
enviar paquetes de Bonjour Discovery en todas las interfaces que tienen
direcciones IP. Bonjour puede asignarse de forma individual por puerto o por
VLAN. Cuando Bonjour est habilitado, el switch puede enviar paquetes de
Bonjour Discovery a las interfaces que tienen direcciones IP que han estado
asociadas con Bonjour en la tabla de control de interfaz de Bonjour Discovery.
(Cuando el switch funciona en el modo del sistema de capa 3, vaya a
Configuracin IP > Administracin e interfaces de IP > Interfaz IPv4 para
configurar una direccin IP para una interfaz).
Si una interfaz, como VLAN, se elimina, se envan paquetes de saludo final para
anular el registro de los servicios que el switch est anunciando desde la tabla de
cach vecina dentro de la red local. La tabla de control de interfaz de Bonjour
Discovery muestra las interfaces que tienen direcciones IP que estn asociadas
con la funcin Bonjour. Los anuncios de Bonjour solo se pueden transmitir a las
interfaces que aparecen en esta tabla. (Consulte la tabla de control de interfaz de
Bonjour Discovery en la pgina Administracin > Discovery - Bonjour). Si se
cambian los servicios disponibles, esos cambios se anuncian, y se anula el
registro de los servicios que estn desactivados y se registran los servicios que
estn activados. Si se cambia una direccin IP, se anuncia ese cambio.
Si Bonjour se deshabilita, el switch no enva ningn anuncio de Bonjour Discovery,
y no escucha los anuncios de Bonjour Discovery que envan otros dispositivos.
121
Para configurar Bonjour cuando el switch est en el modo del sistema de capa 3:
PASO 1 Haga clic en Administracin > Discovery - Bonjour. Se abre la pgina Discovery -
Bonjour .
PASO 2 Seleccione Habilitar para habilitar Bonjour Discovery globalmente.
PASO 3 Haga clic en Aplicar para actualizar el archivo Configuracin en ejecucin.
PASO 4 Para habilitar Bonjour en una interfaz, haga clic en Aadir.
PASO 5 Seleccione una interfaz y haga clic en Aplicar.
NOTA Haga clic en Eliminar para deshabilitar Bonjour en una interfaz (de esta manera, se
realiza la operacin eliminacin sin operaciones adicionales, como Aplicar).
LLDP y CDP
El protocolo de deteccin de capa de enlace (LLDP, Link Layer Discovery Protocol)
y el protocolo de deteccin de Cisco (CDP, Cisco Discovery Protocol) son
protocolos de la capa de enlace para que los vecinos con LLDP y CDP
directamente conectados se anuncien y anuncien sus capacidades entre ellos. El
switch enva de forma predeterminada un anuncio de LLDP/CDP peridicamente a
todas sus interfaces, y termina y procesa los paquetes LLDP y CDP entrantes,
segn lo requieran los protocolos. En LLDP y CDP, los anuncios estn cifrados
como TLV (tipo, longitud, valor) en el paquete.
Se aplican las siguientes notas de configuracin de CDP/LLDP:
CDP/LLDP pueden estar habilitados o deshabilitados globalmente y

habilitados o deshabilitados por puerto. La capacidad de CDP/LLDP de un
puerto es relevante solo si CDP/LLDP est habilitado globalmente.
Si CDP/LLDP est habilitado globalmente, el switch filtra los paquetes CDP/

LLDP entrantes de los puertos que estn deshabilitados por CDP/LLDP.
Si CDP/LLDP est deshabilitado globalmente, el switch puede configurarse

para que descarte, realice un desborde que detecta la VLAN o uno que no
detecta la VLAN, de todos los paquetes CDP/LLDP entrantes. La inundacin
que detecta la VLAN enva de forma masiva un paquete CDP/LLDP entrante
a la VLAN en la que se recibe el paquete, salvo al puerto de ingreso. La
inundacin que no detecta la VLAN emite en forma masiva un paquete CDP/
LLDP entrante a todos los puertos, salvo al puerto de ingreso. El valor
122
predeterminado es descartar los paquetes CDP/LLDP cuando el CDP/LLDP

est deshabilitado globalmente. El descarte y la inundacin de los
paquetes CDP y LLDP entrantes se pueden configurar en la pgina
Propiedades de CDP y en la pgina Propiedades de LLDP,
respectivamente.
Auto Smartport requiere que CDP o LLDP est habilitada. Auto Smartport
configura automticamente una interfaz segn el anuncio de CDP/LLDP que
se recibe de la interfaz.
Los dispositivos finales de CDP y LLDP, como por ejemplo, telfonos IP,
aprenden la configuracin de VLAN por voz de los anuncios de CDP y LLDP.
El switch est habilitado de forma predeterminada para enviar el anuncio de
CDP y LLDP segn la VLAN por voz configurada en el switch. Para obtener
ms detalles, consulte las secciones VLAN de voz y VLAN de voz
automtica.
NOTA CDP/LLDP no distingue si un puerto est en un LAG. Si hay varios puertos en un
LAG, CDP/LLDP transmiten paquetes a cada puerto sin tener en cuenta el hecho de
que los puertos estn en un LAG.
El funcionamiento de CDP/LLDP es independiente del estado de STP de una
interfaz.
Si el control de acceso del puerto 802.1x est habilitado en una interfaz, el switch
transmite paquetes de CDP/LLDP a la interfaz y los recibe de ella, solo si la
interfaz est autenticada y autorizada.
Si un puerto es el objetivo de la duplicacin, entonces para CDP/LLDP se
considera inactivo.
NOTA CDP y LLDP son protocolos de la capa de enlace para que los dispositivos con
CDP LLDP directamente conectados se anuncien y anuncien sus capacidades. En

las implementaciones en que los dispositivos con CDP/LLDP no estn
directamente conectados y estn separados con dispositivos sin CDP/LLDP, los
dispositivos con CDP/LLDP podrn recibir el anuncio de otros dispositivos, solo si
en los dispositivos con CDP/LLDP se produce un desborde de los paquetes de
CDP/LLDP que reciben. Si los dispositivos sin CDP/LLDP producen una inundacin
que detecta la VLAN, entonces los dispositivos con CDP/LLDP pueden escucharse
entre s, solo si estn en la misma VLAN. Un dispositivo con CDP/LLDP podr recibir
un anuncio de ms de un dispositivo si los dispositivos sin CDP/LLDP envan los
paquetes CDP/LLDP en forma masiva.
123
En esta seccin se describe cmo configurar el protocolo LLDP. Abarca los
siguientes temas:
Informacin general sobre LLDP
Configuracin de propiedades LLDP
Edicin de la configuracin de puerto de LLDP
LLDP MED
Configuracin de puertos LLDP MED
Visualizacin del estado de puertos LLDP
Visualizacin de la informacin local LLDP
Visualizacin de la informacin de vecinos LLDP
Acceso a las estadsticas LLDP
Sobrecarga LLDP
Informacin general sobre LLDP

LLDP es un protocolo que permite a los administradores de red resolver
problemas y mejorar la administracin de la red en entornos de varios
proveedores. LLDP estandariza los mtodos para que los dispositivos de red se
anuncien en otros sistemas y almacenen la informacin detectada.
LLDP permite a un dispositivo anunciar su identificacin, configuracin y
capacidades a dispositivos vecinos que luego almacenan los datos en una
Management Information Base (MIB, Base de informacin de administracin). El
sistema de administracin de red imita la topologa de la red consultando estas
bases de datos de MIB.
LLDP es un protocolo de la capa de enlace. De forma predeterminada, el switch
termina y procesa todos los paquetes LLDP entrantes, segn lo requiera el
protocolo.
El protocolo LLDP posee una extensin denominada LLDP Media Endpoint
Discovery (LLDP-MED), que suministra y acepta informacin de dispositivos de
punto final de medios, como por ejemplo, telfonos CoIP y telfonos de video.
Para obtener ms informacin sobre LLDP-MED, consulte LLDP MED.
124
Flujo de trabajo de la configuracin de LLDP

A continuacin se muestran ejemplos de acciones que se pueden realizar con la
funcin LLDP en un orden sugerido. Para obtener pautas adicionales sobre la
configuracin de LLDP, puede consultar la seccin LLDP/CDP. El acceso a las
pginas de configuracin de LLDP es mediante el men Administracin >
Discovery - LLDP.
1. Ingrese los parmetros globales de LLDP, como por ejemplo, el intervalo de
tiempo para enviar actualizaciones de LLDP, a travs de la pgina Propiedades
de LLDP.
2. Configure el LLDP por puerto mediante la pgina Configuracin de puertos. En
esta pgina, las interfaces pueden configurarse para que reciban y transmitan
PDU de LLDP, enven notificaciones SNMP, especifiquen qu TLV anunciar y
anuncien la direccin de administracin del switch.
3. Cree las polticas de red LLDP MED mediante la pgina Poltica de red LLDP
MED.
4. Asocie las polticas de red LLDP MED y los TLV LLDP-MED opcionales con las
interfaces deseadas mediante la pgina Configuracin de puertos LLDP MED.
5. Si Smartport automtico debe detectar las capacidades de los dispositivos
LLDP, habilite LLDP en la pgina Propiedades de Smartport.
6. Muestre la informacin de sobrecarga mediante la pgina Sobrecarga LLDP.
Configuracin de propiedades LLDP

La pgina Propiedades LLDP permite ingresar parmetros LLDP generales, que
incluyen la habilitacin/deshabilitacin de la funcin a nivel global y la
configuracin de temporizadores.
Para ingresar propiedades LLDP:
PASO 1 Haga clic en Administracin > Discovery - LLDP > Propiedades. Se abre la
pgina Propiedades.
Estado LLDP: seleccione esta opcin para habilitar LLDP en el switch

(seleccionado de forma predeterminada).
Manejo de tramas de LLDP: si LLDP no est habilitado, seleccione la accin

que se realizar si se recibe un paquete que coincide con los criterios
seleccionados.
125
Filtrado: elimine el paquete.
Inundacin: reenve el paquete a todos los miembros de la VLAN.
Intervalo para anuncio TLV: ingrese la velocidad en segundos a la que se

envan las actualizaciones de anuncios de LLDP o utilice el valor
predeterminado.
Intervalo para notificacin SNMP de cambios en la topologa: ingrese el

intervalo de tiempo mnimo entre las notificaciones SNMP.
Retener multiplicador: ingrese la cantidad de tiempo que se retienen los

paquetes LLDP antes de que se descarten, medida en mltiplos del Intervalo
para anuncio TLV. Por ejemplo, si el Intervalo para anuncio TLV es 30
segundos, y el valor de Retener multiplicador es 4, los paquetes LLDP se
descartan despus de 120 segundos.
Retraso en el reinicio: ingrese el intervalo de tiempo en segundos que

transcurre entre que se deshabilita y se reinicia LLDP, despus de un ciclo
de habilitacin/deshabilitacin de LLDP.
Retraso de transmisin: ingrese la cantidad de tiempo en segundos que

transcurre entre las sucesivas transmisiones de trama LLDP por cambios en
la MIB de los sistemas LLDP locales.
PASO 3 En el campo Conteo repetido de inicio rpido, ingrese la cantidad de veces que
se envan paquetes LLDP cuando se inicializa el mecanismo "Fast Start" (Inicio

rpido) de LLDP-MED. Esto se produce cuando un nuevo dispositivo del punto de
finalizacin se conecta al switch. Para obtener una descripcin de LLDP MED,
consulte la seccin Poltica de red LLDP MED.
PASO 4 Haga clic en Aplicar. Las propiedades de LLDP se aaden al archivo
Edicin de la configuracin de puerto de LLDP

La pgina Configuracin de puertos permite la activacin de la notificacin SNMP
y LLDP por puerto y el ingreso de los TLV que se envan en la PDU de LLDP.
Los TLV de LLDP-MED que deben anunciarse pueden seleccionarse en la pgina
Configuracin de puertos LLDP MED, y podr configurarse la TLV de la direccin
de administracin del switch.
126
Para definir la configuracin de puertos LLDP:

PASO 1 Haga clic en Administracin > Discovery - LLDP > Configuracin de puertos. Se
abre la pgina Configuracin de puertos.

Esta pgina muestra la informacin de puertos LLDP.
PASO 2 Seleccione un puerto y haga clic en Editar. Se abre la pgina Editar configuracin
de puerto LLDP.
Interfaz: seleccione un puerto para editar.
Estado administrativo: seleccione la opcin de publicacin LLDP para el

puerto. Los valores son:
Solo Tx: publica, pero no detecta.
Solo Rx: detecta, pero no publica.
Tx y Rx: publica y detecta.
Deshabilitar: indica que LLDP est deshabilitado en el puerto.
Notificacin SNMP: seleccione Habilitar para enviar notificaciones a los

receptores de notificaciones SNMP, por ejemplo, un sistema de
administracin de SNMP, cuando se produce un cambio de topologa.
El intervalo de tiempo entre notificaciones se ingresa en el campo Intervalo
para notificacin SNMP de cambios en la topologa de la pgina
Propiedades LLDP. Defina los receptores de notificaciones SNMP mediante
la pgina SNMP > Receptores de notificaciones v1,2 o SNMP > Receptores
de notificaciones v3.
TLV opcionales disponibles: seleccione la informacin que el switch

publicar; para ello, mueva los TLV a la lista TLV opcionales seleccionados.
Los TLV disponibles contienen la siguiente informacin:
-
Descripcin del puerto: informacin acerca del puerto, incluido el

fabricante, el nombre del producto y la versin de hardware/software.
Nombre del sistema: nombre asignado al sistema (en formato

alfanumrico). El valor es igual al objeto sysName.
Descripcin del sistema: descripcin de la entidad de red (en formato

alfanumrico). Esto incluye el nombre del sistema y las versiones de
hardware, sistema operativo y software de red que admite el switch. El
valor es igual al objeto sysDescr.
127
Capacidades del sistema: funciones principales del switch, y si estas

funciones estn habilitadas en el switch. Dos octetos indican las
capacidades. Los bits del 0 al 7 indican otro, repetidor, puente, WLAN AP,
router, telfono, dispositivo de cableado DOCSIS y estacin,
respectivamente. Los bits del 8 al 15 estn reservados.
802.3 MAC-PHY: capacidad de velocidad de bits y dplex y la

configuracin actual de velocidad de bits y dplex del dispositivo
remitente. Tambin indica si la configuracin actual es por negociacin
automtica o configuracin manual.
802.3 Aadidura de enlaces: indica si se puede aadir el enlace

(asociado con el puerto en el que se transmite la PDU de LLDP). Tambin
indica si el enlace est actualmente aadido, y si lo est, proporciona el
identificador del puerto aadido.
802.3 Tamao mximo de trama: capacidad de tamao mximo de la

trama de la implementacin de MAC/PHY.
Los siguientes campos se relacionan con la Direccin de administracin:
Modo de anuncio: seleccione una de las siguientes formas de anunciar la

direccin IP de administracin del switch:
-
Anuncio automtico: especifica que el software elegira

automticamente una direccin de administracin para realizar el
anuncio, entre todas las direcciones IP del producto. En caso de varias
direcciones IP, el software elige la direccin IP ms baja entre las
direcciones IP dinmicas. Si no hay direcciones dinmicas, el software
elige la direccin IP ms baja entre las direcciones IP estticas.
Ninguno: no anunciar la direccin IP de administracin.
Anuncio manual: seleccione esta opcin y la direccin IP de

administracin para anunciar. Le recomendamos que seleccione esta
opcin cuando el switch est en modo del sistema de capa 3 y
configurado con varias direcciones IP.
Direccin IP: si se ha seleccionado el anuncio manual, seleccione la

Direccin IP de administracin entre las direcciones proporcionadas.
PASO 3 Ingrese la informacin relevante y haga clic en Aplicar. La configuracin del puerto
se escribe en el archivo Configuracin en ejecucin.
128
LLDP MED
LLDP Media Endpoint Discovery (LLDP-MED) es una extensin de LLDP que
proporciona las siguientes capacidades adicionales para admitir dispositivos de
punto final de medios. Algunas de las funciones de la Poltica de red LLDP MED
son:
Permite el anuncio y la deteccin de polticas de red para aplicaciones en

tiempo real, como por ejemplo, voz y video.
Deteccin de ubicacin de dispositivos para permitir la creacin de bases

de datos de ubicacin y, en el caso del Voice over Internet Protocol (VoIP,
Protocolo de voz a travs de Internet), servicio de llamadas de emergencia
(E-911) mediante el uso de la informacin de ubicacin de telfonos IP.
Informacin sobre la resolucin de problemas. LLDP MED enva alertas a los

administradores de red sobre:
-
Conflictos en el modo dplex y en la velocidad de los puertos
Errores de configuracin de la poltica de QoS
Configuracin de la poltica de red LLDP MED

Una poltica de red LLDP-MED es un conjunto de parmetros de configuracin
relacionados para una aplicacin en tiempo real especfica, como por ejemplo,
voz o video. Una poltica de red, si se configura, se puede incluir en los paquetes
LLDP salientes para el dispositivo de punto final de medios LLDP conectado. El
dispositivo de punto final de medios debe enviar el trfico segn se especifica en
la poltica de red que recibe. Por ejemplo, se puede crear una poltica para trfico
VoIP que le indique al telfono VoIP:
Enviar el trfico de voz a travs de la VLAN 10 como paquete etiquetado y

con prioridad 5 de 802.1p.
Enviar trfico de voz con DSCP 46.
Las polticas de red se asocian con los puertos mediante la pgina Configuracin
de puertos LLDP MED. Un administrador puede configurar manualmente una o
ms polticas de red y las interfaces donde se enviarn las polticas. Es
responsabilidad del administrador crear manualmente las VLAN y los miembros
de sus puertos de acuerdo con las polticas de red y las interfaces asociadas.
Adems, un administrador puede instruir al switch para que genere
automticamente y anuncie una poltica de red para la aplicacin de voz, segn la
VLAN de voz que mantiene el switch. Para obtener detalles sobre cmo el switch
mantiene su VLAN de voz, consulte la seccin VLAN de voz automtica.
129
Para definir una poltica de red LLDP MED:

PASO 1 Haga clic en Administracin > Discovery - LLDP > Poltica de red LLDP MED.
Se abre la pgina Poltica de red LLDP MED.

Esta pgina muestra polticas de red creadas previamente.
PASO 2 Seleccione Automtico para Poltica de red LLDP-MED para aplicacin de voz si el
switch debe generar automticamente y anunciar una poltica de red para la

aplicacin de voz, segn la VLAN de voz que mantiene el switch.
NOTA Cuando esta casilla est marcada, usted no puede configurar
manualmente una poltica de red de voz.

PASO 3 Haga clic en Aplicar para aadir esto al archivo Configuracin en ejecucin.
PASO 4 Para definir una poltica nueva, haga clic en Aadir, y se abrir la pgina Aadir
poltica de red LLDP MED.

PASO 5 Ingrese los valores:
Nmero de poltica de red: seleccione el nmero de la poltica que desea

crear.
Aplicacin: seleccione el tipo de aplicacin (tipo de trfico) para el que se

est definiendo la poltica de red.
ID de VLAN: ingrese el ID de VLAN al que se debe enviar el trfico.
Etiqueta VLAN: seleccione si el trfico debe estar etiquetado o sin

etiquetas.
Prioridad del usuario: seleccione la prioridad de trfico aplicada al trfico

que se define en esta poltica de red. Este es el valor de CoS.
Valor DSCP: seleccione el valor DSCP para asociar con los datos de las
aplicaciones que envan los vecinos. Esto les informa cmo deben marcar el
trfico de aplicaciones que envan al switch.
PASO 6 Haga clic en Aplicar. Se define la poltica de red.

NOTA Debe configurar las interfaces manualmente para incluir las polticas
de red definidas manualmente para los paquetes LLDP salientes mediante

la pgina Configuracin de puertos LLDP MED.
130
Configuracin de puertos LLDP MED

La pgina Configuracin de puertos LLDP MED permite seleccionar los TLV de
LLDP-MED y las polticas de red que se deben incluir en el anuncio LLDP saliente
para las interfaces deseadas. Las polticas de red se configuran mediante la
pgina Poltica red LLDP MED.
NOTA Si el valor de Poltica de red LLDP-MED para aplicacin de voz (pgina Poltica de
red LLDP-MED) es Automtico, y la VLAN de voz automtica est en

funcionamiento, entonces el switch genera automticamente una poltica de red
LLDP-MED para la aplicacin de voz para todos los puertos que estn habilitados
por LLDP-MED y son miembros de la VLAN de voz.
Para configurar LLDP MED en cada puerto:
PASO 1 Haga clic en Administracin > Discovery - LLDP > Configuracin de puertos
LLDP MED. Se abre la pgina Configuracin de puertos LLDP MED.

Esta pgina muestra la configuracin de LLDP MED, incluidos los TLV habilitados,
para todos los puertos.
PASO 2 El mensaje de la parte superior de la pgina indica si la generacin de la poltica
de red LLDP MED para la aplicacin de voz es automtica o no (consulte

Informacin general de LLDP). Haga clic en el vnculo para cambiar el modo.
PASO 3 Para asociar ms TLV de LLDP MED y una o ms polticas de red LLDP MED
definidas por el usuario a un puerto, seleccinelo y haga clic en Editar. Se abre la

pgina Editar configuracin de puerto LLDP MED.
Interfaz: seleccione la interfaz que se debe configurar.
Estado LLDP MED: habilitar/deshabilitar LLDP MED en este puerto.
Notificacin SNMP: seleccione si se envan notificaciones SNMP por

puerto cuando se detecta una estacin terminal que admite MED, por
ejemplo, un sistema de administracin de SNMP, cuando hay un cambio de
topologa.
TLV opcionales disponibles: seleccione los TLV que el switch puede

publicar; para ello, muvalos a la lista TLV opcionales seleccionados.
131
Polticas de red disponibles: seleccione las polticas de LLDP MED que

LLDP publicar; para ello, muvalas a la lista Polticas de red seleccionadas.
Estas polticas se crearon en la pgina Poltica de red LLDP MED. Para incluir
una o ms polticas de red definidas por el usuario en el anuncio, tambin
debe seleccionar Poltica de red de los TLV opcionales disponibles.
NOTA En los siguientes campos se deben ingresar caracteres
hexadecimales en el formato de datos exacto que se define en la norma

LLDP-MED (ANSI-TIA-1057_final_for_publication.pdf).
-
Coordinacin de ubicaciones: ingrese la ubicacin de coordinacin que

LLDP debe publicar.
Direccin cvica de la ubicacin: ingrese la direccin cvica que LLDP

debe publicar.
Ubicacin ELIN (ECS): ingrese la ubicacin ELIN del Servicio de

llamadas de emergencia (ECS) que LLDP debe publicar.
PASO 5 Haga clic en Aplicar. La configuracin del puerto LLDP MED se escribe en el
Visualizacin del estado de puertos LLDP

La pgina Tabla de estado de puertos LLDP muestra la informacin global de
LLDP para cada puerto.
PASO 1 Para ver el estado LLDP de los puertos, haga clic en Administracin > Discovery -
LLDP > Estado de puertos LLDP. Se abre la pgina Estado de puertos LLDP.
PASO 2 Haga clic en Detalles de informacin local de LLDP para ver los detalles de LLDP y
de los TLV de LLDP-MED enviados al vecino.

PASO 3 Haga clic en Detalles de informacin de vecino de LLDP para ver los detalles de
LLDP y de los TLV de LLDP-MED recibidos del vecino.

Informacin global del estado de puertos LLDP
Subtipo de ID de chasis: tipo de ID de chasis (por ejemplo, direccin MAC).
ID de chasis: identificador de chasis. Cuando el subtipo de ID de chasis es

una direccin MAC, se muestra la direccin MAC del switch.
Nombre del sistema: nombre del switch.
132
Descripcin del sistema: descripcin del switch (en formato alfanumrico).
Capacidades del sistema admitidas: funciones principales del dispositivo,

como Puente, WLAN AP o Router.
Capacidades del sistema habilitadas: funciones principales habilitadas

del dispositivo.
Subtipo de ID de puerto: tipo de identificador de puerto que se muestra.
Tabla de estado de puertos LLDP
Interfaz: identificador de puerto.
Estado LLDP: opcin de publicacin LLDP.
Estado LLDP MED: habilitado o deshabilitado.
PoE local: informacin de la PoE local anunciada.
PoE remota: informacin de la PoE anunciada por el vecino.
N. de vecinos: cantidad de vecinos detectados.
Capacidad de vecino del 1.er dispositivo: muestra las funciones

principales del vecino; por ejemplo: Puente o Router.
Visualizacin de la informacin local LLDP

Para ver el estado de puertos locales LLDP anunciado en un puerto:
PASO 1 Haga clic en Administracin > Discovery - LLDP > Informacin local de LLDP.
Se abre la pgina Informacin local de LLDP.

PASO 2 En la parte inferior de la pgina, haga clic en Tabla de estado de puertos LLDP.
Haga clic en Detalles de informacin local de LLDP para ver los detalles de LLDP y
de los TLV de LLDP MED enviados al vecino.
Haga clic en Detalles de informacin de vecino de LLDP para ver los detalles de
LLDP y de los TLV de LLDP-MED recibidos del vecino.
PASO 3 Seleccione el puerto que desea de la lista de puertos.
133

Global
Subtipo de ID de chasis: tipo de ID de chasis (por ejemplo, la direccin

MAC).
ID de chasis: identificador de chasis. Cuando el subtipo de ID de chasis es

una direccin MAC, se muestra la direccin MAC del switch.
Nombre del sistema: nombre del switch.
Descripcin del sistema: descripcin del switch (en formato alfanumrico).
Capacidades del sistema admitidas: funciones principales del dispositivo,

como Puente, WLAN AP o Router.
Capacidades del sistema habilitadas: funciones principales habilitadas del

dispositivo.
ID de puerto: identificador de puerto.

Direccin de administracin
Muestra la tabla de direcciones de agente local LLDP. Otros administradores
remotos pueden usar esta direccin para obtener informacin relacionada con el
dispositivo local. La direccin consta de los siguientes elementos:
Subtipo de direccin: tipo de direccin IP de administracin que se incluye

en el campo Direccin de administracin, por ejemplo, IPv4.
Direccin: direccin devuelta ms apropiada para uso administrativo; por lo

general, una direccin de capa 3.
Subtipo de interfaz: mtodo de numeracin utilizado para definir el nmero

de interfaz.
Nmero de interfaz: interfaz especfica asociada con esta direccin de

administracin.
Detalles de MAC/PHY
Negociacin automtica admitida: estado de autonegociacin de

velocidad de puerto admitido.
134
Negociacin automtica habilitada: estado de autonegociacin de

velocidad de puerto activo.
Capacidades anunciadas de negociacin automtica: capacidades de

autonegociacin de velocidad de puerto, por ejemplo, modo semidplex
1000BASE-T, modo dplex completo 100BASE-TX.
Tipo de MAU operativa: tipo de Medium Attachment Unit (MAU, Unidad de

conexin al medio). La MAU desempea funciones de capa fsica, incluida la
conversin de datos digitales de la deteccin de colisin de interfaces
Ethernet y la inyeccin de bits en la red, por ejemplo, modo dplex completo
100BASE-TX.
802.3 Detalles
802.3 Tamao mximo de trama: tamao mximo de la trama IEEE 802.3

admitido.
802.3 Aadidura de enlaces
Capacidad de agrupacin: indica si la interfaz se puede aadir
Estado de agrupacin: indica si la interfaz est aadida
ID de puerto de agrupacin: ID de interfaz aadida anunciada.
802.3 Ethernet para uso eficiente de energa (EEE) (si el dispositivo es

compatible con EEE)
Tx local: indica el tiempo (en microsegundos) que el socio de enlace

transmisor espera antes de comenzar a transmitir los datos dejando el modo
de reposo de baja potencia (LPI, Low Power).
Rx local: indica el tiempo (en microsegundos) que el socio de enlace

receptor solicita que el socio de enlace transmisor espere antes de
transmitir los datos despus del modo de reposo de baja potencia (LPI, Low
Power Idle).
Eco de Tx remoto: indica la reflexin del socio de enlace local del valor Tx
del socio de enlace remoto.
Eco de Rx remoto: indica la reflexin del socio de enlace local del valor Rx
del socio de enlace remoto.
Detalles de MED
Capacidades compatibles: capacidades de MED admitidas en el puerto.
Capacidades actuales: capacidades de MED habilitadas en el puerto.
135
Clasificacin de dispositivo: clasificacin de dispositivo del punto de

finalizacin de LLDP-MED. Las posibles clasificaciones de dispositivo son:
-
Punto final clasificacin 1: indica una clasificacin de punto final genrica,

que ofrece servicios LLDP bsicos.
Punto final clasificacin 2: indica una clasificacin de punto final de

medios, que ofrece capacidades de transmisin por secuencias de
medios, y todas las funciones de clasificacin 1.
Punto final clasificacin 3: indica una clasificacin de dispositivo de

comunicaciones, que ofrece todas las funciones de clasificacin 1 y 2
ms ubicacin, 911, soporte de switch de capa 2 y capacidades de
administracin de informacin de dispositivos.
Tipo de dispositivo PoE: tipo de puerto PoE, por ejemplo, alimentado.
Fuente de alimentacin PoE: fuente de alimentacin de puertos.
Prioridad de energa PoE: prioridad de alimentacin de puertos.
Valor de energa PoE: valor de alimentacin de puertos.
Revisin de hardware: versin de hardware.
Revisin de firmware: versin de firmware.
Revisin de software: versin de software.
Nmero de serie: nmero de serie del dispositivo.
Nombre del fabricante: nombre del fabricante del dispositivo.
Nombre del modelo: nombre del modelo del dispositivo.
ID de activos: ID de activos.
Informacin de la ubicacin
Cvica: direccin postal.
Coordenadas: coordenadas del mapa: latitud, longitud y altitud.
ECS ELIN: Servicio de llamadas de emergencia (ECS), Nmero de

identificacin de la ubicacin de la emergencia (ELIN).
Tabla de poltica de red
Tipo de aplicacin: tipo de aplicacin de poltica de red; por ejemplo, voz.
ID de VLAN: ID de VLAN para la que se define la poltica de red.
136
Tipo de VLAN: tipo de VLAN para la que se define la poltica de red. Los
valores posibles del campo son:
-
Etiquetada: indica que la poltica de red est definida para VLAN con
etiqueta.
Sin etiquetar : indica que la poltica de red est definida para VLAN sin
etiqueta.
Prioridad del usuario: prioridad del usuario de poltica de red.
DSCP: DSCP (Cdigo del punto de servicios diferenciados) de poltica de

red.
Visualizacin de la informacin de vecinos LLDP

La pgina Informacin de vecinos LLDP muestra la informacin que se recibi de
los dispositivos vecinos.
Luego del tiempo de espera (segn el valor recibido del TLV de Tiempo de
funcionamiento de vecindad durante el cual no se recibi ninguna PDU de LLDP
de un vecino), la informacin se elimina.
Para ver la informacin de vecinos LLDP:
PASO 1 Haga clic en Administracin > Discovery - LLDP > Informacin de vecinos
LLDP. Se abre la pgina Informacin de vecinos LLDP.

Puerto local: nmero de puerto local al que est conectado el vecino.
ID de chasis: identificador de chasis del dispositivo de vecindad 802 LAN.
Nombre del sistema: nombre publicado del switch.
Tiempo de func.: intervalo de tiempo (en segundos) despus del cual la

informacin de este vecino se elimina.
137
PASO 2 Seleccione un puerto local y haga clic en Detalles. Se abre la pgina Informacin
de vecinos.
Detalles del puerto
Puerto local: nmero de puerto.
Entrada MSAP: nmero de entrada de Punto de acceso al servicio de

dispositivos de medios (MSAP, Device Media Service Access Point).
Detalles bsicos
ID de chasis: identificador de chasis de dispositivo de vecindad 802 LAN.

Nombre del sistema: nombre del sistema que se publica.
Descripcin del sistema: descripcin de la entidad de red (en formato

alfanumrico). Esto incluye el nombre del sistema y las versiones de
hardware, sistema operativo y software de red que admite el dispositivo. El
valor es igual al objeto sysDescr.
Capacidades del sistema admitidas: funciones principales del dispositivo.

Dos octetos indican las capacidades. Los bits del 0 al 7 indican otro,
repetidor, puente, WLAN AP, router, telfono, dispositivo de cableado
DOCSIS y estacin, respectivamente. Los bits del 8 al 15 estn reservados.
Capacidades del sistema habilitadas: funciones principales habilitadas del

dispositivo.
Tabla de direcciones de administracin
Subtipo de direccin: subtipo de direccin de administracin, por ejemplo,

MAC o IPv4.
Direccin: direccin de administracin.
Subtipo de interfaz: subtipo de puerto.
Nmero de interfaz: nmero de puerto.
138
Detalles de MAC/PHY
Negociacin automtica admitida: estado de autonegociacin de

velocidad de puerto admitido. Los valores posibles son verdadero y falso.
Negociacin automtica habilitada: estado de autonegociacin de

velocidad de puerto activo. Los valores posibles son verdadero y falso.
Capacidades anunciadas de negociacin automtica: capacidades de

autonegociacin de velocidad de puerto, por ejemplo, modo semidplex
1000BASE-T, modo dplex completo 100BASE-TX.
Tipo de MAU operativa: tipo de Medium Attachment Unit (MAU, Unidad de

conexin al medio). La MAU desempea funciones de capa fsica, incluida la
conversin de datos digitales de la deteccin de colisin de interfaces
Ethernet y la inyeccin de bits en la red, por ejemplo, modo dplex completo
100BASE-TX.
Potencia 802.3 a travs de MDI
Clasificacin de puerto con compatibilidad de alimentacin MDI:

clasificacin de puerto con compatibilidad de alimentacin anunciada.
Compatibilidad de alimentacin MDI PSE: indica si la alimentacin MDI se

admite en el puerto.
Estado de alimentacin MDI PSE: indica si la alimentacin MDI est

habilitada en el puerto.
Capacidad de control de pares de alimentacin PSE: indica si el control de

pares de alimentacin se admite en el puerto.
Par de alimentacin PSE: tipo de control de pares de alimentacin que se

admite en el puerto.
Clasificacin de alimentacin PSE: clasificacin de alimentacin anunciada

del puerto.
802.3 Detalles
802.3 Tamao mximo de trama: tamao mximo de la trama anunciado

que se admite en el puerto.
802.3 Aadidura de enlaces
Capacidad de agrupacin: indica si el puerto se puede aadir.
Estado de agrupacin: indica si el puerto est actualmente aadido.
ID de puerto de agrupacin: ID de puerto aadido anunciado.
139
802.3 Ethernet para uso eficiente de energa (EEE)
Tx remoto: indica el tiempo (en microsegundos) que el socio de enlace

transmisor espera antes de comenzar a transmitir los datos dejando el modo
de reposo de baja potencia (LPI, Low Power).
Rx remoto: indica el tiempo (en microsegundos) que el socio de enlace

receptor solicita que el socio de enlace transmisor espere antes de
transmitir los datos despus del modo de reposo de baja potencia (LPI, Low
Power Idle).
Eco de Tx local: indica la reflexin del socio de enlace local del valor Tx del
socio de enlace remoto.
Eco de Rx local: indica la reflexin del socio de enlace local del valor Rx del
socio de enlace remoto.
Detalles de MED
Capacidades admitidas: capacidades de MED habilitadas en el puerto.
Capacidades actuales: TLV de MED anunciados por el puerto.
Clasificacin de dispositivo: clasificacin de dispositivo del punto de

finalizacin de LLDP-MED. Las posibles clasificaciones de dispositivo son:
-
Punto final clasificacin 1: indica una clasificacin de punto final

genrica, que ofrece servicios LLDP bsicos.
Punto final clasificacin 2: indica una clasificacin de punto final de

medios, que ofrece capacidades de transmisin por secuencias de
medios, y todas las funciones de clasificacin 1.
Punto final clasificacin 3: indica una clasificacin de dispositivo de

comunicaciones, que ofrece todas las funciones de clasificacin 1 y 2
ms ubicacin, 911, soporte de switch de capa 2 y capacidades de
administracin de informacin de dispositivos.
Tipo de dispositivo PoE: tipo de puerto PoE, por ejemplo, alimentado.
Fuente de alimentacin PoE: fuente de alimentacin del puerto.
Prioridad de energa PoE: prioridad de alimentacin del puerto.
Valor de energa PoE: valor de alimentacin del puerto.
Revisin de hardware: versin de hardware.
Revisin de firmware: versin de firmware.
140
Revisin de software: versin de software.
Nmero de serie: nmero de serie del dispositivo.
Nombre del fabricante: nombre del fabricante del dispositivo.
Nombre del modelo: nombre del modelo del dispositivo.
ID de activos: ID de activos.
802.1 VLAN y protocolo
PVID: ID de VLAN de puerto anunciado.
Tabla PPVID
VID: ID de VLAN de protocolo.
Soportados: ID de VLAN de protocolo y puerto admitidos.
Habilitados: ID de VLAN de protocolo y puerto habilitados.
ID de VLAN
VID: ID de VLAN de protocolo y puerto.
Nombres de VLAN: nombres de VLAN anunciados.
ID de protocolo
Tabla de ID de protocolo: ID de protocolo anunciados.
Informacin de la ubicacin
Ingrese las siguientes estructuras de datos en caracteres hexadecimales como
se describe en la seccin 10.2.4 de la norma ANSI-TIA-1057:
Cvica: direccin postal o cvica.
Coordenadas: coordenadas del mapa de ubicacin: latitud, longitud y

altitud.
ECS ELIN: Servicio de llamadas de emergencia (ECS), Nmero de

identificacin de la ubicacin de la emergencia (ELIN) del dispositivo.
Desconocida: informacin de ubicacin desconocida.
Polticas de red
Tipo de aplicacin: tipo de aplicacin de poltica de red; por ejemplo, voz.
ID de VLAN: ID de VLAN para la que se define la poltica de red.
141
Tipo de VLAN: tipo de VLAN, con etiqueta o sin etiqueta, para la que se
define la poltica de red.
Prioridad del usuario: prioridad del usuario de poltica de red.
DSCP: DSCP (Cdigo del punto de servicios diferenciados) de poltica de

red.
Acceso a las estadsticas LLDP

La pgina Estadsticas LLDP muestra informacin estadstica de LLDP por puerto.
Para ver las estadsticas LLDP:
PASO 1 Haga clic en Administracin > Discovery - LLDP > Estadsticas LLDP. Se abre la
pgina Estadstica LLDP.

Para cada puerto, se muestran los campos:
Interfaz: identificador de interfaz.
Cantidad total de tramas Tx: cantidad de tramas transmitidas.
Tramas Rx
Total: cantidad de tramas recibidas.
Descartadas: cantidad total de tramas recibidas que se han descartado.
Errores: cantidad total de tramas recibidas con errores.
TLV Rx
-
Descartados: cantidad total de TLV recibidos que se han descartado.
No reconocidos: cantidad total de TLV recibidos que no se han

reconocido.
Conteo de eliminacin de informacin de vecinos: cantidad de

vencimientos de vecinos en la interfaz.
PASO 2 Haga clic en Actualizacin para ver las ltimas estadsticas.
142
Sobrecarga LLDP
LLDP aade informacin como TLV de LLDP y LLDP-MED en los paquetes LLDP. La
sobrecarga LLDP se produce cuando la cantidad total de informacin que se debe
incluir en un paquete LLDP excede el tamao mximo de PDU que admite una
interfaz.
La pgina Sobrecarga LLDP muestra la cantidad de bytes de la informacin de
LLDP/LLDP-MED, la cantidad de bytes disponibles para informacin adicional de
LLDP y el estado de sobrecarga de cada interfaz.
Para ver la informacin de sobrecarga LLDP:
PASO 1 Haga clic en Administracin > Discovery - LLDP > Sobrecarga LLDP. Se abre la
pgina Sobrecarga LLDP.

En esta pgina se muestran los siguientes campos para cada puerto:
Interfaz: identificador de puerto.
Total (Bytes): cantidad total de bytes de informacin de LLDP en cada

paquete.
Quedan por enviar (Bytes): cantidad total de bytes disponibles que quedan
para la informacin adicional de LLDP en cada paquete.
Estado: indica si los TLV se estn transmitiendo o si estn sobrecargados.
PASO 2 Para ver los detalles de sobrecarga de un puerto, seleccinelo y haga clic en
Detalles. Se abre la pgina Detalles de sobrecarga LLDP.

Esta pgina muestra la siguiente informacin para cada TLV que se enva por el
puerto:
TLV obligatorios de LLDP

-
Tamao (Bytes): tamao total obligatorio en bytes de TLV.
Estado: si el grupo de TLV obligatorio se est transmitiendo o si el grupo

de TLV estaba sobrecargado.
Capacidades LLDP MED

-
Tamao (Bytes): tamao total en bytes de paquetes de capacidades

LLDP MED.
Estado: si los paquetes de capacidades LLDP MED se han enviado o si

estaban sobrecargados.
143
Ubicacin LLDP MED

-
Tamao (Bytes) : tamao total en bytes de paquetes de ubicaciones LLDP

MED.
Estado: si los paquetes de ubicaciones LLDP MED se han enviado o si

Poltica de red LLDP MED

-
Tamao (Bytes) : tamao total en bytes de paquetes de polticas de red

LLDP MED.
Estado: si los paquetes de polticas de red LLDP MED se han enviado o si

Energa extendida LLDP MED a travs de MDI

-
Tamao (Bytes) : tamao total en bytes de paquetes de energa extendida

LLDP MED a travs de MDI.
Estado: si los paquetes de energa extendida LLDP MED a travs de MDI

se han enviado o si estaban sobrecargados.
802.3 TLV
-
Tamao (Bytes) : tamao total en bytes de paquetes de TLV LLDP MED

802.3.
Estado: si los paquetes de TLV LLDP MED 802.3 se han enviado o si

TLV opcionales de LLDP

-
Tamao (Bytes) : tamao total en bytes de paquetes de TLV LLDP MED

opcionales.
Estado: si los paquetes de TLV LLDP MED opcionales se han enviado o si

Inventario LLDP MED

-
Tamao (Bytes) : tamao total en bytes de paquetes de TLV de inventario

LLDP MED.
Estado: si los paquetes de inventario LLDP MED se han enviado o si

Total (Bytes): cantidad total de bytes de informacin de LLDP en cada

paquete.
144
Quedan por enviar (Bytes): cantidad total de bytes disponibles que quedan
para la informacin adicional de LLDP en cada paquete.
Configuracin de CDP
En esta seccin se describe cmo configurar el protocolo CDP.
Configuracin de propiedades CDP
Edicin de la configuracin de interfaz de CDP
Visualizacin de informacin local de CDP
Visualizacin de informacin de vecinos de CDP
Visualizacin de estadsticas de CDP
Configuracin de propiedades CDP

Al igual que LLDP, CDP (protocolo de deteccin de Cisco) es un protocolo de la
capa de enlace para que los vecinos conectados directamente se anuncien y
anuncien sus capacidades entre ellos. A diferencia de LLDP, CDP es un protocolo
de propiedad de Cisco.
Flujo de trabajo de la configuracin de CDP

A continuacin, se muestra un ejemplo de flujo de trabajo al configurar el CDP en
el switch. Tambin puede encontrar ms pautas de configuracin del CDP en la
seccin.
PASO 1 Ingrese los parmetros globales de CDP mediante la pgina Propiedades de
CDP.
PASO 2 Configure el CDP por interfaz mediante la pgina Configuracin de interfaz.
PASO 3 Si Smartport automtico debe detectar las capacidades de los dispositivos CDP,
habilite CDP en la pgina Propiedades de Smartport.
145
Consulte la seccin Identificacin de un tipo de Smartport para obtener una

descripcin de cmo el CDP se utiliza para identificar dispositivos para la funcin
de Smartport.
Para ingresar los parmetros CDP generales:
PASO 1 Haga clic en Administracin > Deteccin de CDP > Propiedades. Se abre la
pgina Propiedades.
Estado de CDP: seleccione esta opcin para habilitar CDP en el switch.
Manejo de tramas de CDP: si CDP no est habilitado, seleccione la accin

que se realizar si se recibe un paquete que coincide con los criterios
seleccionados.
-
Conexin en puente: reenve el paquete basndose en la VLAN.
Filtrado: elimine el paquete.
Inundacin: inundacin que no detecta la VLAN que reenva paquetes

CDP entrantes a todos los puertos, salvo el puerto de ingreso.
Anuncio de VLAN de voz de CDP: seleccione esta opcin para habilitar al

switch para que anuncie la VLAN de voz en CDP en todos los puertos que
tienen el CDP habilitado y son miembros de la VLAN de voz. La VLAN de voz
se configura en la pgina Propiedades de VLAN de voz.
Validacin de TLV obligatoria de CDP: si se selecciona esta opcin, los

paquetes CDP entrantes que no contienen las TLV obligatorias se descartan,
y el contador de errores invlidos aumenta.
Versin de CDP: seleccione la versin de CDP que se debe utilizar.
Tiempo de espera de CDP: la cantidad de tiempo que se retienen los

paquetes CDP antes de que se descarten, medida en mltiplos del Intervalo
para anuncio TLV. Por ejemplo, si el Intervalo para anuncio TLV es 30
segundos, y el valor de Retener multiplicador es 4, los paquetes LLDP se
descartan despus de 120 segundos. Las opciones posibles son las
siguientes:
-
Usar predeterminado: utilice el tiempo predeterminado (180 segundos).
Definido por el usuario: ingrese el tiempo en segundos.
146
Velocidad de transmisin de CDP: la velocidad en segundos en que se

envan las actualizaciones de anuncios del CDP. Las opciones posibles son
las siguientes:
-
Usar predeterminado: utilice la velocidad predeterminada

(60 segundos).
Definido por el usuario: ingrese la velocidad en segundos.
Formato de Id. de dispositivo: seleccione el formato del Id. de dispositivo

(direccin MAC o nmero de serie).
Interfaz de origen: la direccin IP que se utilizar en el TLV de las tramas.

Las opciones posibles son las siguientes:
-
Usar predeterminado: utilice la direccin IP de la interfaz saliente.
Definido por el usuario : utilice la direccin IP de la interfaz (en el campo

Interfaz) en el TLV de direccin.
Interfaz: Si se seleccion Definido por el usuario para Interfaz de origen,

seleccione la interfaz.
Discrepancia de VLAN de voz de Syslog: marque esta opcin para enviar

un mensaje de SYSLOG cuando se detecta una discrepancia en la VLAN de
voz. Esto significa que la informacin de la VLAN de voz en la trama entrante
no coincide con la que anuncia el dispositivo local.
Discrepancia de VLAN nativa de Syslog: marque esta opcin para enviar

un mensaje de SYSLOG cuando se detecta una discrepancia en la VLAN
nativa. Esto significa que la informacin de la VLAN nativa en la trama
entrante no coincide con la que anuncia el dispositivo local.
Discrepancia dplex de Syslog: marque esta opcin para enviar un

mensaje de SYSLOG cuando se detecta una discrepancia en la informacin
de dplex. Esto significa que la informacin de dplex en la trama entrante
no coincide con la que anuncia el dispositivo local.
PASO 3 Haga clic en Aplicar. Se definen las propiedades LLDP.
147
Edicin de la configuracin de interfaz de CDP

La pgina Configuracin de interfaz les permite a los administradores habilitar o
deshabilitar el CDP por puerto. Tambin se pueden activar notificaciones cuando
se presentan conflictos con los vecinos de CDP. El conflicto puede ser de datos de
la VLAN de voz, de la VLAN nativa o dplex.
Si se configuran estas propiedades, es posible seleccionar los tipos de
informacin que se proporcionan a dispositivos que admiten el protocolo LLDP.
Los TLV de LLDP-MED que se desea anunciar se pueden seleccionar en la pgina
Configuracin de interfaz LLDP MED.
Para definir la configuracin de interfaz LLDP:
PASO 1 Haga clic en Administracin > Deteccin de CDP > Configuracin de interfaz.
Se abre la pgina Configuracin de interfaz.

En esta pgina se muestra la siguiente informacin de CDP para cada interfaz.
Estado de CDP: la opcin de publicacin del CDP para el puerto.
Informes de conflictos con vecinos de CDP: muestra el estado de las

opciones de informe que estn habilitadas y deshabilitadas en la pgina
Editar (VLAN de voz/VLAN nativa/Dplex).
Nmero de vecinos: el nmero de vecinos detectados.
En la parte inferior de la pgina hay cuatro botones:
Copiar configuracin: seleccione este botn para copiar una configuracin

de un puerto a otro.
Editar: los campos se explican en el siguiente paso 2.
Detalles de informacin local de CDP: lo lleva a la pgina Administracin >
Deteccin de CDP > Informacin local de CDP.
Detalles de informacin de vecino de CDP: lo lleva a la pgina
Administracin > Deteccin de CDP > Informacin de vecino de CDP.

de interfaz CDP.
Interfaz: seleccione la interfaz que desea definir.
148
Estado de CDP: seleccione esta opcin para habilitar o deshabilitar la

opcin de publicacin del CDP para el puerto.
NOTA Los tres campos siguientes son para que funcionen cuando el switch
ha sido configurado para enviar trampas a la estacin de administracin.
Discrepancia de VLAN de voz de Syslog: seleccione este botn para

habilitar la opcin de enviar un mensaje de SYSLOG cuando se detecta una
discrepancia en la VLAN de voz. Esto significa que la informacin de la VLAN
de voz en la trama entrante no coincide con la que anuncia el dispositivo
local.
Discrepancia de VLAN nativa de Syslog: seleccione este campo para

habilitar la opcin de enviar un mensaje de SYSLOG cuando se detecta una
discrepancia en la VLAN nativa. Esto significa que la informacin de la VLAN
nativa en la trama entrante no coincide con la que anuncia el dispositivo
local.
Discrepancia dplex de Syslog: seleccione este campo para habilitar la

opcin de enviar un mensaje de SYSLOG cuando se detecta una
discrepancia en la informacin de dplex. Esto significa que la informacin
de dplex en la trama entrante no coincide con la que anuncia el dispositivo
local.
PASO 3 Ingrese la informacin relevante y haga clic en Aplicar. La configuracin del puerto
Visualizacin de informacin local de CDP

Para ver la informacin que anuncia el protocolo CDP sobre el dispositivo local:
PASO 1 Haga clic en Administracin > Discovery - CDP > Informacin local de CDP. Se
abre la pgina Informacin local de CDP.

PASO 2 Seleccione un puerto local y se mostrarn los siguientes campos:
Interfaz: nmero del puerto local.
Estado de CDP: muestra si el CDP est habilitado o no.
TLV de Id. de dispositivo

-
Tipo de Id. de dispositivo: el tipo del Id. de dispositivo que se anuncia

en el TLV de Id. del dispositivo.
149
TLV del nombre del sistema

-
VLAN nativa: el identificador de VLAN nativa que se anuncia en el TLV de

VLAN nativa.
TLV de semidplex/dplex completo

-
Plataforma: el identificador de plataforma que se anuncia en el TLV de

plataforma.
TLV de VLAN nativa

-
Versin: la informacin sobre la versin de software en la que se ejecuta

el dispositivo.
TLV de plataforma
-
Capacidades: las capacidades que se anuncian en el TLV del puerto.
TLV de versin
-
ID de puerto: el identificador de puerto que se anuncia en el TLV del

puerto.
TLV de capacidades
-
Direccin 1-3: direcciones IP (que se anuncian en el TLV de la direccin

del dispositivo).
TLV de puerto
-
Nombre del sistema: nombre del sistema del dispositivo.
TLV de direccin
-
Id. de dispositivo: Id. de dispositivo que se anuncia en el TLV de Id. del

dispositivo.
Dplex: indica si el puerto es medio o completo, segn se anuncia en el

TLV de semidplex/dplex completo.
TLV de aparato
-
ID del aparato: el tipo de dispositivo conectado al puerto que se

anuncia en el TLV del aparato.
ID de VLAN del aparato: la VLAN del dispositivo que usa el aparato; por
ejemplo, su el aparato es un telfono IP, es la VLAN de voz.
150
TLV de confianza extendida

-
TLV de CoS para puertos no fiables

-
Confianza extendida: habilitado indica que el puerto es confiable, lo

que significa que el host/servidor desde el que se recibe el paquete es
confiable para marcar los mismos paquetes. En este caso, los paquetes
que se reciben en ese puerto no pueden volver a marcarse.
Deshabilitado indica que el puerto no es confiable, en cuyo caso, el
siguiente campo es relevante.
CoS para puertos no fiables: si el campo Confianza extendida est

deshabilitado en el puerto, este campo muestra el valor CoS de la capa
2, lo que significa un valor de prioridad de 802.1D/802.1p. Es el valor
COS con el que el dispositivo vuelve a marcar todos los paquetes que
se reciben un puerto no fiable.
TLV de energa
-
ID de solicitud: el ID de solicitud de baja energa produce un eco en el

campo ID de solicitud que se recibi por ltima vez en el TLV de energa
solicitada. Es 0, si no se recibi el TLV de energa solicitada desde que el
ltimo paso de la interfaz fue a Arriba.
ID de administracin de energa: valor aumentado en 1 (o 2, para evitar

0) cada vez que se presenta cualquiera de los siguientes casos:
los cambios Energa disponible o Nivel de energa de administracin
cambian el valor
Se recibe un TLV de energa solicitada con un campo ID de solicitud, que
es diferente del conjunto que se recibi por ltima vez (o cuando se
recibe el primer valor)
La interfaz pasa a Abajo
Energa disponible: cantidad de energa que consume el puerto.
Nivel de energa de administracin: muestra la solicitud del proveedor

para el dispositivo alimentado para su TLV de consumo de energa. El
dispositivo siempre muestra Sin preferencia en este campo.
151
Visualizacin de informacin de vecinos de CDP

La pgina Informacin de vecinos CDP muestra la informacin de CDP que se
recibi de los dispositivos vecinos.
Luego del tiempo de espera (segn el valor recibido del TLV de Tiempo de
funcionamiento de vecindad durante el cual no se recibi ninguna PDU de CDP de
un vecino), la informacin se elimina.
Para ver la informacin de vecinos de CDP:
PASO 1 Haga clic en Administracin > Discovery - CDP > Informacin de vecinos de CDP.
Se abre la pgina Informacin de vecinos CDP.

En esta pgina se muestran los siguientes campos para el socio de enlace
(vecino):
Id. de dispositivo: identificador de dispositivo del vecino.
Nombre del sistema: nombre del sistema del vecino.
Interfaz local: nmero del puerto local al que est conectado el vecino.
Versin de anuncio: versin del protocolo CDP.
Tiempo de func. (seg.): intervalo de tiempo (en segundos) despus del cual
la informacin de este vecino se elimina.
Capacidades: capacidades que anuncia el vecino.
Plataforma: informacin del TLV de plataforma del vecino.
Interfaz de vecino: interfaz saliente del vecino.
PASO 2 Seleccione un dispositivo y haga clic en Detalles. Se abre la pgina Detalles de
vecinos CDP.
Esta pgina muestra los siguientes campos sobre el vecino:
Id. de dispositivo: identificador del Id. de dispositivo del vecino.
Interfaz local: nmero de interfaz del puerto por el cual arriba la trama.
Versin de anuncio: versin del CDP.
Tiempo de func.: intervalo de tiempo (en segundos) despus del cual la

informacin de este vecino se elimina.
152
Capacidades: funciones principales del dispositivo. Dos octetos indican las

capacidades. Los bits del 0 al 7 indican otro, repetidor, puente, WLAN AP,
router, telfono, dispositivo de cableado DOCSIS y estacin,
respectivamente. Los bits del 8 al 15 estn reservados.
Plataforma: identificador de la plataforma del vecino.
Interfaz del vecino: nmero de interfaz del vecino por el cual arriba la trama.
VLAN nativa: VLAN nativa del vecino.
Dplex: indica si la interfaz de los vecinos es semidplex o dplex completa.
Direcciones: direcciones del vecino.
Energa extrada: cantidad de energa que consume el vecino en la interfaz.
Versin: versin de software del vecino.
NOTA Si hace clic en el botn Borrar tabla, se desconectan todos los dispositivos
conectados desde el CDP y, si Smartport automtico est habilitado, todos los

tipos de puerto cambian al predeterminado.
Visualizacin de estadsticas de CDP

La pgina Estadsticas de CDP muestra informacin sobre las tramas del
protocolo de deteccin de Cisco (CDP, Cisco Discovery Protocol) que se enviaron
a un puerto o que se recibieron de un puerto. Los paquetes CDP se reciben de los
dispositivos conectados a las interfaces de los switches, y se utilizan para la
funcin de Smartport. Para obtener ms informacin, consulte Configuracin de
CDP.
Las estadsticas de CDP para un puerto solo se muestran si CDP est activado
globalmente y en el puerto. Esto se hace en la pgina Propiedades de CDP y en
la pgina Configuracin de interfaz de CDP.
Para ver las estadsticas de CDP:
PASO 1 Haga clic en Administracin > Deteccin de CDP > Estadsticas de CDP. Se abre la
pgina Estadsticas de CDP.

Los siguientes campos se muestran para todas las interfaces:
Paquetes recibidos/transmitidos:
Versin 1: nmero de paquetes de la versin 1 de CDP recibidos/

transmitidos.
153
Versin 2: nmero de paquetes de la versin 2 de CDP recibidos/

transmitidos.
Total: nmero total de paquetes CDP recibidos/transmitidos.
En la seccin Estadsticas de error de CDP se muestran los contadores de errores

CDP.
Suma de comprobac. no permitida: nmero de paquetes recibidos con

valor de suma de comprobacin no permitida.
Otros errores: nmero de paquetes recibidos con errores, a diferencia de

las sumas de comprobacin no permitidas.
Vecinos superan el mximo: nmero de veces que la informacin de los

paquetes no se pudo almacenar en cach por falta de espacio.
Para borrar todos los contadores de todas las interfaces, haga clic en Borrar
todos los contadores de interfaz. Para borrar todos los contadores en una
interfaz, seleccinela y haga clic en Borrar todos los contadores de interfaz.
154
10
Administracin de puertos
En esta seccin se describe la configuracin de puertos, la aadidura de enlaces

y la funcin Green Ethernet.
Para configurar puertos, siga los siguientes pasos:
1. Configure los puertos mediante la pgina Configuracin de puertos.
2. Habilite/deshabilite el protocolo Link Aggregation Control (LAG) y configure los
posibles puertos miembro a los LAG deseados mediante la pgina
Administracin de LAG. De forma predeterminada, todos los LAG estn vacos.
3. Configure los parmetros Ethernet, como velocidad y negociacin automtica
para los Grupos de aadidura de enlaces mediante la pgina Configuracin de
LAG.
4. Configure los parmetros de LACP para los puertos que son miembros o
candidatos de un LAG, mediante la pgina LACP.
5. Configure Green Ethernet y 802.3 Ethernet para uso eficiente de energa
mediante la pgina Propiedades.
6. Configure el modo de energa Green Ethernet y 802.3 Ethernet para uso
eficiente de energa por puerto mediante la pgina Configuracin de puertos.
7. Si se admite y se habilita la alimentacin por Ethernet (PoE, Power over
Ethernet), configure el switch como se describe en Administracin de
dispositivos Power over Ethernet.
155
10

La pgina Configuracin de puertos muestra la configuracin global e individual
de todos los puertos. Esta pgina le permite seleccionar y configurar los puertos
que desea en la pgina Editar configuracin de puerto.
Para configurar los valores de los puertos:
PASO 1 Haga clic en Administracin de puertos > Configuracin de puertos. Se abre la
pgina Configuracin de puertos.

PASO 2 Seleccione Tramas Jumbo para admitir paquetes de hasta 10 Kb de tamao. Si
no se habilita Tramas Jumbo (predeterminado), el sistema admite paquetes de

hasta 2,000 bytes. Para que las tramas jumbo tengan efecto, deber reiniciarse el
switch despus de habilitar la funcin.
PASO 3 Haga clic en Aplicar para actualizar la configuracin global.
Los cambios en la configuracin de tramas jumbo surten efecto solo despus de

que la Configuracin en ejecucin se guarda explcitamente en el Archivo de
configuracin de inicio mediante la pgina Copiar/guardar configuracin, y el
switch se reinicia.
PASO 4 Para actualizar los valores de los puertos, seleccione el puerto que desea y haga
clic en Editar. Se abre la pgina Editar configuracin de puerto.

PASO 5 Modifique los siguientes parmetros:
Interfaz: seleccione el nmero de puerto.
Tipo de puerto: muestra el tipo de puerto y la velocidad. Las opciones

posibles son:
-
Puertos de cobre: regulares, no combinados, admiten los siguientes

valores: 10 M, 100 M y 1000 M (tipo: de cobre).
Puertos combinados de cobre: puerto combinado conectado con cable

de cobre CAT5, admite los siguientes valores: 10 M, 100 M y 1000 M (tipo:
ComboC).
Combo Fiber: puerto del Conversor de la Interfaz Gigabit SFP Fiber

con los siguientes valores: 100 M y 1000 M (tipo: ComboF).
Fibra ptica de 10 G: puertos con velocidades de 1 G o 10 G.
NOTA SFP Fiber tiene prioridad en los puertos combinados cuando se estn
usando ambos puertos.
156
10
Descripcin del puerto: ingrese un comentario o el nombre de puerto

definido por el usuario.
Estado administrativo: seleccione esta opcin si el puerto debe estar

activo o inactivo cuando el switch se reinicia.
Estado operativo: muestra si el puerto actualmente est activo o inactivo.
Intervalo de tiempo: seleccione para habilitar el intervalo de tiempo durante

el cual el puerto estar en estado activo. Si el intervalo de tiempo no est
activado, el puerto se encuentra apagado. Si hay un intervalo de tiempo
configurado, tendr efecto solo cuando el puerto est activo
administrativamente. Si an no hay un intervalo de tiempo definido, haga clic
en Editar para dirigirse a la pgina Rango de tiempo.
Nombre del intervalo de tiempo: seleccione el perfil que especifica el

intervalo de tiempo.
Estado operativo del intervalo de tiempo: muestra si el intervalo de tiempo

est actualmente activo o no activo.
Reactivar puerto suspendido: seleccione para reactivar un puerto que ha

sido suspendido. Existen varias formas para suspender un puerto, como a
travs de la opcin de seguridad de puerto bloqueado, el incumplimiento de
host nico Dot1x, la deteccin de bucle de retorno, la proteccin de bucle de
retorno STP o las configuraciones de la Lista de control de acceso (ACL). El
funcionamiento reactivo activa el puerto independientemente del motivo por
el cual se suspendi.
Negociacin automtica: seleccione para habilitar la negociacin

automtica en el puerto. La negociacin automtica habilita un puerto para
anunciar su velocidad de transmisin, modo dplex y capacidades de
control de flujo al socio de enlace del puerto.
Negociacin automtica operativa: muestra el estado de negociacin

automtica actual en el puerto.
Velocidad del puerto administrativo: configure la velocidad del puerto. El

tipo de puerto determina las velocidades que estn disponibles. Usted
puede designar la Velocidad administrativa solo cuando la negociacin
automtica de puertos est deshabilitada.
Velocidad del puerto operativo: muestra la velocidad actual del puerto que
es el resultado de la negociacin.
157
10
Modo dplex administrativo: seleccione el modo dplex de puerto. Este

campo solo se puede configurar cuando la negociacin automtica est
deshabilitada y la velocidad del puerto es 10 M o 100 M. En la velocidad de
puerto de 1 G, el modo siempre es dplex completo. Las opciones posibles
son:
-
Completo: la interfaz admite la transmisin entre el switch y el cliente en

ambas direcciones simultneamente.
Semi: la interfaz admite la transmisin entre el switch y el cliente solo en

una direccin a la vez.
Modo dplex operativo: muestra el modo dplex actual del puerto.
Anuncio automtico: seleccione las capacidades que anuncia la

negociacin automtica cuando est habilitada. Las opciones son:
-
Capacidad mxima: se pueden aceptar todos los valores de

velocidades de puerto y modo dplex.
10 Semi: velocidad de 10 Mbps y modo semidplex.
10 Completo: velocidad de 10 Mbps y modo dplex completo.
100 Semi: velocidad de 100 Mbps y modo semidplex.
Anuncio operativo: muestra las capacidades que estn publicadas

actualmente en el vecino del puerto. Las opciones posibles son las
especificadas en el campo Anuncio administrativo.
Anuncio de vecino: muestra las capacidades que anuncia el dispositivo

vecino (socio de enlace).
Contrapresin: seleccione el modo de contrapresin en el puerto (se usa

con el modo semidplex) para reducir la velocidad de la recepcin de
paquetes cuando el switch est congestionado. Deshabilita el puerto
remoto, lo que le impide enviar paquetes mediante la congestin de la seal.
Control de flujo: habilite o deshabilite el control de flujo 802.3x o habilite la

negociacin automtica del control de flujo en el puerto (solo cuando est en
el modo dplex completo).
MDI/MDIX: el estado del puerto de Interfaz dependiente de medios (MDI,

Media Dependent Interface)/Interfaz dependiente de medios con cruce
(MDIX, Media Dependent Interface with Crossover).
158
10
Las opciones son:

-
MDIX: seleccione esta opcin para intercambiar la transmisin y recibir

pares.
MDI: seleccione para conectar este switch a una estacin mediante un

cable de conexin directa.
Automtico: seleccione para configurar este switch para detectar

automticamente las clavijas correctas para la conexin con otro
dispositivo.
MDI/MDIX operativo: muestra la configuracin de MDI/MDIX actual.
Puerto protegido: seleccione esta opcin para que este sea un puerto
protegido. (Un puerto protegido tambin se denomina borde de VLAN
privada (PVE)). A continuacin se definen las funciones de un puerto
protegido:
Los puertos protegidos proporcionan aislamiento de capa 2 entre las

interfaces (puertos Ethernet y LAG) que comparten la misma VLAN.
Los paquetes que se reciben de los puertos protegidos solo se pueden

reenviar a los puertos de egreso desprotegidos. Las reglas de filtrado de
puertos protegidos tambin se aplican a los paquetes que el software
reenva, como las aplicaciones de indagacin.
La proteccin de puertos no est sujeta a la pertenencia a la VLAN. Los

dispositivos conectados a puertos protegidos no pueden comunicarse
entre s, ni siquiera si son miembros de la misma VLAN.
Los puertos y los LAG pueden ser definidos como protegidos o

desprotegidos. Los LAG protegidos se describen en la seccin
Configuracin de los valores de LAG.
Miembro de LAG: muestra el nmero de LAG, si el puerto es miembro de un

LAG; de lo contrario, este campo queda en blanco.
PASO 6 Haga clic en Aplicar. La configuracin del puerto se escribe en el archivo
159
10

En esta seccin se describe cmo configurar LAG. Abarca los siguientes temas:
Informacin general de la aadidura de enlaces
Flujo de trabajo de LAG esttico y dinmico
Definicin de la administracin de LAG
Configuracin de los valores de LAG
Configuracin del LACP
Informacin general de la aadidura de enlaces

El Protocolo de control de aadidura de enlaces (LACP, Link Aggregation Control
Protocol) es parte de una especificacin IEEE (802.3az) que lo habilita para incluir
varios puertos fsicos juntos para formar un solo canal lgico (LAG). Los LAG
multiplican el ancho de banda, aumentan la flexibilidad de los puertos y
proporcionan redundancia de enlaces entre dos dispositivos.
Se admiten dos tipos de LAG:
Esttico: un LAG es esttico si el LACP est deshabilitado en l. Los puertos

asignados a un LAG esttico son siempre miembros activos. Una vez que se
crea un LAG manualmente, la opcin de LACP no se puede aadir ni eliminar
hasta que el LAG se edite y se elimine un miembro (el que puede aadirse
antes de aplicarse); entonces, el botn LACP estar disponible para
editarse.
Dinmico: un LAG es dinmico si el LACP est habilitado en l. Los puertos

asignados al LAG dinmico son puertos candidatos. El LACP determina qu
puertos candidatos son puertos miembros activos. Los puertos candidatos
no activos son puertos en espera listos para reemplazar cualquier puerto
miembro activo que falle.
Balance de carga
Al trfico que se reenva a un LAG se le realiza un balance de carga en los puertos
miembro activos y, de esta forma, se logra un ancho de banda efectivo similar a la
combinacin del ancho de banda de todos los puertos miembro activos del LAG.
160
10
El balance de carga del trfico en los puertos miembro activos de un LAG es

administrado por una funcin de distribucin basada en el hash que distribuye
trfico unidifusin basado en la informacin de encabezado de paquetes de capa
2 o capa 3.
El switch admite dos modos de balance de carga:
Por direcciones MAC: basado en las direcciones MAC de origen y de

destino de todos los paquetes.
Por direcciones IP y MAC: basado en las direcciones IP de origen y de

destino para los paquetes IP, y las direcciones MAC de origen y de destino
para los paquetes que no son IP.
Administracin de LAG
En general, el sistema trata a un LAG como un puerto lgico nico. En concreto, el
LAG tiene atributos de puerto similares a un puerto regular, como el estado y la
velocidad.
El switch admite ocho LAG.
Cada LAG tiene las siguientes caractersticas:
Todos los puertos de un LAG deben ser del mismo tipo de medio.
Para aadir un puerto al LAG, este no puede pertenecer a ninguna VLAN,

excepto a la VLAN predeterminada.
Los puertos de un LAG no se deben asignar a otro LAG.
A un LAG esttico no se le pueden asignar ms de ocho puertos, y para un

LAG dinmico no puede haber ms de 16 puertos candidatos.
Todos los puertos de un LAG deben tener la negociacin automtica

deshabilitada, aunque el LAG puede tenerla habilitada.
Cuando un puerto se aade a un LAG, la configuracin del LAG se aplica al

puerto Cuando el puerto se elimina del LAG, se vuelve a aplicar su
configuracin original.
Los protocolos, como el Spanning Tree (Protocolo de rbol de expansin),

consideran que todos los puertos del LAG son un solo puerto.
161
10
Flujo de trabajo de LAG esttico y dinmico

Una vez que se cre un LAG manualmente, no se puede aadir ni eliminar un LACP
hasta que el LAG se edite y se elimine un miembro. Solo entonces el botn LACP
estar disponible para editarse.
Para configurar un LAG esttico, siga los siguientes pasos:
1. Deshabilite LACP en el LAG para que sea esttico. Asigne hasta ocho puertos
miembro activos al LAG esttico seleccionando y pasando los puertos de la
Lista de puertos a la lista de Miembros de LAG. Seleccione el algoritmo de
equilibrio de carga para el LAG. Realice estas acciones en la pgina
Administracin de LAG.
2. Configure varios aspectos del LAG, como por ejemplo la velocidad y el control
de flujo, mediante la pgina Configuracin de LAG.
Para configurar un LAG dinmico, siga los siguientes pasos:
1. Habilite el LACP en el LAG. Asigne hasta 16 puertos candidatos al LAG
dinmico seleccionando y pasando los puertos de la Lista de puertos a la lista
de Miembros de LAG mediante la pgina Administracin de LAG.
2. Configure varios aspectos del LAG, como por ejemplo, la velocidad y el control
de flujo, mediante la pgina Configuracin de LAG.
3. Defina el tiempo de espera y la prioridad de LACP de los puertos en el LAG
mediante la pgina LACP.
Definicin de la administracin de LAG

La pgina Administracin de LAG muestra los valores globales e individuales de
LAG. La pgina tambin le permite configurar los valores globales y seleccionar y
editar el LAG que desea en la pgina Editar membresa LAG.
Para seleccionar el algoritmo de equilibrio de carga del LAG:
PASO 1 Haga clic en Administracin de puertos > Aadidura de enlaces >
Administracin de LAG. Se abre la pgina Administracin de LAG.

PASO 2 Seleccione uno de los siguientes Algoritmos de balance de cargas:
Direccin MAC: realice el balance de carga por direccin MAC de origen y

de destino en todos los paquetes.
Direccin IP/MAC: realice el balance de carga por direccin IP de origen y

de destino en los paquetes IP, y por direccin MAC de origen y de destino
en los paquetes que no sean IP.
162
10
PASO 3 Haga clic en Aplicar. El Algoritmo de balance de carga se escribe en el archivo
Para definir los puertos miembro o candidato de un LAG.

PASO 1 Seleccione el LAG que desea configurar y haga clic en Editar. Se abre la pgina
Editar membresa LAG.

PASO 2 Ingrese los valores para los siguientes campos:
LAG: seleccione el nmero de LAG.
Nombre de LAG: ingrese el nombre de LAG o un comentario.
LACP: seleccione esta opcin para habilitar LACP en el LAG seleccionado.

Esto lo transforma en un LAG dinmico. Este campo solo puede habilitarse
despus de mover un puerto al LAG del campo siguiente.
Unidad/ranura: muestra los miembros de la pila para los cuales se define la

informacin LAG.
Lista de puertos: mueva los puertos que desea asignar al LAG de la Lista
de puertos a la lista de Miembros de LAG. A cada LAG esttico se le
pueden asignar hasta ocho puertos y a un LAG dinmico se le pueden
asignar 16 puertos.
PASO 3 Haga clic en Aplicar. La afiliacin LAG se escribe en el archivo Configuracin en
ejecucin.
Configuracin de los valores de LAG

La pgina Configuracin de LAG muestra una tabla de valores actuales para todos
los LAG. Si inicia la pgina Editar configuracin LAG, puede configurar los valores
de los LAG seleccionados y reactivar los LAG suspendidos.
Para configurar los valores de LAG o reactivar un LAG suspendido:
PASO 1 Haga clic en Administracin de puertos > Aadidura de enlaces >
Configuracin de LAG. Se abre la pgina Configuracin de LAG.

PASO 2 Seleccione un LAG, y haga clic en Editar. Se abre la pgina Editar configuracin
LAG.
163
10
LAG: seleccione el nmero de ID de LAG.
Descripcin: ingrese el nombre de LAG o un comentario.
Tipo de LAG: muestra el tipo de puerto que incluye el LAG.
Estado administrativo: configure el LAG seleccionado en activo o inactivo.
Estado operativo: muestra si el LAG est funcionando actualmente.
Reactivar LAG suspendido: seleccione para reactivar un puerto si el LAG

se ha deshabilitado mediante la opcin de seguridad de puerto bloqueado
o mediante las configuraciones de la ACL.
Negociacin automtica administrativa: habilita o deshabilita la

negociacin automtica en el LAG. La negociacin automtica es un
protocolo entre dos socios de enlace que habilita un LAG para anunciar su
velocidad de transmisin y control de flujo a su socio (el Control de flujo
predeterminado est deshabilitado). Se recomienda mantener la
negociacin automtica habilitada a ambos lados de un enlace aadido, o
deshabilitada a ambos lados, mientras se asegura de que las velocidades
de enlace sean idnticas.
Negociacin automtica operativa: muestra la configuracin de la

negociacin automtica.
Velocidad administrativa: seleccione la velocidad del LAG.
Velocidad operativa de LAG: muestra la velocidad actual a la que est

funcionando el LAG.
Anuncio administrativo: seleccione las capacidades que el LAG anunciar.

Las opciones son:
-
Capacidad mxima: todas las velocidades de LAG y ambos modos

dplex estn disponibles.
10 Completo: el LAG anuncia una velocidad de 10 Mbps y el modo es

dplex completo.
100 Completo: el LAG anuncia una velocidad de 100 Mbps y el modo es

dplex completo.
1000 Completo: el LAG anuncia una velocidad de 1000 Mbps y el modo

es dplex completo.
164
10
Anuncio operativo: muestra el estado de Anuncio administrativo. El LAG

anuncia sus capacidades a su LAG vecino para iniciar el proceso de
negociacin. Los valores posibles son los que se especifican en el campo
Anuncio administrativo.
Control de flujo administrativo: determina el control de flujo para Habilitar

o Deshabilitar o permitir la Negociacin automtica del Control de flujo en
el LAG.
Control de flujo operativo: muestra la configuracin actual de Control de

flujo.
LAG protegido: seleccione esta opcin para hacer que el LAG sea un puerto
protegido para el aislamiento de la capa 2. Consulte la descripcin de
Configuracin de puertos en Ajuste de la configuracin bsica de los
puertos para obtener detalles con respecto a puertos protegidos y LAG.
Configuracin del LACP

Un LAG dinmico tiene el LACP habilitado, y el LACP se ejecuta en todos los
puertos candidatos definidos en el LAG.
Prioridad y reglas del LACP

La prioridad de sistema LACP y la prioridad de puerto LACP se utilizan para
determinar qu puertos candidatos se transforman en puertos miembro activos en
un LAG dinmico configurado con ms de ocho puertos candidatos.
Los puertos candidatos seleccionados del LAG estn todos conectados al mismo
dispositivo remoto. Tanto los switches locales como remotos tienen una prioridad
de sistema LACP.
El siguiente algoritmo se usa para determinar si las prioridades de puerto LACP se
toman del dispositivo local o remoto: la prioridad de sistema LACP local se
compara con la prioridad de sistema LACP remoto. El dispositivo con la prioridad
menor controla la seleccin del puerto candidato al LAG. Si ambas prioridades
son iguales, se compara la direccin MAC local y la remota. La prioridad del
dispositivo con la direccin MAC ms baja controla la seleccin del puerto
candidato al LAG.
165
10
Un LAG dinmico puede tener hasta 16 puertos Ethernet del mismo tipo. Usted
puede haber hasta ocho puertos activos, y puede haber hasta ocho puertos en
modo en espera. Cuando hay ms de ocho puertos en el LAG dinmico, el switch
del extremo de control del enlace usa prioridades de puerto para determinar qu
puertos se agrupan en el LAG y qu puertos se ponen en el modo en espera. Se
ignoran las prioridades de puerto del otro switch (el extremo del enlace que no es
de control).
A continuacin se indican las reglas adicionales para seleccionar los puertos
activos o en espera en un LACP dinmico:
Se pone en espera a todo enlace que funcione a una velocidad distinta del
miembro activo de velocidad ms alta o que funciona en modo semidplex.
Todos los puertos activos de un LAG dinmico funcionan a la misma
velocidad en baudios.
Si la prioridad de LACP de puertos del enlace es ms baja que la de los

miembros de enlace actualmente activos, y la cantidad de miembros activos
ya es la mxima, el enlace queda inactivo y se coloca en el modo en espera.
Configuracin de valores de los parmetros de LACP de los puertos

La pgina LACP muestra y habilita la configuracin de la prioridad de sistema
LACP, del tiempo de espera de LACP y de la prioridad de puertos LACP. El tiempo
de espera de LACP es un parmetro por puerto y es el intervalo de tiempo entre
el envo y la recepcin de PDU de LACP consecutivas. Con todos los factores
iguales, cuando el LAG se configura con ms puertos candidatos que la cantidad
mxima de puertos activos permitidos, el switch selecciona puertos como activos
del LAG dinmico que tiene la prioridad ms alta.
NOTA La configuracin de LACP es irrelevante en los puertos que no son miembros de un
LAG dinmico.
Para definir los valores de LACP:
PASO 1 Haga clic en Administracin de puertos > Aadidura de enlaces > LACP. Se
abre la pgina LACP.

PASO 2 Ingrese la prioridad de sistema LACP. Consulte Configuracin del LACP.
PASO 3 Seleccione un puerto y haga clic en Editar. Se abre la pgina Editar LACP.
Interfaz: seleccione el nmero de puerto al que se le asignan los valores de

tiempo de espera y prioridad.
166
10
Prioridad de puerto LACP: ingrese el valor de prioridad de LACP para el

puerto. Consulte Configuracin de valores de los parmetros de LACP de
los puertos.
Caducidad de LACP: seleccione las transmisiones peridicas de PDU de

LACP que se producen a una velocidad de transmisin lenta o rpida, segn
la preferencia de caducidad de LACP expresada.

En esta seccin se describe la funcin Green Ethernet que se asigna para ahorrar
energa en el switch.
Contiene las siguientes secciones:
Informacin general de Green Ethernet
Configuracin de las propiedades globales de Green Ethernet
Configuracin de propiedades de Green Ethernet para puertos
Informacin general de Green Ethernet

Green Ethernet es un nombre comn para un conjunto de funciones que estn
diseadas para no daar el medio ambiente y reducir el consumo de energa de
un dispositivo. Green Ethernet es distinto de EEE en el sentido de que la deteccin
de energa de Green Ethernet est habilitada en todos los dispositivos en los que
solo los puertos Gigabyte estn habilitados con EEE.
La funcin Green Ethernet puede reducir el uso de energa general de dos formas:
Modo de deteccin de energa: en un enlace inactivo, el puerto pasa al

modo inactivo y ahorra energa mientras mantiene el estado administrativo
del puerto activo. La recuperacin de este modo al modo operativo
completo es rpida, transparente y no se pierde ninguna trama. Este modo
se admite en puertos GE y puertos FE.
Modo de alcance corto: esta funcin permite ahorrar energa en un cable

corto. Una vez analizado el cable, el uso de energa se ajusta a las distintas
longitudes de cable. Si el cable es ms corto que 50 metros, el switch usa
167
10
menos energa para enviar tramas por el cable y, de esta manera, ahorra
energa. Este modo solo se admite en puertos RJ45 GE; no se aplica a
puertos combinados.
Este modo est deshabilitado globalmente en forma predeterminada, y no
puede habilitarse si el modo EEE est habilitado (ver ms abajo).
Adems de las funciones de Green Ethernet arriba mencionadas, el modo
802.3az Ethernet para uso eficiente de energa (EEE) se encuentra en los
dispositivos que admiten los puertos GE. EEE reduce el consumo de energa
cuando no hay trfico en el puerto. Para obtener ms informacin, consulte la
seccin Funcin 802.3az Ethernet para uso eficiente de energa (disponible en
los modelos GE solamente).
EEE est habilitado globalmente de forma predeterminada. En un puerto dado, si
EEE est habilitado, el modo de alcance corto estar deshabilitado. Si el modo de
alcance corto est habilitado, EEE se ver gris.
Estos modos se configuran por puerto, sin tener en cuenta la membresa LAG de
los puertos.
Los dispositivos LED consumen energa. Dado que la mayora de los dispositivos
se encuentran en una sala desocupada, tener estos LED encendidos es un
desperdicio de energa. La funcin Green Ethernet le permite deshabilitar los LED
del puerto (para enlaces, velocidad y PoE) cuando no se necesitan, y habilitarlos
cuando los necesita (depuracin, conexin de dispositivos adicionales, etctera).
En la pgina Resumen del sistema, los LED que se ven en las imgenes del tablero
de dispositivos no se vern afectadas por la deshabilitacin de los LED.
El ahorro de energa, el consumo de energa actual y la energa acumulada
ahorrada pueden monitorearse. La cantidad total de energa ahorrada se puede
ver como un porcentaje de energa que las interfaces fsicas habran consumido si
no se hubiesen ejecutado en el modo Green Ethernet.
La energa ahorrada que se muestra solo est relacionada a Green Ethernet. No se
muestra la cantidad de energa que ahorra EEE.
Funcin 802.3az Ethernet para uso eficiente de energa

En esta seccin se describe la funcin 802.3az Ethernet para uso eficiente de
energa (EEE).
Informacin general de 802.3az EEE
Anuncio de capacidades en la negociacin
168
10
Deteccin del nivel de enlace para 802.3az EEE
Disponibilidad de 802.3az EEE
Interacciones entre funciones
Flujo de trabajo de la configuracin de 802.3az EEE
Informacin general de 802.3az EEE

La funcin 802.3az EEE ha sido diseada para ahorrar energa cuando no hay
trfico en el enlace. En Green Ethernet, la energa se reduce cuando el puerto est
desactivado. Con 802.3az EEE, la energa se reduce cuando el puerto est
activado, pero no hay trfico en l.
802.3az EEE es compatible solo en dispositivos con puertos GE.
Al usar 802.3az EEE, los sistemas de los dos lados del enlace pueden deshabilitar
porciones de su funcionalidad y ahorrar energa durante los perodos en los que
no hay trfico.
802.3az EEE admite el funcionamiento de MAC IEEE 802.3 a 100 Mbps y
1000 Mbps:
LLDP se usa para seleccionar el conjunto de parmetros ptimo para los dos
dispositivos. Si el socio de enlace no admite el LLDP, o si est deshabilitado,
802.3az EEE aun ser operativo, pero podra no serlo en el modo operativo ptimo.
La funcin 802.3az EEE se implementa utilizando un modo de puerto denominado
modo de reposo de baja potencia (LPI, Low Power Idle). Cuando no hay trfico y
esta funcin est habilitada en el puerto, el puerto se coloca en modo LPI, el que
reduce el consumo de energa significativamente.
Los dos lados de una conexin (el puerto del switch y el dispositivo de conexin)
deben admitir 802.3az EEE para que funcione. Cuando no hay trfico, los dos lados
envan seales que indican que la energa se va a reducir. Cuando se reciben
seales de los dos lados, la seal Mantener conexin indica que los puertos estn
en estado LPI (y no en estado Desactivado), y la energa se reduce.
Para que los puertos estn en modo LPI, la seal Mantener conexin debe
recibirse continuamente de los dos lados.
169
10
Anuncio de capacidades en la negociacin

La compatibilidad de 802.3az EEE se anuncia durante la etapa de negociacin
automtica. La negociacin automtica proporciona al dispositivo de enlace la
capacidad de detectar las habilidades (los modos de funcionamiento) que admite
el dispositivo en el otro extremo del enlace, determinar las habilidades comunes y
configurarse para el funcionamiento conjunto. La negociacin automtica se
realiza en el momento en el que se realiza el enlace, a pedido de la administracin
o al detectarse un error de enlace. Durante el proceso en el que se establece el
enlace, los dos socios de enlace intercambian sus capacidades de 802.3az.
Cuando la negociacin automtica est habilitada en el dispositivo, funciona
automticamente sin interaccin del usuario.
NOTA Si la negociacin automtica no est habilitada en un puerto, la EEE
est deshabilitada. La nica excepcin se da si la velocidad del enlace es de
1 GB; entonces, EEE seguir habilitada, aunque la negociacin automtica
est deshabilitada.
Deteccin del nivel de enlace para 802.3az EEE

Adems de las capacidades arriba descritas, las capacidades y la configuracin
de 802.3az EEE tambin se anuncian mediante las tramas, segn los TLV
especficos organizativamente definidos en el Anexo G de la norma IEEE,
protocolo 802.1AB (LLDP). LLDP se usa para optimizar an ms el funcionamiento
de 802.3az EEE una vez completada la negociacin automtica. El TLV 802.3az se
usa para ajustar las duraciones de reactivacin y actualizacin del sistema.
Disponibilidad de 802.3az EEE

Consulte las notas de versin para obtener un listado completo de los productos
que admiten EEE.
De forma predeterminada, 802.3az EEE y EEE LLDP estn habilitadas globalmente
y por puerto.
Interacciones entre funciones

A continuacin se describen las interacciones de 802.3az EEE con otras funciones:
Si la negociacin automtica no est habilitada en un puerto, el estado

operativo de 802.3az EEE est deshabilitado. La nica excepcin a esta
regla se da si la velocidad del enlace es de 1 GB; entonces, EEE seguir
habilitada, aunque la negociacin automtica est deshabilitada.
170
10
Si 802.3az EEE est habilitada y el puerto se est activando, entonces

comienza a trabajar de inmediato de acuerdo con el valor de tiempo de
reactivacin mximo del puerto.
En la GUI, el campo EEE para el puerto no est disponible cuando la opcin

Modo de alcance corto del puerto est marcada.
Si la velocidad del puerto GE se cambia a 10 Mbit, 802.3az EEE se

deshabilita. Esto solo se admite en los modelos GE.
Flujo de trabajo de la configuracin de 802.3az EEE

En esta seccin se describe cmo configurar la funcin 802.3az EEE y ver sus
contadores.
PASO 1 Asegrese de que la negociacin automtica est habilitada en el puerto,
abriendo la pgina Administracin de puertos > Configuracin de puertos.

a. Seleccione un puerto y abra la pgina Editar configuracin de puerto.
b. Seleccione el campo Negociacin automtica para asegurarse de que est
habilitado.
PASO 2 Asegrese de que la funcin 802.3 Ethernet para uso eficiente de energa (EEE)
est habilitada globalmente en la pgina Administracin de puertos > Green

Ethernet > Propiedades (est habilitada de forma predeterminada). Esta pgina
tambin muestra cunta energa se ha ahorrado.
PASO 3 Asegrese de que 802.3az EEE est habilitada en un puerto abriendo la pgina
Green Ethernet > Configuracin de puertos.

a. Seleccione un puerto y abra la pgina Editar configuracin de puerto.
b. Marque el modo 802.3 Ethernet para uso eficiente de energa (EEE) en el
puerto (est habilitado de forma predeterminada).
c. Seleccione si desea habilitar o deshabilitar el anuncio de las capacidades de
802.3az EEE mediante LLDP en 802.3 LLDP de Ethernet para uso eficiente de
energa (EEE) (est habilitado de forma predeterminada).
PASO 4 Para ver la informacin relacionada con 802.3 EEE en el dispositivo local, abra la
pgina Administracin > Discovery - LLDP > Informacin local de LLDP, y vea la
informacin en el bloque 802.3 Ethernet para uso eficiente de energa (EEE).
PASO 5 Para mostrar la informacin de 802.3az EEE en el dispositivo remoto, abra las
pginas Administracin > Discovery > Informacin vecina de LLDP, y vea la

informacin en el bloque 802.3 Ethernet para uso eficiente de energa (EEE).
171
10
Configuracin de las propiedades globales de Green Ethernet

La pgina Propiedades muestra y habilita la configuracin del modo Green
Ethernet para el switch. Tambin muestra el ahorro de energa actual.
Para habilitar Green Ethernet y EEE y ver los ahorros de energa:
PASO 1 Haga clic en Administracin de puertos > Green Ethernet > Propiedades. Se
abre la pgina Propiedades.

Modo de deteccin de energa: deshabilitado por opcin predeterminada.

Seleccione la casilla de verificacin para habilitarlo.
Alcance corto: habilite o deshabilite globalmente el modo de alcance corto

si hay puertos GE en el switch.
NOTA Si el modo de alcance corto est habilitado, EEE debe estar
deshabilitado.
Ahorro de energa: muestra el porcentaje de ahorro de energa al ejecutar

el modo Green Ethernet y Alcance corto. Los ahorros energticos que se
muestran son relevantes nicamente para la energa que se ahorra en los
modos Alcance corto y Deteccin de energa. La funcin de ahorro de
energa de EEE es dinmica por naturaleza, ya que est basada en la
utilizacin de puertos y, por lo tanto, no se toma en cuenta.
Energa ahorrada acumulativa: muestra la cantidad de energa ahorrada

desde la ltima vez que el switch se ha reiniciado. Este valor se actualiza
cada vez que hay un evento que afecta el ahorro de energa.
802.3 Ethernet para uso eficiente de energa (EEE): habilite o deshabilite

globalmente el modo EEE (que solo est disponible si hay puertos GE en el
switch).
LED de puerto: seleccione para habilitar los LED del puerto. Cuando estn
deshabilitados, no muestran el estado del enlace, la actividad, etctera.
PASO 3 Haga clic en Aplicar. Las propiedades de Green Ethernet se escriben en el archivo
172
10
Configuracin de propiedades de Green Ethernet para

puertos
La pgina Configuracin de puertos muestra los modos Green Ethernet y EEE
actuales por puerto, y permite configurar Green Ethernet en un puerto mediante la
pgina Editar configuracin de puerto. Para que los modos Green Ethernet
operen en un puerto, es necesario que los modos correspondientes se activen
globalmente en la pgina Propiedades.
Tenga en cuenta que la configuracin de EEE solo se muestra para los dispositivos
que tienen puertos GE. EEE funciona solo cuando los puertos estn configurados
en Negociacin automtica. La excepcin es que EEE sigue siendo funcional aun
cuando la negociacin automtica est deshabilitada, pero el puerto est a 1 GB o
ms.
Para definir los valores de Green Ethernet por puerto:
PASO 1 Haga clic en Administracin de puertos > Green Ethernet > Configuracin de
puertos. Se abre la pgina Configuracin de puertos.

La pgina Configuracin de puertos muestra lo siguiente:
Estado de los parmetros globales: describe las funciones habilitadas.
Para cada puerto, se describen los siguientes campos:
Puerto: el nmero de puerto.
Deteccin de energa: el estado del puerto con respecto al modo Deteccin

de energa:
Administrativo: muestra si se ha habilitado el modo Deteccin de energa.
Operativo: muestra si est funcionando el modo Deteccin de energa.
Motivo: si el modo Deteccin de energa no se encuentra operativo,

muestra el motivo.
Alcance corto: el estado del puerto con respecto al modo Alcance corto:
-
Administrativo: muestra si se ha habilitado el modo Alcance corto.
Operativo: muestra si est funcionando el modo Alcance corto.
Motivo: si el modo Alcance corto no se encuentra operativo, muestra el

motivo.
Longitud del cable: muestra la longitud del cable de retorno del VCT en
metros.
173
10
NOTA El modo de alcance corto solo se admite en puertos RJ45 GE; no se
aplica a puertos combinados.
802.3 Ethernet para uso eficiente de energa (EEE): el estado del puerto
con respecto a la funcin EEE:
-
Administrativo: muestra si EEE estaba habilitado.
Operativo: muestra si EEE est funcionando actualmente en el puerto

local. Esta funcin indica si ha sido habilitado (estado Administrativo), si
ha sido habilitado en el puerto local y si est funcionando en el puerto
local.
LLDP administrativo: muestra si se habilit el anuncio de contadores EEE

mediante LLDP.
LLDP operativo: muestra si el anuncio de contadores EEE mediante LLDP

actualmente est funcionando.
Soporte de EEE en remoto: muestra si EEE es compatible en el socio de

enlace. EEE debe ser compatible en los socios de enlace local y remoto.
NOTA La ventana muestra las configuraciones de Alcance corto, Deteccin
de energa y EEE para cada puerto; no obstante, estas funciones no estn

habilitadas en ningn puerto, salvo que tambin se habiliten globalmente
mediante la pgina Propiedades. Para habilitar el Alcance corto y la EEE de
forma global, consulte la seccin Configuracin de las propiedades
globales de Green Ethernet.
PASO 2 Seleccione un Puerto y haga clic en Editar. Se abre la pgina Editar
configuracin de puertos.
PASO 3 Seleccione para habilitar o deshabilitar el modo Deteccin de energa en el
puerto.
PASO 4 Seleccione si se debe habilitar o deshabilitar el modo de alcance corto en el
puerto, si hay puertos GE en el dispositivo.

PASO 5 Seleccione si se debe habilitar o deshabilitar el modo 802.3 Ethernet para uso
eficiente de energa (EEE) en el puerto, si hay puertos GE en el dispositivo.

PASO 6 Seleccione si se debe habilitar o deshabilitar el modo 802.3 LLDP de Ethernet
para uso eficiente de energa (EEE) en el puerto (anuncio de las capacidades de

EEE mediante LLDP), si hay puertos GE en el dispositivo.
PASO 7 Haga clic en Aplicar. La configuracin del puerto Green Ethernet se escribe en el
174
11
Smartports
En este documento se describe la funcin Smartport.

Contiene los siguientes temas:
Informacin general
Qu es un Smartport?
Tipos de Smartport
Macros de Smartport
Smartport automtico
Gestin de errores
175
11
Smartports
Informacin general
La funcin Smartport ofrece una forma conveniente de guardar y compartir
configuraciones comunes. Al aplicar el mismo macro de Smartport a varias
interfaces, las interfaces comparten un conjunto comunes de configuraciones. Un
macro de Smartport es una secuencia de comandos CLI (Command Line
Interface, Interfaz de la lnea de comandos).
Se puede aplicar un macro de Smartport a una interfaz segn el nombre de macro
o el tipo de Smartport ascociado al macro. La aplicacin de un macro de
Smartport por nombre de macro se puede hacer nicamente mediante la CLI.
Consulte la gua de CLI para obtener ms detalles.
Hay dos formas de aplicar un macro de Smartport segn el tipo de Smartport a
una interfaz:
Smartport esttico: puede asignar manualmente un tipo de Smartport a

una interfaz. Como resultado se aplica a la interfaz el macro de Smartport
correspondiente.
Smartport automtico: Smartport automtico espera que el dispositivo se

conecte a la interfaz antes de aplicar una configuracin. Si se detecta un
dispositivo desde una interfaz, se aplica automticamente el macro de
Smartport (si est asignado) que corresponde al tipo de Smartport del
dispositivo que se conecta.
La funcin Smartport consta de varios componentes y trabaja junto con otras

funciones del switch. Estos componentes y funciones se describen en las
siguientes secciones:
Smartport, los tipos de Smartport y los macro de Smartport se describen

en esta seccin.
La VLAN de voz y Smartport se describen en la seccin VLAN de voz.
LLDP/CDP para Smartport se describe en las secciones Configuracin de

LLDP y Configuracin de CDP, respectivamente.
Adems, los flujos de trabajo tpicos se describen en la seccin Tareas comunes

de Smartport.
176
11
Smartports
Qu es un Smartport?
Un Smartport es una interfaz a la cual se le aplica un macro incorporado (o
definido por el usuario). Estos macros estn diseados para ofrecer un medio de
configuracin rpida del switch que sea compatible con los requisitos de
comunicacin y utilice las funciones de diversos tipos de dispositivos de red. Los
requisitos de QoS y acceso de red varan si la interfaz est conectada a un
telfono IP, una impresora o un router o punto de acceso (AP).
Tipos de Smartport
Los tipos de Smartport hacen referencia a los tipos de dispositivos conectados o
que se conectarn a los Smartports El switch admite los siguientes tipos de
Smartport:
Printer (Impresora)
Equipo de escritorio
Invitado
Servidor
Host
Cmara IP
Telfono IP
IP Phone+Desktop (Telfono IP+Escritorio)
Switch
Router
Punto de acceso inalmbrico
Los tipos de Smartport se nombran de manera tal que describan el tipo de

dispositivo conectado a una interfaz. Cada tipo de Smartport est asociado a dos
macros de Smartport. Un macro denominado "el macro" sirve para aplicar la
configuracin deseada. El otro, denominado "el antimacro" permite deshacer toda
la configuracin que realiz "el macro" cuando esa interfaz termina por convertirse
en un tipo de Smartport diferente.
177
11
Smartports
Usted puede aplicar un macro de Smartport mediante los siguientes mtodos:
El tipo de Smartport asociado.
Estticamente a partir de un macro de Smartport segn el nombre desde la

CLI.
Se puede aplicar un macro de Smartport segn su tipo de Smartport

estticamente desde la CLI y la GUI y dinmicamente segn el Smartport
automtico. El Smartport automtico deriva los tipos de Smartport de todos los
dispositivos conectados en funcin de las capacidades de CDP, las capacidades
del sistema LLDP y las capacidades de LLDP-MED.
A continuacin se describe la relacin de los tipos de Smartport y Smartport
automtico.
Tipos de Smartport y Smartport automtico
Tipo de Smartport
Compatible con
Smartport automtico
Compatible con
Smartport automtico de
forma predeterminada
Desconocido
No
No
Predeterminado
No
No
Printer (Impresora)
No
No
Equipo de escritorio
No
No
Invitado
No
No
Servidor
No
No
Host
No
Cmara IP
No
No
Telfono IP
Escritorio del telfono

IP
Switch
Router
No
Punto de acceso
inalmbrico
178
11
Smartports
Tipos de Smartport especiales

Hay dos tipos de Smartport especiales: predeterminado y desconocido. Estos
dos tipos no estn asociados con macros, pero existen para expresar el estado
de la interfaz en lo que a Smartport respecta.
A continuacin se describen estos tipos de Smartport especiales:
Predeterminado
Una interfaz que aun no tiene un tipo de Smartport asignado a ella tiene el
estado Smarport predeterminado.
Si Smartport automtico asigna un tipo de Smartport a una interfaz y la
interfaz no est configurada como Smartport automtico persistente,
entonces, su tipo de Smartport se reinicia como predeterminado en los
siguientes casos:
Se realiza una operacin de enlace activo/inactivo en la interfaz.
Se reinicia el switch.
Todos los dispositivos conectados a la interfaz caducaron, lo cual se

define como la ausencia de anuncio de CDP o LLDP por parte del
dispositivo durante un perodo de tiempo determinado.
Desconocido
Si se aplica un macro de Smartport a una interfaz y se produce un error, a la
interfaz se le asigna el estado Desconocida. En este caso, las funciones
Smartport y Smartport automtico no funcionan en la interfaz hasta tanto se
corrija el error y aplique la accin Reset (que se ejecuta en las pginas
Configuracin de interfaz) que restablece el estado de Smartport.
Consulte el rea del flujo de trabajo en la seccin Tareas comunes de
Smartport para obtener sugerencias para la resolucin de problemas.
NOTA A lo largo de esta seccin, se utiliza el trmino "caducado" para describir los
mensajes de LLDP y CDP a travs de sus TTL. Si Smartport automtico est

habilitado, el estado persistente est deshabilitado y no se reciben ms mensajes
de CDP o LLDP en la interfaz antes de que ambos TTL de los paquetes CDP y LLDP
ms recientes disminuyan a 0, se ejecutar el antimacro y el tipo de Smartport
regresar al predeterminado.
179
11
Smartports
Macros de Smartport
Un macro de Smartport es una secuencia de comandos CLI que configuran
correctamente una interfaz para un dispositivo de red en particular.
Los macros de Smartport no deben confundirse con los macros globales. Los
macros globales configuran el switch globalmente; sin embargo, el alcance de un
macro de Smartport se limita a la interfaz en la que se aplica.
La fuente del macro puede encontrarse al ejecutar el comando mostrar nombre
de macro de analizador [macro_name] en modo exec privilegiado de la CLI o al
hacer clic en el botn ver fuente de macro en la pgina Configuracin de tipo de
Smartport.
Un macro y su antimacro correspondiente se agruparn de manera asociada con
cada tipo de Smartport. El macro aplica la configuracin y el antimacro la elimina.
Existen dos tipos de macros de Smartport:
Incorporado: estos son los macros que proporciona el sistema. Un macro

aplica el perfil de configuracin y el otro lo elimina. Los nombres de macro
de los macros de Smartport incorporados y el tipo de Smartport se
asocian de la siguiente manera:
-
macro-name (por ejemplo: printer)
no_macro-name (por ejemplo: no_printer)
Definido por el usuario: estos son los macros que escriben los usuarios.
Consulte la Gua de referencia de CLI para obtener ms informacin al
respecto. Para asociar un macro definido por el usuario a un tipo de
Smartport, tambin se debe definir su antimacro.
-
smartport-type-name (por ejemplo: my_printer)
no_smartport-type-name (por ejemplo: no_my_printer)
Los macros de Smartport estn vinculados a los tipos de Smartport en la pgina

Editar configuracin de tipo de Smartport.
Consulte la seccin Macros de Smartport incorporados para obtener una lista
de los macros de Smartport incorporados para cada tipo de dispositivo.
180
11
Smartports
Aplicacin de un tipo de Smartport a una interfaz

Cuando se aplican tipos de Smartport a interfaces, los tipos de Smartport y la
configuracin en los macros de Smartport asociados se guardan en el archivo
Configuracin en ejecucin. Si el administrador guarda un archivo Configuracin
en ejecucin en el archivo de configuracin de inicio, el switch aplica los tipos de
Smartport y los macros de Smartport a las interfaces luego del reinicio de la
siguiente manera:
Si el archivo de configuracin de inicio no especifica el tipo de Smartport

de una interfaz, su tipo de Smartport se establece como Predeterminado.
Si el archivo de configuracin de inicio especifica un tipo de Smartport

esttico, el tipo de Smartport de la interfaz se establece en este tipo
esttico.
Si el archivo de configuracin de inicio especifica un tipo de Smartport que

el Smartport automtico asign dinmicamente:
-
Si estn habilitados (Habilitar) los estados Smartport automtico

operativo, Smartport automtico y Estado Persistente, el tipo de
Smartport se establece en este tipo dinmico.
De lo contrario, se aplica el antimacro correspondiente y el estado de

las interfaces se establece en Predeterminada.

Es posible que un macro de Smartport falle si hay un conflicto entre la
configuracin existente de la interfaz y un macro de Smartport.
Si un macro de Smartport falla, se enva un mensaje de SYSLOG que contiene los
siguientes parmetros:
Nmero de puerto
Tipo de Smartport
El nmero de lnea del comando CLI que fall en el macro.
Cuando un macro de Smartport falla en una interfaz, el estado de la interfaz se

establece en Desconocida. El motivo de la falla se puede visualizar en la pgina
Configuracin de interfaz, ventana emergente Mostrar diagnsticos.
181
11
Smartports
Una vez que se determina el problema y se corrige la configuracin existente o el

macro de Smartport, debe realizar una operacin de reinicio para restablecer la
interfaz antes de que pueda volver a aplicar un tipo de Smartport (en la pgina
Configuracin de interfaz). Consulte el rea del flujo de trabajo en la seccin
Tareas comunes de Smartport para obtener sugerencias para la resolucin de
problemas.

Usted puede aplicar un macro de Smartport a una interfaz segn el nombre de
macro, o segn el tipo de Smartport asociado al macro. La aplicacin de un macro
de Smartport segn el nombre de macro se puede realizar nicamente a travs
de CLI. Para obtener ms detalles debe consultar la gua de CLI.
Ya que se suministra soporte para los tipos de Smartport que corresponden a
dispositivos que no se permiten ser detectados a travs de CDP o LLDP, estos
tipos de Smartport deben estar estticamente asignados a las interfaces
deseadas. Esto se puede realizar al navegar la pgina Configuracin de interfaz
de Smartport, al seleccionar el botn de radio de la interfaz deseada y al hacer
clic en Editar. A continuacin, seleccione el tipo de Smarport que desea asignar y
ajuste los parmetros que sean necesarios antes de hacer clic en Aplicar.
Hay dos formas de aplicar un macro de Smartport segn el tipo de Smartport a
una interfaz:
Smartport esttico
Puede asignar manualmente un tipo de Smartport a una interfaz. Se aplica
el Smartport correspondiente a la interfaz. Usted puede asignar
manualmente un tipo de Smartport a una interfaz desde la pgina
Configuracin de interfaz de Smartport .
Smartport automtico
Si se detecta un dispositivo desde una interfaz, se aplica automticamente
el macro de Smartport (si existe) que corresponde al tipo de Smartport del
dispositivo que se conecta. Smartport automtico est habilitado
globalmente de forma predeterminada y a nivel de interfaz.
En ambos casos, se ejecuta el antimacro asociado cuando se elimina el tipo de

Smartport de la interfaz y el antimacro se ejecuta exactamente de la misma
manera, al eliminar toda la interfaz.
182
11
Smartports
Smartport automtico
Para que Smartport automtico pueda asignar automticamente tipos de
Smartport a las interfaces, la funcin Smartport automtico debe estar habilitada
globalmente y en las interfaces relevantes en las que est permitida la
configuracin de Smartport automtico. De forma predeterminada, Smartport
automtico est habilitado para configurar todas las interfaces. El tipo de
Smartport asignado a cada interfaz se determina mediante los paquetes de CDP y
LLDP que se reciben en cada interfaz respectivamente.
Si se conectan varios dispositivos a una interfaz, se aplica a la interfaz un

perfil de configuracin que sea apropiado para todos los dispositivos,
siempre que sea posible.
Si un dispositivo caduca (ya no recibe anuncios de otros dispositivos), la

configuracin de interfaz cambia de acuerdo con su Estado persistente. Si
el Estado Persistente est habilitado, se conserva la configuracin de
interfaz. De lo contrario, Tipo de Smartport se revierte a Predeterminado.
Habilitacin de Smartport automtico

Smartport automtico se puede habilitar globalmente en la pgina Propiedades
de las siguientes maneras:
Habilitado: esta opcin habilita manualmente Smartport automtico y lo

pone en funcionamiento de inmediato.
Habilitar mediante VLAN de voz automtica: esta opcin habilita

Smartport automtico para que funcione si VLAN de voz automtica est
habilitada y en funcionamiento. Habilitar mediante VLAN de voz automtica
es la opcin predeterminada.
NOTA Adems de habilitar Smartport automtico globalmente, tambin debe habilitar
Smartport automtico en la interfaz deseada. De forma predeterminada, Smartport

automtico est habilitado en todas las interfaces.
Consulte la seccin VLAN de voz para obtener ms informacin acerca de cmo
habilitar la VLAN de voz
183
11
Smartports
Identificacin de un tipo de Smartport

Si Smartport automtico est globalmente habilitado (en la pgina Propiedades),
y en la interfaz (en la pgina Configuracin de interfaz), el switch aplica un macro
de SmartPort macro a la interfaz segn el tipo de Smartport del dispositivo de
conexin. Smartport automtico deriva los tipos de Smartport de los dispositivos
de conexin segn los CDP y LLDP que los dispositivos anuncian.
Por ejemplo, si un telfono IP est conectado a un puerto, transmite paquetes CDP
y LLDP que anuncian sus capacidades. Tras la recepcin de estos paquetes CDP
y LLDP, el switch deriva el tipo de Smartport apropiado para el telfono y aplica el
macro de Smartport correspondiente a la interfaz donde se conecta el telfono IP.
A menos que Smartport automtico persistente est habilitado en una interfaz, se
eliminar el tipo de Smartport y la configuracin resultante que aplica Smartport
automtico si los dispositivos de conexin caducan, los vnculos estn inactivos,
se producen reinicios o se reciben capacidades en conflicto. Los tiempos de
caducidad se determinan mediante la ausencia de anuncios CDP y LLDP por parte
del dispositivo durante un perodo de tiempo especfico.
Uso de informacin de CDP/LLDP para identificar tipos de Smartport

El switch detecta el tipo de dispositivo conectado al puerto segn las capacidades
de CDP/LLDP.
Esta asignacin se puede ver en las siguientes tablas:
Asignacin de capacidades de CDP al tipo de Smartport
Nombre de la capacidad
Bit CDP
Tipo de Smartport
Router
0x01
Router
Bridge TB
0x02
Punto de acceso
inalmbrico
Bridge SR
0x04
Ignorar
Switch
0x08
Switch
Host
0x10
Host
Filtrado condicional de IGMP
0x20
Ignorar
Repetidor
0x40
Ignorar
Telfono VoIP
0x80
ip_phone
184
11
Smartports
Asignacin de capacidades de CDP al tipo de Smartport (continuacin)

Bit CDP
Tipo de Smartport
Dispositivo administrado en forma

remota
0x100
Ignorar
Puerto de telfono CAST
0x200
Ignorar
Retransmisin MAC de dos puertos
0x400
Ignorar
Asignacin de capacidades de LLDP al tipo de Smartport

Bit LLDP
Tipo de Smartport
Otro
Ignorar
Repetidor IETF RFC 2108
Ignorar
MAC Bridge IEEE Std. 802.1D
Switch
Punto de acceso a WLAN IEE Std.

802.11 MIB
Punto de acceso
inalmbrico
Router IETF RFC 1812
Router
Telfono IETF RFC 4293
ip_phone
Dispositivo de cableado DOCSIS IETF

RFC 4639 y IETF RFC 4546
Ignorar
Solo estacin IETF RFC 4293
Host
Componente C-VLAN de un Bridge

VLAN IEEE Std. 802.1Q
Switch
Componente S-VLAN de un Bridge

VLAN IEEE Std. 802.1Q
10
Switch
Retransmisin MAC de dos puertos

(TPMR) IEEE Std. 802.1Q
11
Ignorar
Reservado
12-16
Ignorar
NOTA Si solo se configuran los bits hosts y el telfono IP, el tipo de Smartport es
ip_phone_desktop.
185
11
Smartports
Varios dispositivos conectados al puerto

El switch deriva el tipo de Smartport de un dispositivo conectado a travs de las
capacidades que el dispositivo anuncia en sus paquetes CDP y LLDP.
Si se conectan varios dispositivos al switch a travs de una interfaz, Smartport
automtico considerar cada anuncio de capacidad que reciba a travs de esa
interfaz para asignar el tipo de Smartport correcto. Esta asignacin se basa en el
siguiente algoritmo:
Si todos los dispositivos de una interfaz anuncian la misma capacidad (no

hay conflicto), se aplica el tipo de Smartport compatible a la interfaz.
Si uno de los dispositivos es un switch, se utiliza el tipo de Smartport

Switch.
Si uno de los dispositivos es un AP, se utiliza el tipo de Smartport Punto de

acceso inalmbrico.
Si uno de los dispositivos es un telfono IP y el otro dispositivo es un host,

se utiliza el tipo de Smarport ip_phone_desktop.
Si uno de los dispositivos es un escritorio de telfono IP y el otro dispositivo

es un telfono IP, se utiliza el tipo de Smarport ip_phone_desktop.
En todos los otros casos se utiliza el tipo de Smartport predeterminado.
Para obtener ms informacin acerca de LLDP/CDP, consulte las secciones

Configuracin de LLDP y Configuracin de CDP, respectivamente.
Interfaz de Smartport automtico persistente

Si est habilitado el estado persistente de una interfaz, su tipo de Smartport y la
configuracin que Smartport automtico ya aplic dinmicamente permanecer
en la interfaz aun despus de que caduquen los dispositivos de conexin, la
interfaz se desactive y el switch se reinicie (suponiendo que se est guardando la
configuracin). El tipo de Smartport y la configuracin de interfaz no cambian a
menos que Smartport automtico detecte un dispositivo de conexin con un tipo
de Smartport diferente. Si el estado persistente de una interfaz est deshabilitado,
la interfaz se revierte al tipo de Smartport predeterminado en el momento en que
caduca el dispositivo de conexin, la interfaz se desactiva o el switch se reinicia.
Al habilitar el estado persistente en una interfaz se elimina la demora de deteccin
del dispositivo que, de otra manera, se producira.
186
11
Smartports
NOTA La persistencia de los tipos de Smartport aplicados a las interfaces solo son
eficaces entre los reinicios si la configuracin en ejecucin con el tipo de

Smartport aplicado a las interfaces se guarda en el archivo de configuracin de
inicio.
Gestin de errores
Cuando no logra aplicar un puerto inteligente a una interfaz, puede examinar el
punto de la falla en la pgina Configuracin de interfaz, reiniciar el puerto y volver
a aplicar el macro una vez corregido el error desde las pginas Edicin de
configuracin de interfaz y Editar configuracin de interfaz.
Smartport est siempre disponible. De forma predeterminada, Smartport
automtico se habilita mediante la VLAN de voz automtica, depende tanto de
CDP como de LLDP para detectar el tipo de Smartport del dispositivo de
conexin y detecta el telfono IP del tipo de Smartport, el telfono IP + escritorio,
el Smith y el punto de acceso inalmbrico.
Consulte la seccin VLAN de voz para obtener una descripcin de los valores
predeterminados de fbrica de voz.

Smartport automtico est habilitado de forma predeterminada y se puede
deshabilitar. OUI para telefona no puede funcionar junto con Smartport
automtico y VLAN de voz automtica. Smartport automtico debe estar
deshabilitado antes de que se habilite OUI para telefona.
187
11
Smartports

Esta seccin describe algunas de las tareas comunes para configurar Smartport y
Smartport automtico.
Flujo de trabajo 1: Para habilitar globalmente Smartport automtico en el

switch y configurar un puerto con Smartport automtico, realice los
siguientes pasos:
PASO 1 Para habilitar la funcin Smartport automtico en el switch, abra la pgina
Smartport> Propiedades. Establezca Smartport automtico administrativo en

Habilitar o Habilitar mediante VLAN de voz.
PASO 2 Seleccione si desea que el switch procese anuncios de CDP o LLDP de
dispositivos conectados.
PASO 3 Seleccione qu tipo de dispositivos se detectar en el campo Deteccin de
dispositivo Smartport automtico.

PASO 4 Haga clic en Aplicar
PASO 5 Para habilitar la funcin Smartport automtico en una o ms interfaces, abra la
pgina Smartport>Configuracin de interfaz.

PASO 6 Seleccione la interfaz, y haga clic en Editar.
PASO 7 Seleccione Smartport automtico en el campo Aplicacin de Smartport.
PASO 8 Marque o desmarque Estado persistente si lo desea.
PASO 9 Haga clic en Aplicar.
Flujo de trabajo 2: Para configurar una interfaz como Smartport esttica,

realice los siguientes pasos:
PASO 1 Para habilitar la funcin Smartport en la interfaz, abra la pgina Smartport>
Configuracin de interfaz.
PASO 2 Seleccione la interfaz, y haga clic en Editar.
PASO 3 Seleccione el tipo de puerto que se asignar a la interfaz en el campo Aplicacin
de Smartport.
PASO 4 Establezca los parmetros del macro segn sea necesario.
188
11
Smartports
Flujo de trabajo 3: Para ajustar los valores predeterminados del

parmetro del macro de Smartport o vincular un par de macros
definidos por el usuario a un tipo de Smartport, realice los siguientes
pasos:
Mediante este procedimiento, puede lograr lo siguiente:
Ver la fuente del macro.
Cambiar valores predeterminados del parmetro.
Restaurar los valores predeterminados del parmetro a la configuracin de

fbrica.
Vincular un par de macros definidos por el usuario (un macro y su antimacro

correspondiente) a un tipo de Smartport.
1. Abra la pgina Smartport > Configuracin de tipo de Smartport.

2. Seleccione el tipo de puerto.
3. Haga clic en Ver fuente de macro para ver el macro de Smartport actual que
est asociado con el tipo de Smartport seleccionado.
4. Haga clic en Editar para abrir una ventana nueva en la que pueda vincular
macros definidos por el usuario al tipo de Smartport seleccionado o modificar
los valores predeterminados de los parmetros en los macros vinculados a ese
tipo de Smartport. Estos valores predeterminados del parmetro se utilizarn
cuando Smartport automtico aplique el tipo de Smartport seleccionado (si
corresponde) a una interfaz.
5. En la pgina Editar, modifique los campos.
6. Haga clic en Aplicar para volver a ejecutar el macro si se modificaron los
parmetros o en Restaurar valores predeterminados para restaurar los
valores del parmetro predeterminado a macros incorporados si es necesario.
Flujo de trabajo 4: Para volver a ejecutar un macro de Smartport una vez

que fall, realice los siguientes pasos:
PASO 1 En la pgina Configuracin de interfaz, seleccione una interfaz con tipo de
Smartport desconocido.
PASO 2 Haga clic en Mostrar diagnstico para ver el problema.
189
11
Smartports
PASO 3 Determine cul es la solucin del problema, luego corrjalo. Consulte la sugerencia
para resolucin de problemas, a continuacin.

PASO 4 Haga clic en Editar. Se abre una nueva ventana en la que puede hacer clic en
Reinicio para reiniciar la interfaz.

PASO 5 Vuelva a la pgina principal y vuelva a aplicar el marcro con las opciones
Reaplicar (para dispositivos que no son switches, routers o AP) o Reaplicar Macro
de Smartport (para switches, routers o AP) para ejecutar el macro de Smartpor en
la interfaz.
Un segundo mtodo para reiniciar una sola interfaz desconocida o varias es:
PASO 1 En la pgina Configuracin de interfaz, seleccione la casilla de verificacin Tipo de
puerto equivale a.
PASO 2 Seleccione Desconocida y haga clic en Ir.
PASO 3 Haga clic en Reiniciar todos los Smartports desconocidos. Luego vuelva a aplicar
el macro tal como se describe arriba.
CONSEJO El motivo de falla del macro puede deberse a un conflicto con la configuracin en
la interfaz previa a la aplicacin del macro (generalmente por configuraciones de
seguridad y control de saturacin), un tipo de puerto errneo, un error de tipeo o
comando incorrecto dentro del macro definido por el usuario o una configuracin
de parmetros invlida. No se comprueba el tipo ni el lmite de los parmetros
antes de intentar aplicar el macro; por lo tanto, el ingreso incorrecto o no vlido de
un valor de parmetro casi seguramente causar una falla al aplicar el macro.

La funcin Smartport se configura en las pginas Smartport > Propiedades,
Smartport Configuracin de tipo y Configuracin de interfaz.
Para obtener informacin sobre la configuracin de la VLAN de voz, consulte la
seccin VLAN de voz.
Para obtener informacin sobre la configuracin de LLDP/CDP, consulte las
secciones Configuracin de LLDP y Configuracin de CDP, respectivamente.
190
11
Smartports
Propiedades de Smartport
Para configurar la funcin Smartport globalmente:
PASO 1 Haga clic en Smartport > Propiedades. Se abre la Pgina Propiedades.
Smartport automtico administrativo: seleccione habilitar o deshabilitar

globalmente Smartport automtico. Las opciones disponibles son las
siguientes:
-
Deshabilitar : seleccione deshabilitar Smartport automtico en el

dispositivo.
Habilitar : seleccione habilitar Smartport automtico en el dispositivo.
Habilitar mediante VLAN de voz automtica: esto habilita Smartport

automtico, pero solo lo pondr en funcionamiento si tambin se habilita
y se pone en funcionamiento la VLAN de voz automtica. Habilitar
mediante VLAN de voz automtica es la opcin predeterminada.
Mtodo de deteccin de dispositivo Smartport automtico: seleccione si

el CDP o LLDP entrante, o ambos tipos de paquetes se utilizan para detectar
el tipo de Smartport de los dispositivos de conexin. Se debe marcar al
menos uno para que Smartport automtico pueda identificar los
dispositivos.
Estado CDP operativo: muestra el el estado operacional de CDP. Habilite

CDP si Smartport automtico debe detectar el tipo de Smartport segn un
anuncio de CDP.
Estado LLDP operativo: muestra el estado operacional de LLDP. Habilite

LLDP si Smartport automtico debe detectar el tipo de Smartport segn un
anuncio de LLDP/LLDP-MED.
Deteccin de dispositivo Smartport automtico: seleccione cada tipo de

dispositivo para el cual Smartport automtico puede asignar tipos de
Smartport a las interfaces. Si no se selecciona, Smartport automtico no
asignar ese tipo de Smartport a ninguna interfaz.
PASO 3 Haga clic en Aplicar. De esta manera se establecen los parmetros de Smartport
en el switch.
191
11
Smartports
Configuracin de tipo de Smartport

Use la pgina Configuracin de tipo de Smartport para editar la configuracin
del tipo de Smartport y ver la fuente de macro.
De forma predeterminada, cada tipo de Smartport est asociado a un par de
macros de Smartport incorporados. Consulte Tipos de Smartport para obtener
ms informacin acerca del macro en comparacin con el antimacro. Tambin
puede asociar su propio par de macros definidos por el usuario con
configuraciones personalizadas a un tipo de Smartport. Los macros definidos por
el usuario solo se pueden preparar a travs de CLI. Para obtener ms detalles
debe consultar la gua de referencia de CLI.
Los macros incorporados o definidos por el usuario pueden tener parmetros. Los
macros incorporados cuentan con hasta tres parmetros.
La edicin de estos parmetros para estos tipos de Smartport que Smartport
automtico aplica en la pgina Configuracin de tipo de Smartport, configura los
valores predeterminados para estos parmetros. Smartport automtico utiliza
estos valores predeterminados.
NOTA Las modificaciones realizadas a los tipos de Smartport harn que se aplique la
nueva configuracin a las interfaces que ya asignaron ese tipo mediante Smartport
automtico. En este caso, vincular una configuracin o un macro no vlido con un
valor de parmetro predeterminado no vlido provocar que todos los puertos de
ese tipo de Smartport se vuelvan desconocidos.
PASO 1 Haga clic en Smartport > Configuracin de tipo de Smartport. Se abre la pgina
Configuracin de tipo de Smartport.

PASO 2 Para ver el macro de Smartport asociado a un tipo de Smartport, seleccione un
tipo de Smartport y haga clic en Ver fuente de macro.

PASO 3 Para modificar los parmetros de un macro o asignar un macro definido por un
usuario, seleccione un tipo de Smartport y haga clic en Editar. Se abre la pgina

Editar configuracin de tipo de Smartport.
PASO 4 Ingrese los campos.
Tipo de puerto: seleccione el tipo de puerto.
Nombre de macro: muestra el nombre del macro de Smartport actualmente

asociado con el tipo de Smartport.
Tipo de macro: seleccione si el par de macro y antimacro asociado a este

tipo de Smartport es incorporado o definido por el usuario.
192
11
Smartports
Macro definido por el usuario: si lo desea, seleccione un macro definido por

el usuario que se asociar con el tipo de Smartport seleccionado. El macro
ya debe estar agrupado con un antimacro.
La agrupacin de dos macros se realiza por nombre y se describe en la
seccin Macro de Smartport.
Parmetros del macro: muestra los siguientes campos para tres parmetros
en el macro:
-
Nombre de parmetro: nombre de parmetro en el macro.
Valor de parmetro: valor actual de parmetro en el macro. Se puede

cambiar aqu.
Descripcin de parmetro: descripcin de parmetro.
Usted puede restaurar los valores de parmetro predeterminados al hacer

clic en Restaurar valores predeterminados.
PASO 5 Haga clic en Aplicar para guardar los cambios en la configuracin en ejecucin. Si
se modifican el macro de Smartport o sus valores de parmetro asociados al tipo

de Smartport, Smartport automtico vuelve a aplicar automticamente el macro a
las interfaces actualmente asignadas con el tipo de Smartport mediante
Smartport automtico. Smartport automtico no aplica los cambios a las
interfaces a las que se le asign estticamente un tipo de Smartport.
NOTA No existe un mtodo que valide los parmetros de macro ya que no cuentan con
una asociacin de tipo. Por lo tanto, cualquier entrada es vlida en este punto. Sin
embargo, los valores de parmetros no vlidos pueden generar errores al asignar
un tipo de Smartport a una interfaz, al aplicar el macro asociado.
Configuracin de interfaz de Smartport

Use la pgina Configuracin de interfaz para realizar las siguientes tareas:
Aplicar estticamente un tipo de Smartport especfico a una interfaz con

valores especficos de interfaz para los parmetros de macro.
Habilitar Smartport automtico en una interfaz.
Diagnosticar un macro de Smartport que fall en la aplicacin y provoc

que el tipo de Smartport se volviera desconocido.
Reaplicar un macro de Smartport luego de que fall para alguno de los

siguientes tipos de interfaz: switch, router y AP. Se prev que las
193
11
Smartports
correcciones necesarias se hayan realizado antes de hacer clic en Volver a

aplicar. Consulte el rea del flujo de trabajo en la seccin Tareas comunes
de Smartport para obtener sugerencias para la resolucin de problemas.
Volver a aplicar un macro de Smartport a una interfaz. En algunas

circunstancias, es posible que usted desee volver a aplicar un macro de
Smartport para que la configuracin de interfaz est actualizada. Por
ejemplo, al volver a aplicar un macro de Smartport de switch en una interfaz
de switch convertir la interfaz en miembro de las VLAN creadas desde la
ltima aplicacin del macro. Usted debe estar familiarizado con las
configuraciones actuales en el switch y la definicin del macro para
determinar si la nueva aplicacin tiene impacto en la interfaz.
Reiniciar interfaces desconocidas. Esto configura el modo Desconocido de

las interfaces en Predeterminado.
Para aplicar un macro de Smartport:

PASO 1 Haga clic en Smartport > Configuracin de interfaz. Se abre la pgina
Reaplique el macro de Smartport asociado de las siguientes maneras:
Seleccione un grupo de tipos de Smartport (switches, routers o AP) y haga

clic en Reaplicar macro de Smartport. Los macros se aplican a todos los
tipos de interfaz seleccionados.
Seleccione una interfaz que sea UP y haga clic en Volver a aplicar para
volver a aplicar el ltimo macro que se aplic a la interfaz.
Esta accin aade la interfaz a todas las VLAN recientemente creadas.
PASO 2 Diagnstico de Smartport.
Si un macro de Smartport falla, el tipo de Smartport de la interfaz es Desconocido.

Seleccione una interfaz de tipo desconocido y haga clic en Mostrar diagnstico.
Esto le mostrar el comando en el cual fall la aplicacin del macro. Consulte el
rea del flujo de trabajo en la seccin Tareas comunes de Smartport para
obtener sugerencias para la resolucin de problemas. Proceda a reaplicar el
macro una vez corregido el problema.
PASO 3 Restablecimiento de las interfaces en tipo Desconocido a tipo Predeterminado.
Seleccione la casilla de verificacin Tipo de puerto equivale a.
Seleccione Desconocida y haga clic en Ir.
194
11
Smartports
Haga clic en Reiniciar todos los Smartports desconocidos. Luego vuelva a

aplicar el macro tal como se describe arriba. Esto restablece todas las
interfaces con tipo Desconocido, es decir todas las interfaces vuelven al
tipo Predeterminado. Luego de corregir el error en el macro o en la
configuracin de interfaz actual o en ambos, se puede aplicar un macro
nuevo.
NOTA Al reiniciar la interfaz de un tipo desconocido no se reinicia la configuracin
realizada por el macro que fall. Esta limpieza debe realizarse manualmente.
Para asignar un tipo de Smartport a una interfaz o activar Smartport automtico en
la interfaz:
PASO 1 Seleccione una interfaz, y haga clic en Editar. Se abre la pgina Editar
configuracin de interfaz.
Interfaz: seleccione un puerto o LAG.
Tipo de Smartport: muestra el tipo de Smartport actualmente asignado al

puerto o LAG.
Aplicacin de Smartport: seleccione el tipo de puerto en la lista

desplegable Aplicacin de Smartport.
Mtodo de aplicacin de Smartport: si se selecciona Smartport

automtico, este asignar automticamente el tipo de Smartport segn el
anuncio de CDP o LLDP que reciba de los dispositivos conectados y
tambin aplicar el macro de Smartport correspondiente. Para asignar
estticamente un tipo de Smartport y aplicar el macro de Smartport
correspondiente a la interfaz, seleccione el tipo de puerto deseado.
Estado Persistente: seleccione esta opcin para habilitar el estado

Persistente. Si est habilitada, la asociacin de un tipo de Smartport a una
interfaz se mantiene aunque la interfaz se desactive y el switch se reinicie.
Persistente solo es aplicable si la aplicacin de Smartport de la interfaz es
Smartport automtico. Al habilitar Persistente en una interfaz se elimina la
demora de deteccin del dispositivo que, de otra manera, se producira.
Parmetros del macro: muestra los siguientes campos para tres parmetros
en el macro:
-
Nombre de parmetro: nombre de parmetro en el macro.
Valor de parmetro: valor actual de parmetro en el macro. Se puede

cambiar aqu.
195
11
Smartports
Descripcin de parmetro: descripcin de parmetro.
PASO 3 Haga clic en Reiniciar para establecer una interfaz en estado Predeterminado si
se encuentra en estado Desconocido (como resultado de una aplicacin de marco

errnea). El macro puede volver a aplicarse en la pgina principal.
PASO 4 Haga clic en Aplicar para actualizar los cambios y asignar el tipo de Smartport a la
interfaz.

A continuacin, se describe el par de macros incorporados para cada tipo de
Smartport. Para cada tipo de Smartport hay un macro para configurar la interfaz y
un antimacro para eliminar la configuracin.
Se proporciona el cdigo de macro para los siguientes tipos de Smartport:
escritorio
impresora
invitado
servidor
host
ip_camera
ip_phone
ip_phone_desktop
switch
router
ap
escritorio
[desktop]
#interface configuration, para mayor seguridad y confiabilidad de red al
conectar un dispositivo de escritorio, como una PC a un puerto de switch.
#macro description Desktop
#macro keywords $native_vlan $max_hosts
#
196
11
Smartports
#macro key description: $native_vlan: La VLAN sin etiqueta que se configurar

en el puerto
#
$max_hosts: La cantidad mxima de dispositivos
permitidos en el puerto
#Los valores predeterminados son
#$native_vlan = VLAN predeterminada
#$max_hosts = 10
#
#el tipo de puerto no se puede detectar automticamente
#
#el modo predeterminado es troncal
smartport switchport trunk native vlan $native_vlan
#
port security max $max_hosts
port security mode max-addresses
port security discard trap 60
#
smartport storm-control broadcast level 10
smartport storm-control include-multicast
smartport storm-control broadcast enable
#
spanning-tree portfast
#
@
no_desktop
[no_desktop]
#macro description No Desktop
#
no smartport switchport trunk native vlan
smartport switchport trunk allowed vlan remove all
#
no port security
no port security mode
no port security max
#
no smartport storm-control broadcast enable
no smartport storm-control broadcast level
no smartport storm-control include-multicast
#
spanning-tree portfast auto
#
@
impresora
[printer]
#macro description printer
#macro keywords $native_vlan
#
197
11
Smartports

en el puerto
#
#
switchport mode access
switchport access vlan $native_vlan
#
#single host
port security max 1
#
#
#
@
no_printer
[no_printer]
#macro description No printer
#
no switchport access vlan
no switchport mode
#
no port security
#
#
#
@
invitado
[guest]
#macro description guest
#
en el puerto
198
11
Smartports

#
#
#
#single host
port security max 1
#
#
#
@
no_guest]]
[no_guest]
#macro description No guest
#
no switchport mode
#
no port security
#
#
#
@
servidor
[server]
#macro description server
#
en el puerto
#
199
11
Smartports
#$max_hosts = 10
#
#
#
#
#
#
@
no_server
[no_server]
#macro description No server
#
#
no port security
#
#
#
@
host
[host]
#macro description host
#
en el puerto
#
#$max_hosts = 10
#
200
11
Smartports

#
#
#
#
#
@
no_host
[no_host]
#macro description No host
#
#
no port security
#
#
#
@
ip_camera
[ip_camera]
#macro description ip_camera
#
en el puerto
#
#
201
11
Smartports
#single host
port security max 1
#
#
#
@
no_ip_camera
[no_ip_camera]
#macro description No ip_camera
#
no switchport mode
#
no port security
#
#
#
@
ip_phone
[ip_phone]
#macro description ip_phone
#macro keywords $native_vlan $voice_vlan $max_hosts
#
en el puerto
#
$voice_vlan: El ID de VLAN de voz
#
#$voice_vlan = 1
#$max_hosts = 10
#
smartport switchport trunk allowed vlan add $voice_vlan
202
11
Smartports
#
#
#
#
@
no_ip_phone
[no_ip_phone]
#macro description no ip_phone
#macro keywords $voice_vlan
#
#macro key description: $voice_vlan: El ID de VLAN de voz
#
#$voice_vlan = 1
#
smartport switchport trunk allowed vlan remove $voice_vlan
#
no port security
#
#
#
@
ip_phone_desktop
[ip_phone_desktop]
#macro description ip_phone_desktop
#macro keywords $native_vlan $voice_vlan $max_hosts
#
en el puerto
#
#
203
11
Smartports

#$voice_vlan = 1
#$max_hosts = 10
#
smartport switchport trunk allowed vlan add $voice_vlan
#
#
#
#
@
no_ip_phone_desktop
[no_ip_phone_desktop]
#macro description no ip_phone_desktop
#
#
#$voice_vlan = 1
#
smartport switchport trunk allowed vlan remove $voice_vlan
#
no port security
#
#
#
@
switch
[switch]
#macro description switch
204
11
Smartports
#macro keywords $native_vlan $voice_vlan

#
en el puerto
#
#$voice_vlan = 1
#
smartport switchport trunk allowed vlan add all
#
spanning-tree link-type point-to-point
#
@
no_switch
[no_switch]
#macro description No switch
#
#
#
no spanning-tree link-type
#
@
router
[router]
#macro description router
#
en el puerto
#
#
#$voice_vlan = 1
#
#
205
11
Smartports

#
#
@
no_router
[no_router]
#macro description No router
#
#
#
#
#
@
ap
[ap]
#macro description ap
#
en el puerto
#
#
#$voice_vlan = 1
#
206
11
Smartports

#
#
@
no_ap
[no_ap]
#macro description No ap
#
#
#
#
@
207
12
Administracin de dispositivos Power over
Ethernet
La funcin Power over Ethernet (PoE) solo est disponible en los dispositivos
basados en PoE. Para obtener una lista de dispositivos basados en PoE, consulte
la seccin Modelos de switches.
En esta seccin se describe cmo usar la funcin PoE.
PoE en el switch
Configuracin de la alimentacin PoE, la prioridad y la clasificacin
PoE en el switch
Un switch PoE es un equipo de fuente de alimentacin (PSE, Power Sourcing
Equipment) que ofrece energa elctrica a dispositivos alimentados (PD)
conectados por cables de cobre existentes sin interferir con el trfico de red, y
que actualiza la red fsica o modifica la infraestructura de red.
Consulte la seccin Modelos de switch para obtener informacin sobre el
soporte PoE en distintos modelos.
Funciones de PoE
PoE proporciona las siguientes funciones:
Elimina la necesidad de alimentacin elctrica de 110/220 V CA en todos

los dispositivos de una LAN con cable.
Elimina la necesidad de colocar todos los dispositivos de red junto a

fuentes de alimentacin.
208
Administracin de dispositivos Power over Ethernet
12
Elimina la necesidad de implementar sistemas de cableado doble en una

empresa, lo que reduce significativamente los costos de instalacin.
Power over Ethernet se puede usar en cualquier red corporativa que utiliza
dispositivos de potencia relativamente baja conectados a la LAN Ethernet, como:
Telfonos IP
Puntos de acceso inalmbricos
Puertas de enlace de IP
Dispositivos de monitoreo remoto de audio y video
Funcionamiento de PoE
PoE se implementa en las siguientes etapas:
Deteccin: enva pulsos especiales por el cable de cobre. Cuando un

dispositivo de PoE est ubicado en el otro extremo, ese dispositivo
responde a estos pulsos.
Clasificacin: la negociacin entre el equipo de fuente de alimentacin (PSE)

y el dispositivo alimentado (PD) comienza despus de la etapa de
Deteccin. Durante la negociacin, el PD especifica su clasificacin, que es
la cantidad de energa mxima que consume el PD.
Consumo de energa: despus de que se completa la etapa de

clasificacin, el PSE suministra energa al PD. Si el PD admite la PoE, pero
sin clasificacin, se asume que es clasificacin 0 (lo mximo). Si un PD
intenta consumir ms energa de lo que permite la norma, el PSE detiene el
suministro de energa al puerto.
PoE admite dos modos:
Lmite del puerto: el mximo de energa que el switch acepta suministrar

est limitado por el valor que configura el administrador del sistema,
independientemente del resultado de la clasificacin.
Lmite de energa de clasificacin: el mximo de energa que el switch

acepta suministrar est determinado por los resultados de la etapa de
clasificacin. Esto significa que se configura segn la solicitud del cliente.
209
12
Consideraciones de configuracin de PoE

Existen dos factores que se deben considerar en la funcin PoE:
La cantidad de energa que el PSE puede suministrar
La cantidad de energa que el PD intenta consumir en realidad
Usted puede decidir lo siguiente:
El mximo de energa que un PSE puede suministrar a un PD
Durante el funcionamiento de los dispositivos, cambiar del modo Lmite de

energa de clasificacin al modo Lmite del puerto y viceversa. Se
conservan los valores de energa por puerto que se configuraron para el
modo Lmite del puerto.
Lmite de puerto mximo permitido segn el lmite numrico por puerto en

mW (modo Lmite del puerto).
Generar una trampa cuando un PD intenta consumir demasiado y en qu

porcentaje del mximo de energa se genera esta trampa.
El hardware especfico de PoE detecta automticamente la clasificacin del PD y

su lmite de energa segn la clasificacin del dispositivo conectado a cada puerto
especfico (modo Lmite de clasificacin).
Si en algn momento durante la conectividad un PD conectado necesita ms
energa del switch que lo que permite la asignacin configurada
(independientemente de si el switch est en el modo Lmite de clasificacin o
Lmite del puerto), el switch realiza lo siguiente:
Mantiene el estado activo/inactivo del enlace de puerto PoE
Interrumpe el suministro de energa al puerto PoE
Registra el motivo de la interrupcin del suministro de energa
Genera una trampa SNMP
NOTA Cuando se conecta un switch de PoE de bajo voltaje al switch de la serie SG500
con PoE, y se conecta mediante puertos PoE habilitados en ambos extremos de la

conexin, el switch de bajo voltaje pierde la capacidad de alimentar cualquier
dispositivo con corriente. Para evitar esta condicin, deshabilite el soporte de PoE
en el SG500 o utilice un puerto no PoE.
210
12
PRECAUCIN Tenga en cuenta lo siguiente cuando conecte switches capaces de suministrar PoE:
Los modelos PoE de los switches serie Sx200, Sx300 y Sx500 son PSE (Equipos
de fuente de alimentacin) capaces de suministrar alimentacin elctrica de CC al
conectar dispositivos alimentados (PD). Entre estos dispositivos se incluyen los
telfonos VoIP, las cmaras IP y los puntos de acceso inalmbrico. Los switches
PoE pueden detectar y suministrar energa a dispositivos alimentados por PoE
heredado prestndar. Gracias al soporte de PoE heredado, es posible que el
switch PoE que acta como PSE detecte y suministre energa errneamente a un
PSE adjunto, incluidos otros switches PoE, como un PD heredado.
Aunque los switches PoE Sx200/300/500 son PSE, y como tales deben estar
alimentados por CA, pueden recibir alimentacin elctrica como PD heredados
por un otro PSE debido a deteccin falsa. Cuando esto sucede, es posible que el
switch PoE no funcione adecuadamente, y quizs no sea capaz de suministrar
adecuadamente energa a los PD conectados.
Para evitar una deteccin falsa, debe desconectar PoE en los puertos de los
switches PoE que se utilizan para conectar los PSE. Primero debe suministrar
energa a un dispositivo PSE antes de conectarlo al switch PoE. Cuando se
detecta un dispositivo, de manera falsa, como un PD, debe desconectar el
dispositivo del puerto PoE y reciclar la energa del dispositivo con alimentacin de
CA antes de reconectar los puertos PoE.

La pgina Propiedades de PoE permite seleccionar el modo PoE Lmite del puerto
o Lmite de clasificacin y especificar las trampas de PoE que se deben generar.
Esta configuracin se ingresa de antemano. Cuando el PD se conecta y est
consumiendo energa, puede consumir mucho menos que el mximo de energa
permitida.
La energa de salida se deshabilita durante el reinicio de encendido, la
inicializacin y la configuracin del sistema para asegurarse de que no se daen
los PD.
211
12
Para configurar la PoE en el switch y monitorear el uso de energa actual:

PASO 1 Haga clic en Administracin de puertos> PoE > Propiedades. Se abre la pgina
Propiedades de PoE.
Modo energa: seleccione una de las siguientes opciones:

-
Lmite del puerto: el usuario configura el lmite mximo de energa por

puerto.
Lmite de clasificacin: el lmite mximo de energa por puerto lo

determina la clasificacin del dispositivo, que resulta de la etapa de
clasificacin.
Trampas: habilite o deshabilite las trampas. Si las tramas estn habilitadas,

tambin debe habilitar el SNMP y configurar al menos un Destinatario de
notificaciones de SNMP.
Umbral de trampa de energa: ingrese el umbral de uso, que es un

porcentaje del lmite de energa. Si la energa supera este valor, se activa una
alarma.
Para cada dispositivo o para todas las unidades de la pila se muestran los
siguientes contadores:
Energa nominal: la cantidad total de energa que el switch puede suministrar

a todos los PD conectados.
Energa consumida: cantidad de energa que los puertos PoE estn

consumiendo.
Energa disponible: energa nominal menos la cantidad de energa

consumida.
PASO 3 Haga clic en Aplicar para guardar las propiedades de PoE.
212
12
Configuracin de la alimentacin PoE, la prioridad y la

clasificacin
La pgina Configuracin de PoE muestra la informacin de PoE del sistema para
habilitar PoE en las interfaces y monitorear el uso de energa actual y el lmite
mximo de energa por puerto.
Haga clic en Administracin de puertos> PoE > Configuracin. Se abre la pgina
Configuracin.
En esta pgina se limita la energa por puerto de dos formas segn el modo de
energa:
Lmite del puerto: la energa se limita a una potencia especificada. Para que
estos valores estn activos, el sistema debe estar en el modo PoE Lmite del
puerto. Este modo se configura en la pgina Propiedades de PoE.
Cuando la energa que se consume en el puerto supera el lmite del puerto,
se desconecta la energa del puerto.
Lmite de clasificacin: la energa se limita segn la clasificacin del PD

conectado. Para que estos valores estn activos, el sistema debe estar en el
modo PoE Lmite de clasificacin. Este modo se configura en la pgina
Propiedades de PoE .
Cuando la energa que se consume en el puerto supera el lmite del puerto,
se desconecta la energa del puerto.
Ejemplo de prioridad PoE:

Dado: un switch de 48 puertos suministra un total de 375 vatios.
El administrador configura todos los puertos para asignen hasta 30 vatios. Esto
significa 48 por 30 puertos, lo que equivale a 1440 vatios, que es demasiado. El
switch no puede proporcionar energa suficiente a cada puerto, por lo que
proporciona energa segn la prioridad.
El administrador establece la prioridad para cada puerto, asigna la cantidad de
alimentacin elctrica que puede recibir.
Estas prioridades se ingresan en la pgina Configuracin de PoE.
Consulte Modelos de switch para obtener una descripcin de los modelos de
switch que admiten PoE y la cantidad mxima de energa que se les puede
asignar a los puertos PoE.
213
12
Para configurar los valores de los puertos PoE:

PASO 1 Haga clic en Administracin de puertos> PoE > Configuracin. Se abre la pgina
Configuracin. La lista de campos a continuacin es para el Modo energa lmite

del puerto. Los campos varan levemente si el Modo de energa es lmite de la
clasificacin.
de PoE. La lista de campos a continuacin es para el Modo energa lmite del

puerto. Los campos varan levemente si el Modo de energa es lmite de la
clasificacin.
PASO 3 Ingrese el valor para el siguiente campo:
Interfaz: seleccione el puerto para configurar.
Estado administrativo de PoE: habilite o deshabilite la PoE en el puerto.
Nivel de prioridad de energa: seleccione la prioridad del puerto: baja, alta o

crtica, para usar cuando el suministro de energa sea bajo. Por ejemplo, si el
suministro de energa est funcionando al 99 % del uso, y el puerto 1 tiene
una prioridad alta y el puerto 3 tiene una prioridad baja, el puerto 1 recibe
energa y al puerto 3 se le puede negar.
Asignacin de energa administrativa: este campo se muestra nicamente si

el Modo Energa establecido en la pgina Propiedades de PoE es Lmite del
puerto. Si el modo Energa es Lmite del puerto, ingrese la energa asignada
al puerto en milivatios.
Asignacin mxima de energa: muestra la cantidad mxima de energa

permitida en este puerto.
Clasificacin: este campo se muestra nicamente si el Modo Energa

establecido en la pgina Propiedades de PoE es Lmite de clasificacin. La
clasificacin determina el nivel de energa:
Clasificacin
Mximo de energa suministrado por puerto

del switch
15.4 vatios
4.0 vatios
7.0 vatios
15.4 vatios
214
Clasificacin
Mximo de energa suministrado por puerto

del switch
30.0 vatios
12
Consumo de energa: muestra la cantidad de energa en milivatios asignada

al dispositivo alimentado conectado a la interfaz seleccionada.
Contador de sobrecargas: muestra el nmero total de eventos de

sobrecarga de energa.
Contador de cortos: muestra el nmero total de eventos de insuficiencia de

energa.
Contador de rechazos: muestra la cantidad de veces que al dispositivo

alimentado se le ha negado energa.
Contador de ausencias: muestra la cantidad de veces que la energa se ha

detenido para el dispositivo alimentado, porque ya no se detectaba el
dispositivo.
Contador de firmas no vlidas: muestra la cantidad de veces que se recibi

una firma no vlida. Las firmas son las formas mediante las cuales el
dispositivo alimentado se identifica en el PSE. Las firmas se generan durante
la deteccin, la clasificacin o el mantenimiento del dispositivo alimentado.
PASO 4 Haga clic en Aplicar. La configuracin de PoE para el puerto se escribe en el
215
13
Administracin de VLAN
VLAN
Crear VLAN
Grupos VLAN
VLAN de voz
VLAN
Una VLAN es un grupo lgico de puertos que habilita a los dispositivos asociados
a la VLAN comunicarse entre s por la capa MAC Ethernet, independientemente
del segmento LAN fsico de la red conectada con puente con la que los
dispositivos estn conectados.
Descripcin de una VLAN
Cada VLAN est configurada con un VID (ID de VLAN) nico con un valor de 1 a
4094. Un puerto de un dispositivo en una red conectada con puente es miembro
de una VLAN si puede enviar datos y recibir datos de la VLAN. Un puerto es un
miembro sin etiquetar de una VLAN si todos los paquetes destinados a ese puerto
216
13
por la VLAN no tienen una etiqueta VLAN. Un puerto es un miembro etiquetado de

una VLAN si todos los paquetes destinados a ese puerto por la VLAN tienen una
etiqueta VLAN. Un puerto puede ser miembro de una VLAN sin etiquetar y puede
ser miembro de varias VLAN etiquetadas.
Un puerto en el modo de acceso VLAN puede ser parte de una sola VLAN. Si se
encuentra en el modo General o Troncal, el puerto puede ser parte de una o ms
VLAN.
Las VLAN tratan problemas de seguridad y escalabilidad. El trfico de una VLAN
se mantiene dentro de la VLAN y termina en dispositivos de la VLAN. Tambin
facilita la configuracin de red ya que conecta de manera lgica los dispositivos
sin reubicarlos fsicamente.
Si una trama tiene una etiqueta VLAN, se aade una etiqueta VLAN de cuatro
bytes a cada trama Ethernet. Esta etiqueta contiene una ID VLAN entre 1 y 4094, y
una etiqueta de prioridad VLAN (VPT) de entre 0 y 7. Consulte la seccin
Configuracin de calidad de servicio para obtener detalles sobre VPT.
Cuando una trama ingresa a un dispositivo que detecta la VLAN, se clasifica como
perteneciente a una VLAN, segn la etiqueta VLAN de cuatro bytes en la trama.
Si no hay etiqueta VLAN en la trama o si la trama solo tiene identificacin
prioritaria, se la clasifica para la VLAN segn el PVID (identificador VLAN de
puerto) configurado en el puerto de ingreso donde se recibe la trama.
La trama se descarta en el puerto de ingreso si Filtrado de acceso est habilitado
y el puerto de ingreso no es miembro de la VLAN a la que pertenece el paquete.
Se considera que una trama tiene identificacin prioritaria solo si el VID de su
etiqueta VLAN es 0.
Las tramas que pertenecen a una VLAN permanecen dentro de la VLAN. Esto se
logra mediante el envo o reenvo de una trama solo a los puertos de egreso que
son miembros de la VLAN de destino. Un puerto de egreso puede ser un miembro
etiquetado o sin etiquetar de una VLAN.
El puerto de egreso:
Aade una etiqueta VLAN a la trama si el puerto de egreso es un miembro

etiquetado de la VLAN de destino y la trama original no tiene una etiqueta
VLAN.
Retira la etiqueta VLAN de la trama si el puerto de egreso es un miembro

sin etiquetar de la VLAN de destino y la trama original tiene una etiqueta
VLAN.
217
13
Roles de VLAN
Las VLAN funcionan en la capa 2. Todo trfico de una VLAN (Undifusin/Difusin/
Multidifusin) permanece dentro de esa VLAN. Los dispositivos conectados a
distintas VLAN no tienen conectividad directa entre s en la capa MAC Ethernet.
Los dispositivos de diferentes VLAN pueden comunicarse entre s nicamente a
travs de routers de capa 3. Por ejemplo, se requiere un router IP para enrutar
trfico IP entre VLAN si cada VLAN representa una subred IP.
El router IP puede ser un router tradicional, en donde cada una de sus interfaces
se conecta a una sola VLAN. El trfico de entrada y salida de un router IP
tradicional debe ser VLAN sin etiquetar. El router IP puede ser un router que
detecta la VLAN, donde cada una de sus interfaces se puede conectar a una o
ms VLAN. El trfico de entrada y salida de un router IP que detecta la VLAN
puede ser VLAN etiquetado o sin etiquetar.
Los dispositivos adyacentes que detectan la VLAN pueden intercambiar
informacin de VLAN entre s a travs del Protocolo genrico del registro de la
VLAN (GVRP, Generic VLAN Registration Protocol). Entonces, la informacin de
VLAN se propaga por una red conectada con puente.
Las VLAN de un dispositivo se pueden crear de manera esttica o dinmica,
segn la informacin del GVRP que intercambian los dispositivos. Una VLAN
puede ser esttica o dinmica (desde GVRP), pero no ambas. Si necesita ms
informacin acerca de GVRP, consulte la seccin Configuracin del GVRP.
Algunas VLAN pueden tener roles adicionales, como por ejemplo:
VLAN de voz: para obtener ms informacin, consulte la seccin VLAN de

voz.
VLAN invitada: se configura en la pgina Editar autenticacin de VLAN .
VLAN predeterminada: para obtener ms informacin, consulte la seccin

Configuracin de los valores de la VLAN predeterminada.
Administracin de VLAN (en los sistemas de modo de capa 2 del sistema):

para obtener ms informacin, consulte la seccin Direccionamiento IP de
capa 2.
QinQ
QinQ proporciona aislamiento entre las redes del proveedor de servicio y las
redes de los clientes. El switch es un puente proveedor que admite una interfaz de
servicio con etiqueta c basada en el puerto.
218
13
Al contar con QinQ, el switch incorpora una etiqueta ID conocida como Etiqueta de
servicio (etiqueta S) para reenviar trfico por la red. La etiqueta S se utiliza para
segregar el trfico entre varios clientes, y al mismo tiempo preservar las etiquetas
VLAN del cliente.
El trfico del cliente se encapsula con una etiqueta S con TPID 0x8100,
independientemente de si originalmente se le asign una etiqueta c o ninguna. La
etiqueta S permite que el trfico se trate como un agregado dentro de una red de
puente proveedor, donde el puente se basa en el VID de etiqueta S (S-VID)
nicamente.
La etiqueta S se preserva mientras que el trfico se reenva a travs de la
infraestructura del proveedor de servicio de red y posteriormente un dispositivo
de egreso la elimina.
Un beneficio adicional de QinQ es que no es necesario configurar los dispositivos
de borde de los clientes.
QinQ est habilitado en la pgina Administracin de VLAN > Configuracin de
interfaz.
Flujo de trabajo de la configuracin de VLAN
Para configurar VLAN:
1. Si es necesario, cambie la VLAN predeterminada a travs de la seccin
Configuracin de los valores de la VLAN predeterminada.
2. Cree las VLAN necesarias a travs de la seccin Crear VLAN.
3. Establezca la configuracin relacionada con VLAN deseada para los puertos y
habilite QinQ en una interfaz mediante la seccin Configuracin de los valores
de las interfaces de VLAN .
4. Asigne interfaces a las VLAN a travs de la seccin Configuracin de puertos
a VLAN o de la seccin Configuracin de afiliacin VLAN.
5. Vea la afiliacin VLAN de puertos actual para todas las interfaces en la seccin
Configuracin de afiliacin VLAN.
6. Configure los grupos VLAN segn lo descrito en las secciones Grupos
basados en MAC y VLAN basada en protocolo, de ser necesario.
7. Configure la VLAN de TV segn lo descrito en las secciones VLAN de TV de
multidifusin de puerto de acceso y VLAN de TV de multidifusin de puerto
de cliente, de ser necesario.
219
13

Al utilizar la configuracin predeterminada de fbrica, el switch crea
automticamente la VLAN 1 como la VLAN predeterminada, el estado
predeterminado de la interfaz de todos los puertos es Troncal y todos los puertos
se configuran como miembros sin etiquetar de la VLAN predeterminada.
La VLAN predeterminada tiene las siguientes caractersticas:
Es inconfundible, no esttica/no dinmica y todos los puertos son miembros

sin etiquetar de forma predeterminada.
No se puede eliminar.
No se le puede dar un rtulo.
No se puede usar para ningn rol especial, como VLAN no autenticada o

VLAN de voz. nicamente relevante para la VLAN de voz habilitada para OUI.
Si un puerto ya no es miembro de una VLAN, el switch automticamente

configura el puerto como miembro sin etiquetar de la VLAN
predeterminada. Un puerto ya no es miembro de una VLAN si la VLAN se
elimina o el puerto se elimina de la VLAN.
Los servidores RADIUS no pueden asignar la VLAN predeterminada a

solicitantes 802.1x a travs de la asignacin de VLAN dinmica.
Cuando el VID de la VLAN predeterminada se cambia, el switch realiza lo siguiente

en todos los puertos de la VLAN despus de guardar la configuracin y reiniciar el
switch:
Elimina la afiliacin a VLAN de los puertos de la VLAN predeterminada

original (solo es posible despus de reiniciar).
Cambia el PVID (Identificador VLAN de puerto) de los puertos por el VID de

la nueva VLAN predeterminada.
El ID de VLAN predeterminada original se elimina del switch. Para usarlo, es

necesario volver a crearlo.
Aade los puertos como miembros VLAN sin etiquetar de la nueva VLAN
predeterminada.
220
13
Para cambiar la VLAN predeterminada:

PASO 1 Haga clic en Administracin de VLAN > Configuracin de VLAN
predeterminada. Se muestra la pgina Configuracin de VLAN predeterminada.

PASO 2 Ingrese el valor para el siguiente campo:
ID de VLAN predeterminada actual: muestra el ID de VLAN

predeterminada actual.
ID de VLAN predeterminada despus del reinicio: ingrese un nuevo ID de

VLAN para reemplazar el ID de VLAN predeterminada despus de reiniciar.

PASO 4 Haga clic en Guardar (en la esquina superior derecha de la ventana) y guarde la
configuracin en ejecucin en la configuracin de inicio.

ID de VLAN predeterminada despus del reinicio se convierte en la ID de VLAN
predeterminada actual despus de que reinicia el switch.
Crear VLAN
Usted puede crear una VLAN, pero esto no tiene ningn efecto hasta que la VLAN
est conectada con al menos un puerto, ya sea de forma manual o dinmica. Los
puertos siempre deben pertenecer a una o ms VLAN.
Cada VLAN debe estar configurada con un VID (ID de VLAN) nico con un valor de
1 a 4094. El switch reserva el VID 4095 como la VLAN para descarte. Todos los
paquetes clasificados para la VLAN de descarte se descartan en la entrada y no
se reenvan a un puerto.
221
13
Para crear una VLAN:

PASO 1 Haga clic en Administracin de VLAN > Crear VLAN. Se abre la pgina Crear
VLAN.
En la pgina Crear VLAN se muestran los siguientes campos para todas las VLAN:
ID de VLAN: ID de VLAN definido por el usuario.
Nombre de VLAN: nombre de VLAN definido por el usuario.
Tipo: tipo de VLAN:

-
Dinmica: la VLAN se cre dinmicamente a travs del Generic VLAN

Registration Protocol (GVRP, Protocolo genrico de registro de VLAN).
Esttica: el usuario define la VLAN.
Predeterminada: la VLAN es la VLAN predeterminada.
PASO 2 Haga clic en Aadir para aadir una nueva VLAN o seleccione una VLAN existente
y haga clic en Editar para modificar los parmetros de la VLAN. Se abre la pgina
Agregar/editar VLAN .
La pgina habilita la creacin de una sola VLAN o de un rango de VLAN.
PASO 3 Para crear una sola VLAN, seleccione el botn de radio VLAN, ingrese el ID de
VLAN (VID) y opcionalmente el Nombre de VLAN.

Para crear un rango de VLAN, seleccione el botn de radio Rango y especifique el
rango de VLAN que desea crear; para ello, ingrese el VID de inicio y el VID de
finalizacin, ambos inclusive. Al utilizar la funcin Intervalo, la cantidad mxima de
VLAN que puede crear a la vez es 100.
PASO 4 Haga clic en Aplicar para crear las VLAN.
222
13

La pgina Configuracin de interfaz muestra y habilita la configuracin de
parmetros relacionados con VLAN para todas las interfaces.
Para configurar los valores de VLAN:
PASO 1 Haga clic en Administracin de VLAN > Configuracin de interfaz. Se muestra la
pgina Configuracin de interfaz.

PASO 2 Seleccione un tipo de interfaz (puerto o LAG) y haga clic en Ir. Se muestran los
puertos o LAG y sus parmetros VLAN.

PASO 3 Para configurar un puerto o LAG, seleccinelo y haga clic en Editar. Se muestra la
pgina Editar configuracin de interfaz.

Interfaz: seleccione un puerto/LAG.
Modo Interfaz VLAN: seleccione el modo de interfaz para la VLAN. Las

opciones son:
General: la interfaz puede admitir todas las funciones segn se define en

la especificacin IEEE 802.1q. La interfaz puede ser un miembro
etiquetado o sin etiquetar de una o ms VLAN.
Acceso: la interfaz es un miembro sin etiquetar de una sola VLAN. Un

puerto configurado en este modo se conoce como puerto de acceso.
Troncal: la interfaz es un miembro sin etiquetar de a lo sumo una VLAN, y

es un miembro etiquetado de cero o ms VLAN. Un puerto configurado
en este modo se conoce como puerto troncal.
Cliente: al seleccionar esta opcin la interfaz se coloca en modo QinQ.

Esto permite que usted utilice sus propias disposiciones de VLAN (PVID)
en toda la red proveedora. El switch estar en modo fila de espera a fila
de espera cuando tenga uno o ms puertos de cliente. Consulte QinQ.
PVID administrativo: ingrese el ID de VLAN de puerto (PVID) de la VLAN

para la que se clasifican las tramas entrantes sin etiquetar y con etiquetado
prioritario. Los valores posibles son 1 a 4094.
223
13
Tipo de trama: seleccione el tipo de trama que la interfaz puede recibir. Las
tramas que no son del tipo de trama configurado se descartan en el ingreso.
Estos tipos de trama solo estn disponibles en el modo General. Los valores
posibles son:
-
Admitir todos: la interfaz acepta todos los tipos de tramas: tramas sin
etiquetar, tramas etiquetadas y tramas con etiquetado prioritario.
Admitir solo los etiquetados: la interfaz solo acepta tramas etiquetadas.
Admitir solo sin etiquetas: la interfaz solo acepta tramas sin etiquetar y
de prioridad.
Filtrado de acceso: (disponible solo en el modo General) seleccione esta

opcin para habilitar el filtrado de acceso. Cuando una interfaz tiene el
filtrado de acceso habilitado, descarta todas las tramas entrantes
clasificadas como VLAN de las que la interfaz no es miembro. El filtrado de
acceso se puede deshabilitar o habilitar en los puertos generales. Siempre
est habilitado en los puertos de acceso y puertos troncales.
PASO 5 Haga clic en Aplicar. Los parmetros se escriben en el archivo Configuracin en
ejecucin.

En las pginas Puerto a VLAN y Afiliacin VLAN de puertos se muestran las
afiliaciones VLAN de los puertos en varias presentaciones. Usted puede usarlas
para aadir afiliaciones a las VLAN o eliminarlas de ellas.
Cuando un puerto tiene prohibida la afiliacin VLAN predeterminada, ese puerto
no puede estar afiliado a ninguna otra VLAN. Al puerto se le asigna un VID interno
de 4095.
Para reenviar los paquetes correctamente, los dispositivos intermedios que
detectan la VLAN y transportan trfico VLAN por la trayectoria entre los nodos
extremos se deben configurar manualmente o deben aprender dinmicamente las
VLAN y sus afiliaciones a puertos del Generic VLAN Registration Protocol (GVRP,
protocolo genrico de registro de VLAN).
224
13
La afiliacin de puertos sin etiquetar entre dos dispositivos que detectan la VLAN
sin dispositivos intervinientes que detecten la VLAN debe ser a la misma VLAN. Es
decir, el PVID de los puertos que hay entre los dos dispositivos debe ser el mismo
si los puertos enviarn paquetes sin etiquetar a la VLAN y recibirn paquetes sin
etiquetar de la VLAN. De lo contrario, el trfico puede filtrarse de una VLAN a la
otra.
Las tramas sin etiquetas VLAN pueden pasar por otros dispositivos de red que
detectan o no la VLAN. Si un nodo extremo de destino no detecta la VLAN, pero
debe recibir trfico de una VLAN, el ltimo dispositivo que detecta la VLAN (si hay
uno) debe enviar tramas de la VLAN de destino al nodo extremo sin etiquetar.
Configuracin de puertos a VLAN

Use la pgina Puerto a VLAN para mostrar y configurar los puertos dentro de una
VLAN especfica.
Para asignar puertos o LAG a una VLAN:
PASO 1 Haga clic en Administracin de VLAN > Puerto a VLAN. Se muestra la pgina
Puerto a VLAN .
PASO 2 Seleccione una VLAN y el tipo de interfaz (puerto o LAG) y haga clic en Ir para
mostrar o cambiar la caracterstica del puerto con respecto a la VLAN.

El modo del puerto para cada puerto o LAG se muestra con su modo de puerto
actual (Acceso, Troncal o General) que se configura en la pgina Configuracin de
interfaz.
Cada puerto o LAG se muestra con su registro actual en la VLAN.
PASO 3 Cambie el registro de una interfaz a la VLAN; para ello, seleccione la opcin que
desea de la siguiente lista:
Prohibido: la interfaz tiene prohibido unirse a la VLAN ni siquiera desde el

registro GVRP. Cuando un puerto no es miembro de ninguna otra VLAN, al
habilitar esta opcin en el puerto, este se convierte en parte de la VLAN
4095 interna (un VID reservado).
Excluido: actualmente la interfaz no es miembro de la VLAN. Esta es la

opcin predeterminada para todos los puertos y LAG. El puerto se puede
unir a la VLAN a travs del registro GVRP.
Etiquetado: la interfaz es un miembro etiquetado de la VLAN.
225
13
Sin etiquetar: la interfaz es un miembro sin etiquetar de la VLAN. Las tramas

de la VLAN se envan sin etiqueta a la VLAN de la interfaz.
VLAN de multidifusin para TV: interfaz que se usa para TV digital con IP de
multidifusin.
PVID: seleccione esta opcin para establecer el PVID de la interfaz como el

VID de la VLAN. El PVID se configura por puerto.
PASO 4 Haga clic en Aplicar. Las interfaces se asignan a la VLAN y escritas en el archivo
Usted puede continuar visualizando y configurando la afiliacin de puertos de otra
VLAN a travs de la seleccin de otro ID de VLAN.
Configuracin de afiliacin VLAN

La pgina Afiliacin VLAN de puertos muestra todos los puertos del dispositivo
junto con una lista de las VLAN a la cual pertenece cada puerto.
Si el mtodo de autenticacin basada en puertos para una interfaz es 802.1x y el
Control del puerto administrativo es Auto, entonces:
Hasta que se autentique el puerto, se lo excluye de todas las VLAN, a

excepcin de la invitada y la no autenticada. En la Pgina VLAN a puerto, el
puerto estar marcado con P.
Cuando se autentica el puerto, recibe afiliacin en la VLAN en la que se lo

configur.
Para asignar un puerto a una o varias VLAN:

PASO 1 Haga clic en Administracin de VLAN > Afiliacin VLAN de puertos. Se muestra
la pgina Afiliacin a puerto VLAN.

PASO 2 Seleccione un tipo de interfaz (puerto o LAG) y haga clic en Ir. Se muestran los
siguientes campos para todas las interfaces del tipo seleccionado:
Interfaz: ID de puerto/LAG.
Modo: modo VLAN de la interfaz que se ha seleccionado en la pgina

Configuracin de interfaz .
VLAN administrativas: lista desplegable donde figuran todas las VLAN de

las que es miembro la interfaz.
226
13
VLAN operativas: lista desplegable donde figuran todas las VLAN de las
que es miembro la interfaz actualmente.
LAG: si la interfaz seleccionada es Puerto, se muestra el LAG del que es

miembro.
PASO 3 Seleccione un puerto y haga clic en el botn Unir VLAN. Se abre la pgina Unir
VLAN.
Interfaz: seleccione un puerto o LAG. Seleccione la unidad/ranura en un

switch de la serie 500.
Modo: muestra el modo VLAN de puerto que se ha seleccionado en la

Seleccionar VLAN: para asociar un puerto con una o varias VLAN, use los
botones de flecha para pasar los ID de VLAN de la lista de la izquierda a la
lista de la derecha. La VLAN predeterminada puede aparecer en la lista de
la derecha si tiene etiqueta, pero no se la puede seleccionar.
Etiqueta: seleccione una de las siguientes opciones de etiquetado/PVID:

-
Prohibido: la interfaz tiene prohibido unirse a la VLAN ni siquiera desde

el registro GVRP. Cuando un puerto no es miembro de ninguna otra VLAN,
al habilitar esta opcin en el puerto, este se convierte en parte de la
VLAN 4095 interna (un VID reservado).
Excluido: actualmente la interfaz no es miembro de la VLAN. Esta es la

opcin predeterminada para todos los puertos y LAG. El puerto se puede
unir a la VLAN a travs del registro GVRP
Etiquetado: seleccione si el puerto tiene etiqueta. Esto no es relevante

para los puertos de acceso.
Sin etiquetar: seleccione si el puerto no tiene etiqueta. Esto no es

relevante para los puertos de acceso.
PVID: el PVID de puerto se configura para esta VLAN. Si la interfaz est

en modo de acceso o troncal, el switch automticamente convierte la
interfaz en un miembro sin etiquetar de la VLAN. Si la interfaz est en el
modo general, debe configurar la afiliacin VLAN manualmente.
PASO 5 Haga clic en Aplicar. La configuracin se modifica y se escribe en el archivo
PASO 6 Para ver las VLAN administrativas u operativas en una interfaz, haga clic en
Detalles.
227
13

Los dispositivos adyacentes que detectan la VLAN pueden intercambiar
informacin de VLAN entre s a travs del Protocolo genrico del registro de la
VLAN (GVRP, Generic VLAN Registration Protocol). El GVRP se basa en el
Protocolo de registro de atributo genrico (GARP, Generic Attribute Registration
Protocol) y propaga informacin VLAN por una red conectada con puente.
Como el GVRP debe ser compatible con el etiquetado, el puerto debe estar
configurado en el modo Troncal o General.
Cuando un puerto se une a una VLAN a travs del GVRP, este se agrega a la VLAN
como miembro dinmico, a menos que esto se haya prohibido de forma expresa
en la pgina Afiliacin VLAN de puertos. Si la VLAN no existe, se crea
dinmicamente cuando se habilita la creacin VLAN dinmica para este puerto (en
la pgina Configuracin del GVRP).
GVRP se debe activar globalmente y tambin en cada puerto. Cuando est
activado, transmite y recibe unidades de datos de paquetes de GARP (GPDU). Las
VLAN que estn definidas pero no activas no se propagan. Para propagar la VLAN,
debe estar activa en al menos un puerto.
De forma predeterminada, GVRP se deshabilita globalmente y en cada puerto.
Definicin de la configuracin del GVRP

Para definir la configuracin del GVRP para una interfaz:
PASO 1 Haga clic en Administracin de VLAN > Configuracin del GVRP. Se muestra la
pgina Configuracin de GVRP.

PASO 2 Seleccione Estado global GVRP para habilitar GVRP globalmente.
PASO 3 Haga clic en Aplicar para establecer el estado global GVRP.
PASO 4 Seleccione un tipo de interfaz (Puerto o LAG), y haga clic en Ir para mostrar todas
las interfaces de ese tipo.

PASO 5 Para definir la configuracin del GVRP para un puerto, seleccinelo y haga clic en
Editar. Se muestra la pgina Editar configuracin de GVRP.
228
13
Interfaz: seleccione la interfaz (Puerto o LAG) que desea editar.
Estado GVRP: seleccione para habilitar el GVRP en esta interfaz.
Creacin VLAN dinmica: seleccione para habilitar la creacin VLAN

dinmica en esta interfaz.
Registro GVRP: seleccione para habilitar el registro de VLAN a travs de

GVRP en esta interfaz.
PASO 7 Haga clic en Aplicar. La configuracin del GVRP se modifica y se escribe en el
Grupos VLAN
Los grupos VLAN se usan para el equilibro de carga de trfico en la red de capa 2.
Los paquetes se asignan a una VLAN en funcin de distintas clasificaciones que
se han configurado (como los grupos VLAN).
Si se definen diversos esquemas de clasificacin, los paquetes se asignan a una
VLAN en el siguiente orden:
ETIQUETA: si el paquete est etiquetado, la VLAN se extrae de esa

etiqueta.
VLAN basada en MAC: si se ha definido una VLAN basada en MAC, se

obtiene la VLAN de la asignacin de MAC a VLAN de origen de la interfaz
de ingreso.
VLAN basada en protocolo: si se ha definido una VLAN basada en

protocolo, se obtiene la VLAN a partir de la asignacin (del tipo Ethernet) de
protocolo a VLAN de la interfaz de ingreso.
PVID: VLAN se obtiene del ID de VLAN predeterminado del puerto.
Grupos basados en MAC

La clasificacin de VLAN basada en MAC permite que los paquetes se clasifiquen
de acuerdo con la direccin MAC de origen. Luego, usted puede definir una
asignacin MAC a VLAN por interfaz.
229
13
Puede definir varios grupos VLAN basados en MAC, donde cada grupo contiene
diferentes direcciones MAC.
Estos grupos basados en MAC se pueden asignar a puertos o LAG especficos.
Los grupos VLAN basados en MAC no pueden contener intervalos superpuestos
de direcciones MAC en el mismo puerto.
Flujo de trabajo
Para definir un grupo VLAN basado en MAC:
1. Asigne una direccin MAC a un ID de grupo VLAN (use la pgina Grupos
basados en MAC).
2. Para cada interfaz requerida:
a. Asigne el grupo de VLAN a una VLAN (para ello, use la pgina Grupos
basados en MAC a VLAN). Las interfaces deben estar en el modo General.
b. Si la interfaz no pertenece a la VLAN, asgnela manualmente a la VLAN a
travs de la pgina Puerto a VLAN.
Asignacin de grupos VLAN basados en MAC

Esta funcin solo est disponible cuando el switch est en el modo de capa 2 del
sistema.
Para asignar una direccin MAC a un Grupo de VLAN:
PASO 1 Haga clic en Administracin de VLAN > Grupos VLAN > Grupos basados en
MAC. Se muestra la pgina Grupos basados en MAC.

PASO 2 Haga clic en Aadir. Se abre Aadir grupos basados en MAC.
Direccin MAC: ingrese una direccin MAC para asignar a un grupo de

VLAN.
NOTA Esta direccin MAC no se puede asignar a otro grupo de VLAN.
Mscara de prefijo: ingrese una de las siguientes opciones:

-
Host: host de origen de la direccin MAC
Longitud: Prefijo de la direccin MAC
ID de grupo: ingrese un nmero de ID de grupo de VLAN creado por el

usuario.
230
13
PASO 4 Haga clic en Aplicar. Se asigna la direccin MAC a un grupo de VLAN.
Asignacin de grupo de VLAN a VLAN por interfaz

Esta funcin solo est disponible cuando el switch est en el modo de capa 2 del
sistema y los puertos o los LAG se encuentran en modo General.
Para asignar un grupo VLAN basado en MAC a una VLAN en una interfaz:
MAC a VLAN. Se muestra la pgina Grupos basados en MAC a VLAN.

PASO 2 Haga clic en Aadir. Se abre Aadir Grupos basados en MAC a VLAN.
Tipo de grupo: muestra que el grupo est basado en MAC.
Interfaz: ingrese una interfaz general (Puerto o LAG) a travs de la cual se

recibe trfico.
ID de grupo: seleccione un grupo de VLAN, definido en la pgina Grupos
basados en MAC .
ID de VLAN: seleccione la VLAN a la cual se reenva el trfico del grupo de

VLAN.
PASO 4 Haga clic en Aplicar para establecer la asignacin del grupo VLAN a la VLAN. Esta
asignacin no vincula dinmicamente la interfaz a la VLAN; la interfaz debe

aadirse manualmente a la VLAN.
VLAN basada en protocolo

Los grupos de protocolos pueden definirse y luego vincularse a un puerto. Una
vez que el grupo de protocolo est vinculado a un puerto, cada paquete que se
origine desde un paquete en el grupo ser asignado a la VLAN que se configur
en la pgina Grupos basados en protocolos.
231
13
Flujo de trabajo
Para definir un grupo VLAN basado en protocolo:
1. Defina un grupo de protocolo (para ello, use la pgina Grupos basados en
protocolos).
2. Para cada interfaz requerida, asigne el grupo de protocolo a una VLAN (para
ello, utilice la pgina Grupos basados en protocolo a VLAN ). Las interfaces
deben estar en modo General, no se les puede asignar una VLAN dinmica
(DVA).
Grupos basados en protocolo

Use la pgina Grupos basados en protocolo para definir un conjunto de
protocolos.
protocolo. Se muestra la pgina Grupos basados en protocolo.

La Pgina de grupos basados en protocolo contiene los siguientes campos:
Encapsulamiento: muestra el protocolo sobre el cual se basa el grupo VLAN.
Protocolo/DSAP-SSAP: muestra el tipo de Ethernet (campo de dos octetos

en la trama Ethernet utilizado para indicar qu protocolo se encapsula en la
carga del paquete Ethernet) para el grupo VLAN.
ID de grupo: muestra el ID del grupo de protocolo sobre el que se incorpora

la interfaz.
PASO 2 Haga clic en el botn Aadir. Se muestra la pgina Aadir grupo basado en
protocolo.
Encapsulamiento: tipo de paquete de protocolo. Las opciones disponibles

son las siguientes:
-
Ethernet V2: si selecciona esta opcin, seleccione el Tipo Ethernet.
LLC-SNAP (rfc1042): si selecciona esta opcin, ingrese el Valor de

protocolo.
LLC: si selecciona esta opcin seleccione los Valores DSAP-SSAP.
ID de grupo: ingrese una ID de grupo de protocolos.
232
13
PASO 4 Haga clic en Aplicar. El grupo de protocolos se aade y se escribe en el archivo
Grupos basados en protocolo a asignacin VLAN

Para asignar un grupo de protocolo a un puerto, el puerto debe estar en modo
General y no debe tener configurada la DVA (consulte la seccin Configuracin
de los valores de las interfaces de VLAN).
Se pueden vincular diversos grupos a un solo puerto, y cada puerto est asociado
a su propia VLAN.
Tambin es posible asignar distintos grupos a una sola VLAN.
Para asignar el puerto de protocolo a una VLAN:
PASO 1 Haga clic en Administracin de VLAN > Grupos VLAN> Grupos basados en
protocolo a VLAN. Se muestra la pgina Grupos basados en protocolo a VLAN.

Se muestran las asignaciones definidas actualmente.
PASO 2 Para asociar una interfaz con un grupo basado en protocolos y VLAN, haga clic en
Aadir. Se muestra la pgina Aadir grupo a asignacin VLAN.

Interfaz: nmero de puerto o LAG asignado a la VLAN, segn el grupo

basado en protocolo.
ID de grupo: ID de grupo de protocolos.
ID de VLAN: une la interfaz a una ID de VLAN definida por el usuario.
PASO 4 Haga clic en Aplicar. Los puertos se protocolo se asignan a las VLAN y se escriben
en el archivo Configuracin en ejecucin.
233
13
VLAN de voz
En una LAN, los dispositivos de voz, como los telfonos IP, los puntos finales VoIP y
los sistemas de voz se colocan en la misma VLAN. Esta VLAN se denomina VLAN
de voz. Si los dispositivos de voz se encuentran en diferentes VLAN de voz, se
necesitan routers IP (Capa 3) que proporcionen comunicacin.
Descripcin general de VLAN de voz
Configuracin de VLAN de voz
Descripcin general de VLAN de voz

Modos de VLAN de voz dinmica
VLAN de voz automtica, Smartports automticos CDP y LLDP
QoS de VLAN de voz
Restricciones de la VLAN de voz
Flujos de trabajo de VLAN de voz
A continuacin, se presentan situaciones tpicas de implementacin de voz con

las configuraciones apropiadas:
UC3xx/UC5xx alojado: todos los telfonos y los puntos finales VoIP de

Cisco admiten este modelo de implementacin. Para este modelo, el
UC3xx/UC5xx, los telfonos y los puntos finales VoIP de Cisco residen en la
misma VLAN de voz. La VLAN de voz de UC3xx/UC5xx muestra de forma
predeterminada VLAN 100.
PBX de IP de tercero alojado: los telfonos SBTG CP-79xx, SPA5xx y los

puntos finales SPA8800 de Cisco admiten este modelo de implementacin.
En este modelo, la VLAN que utilizan los telfonos se determina mediante la
configuracin de red. Pueden haber o no VLAN de datos y de voz por
separado. Los telfonos y los puntos finales VoIP se registran con un PBX IP
en las instalaciones.
234
13
Centrex/ITSP IP alojado: los telfonos CP-79xx, SPA5xx y los puntos finales

SPA8800 de Cisco admiten este modelo de implementacin. En este
modelo, la VLAN que utilizan los telfonos se determina mediante la
configuracin de red. Pueden haber o no VLAN de datos y de voz por
separado. Los telfonos y los puntos finales IP se registran con un proxy
SIP fuera de las instalaciones en "la nube".
Desde el punto de vista de VLAN, los modelos anteriores funcionan tanto en

entornos que detectan VLAN como en los que no lo hacen. En el entorno que
detecta VLAN, la VLAN de voz es una de las tantas VLAN que se configuran en una
instalacin. El escenario donde no se detecta la VLAN equivale a un entorno que
detecta VLAN con una sola VLAN.
El switch siempre funciona como un switch que detecta VLAN.
El switch admite una sola VLAN de voz. Por opcin predeterminada, la VLAN de
voz es VLAN 1. La VLAN 1 se elige como predeterminada para la VLAN de voz. Se
puede configurar manualmente una VLAN de voz distinta. Tambin se puede
aprender de manera dinmica cuando se activa la VLAN de voz.
Los puertos se pueden aadir manualmente a la VLAN de voz a travs de la
configuracin de VLAN bsicas descrita en la seccin Configuracin de los
valores de las interfaces de VLAN, o al aplicar manualmente el macro de
Smartport relacionado con la voz a los puertos. Como alternativa, se pueden
agregar dinmicamente si el switch est en modo OUI para telefona o tiene la
opcin Smartport automtico habilitada.
Modos de VLAN de voz dinmica

El switch admite dos modos VLAN de voz dinmicos: OUI para telefona
(Organization Unique Identifier) y el modo VLAN de voz automtica. Los dos
modos afectan la forma en que se configuran la VLAN de voz y las afiliaciones de
puerto VLAN de voz. Los dos modos se excluyen mutuamente.
OUI para telefona

En modo OUI para telefona, la VLAN de voz debe ser una VLAN
manualmente configurada y no puede ser una VLAN predeterminada.
Cuando el switch se encuentra en modo OUI para telefona y se configura
manualmente un puerto como candidato para unirse a la VLAN de voz, el
switch agrega dinmicamente el puerto a la VLAN de voz, si recibe un
paquete con una direccin MAC de origen que coincida con uno de los OUI
para telefona configurados. Un OUI son los primeros tres bytes de una
direccin MAC de Ethernet. Para obtener ms informacin acerca de la
telefona para OUI, consulte Configuracin del OUI para telefona.
235
13
VLAN de voz automtica

En modo VLAN de voz automtica, la VLAN de voz puede ser una VLAN de
voz predeterminada, una configurada manualmente o una que se aprenda
de dispositivos externos como UC3xx/5xx y de switches que presenten
VLAN de voz en CDP o VSDP. VSDP es un protocolo definido por Cisco
para la deteccin de servicio de voz.
A diferencia del modo OUI para telefona que detecta dispositivos de voz
segn el OUI para telefona, el modo VLAN de voz automtica depende de
Smartport automtico para aadir dinmicamente los puertos a la VLAN de
voz. Si Smartport automtico est habilitado, agrega un puerto a la VLAN
de voz si detecta un dispositivo de conexin al puerto que se anuncia como
telfono o puntos finales de medios a travs de CDP o LLDP-MED.
Puntos finales de voz

Para que una VLAN de voz funcione correctamente, los dispositivos de voz como
los telfonos y los puntos finales VoIP de Cisco deben asignarse a la VLAN de voz
donde enva y recibe su trfico de voz. Algunos de los posibles escenarios son los
siguientes:
Un telfono o punto final se puede configurar estadsticamente con la VLAN

de voz.
Un telfono y punto final puede obtener la VLAN de voz en el archivo de

inicio que se descarga de un servidor TFTP. Un servidor DHCP puede
especificar el archivo de inicio y el servidor TFTP cuando asigna una
direccin IP al telfono.
Un telfono o punto final puede obtener informacin de la VLAN de voz

desde anuncios de CPD y LLDP-MED que recibe de sus sistemas de voz y
switches vecinos.
El switch espera que los dispositivos de voz conectados enven paquetes con
etiquetas de VLAN de voz. En los puertos donde la VLAN de voz es tambin la
VLAN nativa, se puede contar con paquetes sin etiquetar de VLAN de voz.
VLAN de voz automtica, Smartports automticos CDP y LLDP

Valores predeterminados
De manera predeterminada de fbrica, CPD, LLDP y LLDP-MED estn habilitados
en el switch, estn habilitados el modo Smartport automtico, el modo bsico de
QoS con el modo de confianza de DSCP y todos los puertos son miembros de la
VLAN 1 predeterminada, que tambin es la VLAN de voz predeterminada.
236
13
Adems, el modo VLAN de voz dinmica es el predeterminado para la VLAN de

voz automtica con la habilitacin basada en la activacin, y Smartport automtico
es el modo habilitado de forma predeterminada segn la VLAN de voz automtica.
Activaciones de la VLAN de voz

Cuando el modo VLAN de voz dinmica se encuentra habilitado como VLAN de
voz automtico, VLAN de voz automtico funcionar nicamente si ocurren una o
ms activaciones. Las posibles activaciones son la configuracin de VLAN de voz
esttica, la informacin de VLAN de voz recibida en el anuncio de CDP vecino y la
informacin de VLAN de voz recibida en el protocolo de deteccin de VLAN de
voz (VSDP). Si lo desea, puede activar VLAN de voz automtica inmediatamente
sin esperar una activacin.
Si Smartport automtico est habilitado, segn el modo VLAN de voz automtica,
Smartport automtico se habilitar cuando VLAN de voz automtica se ponga en
funcionamiento. Si lo desea, puede habilitar Smartport automtico
independientemente de VLAN de voz automtica.
NOTA Aqu se aplica la lista de configuracin predeterminada a los switches cuya versin
de firmware admite VLAN de voz automtica configurada de fbrica. Tambin se

aplica a switches sin configurar que han sido actualizados a la versin de firmware
que admite VLAN de voz automtica.
NOTA El diseo de los valores predeterminados y las activaciones de la VLAN de voz no
afectan las instalaciones que no cuentan con una VLAN de voz ni los switches que
ya fueron configurados. Usted puede deshabilitar y habilitar manualmente VLAN
de voz automtica o Smartport automtico para adecuarlo a la implementacin, si
es necesario.
VLAN de voz automtica

VLAN de voz automtica es responsable de mantener la VLAN de voz, pero
depende de Smartport automtico para mantener las afiliaciones del puerto de
VLAN de voz. VLAN de voz automtica realiza las siguientes funciones cuando se
encuentra en funcionamiento:
Detecta informacin de la VLAN de voz en los anuncios de CDP de

dispositivos vecinos conectados directamente.
Si varios switches o routers vecinos, como los dispositivos Cisco Unified

Communication (UC), anuncian sus VLAN de voz, se utiliza la VLAN de voz
del dispositivo que tenga la direccin MAC ms baja.
237
13
NOTA Si se conecta el switch a un dispositivo Cisco UC, es posible que
deba configurar el puerto en el dispositivo UC con el comando switchport

voice vlan para garantizar que el dispositivo UC anuncie su VLAN de voz
en CDP en el puerto.
Sincroniza los parmetros relacionados con la VLAN de voz con otros

switches habilitados para VLAN de voz automtica, mediante el protocolo
de deteccin de servicio de voz (VSDP). El switch siempre se configura con
la VLAN de voz a partir de la fuente de prioridad ms alto que reconoce.
Esta prioridad se basa en el tipo de fuente y en la direccin MAC de la
fuente que proporciona la informacin de VLAN de voz. La prioridad del tipo
de fuente de alta a baja son configuracin de VLAN esttica, anuncio de
CDP y configuracin predeterminada segn la VLAN predeterminada
modificada y la VLAN de voz predeterminada. Una direccin MAC baja
numrica tiene una prioridad ms alta que una direccin MAC alta numrica.
Mantiene la VLAN de voz hasta que se detecta una VLAN de voz de fuente
de prioridad ms alta o hasta que el usuario reinicie la VLAN de voz
automtica. Al reiniciar, el switch restablece la VLAN de voz a la VLAN de
voz predeterminada y reinicia la deteccin de VLAN de voz automtica.
Si se configura o se detecta una nueva VLAN de voz, el switch la crea

automticamente y reemplaza todas las afiliaciones del puerto de la VLAN
de voz existente por la nueva VLAN de voz. Esto puede interrumpir o dar
por terminada las sesiones de voz, lo cual se prev cuando se altera la
topologa de la red.
NOTA Si el switch se encuentra en modo de capa 2 del sistema, puede
sincronizarse solamente con switches compatibles con VSDP en la misma
administracin de VLAN. Si el switch se encuentra en modo de capa 3 del
sistema, puede sincronizarse con switches compatibles con VSDP que
estn en las mismas subredes IP conectadas directamente en el switch.
Smartport automtico trabaja con CDP/LLDP para mantener las afiliaciones de

puerto de la VLAN de voz cuando se detectan los puntos finales de voz desde los
puertos:
Si CDP y LLDP estn habilitados, el switch enva peridicamente paquetes

CDP y LLDP para anunciar la VLAN de voz a los puntos finales de voz para
su utilizacin.
Cuando un dispositivo que se conecta a un puerto se anuncia como punto

final de voz a travs de CDP o LLDP, el Smartport automtico agrega
automticamente el puerto a la VLAN de voz al aplicar el macro de
Smartport correspondiente al puerto (si no hay otros dispositivos del
puerto que anuncie un conflicto o capacidad superior). Si un dispositivo se
238
13
anuncia como telfono, el macro de Smartport predeterminado es telfono.

Si un dispositivo se anuncia como telfono y host o telfono y puente, el
macro de Smartport predeterminado es telfono + escritorio.
QoS de VLAN de voz

La VLAN de voz puede propagar la configuracin de CoS/802.1p y DSCP al
utilizar polticas de red LLDP-MED. El LLDP-MED se establece de forma
predeterminada en respuesta con la configuracin de QoS de voz si un dispositivo
enva paquetes de LLP-MED. Los dispositivos que admiten MED deben enviar su
trfico de voz con los mismos valores CoS/802.1p y DSCP que recibieron con la
respuesta de LLDP-MED.
Puede deshabilitar la actualizacin automtica entre la VLAN de voz y LLDP-MED
y usar sus propias polticas de red.
Al trabajar con el modo OUI, el switch tambin puede configurar la asignacin y la
remarcacin (CoS/802.1p) del trfico de voz en base al OUI.
De forma predeterminada, todas las interfaces cuentan con el modo de confianza
CoS/802.1p. El switch aplica la calidad del servicio segn el valor CoS/802.1p
encontrado en la secuencia de voz. En modo VLAN de voz automtica, el usuario
puede anular el valor de las secuencias de voz mediante un QoS avanzado. Para
las secuencias de voz de OUI para telefona, puede anular la calidad del servicio y
de manera opcional, remarcar el 802.1p de las secuencias de voz al especificar
los valores CoS/802.1p deseados y usar la opcin de remarcado de OUI para
telefona.
Restricciones de la VLAN de voz

Existen las siguientes restricciones:
Solo se admite una VLAN de voz.
Una VLAN que se define como VLAN de voz no puede ser eliminada.
Adems, se aplican las siguientes restricciones en OUI para telefona:
La VLAN de voz no puede ser VLAN1 (la VLAN predeterminada).
La VLAN de voz no puede tener Smartport habilitado.
La VLAN de voz no puede admitir DVA (asignacin de VLAN dinmica).
La VLAN de voz no puede ser la VLAN invitada si el modo de VLAN de voz

es OUI. Si el modo de VLAN de voz es Automtico, la VLAN de voz no
puede ser VLAN invitada.
239
13
La decisin de QoS de la VLAN de voz tiene prioridad sobre cualquier otra

decisin de QoS, excepto sobre la decisin de QoS de la poltica/ACL.
Sololo se puede configurar un ID de VLAN nuevo para la VLAN de voz si la

VLAN de voz actual no tiene puertos candidatos.
La VLAN de la interfaz de un puerto candidato debe estar en modo General

o Troncal.
La QoS de la VLAN de voz se aplica a los puertos candidatos que se han

unido a la VLAN de voz y a puertos estticos.
El flujo de voz se acepta si la base de datos de reenvo (FDB) puede

aprender la direccin MAC. (Si no hay espacio libre en la FDB, no se
produce ninguna accin).
Flujos de trabajo de VLAN de voz

La configuracin predeterminada del switch en VLAN de voz automtica,
Smartport automtico, CDP y LLDP cubre la mayora de los escenarios comunes
de implementacin de voz. Esta seleccin describe cmo implementar VLAN de
voz cuando no se aplica la configuracin predeterminada.
Flujo de trabajo 1: Para configurar la VLAN de voz automtica:

PASO 1 Abra la pgina Administracin de VLAN > VLAN de voz > Propiedades.
PASO 2 Seleccione el ID de VLAN de voz. No se puede establecer en ID de VLAN 1 (no se
requiere este paso para la VLAN de voz dinmica).

PASO 3 Establezca VLAN de voz dinmica para Habilitar VLAN de voz automtica.
PASO 4 Seleccione el mtodo Activacin de VLAN de voz automtica.
NOTA Si el dispositivo se encuentra actualmente en modo OUI para
telefona, debe deshabilitarlo antes de configurar la VLAN de voz

automtica.
PASO 6 Configure los smartports tal como se describe en la seccin Tareas comunes de
Smartport.
PASO 7 Configure LLDP/CDP tal como se describe en las secciones Configuracin de
LLDP y Configuracin de CDP, respectivamente.

PASO 8 Habilite la funcin Smartport en los puertos correspondientes a travs de la
pgina Configuracin de interfaz >de Smartport.
240
13
NOTA Los pasos 7 y 8 son opcionales, pues estn habilitados por opcin
predeterminada.
Flujo de trabajo 2: Para configurar el mtodo OUI para telefona:

PASO 1 Abra la pgina Administracin de VLAN > VLAN de voz > Propiedades.
Establezca VLAN de voz dinmica para Habilitar OUI para telefona.

NOTA Si el dispositivo se encuentra actualmente en modo VLAN de voz
automtica, debe deshabilitarlo antes de configurar OUI para telefona.

PASO 2 Configure OUI para telefona en la pgina OUI para telefona.
PASO 3 Configure la afiliacin de VLAN de OUI para telefona para los puertos en la pgina
Interfaz de OUI para telefona.
Configuracin de VLAN de voz

Esta seccin describe cmo configurar la VLAN de voz. Abarca los siguientes
temas:
Configuracin de las propiedades de VLAN de voz
Visualizacin de la Configuracin de VLAN de voz automtica
Configuracin del OUI para telefona
Configuracin de las propiedades de VLAN de voz

Use la pgina Propiedades de VLAN de voz para realizar las siguientes acciones:
Ver de qu manera est configurada actualmente la VLAN de voz.
Configurar el ID de VLAN de la VLAN de voz.
Establecer la configuracin de QoS de VLAN de voz.
Configurar el modo VLAN de voz (OUI para telefona o VLAN de voz

automtica).
Configurar de qu manera se activa la VLAN de voz automtica.
241
13
Para ver y configurar las propiedades de VLAN de voz:

PASO 1 Haga clic en Administracin de VLAN > VLAN de voz > Propiedades. Se muestra
la pgina Propiedades.
La configuracin de la VLAN de voz establecida en el switch se muestra en

el bloque Configuracin de VLAN de voz (estado administrativo).
La configuracin de VLAN de voz que en realidad se aplica a la

implementacin de VLAN de voz se muestra en el bloque Configuracin de
VLAN de voz (estado operativo).
ID de VLAN de voz: ingrese la VLAN que ser la VLAN de voz.

NOTA Los cambios realizados en el ID de VLAN de voz, CoS/802.1p y DSCP
harn que el switch anuncie la VLAN de voz administrativa como una VLAN
de voz esttica. Si se selecciona la opcin Activacin de VLAN de voz
automtica activada por la VLAN de voz externa, deben mantenerse los
valores predeterminados.
CoS/802.1p: seleccione un valor CoS/802.1p que LLDP-MED utilizar como

poltica de red de voz. Consulte Administracin > Deteccin > LLDP >
Poltica de red LLDP MED para obtener informacin adicional.
DSCP: seleccin de valores DSCP que LLDP-MED utilizar como poltica de

red de voz. Consulte Administracin > Deteccin > LLDP > Poltica de red
LLDP MED para obtener informacin adicional.
VLAN de voz dinmica: seleccione este campo para deshabilitar la funcin

de VLAN de voz de una de las siguientes maneras:
-
Habilitar VLAN de voz automtica: habilite la VLAN de voz dinmica en

modo VLAN de voz automtica.
Habilitar OUI para telefona: habilite VLAN de voz dinmica en modo OUI
para telefona.
Deshabilitar : deshabilite VLAN de voz automtica o OUI para telefona.
Activacin de VLAN de voz automtica: si se habilit VLAN de voz

automtica, seleccione una de las siguientes opciones para activar VLAN de
voz automtica:
-
Inmediato: se activa la VLAN de voz automtica en el switch y se pone en

funcionamiento de inmediato, si est habilitada la opcin.
242
13
Por activador externo de VLAN de voz: se activa la VLAN de voz

automtica en el switch y solo se pone en funcionamiento si el switch
detecta un dispositivo que anuncia la VLAN de voz.
NOTA La reconfiguracin manual del ID de VLAN de voz, CoS/802.1p o
DSCP a partir de los valores predeterminados provoca una VLAN de voz

esttica que tiene una prioridad ms alta que la VLAN de voz automtica que
se aprendi de fuentes externas.
PASO 3 Haga clic en Aplicar. Las propiedades de VLAN se escriben en el archivo
Visualizacin de la Configuracin de VLAN de voz automtica

Si est habilitado el modo VLAN de voz automtica, utilice la pgina VLAN de voz
automtica para ver los parmetros de interfaz y globales correspondientes.
Tambin puede usar esta pgina para reiniciar manualmente la VLAN de voz
automtica al hacer clic en Reiniciar VLAN de voz automtica. Luego de una
breve demora, se restablece la VLAN de voz a la VLAN de voz predeterminada y
se reinicia la deteccin de VLAN de voz automtica y el proceso de sincronizacin
en todos los switches de la LAN que tienen habilitada la VLAN de voz automtica.
NOTA Esto solamente permite restablecer la VLAN de voz a la VLAN de voz
predeterminada si el Tipo de fuente se encuentra en estado Inactivo.

Para ver los parmetros de la VLAN de voz automtica:
PASO 1 Haga clic en Administracin de VLAN > VLAN de voz > VLAN de voz
automtica. Se muestra la pgina VLAN de voz automtica.

El bloque de estado de funcionamiento de esta pgina muestra informacin sobre
la VLAN de voz actual y su fuente:
Estado de VLAN voz automtica: muestra si VLAN de voz automtica est

habilitada.
ID de VLAN de voz: el identificador de la VLAN de voz actual
Tipo de fuente: muestra el tipo de fuente donde el switch raz detecta la

VLAN de voz.
CoS/802.1p: muestra valores CoS/802.1p que LLDP-MED utilizar como

poltica de red de voz.
243
13
DSCP: muestra los valores DSCP que LLDP-MED utilizar como poltica de
red de voz.
Direccin MAC del conmutador de la raz: la direccin MAC del dispositivo

raz de VLAN de voz automtica que detecta o se configura con la VLAN de
voz desde la cual se aprendi la VLAN de voz.
Direccin MAC del conmutador: la direccin MAC base del conmutador. Si

la direccin MAC del conmutador del dispositivo es la direccin MAC del
conmutador de la raz, el dispositivo es el dispositivo raz de VLAN
automtica.
Hora de cambio de Id. de VLAN de voz: ltima vez que se actualiz la VLAN
de voz.
PASO 2 Haga clic en Reiniciar VLAN de voz automtica para restablecer la VLAN a la
VLAN de voz predeterminada y reiniciar la deteccin de la VLAN de voz

automtica en todos los switches habilitados para VLAN de voz automtica en la
LAN.
La Tabla local de VLAN de voz muestra la VLAN de voz configurada en el switch, y
cualquier configuracin de VLAN de voz que anuncien los dispositivos vecinos
conectados directamente. Muestra los siguientes campos:
Interfaz: muestra la interfaz en la cual se recibi y se configur la

configuracin de VLAN de voz. Si se ve N/D, significa que la configuracin
se realiz en el mismo switch. Si se muestra una interfaz, significa que se
recibi una configuracin de voz desde un vecino.
Direccin MAC de origen: direccin MAC de una UC desde la cual se

recibi la configuracin de voz.
Tipo de fuente: tipo de UC desde la cual se recibi la configuracin de voz.

-
Predeterminada: configuracin predeterminada de VLAN de voz en el

switch.
Esttica: configuracin de VLAN de voz definida por el usuario en el

switch.
CDP: el UC que anunci la configuracin de VLAN de voz ejecuta el CDP.
LLDP: el UC que anunci la configuracin de VLAN de voz ejecuta el

LLDP.
ID de VLAN de voz: el identificador de la VLAN de voz anunciada o

configurada.
244
13
ID de VLAN de voz: el identificador de la VLAN de voz actual.
CoS/802.1p: valores CoS/802.1p anunciados o configurados, que LLDPMED utiliza como poltica de red de voz.
DSCP: valores DSCP configurados o anunciados, que LLDP-MED utiliza

como poltica de red de voz.
Mejor fuente local: muestra si el switch utiliz esta VLAN de voz. Las
opciones disponibles son las siguientes:
-
S: el switch utiliza esta VLAN de voz para sincronizarse con otros

switches habilitados para VLAN de voz automtica. Esta VLAN de voz es
la VLAN de voz de la red a menos que se detecte una VLAN de voz de
una fuente de prioridad ms alta. La fuente local ptima es una sola.
No: esta no es la fuente local ptima.
PASO 3 Haga clic en Actualizar para actualizar la informacin en la pgina.
Configuracin del OUI para telefona

La autoridad de registro Electrical and Electronics Engineers, Incorporated (IEEE)
asigna los Identificadores nicos organizadores (OUI). Debido a que la cantidad de
fabricantes de telfonos IP es limitada y conocida, los valores de OUI conocidos
hacen que las tramas relevantes, y el puerto en el que se ven, se asignen
automticamente a la VLAN de voz.
La tabla Global de OUI puede contener hasta 128 OUI.
Aadidura de OUI a la Tabla de OUI para telefona
Aadidura de interfaces a VLAN de voz en base a OUI
Adicin de OUI a la Tabla de OUI para telefona

Use la pgina OUI para telefona para configurar las propiedades de QoS de OUI
para telefona. Adems se puede configurar el tiempo de desactualizacin
automtica de la afiliacin. Si transcurre el perodo de tiempo especificado sin
que se produzca actividad de telefona, el puerto se elimina de la VLAN de voz.
Use la pgina OUI para telefona para ver los OUI existentes y aadir nuevos OUI.
245
13
Para configurar OUI para telefona y aadir una nueva OUI de VLAN de voz:
PASO 1 Haga clic en Administracin de VLAN > VLAN de voz > OUI para telefona. Se
muestra la pgina OUI para telefona.

En la pgina OUI para telefona se muestran los siguientes campos:
Estado operativo de OUI para telefona: muestra si se utilizan los OUI para
identificar el trfico de voz.
CoS/802.1p: seleccione la cola de CoS que se asignar al trfico de voz.
Observacin CoS/802.1p: seleccione si desea remarcar el trfico de

egreso.
Tiempo de desactualizacin autom. de membresa: ingrese la demora de

tiempo para eliminar un puerto de la VLAN de voz despus de que todas las
direcciones MAC detectadas en los puertos caducaron.
PASO 2 Haga clic en Aplicar para actualizar la configuracin en ejecucin del switch con
estos valores.
Se muestra la Tabla de OUI para telefona:
OUI para telefona: los primeros seis dgitos de la direccin MAC que se
reservan para los OUI.
Descripcin: descripcin de OUI asignada por el usuario.
PASO 3 Haga clic en Restablecer OUI predeterminados para eliminar todos los OUI
creados por el usuario y dejar solo los OUI predeterminados en la tabla.

Para eliminar todos los OUI, seleccione la casilla de verificacin superior. Todos
los OUI se seleccionan y se pueden eliminar si hace clic en Eliminar. Si luego hace
clic en Restablecer, el sistema recupera los OUI conocidos.
PASO 4 Para aadir una nueva OUI, haga clic en Aadir. Se muestra la pgina Aadir OUI
para telefona.
OUI para telefona: ingrese un OUI nuevo.
Descripcin: ingrese un nombre de OUI.
PASO 6 Haga clic en Aplicar. Se agrega el OUI a la Tabla de OUI para telefona.
246
13
Adicin de interfaces a VLAN de voz en base a OUI

Los atributos de la QoS se pueden asignar por puerto a los paquetes de voz en
uno de los siguientes modos:
Todo: los valores de Calidad de servicio (QoS) configurados para la VLAN de

voz se aplican a todas las tramas entrantes que se reciben en la interfaz y se
clasifican para la VLAN de voz.
Direccin MAC de la fuente de telefona (SRC): los valores de QoS

configurados para la VLAN de voz se aplican a cualquier trama entrante que
se clasifica para la VLAN de voz y contiene un OUI en la direccin MAC de
fuente que coincide con un OUI para telefona configurado.
Use la pgina Interfaz de OUI para telefona para aadir una interfaz a la VLAN
de voz segn el identificador de OUI y para configurar el modo OUI QoS de VLAN
de voz.
Para configurar OUI para telefona en una interfaz:
PASO 1 Haga clic en Administracin de VLAN > VLAN de voz > Interfaz de OUI para
telefona. Se muestra la pgina Interfaz de OUI para telefona.

La pgina Interfaz de OUI para telefona muestra los parmetros OUI de la VLAN
de voz para todas las interfaces.
PASO 2 Para configurar que una interfaz sea un puerto candidato de la VLAN de voz
basada en OUI para telefona, haga clic en Editar. Se muestra la pgina Editar
Interfaz: seleccione una interfaz.
Afiliacin a una VLAN de OUI para telefona: si esta opcin est habilitada,
la interfaz es un puerto candidato de la VLAN de voz basada en OUI para
telefona. Cuando se reciben paquetes que coinciden con uno de los OUI
para telefona configurados, se agrega el puerto a la VLAN de voz.
Modo QoS VLAN de voz: seleccione una de las siguientes opciones:

-
Todo: se aplican atributos QoS a todos los paquetes que se clasifican

para la VLAN de voz.
Direccin MAC de la fuente de telefona: los atributos QoS solo se

aplican a paquetes de telfonos IP.
PASO 4 Haga clic en Aplicar. Se aade el OUI.
247
13

Las VLAN de TV multidifusin habilitan transmisiones de multidifusin a los
suscriptores que no se encuentren en la misma VLAN de datos (capa 2 aislada),
sin replicar las tramas de transmisin por multidifusin para cada suscriptor de
VLAN.
Los suscriptores, que no se encuentran en la misma VLAN de datos (capa 2
aislada) y estn conectados al switch con una afiliacin con ID de VLAN distinta,
pueden compartir la misma secuencia de multidifusin al unir los puertos al mismo
ID de VLAN multidifusin.
El puerto de red, que est conectado al servidor de multidifusin, est
configurado estticamente como miembro en el ID de VLAN multidifusin.
Los puertos de red, que se comunican a travs de suscriptores con el servidor de
multidifusin (mediante el envo de mensajes IGMP), reciben las secuencias de
multidifusin desde el servidor de multidifusin, a la vez que incluyen la VLAN de
TV multidifusin en el encabezado de paquete de multidifusin. Por estos motivos,
los puertos de red deben estar configurados estticamente como se indica a
continuacin:
Tipo de puerto general o troncal (consulte la seccin Configuracin de los

valores de las interfaces de VLAN)
Miembro en la VLAN de TV multidifusin
Los puertos receptores de suscripciones pueden asociarse con la VLAN de TV

multidifusin solamente si esta se define de una de las dos siguientes maneras:
Puerto de acceso
Puerto cliente (consulte la seccin VLAN de TV de multidifusin de puerto

de cliente)
Se pueden asociar uno o ms grupos de direccin IP multidifusin con la misma

VLAN de TV multidifusin.
Cualquier VLAN puede configurarse como VLAN de TV multidifusin. Un puerto
asignado a una VLAN de TV multidifusin:
Se une a la VLAN de TV multidifusin.
Los paquetes que pasan por los puertos de egreso en la VLAN de TV

multidifusin no tienen etiquetas.
248
13
El parmetro de tipo de trama del puerto est establecido como Admitir

todos y admite, entonces, paquetes sin etiquetas (consulte la seccin
Configuracin de los valores de las interfaces de VLAN).
La configuracin de VLAN de TV multidifusin se define por puerto. Los puertos

cliente estn configurados para ser miembros de las VLAN de TV multidifusin,
para ello se utiliza la pgina VLAN de TV multidifusin.
Indagacin IGMP
VLAN de TV multidifusin se basa en indagacin IGMP, lo cual significa que:
Los suscriptores utilizan mensajes IGMP para unirse o abandonar un grupo

de multidifusin.
El switch realiza la indagacin IGMP y configura el acceso al puerto segn

su afiliacin de multidifusin en la VLAN de TV multidifusin.
Para cada paquete IGMP que llega a un puerto de acceso, el switch decide si lo
asociar con la VLAN de acceso o con la VLAN de TV multidifusin, conforme a
las siguientes reglas:
Si un mensaje IGMP llega a un puerto de acceso con una direccin IP

multidifusin de destino que est asociada a la VLAN de TV multidifusin
del puerto, entonces el software asocia el paquete IGMP a la VLAN de TV
multidifusin.
De lo contrario, el mensaje IGMP se asocia a la VLAN de acceso y solo se

reenviar dentro de esta VLAN.
El mensaje IGMP se descartar si:

-
El estado STP/RSTP en el puerto de acceso es descartar.
El estado de MSTP para la VLAN de acceso es descartar.
El estado de MSTP para la VLAN de TV multidifusin es descartar y el

mensaje IGMP est asociado a esta VLAN de TV multidifusin.
249
13
Diferencias entre VLAN de TV multidifusin y normal

Caractersticas de las VLAN de TV multidifusin y normal
VLAN normal
VLAN de TV multidifusin
Afiliacin a una
VLAN
La fuente y todos los

puertos receptores
deben ser estticos en la
misma VLAN de datos.
La fuente y los puertos

receptores no pueden ser
miembros en la misma VLAN
de datos.
Registro del grupo
Todo el registro del grupo

multidifusin es dinmico.
Los grupos deben asociarse

a la VLAN multidifusin
estticamente, pero el
registro real es dinmico.
Puertos receptores
VLAN puede usarse para

enviar y recibir trfico
(multidifusin y
unidifusin).
VLAN de multidifusin solo

puede usarse para recibir
trfico de las estaciones en
el puerto (solo multidifusin).
Seguridad y
aislamiento
Los receptores de la
misma secuencia de
multidifusin estn en la
misma VLAN de datos y
pueden comunicarse
entre s.
Los receptores de la misma

secuencia de multidifusin
estn en VLAN de acceso
distintas y estn aislados
entre s.
Configuracin
Flujo de trabajo
Configure la VLAN de TV con los dos siguientes pasos:
1. Defina una VLAN de TV mediante la asociacin de un grupo de multidifusin a
una VLAN (use la pgina Grupo multidifusin a VLAN).
2. Especifique los puertos de acceso en cada VLAN multidifusin (use la pgina
Afiliacin de VLAN multidifusin de puerto).
250
13
Grupo TV de multidifusin a VLAN

Para definir la configuracin de la VLAN de TV multidifusin:
PASO 1 Haga clic en Administracin de VLAN > Acceder a VLAN de TV multidifusin de
puerto > Grupo multidifusin a VLAN. Se muestra la pgina Grupo multidifusin a
VLAN.
Grupo multidifusin: direccin IP del grupo multidifusin.
VLAN de TV multidifusin: VLAN a la cual se asignan los paquetes de

multidifusin.
PASO 2 Haga clic en Aadir para asociar un grupo multidifusin a la VLAN. Puede
seleccionar cualquier VLAN. Cuando se selecciona una VLAN, se convierte en una

VLAN de TV multidifusin.
PASO 3 Haga clic en Aplicar. La configuracin de la VLAN de TV multidifusin se modifica
y se escribe en el archivo Configuracin en ejecucin.
Afiliacin VLAN de multidifusin de puerto

Para definir la configuracin de la VLAN de TV multidifusin:
PASO 1 Haga clic en Administracin de VLAN > Acceder a VLAN de TV multidifusin de
puerto > Afiliacin a puerto multidifusin VLAN. Se muestra la pgina Afiliacin a
puerto multidifusin VLAN.

PASO 2 Seleccione una VLAN del campo VLAN de TV multidifusin.
PASO 3 La lista Puertos candidatos de acceso contiene todos los puertos de acceso
configurados en el dispositivo. Mueva los campos requeridos desde el campo

Puertos de acceso candidatos al campo Puertos de acceso miembros.
PASO 4 Haga clic en Aplicar. La configuracin de la VLAN de TV multidifusin se modifica
y se escribe en el archivo Configuracin en ejecucin.
251
13

Un servicio triple que proporciona tres servicios de banda ancha mediante una
nica conexin de banda ancha:
Acceso de alta velocidad a Internet
Video
Voz
Este servicio triple se presenta para suscriptores prestadores del servicio, al

mismo tiempo que mantiene el aislamiento de capa 2 entre ellos.
Cada suscriptor posee una caja CPE MUX. El MUX tiene puertos de acceso
mltiple que estn conectados a los dispositivos del suscriptor (computadora,
telfono, etctera) y un puerto de red que est conectado al switch de acceso.
La caja reenva los paquetes desde el puerto de red hacia los dispositivos del
suscriptor segn la etiqueta VLAN del paquete. Cada VLAN se asigna a uno de los
puertos de acceso del MUX.
Los paquetes de los suscriptores para la red prestadora del servicio se reenvan
como tramas VLAN etiquetadas, para poder distinguir los tipos de servicio, es
decir, que para cada tipo de servicio existe un ID de VLAN nico en la caja de CPE.
Todos los paquetes del suscriptor a la red prestadora de servicio estn
encapsulados por el switch de acceso con la VLAN del suscriptor configurada
como cliente VLAN (etiqueta exterior o S-VID), excepto para los mensajes de
indagacin IGMP de los receptores de TV, que estn asociados con la VLAN de
TV multidifusin. La informacin de VOD que tambin se enva desde los
receptores de TV se enva como cualquier otro tipo de trfico.
Los paquetes que recibe el puerto de red del suscriptor desde la red del
prestador de servicios se envan por la red del prestador de servicio como
paquetes con doble etiqueta, mientras que las etiquetas exteriores (etiquetas de
servicio o etiquetas S) representan uno de los dos tipos de VLAN, como se indica
a continuacin:
VLAN del suscriptor (incluye Internet y telfonos IP)
VLAN de TV multidifusin
La VLAN interna (Etiqueta C) es la etiqueta que determina el destino en la red del

suscriptor (por el CPE MUX).
252
13
Flujo de trabajo
1. Configure un puerto de acceso como puerto cliente (use la pgina
Administracin de VLAN> Configuracin de interfaz). Para obtener ms
informacin, consulte QinQ.
2. Configure el puerto de red como un puerto troncal o general con suscriptor, y la
VLAN de TV multidifusin como VLAN etiquetadas. (Use la pgina
Administracin de VLAN > Configuracin de interfaz).
3. Cree una VLAN de TV multidifusin con hasta 4094 VLAN distintas. (La creacin
de la VLAN se hace mediante la configuracin regular de la administracin de
VLAN).
4. Asocie el puerto cliente a una VLAN de TV multidifusin, para ello use la pgina
Afiliacin a puerto multidifusin VLAN.
5. Asigne la VLAN CPE (etiqueta C) a la VLAN de TV multidifusin (etiqueta S), para
ello utilice la pgina VLAN CPE a VLAN.
Asignacin de VLAN CPE a VLAN de TV multidifusin

Para habilitar el CPE MUX con las VLAN de los suscriptores, es posible que los
suscriptores requieran diversos prestadores de video y que cada prestador est
asignado a una VLAN externa distinta.
Las VLAN de multidifusin del CPE (internas) deben estar asignadas a las VLAN del
prestador de multidifusin (externo).
Una vez que se ha asignado la VLAN del CPE a una VLAN de multidifusin, puede
participar en la indagacin de IGMP.
Para asignar las VLAN de CPE:
PASO 1 Haga clic en Administracin de VLAN > VLAN de TV multidifusin de puerto
cliente> VLAN de CPE a VLAN. Se muestra la pgina VLAN CPE a VLAN.

PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir asignacin de VLAN de CPE.
VLAN de CPE: ingrese la VLAN definida en la caja del CPE.
VLAN de TV multidifusin: seleccione la VLAN de TV multidifusin que est

asignada a la VLAN del CPE.
253
13
PASO 4 Haga clic en Aplicar. La asignacin de la VLAN del CPE se modifica y se escribe
en el archivo Configuracin en ejecucin.
Afiliacin VLAN de multidifusin de puerto del CPE

Los puertos que estn asociados con las VLAN de multidifusin deben
configurarse como puertos clientes (consulte la seccin Configuracin de los
valores de las interfaces de VLAN).
Utilice la pgina de Afiliacin de VLAN multidifusin de puerto para asignar estos
puertos a las VLAN de TV multidifusin, tal como se describe en la seccin
Afiliacin VLAN de multidifusin de puerto.
254
14
Configuracin del protocolo del rbol de
expansin
Esta seccin describe al Protocolo de rbol de expansin (STP) (IEEE802.1D y

IEEE802.1Q) y abarca los siguientes temas:
Tipos de STP
Definicin de la configuracin de interfaz del rbol de expansin
Establecimiento de la configuracin del rbol de expansin rpido
Tipos de STP
El STP protege al dominio de difusin de capa 2 de las tormentas de difusin, para
ello configura selectivamente los enlaces en modo en espera, para evitar bucles.
En el modo de espera, estos enlaces dejan de transferir datos de usuario
temporalmente. Una vez que se modifica la topologa para posibilitar la
transferencia de datos, los enlaces se reactivan automticamente.
255
Configuracin del protocolo del rbol de expansin
14
Los bucles ocurren cuando existen rutas alternativas entre los hosts. En una red
extendida, los bucles pueden hacer que los switches reenven el trfico
indefinidamente, lo que provoca una mayor carga de trfico y una menor eficiencia
de la red.
STP proporciona una topologa de rbol para cualquier configuracin de switches
y enlaces de interconexin, y crea una ruta nica entre las estaciones de extremo
de una red, con lo que se eliminan los bucles.
El switch admite las siguientes versiones de protocolo del rbol de expansin:
El STP clsico proporciona una sola ruta entre dos estaciones de extremo,
lo que evita y elimina los bucles.
El STP rpido (RSTP) detecta las topologas de red para proporcionar una
convergencia ms rpida del rbol de expansin. Tiene mayor eficacia
cuando la topologa de red tiene una estructura de rbol por naturaleza y,
por lo tanto, es posible que la convergencia sea ms rpida. RSTP est
activado de manera predeterminada.
El STP mltiple (MSTP) est basado en RSTP. Detecta los bucles de capa 2
e intenta mitigarlos al evitar que el puerto involucrado transmita trfico. Dado
que los bucles existen por dominio de capa 2, puede ocurrir una situacin en
la que haya un bucle en la VLAN A y no haya uno en la VLAN B. Si las dos
VLAN estn en el puerto X, y STP desea mitigar el bucle, detiene el trfico
en todo el puerto, incluido el trfico en la VLAN B.
El MSTP soluciona este problema al activar varias instancias de STP, de
modo que sea posible detectar y mitigar los bucles en cada instancia de
manera independiente. Al asociar las instancias con las VLAN, cada
instancia se vincula con el dominio de capa 2 en el que realiza la deteccin
y mitigacin de bucles. Esto permite detener un puerto en una instancia,
como el trfico de la VLAN A que est provocando un bucle, mientras el
trfico puede permanecer activo en otro dominio donde no se detect un
bucle, como en la VLAN B.

La pgina Estado y configuracin global del STP contiene parmetros para
habilitar STP, RSTP o MSTP.
Use la pgina Configuracin de interfaz STP, la pgina Configuracin de interfaz
del RSTP y la pgina Propiedades de MSTP para configurar cada modo,
respectivamente.
256
14
Para establecer la configuracin global y el estado de STP:

PASO 1 Haga clic en rbol de expansin > Estado y configuracin global del STP. Se
muestra la pgina Estado y configuracin global del STP

Configuracin global:
Estado de rbol de expansin: active o desactive STP en el switch.
Modo de operacin del STP: seleccione un modo STP.
Tratamiento de la BPDU: seleccione la forma en que se manejan los

paquetes de unidad de datos del protocolo de puente (BPDU) cuando STP
est desactivado en el puerto o el switch. Las BPDU se utilizan para
transmitir informacin del rbol de expansin.
-
Filtrado: se filtran los paquetes BPDU cuando el rbol de expansin est

desactivado en una interfaz.
Inundacin: se envan los paquetes BPDU en forma masiva cuando el

rbol de expansin est desactivado en una interfaz.
Valores predet. del costo de trayecto: se selecciona el mtodo utilizado

para asignar costos de trayecto predeterminados a los puertos STP. El costo
de trayecto predeterminado asignado a una interfaz vara segn el mtodo
seleccionado.
-
Breve: se especifica el intervalo del 1 al 65535 para los costos de ruta

del puerto.
Prolongado: se especifica el intervalo del 1 al 200000000 para los

costos de ruta del puerto.
Configuracin del puente:
Prioridad: se establece el valor de prioridad del puente. Luego de

intercambiar BPDU, el dispositivo con la menor prioridad se convierte en el
puente raz. En el caso de que todos los puentes usen la misma prioridad,
entonces se utilizan sus direcciones MAC para determinar el puente raz. El
valor de prioridad del puente se proporciona en incrementos de 4096. Por
ejemplo, 4096, 8192, 12288, y as sucesivamente.
Tiempo de saludo: establezca el intervalo (en segundos) que espera un

puente raz entre mensajes de configuracin. El intervalo oscila entre 1 y 10
segundos.
257
14
Tiempo mximo: establezca el intervalo (en segundos) que puede esperar

el switch sin recibir un mensaje de configuracin, antes de intentar redefinir
su propia configuracin.
Retraso de reenvo: establezca el intervalo (en segundos) que un puente

permanece en estado de aprendizaje antes de reenviar paquetes. Para
obtener ms informacin, consulte Definicin de la configuracin de
interfaz del rbol de expansin.
Raz designada:
ID de puente: la prioridad del puente combinada con la direccin MAC del

switch.
ID de puente raz: la prioridad del puente raz combinada con la direccin

MAC del puente raz.
Puerto raz: el puerto que ofrece la ruta de menor costo de este puente al
puente raz. (Esto es relevante cuando el puente no es la raz).
Costo del trayecto raz: el costo del trayecto desde este puente a la raz.
Conteo de cambios de topologa: la cantidad total de cambios de la

topologa de STP que ocurrieron.
ltimo cambio de topologa: el intervalo de tiempo que transcurri desde

el ltimo cambio de topologa. El tiempo se representa en el formato das/
horas/minutos/segundos.
PASO 3 Haga clic en Aplicar. La configuracin global de STP se escribe en el archivo
Definicin de la configuracin de interfaz del rbol de

expansin
En la pgina Configuracin de interfaz STP puede configurar STP por puerto y
ver la informacin que aprendi el protocolo, como el puente designado.
La configuracin definida que se ingresa es vlida para todos los tipos de
protocolo STP.
258
14
Para configurar STP en una interfaz:

PASO 1 Haga clic en rbol de expansin > Configuracin de interfaz STP. Se muestra la
pgina Configuracin de interfaz del STP.

PASO 2 Seleccione una interfaz, y haga clic en Editar. Se muestra la pgina Editar
PASO 3 Ingrese los parmetros
Interfaz: seleccione el puerto o LAG en el que se configura el rbol de

expansin.
STP: se activa o desactiva STP en el puerto.
Puerto de borde: se activa o desactiva Enlace rpido en el puerto. Si el

modo Enlace rpido est activado en un puerto, el puerto se coloca
automticamente en Estado de reenvo cuando el enlace del puerto est
activo. Enlace rpido optimiza la convergencia del protocolo STP. Las
opciones son:
-
Habilitar : se activa Enlace rpido inmediatamente.
Auto: se activa Enlace rpido unos segundos despus de que se activa

la interfaz. Esto permite que STP resuelva los bucles antes de activar
Enlace rpido.
Deshabilitar : se desactiva Enlace rpido.

NOTA Se recomienda configurar el valor en Automtico para que el
switch configure el puerto en modo de enlace rpido en caso que un host

se conecte a l o para que lo configure como un puerto STP normal si se
conecta a otro switch. Esto ayudar a evitar bucles.
Protector de raz: habilita o deshabilita el Protector de raz en el switch. La

opcin de proteccin de raz proporciona una forma de imponer la ubicacin
del puente del router en la red.
La Proteccin de raz garantiza que el puerto en el cual se habilite esta
opcin sea el puerto designado. Por lo general, todos los puertos con
puente raz son puertos designados, a menos que uno o ms puertos del
puente raz estn conectados. Si el puente recibe BPDU superiores en un
puerto con proteccin de raz habilitada, la Proteccin de raz mueve el
puerto a un estado STP de no concordancia con la raz. Este estado de no
concordancia con la raz es el mismo que un estado de escucha. No se
reenva trfico a travs de este puerto. De este modo, el protector de raz
impone la ubicacin del puente raz.
259
14
Proteccin BPDU: habilita o deshabilita la funcin de Proteccin de la

unidad de datos del protocolo puente (BPDU, Bridge Protocol Data Unit) del
puerto.
La proteccin BPDU lo habilita para imponer los lmites del dominio STP y
mantener predecible de la topologa activa. Los dispositivos detrs de los
puertos que tengan habilitada la proteccin BPDU no podrn influenciar la
topologa STP. En el momento de la recepcin de BPDU, la funcin de
proteccin de BPDU inhabilita el puerto que tiene configurado BPDU. En
este caso, se recibir un mensaje de BPDU y se generar una trampa SNMP
adecuada.
Tratamiento de la BPDU: seleccione la forma en que se manejan los

paquetes BPDU (Unidad de datos de protocolo de puente) cuando STP est
desactivado en el puerto o el switch. Las BPDU se utilizan para transmitir
informacin del rbol de expansin.
-
Usar configuracin global: seleccione esta opcin para usar la

configuracin definida en la pgina Estado y configuracin global del
STP.
Filtrado: se filtran los paquetes BPDU cuando el rbol de expansin est

desactivado en una interfaz.
Inundacin: se envan los paquetes BPDU en forma masiva cuando el

rbol de expansin est desactivado en una interfaz.
Costo de trayecto: establezca la contribucin del puerto al costo del

trayecto raz o utilice el costo predeterminado que genera el sistema.
Prioridad: establezca el valor de la prioridad del puerto. El valor de la

prioridad influye en la eleccin del puerto cuando un puente tiene dos
puertos conectados en un bucle. La prioridad es un valor que oscila entre 0
y 240, configurado en incrementos de 16.
Estado del puerto: se muestra el estado actual de STP de un puerto.

-
Deshabilitado: el STP est desactivado en el puerto. El puerto reenva el

trfico mientras aprende direcciones MAC.
Bloqueo: el puerto est bloqueado y no puede reenviar trfico (con la

excepcin de datos de BPDU) ni aprender direcciones MAC.
Escucha: el puerto est en modo de escucha. El puerto no puede reenviar

trfico ni aprender direcciones MAC.
Aprendizaje: el puerto est en modo de aprendizaje. El puerto no puede

reenviar trfico, pero puede aprender nuevas direcciones MAC.
260
14
Reenvo: el puerto est en modo de reenvo. El puerto puede reenviar

trfico y aprender nuevas direcciones MAC.
ID de puente designado: se muestra la prioridad del puente y la direccin

MAC del puente designado.
ID de puerto designado: se muestra la prioridad y la interfaz del puerto

seleccionado.
Costo designado: se muestra el costo del puerto que participa en la

topologa de STP. Los puertos con menor costo tienen menos
probabilidades de ser bloqueados si STP detecta bucles.
Transiciones de reenvo: se muestra el nmero de veces que el puerto

cambi del estado Bloqueo al estado Reenvo.
Velocidad: se muestra la velocidad del puerto.
LAG: se muestra el LAG al que pertenece el puerto. Si un puerto es miembro

de un LAG, la configuracin del LAG invalida la configuracin del puerto.
PASO 4 Haga clic en Aplicar. La configuracin de la interfaz se escribe en el archivo
Establecimiento de la configuracin del rbol de expansin

rpido
El Protocolo de rbol de expansin rpido (RSTP) permite una convergencia del
STP ms rpida, sin tener que crear bucles de reenvo.
En la pgina Configuracin de interfaz del RSTP puede configurar RSTP por
puerto. La configuracin realizada en esta pgina est activa cuando el modo STP
global est configurado en RSTP o MSTP.
Para ingresar la configuracin de RSTP:
muestra la pgina Estado y configuracin global del STP Active RSTP.

PASO 2 Haga clic en rbol de expansin > Configuracin de interfaz de RSTP. Se abre la
pgina Configuracin de interfaz del RSTP :

PASO 3 Seleccione un puerto.
261
14
NOTA La opcin Activar migracin de protocolo solo est disponible luego
de seleccionar el puerto conectado al socio del puente que se est

probando.
PASO 4 Si se detecta un socio de enlace a travs de STP, haga clic en Activar migracin
de protocolo para ejecutar una prueba de migracin de protocolo. Esta detecta si

el socio de enlace que usa STP an existe y, si es as, si migr a RSTP o MSTP. Si
an existe como un enlace STP, el dispositivo contina comunicndose con l a
travs de STP. En caso contrario, si migr a RSTP o MSTP, el dispositivo se
comunica con l a travs de RSTP o MSTP, respectivamente.
configuracin de interfaz RSTP.

PASO 6 Ingrese los parmetros
Interfaz: establezca la interfaz y especifique el puerto o el LAG donde se

configurar RSTP.
Estado administrativo punto a punto: defina el estado del enlace punto a

punto. Los puertos definidos como dplex completos se consideran enlaces
de puerto punto a punto.
-
Habilitar : este puerto es un puerto de borde RSTP cuando esta funcin

est activada y lo lleva al modo de reenvo rpidamente (en general, en
menos de 2 segundos).
Deshabilitar : este puerto no se considera punto a punto para RSTP, lo que

significa que STP funciona en l a velocidad normal, en vez de a
velocidad rpida.
Auto: determina automticamente el estado del switch a travs de BPDU

de RSTP.
Estado operativo punto a punto: muestra el estado operativo punto a punto

si la opcin Estado administrativo punto a punto est configurada en Auto.
Rol: muestra el rol del puerto que STP asign para proporcionar trayectos
STP. Los roles posibles son:
-
Raz: trayecto de menor costo para reenviar paquetes al puente raz.
Designado: la interfaz a travs de la que el puente est conectado a la

LAN, que proporciona el trayecto de menor costo desde la LAN hasta el
puente raz.
Alternativo: proporciona un trayecto alternativo al puente raz desde la

interfaz raz.
262
14
De respaldo: proporciona un trayecto de respaldo para el trayecto del

puerto designado hacia las hojas del rbol de expansin. Esto provee una
configuracin en la cual dos puertos estn conectados en un bucle a
travs de un enlace punto a punto. Los puertos de respaldo tambin se
usan cuando una LAN tiene dos o ms conexiones establecidas con un
segmento compartido.
Deshabilitado: el puerto no participa en el rbol de expansin.
Modo: se muestra el modo actual del rbol de expansin: STP o STP clsico.
Estado operativo de enlace rpido: se muestra si el Enlace rpido (puerto

de borde) est habilitado, deshabilitado o en modo automtico para la
interfaz. Los valores son:
-
Habilitado: enlace rpido est activado.
Deshabilitado: enlace rpido est desactivado.
Auto: se activa el modo Enlace rpido unos segundos despus de que se

activa la interfaz.
Estado de puerto: se muestra el estado RSTP en el puerto especfico.

-
Deshabilitado: el STP est desactivado en el puerto.
Bloqueo: el puerto est bloqueado y no puede reenviar trfico ni

aprender direcciones MAC.
Escucha: el puerto est en modo de escucha. El puerto no puede reenviar

trfico ni aprender direcciones MAC.
Aprendizaje: el puerto est en modo de aprendizaje. El puerto no puede

reenviar trfico, pero puede aprender nuevas direcciones MAC.
Reenvo: el puerto est en modo de reenvo. El puerto puede reenviar

trfico y aprender nuevas direcciones MAC.
263
14

El Protocolo de rbol de expansin mltiple (MSTP) se usa para separar el estado
del puerto STP en diversos dominios (en distintas VLAN). Por ejemplo, mientras el
puerto A est bloqueado en una instancia de STP debido a un bucle en la VLAN A,
el mismo puerto puede colocarse en estado de reenvo en otra instancia de STP.
La pgina Propiedades de MSTP le permite definir la configuracin global de
MSTP.
Para configurar MSTP:
1. Establezca el modo de operacin de STP en MSTP, tal como se describe en la
pgina Establecimiento del estado y configuracin global del STP.
2. Defina las instancias de MSTP. Cada instancia de MSTP calcula y crea una
topologa libre de bucles para enviar los paquetes a travs del puente desde las
VLAN asignadas a la instancia. Consulte la seccin Asignacin de VLAN a una
instancia de MSTP.
3. Decida qu instancia de MSTP estar activa en qu VLAN y asocie esas
instancias de MSTP a las VLAN como corresponda.
4. Configure los atributos de MSTP a travs de:

El MSTP global configura un rbol de expansin independiente para cada grupo
de VLAN y bloquea todas las rutas alternativas posibles a excepcin de una
dentro de cada rbol de expansin. El MSTP permite formar regiones de MST que
pueden ejecutar varias instancias de MST (MSTI). Varias regiones y otros puentes
STP se interconectan a travs de un solo rbol de expansin comn (CST).
El MSTP es totalmente compatible con los puentes RSTP, en el sentido de que una
BPDU MSTP puede ser interpretada por un puente RSTP como una BPDU RSTP.
Esto no solo permite la compatibilidad con los puentes RSTP sin cambios de
configuracin, sino que tambin hace que los puentes RSTP fuera de una regin
MSTP vean la regin como un solo puente RSTP, independientemente de la
cantidad de puentes MSTP dentro de la regin en s.
264
14
Para que haya uno o ms switches en la misma regin de MST, deben tener la
misma asignacin de VLAN a instancia de MST, el mismo nmero de revisin de
configuracin y el mismo nombre de regin.
A los switches que deben estar en la misma regin de MST nunca los separan
switches de otra regin de MST. Si se los separa, la regin se convierte en dos
regiones independientes.
Esta asignacin se puede realizar en la pgina VLAN a instancia de MST.
Utilice esta pgina si el sistema opera en modo MSTP.
Para definir MSTP:
muestra la pgina Estado y configuracin global del STP Active MSTP.

PASO 2 Haga clic en rbol de expansin > Propiedades de MSTP. Se muestra la pgina
Propiedades de MSTP.
Nombre de regin: defina el nombre de una regin MSTP.
Revisin: defina un nmero de 16 bits sin firmar que identifique la revisin de

la configuracin de MST actual. El intervalo del campo oscila entre 0 y
65535.
Saltos mx.: establezca el total de saltos que ocurren en una regin

especfica antes de descartar la BPDU. Una vez que se descarta la BPDU, la
informacin del puerto caduca. El intervalo del campo oscila entre 1 y 40.
Maestro de IST: se muestra el maestro de la regin.
PASO 4 Haga clic en Aplicar. Se definen las propiedades de MSTP y se actualiza el
265
14

En la pgina Asignacin de VLAN a instancia MSTP puede asignar cada VLAN a
una instancia de rbol de expansin mltiple (MSTI). Para que los dispositivos
estn en la misma regin, deben tener la misma asignacin de VLAN a MSTI.
NOTA La misma MSTI puede asignarse a ms de una VLAN, pero cada VLAN solo puede
tener una instancia de MST vinculada.

La configuracin en esta pgina (y todas las pginas de MSTP) se aplica si el
modo STP del sistema es MSTP.
En los switches 500 Series se pueden definir hasta 16 instancias de MST, adems
de la instancia cero.
Para aquellas VLAN que no se asignen explcitamente a una de las instancias de
MST, el switch las asigna automticamente al CIST (rbol de expansin interno y
comn). La instancia de CIST es la instancia de MST 0.
Para asignar VLANS a instancias de MST:
PASO 1 Haga clic en rbol de expansin > Asignacin de VLAN a instancia MSTP. Se
muestra la pgina VLAN a instancia de MSTP .

En la pgina VLAN a instancia de MST aparecen los siguientes campos:
ID de instancias de MSTP: se muestran todas las instancias de MSTP.
VLAN: se muestran todas las VLAN que pertenecen a la instancia de MST.
PASO 2 Para agregar una VLAN a una instancia de MSTP, seleccione la instancia de MST y
haga clic en Editar. Se muestra la pgina Editar VLAN a instancia MST.

ID de instancias de MST: seleccione la instancia de MST.
VLAN: defina las VLAN que se asignan a esta instancia de MST.
Accin: defina si desea aadir (asignar) (Aadir) la VLAN a la instancia de

MST o eliminarla (Eliminar).
PASO 4 Haga clic en Aplicar. Se definen las asignaciones de VLAN de MSTP y se actualiza
el archivo Configuracin en ejecucin.
266
14

En la pgina Configuracin de instancia MSTP puede configurar y ver los
parmetros por instancia de MST. Este es el equivalente por instancia del
Establecimiento del estado y configuracin global del STP.
Para ingresar la configuracin de la instancia de MSTP:
PASO 1 Haga clic en rbol de expansin > Configuracin de Instancias de MSTP. Se
muestra la pgina Configuracin de instancia MSTP .

ID de instancia: seleccione una instancia de MST para ver y definir.
VLAN incluida: se muestran las VLAN asignadas a la instancia seleccionada.

La asignacin predeterminada es que todas las VLAN se asignan a la
instancia del rbol de expansin interno y comn (CIST) (instancia 0).
Prioridad de puente: establezca la prioridad de este puente para la

instancia de MST seleccionada.
ID de puente de raz designado: se muestra la prioridad y la direccin MAC

del puente raz para la instancia de MST.
Puerto de raz: se muestra el puerto raz de la instancia seleccionada.
Costo de ruta a raz: se muestra el costo del trayecto de la instancia

seleccionada.
ID de puente: se muestra la prioridad del puente y la direccin MAC de este

switch para la instancia seleccionada.
Saltos restantes: se muestra el nmero de saltos que faltan hasta el

prximo destino.
PASO 3 Haga clic en Aplicar. Se define la configuracin de la instancia de MST y se
actualiza el archivo Configuracin en ejecucin.
267
14

En la pgina Configuracin de interfaz de la MSTP puede establecer la
configuracin de MSTP de los puertos para cada instancia de MST y ver la
informacin que el protocolo aprendi actualmente, como el puente designado
por instancia de MST.
Para configurar los puertos en una instancia de MST:
PASO 1 Haga clic en rbol de expansin > Configuracin de interfaz de MSTP. Se
muestra la pgina Configuracin de interfaz MSTP.

Instancia es igual a: seleccione la instancia de MSTP que desea configurar.
Tipo de interfaz es igual a: seleccione si desea ver la lista de puertos o LAG.
PASO 3 Haga clic en Ir. Se muestran los parmetros de MSTP para las interfaces en la
instancia.
configuracin de interfaz MSTP.

ID de instancia: seleccione la instancia de MST que desea configurar.
Interfaz: seleccione la interfaz para la que desea definir la configuracin de

la MSTI.
Prioridad de interfaz: establezca la prioridad del puerto para la interfaz

especificada y la instancia de MST.
Costo de ruta: establezca la contribucin del puerto al costo del trayecto

raz o utilice el valor predeterminado.
Estado de puerto: se muestra el estado de MSTP del puerto especfico en

una instancia de MST especfica. Los parmetros se definen como:
-
Desactivado: STP est desactivado.
Bloqueo: el puerto en esta instancia est bloqueado y no puede reenviar

trfico (con la excepcin de datos BPDU) ni aprender direcciones MAC.
Escucha: el puerto en esta instancia est en modo de escucha. El puerto

no puede reenviar trfico ni aprender direcciones MAC.
268
14
Aprendizaje: el puerto en esta instancia est en modo de aprendizaje. El

puerto no puede reenviar trfico, pero puede aprender nuevas
direcciones MAC.
Reenvo: el puerto en esta instancia est en modo de reenvo. El puerto

puede reenviar trfico y aprender nuevas direcciones MAC.
Lmite: el puerto en esta instancia es un puerto lmite. Hereda el estado a

partir de la instancia 0 y puede visualizarse en la pgina Configuracin de
interfaz STP.
Rol de puerto: se muestra el rol del puerto o el LAG, por puerto o LAG por
instancia, que asign el algoritmo MSTP para proporcionar rutas STP:
-
Raz: el reenvo de paquetes a travs de esta interfaz proporciona la ruta

de menor costo para reenviar paquetes al dispositivo raz.
Designada: la interfaz a travs de la que el puente est conectado a la

LAN, que proporciona el menor costo del trayecto raz desde la LAN
hasta el puente raz para la instancia de MST.
Alternativa: la interfaz proporciona una ruta alternativa al dispositivo raz

desde la interfaz raz.
Respaldo: la interfaz proporciona una ruta de respaldo para la ruta del

puerto designado hacia las hojas del rbol de expansin. Los puertos de
respaldo tienen lugar cuando dos puertos estn conectados en un bucle
a travs de un enlace punto a punto. Tambin existen cuando una LAN
tiene dos o ms conexiones establecidas con un segmento compartido.
Desactivado: la interfaz no participa en el rbol de expansin.
Lmite: el puerto en esta instancia es un puerto lmite. Hereda el estado a

partir de la instancia 0 y puede visualizarse en la pgina Configuracin de
interfaz STP.
Modo: se muestra el modo actual del rbol de expansin.

-
STP clsico: se activa STP clsico en el puerto.
STP rpido: se activa STP rpido en el puerto.
MSTP: se activa MSTP en el puerto.
Tipo: se muestra el tipo de MST del puerto.
269
14
Puerto lmite: un puerto lmite vincula puentes de MST a una LAN en una
regin remota. Si el puerto es un puerto lmite, tambin indica si el
dispositivo en el otro lado del enlace est funcionando en modo RSTP o
STP.
Interno: el puerto es interno.
ID del puente designado: se muestra el nmero de ID del puente que

conecta el enlace o la LAN compartida con la raz.
ID del puerto designado: se muestra el nmero de ID del puerto en el

puente designado que conecta el enlace o la LAN compartida con la raz.
Costo designado: se muestra el costo del puerto que participa en la

topologa de STP. Los puertos con menor costo tienen menos
probabilidades de ser bloqueados si STP detecta bucles.
Saltos restantes: se muestran los saltos que faltan hasta el prximo destino.
Transiciones de reenvo: se muestra el nmero de veces que el puerto

cambi del estado de reenvo al estado de bloqueo.
270
15
Administracin de tablas de direcciones MAC
Esta seccin describe cmo aadir direcciones MAC al sistema. Abarca los
siguientes temas:
Tipos de direcciones MAC

Existen dos tipos de direcciones MAC: esttica y dinmica. Segn el tipo, las
direcciones MAC se almacenan en la tabla de Direcciones estticas o en la tabla
de Direcciones dinmicas, junto con la informacin de puertos y VLAN.
El usuario es quien configura las direcciones estticas; por lo tanto, no caducan.
Una direccin MAC de origen nuevo que aparezca en la trama de llegada al switch
se incorporar a la tabla de Direccin dinmica. Esta direccin MAC se retendr
para un perodo de tiempo configurable. Si otra trama con la misma direccin
MAC de origen no llega al switch antes de que caduque ese tiempo, la entrada
MAC se elimina (caduca) de la tabla.
Cuando una trama llega al switch, el switch busca una direccin MAC de destino
que coincida o se corresponda con una entrada de la tabla esttica o dinmica. Si
se encuentra una coincidencia, la trama se marca para salir por un puerto
especfico de la tabla. Si las tramas se envan a una direccin MAC que no se
encuentra en las tablas, se transmiten/difunden a todos los puertos de la VLAN
relevante. Tales tramas se conocen como tramas de unidifusin desconocidas.
El switch admite un mximo de 8,000 direcciones MAC estticas y dinmicas.
271
15

Las direcciones MAC se asignan a una VLAN e interfaz fsica especficas del
switch. Si esta direccin se detectara en otra interfaz, se ignorar y no se escribir
en la tabla de direcciones.
Para definir una direccin esttica:
PASO 1 Haga clic en Tablas de direcciones MAC > Direcciones estticas. Se abre la
pgina Direcciones estticas.

La pgina Direcciones estticas muestra las direcciones estticas definidas.
PASO 2 Haga clic en Aadir. Se abre la pgina Aadir direccin esttica.
ID de VLAN: seleccione el ID de la VLAN para el puerto.
Direccin MAC: ingrese la direccin MAC de interfaz.
Interfaz: seleccione una interfaz (unidad/ranura, puerto o LAG) para la

entrada.
Estado: seleccione cmo tratar la entrada. Las opciones son:

-
Permanente: el sistema nunca elimina esta direccin MAC. Si la direccin

MAC esttica se guarda en la direccin de inicio, se conservar luego del
reinicio.
Eliminar o restablecer: se elimina la direccin MAC esttica cuando se

restablece el dispositivo.
Eliminar en tiempo de espera: la direccin MAC se elimina cuando

caduca.
Seguro: la direccin MAC es segura cuando la interfaz est en el modo

de bloqueo clsico (consulte la seccin Configuracin de la seguridad
de puertos).
PASO 4 Haga clic en Aplicar. Aparece una nueva entrada en la tabla.
272
15

La tabla de Direcciones dinmicas (tabla de conexin en puente) contiene las
direcciones MAC adquiridas mediante el monitoreo de las direcciones de origen
del trfico que ingresa al switch.
Para evitar que esta tabla se desborde y hacer espacio para nuevas direcciones
MAC, se borrar una direccin si no recibe trfico correspondiente durante cierto
perodo. Este perodo es el intervalo de desactualizacin.
Configuracin del tiempo de desactualizacin de direcciones

MAC dinmicas
Para configurar el intervalo de desactualizacin para direcciones dinmicas:
PASO 1 Haga clic en Tablas de direcciones MAC > Configuracin de direcciones
dinmicas. Se abre la pgina Configuracin de direcciones dinmicas.

PASO 2 Ingrese el Tiempo de desactualizacin. El tiempo de desactualizacin es un valor
entre el valor configurado por el usuario y dos veces ese valor menos 1. Por
ejemplo, si ingres 300 segundos, el tiempo de desactualizacin es entre 300 y
599 segundos.
PASO 3 Haga clic en Aplicar. Se actualiza el tiempo de desactualizacin.
Consulta a direcciones dinmicas

Para consultar por direcciones dinmicas:
PASO 1 Haga clic en Tablas de direcciones MAC > Direcciones dinmicas. Se abre la
pgina Direcciones dinmicas.

PASO 2 En el bloque Filtro, puede ingresar los siguientes criterios de consulta:
ID de VLAN: ingrese el ID de VLAN para el que se consulta la tabla.
Direccin MAC: ingrese la direccin MAC para la que se consulta la tabla.
Interfaz: seleccione la interfaz para la que se consulta la tabla. La consulta

puede buscar unidades/ranuras, LAG o puertos especficos.
273
15
PASO 3 Ingrese el campo Clave de clasificacin de tabla de direcciones dinmicas por el
que se clasifica la tabla. La tabla de direcciones se puede clasificar por ID de

VLAN, direccin MAC o interfaz.
PASO 4 Haga clic en Ir. Se consulta la tabla de direcciones MAC dinmicas y se muestran
los resultados.
Para eliminar todas las direcciones MAC dinmicas, haga clic en Borrar tabla.

Cuando el switch recibe una trama con una direccin MAC de destino que
pertenece a un intervalo reservado (por estndar de IEEE), la trama puede
descartarse o interligarse. La entrada en la Tabla para direcciones MAC
reservadas puede especificar la direccin MAC reservada o la direccin MAC
reservada y el tipo de trama:
Para aadir una entrada para una direccin MAC reservada:
PASO 1 Haga clic en Tablas de direcciones MAC > Direcciones MAC reservadas. Se abre
la pgina Direcciones MAC reservadas.

PASO 2 Haga clic en Aadir. Se abre la pgina Aadir direccin de MAC reservada.
Direccin MAC: seleccione la direccin MAC para reservar.
Tipo de trama: seleccione el tipo de trama segn los siguientes criterios:

-
Ethernet V2: se aplica a los paquetes Ethernet V2 con la direccin MAC

especfica.
LLC : se aplica a paquetes de Logical Link Control (LLC, control de enlace

lgico) con una direccin MAC especfica.
LLC-SNAP: se aplica a paquetes Logical Link Control (control de enlace

lgico)/Sub-Network Access Protocol (Protocolo de acceso a la subred)
(LLC-SNAP) con una direccin MAC especfica.
Todos: se aplica a todos los paquetes con la direccin MAC especfica.
274
15
Accin: seleccione una de las siguientes acciones a tomar con respecto al

paquete entrante que coincide con los criterios seleccionados:
-
Descartar : elimine el paquete.
Puente: reenve el paquete a todos los miembros de la VLAN.
PASO 4 Haga clic en Aplicar. Se reserva una nueva direccin MAC.
275
16
Configuracin del reenvo de multidifusin
En esta seccin se describe la funcin Reenvo de multidifusin y abarca los

siguientes temas:
Indagacin MLD
El reenvo de multidifusin permite difundir informacin a uno o varios
destinatarios. Las aplicaciones de multidifusin son tiles para difundir
informacin a varios clientes, donde los clientes no requieren la recepcin del
contenido completo. Una de las aplicaciones tpicas es un servicio como el de
televisin por cable, donde los clientes pueden unirse a un canal en el medio de
una transmisin y salir antes de que termine.
Los datos se envan solo a los puertos relevantes. Al reenviar los datos solo a los
puertos relevantes, se conservan los recursos de host y ancho de banda en los
enlaces.
276
16
Para que el reenvo de multidifusin funcione en subredes IP, los nodos y routers
deben tener capacidad de multidifusin. Un nodo con capacidad de multidifusin
debe poder:
Enviar y recibir paquetes de multidifusin
Registrar las direcciones de multidifusin que escucha el nodo en los

routers locales, de modo que los routers locales y remotos puedan enrutar
el paquete de multidifusin a los nodos
Configuracin de multidifusin tpica

Mientras los routers de multidifusin enrutan los paquetes de multidifusin entre
subredes IP, los switches de capa 2 con capacidad de multidifusin reenvan
paquetes de multidifusin a los nodos registrados dentro de una LAN o VLAN.
Una configuracin tpica incluye un router que reenva las secuencias de
multidifusin entre redes IP privadas o pblicas, un switch con capacidad de
indagacin del tipo Protocolo de pertenencia a grupos de Internet (IGMP, Internet
Group Membership Protocol), o indagacin del tipo Deteccin de escucha de la
multidifusin (MLD, Multicast Listener Discovery), y un cliente de multidifusin que
desea recibir una secuencia de multidifusin. En esta configuracin, el router enva
consultas IGMP peridicamente.
NOTA MLD para IPv6 deriva de IGMP v2 para IPv4. Aunque en esta seccin la descripcin
es principalmente para IGMP, tambin se trata la cobertura de MLD donde se da a

entender.
Estas consultas llegan al switch, que a su vez, enva en forma masiva las consultas
a la VLAN y tambin aprende el puerto donde hay un router de multidifusin
(Mrouter). Cuando un host recibe el mensaje de consulta IGMP, responde con un
mensaje de incorporacin IGMP que dice que el host desea recibir una secuencia
de multidifusin especfica y, de manera optativa, de un origen especfico. El
switch con indagacin IGMP analiza los mensajes de incorporacin y aprende que
la secuencia de multidifusin que el host solicit debe reenviarse a este puerto
especfico. Luego reenva la incorporacin IGMP solo al Mrouter. De igual manera,
cuando el Mrouter recibe un mensaje de incorporacin IGMP, aprende la interfaz
de donde recibi los mensajes de incorporacin que desea recibir una secuencia
de multidifusin especfica. El Mrouter reenva la secuencia de multidifusin
solicitada a la interfaz.
277
16
Operacin de multidifusin
En un servicio de multidifusin de capa 2, un switch de capa 2 recibe una sola
trama dirigida a una direccin de multidifusin especfica y crea copias de la
trama para transmitirla en cada puerto relevante.
Cuando el switch est habilitado para la indagacin IGMP/MLD y recibe una trama
de una secuencia de multidifusin, este la reenva a todos los puertos que se
hayan registrado para recibir la secuencia de multidifusin a travs de mensajes
de incorporacin IGMP.
El switch puede reenviar secuencias de multidifusin en funcin de una de las
Direccin MAC de grupo de multidifusin
Direccin IP de grupo de multidifusin (G)
Una combinacin de la direccin IP de origen (S) y la direccin IP de

destino de grupo de multidifusin (G) del paquete de multidifusin
Se puede configurar una de estas opciones por VLAN.

El sistema mantiene una lista de grupos de multidifusin para cada VLAN, y esto
administra la informacin de multidifusin que cada puerto debe recibir. Los
grupos de multidifusin y sus puertos receptores pueden configurarse
estticamente o aprenderse dinmicamente a travs de la indagacin de los
protocolos IGMP o Multicast Listener Discovery (MLD).
Registro de multidifusin
El registro de multidifusin es el proceso de escuchar y responder a los
protocolos de registro de multidifusin. Los protocolos disponibles son IGMP para
IPv4 y MLD para IPv6.
Cuando un switch tiene la indagacin IGMP/MLD habilitada en una VLAN, analiza
los paquetes IGMP/MLD que recibe de la VLAN conectada al switch y los routers
de multidifusin en la red.
Cuando un switch aprende que un host usa mensajes IGMP/MLD para registrarse
para recibir una secuencia de multidifusin, de manera optativa de un origen
especfico, el switch aade el registro a su base de datos de reenvo de
multidifusin (MFDB).
278
16
La indagacin IGMP/MLD puede reducir con eficacia el trfico de multidifusin de

aplicaciones IP de transmisin por secuencias de uso intensivo del ancho de
banda. Un switch que usa la indagacin IGMP/MLD solo reenva el trfico de
multidifusin a los hosts interesados en dicho trfico. Esta disminucin del trfico
de multidifusin reduce el procesamiento de paquetes en el switch, as como la
carga de trabajo en los hosts extremos, ya que no tienen que recibir ni filtrar todo
el trfico de multidifusin generado en la red.
A continuacin se detallan las versiones admitidas:
IGMP v1/v2/v3
MLD v1/v2
Un simple interrogador de indagacin IGMP
Se requiere un interrogador IGMP para facilitar el protocolo IGMP en una subred

determinada. En general, un router de multidifusin tambin es un interrogador
IGMP. Cuando hay varios interrogadores IGMP en una subred, los interrogadores
eligen a uno solo como el interrogador principal.
El switch puede configurarse como interrogador IGMP de respaldo, o en una
situacin en la que no exista un interrogador IGMP comn. El switch no tiene todas
las funciones de un interrogador IGMP.
Si el switch est habilitado como interrogador IGMP, se inicia luego de que hayan
pasado 60 segundos sin que se haya detectado trfico IGMP (consultas) de un
router de multidifusin. Ante la presencia de otros interrogadores IGMP, el switch
puede (o no) dejar de enviar consultas, en funcin de los resultados del proceso
de seleccin estndar de interrogadores.
Propiedades de las direcciones de multidifusin

Las direcciones de multidifusin tienen las siguientes propiedades:
Cada direccin IPv4 de multidifusin se encuentra en el intervalo 224.0.0.0

a 239.255.255.255.
La direccin IPv6 de multidifusin es FF00:/8.
Para asignar una direccin IP de grupo de multidifusin a una direccin de

multidifusin de capa 2:
-
Para IPv4, la asignacin se realiza tomando los 23 bits de bajo orden de

la direccin IPv4 y aadindoselos al prefijo 01:00:5e. Como norma, los
nueve bits superiores de la direccin IP se omiten, y las direcciones IP
que solo difieran en el valor de estos bits superiores se asignan a la
279
16
misma direccin de capa 2, ya que los 23 bits inferiores que se usan son
idnticos. Por ejemplo, 234.129.2.3 se asigna a una direccin MAC de
grupo de multidifusin 01:00:5e:01:02:03. Se pueden asignar hasta 32
direcciones IP de grupo de multidifusin a la misma direccin de capa 2.
-
Para IPv6, esta asignacin se realiza tomando los 32 bits de bajo orden
de la direccin de multidifusin y aadiendo el prefijo 33:33. Por
ejemplo, la direccin IPv6 de multidifusin FF00:1122:3344 se asigna a
la direccin de multidifusin de capa 2 33:33:11:22:33:44.

En la pgina Propiedades, se puede configurar el estado de filtrado de
multidifusin de puente.
De manera predeterminada, todas las tramas de multidifusin se envan en forma
masiva a todos los puertos de la VLAN. Para reenviar de manera selectiva solo a
los puertos relevantes y filtrar (descartar) la multidifusin en el resto de los
puertos, active el estado de filtrado de multidifusin de puente en la pgina
Propiedades.
Si el filtrado est habilitado, las tramas de multidifusin se reenvan a un
subconjunto de los puertos en la VLAN relevante, segn lo definido en la base de
datos de reenvo de multidifusin (MFDB). El filtrado de multidifusin se aplica en
todo el trfico. De manera predeterminada, dicho trfico se enva en forma masiva
a todos los puertos relevantes, pero puede limitar el reenvo a un subconjunto ms
pequeo.
Una forma comn de representar a los miembros de multidifusin es a travs de la
notacin (S,G) donde la S es la (nica) fuente que enva una secuencia de datos
de multidifusin y la G es la direccin IPv4 o IPv6 de grupo. Si un cliente de
multidifusin puede recibir trfico de multidifusin de cualquier origen de un
grupo de multidifusin especfico, esto se escribe como (*,G).
A continuacin se detallan formas de reenviar tramas de multidifusin:
Direccin MAC de grupo: se basa en la direccin MAC de destino en la

trama Ethernet.
NOTA Tal como se mencion anteriormente, se puede asignar una o ms
direcciones IP de grupo de multidifusin a una direccin MAC de grupo.
El reenvo basado en la direccin MAC de grupo puede dar como
resultado el reenvo de una secuencia de multidifusin IP a puertos sin un
receptor para la secuencia.
280
16
Direccin IP del grupo: se basa en la direccin IP de destino del paquete IP

(*,G).
Direccin IP especfica de origen del grupo: se basa en la direccin IP de

destino y en la direccin IP de origen del paquete IP (S,G).
Al seleccionar el modo de reenvo, puede definir el mtodo que usa el hardware

para identificar el flujo de multidifusin mediante una de las siguientes opciones:
Direccin MAC de grupo, Direccin IP del grupo o Direccin IP especfica de
origen del grupo.
(S,G) es compatible con IGMPv3 y MLDv2, mientras que IGMPv1/2 y MLDv1 solo
admiten (*.G), que es solo el ID de grupo.
El switch admite un mximo de 256 direcciones de grupo de multidifusin
estticas y dinmicas.
Para habilitar el filtrado de multidifusin y seleccionar el mtodo de reenvo:
PASO 1 Haga clic en Multidifusin > Propiedades. Se abre la pgina Propiedades.
Estado de filtrado de multidifusin de puente: seleccione esta opcin para

habilitar el filtrado.
ID de VLAN: seleccione el ID de la VLAN para configurar su mtodo de

reenvo.
Mtodo de reenvo para IPv6: defina uno de los siguientes mtodo de

reenvo para las direcciones IPv6: Direccin MAC de grupo, Direccin IP del
grupo o Direccin IP especfica de origen del grupo.
Mtodo de reenvo para IPv4: defina uno de los siguientes mtodo de

reenvo para las direcciones IPv4: Direccin MAC de grupo, Direccin IP del
grupo o Direccin IP especfica de origen del grupo.
281
16

El switch admite el reenvo del trfico entrante de multidifusin en funcin de la
informacin del grupo de multidifusin. Esta informacin se obtiene de los
paquetes IGMP/MLD recibidos o como resultado de configuracin manual, y se
almacena en la base de datos de reenvo de multidifusin (MFDB).
Cuando se recibe una trama de una VLAN que est configurada para reenviar las
secuencias de multidifusin en funcin de las direcciones de grupo MAC, y su
direccin de destino es una direccin de multidifusin de capa 2, la trama se
reenva a todos los puertos que son miembros de la direccin MAC de grupo.
En la pgina Direccin de grupo MAC se encuentran las siguientes funciones:
Consultar y ver informacin de la MFDB relacionada con un ID de VLAN

especfico o un grupo de direcciones MAC especfico. Estos datos se
adquieren en forma dinmica a travs de la indagacin IGMP/MLD o en
forma esttica mediante la entrada manual.
Aadir o eliminar entradas estticas a la MFDB que brinda informacin de

reenvo esttica basada en las direcciones MAC de destino.
Mostrar una lista de todos los puertos/LAG que son miembros de cada
grupo de direcciones MAC e ID de VLAN, e ingresar si el trfico se reenva a
l o no.
Para ver la informacin de reenvo cuando el modo es Grupo de direcciones IP o

Grupo IP y de origen, utilice la pgina Direccin IP de grupo de multidifusin.
Para definir y ver grupos de multidifusin MAC:
PASO 1 Haga clic en Multidifusin > Direccin MAC de grupo. Se abre la pgina
Direccin de grupo MAC .

ID de VLAN igual a: configure el ID de VLAN del grupo que desea ver.
Direccin MAC de grupo igual a: configure la direccin MAC del grupo de

multidifusin que desea ver. Si no se especifica una direccin MAC de
grupo, en la pgina aparecen todas las direcciones MAC de grupo de la
VLAN seleccionada.
PASO 3 Haga clic en Ir y aparecern las direcciones MAC de grupo de multidifusin en el
bloque inferior.
282
16
Se muestran las entradas que se crearon en esta pgina y en la pgina Direccin

IP de grupo de multidifusin. Para las entradas que se crearon en la pgina
Direccin IP de grupo de multidifusin, las direcciones IP se convierten en
direcciones MAC.
PASO 4 Haga clic en Aadir para aadir una direccin MAC de grupo esttica. Se abre la
pgina Aadir direccin MAC de grupo.

ID de VLAN: se define el ID de la VLAN del nuevo grupo de multidifusin.
Direccin MAC de grupo: se define la direccin MAC del nuevo grupo de

multidifusin.
PASO 6 Haga clic en Aplicar. El grupo de multidifusin MAC se escribe en el archivo
Para configurar y ver el registro para las interfaces dentro del grupo, seleccione
una direccin y haga clic en Detalles. Se abre la pgina Configuracin de
direccin MAC de grupo.
La pgina incluye:
ID de VLAN: el ID de la VLAN del grupo de multidifusin.
Direccin MAC de grupo: la direccin MAC del grupo.
PASO 7 Seleccione el puerto o el LAG que desea ver en el men Filtro: Tipo de interfaz.
PASO 8 Haga clic en Ir para ver la afiliacin de LAG o puerto.
PASO 9 Seleccione la forma en que cada interfaz est asociada con el grupo de
multidifusin:
Esttica: la interfaz se asocia al grupo de multidifusin como un miembro

esttico.
Dinmico: indica que la interfaz se aadi al grupo de multidifusin como

resultado de indagacin IGMP/MLD.
Prohibido: especifica que este puerto tiene permitido unirse a este grupo en
esta VLAN.
Ninguna: se especifica que el puerto no es un miembro actual de este grupo

de multidifusin en esta VLAN.
PASO 10 Haga clic en Aplicar, y se actualizar el archivo Configuracin en ejecucin.
283
16
NOTA Las entradas que se crearon en la pgina Direccin IP de grupo de
multidifusin no se pueden eliminar en esta pgina (aunque estn

seleccionadas).

La pgina Direccin IP de grupo de multidifusin es similar a la pgina Direccin
de grupo MAC, excepto que los grupos de multidifusin estn identificados por
direcciones IP.
En la pgina Direccin IP de grupo de multidifusin se puede realizar consultas y
aadir grupos de multidifusin IP.
Para definir y ver grupos de multidifusin IP:
PASO 1 Haga clic en Multidifusin > Direccin IP de grupo de multidifusin. Se abre la
pgina Direccin IP de grupo de multidifusin.

La pgina incluye todas las direcciones IP de grupo de multidifusin aprendidas
mediante indagacin.
PASO 2 Ingrese los parmetros requeridos para el filtrado.
ID de VLAN igual a: defina el ID de la VLAN del grupo que desea ver.
Versin de IP igual a: seleccione IPv6 o IPv4.
Direccin IP de grupo de multidifusin igual a: defina la direccin IP del

grupo de multidifusin que desea ver. Esto es relevante solo cuando el modo
de reenvo es (S, G).
Direccin IP de origen igual a: defina la direccin IP de origen del

dispositivo remitente. Si el modo es (S, G), ingrese el remitente S. Esto junto
con la direccin IP de grupo es el ID del grupo de multidifusin (S, G) que se
mostrar. Si el modo es (*.G), ingrese un * para indicar que el grupo de
multidifusin solo est definido por destino.
PASO 3 Haga clic en Ir. Los resultados aparecen en el bloque inferior. Cuando Bonjour e
IGMP estn habilitados en un switch de capa 2, se muestra la direccin IP de

multidifusin de Bonjour.
PASO 4 Haga clic en Aadir para aadir una direccin IP de grupo de multidifusin
esttica. Se abre la pgina Aadir direccin IP de grupo de multidifusin.
284
16
ID de VLAN: se define el ID de la VLAN del grupo que se aadir.
Versin de IP: seleccione el tipo de direccin IP.
Direccin IP de grupo de multidifusin: defina la direccin IP del nuevo

grupo de multidifusin.
Especfica de origen: indica que la entrada contiene un origen especfico y

aade la direccin en el campo Direccin IP de origen. En caso contrario, la
entrada se aade como (*,G), una direccin IP de grupo de cualquier origen
IP.
Direccin IP de origen: se define la direccin de origen que se incluir.
PASO 6 Haga clic en Aplicar. Se aade el grupo de multidifusin IP y se actualiza el
dispositivo.
PASO 7 Para configurar y ver el registro de una direccin IP de grupo, seleccione una
direccin y haga clic en Detalles. Se abre la pgina Configuracin de interfaz

multidifusin IP.
Las opciones ID de VLAN, Versin IP, Direccin IP de grupo de multidifusin y
Direccin IP de origen seleccionadas se muestran como de solo lectura en la
parte superior de la pantalla. Usted puede seleccionar el tipo de filtro:
Tipo de interfaz igual a: seleccione si desea ver puertos o LAG.
PASO 8 Seleccione el tipo de asociacin para cada interfaz. Las opciones son las
siguientes:
Esttica: la interfaz se asocia al grupo de multidifusin como un miembro

esttico.
Prohibido: se especifica que este puerto tiene prohibido unirse a este grupo
en esta VLAN.
Ninguna: indica que el puerto no es un miembro actual de este grupo de

multidifusin en esta VLAN. Esta opcin se selecciona de forma
predeterminada hasta que se selecciona Esttico o Prohibido.
285
16

Para admitir el reenvo selectivo de multidifusin (IPv4), el filtrado de multidifusin
de puente debe estar habilitado (en la pgina Propiedades), y la indagacin IGMP
debe habilitarse en forma global y para cada VLAN relevante (en la pgina
Indagacin IGMP).
De manera predeterminada, un switch de capa 2 reenva tramas de multidifusin a
todos los puertos de la VLAN relevante, con lo que bsicamente trata a la trama
como si fuera una difusin. Con la indagacin IGMP, el switch reenva las tramas de
multidifusin a los puertos que tienen clientes de multidifusin registrados.
NOTA El switch admite la indagacin IGMP solo en VLAN estticas, no en VLAN
dinmicas.
Cuando la indagacin IGMP est habilitada en forma global o en una VLAN, todos
los paquetes IGMP se reenvan a la CPU. La CPU analiza los paquetes entrantes y
determina lo siguiente:
Cules son los puertos que solicitan unirse a qu grupos de multidifusin en

qu VLAN.
Cules son los puertos conectados a los routers de multidifusin (Mrouters)

que estn generando consultas IGMP.
Cules son los puertos que estn recibiendo protocolos de consulta PIM
(Protocol Independent Multicast, Multidifusin independiente de protocolo),
DVMRP (Distance Vector Multicast Routing Protocol, Protocolo de
enrutamiento de multidifusin por vector de distancia) o IGMP.
Aparecen en la pgina Indagacin IGMP.

Los puertos que solicitan unirse a un grupo de multidifusin especfico emiten un
informe IGMP que especifica los grupos a los que desea unirse el host. Como
resultado, se crea una entrada de reenvo en la base de datos de reenvo de
multidifusin.
El interrogador de indagacin IGMP se utiliza para admitir un dominio de
multidifusin de capa 2 de switch de indagacin ante la ausencia de un router de
multidifusin. Por ejemplo, donde un servidor local proporciona el contenido de
multidifusin, pero el router (si existe) en esa red no admite la multidifusin.
286
16
La velocidad de la actividad del interrogador IGMP debe concordar con los switch
habilitados para la indagacin IGMP. Las consultas deben enviarse a una
velocidad que concuerde con el tiempo de vencimiento latente de la tabla de
indagaciones. Si las consultas se envan a una velocidad menor que el tiempo de
vencimiento latente, el suscriptor no puede recibir los paquetes de multidifusin.
Esto se realiza en la pgina Editar indagacin IGMP.
Para habilitar la indagacin IGMP e identificar al switch como interrogador de
indagacin IGMP en una VLAN:
PASO 1 Haga clic en Multidifusin > Indagacin IGMP. Se abre la pgina Indagacin IGMP.
PASO 2 Habilite o deshabilite el estado de indagacin IGMP.
Cuando la opcin Indagacin IGMP est habilitada en forma global, el dispositivo

que controla el trfico de la red puede determinar qu hosts solicitaron recibir
trfico de multidifusin.
El switch realiza la indagacin IGMP solo si la indagacin IGMP y el filtrado de
multidifusin de puente estn habilitados.
PASO 3 Seleccione una VLAN y haga clic en Editar. Se abre la pgina Editar indagacin
IGMP.
En una red puede haber solo un interrogador IGMP. El switch admite la eleccin
del interrogador IGMP basada en estndares. El interrogador elegido enva
algunos de los valores de los parmetros operativos de esta tabla. Los otros
valores provienen del switch.
ID de VLAN: seleccione el ID de la VLAN en la que est definida la

indagacin IGMP.
Estado de indagacin IGMP: habilite o deshabilite el control del trfico de

red para la VLAN seleccionada.
Estado operativo de indagacin IGMP: se muestra el estado actual de la

indagacin IGMP para la VLAN seleccionada.
Aprendizaje automtico de los puertos de MRouter: active o desactive el

autoaprendizaje de los puertos a los que el Mrouter est conectado.
Solidez de consultas: ingrese el valor de la variable de solidez que se usar

si este switch es el interrogador elegido.
Solidez de consultas operativas: se muestra la variable de solidez enviada

por el interrogador elegido.
287
16
Intervalo entre consultas: ingrese el intervalo entre las consultas generales

que se usar si este switch es el interrogador elegido.
Intervalo de consultas operativas: el intervalo de tiempo en segundos

entre consultas generales enviadas por el interrogador elegido.
Intervalo mximo de respuesta a consultas: ingrese la demora utilizada

para calcular el cdigo de respuesta mximo insertado en las consultas
generales peridicas.
Intervalo mximo de respuesta a consultas operativas: se muestra el

intervalo mximo de respuesta a consultas incluido en las consultas
generales enviadas por el interrogador elegido.
Contador de consultas del ltimo miembro: ingrese el nmero de

consultas IGMP especficas del grupo enviadas antes de que el switch
suponga que no hay ms miembros para el grupo, en caso de que el switch
sea el interrogador elegido.
Contador operacional de consultas del ltimo miembro: se muestra el

valor operacional del contador de consultas del ltimo miembro.
Intervalo de consultas del ltimo miembro: ingrese la demora mxima de

respuesta que se usar si el switch no puede leer el valor de Tiempo de
respuesta mx. de las consultas especficas del grupo que enva el
interrogador elegido.
Intervalo operacional de consultas del ltimo miembro: se muestra el

intervalo de consultas del ltimo miembro enviado por el interrogador
elegido.
Ausencia inmediata: active la ausencia inmediata para reducir el tiempo

que lleva bloquear una secuencia de multidifusin enviada a un puerto
miembro cuando dicho puerto recibe un mensaje de ausencia de grupo
IGMP.
Estado del interrogador IGMP: active o desactive el interrogador IGMP.
Direccin IP administrativa de origen del interrogador: seleccione la

direccin IP de origen del interrogador IGMP, que puede ser la direccin IP
de la VLAN o la direccin IP de administracin.
Direccin IP de origen operacional del interrogador: se muestra la

direccin IP de origen del interrogador elegido.
288
16
Versin del interrogador IGMP: seleccione la versin de IGMP usada si el

switch se convierte en el interrogador elegido. Seleccione IGMPv3 si hay
switch o routers de multidifusin en la VLAN que realizan reenvos de
multidifusin IP especficos del origen.
Indagacin MLD
Los hosts utilizan el protocolo MLD para informar su participacin en sesiones de
multidifusin; el switch utiliza indagacin MLD para armar listas de afiliacin a
multidifusin. Utiliza las listas para reenviar paquetes de multidifusin solo a los
puertos del switch donde haya nodos de host que sean miembros de los grupos
de multidifusin. El switch no admite un interrogador MLD.
Los hosts usan el protocolo MLD para notificar su participacin en las sesiones de
multidifusin.
El switch admite dos versiones de indagacin MLD:
La indagacin MLDv1 detecta los paquetes de control MLDv1 y configura el

puenteo del trfico en funcin de las direcciones IPv6 de destino de
multidifusin.
La indagacin MLDv2 usa los paquetes de control MLDv2 para reenviar el

trfico en funcin de la direccin IPv6 de origen y la direccin IPv6 de
destino de multidifusin.
El router de multidifusin selecciona la versin de MLD en la red.

En un enfoque similar a la indagacin IGMP, las tramas MLD se indagan a medida
que el switch las reenva desde las estaciones hasta un router de multidifusin
ascendente y viceversa. Este recurso le permite al switch concluir lo siguiente:
En qu puertos estn ubicadas las estaciones interesadas en unirse a un

grupo de multidifusin especfico
En qu puertos estn ubicados los routers de multidifusin que envan

tramas de multidifusin
Esta informacin se utiliza para excluir a los puertos irrelevantes (puertos en los
que no se registr ninguna estacin para recibir un grupo de multidifusin
especfico) del conjunto de reenvo de una trama de multidifusin entrante.
289
16
Si habilita la indagacin MLD adems de los grupos de multidifusin configurados

manualmente, el resultado es una unin de los grupos de multidifusin y los
puertos miembro derivados de la configuracin manual y la deteccin dinmica
de la indagacin MLD. Solo se conservan las definiciones estticas al reiniciar el
sistema.
Para habilitar la indagacin MLD:
PASO 1 Haga clic en Multidifusin > Indagacin MLD. Se abre la pgina Indagacin MLD.
PASO 2 Active o desactive Estado de indagacin MLD. Cuando la opcin Indagacin MLD
est habilitada en forma global, el dispositivo que controla el trfico de la red

puede determinar qu hosts solicitaron recibir trfico de multidifusin. El switch
realiza la indagacin MLD solo si la indagacin MLD y el filtrado de multidifusin
de puente estn habilitados.
PASO 3 Seleccione una VLAN y haga clic en Editar. Se abre la pgina Editar indagacin
MLD .
ID de VLAN: seleccione el ID de la VLAN.
Estado de indagacin MLD: active o desactive la indagacin MLD en la

VLAN. El switch controla el trfico de la red para determinar los hosts que
solicitaron recibir trfico de multidifusin. El switch realiza la indagacin MLD
solo cuando la indagacin MLD y el filtrado de multidifusin de puente estn
habilitados.
Estado operativo de indagacin MLD: se muestra el estado actual de la

indagacin MLD para la VLAN seleccionada.
Aprendizaje automtico de los puertos de MRouter: active o desactive la

funcin de autoaprendizaje para el router de multidifusin.
Solidez de consultas: ingrese el valor de la variable de solidez que se usar

si el switch no puede leer este valor de los mensajes que enva el
Solidez de consultas operativas: se muestra la variable de solidez enviada

por el interrogador elegido.
Intervalo de consultas: ingrese el valor del intervalo de consultas que usar

el switch si no puede obtener el valor de los mensajes que enva el
Intervalo de consultas operativas: el intervalo de tiempo en segundos

entre consultas generales recibidas del interrogador elegido.
290
16
Intervalo mximo de respuesta a consultas: ingrese la demora mxima de

respuesta a consultas que se usar si el switch no puede leer el valor de
Tiempo de respuesta mx. de las consultas generales que enva el
Intervalo mximo de respuesta a consultas operativas: se muestra la

demora utilizada para calcular el cdigo de respuesta mximo insertado en
las consultas generales.
Contador de consultas del ltimo miembro: ingrese el conteo de consultas

del ltimo miembro que se usar si el switch no puede obtener el valor de
los mensajes que enva el interrogador elegido.
Contador operacional de consultas del ltimo miembro: se muestra el

valor operacional del contador de consultas del ltimo miembro.
Intervalo de consultas del ltimo miembro: ingrese la demora mxima de

respuesta que se usar si el switch no puede leer el valor de Tiempo de
respuesta mx. de las consultas especficas del grupo que enva el
Intervalo operacional de consultas del ltimo miembro: el intervalo de

consultas del ltimo miembro enviado por el interrogador elegido.
Ausencia inmediata: cuando se habilita esta opcin, se reduce el tiempo

que lleva bloquear el trfico MLD innecesario enviado a un puerto del switch.

En la pgina Grupo de multidifusin IP IGMP/MLD se muestra la direccin de
grupo IPv4 e IPv6 que se aprendi de los mensajes IGMP/MLD.
Puede haber una diferencia entre la informacin de esta pgina y, por ejemplo, la
que aparece en la pgina Direccin de grupo MAC. Si suponemos que el sistema
est en grupos basados en MAC y un puerto que solicit unirse a los siguientes
grupos de multidifusin 224.1.1.1 y 225.1.1.1, los dos se asignan a la misma
direccin MAC de multidifusin 01:00:5e:01:01:01. En este caso, hay una sola
entrada en la pgina Multidifusin MAC, pero dos en esta pgina.
291
16
Para realizar una consulta para un grupo de multidifusin IP:

PASO 1 Haga clic en Multidifusin > Grupo de multidifusin IP IGMP/MLD. Se abre la
pgina Grupo de multidifusin IP IGMP/MLD.

PASO 2 Establezca el tipo de grupo de indagacin para el que desea realizar la bsqueda:
IGMP o MLD.
PASO 3 Ingrese algunos o todos los siguientes criterios de filtrado de consulta:
Direccin de grupo igual a: se define la direccin MAC o la direccin IP del

grupo de multidifusin para la que se realizar la consulta.
Direccin de origen igual a: se define la direccin del remitente para la que

se realizar la consulta.
ID de VLAN igual a: se define el ID de la VLAN para el que se realizar la

consulta.
PASO 4 Haga clic en Ir. Se muestran los siguientes campos para cada grupo de
multidifusin:
VLAN: el ID de la VLAN.
Direccin de grupo: la direccin MAC o la direccin IP del grupo de

multidifusin.
Direccin de origen: la direccin del remitente para todos los puertos

especificados del grupo.
Puertos incluidos: la lista de puertos de destino para la secuencia de

multidifusin.
Puertos excluidos: la lista de puertos no incluidos en el grupo.
Modo de compatibilidad: la versin IGMP/MLD ms antigua de registro de

los hosts que el switch recibe en la direccin IP de grupo.
292
16

Un puerto de router de multidifusin (Mrouter) es aquel que se conecta a un router
de multidifusin. El switch incluye a los nmeros de puertos del router de
multidifusin cuando reenva las secuencias de multidifusin y los mensajes de
registro IGMP/MLD. Esto es necesario para que, a su vez, todos los routers de
multidifusin puedan reenviar las secuencias de multidifusin y propagar los
mensajes de registro a otras subredes.
Para configurar estadsticamente o ver los puertos detectados dinmicamente
conectados al router de multidifusin:
PASO 1 Haga clic en Multidifusin > Puerto de router de multidifusin. Se abre la pgina
Puerto de router multidifusin.

PASO 2 Ingrese algunos o todos los siguientes criterios de filtrado de consulta:
ID de VLAN igual a: seleccione el ID de la VLAN para los puertos del router

descritos.
Versin de IP igual a: seleccione la versin de IP que admite el router de

multidifusin.
Tipo de interfaz igual a: seleccione si desea ver puertos o LAG.
PASO 3 Haga clic en Ir. Aparecern las interfaces que coincidan con los criterios de
consulta.
PASO 4 Seleccione el tipo de asociacin para cada puerto o LAG. Las opciones son las
siguientes:
Esttico: el puerto se configura estticamente como un puerto de router de

multidifusin.
Dinmico: (solo mostrar) el puerto se configura dinmicamente como un

puerto de router de multidifusin mediante una consulta MLD/IGMP. Para
habilitar el aprendizaje dinmico de puertos de router de multidifusin, vaya
a pgina Multidifusin > Indagacin IGMP y a la pgina Multidifusin >
Indagacin MLD.
Prohibido: este puerto no debe configurarse como un puerto de router de

multidifusin, incluso si se reciben consultas IGMP o MLD en este puerto. Si
se habilita Prohibido en un puerto, este puerto no aprender el Mrouter
(es decir, en este puerto no estar habilitada la opcin de aprendizaje
automtico de los puertos de MRouter).
Ninguna: el puerto no es un puerto de router de multidifusin actualmente.
293
16
PASO 5 Haga clic en Aplicar para actualizar el switch.

La pgina Reenviar todos habilita y muestra la configuracin de los puertos o LAG
que deben recibir toda la secuencia de multidifusin de una VLAN especfica. Esta
funcin requiere que el filtrado de multidifusin de puente est habilitado en la
pgina Propiedades. Si est deshabilitado, todo el trfico de multidifusin se
enva en forma masiva a todos los puertos del switch.
Usted puede configurar estticamente (manualmente) un puerto para reenviar
todo, si los dispositivos que se conectan al puerto no admiten IGMP o MLD.
Los mensajes IGMP o MLD no se reenvan a los puertos definidos como Reenviar
todos.
NOTA La configuracin afecta solo a los puertos que son miembros de la VLAN
seleccionada.
Para definir el reenvo de toda la multidifusin:
PASO 1 Haga clic en Multidifusin > Reenviar todos. Se abre la pgina Reenviar todos.
PASO 2 Defina lo siguiente:
ID de VLAN igual a: el ID de la VLAN de los puertos/LAG que se van a

mostrar.
Tipo de interfaz igual a: defina si desea ver puertos o LAG.
PASO 3 Haga clic en Ir. Se muestra el estado de todos los puertos/LAG.

PASO 4 Seleccione el puerto/LAG que se definir como Reenviar todos mediante los
siguientes mtodos:
Esttico: el puerto recibe todas las secuencias de multidifusin.
Prohibido: los puertos no pueden recibir secuencias de multidifusin, incluso

si la indagacin IGMP/MLD design al puerto para que se uniera a un grupo
de multidifusin.
Ninguna: el puerto no es un puerto Reenviar todos actualmente.
294
16

En general, las tramas de multidifusin se reenvan a todos los puertos en la VLAN.
Si la indagacin IGMP/MLD est habilitada, el switch aprende sobre la existencia
de los grupos de multidifusin y controla cules son los puertos que se unieron a
qu grupo de multidifusin. Los grupos de multidifusin tambin pueden
configurarse estticamente. Los grupos de multidifusin que se aprendieron
dinmicamente o configuraron estticamente se consideran registrados.
El switch reenva las tramas de multidifusin (de un grupo de multidifusin
registrado) solo a los puertos que estn registrados en ese grupo de multidifusin.
En la pgina Multidifusin sin registrar se puede administrar las tramas de
multidifusin que pertenecen a grupos desconocidos para el switch (grupos de
multidifusin sin registrar). En general, las tramas de multidifusin sin registrar se
reenvan a todos los puertos en la VLAN.
Usted puede seleccionar un puerto para que reciba o filtre las secuencias de
multidifusin sin registrar. La configuracin es vlida para cualquier VLAN de la
que sea miembro (o vaya a ser miembro).
Esta funcin garantiza que el cliente reciba solo los grupos de multidifusin
solicitados y no otros que puedan transmitirse en la red.
Para definir la configuracin de multidifusin sin registrar:
PASO 1 Haga clic en Multidifusin > Multidifusin sin registrar. Se abre la pgina
Multidifusin sin registrar.

PASO 2 Defina lo siguiente:
Tipo de interfaz igual a: la vista de todos los puertos o todos los LAG.
Puerto/LAG: muestra el puerto o el ID de LAG.
Multidifusin sin registrar: se muestra el estado de reenvo de la interfaz

seleccionada. Los valores posibles son:
-
Reenvo: se habilita el reenvo de tramas de multidifusin sin registrar a

Filtrado: se habilita el filtrado (rechazo) de tramas de multidifusin sin

registrar en la interfaz seleccionada.
PASO 3 Haga clic en Aplicar. Se guarda la configuracin y se actualiza el archivo
295
17
Configuracin de informacin de IP
El usuario puede configurar manualmente las direcciones de interfaz IP, o estas se

configuran automticamente mediante un servidor DHCP. Esta seccin brinda
informacin para definir las direcciones IP del switch, ya sea manualmente o con
un switch como cliente DHCP.
Configuracin de ARP
NOTA Los dispositivos SG500X siempre funcionan en modos habilitados para capa 3 de
sistema. En cambio, los dispositivos Sx500 pueden configurarse para funcionar en

modo para capa 2 o capa 3 del sistema. Por lo tanto, cuando en esta seccin se
haga referencia a un dispositivo que funciona en modo habilitado para capa 3 del
sistema, se referir a dispositivos SG500X y aquellos dispositivos Sx500 que
hayan sido configurados manualmente para el modo de capa 3 del sistema.
296
17
Algunas funciones, descritas a continuacin, solo estn disponibles para modo de

capa 2 o capa 3 del sistema:
En el modo de capa 2 del sistema (solo para dispositivos Sx500), el switch

opera como switch para VLAN de capa 2, y no tiene capacidades de
enrutamiento.
En el modo de capa 3 del sistema, el switch tiene capacidades de

enrutamiento IP y capacidades del modo de capa 2 del sistema. En este
modo del sistema, un puerto de capa 3 conserva gran parte de la
funcionalidad de capa 2, como el protocolo de rbol de expansin y la
afiliacin VLAN.
nicamente en los dispositivos Sx500, en el modo de capa 3 del sistema, el

switch no admite VLAN basada en MAC, Asignacin dinmica de VLAN,
Lmite de velocidad de VLAN, Proteccin contra negacin de servicio (DoS)
de velocidad SYN y Reguladores de QoS avanzados.
Para configurar el modo del sistema (capa 2 o capa 3), solo para los dispositivos
Sx500, consulte la pgina Modo de sistema y administracin de pilas
NOTA Para realizar la conmutacin de un modo del sistema (capa) a otro (en los
dispositivos que est habilitado), es obligatorio reiniciar el dispositivo, y la

configuracin de arranque del switch ser, luego, eliminada.
Direccionamiento IP de capa 2
En el modo de capa 2 del sistema, el switch tiene una sola direccin IP en la VLAN
de administracin. Esta direccin IP y la puerta de enlace predeterminada se
pueden configurar manualmente, o mediante el DHCP. La direccin IP esttica y la
puerta de enlace predeterminada para el modo de capa 2 del sistema se
configuran en la pgina Interfaz IPv4. En el modo de capa 2 del sistema, el switch
usa la puerta de enlace predeterminada, si est configurada, para comunicarse
con dispositivos que no estn en la misma subred IP que el switch. De forma
predeterminada, la VLAN 1 es la VLAN de administracin, pero se puede
modificar. Al funcionar en el modo de capa 2 del sistema, el switch solo se puede
alcanzar en la direccin IP configurada a travs de su VLAN de administracin.
La configuracin predeterminada de fbrica de la configuracin de la direccin IP
es DHCP. Esto significa que el switch acta como cliente DHCP y enva una
solicitud DHCP mientras se inicia.
297
17
Si el switch recibe una respuesta DHCP del servidor DHCP con una direccin IP,
enva paquetes Address Resolution Protocol (ARP, Protocolo de resolucin de
direccin) para confirmar que la direccin IP es nica. Si la respuesta ARP muestra
que la direccin IP est en uso, el switch enva un mensaje DHCPDECLINE al
servidor DHCP de oferta y enva otro paquete DHCPDISCOVER que reinicia el
proceso.
Si el switch no recibe una respuesta DHCP en 60 segundos, contina enviando
consultas sobre DHCPDISCOVER y adopta la direccin IP predeterminada:
192.168.1.254/24.
Cuando ms de un dispositivo usa la misma direccin IP en la misma subred IP, se
producen colisiones de direccin IP. Las colisiones de direccin requieren
acciones administrativas en el servidor DHCP o en los dispositivos que colisionan
con el switch.
Cuando una VLAN se configura para usar direcciones IP dinmicas, el switch
emite solicitudes DHCP hasta que un servidor DHCP le asigna una direccin IP. En
el modo de capa 2 del sistema, solo la VLAN de administracin se puede
configurar con una direccin IP esttica o dinmica. En el modo de capa 3 del
sistema, se pueden configurar hasta 32 interfaces (puertos, LAG y VLAN) en el
switch con una direccin IP esttica o dinmica.
Las reglas de asignacin de direccin IP para el switch son las siguientes:
En el modo de capa 2 del sistema, a menos que el switch se configure con

una direccin IP esttica, emite consultas sobre DHCP hasta que recibe una
respuesta del servidor DHCP.
Si la direccin IP del switch se cambia, el switch emite paquetes ARP

gratuitos a la VLAN correspondiente para verificar las colisiones de
direccin IP. Esta regla tambin se aplica cuando el switch vuelve a la
direccin IP predeterminada.
Cuando se recibe una nueva direccin IP nica del servidor DHCP, el

indicador luminoso LED del estado del sistema se pone verde. Si se ha
configurado una direccin IP esttica, el indicador luminoso LED del estado
del sistema tambin se pone verde. El indicador luminoso LED parpadea
cuando el switch est adquiriendo una direccin IP y est usando la
direccin IP predeterminada de fbrica 192.168.1.254.
Las mismas reglas se aplican cuando un cliente debe renovar la concesin,

antes de la fecha de vencimiento a travs de un mensaje DHCPREQUEST.
Con las opciones predeterminadas de fbrica, cuando no hay una direccin

IP adquirida a travs del servidor DHCP o una direccin definida de manera
esttica disponible, se usa la direccin IP predeterminada. Cuando las otras
298
17
direcciones IP quedan disponibles, se usan automticamente. La direccin

IP predeterminada est siempre en la VLAN de administracin.
Direccionamiento IP de capa 3
En el modo de capa 3 del sistema, el switch puede tener varias direcciones IP.
Cada direccin IP puede asignarse a puertos especificados, LAG o VLAN. En el
modo de capa 3 del sistema, estas direcciones IP se configuran en la pgina
Interfaz IPv4. De esta manera, la red tiene ms flexibilidad que en el modo de
capa 2 del sistema, en el que solo puede configurarse una sola direccin IP. Al
funcionar en el modo de capa 3 del sistema, es posible alcanzar el switch en todas
sus direcciones IP desde las interfaces correspondientes.
En el modo de capa 3 del sistema, no se proporciona una ruta predefinida y
predeterminada. Para administrar el switch de forma remota, debe especificarse
una ruta predeterminada. Todas las puertas de enlace predeterminadas
asignadas por el DHCP se almacenan como rutas predeterminadas. Las rutas
predeterminadas tambin se pueden definir manualmente. Esto se describe en la
pgina Rutas estticas IPv4.
Todas las direcciones IP configuradas o asignadas al switch se denominan
direcciones IP de administracin en esta gua.
Si las pginas para la capa 2 y la capa 3 son diferentes, se muestran las dos
versiones.
Definicin de una interfaz IPv4 en modo de capa 2 del sistema

Esta seccin no es relevante para el dispositivo SG500X.
Para administrar el switch mediante la utilidad de configuracin de switch basada
en la Web, es necesario definir y conocer la direccin IP de administracin del
switch IPv4. La direccin IP del switch se puede configurar manualmente o se
puede tomar automticamente de un servidor DHCP.
Para configurar la direccin IP del switch IPv4:
PASO 1 Haga clic en Administracin> Interfaz de administracin> Interfaz IPv4. Se
abre la pgina Interfaz IPv4.

VLAN de administracin: seleccione la VLAN de administracin que se usa

para acceder al switch a travs de telnet o la GUI web. La VLAN1 es la VLAN
de administracin predeterminada.
299
17
Tipo de direccin IP: seleccione una de las siguientes opciones:

-
Dinmica: descubra la direccin IP mediante DHCP de la VLAN de

administracin.
Esttica: defina manualmente una direccin IP esttica.
NOTA La opcin 12 de DHCP (opcin de nombre de host) est habilitada
cuando el dispositivo es un cliente DHCP. Si la opcin 12 de DHCP se recibe

desde un servidor DHCP, se guardar como el nombre de host del servidor.
El switch no solicitar la opcin 12 de DHCP. El servidor DHCP debe estar
configurado para enviar la opcin 12, sin importar lo que se solicite, para
poder hacer uso de la funcin.
Si se usa una direccin IP esttica, configure los siguientes campos.
Direccin IP: ingrese la direccin IP y configure uno de los siguientes

campos:
-
Mscara de red: seleccione e ingrese la mscara de direccin IP.
Longitud del prefijo: seleccione e ingrese la longitud del prefijo de la

direccin IPv4.
Puerta de enlace administrativa predet.: seleccione Definido por el

usuario e ingrese la direccin IP de puerta de enlace predeterminada o
seleccione Ninguna para eliminar la direccin IP de puerta de enlace
predeterminada seleccionada de la interfaz.
Puerta de enlace operativa predeterminada: muestra el estado actual de

la puerta de enlace predeterminada.
NOTA Si el switch no est configurado con una puerta de enlace
predeterminada, no se puede comunicar con otros dispositivos que no estn
en la misma subred IP.
Si se obtiene una direccin IP dinmica del servidor DHCP, seleccione aquellos de

los siguientes campos que estn habilitados:
Renovar direccin IP ahora: la direccin IP dinmica del switch se puede

renovar en cualquier momento despus de que el servidor DHCP la haya
asignado. Tenga en cuenta que, segn la configuracin del servidor DHCP, el
switch podr recibir nuevas direcciones IP luego de la renovacin que
requiere la configuracin de la utilidad de configuracin de switch basada
en la Web para la nueva direccin IP.
300
17
Configuracin automtica a travs de DHCP: muestra el estado de la

funcin de configuracin automtica. Usted puede configurarlo desde
Administracin > Administracin de archivo > Configuracin automtica de
DHCP.
PASO 3 Haga clic en Aplicar. La configuracin de la interfaz IPv4 se escribe en el archivo
Definicin de una interfaz IPv4 en modo de capa 3 del sistema

La pgina Interfaz IPv4 se usa cuando el switch est en el modo de capa 3. Este
modo habilita la configuracin de direcciones IP mltiples para la administracin
del switch y proporciona servicios de enrutamiento.
La direccin IP se puede configurar en un puerto, LAG o interfaz VLAN.
Al funcionar en el modo de capa 3, el switch enva el trfico entre las subredes IP
directamente conectadas configuradas en el switch. El switch contina
puenteando el trfico entre los dispositivos de la misma VLAN. En la pgina Rutas
estticas IPv4 se pueden configurar rutas IPv4 adicionales para enrutamiento a
subredes no conectadas directamente.
NOTA El software del switch consume una ID de VLAN (VID) por cada
direccin IP que se configura en un puerto o LAG. El switch toma la primera

VID que no est usada comenzando por 4094.
Para configurar las direcciones IPv4:
PASO 1 Haga clic en Configuracin de IP > Interfaz de administracin e IP> Interfaz
IPv4. Se abre la pgina Interfaz IPv4.

Para habilitar el enrutamiento IPv4, nicamente en dispositivos SG500X,
seleccione la casilla Habilitar. En los dispositivos Sx500, cuando cambia el modo
del sistema de capa 2 a capa 3, automticamente se habilita el enrutamiento IP.
Esta pgina muestra los siguientes campos sobre la Tabla de interfaz IPv4:
Interfaz: interfaz para la que se define la direccin IP.
Tipo de direccin IP: direccin IP definida como esttica o DHCP.
Esttica: ingresada manualmente.
DHCP: recibida del servidor DHCP.
Direccin IP: direccin IP configurada para la interfaz.
301
17
Mscara: mscara de direccin IP configurada.
Estado: resulta de la verificacin de la duplicacin de la direccin IP.

-
Tentativo: no hay un resultado final para la verificacin de la duplicacin

de la direccin IP.
Vlida: se complet la verificacin de colisiones de direccin IP y no se

detect ninguna colisin de direccin IP.
Duplicacin vlida: se complet la verificacin de la duplicacin de la

direccin IP y se detect una duplicacin de la direccin IP.
Duplicado: se detect una direccin IP duplicada para la direccin IP

predeterminada.
Retrasado: la asignacin de la direccin IP se retrasa 60 segundos si el

cliente DHCP se habilita en el arranque, a fin de darle tiempo para
detectar la direccin DHCP.
No recibido: relevante para la direccin DHCP. Cuando un cliente DCHP

comienza un proceso de deteccin, asigna una direccin IP ficticia 0.0.0.0
antes de obtener la direccin verdadera. Esta direccin ficticia tiene el
estado No recibido.
PASO 2 Haga clic en Aadir. Se abre la pgina Aadir interfaz IPv4.

PASO 3 Seleccione uno de los siguientes campos:
Interfaz: seleccione Port, LAG o VLAN como interfaz asociada con esta
configuracin IP, y seleccione un valor para la interfaz de la lista.
Tipo de direccin IP: seleccione una de las siguientes opciones:

-
Direccin IP dinmica: reciba la direccin IP de un servidor DHCP.
Direccin IP esttica: ingrese la direccin IP.
PASO 4 Si ha seleccionado Direccin esttica, ingrese la Direccin IP para esta interfaz.

PASO 5 Ingrese la mscara de red o la longitud de prefijo para esta direccin IP.
Mscara de red: mscara IP para esta direccin.
Longitud del prefijo: longitud del prefijo IPv4.
PASO 6 Haga clic en Aplicar. La configuracin de la direccin IPv4 se escribe en el archivo
302
17
PRECAUCIN Cuando el sistema se encuentra en modo Apilamiento nativo, y hay un sistema de
respaldo maestro presente, es preferible configurar la direccin IP como direccin

esttica, para as evitar la desconexin desde la red durante una conmutacin de
maestro de apilamiento. Esto se debe a que cuando el respaldo maestro toma el
control sobre la pila, con DHCP en uso, es posible que reciba una direccin IP
distinta a la que haba recibido desde la unidad maestra original permitida de la
pila.
Administracin de IPv6
La versin 6 del protocolo de Internet (IPv6) es un protocolo de la capa de red
para interconexiones entre redes de conmutacin de paquetes. IPv6 se dise
para reemplazar a IPv4, el protocolo de Internet implementado de manera
predominante.
IPv6 presenta mayor flexibilidad en la asignacin de direcciones IP porque el
tamao de las direcciones aumenta de 32 bits a 128 bits. Las direcciones IPv6 se
escriben como ocho grupos de cuatro dgitos hexadecimales, por ejemplo,
FE80:0000:0000:0000:0000:9C00:876A:130B. La forma abreviada, en la que un
grupo de ceros puede quedar afuera y ser reemplazado por '::', tambin se acepta,
por ejemplo, ::-FE80::9C00:876A:130B.
Los nodos IPv6 requieren un mecanismo de asignacin intermediario para
comunicarse con otros nodos IPv6 en una red solo con IPv4. Este mecanismo,
denominado tnel, permite a los hosts solo IPv6 alcanzar los servicios IPv4, y
permite a las redes y a los hosts IPv6 aislados alcanzar un nodo IPv6 en la
infraestructura IPv4.
La tunelizacin utiliza el mecanismo ISATAP. Este protocolo trata la red IPv4 como
enlace local IPv6 virtual, con asignaciones de cada direccin IPv4 a una direccin
IPv6 local de enlace.
El switch detecta tramas IPv6 mediante el Ethertype IPv6.
303
17
Definicin de la configuracin global IPv6

La pgina Configuracin global IPv6 define la frecuencia de los mensajes de
error de ICMP IPv6 que genera el switch.
Para definir los parmetros globales IPv6:
PASO 1 En el modo de capa 2 del sistema, haga clic en Administracin > Interfaz de
administracin > Configuracin global IPv6.

En el modo de capa 3 del sistema, haga clic en Configuracin de IP > Interfaz de
administracin e IP> Configuracin global IPv6.
Se abre la pgina Configuracin global IPv6.
Intervalo de lmite de velocidad ICMPv6: ingrese la frecuencia con que se

generan los mensajes de error de ICMP.
Tamao de cubeta de lmite de velocidad ICMPv6: ingrese el nmero

mximo de mensajes de error de ICMP que puede enviar el switch por
intervalo.
PASO 3 Haga clic en Aplicar. Los parmetros globales de IPv6 se escriben en el archivo
Definicin de una interfaz IPv6

Una interfaz IPv6 se puede configurar en un puerto, un LAG, una VLAN o una
interfaz de tnel ISATAP. El switch admite una interfaz IPv6 como dispositivo final
IPv6.
Una interfaz de tnel se configura con una direccin IPv6 segn la configuracin
que se define en la pgina Tnel IPv6.
Para definir una interfaz IPv6:
administracin> Interfaz IPv6.

administracin e IP > Interfaz IPv6.
Se abre la pgina Interfaz IPv6.
304
17
En esta pgina se muestran las interfaces IPv6 ya configuradas.

PASO 2 Haga clic en Aadir para aadir una interfaz nueva en la que se habilite la interfaz
IPv6.
PASO 3 Se abre la pgina Aadir interfaz IPv6 .
PASO 4 Ingrese los valores.
Interfaz IPv6: seleccione un puerto, LAG, VLAN o tnel ISATAP especfico.
Nmero de intentos de DAD: ingrese la cantidad de mensajes de solicitud

de vecinos consecutivos que se envan mientras se realiza la Duplicate
Address Detection (DAD, Deteccin de direcciones duplicadas) en las
direcciones IPv6 de unidifusin de la interfaz. DAD verifica que haya una sola
direccin IPv6 de unidifusin nueva antes de que se asigne. Las direcciones
nuevas permanecen en estado tentativo durante la verificacin de DAD. Si
usted ingresa 0 en este campo, se deshabilita el procesamiento de
deteccin de direcciones duplicadas en la interfaz especificada. Si usted
ingresa 1 en este campo, se indica una sola transmisin sin transmisiones de
seguimiento.
Configuracin automtica de direccin IPv6: permite la configuracin

automtica de la direccin. Si se habilita, el switch admite la configuracin
automtica de direccin sin estado IPv6 de la direccin IP local y global del
sitio del anuncio del router IPv6 recibido en la interfaz. El switch no admite la
configuracin automtica de direccin con estado. Si la configuracin
automtica no se habilita, defina una direccin de IPv6 desde la pgina
Direcciones IPv6.
Enviar mensajes ICMPv6: habilite la generacin de mensajes de destino

inalcanzables.
PASO 5 Haga clic en Aplicar para habilitar el procesamiento de IPv6 en la interfaz
seleccionada. Las interfaces IPv6 regulares tienen las siguientes direcciones

automticamente configuradas:
Direccin local de enlace mediante el ID de interfaz de formato EUI-64

basado en la direccin MAC de un dispositivo
Todas las direcciones de multidifusin locales de enlace de nodo (FF02::1)
Direccin de multidifusin de nodo solicitado (formato FF02::1:FFXX:XXXX)
PASO 6 Haga clic en Tabla de direccin IPv6 para asignar manualmente direcciones IPv6
a la interfaz, si es necesario. Esta pgina se describe en la seccin Definicin de

direcciones IPv6.
305
17
Definicin de direcciones IPv6

Para asignar una direccin IPv6 a una interfaz IPv6:
administracin> Direccin IPv6.

administracin e IP > Direccin IPv6.
Se abre la pgina Direcciones IPv6.
PASO 2 Para filtrar la tabla, seleccione un nombre de interfaz y haga clic en Ir. La interfaz
se muestra en la Tabla de direccin IPv6.

PASO 3 Haga clic en Aadir. Se abre la pgina Aadir direccin IPv6.
PASO 4 Ingrese los valores para los campos.
Interfaz IPv6: muestra la interfaz sobre la cual se definir la direccin IPv6.

direccin IPv6 para aadir.


Direccin IPv6: el switch admite una interfaz IPv6. Adems de las

direcciones de multidifusin y locales de enlace predeterminadas, el
dispositivo tambin aade automticamente direcciones globales a la
interfaz segn los anuncios de router que recibe. El dispositivo admite un
mximo de 128 direcciones en la interfaz. Cada direccin debe ser una
direccin IPv6 vlida, especificada en formato hexadecimal mediante
valores de 16 bits separados por dos puntos.
NOTA Usted no puede configurar una direccin IPv6 directamente en una
interfaz de tnel ISATAP.
Longitud del prefijo: la longitud del prefijo IPv6 global es un valor de 0 a 128
que indica la cantidad de bits contiguos de orden superior de la direccin
comprende el prefijo (la porcin de red de la direccin).
306
17
EUI-64: seleccione el parmetro EUI-64 para identificar la porcin del ID de

interfaz de la direccin IPv6 global mediante el formato EUI-64 segn la
direccin MAC de un dispositivo.
Definicin de una lista de routers predeterminados IPv6

La pgina Lista de routers predeterminados IPv6 habilita la configuracin y
visualizacin de las direcciones de router IPv6 predeterminadas. Esta lista
contiene los routers que son candidatos a convertirse en el router predeterminado
del switch para el trfico no local (pueden estar vacos). El switch selecciona
aleatoriamente un router de la lista. El switch admite un router predeterminado
IPv6 esttico. Los routers predeterminados dinmicos son routers que han
enviado anuncios de router a la interfaz IPv6 del switch.
Al aadir o eliminar direcciones IP, se producen los siguientes eventos:
Al eliminar una interfaz IP, se eliminan todas las direcciones IP del router
predeterminado.
Las direcciones IP dinmicas no se pueden eliminar.
Se muestra un mensaje de alerta despus de que se hace el intento de

insertar ms de una direccin definida por el usuario.
Se muestra un mensaje de alerta al intentar insertar una direccin de tipo

local sin enlace, es decir, 'fe80:'.
Para definir un router predeterminado:

PASO 1 En el modo de capa 2 del sistema, haga clic en Administracin> Interfaz de
administracin> Lista de routers predeterminados IPv6.

administracin e IP > Lista de routers predeterminados IPv6.
Se abre la pgina Lista de routers predeterminados IPv6.
En esta pgina se muestran los siguientes campos para cada router
predeterminado:
Direccin IPv6 de router predeterminada: direccin IP local de enlace del

router predeterminado.
Interfaz: interfaz IPv6 de salida donde reside el router predeterminado.
307
17
Tipo: la configuracin del router predeterminado que incluye las siguientes

opciones:
-
Esttica: el router predeterminado se ha aadido manualmente a esta

tabla mediante el botn Aadir.
Dinmica: el router predeterminado se ha configurado dinmicamente.
Estado: las opciones de estado del router predeterminado son:

-
Incompleto: la resolucin de direccin se encuentra en proceso. El router

predeterminado an no ha respondido.
Alcanzable: se ha recibido una confirmacin positiva dentro del Tiempo
alcanzable.
-
Obsoleto: la red vecina anteriormente conocida es inalcanzable, y no se

toma ninguna medida para verificar su accesibilidad hasta que sea
necesario enviar trfico.
Retraso: la red vecina anteriormente conocida es inalcanzable. El

dispositivo est en estado de Retraso durante un Tiempo de retraso
predefinido. Si no se recibe confirmacin, el estado cambia a Sonda.
Sonda: la red vecina no est disponible, y las sondas de solicitudes de

vecinos de unidifusin se estn enviando para verificar el estado.
PASO 2 Haga clic en Aadir para aadir un router predeterminado esttico. Se abre la
pgina Aadir router predeterminado.

La ventana muestra la interfaz local de enlace. La interfaz puede ser un puerto, un
LAG, una VLAN o un tnel.
PASO 3 Ingrese la direccin IP del router predeterminado esttico en el campo Direccin
IPv6 del router predeterminado.

PASO 4 Haga clic en Aplicar. El router predeterminado se escribe en el archivo
308
17
Configuracin de tneles IPv6

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) habilita la encapsulacin
de paquetes IPv6 dentro de paquetes IPv4 para transmisin en redes IPv4. Para
configurar un tnel, realice lo siguiente:
Habilite y configure manualmente un tnel ISATAP.
Defina manualmente una interfaz IPv6 para el tnel ISATAP.
A continuacin, el switch configura automticamente la direccin IPv6 local de

enlace en la interfaz IPv6.
Al definir tneles ISATAP, tenga en cuenta lo siguiente:
Se asigna una direccin local de enlace IPv6 a la interfaz ISATAP. La

direccin IP inicial se asigna a la interfaz, que luego se activa.
Si una interfaz ISATAP est activa, la direccin IPv4 del router ISATAP se
resuelve mediante el DNS utilizando la asignacin de ISATAP a IPv4. Si el
registro DNS de ISATAP no se resuelve, se busca la asignacin de nombre
de host de ISATAP a direccin en la tabla de asignacin de host.
Cuando una direccin IPv4 del router ISATAP no se resuelve mediante el

proceso de DNS, la interfaz IP de ISATAP permanece activa. El sistema no
tiene un router predeterminado para el trfico de ISATAP hasta que se
resuelve el proceso de DNS.
Para configurar un tnel IPv6:

administracin > Tnel IPv6.

administracin e IP > Tnel IPv6.
Se abre la pgina Tnel IPv6.
Nmero de tnel: muestra el nmero de dominio del router del tnel

automtico.
Tipo de tnel: siempre se muestra como ISATAP.
Direccin IPv4 de origen: deshabilite el tnel ISATAP o habilite el tnel

ISATAP en una interfaz IPv4. La direccin IPv4 de la interfaz IPv4
seleccionada sola ser parte de la direccin IPv6 en la interfaz del tnel
309
17
ISATAP. La direccin IPv6 tiene un prefijo de red de 64 bits de fe80::, con el

resto de los 64 bits formados mediante la concatenacin de 0000:5EFE y la
direccin IPv4.
-
Automtico: selecciona automticamente la direccin IPv4 ms baja de

todas sus interfaces IPv4 configuradas.
Ninguna: deshabilita el tnel ISATAP.
Manual: configure manualmente una direccin IPv4. La direccin IPv4

configurada debe ser una de las direcciones IPv4 de las interfaces IPv4
del switch.
Nombre de dominio del router de tnel: una cadena global que representa
un nombre de dominio del router del tnel automtico especfico. El nombre
puede ser el nombre predeterminado (ISATAP) o un nombre definido por el
usuario.
Intervalo de consultas: la cantidad de segundos de 10 a 3600 entre

consultas DNS (antes de que se conozca la direccin IP del router ISATAP)
para este tnel. El intervalo puede ser el valor predeterminado (10 segundos)
o un intervalo definido por el usuario.
Intervalo de solicitud de ISATAP: la cantidad de segundos de 10 a 3600

entre mensajes de solicitud de router ISATAP, cuando no hay un router
ISATAP activo. El intervalo puede ser el valor predeterminado (10 segundos)
o un intervalo definido por el usuario.
Solidez de ISATAP: se usa para calcular el intervalo para las consultas DNS
o de solicitud de router. Cuanto ms grande es el nmero, ms frecuentes
son las consultas. El valor predeterminado es 3. El rango es 1-20.
NOTA El tnel ISATAP no est en funcionamiento si la interfaz IPv4
subyacente no est en funcionamiento.

PASO 3 Haga clic en Aplicar. El tnel se escribe en el archivo Configuracin en ejecucin.
310
17
Definicin de la informacin de vecinos IPv6

La pgina Vecinos IPv6 habilita la configuracin y visualizacin de la lista de
vecinos IPv6 en la interfaz IPv6. La Tabla de vecinos IPv6 (tambin conocida como
Cach de deteccin de vecinos IPv6) muestra las direcciones MAC de los vecinos
IPv6 que estn en la misma subred IPv6 que el switch. Esto se usa para verificar la
accesibilidad de este vecino. Esto es el equivalente IPv6 de la tabla ARP para IPv4.
Cuando el switch necesita comunicarse con sus vecinos, usa la Tabla de vecino
IPv6 para determinar las direcciones MAC basadas en sus direcciones IPv6.
La pgina muestra los vecinos que se han detectado automticamente o las
entradas configuradas manualmente. Cada entrada muestra con qu interfaz est
conectado el vecino, las direcciones MAC e IPv6 del vecino, el tipo de entrada
(esttica o dinmica) y el estado del vecino.
Para definir vecinos IPv6:
administracin > Vecinos IPv6.

administracin e IP > Vecinos IPv6.
Se abre la pgina Vecinos IPv6.
PASO 2 Puede seleccionar la opcin Borrar tabla para borrar algunas o todas las
direcciones IPv6 en la Tabla de vecino IPv6.
Solo esttico: elimina las entradas de direcciones IPv6 estticas.
Solo dinmica: elimina las entradas de direcciones IPv6 dinmicas.
Dinmicas y estticas: elimina las entradas de direcciones IPv6 dinmicas y

estticas.
Para las interfaces de vecindad se muestran los siguientes campos:
Interfaz: tipo de interfaz IPv6 de vecindad.
Direccin IPv6: direccin Pv6 de un vecino.
Direccin MAC: direccin MAC asignada a la direccin IPv6 especificada.
Tipo: Tipo de entrada de informacin de cach de deteccin de vecinos

(esttica o dinmica).
Estado: especifica el estado de los vecinos IPv6. Los valores son:
311
17
Incompleto: la resolucin de direccin est funcionando. El vecino an no

ha respondido.
Alcanzable: se sabe que el vecino es accesible.
Obsoleto: el vecino anteriormente conocido es inalcanzable. No se toma

ninguna medida para verificar su accesibilidad hasta que se deba enviar
el trfico.
Retraso: el vecino anteriormente conocido es inalcanzable. La interfaz

est en estado de Retraso durante un Tiempo de retraso predefinido. Si
no se recibe confirmacin de accesibilidad, el estado cambia a Sonda.
Sonda: ya no se sabe si el vecino es accesible, y se estn enviando

sondas de solicitudes de vecinos de unidifusin para verificar la
accesibilidad.
PASO 3 Para aadir un vecino a la tabla, haga clic en Aadir. Se abre la pgina Aadir
vecinos IPv6.
Interfaz: la interfaz IPv6 de vecindad para aadir.
Direccin IPv6: ingrese la direccin de red IPv6 asignada a la interfaz. La

direccin debe ser una direccin IPv6 vlida.
Direccin MAC: ingrese la direccin MAC asignada a la direccin IPv6

especificada.

PASO 6 Para cambiar el tipo de una direccin IP de Dinmica a Esttica, utilice la pgina
Editar vecinos IPv6.
Visualizacin de la tabla de rutas IPv6

La pgina Rutas IPv6 muestra la Tabla de enrutamiento IPv6. La tabla contiene una
sola ruta predeterminada (direccin IPv6: 0) que usa el router predeterminado
seleccionado de la Lista de routers predeterminados IPv6 para enviar paquetes a
dispositivos de destino que no estn en la misma subred IPv6 que el switch.
Adems de la ruta predeterminada, la tabla tambin contiene rutas dinmicas que
312
17
son rutas de redireccin ICMP recibidas de routers IPv6 mediante mensajes de

redireccin ICMP. Esto puede suceder cuando el router predeterminado que usa el
switch no es el router para trfico a las subredes IPv6 con el que el switch desea
comunicarse.
Para ver las entradas de enrutamiento IPv6 en el modo de capa 2:
PASO 1 Haga clic en Administracin > Interfaz de administracin > Rutas IPv6.
o
Para ver las entradas de enrutamiento IPv6 en el modo de capa 3 del sistema:
Haga clic en Configuracin de IP > Interfaz de administracin e IP > Rutas IPv6.
Se abre la pgina Rutas IPv6.
Direccin IPv6: la direccin de subred IPv6.
Longitud de prefijo: longitud del prefijo de la ruta IP para la direccin de

subred IPv6 de destino. Est precedida por una diagonal.
Interfaz: interfaz que se usa para reenviar el paquete.
Salto siguiente: direccin a la que se reenva el paquete. Por lo general, es

la direccin de un router vecino, que debe ser una direccin local de enlace.
Mtrico: valor que se usa para comparar esta ruta con otras rutas con el
mismo destino en la tabla de routers IPv6. Todas las rutas predeterminadas
tiene el mismo valor.
Tiempo de vida: perodo de tiempo durante el cual el paquete se puede

enviar y reenviar, antes de eliminarse.
Tipo de ruta: cmo est conectado el destino y el mtodo que se usa para
obtener la entrada. Los siguientes valores son:
-
Local: red conectada directamente; el prefijo deriva de una direccin

IPv6 de un switch configurado manualmente.
Dinmica: el destino est indirectamente conectado (remoto) a la

direccin de subred IPv6. La entrada se ha obtenido dinmicamente a
travs del protocolo ICMP o ND.
Esttica: el usuario ha configurado manualmente la entrada.
313
17

Cuando el switch est en el modo de capa 3 del sistema, esta pgina habilita la
configuracin y visualizacin de rutas estticas IPv4 en el switch. Cuando se rutea
el trfico, el siguiente salto se decide en funcin de la correspondencia de prefijo
ms extenso (algoritmo LPM). Una direccin IPv4 de destino puede coincidir con
mltiples rutas en la Tabla de rutas estticas IPv4. El switch usa la ruta que
coincide con la mscara de subred ms alta, es decir, la coincidencia con el prefijo
ms extenso.
Para definir una ruta esttica IP:
PASO 1 Haga clic en Configuracin de IP > Rutas IPv4.
Se abre la pgina Rutas estticas IPv4.

PASO 2 Haga clic en Aadir. Se abre la pgina Aadir ruta esttica IP.
Prefijo IP de destino: ingrese el prefijo de la direccin IP de destino.
Mscara: seleccione e ingrese informacin para uno de los siguientes

puntos:
Mscara de red: prefijo de la ruta IP para IP de destino.
Longitud del prefijo: prefijo de la ruta IP para IP de destino.
Direccin IP de router de salto siguiente: ingrese el alias IP o la direccin

IP del siguiente salto en la ruta.
NOTA No puede configurar una ruta esttica a travs de una subred IP
directamente conectada en donde el switch obtiene su direccin IP de un

servidor DHCP.
Tipo de ruta: seleccione el tipo de ruta.

-
Rechazar : rechaza la ruta y detiene el enrutamiento a la red de destino

por todas las puertas de enlace. Esto garantiza que si llega una trama con
la direccin IP de destino de esta ruta, se omite.
Remoto: indica que la ruta es un trayecto remoto.
Mtrico: ingrese la distancia administrativa que hay hasta el salto siguiente.

El rango es de 1 a 255.
314
17
PASO 4 Haga clic en Aplicar. La ruta IP esttica se escribe en el archivo Configuracin en
ejecucin.
Configuracin de ARP
El switch mantiene una tabla de Address Resolution Protocol (ARP, Protocolo de
resolucin de direccin) para todos los dispositivos conocidos que residen en sus
subredes IP directamente conectadas. Una subred IP directamente conectada es
la subred a la que una interfaz IPv4 del switch est conectada. Cuando el switch
necesita enviar/enrutar un paquete a un dispositivo local, busca en la tabla ARP
para obtener la direccin MAC del dispositivo. La tabla ARP contiene direcciones
estticas y dinmicas. Las direcciones estticas se configuran manualmente y no
vencen. El switch crea direcciones dinmicas de los paquetes ARP que recibe. Las
direcciones dinmicas vencen despus de un tiempo configurado.
NOTA En el modo de capa 2, el switch usa la informacin de asignacin de direccin IP y
MAC de la tabla ARP para reenviar el trfico que origina el switch. En el modo de
capa 3, la informacin de asignacin se usa para el enrutamiento de la capa 3 y
tambin para reenviar el trfico generado.
Para definir las tablas ARP:
PASO 1 Haga clic en Configuracin de IP > ARP. Se abre la pgina Tabla ARP.
Vencimiento de entrada del ARP: ingrese la cantidad de segundos que las

direcciones dinmicas pueden permanecer en la tabla ARP. Una direccin
dinmica vence despus de que el tiempo que est en la tabla supera el
tiempo de Vencimiento de entrada del ARP. Cuando una direccin dinmica
se vence, se elimina de la tabla y solo vuelve cuando se vuelve a aprender.
Borrar entradas de la tabla ARP: seleccione el tipo de entradas ARP que se

deben borrar del sistema.
-
Todas: elimina todas las direcciones estticas o dinmicas

inmediatamente.
Dinmicas: elimina todas las direcciones dinmicas inmediatamente.
Estticas: elimina todas las direcciones estticas inmediatamente.
315
17
Vencimiento normal: elimina todas las direcciones dinmicas segn

tiempo de Vencimiento de entrada del ARP configurado.
PASO 3 Haga clic en Aplicar. La configuracin de la interfaz global de ARP se escribe en el

La tabla ARP muestra los siguientes campos:
Interfaz: la interfaz IPv4 de la subred IP directamente conectada donde

reside el dispositivo IP.
Direccin IP: la direccin IP del dispositivo IP.
Direccin MAC: la direccin MAC del dispositivo IP.
Estado: si la entrada se ha ingresado manualmente o se ha aprendido

dinmicamente.
PASO 4 Haga clic en Aadir. Se abre la pgina Aadir entrada ARP.

Versin de IP: el formato de direccin IP que admite el host. Solo admite

IPv4.
Interfaz: interfaz IPv4 del switch.
Para los dispositivos en el modo de capa 2, solo hay una subred IP directamente
conectada que est siempre en la VLAN de administracin. Todas las
direcciones dinmicas y estticas de la Tabla ARP residen en la VLAN de
administracin.
Para los dispositivos en el modo de capa 3 del sistema, puede configurarse una
interfaz IPv4 en un puerto, LAG o VLAN. Seleccione la interfaz que desea de la
lista de interfaces IPv4 configuradas en el switch.
Direccin IP: ingrese la direccin IP del dispositivo local.
Direccin MAC: ingrese la direccin MAC del dispositivo local.
PASO 6 Haga clic en Aplicar. La entrada ARP se escribe en el archivo Configuracin en
ejecucin.
316
17

La tcnica ARP Proxy es utilizada por un dispositivo en una subred IP determinada
para responder consultas ARP para una direccin de red que no est en esa red.
NOTA La funcin proxy de ARP solo est disponible cuando el dispositivo se encuentra
en modo L3.
El ARP Proxy est al tanto del destino del trfico y ofrece otra direccin MAC en
respuesta. Al servir como ARP Proxy para otro host dirige de manera efectiva el
destino del trfico de LAN al host. El trfico capturado, por lo general, es ruteado
por el Proxy al destino deseado mediante otra interfaz o mediante un tnel.
El proceso en el que una solicitud de consulta ARP de una direccin IP diferente,
para los fines del proxy, hace que el nodo responda con su propia direccin MAC
a veces se denomina publicacin.
Esta pgina habilita la configuracin del estado de la funcin Proxy ARP. Despus
de habilitarla en esta pgina, se habilita para todas las interfaces IP.
Para habilitar ARP Proxy en el switch:
PASO 1 Haga clic en Configuracin de IP > Habilitar ARP Proxy.
Se abre la pgina ARP Proxy.

PASO 2 Seleccione ARP Proxy para habilitar el switch para que responda a solicitudes
ARP de nodos remotamente ubicados con la direccin MAC del switch.

PASO 3 Haga clic en Aplicar. Se habilita el proxy ARP y se actualiza el archivo
317
17

Esta funcin de retransmisin UDP solo est disponible cuando el switch est en
el modo de capa 3 del sistema. Por lo general, los switches no rutean los paquetes
de difusin IP entre subredes IP. Sin embargo, si se configura, el switch puede
retransmitir paquetes UDP especficos recibidos de sus interfaces IPv4 a
direcciones IP de destino especficas.
Para configurar la retransmisin de paquetes UDP recibidos de una interfaz IPv4
especfica con un puerto UDP de destino especfico, aada una Retransmisin
UDP:
PASO 1 Haga clic en Configuracin de IP > Definir Retransmisin UDP. Se abre la pgina
Retransmisin UDP.
PASO 2 Haga clic en Aadir. Se abre la pgina Aadir retransmisin UDP.
PASO 3 Seleccione la Interfaz IP de origen a donde desea que el switch retransmita los
paquetes de difusin UDP segn un puerto de destino UDP configurado. La

interfaz debe ser una de las interfaces IPv4 configuradas en el switch.
PASO 4 Ingrese el Puerto de destino UDP para los paquetes que el switch retransmitir.
Seleccione el puerto conocido de la lista desplegable o haga clic en el botn de

opcin del puerto para ingresar el nmero manualmente.
PASO 5 Ingrese la Direccin IP de destino que recibe las retransmisiones de paquetes
UDP. Si este campo es 0.0.0.0, los paquetes UDP se descartan. Si este campo es
255.255.255.255, los paquetes UDP se envan en forma masiva a todas las
interfaces IP.
PASO 6 Haga clic en Aplicar. La configuracin de la retransmisin UDP se escribe en el

El Sistema de nombres de dominio (DNS, Domain Name System) traduce nombres
de dominio definidos por el usuario en direcciones IP a los fines de ubicar y dirigir
estos objetos.
Como cliente DNS, el switch resuelve nombres de dominio en direcciones IP
mediante uno o ms servidores DNS configurados.
318
17
Definicin de servidores DNS

Utilice la pgina Servidores DNS para habilitar la configuracin de los servidores
DNS y del dominio predeterminado que usa el switch.
PASO 1 Haga clic en Configuracin de IP > Sistema de nombres de dominio >
Servidores DNS. Se abre la pgina Servidores DNS.

DNS: seleccione esta opcin para designar el switch como el cliente DNS
que resuelve los nombres DNS en direcciones IP mediante uno o ms
servidores DNS configurados.
Nombre de dominio predeterminado: ingrese el nombre de dominio DNS

predeterminado (1-158 caracteres). El switch lo aade a todos los nombres
de dominio que no estn totalmente aprobados (FQDN) y los transforma en
FQDN.
Tipo: muestra las opciones de tipo de dominio predeterminado:

-
DHCP: el servidor DHCP asigna dinmicamente el nombre de dominio

predeterminado.
Esttico: el nombre de dominio predeterminado es definido por el

usuario.
N/D: no hay nombre de dominio predeterminado.
Tabla del servidor DNS:
Servidor DNS: las direcciones IP de los servidores DNS. Se pueden definir

hasta ocho servidores DNS.
Estado del servidor: el estado del servidor DNS puede ser activo o inactivo.
Solo puede haber un servidor activo. Cada servidor esttico tiene una
prioridad; un valor bajo significa una mayor prioridad. La primera vez que se
enva una solicitud, se selecciona el servidor esttico con prioridad ms
baja. Si despus de dos reintentos no hay respuesta del servidor, se
selecciona el siguiente servidor con la siguiente prioridad ms baja. Si
ninguno de los servidores estticos responde, se selecciona el primer
servidor dinmico de la tabla, ordenados por direccin IP (de baja a alta).
319
17
PASO 4 Para aadir un servidor DNS, haga clic en Aadir. Se abre la pgina Aadir
servidor DNS.
Versin IP: seleccione Versin 6 para IPv6 o Versin 4 para IPv4.
Las opciones son:
-



seleccione si se recibe a travs de VLAN2 o ISATAP.
Direccin IP del servidor DNS: ingrese la direccin IP del servidor DNS.
Estado del servidor DNS: seleccione esta opcin para activar el servidor
DNS nuevo.
PASO 6 Haga clic en Aplicar. El servidor DNS se escribe en el archivo Configuracin en
ejecucin.
Asignacin de hosts DNS

El switch guarda los nombres de dominio frecuentemente consultados que se
adquieren de los servidores DNS en la memoria cach de DNS local. La memoria
cach puede contener hasta 64 entradas estticas, 64 entradas dinmicas y una
entrada para cada direccin IP que DHCP configura en el switch. La resolucin de
nombre siempre comienza verificando las entradas estticas, contina verificando
las entradas dinmicas y termina enviando solicitudes al servidor DNS externo.
Se admiten varias direcciones IP por DNS por nombre de host.
320
17
Para aadir un nombre de domino y su direccin IP:

PASO 1 Haga clic en Configuracin de IP > Sistema de nombres de dominio >
Asignacin de host. Se abre la pgina Asignacin de host.

Nombre de host: el nombre de dominio definido por el usuario, hasta 158

caracteres.
Direccin IP: la direccin IP del nombre de host.
PASO 2 Para aadir una asignacin de host, haga clic en Aadir. Se abre la pgina Aadir
asignacin de host.
Versin IP: seleccione Versin 6 para IPv6 o Versin 4 para IPv4.
Las opciones son:
-



seleccione si se recibe a travs de VLAN2 o ISATAP.
Nombre de host: ingrese un nombre de dominio (hasta 158 caracteres).
Direccin IP: ingrese una direccin IPv4 o ingrese hasta cuatro direcciones
de host IPv6. Las direcciones 2 a 4 son direcciones de respaldo.
PASO 4 Haga clic en Aplicar. El host DNS se escribe en el archivo Configuracin en
ejecucin.
321
18
Configuracin de la seguridad
En esta seccin se describe la seguridad del switch y el control de acceso. El

sistema admite diferentes tipos de seguridad.
En la lista de temas que figura a continuacin se detallan los diferentes tipos de
funciones de seguridad descritos en esta seccin. Algunas funciones se utilizan
para ms de un tipo de seguridad o control, por lo que aparecen dos veces en la
lista de temas siguiente.
El permiso para administrar el switch se describe en las siguientes secciones:
La proteccin contra ataques dirigidos a la CPU del switch se describe en las

siguientes secciones:
Control de acceso
El control de acceso de los usuarios finales a la red a travs del switch se describe
en las siguientes secciones:
322
18
La proteccin contra otros usuarios de la red se describe en las siguientes

secciones. Estos son ataques que pasan a travs del switch, pero que no estn
dirigidos a este.
Control de acceso
El nombre de usuario y la contrasea predeterminados son cisco/cisco. La
primera vez que inicie sesin con el nombre de usuario y la contrasea
predeterminados, deber ingresar una nueva contrasea. Password complexity
(Complejidad de la contrasea) est habilitado de manera predeterminada. Si la
contrasea que elige no es lo suficientemente compleja, (la Configuracin de
complejidad de la contrasea est habilitada en la pgina Seguridad de la
contrasea), se le solicitar que cree otra contrasea.
Configuracin de cuentas de usuario

En la pgina Cuentas de usuario se puede ingresar usuarios adicionales que
tienen permitido acceder al switch (solo lectura o solo escritura) o cambiar las
contraseas de usuarios existentes.
Despus de aadir un usuario de nivel 15 (como se describe a continuacin), se
elimina al usuario predeterminado del sistema.
323
18
NOTA No es posible eliminar a todos los usuarios. Al seleccionar todos los usuarios, el
botn Eliminar no est disponible.

Para aadir un nuevo usuario:
PASO 1 Haga clic en Administracin > Cuentas de Usuario. Se muestra la pgina
Cuentas de usuario.
Esta pgina muestra los usuarios definidos en el sistema y su nivel de privilegio de
usuario.
PASO 2 Seleccione Servicio de recuperacin de contrasea para habilitar esta funcin.
Una vez habilitada, un usuario final, que tiene acceso fsico al puerto de la consola
del dispositivo, puede ingresar al men de inicio y activar el proceso de
recuperacin de la contrasea. Cuando el proceso de inicio del sistema finaliza,
usted puede iniciar sesin en el dispositivo sin la autenticacin de la contrasea. El
ingreso al dispositivo solo se permite a travs de la consola y nicamente si la
consola est conectada al dispositivo con acceso fsico.
Cuando el mecanismo de recuperacin de la contrasea est deshabilitado,
igualmente puede acceder al men de inicio y activar el proceso de recuperacin
de la contrasea. La diferencia es que en ese caso, todos los archivos de usuario y
de configuracin se eliminan durante el proceso de inicio del sistema y se genera
un mensaje de registro correspondiente al terminal.
PASO 3 Haga clic en Aadir para aadir un nuevo usuario o en Editar para modificar un
usuario. Se muestra la pgina Aadir (o Editar) una cuenta de usuario.

Nombre de usuario: ingrese un nombre de usuario nuevo con hasta un

mximo de 20 caracteres. No se permiten los caracteres UTF-8.
Contrasea: ingrese una contrasea (los caracteres UTF-8 no estn

permitidos). Si la seguridad y la complejidad de la contrasea estn
definidas, la contrasea del usuario debe cumplir con la poltica configurada
en la seccin Configuracin de reglas de complejidad de la contrasea.
Confirmar contrasea: ingrese la contrasea nuevamente.
Medidor de seguridad de la contrasea: indica la seguridad de la

contrasea. La poltica para la seguridad y la complejidad de las
contraseas est configurada en la pgina Seguridad de la contrasea.
Nivel de usuario: seleccione el nivel de privilegio del usuario que se est

aadiendo o editando.
324
18
Acceso de CLI de solo lectura (1): el usuario no puede acceder a la GUI,

sino solo a los comandos de la CLI que no cambian la configuracin del
switch.
Acceso a la CLI de lectura/escritura limitada (7): el usuario no puede

acceder a la GUI, sino solo a los comandos de la CLI que no cambian la
configuracin del switch. Para obtener mayor informacin, consulte la
Gua de referencia de CLI.
Acceso de administracin de lectura/escritura (15): el usuario puede

acceder a la GUI y configurar el switch.
PASO 5 Haga clic en Aplicar. El usuario se aade al archivo de Configuracin en ejecucin
del switch.
Configuracin de reglas de complejidad de la contrasea

Las contraseas se utilizan para autenticar a los usuarios que acceden al switch.
Las contraseas simples son posibles peligros a la seguridad. Por lo tanto, de
forma predeterminada se imponen los requisitos de complejidad de la contrasea,
y pueden configurarse como sea necesario. Los requisitos de complejidad de la
contrasea se configuran en la pgina Seguridad de la contrasea, a la que se
accede mediante el men desplegable Seguridad. En esta pgina, tambin puede
configurarse el tiempo de vencimiento de la contrasea.
Para definir las reglas de complejidad de la contrasea:
PASO 1 Haga clic en Seguridad > Seguridad de la contrasea. Se muestra la pgina
Seguridad de la contrasea.
PASO 2 Ingrese los siguientes parmetros de vencimiento para las contraseas:
Vencimiento de la contrasea: si se selecciona esta opcin, se le pide al

usuario que cambie la contrasea cuando el Tiempo de vencimiento de la
contrasea caduque.
Tiempo de vencimiento de la contrasea: ingrese el nmero de das que

pueden transcurrir antes de que se solicite al usuario que cambie la
contrasea.
NOTA El vencimiento de la contrasea tambin se aplica a las contraseas
de longitud cero (sin contrasea).
325
18
PASO 3 Seleccione Configuracin de complejidad de la contrasea para habilitar las
reglas de complejidad para las contraseas.

Si la complejidad de la contrasea est habilitada, las nuevas contraseas deben
ajustarse a los siguientes parmetros predeterminados:
Tener un mnimo de ocho caracteres.
Contener caracteres de, al menos, tres clases (maysculas, minsculas,

nmeros y caracteres especiales disponibles en un teclado estndar).
Ser diferentes de la contrasea actual.
No contener caracteres repetidos ms de tres veces consecutivas.
No repetir ni invertir el nombre del usuario ni ninguna variante que se

obtenga al cambiar el tamao de los caracteres.
No repetir ni invertir el nombre del fabricante ni ninguna variante que se

obtenga al cambiar el tamao de los caracteres.
PASO 4 Si la Configuracin de complejidad de la contrasea est habilitada, deben
configurarse los siguientes parmetros:
Longitud mnima de la contrasea: ingrese el nmero mnimo de

caracteres necesarios para las contraseas.
NOTA Est permitido ingresar una contrasea de longitud cero (sin
contrasea), e incluso se le puede asignar un vencimiento.
Repeticin de caracteres permitida: ingrese la cantidad de veces que se

puede repetir un carcter.
Cantidad mnima de clases de caracteres: ingrese el nmero de las clases

de caracteres que deben conformar una contrasea. Las clases de
caracteres son: minsculas (1), maysculas (2), dgitos (3) y smbolos o
caracteres especiales (4).
La contrasea nueva debe ser distinta de la actual: si se selecciona este

parmetro, la nueva contrasea no puede ser la misma que la actual.
PASO 5 Haga clic en Aplicar. La configuracin de la contrasea se escribe en el archivo
NOTA La configuracin de la equivalencia de nombre de usuario y contrasea y de la
equivalencia de fabricante y contrasea se puede realizar mediante la CLI. Para

obtener ms informacin, consulte la Gua de referencia de CLI.
326
18
El switch es un cliente del Sistema de control de acceso al controlador de
acceso al terminal (TACACS+) que puede utilizar un servidor TACACS+ para
proporcionar seguridad centralizada.
TACACS+ proporciona los siguientes servicios:
Autenticacin: proporciona la autenticacin de los administradores que

inician sesin en el switch con nombres de usuario y contraseas definidas
por el usuario.
Autorizacin: se realiza al iniciar sesin. Cuando finaliza la sesin de

autenticacin, comienza una sesin de autorizacin con el nombre de
usuario autenticado. El servidor TACACS+ luego comprueba los privilegios
del usuario.
El protocolo TACACS+ garantiza la integridad de la red, a travs de intercambios

cifrados entre el dispositivo y el servidor TACACS+.
TACACS+ solo es compatible con IPv4.
Los servidores TACACS+ no pueden usarse como servidores de autenticacin
802.1X para verificar las credenciales de los usuarios de la red que intentan unirse
a las redes a travs del switch.
Algunos servidores TACACS+ admiten una sola conexin que permite que el
dispositivo reciba toda la informacin en una sola conexin. Si el servidor
TACACS+ no admite una sola conexin, el dispositivo vuelve a varias conexiones.
Configuracin de los parmetros predeterminados de

TACACS+
La pgina TACACS+ permite configurar los servidores TACACS+.
Solo los usuarios que tienen el nivel de privilegio 15 en el servidor TACACS+
pueden administrar el switch. El nivel de privilegio 15 se le asigna a un usuario o a
un grupo de usuarios en el servidor TACACS+ mediante la siguiente cadena en la
definicin del usuario o del grupo:
service = exec {
priv-lvl = 15
}
327
18
Para configurar los parmetros del servidor TACACS+:

PASO 1 Haga clic en Seguridad > TACACS+. Se muestra la pgina TACACS+.
PASO 2 Ingrese la cadena de clave predeterminada que se usa para comunicar todos los
servidores TACACS+ en el modo de Cifrado o de Texto simple. El switch puede

configurarse para utilizar esta clave o para utilizar una clave ingresada para un
servidor especfico (ingresado en la pgina Aadir servidor TACACS+).
Si no ingresa una cadena de clave en este campo, la clave de servidor ingresada
en la pgina Aadir servidor TACACS+ individual debe coincidir con la clave de
cifrado que usa el servidor TACACS+.
Si ingresa tanto una cadena de clave aqu como una cadena de clave para un
servidor TACACS+ en particular, la cadena de clave configurada para el servidor
TACACS+ en particular tiene prioridad.
PASO 3 En el campo Tiempo en espera para respuesta, ingrese el tiempo que debe
transcurrir antes de que la conexin entre el switch y el servidor TACACS+ se

agote. Si no se ingresa un valor en la pgina Aadir servidor TACACS+ para un
servidor especfico, el valor se toma de este campo.
PASO 4 Haga clic en Aplicar. La configuracin de TACACS+ se aade al archivo
PASO 5 Para aadir un servidor TACACS+, haga clic en Aadir. Se muestra la pgina
Aadir servidor TACACS+.

Direccin IP del servidor: ingrese la direccin del servidor TACACS+.
Prioridad: ingrese el orden en el que se usa este servidor TACACS+. El cero

corresponde al servidor TACACS+ de mayor prioridad y al que se usa
primero. Si no puede establecer una sesin con el servidor de alta prioridad,
el switch lo intenta con el servidor que le sigue en prioridad.
Direccin IP de origen: (para dispositivos SG500X y otros dispositivos en

modo de sistema de Capa 3). Opte por usar la direccin de origen
predeterminada o seleccione una de las direcciones IP disponibles.
Cadena de clave: ingrese la cadena de clave predeterminada que se usa

para la autenticacin y el cifrado entre el switch y el servidor TACACS+. Esta
clave debe coincidir con la clave configurada en el servidor TACACS+. Una
cadena de clave se utiliza para cifrar las comunicaciones mediante MD5. La
clave se puede ingresar en formato cifrado o de texto simple. Si no tiene una
328
18
cadena de clave cifrada (de otro dispositivo), ingrese la cadena de clave en

modo de texto simple y haga clic en Aplicar. Se genera y se muestra la
cadena de clave cifrada.
De este modo se anula la cadena de clave predeterminada.
Tiempo en espera para respuesta: ingrese el tiempo que debe transcurrir

antes de que la conexin entre el switch y el servidor TACACS+ se agote.
Seleccione Usar predeterminado para usar el valor predeterminado que
aparece en la pgina.
Puerto IP de autenticacin: ingrese el nmero de puerto a travs del que

tiene lugar la sesin de TACACS+.
Conexin simple: seleccione esta opcin para habilitar la recepcin de toda

la informacin en una conexin simple. Si el servidor TACACS+ no admite
una sola conexin, el dispositivo vuelve a varias conexiones.
PASO 7 Para mostrar los datos confidenciales en texto simple en el archivo de
configuracin, haga clic en Mostrar datos confidenciales como texto simple.

PASO 8 Haga clic en Aplicar. El servidor TACACS+ se aade al archivo de Configuracin
en ejecucin del switch.
Los servidores del Servicio de acceso telefnico con autorizacin remota para el
usuario (RADIUS) proporcionan un control de acceso de red centralizado basado
en 802.1X o MAC. El switch es un cliente RADIUS que puede utilizar un servidor
RADIUS para proporcionar seguridad centralizada.
Para configurar los parmetros del servidor RADIUS:
PASO 1 Haga clic en Seguridad > RADIUS. Se muestra la pgina RADIUS.
PASO 2 Ingrese la opcin de contabilidad RADIUS. Las opciones disponibles son las
siguientes:
Control de acceso basado en puertos (802.1X, basado en MAC):

especifica que el servidor RADIUS se usa para la contabilidad del puerto
802.1x.
329
18
Acceso a administracin: especifica que el servidor RADIUS se usa para la

contabilidad de inicio de sesin del usuario.
Control de acceso basado en puertos y acceso a administracin:

especifica que el servidor RADIUS se usa tanto para la contabilidad de inicio
de sesin del usuario como para la contabilidad del puerto 802.1x.
Ninguna: especifica que el servidor RADIUS no se usa para la contabilidad.
PASO 3 Ingrese los parmetros predeterminados de RADIUS, si es necesario. Los valores
ingresados en Parmetros predeterminados se aplican a todos los servidores. Si

no se ingresa un valor para un servidor especfico (en la pgina Aadir servidor
RADIUS), el switch usa los valores en estos campos.
Versin IP: muestra las versiones de IP admitidas: subred IPv6 o IPv4.
Reintentos: ingrese el nmero de solicitudes transmitidas que se envan al

servidor RADIUS antes de que se considere que ocurri una falla.
Tiempo de espera para respuesta: ingrese el nmero de segundos que el

switch espera una respuesta del servidor RADIUS antes de volver a intentar
realizar la consulta, o cambiar al siguiente servidor.
Tiempo muerto: ingrese el nmero de minutos que transcurren antes de que

se desven las solicitudes de servicio de un servidor RADIUS que no
responde. Si el valor es 0, no se desva del servidor.
Cadena de clave: ingrese la cadena de clave predeterminada que se usa

para autenticar y cifrar entre el switch y el servidor RADIUS. Esta clave debe
coincidir con la clave configurada en el servidor RADIUS. Una cadena de
clave se utiliza para cifrar las comunicaciones mediante MD5. La clave se
puede ingresar en formato cifrado o de texto simple. Si no tiene una cadena
de clave cifrada (de otro dispositivo), ingrese la cadena de clave en modo de
texto simple y haga clic en Aplicar. Se genera y se muestra la cadena de
clave cifrada.
De este modo se anula la cadena de clave predeterminada.
Direccin IPv4 de origen: ingrese la direccin IPv4 de origen que se usar.
Direccin IPv6 de origen: ingrese la direccin IPv6 de origen que se usar.
PASO 4 Haga clic en Aplicar. La configuracin predeterminada de RADIUS para el switch
se actualiza en el archivo Configuracin en ejecucin.

Para aadir un servidor RADIUS, haga clic en Aadir. Se muestra la pgina Aadir
servidor RADIUS.
330
18
PASO 5 Ingrese los valores en los campos de cada servidor RADIUS. Para usar los valores
predeterminados ingresados en la pgina RADIUS, seleccione Usar

predeterminados.
Versin de IP: si el servidor RADIUS se identificar por direccin IP,

seleccione IPv4 o IPv6 para indicar que se ingresa en el formato
seleccionado.
Tipo de direccin IPv6: muestra que el tipo de direccin IPv6 es Global.
Direccin IP/Nombre del servidor: seleccione para especificar si el

servidor RADIUS se identificar por direccin IP o por nombre.
Prioridad: ingrese la prioridad del servidor. La prioridad determina el orden

en que el switch intenta comunicarse con los servidores para autenticar a un
usuario. El switch comienza con el servidor RADIUS de mayor prioridad, que
corresponde al cero.
Direccin IP de origen: (para dispositivos en modo de sistema de Capa 3).

Opte por usar la direccin de origen predeterminada o seleccione una de las
direcciones IP disponibles.
Cadena de clave: ingrese la cadena de clave que se usa para autenticar y
cifrar entre el switch y el servidor RADIUS. Esta clave debe coincidir con la
clave configurada en el servidor RADIUS. Si se selecciona Usar
predeterminado, el switch intenta autenticarse con el servidor RADIUS al
usar la cadena de clave predeterminada.
Tiempo de espera para respuesta: ingrese el nmero de segundos que el

switch espera una respuesta del servidor RADIUS antes de volver a intentar
realizar la consulta o de cambiar al siguiente servidor si se alcanz el nmero
mximo de reintentos. Si se selecciona Usar predeterminado, el switch usa
el valor predeterminado de tiempo de espera.
Puerto de autenticacin: ingrese el nmero del puerto UDP del servidor

RADIUS para las solicitudes de autenticacin.
Puerto de contabilidad: ingrese el nmero del puerto UDP del servidor

RADIUS para las solicitudes de cuentas.
Reintentos: ingrese el nmero de solicitudes que se envan al servidor

RADIUS antes de que se considere que ocurri una falla. Si se selecciona
Usar predeterminado, el switch usa el valor predeterminado para el nmero
de reintentos.
331
18
Tiempo muerto: ingrese el nmero de minutos que deben transcurrir antes

de que se desven las solicitudes de servicio de un servidor RADIUS que no
responde. Si se selecciona Usar predeterminado, el switch usa el valor
predeterminado para el tiempo muerto. Si ingresa 0 minutos, no hay tiempo
muerto.
Tipo de uso: ingrese el tipo de autenticacin del servidor RADIUS. Las

opciones son:
-
Inicio de sesin: el servidor RADIUS se usa para autenticar usuarios que

solicitan administrar el switch.
802.1X: el servidor RADIUS se usa para la autenticacin de 802.1x.
Todos: el servidor RADIUS se usa para autenticar a un usuario que

solicita administrar el switch y para la autenticacin de 802.1X.
PASO 6 Para mostrar los datos confidenciales en texto simple en el archivo de
configuracin, haga clic en Mostrar datos confidenciales como texto simple.

PASO 7 Haga clic en Aplicar. El servidor RADIUS se aade al archivo de Configuracin en
ejecucin del switch.
Consulte Administracin de claves, que se incluye en el Captulo sobre RIP.
332
18

Usted puede asignar mtodos de autenticacin para los diversos mtodos de
acceso a administracin, como SSH, consola, Telnet, HTTP y HTTPS. La
autenticacin puede realizarse en forma local o en un servidor TACACS+ o
RADIUS.
Para que el servidor RADIUS otorgue acceso a la utilidad de configuracin de
switch basada en la Web, este debe devolver cisco-avpair = shell:priv-lvl=15.
La autenticacin de los usuarios se realiza en el orden en que estn seleccionados
los mtodos de autenticacin. Si el primer mtodo de autenticacin no est
disponible, se usa el siguiente mtodo seleccionado. Por ejemplo, si los mtodos
de autenticacin seleccionados son RADIUS y Local, y se realiza una consulta a
todos los servidores RADIUS configurados en orden de prioridad, pero ninguno
responde, el usuario se autentica de manera local.
Si un mtodo de autenticacin falla o el usuario no tiene un nivel de privilegios
suficiente, al usuario se le niega el acceso al switch. En otras palabras, si la
autenticacin falla con un mtodo de autenticacin, el switch se detiene ante tal
intento; no contina ni intenta usar el siguiente mtodo de autenticacin.
Para definir los mtodos de autenticacin para un mtodo de acceso:
PASO 1 Haga clic en Seguridad > Autenticacin de acceso a administracin. Se muestra
la pgina Autenticacin de acceso a administracin.

PASO 2 Seleccione un mtodo de acceso de la lista Aplicaciones.
PASO 3 Use las flechas para mover el mtodo de autenticacin de la columna Mtodos
opcionales a la columna Mtodos seleccionados. El primer mtodo seleccionado

es el primero que se usa.
RADIUS: el usuario se autentica en un servidor RADIUS. Debe haber uno o

ms servidores RADIUS configurados.
TACACS+: el usuario se autentica en el servidor TACACS+. Debe haber uno

o ms servidores TACACS+ configurados.
Ninguna: el usuario puede acceder al switch sin autenticacin.
Local: se comprueban el nombre de usuario y la contrasea con los datos

almacenados en el switch local. Estos pares de nombre de usuario y
contrasea se definen en la pgina Cuentas de usuario.
333
18
NOTA El mtodo de autenticacin Local o Ninguna siempre debe
seleccionarse en ltimo lugar. Se omiten todos los mtodos de

autenticacin seleccionados despus de Local o Ninguna.
PASO 4 Haga clic en Aplicar. Se asocian los mtodos de autenticacin seleccionados con
el mtodo de acceso.

Los perfiles de acceso determinan cmo autenticar y autorizar a los usuarios el
acceso al switch a travs de diversos mtodos de acceso. Los perfiles de acceso
pueden limitar el acceso de administracin de fuentes especficas.
Solo se les otorga acceso de administracin al switch a los usuarios que pasan los
dos mtodos de autenticacin del acceso de administracin y del perfil de
acceso activo.
En el switch, puede haber un solo perfil de acceso activo por vez.
Los perfiles de acceso pueden consistir en una o ms reglas. Las reglas se
ejecutan en el orden de su prioridad dentro del perfil de acceso (de arriba hacia
abajo).
Las reglas estn compuestas por filtros que incluyen los siguientes elementos:
Mtodos de acceso: mtodos para acceder el switch y administrarlo:

-
Telnet
Telnet seguro (SSH)
Hypertext Transfer Protocol (HTTP, protocolo de transferencia de

hipertexto)
HTTP seguro (HTTPS)
Protocolo de administracin de red simple (SNMP)
Todos los anteriores
Accin: permitir o rechazar el acceso a una interfaz o direccin de origen.
Interfaz: los puertos, LAG o VLAN que tienen permitido o negado el acceso
a la utilidad de configuracin de switch basada en la Web.
334
18
Direccin IP de origen: subredes o direcciones IP. El acceso a los mtodos

de administracin puede diferir entre los grupos de usuarios. Por ejemplo,
un grupo de usuarios puede tener acceso al mdulo del switch solo
mediante una sesin HTTPS, mientras que otro grupo de usuarios puede
acceder al mdulo del switch mediante sesiones HTTPS y Telnet.
Perfil de acceso activo

La pgina Perfiles de acceso muestra los perfiles de acceso que estn definidos,
y permite seleccionar un perfil de acceso para que sea el activo.
Cuando un usuario intenta acceder al switch mediante un mtodo de acceso, el
switch parece ver si el perfil de acceso activo permite el acceso de
administracin explcitamente al switch mediante este mtodo. Si no encuentra
una coincidencia, se niega el acceso.
Cuando un intento para acceder al switch no cumple con el perfil de acceso
activo, el switch genera un mensaje SYSLOG para advertir al administrador del
sistema sobre el intento.
Si se activ un perfil de acceso de solo consola, la nica forma de desactivarlo es
a travs de una conexin directa de la estacin de administracin al puerto fsico
de la consola en el switch.
Para obtener ms informacin, consulte Definicin de reglas de perfiles.
Utilice la pgina Perfiles de acceso para crear un perfil de acceso y aadir su
primera regla. Si el perfil de acceso solo contiene una sola regla, habr finalizado.
Para aadir ms reglas al perfil, utilice la pgina Reglas de perfil.
PASO 1 Haga clic en Seguridad > Mtodo de acceso a administracin > Perfiles de
acceso. Se muestra la pgina Perfiles de acceso.

Esta pgina muestra todos los perfiles de acceso, activos e inactivos.
PASO 2 Para cambiar el perfil de acceso activo, seleccione un perfil en el men
desplegable Perfil de acceso activo y haga clic en Aplicar. De esta manera, el

perfil elegido se convierte en el perfil de acceso activo.
NOTA Si seleccion Solo consola, aparece un mensaje de advertencia. Si
contina, se lo desconecta inmediatamente de la utilidad de configuracin

de switch basada en la Web y puede acceder al switch solo a travs del
puerto de la consola. Esto solo se aplica a los tipos de dispositivo que
ofrecen un puerto de consola.
335
18
Si usted seleccion cualquier otro perfil de acceso, aparece un mensaje que le

advierte que, segn el perfil de acceso seleccionado, lo podr desconectar de la
utilidad de configuracin de switch basada en la Web.
PASO 3 Haga clic en Aceptar para seleccionar el perfil de acceso activo o en Cancelar
para interrumpir la accin.

PASO 4 Haga clic en Aadir para abrir la pgina Aadir perfil de acceso. En esta pgina
puede configurar un nuevo perfil y una regla.

PASO 5 Ingrese el Nombre del perfil de acceso. El nombre puede contener hasta 32
caracteres.
Prioridad de las reglas: ingrese la prioridad de la regla. Cuando el paquete

coincide con una regla, a los grupos de usuarios se les otorga o niega el
acceso al switch. La prioridad de la regla es esencial para hacer concordar
los paquetes con las reglas, ya que se busca la primera coincidencia de los
paquetes. Uno es la mayor prioridad.
Mtodo de administracin: seleccione el mtodo de administracin para el

que est definida la regla. Las opciones son:
Todos: se asignan todos los mtodos de administracin a la regla.
Telnet: a los usuarios que solicitan acceso al switch y que renen los
criterios del perfil de acceso de Telnet se les otorga o deniega el acceso.
Telnet seguro (SSH): a los usuarios que solicitan acceso al switch y que
renen los criterios del perfil de acceso de SSH se les otorga o deniega
el acceso.
HTTP: a los usuarios que solicitan acceso al switch y que renen los
criterios del perfil de acceso de HTTP se les otorga o deniega el acceso.
HTTP seguro (HTTPS): a los usuarios que solicitan acceso al switch y

que renen los criterios del perfil de acceso de HTTPS se les otorga o
deniega el acceso.
SNMP: a los usuarios que solicitan acceso al switch y que renen los
criterios del perfil de acceso de SNMP se les otorga o deniega el acceso.
Accin: seleccione la accin asociada a la regla. Las opciones son:

-
Permitir: se permite el acceso al switch si el usuario concuerda con la

configuracin del perfil.
336
18
Rechazar: se niega el acceso al switch si el usuario concuerda con la

configuracin del perfil.
Se aplica a la interfaz: seleccione la interfaz asociada a la regla. Las

opciones son:
-
Todos: se aplica a todos los puertos, las VLAN y los LAG.
Definido por el usuario: se aplica a la interfaz seleccionada.
Interfaz: ingrese el nmero de interfaz si se seleccionDefinido por el

usuario.
Se aplica a la direccin IP de origen: seleccione el tipo de direccin IP de

origen al que se aplica el perfil de acceso. El campo Direccin IP de Origen
es vlido para una subred. Seleccione uno de los siguientes valores:
-
Todos: se aplica a todos los tipos de direcciones IP.
Definido por el usuario: se aplica solo a aquellos tipos de direcciones IP

definidos en los campos.
Versin IP: seleccione la versin de IP admitida de la direccin de origen,

IPv6 o IPv4.
Direccin IP: ingrese la direccin IP de origen.
Mscara: seleccione el formato de la mscara de subred para la direccin

IP de origen e ingrese un valor en uno de los campos:
-
Mscara de red: seleccione la subred a la que pertenece la direccin IP

de origen e ingrese la mscara de subred en formato decimal con punto.
Longitud de prefijo: seleccione la longitud del prefijo e ingrese el nmero

de bits que componen el prefijo de la direccin IP de origen.
PASO 7 Haga clic en Aplicar. El perfil de acceso se escribe en el archivo Configuracin en
ejecucin. Ahora puede seleccionar este perfil de acceso como el perfil activo.
337
18
Definicin de reglas de perfiles

Los perfiles de acceso pueden incluir hasta 128 reglas para determinar a quin se
le permite administrar el switch y acceder a l, y los mtodos de acceso que
pueden usarse.
Cada regla en un perfil de acceso incluye una accin y un criterio (uno o ms
parmetros) que deben cumplirse. Cada regla tiene una prioridad; las reglas con
menor prioridad se verifican primero. Si el paquete entrante coincide con una
regla, se lleva a cabo la accin asociada con la regla. Si no se encuentra una regla
coincidente dentro del perfil de acceso activo, el paquete se descarta.
Por ejemplo, usted puede limitar el acceso al switch de todas las direcciones IP a
excepcin de aquellas asignadas al centro de administracin de IT. De esta forma,
el switch podr administrarse y tendr otra capa de seguridad.
Para aadir reglas de perfiles a un perfil de acceso:
PASO 1 Haga clic en Seguridad > Mtodo de acceso a administracin > Reglas de
perfiles. Se muestra la pgina Reglas de perfil.

PASO 2 Seleccione el campo Filtro y un perfil de acceso. Haga clic en Ir.
El perfil de acceso seleccionado aparece en la tabla de Reglas de perfiles.

PASO 3 Haga clic en Aadir para aadirle una regla. Se muestra la pgina Aadir regla de
perfil.
Nombre del perfil de acceso: seleccione un perfil de acceso.
Prioridad de las reglas: ingrese la prioridad de la regla. Cuando el paquete

coincide con una regla, a los grupos de usuarios se les otorga o niega el
acceso al switch. La prioridad de la regla es esencial para hacer concordar
los paquetes con las reglas, ya que se busca la primera coincidencia de los
paquetes.
Mtodo de administracin: seleccione el mtodo de administracin para el

que est definida la regla. Las opciones son:
-
Todos: se asignan todos los mtodos de administracin a la regla.
Telnet: a los usuarios que solicitan acceso al switch y que renen los
criterios del perfil de acceso de Telnet se les otorga o deniega el acceso.
338
18
Telnet seguro (SSH): a los usuarios que solicitan acceso al switch y que
renen los criterios del perfil de acceso de Telnet se les otorga o deniega
el acceso.
HTTP: se asigna acceso HTTP a la regla. A los usuarios que solicitan

acceso al switch y que renen los criterios del perfil de acceso de HTTP
se les otorga o deniega el acceso.
HTTP seguro (HTTPS): a los usuarios que solicitan acceso al switch y

que renen los criterios del perfil de acceso de HTTPS se les otorga o
deniega el acceso.
SNMP: a los usuarios que solicitan acceso al switch y que renen los
criterios del perfil de acceso de SNMP se les otorga o deniega el acceso.
Accin: seleccione Permitir para permitir el acceso a los usuarios que

intentan acceder al switch mediante el mtodo de acceso configurado de la
interfaz y el origen IP definidos en esta regla. O bien, seleccione Rechazar
para rechazar el acceso.
Se aplica a la interfaz: seleccione la interfaz asociada a la regla. Las

opciones son:
-
Todos: se aplica a todos los puertos, las VLAN y los LAG.
Definido por el usuario: se aplica solo al puerto, la VLAN o el LAG que se

haya seleccionado.
Interfaz: ingrese el nmero de interfaz.
Se aplica a la direccin IP de origen: seleccione el tipo de direccin IP de

origen al que se aplica el perfil de acceso. El campo Direccin IP de Origen
es vlido para una subred. Seleccione uno de los siguientes valores:
-
Todos: se aplica a todos los tipos de direcciones IP.
Definido por el usuario: se aplica solo a aquellos tipos de direcciones IP

definidos en los campos.
Versin IP: seleccione la versin IP admitida de la direccin de origen: IPv6

o IPv4.
Direccin IP: ingrese la direccin IP de origen.
Mscara: seleccione el formato de la mscara de subred para la direccin

IP de origen e ingrese un valor en uno de los campos:
-
Mscara de red: seleccione la subred a la que pertenece la direccin IP

de origen e ingrese la mscara de subred en formato decimal con punto.
339
18

PASO 5 Haga clic en Aplicar y se aade la regla al perfil de acceso.

En la pgina Servicios TCP/UDP, se pueden habilitar servicios basados en TCP o
UDP en el switch, en general, por motivos de seguridad.
El switch ofrece los siguientes servicios TCP/UDP:
HTTP: habilitado de fbrica
HTTPS: habilitado de fbrica
SNMP: deshabilitado de fbrica
Telnet: deshabilitado de fbrica
SSH: deshabilitado de fbrica
En esta ventana, tambin aparecen las conexiones TCP activas.

Para configurar los servicios TCP/UDP:
PASO 1 Haga clic en Seguridad > Servicios TCP/UDP. Se muestra la pgina Servicios
TCP/UDP.
PASO 2 Active o desactive los siguientes servicios TCP/UDP en los servicios mostrados.
Servicio HTTP: indica si el servicio HTTP est activado o desactivado.
Servicio HTTPS: indica si el servicio HTTPS est activado o desactivado.
Servicio SNMP: indica si el servicio SNMP est activado o desactivado.
Servicio Telnet: indica si el servicio Telnet est activado o desactivado.
Servicio SSH: indica si el servicio del servidor de SSH est habilitado o

deshabilitado.
340
18
La Tabla de servicio TCP muestra los siguientes campos para cada servicio:
Nombre del servicio: mtodo de acceso a travs del cual el switch ofrece
el servicio TCP.
Tipo: protocolo IP que usa el servicio.
Direccin IP local: direccin IP local a travs de la cual el switch ofrece el

servicio.
Puerto local: puerto TCP local a travs del que el switch ofrece el servicio.
Direccin IP remota: direccin IP del dispositivo remoto que solicita el

servicio.
Puerto remoto: puerto TCP del dispositivo remoto que solicita el servicio.
Estado: estado del servicio.
La tabla Servicios UDP incluye la siguiente informacin:
Nombre del servicio: mtodo de acceso a travs del cual el switch ofrece
el servicio UDP.
Tipo: protocolo IP que usa el servicio.
Direccin IP local: direccin IP local a travs de la cual el switch ofrece el

servicio.
Puerto local: puerto UDP local a travs del cual el switch ofrece el servicio.
Instancia de la aplicacin: la instancia del servicio UDP (por ejemplo,

cuando dos remitentes envan datos al mismo destino).
PASO 3 Haga clic en Aplicar. Los servicios se escriben en el archivo Configuracin en
ejecucin.
341
18

Al recibir tramas de difusin, multidifusin y unidifusin desconocidas, se duplican
y se enva una copia a todos los puertos de egreso posibles. En la prctica, esto
significa que se envan a todos los puertos que pertenecen a la VLAN relevante.
De esta forma, una trama de ingreso se convierte en varias, y as crea la
posibilidad de una saturacin de trfico.
La proteccin contra la saturacin le permite limitar la cantidad de tramas que
ingresan al switch y definir los tipos de tramas que se tienen en cuenta para este
lmite.
Cuando se ingresa un umbral en el sistema, el puerto descarta el trfico una vez
alcanzado dicho umbral. El puerto permanece bloqueado hasta que la velocidad
del trfico disminuye por debajo de este umbral. Luego, retoma el reenvo normal.
Para definir el control de la saturacin:
PASO 1 Haga clic en Seguridad > Control de saturacin. Se muestra la pgina Control de
saturacin.
En la pgina Editar control de saturacin, se describen todos los campos de esta
pgina, a excepcin del campo Umbral de velocidad del control de saturacin
(%), que muestra el porcentaje del total de ancho de banda disponible para
paquetes de unidifusin, multidifusin y difusin desconocidos antes de que el
control de saturacin se aplique al puerto. El valor predeterminado es 10 % de la
velocidad mxima del puerto y se configura en la pgina Editar control de
saturacin.
PASO 2 Seleccione un puerto y haga clic en Editar. Se muestra la pgina Editar control de
saturacin.
Interfaz: seleccione el puerto para el que est habilitado el control de

saturacin.
Control de saturacin: seleccione esta opcin para activar el control de

saturacin.
Umbral de velocidad del control de saturacin: ingrese la velocidad

mxima a la que se pueden reenviar los paquetes desconocidos. El valor
predeterminado para este umbral es 10,000 para los dispositivos FE y
100,000 para los dispositivos GE.
342
18
Modo del control de saturacin: seleccione uno de los modos:

-
Unidifusin, multidifusin y difusin desconocidas: se tiene en cuenta el

trfico de unidifusin, difusin y multidifusin desconocido para el
umbral del ancho de banda.
Difusin y multidifusin: se tiene en cuenta el trfico de multidifusin y

difusin para el umbral del ancho de banda.
Solo difusin: se tiene en cuenta solo el trfico de difusin para el umbral

del ancho de banda.
PASO 4 Haga clic en Aplicar. Se modifica el control de saturacin y se actualiza el archivo

La seguridad de la red puede incrementarse al limitar el acceso en un puerto a
usuarios con direcciones MAC especficas. Las direcciones MAC pueden
aprenderse dinmicamente o configurarse estticamente.
La seguridad de los puertos controla los paquetes recibidos y aprendidos. El
acceso a los puertos bloqueados se limita a los usuarios con direcciones MAC
especficas.
La seguridad de puertos tiene cuatro modos:
Bloqueo clsico: se bloquean todas las direcciones MAC aprendidas en el

puerto, y el puerto no aprende ninguna direccin MAC nueva. Las
direcciones aprendidas no estn sujetas a vencimiento ni reaprendizaje.
Bloqueo dinmico limitado: el switch aprende direcciones MAC hasta el

lmite configurado de direcciones permitidas. Una vez alcanzado el lmite, el
switch no aprende ms direcciones. En este modo, las direcciones estn
sujetas a vencimiento y reaprendizaje.
Seguro permanente: mantiene las direcciones MAC dinmicas actuales

asociadas con el puerto y aprende hasta el mximo de direcciones
permitidas en el puerto (especificadas por el n. mx. de direcciones
permitidas). El reaprendizaje y el vencimiento estn habilitados.
343
18
Eliminar en reinicio seguro: elimina las direcciones MAC dinmicas

actuales asociadas con el puerto despus del reinicio. Se pueden aprender
direcciones MAC nuevas tomndolas como parte de la accin Eliminar en
reinicio hasta el mximo de direcciones permitidas en el puerto. El
reaprendizaje y el vencimiento estn deshabilitados.
Cuando se detecta una trama de una nueva direccin MAC en un puerto donde no
est autorizada (el puerto est bloqueado de manera clsica y hay una nueva
direccin MAC; o el puerto est bloqueado de manera dinmica y se ha superado
la cantidad mxima de direcciones permitidas), se invoca el mecanismo de
proteccin y tiene lugar una de las siguientes acciones:
Se descarta la trama
Se reenva la trama
Se cierra el puerto
Cuando otro puerto detecta la direccin MAC segura, la trama se reenva, pero
ese puerto no aprende la direccin MAC.
Adems de una de estas acciones, usted tambin puede generar trampas y limitar
su frecuencia y nmero para evitar sobrecargar los dispositivos.
NOTA Para utilizar 802.1X en un puerto, debe ser en modo de varios hosts o en modo de
varias sesiones. La seguridad de puertos en un puerto no se puede definir si el

puerto est en modo nico (consulte la pgina 802.1x, Autenticacin de host y
sesin ).
Para configurar la seguridad de los puertos:
PASO 1 Haga clic en Seguridad > Seguridad de puerto. Se muestra la pgina Seguridad
de puerto. Pgina Seguridad de puerto

PASO 2 Seleccione la interfaz que desee modificar y haga clic en Editar. Se muestra la
pgina Editar configuracin de interfaz de seguridad de puerto.

Interfaz: seleccione el nombre de la interfaz.
Estado de la interfaz: seleccione esta opcin para bloquear el puerto.
Modo de aprendizaje: seleccione el tipo de bloqueo del puerto. Para

configurar este campo, la interfaz debe estar en estado desbloqueado. El
campo Modo de aprendizaje est habilitado solo si el campo Estado de la
344
18
interfaz est bloqueado. Para cambiar el modo de aprendizaje, se debe

desactivar Estado de la interfaz. Luego de cambiar el modo, se puede volver
a activar Estado de la interfaz. Las opciones son:
-
Bloqueo clsico: el puerto se bloquea inmediatamente,

independientemente del nmero de direcciones que se hayan
aprendido.
Bloqueo dinmico limitado: se bloquea el puerto al eliminar las

direcciones MAC dinmicas actuales asociadas con el puerto. El puerto
aprende hasta el mximo de direcciones permitidas en el puerto. Tanto
el reaprendizaje como el vencimiento de las direcciones MAC estn
habilitados.
Seguro permanente: mantiene las direcciones MAC dinmicas actuales

asociadas con el puerto y aprende hasta el mximo de direcciones
permitidas en el puerto (especificadas por el n. mx. de direcciones
permitidas). El reaprendizaje y el vencimiento estn habilitados.
Eliminar en reinicio seguro: elimina las direcciones MAC dinmicas

actuales asociadas con el puerto despus del reinicio. Se pueden
aprender direcciones MAC nuevas tomndolas como parte de la accin
Eliminar en reinicio hasta el mximo de direcciones permitidas en el
puerto. El reaprendizaje y el vencimiento estn deshabilitados.
N. mx. de direcciones permitidas: ingrese el nmero mximo de

direcciones MAC que el puerto puede aprender si el modo de aprendizaje
Bloqueo dinmico limitado est seleccionado. El nmero 0 indica que la
interfaz solo admiten direcciones estticas.
Accin en incumplimiento: seleccione una accin para aplicar a los

paquetes que llegan a un puerto bloqueado. Las opciones son:
Descartar: se descartan los paquetes de cualquier origen no aprendido.
Reenviar: se reenvan los paquetes de un origen desconocido sin

aprender la direccin MAC.
Cerrar: se descartan los paquetes de cualquier origen no aprendido y se

cierra el puerto. El puerto permanece cerrado hasta que se lo reactive o
hasta que se reinicie el switch.
Trampa: seleccione esta opcin para activar las trampas cuando se recibe
un paquete en un puerto bloqueado. Esto es relevante para las violaciones
de bloqueo. Para el bloqueo clsico, esto se aplica a cualquier direccin
nueva recibida. Para el bloqueo dinmico limitado, esto se aplica a cualquier
direccin nueva que supere el nmero de direcciones permitidas.
345
18
Frecuencia de trampas: ingrese el tiempo mnimo (en segundos) que debe

transcurrir entre trampas.
PASO 4 Haga clic en Aplicar. Se modifica la seguridad de puertos y se actualiza el archivo
El control de acceso basado en puertos crea dos tipos de acceso en los puertos
del switch. Un punto de acceso activa la comunicacin no controlada,
independientemente del estado de autorizacin (puerto no controlado). El otro
punto de acceso autoriza la comunicacin entre un host y el switch.
La 802.1x es una norma IEEE para el control de acceso a la red basado en puertos.
El marco 802.1x permite que un dispositivo (solicitante) solicite acceso a un puerto
desde un dispositivo remoto (autenticador) al que est conectado. Solo una vez
que se autentica y autoriza al solicitante que pide acceso al puerto, se le permite a
este enviar datos al puerto. En caso contrario, el autenticador descarta los datos
del solicitante, a menos que los datos se enven a una VLAN invitada o a- VLANS
no autenticadas.
Un servidor RADIUS externo realiza la autenticacin del solicitante a travs del
autenticador. El autenticador controla el resultado de la autenticacin.
En la norma 802.1x, un dispositivo puede ser solicitante y autenticador
simultneamente en un puerto, y solicitar acceso al puerto y otorgarlo. Sin
embargo, este dispositivo es solo el autenticador y no desempea la funcin de
un solicitante.
Variedades de 802.1X existentes:
802.1X de sesin nica:

-
Sesin nica/host nico: en este modo, el switch, como autenticador,

admite una sola sesin 802.1x y le otorga permiso para usar el puerto al
solicitante autorizado. Se niega todo acceso a los dems dispositivos al
mismo puerto hasta que el solicitante autorizado ya no use ms el
puerto o el acceso sea para la VLAN no autenticada o VLAN invitada.
Sesin nica/varios hosts: esto sigue la norma 802.1x. En este modo, el

switch como autenticador permite que cualquier dispositivo use un
puerto, siempre que se le haya otorgado permiso.
346
18
802.1X de sesin mltiple: el switch (autenticador) debe autenticar y

autorizar a cada dispositivo (solicitante) que se conecte a un puerto en una
sesin 802.1x diferente.
NOTA Este es el nico modo que admite la asignacin dinmica de VLAN
(DVA).
NOTA La DVA solo se admite en los switches modelo SG500X cuando el switch est en
el modo de capa 3.
Asignacin dinmica de VLAN (DVA)
En esta gua, tambin se hace referencia a la asignacin dinmica de VLAN (DVA)
como asignacin RADIUS VLAN. Cuando un puerto est en el modo de sesin
mltiple y est habilitado para DVA, el switch aade automticamente al puerto
como un miembro sin etiquetar de la VLAN asignada por el servidor RADIUS
durante el proceso de autenticacin. El switch clasifica los paquetes sin etiquetar
a la VLAN asignada si los paquetes provienen de los dispositivos o puertos
autenticados y autorizados.
Para que se autentique y autorice un dispositivo en un puerto que est habilitado
por DVA:
El servidor RADIUS debe autenticar el dispositivo y asignar dinmicamente

una VLAN al dispositivo.
La VLAN asignada no debe ser la VLAN predeterminada y se debe haber

creado en el switch.
El switch no debe estar configurado para usar un grupo de VLAN basado

en MAC y en DVA a la vez.
Un servidor RADIUS debe admitir DVA con los atributos RADIUS tunneltype (64) = VLAN (13), tunnel-media-type (65) = 802 (6) y tunnel-privategroup-id = un ID de VLAN.
Los mtodos de autenticacin pueden ser:
802.1x: el switch admite el mecanismo de autenticacin descrito en la

norma para autenticar y autorizar a los solicitantes 802.1x.
Basado en MAC: se puede configurar el switch para que use este modo
para autenticar y autorizar dispositivos que no son compatibles con 802.1x.
El switch emula la funcin del solicitante en nombre de los dispositivos no
compatibles con 802.1x y usa la direccin MAC de los dispositivos como el
nombre de usuario y la contrasea cuando se comunica con los servidores
RADIUS. Las direcciones MAC para el nombre de usuario y la contrasea
deben ingresarse en minscula y sin caracteres de delimitacin (por
347
18
ejemplo: aaccbb55ccff). Para usar la autenticacin basada en MAC en un

puerto:
-
Debe definirse una VLAN invitada.
El puerto debe estar habilitado para la VLAN invitada.
Los paquetes del primer solicitante en el puerto, antes de recibir

autorizacin, deben ser paquetes sin etiquetar.
Usted puede configurar que un puerto use la autenticacin 802.1x, basada en

MAC, o la autenticacin 802.1x y la basada en MAC. Si un puerto est configurado
para usar la autenticacin 802.1x y la basada en MAC, 802.1x tiene prioridad sobre
el dispositivo que no es 802.1x.
VLAN no autenticadas y la VLAN invitada
Las VLAN no autenticadas y la VLAN invitada proporcionan acceso a servicios
que no requieren que los dispositivos o puertos solicitantes se autentiquen y
autoricen mediante 802.1x o segn MAC.
Una VLAN no autenticada es una VLAN que permite el acceso de dispositivos o
puertos tanto autorizados como no autorizados. Puede configurar una o varias
VLAN como no autenticadas en Crear VLAN
Una VLAN no autenticada tiene las siguientes caractersticas:
Debe ser una VLAN esttica y no puede ser la VLAN invitada ni la

predeterminada.
Los puertos miembro deben configurarse manualmente como miembros

etiquetados.
Los puertos miembro deben ser puertos troncales o generales. Un puerto

de acceso no puede ser miembro de una VLAN no autenticada.
La VLAN invitada, si la configura, es una VLAN esttica con las siguientes

caractersticas.
Debe definirse manualmente a partir de una VLAN esttica existente.
Est disponible automticamente solo para dispositivos o puertos de

dispositivos no autorizados de dispositivos que estn conectados y
habilitados para la VLAN invitada.
Si un puerto est habilitado para la VLAN invitada, el switch aade

automticamente al puerto como miembro sin etiquetar de la VLAN invitada
cuando el puerto no est autorizado y elimina al puerto de la VLAN invitada
cuando se autoriza al primer solicitante del puerto.
348
18
La VLAN invitada no puede usarse como la VLAN de voz y una VLAN no

autenticada.
El switch tambin utiliza la VLAN invitada para el proceso de autenticacin en los

puertos configurados con modo de sesin mltiple y autenticacin basada en
MAC. Por lo tanto, usted debe configurar una VLAN invitada para poder usar el
modo de autenticacin basado en MAC.
Flujo de trabajo de parmetros de 802.1X

Defina los parmetros de 802.1X de la siguiente manera:
(Opcional) Defina intervalos de tiempo mediante las pginas Intervalo de

tiempo e Intervalo recurrente. Estos se usan en la pgina Editar
autenticacin de puerto.
(Opcional) Defina una o ms VLAN estticas como VLAN no autenticadas,

tal como se describe en la seccin Definicin de propiedades de 802.1X.
Los puertos o dispositivos autorizados y no autorizados mediante 802.1x
siempre pueden enviar paquetes a VLAN no autenticadas o recibir
paquetes de ellas.
Defina la configuracin de 802.1X para cada puerto a travs de la pgina

Editar autenticacin de puerto.
Tenga en cuenta lo siguiente:
En esta pgina, se puede activar la DVA en un puerto al seleccionar el

campo Asignacin RADIUS VLAN.
Usted puede seleccionar el campo VLAN invitada para que las tramas sin
etiquetar entrantes vayan a la VLAN invitada.
Defina los parmetros de Autenticacin de host para cada puerto a travs

de la pgina Autenticacin de puerto.
Vea el historial de autenticacin 802.1X a travs de la pgina Hosts

autenticados.
349
18
Definicin de las propiedades de 802.1X

La pgina Propiedades de 802.1X se utiliza para activar 802.1X en forma global y
definir cmo se autenticarn los puertos. Para que 802.1X funcione, se la debe
activar tanto en forma global como individual en cada puerto.
Para definir la autenticacin basada en el puerto:
PASO 1 Haga clic en Seguridad > 802.1X > Propiedades. Se muestra la pgina
Propiedades.
Autenticacin basada en puertos: active o desactive la autenticacin

802.1X basada en puertos.
Mtodo de autenticacin: seleccione los mtodos de autenticacin del

usuario. Las opciones son:
-
RADIUS, Ninguno: la autenticacin del puerto se realiza primero a travs

del servidor RADIUS. Si no se recibe respuesta por parte de RADIUS (por
ejemplo, si el servidor no funciona), no se realiza la autenticacin y se
permite la sesin. Si el servidor est disponible, pero las credenciales del
usuario son incorrectas, el acceso se rechaza y la sesin finaliza.
RADIUS: el usuario se autentica en el servidor RADIUS. Si no se realiza la

autenticacin, no se permite la sesin.
Ninguna: no se autentica al usuario, y se permite la sesin.
VLAN invitada: seleccione esta opcin para permitir usar una VLAN invitada
para los puertos no autorizados. Si se habilita una VLAN invitada, todos los
puertos no autorizados se unen automticamente a la VLAN seleccionada en
el campo ID de VLAN invitada. Si luego se autoriza un puerto, se le elimina
de la VLAN invitada.
ID de VLAN invitada: seleccione la VLAN invitada de la lista de VLAN.
Tiempo de espera de VLAN invitada: defina un perodo de tiempo:

-
Luego de establecer el enlace, si el software no detecta al solicitante

802.1X, o si la autenticacin no pudo realizarse, el puerto se aade a la
VLAN invitada, solo despus de que el perodo indicado en Tiempo de
espera de VLAN invitada haya pasado.
Si el estado del puerto cambia de Autorizado a No autorizado, se aade

el puerto a la VLAN invitada solo despus de que el tiempo de espera de
VLAN invitada se haya agotado.
350
18
En la tabla de autenticacin VLAN aparecen todas las VLAN y se indica si se ha

activado la autenticacin en ellas.
PASO 3 Haga clic en Aplicar. Las propiedades de 802.1X se escriben en el archivo
Configuracin de VLAN no autenticadas

Cuando un puerto est habilitado para 802.1x, los puertos o dispositivos no
autorizados no tienen permitido acceder a una VLAN, a menos que esta sea una
VLAN invitada o una VLAN no autenticada. Usted puede convertir a una VLAN
esttica en una VLAN autenticada a travs del procedimiento de la seccin
Definicin de propiedades de 802.1X, lo que permitir que los dispositivos o
puertos 802.1x autorizados y no autorizados enven o reciban paquetes a o de
VLAN no autenticadas. Debe aadir manualmente los puertos miembro de la
VLAN a travs de la pgina Puerto a VLAN.
PASO 1 Haga clic en Seguridad > 802.1X > Propiedades. Se muestra la pgina
Propiedades.
PASO 2 Seleccione una VLAN y haga clic en Editar. Se muestra la pgina Editar
autenticacin de VLAN.
PASO 3 Seleccione una VLAN.
PASO 4 Como opcin, desmarque Autenticacin para convertir a la VLAN en una VLAN no
autenticada.
PASO 5 Haga clic en Aplicar, y se actualizar el archivo Configuracin en ejecucin.
Definicin de la autenticacin de puertos 802.1X

La pgina Autenticacin del puerto permite la configuracin de los parmetros de
802.1X para cada puerto. Dado que algunos de los cambios de configuracin solo
pueden realizarse mientras el puerto est en estado Fuerza autorizada, como la
Autenticacin de host, se recomienda cambiar el control del puerto a Fuerza
autorizada antes de realizar cambios. Una vez finalizada la configuracin, vuelva a
colocar el control del puerto en su estado anterior.
NOTA Un puerto con 802.1x definida no puede convertirse en miembro de un LAG.
351
18
Para definir la autenticacin 802.1X:

PASO 1 Haga clic en Seguridad > 802.1X > Autenticacin de puerto. Se muestra la
pgina Autenticacin de puertos.

Esta pgina incluye los parmetros de autenticacin para todos los puertos.
PASO 2 Seleccione un puerto y haga clic en Editar. Se muestra la pgina Editar
autenticacin del puerto.

Interfaz: seleccione un puerto.
Nombre de usuario: se muestra el nombre de usuario del puerto.
Control de puerto actual: se muestra el estado actual de autorizacin del

puerto. Si el estado es Autorizado, el puerto se autentica o Control de
puerto administrativo est en Fuerza autorizada. Por el contrario, si el
estado es No autorizado, entonces el puerto no se autentica o Control de
puerto administrativo est en Fuerza no autorizada.
Control de puerto administrativo: seleccione el estado de autorizacin

administrativa del puerto. Las opciones son:
-
Fuerza no autorizada: se niega acceso a la interfaz y se coloca en estado

no autorizado. El switch no brinda servicios de autenticacin al cliente a
travs de la interfaz.
Auto: se habilita la autenticacin y la autorizacin basadas en el puerto en

el switch. La interfaz se mueve entre estado autorizado o no autorizado
segn el intercambio de autenticacin entre el switch y el cliente.
Fuerza autorizada: se autoriza la interfaz sin autenticacin.
Asignacin RADIUS VLAN: seleccione esta opcin para activar la

asignacin dinmica de VLAN en el puerto seleccionado. La asignacin
dinmica de VLAN es posible solo cuando el modo 802.1X est configurado
en sesin mltiple. (Luego de la autenticacin, el puerto se une a la VLAN del
solicitante como un puerto sin etiquetar en esa VLAN).
VLAN invitada: seleccione esta opcin para indicar que el uso de una VLAN
invitada definida previamente est habilitado para el switch. Las opciones
son:
352
18
Seleccionada: permite usar una VLAN invitada para puertos no

autorizados. Si se habilita una VLAN invitada, el puerto no autorizado se
une automticamente a la VLAN seleccionada en el campo ID de VLAN
invitada en la pgina Autenticacin de puertos 802.1X.
Luego de una falla de autenticacin, y si la opcin VLAN invitada est
activada en forma global en un puerto dado, se asigna automticamente
la VLAN invitada a los puertos no autorizados como una VLAN sin
etiquetar.
Borrado: se desactiva la VLAN invitada en el puerto.
Mtodo de autenticacin: seleccione el mtodo de autenticacin para el

puerto. Las opciones son:
-
Solo 802.1X: la autenticacin 802.1X es el nico mtodo de

autenticacin que se realiza en el puerto.
Solo MAC: el puerto se autentica en funcin de la direccin MAC del

solicitante. Solo se pueden usar 8 autenticaciones basadas en MAC en el
puerto.
802.1X y MAC: la autenticacin 802.1X y la basada en MAC se realizan en

el switch. La autenticacin 802.1X tiene prioridad.
NOTA Para que la autenticacin MAC se realice correctamente, el
nombre de usuario y la contrasea del solicitante del servidor RADIUS

deben ser la direccin MAC del solicitante. La direccin MAC debe estar
en minsculas y sin los separadores : o -; por ejemplo: 0020aa00bbcc.
Reautenticacin peridica: seleccione esta opcin para activar intentos de

reautenticacin del puerto luego del perodo de reautenticacin
especificado.
Perodo de reautenticacin: ingrese la cantidad de segundos despus de

los que se volver a autenticar el puerto seleccionado.
Reautenticar ahora: seleccione esta opcin para activar la reautenticacin

inmediata del puerto.
Estado del autenticador: se muestra el estado de autorizacin del puerto

definido. Las opciones son:
-
Fuerza autorizada: el estado del puerto controlado est configurado

como Fuerza autorizada (reenviar trfico).
Fuerza no autorizada: el estado del puerto controlado est configurado

como Fuerza no autorizada (descartar trfico).
353
18
NOTA Si el puerto no est en Fuerza autorizada o Fuerza no autorizada,
est en modo Auto y el autenticador muestra el estado de la

autenticacin en curso. Una vez que se autentica el puerto, el estado
aparece como autenticado.
Rango de tiempo: permite establecer un lmite en el tiempo que el puerto

especfico se autoriza para el uso, en caso de que se haya habilitado 802.1x
(la autenticacin basada en el puerto est seleccionada).
Nombre del intervalo de tiempo: seleccione el perfil que especifica el

intervalo de tiempo.
Perodo de silencio: ingrese la cantidad de segundos que el switch

permanece en estado silencioso luego de un intercambio de autenticacin
incorrecto.
Reenviar EAP: ingrese la cantidad de segundos que el switch espera una

respuesta para una trama de identidad/solicitud de Extensible
Authentication Protocol (EAP, Protocolo de autenticacin extensible) del
solicitante (cliente) antes de reenviar la solicitud.
Solicitudes de EAP mximas: ingrese el nmero mximo de solicitudes

EAP que se pueden enviar. Si no se recibe una respuesta despus del
perodo definido (tiempo de espera para solicitantes), se reinicia el proceso
de autenticacin.
Tiempo de espera para solicitantes: ingrese la cantidad de segundos que

deben transcurrir antes de que se reenven las solicitudes EAP al solicitante.
Tiempo de espera del servidor: ingrese la cantidad de segundos que

deben transcurrir antes de que el switch reenve una solicitud al servidor de
autenticacin.
Causa de la terminacin: se muestra la razn por la que se cancel la

autenticacin del puerto, si corresponde.
PASO 4 Haga clic en Aplicar. La configuracin del puerto se escribe en el archivo
354
18
Definicin de la Autenticacin de host y sesin

En la pgina Autenticacin de host y sesin se puede definir el modo en que
802.1X funciona en el puerto y la accin que debe realizarse en caso de que se
haya detectado una violacin.
Los modos de 802.1X son:
nico: solo un nico host autorizado puede acceder al puerto. (La seguridad
de puertos no se puede activar en un puerto en modo de host nico).
Host mltiples (802.1X): se pueden asociar varios hosts a un solo puerto

habilitado para 802.1X. Solo se debe autorizar el primer host, y luego el
puerto se abre para todos los que deseen acceder a la red. Si falla la
autenticacin del host, o se recibe un mensaje de desconexin de EAPOL,
todos los clientes asociados tendrn negado el acceso a la red.
Sesiones mltiples: se permite que el nmero de hosts autorizados

especficos accedan al puerto. Cada host se trata como si fuera el primer y
nico usuario y debe autenticarse. El filtrado se basa en la direccin MAC
de origen.
Para definir la configuracin avanzada de 802.1X para los puertos:

PASO 1 Haga clic en Seguridad > 802.1X > Autenticacin de host y sesin. Se muestra
la pgina Autenticacin de host y sesin.

Los parmetros de autenticacin 802.1X se describen para todos los puertos.
Todos los campos a excepcin de los siguientes estn descritos en la pgina
Editar Autenticacin de host y sesin.
Estado: se muestra el estado del host. Un asterisco indica que no hay un

enlace con el puerto o que este est inactivo. Las opciones son:
-
No autorizado: el control del puerto est en Fuerza no autorizada y el

enlace del puerto est inactivo, o el control del puerto est en Auto pero
no se ha autenticado a un cliente a travs del puerto.
Fuerza autorizada: los clientes tienen acceso completo al puerto.
Host nico bloqueado: el control del puerto est en Auto y un nico

cliente se ha autenticado a travs del puerto.
Sin host nico: el control del puerto est en Auto y est habilitado el
modo Varios host. Se ha autenticado a al menos un cliente.
No est en modo automtico: el control del puerto Auto no est activado.
355
18
Nmero de incumplimientos: se muestra el nmero de paquetes que llegan

a la interfaz en modo de host nico, de un host cuya direccin MAC no es la
direccin MAC del solicitante.
PASO 2 Seleccione un puerto y haga clic en Editar. Se muestra la pgina Editar
autenticacin de host y sesin.

Interfaz: ingrese un nmero de puerto para el que la autenticacin del host

est activada.
Autenticacin de host: seleccione uno de los modos. Estos modos estn

descritos ms arriba, en la seccin Definicin de Autenticacin de host y
sesin.
NOTA Los siguientes campos son relevantes solo si selecciona nico en el
campo Autenticacin de host.

Configuracin de incumplimiento de host nico:
Accin en incumplimiento: seleccione la accin que se aplicar a los

paquetes que lleguen en el modo Sesin nica/Host nico, de un host cuya
direccin MAC no sea la direccin MAC del solicitante. Las opciones son:
-
Proteger (Descartar): se descartan los paquetes.
Restringir (Reenviar): se reenvan los paquetes.
Cerrar: se descartan los paquetes y se cierra el puerto. El puerto

permanece cerrado hasta que se lo reactive o hasta que se reinicie el
switch.
Trampas (en incumplimiento de host nico): seleccione esta opcin para

activar las trampas.
Frecuencia de trampas (en incumplimiento de host nico): se define la

frecuencia con la que se envan trampas al host. Este campo puede definirse
solo si varios hosts estn desactivados.
PASO 4 Haga clic en Aplicar. La configuracin se escribe en el archivo Configuracin en
ejecucin.
356
18
Visualizacin de hosts autenticados

Para ver detalles sobre usuarios autenticados:
PASO 1 Haga clic en Seguridad > 802.1X > Host autenticados. Se muestra la pgina
Hosts autenticados.
Nombre de usuario: los nombres de los solicitantes que se autenticaron en

cada puerto.
Puerto: nmero del puerto.
Tiempo de sesin (DD:HH:MM:SS): cantidad de tiempo que el solicitante

estuvo conectado en el puerto.
Mtodo de autenticacin: mtodo mediante el que se autentic la ltima

sesin. Las opciones son:
Ninguna: no se aplic ninguna autenticacin; la autorizacin se realiza

automticamente.
RADIUS: el solicitante se autentic a travs de un servidor RADIUS.
Direccin MAC: se muestra la direccin MAC del solicitante.

Consulte Hora del sistema para obtener una explicacin de esta funcin.

La prevencin de la denegacin de servicio (DoS) incrementa la seguridad de la
red al evitar que los paquetes con ciertos parmetros de direcciones IP ingresen a
la red.
Adems, la prevencin de la DoS elimina los paquetes con encabezados o
contenidos que se conocen ser seales malintencionadas.
357
18
La prevencin de negacin de servicio permite a los administradores de red:
Rechazar paquetes que contengan direcciones IP reservadas (pgina

Direcciones martian)
Impida las conexiones TCP de una interfaz especfica (pgina Filtrado SYN)
y limite la velocidad para los paquetes (pgina Proteccin de velocidad de
SYN)
Configurar el bloqueo de ciertos paquetes ICMP (pgina Filtrado de ICMP)
Descartar paquetes IP fragmentados de una interfaz especfica (pgina

Filtrado de fragmentos IP)
Rechazar ataques de distribucin de Stacheldraht, Invasor Troyano y

Troyano Back Orifice (pgina Configuracin de conjunto de seguridad)
SCT
El switch de Cisco es un switch avanzado que administra los siguientes tipos de
trfico, adems del trfico de usuario final:
Trfico de administracin
Trfico de protocolo
Trfico de indagacin
El trfico no deseado carga la CPU, y podra impedir el funcionamiento normal del

switch.
El switch utiliza la funcin Tecnologa de ncleo seguro (SCT, Secure Core
Technology), que garantiza que el switch recibe y procesa el trfico de
administracin y el de protocolo, sin importar cunto trfico se reciba en total.
SCT est habilitado de forma predeterminado en el dispositivo y no se puede
desactivar.
No hay interacciones con otras funciones.
SCT se puede monitorear en la pgina Negacin de servicio > Prevencin de
negacin de servicio > Configuracin del conjunto de seguridad (botn Detalles).
358
18
Configuracin del conjunto de seguridad de denegacin de

servicio
NOTA Antes de activar la prevencin de DoS, usted debe desvincular todas las polticas
avanzadas de calidad de servicio (QoS) o listas de control de acceso (ACL) que

estn asociadas a un puerto. Las polticas avanzadas de QoS y ACL no estn
activas cuando un puerto tiene proteccin de negacin de servicio.
Para configurar la configuracin global de la prevencin de DoS y monitorear la
SCT:
PASO 1 Haga clic en Seguridad > Prevencin de negacin de servicio > Configuracin
del conjunto de seguridad. Se muestra la Configuracin del conjunto de

seguridad.
Mecanismo de proteccin de la CPU: Habilitado indica que la SCT est
habilitada.
PASO 2 Haga clic en Detalles, al lado de Utilizacin de CPU, para activar la visualizacin
de la informacin de utilizacin de recursos de CPU.

PASO 3 Seleccione Prevencin de DoS para habilitar la funcin.
Deshabilitar: desactive la funcin.
Prevencin a nivel de sistema: habilite la parte de la funcin que impide

ataques de distribucin de Stacheldraht, invasor troyano y troyano Back
Orifice.
PASO 4 Si Prevencin a nivel de sistema o Prevencin a nivel de sistema y a nivel de
interfaz est seleccionada, habilite una o ms de las siguientes opciones de

Prevencin DoS:
Distribucin Stacheldraht: se descartan los paquetes TCP con puerto TCP

de origen equivalente a 16660.
Invasor troyano: se descartan los paquetes TCP con puerto TCP de destino
equivalente a 2140 y puerto TCP de origen equivalente a 1024.
Troyano Back Orifice: se descartan los paquetes UDP con puerto UDP de
destino equivalente a 31337 y puerto UDP de origen equivalente a 1024.
PASO 5 Haga clic en Aplicar. La configuracin del conjunto de seguridad de prevencin de
negacin de servicio se escribe en el archivo Configuracin en ejecucin.
359
18
Si se selecciona Prevencin a nivel de interfaz, haga clic en el botn Editar

correspondiente para configurar la prevencin deseada.
Definicin de direcciones martian

En la pgina Direcciones martian se pueden ingresar direcciones IP que indican
un ataque si se las detecta en la red. Los paquetes de esas direcciones se
descartan.
El switch admite un conjunto de direcciones martian reservadas que son ilegales
desde el punto de vista del protocolo IP. Las direcciones martian reservadas
admitidas son:
Direcciones definidas como ilegales en la pgina Direcciones martian.
Direcciones que son ilegales desde el punto de vista del protocolo, como las
direcciones de bucle de retorno, que incluyen los siguientes intervalos:
-
0.0.0.0/8 (excepto 0.0.0.0/32 como direccin de origen): las

direcciones en este bloque se refieren a hosts de origen en esta red.
127.0.0.0/8: se utiliza como la direccin de bucle de retorno de host de

Internet.
192.0.2.0/24: se utiliza como TEST-NET en cdigos de ejemplo y

documentacin.
224.0.0.0/4 (como direccin IP de origen): se utiliza en asignaciones

de direcciones de multidifusin IPv4, y se conoca anteriormente como el
espacio de direcciones clase D.
240.0.0.0/4 (excepto 255.255.255.255/32 como una direccin de

destino): intervalo de direcciones reservado que se conoca
anteriormente como el espacio de direcciones clase E.
Tambin puede aadir nuevas direcciones martian para la prevencin de DoS. Los
paquetes que tienen direcciones martian se descartan.
Para definir direcciones martian:
PASO 1 Haga clic en Seguridad > Prevencin de negacin de servicio > Direcciones
marcianas. Se muestra la pgina Direcciones martian.

PASO 2 Seleccione Direcciones martian reservadas y haga clic en Aplicar para incluir las
direcciones martian reservadas en la lista de prevencin a nivel de sistema.
360
18
PASO 3 Para aadir una direccin martian, haga clic en Aadir. Se muestra la pgina
Aadir direcciones martian.

Versin IP: indica la versin IP admitida. Actualmente, solo se admite IPv4.
Direccin IP: ingrese una direccin IP que se deba rechazar. Los valores
posibles son:
-
De la lista reservada: seleccione una direccin IP conocida de la lista

reservada.
Direccin IP nueva: ingrese una direccin IP.
Mscara: ingrese la mscara de la direccin IP para definir un rango de

direcciones IP que se deben rechazar. Los valores son:
-
Mscara de red: mscara de red en formato decimal con punto.
Longitud de prefijo: ingrese el prefijo de la direccin IP para definir el

rango de direcciones IP para las que la Prevencin de negacin de
servicio est activada.
PASO 5 Haga clic en Aplicar. Las direcciones martian se escriben en el archivo
Definicin del filtrado SYN

En la pgina Filtrado SYN se pueden filtrar los paquetes TCP que contienen un
indicador SYN y que se dirigen a uno o ms puertos.
Para definir un filtrado SYN:
PASO 1 Haga clic en Seguridad > Prevencin de negacin de servicio > Filtrado SYN.
Se muestra la pgina Filtrado SYN.

PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir filtrado SYN.
Interfaz: seleccione la interfaz en la que est definido el filtro.
Direccin IPv4: ingrese la direccin IP para la que est definido el filtro, o

seleccione Todas las direcciones.
361
18
Mscara de red: ingrese la mscara de red para la que el filtro est activado
en formato de direccin IP.
Puerto TCP: seleccione el puerto TCP de destino al que se aplica el filtro:

-
Puertos conocidos: seleccione un puerto de la lista.
Definido por el usuario: ingrese un nmero de puerto.
Todos los puertos: seleccione esta opcin para indicar que se filtran
todos los puertos.
PASO 4 Haga clic en Aplicar. Se define el filtrado SYN y se actualiza el archivo
Definicin de la proteccin de velocidad SYN

En la pgina Proteccin de velocidad SYN se puede limitar el nmero de
paquetes SYN recibidos en el puerto de ingreso. De esta manera, se disminuye el
efecto de una inundacin SYN contra servidores y, por velocidad, se limita el
nmero de conexiones nuevas.
Esta funcin solo est disponible cuando el dispositivo est en el modo de capa 2.
Para definir la proteccin de velocidad SYN:
PASO 1 Haga clic en Seguridad > Prevencin de negacin de servicio > Proteccin de
velocidad SYN. Se muestra la pgina Proteccin de velocidad SYN.

En esta pgina aparece la proteccin de velocidad SYN definida actualmente por
interfaz.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir proteccin de velocidad SYN.
Interfaz: seleccione la interfaz en la que desea definir la proteccin de

velocidad.
Direccin IP: ingrese la direccin IP para la que est definida la proteccin

de velocidad SYN, o seleccione Todas las direcciones. Si ingresa la
direccin IP, ingrese la mscara o la longitud del prefijo.
Mscara de red: seleccione el formato de la mscara de subred para la

direccin IP de origen e ingrese un valor en uno de los campos:
362
18
Mscara: seleccione la subred a la que pertenece la direccin IP de

origen e ingrese la mscara de subred en formato decimal con punto.

Lmite de velocidad de SYN: ingrese el nmero de paquetes SYN que se

deben recibir.
PASO 4 Haga clic en Aplicar. Se define la proteccin de velocidad SYN y se actualiza el
Definicin del filtrado ICMP

En la pgina Filtrado ICMP se pueden bloquear los paquetes ICMP de ciertas
fuentes, lo que puede reducir la carga en la red en caso de un ataque de ICMP.
Para definir el filtrado ICMP:
PASO 1 Haga clic en Seguridad > Prevencin de negacin de servicio > Filtrado ICMP.
Se muestra la pgina Filtrado ICMP.

PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir filtrado ICMP.
Interfaz: seleccione la interfaz en la que desea definir el filtrado ICMP.
Direccin IP: ingrese la direccin IPv4 para la que est activado el filtrado
de paquetes ICMP o seleccione Todas las direcciones para bloquear los
paquetes ICMP de todas las direcciones de origen. Si ingresa la direccin IP,
ingrese la mscara o la longitud del prefijo.

-


PASO 4 Haga clic en Aplicar. Se define el filtrado ICMP y se actualiza el archivo
363
18
Definicin del bloqueo de IP fragmentadas

En la pgina IP fragmentada se pueden bloquear los paquetes IP fragmentados.
Para configurar el bloqueo de IP fragmentadas:
PASO 1 Haga clic en Seguridad > Prevencin de negacin de servicio > Filtrado de
fragmentos IP. Se muestra la pgina Filtrado de fragmentos IP.

PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir filtrado de fragmentos IP.
Interfaz: seleccione la interfaz en la que desea definir la fragmentacin IP.
Direccin IP: ingrese una red IP de la que se filtran los paquetes IP

fragmentados o seleccione Todas las direcciones para bloquear los
paquetes IP fragmentados de todas las direcciones. Si ingresa la direccin
IP, ingrese la mscara o la longitud del prefijo.

-


PASO 4 Haga clic en Aplicar. Se define el filtrado IP y se actualiza el archivo Configuracin
en ejecucin.
La proteccin de la IP de origen es una funcin de seguridad que se puede usar
para impedir los ataques de trfico provocados cuando un host intenta utilizar la
direccin IP de su vecino.
Cuando la proteccin de la IP de origen est habilitada, el switch solo transmite el
trfico IP del cliente a las direcciones IP incluidas en la base de datos de
vinculacin de indagacin de DHCP. Esto incluye tanto las direcciones aadidas
mediante la indagacin de DHCP como las entradas aadidas manualmente.
Si el paquete coincide con una entrada de la base de datos, el switch los reenva.
De lo contrario, lo descarta.
364
18
Interacciones con otras funciones

Los siguientes puntos son pertinentes a la proteccin de la IP de origen:
La indagacin de DHCP debe estar habilitada globalmente para que se

pueda habilitar la proteccin de la IP de origen en una interfaz.
La proteccin de la IP de origen puede estar activa en una interfaz

nicamente si:
-
La indagacin de DHCP est habilitada en por lo menos una de las VLAN

del puerto.
La interfaz es DHCP no confiable. Todos los paquetes que se encuentran

en puertos confiables se reenvan.
Si un puerto es DHCP confiable, se puede configurar el filtrado de

direcciones IP estticas, incluso si la proteccin de la IP de origen no est
activa en esa condicin, al habilitar la proteccin de la IP de origen en el
puerto.
Cuando el estado del puerto cambia de DHCP no confiable a DHCP

confiable, las entradas de filtrado de la direccin IP esttica permanecen en
la base de datos de vinculacin, pero se vuelven inactivas.
La seguridad de puertos no se puede habilitar si se configura el filtrado de

la IP de origen y de la direccin MAC en un puerto.
La proteccin de la IP de origen utiliza recursos TCAM y necesita una sola

regla TCAM por entrada de direccin con proteccin de IP de origen. Si la
cantidad de entradas con proteccin de la IP de origen excede la cantidad
de reglas TCAM disponibles, las direcciones extra estn inactivas.
Filtrado
Si la proteccin de la IP de origen est habilitada en un puerto:
Se permite el acceso a los paquetes DHCP admitidos mediante la

indagacin de DHCP.
Si la direccin IP de origen est habilitada:

-
Trfico IPv4: solo se admite el trfico con una direccin IP de origen que
est asociada con el puerto.
Trfico no IPv4: se admite (incluidos los paquetes ARP).
365
18
Configuracin del flujo de trabajo de la proteccin de la IP de

origen
Para configurar la proteccin de la IP de origen:
PASO 1 Habilite la indagacin de DHCP en la pgina Configuracin de IP> DHCP >
Propiedades o en la pgina Seguridad > Indagacin de DHCP > Propiedades.

PASO 2 Defina las VLAN en las que est habilitada la indagacin de DHCP en la pgina
Configuracin de IP> DHCP > Configuracin de interfaz.

PASO 3 Configure las interfaces como confiables o no confiables en la pgina
Configuracin de IP > DHCP > Interfaz de indagacin de DHCP.

PASO 4 Habilite la proteccin de la IP de origen en la pgina Seguridad > Proteccin de
la IP de origen > Propiedades.

PASO 5 Habilite la proteccin de la IP de origen en las interfaces no confiables como se
requiere en la pgina Seguridad > Proteccin de la IP de origen > Configuracin

de interfaz.
PASO 6 Visualice las entradas para la base de datos de vinculacin en la pgina
Seguridad > Proteccin de la IP de origen > Base de datos de vinculacin.
Habilitacin de la proteccin de la IP de origen

Para habilitar la proteccin de la IP de origen globalmente:
PASO 1 Haga clic en Seguridad > Proteccin de la IP de origen > Propiedades. Se
muestra la pgina Propiedades.

PASO 2 Seleccione Habilitar para habilitar la proteccin de la IP de origen globalmente.
Configuracin de la proteccin de la IP de origen en las

interfaces
Si la proteccin de la IP de origen est habilitada en un puerto/LAG no confiable,
se transmiten paquetes DHCP admitidos mediante la indagacin de DHCP. Si el
filtrado de direccin IP de origen est habilitado, la transmisin de paquetes se
admite de la siguiente manera:
Trfico IPv4: solo se admitir el trfico IPv4 que tenga una direccin IP de
origen que est asociada con el puerto especfico.
366
18
Trfico no IPv4: se admite todo el trfico que no es IPv4.
Consulte Interacciones con otras funciones para obtener ms informacin sobre

cmo habilitar la proteccin de la IP de origen en las interfaces.
Para configurar la proteccin de la IP de origen en las interfaces:
PASO 1 Haga clic en Seguridad > Proteccin de la IP de origen > Configuracin de
interfaz. Se muestra la pgina Configuracin de interfaz.

PASO 2 Seleccione puerto/LAG en el campo Filtro y haga clic en Ir. Los puertos/LAG de
esta unidad se muestran junto con lo siguiente:
Proteccin de la IP de origen: indica si la proteccin de la IP de origen est

habilitada en el puerto.
Interfaz confiable de indagacin de DHCP: indica si se trata de una interfaz

confiable de DHCP.
PASO 3 Seleccione el puerto/LAG y haga clic en Editar. Se muestra la pgina Editar
configuracin de interfaz. Seleccione Habilitar en el campo Proteccin de la IP

de origen para habilitar la proteccin de la IP de origen en la interfaz.
PASO 4 Haga clic en Aplicar para copiar la configuracin en el archivo Configuracin en
ejecucin.
Base de datos de vinculacin

La proteccin de la IP de origen usa la base de datos de vinculacin de indagacin
de DHCP para comprobar los paquetes provenientes de puertos no confiables. Si
el switch intenta escribir demasiadas entradas en la base de datos de vinculacin
de indagacin de DHCP, las entradas excedentes se mantienen en un estado
inactivo. Las entradas se eliminan cuando su tiempo de validez caduca; por lo
tanto, las entradas inactivas pueden volverse activas.
Consulte Indagacin de DHCP.
NOTA La pgina Base de datos de vinculacin solo muestra las entradas en la base de
datos de vinculacin de indagacin de DHCP definidas en los puertos habilitados

mediante proteccin de la IP de origen.
367
18
Para consultar la base de datos de vinculacin de indagacin de DHCP y ver el

uso de TCAM, establezca Insertar inactivo:
PASO 1 Haga clic en Seguridad > Proteccin de la IP de origen > Base de datos de
vinculacin. Se muestra la pgina Base de datos de vinculacin.

PASO 2 La base de datos de vinculacin de indagacin de DHCP usa recursos TCAM para
administrar la base de datos. Complete el campo Insertar inactivo para

seleccionar con qu frecuencia el switch debe tratar de activar las entradas
inactivas. Tiene las siguientes opciones:
Frecuencia de reintento: frecuencia con la que se comprueban los recursos

TCAM.
Nunca: nunca intente reactivar las direcciones inactivas.
PASO 3 Haga clic en Aplicar para guardar los cambios anteriores en Configuracin en
ejecucin o en Reintentar ahora para comprobar los recursos TCAM.

Se muestran las entradas de la base de datos de vinculacin:
ID de VLAN: VLAN en la que se espera el paquete.
Direccin MAC: direccin MAC que se har coincidir.
Direccin IP: direccin IP que se har coincidir.
Interfaz: interfaz en la que se espera el paquete.
Estado: muestra si la interfaz est activa.
Tipo: muestra si la entrada es dinmica o esttica.
Razn: si la interfaz no est activa, se muestra la razn. Las siguientes

razones son posibles:
-
Sin problema: la interfaz est activa.
Sin indagacin de VLAN: la indagacin de DHCP no est habilitada en la

VLAN.
Puerto confiable: puerto que se ha vuelto confiable.
Problema de recurso: se han agotado los recursos TCAM.
Para ver un subconjunto de estas entradas, ingrese los criterios de bsqueda

relevantes y haga clic en Ir.
368
18

ARP habilita la comunicacin IP dentro de un dominio de difusin de capa 2 al
asignar direcciones IP a las direcciones MAC.
Un usuario malintencionado puede atacar a los hosts, los switches y los routers
conectados a una red de capa 2 al envenenar las memorias cach ARP de los
sistemas conectados a la subred y al interceptar el trfico que se dirige a otros
hosts de la subred. Esto puede ocurrir porque ARP permite una respuesta gratuita
por parte de un host incluso si no se recibi una solicitud ARP. Despus del
ataque, todo el trfico proveniente del dispositivo que recibi el ataque fluye a
travs del equipo del atacante y luego se dirige al router, al switch o al host.
Lo siguiente muestra un ejemplo de envenenamiento de memoria cach de ARP.
Envenenamiento de memoria cach de ARP
Los hosts A, B y C se conectan con el switch en las interfaces A, B y C, de las

cuales todas se encuentran en la misma subred. Sus direcciones IP y MAC
aparecen en parntesis; por ejemplo, el host A usa la direccin IP IA y la direccin
MAC MA. Cuando el host A necesita comunicarse con el host B en la capa de IP,
transmite una solicitud ARP para la direccin MAC asociada con la direccin IP IB.
El host B responde con una respuesta ARP. El switch y el host A actualizan su
cach ARP con las direcciones MAC e IP del host B.
El host C puede envenenar las memorias cach de ARP del switch, el host A y el
host B al transmitir respuestas ARP falsificadas con vinculaciones para un host
con una direccin IP de IA (o IB) y una direccin MAC de MC. Los hosts con
memorias cach de ARP envenenadas usan la direccin MAC MC como direccin
MAC de destino para el trfico que se dirige a IA o IB, lo que habilita al host C a
369
18
interceptar ese trfico. Debido a que el host C conoce las verdaderas direcciones
MAC asociadas con IA e IB, puede reenviar el trfico interceptado a los hosts al
usar la direccin MAC correcta como destino. El host C se ha insertado en el flujo
de trfico desde el host A hasta el host B, que es el clsico ataque "man-in-themiddle" (por interceptacin).
De qu manera ARP evita el envenenamiento de cach

La funcin de inspeccin de ARP se relaciona con las interfaces ya sean
confiables o no confiables (consulte la pgina Seguridad > Inspeccin de ARP>
Configuracin de interfaz).
A las interfaces las clasifica el usuario de la siguiente manera:
Confiables: no se inspeccionan los paquetes.
No confiables: se inspeccionan los paquetes como se describi

anteriormente.
La inspeccin de ARP se realiza nicamente en interfaces no confiables. Los

paquetes ARP que se reciben en la interfaz confiable simplemente se reenvan.
Ante la llegada de un paquete a las interfaces no confiables, se implementa la
siguiente lgica:
Busque las reglas de control de acceso ARP para las direcciones IP/MAC
del paquete. Si se encuentra la direccin IP y la direccin MAC que aparece
en la lista coincide con la direccin MAC del paquete, significa que el
paquete es vlido; de lo contrario, no lo es.
Si no se encuentra la direccin IP del paquete y la indagacin de DHCP est

habilitada para la VLAN del paquete, busque en la base de datos de
vinculacin de indagacin de DHCP el par <direccin IP - VLAN> del
paquete. Si no se encuentra el par <VLAN - direccin IP> y la direccin
MAC y la interfaz que figuran en la base de datos coinciden con la direccin
MAC del paquete y la interfaz de ingreso, significa que el paquete es vlido.
Si no se encontr la direccin IP del paquete en las reglas de control de

acceso ARP ni en la base de datos de vinculacin de indagacin de DHCP,
significa que el paquete no es vlido y se descarta. Se genera un mensaje
SYSLOG.
Si el paquete es vlido, se reenva y la memoria cach ARP se actualiza.
370
18
Si la opcin Validacin de paquete de ARP est seleccionada (pgina

Propiedades), se realizan las siguientes comprobaciones de validacin
adicionales:
MAC de origen: compara la direccin MAC de origen del paquete que

aparece en el encabezado Ethernet con la direccin MAC del remitente que
aparece en la solicitud ARP. La comprobacin se realiza tanto en las
solicitudes como en las respuestas ARP.
MAC de destino: compara la direccin MAC de destino del paquete que

aparece en el encabezado Ethernet con la direccin MAC de la interfaz de
destino. Esta comprobacin se realiza para las respuestas ARP.
Direcciones IP: compara el cuerpo ARP para detectar direcciones IP no

vlidas o inesperadas. Las direcciones incluyen 0.0.0.0, 255.255.255.255 y
todas las direcciones IP de multidifusin.
Los paquetes con vinculaciones de inspeccin de ARP no vlidos se registran y se

descartan.
Se puede definir un mximo de 1024 entradas en la tabla de control de acceso
ARP.
Interaccin entre Inspeccin de ARP e Indagacin de DHCP

Si la indagacin de DHCP est habilitada, la inspeccin de ARP usa la base de
datos de vinculacin de indagacin de DHCP adems de las reglas de control de
acceso de ARP. Si la indagacin de DHCP no est habilitada, solo se usan las
reglas de control de acceso de ARP.
Valores predeterminados de ARP

Tabla de valores predeterminados de ARP
Opcin
Estado predeterminado
No aplicable
Validacin de paquete de ARP
No aplicable
Inspeccin de ARP habilitada en

VLAN
No aplicable
371
18
Opcin
Intervalo de bfer de registro
La generacin de mensajes
SYSLOG para paquetes
descartados se habilita en un
intervalo de 5 segundos.
Flujo de trabajo de la inspeccin de ARP

Para configurar la inspeccin de ARP:
PASO 1 Habilite la inspeccin de ARP y configure las diversas opciones en la pgina
Seguridad > Inspeccin de ARP > Propiedades.

PASO 2 Configure las interfaces como ARP confiables o no confiables en la pgina
Seguridad > Inspeccin de ARP > Configuracin de interfaz.

PASO 3 Aada reglas en las pginas Seguridad > Inspeccin de ARP > Control de acceso
de ARP y Reglas de control de acceso ARP.

PASO 4 Defina las VLAN en las que est habilitada la inspeccin de ARP y las reglas de
control de acceso ARP para cada VLAN en la pgina Seguridad > Inspeccin de
ARP > Configuracin de VLAN.
Definicin de las propiedades de la inspeccin de ARP

Para configurar la inspeccin de ARP:
PASO 1 Haga clic en Seguridad > Inspeccin de ARP > Propiedades. Se muestra la pgina
Propiedades.
Estado de inspeccin de ARP: seleccione esta opcin para habilitar la

inspeccin de ARP.
Validacin de paquete de ARP: seleccione esta opcin para habilitar las

siguientes comprobaciones de validacin:
-
MAC de origen: compara la direccin MAC de origen del paquete que

aparece en el encabezado Ethernet con la direccin MAC del remitente
que aparece en la solicitud ARP. La comprobacin se realiza tanto en las
solicitudes como en las respuestas ARP.
372
18
MAC de destino: compara la direccin MAC de destino del paquete que

aparece en el encabezado Ethernet con la direccin MAC de la interfaz
de destino. Esta comprobacin se realiza para las respuestas ARP.
Direcciones IP: compara el cuerpo ARP para detectar direcciones IP no

vlidas o inesperadas. Las direcciones incluyen 0.0.0.0, 255.255.255.255
y todas las direcciones IP de multidifusin.
Intervalo de bfer de registro: seleccione una de las siguientes opciones:

-
Frecuencia de reintento: habilite el envo de mensajes SYSLOG para

los paquetes descartados. Queda ingresada la frecuencia con la que se
envan lo mensajes.
Nunca: los mensajes SYSLOG para paquetes descartados estn

deshabilitados.
PASO 2 Haga clic en Aplicar. Se define la configuracin y se actualiza el archivo
Definicin de la configuracin de las interfaces de inspeccin

de ARP dinmica
Los paquetes de puertos/LAG no confiables se comprueban en comparacin con
la tabla de reglas de acceso ARP y la base de datos de vinculacin de indagacin
de DHCP si la indagacin de DHCP est habilitada (consulte la pgina Base de
datos de vinculacin de indagacin de DHCP).
De forma predeterminada, los puertos/LAG corresponden a la inspeccin de ARP
no confiable.
Para cambiar un puerto/LAG ARP al estado confiable:
PASO 1 Haga clic en Seguridad > Inspeccin de ARP > Configuracin de interfaz. Se
muestra la Configuracin de interfaz.

Se muestran los puertos/LAG y sus estados ARP confiable/no confiable.
PASO 2 Para establecer un puerto/LAG como no confiable, seleccione el puerto/LAG y
haga clic en Editar. Se muestra la pgina Editar configuracin de interfaz.

PASO 3 Seleccione Confiable o No confiable y haga clic en Aplicar para guardar la
configuracin en el archivo Configuracin en ejecucin.
373
18
Definicin del control de acceso de inspeccin de ARP

Para aadir entradas en la tabla de inspeccin de ARP:
PASO 1 Haga clic en Seguridad > Inspeccin de ARP > Control de acceso ARP. Se
muestra la pgina Control de acceso ARP.

PASO 2 Para aadir una entrada, haga clic en Aadir. Se muestra la pgina Aadir control
de acceso ARP.
PASO 3 Ingrese los campos:
Nombre de control de acceso ARP: ingrese un nombre creado por el usuario.
Direccin MAC: direccin MAC del paquete.
Direccin IP: direccin IP del paquete.
Definicin de las reglas de control de acceso de inspeccin

de ARP
Para aadir ms reglas a un grupo de control de acceso de ARP creado
anteriormente:
PASO 1 Haga clic en Seguridad > Inspeccin de ARP > Reglas de control de acceso ARP.
Se muestra la pgina Reglas de control de acceso ARP.

Se muestran las reglas de acceso actualmente definidas.
PASO 2 Para aadir ms reglas a un grupo, haga clic en Aadir. Se muestra la pgina
Aadir reglas de control de acceso ARP.

PASO 3 Seleccione un Grupo de control de acceso e ingrese los campos:
374
18
Definicin de la configuracin de la VLAN de inspeccin de

ARP
Para habilitar la inspeccin de ARP en las VLAN y asociar los grupos de control de
acceso con una VLAN:
PASO 1 Haga clic en Seguridad > Inspeccin de ARP > Configuracin de VLAN. Se
muestra la pgina Configuracin de VLAN.

PASO 2 Para habilitar la inspeccin de ARP en una VLAN, mueva la VLAN de la lista VLAN
disponibles a la lista VLAN habilitadas.

PASO 3 Para asociar un grupo de control de acceso ARP con una VLAN, haga clic en
Aadir. Seleccione el nmero de VLAN y seleccione un grupo de Control de

acceso ARP definido anteriormente.
375
19
Uso de la funcin cliente SSH
En esta seccin se describe el dispositivo cuando funciona como cliente SSH.

Mtodos de proteccin
Antes de empezar
Tareas comunes

Copia segura o SSH es un protocolo de red que habilita el intercambio de datos
entre un cliente SSH (en este caso, el dispositivo) y un servidor SSH en un canal
seguro.
El cliente SSH ayuda al usuario a administrar una red compuesta por uno o ms
switches en los que se almacenan varios archivos de sistema en un servidor SSH
central. Cuando los archivos de configuracin son transferidos a travs de una red,
Copia segura (SCP), que es una aplicacin que utiliza el protocolo SSH, asegura
que los datos confidenciales, como el nombre de usuario/contrasea no pueden
ser interceptados.
Copia segura (SCP) se utiliza para transferir de forma segura firmwares, imgenes
de inicio, archivos de configuracin, archivos de idioma y archivos de registro de
un servidor SCP central a un switch.
376

Mtodos de proteccin Colores: , , condicin 500, condicin 300 y 500,
19
Con respecto a SSH, la SCP en ejecucin en el switch es una aplicacin de cliente

SSH y el servidor SCP es una aplicacin de servidor SSH.
Cuando los archivos se descargan mediante TFTP o HTTP, la transferencia de
datos es insegura.
Cuando los archivos se descargan mediante SCP, la informacin se descarga
desde el servidor SCP al switch mediante un canal seguro. La creacin de este
canal seguro est precedida de la autenticacin, que asegura que el usuario tiene
permiso para realizar la operacin.
La informacin de autenticacin debe ser introducida por el usuario, tanto en el
switch como en el servidor SSH, a pesar de que esta gua no describa las
operaciones del servidor.
A continuacin se muestra una configuracin de red tpica en la que se puede
utilizar la funcin SCP.
Configuracin de red tpica
Mtodos de proteccin
Cuando los datos se transfieren desde un servidor SSH a un switch (cliente), el
servidor SSH utiliza varios mtodos para la autenticacin del cliente. Se describen
a continuacin.
377

Mtodos de proteccin Colores: , , condicin 500, condicin 300 y 500,
19
Contraseas
Para utilizar el mtodo de contrasea, primero asegrese de que se haya
establecido un nombre de usuario/contrasea en el servidor SSH. Esto no se
realiza a travs del sistema de administracin del switch, aunque una vez que el
sistema de administracin del switch se haya establecido en el servidor, la
contrasea del servidor se puede cambiar a travs del sistema de administracin
del switch.
El usuario/contrasea se debe crear en el switch. Cuando los datos se transfieren
desde el servidor hasta el switch, el nombre de usuario/contrasea suministrados
por el switch deben coincidir con el nombre de usuario/contrasea del servidor.
Los datos se pueden cifrar utilizando una clave simtrica de uso nico que se
negocia durante la sesin.
Cada switch que se administre debe tener su propio nombre de usuario/
contrasea, aunque se puede utilizar el mismo nombre de usuario/contrasea
para varios switches.
El mtodo de contrasea es el mtodo predeterminado del switch.
Claves pblicas/privadas
Para utilizar el mtodo de clave pblica/privada, cree un nombre de usuario y
clave pblica en el servidor SSH. La clave pblica se genera en el switch, como se
describe a continuacin, y despus se copia en el servidor. Las acciones de
creacin de un nombre de usuario en el servidor y copiado de una clave pblica
en el servidor no se describen en esta gua.
Los pares de claves predeterminados RSA y DSA se generan para el switch
cuando se inicia. Una de estas claves se utiliza para cifrar los datos que se
descargan del servidor SSH. De forma predeterminada, se utiliza la clave RSA.
Si el usuario elimina una o dos de estas claves, se vuelven a generar.
Las claves pblicas/privadas se cifran y se almacenan en la memoria del
dispositivo. Las claves son parte del archivo de configuracin del dispositivo, y la
clave privada se puede mostrar al usuario en forma cifrada o de texto sin formato.
Debido a que la clave privada no se puede copiar a la clave privada de otro switch
en forma directa, existe un mtodo de importacin que permite copiar las claves
privadas de switch a switch (descritas en Claves de importacin).
378

Autenticacin del servidor SSH Colores: , , condicin 500, condicin 300 y 500,
19
Claves de importacin
En el mtodo de clave, se deben crear claves individuales pblicas/privadas para
cada switch individual, y estas claves privadas no se pueden copiar directamente
de un switch a otro debido a consideraciones de seguridad.
Si hay varios switches en la red, el proceso de creacin de claves pblicas/
privadas de todos los switches puede llevar mucho tiempo porque se debe crear
cada clave pblica/privada y despus, se deben cargar en el servidor SSH.
Para facilitar este proceso, hay una funcin adicional que permite la transferencia
segura de la clave privada cifrada a todos los switches del sistema.
Cuando se crea una clave privada en un switch, tambin es posible crear una
frase clave relacionada. Esta frase clave se utiliza para cifrar la clave privada y
para importarla a los switches restantes. De esta forma, todos los switches
pueden utilizar la misma clave pblica/privada.

Un switch, al igual que un cliente SSH, solo se comunica con un servidor SSH
confiable. Cuando la autenticacin del servidor SSH se encuentra deshabilitada
(la configuracin predeterminada) cualquier servidor SSH se considera confiable.
Cuando se habilita la autenticacin del servidor SSH, el usuario debe agregar una
entrada para los servidores confiables en la tabla de servidores SSH confiables.
Esta tabla almacena la siguiente informacin por cada servidor SSH confiable de
un mximo de 16 servidores y contiene la siguiente informacin:
Direccin IP/Nombre de host del servidor
Huella dactilar de la clave pblica del servidor
Cuando se habilita la autenticacin del servidor SSH, el cliente SSH en ejecucin

en el switch autentica el servidor SSH utilizando el siguiente proceso de
autenticacin:
El switch calcula la huella dactilar de la clave pblica del servidor SSH

recibido.
El switch busca la tabla de servidores SSH confiables para la direccin IP/el

nombre de host del servidor SSH. Puede ocurrir una de las siguientes
situaciones:
-
Si se encuentra una coincidencia, tanto para la direccin IP/el nombre de

host de servidor como para su huella dactilar, el servidor es autenticado.
379

Autenticacin del cliente SSH Colores: , , condicin 500, condicin 300 y 500,
19
Si se encuentra una direccin IP/un nombre de host que coincide, pero

no hay una huella dactilar que coincida, la bsqueda contina. Si no se
encuentra ninguna huella dactilar que coincida, la bsqueda se
completa y la autenticacin falla.
Si no se encuentra ninguna direccin IP/ningn nombre de host que

coincida, la bsqueda se completa y la autenticacin falla.
Si la entrada para el servidor SSH no se encuentra en la lista de servidores

confiables, el proceso falla.

La autenticacin del cliente SSH a travs de una contrasea se encuentra
habilitada de forma predeterminada y el usuario/la contrasea es annimo.
El usuario debe configurar la siguiente informacin para la autenticacin:
El mtodo de autenticacin que se utilizar.
El nombre de usuario/la contrasea o par de claves pblico/privado.
Para poder admitir la configuracin automtica de un dispositivo configurado de

fbrica (dispositivo con configuracin predeterminada de fbrica), la autenticacin
del servidor SSH est desactivada de forma predeterminada.
Algoritmos admitidos
Cuando se establece una conexin entre un dispositivo (como un cliente SSH) y
un servidor SSD, el cliente y el servidor SSH intercambian datos para determinar
los algoritmos con el fin de utilizarlos en la capa de transporte SSH.
Los siguientes algoritmos son admitidos en el lado del cliente:
Intercambio de claves algoritmo-diffie-hellman
Algoritmos de cifrado
-
aes128-cbc
3des-cbc
arcfour
aes192-cbc
380

Antes de empezar Colores: , , condicin 500, condicin 300 y 500,
19
aes256-cbc
Algoritmos de cdigo de autenticacin de mensajes

-
hmac-sha1
hmac-md5
NOTA No se admiten los algoritmos de compresin.
Antes de empezar
Se deben realizar las siguientes acciones antes de utilizar la funcin SCP:
Al utilizar el mtodo de autenticacin de contrasea, se debe establecer un

nombre de usuario/contrasea en el servidor SSH.
Al utilizar un mtodo de autenticacin de clave pblica/privada, la clave

pblica se debe almacenar en el servidor SSH.
Tareas comunes
En esta seccin se describen algunas tareas comunes realizadas utilizando el
cliente SSH. Todas las pginas a las que se hace referencia se pueden encontrar
en la rama Cliente SSH del rbol de men.
Flujo de trabajo 1: Para configurar el cliente SSH y los datos de

transferencia para/desde el servidor SSH, siga los siguientes pasos:
PASO 1 Decida qu mtodo se va a utilizar: contrasea o clave pblica/privada. Utilice la
pgina Autenticacin del usuario SSH.

PASO 2 Si se seleccion el mtodo contrasea, siga los siguientes pasos:
a. Cree una contrasea global en la pgina Autenticacin del usuario SSH o cree
una temporal en la pgina Actualizacin/copia de seguridad de firmware/
idioma o Copia de seguridad de configuracin/registro cuando realmente
active la transferencia de datos seguros.
b. Actualice el firmware, la imagen de inicio o el archivo de idioma utilizando SCP
y seleccionando la opcin a travs de SCP (por medio de SSH) de la pgina
Actualizacin/copia de seguridad del firmware/idioma. La contrasea se
381

Tareas comunes Colores: , , condicin 500, condicin 300 y 500,
19
puede ingresar directamente en esta pgina o se puede utilizar la contrasea

ingresada en la pgina Autenticacin del usuario SSH.
c. Descargue/Haga una copia de seguridad del archivo de configuracin
utilizando SCP y seleccionando la opcin a travs de SCP (por medio de SSH)
de la pgina Descarga/copia de seguridad de configuracin/registro. La
contrasea se puede ingresar directamente en esta pgina o se puede utilizar
la contrasea ingresada en la pgina Autenticacin del usuario SSH.
PASO 3 Establezca un nombre de usuario/contrasea en el servidor SSH o modifique la
contrasea del servidor SSH en la pgina Cambiar contrasea de usuario. Esta

actividad depende del servidor y no se describe aqu.
PASO 4 Si se est utilizando el mtodo de clave pblica/privada, siga los siguientes pasos:
a. Seleccione si utilizar una clave RSA o DSA, cree un nombre de usuario y, a

continuacin, genere las claves pblicas/privadas.
b. Vea la clave generada haciendo clic en el botn Detalles, y transfiera el
nombre de usuario y la clave pblica al servidor SSH. Esta accin depende del
servidor y no se describe en esta gua.
c. Actualice/Realice una copia de seguridad del firmware o el archivo de idioma
de la pgina Actualizacin/copia de seguridad del firmware/idioma.
d. Descargue/Haga una copia de seguridad del archivo de configuracin
de la pgina Descarga/copia de seguridad de configuracin/registro.
Flujo de trabajo 2: Para importar las claves pblicas/privadas de un

switch a otro, haga lo siguiente:
PASO 1 Genere una clave pblica/privada en la pgina Autenticacin del usuario SSH.
PASO 2 Establezca las propiedades de SSD y cree una frase local nueva en la pgina
Gestin de datos confidenciales > Propiedades.

PASO 3 Haga clic en Detalles para ver las claves cifradas generadas y cpielas (incluidos
los pie de pgina de inicio y de fin) de la pgina Detalles a un dispositivo externo.

Copie las claves pblica y privada por separado.
PASO 4 Inicie sesin en otro switch y abra la pgina Autenticacin del usuario SSH.
Seleccione el tipo de clave requerida y haga clic en Editar. Pegue las claves
privadas/pblicas.
382

Configuracin del cliente SSH a travs de la GUI Colores: , , condicin 500, condicin 300 y 500,
19
PASO 5 Haga clic en Aplicar para copiar las claves privadas/pblicas en el segundo
switch.
Flujo de trabajo 3: Para definir un servidor confiable, haga lo siguiente:

PASO 1 Habilite la autenticacin de servidor SSH en la pgina Autenticacin del usuario
SSH.
PASO 2 Haga clic en Aadir para agregar un servidor nuevo e ingresar su informacin
identificatoria.
PASO 3 Haga clic en Aplicar para agregar el servidor en la tabla de servidores SSH
confiables.
Flujo de trabajo 4: Para cambiar la contrasea de un servidor SSH, haga

lo siguiente:
PASO 1 Identifique el servidor en la pgina Cambiar contrasea de usuario en el servidor
SSH.
PASO 3 Haga clic en Aplicar para cambiar la contrasea del servidor SSH.

En esta seccin se describen las pginas utilizadas para configurar la funcin
Cliente SSH.
Autenticacin del usuario SSH

Utilice esta pgina para seleccionar un mtodo de autenticacin de usuarios SSH,
establecer un nombre de usuario y contrasea en el switch, si est seleccionado
el mtodo de contrasea o para generar una clave RSA o DSA si est
seleccionado el mtodo de clave pblica/privada.
Para seleccionar un mtodo de autenticacin y establecer el nombre de usuario/la
contrasea/las claves.
383

19
PASO 1 Haga clic en Seguridad > Cliente SSH> Autenticacin del usuario SSH. Se
muestra la pgina Autenticacin del usuario SSH.

PASO 2 Seleccione un Mtodo de autenticacin del usuario SSH. Este es el mtodo global
definido para la copia segura (SCP). Seleccione una de las opciones:
Por contrasea: este es el valor predeterminado. Si esta opcin est

seleccionada, ingrese una contrasea o mantenga la predeterminada.
Por clave pblica RSA: si esta opcin est seleccionada, cree una clave
pblica y privada RSA en el bloque Tabla de clave de usuario SSH.
Por clave pblica DSA: si esta opcin est seleccionada, cree una clave
pblica/privada DSA en el bloque Tabla de clave de usuario SSH.
PASO 3 Ingrese el nombre de usuario (sin importar el mtodo que haya utilizado) o utilice
el nombre de usuario predeterminado. Esto debe coincidir con el nombre de

usuario definido en el servidor SSH.
PASO 4 Si se seleccion el mtodo Por contrasea, ingrese una contrasea (Cifrada o
Texto sin formato) o deje la contrasea cifrada predeterminada.

PASO 5 Realice una de las siguientes acciones:
Aplicar: se relacionan los mtodos de autenticacin seleccionados con el

mtodo de acceso.
Restaurar credenciales predeterminadas: se restauran el nombre de

usuario y contrasea (annimo).
Mostrar datos confidenciales como texto sin formato: los datos

confidenciales de la pgina actual se muestran como texto sin formato.
La Tabla de clave de usuario SSH muestra los siguientes campos para cada
clave:
Tipo de clave: RSA o DSA.
Origen de la clave: generada automticamente o definida por el usuario.
Huella dactilar: huella dactilar generada a partir de la clave.
PASO 6 Para manejar una clave RSA o DSA, seleccione RSA o DSA y realice una de las
siguientes acciones:
Generar: generar una clave nueva.
Editar: mostrar las claves para copiarlas/pegarlas a otro dispositivo.
384

Eliminar: eliminar la clave.
Detalles: muestra las claves.
19

Para habilitar una autenticacin de servidor SSH y definir los servidores
confiables, haga lo siguiente:
PASO 1 Haga clic en Seguridad > Cliente SSH> Autenticacin del servidor SSH. Se
muestra la pgina Autenticacin del servidor SSH.

PASO 2 Seleccione Habilitar para habilitar la autenticacin del servidor SSH.
PASO 3 Haga clic en Aadir e ingrese los siguientes campos para el servidor SSH
confiable:
Definicin del servidor: seleccione una de las siguientes maneras para

identificar el servidor SSH:
-
Por direccin IP: si esta opcin est seleccionada, ingrese la direccin

IP del servidor en los campos a continuacin.
Por nombre: si esta opcin est seleccionada, ingrese el nombre del

servidor en el campo Direccin IP/Nombre del servidor.
Huella dactilar: ingrese la huella dactilar del servidor SSH (copiado de ese
servidor).
PASO 4 Haga clic en Aplicar. La definicin del servidor confiable se almacena en el archivo
385

19
Modificacin de la contrasea del usuario en el servidor SSH

Para cambiar la contrasea de un servidor SSH, haga lo siguiente:
PASO 1 Haga clic en Seguridad > Cliente SSH> Cambiar contrasea de usuario en el
servidor SSH. Se muestra la pgina Cambiar contrasea de usuario en el

servidor SSH.
PASO 2 Defina el servidor SSH seleccionando Por direccin IP o Por nombre. Ingrese el
nombre del servidor o la direccin IP del servidor en los campos

correspondientes.
PASO 3 Ingrese el nombre de usuario. Esto debe coincidir con el nombre de usuario del
servidor.
PASO 4 Escriba la contrasea anterior. Esto debe coincidir con la contrasea del servidor.
PASO 5 Ingrese la contrasea nueva y confrmela en el campo Confirmar contrasea.
PASO 6 Haga clic en Aplicar. La contrasea del servidor SSH se modifica.
386
20
Uso de la funcin del servidor SSH
En esta seccin se describe cmo establecer una sesin SSH en el dispositivo.

Informacin general
Tareas comunes
Informacin general
La funcin del servidor SSH permite a los usuarios crear una sesin SSH para el
dispositivo. Esto es similar a establecer una sesin telnet, con la excepcin de que
la sesin se asegura.
Las claves pblicas y privadas se generan automticamente en el dispositivo. Esto
puede ser modificado por el usuario.
La sesin SSH se abre utilizando una aplicacin de cliente SSH especial, como
PuTTY.
El servidor SSH puede funcionar en los siguientes modos:
A travs de claves RSA/DSA generadas en forma interna (configuracin

predeterminada): se generan una clave RSA y una DSA. Los usuarios inician
sesin en la aplicacin del servidor SSH y son autenticados
automticamente para abrir una sesin en el dispositivo cuando suministran
la direccin IP del dispositivo.
Modo clave pblica: los usuarios se definen en el dispositivo. Sus claves

RSA/DSA se generan en una aplicacin de servidor SSH externa, como
PuTTY. Las claves pblicas se ingresan en el dispositivo. Los usuarios
despus pueden abrir una sesin SSH en el dispositivo a travs de la
aplicacin externa del servidor SSH.
387

Tareas comunes Colores: , , condicin 500, condicin 300 y 500,
20
Tareas comunes
En esta seccin se describen algunas tareas comunes realizadas utilizando la
funcin del servidor SSH.
Flujo de trabajo 1: Para establecer una sesin SSH en el switch utilizando

la clave del switch (predeterminada) creada automticamente, haga lo
siguiente:
PASO 1 Habilite el servidor SSH en la pgina Servicios TCP/UDP y verifique que la
autenticacin del usuario SSH de la clave pblica est deshabilitado en la pgina

PASO 2 Inicie sesin en la aplicacin de cliente SSH externa, como PuTTY, utilizando la
direccin IP del switch (no es necesario utilizar un nombre de usuario o clave que
sean conocidos para el dispositivo).
Flujo de trabajo 2: Para crear un usuario SSH e iniciar sesin en el switch

utilizando este usuario, siga los siguientes pasos:
PASO 1 Genere una clave RSA o DSA en una aplicacin de servidor SSH externa, como
PuTTY.
PASO 2 Habilite la autenticacin de usuario SSH a travs de una clave pblica en la pgina

PASO 3 Agregue un usuario en la pgina Autenticacin del usuario SSH y copie la clave
pblica generada de manera externa.

PASO 4 Inicie sesin en la aplicacin de cliente SSH externa, como PuTTY, utilizando la
direccin IP del switch y el nombre de usuario del usuario.
Flujo de trabajo 3: Para importar una clave RSA o DSA del switch A al
switch B, siga los siguientes pasos:
PASO 1 En el switch A, seleccione una clave RSA o DSA en la pgina Autenticacin del
servidor SSH.
PASO 2 Haga clic en Editar y copie la clave pblica del tipo de clave seleccionado en un
editor de texto o alguna aplicacin similar.

PASO 3 Inicie sesin en el switch B y abra la pgina Autenticacin del usuario SSH.
Seleccione la clave RSA o la DSA, haga clic en Editar y pegue la clave del switch A.
388

Pginas de configuracin del servidor SSH Colores: , , condicin 500, condicin 300 y 500,
20

En esta seccin se describen las pginas utilizadas para configurar la funcin del
servidor SSH.
Autenticacin del usuario SSH

Utilice esta pgina para habilitar la autenticacin de usuario SSH a travs de una
clave pblica y agregue un usuario del cliente SSH que se utilizar para crear una
sesin SSH en una aplicacin SSH externa (como PuTTY).
Antes de que pueda agregar un usuario, deber generar una clave RSD o DSA
para el usuario en la aplicacin generacin/cliente de clave SSH externa.
Esta pgina es opcional. No es necesario que trabaje con autenticacin de
usuarios en SSH.
Pasos para habilitar la autenticacin y agregar un usuario.
PASO 1 Haga clic en Seguridad > Servidor SSH> Autenticacin del usuario SSH. Se
muestra la pgina Autenticacin del usuario SSH.

PASO 2 Seleccione Habilitar. Si no se selecciona, la autenticacin no se realizar en el
usuario del cliente SSH.

Para los usuarios actuales se muestran los siguientes campos:
Nombre de usuario SSH: nombre de usuario del usuario.
Tipo de clave: indica si es una clave RSA o DSA.
Huella dactilar: huella dactilar generada a partir de las claves pblicas.
PASO 3 Haga clic en Aadir para agregar un usuario nuevo e ingrese los campos:
Nombre de usuario SSH: ingrese un nombre de usuario.
Tipo de clave: seleccione RSA o DSA.
Clave pblica: copie la clave pblica generada por una aplicacin de cliente
SSH externa (como PuTTY) en este cuadro de texto.
389

Pginas de configuracin del servidor SSH Colores: , , condicin 500, condicin 300 y 500,
20

Cuando el dispositivo se inicia desde la configuracin predeterminada de fbrica,
se genera automticamente una clave pblica y privada RSA y DSA. Cada clave
tambin se crea automticamente cuando el usuario elimina la clave configurada
por el usuario adecuada.
Pasos para volver a generar una clave RSA o DSA o para copiar una clave RSA/
DSA generada en otro dispositivo:
PASO 1 Haga clic en Seguridad > Servidor SSH> Autenticacin del servidor SSH. Se
muestra la pgina Autenticacin del servidor SSH.

Se muestran los siguientes campos para cada clave:
Tipo de clave: RSA o DSA.
Origen de la clave: generada automticamente o definida por el usuario.
Huella dactilar: huella dactilar generada a partir de la clave.
PASO 2 Seleccione una clave RSA o DSA.

PASO 3 Puede realizar cualquiera de las siguientes acciones:
Generar: genera una clave del tipo especificado.
Editar: le permite copiar una clave a partir de otro dispositivo.
Eliminar: le permite eliminar una clave.
Detalles: le permite ver la clave generada. La ventana Detalles tambin le

permite hacer clic en Mostrar datos confidenciales como texto sin formato.
Si esto est marcado, las claves se muestran como texto sin formato y no en
forma cifrada. Si la clave ya se muestra como texto sin formato, puede hacer
clic en Mostrar datos confidenciales como cifrado para mostrar el texto en
forma cifrada.
PASO 4 Si se generan claves nuevas, haga clic en Aplicar. La(s) clave(s) se almacenan en
390
21
Uso de la funcin SSL
En esta seccin se describe la funcin Capa de socket seguro (SSL, Secure

Socket Layer).
Contiene los siguientes temas:

La funcin Capa de socket seguro (SSL) se utiliza para abrir una sesin HTTPS
para el dispositivo.
Una sesin HTTPS se puede abrir con el certificado predeterminado que existe
en el dispositivo.
Algunos exploradores generan advertencias utilizando un certificado
predeterminado debido a que este certificado no est firmado por una autoridad
de certificacin (CA, Certification Authority). Contar con un certificado firmado por
una CA confiable es una mejor prctica.
Para abrir una sesin HTTPS a travs de un certificado creado por el usuario,
realice las siguientes acciones:
1. Genere un certificado.
2. Solicite que el certificado est certificado por una CA.
3. Importe el certificado firmado en el dispositivo.
391

Configuracin y valores predeterminados Colores: , , condicin 500, condicin 300 y 500,
21

De manera predeterminada, el switch contiene un certificado que se puede
modificar.
El HTTPS se activa de manera predeterminada.

Es posible que sea necesario generar un certificado nuevo para reemplazar el
certificado predeterminado que se encuentra en el dispositivo.
Para crear un certificado nuevo, modifique uno existente o importe uno:
PASO 1 Haga clic en Seguridad > Servidor SSL> Configuracin de la autenticacin del
servidor SSL. Se muestra la pgina Configuracin de la autenticacin del

servidor SSL.
Se muestra la informacin para el certificado 1 y 2 en la tabla de claves del
servidor SSL. Estos campos estn definidos en la pgina Editar, con la excepcin
de los siguientes campos:
Vlido desde: especifica la fecha a partir de la cual el certificado es vlido.
Vlido hasta: especifica la fecha hasta la cual el certificado es vlido.
Origen del certificado: especifica si el certificado fue generado por el

sistema (Generado de forma automtica) o por el usuario (Definido por el
usuario).
PASO 2 Seleccione un certificado activo.

PASO 3 Puede realizar una de las siguientes acciones si hace clic en el botn
correspondiente:
Editar: seleccione uno de los certificados e introduzca los siguientes

campos:
-
Volver a generar clave RSA: seleccione esta opcin para volver a

generar la clave RSA.
Longitud de la clave: introduzca la longitud de la clave RSA que se

generar.
392

Configuracin de la autenticacin del servidor SSL Colores: , , condicin 500, condicin 300 y 500,
21
Nombre comn: especifica la URL o direccin IP completamente

calificada del dispositivo. Si no se especifica, queda el valor
predeterminado ms bajo de la direccin IP del dispositivo (cuando se
genera el certificado).
Unidad de organizacin: especifica la unidad de organizacin o el

nombre del departamento.
Nombre de la organizacin: especifica el nombre de la organizacin.
Ubicacin: especifica la ubicacin o el nombre de la ciudad.
Estado: especifica el nombre del estado o de la provincia.
Pas: especifica el nombre del pas.
Duracin: especifica la cantidad de das que un certificado es vlido.
Generar solicitud de certificado: genera una solicitud de certificado que

ser firmada por una CA.
-
Introduzca los campos para el certificado (los mismos campos de la

pgina Editar).
PASO 4 Haga clic en Generar solicitud de certificado. Esto crea una clave que se debe
introducir en la CA.
Importar certificado: cuando reciba la aprobacin de la CA, introduzca lo

siguiente:
-
ID del certificado: seleccione el certificado activo.
Certificado: copie el certificado recibido.
Importar par de claves RSA: seleccione esta opcin para habilitar la

copia en el nuevo par de claves RSA.
Clave pblica: copie la clave pblica RSA.
Clave privada (cifrada): seleccione y copie la clave privada RSA en forma

cifrada.
Clave privada (texto sin formato): seleccione y copie la clave privada RSA
como texto sin formato.
Mostrar datos confidenciales como cifrados: haga clic en este botn

para mostrar esta clave como cifrada. Cuando se hace clic en este botn,
las claves privadas se escriben en el archivo de configuracin en forma
cifrada (cuando se hace clic en Aplicar).
393

Configuracin de la autenticacin del servidor SSL Colores: , , condicin 500, condicin 300 y 500,
21
Detalles: muestra el certificado y el par de claves RSA. Esto se usa para

copiar el certificado y el par de claves RSA a otro dispositivo (utilizando
copiar/pegar). Cuando hace clic en Mostrar datos confidenciales como
cifrados, las claves privadas se muestran en forma cifrada.
PASO 5 Haga clic en Aplicar para aplicar los cambios en la configuracin en ejecucin.
394
22
Datos confidenciales seguros
Los datos confidenciales seguros (SSD, Secure Sensitive Data) son una
arquitectura que facilita la proteccin de los datos confidenciales de un
dispositivo, como las contraseas y las claves. La facilidad utiliza frases clave,
cifrado, control de acceso y autenticacin de usuarios para brindar una solucin
segura a la administracin de datos confidenciales.
La facilidad se extiende para proteger la integridad de los archivos de
configuracin, para asegurar el proceso de configuracin y admitir la
configuracin automtica zero-touch de SSD.
Introduccin
Reglas SSD
Propiedades SSD
Configuracin de SSD
Introduccin
SSD protege los datos confidenciales de los dispositivos, como las contraseas y
claves, permite y rechaza el acceso a los datos confidenciales cifrados y sin
formato de las credenciales del usuario y las reglas SSD y evita que los archivos de
configuracin que contienen datos confidenciales sean alterados.
Adems, SSD permite que se realice la copia de respaldo segura y que se
compartan los archivos de configuracin que contienen datos confidenciales.
395

Reglas SSD Colores: , , condicin 500, condicin 300 y 500,
22
SSD brinda a los usuarios la flexibilidad para configurar el nivel de proteccin

deseado de sus datos confidenciales; desde sin proteccin con datos confidenciales en
texto sin formato, proteccin mnima con cifrado segn la frase clave predeterminada y mejor
proteccin con cifrado segn la frase clave definida por el usuario.
SSD otorga permiso de lectura de los datos confidenciales solo a los usuarios autenticados y
autorizados y segn las reglas SSD. Un dispositivo autentica y autoriza el acceso de
administracin para los usuarios a travs del proceso de autenticacin de usuarios.
Se utilice SSD o no, se recomienda que un administrador asegure el proceso de

autenticacin utilizando la base de datos de autenticacin local o que asegure la
comunicacin al servidor de autenticacin externo (RADIUS y TACACS) utilizado
en el proceso de autenticacin de usuarios.
En resumen, SSD protege los datos confidenciales de un dispositivo con reglas SSD,
propiedades SSD y autenticacin de usuarios. Y las reglas SSD, las propiedades SSD y la
configuracin de autenticacin de usuarios del dispositivo cuentan con datos confidenciales
protegidos en s mismos por SSD.
Administracin de SSD
La administracin de SSD incluye una coleccin de parmetros de configuracin
que definen el manejo y la seguridad de los datos confidenciales. Los parmetros
de configuracin SSD son datos confidenciales en s mismos y estn protegidos
por SSD.
Toda la configuracin de SSD se realiza a travs de las pginas SSD, que solo se
encuentran disponibles para usuarios que tienen los permisos correctos (consulte
Reglas SSD).
Reglas SSD
Las reglas SSD definen los permisos de lectura y el modo lectura predeterminada
dado a la sesin de un usuario en un canal de administracin.
Una regla SSD es identificada de manera nica por su usuario y canal de
administracin SSD. Pueden existir reglas SSD diferentes para el mismo usuario,
pero para canales diferentes y, pueden existir distintas reglas para el mismo canal,
pero para usuarios diferentes.
396

22
Los permisos de lectura determinan la forma en la que se pueden ver los datos
confidenciales: en forma de solo cifrado, en forma de solo texto sin formato, en
forma de cifrado y texto sin formato o sin permiso para ver los datos
confidenciales. Las reglas SSD estn protegidas como datos confidenciales por s
mismas.
Un dispositivo puede admitir un total de 32 reglas SSD.
Un dispositivo otorga a un usuario el permiso de lectura SSD de la regla SSD que
ms coincide con la identidad/credencial del usuario y el tipo de canal de
administracin desde el cual el usuario accede/acceder los datos
confidenciales.
Un dispositivo incluye un conjunto de reglas SSD predeterminadas. Un
administrador puede aadir, eliminar y cambiar las reglas SSD segn lo desee.
NOTA Es posible que un dispositivo no admita todos los canales definidos por SSD.
Elementos de una regla SSD

Una regla SSD incluye los siguientes elementos:
Tipo de usuario: los tipos de usuario admitidos en orden de mayor

preferencia a menor preferencia son los siguientes: (En caso de que un
usuario coincida con varias reglas SSD, se aplicar la regla que tenga el tipo
de usuario con mayor preferencia.)
-
Especfico: la regla se aplica a un usuario especfico.
Usuario predeterminado (cisco): la regla se aplica al usuario

predeterminado (cisco).
Nivel 15: la regla se aplica a los usuarios que cuentan con el nivel de
privilegio 15.
Todos: la regla se aplica a todos los usuarios.
Nombre de usuario: si el tipo de usuario es especfico, se requiere un

nombre de usuario.
Canal. Tipo de canal de administracin SSD al cual se aplica la regla. Los

tipos de canal admitidos son los siguientes:
-
Seguro: especifica que la regla solo se aplica a los canales seguros.

Segn el dispositivo del que se trate, puede admitir algunos de los
siguientes canales seguros o todos:
interfaz del puerto de la consola, SCP, SSH y HTTPS.
397
22

Inseguro: especifica que la regla solo se aplica a los canales inseguros.

Segn el dispositivo del que se trate, puede admitir algunos de los
siguientes canales inseguros o todos:
Telnet, TFTP y HTTP.
XML SNMP seguro: especifica que esta regla se aplica solo a XML a
travs de HTTPS [Sx300-500] o SNMPv3 con privacidad. Un dispositivo
puede admitir todos los canales XML y SNMP seguros o no.
XML SNMP inseguro: especifica que esta regla se aplica solo a XML a
travs de HTTP [Sx300-500] o SNMPv1/v2 y SNMPv3 sin privacidad. Un
dispositivo puede admitir todos los canales XML y SNMP seguros o no.
Permiso de lectura: los permisos de lectura se relacionan con las reglas.

Pueden ser los siguientes:
-
(El ms bajo) Excluir: los usuarios no tienen permiso para acceder a los
datos confidenciales de ninguna forma.
(Medio) Solo cifrado: los usuarios tienen permiso para acceder a los
datos confidenciales como solo cifrado.
(Ms alto) Solo texto sin formato: los usuarios tienen permiso para
acceder a los datos confidenciales como solo texto sin formato. Los
usuarios tambin tendrn permiso de lectura y escritura para los
parmetros SSD.
(El ms alto) Ambos: los usuarios tienen permisos de cifrado y de texto

sin formato y tienen permiso para acceder a los datos confidenciales
como cifrado y texto sin formato. Los usuarios tambin tendrn permiso
de lectura y escritura para los parmetros SSD.
Cada canal de administracin otorga permisos de lectura especficos. Se

resumen a continuacin.
Tabla 1
Permisos de lectura permitidos por canal de administracin

Canal de administracin
Opciones de permiso de lectura

permitidas
Seguro
Ambos, solo cifrado
No seguro
Ambos, solo cifrado
XML SNMP seguro
Excluir, solo texto sin formato
XML SNMP no seguro
Excluir, solo texto sin formato
398
22

Modo lectura predeterminado: todos los modos de lectura

predeterminados estn sujetos al permiso de lectura de la regla. Existen las
siguientes opciones, pero algunas se pueden rechazar, segn el permiso de
lectura. Si el permiso de lectura definido por el usuario para un usuario es
Excluir (por ejemplo) y el modo de lectura predeterminado es Cifrado,
prevalece el permiso de lectura definido por el usuario.
-
Excluir: no permite la lectura de datos confidenciales.
Cifrado: los datos confidenciales se presentan en forma cifrada.
Texto sin formato: los datos confidenciales se presentan en forma de

texto sin formato.
Cada canal de administracin permite presunciones de lectura especficas.

Se resumen a continuacin.
Tabla 2
Modos de lectura predeterminados para permisos de lectura

Permiso de lectura
Modo lectura predeterminado

permitido
Excluir
Excluir
Solo cifrado
*Cifrado
Solo texto sin formato
*Texto sin formato
Ambos
*Texto sin formato, cifrado
* El modo de lectura de una sesin puede cambiarse temporalmente en la

pgina Propiedades de SSD si el modo de lectura nuevo no viola el
permiso de lectura.
NOTA Tenga en cuenta lo siguiente:
El modo de lectura predeterminado de los canales de administracin XML

SNMP seguro y XML SNMP inseguro deben ser idnticos a su permiso de
lectura.
El permiso de lectura Excluir est permitido solo para los canales de

administracin XML SNMP seguro y XML SNMP inseguro; Excluir no est
permitido para los canales seguro e inseguro habituales.
Excluir datos confidenciales en canales de administracin XML-SNMP

seguro e inseguro significa que los datos confidenciales se presentan
como un 0 (que significa cadena nula o 0 numrico). Si el usuario desea ver
los datos confidenciales, la regla se debe cambiar a texto sin formato.
399

22
De manera predeterminada, se considera que un usuario SNMPv3 con

permisos de privacidad y XML sobre canales seguros es un usuario de
nivel 15.
Los usuarios SNMP en el canal XML y SNMP inseguro (SNMPv1,v2 y v3 sin

privacidad) son considerados como Todos los usuarios.
Los nombres de la comunidad SNMP no se utilizan como nombres de

usuario para que coincidan con las reglas SSD.
Se puede controlar el acceso por un usuario SNMPv3 determinado

configurando una regla SSD con un nombre de usuario que coincida con el
nombre de usuario SNMPv3.
Debe haber al menos una regla con permiso de lectura: Texto sin formato o
Ambos, porque solo los usuarios con esos permisos pueden acceder a las
pginas SSD.
Los cambios del modo de lectura predeterminado y los permisos de

lectura de una regla entrarn en vigencia y se aplicarn a los usuarios y al
canal afectados de todas las sesiones de administracin activas de
inmediato, excepto la sesin en la que se realicen los cambios aunque la
regla sea aplicable. Cuando se modifica una regla (aadir, eliminar, editar),
un sistema actualizar todas las sesiones CLI/GUI afectadas.
NOTA Cuando se modifica la regla SSD aplicada a de la sesin de conexin
desde esa sesin, el usuario debe cerrar la sesin y volver para ver el
cambio.
NOTA Al realizar una transferencia de archivos iniciada por un comando XML
o SNMP, se utiliza el protocolo subyacente TFTP. Por lo tanto, se aplicar la

regla SSD para canales inseguros.
Reglas SSD y autenticacin del usuario

SSD otorga permiso SSD solo a los usuarios autenticados y autorizados de
acuerdo con las reglas SSD. La autenticacin y autorizacin del acceso de
administracin por parte de un dispositivo depende del proceso de autenticacin
de su usuario. Para proteger un dispositivo y sus datos, incluidos los datos
confidenciales y la configuracin de SSD del acceso no autorizado, se
recomienda que el proceso de autenticacin del usuario del dispositivo se
asegure. Para asegurar el proceso de autenticacin del usuario, puede utilizar la
base de datos de autenticacin local, as como asegurar la comunicacin a travs
de servidores de autenticacin externos, como los servidores RADIUS y TACACS.
La configuracin de la comunicacin segura a los servidores de autenticacin
externos son datos confidenciales estn protegidos por SSD.
400
22

NOTA La credencial de usuario de la base de datos autenticada local ya se encuentra
protegida por un mecanismo SSD no relacionado

Si el usuario de un canal emite una accin que utiliza un canal alternativo, el
dispositivo aplica el permiso de lectura y el modo de lectura predeterminado de
la regla SSD que coincide con la credencial del usuario y el canal alternativo. Por
ejemplo, si un usuario inicia sesin a travs de un canal seguro e inicia una sesin
TFTP de carga, se aplica el permiso de lectura SSD del usuario del canal inseguro
(TFTP).
Reglas SSD predeterminadas

El dispositivo tiene las siguientes reglas predeterminadas de fbrica:
Tabla 3
Reglas SSD predeterminadas
Clave de regla
Accin de regla
Usuario
Canal
Permiso de
lectura
Modo lectura
predeterminado
Nivel 15
XML SNMP
seguro
Solo texto sin

formato
Texto simple
Nivel 15
Seguro
Ambos
Cifrada
Nivel 15
No seguro
Ambos
Cifrada
Todos
XML SNMP no
seguro
Excluir
Excluir
Todos
Seguro
Solo cifrado
Cifrada
Todos
No seguro
Solo cifrado
Cifrada
Las reglas predeterminadas se pueden modificar, pero no se pueden eliminar. Si

se han cambiado las reglas SSD predeterminadas, se pueden restaurar.
Anulacin de la sesin del modo de lectura SSD predeterminado

El sistema muestra los datos confidenciales en una sesin, como cifrados o como
texto sin formato, segn el permiso de lectura y el modo de lectura
predeterminado del usuario.
El modo de lectura predeterminado se puede anular temporalmente, siempre que
no entre en conflicto con el permiso de lectura SSD de la sesin. Este cambio se
aplica de inmediato en la sesin actual, hasta que ocurra algo de lo siguiente:
El usuario lo cambia nuevamente.
La sesin finaliza.
401

Propiedades SSD Colores: , , condicin 500, condicin 300 y 500,
22
El permiso de lectura de la regla SSD que se aplica al usuario de la sesin

cambia y ya no es compatible con el modo de lectura actual de la sesin. En
este caso, el modo de lectura de la sesin regresa al modo de lectura
predeterminado de la regla SSD.
Propiedades SSD
Las propiedades SSD son un conjunto de parmetros que, junto con las reglas
SSD, definen y controlan el entorno de SSD de un dispositivo. El entorno SSD
consta de las siguientes propiedades:
control de cmo se cifran los datos confidenciales;
control del nivel de seguridad de los archivos de configuracin y
control de cmo se ven los datos confidenciales dentro de la sesin actual.
Frase clave
La frase clave es la base del mecanismo de seguridad de la funcin SSD y se
utiliza para generar la clave para el cifrado y el descifrado de los datos
confidenciales. Las series de switches Sx200, Sx300, Sx500 y SG500x que tienen la misma
frase clave pueden descifrar los datos confidenciales cifrados entre s con la clave generada a
partir de la frase clave.
Las frases claves deben cumplir las siguientes reglas:
Longitud: entre 8 y 16 caracteres.
Clases de caracteres: la frase clave debe contener al menos un carcter en

mayscula, uno en minscula, uno numrico y uno especial, p. ej., #, $.
Frases claves predeterminadas y definidas por el usuario

Todos los dispositivos incluyen una frase clave predeterminada y configurada de
fbrica que es transparente para los usuarios. La frase clave predeterminada
nunca se muestra en el archivo de configuracin ni en el CLI/GUI.
402

22
Si desea una mejor seguridad y proteccin, un administrador debe configurar

SSD en un dispositivo para utilizar una frase clave definida por el usuario en lugar
de la frase clave predeterminada. La frase clave definida por el usuario debe ser
tratada como un secreto bien guardado, para que no se comprometa la seguridad
de los datos confidenciales del dispositivo.
Se puede configurar la frase clave definida por el usuario manualmente, en texto
sin formato. Tambin se puede derivar de un archivo de configuracin. (Consulte
Configuracin automtica zero-touch de SSD). Los dispositivos siempre muestran
las frases claves definidas por el usuario en forma cifrada.
Frase clave local

Los dispositivos mantienen una frase clave local que es la frase local de su
configuracin en ejecucin. SSD generalmente realiza el cifrado y descifrado de
datos confidenciales con la clave generada desde la frase clave local.
La frase clave local se puede configurar para que sea la frase clave
predeterminada o una frase clave definida por el usuario. De manera
predeterminada, la frase clave local y la frase clave predeterminada son idnticas.
Se puede cambiar a travs de acciones administrativas desde la interfaz de lnea
de comandos (si est disponible) o desde la interfaz basada en la Web. Se cambia
automticamente a la frase clave del archivo de configuracin de inicio, cuando la
configuracin de inicio se convierte en la configuracin en ejecucin del
dispositivo. Cuando se restablecen los valores predeterminados de fbrica de un
dispositivo, la frase clave local se restablece a la frase clave predeterminada.
Control de frase clave del archivo de configuracin

El control de frase clave del archivo ofrece proteccin adicional para una frase
clave definida por el usuario y los datos confidenciales cifrados con la clave
generada a partir de la frase clave definida por el usuario en los archivos de
configuracin basados en texto.
A continuacin, se encuentran los modos de control de frase clave existentes:
Sin restricciones (predeterminado): el dispositivo incluye su frase clave al

crear un archivo de configuracin. Esto permite que cualquier dispositivo
acepte el archivo de configuracin para obtener la frase clave del archivo.
403

22
Con restricciones: el dispositivo no permite que su frase clave sea

exportada a un archivo de configuracin. El modo con restricciones protege
los datos confidenciales cifrados de un archivo de configuracin de
dispositivos que no tienen la frase clave. Este modo se debe utilizar cuando
el usuario no desea exponer la frase clave en un archivo de configuracin.
Despus de que se restablecen los valores predeterminados de fbrica de un

dispositivo, su frase clave local se restablece a la frase clave predeterminada.
Como resultado, el dispositivo no podr descifrar ningn dato confidencial
basado en una frase clave definida por el usuario ingresada desde una sesin de
administracin (GUI/CLI) ni ningn archivo de configuracin con modo restringido,
incluidos los archivos creados por el dispositivo mismo, antes de que se
restablezcan sus valores predeterminados de fbrica. Esto permanece as hasta
que se vuelve a configurar manualmente el dispositivo con la frase clave definida
por el usuario o se obtiene la frase clave definida por el usuario a partir de un
archivo de configuracin.
Control de integridad del archivo de configuracin

Los usuarios pueden proteger un archivo de configuracin de su alteracin o
modificacin creando el archivo de configuracin con el control de integridad del
archivo de configuracin. Se recomienda habilitar el control de integridad del
archivo de configuracin cuando el dispositivo utiliza una frase clave definida por
el usuario con control de frase clave del archivo de configuracin sin restricciones.
!
PRECAUCIN Cualquier modificacin realizada en un archivo de configuracin que est
protegido ntegramente se considera alteracin.

Los dispositivos determinan si la integridad de un archivo de configuracin est
protegida al examinar el comando de control de integridad del archivo en el
bloqueo de control SSD del archivo. Si el archivo est protegido ntegramente,
pero el dispositivo descubre que la integridad del archivo no est intacta, el
dispositivo rechaza el archivo. De lo contrario, el archivo es aceptado para
continuar con el procesamiento.
El dispositivo verifica la integridad de un archivo de configuracin basado en texto
cuando este se descarga o se copia en el archivo de configuracin de inicio.
404

Archivos de configuracin Colores: , , condicin 500, condicin 300 y 500,
22
Modo lectura
Cada sesin tiene un modo de lectura. Esto determina cmo se muestran los
datos cifrados. El modo de lectura puede ser texto sin formato, en cuyo caso los
datos confidenciales se muestran como texto normal, o cifrado, en el cual los
datos confidenciales se muestran en su forma cifrada.
Los archivos de configuracin contienen la configuracin de un dispositivo. Los
dispositivos tienen un archivo de configuracin en ejecucin, un archivo de
configuracin de inicio, un archivo de configuracin de duplicado (opcional) y un
archivo de configuracin de respaldo. Los usuarios pueden cargar los archivos de
configuracin en forma manual desde un servidor de archivos remoto o
descargarlos desde este. Los dispositivos pueden descargar su configuracin de
inicio en forma automtica desde un servidor de archivos remoto durante la etapa
de configuracin automtica utilizando DHCP. Los archivos de configuracin
almacenados en servidores de archivos remotos se conocen como archivos de
configuracin remotos.
El archivo Configuracin en ejecucin contiene la configuracin que un dispositivo
est utilizando actualmente. La configuracin de un archivo de configuracin de
inicio se convierte en la configuracin en ejecucin despus del reinicio. Los
archivos de configuracin en ejecucin y de inicio se formatean en formato
interno. Los archivos de configuracin de duplicado, de respaldo y remotos son
archivos basados en texto que generalmente se mantienen para archivos,
registros o recuperacin. Durante el copiado, la carga y la descarga de un archivo
de configuracin de origen, si los dos archivos estn en formato distinto, el
dispositivo transforma el contenido de origen al formato del archivo de destino
automticamente.
Indicador de archivo SSD

Al copiar el archivo de configuracin en ejecucin o de inicio a un archivo de
configuracin basado en texto, el dispositivo genera el indicador de archivo SSD y
lo coloca en el archivo de configuracin basado en texto para indicar que el
archivo contiene datos confidenciales cifrados o datos confidenciales con texto
sin formato o que los datos confidenciales no estn incluidos.
El indicador SSD, si existe, debe estar en el archivo de encabezado de

configuracin.
405

22
Se considera que la configuracin basada en texto que no incluye un

indicador SSD no contiene datos confidenciales.
El indicador SSD se utiliza para reforzar los permisos de lectura de SSD en

los archivos de configuracin basados en texto, pero es ignorado al copiar
los archivos de configuracin al archivo de configuracin en ejecucin o de
inicio.
El indicador SSD de un archivo se establece segn las instrucciones del usuario

durante la copia, para incluir texto cifrado, sin formato o para excluir los datos
confidenciales de un archivo.
Bloqueo de control SSD

Cuando un dispositivo crea un archivo de configuracin basado en texto a partir
de su archivo de configuracin de inicio o en ejecucin, inserta un bloqueo de
control SSD en el archivo si el usuario solicita que el archivo incluya datos
confidenciales. El bloqueo de control SSD, que est protegido de alteraciones,
contiene reglas SDD y propiedades SSD del dispositivo que crea el archivo. Un
bloqueo de control SSD comienza y termina con "ssd-control-start" y "ssd-controlend", respectivamente.
Archivo de configuracin de inicio

El dispositivo actualmente admite la copia desde los archivos de configuracin, en
ejecucin, de respaldo, de duplicado y remotos al archivo de configuracin de
inicio. Los parmetros de la configuracin de inicio tienen efecto y se convierte en
la configuracin en ejecucin despus del reinicio. Los usuarios pueden recuperar
los datos confidenciales cifrados o en texto sin formato a partir del archivo de
configuracin de inicio, sujeto al permiso de lectura SSD y el modo de lectura
SSD actual de la sesin de administracin.
El acceso de lectura de los datos confidenciales de la configuracin de inicio en
cualquier forma queda excluido si la frase clave del archivo de configuracin de
inicio y la frase clave local son distintas.
SSD agrega las siguientes reglas al copiar los archivos de configuracin de
respaldo, de duplicado y remotos al archivo de configuracin de inicio:
Una vez que se restablecen los valores predeterminados de fbrica de un

dispositivo, se restablecen todos los valores predeterminados de su
configuracin, incluidas las reglas y propiedades SSD.
406

22
Si un archivo de configuracin de origen contiene datos confidenciales

cifrados, pero le falta un bloqueo de control SSD, el dispositivo rechaza el
archivo de origen y la copia falla.
Si no hay bloqueo de control SSD en el archivo de configuracin de origen,

se restablecen los valores predeterminados de la configuracin SSD del
archivo de configuracin de inicio.
Si hay una frase clave en el bloqueo de control SSD del archivo de

configuracin de origen, el dispositivo rechazar el archivo de origen. La
copia fallar si hay datos confidenciales cifrados en el archivo que no estn
cifrados por la clave generada a partir de la frase clave del bloqueo de
control de SSD.
Si no hay un bloqueo de control SSD en el archivo de configuracin de

origen y el archivo no puede realizar la verificacin de la integridad de SSD
o la verificacin de la integridad del archivo, el dispositivo rechaza el
archivo de origen y la copia falla.
Si no hay una frase clave en el bloqueo de control SSD del archivo de

configuracin de origen, todos los datos confidenciales cifrados del archivo
se deben cifrar por la clave generada a partir de la frase clave local, o bien
por la clave generada a partir de la frase clave predeterminada, pero no por
las dos. De lo contrario, el archivo de origen es rechazado y la copia falla.
El dispositivo configura la frase clave, el control de la frase clave y la

integridad de los archivos, si hubiera, desde el bloqueo de control SSD en
el archivo de configuracin de origen hasta el archivo de configuracin de
inicio. Configura el archivo de configuracin de inicio con la frase clave que
se utiliza para generar la clave a fin de descifrar los datos confidenciales
del archivo de configuracin de origen. La configuracin SSD que no se
encuentre se restablece al valor predeterminado.
Si no hay un bloqueo de control SSD en el archivo de configuracin de

origen y el archivo contiene texto sin formato y datos confidenciales sin
incluir la configuracin SSD en el bloqueo de control SSD, el archivo es
aceptado.
407

22
Archivo Configuracin en ejecucin

El archivo Configuracin en ejecucin contiene la configuracin que el dispositivo
est utilizando actualmente. Los usuarios pueden recuperar los datos
confidenciales cifrados o en texto sin formato a partir de un archivo Configuracin
en ejecucin, sujeto al permiso de lectura SSD y el modo de lectura SSD actual de
la sesin de administracin. El usuario puede cambiar la configuracin en
ejecucin copiando los archivos de configuracin de respaldo o de duplicado
mediante otras acciones de administracin a travs de CLI, XML, [Sx300-500]SNMP,
etc.
Los dispositivos aplican las siguientes reglas cuando un usuario cambia
directamente la configuracin SSD de la configuracin en ejecucin:
Si el usuario que abri la sesin de administracin no tiene permisos SSD

(lo que significa los permisos de lectura de ambos o solo de texto sin
formato) el dispositivo rechaza todos los comandos SSD.
Cuando el indicador de SSD de archivo, la integridad de bloqueo de control

SSD y la integridad del archivo SSD son copiados de un archivo de origen
no son ni verificados ni aplicados.
Cuando son copiados de un archivo de origen, la copia fallar si la frase

clave del archivo de origen se encuentra en texto sin formato. Si la frase
clave est cifrada, se ignora.
Cuando se configura la frase clave directamente (copia no basada en

archivo), en la configuracin en ejecucin, la frase clave del comando se
debe ingresar en texto sin formato. De no ser as, el comando es rechazado.
Los comandos de configuracin con datos confidenciales cifrados, que

estn cifrados con la clave generada a partir de la frase clave local, estn
configurados en la configuracin en ejecucin. De lo contrario, el comando
de configuracin mostrar error y no se incorporar al archivo
Archivo de configuracin de respaldo y de duplicado

Los dispositivos peridicamente generan su archivo de configuracin de
duplicado a partir del archivo de configuracin de inicio si el servicio de
configuracin de duplicado est habilitado. Los dispositivos siempre generan un
archivo de configuracin de duplicado con datos confidenciales cifrados. Por lo
tanto, el indicador SSD de archivo de un archivo de configuracin de duplicado
siempre indica que el archivo contiene datos confidenciales cifrados.
408

22
De manera predeterminada, el servicio de configuracin de duplicado se

encuentra habilitado. Para configurar los parmetros la configuracin de
duplicado automtica a fin de que est activada o desactivada, haga clic en
Administracin > Administracin de archivos > Propiedades de archivos de
configuracin.
Los usuarios pueden mostrar, copiar y cargar los archivos de configuracin de
duplicado y de respaldo completos, sujetos a los permisos de lectura de SSD, el
modo de lectura actual de la sesin y el indicador de archivo SSD del archivo de
origen de la siguiente manera:
Si no hay ningn indicador SSD de archivo en un archivo de configuracin

de duplicado o de respaldo, todos los usuarios pueden acceder al archivo.
Los usuarios con ambos permisos de lectura pueden acceder a todos los
archivos de configuracin de duplicado y de respaldo. Sin embargo, si el
modo de lectura actual de la sesin es diferente al indicador SSD de
archivo, se le presenta una ventana al usuario una que indica que esta
accin no est permitida.
Los usuarios con permiso de solo texto sin formato pueden acceder a los
archivos de configuracin de duplicado y de respaldo si su indicador SSD
de archivo muestra datos confidenciales excluir o solo de texto sin formato.
Los usuarios con permiso de solo cifrado pueden acceder a los archivos de
configuracin de duplicado y de respaldo si su indicador SSD de archivo
muestra datos confidenciales excluir o cifrado.
Los usuarios con permiso excluir no pueden acceder a los archivos de

configuracin de duplicado y de respaldo si su indicador SSD de archivo
muestra datos confidenciales cifrados o de texto sin formato.
El usuario no debe cambiar manualmente el indicador SSD de archivo que entra

en conflicto con los datos confidenciales en el archivo. De lo contrario, los datos
confidenciales de texto sin formato pueden quedar expuestos inesperadamente.
Configuracin automtica zero-touch de datos

confidenciales
La configuracin automtica zero-touch de datos confidenciales es la
configuracin automtica de los dispositivos de destino con datos confidenciales
cifrados, sin la necesidad de configurar previamente y manualmente los
dispositivos de destino con la frase clave cuya clave se utiliza para los datos
confidenciales cifrados.
409

22
El dispositivo actualmente admite la configuracin automtica, que est habilitada

de manera predeterminada. Cuando la configuracin automtica est habilitada
en un dispositivo y este recibe opciones DHCP que especifican un servidor de
archivo y un archivo de arranque, el dispositivo descarga el archivo de arranque
(archivo de configuracin remota) en el archivo de configuracin de inicio de un
servidor de archivo y, a continuacin, se reinicia.
NOTA El servidor del archivo puede estar especificado por los campos
bootp siaddr y sname, as como por la opcin DHCP 150 y configurados de

forma esttica en el dispositivo.
El usuario puede configurar dispositivos de destino con datos confidenciales
cifrados de manera automtica y segura, creando primero el archivo de
configuracin que ser utilizado en la configuracin automtica de un dispositivo
que contiene las configuraciones. El dispositivo debe estar configurado e instruido
para que haga lo siguiente:
cifrar los datos confidenciales en el archivo;
aplicar la integridad del contenido del archivo e
incluir los comandos seguros de configuracin de autenticacin y las reglas

SSD que controlan y aseguran de manera adecuada el acceso a los
dispositivos y a los datos confidenciales.
Si el archivo de configuracin fue generado con la frase clave de un usuario y el

control de la frase clave del archivo SSD es con restricciones, el archivo de
configuracin resultante puede configurarse automticamente para los
dispositivos de destino deseados. Sin embargo, para que la configuracin
automtica resulte exitosa con una frase clave definida por el usuario, los
dispositivos de destino deben estar configurados previamente y manualmente
con la misma frase clave que el dispositivo que genera los archivos, que no es
zero touch.
Si el dispositivo que crea el archivo de configuracin se encuentra en el modo de
control de frase clave sin restricciones, el dispositivo incluye la frese clave en el
archivo. Como resultado, el usuario puede configurar automticamente los
dispositivos de destino, incluidos los dispositivos configurados de fbrica o con
configuracin predeterminada de fbrica, con el archivo de configuracin sin
configurar previamente y manualmente los dispositivos de destino con la frase
clave. Esto es zero touch porque los dispositivos de destino obtienen la frase
clave directamente a partir del archivo de configuracin.
NOTA Los dispositivos que tienen el estado configurados de fbrica o con configuracin
predeterminada de fbrica utilizan el usuario annimo predeterminado para

acceder al [Sx300-500]servidor SCP.
410
22

Canales de administracin de SSD Colores: , , condicin 500, condicin 300 y 500,

Los dispositivos pueden administrarse a travs de los canales de administracin,
como telnet, SSH y Web. SSD divide a los canales en categoras de los siguientes
tipos, segn su seguridad o protocolos: seguro, inseguro, XML-SNMP seguro y
XML-SNMP inseguro.
A continuacin se describe si SSD considera que cada canal de administracin es
seguro o inseguro. Si es inseguro, la tabla indica el canal seguro paralelo.
Seguridad de los canales de administracin
Canales de administracin
Tipo de canal de
administracin
SSD
Consola
Seguro
Telnet
No seguro
SSH
Seguro
GUI/HTTP
No seguro
GUI/HTTPS
Seguro
XML/HTTP
XML-SNMP no
seguro
XML/HTTPS
XML-SNMP seguro
[Sx300-500]SNMPv1/v2/v3
XML-SNMP no
seguro
sin privacidad
SNMPv3 con privacidad
XML-SNMP seguro
(usuarios de nivel
15)
TFTP
No seguro
[Sx300-500]SCP
(Copia
asegurado paralelo
SSH
GUI/HTTPS
XML/HTTPS
XML-SNMP seguro
[Sx300-500]SCP
Seguro
segura)
Transferencia del archivo
basada en HTTP
No seguro

basada en HTTPS
411

Men CLI y recuperacin de contrasea Colores: , , condicin 500, condicin 300 y 500,

basada en HTTPS
22
Seguro

La interfaz del men CLI solo se permite a los usuarios si sus permisos de lectura
son ambos o solo texto sin formato. Los dems usuarios son rechazados. Los
datos confidenciales del men CLI siempre se muestran como texto sin formato.
La recuperacin de contrasea se encuentra activada actualmente desde el men
de arranque y permite que el usuario inicie la sesin en la terminal sin
autenticacin. Si se admite SSD, esta opcin solo est permitida si la frase clave
local es idntica a la frase clave predeterminada. Si el dispositivo se configura con
una frase clave definida por el usuario, el usuario no puede activar la recuperacin
de contrasea.
Configuracin de SSD
La funcin SSD est configurada en las siguientes pginas:
Las propiedades SSD estn establecidas en la pgina Propiedades.
Las reglas SSD estn definidas en la pgina Reglas SSD.
Propiedades SSD
Solo los usuarios que tienen permiso de lectura SSD de solo texto sin formato o
ambos pueden establecer propiedades SSD.
Pasos para configurar las propiedades SSD globales:
PASO 1 Haga clic en Seguridad > Gestin de datos confidenciales > Propiedades. Se
muestra la pgina Propiedades. Aparece el siguiente campo:
Tipo de frase clave local actual: muestra si actualmente se est utilizando

una frase clave predeterminada o una frase clave definida por el usuario.
PASO 2 Ingrese los siguientes campos de Configuracin persistente:
412

Configuracin de SSD Colores: , , condicin 500, condicin 300 y 500,
22
Control de frase clave del archivo de configuracin: seleccione una

opcin, como se describe en Control de frase clave del archivo de
configuracin.
Control de integridad del archivo de configuracin: seleccinelo para

habilitar esta funcin. Consulte Control de integridad del archivo de
configuracin.
PASO 3 Seleccione un modo de lectura para la sesin actual (consulte Elementos de una
regla SSD).
Pasos para cambiar la frase clave local:
PASO 4 Haga clic en Cambiar frase clave local e ingrese una frase clave local nueva:
Predeterminada: se utiliza la frase clave predeterminada del dispositivo.
Definida por el usuario (texto sin formato): ingrese una frase clave nueva y
confrmela.
Reglas SSD
Solo los usuarios que tienen permiso de lectura SSD de solo texto sin formato o
ambos pueden establecer reglas SSD.
Pasos para configurar reglas SSD:
PASO 1 Haga clic en Seguridad > Gestin de datos confidenciales > Reglas. Se muestra
la pgina Reglas de SSD.

Se muestran las reglas definidas actualmente.
PASO 2 Para aadir una regla nueva, haga clic en Aadir. Ingrese los siguientes campos:
Usuario: esto define a los usuarios a quienes se aplica la regla: Seleccione

una de las siguientes opciones:
-
Usuario especfico: seleccione el nombre de usuario especfico al que

se aplica esta regla e ingrselo (no es necesario que este usuario sea
definido).
Usuario predeterminado (cisco): indica que la regla se aplica al usuario

predeterminado.
Nivel 15: indica que esta regla se aplica a todos los usuarios que cuentan
con el nivel de privilegio 15.
413

22
Todos: indica que esta regla se aplica a todos los usuarios.
Canal: esto define el nivel de seguridad del canal de entrada al que se aplica
la regla: Seleccione una de las siguientes opciones:
-
Seguro: indica que esta regla se aplica solo a los canales seguros
(consola, [Sx300-500]SCP, SSH y HTTPS); no se incluyen los canales[Sx300500]SNMP y XML.
Inseguro: indica que esta regla se aplica solo a los canales de inseguros
(Telnet, TFTP y HTTP); no se incluyen los canales [Sx300-500]SNMP y XML.
XML SNMP seguro: indica que esta regla se aplica solo a XML a travs
de HTTPS [Sx300-500] y SNMPv3 con privacidad.
XML SNMP inseguro: indica que esta regla se aplica solo a XML a travs
de HTTP o [Sx300-500] y SNMPv1/v2 y SNMPv3 sin privacidad.
Permiso de lectura: los permisos de lectura se relacionan con la regla.

Pueden ser los siguientes:
-
Excluir: permiso de lectura ms bajo. Los usuarios no tienen permiso

para obtener datos confidenciales de ninguna forma.
Solo texto sin formato: permiso de lectura ms alto que los anteriores.
Los usuarios tienen permiso para obtener datos confidenciales solo en
texto sin formato.
Solo cifrado: permiso de lectura media. Los usuarios tienen permiso para
obtener datos confidenciales solo como cifrados.
Ambos (texto sin formato y cifrado): permiso de lectura ms alto. Los

usuarios tienen ambos permisos, de cifrado y de texto sin formato, y
tienen permiso obtener los datos confidenciales como cifrados y texto
sin formato.
Modo lectura predeterminado: todos los modos de lectura predeterminados

estn sujetos al permiso de lectura de la regla. Existen las siguientes
opciones, pero algunas se pueden rechazar, segn el permiso de lectura de
la regla.
-
Excluir: no se permite la lectura de datos confidenciales.
Cifrado: los datos confidenciales se presentan en forma cifrada.
Texto sin formato: los datos confidenciales se presentan en forma de

texto sin formato.
PASO 3 Se pueden realizar las siguientes acciones:
414

22
Restaurar valores predeterminados: se restaura la regla predeterminada

modificada por el usuario a la regla predeterminada.
Restaurar todas las reglas a los valores predeterminados: se restauran

todas las reglas predeterminadas modificadas por el usuario a la regla
predeterminada y se eliminan todas las reglas definidas por el usuario.
415
23
Configuracin de DHCP
Esta seccin describe la forma en que se implementan las funciones de Indagacin y Retransmisin de DHCP en el switch.
En esta seccin se abarcan los siguientes temas:
Indagacin de DHCP
Retransmisin DHCP
Opcin 82
Interacciones entre Indagacin DHCP, Retransmisin DHCP y Opcin 82
Configuracin DHCP
Indagacin de DHCP
La indagacin DHCP brinda un mecanismo de seguridad para prevenir la
recepcin de paquetes falsos de respuesta DHCP y para registrar direcciones
DHCP. Para ello, trata los puertos del switch como confiables o no confiables.
Un puerto confiable es un puerto conectado a un servidor DHCP y al cual se le
permite asignar direcciones DHCP. A los mensajes DHCP que se reciben en puertos confiables se les permite pasar a travs del switch.
Un puerto no confiable es un puerto al cual no se le permite asignar direcciones
DHCP. De manera predeterminada, todos los puertos se consideran como no confiables hasta que usted los declare confiables (en la pgina Configuracin de
interfaz de indagacin DHCP).
416
23
Retransmisin DHCP
La retransmisin DHCP retransmite los paquetes DHCP al servidor DHCP.
En el modo de capa 2 del sistema, el switch reenva los mensajes que provienen
de las VLAN en las cuales se ha habilitado la Retransmisin DHCP.
En el modo de capa 3 del sistema, el switch tambin puede retransmitir los mensajes DHCP recibidos desde las VLAN que no tienen direcciones IP. Siempre que
la Retransmisin DHCP est habilitada en una VLAN sin direccin IP, se insertar la
opcin 82 automticamente. Esta insercin se efecta en la VLAN especfica y no
influencia el estado global de administracin de la insercin de opcin 82.
Opcin 82
La Opcin 82 (Opcin de informacin de agente de retransmisin DHCP) transfiere informacin del puerto y del agente a un servidor DHCP central y le indica
dnde se conecta fsicamente una direccin IP asignada a la red.
El objetivo principal de la opcin 82 es ayudar al servidor DHCP a seleccionar la
mejor subred IP (de la agrupacin de redes) de la cual obtener una direccin IP.
En el switch se encuentran disponibles las siguientes opciones de la Opcin 82.
Insercin DHCP: aade informacin de la opcin 82 a los paquetes que no

tienen informacin remota de la opcin 82.
Envo de DHCP: reenva o rechaza los paquetes DHCP que contengan

informacin de la opcin 82 que provenga de puertos no confiables. En
puertos confiables, los paquetes DHCP que contienen informacin de la
Opcin 82 siempre se reenvan.
La tabla a continuacin muestra el flujo de paquetes a travs de los mdulos de

Retransmisin DHCP, Indagacin DHCP y Opcin 82:
Las siguientes opciones son posibles:
Cliente DHCP y servidor DHCP conectados a la misma VLAN. En este caso,

una conexin de puente normal pasa los mensajes DHCP entre el cliente
DHCP y el servidor DHCP.
417
23
Cliente DHCP y servidor DHCP conectados a VLAN distintas. En este caso,

nicamente la Retransmisin DHCP difunde los mensajes DHCP entre el
cliente DHCP y el servidor DHCP. Los mensajes DHCP de unidifusin se
transfieren por routers comunes y, por lo tanto, si se habilita la
Retransmisin DHCP en una VLAN sin direccin IP o si el switch no es un
router (switch de capa 2), entonces se necesita un router externo.
Retransmisin DHCP, solamente la Retransmisin DHCP retransmite los mensajes

DHCP a un servidor DHCP.
Interacciones entre Indagacin DHCP, Retransmisin DHCP y

Opcin 82
Las tablas a continuacin describen el comportamiento del switch con diversas
combinaciones de Indagacin DHCP, Retransmisin DHCP y Opcin 82.
Se describe la manera en que se tratan los paquetes solicitados por DHCP
cuando no est habilitada la Indagacin DHCP y la Retransmisin DHCP s est
habilitada.
Insercin
de opcin
82 deshabilitada
Retransmisin DHCP
Retransmisin DHCP
VLAN con direccin IP
VLAN sin direccin IP
El paquete llega
sin Opcin 82
El paquete
llega con
Opcin 82
El paquete
llega sin
Opcin 82
El paquete
llega con
Opcin 82
Se enva el
paquete sin
Opcin 82
Se enva el
paquete con
la Opcin 82
original
Retransmisin: inserta la
opcin 82
Retransmisin: descarta
el paquete
Conexin
puente: no se
inserta
ninguna Opcin 82
Conexin
puente: se
enva el
paquete con
la Opcin
82 original
418
23
Insercin
de opcin
82 habilitada
Retransmisin DHCP
Retransmisin DHCP
Retransmisin:
se enva el
paquete sin
Opcin 82
Se enva el
paquete con
la Opcin 82
original
Retransmisin: se enva
el paquete sin
Opcin 82
Conexin
puente: no se
enva ninguna
Opcin 82
Conexin
puente: no se
enva ninguna
Opcin 82
el paquete
Conexin
puente: se
enva el
paquete con
la Opcin
82 original
Se describe la manera en que se tratan los paquetes solicitados por DHCP

cuando estn habilitadas la Indagacin DHCP y la Retransmisin DHCP.
Insercin
de opcin
82 deshabilitada
Retransmisin DHCP
Retransmisin DHCP
El paquete llega
sin Opcin 82
El paquete
llega con
Opcin 82
El paquete
llega sin
Opcin 82
El paquete
llega con
Opcin 82
Se enva el
paquete sin
Opcin 82
Se enva el
paquete con
la Opcin 82
original
Retransmisin:
inserta la
Opcin 82
Retransmisin: descarta el
paquete
Conexin
puente: no se
inserta ninguna
Opcin 82
Conexin
puente: se
enva el
paquete con
la Opcin
82 original
419
23
Insercin
de opcin
82 habilitada
Retransmisin DHCP
Retransmisin DHCP
Retransmisin:
se enva con
Opcin 82
Conexin
puente: se aade
la Opcin 82
Se enva el
paquete con
la Opcin 82
original
(si el puerto es
confiable, se
comporta como
si la Indagacin
DHCP no estuviera habilitada)
Retransmisin: se enva
con Opcin 82
el paquete
Conexin
puente: se
inserta la
Opcin 82
Conexin
puente: se
enva el
paquete con
la Opcin 82
original
(si el puerto es
confiable, se
comporta
como si la
Indagacin
DHCP no
estuviera
habilitada)
La tabla a continuacin describe como se manejan los paquetes de Retransmisin

DHCP cuando la Indagacin DHCP est deshabilitada:
Retransmisin DHCP
Retransmisin DHCP
El paquete
llega sin
Opcin 82
El paquete
llega sin
Opcin 82
El paquete
llega con
Opcin 82
El paquete
llega con
Opcin 82
420
23
Insercin
de opcin
82 deshabilitada
Retransmisin DHCP
Retransmisin DHCP
Se enva el
paquete sin
Opcin 82
la opcin 82
Se enva el
paquete con
la Opcin 82
original
Conexin
puente: se
enva el
paquete sin
Opcin 82
Retransmisin:
1. Si se origina
una retransmisin en el
switch, el
paquete se
enva sin la
Opcin 82
2. Si la
retransmisin
no se origina
en el switch,
el paquete se
descarta
Conexin
puente: se
enva el
paquete con
la Opcin 82
original
Insercin
de opcin
82 habilitada
Se enva el
paquete sin
Opcin 82
Retransmisin: se enva el
paquete sin
Opcin 82
Conexin
puente: se
enva el
paquete con
la Opcin 82
la opcin 82
Conexin
puente: se
enva el
paquete sin
Opcin 82
Retransmisin: se enva el
paquete sin
Opcin 82
Conexin
puente: se
enva el
paquete con
la Opcin 82
421
23
Se describe la manera en que se tratan los paquetes de retransmisin DHCP

cuando estn habilitadas la Indagacin DHCP y la Retransmisin DHCP.
Insercin
de
opcin
82 deshabilitada
Retransmisin DHCP
Retransmisin DHCP
El paquete
llega sin
Opcin 82
El paquete
llega con
Opcin 82
El paquete
llega sin
Opcin 82
El paquete llega con

Opcin 82
Se enva el
paquete sin
Opcin 82
Se enva el
paquete con
la Opcin 82
original
La retransmisin la
opcin 82
Retransmisin
Conexin
puente: se
enva el
paquete sin
Opcin 82
1. Si se origina una
retransmisin en el
switch, el paquete
se enva sin la
Opcin 82
2. Si no se origina
una retransmisin
en el switch, descarta el paquete
Conexin puente: se
enva el paquete con
la Opcin
82 original
Insercin
de opcin
82 habilitada
Se enva el
paquete sin
Opcin 82
Se enva el
paquete sin
Opcin 82
Retransmisin: descarta la
opcin 82
Se enva el paquete
sin Opcin 82
Conexin
puente: se
enva el
paquete sin
Opcin 82
422
23
Retransmisin DHCP transparente

Para una Retransmisin DHCP transparente, cuando est en uso un agente de
retransmisin DHCP externo, haga lo siguiente:
Habilite la Indagacin DHCP.
Habilite la Insercin de Opcin 82.
Deshabilite la Retransmisin DHCP.
Para una Retransmisin DHCP comn:
Habilite la Retransmisin DHCP.
No es necesario habilitar la insercin de la Opcin 82.

La Indagacin DHCP construye una base de datos (la Base de datos de
vinculacin de indagacin de DHCP) que proviene de la informacin tomada a
partir de los paquetes DHCP entrantes al switch mediante puertos confiables.
La base de datos de vinculacin de indagacin de DHCP contiene los siguientes
datos: puerto de entrada, VLAN de entrada, direccin MAC del cliente y direccin
IP del cliente, si existe.
Las funciones de Configuracin de proteccin de la IP e Inspeccin de ARP
dinmica tambin utilizan la base de datos de vinculacin de indagacin DHCP
para determinar fuentes de paquete legtimas.
Puertos DHCP confiables

Los puertos pueden ser DHCP confiables o no confiables. De forma predeterminada, todos los puertos son no confiables. Para crear un puerto como confiable,
use la pgina Configuracin de interfaz de indagacin de DHCP. Los paquetes
de estos puertos se reenvan automticamente. Los paquetes de los puertos confiables se usan para crear la base de datos de vinculacin y se manejan tal como
se describe a continuacin.
Si la indagacin de DHCP no est habilitada, todos los puertos son confiables, por
opcin predeterminada.
423
23
Construccin de la base de datos de vinculacin de indagacin DHCP

A continuacin se describe cmo el switch maneja los paquetes DHCP cuando
tanto el cliente DHCP como el servidor DHCP son confiables. En este proceso se
construye la base de datos de vinculacin de indagacin DHCP.
Manejo de los paquetes DHCP confiables
Las acciones son:

PASO 1 El switch enva DHCPDISCOVER para solicitar una direccin IP, o DHCPREQUEST
para aceptar una direccin IP y una concesin.

PASO 2 El switch indaga el paquete y aade informacin de IP-MAC a la base de datos de
vinculacin de indagacin de DHCP.

PASO 3 El switch enva los paquetes DHCPDISCOVER o DHCPREQUEST.
PASO 4 El servidor DHCP enva el paquete DHCPOFFER para ofrecer una direccin IP,
DHCPACK para asignarla o DHCPNAK para denegar la solicitud de la direccin.

PASO 5 El switch indaga el paquete. Si existe una entrada en la tabla de vinculacin de
indagacin de DHCP que coincida con el paquete, el switch la reemplaza con una
vinculacin IP-MAC al recibir DHCPACK.
PASO 6 El switch reenva DHCPOFFER, DHCPACK o DHCPNAK.
A continuacin se resume la forma en que los paquetes DHCP se tratan tanto

desde puertos confiables como puertos no confiables. La base de datos de vinculacin de indagacin de DHCP se almacena en una memoria no voltil.
424
23
Tratamiento de paquete DHCP

Tipo de paquete
Proviene de una
interfaz de ingreso
no confiable
Proviene de una interfaz de

ingreso confiable
DHCPDISCOVER
Reenvo solo a interfaces confiables.
Se reenva solo a interfaces confiables.
DHCPOFFER
Filtro.
Reenva el paquete segn la informacin de DHCP. Si la direccin

de destino es desconocida, el
paquete se filtra.
DHCPREQUEST
DHCPACK
Filtro.
Igual que DHCPOFFER, se aade

una entrada a la base de datos de
vinculacin de indagacin de
DHCP.
DHCPNAK
Filtro.
Igual que DHCPOFFER. Elimina la

entrada si existe.
DHCPDECLINE
Verifica si hay informacin en la base de

datos. Si hay informacin y no coincide con
la interfaz en la cual
se recibi el mensaje,
el paquete se filtra. De
lo contrario, el
paquete se reenva
nicamente a interfaces confiables y la
entrada se elimina de
la base de datos.
DHCPRELEASE
Igual que DHCPDECILNE.
Igual que DHCPDECILNE.
DHCPINFORM
425
23
Tipo de paquete
Proviene de una
interfaz de ingreso
no confiable
Proviene de una interfaz de

ingreso confiable
DHCPLEASEQUERY
Filtrado.
Reenvo.
Indagacin de DHCP y retransmisin de DHCP

Si tanto la indagacin de DHCP como la retransmisin de DHCP estn globalmente habilitadas, entonces la indagacin de DHCP se habilita en la VLAN del cliente, se aplican las reglas de indagacin de DHCP contenidas en la base de datos
de vinculacin de indagacin de DHCP, y la misma base de datos se actualiza en la
VLAN del cliente y del servidor DHCP, para paquetes retransmitidos.
Configuracin predeterminada de DHCP

A continuacin se describen las opciones predeterminadas de indagacin de
DHCP y retransmisin de DHCP.
Opciones predeterminadas de DHCP
Opcin
Indagacin de DHCP
Habilitado
Insercin de opcin 82
No aplicable
Traspaso de la Opcin 82
No aplicable
Verificar la direccin MAC
Habilitado
Respaldo de la base de datos de

vinculacin de indagacin de
DHCP
No aplicable
Retransmisin DHCP
Deshabilitado
Configuracin del flujo de trabajo de DHCP

Para configurar la retransmisin de DHCP y la indagacin de DHCP:
426
23
PASO 1 Habilite la indagacin de DHCP o la retransmisin de DHCP en la pgina
Configuracin de IP > DHCP >Propiedades o en la pgina Seguridad >

Indagacin de DHCP > Propiedades.
PASO 2 Defina las interfaces sobre las cuales se habilitar la indagacin de DHCP en la
pgina Configuracin de IP > DHCP > Configuraciones de interfaz.

PASO 3 Configure las interfaces como confiables o no confiables en la pgina
Configuracin de IP > DHCP > Interfaz de indagacin de DHCP.

PASO 4 Opcional. Aada entradas a la base de datos de vinculacin de indagacin de
DHCP desde la pgina Configuracin de IP > DHCP > Base de datos de

vinculacin de indagacin de DHCP.
Configuracin DHCP
Esta seccin describe la forma en que se implementan las funciones de Indagacin y Retransmisin DHCP a travs de la interfaz basada en Web.
Definicin de las propiedades de DHCP

Para configurar la retransmisin DHCP, la indagacin DHCP y la opcin 82:
PASO 1 Haga clic en Configuracin IP > DHCP > Propiedades o Seguridad > Indagacin
DHCP > Propiedades. Se muestra la pgina Propiedades.

Opcin 82: seleccione Opcin 82 para insertar informacin de la Opcin 82

a los paquetes.
Retransmisin DHCP: seleccione para habilitar la retransmisin DHCP.
Estado de indagacin de DHCP: seleccione para habilitar la indagacin

DHCP. Si la indagacin DHCP est habilitada, se pueden habilitar las
-
Traspaso de Opcin 82: seleccione esta opcin para dejar la informacin

remota de Opcin 82 cuando reenva paquetes.
Verificar direccin MAC : verifica que la direccin MAC de origen del

encabezado de capa 2 coincida con la direccin de hardware del cliente
tal como aparece en el Encabezado de DHCP (parte de la carga) en los
puertos no confiables de DHCP.
427
23
Base de datos de respaldo: respalda la base de datos de vinculacin de

indagacin de DHCP en la memoria flash del dispositivo.
Intervalo de actualizacin del respaldo de la base de datos : ingrese con

cunta frecuencia se respaldar la base de datos de vinculacin de
indagacin de DHCP (si se selecciona la Base de datos).
ejecucin.
PASO 3 Para definir un servidor DHCP, haga clic en Aadir. Se muestra la pgina Aadir
servidor DHCP.
PASO 4 Ingrese la direccin IP del servidor DHCP y haga clic en Aplicar. La configuracin
Definicin de la configuracin de la interfaz de DHCP

En capa 2, la retransmisin y la indagacin de DHCP solo pueden habilitarse en
VLAN con direcciones de IP.
En capa 3, la retransmisin y la indagacin de DHCP pueden habilitarse en cualquier interfaz con una direccin IP y en VLAN con o sin direcciones IP.
Para habilitar la indagacin/retransmisin de DHCP en interfaces especficas:
PASO 1 Haga clic en Configuracin IP> DHCP > Configuracin de interfaz. Se muestra la

PASO 2 Para habilitar la indagacin o la retransmisin de DHCP en una interfaz, haga clic
en AADIR.
PASO 3 Seleccione la interfaz y las funciones que desea habilitar.
ejecucin.
Definicin de la configuracin de las interfaces de indagacin DHCP

Los paquetes que provienen de puertos o LAG no confiables se comparan con la
base de datos de vinculacin de indagacin de DHCP (consulte la pgina Base de
datos de vinculacin de indagacin de DHCP).
Las interfaces son confiables de forma predeterminada.
Para designar una interfaz como no confiable:
428
23
PASO 1 Haga clic en Configuracin IP > DHCP > Interfaces confiables de indagacin de
DHCP. Se muestra la pgina Interfaces confiables de indagacin de DHCP.

PASO 2 Seleccione la interfaz y haga clic en Editar. Se muestra la pgina Editar
PASO 3 Seleccione Interfaz confiable (S o No) y haga clic en Aplicar para guardar la
configuracin en el archivo Configuracin en ejecucin.
Definicin de una base de datos de vinculacin de indagacin de DHCP

Consulte la seccin Construccin de la base de datos de vinculacin de indagacin DHCP para acceder a una descripcin de cmo se aaden entradas
dinmicas a la base de datos de indagacin de DHCP.
Tenga en cuenta los siguientes puntos sobre el mantenimiento de la base de datos
de vinculacin de indagacin DHCP:
El switch no actualiza la base de datos de indagacin de DHCP cuando una

estacin se mueve a otra interfaz.
Si hay un puerto cado, las entradas para ese puerto no se eliminan.
Cuando se deshabilita la indagacin de DHCP para una VLAN, las entradas

de vinculacin que se recolectaron para esa VLAN se eliminan.
Si la base de datos est llena, la indagacin de DHCP sigue con el reenvo

de paquetes pero no se generan entradas nuevas. Tenga en cuenta que si
las funciones de proteccin de IP de origen o inspeccin ARP estn activas,
los clientes que no estn escritos en la base de datos de vinculacin de
indagacin de DHCP no podrn conectarse a la red.
Para aadir entradas a la base de datos de vinculacin de indagacin de DHCP:

PASO 1 Haga clic en Configuracin IP > DHCP > Base de datos de vinculacin de
indagacin de DHCP. Se muestra la pgina Base de datos de vinculacin de

indagacin de DHCP.
Para ver un subconjunto de entradas en la base de datos de vinculacin de
indagacin de DHCP, ingrese los criterios de bsqueda correspondientes y haga
clic en Ir.
PASO 2 Para aadir una entrada, haga clic en Aadir. Se muestra la pgina Aadir entrada
de indagacin de DHCP.
429
23
PASO 3 Ingrese los campos:
ID de VLAN: VLAN en la que se espera el paquete.
Interfaz: unidad/ranura/interfaz en la que se espera el paquete.
Tipo: los valores posibles del campo son:
Dinmico: la entrada tiene tiempo de concesin limitado.
Esttico: la entrada se configur de manera esttica.
Tiempo de concesin: si la entrada es dinmica, ingrese la cantidad de

tiempo que la entrada permanecer activa en la base de datos de DHCP. Si
no hay Tiempo de concesin, seleccione la opcin Infinito).
PASO 4 Haga clic en Aplicar. Se define la configuracin y se actualiza el dispositivo.
430
24
Control de acceso
La funcin Lista de control de acceso (ACL) es parte del mecanismo de seguridad.

Las definiciones de ACL sirven como uno de los mecanismos para definir flujos de
trfico a los que se da una Calidad de Servicio (QoS) especfica. Para obtener ms
informacin, consulte Configuracin de QoS - General.
Las ACL permiten a los administradores de red definir patrones (filtros y acciones)
para el trfico de ingreso. Los paquetes, que ingresan al switch en un puerto o LAV
con una ACL activa, se admiten o se rechazan.
Esta seccin contiene los siguientes temas:
ACL basadas en IPv4
ACL basadas en IPv6

Una Lista de control de acceso (ACL) es una lista ordenada de acciones y filtros
de Clasificacin. Cada regla de clase, junto con la accin, se denomina Elemento
de control de acceso (ACE).
Cada ACE est formado por filtros que distinguen grupos de trfico y acciones
asociadas. Una sola ACL puede contener uno o ms ACE, que se comparan con el
contenido de las tramas entrantes. A las tramas cuyo contenido coincide con el
filtro, se les aplica una accin para RECHAZAR o PERMITIR.
El switch admite un mximo de 512 ACL y un mximo de 512 ACE.
431
24
Control de acceso
Cuando un paquete coincide con un filtro ACE, se toma la accin ACE y se detiene
el procesamiento de esa ACL. Si el paquete no coincide con el filtro ACE, se
procesa el siguiente ACE. Si todos los ACE de una ACL se han procesado sin
encontrar una coincidencia, y si existe otra ACL, esta se procesa de manera
similar.
NOTA Si no se encuentra coincidencia con ningn ACE en todas las ACL relevantes, el
paquete se descarta (como accin predeterminada). Debido a esta accin de

descarte predeterminada, usted debe agregar los ACE explcitamente en la ACL
para permitir el trfico deseado, como por ejemplo, Telnet, HTTP o SNMP, que se
dirige al switch. Por ejemplo, si no desea descartar todos los paquetes que no
coinciden con las condiciones de un ACL, debe agregar un ACE con la prioridad
ms baja explcitamente en la ACL que permite todo el trfico.
Si se habilita la indagacin de IGMP/MLD en un puerto conectado a la ACL,
agregue filtros ACE en la ACL para reenviar paquetes de IGMP/MLD al switch. De
lo contrario, la indagacin de IGMP/MLD fracasa en el puerto.
El orden de los ACE dentro de la ACL es importante, debido a que se aplican
segn el algoritmo del primer ajuste (first-fit). Los ACE se procesan
secuencialmente, comenzando por el primer ACE.
Las ACL se pueden usar para seguridad, por ejemplo, si se permiten o se
rechazan ciertos flujos de trfico, y tambin para la clase de trfico y la
priorizacin en el modo Avanzado de QoS.
NOTA Un puerto se puede asegurar con las ACL o se puede configurar con una poltica
de QoS avanzada.
Solo puede haber una ACL por puerto, con la excepcin de que se puede asociar
una ACL basada en IP y una ACL basada en IPv6 con un solo puerto.
Para asociar ms de una ACL con un puerto, se debe usar una poltica con uno o
ms mapas de clase (consulte Configuracin de una poltica en Modo avanzado
de QoS).
Los siguientes tipos de ACL se pueden definir (segn qu parte del encabezado
de la trama se examine):
ACL de MAC: solo examina campos de Capa 2, como se describe en

ACL de IP: examina la capa 3 de las tramas IP, como se describe en ACL
basadas en IPv4
ACL de IPv6: examina la capa 3 de tramas IPv4, como se describe en
Definicin de ACL basada en IPv6
432
24
Control de acceso
Si una trama coincide con el filtro en una ACL, se define como flujo con el nombre
de esa ACL. En QoS avanzada, estas tramas se pueden mencionar mediante este
Nombre de flujo, y la QoS se puede aplicar a estas tramas (consulte Modo
avanzado de QoS).
Creacin de un flujo de trabajo de ACL
Para crear ACL y asociarlas con una interfaz, haga lo siguiente:
1. Cree uno o ms de los siguientes tipos de ACL:
a. ACL basada en MAC mediante la pagina ACL basada en MAC y en la pgina
ACE basado en MAC
b. ACL basada en IP mediante la pagina ACL basada en IPv4 y en la pgina
ACE basado en IPv4
c. ACL basada en IPv6 mediante la pagina ACL basada en IPv6 y en la pgina
ACE basado en IPv6
2. Asocie la ACL con las interfaces mediante la pgina Vinculacin de ACL.
Modificacin de un flujo de trabajo de ACL
Una ACL solo se puede modificar si no est en uso. A continuacin se describe el
proceso de desvinculacin de una ACL para modificarla:
1. Si la ACL no pertenece a un mapa de clase en Modo Avanzado de QoS, pero se
ha asociado con una interfaz, desvinclela de la interfaz mediante la pgina
Vinculacin de ACL.
2. Si la ACL es parte del mapa de clase y no est vinculado a una interfaz,
entonces puede modificarse.
3. Si la ACL es parte de un mapa de clase que se encuentra en una poltica
vinculada a una interfaz, debe realizar la cadena de desvinculacin de la
siguiente manera:
Desvincule la poltica que contiene el mapa de clase de la interfaz mediante

pgina Vinculacin de poltica.
Elimine el mapa de clase que contiene la ACL de la poltica mediante

Configuracin de una poltica (Editar).
Elimine el mapa de clase que contiene la ACL mediante Definicin de

asignacin de clases.
Solo entonces se puede modificar la ACL, como se describe en las secciones de

esta seccin.
433
24
Control de acceso

Las ACL basadas en MAC se usan para filtrar el trfico basado en campos de
Capa 2 y verifican todas las tramas para ver si coinciden.
Las ACL basadas en MAC se definen en la pgina ACL basada en MAC. Las
reglas se definen en la pgina ACE basado en MAC.
Para definir una ACL basada en MAC:
PASO 1 Haga clic en Control de acceso > ACL basada en MAC. Se muestra la pgina
ACL basada en MAC.

Esta pgina muestra una lista de todas las ACL basadas en MAC que se
encuentran definidas.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir ACL basada en MAC.
PASO 3 En el campo Nombre de ACL, ingrese el nombre de la nueva ACL. Los nombres de
ACL distinguen entre maysculas y minsculas.

PASO 4 Haga clic en Aplicar. La ACL basada en MAC se escribe en el archivo
Incorporacin de reglas a una ACL basada en MAC

Para agregar reglas (ACE) a una ACL:
PASO 1 Haga clic en Control de acceso > ACL basada en MAC. Se muestra la pgina
ACL basada en MAC.

PASO 2 Seleccione una ACL y haga clic en Ir. Se detallan los ACE de la ACL.
PASO 3 Haga clic en Aadir. Se muestra la pgina Aadir ACL basada en MAC.
Nombre de ACL: muestra el nombre de la ACL a la que se agrega el ACE.
Prioridad: ingrese la prioridad del ACE. Los ACE con mayor prioridad se
procesan primero. Uno es la mayor prioridad.
Accin: seleccione la accin para una coincidencia. Las opciones son:

-
Permitir : reenviar los paquetes que cumplen con los criterios del ACE.
434
24
Control de acceso
Denegar : descartar los paquetes que cumplen con los criterios del ACE.
Apagar : descartar los paquetes que cumplen con los criterios del ACE, y
deshabilitar el puerto de donde se recibieron los paquetes. Estos puertos
se pueden reactivar en la pgina Configuracin de puertos.
Intervalo de tiempo: seleccione esta opcin para habilitar que se limite el

uso de la ACL en un intervalo de tiempo especfico.
Nombre del intervalo de tiempo: si la opcin Intervalo de tiempo est

seleccionada, seleccione el intervalo de tiempo que se utilizar. Los
intervalos de tiempo estn definidos en la seccin Intervalo de tiempo.
Direccin MAC de destino: seleccione Cualquier (direccin) si todas las

direcciones de destino son aceptables o Definido por el usuario para
ingresar una direccin de destino o un rango de direcciones de destino.
Valor de direccin MAC de destino: ingrese una direccin MAC con la cual
se har coincidir la direccin MAC de destino y su mscara (si es pertinente).
Mscara comodn de MAC de destino: ingrese la mscara para definir un

rango de direcciones MAC. Tenga en cuenta que esta mscara es distinta de
otros usos, como la mscara de subred. En este caso, la configuracin de un
bit como 1 indica que no importa y 0 indica que se debe enmascarar ese
valor.
NOTA Si se da una mscara de 0000 0000 0000 0000 0000 0000 1111 1111
(significa que usted hace coincidir los bits en los que existe un valor de 0 y
que no hace coincidir los bits en los que existe un valor de 1). Debe convertir
los 1 en un entero decimal y escribir un 0 cada cuatro ceros. En este ejemplo,
puesto que 1111 1111 = 255, la mscara se debe escribir de la siguiente
manera: 0.0.0.255.
Direccin MAC de Origen: seleccione Cualquier (direccin) si todas las

direcciones de origen son aceptables o Definido por el usuario para
ingresar una direccin de origen o un rango de direcciones de origen.
Valor de direccin MAC de origen: ingrese una direccin MAC con la cual
se har coincidir la direccin MAC de origen y su mscara (si es pertinente).
Mscara comodn de MAC de origen: ingrese la mscara para definir un

rango de direcciones MAC.
ID de VLAN: ingrese la seccin ID de VLAN de la etiqueta VLAN para hacer

coincidir.
802.1p: seleccione Incluir para usar 802.1p.
435
24
Control de acceso
Valor 802.1p: ingrese el valor 802.1p para agregarlo a la etiqueta VPT.
Mscara 802.1p: ingrese la mscara comodn para aplicarla a la etiqueta

VPT.
Ethertype: ingrese el Ethertype de la trama para hacer coincidir.
PASO 5 Haga clic en Aplicar. El ACE basado en MAC se escribe en el archivo
ACL basadas en IPv4

Las ACL basadas en IPv4 se usan para verificar paquetes IPv4, mientras que otros
tipos de tramas, como los ARP, no se verifican.
Se pueden hacer coincidir los siguientes campos:
Protocolo IP (por nombre para los protocolos conocidos, o directamente por

valor)
Puertos de origen/destino para el trfico TCP/UDP
Valores de indicadores para tramas TCP
Cdigo y tipo de ICMP e IGMP
Direcciones IP de origen/destino (incluidos los comodines)
Valor de precedencia DSCP/IP
NOTA Las ACL tambin se usan como elementos de construccin de definiciones de flujo
para el manejo de QoS por flujo (consulte Modo avanzado de QoS).

La pgina ACL basada en IPv4 permite agregar ACL al sistema. Las reglas se
definen en la pgina ACE basado en IPv4.
Las ACL basadas en IPv6 se definen en la pgina ACL basada en IPv6.
436
24
Control de acceso
Definicin de una ACL basada en IPv4

Para definir una ACL basada en IPv4:
PASO 1 Haga clic en Control de acceso > ACL basada en IPv4. Se muestra la pgina ACL
basada IPv4.
Esta pgina muestra todas las ACL basadas en IPv4 que se encuentran definidas.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir ACL basada en IPv4.
PASO 3 En el campo Nombre de ACL, ingrese el nombre de la nueva ACL. Los nombres
distinguen entre maysculas y minsculas.

PASO 4 Haga clic en Aplicar. La ACL basada en IPv4 se escribe en el archivo
Incorporacin de reglas (ACE) a una ACL basada en IPv4

Para agregar reglas (ACE) a una ACL basada en IPv4:
PASO 1 Haga clic en Control de acceso > ACE basado en IPv4. Se muestra la pgina
ACE basado en IPv4.

PASO 2 Seleccione una ACL y haga clic en Ir. Se muestran todos los ACE de IP
actualmente definidos para la ACL seleccionada.

PASO 3 Haga clic en Aadir. Se muestra la pgina Aadir ACE basado en IPv4.
Nombre de ACL: muestra el nombre de la ACL.
Prioridad: ingrese la prioridad. Los ACE con mayor prioridad se procesan

primero.
Accin: seleccione la accin asignada al paquete que coincide con el ACE.

Las opciones son las siguientes:
-
Permitir : reenviar los paquetes que cumplen con los criterios del ACE.
Denegar : descartar los paquetes que cumplen con los criterios del ACE.
437
24
Control de acceso
Cerrar : descartar el paquete que cumple con los criterios del ACE, y
deshabilitar el puerto a donde se dirigi el paquete. Los puertos se
reactivan desde la pgina Administracin de puertos.


intervalos de tiempo estn definidos en la seccin Intervalo de tiempo.
Protocolo: seleccione crear un ACE basado en una ID de protocolo o

protocolo especfico. Seleccione Cualquier (IPv4) para aceptar todos los
protocolos IP. De lo contrario, seleccione uno de los siguientes protocolos de
la lista desplegable:
-
ICMP: Internet Control Message Protocol (Protocolo de mensajes de

control de Internet)
IGMP: Internet Group Management Protocol (Protocolo de administracin

de grupos de Internet)
IP en IP: encapsulacin IP en IP
TCP: Transmission Control Protocol (Protocolo de control de transmisin)
EGP: Exterior Gateway Protocol (Protocolo de gateway exterior)
IGP: Interior Gateway Protocol (Protocolo de gateway interior)
UDP: User Datagram Protocol (Protocolo de datagrama de usuario)
HMP: Host Mapping Protocol (Protocolo de mapping de host)
RDP: Reliable Datagram Protocol (Protocolo de datagrama confiable).
IDPR: Inter-Domain Policy Routing Protocol (Protocolo de enrutamiento

de polticas entre dominios)
IPV6: tunelizacin de IPv6 por IPv4
IPV6:ROUT: hace coincidir paquetes pertenecientes a la ruta IPv6 con la

ruta IPv4 a travs de una gateway
IPV6:FRAG: hace coincidir paquetes pertenecientes a IPv6 con el

encabezado de fragmentacin IPv4
IDRP: Inter-Domain Routing Protocol (Protocolo de enrutamiento entre

dominios)
438
24
Control de acceso
RSVP: ReSerVation Protocol (Protocolo de reserva)
EA : Encabezamiento de autenticacin
IPV6:ICMP: Internet Control Message Protocol (Protocolo de mensajes de

control de Internet)
EIGRP: Enhanced Interior Gateway Routing Protocol (Protocolo de

enrutamiento de gateway interior mejorado)
OSPF: Abrir la ruta de acceso ms corta primero
IPIP: IP en IP
PIM: Protocol Independent Multicast (Multidifusin independiente de

protocolo)
L2TP: Layer 2 Tunneling Protocol (Protocolo de tunelizacin de capa 2)
ISIS: IGP-specific protocol (Protocolo IGP especfico)
ID de Protocolo para coincidencia: en vez de seleccionar el nombre,

ingrese el ID de protocolo.
Direccin IP de origen: seleccione Cualquier (direccin) si todas las

Valor de direccin IP de origen: ingrese la direccin IP con la que se har

coincidir la direccin IP de origen.
Mscara comodn de IP de origen: ingrese la mscara para definir un rango

de direcciones IP. Tenga en cuenta que esta mscara es distinta de otros
usos, como la mscara de subred. En este caso, la configuracin de un bit
como 1 indica que no importa y 0 indica que se debe enmascarar ese valor.
NOTA Si se da una mscara de 0000 0000 0000 0000 0000 0000 1111 1111
(significa que usted hace coincidir los bits en los que existe un valor de 0 y
que no hace coincidir los bits en los que existe un valor de 1). Debe convertir
los 1 en un entero decimal y escribir un 0 cada cuatro ceros. En este ejemplo,
puesto que 1111 1111 = 255, la mscara se debe escribir de la siguiente
manera: 0.0.0.255.
Direccin IP de destino: seleccione Cualquier (direccin) si todas las

Valor de direccin IP de destino: ingrese la direccin IP con la que se har

coincidir la direccin IP de destino.
439
24
Control de acceso
Mscara comodn de IP de destino: ingrese la mscara para definir un

rango de direcciones IP.
Puerto de origen: seleccione una de las siguientes opciones:
Cualquier (puerto): coincidencia con todos los puertos de origen.
Uno: ingrese un solo puerto de origen TCP/UDP con el que se hacen

coincidir los paquetes. El campo est activo solo si se selecciona 800/6TCP o 800/17-UDP en el men desplegable Seleccionar de la lista.
Rango: seleccione un rango de puertos de origen TCP/UDP con los que

se hace coincidir el paquete. Hay ocho rangos de puertos distintos que
pueden configurarse (compartidos entre puertos de origen y destino).
Cada protocolo TCP y UDP tiene ocho rangos de puertos.
Puerto de destino: seleccione uno de los valores disponibles que son los
mismos que para el campo Puerto de Origen descrito anteriormente.
NOTA Debe especificar el protocolo IP para el ACE antes de ingresar el
puerto de origen o destino.
Indicadores TCP: seleccione uno o ms indicadores TCP con los cuales

filtrar los paquetes. Los paquetes filtrados se reenvan o se descartan. El
filtrado de paquetes mediante indicadores TCP aumenta el control de los
paquetes, lo que aumenta la seguridad de la red.
Tipo de servicio: el tipo de servicio del paquete IP.

-
Cualquier (tipo) : cualquier tipo de servicio
DSCP para coincidencia: Punto de cdigo de servicios diferenciados

(DSCP) para hacer coincidir
Precedencia IP para hacer coincidir: la precedencia IP es un modelo de

tipo de servicio (TOS) que la red utiliza para proporcionar los
compromisos QoS apropiados. Este modelo utiliza los tres bits ms
significativos del byte del tipo de servicio en el encabezado IP, como se
describe en RFC 791 y RFC 1349.
ICMP: si el protocolo IP de la ACL es ICMP, seleccione el tipo de mensaje

ICMP utilizado para fines de filtrado. Seleccione el tipo de mensaje por
nombre, o bien, ingrese el nmero de tipo de mensaje:
-
Cualquier (tipo): se aceptan todos los tipos de mensajes.
Seleccionar de la lista: seleccione el tipo de mensaje por nombre.
440
24
Control de acceso
Tipo ICMP para coincidencia: nmero de tipo de mensaje para usar para
fines de filtrado.
Cdigo ICMP: los mensajes ICMP pueden tener un campo de cdigo que
indica cmo manejar el mensaje. Seleccione una de las siguientes opciones
para configurar si se debe aplicar filtro a este cdigo:
-
Cualquier (cdigo): aceptar todos los cdigos.
Definido por el usuario: ingrese un cdigo ICMP para fines de filtrado.
IGMP: si la ACL se basa en IGMP, seleccione el tipo de mensaje IGMP para

usar para fines de filtrado. Seleccione el tipo de mensaje por nombre, o bien,
ingrese el nmero de tipo de mensaje:
-
Seleccionar de la lista: seleccione el tipo de mensaje por nombre.
Tipo IGMP para coincidencia: nmero de tipo de mensaje que se usar

para fines de filtrado.
PASO 5 Haga clic en Aplicar. El ACE basado en IPv4 se escribe en el archivo Configuracin
en ejecucin.
ACL basadas en IPv6

La pgina ACL basada en IPv6 muestra y permite la creacin de ACL basadas en
IPv6, que verifican el trfico basado en IPv6. Las ACL IPv6 no verifican los
paquetes ARP ni los IPv6 por IPv4.
NOTA Las ACL tambin se usan como elementos de construccin de definiciones de flujo
para el manejo de QoS por flujo (consulte Modo avanzado de QoS).
441
24
Control de acceso
Definicin de una ACL basada en IPv6

Para definir una ACL basada en IPv6:
PASO 1 Haga clic en Control de acceso > ACL basada en IPv6. Se muestra la pgina ACL
basada IPv6.
Esta ventana muestra la lista de ACL definidas y su contenido.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir ACL basada en IPv6.
PASO 3 En el campo Nombre de ACL, ingrese el nombre de la nueva ACL. Los nombres
distinguen entre maysculas y minsculas.

PASO 4 Haga clic en Aplicar. La ACL basada en IPv6 se escribe en el archivo
Incorporacin de reglas (ACE) para una ACL basada en IPv6

PASO 1 Haga clic en Control de acceso > ACE basado en IPv6. Se muestra la pgina
ACE basado en IPv6.

Esta ventana muestra el ACE (reglas) para una ACL especfica (grupo de reglas).
PASO 2 Seleccione una ACL y haga clic en Ir. Se muestran todos los ACE de IP
actualmente definidos para la ACL seleccionada.

PASO 3 Haga clic en Aadir. Se muestra la pgina Aadir ACE basado en IPv6.
Nombre de ACL: muestra el nombre de la ACL a la que se agrega el ACE.
Prioridad: ingrese la prioridad. Los ACE con mayor prioridad se procesan

primero.
Accin: seleccione la accin asignada al paquete que coincide con el ACE.

Las opciones son las siguientes:
-
Permitir: reenviar los paquetes que cumplen con los criterios del ACE.
Denegar: descartar los paquetes que cumplen con los criterios del ACE.
Cerrar: descartar los paquetes que cumplen con los criterios del ACE, y
deshabilitar el puerto a donde se dirigieron los paquetes. Los puertos se
reactivan desde la pgina Administracin de puertos.
442
24
Control de acceso


intervalos de tiempo se describen en la seccin Intervalo de tiempo.
Protocolo: seleccione para crear un ACE basado en un protocolo

especfico. Seleccione Cualquier (IPv6) para aceptar todos los protocolos
IP. De lo contrario, seleccione uno de los siguientes protocolos:
-
TCP: Transmission Control Protocol (Protocolo de control de

transmisin). Permite que dos hosts se comuniquen e intercambien flujos
de datos. El TCP garantiza la entrega de paquetes, y que los paquetes se
transmitan y se reciban en el orden en el que han sido enviados.
UDP: User Datagram Protocol (Protocolo de datagrama de usuario).

Transmite paquetes pero no garantiza su entrega.
ICMP: hace coincidir los paquetes con eI Internet Control Message

Protocol (ICMP, Protocolo de mensajes de control de Internet).
ID de Protocolo para coincidencia: ingrese el ID del protocolo con el que se

debe hacer coincidir.
Direccin IP de origen: seleccione Cualquier (direccin) si todas las

Valor de direccin IP de origen: ingrese una direccin IP con la cual se har

coincidir la direccin IP de origen y su mscara (si es pertinente).
Longitud del prefijo IP de origen: ingrese la longitud de prefijo de la

direccin IP de origen.
Direccin IP de destino: seleccione Cualquier (direccin) si todas las

Valor de direccin IP de destino: ingrese una direccin IP con la cual se

har coincidir la direccin MAC de destino y su mscara (si es pertinente).
Longitud del prefijo IP de destino: ingrese la longitud de prefijo de la

direccin IP.
Puerto de origen: seleccione una de las siguientes opciones:

-
Cualquier (puerto): coincidencia con todos los puertos de origen.
443
24
Control de acceso
Uno: ingrese un solo puerto de origen TCP/UDP con el que se hacen

coincidir los paquetes. El campo est activo solo si se selecciona 800/6TCP o 800/17-UDP en el men desplegable Protocolo IP.
Rango: seleccione un rango de puertos de origen TCP/UDP con los que

se hace coincidir el paquete.
Puerto de destino: seleccione uno de los valores disponibles. (Son los

mismos que para el campo Puerto de origen descrito anteriormente).
NOTA Debe especificar el protocolo IPv6 para la ACL antes de poder
configurar el puerto de origen o destino.
Indicadores TCP: seleccione uno o ms indicadores TCP con los cuales

filtrar los paquetes. Los paquetes filtrados se reenvan o se descartan. El
filtrado de paquetes mediante indicadores TCP aumenta el control de los
paquetes, lo que aumenta la seguridad de la red.
-
Establecido: hacer coincidir si el indicador est configurado en

ESTABLECIDO.
No establecido: hacer coincidir si el indicador est configurado en NO

ESTABLECIDO.
No importa: ignorar el indicador TCP.
Tipo de servicio: el tipo de servicio del paquete IP.
ICMP: si la ACL se basa en ICMP, seleccione el tipo de mensaje ICMP que se

usa para fines de filtrado. Seleccione el tipo de mensaje por nombre, o bien,
ingrese el nmero de tipo de mensaje. Si se aceptan todos los tipos de
mensajes, seleccione Cualquier (tipo).
Seleccionar de la lista: seleccione el tipo de mensaje por nombre de la

lista desplegable.
Tipo de IGMP para coincidencia: nmero de tipo de mensaje que se

usar para fines de filtrado.
Cdigo ICMP: los mensajes ICMP pueden tener un campo de cdigo que
indica cmo manejar el mensaje. Seleccione una de las siguientes opciones
para configurar si se debe aplicar el filtro a este cdigo:
-
Cualquier (cdigo): aceptar todos los cdigos.
Definido por el usuario: ingrese un cdigo ICMP para fines de filtrado.
444
24
Control de acceso

Cuando una ACL est vinculada con una interfaz, sus reglas ACE se aplican a
paquetes que llegan a la interfaz. Los paquetes que no coinciden con ningn ACE
de la ACL se hacen coincidir con una regla predeterminada, cuya accin es
descartar los paquetes que no tienen coincidencias.
Si bien cada interfaz se puede vincular con una sola ACL, se pueden vincular
varias interfaces con la misma ACL si se agrupan en una asignacin de polticas y
esa asignacin de polticas se vincula con la interfaz.
Despus de que una ACL se vincula con una interfaz, no se puede editar, modificar
ni eliminar hasta que se borre de todos los puertos con los que est vinculada o en
uso.
NOTA Se puede vincular un puerto con una poltica o con una ACL pero no con ambos
elementos.
Para vincular una ACL con una interfaz:
PASO 1 Haga clic en Control de acceso > Vinculacin de ACL. Se abre la pgina
Vinculacin de ACL.
PASO 2 Seleccione un tipo de interfaz Puertos/LAG (Puerto o LAG).
PASO 3 Haga clic en Ir. Se muestra la lista de puertos/LAG. Para cada tipo de interfaz que
se selecciona, se muestran todas las interfaces de ese tipo con una lista de sus
ACL actuales.
Interfaz: identificador de interfaz.
ACL de MAC: ACL de tipo MAC que estn vinculadas con la interfaz (si las
hubiere).
ACL de IPv4: ACL de tipo IPv4 que estn vinculadas con la interfaz (si las
hubiere).
ACL de IPv6: ACL de tipo IPv6 que estn vinculadas con la interfaz (si las
hubiere).
445
24
Control de acceso
NOTA Para desvincular todas las ACL de una interfaz, seleccione la interfaz,
y luego haga clic en Borrar.

PASO 4 Seleccione una interfaz, y haga clic en Editar. Se abre la pgina Editar vinculacin
de ACL.
PASO 5 Seleccione la interfaz con la cual las ACL estn vinculadas.
PASO 6 Seleccione uno de los siguientes:
Seleccionar ACL basada en MAC: seleccione una ACL basada en MAC

para vincular con la interfaz.
Seleccionar ACL basada en IPv4: seleccione una ACL basada en IPv4 para
vincular con la interfaz.
Seleccionar ACL basada en IPv6: seleccione una ACL basada en IPv6 para
vincular con la interfaz.
Permitir cualquiera: seleccione una de las siguientes opciones:

-
Deshabilitar (rechazar cualquiera): si el paquete no coincide con una

ACL, es rechazado (descartado).
Habilitar: si el paquete no coincide con una ACL, es permitido

(reenviado).
NOTA La opcin Permitir cualquiera se puede definir nicamente si la
Proteccin de la IP de origen no est activada en la interfaz.

PASO 7 Haga clic en Aplicar. La vinculacin de ACL se modifica y se actualiza el archivo
NOTA Si no se selecciona ninguna ACL, las ACL que se han vinculado
previamente con la interfaz se desvinculan.
446
25
Configuracin de calidad de servicio
La funcin Calidad de servicio se aplica en toda la red para garantizar que el

trfico de red se priorice de acuerdo con los criterios requeridos y que el trfico
deseado reciba un trato preferencial.
Modo bsico de QoS
447
25

La funcin de QoS se utiliza para optimizar el rendimiento de la red.
QoS proporciona lo siguiente:
Clasificacin del trfico entrante en clases de trfico, segn los atributos,

que incluyen:
-
Configuracin del dispositivo
Interfaz de acceso
Contenido del paquete
Combinacin de estos atributos
QoS incluye lo siguiente:
Clasificacin del trfico: clasifica cada paquete entrante como

perteneciente a un flujo de trfico especfico, segn los contenidos del
paquete o el puerto. La Lista de control de acceso (ACL, Access Control
List) se encarga de realizar la clasificacin; solamente el trfico que cumpla
con los criterios de ACL estarn sujetos a la clasificacin CoS o QoS.
Asignacin de filas de espera de hardware: los paquetes entrantes se

asignan a filas de espera de reenvo. Los paquetes se envan a una fila de
espera en particular para manejarlos como una funcin de la clasificacin
de trfico a la que pertenecen.
Otros atributos de manejo de clasificacin de trfico: se aplican

mecanismos de QoS a varias clasificaciones, incluida la administracin del
ancho de banda.
Modos de QoS
El modo de QoS seleccionado se aplica a todas las interfaces del sistema.
Modo bsico: Clase de servicio (CoS).

Todo el trfico de la misma clase recibe el mismo trato, que es la nica
accin de QoS de determinar la fila de espera de egreso en el puerto de
egreso, en funcin del valor de QoS indicado en la trama entrante. Puede
ser el valor 802.1p de la etiqueta de prioridad de VLAN (VPT) en la capa 2 y
el valor del punto de cdigo de servicios diferenciados (DSCP) para IPv4 o
448
25
el valor de la clase de trfico (TC) para IPv6 en la capa 3. Al funcionar en

modo bsico, el switch confa en este valor externo asignado de QoS. El
valor externo asignado de QoS de un paquete determina su clase de trfico
y QoS.
El campo del encabezado en que debe confiarse se ingresa en la pgina
Configuracin global. Para cada valor en ese campo, se asigna una fila de
espera de egreso a donde se enva la trama en la pgina CoS/802.1p a la
fila de espera o la pgina DSCP asigna fila de espera (segn si el modo de
confianza es CoS/802.1p o DSCP, respectivamente).
Modo avanzado: Calidad de servicio (QoS) por flujo.

En modo avanzado, una QoS por flujo consta de una asignacin de
clasificacin y un regulador:
Una asignacin de clasificacin define el tipo de trfico en un flujo y

contiene una o ms ACL. Los paquetes que coinciden con las ACL
pertenecen al flujo.
Un regulador aplica la QoS configurada a un flujo. La configuracin de

QoS de un flujo puede constar de la fila de espera de egreso, el valor
DSCP o CoS/802.1p y acciones sobre el trfico fuera de perfil (exceso).
Deshabilitar modo: en este modo, todo el trfico se asigna a una sola fila de
espera de mejor esfuerzo, de modo que ningn tipo de trfico tenga
prioridad sobre otro.
Solo puede haber un modo activo a la vez. Cuando el sistema est configurado
para funcionar en el modo avanzado de QoS, la configuracin para el modo bsico
de QoS no est activa y viceversa.
Al cambiar el modo, ocurre lo siguiente:
Cuando se cambia del modo avanzado de QoS a cualquier otro modo, se

eliminan las definiciones de perfiles de poltica y las asignaciones de
clasificacin. Las ACL vinculadas directamente a las interfaces permanecen
vinculadas.
Al cambiar del modo bsico de QoS al modo avanzado, no se conserva la

configuracin del modo de confianza de QoS en el modo bsico.
Al desactivar QoS, se restablecen los valores predeterminados del

modelador y la fila de espera (configuracin del ancho de banda de
ordenamiento cclico ponderado/prioridad estricta [WRR/SP]).
El resto de las configuraciones de usuario permanecen intactas.
449
25
Flujo de trabajo de QoS

Para configurar los parmetros generales de QoS, realice lo siguiente:
PASO 1 Seleccione el modo QoS (bsico, avanzado o desactivado, segn lo descrito en la
seccin Modos QoS) para el sistema a travs de la pgina Propiedades de QoS .

Los siguientes pasos en el flujo de trabajo suponen que seleccion habilitar QoS.
PASO 2 Asigne a cada interfaz una prioridad CoS predeterminada mediante la pgina
Propiedades de QoS.
PASO 3 Asigne el mtodo de programacin (prioridad estricta o WRR) y la asignacin del
ancho de banda para WRR a las filas de espera de egreso a travs de la pgina
Fila de espera.
PASO 4 Designe una fila de espera de egreso para cada valor DSCP/TC IP con la pgina
DSCP a fila de espera. Si el switch est en el modo de confianza DSCP, los

paquetes entrantes se colocan en las filas de espera de egreso segn su valor
DSCP/TC.
PASO 5 Designe una fila de espera de egreso para cada prioridad de CoS/802.1p. Si el
switch est en el modo de confianza CoS/802.1, todos los paquetes entrantes se

colocan en las filas de espera de egreso designadas, de acuerdo con la prioridad
de CoS/802.1p en los paquetes. Esto se hace mediante la pgina CoS/802.1p a la
fila de espera.
PASO 6 Si es necesario solo para el trfico de capa 3, asigne una fila de espera a cada
valor DSCP/TC a travs de la pgina DSCP asigna fila de espera.

PASO 7 Ingrese los lmites de ancho de banda y velocidad en las siguientes pginas:
a. Configure el moldeado saliente por fila de espera mediante la pgina

Moldeado saliente por fila de espera.
b. Configure el lmite de velocidad de ingreso y la velocidad de moldeado
saliente por puerto a travs de la pgina Ancho de banda.
c. Configure el lmite de velocidad de ingreso de VLAN a travs de la pgina
Lmite de velocidad de ingreso VLAN.
PASO 8 Configure el modo seleccionado a travs de una de las siguientes opciones:
a. Configure el modo Bsico, segn se describe en Flujo de trabajo para

configurar modo QoS bsico.
b. Configure el modo Avanzado, segn se describe en Flujo de trabajo para
configurar modo QoS avanzado.
450
25

La pgina Propiedades de QoS incluye campos para configurar el modo de QoS
del sistema (Bsico, Avanzado o Deshabilitado, tal como se describe en la seccin
Modos QoS). Adems, se puede definir la prioridad predeterminada de CoS
para cada interfaz.
Configuracin de propiedades de QoS

Para seleccionar el modo de QoS:
PASO 1 Haga clic en Calidad de servicio > General > Propiedades de QoS. Se muestra la
pgina Propiedades de QoS.

PASO 2 Configure el modo de QoS: Las opciones disponibles son las siguientes:
Deshabilitar: se deshabilita QoS en el dispositivo.
Bsico: se deshabilita QoS en el dispositivo en modo bsico.
Avanzado: se deshabilita QoS en el dispositivo en modo Avanzado.
PASO 3 Seleccione Puerto/LAG y haga clic en IR A para ver o modificar todos los puertos
o LAG en el dispositivo y su informacin de CoS.

Aparecen los siguientes campos para todos los puertos/LAG:
Interfaz: tipo de interfaz.
CoS predeterminada: valor predeterminado de VPT para los paquetes

entrantes que no tienen una etiqueta VLAN. La CoS predeterminada es 0. El
valor predeterminado es solo relevante para las tramas sin etiquetas, y solo
si el sistema est en modo bsico y la opcin CoS de confianza est
seleccionada en la pgina Configuracin global.
Seleccione Restaurar valores predet. para restaurar la configuracin

predeterminada de fbrica de CoS para esta interfaz.
Para configurar QoS en una interfaz, seleccinela y haga clic en Editar. Se muestra
la pgina Editar configuracin CoS de interfaz.
451
25
Interfaz: seleccione un puerto o LAG.
CoS predeterminada: seleccione el valor predeterminado de CoS

(Clasificacin de servicio) que se asignar a los paquetes entrantes (que no
tengan una etiqueta VLAN). El intervalo oscila entre 0 y 7.
PASO 2 Haga clic en Aplicar. El valor predeterminado de CoS de la interfaz se escribe en
Configuracin de filas de espera de QoS

El switch admite cuatro filas de espera para cada interfaz. La fila de espera
nmero cuatro es la de mayor prioridad, mientras que la fila de espera nmero uno
es la de menor prioridad.
Existen dos formas de determinar cmo se maneja el trfico en las filas de espera:
Prioridad estricta y Ordenamiento cclico ponderado (WRR).
Prioridad estricta: el trfico de egreso de la fila de espera de mayor prioridad se
transmite en primer lugar. El trfico de las filas de espera inferiores se procesa
solo luego de que la fila de espera superior se haya transmitido. De esta manera,
se proporciona el mayor nivel de prioridad del trfico a la fila de espera con
nmero ms alto.
Ordenamiento cclico ponderado (WRR, Weighted Round Robin): en el modo
WRR, el nmero de paquetes enviados desde la fila de espera es proporcional al
peso de la fila de espera (cuanto mayor es el peso, se enva mayor cantidad de
tramas). Por ejemplo, si las cuatro filas de espera estn en WRR y se utilizan los
pesos predeterminados, la fila de espera 1 recibe 1/15 del ancho de banda (si
suponemos que todas las filas de espera estn saturadas y que hay congestin),
la fila de espera 2 recibe 2/15, la fila de espera 3 recibe 4/15 y la fila de espera 4
recibe 8/15 del ancho de banda. El tipo de algoritmo de WRR utilizado en el
dispositivo no es el WRR con dficit (DWRR) estndar, sino el WRR deficitado
(SDWRR).
Los modos de almacenamiento en fila de espera pueden seleccionarse en la
pgina Fila de espera. Cuando el modo de almacenamiento en fila de espera es
por prioridad estricta, la prioridad establece el orden en que se procesan las filas
de espera: se comienza con la fila de espera_4 (la de mayor prioridad) y se
contina con la siguiente fila de espera inferior tras completar cada fila de espera.
452
25
Cuando el modo de almacenamiento en fila de espera es por ordenamiento cclico

ponderado, las filas de espera se procesan hasta que se haya agotado su cuota, y
luego se procesa otra fila de espera.
Tambin es posible asignar algunas de las filas de espera inferiores a WRR,
mientras se mantienen algunas de las filas de espera superiores en prioridad
estricta. En este caso, el trfico para las filas de espera de prioridad estricta
siempre se enva antes que el trfico de las filas de espera de WRR. El trfico de
las filas de espera de WRR se reenva solo una vez que se hayan vaciado las filas
de espera de prioridad estricta. (La porcin relativa de cada fila de espera de
WRR depende de su peso).
Para seleccionar el mtodo de prioridad e ingresar datos de WRR:
PASO 1 Haga clic en Calidad de servicio > General > Fila de espera. Se muestra la
pgina Fila de espera.

Fila de espera: se muestra el nmero de fila de espera.
Mtodo de planificacin: Elija una de las siguientes opciones:

-
Prioridad estricta: la programacin del trfico para la fila de espera

seleccionada y todas las filas de espera superiores se basa
estrictamente en la prioridad de la fila de espera.
WRR: la programacin del trfico para la fila de espera seleccionada se

basa en WRR. El perodo de tiempo se divide entre las filas de espera de
WRR que no estn vacas, lo que significa que tienen descriptores para
el egreso. Esto sucede solo si las filas de espera de prioridad estricta
estn vacas.
Peso de WRR: si WRR est seleccionado, ingrese el peso de WRR

asignada a la fila de espera.
% de ancho de banda de WRR: se muestra la cantidad de ancho de

banda asignado a la fila de espera. Estos valores representan el
porcentaje del peso de WRR.
PASO 3 Haga clic en Aplicar. Se configuran filas de espera y se actualiza el archivo
453
25
Asignacin de CoS/802.1p a una fila de espera

En la pgina CoS/802.1p a la fila de espera se asignan las prioridades de 802.1p a
las filas de espera de egreso. La tabla de CoS/802.1p a una fila de espera
determina las filas de espera de egreso de los paquetes entrantes en funcin de
la prioridad de 802.1p en sus etiquetas VLAN. Para los paquetes entrantes sin
etiquetar, la prioridad de 802.1p es la prioridad predeterminada de CoS/802.1p
asignada a los puertos de ingreso.
Filas de espera de asignacin predeterminadas
Valores
802.1p
(0 a 7, donde
7 es el
mayor)
Fila de espera
(4 filas de
espera 1 a 4,
donde 4 es la
de mayor
prioridad)
Fila de espera
(2 filas de
espera: normal y
alta)
Notas
Normal
Antecedentes
Normal
Mejor esfuerzo
Normal
Excelente esfuerzo
Normal
Aplicacin esencial SIP

de telfono LVS
Normal
Video
Alto
Voz Valor
predeterminado de
telfono IP de Cisco
Alto
Control de interconexin
RTP de telfono LVS
Alto
Control de red
Al cambiar la asignacin de CoS/802.1p a la fila de espera y la asignacin del

ancho de banda y el mtodo de programacin de la fila de espera, es posible
obtener la calidad de servicio deseada en una red.
La asignacin de CoS/802.1p a la fila de espera se aplica solo si existe una de las
siguientes condiciones:
El switch est en el modo bsico de QoS y en el modo de confianza CoS/

802.1p.
454
25
El switch est en el modo avanzado de QoS y los paquetes pertenecen a

flujos de confianza CoS/802.1p.
La fila de espera 1 tiene la prioridad ms baja, la fila de espera 4 tiene la prioridad

ms alta.
Para asignar valores de CoS a filas de espera de egreso:
PASO 1 Haga clic en Calidad de servicio > General > CoS/802.1p a fila de espera. Se
muestra la pgina CoS/802.1p a la fila de espera.

802.1p: se muestran los valores de las etiquetas de prioridad de 802.1p que

se asignarn a una fila de espera de egreso, donde 0 es la menor prioridad
y 7 es la mayor prioridad.
Fila de espera de salida: seleccione la fila de espera de egreso a la que la

prioridad de 802.1p est asignada. Se admiten cuatro filas de espera de
egreso, donde la fila de espera 4 es la de mayor prioridad y la fila de
espera 1 es la de menor prioridad.
PASO 3 Para cada prioridad de 802.1p, seleccione la fila de espera de salida a la que est
asignada.
PASO 4 Haga clic en Aplicar. Se asignan los valores de prioridad de 801.1p a las filas de
espera y se actualiza el archivo Configuracin en ejecucin.
Asignacin de DSCP a la fila de espera

La pgina DSCP (Punto de cdigo de servicios diferenciados IP) a fila de espera
permite asignar DSCP a filas de espera de egreso. La tabla DSCP a fila de espera
permite determinar las filas de espera de egreso de los paquetes IP entrantes en
funcin de sus valores DSCP. La VPT (etiqueta de prioridad VLAN) original del
paquete no se modifica.
Al cambiar la asignacin de DSCP a la fila de espera y la asignacin del ancho de
banda y el mtodo de programacin de la fila de espera, es posible obtener la
calidad de servicio deseada en una red.
La asignacin de DSCP a la fila de espera se aplica a los paquetes IP si:
El switch est en el modo bsico de QoS y DSCP es el modo de confianza, o
455
25
El switch est en el modo avanzado de QoS y los paquetes pertenecen a

flujos de confianza DSCP.
Los paquetes que no son IP siempre se clasifican en la fila de espera de mejor

esfuerzo.
Para asignar DSCP a filas de espera:
PASO 1 Haga clic en Calidad de servicio > General > DSCP a fila de espera. Se muestra
la pgina DSCP a la fila de espera.

La pgina DSCP a la fila de espera contiene Acceder a DSCP, que muestra el
valor DSCP en el paquete entrante y su clasificacin asociada.
PASO 2 Seleccione la fila de espera de salida en Fila de espera de salida (fila de espera
de reenvo de trfico) a la que el valor DSCP est asignado.

Configuracin del ancho de banda

En la pgina Ancho de banda, los usuarios pueden definir dos conjuntos de
valores, Lmite de velocidad de ingreso y Velocidad de moldeado saliente, que
determinan la cantidad de trfico que el sistema puede recibir y enviar.
El lmite de velocidad de ingreso es el nmero de bits por segundo que se pueden
recibir de la interfaz de ingreso. El exceso de ancho de banda por encima de este
lmite se descarta.
Se ingresan los siguientes valores para el moldeado saliente:
Velocidad de informacin comprometida (CIR, Committed Information Rate)

establece la cantidad promedio mxima de datos que se permite enviar en
la interfaz de egreso, medida en bits por segundo.
Tamao de rfaga comprometida (CBS, Committed Burst Size) es la rfaga

de datos que se permite enviar, aunque est por encima de la CIR. Se
define en nmero de bytes de datos.
456
25
Para ingresar la limitacin del ancho de banda:

PASO 1 Haga clic en Calidad de servicio > General > Ancho de banda. Se muestra la
pgina Ancho de banda.

La pgina Ancho de banda incluye informacin sobre el ancho de banda para
cada interfaz.
La columna % es el lmite de velocidad de ingreso para el puerto dividido entre el
ancho de banda total del puerto.
PASO 2 Seleccione una interfaz, y haga clic en Editar. Se muestra la pgina Editar ancho
de banda.
PASO 3 Seleccione la interfaz Puerto o LAG. 500 switches en serie tambin cuentan con
una opcin para seleccionar la unidad o el puerto.

PASO 4 Ingrese los campos para la interfaz seleccionada:
Lmite de velocidad de ingreso: seleccione esta opcin para habilitar el

lmite de velocidad de ingreso, que se define en el campo que figura debajo.
Lmite de velocidad de ingreso: ingrese la cantidad mxima de ancho de

banda permitida en la interfaz.
NOTA Los dos campos de Lmite de velocidad de ingreso no aparecen
cuando el tipo de interfaz es LAG.
Velocidad de moldeado saliente: seleccione esta opcin para habilitar el

moldeado saliente en la interfaz.
NOTA La CIR mnima que puede configurarse en el campo de Velocidad de
moldeado saliente es de 2 Mbps, en lugar de 64 Kbps, en los siguientes

switches: Puertos SF500 GE1GE4; puertos SG500 GE49-GE52.
Velocidad de informacin comprometida (CIR, Committed Information

Rate): ingrese el ancho de banda mximo para la interfaz de egreso.
Tamao de rfaga comprometida (CBS): ingrese el tamao mximo de la

rfaga de datos para la interfaz de egreso en bytes de datos. Esta cantidad
puede enviarse incluso si incrementa temporalmente el ancho de banda
ms all del lmite permitido.
PASO 5 Haga clic en Aplicar. La configuracin del ancho de banda se escriben en el
457
25
Configuracin del moldeado saliente por fila de espera

Adems de limitar la velocidad de transmisin por puerto, que se realiza en la
pgina Ancho de banda, el switch puede limitar la velocidad de transmisin de
tramas de egreso seleccionadas por fila de espera y por puerto. El
establecimiento del lmite de la velocidad de egreso se realiza mediante el
moldeado de la carga de salida.
El switch limita todas las tramas a excepcin de las tramas de administracin. Las
tramas que no se limitan se omiten en los clculos de velocidad, lo que significa
que su tamao no se incluye en el total del lmite.
El moldeado de velocidad de egreso por fila de espera puede desactivarse.
Para definir el moldeado saliente por fila de espera:
PASO 1 Haga clic en Calidad de servicio > General > Moldeado saliente por fila de
espera. Se muestra la pgina Moldeado saliente por fila de espera.

La pgina Moldeado de egreso por fila de espera incluye el lmite de velocidad y
el tamao de rfaga para cada fila de espera.
PASO 2 Seleccione un tipo de interfaz (puerto o LAG) y haga clic en Ir. Se muestra la lista
de puertos/LAG.
PASO 3 Seleccione un puerto o un LAG, y haga clic en Editar. Se muestra la pgina Editar
moldeado saliente por fila de espera.

En esta pgina se puede moldear el egreso de hasta cuatro filas de espera en
cada interfaz.
PASO 4 Seleccione la interfaz en Interfaz.
PASO 5 Ingrese los siguientes campos para cada fila de espera que se necesite:
Habilitar: seleccione esta opcin para habilitar el moldeado saliente en esta

fila de espera.
Velocidad de informacin comprometida (CIR, Committed Information

Rate): ingrese la velocidad mxima (CIR) en Kbits por segundo (Kbps). CIR
es la cantidad mxima promedio de datos que se puede enviar.
Tamao de rfaga comprometida (CBS, Committed Burst Size): ingrese el

tamao mximo de rfaga (CBS) en bytes. CBS es la rfaga mxima de datos
que se puede enviar, incluso si una rfaga excede la CIR.
458
25
PASO 6 Haga clic en Aplicar. La configuracin del ancho de banda se escriben en el
Configuracin del lmite de velocidad de VLAN

NOTA La funcin Lmite de velocidad de VLAN no est disponible cuando el switch est
en el modo de capa 3.
La limitacin de la velocidad por VLAN, que se realiza en la pgina Lmite de
velocidad de ingreso de VLAN, permite limitar el trfico en las VLAN. Al configurar
la limitacin de la velocidad de ingreso de VLAN, se limita el trfico agregado de
todos los puertos del switch.
Las siguientes restricciones se aplican a las limitaciones de velocidad por VLAN:
Tiene menos prioridad que cualquier otra poltica de trfico definida en el

sistema. Por ejemplo, si un paquete est sujeto a lmites de velocidad de
QoS, pero tambin lo est a lmites de velocidad de VLAN, y los lmites de
velocidad estn en conflicto, los lmites de velocidad de QoS tienen
prioridad.
Se aplica a nivel del dispositivo y dentro del dispositivo a nivel del

procesador de paquetes. Si hay ms de un procesador de paquetes en el
dispositivo, se aplica el valor de velocidad lmite de la VLAN configurada
para cada uno de los procesadores de paquetes, de manera
independiente. Los dispositivos con hasta 24 puertos poseen un
procesador de paquete simple, mientras que los dispositivos de 48 puertos
o ms poseen dos procesadores de paquetes.
La limitacin de velocidad se calcula por separado para cada procesador de

paquete en una unidad, y para cada unidad en una pila.
Por lo tanto, la cantidad mxima de procesadores de paquete posibles en una pila
es de ocho, si hay cuatro unidades de 48 puertos cada una.
Para definir el lmite de velocidad de ingreso de VLAN:
PASO 1 Haga clic en Calidad de servicio > General > Lmite de velocidad de ingreso de
VLAN. Se muestra la pgina Aadir lmite de velocidad de ingreso de VLAN.

En esta pgina se muestra la tabla de lmite de velocidad de ingreso de VLAN.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir lmite de velocidad de ingreso
de VLAN .
459
25
ID de VLAN: seleccione una VLAN.
Velocidad de informacin comprometida (CIR): ingrese la cantidad

mxima promedio de datos que la VLAN puede aceptar en Kilobytes por
segundo.
Tamao de rfaga comprometida (CBS): ingrese el tamao mximo de la

rfaga de datos para la interfaz de egreso en bytes de datos. Esta cantidad
puede enviarse incluso si incrementa temporalmente el ancho de banda
ms all del lmite permitido. No se puede ingresar para las LAG.
PASO 4 Haga clic en Aplicar. Se aade el lmite de velocidad de VLAN y se actualiza el
Prevencin de congestin de TCP

En la pgina Prevencin de congestin de TCP se puede activar un algoritmo de
prevencin de congestin de TCP. El algoritmo divide o evita la sincronizacin
global de TCP en un nodo congestionado, donde la congestin se debe a que
varios orgenes envan paquetes con el mismo conteo de bytes.
Para configurar la prevencin de congestin de TCP:
PASO 1 Haga clic en Calidad de servicio > General > Prevencin de congestin de TCP.
Se muestra la pgina Prevencin de congestin de TCP.

PASO 2 Haga clic en Habilitar para habilitar la prevencin de congestin de TCP y luego
en Aplicar.
460
25
Modo bsico de QoS

En el modo bsico de QoS, se puede definir un dominio especfico en la red como
de confianza. Dentro de ese dominio, los paquetes se marcan con prioridad
802.1p o DSCP para indicar el tipo de servicio que requieren. Los nodos dentro del
dominio usan estos campos para asignar el paquete a una fila de espera de salida
especfica. La clasificacin inicial de los paquetes y el marcado de estos campos
se realizan en el ingreso del dominio de confianza.
Flujo de trabajo para configurar el modo bsico de QoS

Para configurar el modo bsico de QoS, realice lo siguiente:
1. Seleccione el modo Bsico para el sistema a travs de la pgina Propiedades
de QoS.
2. Seleccione comportamiento de confianza a travs de la pgina Configuracin
global. El switch admite el modo de confianza CoS/802.1p y el modo de
confianza DSCP. El modo de confianza CoS/802.1p utiliza la prioridad 802.1p en
la etiqueta VLAN. El modo de confianza DSCP utiliza el valor DSCP en el
encabezado IP.
Si a modo de excepcin, hay un puerto que no debe confiar en la marca CoS
entrante, desactive el estado de QoS en ese puerto a travs de la pgina
Active o desactive el modo de confianza global seleccionado en los puertos a
travs de la pgina Configuracin de interfaz. Si se desactiva un puerto sin modo
de confianza, todos sus paquetes de ingreso se reenvan en el mejor esfuerzo. Se
recomienda desactivar el modo de confianza en los puertos en los que los valores
CoS/802.1p o DSCP en los paquetes entrantes no sean de confianza. En caso
contrario, podra afectar negativamente el rendimiento de la red.
461
25
Configuracin de los valores globales

La pgina Configuracin global incluye informacin para activar la confianza en el
switch (consulte el campo Modo de confianza a continuacin). Esta configuracin
est activa cuando el modo de QoS es bsico. Los paquetes que ingresan a un
dominio de QoS se clasifican en el borde del dominio de QoS.
Para definir la configuracin de confianza:
PASO 1 Haga clic en Calidad de servicio > Modo bsico de QoS > Configuracin global.
Se muestra la pgina Configuracin de interfaz.

PASO 2 Seleccione el Modo de confianza mientras el switch est en modo bsico. Si la
etiqueta DSCP y el nivel de CoS de un paquete estn asignados a filas de espera

separadas, el modo de confianza determina la fila de espera a la que se asigna el
paquete:
CoS/802.1p: el trfico se asigna a filas de espera segn el campo VPT en la

etiqueta VLAN, o segn el valor predeterminado de CoS/802.1p por puerto
(si no hay una etiqueta VLAN en el paquete entrante); la asignacin en s de
VPT a la fila de espera puede configurarse en la pgina de asignacin CoS/
802.1p a la fila de espera.
DSCP: todo el trfico IP se asigna a las filas de espera segn el campo

DSCP en el encabezado IP. La asignacin real de DSCP a la fila de espera
puede configurarse en la pgina DSCP a la fila de espera. Si el trfico no es
trfico IP, se asigna a la fila de espera de mejor esfuerzo.
CoS/802.1p-DSCP: CoS/802.1p o DSCP, lo que se haya configurado.
PASO 3 Seleccione Anular ingreso DSCP para anular los valores DSCP originales en los
paquetes entrantes con los nuevos valores segn la tabla de anulacin de DSCP.
Cuando la opcin Anular ingreso DSCP est habilitada, el switch usa los nuevos
valores de DSCP para el almacenamiento en fila de espera de egreso. Tambin
reemplaza los valores DSCP originales en los paquetes con los nuevos valores
DSCP.
NOTA La trama se asigna a una fila de espera de egreso usando el nuevo
valor reescrito, y no segn el valor DSCP original.

PASO 4 Si se habilit la opcin Anular ingreso DSCP, haga clic en Tabla de anulacin de
DSCP para volver a configurar DSCP. Se muestra la pgina Tabla de anulacin de

DSCP.
DSCP dentro muestra el valor DSCP del paquete entrante que debe remarcarse
con un valor alternativo.
462
25
PASO 5 Seleccione el valor DSCP fuera para indicar que el valor entrante est asignado.
PASO 6 Haga clic en Aplicar. El archivo Configuracin en ejecucin se actualiza con los
nuevos valores de DSCP.
Configuracin de QoS de interfaz

En la pgina Configurar interfaz se puede configurar QoS en cada puerto del
switch, de la siguiente manera:
Estado de QoS deshabilitado en una interfaz: todo el trfico entrante en el
puerto se asigna a la fila de espera de mejor esfuerzo y no se realiza
clasificacin ni priorizacin alguna.
El estado de QoS del puerto est habilitado: la priorizacin del trfico al
ingreso del puerto se basa en el modo de confianza configurado en todo el
sistema, que es el modo de confianza CoS/802.1p o el modo de confianza
DSCP.
Para ingresar la configuracin de QoS por interfaz:
PASO 1 Haga clic en Calidad de servicio > Modo bsico de QoS > Configuracin de
interfaz. Se muestra la pgina Configuracin de interfaz.

PASO 2 Seleccione Puerto o LAG para ver la lista de puertos o LAG.
Se muestra la lista de puertos/LAG. En Estado de QoS se muestra si la QoS est

habilitada en la interfaz.
configuracin de interfaz QoS.

PASO 4 Seleccione la interfaz Puerto o LAG.
PASO 5 Haga clic para habilitar o deshabilitar Estado de QoS para esta interfaz.
463
25

Las tramas que coinciden con una ACL y a las que se les permiti el ingreso se
etiquetan en forma implcita con el nombre de la ACL que les permiti el acceso.
Luego se pueden aplicar acciones del modo avanzado de QoS a estos flujos.
En modo avanzado de QoS, el switch utiliza polticas para admitir la QoS por flujo.
Una poltica y sus componentes tienen las siguientes caractersticas y relaciones:
Una poltica contiene una o ms asignaciones de clasificacin.
Una asignacin de clasificacin define a un flujo con una o ms ACL

asociadas. Se considera que los paquetes que coinciden solo con las
reglas de ACL (ACE, entrada de control de acceso) en una asignacin de
clasificacin con accin de permiso (reenviar) pertenecen al mismo flujo y
estn sujetos a la misma calidad de servicios. Por lo tanto, una poltica
contiene uno o ms flujos, cada uno con una QoS definida por el usuario.
La QoS de una asignacin de clasificacin (flujo) se aplica a travs del

regulador asociado. Existen dos tipos de reguladores: regulador nico y
regulador aadido. Cada regulador se configura con una especificacin de
QoS. Un regulador nico aplica la QoS a una sola asignacin de
clasificacin y, por lo tanto, a un solo flujo, en funcin de la especificacin
de QoS del regulador. Un regulador aadido aplica la QoS a uno o ms
asignaciones de clasificacin y, por lo tanto, a uno o ms flujos. Este
regulador puede admitir asignaciones de clasificacin de diferentes
polticas.
La QoS por flujo se aplica a los flujos al asociar las polticas con los puertos
deseados. Una poltica y sus asignaciones de clasificacin pueden
asociarse a uno o ms puertos, pero cada puerto se asocia con una poltica
como mximo.
Notas:
El regulador nico y el regulador aadido estn disponibles cuando el switch

est en el modo de capa 2.
Una ACL puede configurarse para una o ms asignaciones de clasificacin,

independientemente de las polticas.
Una asignacin de clasificacin puede pertenecer solo a una poltica.
464
25
Cuando se asocia una asignacin de clasificacin usando un regulador

nico a varios puertos, cada puerto tiene su propia instancia del regulador
nico; cada uno aplica la QoS en la asignacin de clasificacin (flujo) en un
puerto independiente.
Un regulador aadido aplica la QoS a todos sus flujos en conjunto,

independientemente de las polticas y los puertos.
La configuracin avanzada de QoS consta de tres partes:
Definiciones de las reglas que deben cumplirse. Todas las tramas que
coincidan con un solo grupo de reglas se consideran un flujo.
Definicin de las acciones que se aplicarn a las tramas en cada flujo que
coincida con las reglas.
Asociacin de las combinaciones de reglas y accin a una o ms interfaces.
Flujo de trabajo para configurar el modo avanzado de QoS

Para configurar el modo avanzado de QoS, realice lo siguiente:
1. Seleccione el modo Avanzado para el sistema a travs de la pgina
Propiedades de QoS. Seleccione comportamiento de confianza a travs de la
pgina Configuracin global. Si la etiqueta DSCP y el nivel de CoS de un
paquete estn asignados a filas de espera separadas, el modo de confianza
determina la fila de espera a la que se asigna el paquete:
Si los valores DSCP internos son diferentes a los usados en los paquetes
entrantes, asigne los valores externos a los valores internos a travs de la
pgina Asignacin de DSCP fuera de perfil. A su vez, abre la pgina
Remarcacin de DSCP.
2. Cree ACL, tal como se describe en Crear flujo de trabajo de ACL.

3. Si se definieron ACL, cree asignaciones de clasificacin y asocie las ACL con
ellos a travs de la pgina Asignacin de clasificacin.
4. Cree una poltica a travs de la pgina Tabla de polticas, y asocie la poltica con
una o ms asignaciones de clasificacin a travs de la pgina Asignacin de
clasificacin de poltica. Si es necesario, tambin puede especificar la QoS al
asignar un regulador a una asignacin de clasificacin cuando asocie la
asignacin de clasificacin a la poltica.
465
25
Regulador nico: cree una poltica que asocie una asignacin de

clasificacin con un regulador nico a travs de la pgina Tabla de poltica
y la pgina Asignacin de clasificacin. Dentro de la poltica, defina el
regulador nico.
Regulador aadido: cree una accin de QoS para cada flujo que enve todas
las tramas coincidentes al mismo regulador (regulador aadido) a travs de
la pgina Regulador aadido. Cree una poltica que asocie una asignacin
de clasificacin con el regulador aadido a travs de la pgina Tabla de
poltica.
5. Asocie la poltica a una interfaz a travs de la pgina Vinculacin de polticas.
Configuracin de los valores globales

La pgina Configuracin global contiene informacin para habilitar la confianza en
el switch. Los paquetes que ingresan a un dominio de QoS se clasifican en el
borde del dominio de QoS.
Para definir la configuracin de confianza:
PASO 1 Haga clic en Calidad de servicio > Modo avanzado de QoS > Configuracin
global. Se muestra la pgina Configuracin de interfaz.

PASO 2 Seleccione el Modo de confianza mientras el switch est en modo avanzado. Si la
etiqueta DSCP y el nivel de CoS de un paquete estn asignados a filas de espera

separadas, el modo de confianza determina la fila de espera a la que se asigna el
paquete:
CoS/802.1p: el trfico se asigna a filas de espera segn el campo VPT en la

etiqueta VLAN, o segn el valor predeterminado de CoS/802.1p por puerto
(si no hay una etiqueta VLAN en el paquete entrante); la asignacin en s de
VPT a la fila de espera puede configurarse en la pgina de asignacin CoS/
802.1p a la fila de espera.
DSCP: todo el trfico IP se asigna a las filas de espera segn el campo

DSCP en el encabezado IP. La asignacin real de DSCP a la fila de espera
puede configurarse en la pgina DSCP a la fila de espera. Si el trfico no es
trfico IP, se asigna a la fila de espera de mejor esfuerzo.
CoS/802.1p-DSCP: seleccione esta opcin para usar el modo CoS de

confianza para trfico no IP y DSCP de confianza para trfico IP.
466
25
PASO 3 Seleccione el modo avanzado predeterminado, modo de confianza de QoS (ya
sea confiable o no confiable) para las interfaces del campo Estado de modo
predeterminado. De esta manera, se proporciona la funcionalidad bsica de QoS,
de manera que se puede confiar en CoS o DSCP en QoS avanzado de forma
predeterminada (sin tener que crear una poltica).
En el Modo avanzado de QoS, cuando el estado de modo predeterminado est
definido en No confiable, los valores predeterminados de CoS configurados en la
interfaz se usan para dar prioridad al trfico que arriba a la interfaz. Consulte la
pgina Calidad de servicio > Modo avanzado de QoS > Configuracin global
para obtener ms detalles.
Si la poltica se encuentra en una interfaz, el modo predeterminado es irrelevante,
la accin corresponde con la configuracin de la poltica y el trfico que no
coincide se descarta.
PASO 4 Seleccione Anular ingreso DSCP para anular los valores DSCP originales en los
paquetes entrantes con los nuevos valores segn la tabla de anulacin de DSCP.
Cuando la opcin Anular ingreso DSCP est habilitada, el switch usa los nuevos
valores de DSCP para el almacenamiento en fila de espera de egreso. Tambin
reemplaza los valores DSCP originales en los paquetes con los nuevos valores
DSCP.
NOTA La trama se asigna a una fila de espera de egreso usando el nuevo
valor reescrito, y no segn el valor DSCP original.

PASO 5 Si se habilit la opcin Anular ingreso DSCP, haga clic en Tabla de anulacin de
DSCP para volver a configurar DSCP. Para obtener detalles, consulte la pgina
Tabla de anulacin de DSCP.
Configuracin de asignacin de DSCP fuera de perfil

Cuando un regulador se asigna a asignaciones de clasificacin (flujos), se puede
especificar la accin que se realizar cuando la cantidad de trfico en los flujos
supere los lmites especificados de QoS. Se hace referencia a la parte del trfico
que hace que el flujo supere su lmite de QoS como paquetes fuera de perfil.
Si la accin de exceso es DSCP fuera de perfil, el switch reasigna el valor DSCP
original de los paquetes IP fuera de perfil con un nuevo valor basado en la tabla de
asignacin de DSCP fuera de perfil. El switch utiliza los nuevos valores para
asignar recursos y las filas de espera de egreso a estos paquetes. Adems,
reemplaza fsicamente el valor DSCP original en los paquetes fuera de perfil con
el nuevo valor DSCP.
467
25
Para usar la accin de exceso de DSCP fuera de perfil, reasigne el valor DSCP en
la tabla de asignacin de DSCP fuera de perfil. En caso contrario, la accin es nula,
dado que el valor DSCP en la tabla se reasigna los paquetes a s mismo de
manera predeterminada de fbrica.
Esta funcin permite cambiar las etiquetas DSCP para el trfico entrante
intercambiado entre dominios de confianza de QoS. Al cambiar los valores DSCP
utilizados en un dominio, se configura la prioridad de ese tipo de trfico en el valor
DSCP utilizado en el otro dominio a fin de identificar el mismo tipo de trfico.
Esta configuracin est activa cuando el sistema est en el modo bsico de QoS,
y se activa en forma global una vez habilitada.
Por ejemplo: Suponga que hay tres niveles de servicio: plata, oro, platino, y los
valores entrantes de DSCP que se usan para marcar estos niveles son 10, 20 y 30,
respectivamente. Si este trfico se reenva a otro proveedor de servicio que tiene
los mismos tres niveles de servicio, pero que utiliza los valores DSCP 16, 24 y 48,
Asignacin de DSCP fuera de perfil cambia los valores entrantes a medida que
se los asigna a los valores salientes.
Para asignar valores DSCP:
PASO 1 Haga clic en Calidad de servicio > Modo avanzado de QoS > Asignacin de DSCP
fuera de perfil. Se muestra la pgina Asignacin de DSCP fuera de perfil. En esta

pgina se puede configurar el valor de cambio de DSCO del trfico que entra o
sale del switch.
DSCP dentro muestra el valor DSCP del paquete entrante que debe remarcarse
con un valor alternativo.
PASO 2 Seleccione el valor DSCP fuera al que est asignado el valor entrante.
PASO 3 Haga clic en Aplicar. El archivo Configuracin en ejecucin se actualiza con la
nueva tabla Asignacin de DSCP.
468
25
Definicin de asignacin de clases

Una asignacin de clasificacin define un flujo de trfico con ACL (listas de control
de acceso). En una asignacin de clasificacin se pueden combinar ACL MAC,
ACL IP y ACL IPv6. Las asignaciones de clasificacin se configuran de modo que
coincidan con los criterios de los paquetes, que pueden ser todos o cualquiera de
ellos. Se utiliza la primera coincidencia con los paquetes, lo que significa que la
accin asociada con la asignacin de clasificacin que coincida primero es
aquella que ejecuta el sistema. Se considera que los paquetes que coinciden con
la misma asignacin de clasificacin pertenecen al mismo flujo.
NOTA La definicin de asignaciones de clasificacin no tiene efecto alguno en la QoS;
sino que es un paso intermedio que permite utilizar las asignaciones de

clasificacin ms adelante.
Si se requieren conjuntos de reglas ms complejos, se pueden agrupar varias
asignaciones de clasificacin en un supergrupo llamado una poltica (consulte la
seccin Configuracin de poltica).
En la pgina Asignacin de clasificacin se muestra la lista de asignaciones de
clasificacin definidas y las ACL que componen cada una, y se puede aadir o
eliminar asignaciones.
Para definir una asignacin de clasificacin:
PASO 1 Haga clic en Calidad de servicio > Modo avanzado de QoS > Asignacin de
clase. Se muestra la pgina Asignacin de clasificacin.

En esta pgina se muestran las asignaciones de clasificacin ya definidas.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir asignacin de clasificacin.
Se aade una nueva asignacin de clasificacin al seleccionar una o dos ACL y

asignarle un nombre. Si una asignacin de clasificacin tiene dos ACL, puede
especificar que una trama debe coincidir con ambas ACL, o que debe coincidir
con cualquiera de las dos o las dos ACL seleccionadas.
Nombre de asignacin de clasificacin: ingrese el nombre de una nueva

asignacin de clasificacin.
Hacer coincidir tipo de ACL: los criterios con los que un paquete debe
coincidir a fin de considerarse perteneciente al flujo definido en la
asignacin de clasificacin. Las opciones son:
469
25
IP: un paquete debe coincidir con cualquiera de las ACL basadas en IP en

la asignacin de clasificacin.
MAC : un paquete debe coincidir con la ACL basada en MAC en la

IP y MAC : un paquete debe coincidir con la ACL basada en IP y con la

ACL basada en MAC en la asignacin de clasificacin.
IP o MAC : un paquete debe coincidir con la ACL basada en IP o con la

ACL basada en MAC en la asignacin de clasificacin.
IP: seleccione la ACL basada en IPv4 o la ACL basada en IPv6 para la

MAC: seleccione la ACL basada en MAC para la asignacin de clasificacin.
ACL preferida: seleccione si se busca una primera coincidencia de los

paquetes con una ACL basada en IP o una ACL basada en MAC.
Reguladores de QoS
Usted puede medir la velocidad del trfico que coincide con un conjunto
predefinido de reglas y aplicar lmites; por ejemplo, puede medir la velocidad del
trfico de transferencia de archivo que se permite en un puerto.
Esto se puede realizar mediante las ACL en las asignaciones de clasificacin para
que coincidan con el trfico deseado, y mediante un regulador para aplicar la QoS
en el trfico coincidente.
NOTA No se admiten los reguladores de QoS cuando el switch est en el modo de capa
3 del sistema.
Un regulador se configura con una especificacin de QoS. Hay dos tipos de
reguladores:
Regulador nico: un regulador nico aplica la QoS a una sola asignacin de

clasificacin y a un solo flujo en funcin de la especificacin de QoS del
regulador. Cuando se asocia una asignacin de clasificacin usando un
regulador nico a varios puertos, cada puerto tiene su propia instancia del
regulador nico; cada uno aplica la QoS en la asignacin de clasificacin
(flujo) en puertos que de otra manera son independientes entre s. Un
regulador nico se crea en la pgina Tabla de poltica.
470
25
Regulador aadido: un regulador aadido aplica la QoS a una o ms

asignaciones de clasificacin y a uno o ms flujos. Este regulador puede
admitir asignaciones de clasificacin de diferentes polticas. Un regulador
aadido aplica la QoS a todos sus flujos en conjunto, independientemente
de las polticas y los puertos. Un regulador aadido se crea en la pgina
Regulador aadido.
Un regulador aadido se define si el regulador se va a compartir con ms
de una clasificacin. Los reguladores de un puerto no pueden compartirse
con otros reguladores en otro dispositivo.
Cada regulador se define con su propia especificacin de QoS con una

combinacin de los siguientes parmetros:
Una velocidad mxima permitida, llamada Velocidad de informacin

comprometida (CIR, Committed Information Rate), medida en Kbps.
Una cantidad de trfico, medido en bytes, llamada Tamao de rfaga

comprometida (CBS, Committed Burst Size). A este trfico se le permite el
paso como una rfaga temporal, incluso si supera la velocidad mxima
definida.
Una accin que se aplicar a las tramas que superen los lmites (llamadas
trfico fuera de perfil), donde dichas tramas pueden transmitirse tal como
estn, descartarse o transmitirse, pero reasignarse a un nuevo valor DSCP
que las marca como tramas de menor prioridad para todo el manejo
posterior dentro del dispositivo.
La asignacin de un regulador a una asignacin de clasificacin se realiza al aadir

una asignacin de clasificacin a una poltica. Si el regulador es del tipo aadido,
debe crearlo a travs de la pgina Regulador aadido.
Definicin de reguladores agregados

Un regulador aadido aplica la QoS a una o ms asignaciones de clasificacin y,
por lo tanto, a uno o ms flujos. Este tipo de regulador puede admitir asignaciones
de clasificacin de diferentes polticas y aplica la QoS a todos sus flujos en
conjunto, independientemente de las polticas y los puertos.
NOTA El switch admite reguladores aadidos y nicos solo cuando funciona en el modo
de capa 2.
471
25
Para definir un regulador aadido:

PASO 1 Haga clic en Calidad de servicio > Modo avanzado de QoS > Regulador
aadido. Se muestra la pgina Regulador aadido.

En esta pgina aparecen los reguladores aadidos existentes.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir regulador aadido.
Nombre del regulador aadido: ingrese el nombre del regulador aadido.
Ingrese la velocidad de informacin comprometida (CIR): ingrese el ancho

de banda mximo permitido en bits por segundo. Consulte la descripcin en
la pgina Ancho de banda.
Ingrese el tamao de rfaga comprometida (CBS): ingrese el tamao

mximo de rfaga (incluso si supera la CIR) en bytes. Consulte la descripcin
en la pgina Ancho de banda.
Accin excedente: seleccione la accin que se realizar en los paquetes

entrantes que superen la CIR. Los valores posibles son:
-
Reenviar: se reenvan los paquetes que superan el valor de CIR definido.
Descartar: se descartan los paquetes que superan el valor de CIR

definido.
DSCP fuera de perfil: los valores DSCP de los paquetes que superan el
valor de CIR definido se reasignan a un valor basado en la tabla de
asignacin de DSCP fuera de perfil.
Configuracin de una poltica

En la pgina Tabla de polticas se muestra la lista de polticas avanzadas de QoS
definidas en el sistema. Aqu tambin se pueden crear y eliminar polticas. Solo
estn activas aquellas polticas asociadas a una interfaz (consulte la pgina
Vinculacin con las polticas).
472
25
Cada poltica consta de:
Una o ms asignaciones de clasificacin de ACL que definen los flujos de

trfico en la poltica.
Uno o ms aadidos que aplican la QoS a los flujos de trfico en la poltica.
Despus de aadir una poltica, se puede aadir asignaciones de clasificacin

mediante la pgina Tabla de polticas.
Para aadir una poltica de QoS:
PASO 1 Haga clic en Calidad de servicio > Modo avanzado de QoS > Tabla de polticas.
Se muestra la pgina Tabla de polticas.

En esta pgina se muestra la lista de polticas definidas.
PASO 2 Haga clic en Tabla de asignacin de clasificacin de polticas para visualizar la
pgina Asignaciones de clasificacin de polticas.

O bien
haga clic en Aadir para abrir la pgina Aadir tabla de poltica.
PASO 3 Ingrese el nombre de la poltica nueva en el campo Nombre de la poltica nueva.
PASO 4 Haga clic en Aplicar. Se aade el perfil de poltica de QoS y se actualiza el archivo
Mapas de clasif. de polticas

Se puede aadir una o ms asignacin de clasificacin a una poltica. Una
asignacin de clasificacin define el tipo de paquetes que se consideran
pertenecientes al mismo flujo de trfico.
NOTA No se puede configurar un regulador a una asignacin de clasificacin cuando el
switch funciona en el modo de capa 3. El switch admite reguladores solo en el

modo de capa 2.
473
25
Para aadir una asignacin de clasificacin a una poltica:

PASO 1 Haga clic en Calidad de servicio > Modo avanzado de QoS > Asignacin de
clasificacin de polticas. Se muestra la pgina Asignacin de clasificacin de

polticas.
PASO 2 Seleccione una poltica en Filtro, y haga clic en Ir. Aparecen todas las asignaciones
de clasificacin en esa poltica.

PASO 3 Para aadir una nueva asignacin de clasificacin, haga clic en Aadir. Se muestra
la pgina Aadir asignacin de clasificacin de polticas.

Nombre de la poltica: se muestra la poltica a la que se aade la asignacin

de clasificacin.
Nombre de la asignacin de clasificacin: seleccione una asignacin de

clasificacin existente para asociarla con la poltica. Las asignaciones de
clasificacin se crean en la pgina Asignacin de clasificacin.
Tipo de accin: seleccione la accin sobre el valor CoS/802.1p o DSCP de

ingreso de todos los paquetes coincidentes.
-
Usar modo de confianza predeterminado: ignore el valor CoS/802.1p o

DSCP de ingreso. Los paquetes coincidentes se envan como el mejor
esfuerzo.
Confiar siempre: si se selecciona esta opcin, el switch confiar en el

valor CoS/802.1p y DSCP del paquete coincidente. Si un paquete es un
paquete IP, el switch lo coloca en la fila de espera de egreso segn su
valor DSCP y la tabla de DSCP a la fila de espera. En caso contrario, la fila
de espera de egreso del paquete se basa en el valor CoS/802.1p y la
tabla de CoS/802.1p a la fila de espera del paquete.
Establecer : si se selecciona esta opcin, utilice el valor ingresado en el

cuadro Nuevo valor para determinar la fila de espera de egreso de los
paquetes coincidentes de la siguiente manera:
Si el nuevo valor (0..7) es una prioridad de CoS/802.1p, utilice el valor de
prioridad y la tabla de CoS/802.1p a la fila de espera para determinar la
fila de espera de egreso de todos los paquetes coincidentes.
Si el nuevo valor (0..63) es un DSCP, utilice el nuevo DSCP y la tabla de
DSCP a la fila de espera para determinar la fila de espera de egreso de
los paquetes IP coincidentes.
474
25
En caso contrario, use el nuevo valor (1..4) como el nmero de fila de

espera de egreso para todos los paquetes coincidentes.
Tipo de poltica: disponible solo en modo de capa 2 del sistema. Seleccione

el tipo de regulador para la poltica. Las opciones son:
-
Ninguna: no se utiliza ninguna poltica.
nico: el regulador para la poltica es un regulador nico.
Aadido: el regulador para la poltica es un regulador aadido.
Regulador aadido: disponible solo en modo de capa 2 del sistema. Si el

Tipo de poltica es Aadido, seleccione un regulador aadido definido
previamente (en la pgina Regulador aadido).
Si el Tipo de poltica es nica, ingrese los siguientes parmetros de QoS:
Ingrese velocidad de informacin comprometida (CIR): ingrese la CIR en

Kbps. Consulte la descripcin en la pgina Ancho de banda.
Ingrese tamao de rfaga comprometida (CBS): ingrese el CBS en bytes.

Consulte la descripcin en la pgina Ancho de banda.
Accin excedente: seleccione la accin asignada a los paquetes entrantes

que superan la CIR. Las opciones son:
-
Ninguna: sin accin.
Descartar: se descartan los paquetes que superan el valor de CIR

definido.
DSCP fuera de perfil: los paquetes IP que superan la CIR definida se

reenvan con un nuevo valor DSCP derivado de la tabla de asignacin de
DSCP fuera de perfil.
Vinculacin con las polticas

En la pgina Vinculacin con las polticas se muestra qu perfil de poltica est
vinculado y a qu puerto. Cuando un perfil de poltica est vinculado a un puerto
especfico, este est activo en ese puerto. Solo se puede configurar un perfil de
poltica en un puerto, pero una sola poltica puede vincularse a ms de un puerto.
475
25
Cuando una poltica est vinculada a un puerto, filtra el trfico de ingreso que
pertenece a los flujos definidos en la poltica y le aplica QoS. La poltica no se
aplica al egreso de trfico al mismo puerto.
Para editar una poltica, primero se la debe quitar (desvincular) de todos los
puertos a los que est vinculada.
NOTA Se puede vincular un puerto con una poltica o con una ACL, pero no con ambos
elementos.
Para definir la vinculacin de las polticas:
PASO 1 Haga clic en Calidad de servicio > Modo avanzado de QoS > Vinculacin de
poltica. Se muestra la pgina Vinculacin de polticas.

PASO 2 Seleccione un Nombre de poltica y Tipo de interfaz, si corresponde.
PASO 3 Haga clic en Ir. Se selecciona una poltica.
PASO 4 Seleccione lo siguiente para la poltica o interfaz:
Vinculacin: seleccione para vincular la poltica a la interfaz.
Permitir cualquiera: seleccione esta opcin para reenviar paquetes de la

interfaz si no coinciden con ninguna poltica.
NOTA La opcin Permitir cualquiera se puede definir nicamente si la
Proteccin de la IP de origen no est activada en la interfaz.

PASO 5 Haga clic en Aplicar. Se define la vinculacin con las polticas de QoS y se

Desde estas pginas, se pueden administrar las opciones Regulador nico,
Regulador aadido y ver las estadsticas de la fila de espera.
Estadsticas de regulador
Un regulador nico se vincula a una asignacin de clasificacin de una sola
poltica. Un regulador aadido se vincula a uno o ms asignaciones de
clasificacin de una o ms polticas.
476
25
Visualizacin de estadsticas de regulador nico

En la pgina Estadsticas de regulador nico se indica el nmero de paquetes
dentro del perfil y fuera del perfil que se reciben de una interfaz y que renen las
condiciones definidas en la asignacin de clasificacin de una poltica.
NOTA Esta pgina no se muestra cuando el switch est en el modo de capa 3.
Para ver las estadsticas del regulador:

PASO 1 Haga clic en Calidad de servicio > Estadsticas de QoS > Estadsticas de
regulador nico. Se muestra la pgina Estadsticas de regulador nico.

Interfaz: se muestran las estadsticas para esta interfaz.
Poltica: se muestran las estadsticas para esta poltica.
Asignacin de clasificacin: se muestran las estadsticas para esta

Bytes dentro del perfil: nmero de bytes dentro del perfil recibidos.
Bytes fuera del perfil: nmero de bytes fuera del perfil recibidos.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir estadsticas de regulador nico.
Interfaz: seleccione la interfaz para la que se acumulan las estadsticas.
Nombre de la poltica: seleccione el nombre de la poltica.
Nombre de la clasif. de poltica: seleccione el nombre de la clasificacin.
PASO 4 Haga clic en Aplicar. Se crea una solicitud adicional de estadsticas y se actualiza
477
25
Visualizacin de estadsticas de regulador agregado

Para ver las estadsticas del regulador aadido:
PASO 1 Haga clic en Calidad de servicio > Estadsticas de QoS > Estadsticas de
regulador aadido. Se muestra la pgina Agregar regulador aadido.

Nombre del regulador aadido: regulador sobre el que se basan las

estadsticas.
Bytes dentro del perfil : nmero de paquetes dentro del perfil que se
recibieron.
Bytes fuera del perfil: nmero de paquetes fuera del perfil que se
recibieron.
PASO 2 Haga clic en Aadir y ver la pgina Aadir estadsticas de regulador aadido.
PASO 3 En Nombre del regulador aadido, seleccione uno de los reguladores aadidos
creados previamente para el que desea ver las estadsticas.

PASO 4 Haga clic en Aplicar. Se crea una solicitud adicional de estadsticas y se actualiza
Visualizacin de estadsticas de colas

En la pgina Estadsticas de filas de espera se muestran las estadsticas de fila
de espera, que incluyen aquellas de paquetes reenviados y descartados, segn la
interfaz, la fila de espera y la prioridad de eliminacin.
NOTA Las estadsticas de QoS se muestran solo cuando el switch est en el modo
avanzado de QoS. Este cambio se realiza en General > Propiedades de QoS.

Para ver las estadsticas de filas de espera:
PASO 1 Haga clic en Calidad de servicio > Estadsticas de QoS > Estadsticas de filas
de espera. Se muestra la pgina Estadstica de filas de espera.

Vel. de actualizacin: seleccione el perodo de tiempo que transcurre antes

de que se actualicen las estadsticas de Ethernet de la interfaz. Las opciones
disponibles son:
478
Sin actualizacin: las estadsticas no se actualizan.
25
Contador configurado: las opciones son:

-
Conjunto 1: se muestran las estadsticas para el conjunto 1 que contiene

todas las interfaces y filas de espera con una prioridad de eliminacin
(DP) alta.

todas las interfaces y filas de espera con una DP baja.
Interfaz: se muestran las estadsticas de fila de espera para esta interfaz.
Fila de espera: los paquetes se reenviaron o se descartaron de esta fila de

espera.
Prioridad de eliminacin: la prioridad de eliminacin ms baja tiene la

menor probabilidad de descarte.
Paquetes totales: nmero de paquetes reenviados o descartados en fila de

espera.
Paquetes de eliminacin de fila de espera: porcentaje de paquetes que se

descartaron al llegar a la fila de espera.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir estadstica de filas de espera.
Contador configurado: seleccione el contador configurado:

-

todas las interfaces y filas de espera con una prioridad de eliminacin
(DP) alta.

todas las interfaces y filas de espera con una DP baja.
Interfaz: seleccione los puertos para los que se muestran las estadsticas.
Las opciones son:
-
N. de unidad: selecciona el nmero de unidad.
479
25
Puerto: se selecciona el puerto en el nmero de unidad seleccionado

para el que se muestran las estadsticas.
Todos los puertos: se especifica que las estadsticas se muestran para

todos los puertos.
Fila de espera: seleccione la fila de espera para la que se muestran las

estadsticas.
Prioridad de eliminacin: ingrese la prioridad de eliminacin que indica la

probabilidad de descarte.
PASO 4 Haga clic en Aplicar. Se aade el contador de estadsticas de filas de espera y se
480
26
Configuracin de SNMP
En esta seccin se describe la funcin Protocolo de administracin de red simple

(SNMP, Simple Network Management Protocol) que proporciona un mtodo para
administrar dispositivos de red.
ID de motor de SNMP

El switch funciona como agente SNMP y admite SNMPv1, v2 y v3. Tambin informa
al sistema los eventos para retener receptores mediante las trampas recibidas en
las bases de informacin de administracin (MIB, Management Information Base)
compatibles.
481
26
SNMPv1 y v2
Para controlar el acceso al sistema, se define una lista de entradas a la comunidad.
Cada entrada a la comunidad consta de una cadena de comunidad y su privilegio
de acceso. El sistema solo responde a los mensajes SNMP que especifiquen la
comunidad con los permisos correctos y la operacin apropiada.
Los agentes SNMP mantienen una lista de variables que se usan para administrar
el switch. Las variables se definen en la Base de datos de informacin de
administracin (MIB, Management Information Base).
NOTA Debido a las vulnerabilidades de seguridad de las otras versiones, se recomienda
usar SNMPv3.
SNMPv3
Adems de la funcionalidad que proporciona SNMP v1 y v2, SNMP v3 aplica el
control de acceso y nuevos mecanismos de trampa a las PDU de SNMPv1 y
SNMPv2. SNMPv3 tambin define un Modelo de seguridad de usuario (USM, User
Security Model) que incluye:
Autenticacin: proporciona integridad de datos y autenticacin de origen

de datos.
Privacidad: protege contra la divulgacin del contenido del mensaje. El

modo Cipher Block-Chaining (CBC-DES) se usa para el cifrado. En un
mensaje SNMP se habilita la autenticacin sola, o bien, se habilita la
autenticacin y la privacidad. Sin embargo, la privacidad no se puede
habilitar sin autenticacin.
Vigencia: protege contra el retraso de los mensajes o los ataques de

reproduccin. El agente SNMP compara la marca de tiempo del mensaje
entrante con la hora de llegada del mensaje.
Administracin de claves: define la generacin de claves, la actualizacin

de claves y el uso de claves. El switch admite filtros de notificaciones SNMP
segn los ID de objeto (OID, Object ID). El sistema usa los OID para
administrar las funciones de los dispositivos.
482
26
Flujo de trabajo de SNMP

NOTA Por razones de seguridad, SNMP est deshabilitado de forma
predeterminada. Antes de administrar el switch mediante SNMP, debe

activar SNMP en la pgina Seguridad > Servicios TCP/UDP.
A continuacin, se describen las series de acciones recomendadas para
configurar el SNMP:
Si decide usar SNMP v1 o v2:

PASO 1 Dirjase hasta la pgina SNMP -> Comunidades y haga clic en Aadir. La
comunidad puede asociarse con derechos de acceso y una vista en el modo

Bsico o con un grupo en el modo Avanzado. Existen dos formas de definir los
derechos de acceso a una comunidad:
Modo bsico: los derechos de acceso de una comunidad pueden

configurarse como Solo lectura, Lectura-escritura o Admin. de SNMP
Adems, puede restringir el acceso a la comunidad solo para ciertos objetos
MIB seleccionando una vista (definida en la pgina Vistas).
Modo avanzado: los derechos de acceso a una comunidad se definen por un

grupo (definido en la pgina Grupos). Usted puede configurar el grupo con
un modelo de seguridad especfico. Los derechos de acceso de un grupo
son Lectura, Escritura y Notificacin.
PASO 2 Seleccione si desea restringir la estacin de administracin SNMP a una direccin
o permitir la administracin SNMP desde todas las direcciones. Se elige restringir

la administracin SNMP a una direccin, entonces ingrese la direccin de su PC
de administracin SNMP en el campo Direccin IP.
PASO 3 Ingrese la cadena de comunidad nica en el campo Cadena de comunidad.
PASO 4 Como otra opcin, habilite las trampas mediante la pgina Configuracin de
trampa.
PASO 5 Si desea, defina filtros de notificaciones mediante la pgina Filtro de
notificaciones.
PASO 6 Configure los receptores de notificaciones en la pgina Receptores de una
notificacin SNMPv1,2.
483
26
Si decide usar SNMPv3:

PASO 1 Defina el motor SNMP mediante la pgina ID de motor. Cree un ID de motor nico o
use el ID de motor predeterminado. Al aplicar el ID de motor, la configuracin se

borrar de la base de datos SNMP.
PASO 2 Como otra opcin, defina vistas de SNMP mediante la pgina Vistas. De esta
manera, se limitar el rango de OID disponibles para una comunidad o un grupo.

PASO 3 Defina los grupos mediante la pgina Grupos.
PASO 4 Defina usuarios mediante la pgina Usuarios SNMP, donde se pueden asociar con
un grupo. Si el ID de motor de SNMP no est definido, los usuarios no podrn

crearse.
PASO 5 Como otra opcin, habilite o deshabilite las trampas mediante la pgina
Configuracin de trampa.
PASO 6 Como otra opcin, defina filtros de notificaciones mediante la pgina Filtro de
notificaciones.
PASO 7 Defina receptores de notificaciones mediante la pgina Receptores de una
notificacin SNMPv3.
MIB compatibles
Para obtener una lista de los MIB compatibles, visite la siguiente URL y navegue al
rea de descarga que figura como Cisco MIBS:
www.cisco.com/cisco/software/navigator.html
A continuacin se muestran las ID de objeto (OID) de modelos de switch:
Nombre de
modelo
Descripcin
ID de objeto
SF500-24
Switch administrable y apilable 10/100 de

24 puertos
9.6.1.80.24.1
484
26
Nombre de
modelo
Descripcin
ID de objeto
SF500-24P
Switch administrable y apilable PoE 10/100

de 24 puertos
9.6.1.80.24.2
SF500-48
Switch administrable y apilable 10/100 de

48 puertos
9.6.1.80.48.1
SF500-48P
Switch administrable y apilable PoE 10/100

de 48 puertos
9.6.1.80.48.2
SG500-28
Switch Gigabit administrable y apilable de

28 puertos
9.6.1.81.28.1
SG500-28P
Switch Gigabit administrable y apilable PoE

de 28 puertos
9.6.1.81.28.2
SG500-52
Switch Gigabit administrable y apilable de

52 puertos
9.6.1.81.52.1
SG500-52P
Switch Gigabit administrable y apilable PoE

de 52 puertos
9.6.1.81.52.2
SG500X-24

administrable y apilable de 4 puertos
Gigabit 10
9.6.1.85.24.1
SG500X 24P

administrable y apilable PoE de 4 puertos
Gigabit 10
9.6.1.85.24.2
SG500X-48

administrable y apilable de 4 puertos
Gigabit 10
9.6.1.85.48.1
SG500X-48P

administrable y apilable PoE de 4 puertos
Gigabit 10
9.6.1.85.48.2
Los ID de objeto privados se colocan debajo de:

enterprises(1).cisco(9).otherEnterprises(6).ciscosb(1).switch001(101).
485
26
ID de motor de SNMP
Las entidades SNMPv3 usan el ID de motor para identificarlos de manera
exclusiva. Un agente SNMP se considera un motor SNMP autorizado. Esto significa
que el agente responde los mensajes entrantes (Get, GetNext, GetBulk, Set) y
enva mensajes trampa a un administrador. La informacin local del agente se
encapsula en campos del mensaje.
Cada agente SNMP mantiene la informacin local que se usa en los intercambios
de mensajes SNMPv3. El ID de motor SNMP predeterminado est compuesto por
el nmero de empresa y la direccin MAC predeterminada. Este ID de motor
SNMP debe ser nico para el dominio administrativo, de manera que no haya dos
dispositivos en una red que tengan el mismo ID de motor.
La informacin local se almacena en cuatro variables MIB de solo lectura
(snmpEngineId, snmpEngineBoots, snmpEngineTime y
snmpEngineMaxMessageSize).
PRECAUCIN Cuando se cambia la ID de motor, se borran todos los usuarios y grupos
configurados.
Para definir la ID de motor SNMP:
PASO 1 Haga clic en SNMP > ID de motor. Se muestra la pgina ID de motor.
PASO 2 Seleccione cul usar para ID de motor local.
Usar predeterminado: seleccione esta opcin para usar un ID de motor

generado por el dispositivo. El ID de motor predeterminado se basa en la
direccin MAC del switch, y se define por norma de la siguiente manera:
-
Primeros 4 octetos: primer bit = 1, el resto es el nmero de empresa

IANA.
Quinto octeto: configurado en 3 para indicar la direccin MAC que sigue.
ltimos 6 octetos: la direccin MAC del switch.
Ninguna: no se usa ningn ID de motor.
Definido por el usuario: ingrese el ID de motor del dispositivo local. El valor

del campo es una cadena hexadecimal (rango: 10 - 64). Cada byte de las
cadenas de caracteres hexadecimales est representado por dos dgitos
hexadecimales.
486
26
Todos los ID de motor remoto y las direcciones IP correspondientes se muestran

en la tabla ID de motor remoto.
La tabla de ID de motor remoto muestra las asignaciones entre las direcciones IP

del motor y el ID del motor. Para aadir la direccin IP de un ID de motor:
PASO 4 Haga clic en Aadir. Ingrese los siguientes campos:
Definicin del servidor: seleccione si el servidor de ID de motor se

especificar por direccin IP o nombre.
Versin de IP: seleccione el formato IP admitido.
Las opciones son:
-



Nombre/direccin IP del servidor: ingrese la direccin IP o el nombre de

dominio del servidor de registro.
ID de motor: ingrese el ID de motor.
487
26

Una vista es una etiqueta definida por el usuario para una coleccin de subrboles
de MIB. Cada ID de subrbol se define mediante el ID de objeto (OID) de la raz de
los subrboles relevantes. Se puede usar cualquiera de los nombres conocidos
para especificar la raz del subrbol que desea o se puede ingresar un ID de
objeto (consulte la seccin ID de objeto de modelos).
Cada subrbol se incluye en la vista que se est definiendo o se excluye de esta.
En la pgina Vistas se puede crear y editar vistas SNMP. Las vistas
predeterminadas (Default, DefaultSuper) no se pueden cambiar.
Las vistas se pueden conectar a grupos en la pgina Grupos o a una comunidad
que emplea el modo de acceso bsico mediante la pgina Comunidades.
Para definir vistas SNMP:
PASO 1 Haga clic en SNMP > Vistas. Se muestra la pgina Vistas.
PASO 2 Haga clic en Aadir para definir vistas nuevas. Se muestra la pgina Aadir vistas.
Ver nombre: ingrese un nombre de vista de 0 a 30 caracteres.
Subrbol de ID de objeto: seleccione el nodo en el rbol de MIB que se

incluye en la vista SNMP seleccionada o que se excluye de esta. Las
opciones para seleccionar el objeto son las siguientes:
-
Seleccionar de la lista: le permite navegar el rbol de MIB. Presione la

flecha Up (Arriba) para ir al nivel del nodo padre y nodo hermanos del
nodo seleccionado; presione la flecha Down (abajo) para bajar al nivel de
los descendientes del nodo seleccionado. Haga clic en los nodos de la
vista para pasar de un nodo a su hermano. Use la barra de
desplazamiento para poder ver los nodos hermanos.
Definido por el usuario: ingrese un OID que no se ofrezca en la opcin

Seleccionar de la lista.
PASO 4 Seleccione o cancele la seleccin Incluir en la vista. Si se selecciona, las MIB
seleccionadas se incluirn en la vista; de lo contrario, no se incluirn.

488
26
PASO 6 Para verificar la configuracin de su vista, seleccione las vistas definidas por el
usuario de la lista Filtro: Ver nombre. De forma predeterminada, existen las

siguientes vistas:
Default: vista SNMP predeterminada para vistas de lectura y lectura/

escritura.
DefaultSuper: vista SNMP predeterminada para vistas de administrador.
Se pueden agregar otras vistas.
Subrbol de ID de objeto: muestra el subrbol para incluir o excluir de la

vista SNMP.
Vista de subrbol de ID de objeto: muestra si el subrbol definido se

incluye en la vista SNMP seleccionada o se excluye de esta.

En SNMPv1 y SNMPv2, se enva una cadena de la comunidad junto con las tramas
SNMP. La cadena de la comunidad acta como contrasea para obtener el acceso
a un agente SNMP. Sin embargo, ni las tramas ni la cadena de la comunidad estn
cifradas. Por lo tanto, SNMPv1 y SNMPv2 no son seguros.
En SNMPv3, pueden configurarse los siguientes mecanismos de seguridad.
Autenticacin: el switch verifica que el usuario SNMP sea un administrador

del sistema autorizado. Esto se hace para cada trama.
Privacidad: las tramas SNMP pueden transportar datos cifrados.
Por lo tanto, en SNMPv3, existen tres niveles de seguridad:
Sin seguridad (sin autenticacin ni privacidad)
Autenticacin (con autenticacin y sin privacidad)
Autenticacin y privacidad
SNMPv3 proporciona un medio para controlar el contenido que cada usuario

puede leer o escribir y las notificaciones que reciben. Un grupo define privilegios
de lectura / escritura y un nivel de seguridad. Cuando est asociado con una
comunidad o un usuario SNMP, comienza a funcionar.
489
26
NOTA Para asociar una vista no predeterminada a un grupo, primero cree la vista en la
pgina Vistas.
Para crear un grupo SNMP:
PASO 1 Haga clic en SNMP > Grupos. Se muestra la pgina Grupos.
Esta pgina muestra los grupos SNMP existentes y los niveles de seguridad
correspondientes.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir grupo.
Nombre de grupo: ingrese un nuevo nombre de grupo.
Modelo de seguridad: seleccione la versin de SNMP asociada al grupo,

SNMPv1, v2 o v3.
Se pueden definir tres tipos de vistas con diversos niveles de seguridad. Para
cada nivel de seguridad, seleccione las vistas para Lectura, Escritura y
Notificacin. Para ello, ingrese los siguientes campos:
Habilitar: seleccione este campo para habilitar el Nivel de seguridad.
Nivel de seguridad: defina el nivel de seguridad asociado al grupo. SNMPv1

y SNMPv2 no admite autenticacin ni privacidad. Si se selecciona SNMPv3,
elija una de las siguientes opciones:
Sin autenticacin y sin privacidad: no se asignan al grupo ni los niveles

de seguridad de privacidad ni de autenticacin.
Autenticacin sin privacidad: autentica mensajes SNMP y garantiza que

el origen de los mensajes SNMP se autentica, pero no los cifran.
Autenticacin y privacidad: autentica mensajes SNMP y los cifra.
Vista: asociar la vista con los privilegios de acceso de lectura, escritura y

notificaciones del grupo limita el alcance del rbol MIB al que el grupo tiene
acceso de lectura, escritura y notificaciones.
-
Vista: selecciona una vista definida previamente para Lectura, Escritura y

Notificacin.
Lectura: el acceso de administracin es de solo lectura para la vista

seleccionada. De lo contrario, un usuario o una comunidad asociada con
este grupo puede leer todas las MIB, salvo aquellas que controlan el
mismo SNMP.
490
26
Escritura: el acceso de administracin es de escritura para la vista

seleccionada. De lo contrario, un usuario o una comunidad asociada con
este grupo puede escribir todas las MIB, salvo aquellas que controlan el
mismo SNMP.
Notificaciones: limita el contenido disponible de trampas a los incluidos

en la vista seleccionada. De lo contrario, no hay restriccin en el
contenido de las trampas. Esta opcin solo se puede seleccionar para
SNMPv3.
PASO 4 Haga clic en Aplicar. El grupo SNMP se escribe en el archivo Configuracin en
ejecucin.

Un usuario SNMP se define por las credenciales de inicio de sesin (nombre de
usuario, contraseas y mtodo de autenticacin), y por el contexto y el alcance
donde opera por asociacin a un grupo y un ID de motor.
El usuario configurado tendr los atributos de su grupo, y los privilegios de acceso
se configuran en la vista asociada.
Los grupos permiten a los administradores de redes asignar derechos de acceso
a un grupo de usuarios en lugar de a un solo usuario.
Un usuario puede pertenecer a un solo grupo.
Para crear un usuario SNMPv3, primero debe existir lo siguiente:
Un ID de motor primero debe configurarse en el switch. Esto se realiza en la

pgina ID de motor.
Debe estar disponible un grupo SNMPv3. Un grupo SNMPv3 se define en la

pgina Grupos.
Para mostrar los usuarios SNMP y definir nuevos usuarios:

PASO 1 Haga clic en SNMP > Usuarios. Se muestra la pgina Usuarios.
En esta pgina se muestran los usuarios existentes.

PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir usuario.
491
26
En esta pgina se proporciona informacin a los usuarios SNMP para asignar

privilegios de control de acceso a SNMP.
Nombre de usuario: ingrese un nombre para el usuario.
ID de motor: seleccione la entidad de SNMP local o remota a la que el

usuario est conectado. Al cambiar o eliminar el ID de motor SNMP local se
elimina la base de datos del usuario SNMPv3. Para recibir informes y
solicitar informacin, debe definir un usuario local y un usuario remoto.
-
Local: el usuario est conectado al switch local.
Direccin IP remoto: el usuario est conectado a una entidad SNMP

diferente adems del switch local. Si se define el ID de motor remoto, los
dispositivos remotos reciben mensajes de informe, pero no pueden
solicitar informacin.
Ingrese el ID de motor remoto.
Nombre de grupo: seleccione el grupo SNMP al que pertenece el usuario

SNMP. Los grupos SNMP se definen en la pgina Aadir grupo.
NOTA Los usuarios, que pertenecen a grupos que se han eliminado,
permanecen, pero estn inactivos.
Mtodo de autenticacin: seleccione un mtodo de autenticacin que vare

segn el nombre de grupo asignado. Si el grupo no requiere autenticacin,
entonces el usuario no puede configurar ninguna autenticacin. Las
opciones son:
-
Ninguna: no se usa ninguna autenticacin de usuario.
Contrasea MD5: contrasea que se utiliza para generar una clave

mediante el mtodo de autenticacin MD5.
Contrasea SHA: contrasea que se utiliza para generar una clave

mediante el Algoritmo de hash seguro (SHA, Secure Hash Algorithm).
Contrasea de autenticacin: si se logra la autenticacin mediante una

contrasea de MD5 o SHA, ingrese la contrasea de usuario local Cifrada o
en Texto simple. Las contraseas de usuario local se comparan con las de la
base de datos local y pueden contener hasta 32 caracteres ASCII.
Mtodo de privacidad: seleccione una de las siguientes opciones:

-
Ninguna: la clave de privacidad no est cifrada.
492
26
DES: la clave de privacidad est cifrada segn el Estndar de cifrado de

datos (DES, Data Encryption Standard).
Contrasea de privacidad: si se opt por el mtodo de privacidad DES, se

requieren 16 bytes (clave de cifrado DES). Este campo debe tener
exactamente 32 caracteres hexadecimales. Se puede seleccionar el modo
Cifrado o Texto simple.
PASO 4 Haga clic en Aplicar para guardar las configuraciones.

Los derechos de acceso en SNMPv1 y SNMPv2 se administran al definir
comunidades en la pgina Comunidades. El nombre de comunidad es un tipo de
contrasea compartida entre la estacin de administracin de SNMP y el
dispositivo. Este nombre se usa para autenticar la estacin de administracin de
SNMP.
Las comunidades solo se definen en SNMPv1 y v2 porque SNMPv3 trabaja con
usuarios, en lugar de comunidades. Los usuarios pertenecen a grupos que tienen
derechos de acceso asignados.
La pgina Comunidades asocia comunidades con derechos de acceso, ya sea
directamente (Modo bsico) o a travs de grupos (Modo avanzado):
Modo bsico: los derechos de acceso de una comunidad pueden

configurarse como Solo lectura, Lectura-escritura o Admin. de SNMP.
Adems, puede restringir el acceso a la comunidad solo para ciertos objetos
MIB seleccionando una vista (definida en la pgina Vistas SNMP).
Modo avanzado: los derechos de acceso a una comunidad se definen por un

grupo (definido en la pgina Grupos). Usted puede configurar el grupo con
un modelo de seguridad especfico. Los derechos de acceso de un grupo
son Lectura, Escritura y Notificacin.
Para definir comunidades SNMP:

PASO 1 Haga clic en SNMP > Comunidades. Se muestra la pgina Comunidades.
En esta pgina se muestra una tabla de comunidades SNMP configuradas y sus

propiedades.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir comunidad SNMP.
493
26
Esta pgina permite a los administradores de red definir y configurar nuevas

comunidades SNMP.
PASO 3 Estacin de administracin de SNMP: haga clic en Definido por el usuario para
ingresar la direccin IP de la estacin de administracin que puede acceder a la

comunidad SNMP. Haga clic en Todos para indicar que cualquier dispositivo
puede acceder a la comunidad SNMP.
Versin de IP: seleccione IPv4 o IPv6.
Tipo de direccin IPv6: seleccione el tipo de direccin IPv6, si se usa IPv6.

Las opciones son:
-



seleccione si se recibe a travs de VLAN o ISATAP.
Direccin IP: ingrese la direccin IP de la estacin de administracin SNMP.
Cadena de comunidad: ingrese el nombre de la comunidad que se usa para

autenticar la estacin de administracin al dispositivo.
Bsico: seleccione este modo para una comunidad seleccionada. En este

modo, no hay conexin con ningn grupo. Solo se puede elegir el nivel de
acceso de la comunidad (Solo lectura, Lectura-escritura o Admin. de SNMP)
y, como otra opcin, puede calificarlo para una vista especfica. De forma
predeterminada, se aplica a toda la MIB. Si est seleccionado, complete los
siguientes campos:
-
Modo de acceso: seleccione los derechos de acceso de la comunidad.

Las opciones son:
Solo lectura: el acceso de administracin est restringido a solo lectura.
No se puede hacer cambios a la comunidad.
Lectura-escritura: el acceso de administracin es de escritura y lectura.
Se puede hacer cambios a la configuracin del dispositivo, pero no a la
comunidad.
494
26
Admin. de SNMP: el usuario tiene acceso a todas las opciones de

configuracin del dispositivo, como as tambin a permisos para
modificar la comunidad. Admin. de SNMP es equivalente a lecturaescritura para todas las MIB, excepto para las MIB del SNMP. Se requiere
Admin. de SNMP para acceder a las MIB del SNMP.
Ver nombre: seleccione una vista SNMP (una coleccin de subrboles

de MIB a la que se le ha otorgado acceso).
Avanzado: seleccione este modo para una comunidad seleccionada.

-
Nombre del grupo: seleccione un grupo SNMP que determine los

derechos de acceso.
PASO 4 Haga clic en Aplicar. Se define la comunidad de SNMP y se actualiza el archivo

En la pgina Configuracin de trampa se puede configurar si las notificaciones
SNMP se envan desde el switch y en qu casos. Los receptores de notificaciones
SNMP se pueden configurar en la pgina Receptores de una notificacin
SNMPv1,2 o en la pgina Receptores de una notificacin SNMPv3.
Para definir la configuracin de trampa:
PASO 1 Haga clic en SNMP > Configuracin de trampa. Se muestra la pgina
Configuracin de trampas.
PASO 2 Seleccione Habilitar para las Notificaciones SNMP para especificar que el
switch puede enviar notificaciones SNMP.

PASO 3 Seleccione Habilitar para Notificaciones de autenticacin para habilitar la
notificacin de falla de autenticacin de SNMP.

PASO 4 Haga clic en Aplicar. La configuracin Trampas SNMP se escribe en el archivo
495
26

Los mensajes trampa se generan para notificar los eventos del sistema, segn se
define en RFC 1215. El sistema puede generar trampas definidas en la MIB que
admite.
Los receptores de trampas (tambin conocidos como receptores de
notificaciones) son nodos de red a donde el switch enva los mensajes trampa. Se
define una lista de receptores como destinos de mensajes trampa.
Una entrada de receptor de trampa contiene la direccin IP del nodo y las
credenciales SNMP correspondientes a la versin que se incluye en el mensaje
de trampa. Cuando surge un evento que requiere que se enve un mensaje trampa,
ste se enva a cada nodo que se incluye en la Tabla de destinatarios de
notificaciones.
En la pgina Receptores de una notificacin SNMPv1,2 y en la pgina Receptores
de una notificacin SNMPv3 se puede configurar el destino al que se envan las
notificaciones SNMP, y los tipos de notificaciones SNMP que se envan a cada
destino (trampas o informes). Las ventanas emergentes Aadir/editar permiten
configurar los atributos de las notificaciones.
Una notificacin SNMP es un mensaje que se enva desde el switch hacia la
estacin de administracin SNMP, donde se indica que se ha producido cierto
evento, como por ejemplo, una activacin/desactivacin de enlace.
Tambin es posible filtrar ciertas notificaciones. Para ello, se debe crear un filtro
en la pgina Filtro de notificaciones y asociarlo a un receptor de una notificacin
SNMP. El filtro de notificaciones le permite habilitar el tipo de notificaciones SNMP
que se envan a la estacin de administracin segn la OID de la notificacin que
se va a enviar.
Definicin de receptores de notificaciones SNMPv1,2

Para definir un receptor en SNMPv1,2:
PASO 1 Haga clic en SNMP > Receptores de una notificacin SNMPv1,2. Se muestra la
pgina Receptores de una notificacin SNMPv1,2.

En esta pgina se muestran los receptores de SNMPv1,2.
PASO 2 Haga clic en Aadir. Se muestra la pgina Aadir receptores de una notificacin
SNMP.
496
26
Tipo de direccin IPv6: seleccione Enlace local o Global.

-



seleccione si se recibe a travs de VLAN o ISATAP.
Direccin IP del receptor: ingrese la direccin IP de donde se envan las

trampas.
Puerto UDP: ingrese el puerto UDP que se usa para notificaciones en el

dispositivo receptor.
Tipo de notificacin: seleccione si se deben enviar mensajes trampa o de

informe. Si se necesitan los dos, deben crearse dos receptores.
Tiempo de espera: ingrese la cantidad de segundos que el dispositivo

espera antes de volver a enviar las notificaciones de informacin.
Reintentos: ingrese la cantidad de veces que el dispositivo vuelve a enviar

un pedido de informe.
Cadena de comunidad: seleccione de la lista desplegable, la cadena de

comunidad del administrador de trampas. Los nombres de las cadenas de
comunidad se generan de los que estn enumerados en la pgina
Comunidad.
Versin de notificacin: seleccione la versin del SNMP de trampas.

Se puede usar SNMPv1 o SNMPv2 como versin de trampas, con solo
una versin habilitada por vez.
Filtro de notificaciones: seleccione esta opcin para habilitar el filtrado del

tipo de notificaciones SNMP que se envan a la estacin de administracin.
Los filtros se crean en la pgina Filtro de notificaciones.
Nombre del filtro: seleccione el filtro SNMP que define la informacin que
contienen las trampas (definicin en la pgina Filtro de notificaciones).
497
26
PASO 4 Haga clic en Aplicar. La configuracin Recepcin de notificaciones SNMP se
escriben en el archivo Configuracin en ejecucin.
Definicin de destinatarios de notificaciones de SNMPv3

Para definir un receptor en SNMPv3:
PASO 1 Haga clic en SNMP > Receptores de una notificacin SNMPv3. Se muestra la
pgina Receptores de notificaciones SNMPv3.

En esta pgina se muestran los receptores de SNMPv3.
PASO 2 Haga clic en Agregar. Se muestra la pgina Aadir receptores de una notificacin
SNMP.
Las opciones son:
-



selecciona Enlace local como Tipo de direccin IPv6) en la lista desplegable.
Direccin IP del receptor: ingrese la direccin IP de donde se envan las

trampas.
Puerto UDP: ingrese el puerto UDP que se usa para notificaciones en el

dispositivo receptor.
Tipo de notificacin: seleccione si se deben enviar mensajes trampa o de

informe. Si se necesitan los dos, deben crearse dos receptores.
498
26
Tiempo de espera: ingrese la cantidad de tiempo (segundos) que el

dispositivo espera antes de volver a enviar las notificaciones de
informacin/trampas. Tiempo de espera: Tiempo de espera: Rango 1-300,
predeterminado 15.
Reintentos: ingrese la cantidad de veces que el dispositivo vuelve a enviar

un pedido de informe. Reintentos: Rango 1-255, predeterminado 3.
Nombre de usuario: seleccione, de la lista desplegable, el usuario a donde

se envan las notificaciones SNMP. Para recibir notificaciones, este usuario
debe estar definido en la pgina Usuario SNMP y su ID de motor debe ser
remoto.
Nivel de seguridad: seleccione cunta autenticacin se aplica al paquete.

NOTA El nivel de seguridad de aqu depende del nombre de usuario
seleccionado. Si el nombre de usuario se configur como Sin

autenticacin, el nivel de seguridad ser Sin autenticacin nicamente.
Sin embargo, si se ha asignado Autenticacin y Privacidad a este nombre
de usuario en la pgina Usuario, el nivel de seguridad en esta pantalla
puede ser Sin autenticacin, Solo autenticacin o Autenticacin y
Privacidad.
Las opciones son:
-
Sin autenticacin: indica que el paquete no est autenticado ni cifrado.
Autenticacin: indica que el paquete est autenticado, pero no cifrado.
Privacidad: indica que el paquete est autenticado y cifrado.
Filtro de notificaciones: seleccione esta opcin para habilitar el filtrado del

tipo de notificaciones SNMP que se envan a la estacin de administracin.
Los filtros se crean en la pgina Filtro de notificaciones.
Nombre del filtro: seleccione el filtro SNMP que define la informacin que
contienen las trampas (definicin en la pgina Filtro de notificaciones).
PASO 4 Haga clic en Aplicar. La configuracin Recepcin de notificaciones SNMP se
escriben en el archivo Configuracin en ejecucin.
499
26

En la pgina Filtro de notificaciones es posible configurar los filtros de
notificaciones SNMP e ID de objetos (OID) que estn marcados. Despus de crear
un filtro de notificaciones, es posible asociarlo a un receptor de notificaciones en
la pgina Receptores de una notificacin SNMPv1,2 y en la pgina Receptores
de una notificacin SNMPv3.
El filtro de notificaciones le permite habilitar el tipo de notificaciones SNMP que se
envan a la estacin de administracin segn la OID de la notificacin a enviarse.
Para definir un filtro de notificaciones:
PASO 1 Haga clic en SNMP > Filtro de notificaciones. Se muestra la pgina Filtro de
notificaciones.
La pgina Filtro de notificaciones incluye informacin sobre las notificaciones para
cada filtro. La tabla puede filtrar entradas de notificaciones por Nombre de filtro.
PASO 2 Haga clic en Aadir. Se abre la pgina Aadir filtro de notificaciones .
Nombre de filtro: ingrese un nombre de 0 a 30 caracteres.
Subrbol de ID de objeto: seleccione el nodo en el rbol de MIB que se

incluye en el filtro SNMP seleccionado o que se excluye de este. Las
opciones para seleccionar el objeto son las siguientes:
-
Seleccionar de la lista: le permite navegar el rbol de MIB. Presione la

flecha Up (Arriba) para ir al nivel del nodo padre y nodo hermanos del
nodo seleccionado; presione la flecha Down (abajo) para bajar al nivel de
los descendientes del nodo seleccionado. Haga clic en los nodos de la
vista para pasar de un nodo a su hermano. Use la barra de
desplazamiento para poder ver los nodos hermanos.
Si se usa ID de objeto, el identificador de objeto ingresado se incluye

en la vista, si la opcin Incluir en filtro est seleccionada.
PASO 4 Seleccione o cancele la seleccin Incluir en el filtro. Si se selecciona, las MIB
seleccionadas se incluirn en el filtro; de lo contrario, no se incluirn.

PASO 5 Haga clic en Aplicar. Se definen las vistas SNMP y se actualiza el archivo
500
27
RIP
En esta seccin se describe la funcin Protocolo de informacin de enrutamiento

(RIP, Routing Information Protocol).
NOTA
Los modelos Sx500 no son compatibles con la funcin RIP.

Informacin general
Configuracin de RIP
Informacin general
El Protocolo de informacin de enrutamiento (RIP) es una implementacin de un
protocolo de vectores a distancia para la red local y la red de rea ancha. Clasifica
los routers como activos o pasivos (silenciosos). Los routers activos anuncian sus
rutas a los dems; los routers pasivos escuchan y actualizan sus rutas segn los
anuncios, pero no las anuncian. Por lo general, los routers ejecutan el RIP en modo
activo mientras que los hosts utilizan el modo pasivo.
La funcin RIP solo es compatible con la plataforma SG500X (que siempre se
encuentra en el modo de router de Capa 3). El switch admite 128 interfaces IP y
128 rutas IP.
La puerta de enlace predeterminada es un ruta esttica anunciada por el RIP de la
misma manera que todas las otras rutas estticas, si est habilitada por
configuracin.
Cuando el enrutamiento IP est habilitado, el RIP funciona en forma total. Cuando
el enrutamiento IP est deshabilitado, el RIP funciona en modo pasivo, lo que
significa que solo aprende rutas de los mensajes RIP recibidos y no los enva.
501
27
RIP
NOTA Para habilitar el enrutamiento IP desde la interfaz basada en la Web, vaya a la
pgina Configuracin > Interfaz de administracin e IP > interfaz IPv4 en los

modelos SG500X. El control de enrutamiento IP se encuentra disponible solo en los
modelos SG500X.
El switch admite la versin 2 de RIP, que se basa en los siguientes estndares:
Versin 2 de RIP RFC2453, noviembre de 1998
Autenticacin de RIP-2 MD5 RFC2082, enero de 1997
Extensin MIB de la Versin 2 de RIP RFC1724
Los paquetes RIPv1 recibidos se descartan.

Habilitacin de RIP
Habilitacin de RIP
El RIP debe estar habilitado globalmente y por interfaz.
El RIP solo se puede configurar si est habilitado.
Si se deshabilita el RIP globalmente, se elimina la configuracin de RIP en el

sistema.
Si se deshabilita el RIP en una interfaz, se elimina la configuracin de RIP en

la interfaz especificada.
Si se deshabilita el enrutamiento IP, los mensajes RIP no se envan, pero

cuando se reciben son utilizados para actualizar la informacin de la tabla
de enrutamiento.
NOTA El RIP solo se puede definir en interfaces IP configuradas manualmente, lo que
significa que el RIP no se puede definir en una interfaz cuya direccin IP fue
recibida desde un servidor DHCP o cuya direccin IP es la direccin IP
predeterminada.
502
27
RIP
Configuracin de desplazamiento
Un mensaje RIP incluye una mtrica (cantidad de saltos) para cada ruta.
Un desplazamiento es un nmero adicional que se agrega a la mtrica para afectar
el costo de los trayectos. El desplazamiento es un conjunto por interfaz y, por
ejemplo, puede reflejar la velocidad, la demora o alguna otra calidad de una
interfaz determinada. De esta manera, el costo relativo de las interfaces se puede
ajustar segn sus preferencias.
Establecer el desplazamiento de cada interfaz (manera predeterminada, 1) es su
responsabilidad.
A continuacin, se ilustra la configuracin del desplazamiento de las mtricas de
varias interfaces, segn la velocidad de puerto.
Configuracin del desplazamiento (segn la velocidad de puerto)
503
27
RIP
El router rD puede enviar datos a rA a travs de rB o rC. Debido a que rC solo

admite puertos Fast Ethernet (FE) y rB admite puertos Gigabit Ethernet (GE), el
costo del trayecto desde el router rD al router rA es superior a travs del router rC
(4 adicionales al costo del trayecto) en comparacin con el trayecto a travs del
router rB (2 adicionales al costo del trayecto). Por lo tanto, se prefiere reenviar
trfico a travs del enrutamiento rB. Para lograr esto, configure un desplazamiento
distinto (valor mtrico) en cada interfaz segn su velocidad de lnea.
Para obtener ms informacin, consulte Configuracin de desplazamiento.
Modo pasivo
La transmisin de mensajes de actualizacin de enrutamiento a travs de una
interfaz IP especfica se puede deshabilitar. En este caso, el router es pasivo y solo
recibe la informacin del RIP actualizada en esta interfaz. De manera
predeterminada, se habilita la transmisin de las actualizaciones de enrutamiento
en una interfaz IP.
Para obtener ms informacin, consulte Configuracin de RIP en una interfaz IP.
Filtrado de actualizaciones de enrutamiento

Puede filtrar las rutas de entrada y de salida de una interfaz IP determinada
utilizando dos listas de acceso estndar: una para la entrada y otra para la salida.
La lista de acceso estndar es una lista nominada y ordenada de pares de prefijo
IP (direccin IP y longitud de mscara IP) y accin. La accin puede ser rechazar o
permitir.
Si una lista de acceso es definida, cada ruta del mensaje RIP se compara con la
lista que comienza en el primer par: si coincide con el primer par y la accin es
permitir, la ruta se transfiere; si la accin es rechazar, la ruta no se transfiere. Si la
ruta no coincide, se considera el par siguiente.
Si la ruta no coincide con ningn par, se aplica la accin rechazar.
504
27
RIP
Anuncio de entradas de ruta predeterminada en interfaces IP

La direccin especial 0.0.0.0 se utiliza para describir una ruta predeterminada. Se
utiliza una ruta predeterminada para evitar la confeccin de una lista de todas las
redes posibles de las actualizaciones de enrutamiento cuando uno o ms routers
del sistema estrechamente conectados estn preparados para transferir trfico a
las redes que no estn enumeradas en forma explcita. Estos routers crean
entradas RIP para la direccin 0.0.0.0, como si fuera una red a la cual estn
conectados.
Puede habilitar el anuncio de ruta predeterminado y configurarlo con una mtrica
determinada.
Redistribucin de la configuracin de la ruta esttica

Puede determinar si las rutas estticas estn redistribuidas por RIP configurando
la funcin Redistribuir mtrica esttica. De forma predeterminada, esta funcin
est deshabilitada y se puede habilitar globalmente.
Si se habilita esta funcin, las rutas rechazadas se anuncian por rutas con una
mtrica de 16.
La configuracin de la ruta esttica se puede propagar utilizando una de las
Mtrica predeterminada
Hace que el RIP utilice el valor predefinido y predeterminado de la mtrica
para la configuracin de la ruta esttica propagada.
Transparente (predeterminado)
Hace que el RIP utilice la mtrica de la tabla de enrutamiento como la
mtrica RIP para la configuracin de la ruta esttica propagada.
Esto se ilustra en el siguiente comportamiento:
-
Si el valor de la mtrica de una ruta esttica es igual o menor que 15,

este valor se utiliza en el protocolo RIP cuando se anuncia esta ruta
esttica.
Si el valor de la mtrica de una ruta esttica es mayor que 15, no se

anuncia la ruta esttica a los dems routers que utilizan RIP.
Se debe tener en cuenta la configuracin de la ruta esttica al utilizar RIP. Esto se

muestra a continuacin, donde se ilustra una red donde algunos routers admiten
RIP y otros no.
505
27
RIP
Una red con routers RIP y routers que no son RIP
El router rA no admite RIP. Por lo tanto, las entradas de enrutamiento con una
mtrica adecuada se configuran en forma esttica en este router y en las
interfaces IP que estn conectadas al router rA (router rB). Por el contrario, los
routers rB y rC derivan y distribuyen sus entradas de enrutamiento utilizando RIP.
La configuracin de la ruta esttica del router rB se puede propagar al router rC
utilizando la mtrica predeterminada o el sistema transparente. Una ruta esttica
se redistribuye con la mtrica de la ruta esttica (mtrica transparente) o con la
mtrica definida por el comando de la mtrica predeterminada.
El RIP siempre redistribuye los prefijos IP directos con una mtrica RIP por el
comando de la mtrica predeterminada.
Para obtener ms informacin, consulte Redistribucin de la configuracin de la
ruta esttica.
506
27
RIP
Autenticacin RIP
Puede habilitar los siguientes tipos de autenticacin de mensajes RIP por interfaz
IP.
Texto sin formato o contrasea: utiliza una contrasea de clave (cadena) que
es enviada junto con la ruta a otra ruta. El router de recepcin compara esta
clave con su propia clave configurada. Si son iguales, acepta la ruta.
MD5: utiliza autenticacin MD5 digest. Cada router es configurado con un

conjunto de claves secretas. Este conjunto se llama cadena de clave. Cada
cadena contiene una o ms claves. Cada clave tiene un nmero
identificador (identificador de claves), una cadena de clave y,
opcionalmente, un valor de vida til de envo y vida til de aceptacin. La
vida til de envo es el perodo de tiempo durante el cual una clave de
autenticacin es vlida para ser enviada en una cadena de clave, la vida til
de aceptacin es perodo de tiempo durante el cual una clave de
autenticacin es recibida como vlida en una cadena de clave.
Cada mensaje RIP transmitido contiene el MD5 digest calculado del
mensaje (que contiene la cadena de clave) ms el identificador de claves
de la cadena de clave utilizada. El receptor tambin tiene la cadena de
clave configurada en l. El receptor utiliza el identificador de claves para
seleccionar la clave para validar MD5 digest.
Contadores estadsticos del RIP

Puede supervisar el funcionamiento del RIP verificando los contadores
estadsticos por interfaz IP. Consulte Visualizacin de los contadores
estadsticos de RIP para ver una descripcin de estos campos.
Base de datos de pares RIP

Puede supervisar la base de datos de pares RIP por interfaz IP. Consulte
Visualizacin de la base de datos de pares RIP para ver una descripcin de
estos contadores.
507
27
RIP
Configuracin de RIP
Se pueden realizar las siguientes acciones.
Acciones obligatorias:
-
Habilitar/deshabilitar globalmente el protocolo RIP utilizando la pgina

Propiedades de RIPv2.
Habilitar/deshabilitar el protocolo RIP en una interfaz IP utilizando la

pgina Configuracin de RIPv2.
Acciones opcionales (si no se realizan, el sistema utiliza los valores

predeterminados)
-
Habilitar/deshabilitar RIP para anunciar rutas estticas y su mtrica en la

interfaz IP utilizando la pgina Propiedades de RIPv2.
Configurar el desplazamiento agregado a la mtrica para las rutas de

entrada en una interfaz IP utilizando la pgina Configuracin de RIPv2.
Habilitar el modo pasivo en una interfaz IP utilizando la pgina

Configuracin de RIPv2.
Controlar qu rutas se procesan en las actualizaciones de enrutamiento

de entrada/salida especificando un lista de direcciones IP en la interfaz
IP (consulte Configuracin de listas de acceso).
Anunciar las entradas de ruta predeterminada en la interfaz IP utilizando

la pgina Configuracin de RIPv2.
Habilitar la autenticacin RIP en una interfaz IP utilizando la pgina

Configuracin de RIPv2.
Propiedades del RIP

Pasos para habilitar/deshabilitar RIP en el dispositivo.
PASO 1 Haga clic en Configuracin de IP > RIPv2 > Propiedades de RIPv2. Se muestra
la pgina Propiedades de RIPv2.

PASO 2 Seleccione las siguientes opciones segn sea necesario:
RIP: las opciones disponibles son las siguientes:

-
Habilitar: habilitar el RIP.
508
27
RIP
Deshabilitar: deshabilitar el RIP. Si se deshabilita el RIP, se elimina la

configuracin de RIP en el sistema.
Cerrar: establecer el estado global del RIP en cerrado.
Redistribuir ruta esttica: seleccionar para habilitar esta funcin (se

describe en Redistribucin de la configuracin de la ruta esttica.
PASO 3 Si Redistribuir ruta esttica est habilitado, seleccione una opcin para el
campo Redistribuir ruta esttica. Las opciones disponibles son las siguientes:
Transparente: hace que el RIP utilice la mtrica de la tabla de enrutamiento

como la mtrica RIP para la configuracin de la ruta esttica propagada. Esto
se ilustra en el siguiente comportamiento:
-
Si el valor de la mtrica de una ruta esttica es igual o menor que 15, este
valor se utiliza en el protocolo RIP cuando se anuncia esta ruta esttica.
Si el valor de la mtrica de una ruta esttica es mayor que 15, no se

anuncia la ruta esttica a los dems routers que utilizan RIP.
Mtrica predeterminada: hace que el RIP utilice el valor predeterminado de

la mtrica para la configuracin de la ruta esttica propagada (consulte
Redistribucin de la configuracin de la ruta esttica).
Configuracin de RIP en una interfaz IP

Para configurar RIP en una interfaz IP:
PASO 1 Haga clic en Configuracin de IP > RIPv2 > Configuracin de RIPv2. Se muestra
la pgina Configuracin de RIPv2.

PASO 2 Los parmetros del RIP se muestran por interfaz IP.
Para agregar una interfaz IP nueva, haga clic en Aadir para abrir la pgina Aadir
configuracin de RIPv2 e ingrese los siguientes campos:
Direccin IP: seleccione una interfaz IP definida en la interfaz de capa2.
Cerrar: seleccinelo para cerrar el router.
Pasivo: especifica si se permite enviar mensajes de actualizacin de ruta de

RIP en la interfaz IP especificada. Si este campo no se encuentra habilitado,
las actualizaciones de RIP no se envan (pasivo).
509
27
RIP
Desplazamiento: especifica el nmero de la mtrica de la interfaz IP

especificada. Esto refleja el costo adicional de utilizar esta interfaz, segn la
velocidad de la interfaz.
Autenticacin: estado de la autenticacin de RIP (habilitar/deshabilitar) en

una interfaz IP especificada. Las opciones disponibles son las siguientes:
-
Ninguno: no se realiza ninguna autenticacin.
Texto: para la autenticacin, se utiliza la contrasea ingresada a

continuacin.
MD5: para la autenticacin, se utiliza el MD5 digest de la cadena de clave

seleccionado a continuacin.
Contrasea clave: si se seleccion Texto como tipo de autenticacin,

ingrese la contrasea que utilizar.
Cadena de clave: si se seleccion MD5 como tipo de autenticacin, ingrese

la cadena de clave que compilar. Esta cadena de clave se crea segn se
describe en la seccin Administracin de claves.
Ruta predeterminada: especifica si RIP genera una ruta predeterminada en

la interfaz IP especificada. Si est habilitada, se habilita el campo Mtrico.
Mtrica de la ruta predeterminada: especifica la mtrica de la ruta

predeterminada.
Lista de distribucin entrante: especifica si el filtrado se encuentra

habilitado/deshabilitado para las rutas de entrada del RIP para la lista de
direcciones IP especificada. Si el campo est habilitado, seleccione el
nombre de la lista de acceso a continuacin.
Nombre de la lista de acceso: especifica el nombre de la lista de acceso

(que incluye una lista de direcciones IP) del filtrado de las rutas de entrada
del RIP para una interfaz IP especificada. Consulte Creacin de una lista de
acceso para ver una descripcin de las listas de acceso.
Lista de distribucin saliente: especifica si el filtrado se encuentra

habilitado/deshabilitado para las rutas de salida del RIP para la lista de
direcciones IP especificada. Si el campo est habilitado, seleccione el
nombre de la lista de acceso a continuacin.
Nombre de la lista de acceso: especifica el nombre de la lista de acceso

(que incluye una lista de direcciones IP) del filtrado de las rutas de salida del
RIP para una interfaz IP especificada. Consulte Creacin de una lista de
acceso para ver una descripcin de las listas de acceso.
510
27
RIP
ejecucin.
Visualizacin de los contadores estadsticos de RIP

Pasos para visualizar los contadores estadsticos de RIP para cada direccin IP:
PASO 1 Haga clic en Configuracin de IP > RIPv2 > Estadsticas de RIPv2. Se muestra la
pgina Estadsticas de RIPv2.

Interfaz IP: seleccione una interfaz IP definida en la interfaz de capa 2.
Paquetes defectuosos recibidos: especifica la cantidad de paquetes

defectuosos identificados por el RIP en la interfaz IP.
Rutas defectuosas recibidas: especifica la cantidad de rutas defectuosas

recibidas e identificadas por el RIP en la interfaz IP. Rutas defectuosas
significa que los parmetros de la ruta son incorrectos. Por ejemplo, el
destino IP es una direccin de difusin o la mtrica es 0 o mayor que 16.
Actualizaciones enviadas: especifica la cantidad de paquetes enviados

por RIP en la interfaz IP.
PASO 2 Para borrar los contadores de una interfaz determinada, seleccinelos y haga clic
en Borrar contador de interfaz. Para borrar todos los contadores, haga clic en
Borrar todos los contadores de interfaz.
Visualizacin de la base de datos de pares RIP

Pasos para visualizar la base de datos de pares (vecinos) RIP:
PASO 1 Haga clic en Configuracin de IP > RIPv2 > Base de datos de router de par
RIPv2. Se muestra la pgina Base de datos de router de par RIPv2.

Para la base de datos de router de par se muestran los siguientes campos:
Direccin IP del router: interfaz IP definida en la interfaz de capa2.
Paquetes defectuosos recibidos: especifica la cantidad de paquetes

defectuosos identificados por el RIP en la interfaz IP.
511
27
RIP
Rutas defectuosas recibidas: especifica la cantidad de rutas defectuosas

recibidas e identificadas por el RIP en la interfaz IP. Rutas defectuosas
significa que los parmetros de la ruta son incorrectos. Por ejemplo, el
destino IP es una direccin de difusin o la mtrica es 0 o mayor que 16.
ltima actualizacin: indica la ltima vez que el RIP recibi rutas RIP de la
direccin IP remota.
PASO 2 Para borrar todos los contadores, haga clic en Borrar todos los contadores de
interfaz.
Configuracin de listas de acceso

Consulte Filtrado de actualizaciones de enrutamiento para ver una descripcin
de las listas de acceso.
Para crear listas de acceso, haga lo siguiente:
1. Cree una lista de acceso con una direccin IP nica utilizando la pgina
Configuracin de lista de acceso.
2. Si fuera necesario, agregue direcciones IP adicionales utilizando la pgina Lista
de direcciones IPv4 de origen.
Creacin de una lista de acceso

Pasos para establecer la configuracin global de una lista de acceso.
PASO 1 Haga clic en Configuracin de IP > Lista de acceso> Configuracin de lista de
acceso. Se muestra la pgina Configuracin de lista de acceso.

PASO 2 Para agregar una lista de acceso nueva, haga clic en Aadir para abrir la pgina
Aadir lista de acceso e ingrese los siguientes campos:
Nombre: defina un nombre para la lista de acceso.
Direccin IPv4 de origen: ingrese la direccin IPv4 de origen. Las opciones

disponibles son las siguientes:
Cualquiera: se incluyen todas las direcciones IP.
Definido por el usuario: ingrese una direccin IP.
Mscara de IPv4 de origen: ingrese el tipo y valor de la mscara de IPv4

de origen. Las opciones disponibles son las siguientes:
512
27
RIP
Mscara de red: ingrese la mscara de red.
Longitud de prefijo: escriba la longitud de prefijo.
Accin: seleccione una accin de la lista de acceso. Las opciones

-
Permitir: permitir la entrada de paquetes de las direcciones IP en la lista

de acceso.
Rechazar: rechazar la entrada de paquetes de las direcciones IP en la

lista de acceso.
Cmo completar una lista de acceso

Pasos para completar una lista de acceso con direcciones IP.
PASO 1 Haga clic en Configuracin de IP > Lista de acceso> Lista de direcciones IPv4
de origen. Se muestra la pgina Lista de direcciones IPv4 de origen.

PASO 2 Para modificar los parmetros de una lista de acceso, haga clic en Aadir para
abrir la pgina Editar lista de acceso y modifique alguno de los siguientes

campos:
Nombre de lista de acceso: nombre de la lista de acceso.
Direccin IPv4 de origen: direccin IPv4 de origen. Las opciones

Cualquiera: se incluyen todas las direcciones IP.
Definido por el usuario: ingrese una direccin IP.
Mscara de IPv4 de origen: tipo y valor de la mscara de IPv4 de origen.

-
Mscara de red: introduzca la mscara de red (por ejemplo,

255.255.0.0).
Longitud de prefijo: escriba la longitud de prefijo.
Accin: accin para la lista de acceso. Las opciones disponibles son las
siguientes:
-
Permitir: permitir la entrada de paquetes de las direcciones IP en la lista

de acceso.
513
27
RIP
Rechazar: rechazar la entrada de paquetes de las direcciones IP en la

lista de acceso.
NOTA Esta funcin solo es relevante para los dispositivos SG500X.
En esta seccin se describe cmo configurar las cadenas de clave para

aplicaciones y protocolos, como RIP. Consulte Autenticacin RIP para ver una
descripcin de cmo RIP utiliza la cadena de clave para la autenticacin.
Para crear una cadena de clave, realice lo siguiente:
PASO 1 Cree una cadena de clave que contenga una clave nica utilizando la pgina
Configuracin de cadena de clave.

PASO 2 Agregue claves adicionales utilizando la pgina Configuracin de clave.
Creacin de una cadena de clave

Utilice la pgina Configuracin de cadena de clave para crear una cadena de
clave nueva.
PASO 1 Haga clic en Seguridad > Administracin de claves> Configuracin de cadena
de clave. Se muestra la pgina Configuracin de cadena de clave.

PASO 2 Para agregar una cadena de clave, haga clic en Aadir y se mostrar la pgina
Aadir cadena de clave.

PASO 3 Para agregar una cadena de clave nueva, haga clic en Aadir para abrir la pgina
Aadir cadena de clave e ingrese los siguientes campos:
Cadena de clave: nombre de la cadena de clave.
Identificador de claves: entero que identifica la cadena de clave.
Cadena de clave: valor de la cadena de la cadena de clave. Ingrese una de

-
Definido por el usuario (cifrado): ingrese una versin cifrada.
Definido por el usuario (texto simple): ingrese una versin de texto

simple.
514
27
RIP
NOTA Se pueden ingresar los valores Aceptar tiempo de vida y Enviar
tiempo de vida. Aceptar tiempo de vida indica cundo el identificador de

claves es vlido para recibir paquetes. Enviar tiempo de vida indica cundo
el identificador de claves es vlido para enviar paquetes. Los campos solo
se describen para el valor Aceptar tiempo de vida. Enviar tiempo de vida
tiene los mismos campos.
Aceptar tiempo de vida: especifica cundo se aceptan los paquetes con

esta clave. Elija una de las siguientes opciones.
-
Siempre vlido: no hay lmites para la vida del identificador de claves.
Definido por el usuario: la vida del identificador de claves es limitada. Si

esta opcin est seleccionada, complete los valores de los siguientes
campos.
NOTA Si selecciona Definido por el usuario, el sistema debe estar
configurado como manual o desde SNTP. De los contrario, Aceptar

tiempo de vida y Enviar tiempo de vida fallarn siempre.
Fecha de inicio: ingrese la primera fecha en que el identificador de claves

es vlido.
Hora de inicio: ingrese el primer horario en que el identificador de claves es

vlido en la Fecha de inicio.
Tiempo de finalizacin: especifica la ltima fecha en que el identificador de

claves es vlido. Elija una de las siguientes opciones.
Infinito: no hay lmites para la vida del identificador de claves.
Duracin: la vida del identificador de claves es limitada. Si esta opcin

est seleccionada, complete los valores de los siguientes campos.
Duracin: tiempo durante el cual el identificador de claves es vlido. Ingrese

los siguientes campos:
-
Das: cantidad de das durante los cuales el identificador de claves es

vlido.
Horas: cantidad de horas durante los cuales el identificador de claves es

vlido.
Minutos: cantidad de minutos durante los cuales el identificador de

claves es vlido.
Segundos: cantidad de segundos durante los cuales el identificador de

claves es vlido.
515
27
RIP
ejecucin.
Creacin de una configuracin de claves

Utilice la pgina Configuracin de cadena de clave para aadir una clave a una
cadena de clave existente.
PASO 1 Haga clic en Seguridad > Administracin de claves> Configuracin de claves.
Se muestra la pgina Configuracin de claves.

PASO 2 Para agregar una cadena de clave nueva, haga clic en Aadir para abrir la pgina
Aadir cadena de clave. Se muestra la pgina Aadir clave.

Cadena de clave: nombre de la cadena de clave.
Identificador de claves: entero que identifica la cadena de clave.
Cadena de clave: valor de la cadena de la cadena de clave. Ingrese una de

-
Definido por el usuario (cifrado): ingrese una versin cifrada.
Definido por el usuario (texto simple): ingrese una versin de texto

simple.
NOTA Se pueden ingresar los valores Aceptar tiempo de vida y Enviar

tiempo de vida. Aceptar tiempo de vida indica cundo el identificador de
claves es vlido para recibir paquetes. Enviar tiempo de vida indica cundo
la cadena de clave es vlida para enviar paquetes. Los campos solo se
describen para el valor Aceptar tiempo de vida. Enviar tiempo de vida tiene
los mismos campos.
Aceptar tiempo de vida: especifica cundo se aceptan los paquetes con

esta clave. Elija una de las siguientes opciones.
-
Siempre vlido: no hay lmites para la vida del identificador de claves.
Definido por el usuario: la vida del identificador de claves es limitada. Si

esta opcin est seleccionada, complete los valores de los siguientes
campos.
Fecha de inicio: ingrese la primera fecha en que el identificador de claves

es vlido.
516
27
RIP
Hora de inicio: ingrese el primer horario en que el identificador de claves es

vlido en la Fecha de inicio.
Tiempo de finalizacin: especifica la ltima fecha en que el identificador de

claves es vlido. Elija una de las siguientes opciones.
Infinito: no hay lmites para la vida del identificador de claves.
Duracin: la vida del identificador de claves es limitada. Si esta opcin

est seleccionada, complete los valores de los siguientes campos.
Duracin: tiempo durante el cual el identificador de claves es vlido. Ingrese

los siguientes campos:
-
Das: cantidad de das durante los cuales el identificador de claves es

vlido.
Horas: cantidad de horas durante los cuales el identificador de claves es

vlido.
Minutos: cantidad de minutos durante los cuales el identificador de

claves es vlido.
Segundos: cantidad de segundos durante los cuales el identificador de

claves es vlido.
PASO 4 Para mostrar siempre los datos confidenciales como texto simple (y no en forma
cifrada), haga clic en Mostrar datos confidenciales como texto simple.

ejecucin.
517
28
VRRP
En este captulo se describe cmo funciona el Protocolo de redundancia del

router virtual (VRRP) y cmo se deben configurar los routers virtuales que lo
ejecutan a travs de la GUI web.
NOTA
Los modelos Sx500 no son compatibles con la funcin VRRP.

Informacin general
Informacin general
VRRP es un protocolo de redundancia y eleccin que asigna dinmicamente la
responsabilidad de un router virtual a uno de los routers fsicos en una LAN. Esto
aumenta la disponibilidad y la confiabilidad de los trayectos de enrutamiento en la
red.
En VRRP, se elige un router fsico en un router virtual como maestro, y el otro router
fsico del mismo router virtual acta como respaldo en caso de que el maestro
falle. A los routers fsicos se los conoce como routers VRRP.
Al router virtual se le asigna la puerta de enlace predeterminada de un host
participante en lugar de un router fsico. Si falla el router fsico que enruta los
paquetes en representacin del router virtual, se selecciona otro router fsico para
que lo reemplace automticamente. El router fsico que reenva los paquetes en
cualquier momento determinado se denomina router maestro.
El VRRP tambin permite la distribucin de carga del trfico. El trfico se puede
compartir equitativamente entre los routers disponibles al configurar el VRRP de
manera tal que varios routers compartan el trfico hacia y desde los clientes LAN.
518
28
VRRP
Restricciones
El VRRP solo se admite en switches SG500X.
Topologa de VRRP
A continuacin se muestra una topologa de LAN en la que est configurado el
VRRP. En este ejemplo, los routers A, B y C son VRRP y conforman un router virtual.
La direccin IP del router virtual coincide con la que est configurada para la
interfaz de Ethernet del router A (198.168.2.1).
Topologa de VRRP bsica
Dado que el router virtual utiliza la direccin IP de la interfaz de Ethernet fsica del
router A, el router A asume el rol del maestro del router virtual y tambin se
conoce como el propietario de la direccin IP. Como maestro del router virtual, el
router A controla la direccin IP del router virtual y se encarga de enrutar paquetes
en representacin del router virtual. Los clientes 1 a 3 se configuran con la
direccin de IP de la puerta de enlace predeterminada, que es 198.168.2.1. El
cliente 4 se configura con la direccin de IP de la puerta de enlace
predeterminada, que es 198.168.2.2.
NOTA El router VRRP que es propietario de la direccin IP responde o procesa los
paquetes cuyo destino se corresponde con la direccin IP. El router VRRP que es el
maestro del router virtual, pero no el propietario de la direccin IP, no responde ni
procesa esos paquetes.
519
28
VRRP
Los routers B y C funcionan como respaldos del router virtual. Si el maestro del
router virtual falla, el router configurado con la prioridad ms alta se convierte en el
maestro del router virtual y les proporciona servicio a los host LAN con una
mnima interrupcin.
NOTA La prioridad del router VRRP depende de lo siguiente: si el router
VRRP es el propietario, su prioridad es de 255 (la ms alta); si no es un

propietario, la prioridad se configura manualmente (siempre en menos de
255).
Cuando el router A se recupera, vuelve a convertirse en el maestro del router
virtual. Durante el perodo en que el maestro se est recuperando, ambos
maestros reenvan paquetes y, en consecuencia, se produce cierta duplicacin
(comportamiento normal), pero no hay interrupcin.
Para obtener ms detalles acerca de los roles que cumplen los routers VRRP y de
qu ocurre si el maestro del router virtual falla, consulte Prioridad del router
VRRP.
A continuacin se muestra una topologa de LAN en la que est configurado el
VRRP. Los routers A y B comparten el trfico hacia y desde los clientes 1 a 4 y los
routers A y B actan como respaldos del router virtual entre s en caso de que
alguno de los routers falle.
520
28
VRRP
Topologa de VRRP para distribucin de carga
En esta topologa, se configuran dos routers virtuales. Para el router virtual 1, rA es

el propietario de la direccin IP 192.168.2.1 y es el maestro del router virtual, y rB
es el respaldo del router virtual para rA. Los clientes 1 y 2 se configuran con la
direccin de IP de la puerta de enlace predeterminada, que es 192.168.2.1.
Para el router virtual 2, rB es el propietario de la direccin IP 192.168.2.2 y el
maestro del router virtual, y rA es el respaldo del router virtual para rB. Los clientes
3 y 4 se configuran con la direccin de IP de la puerta de enlace predeterminada,
que es 192.168.2.2.
521
28
VRRP

A un router virtual se le debe asignar un identificador de router virtual nico (VRID)
entre todos los routers virtuales que se encuentran en la misma LAN. Todos los
routers VRRP que admiten el mismo router virtual se deben configurar con toda la
informacin relacionada con el router virtual, incluido su VRID. Los routers virtuales
deben estar habilitados en el dispositivo nicamente si el enrutamiento IP tambin
est habilitado en el dispositivo.
Usted puede configurar un router VRRP para que participe en uno o varios routers
virtuales ya sea utilizando comandos CLI o a travs de la GUI web, segn se
describe en la seccin Configuracin de VRRP.
Para configurar un router virtual, debe configurar la respectiva informacin, como
su ID y sus direcciones IP, en todos los routers VRRP que sean compatibles con el
router virtual. Los siguientes elementos se pueden configurar y personalizar.
Identificacin de router virtual

Se le debe asignar un identificador (VRID) y se le puede asignar una descripcin.
En las secciones a continuacin se describen los diversos atributos del router
virtual.
VRRP admite hasta 255 routers virtuales (grupos VRRP).
Versiones de VRRP
El dispositivo admite los siguientes tipos de versiones de VRRP:
VRRPv3 para IPv4 basado en RFC5798. Se envan mensajes VRRPv3.
VRRPv3 y VRRPv2 para IPv4 basados en RFC5798. Se envan mensajes

VRRPv3 y VRRPv2.
VRRPv2 para IPv4 basado en RFC3768. Se envan mensajes VRRPv2.
La configuracin de la versin de VRRP se realiza en cada router virtual. La versin

predeterminada es VRRPv2.
Al configurar un router virtual, pueden darse las situaciones a continuacin:
Todos los routers VRRP existentes del router virtual funcionan con VRRPv3.
En este caso, configure su nuevo router VRRP para que funcione con
VRROv3.
522
28
VRRP
Todos los routers VRRP existentes del router virtual funcionan con VRRPv2.
En este caso, configure su nuevo router VRRP para que funcione con
VRROv2.
Hay al menos un router VRRP del router virtual funcionando tanto con
VRRPv2 como con VRRPv3. En este caso, configure su router VRRP para
que funcione con VRRPv3 incluso si VRRPv2 tambin es interoperable.
NOTA Si en el router virtual hay solo routers VRRPv2 y solo routers VRRPv3,
debe configrar al menos un router VRRPv2 y un router VRRPv3.
NOTA Si ambos routers VRRPv2 y VRRPv3 estn habilitados en un router VRRP, el router
VRRP transmite ambos paquetes VRRPv2 y VRRPv3. De acuerdo con los

estndares de VRRPv3, la habilitacin de VRRPv2 y VRRPv3 se debe realizar al
actualizar de v2 a v3. La combinacin de ambas versiones no debe considerarse
como una solucin permanente. Consulte el estndar de VRRPv3 para obtener
detalles sobre la interoperabilidad de VRRPv2 y VRRPv3.
Direcciones IP del router virtual

A cada router virtual se le asignan una o varias direcciones IP para las que el
maestro actual asume la responsabilidad.
Un router VRRP que admite un router virtual debe tener una interfaz IP en la misma
subred IP con respecto a las direcciones IP configuradas en el router virtual.
La asignacin de direcciones IP a un router virtual se realiza de acuerdo con las
siguientes reglas:
Todos los routers VRRP que admiten el router virtual se deben configurar
con las mismas direcciones IP del router virtual en su configuracin del
router virtual.
Ninguna de las direcciones IP se puede utilizar en otro router virtual ni en

los routers VRRP que no sean compatibles con el router virtual.
Uno de los routers VRRP que admite el router virtual debe ser el propietario
de todas las direcciones IP del router virtual. Un router VRRP es el
propietario de las direcciones IP si las direcciones son direcciones reales
configuradas en su interfaz IP.
Si un router VRRP (el router fsico) es el propietario de las direcciones IP del

router virtual, la direccin IP del router virtual debe configurarse
manualmente en el router VRRP, sin que DHCP la asigne.
523
28
VRRP
Si un router VRRP no es el propietario de las direcciones IP del router

virtual:
-
Los routers VRRP que no son propietarios deben configurarse con una
interfaz IP en la misma subred IP que las direcciones IP del router virtual.
Las respectivas subredes IP deben configurarse manualmente en el

router VRRP, sin que DHCP las asigne.
Todos los routers VRRP que admiten el mismo router virtual deben tener la misma
configuracin. Si las configuraciones son diferentes, se utiliza la configuracin del
maestro. Un router VRRP de respaldo emite un mensaje de Syslog cuando su
configuracin difiere de la configuracin del maestro.
Direccin IP de origen en un router VRRP

Cada router VRRP que admite un router virtual utiliza su propia direccin IP como
direccin IP de origen en sus mensajes VRRP salientes hacia el router virtual. Los
routers VRRP del mismo router virtual se comunican entre s en los mensajes
VRRP. Si un router VRRP es el propietario de la direccin IP del router virtual, la
direccin IP coincide con una de las direcciones IP del router virtual. Si un router
VRRP no es el propietario de la direccin IP del router virtual, la direccin IP
coincide con la direccin IP de la interfaz del router VRRP para la misma subred IP
del router virtual.
Si la direccin IP se configur manualmente, se elimina la configuracin y se toma
la direccin IP de origen predeterminada (direccin IP ms baja del router VRRP
definida en la interfaz). Si la direccin IP de origen fuese un valor predeterminado,
se toma una nueva direccin IP de origen predeterminada.
Prioridad del router VRRP

Un aspecto importante del esquema de redundancia de VRRP es la capacidad
para asignarle una prioridad VRRP a cada router VRRP. La prioridad VRRP debe
expresar con qu eficacia un router VRRP se ejecutara como un respaldo para un
router virtual definido en el router VRRP. Si hay varios routers VRRP de respaldo
para el router virtual, la prioridad determina qu router VRRP de respaldo se
asigna como maestro en caso de que el maestro actual falle.
Si un router virtual es el propietario de la direccin IP, el sistema asigna
automticamente una prioridad VRRP de 255, y el router VRRP (en el que est
asignado este router virtual) funciona automticamente como maestro del router
virtual si est activado.
524
28
VRRP
En Figura , si el router A (maestro del router virtual) falla, se produce un proceso

de seleccin que determina si los respaldos del router virtual B o C deben asumir
el control. Si los routers B y C estn configurados con las prioridades 101 y 100,
respectivamente, se selecciona el router B para que se convierta en maestro del
router virtual porque es el que tiene la prioridad ms alta. Si ambos tienen la
misma prioridad, se selecciona el que tiene el valor de direccin IP ms alto para
que se convierta en maestro del router virtual.
De forma predeterminada, hay una funcin de prioridad habilitada, que funciona
de la siguiente manera:
Habilitada: cuando se configura un router VRRP con una prioridad ms alta

que la que est activa en el maestro actual, aquel reemplaza al maestro
actual.
Deshabilitada: incluso si se configura un router VRRP con una prioridad ms

alta que la que est activa en el maestro actual, aquel no reemplaza al
maestro actual. nicamente el maestro original (si est disponible)
reemplaza al respaldo.
Avisos de VRRP
El maestro del router virtual les enva avisos de VRRP a los routers que se
encuentran en el mismo grupo (configurados con la misma identificacin del
router virtual).
Los avisos de VRRP se encapsulan en paquetes IP y se envan a la direccin de
multidifusin IPv4 asignada al grupo VRRP. Los avisos se envan en cada segundo
de forma predeterminada; se puede configurar el intervalo de avisos.
El intervalo de avisos se expresa en mS (intervalo: 50 a 40950; valor
predeterminado: 1000). Un valor inexistente no es vlido.
En la versin3 de VRRP, el intervalo de aviso operativo se redondea hacia

abajo, hasta los 10 ms ms cercanos.
En la versin2 de VRRP, el intervalo de aviso operativo se redondea hacia

abajo, hasta el segundo ms cercano. El valor operativo mnimo es 1
segundo.
525
28
VRRP
Las propiedades de VRRP se pueden configurar y personalizar en la pgina de
routers virtuales VRRP de IPv4.
PASO 1 Haga clic en Configuracin de IP > Routers virtuales VRRP de IPv4. Se abrir la
pgina de routers virtuales VRRP de IPv4.

PASO 2 Para aadir un router virtual, haga clic en AADIR. Se abre la pgina Aadir router
virtual.
Interfaz: interfaz en la que est definido el router virtual.
Identificador de router virtual: nmero definido por el usuario para

identificar al router virtual.
Descripcin: cadena definida por el usuario para identificar al router virtual.
Estado: seleccione para habilitar VRRP en el dispositivo.
Versin: seleccione la versin de VRRP que se utilizar en este router.
Propietario de la direccin IP: si est seleccionada la opcin S, significa

que la direccin IP del dispositivo es la direccin IP del router virtual.
Seleccione las direcciones IP del propietario de la lista de direcciones IP
disponibles y muvalas a la lista de Direcciones IP del propietario.
Si est seleccionada la opcin No, debe ingresar las direcciones del router
virtual en el campo Direccin IP del router virtual. Si se aaden varias
direcciones IP aqu, seprelas de la siguiente manera: 1.1.1.1, 2.2.2.2.
Direccin IP de origen: seleccione la direccin IP que se utilizar en los

mensajes VRRP. La direccin IP de origen predeterminada es la direccin IP
ms baja definida en la interfaz.
Prioridad: si este dispositivo es el propietario, el campo adopta el valor 255,

que no se puede modificar. De lo contrario, ingrese la prioridad del
dispositivo teniendo en cuenta su capacidad para funcionar como maestro.
100 es el valor predeterminado para un dispositivo no propietario.
Modo de retencin: seleccione verdadero/falso para habilitar o deshabilitar

el modo de retencin como se describe en Prioridad del router VRRP.
Intervalo de aviso: ingrese el intervalo de tiempo como se describe en

Avisos de VRRP.
526
28
VRRP
NOTA Si se cambian estos parmetros (Editar), el router virtual se modifica y
se enva un nuevo mensaje con los nuevos parmetros.

PASO 4 Para ver ms informacin sobre un router virtual, haga clic en Detalles. Se abre la
pgina Detalles.
PASO 5 Para el router virtual seleccionado se muestran los siguientes campos:
Interfaz: interfaz de capa 2 (puerto, LAG o VLAN) en la que est definido el

router virtual.
VRID: nmero de identificacin del router virtual.
Direccin MAC del router virtual: direccin MAC virtual del router virtual
Tabla de direcciones IP del router virtual: direcciones IP asociadas con este

router virtual.
Descripcin: nombre del router virtual.
Versin: versin del router virtual.
Estado: Habilitar/Deshabilitar/Inicializar. Inicializar es un estado intermedio

que ocurre antes de que el dispositivo se convierta en maestro o respaldo.
En este estado, la direccin principal de maestro es 0.
Propietario de direccin IP: indica si la direccin IP del dispositivo es la

direccin IP del router virtual.
Estado de maestro/respaldo: estado actual del router virtual: Maestro,

Respaldo o Inicializado.
Tiempo de desviacin: se calcula de modos diferentes dependiendo de la

versin de VRRP, de la siguiente manera:
VRRPv3:((256 - Prioridad) * Intervalo de aviso maestro) / 256) El intervalo

de aviso maestro debe expresarse en centsimas de segundo.
VRRPv2: ((256 - Prioridad) / 256)
Intervalo inferior maestro: es el tiempo que se utiliza para determinar si el

maestro ha fallado o no. Se calcula de modos diferentes dependiendo de la
versin de VRRP, de la siguiente manera:
-
VRRPv3: (3 *Intervalo de aviso maestro) + Tiempo de desviacin
VRRPv2: (3 *Intervalo de aviso del dispositivo) + Tiempo de desviacin
Modo de retencin: Verdadero/Falso indica si el estado de retencin del

router virtual est habilitado o deshabilitado.
527
28
VRRP
El siguiente grupo de campos se muestra para el dispositivo actual (Mis

parmetros) y para el dispositivo maestro en la configuracin del router virtual
(Parmetros de maestro):
Prioridad: prioridad del router virtual desde el cual se enva el paquete.
Intervalo de aviso: intervalo de aviso del router virtual.
Direccin IP de origen: direccin IP que se utiliza como direccin IP de

origen en los mensajes VRRP.
ejecucin.
528
Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco o sus filiales en
los Estados Unidos y otros pases. Para obtener una lista completa de las marcas comerciales de Cisco, consulte
esta URL: www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas son propiedad de
sus respectivos dueos. El uso de la palabra socio no implica una relacin de sociedad entre Cisco y cualquier
otra compaa. (1110R)
2012 Cisco Systems, Inc. Todos los derechos reservados.
78-20278-01

Guia Administración Equipos Cisco 500 Series

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Guia Administración Equipos Cisco 500 Series

Caricato da

Copyright:

Formati disponibili

GUA DE

Gua de Administracin para Cisco Small Business

Configuracin de switch de inicio rpido

Convenciones para la asignacin de nombres a las interfaces

Diferencias entre dispositivos Sx500 y SG500X

Navegacin con ventanas

Captulo 2: Visualizacin de estadsticas

Visualizacin de interfaces Ethernet

Visualizacin de estadsticas Etherlike

Visualizacin de estadsticas de GVRP

Visualizacin de estadsticas de EAP 802.1X

Visualizacin de la utilizacin de la TCAM

Captulo 3: Administracin de los registros del sistema

Configuracin de los valores del registro del sistema

Configuracin de los valores de registro remoto

Visualizacin de los registros de memoria

Captulo 4: Administracin de archivos del sistema

Tipos de archivos de sistema

Actualizacin/copia de seguridad del firmware/idioma

Seleccin de la imagen activa

Descarga o realizacin de copia de seguridad de una configuracin

Ver propiedades de archivos de configuracin

Copiado de archivos de configuracin

Configuracin automtica DHCP

Captulo 5: Administracin de pilas

Tipos de unidades en pila

Proceso de seleccin de unidad maestro

Cambios de pila y asignacin de ID de unidad

Fallo de la unidad en la pila

Sincronizacin automtica del software en pila

Modo de sistema y administracin de pilas

Captulo 6: Informacin general administrativa

Informacin del sistema

Configuracin de consola (Soporte de velocidad autobaud)

Reinicio del switch

Monitoreo del estado del ventilador y la temperatura

Definicin de la caducidad de sesin por inactividad

Captulo 7: Hora del sistema

Opciones de la hora del sistema

Configuracin de la hora del sistema

Captulo 8: Administracin del diagnstico de dispositivos

Prueba de puertos de cobre

Visualizacin del estado del mdulo ptico

Configuracin de duplicacin de puertos y VLAN

Visualizacin de la utilizacin de la CPU y tecnologa de ncleo seguro

Captulo 9: Configuracin de Discovery

Configuracin de Bonjour Discovery

Captulo 10: Administracin de puertos

Ajuste de la configuracin bsica de los puertos

Configuracin de la aadidura de enlaces

Configuracin de Green Ethernet

Captulo 11: Smartports

Falla de macro y operacin de reinicio

Cmo funciona la funcin Smartport

Relaciones con otras funciones y compatibilidad hacia atrs

Tareas comunes de Smartport

Configuracin de Smartport con interfaz basada en Web

Macros de Smartport incorporados

Captulo 12: Administracin de dispositivos Power over Ethernet

Configuracin de las propiedades de PoE

Configuracin de la alimentacin PoE, la prioridad y la clasificacin

Captulo 13: Administracin de VLAN

Configuracin de los valores de la VLAN predeterminada