Solucionado: Re: Pregunte al Experto- Mejores prácticas para configuración e implementación de redes

Cisco Moderador · ‎09-25-2018

Aclare sus dudas sobre las mejores prácticas y recomendaciones para el diseño e implementación de redes a nivel de LAN para Empresas. Conozca más de las estrategias y consejos para la implementación de redes escalables, modulares y efectivas, por medio de la aplicación de principios de diseño. Discuta sobre los escenarios comunes y presentes en las infraestructuras de red, así como de las mejores prácticas para optimizarles y mejorarles.

Haga sus preguntas del 25 de Septiembre al 5 de Octubre del 2018.

Detalles del Especialista

David Samuel Peñaloza Seijas trabaja como Senior Network Consulting engineer en Verizon Enterprise Solutions en República Checa. Anteriormente ha trabajado como Network Support Specialist en IBM Client Innovation Center en República Checa. David es un experto interesado en todo lo que concierne a las redes, sin embargo, se enfoca principalmente en los Centros de Datos, las Redes Empresariales y en el diseño de las redes en general, incluyendo SDN. David cuenta con una relación fructífera y positiva con Cisco, ha sido instructor del programa Cisco Networking Academy y a lo largo del tiempo ha sido reconocido como un Cisco Champion. David cuenta con las certificaciones de CCNP R&S, CCDP, CCNA Security, CCNA CyberOps y CCNA SP, actualmente se prepara para el CCDE.

David es un miembro activo de la comunidad de Cisco Learning Network, ha sido nombrado Cisco Designated VIP de CLN en los años 2017 y 2018 por sus grandes contribuciones.

David puede no poder responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra categoría de Routing & Switching https://supportforums.cisco.com/t5/routing-y-switching/ct-p/5551-routing-and-switching

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

David Samuel Penaloza Seijas · ‎10-02-2018

Buenas tardes @Hilda Arteaga :)

Voy a responder una por una.

¿Existe alguna guía de best practices para el diseño de redes? Por ejemplo, algo al estilo de Cisco SAFE con el diseño de la seguridad.

En efecto, Cisco Validated Designs or CVDs. Se encuentran en la siguiente liga: https://www.cisco.com/c/en/us/solutions/design-zone.html

Ver la solución en mensaje original publicado

David Samuel Penaloza Seijas · ‎10-02-2018

Deseo capacitarme en todo el tema de diseño de redes ¿qué documentos de consulta y mejores prácticas recomienda?

Recomendaria empezar desde el programa CCDA y construir una base solida. Luego escalar hacia CCDP y CCDE.

Cual es la razon de esto? CCDA cubre nociones basicas/elementales y terminos importantes que deben ser dominados. CCDP va mas profundamente a las razones por las cuales implementamos una tecnologia sobre otra. Habla de requerimientos y necesidades, de ventajas y desventajas de una tecnologia sobre otra, o su comportamiento en ambientes especificos.

Por ultimo, CCDE: va mucho mas profundamente en cuanto a enfoque de negocio. Que es importante para el negocio, para las aplicaciones y las necesidades actuales? Que solucion se ajusta a los requerimientos? CCDE ensena que aunque hay mejores practicas y recomendaciones generales, estas nos aplican para todos los casos.

Lo importante de estos programas de certificacion es la evolucion de la forma de pensar y como atacar ciertos puntos clave.

Elaine Lopes - @elopes - (CCDE/CCAr program manager) creo un blog en Cisco Learning Network para que todos aprendamos sobre diseno, Unleashing CCDE. Lo puede encontrar en la siguiente liga: https://learningnetwork.cisco.com/blogs/unleashing-ccde

La publicacion de la version en Espanol de cada blog post de "Unleashing CCDE" se esta relizando en el foro "Recursos Educativos" de Cisco Learning Network: https://learningnetwork.cisco.com/community/espanol

Ojala disfruten los articulos :)

Ver la solución en mensaje original publicado

7bjhernandezc · ‎09-25-2018

buenas tardes
Espara su apoyo de los conceptos de donde utilizar corectamente las siguientes caracteristicas:

Loop guard
Root guard
PortFast
BDUP Guard
BDUP Filters
Donde puedo utilizar cada una de las caracteristicas en las configuracion de los puerto de acceso.....

David Samuel Penaloza Seijas · ‎09-26-2018

Buenos dias!

Loop guard permite proteger la infraestructura de loops potenciales que podrian afectar la estabilidad. Usualmente, en los puertos que comunican los switches de acceso con los switches de distribucion.

Root guard provee proteccion al root actual en el dado escenario en que un switch que no sea el root para la topologia trate de anunciarse a si mismo como root. Root guard se asegura de que el puerto configurado sea designado (normalmente un root tiene todos sus puertos en estado designated y forwarding). Si algun BPDU superior es recibido, el puerto es colocado en root-inconsistent state, la recuperacion es automatica tan pronto como el equipo que envia los BPDU superiores deje de enviarlos.

PortFast permite que el un puerto pase al estado de forwarding sin pasar por los estados de listening o learning cuando STP esta en proceso de covergencia , lo cual ahorra tiempo al momento de establecer conexiones en el mismo. El objetivo de esta funcionalidad es proveer al usuario una respuesta rapida, sin que deba esperar a que los timers relacionados a los estados de listening o learning expiren (15 segundos cada uno). Esta funcionalidad debe ser configurada en puertos destinados a conexiones para usuarios/equipos finales en los switches de acceso. Muy importante resaltar: un puerto con portfast configurado perdera ese estado una vez que reciba algun BPDU y se comportara como un puerto comun corriendo STP (estados listening/learning).

BDUP Guard protege los puertos para que no reciban BPDUs, es decir, tan pronto como sean recibidos, el puerto sera colocado en estado error-disabled. Esta funcionalidad debe habilitarse en puertos destinados a la conexion de usuarios/equipos finales (ya que los usuarios no deben enviar BPDUs al no participar en STP).

BDUP Filter evita que los puertos envien o reciban BPDUs, eso es, efectivamente, equivalente a deshabilitar STP en el puerto en cuestion en el cual sea configurado. Esta es una caracteristica muy riesgosa en la mayoria de los casos y no se recomienda habilitarla a menos que sea necesaria. Si un puerto no esta corriendo STP, efectivamente sera incapaz de detectar que hay algun loop en la red, y por tanto, peligroso para la estabilidad de la infraestructura. Podria ocurrir un loop y no podria detectarse, ya que el puerto no seria capaz de entender lo que sucede si no recibe o envia BPDUs.

Adjunto una imagen de la presentacion que puede ser de ayuda.

7bjhernandez · ‎09-26-2018

Buenos días..

Ing. David

Gracias por su comentarios a respecto las caracteristicas de STP. Así mismo requiero su apoyo o sugerencias para darle seguridad a un puerto de acceso conectado PC y Telefonia ip, anexo la configuración actual en mi equipos de acceso y como puedo mejorarlo...

Ejemplo:1

interface FastEthernet0/23
description ST66D 10.7.12.28
switchport access vlan 503
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root

Ejemplo:2

interface FastEthernet0/19
description ST087D 10.7.12.10
switchport access vlan 503
switchport mode access
switchport port-security

switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky 3417.ebcc.f7fe
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root

interface GigabitEthernet1/0/17
description ST-017 Voz IP

switchport access vlan 502
switchport mode access
switchport nonegotiate
switchport voice vlan 1610
switchport port-security

switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky 3417.ebcc.fb25

Por otro lado ing David tengo un detalle con un switch, que al momento de hacerle un loop de capa 2 físico con el jumper de cable de fibra óptica mi red se cae y no tengo acceso, cuando se retira el loops físico, regresa la red. que puede estar afectado -....

Saludos...

7bjhernandez · ‎09-26-2018

Gracias por su comentarios a respecto las caracteristicas de STP. Así mismo requiero su apoyo o sugerencias para darle seguridad a un puerto de acceso conectado PC y Telefonia ip, anexo la configuración actual en mi equipos de acceso y como puedo mejorarlo...

Ejemplo:1

interface FastEthernet0/23
description ST66D 10.7.12.28
switchport access vlan 503
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root

Ejemplo:2

interface FastEthernet0/19
description ST087D 10.7.12.10
switchport access vlan 503
switchport mode access
switchport port-security

switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky 3417.ebcc.f7fe
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root

interface GigabitEthernet1/0/17
description ST-017 Voz IP

switchport access vlan 502
switchport mode access
switchport nonegotiate
switchport voice vlan 1610
switchport port-security

switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky 3417.ebcc.fb25

Por otro lado ing David tengo un detalle con un switch, que al momento de hacerle un loop de capa 2 físico con el jumper de cable de fibra óptica mi red se cae y no tengo acceso, cuando se retira el loops físico, regresa la red. que puede estar afectado -....

Saludos...

David Samuel Penaloza Seijas · ‎09-28-2018

Por otro lado ing David tengo un detalle con un switch, que al momento de hacerle un loop de capa 2 físico con el jumper de cable de fibra óptica mi red se cae y no tengo acceso, cuando se retira el loops físico, regresa la red. que puede estar afectado -....

Habria que revisar la configuracion de ese puerto en especifico (el que ha usado para el loop).

-------------------------------------------

En general, todo puerto destinado a los usuarios deberia poseer la caracteristicia BPDU Guard habilitada.

El comando "switchport nonnegotiate" se utiliza para evitar que DTP negocie el estado de los enlaces (ya sea troncales o acceso), usualmente se recommienda configurar cada puerto de acuerdo a su rol especifico y no depender o deshabilitar DTP, podria causar problemas al cambiar de forma dinamica.

interface GigabitEthernet1/0/17 <---- No tiene BPDU guard ni portfast habilitado!

7bjhernandez · ‎09-28-2018

buenos días

mi puerto de donde estoy realizando mi loop físico conectando fibra óptica está configurado de la siguiente manera:

interface GigabitEthernet1/0/26
description C45K_B_1
switchport trunk encapsulation dot1q
switchport trunk native vlan 100
switchport trunk allowed vlan 2-4094
switchport mode trunk
!
interface GigabitEthernet1/0/27
description HACIA --> C37K_ A_1
switchport trunk encapsulation dot1q
switchport trunk native vlan 100
switchport trunk allowed vlan 2-4094
switchport mode trunk
switchport nonegotiate

7bjhernandez · ‎09-28-2018

Buenos días..

Es recomendable utilizar los siguientes parámetros en los puertos de acceso... y cual es su características o definición..

anexo inf. de mi interfaz configurada...

interface GigabitEthernet2/0/17

switchport mode access
switchport port-security
switchport port-security violation protect
storm-control broadcast level 5.00
storm-control multicast level 5.00
storm-control unicast level 5.00
no cdp enable
spanning-tree portfast

spanning-tree bpduguard enable

Cual seria la mas recomendada en el puerto de acceso:

C37K_COB_A1(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode

David Samuel Penaloza Seijas · ‎09-28-2018

El efecto de los comandos es el siguiente:

storm-control broadcast level 5.00 --------> Limita el trafico de tipo broadcast a un maximo de 5% del valor de ancho de banda de la interfaz
storm-control multicast level 5.00 --------> Limita el trafico de tipo multicast a un maximo de 5% del valor de ancho de banda de la interfaz
storm-control unicast level 5.00 ---------> Limita el trafico de tipo unicast a un maximo de 5% del valor de ancho de banda de la interfaz
no cdp enable -------> Deshabilita CDP (Cisco Discovery Protocol) en la interfaz

--------------------------------------------------------

Cual seria la mas recomendada en el puerto de acceso: 

C37K_COB_A1(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode

Entre los modos disponibles para la caracteristica port-security (que representan la accion a tomar una vez que una violacion es detectada en el puerto) se encuentran:

Shutdown --------> Situa el puerto en err-disable state
Restrict --------> Descarta los paquetes recibidos, incrementa un contador en la interfaz cada vez que la violacion sucede
Protect --------> Descarta los paquetes recibidos

Ejemplo de output:

Switch# show port-security interface fastethernet0/1
Port Security: Enabled
Port status: SecureUp
Violation mode: Shutdown
Maximum MAC Addresses :50
Total MAC Addresses: 11
Configured MAC Addresses: 0
Sticky MAC Addresses :11
Aging time: 20 mins
Aging type: Inactivity
SecureStatic address aging: Enabled
Security Violation count: 0 <-------------- Contador

El uso de feature depende de sus politicas de seguridad. Uno de las formas mas populares es habilitar el modo shutdown, y ya que el puerto estara en estado err-disable y un administrador debe apagarlo y encenderlo nuevamente, muestra claramente donde la violacion sucedio y requiere su intervencion. En conjuncion con el modo shutdown tambien se suele habilitar la caracteristica errdisable recovery, la cual permite recuperacion automatica de la interfaz despues de la expiracion de un timer (por defecto 300 segundos) - con el fin de reducir la intervencion del admistrador.

El siguiente documento detalla los modos a usar para la recuperacion de la interfaz (ingles): https://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/69980-errdisable-recovery.html

Espero sea de ayuda

David

inolassco · ‎09-26-2018

Qué tal?

En un arreglo de HSRP de dos switches multilayer, ¿cuál es la forma de configurar el Root Bridge con RPVST+? Es decir, se puede configurar a uno de ellos como el primary para ciertas vlans y al otro como secondary de esas vlans y viceversa? ¿O se debe considerar a los dos switches como uno solo a través de la MAC asignada por el VPC?

De antemano, gracias por la atención.

Saludos!!!

David Samuel Penaloza Seijas · ‎09-28-2018

Buenos dias!

En un arreglo de HSRP de dos switches multilayer, ¿cuál es la forma de configurar el Root Bridge con RPVST+? Es decir, se puede configurar a uno de ellos como el primary para ciertas vlans y al otro como secondary de esas vlans y viceversa? ¿O se debe considerar a los dos switches como uno solo a través de la MAC asignada por el VPC?

Independientemente de haber implementado vPC, es recomendable configurarlos de la forma mencionada anteriormente: uno de los swiches como primario de un grupo de VLANs y otro como secundario para ese mismo grupo, y viceversa. El objetivo es que ambos switches sean backup uno del otro, y por tanto la redundancia implementada conducira a una configuracion resiliente. Suponiendo, que un switch sea HSRP primary para las VLANs pares y otro para las VLANs impares, entonces serian:

Switch A: Primario VLANs pares, secundario para VLANs impares

Switch B: Primario para VLANs impares, secundario para VLANs pares

Esto permitira que en dado caso de un evento adverso (falla de equipo/enlace) el switch secundario tome el rol del primario (recuerde configurar preemtion).

Como informacion adicional: vPC tiene un valor agregado para HSRP y VRRP, al existir sincronizacion por medio del vPC peer link, ambos switches realizaran reenvio de los paquetes, lo cual conducira, efectivamente, a un escenario activo/activo haciendo uso efectivo de los uplinks que la capa de acceso pueda poseer.

Recuerde que es recomendable que el STP root coincida con el HSRP active gateway.

Adjunto imagen que podria ser de ayuda.

7bjhernandezc · ‎09-29-2018

Buenos días

1.- Requiero su apoyo y comentario para la siguiente situación: tengo un switch cisco modelo 3750 y voy a extender la señal conectado un swtich no administrable anexo conexiones físicas y como seria la configuración adecuada en ambos puerto. Y Puedo poner seguridad al extremo del SW_A1...

Fa0/24 Fa0/1

SW _A1 ------------------------- SWITCH_XXX (NO ADMINISTRADO)

saludos...

7bjhernandezc · ‎09-29-2018

Buenos dias

Anteriormente le comente de las pruebas que estaba haciendo en un equipo:

Mi puerto de donde estoy realizando mi loop físico conectando fibra óptica está configurado de la siguiente manera:

al momento de hacer el loop mi red se cae y no tengo acceso a la red de Internet.

Así tengo mis puertos físicos y configurados, cual sera el problema de hacer mi loop físico con cable de fibra óptica.

interface GigabitEthernet1/0/26
description C45K_B_1
switchport trunk encapsulation dot1q
switchport trunk native vlan 100
switchport trunk allowed vlan 2-4094
switchport mode trunk
!
interface GigabitEthernet1/0/27
description HACIA --> C37K_ A_1
switchport trunk encapsulation dot1q
switchport trunk native vlan 100
switchport trunk allowed vlan 2-4094
switchport mode trunk
switchport nonegotiate

David Samuel Penaloza Seijas · ‎10-01-2018

Primero: Seria recomendable deshabilitar DTP en ambos enlaces (switchport nonegotiate)

Adicionalmente: Como lucen estos enlaces desde la perspectiva de STP? Son puertos designados? La reconvergencia es la razon por la cual no puede conectarse. Habria que revisar su topologia de STP para entender por que la reconvergencia asociada al loop de esos dos puertos esta afectando el resto.

Los switches son upstream o downstream?

Hay varios detalles que revisar :)

David Samuel Penaloza Seijas · ‎10-01-2018

Buenos dias

Para extender un dominio de broadcasr hacia un switch no administrado, seria recomendable revisar sus requerimientos. Necesita hacer uso de la misma region de STP? (en el caso de MST). Tiene enlaces redundantes?

Siempre es recomendable entender que hay del otro lado. Ha recibido indicaciones del administrador del otro equipo? Esto puede influir en la configuracion necesaria de su lado (BPDU Guard/Filter - loop guard)

Gracias