ENTREGABLE

Servicios Profesionales
MESA DE AYUDA 2DO NIVEL

ti América
Ver. 1.0

Presentado por:
Carlos Pimentel
DICIEMBRE, 2017

© PROPIETARIO Y CONFIDENCIAL 1
EARTH CONSULTING GROUP
 CLÁUSULA DE CONFIDENCIALIDAD

La información contenida en este documento se considera privilegiada y confidencial. Su

liberación representaría beneficios sustanciales a competidores que ofrezcan servicios similares,
por lo que no debe ser reproducido o transmitido sin la autorización previa y por escrito de Earth
Consulting Group

Este documento no podrá ser reproducido o transmitido en su totalidad ni en segmentos en

cualquier forma o por cualquier medio, sea electrónico o mecánico incluyendo fotocopia,
grabación o cualquier sistema de almacenamiento y recuperación, sin la autorización escrita de
Earth Consulting Group

© PROPIETARIO Y CONFIDENCIAL 2
EARTH CONSULTING GROUP
ÍNDICE

CLÁUSULA DE CONFIDENCIALIDAD ------------------------------------------------------- 2

ÍNDICE --------------------------------------------------------------------------------------- 3
INTRODUCCIÓN ----------------------------------------------------------------------------- 4
AUDIENCIA ---------------------------------------------------------------------------------- 4
ALCANCE ------------------------------------------------------------------------------------ 4
REFERENCIAS ------------------------------------------------------------------------------- 4
GUÍA TÉCNICA DE REFRENCIA ------------------------------------------------------------ 5
SWITCH DE ACCESO ----------------------------------------------------------------------------------- 5
COMPONENTES DE HARDWARE ---------------------------------------------------------------------- 5
UBICACIÓN EN LA TOPOLOGÍA DE RED -------------------------------------------------------------- 7
DESCRIPCIÓN DE FUNCIONALIDADES Y CONFIGURACIONES ------------------------- 8
STACK DE SWITCHES DE ACCESO ------------------------------------------------------------------- 8
PRINCIPIOS -------------------------------------------------------------------------------------------------------------------------- 8
CONFIGURACIÓN DE CONEXIÓN FÍSICA ------------------------------------------------------------------------------- 9
CONFIGURACIÓN DE STACK ---------------------------------------------------------------------------------------------- 11
RESOLUCIÓN DE FALLAS COMUNES EN STACKS --------------------------------------------------------------- 14
CONFIGURACIÓN DE PUERTOS FISICOS (VLANS) EN SWITCHES DE ACCESO ----------------- 19
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 19
CREACION DE VLANS--------------------------------------------------------------------------------------------------------- 19
CONFIGURACIÓN PARA INTERCONEXIÓN ENTRE SWITCHES Y TELÉFONOS IP --------------- 21
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 21
CONEXIÓN FÍSICA DE UN TELÉFONO IP A LA RED. ------------------------------------------------------------- 21
CONFIGURACIÓN DE PUERTO DE RED PARA CONEXIÓN DE TELÉFONO IP. ------------------------ 22
CONFIGURACIÓN VBST ------------------------------------------------------------------------------- 23
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 23
HABILITANDO VBST ----------------------------------------------------------------------------------------------------------- 24
CONFIGURACIÓN EDGE-PORT ----------------------------------------------------------------------- 25
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 25
HABILITANDO EDGE-PORT ------------------------------------------------------------------------------------------------- 25
HABILITANDO BPDU PROTECTION------------------------------------------------------------------------------------- 25
CONFIGURACIÓN DE SEGURIDAD EN SWITCHES DE ACCESO ----------------------------------- 26
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 26
CONFIGURANDO LISTAS DE ACCESO (ACL) ----------------------------------------------------------------------- 26
CONFIGURANDO SEGURIDAD EN PUERTOS DE RED ----------------------------------------------------------- 27
CONFIGURACIÓN DE AAA PARA ACCESO REMOTO ----------------------------------------------- 27
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 27
CONFIGURANDO AUTENTICACIÓN CON HWTACACS --------------------------------------------------------- 28
CONFIGURANDO ACCESO REMOTO SSH ---------------------------------------------------------------------------- 29
CONFIGURACIÓN DE NTP ---------------------------------------------------------------------------- 30
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 30
CONFIGURANDO SERVICIOS DE NTP---------------------------------------------------------------------------------- 30
COMPROBANDO SERVICIOS DE NTP ---------------------------------------------------------------------------------- 31
CONFIGURACIÓN DE SNMP -------------------------------------------------------------------------- 32
PRINCIPIOS ------------------------------------------------------------------------------------------------------------------------ 32
CONFIGURANDO SERVICIOS DE SNMP------------------------------------------------------------------------------- 32

© PROPIETARIO Y CONFIDENCIAL 3
EARTH CONSULTING GROUP
INTRODUCCIÓN
Este documento describe los principios de operación de los equipos Huawei que TI America se
encuentra integrando en la infraestructura de red en PEMEX. El objetivo principal de este
documento es detallar las configuraciones y funciones de los equipos, sobre cómo lograr la
interoperabilidad deseada entre los dispositivos actuales en la red y ajustarse a los requisitos del
negocio.

El documento proporciona detalles suficientes para comprender las configuraciones de cada uno
de los dispositivos que se utilizarán durante las siguientes fases de despliegue y prueba. Algunos
parámetros pueden determinarse durante la implementación de la red.

Las configuraciones mostradas con su respectiva explicación, en este documento se basa en

los equipos Huawei que integran la solución del presente proyecto de TI America.

Finalmente, Earth Consulting Group se dedica a producir documentos de análisis y diseño de

alta calidad destinados a ayudar a implementar las soluciones de forma más segura y confiable.
Este documento se basa en principios de las mejores prácticas de diseño e implementación que
se han probado en la industria de redes.

AUDIENCIA
Este documento está destinado a los miembros del equipo de Ingeniería de TI America, que
tienen responsabilidad directa sobre la configuración de los mismos dentro de la de red en los
entornos de Producción y Oficina.

ALCANCE
El alcance de este documento ofrecer una guía de referencia técnica sobre las configuraciones
y funcionalidades que se están implementando con equipamiento Huawei por parte de TI
America en la infraestructura de red de PEMEX. Este mismo documento se estará actualizando
en información y contenido conforme la integración de equipos con nuevas funcionalidades se
vayan integrando.
El alcance de este documento es cubrir guías de referencia técnica para:

Funcionalidades de los equipos de red:

o Core
o Distribución
o Acceso
o Distribución WAN (CEs, PEs)

REFERENCIAS
. HuaweiValidatedSolutions [Link]

. HuaweiSupportEnterprise [Link]

© PROPIETARIO Y CONFIDENCIAL 4
EARTH CONSULTING GROUP
GUÍA TÉCNICA DE REFRENCIA

SWITCH DE ACCESO

El nivel de acceso proporciona conectividad de red física a los usuarios finales así como a los
dispositivos de telefonia IP a la infraestructura de TI en PEMEX. La capa de acceso es el primer
punto de sobresuscripción dentro de la infraestructura de red porque agrega el tráfico del usuario
(voz y datos) en enlaces ascendentes de hasta 10 Gigabit Ethernet a la capa de Distribución.

Los switches de nivel de acceso proporcionan:

Operación en el entorno de capa 2.

Densidad de puertos y sobresuscripción

Opción estandarizada para la colocación de dispositivos de red de nivel de acceso.

Facilidad de gestión con un número reducido de puntos finales de gestión


COMPONENTES DE HARDWARE

Los switches de la serie S5720-SI son switches Ethernet de capa 3 con hardware de alto
rendimiento que presentan interfaces GE de alta densidad e interfaces de enlace ascendente 10
GE. Gracias a las numerosas funciones de servicios y el intercambio de paquetes IPv6, los
equipos de la serie se pueden utilizar como switches de acceso o switches de agregación en
redes de campus, o como switch de acceso en Data Centers. Integran muchas tecnologías de
ahorro de energía, seguridad y fiabilidad avanzadas, son simples y, tanto su instalación como su
mantenimiento son sencillos y reducen los costes de operación y mantenimiento de los clientes.

El networking flexible asegura un alto retorno de la inversión: presenta puertos gigabit

integrales y puertos GE fijos de enlace ascendente 10 GE

Numerosas funciones de servicio: más capacidades poderosas de enrutamiento de capa
3, admite múltiples terminales, conferencias de vídeo y vigilancia por vídeo de alta
definición

Tareas sencillas de operación y mantenimiento: funciona como un cliente de matriz
virtual superior (SVF) y es de conexión y uso inmediato con cero configuración, lo que
permite una administración de red simplificada.

Alta fiabilidad: se pueden conectar múltiples dispositivos para configurar una pila que
funcione como un equipo switch virtual y que reduzca los periodos de interrupción.

© PROPIETARIO Y CONFIDENCIAL 5
EARTH CONSULTING GROUP
Figura 1 Huawei S5720-SI Switch

Figura 2 Apariencia y estructura de Huawei S5720-SI Switch

1- 48 puertos 10/100/1000 BASE-T

2- 4 puertos 1000 BASE-X
3- Puerto de Administración Ethernet
4- Puerto de Consola
5- Puerto USB
6- Tornillo de Tierra
7- Etiqueta ESN
8- Modulo de Fuente de Poder Slot 2
9- Modulo de Fuente de Poder Slot 1

© PROPIETARIO Y CONFIDENCIAL 6
EARTH CONSULTING GROUP
UBICACIÓN EN LA TOPOLOGÍA DE RED

En redes de gran escala, la arquitectura de tres capas brinda una gran escalabilidad, siendo
ampliamente usada en despliegues de grandes redes empresariales/corporativos multiservicios,
así como escala para redes de campus y redes WAN.

Figura 3 Modelo de Red Jerarquica

La capa de acceso es la ubicación que tienen los switches de acceso en la topología

implementada

Figura 4 Capa de Acceso

© PROPIETARIO Y CONFIDENCIAL 7
EARTH CONSULTING GROUP
DESCRIPCIÓN DE FUNCIONALIDADES Y CONFIGURACIONES

STACK DE SWITCHES DE ACCESO

PRINCIPIOS

El término Stacked significa, que un conjunto de SWITCHES funcionen como un único SWITCH
virtual conocido como SWITCH-STACKED. El “stack” de switches nos permite reducir el número
de dispositivos a administrar e incrementar el “uptime” gracias a la redundancia.

La tecnología Stack proporciona una alta fiabilidad y escalabilidad de red, al tiempo que simplifica
la gestión de la red.

Alta confiabilidad: La redundancia de enlace u operación se puede implementar entre

switches stack a través de la agregación de enlaces entre dispositivos.

Alta escalabilidad: Puede aumentar los puertos, el ancho de banda y la capacidad de
procesamiento de un stack simplemente agregando switches al stack. Un switch de
stack puede unirse o abandonar el stack sin afectar a otros switches miembros. Los
nuevos switches sincronizan automáticamente el archivo de configuración y la versión
del software del sistema con el interruptor maestro.

Configuración y administración simplificadas: puede iniciar sesión en un stack desde
cualquier switch miembro para administrar y configurar todos los switches miembro en
el stack.

En la siguiente figura, después de que los cuatro switches están conectados por cables
de stack forman, sus dispositivos ascendentes y descendentes los consideran como un
único switch lógico. Actualmente, como máximo nueve conmutadores apilados pueden
configurar una pila.

Figure 5 Apariencia Stack Switch Huawei

© PROPIETARIO Y CONFIDENCIAL 8
EARTH CONSULTING GROUP
La tecnología Stack de Huawei se basa en los siguientes conceptos clave:

Función: Los Switches que agrega a un stack son “stacking switches”. Cada switch miembro
del stack tiene uno de los siguientes roles:
o Master Switch: Administra todo el stack. Un stack solo puede tener un “Master Switch”.
o Standby Switch: funciona como el resplado del “Master Switch”. Cuando el “Master
Switch” falla el “Standby Switch” se hace cargo de todos los servicios. Un stack solo
puede tener un “Standby Switch”
o Slave Switch: reenvía el tráfico de servicio. Cuantos más “Slave Switch” existan en un
stack, mayor será el rendimiento de reenvío de paquetes que el stack pueda
proporcionar. Además de el “Master Switch” y “Standby Switch”, el resto de Switches en
un stack, son “Slave Switches”

Stack ID: El stack ID de un switch miembro, es el slot ID del switch miembro denteo del switch
lógico. Cada switch miembreo en un stack debe tener un único stack ID.

Switch Satck Priority: Determina el rol de un miembro del stack en la elección de la función a
realizar. Un valor mayor indica una prioridad más alta y una probabilidad más alta de que un
cambio dentro del stack, este sea elegido como “Master Switch”.

CONFIGURACIÓN DE CONEXIÓN FÍSICA

Switches miembros, pueden ser conectados para formar un stack usando tarjetas stack
(modulos) o puertos de servicios ya integrados en el switch. Para el caso particular de la
integración que lleva a cabo TI America en el infraestructura de Red de PEMEX, se utiliza el
método de conexión usando los puertos de servicio. Este método de conexión será descrito a
continuación:

Procedimiento:
Para switches que serán miembros de un stack, conecta los cables siguiendo las siguientes
reglas (como ejemplo los hacemos con una topología anillo de 5 switches):

1- Conecta los switches en orden descendente (top&down)

2- Identifique los extremos master y slave de los cables de stack y asegúrese de que
• Todos los puertos en el switch superior se conectan a los extremos master del cable de
stack.
• Todos los puertos en el switch inferior se conectan a los extremos slave del cable de
stack.
• Todos los puertos de los switches intermedios se conectan a los extremos master y
slave del cable de stack.
3- Entonces los switches de forma automática, pueden configurar el stack, definiendo el
switch superior como “Master”. Stack ID son automáticamente asignados en orden
descendente.

© PROPIETARIO Y CONFIDENCIAL 9
EARTH CONSULTING GROUP
Figura 6 Conexión física de Stack

Nota: El punto 3 define una forma automática de crear el stack, sin embargo, la implementación
actual pretende definir los roles de los switches dentro del stack previos a la conexión.

© PROPIETARIO Y CONFIDENCIAL 10
EARTH CONSULTING GROUP
CONFIGURACIÓN DE STACK

Los pasos de configuración que a continuación se detallan, muestra un ejemplo de un stack

formado por 3 Switches de Acceso:

Figura 7 Conexión física de Stack de 3 Switches

1.- Configura los puertos de stack lógicos y agrega los puertos físicos seleccionados a éstos.

#Configure los puertos de servicio XGigabitEthernet0/0/1 y XGigabitEthernet0/0/2 en SwitchA

como puertos miembros físicos y agréguelos a los correspondientes puertos lógicos de stack.

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] interface stack-port 0/1
[SwitchA-stack-port0/1] port interface xgigabitethernet 0/0/1 enable
Warning: Enabling stack function may cause configuration loss on the interface. Continue?
[Y/N]:y
Info: This operation may take a few seconds. Please wait.
[SwitchA-stack-port0/1] quit
[SwitchA] interface stack-port 0/2
[SwitchA-stack-port0/2] port interface xgigabitethernet 0/0/2 enable
Warning: Enabling stack function may cause configuration loss on the interface. Continue?
[Y/N]:y
Info: This operation may take a few seconds. Please wait.
[SwitchA-stack-port0/2] quit

© PROPIETARIO Y CONFIDENCIAL 11
EARTH CONSULTING GROUP
#Configure los puertos de servicio XGigabitEthernet0/0/1 y XGigabitEthernet0/0/2 en SwitchB
como puertos miembros físicos y agréguelos a los correspondientes puertos lógicos de stack.

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] interface stack-port 0/1
[SwitchB-stack-port0/1] port interface xgigabitethernet 0/0/1 enable
Warning: Enabling stack function may cause configuration loss on the interface. Continue?
[Y/N]:y
Info: This operation may take a few seconds. Please wait.
[SwitchB-stack-port0/1] quit
[SwitchB] interface stack-port 0/2
[SwitchB-stack-port0/2] port interface xgigabitethernet 0/0/2 enable
Warning: Enabling stack function may cause configuration loss on the interface. Continue?
[Y/N]:y
Info: This operation may take a few seconds. Please wait.
[SwitchB-stack-port0/2] quit
#Configure los puertos de servicio XGigabitEthernet0/0/1 y XGigabitEthernet0/0/2 en SwitchC
como puertos miembros físicos y agréguelos a los correspondientes puertos lógicos de stack.

<HUAWEI> system-view
[HUAWEI] sysname SwitchC
[SwitchC] interface stack-port 0/1
[SwitchC-stack-port0/1] port interface xgigabitethernet 0/0/1 enable
Warning: Enabling stack function may cause configuration loss on the interface. Continue?
[Y/N]:y
Info: This operation may take a few seconds. Please wait.
[SwitchC-stack-port0/1] quit
[SwitchC] interface stack-port 0/2
[SwitchC-stack-port0/2] port interface xgigabitethernet 0/0/2 enable
Warning: Enabling stack function may cause configuration loss on the interface. Continue?
[Y/N]:y
Info: This operation may take a few seconds. Please wait.
[SwitchC-stack-port0/2] quit

2.- Configura stack IDs y prioridades de stack para definición de roles.

#Establece la prioridad de stack del Switch A a 200

[SwitchA] stack slot 0 priority 200
Warning: Please do not frequently modify Priority because it will make the stack split. Continue?
[Y/N]:y

#Establece el stack ID de SwitchB a 1.

[SwitchB] stack slot 0 renumber 1

Warning: All the configurations related to the slot ID will be lost after the slot ID is modified.
Please do not frequently modify slot ID because it will make the stack split. Continue? [Y/N]:y
Info: Stack configuration has been changed, and the device needs to restart to make the
configuration effective.

© PROPIETARIO Y CONFIDENCIAL 12
EARTH CONSULTING GROUP
#Establece el stack ID de SwitchC a 2.
[SwitchC] stack slot 0 renumber 2
Warning: All the configurations related to the slot ID will be lost after the slot ID is modified.
Please do not frequently modify slot ID because it will make the stack split. Continue? [Y/N]:y
Info: Stack configuration has been changed, and the device needs to restart to make the
configuration effective.

3.- Finalmente apague los Switches A, B y C; conéctelos con cables de stack SFP+ y después
encienda los Switches nuevamente.

NOTA:

Ejecuta el comando save para guardar las configuraciones antes de que se apaguen
lo switches.

stack-port 0/1 de un Switch debe ser conectado al stack-port 0/2 del switch vecino. De lo
contrario el stack no se puede configurar

Para asegurar que el stack ha sido satisfactoriamente establecido, conecta y
alimenta los switches en la siguiente secuencia. (Para especificar un switch miembro
como “master switch” , enciende ese switch primero. En este ejemplo, Switch A es
el “master Switch”.)
a) Apaga switches A, B, y C.
b) Conecta Switches A y B con un cable de stack.
c) Encienda e inicie Switch A y entonces después encienda Switch B.
d) Valide que Switch A y Switch B han establecido el stack satisfactoriamente.
e) Conecte Switch C a Switch B y Switch A usando cables de stack y entonces
encienda SwitchC
f) Valide que Switch A, SwitchB y SwitchC han establecido el stack
satisfactoriamente.

4.- Verifica la configuración

#Valide configuración básica

[SwitchA] display stack

Stack mode: Service-port
Stack topology type : Ring
Stack system MAC: 0018-82d2-2e85
MAC switch delay time: 10 min
Stack reserved vlan : 4093
Slot of the active management port: --
Slot Role Mac address Priority Device type
-------------------------------------------------------------
0 Master 0018-82d2-2e85 200 S5700-28P-LI-AC
1 Standby 0018-82c6-1f44 100 S5700-28P-LI-AC
2 Slave 0018-82c6-1f4c 100 S5700-28P-LI-AC

© PROPIETARIO Y CONFIDENCIAL 13
EARTH CONSULTING GROUP
RESOLUCIÓN DE FALLAS COMUNES EN STACKS

Causas comunes

Algunos switches pueden no agregarse a un stack debido a las siguientes causas:

Los switches de diferente modelo no pueden integrarse en un mismo stack.

Un switch no tiene la etiqueta electrónica o tiene una incorrecta etiqueta electrónica.

Una tarjeta stack no tiene etiqueta electrónica o etiqueta electrónica incorrecta.

Los puertos de stack están incorrectamente conectados.

Algunos cables de stack o tarjetas de stack estan defectuosos.

La VLAN reservada para stack está ocupada.

Las direcciones MAC de los switches miembros entran en conflicto entre sí.

Procedimiento

[Link] el modelo del Switch.

#Ejecute el comando display device para verificar el modelo del dispositivo.

<HUAWEI> display device

S5720-32X-EI-AC's Device status:
Slot Sub Type Online Power Register Status Role
-------------------------------------------------------------------------------
0 - S5720-32X-EI Present PowerOn Registered Normal Master

Si los switches de diferentes modelos no pueden configurar el stack o un switch no es

compatible para soportar la función de stack, reemplace el switch.

Si los switches soportn stacking continua con el siguiente paso.

© PROPIETARIO Y CONFIDENCIAL 14
EARTH CONSULTING GROUP
2. Verifique que se haya cargado un etiqueta electrónica correcta en el switch
#Ejecute el comando display elabel para ver la etiqueta electrónica.

<HUAWEI> display elabel

/$[System Integration Version]
/$SystemIntegrationVersion=3.0

[Slot_0]
/$[Board Integration Version]
/$BoardIntegrationVersion=3.0

[Main_Board]
/$[ArchivesInfo Version]
/$ArchivesInfoVersion=3.0

[Board Properties]
BoardType=S5720EI
BarCode=21023595860123456789
Item=02359586
Description=S5720-32X-EI-AC(24 Ethernet 10/100/1000 ports,4 100/1000 SFP,4 10 Gig SFP+,AC
110/220V)
Manufactured=2014-05-15
VendorName=Huawei
IssueNumber=00
CLEICode=
BOM=02359586

Si todos los campos bajo [Board Properties] están vacios, una etiqueta electrónica no
ha sido cargada al switch. Reemplaza el switch.

Si los campos bajo [Board Properties] no están vacios, una etiqueta electrónica ha sido
cargada al switch. Continua con el siguiente paso.

© PROPIETARIO Y CONFIDENCIAL 15
EARTH CONSULTING GROUP
3. Verifique la etiqueta electrónica de la tarjeta de stack. Este paso no es requerido sobre un
switch que usa modulos especiales para stack.
#Ejecute el comando display elabel slot [slot-id subcard-id] para ver la etiqueta electrónica
de la tarjeta de stack.
<HUAWEI> display elabel slot 0 1
/$[System Integration Version]
/$SystemIntegrationVersion=3.0

[Slot_0]
/$[Board Integration Version]
/$BoardIntegrationVersion=3.0

[Main_Board]
/$[ArchivesInfo Version]
/$ArchivesInfoVersion=3.0

[Board Properties]
BoardType=S5720EI
BarCode=0302MDW
Item=
Description=Dedicated stack card with 2*QSFP+ interface(Including one PCS of 1M QSFP+
cable ,Used in S5720EI series)
Manufactured=2014-07-07
VendorName=Huawei
IssueNumber=00
CLEICode=
BOM=

Si todos los campos bajo [Board Properties] la tarjeta de stack no funcionada
adecuadamente, reemplaza la tarjeta de stack.

Si los campos bajo [Board Properties] no están vacios, una etiqueta electrónica ha sido
cargada correctamente a la tarjeta de stack. Continua con los siguientes pasos.

© PROPIETARIO Y CONFIDENCIAL 16
EARTH CONSULTING GROUP
4. Verifica los cables de stack.
#Ejecute el comando display stack port [brief | slot slot-id] para validar si el cable de stack
esta conectado correctamente.

<HUAWEI> display stack port slot 0 stack-port0/1:

---------------------------------------------
Current state : UP
Speed : 21000
Input: 231394 packets, 45889632 bytes
Unicast: 231025, Multicast: 0
Broadcast: 0, Jumbo: 369
Discard: 0, Frames: 0
Total Error: 0
CRC: 0, Giants: 0
Jabbers: 0, Fragments: 0
Runts: 0, DropEvents: 0
Alignments: 0, Symbols: 0
Ignoreds: 0
Output: 247387 packets, 42114410 bytes
Unicast: 246108, Multicast: 989
Broadcast: 0, Jumbo: 290
Discard: 0
Total Error: 0
Collisions: 0, ExcessiveCollisions: 0
Late Collisions: 0, Deferreds: 0
Buffers Purged: 0

Si el current state de un puerto de stack en el switch es UP, procede con el siguiente
paso.

Si el estado de un puerto de stack es DOWN, verifique si el switch conectado al puerto
se ha apagado o si se está reiniciando. De ser así, compruebe si el estado del puerto de
stack está activado después de que se reinicie el switch conectado. De lo contrario,
reemplace el cable de stack

Si la falla persiste, continúe con el siguiente paso.

5. Verifica si la VLAN reservada de stack, se encuentra ocupada.

#Ejecute el comando display stack para validar la vlan reservada de un switch miembro. Por
defecto la VLAN reservada es 4093.

#Ejecute el comando display vlan vlan-id. Si la VLAN reservada para stack no esta ocupada,
proceda con el siguiente paso.

<HUAWEI> display vlan 4093

Error: The VLAN does not exist.

Si la VLAN reservada esta ocupada, ejecuta cualquiera de los siguiente comandos para
rectificar la falla:
o Ejecuta el comando stack reserved-vlan vlan-id en la vista de sistema (system
view) para modificar la VLAN reservada
o Borra los servicios en la VLAN reservada y ejecuta el comando undo vlan vlan-
id en el system view para eliminar la VLAN

Si la falla persiste, continúe con el siguiente paso.

© PROPIETARIO Y CONFIDENCIAL 17
EARTH CONSULTING GROUP
6. Verifica que las direcciones MAC de los switches miembros no entran en conflicto entre sí
#Ejecute el comando display stack para validar si la MAC address del Switch a ser agregado al
stack tiene conflicto con la MAC address de un switch miembro existente. Si no, procede con el
siguiente paso.

<HUAWEI> display stack

Stack mode: Service-port
Stack topology type: Link
Stack system MAC: 0200-0000-01ab
MAC switch delay time: 10 min
Stack reserved vlan: 4093
Slot of the active management port: 0
Slot Role Mac address Priority Device type
-------------------------------------------------------------
0 Master 0200-0000-01ab 255 S5720-32X-EI-AC
1 Standby 0200-0000-0000 200 S5720-32X-EI-AC

7. Recolecta la siguiente información y contacta a nuestro personal para asistencia técnica

personalizada.

Resultados del procedimiento de troubleshooting.

Archivo de configuración, logs, y alarmas en lo switches miembros.

Alarmas Relevantes

Alarmas Relevantes
o Un puerto de stack esta Up: FSP_1.[Link].1.2011.[Link].22.1 hwStackLinkUp
o Un puerto de stack esta Down: FSP_1.[Link].1.2011.[Link].22.2
hwStackLinkDown
o Un switch se ha unido al stack: FSP_1.[Link].1.2011.[Link].22.6
hwStackStackMemberAdd
o Un switch ha dejado el stack: FSP_1.[Link].1.2011.[Link].22.7
hwStackStackMemberLeav

© PROPIETARIO Y CONFIDENCIAL 18
EARTH CONSULTING GROUP
CONFIGURACIÓN DE PUERTOS FISICOS (VLANS) EN SWITCHES DE ACCESO

PRINCIPIOS

Las redes de área virtual (VLAN) es una tecnología que permite dividir una red de área local
física dentro de multiples dominios de broadcast.
A través de la asignación de VLANs dispositivos finales dentro de una misma VLAN pueden
comunicarse entre sí, mientras que hosts asignados a diferentes VLANs no pueden comunicarse
entre ellos, de esta manera los paquetes de broadcast son limitados entre estas VLANs.
La tecnología VLAN proporciona las siguientes ventajas:

1. Limita el dominio de boradcast: El dominio de broadcast es restringido dentro de una

VLAN, ahorrando ancho de banda y mejorando el procesamiento de red.
2. Mejora la seguridad LAN: Paquetes entre diferentes VLANs estan separados. Esto es,
usuarios en diferentes VLANs no pueden comunicarse.
3. Mejora la robustez de la red: Fallas o amanezas detectadas en una VLAN no afectan
otras VLANs.
4. Creación flexible de grupos de trabajo virtuales: Tecnología VLAN puede asignar
usuarios finales a diferentes grupos de trabajo. Usuarios asignados a un grupo de trabajo
no estan restringidos a una posición fija de trabajo.

Para asignar VLANs a los puertos fisicas que integran un Switch, se definen 3 tipos de puertos:

Puerto de Acceso: Conecta dispositivos finales (hosts) como computadoras,

impresoras, terminales de trabajo, etc.

Puerto Trunk: Permite la conexión de otro switch u AP.

Puerto Híbrido: Puede recibir la conexión de equipos hosts o tipo Switch. Además es
la configuración necesario para recibir la conexión de un telefono IP en Huawei.

CREACION DE VLANS

Para la creación de VLANs en los switches de acces Huawei serie 5700, debemos ejecutar el
comando vlan batch en system view. Este permitirá crear un rango de VLANs o VLANs
discontinuas, según sea nuestra necesidad.

Crea 10 vlans continuas, desde la 11 a la 20.

<HUAWEI> system-view
[HUAWEI] vlan batch 11 to 20

Crea 10 vlans no continuas, por ejemplo: VLANs 10, 15, 19, 25, 28 a 30
<HUAWEI> system-view
[HUAWEI] vlan batch 10 15 to 19 25 28 to 30

NOTA: Se puede crear con el comando vlan batch un máximo de 10 vlans no continuas. Si tu
necesitas crear mas de 10 vlans no continuas, repite el comando las veces necesarias para crear
las vlans.

© PROPIETARIO Y CONFIDENCIAL 19
EARTH CONSULTING GROUP
ASIGNACIÓN DE PUERTOS A UNA VLAN

Para agregar un puerto a una VLAN, antes debemos configurar el tipo de interfaz que será
utilizado

Agregando un puerto de acceso a una VLAN

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access //Configura la interfaz como
puerto de acceso
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //Agrega el puerto G0/0/1 a
la VLAN 10

Agregando un puerto trunk a una VLAN

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk //Configura el puerto como
tipo TRUNK
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 //Permite el paso de
la VLAN 10 o n VLANs a través del puerto TRUNK

Agregando un puerto híbrido a una VLAN

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid //Configura el puerto como
tipo híbrido
[HUAWEI-GigabitEthernet0/0/1] port hybrid tagged vlan 10 //Agrega el puerto G0/0/1
para etiquetar paquetes de la VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 20 //Agrega el puerto
G0/0/1 para no etiquetar paquetas de la VLAN 20

RESTAURACIÓN DE LA CONFIGURACIÓN DE UN PUERTO

La configuración por defecto de una interfaz implica que el PVID y la VLAN 1 se asocien a la
interfaz.

Restaurar a los valores por defecto un puerto de acceso.

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port default vlan

Restaurar a los valores por defecto un puerto trunk.

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port trunk pvid vlan
[HUAWEI-GigabitEthernet1/0/1] undo port trunk allow-pass vlan all
[HUAWEI-GigabitEthernet1/0/1] port trunk pvid vlan 1

Restaurar a los valores por defecto un puerto híbrido.

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port hybrid pvid vlan
[HUAWEI-GigabitEthernet1/0/1] undo port hybrid vlan all
[HUAWEI-GigabitEthernet1/0/1] port hybrid untagged vlan 1

© PROPIETARIO Y CONFIDENCIAL 20
EARTH CONSULTING GROUP
CONFIGURACIÓN PARA INTERCONEXIÓN ENTRE SWITCHES Y TELÉFONOS IP

PRINCIPIOS

En una red VoIP, un teléfono IP necesita conectarse a un switch para transmitir el tráfico de voz.
En esta situación, tanto los flujos de voz como los de datos se transmiten en la red VoIP. Cómo
transmitir el tráfico de voz de forma preferencial para garantizar la calidad de la comunicación es
la clave para el funcionamiento adecuado entre el teléfono IP y el switch.

Un switch identifica paquetes de voz basados en direcciones MAC de teléfonos IP o ID de VLAN

de voz, y aumenta la prioridad de los paquetes de voz para que se transmitan de manera
preferente.

LLDP es un protocolo de descubrimiento de dispositivos vecinos standard, que ha sido diseñado

para equipos de redes como switches y routers. Este protocolo es muy útil para descubrir la
presencia de los teléfonos IP en una red.

Conectadon telefonos IP a switches a través de LLDP, un teléfono IP puede obtener el ID de la

VLAN de Voz y un switch puede identificar paquetes de voz basados en el ID de VLAN de Voz.

Una VLAN de Voz es usada para enviar paquetes de voz. Un switch Huawei solo permite una
VLAN para ser definida como VLAN de Voz dentro de la configuración de una interfaz física,
pero no puede asignar el ID de la VLAN de Voz a dispositivos de voz. Protocolos como LLDP o
DHCP necesitan ser usados para asignar un específico ID de VLAN de Voz a los dispositivos
de voz.

CONEXIÓN FÍSICA DE UN TELÉFONO IP A LA RED.

Un teléfono IP ofrece dos interfaces físicas para conectarse como uplink hacia un switch y un
PC, respectivamente. Cuando el teléfono IP y la PC son desplegados simultáneamente, hay dos
métodos para realizarlo:

Conectar un PC al teléfeono IP y este a su vez hacia el Switch de Acceso.

Figura 8 Conectando PC al Teléfono IP

Ventaja: Solo un puerto del Switch es ocupado, con lo cual ofrecemos mayor disponibilidad de
puertos. Esto es, un puerto de red ofrece ambos servicios, voz y datos.

© PROPIETARIO Y CONFIDENCIAL 21
EARTH CONSULTING GROUP

Conectar un PC y un Teléfono IP de forma independiente al Switch.

Figura 9 Conectando PC y Teléfono IP separados

Ventaja: El flujo de voz y de datos viajan de forma separada, facilitando administración y

mantenimiento.

CONFIGURACIÓN DE PUERTO DE RED PARA CONEXIÓN DE TELÉFONO IP.

Procedimiento

1. Habilita LLDP en el Switch.

<SwitchA> system-view
[SwitchA] lldp enable //Habilita LLDP de forma global. Por defecto, LLDP es
habilitado sobre una interfaz.

2. Configura el Switch para enviar flujo de datos y de voz, habilitando la función de VLAN
de Voz.
#Crea VLAN 101 para datos
[SwitchA] vlan batch 101 //Flujo de datos son transmitidos en VLAN 101.

# Crea VLAN 100, la cual enviará trafico de voz.

[SwitchA] vlan batch 100 //Configura VLAN 100 en la cual trafico de voz será
transmitido.

# Establecer el puerto de red para enviar trafico de voz y datos como tipo híbrido.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid //El valor por defecto del
puerto no es tipo híbrido, por lo tanto necesita ser manualmente configurado.

# Para el tráfico de datos en la interfaz, definir el PVID de la interfaz a la VLAN 101 y no

etiquetar los paquetes enviado desde esta vlan.
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 101
[SwitchA-GigabitEthernet1/0/1] port hybrid tagged vlan 100 //Agrega la interfaz
a la vlan de voz VLAN 100 en modo tagged.

© PROPIETARIO Y CONFIDENCIAL 22
EARTH CONSULTING GROUP
 # Habilita la función de vlan de voz (voice vlan) y etiqueta los paquetes enviados por
dicha vlan.
[SwitchA-GigabitEthernet1/0/1] port hybrid tagged vlan 100 //Agrega la interfaz
a la vlan de voz VLAN 100 en modo tagged.
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable

# Habilita la función de compatibilidad con CDP para permitir la conexión de teléfonos

IP de otros fabricantes como Cisco.
[SwitchA-GigabitEthernet1/0/1] voice-vlan legacy enable

3. Finalmente la configuración de un puerto del switch de acceso para la conexión de un

teléfono IP, permitiendo el envio de tráfico de voz y datos queda de la siguiente manera:
4.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid El valor por defecto del
puerto no es tipo híbrido, por lo tanto necesita ser manualmente configurado.
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 101
[SwitchA-GigabitEthernet1/0/1] port hybrid tagged vlan 100 //Agrega la interfaz
a la vlan de voz VLAN 100 en modo tagged.
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 101 //Agrega la interfaz
a la vlan de datos VLAN101 en modo untagged
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable
[SwitchA-GigabitEthernet1/0/1] voice-vlan legacy enable
[SwitchA-GigabitEthernet1/0/1] quit

CONFIGURACIÓN VBST

PRINCIPIOS

Actualmente existen tres protocolos estándar de spaning tree: Spanning Tree Protocol (STP),
Rapid Spanning Tree Protocol (RSTP), y Multiple Spanning Tree Protocol (MSTP), Switches
Huawei soportan estos tres protocolos estandar además de VBST (VLAN-Based Spanning Tree)
el cual esta disponible a partir de la versión V200R005 y posteriores.

Sin embargo, STP y RSTP no pueden implementar balanceo de cargas basado en VLANs, por
que todas las VLANs sobre una LAN comparten un mismo proceso de spaning tree y paquetes
en todas las VLANs son eviados juntos en el mismo proceso de spaning tree. En situaciones
reales, MSTP es preferido por que este es compatible con STP y RSTP, asegura una rápida
convergencia y proporciona multiples caminos para el balanceo de carga del tráfico.

En las redes empresariales, los administradores de la red necesitan funciones que sean fáciles
de usar y mantener, mientras que la configuración de MSTP de múltiples instancias y procesos
múltiples es compleja y requiere altos requisitos de habilidades y conocimiento en los ingenieros.

Para abordar este problema, Huawei desarrolla VBST. VBST construye un proceso de spaning
tree en cada VLAN para que el tráfico de diferentes VLANs se equilibre en la carga a lo largo de
diferentes procesos de spaning tree. Además, VBST es fácil de configurar y mantener.

© PROPIETARIO Y CONFIDENCIAL 23
EARTH CONSULTING GROUP
Beneficios

Elimina loops

Implementa la multiplexación de enlaces y el equilibrio de carga, y por lo tanto mejora la
eficiencia del uso del enlace

Reduce los costos de configuración y mantenimiento.

HABILITANDO VBST

La configuración de VBST toma efecto, solo cuando VBST es habilitado.

Procedimiento

1. Configura el modo de trabajo del Switch para definirse como VBST. Por defecto los
switches Huawei trabajan en modo MSTP.

<HUAWEI> system-view
[HUAWEI] stp mode vbst

2. Habilita VBST de forma global en el Switch

[HUAWEI] stp enable

3. La configuración final queda:

<HUAWEI> system-view
[HUAWEI] stp mode vbst
[HUAWEI] stp enable

Comprobando la configuración

Procedimiento

Ejecuta el comando display stp [ vlan vlan-id ] [ interface interface-type interface-

number | slot slot-id ] [ brief ] para comprobar estadisticas y estado de spanning tree.

Ejecuta el comando display stp [ vlan vlan-id ] para comprobar detalles y estadisticas
de spanning tree en todos los puertos.

Ejecuta el comando display stp [ vlan vlan-id ] bridge { root | local } para comprobar el
estado de spanning tree del local bridge y del root bridge

Ejecuta el comando display stp global para observar el resumen del protocolo
spanning tree.

Ejecuta el comando display stp region-configuration [ digest ] para comprobar el
mapeo entre instancias de spanning tree y VLANs

© PROPIETARIO Y CONFIDENCIAL 24
EARTH CONSULTING GROUP
CONFIGURACIÓN EDGE-PORT

PRINCIPIOS

En una red capa 2 que ejecuta STP, un puerto conectado a terminales no necesita participar en
el cálculo STP. Si el puerto participa en el cálculo de STP, la velocidad de convergencia de la
red se verá afectada. Además, los cambios de estado del puerto pueden causar flapping en la
red, interrumpiendo el tráfico del usuario. Para solucionar este problema, puede ejecutar el
comando stp edge-port enable para configurar el puerto como un edge port. Entonces, el puerto
no participará en el cálculo STP. Esto acelera la convergencia de la red y mejora la estabilidad
de la red.

Precauciones
Un edge port no participa en el cálculo STP. El edge port puede pasar de estado de Disable a
Forwarding inmediatamente sin demora. El switch configura automáticamente un edge port como
un non-edge-port una vez que el edge-port recibe un BPDU. Luego, el STP se vuelve a calcular.

HABILITANDO EDGE-PORT

1. Configura el puerto GE1/0/1 del Switch como un edge port

<Huawei> system-view
[Huawei] interface gigabitethernet 1/0/1
[Huawei-GigabitEthernet1/0/1] stp edged-port enable

HABILITANDO BPDU PROTECTION

1. Ejecuta el comando BPDU protection en el switch de acceso.

<Huawei> system-view
[Huawei] stp bpdu-protection

Después de habilitar el comando stp bpdu-protection en un switch de acceso, el switch apaga

el edge-port, si el edge-port recibe un BPDU. Los atributos del edge-port no se cambian.

© PROPIETARIO Y CONFIDENCIAL 25
EARTH CONSULTING GROUP
CONFIGURACIÓN DE SEGURIDAD EN SWITCHES DE ACCESO

PRINCIPIOS

La seguridad en capa 2 es, en ocasiones, el eslabón más débil de las organizaciones. El saber
que estos ataques realizados en capa 2 son difíciles de detectar y el impacto que tienen es alto
debería encender un foco rojo en las mismas organizaciones. En la mayoría de las ocasiones
no es necesario adquirir nueva tecnología para evitar estos ataques, simplemente se
debe aplicar una política de seguridad a los dispositivos actuales, como son los switches.

CONFIGURANDO LISTAS DE ACCESO (ACL)

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que
describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones
de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados en reglas. Un dispositivo con una ACL configurada coincide
con paquetes basados en las reglas para obtener los paquetes de un cierto tipo, y luego decide
reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de
servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL
de Capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de información
como direcciones IP de origen, información de fragmento y rangos de tiempo. Si solo necesita
filtrar paquetes en función de las direcciones IP de origen, puede configurar una ACL básica.

Procedimiento

Configure una ACL Basica.

[Switch] acl name SSH 2001
[Switch-acl-basic-2001] rule permit source [Link] [Link] //Permite a los
usuarios sobre el segmento de red definidio hacer match con la ACL.
[Switch-acl-basic-2001] rule deny source any //Al final evita que usuarios que no hacen
match con la ACL ingresen al servicio definido.
[Switch-acl-basic-2001] quit

© PROPIETARIO Y CONFIDENCIAL 26
EARTH CONSULTING GROUP
CONFIGURANDO SEGURIDAD EN PUERTOS DE RED

Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad
de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se
conecte sólo la estación autorizada.

Procedimiento

Configura seguridad en los puertos de red de los switches de acceso, habilitando las funciones
de port-security y storm control.

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port-security enable //Habilita port security.
[Switch-GigabitEthernet1/0/1] port-security max-mac-num 3 //Despues de que port security
es habilitado, la interfaz puede aprender hasta el numero de mac address definidas, en
este caso son 3
[Switch-GigabitEthernet1/0/1] storm-control broadcast min-rate 8000 max-rate 8000 //Define
los umbrales minimo y maximo que una interfaz puede recibir en una tormenta de broadcast
[Switch-GigabitEthernet1/0/1] storm-control multicast min-rate 8000 max-rate 8000 //Define
los umbrales minimo y maximo que una interfaz puede recibir de paquetes multicsst
desconocidos
[Switch-GigabitEthernet1/0/1] storm-control interval 90 //Define el intervalo de detección
de tormenta de broadcast
[Switch-GigabitEthernet1/0/1] storm-control enable log //Habilita el registro de Logs
[Switch-GigabitEthernet1/0/1] storm-control action block //Define la acción a ejecutar con
los paquetes al rebasar los umbrales definidios.

CONFIGURACIÓN DE AAA PARA ACCESO REMOTO

PRINCIPIOS

AAA es un modelo de control de acceso a un sistema informático, que implica un conjunto de

herramientas, procedimientos y protocolos que garantizan un tratamiento coherente de las
tareas de autenticación, autorización y registro de actividad de las entidades que tienen acceso
a un sistema de información.

Este modelo en los switches de acceso, define la manera en que los administradores de la red
se conectaran a los Swicthes de Acceso para su gestión.

© PROPIETARIO Y CONFIDENCIAL 27
EARTH CONSULTING GROUP
CONFIGURANDO AUTENTICACIÓN CON HWTACACS

Procedimiento

1. Configure AAA local authentication.

[Switch] aaa
[Switch-aaa] local-user user1 password irreversible-cipher Huawei@1234 //Crea el
usuario user1 y establece el password.

[Switch-aaa] local-user user1 service-type telnet terminal ssh ftp http //Define los
tipo de accesos que user1 tendrá.

[Switch-aaa] local-user user1 privilege level 15 //Define el nivel de usuario de

user1 a 15. El usuario puede usar los comandos de nivel 15 y abajo.
[Switch-aaa] quit

2. Configura autenticación HWTACACS.

# Configure una plantilla (template) de servidor HWTACACS para implementar la
comunicación entre el dispositivo y el servidor HWTACACS.
[Switch] hwtacacs-server template PEMEX
[Switch-hwtacacs-1] hwtacacs-server authentication [Link] 49 //Especifica la
dirección IP y el número de puerto del servidor de autenticación HWTACACS.
[Switch-hwtacacs-1] hwtacacs-server authorization [Link] 49 //Especifica la
dirección IP y el número de puerto del servidor de autorización HWTACACS.
[Switch-hwtacacs-1] hwtacacs-server accounting [Link] 49 //Especifica la dirección
IP y el número de puerto del servidor de accounting HWTACACS.
[Switch-hwtacacs-1] hwtacacs-server source-ip [Link] //Define la dirección que
el Switch utilizara para comunicarse con el Servidor HWTCACS
[Switch-hwtacacs-1] hwtacacs-server shared-key cipher Hello@1234 //Especifica la
llave compartida de los servicios de HWTACACS, la cual debe ser la misma en el Servidor
HWTACACS
Switch-hwtacacs-1] quit

# Configura el esquema AAA, define los metodos de autenticación HWTACACS y local.

[Switch] aaa
[Switch-aaa] authentication-scheme PEMEX
[Switch-aaa-authen-sch1] authentication-mode hwtacacs local
[Switch-aaa] authorization-scheme PEMEX
[Switch-aaa-authen-sch1] authentication-mode hwtacacs local
[Switch-aaa] accounting-scheme PEMEX
[Switch-aaa-authen-sch1] authentication-mode hwtacacs local
[Switch-aaa-authen-sch1] quit

# Aplica el esquema AAA definido y la plantilla del servidor HWTCACS a un dominio.

[Switch-aaa] domain [Link]
[[Link]] authentication-scheme PEMEX
[[Link]] authorization-scheme PEMEX
[[Link]] accounting-scheme PEMEX
[[Link]] hwtacacs-server PEMEX
[[Link]] quit
[Switch-aaa] quit

© PROPIETARIO Y CONFIDENCIAL 28
EARTH CONSULTING GROUP
CONFIGURANDO ACCESO REMOTO SSH

El protocolo Secure Shell (SSH) implementa acceso remoto seguro en redes inseguras, lo que
garantiza la integridad y confiabilidad de los datos y garantiza la transmisión segura de datos.
STelnet, basado en el protocolo SSH, garantiza la seguridad de la información y proporciona una
potente función de autenticación. STelnet protege un switch contra ataques como IP spoofing.
De forma predeterminada, no puede iniciar sesión en un switch utilizando STelnet. Debe iniciar
sesión en un switch utilizando un puerto de consola o Telnet, y posterior configurar la función
STelnet y los parámetros de la interfaz de usuario.

Procedimiento

Configurar acceso Stelnet (SSH).

# Generar el par de llaves locales en el servidor de Stelnet.
<HUAWEI> system-view
[HUAWEI] sysname Switch
[HUAWEI] dsa local-key-pair create
Info: The key name will be: HUAWEI_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048. Info: If the key
modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]:
Info: Generating keys...
Info: Succeeded in creating the DSA host keys.

# Configura la interfaz de usuario VTY.

[Switch] stelnet server enable //Activa la funcion de servidor STelnet.
[Switch] user-interface vty 0 14 //Ingresa las vistas de interfaz de usuario VTY 0 a
VTY 14.
[Switch-ui-vty0-14] user privilege level 15 //Define el nivel de privilegio de usuarios
a 15
[Switch-ui-vty0-14] authentication-mode aaa //Establece el modo de autenticación de
los usuarios
[Switch-ui-vty0-14] protocol inbound ssh //Configura que las vistas de interfaz de
usuario VTY soporten SSH
[Switch-ui-vty0-14] quit

# Establece el modo de autenticación de SSH y el tipo de servicio Stelnet.

[Switch] ssh user admin authentication-type password
[Switch] ssh user admin service-type stelnet

© PROPIETARIO Y CONFIDENCIAL 29
EARTH CONSULTING GROUP
CONFIGURACIÓN DE NTP

PRINCIPIOS

El Network Time Protocol (NTP) es un protocolo de capa de aplicación en el conjunto de

protocolos TCP / IP. NTP se utiliza para sincronizar el tiempo entre un conjunto de servidores de
tiempo y clientes distribuidos. NTP se implementa según el protocolo de Internet (IP) y el
protocolo de datagramas de usuario (UDP). Los paquetes NTP se transmiten usando el puerto
UDP 123.

CONFIGURANDO SERVICIOS DE NTP

Procedimiento

Configurando funciones de NTP

# Deshabilitar el modo servidor sobre el switch de acceso
<HUAWEI> system-view
[HUAWEI] ntp-service server disable
[HUAWEI] ntp-service ipv6 server disable

# Definir el servidor o los servidores de NTP que usará el switch para establecer su reloj local e
indicar la VLAN por la enviará los paquetes de sincronización
[HUAWEI] ntp-service unicast-server [Link] source-interface Vlanif2415
[HUAWEI] ntp-service unicast-server [Link] source-interface Vlanif2415

#La configuración final queda de la siguiente manera.

<HUAWEI> system-view
[HUAWEI] ntp-service server disable
[HUAWEI] ntp-service ipv6 server disable
[HUAWEI] ntp-service unicast-server [Link] source-interface Vlanif2415
[HUAWEI] ntp-service unicast-server [Link] source-interface Vlanif2415

© PROPIETARIO Y CONFIDENCIAL 30
EARTH CONSULTING GROUP
COMPROBANDO SERVICIOS DE NTP

Procedimiento
# Despliega el estado de servicios NTP.
<HUAWEI> display ntp-service status
clock status: synchronized
clock stratum: 2
reference clock ID: LOCAL(0)
nominal frequency: 60.0002 Hz
actual frequency: 60.0002 Hz
clock precision: 2^18
clock offset: 0.0000 ms
root delay: 0.00 ms
root dispersion: 0.00 ms
peer dispersion: 10.00 ms
reference time: [Link].259 UTC Apr 25 2012(C6179088.426490A3)
synchronization state: spike (clock will be set in 1010 secs)

# Muestra información de sesiones NTP en el dispositivo local.

<HUAWEI> display ntp-service sessions
clock source: [Link]
clock stratum: 1
clock status: configured, insane, valid, unsynced
reference clock ID: LOCAL(0)
reach: 0
current poll: 64
now: 9 offset:
0.0000 ms
delay: 0.00 ms
disper: 0.00 ms

# Muestre el resumen de cada servidor NTP que pasa cuando rastrea la fuente de reloj de
referencia desde el dispositivo local.
<HUAWEI> display ntp-service trace
server [Link],stratum 5, offset 0.024099 s, synch distance 0.06337
server [Link],stratum 4, offset 0.028786 s, synch distance 0.04575
server [Link],stratum 3, offset 0.035199 s, synch distance 0.03075
server [Link],stratum 2, offset 0.039855 s, synch distance 0.01096
refid [Link]

© PROPIETARIO Y CONFIDENCIAL 31
EARTH CONSULTING GROUP
# Muestre estadisticas de paquetes NTP
<HUAWEI> display ntp-service statistics packet
NTP IPv4 Packet Statistical Information
---------------------------------------
Sent : 100
Send failures : 10
Received : 1000
Processed : 800
Dropped : 200
Validity test failures : 50
Authentication failures : 20
Invalid packets : 50
Access denied : 50
Rate-limited : 0
Processing delay : 50
Interface disabled : 0
Max dynamic association reached : 0
Others : 0
Last 2 packets drop reasons:
[2011-11-24 [Link]-08:00] Global drop: NTP service disabled for interface.
[2011-11-24 [Link]-08:00] Global drop: NTP service disabled for interface.

CONFIGURACIÓN DE SNMP

PRINCIPIOS

SNMP es un protocolo de gestión de red estándar ampliamente utilizado en redes TCP / IP.
SNMP gestiona los elementos de red mediante el uso de una computadora central (una estación
de administración de red) que ejecuta el software de administración de red.

CONFIGURANDO SERVICIOS DE SNMP

PROCEDIMIENTO

1. Configura SNMPv1 sobre el switch indicando la version correspondiente.

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] snmp-agent
[Switch] snmp-agent sys-info version { v1 | v2c | v3 }

2. Configura una ACL que permita el acceso del NMS al switch.

[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source [Link] 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
[Switch] snmp-agent acl 2001

© PROPIETARIO Y CONFIDENCIAL 32
EARTH CONSULTING GROUP
3. Configure un nombre de comunidad (escritura y lectura) según el cual el conmutador
permite el acceso al NMS.
[Switch] snmp-agent community read cipher smoke
[Switch] snmp-agent community write cipher bear

4. Configure un trap host y habilite el switch para automaticamente enviar traps hacia el
NMS. También defina cual sera la interfaz origen desde la cual los traps serán enviados
[Switch] snmp-agent trap enable
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y
//Enable all trap functions on the switch. By default, only some trap functions are
enabled. You can run the display snmp-agent trap all command to check trap status.
[Switch] snmp-agent trap source vlanif 2415

© PROPIETARIO Y CONFIDENCIAL 33
EARTH CONSULTING GROUP