Los problemas que te puedes encontrar en routers y switches Cisco se repiten, y siempre hay alguien que se ha enfrentado a ellos antes que tú, y los ha solucionado. Si quieres conocer los problemas más habituales en dispositivos Cisco que pueden ocurrir, aquí te lo contamos.
Problemas con Velocidad y Duplex de interfaz
La mayoría de interfaces Ethernet basados en UTP soportan múltiples velocidades, en Full o Half duplex, y opciones de auto-negociación Standard. Estos interfaces se pueden configurar para usar una determinada velocidad con el comando speed {10|100|1000} y el modo de duplex con el comando duplex {full|half}. Si seleccionas uno de estos modos de forma manual, el switch o router deshabilita la opción de auto-negociación.
Para comprobar qué tipo de configuración tienen los puertos de tu dispositivo, debes usar el comando show interface status, y te indicará cómo se ha determinado la velocidad y el duplex. Cuando se trate del resultado de la auto-negociación, pondrá una a- por delante del modo, por ejemplo a-full indica que está a Full Dúplex porque lo han negociado con el otro extremo. Debes asegurarte que ambos extremos tienen la misma configuración aplicada para evitar problemas.
Errores de entrada y CRC
El comando show interfaces muestra errores de entrada, CRC y de otros tipos, además de muchos otros contadores. Lo complicado de obtener tanta información es delimitar cuál de ella es importante y necesitas revisar, qué contadores indican que está ocurriendo un problema, y cuáles son normales y no hay que preocuparse por ellos. Aquí te mostramos una serie de contadores para que puedas diferenciar los que pueden indicar problemas y otros que muestran valores normales:
- Runts: son los frames que no tienen el mínimo tamaño de frame requerido (64 bytes, incluida la dirección MAC destino, la MAC origen y el tipo). Esto puede ser causado por colisión de paquetes.
- Giants: son los frames que superan el tamaño máximo de frame (1518 bytes, incluyendo la dirección MAC destino, la MAC origen y el tipo).
- Input Errors: La suma total de contadores incluyendo runts, giants, no buffer, CRC, frame, overrun y ignored counts.
- CRC: los frames recibidos que no superan la comprobación FCS. Normalmente causado por colisiones.
- Frame: frames recibidos que no tienen un formato legible, por ejemplo porque terminan con un byte incompleto. Está causado por colisiones.
- Packets Output: Número total de paquetes enviados por el interfaz
- Output Errors: Número de paquetes que se han intentado enviar, y no se ha podido porque ha ocurrido algún problema.
- Collisions: Número de colisiones que se han producido cuando el interfaz estaba transmitiendo un paquete.
- Late Collisions: Subconjunto de las colisiones, contando aquellas que se han producido cuando ya se habían transmitido los primeros 64 bytes del frame. Normalmente las colisiones ocurren en los primeros 64 bytes, si ocurren después suele se por inconsistencia de Dúplex entre extremos.
Contenido de la tabla de direcciones MAC
Los switches van aprendiendo las direcciones MAC de la red, y usan esas entradas para crear la tabla de direcciones MAC, que utilizan para decidir por dónde envían cada paquete a la red. Para conocer por dónde están enviando estos paquetes, necesitas examinar la tabla de direcciones MAC (MAC Address Table). Para mostrar esta tabla, puedes utilizar este comando:
# show mac address-table
Este comando te muestra todas las direcciones MAC conocidas por el switch. La salida incluye entradas estáticas, como las configuradas con la característica de Port Security, y las direcciones MAC dinámicas que va aprendiendo. Si solo quieres ver la table de direcciones MAC aprendidas dinámicamente, utiliza el siguiente comando:
# show mac address-table dynamic
A la hora de interpretar una tabla de direcciones MAC, piensa en los dos dispositivos que van a intercambiar información, y qué puertos se van a utilizar para enviar y recibir esos paquetes, en base a sus direcciones MAC.
Seguridad de Puerto y Filtrado
Cuando analices el tráfico que atraviesa un switch o router Cisco, ten en cuenta que hay distintos tipos de filtros que pueden descartar paquetes, y habrá comunicaciones que no funcionen, aunque todos los interfaces estén levantados.
Por ejemplo, en switches LAN se utilizan listas de control de acceso (ACLs) que filtran paquetes en base a la dirección MAC origen o destino, descartando esos paquetes. Los routers, también pueden aplicar filtros en paquetes de nivel 3 en base a las direcciones IP, también utilizando una ACL de IPs.
El Port Security se utiliza para impedir determinado tráfico en un puerto o interfaz, y tiene tres posibles modos de respuesta:
- Shutdown: deshabilita el puerto
- Restrict: envía notificación SNMP al administrador y se permite el tráfico a las MAC especificadas, el resto se descarta.
- Protect: se permite tráfico de las MAC permitidas en la configuración, descartando el resto del tráfico, no se notifica.
En el primer caso (shutdown), es sencillo comprobar si la configuración de Port Security ha filtrado determinado tráfico y puede ser la causa de un problema de comunicaciones. Pero si quieres comprobar si el filtro está funcionando correctamente, puedes verlo con el siguiente comando:
# show port-security interface
Hay que tener en cuenta también que el Port Security gestiona direcciones MAC, y que las direcciones MAC asociadas a un puerto con Port Security activado se mostrará como una MAC estática. Por tanto el comando show mac address-table dynamic no mostrará las MAC de un interface con Port Security habilitado, pero en cambio si lo hará si utilizamos show mac addresss-table o show mac address-table static.
Asegurar que un interfaz están en la VLAN correcta
Una de las tareas habituales de un administrador de red es verificar que cada interfaz ha sido asignado a la VLAN correcta. Para ello, lo habitual es verificar todos los interfaces configurados en modo acceso, y comprobar la VLAN asignada en base a la documentación disponible.
Para hacer esto, se suelen utilizar estos dos comandos, que nos muestran las VLAN conocidas y los interfaces asignados a cada una de ellas. Ten en cuenta que no mostrarán los interfaces TRUNK:
# show vlan # show vlan brief
También puedes hacer uso de show interface switchport y show mac address-table, para identificar las VLAN asociadas.
Acceso a una VLAN deshabilitada
Otro aspecto que debes revisar es que la VLAN esté habilitada. El comando show vlan te mostrará uno de estos dos estados: active o act/lshut. El último te indica que la VLAN está deshabilitado, y por tanto, este switch no reenviará paquetes de esta VLAN concreta. Para habilitar y deshabilitar una VLAN se utilizando los conocidos comandos: shutdown y no shutdown.
Comprobar que la lista de VLAN permitidas están en los dos extremos de un enlace Trunk
Para que una VLAN pueda funcionar a través de un enlace Trunk y se pueda enviar tráfico de esa VLAN, debes asegurarte de que el listado de VLAN es idéntico en ambos extremos. El siguiente comando te ayudará a diagnosticarlo, pero debes comparar los dos listados y verificar que sean iguales:
# show interfaces trunk
Diferentes estados de operación de enlaces Trunk
Si el enlace Trunk está configurado correctamente. ambos switches intercambiarán tráfico del mismo conjunto de VLANs. Pero, si hay inconsistencias en la configuración, el resultado puede ser variado. En algunos casos, ambos switches decidirán que el enlace Trunk no está funcionando correctamente, pero en otros casos puede que uno de los switches crea que su interfaz Trunk funciona correctamente y el otro no.
El error de configuración más habitual está cuando se utiliza switchport mode dynamic auto en los dos switches de un mismo enlace. La palabra «auto» nos hace pensar que el enlace Trunk se configurará automáticamente, pero realmente ambos switches esperarán a que el otro dispositivo comience la negociación. Para comprobar si te está ocurriendo esto, debes revisar la salida de show interfaces switchport y comprobar que los dos switches tienen el estado administrativo «auto» y que los dos utilizan puertos de «static access«.