SMX · LAN Party · Repte 1.3 · Tasca Incidències
Verificar el Funcionament i
Resoldre Incidències de Connectivitat
00 Nivell de Rúbrica Assolit
Criteris PRO+ assolits
- Justificació de totes les decisions tècniques amb arguments sòlids basats en estàndards de xarxes i bones pràctiques (IEEE 802.1Q, CDP, RFC)
- Cada solució relacionada amb el problema detectat i amb alternatives considerades
- Demostració de comprensió profunda dels protocols i topologies implicades
- Totes les incidències resoltes aplicant procediments sistemàtics de diagnòstic i verificació
- Identificació de problemes en capa física i capa lògica amb eines adequades
- Cada incidència documentada amb causa arrel, procés de resolució i verificació del resultat
- La xarxa troncal funciona amb configuració òptima després de les resolucions
- Evidències completes amb captures pròpies i text explicatiu organitzat
01 Introducció i Context
L’objectiu d’aquesta tasca és verificar el funcionament correcte de la xarxa commutada de la LAN Party i resoldre totes les incidències de connectivitat detectades durant el procés de configuració. Durant la implementació dels switches Cisco 2960-24TT i el router 2811, hem identificat i resolt cinc incidències reals que afectaven el funcionament de la xarxa, des de problemes de configuració de trunks fins a vulnerabilitats de seguretat en l’accés remot als dispositius. Cada incidència ha estat diagnosticada seguint un procediment sistemàtic: detecció → identificació de la causa arrel → aplicació de la solució → verificació del resultat.
// Topologia final verificada i operativa — Router1 + Switch0-Central + Switch1,2,3 · Totes les incidències resoltes
02 Resum de les Incidències Detectades
| # | Incidència | Capa | Severitat | Estat | Impacte |
|---|---|---|---|---|---|
| INC-01 | Native VLAN Mismatch entre switches | Capa 2 | Crítica | ✓ Resolta | Trànsit natiu erroni entre switches |
| INC-02 | Trunks sense VLANs permeses explícites | Capa 2 | Crítica | ✓ Resolta | Seguretat i trànsit no controlat |
| INC-03 | Línies VTY sense contrasenya assignada | Capa 7 | Mitjana | ✓ Resolta | Accés remot denegat o insegur |
| INC-04 | ip domain-lookup actiu a tots els switches | Gestió | Mitjana | ✓ Resolta | Bloqueig CLI 30-60 seg per error de tipografia |
| INC-05 | Primer ping sempre falla (ARP) | Capa 2/3 | Baixa | ✓ Verificada | Comportament esperat de Packet Tracer |
03 Incidències — Diagnòstic i Resolució Detallada
INC-01
Native VLAN Mismatch entre Switch0-Central i els switches d’accés
✓ RESOLTA
Detecció
En configurar la native VLAN 99 al Switch0-Central, la CLI va mostrar immediatament missatges CDP d’error indicant un mismatch amb els switches d’accés, que tenien la native VLAN 1 per defecte.
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/3 (99),
with Switch_2 FastEthernet0/1 (1).
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/2 (99),
with Switch_1 FastEthernet0/1 (1).
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/4 (99),
with Switch_3 FastEthernet0/1 (1).
Causa arrel
El protocol IEEE 802.1Q defineix que la native VLAN ha de ser idèntica als dos extrems d’un trunk. Switch0-Central tenia native VLAN 99 però Switch1, Switch2 i Switch3 tenien la native VLAN 1 (valor per defecte de Cisco IOS). El CDP (Cisco Discovery Protocol) detecta i notifica aquest mismatch automàticament.
Resolució
Aplicar el comandament
switchport trunk native vlan 99 a la interfície trunk Fa0/1 de cada switch d’accés, fent que tots els extrems del trunk tinguin la mateixa native VLAN.
! Aplicat a Switch_1, Switch_2 i Switch_3:
Switch_X(config)#interface FastEthernet0/1
Switch_X(config-if)#switchport trunk native vlan 99
Switch_X(config-if)#switchport trunk allowed vlan 99,101-104
Switch_X(config-if)#exit
Verificació
Els missatges CDP van desaparèixer immediatament. El comandament
show interfaces trunk confirma native VLAN 99 a tots els ports trunk de tots els switches.
Justificació
Usar la VLAN 99 com a native en lloc de la VLAN 1 és una bona pràctica de seguretat (VLAN 1 és vulnerable a atacs VLAN hopping). La coherència de la native VLAN és obligatòria per IEEE 802.1Q — sense ella, el trànsit no etiquetat arriba a la VLAN incorrecta, provocant problemes de connectivitat i possibles vulnerabilitats de seguretat.
INC-02
Trunks sense VLANs permeses explícites — trànsit no controlat
✓ RESOLTA
Detecció
En revisar la configuració inicial dels trunks, es va detectar que cap dels ports trunk tenia el comandament
switchport trunk allowed vlan. Per defecte, Cisco IOS permet el pas de totes les VLANs (1–1005) per un trunk, incloent VLANs no configurades ni necessàries.
! Configuració inicial incorrecta detectada:
interface FastEthernet0/1
switchport mode trunk
! FALTA: switchport trunk allowed vlan
! Per defecte: permet VLANs 1-1005 (INCORRECTE)
Causa arrel
La configuració inicial dels trunks no incloïa la restricció explícita de VLANs. Sense aquest comandament, el switch permet el pas de totes les VLANs existents, la qual cosa representa un risc de seguretat (VLANs no desitjades poden travessar la xarxa) i un malbaratament d’ample de banda (trànsit de VLANs innecessàries circula per tots els trunks).
Resolució
Afegir el comandament
switchport trunk allowed vlan 99,101-104 a tots els ports trunk de tots els switches, limitant explícitament les VLANs que poden circular per cada trunk.
! Aplicat a TOTS els switches, tots els ports trunk:
Switch_X(config-if)#switchport trunk allowed vlan 99,101-104
! Resultat al show interfaces trunk:
Port Vlans allowed on trunk
Fa0/1 99,101-104 ✓ Correcte
Verificació
El comandament
show interfaces trunk confirma que tots els ports trunk mostren únicament les VLANs 99,101-104 com a permeses i actives.
Justificació
El principi de mínim privilegi aplicat a les xarxes dicta que un trunk hauria de transportar únicament les VLANs estrictament necessàries. Això redueix la superfície d’atac, evita que VLANs no gestionades travessin la xarxa i facilita el troubleshooting en identificar ràpidament quines VLANs circulen per cada segment.
INC-03
Línies VTY sense contrasenya — accés remot denegat i insegur
✓ RESOLTA
Detecció
En revisar els running-config de tots els switches, es va detectar que les línies VTY tenien el comandament
login activat però sense cap password definit. Això provoca que Cisco IOS denegui l’accés remot per Telnet/SSH amb un error d’autenticació, o en algunes versions permeti l’accés sense cap credencial.
! Configuració problemàtica detectada als 4 switches:
line vty 0 4
login ! login activat…
! …però sense password definit = ERROR
Causa arrel
El comandament
login a les línies VTY activa l’autenticació per contrasenya de línia, però si no s’ha definit cap password, el switch no pot autenticar l’usuari i denega la connexió. Alternativament, login local usa la base de dades local d’usuaris, que sí estava configurada (username admin privilege 15 secret).
Resolució
Canviar
login per login local a totes les línies VTY, aprofitant el compte username admin ja configurat. Alternativament, afegir un password explícit a les línies VTY.
! Aplicat als 4 switches:
Switch_X(config)#line vty 0 15
Switch_X(config-line)#login local
Switch_X(config-line)#exit
! Resultat: accés remot funciona amb username admin + password
Verificació
El running-config mostra
login local a les línies VTY i la connexió remota funciona correctament amb les credencials de l’usuari admin.
Justificació
L’accés remot segur als dispositius de xarxa és imprescindible per a la gestió en producció. En una LAN Party amb múltiples switches, l’administrador ha de poder reconfigurar qualsevol dispositiu remotament sense necessitat d’accés físic. Usar
login local amb usuaris i contrasenyes encriptades és més segur que una contrasenya de línia simple.
INC-04
ip domain-lookup actiu — bloqueig de la CLI per resolució DNS
✓ RESOLTA
Detecció
Durant la configuració, en introduir un comandament amb error tipogràfic, la CLI es quedava bloquejada entre 30 i 60 segons intentant resoldre el text com si fos un nom de host DNS. En un dels casos, el bloqueig va provocar el reinici del switch en intentar executar
fair-queue fora del context correcte.
Switch_X#fair-queue
Translating «fair-queue»…domain server (255.255.255.255)
% Name lookup aborted
! (30-60 segons de bloqueig total de la CLI)
! En un cas extrem: el switch es va reiniciar
Causa arrel
Per defecte, Cisco IOS té activat el servei de resolució DNS (
ip domain-lookup). Quan l’IOS no reconeix un comandament, el tracta com un possible nom de host i intenta resoldre’l via broadcast UDP al port 53 (DNS). Fins que el broadcast no expira (255.255.255.255), la CLI queda completament bloquejada.
Resolució
Desactivar la resolució DNS a tots els dispositius amb el comandament
no ip domain-lookup. Aplicat al router i als quatre switches. A partir d’aquest moment, els errors tipogràfics generen un missatge d’error immediat sense bloquejar la CLI.
! Aplicat a TOTS els dispositius (router + 4 switches):
dispositiu(config)#no ip domain-lookup
! Resultat: errors tipogràfics responen immediatament
Switch_X#comandamentmalescrit
% Unknown command or computer name, or unable to find computer address
Switch_X# ! Resposta immediata, sense bloqueig
Verificació
El running-config de cada dispositiu mostra
no ip domain-lookup. Els errors tipogràfics generen resposta immediata sense bloqueig de la CLI.
Justificació
En un entorn de producció com una LAN Party, els administradors no es poden permetre bloquejos de CLI de 60 segons per errors tipogràfics, especialment durant incidents en temps real. El
no ip domain-lookup és una de les primeres configuracions que s’aplica en qualsevol dispositiu Cisco en un entorn professional. A més, en una xarxa sense servidor DNS configurat, la resolució DNS per broadcast és completament inútil i genera trànsit innecessari.
INC-05
Primer ping sempre falla — resolució ARP pendent
✓ VERIFICADA
Detecció
Durant les proves de connectivitat, el primer ping entre dos PCs sempre retornava
Request timed out, però els pings següents funcionaven correctament amb 0% de pèrdua.
C:\>ping 192.168.102.3
Pinging 192.168.102.3 with 32 bytes of data:
Request timed out. ! Primer ping falla sempre
Reply from 192.168.102.3: bytes=32 time<1ms TTL=128 ! Segon OK
Reply from 192.168.102.3: bytes=32 time<1ms TTL=128 ! Tercer OK
Reply from 192.168.102.3: bytes=32 time<1ms TTL=128 ! Quart OK
Causa arrel
Comportament esperat del protocol ARP (Address Resolution Protocol). Quan un dispositiu vol enviar un paquet IP a una adreça desconeguda, primer ha de resoldre la MAC de destí via ARP. El primer ping es perd mentre s’espera la resposta ARP. Un cop la MAC es troba a la taula ARP del switch, els pings següents funcionen sense cap retard. A Packet Tracer aquest efecte és més pronunciat que en dispositius reals.
Resolució
No requereix cap intervenció. És el comportament correcte i esperat del protocol ARP (RFC 826). La solució operativa és simplement repetir el ping. En entorns de producció, les taules ARP es mantenen poblades pel trànsit continu, de manera que aquest efecte pràcticament no es nota.
Verificació
Tots els pings repetits (2n, 3r, 4t) responen correctament amb
time<1ms TTL=128 per a pings intra-VLAN i TTL=127 per a pings inter-VLAN (un salt de router). 0% de pèrdua en totes les proves.
04 Procediment Sistemàtic de Diagnòstic
Flux de diagnòstic aplicat
1
Verificació de la capa física
Comprovació que tots els cables estaven connectats als ports correctes i que els LEDs dels ports eren verds (link up). A Packet Tracer, verificació que els triangles eren verds a la topologia visual.
2
Revisió dels running-config
Execució de show running-config a cada dispositiu per revisar la configuració aplicada i detectar inconsistències entre el que s’havia configurat i el que estava realment actiu.
3
Detecció d’incidències via CDP i missatges de la CLI
Els missatges %CDP-4-NATIVE_VLAN_MISMATCH van alertar automàticament del problema de native VLAN. La CLI va mostrar errors de bloqueig per ip domain-lookup actiu.
4
Diagnòstic amb show commands
Ús de show interfaces trunk per verificar l’estat dels trunks, show vlan brief per verificar les VLANs, i show ip interface brief per verificar les IPs del router.
5
Aplicació de les solucions
Cada incidència resolta de forma individual, aplicant els comandaments específics i verificant immediatament el resultat amb els show commands corresponents.
6
Verificació final de connectivitat
Proves de ping intra-VLAN (TTL=128, 0% pèrdua), ping inter-VLAN amb router (TTL=127, 0% pèrdua) i prova d’aïllament inter-VLAN sense router (100% pèrdua, comportament correcte).
05 Evidències de la Xarxa Operativa
Estat final: Després de resoldre totes les incidències, la xarxa troncal funciona amb configuració òptima. Totes les VLANs actives, trunks correctament configurats, connectivitat intra-VLAN i inter-VLAN verificada.
// show interfaces trunk — Switch0-Central · Fa0/1-4 trunking · Native 99 · Allowed 99,101-104 ✓
// show interfaces trunk — Switch_1 · Fa0/1 trunking · Native 99 ✓
// ✅ Ping intra-VLAN 102 — PC3→PC8 · 4/4 paquets · 0% pèrdua · TTL=128
// ✅ Ping inter-VLAN 102→101 — Passa pel router · TTL=127 · 4/4 paquets · 0% pèrdua
// ✅ Aïllament inter-VLAN verificat — Sense router: 100% pèrdua · Segmentació L2 correcta
// ✅ show vlan brief Switch0-Central · VLANs 99,101,102,103,104 actives
Resum de verificació final
| Prova | Resultat esperat | Resultat obtingut | Estat |
|---|---|---|---|
| Ping intra-VLAN 102 (PC3→PC8) | 0% pèrdua, TTL=128 | 0% pèrdua, TTL=128 | ✓ OK |
| Ping inter-VLAN 102→101 (amb router) | 0% pèrdua, TTL=127 | 0% pèrdua, TTL=127 | ✓ OK |
| Ping inter-VLAN sense router | 100% pèrdua (aïllament) | 100% pèrdua | ✓ OK |
| Native VLAN mismatch | Cap missatge CDP d’error | Cap error CDP | ✓ OK |
| Trunks amb VLANs permeses | Allowed: 99,101-104 | Allowed: 99,101-104 | ✓ OK |
| Accés remot VTY | Login local funcional | login local actiu | ✓ OK |
| ip domain-lookup | Desactivat a tots els dispositius | no ip domain-lookup | ✓ OK |
CLI final verificat — Switch0-Central (extracte clau)
Switch0-Central#show running-config ! hostname Switch0-Central enable secret 5 $1$mERr$J.OiROrT9LehkGan4G.cc1 no ip domain-lookup ! INC-04 resolta spanning-tree mode pvst ! interface FastEthernet0/1 switchport trunk native vlan 99 ! INC-01 resolta switchport trunk allowed vlan 99,101-104 ! INC-02 resolta switchport mode trunk ! line vty 0 15 login local ! INC-03 resolta ! ! Resultat: totes les incidències resoltes i xarxa operativa