Monthly Archives: março 2012

Switches HPN 12500 – Utilizando LLDP ao inves do CDP

Publicado originalmente em 11 DE JANEIRO DE 2012

Nos ultimos anos, inúmeros fabricantes de redes disponibilizaram no mercado equipamentos com qualidade e preços interessantes que acabaram transformando o ambiente de rede das Empresas em um cenario misto de modelos e fabricante de equipamentos. Apesar de uma vantagem em termos de custo, infelizmente alguns protocolos proprietarios (mesmo que interessantes) criam uma barreira na integração de diversos serviços ou na reposição de Switches, Roteadores e etc.

Para o mapeamento e descoberta de dispositivos vizinhos na rede em ambientes controlados e Telefonia IP, a Cisco sugere a utilização do CDP, mas infelizmente o protocolo é proprietario do fabricante, limitando assim a sua utilização com outros modelos de equipamentos.

O protocolo LLDP é um padrão aberto para descoberta de dispotivos vizinhos muito similiar ao CDP, incluindo a utilização em features para voice vlan.

Nos testes abaixo ativamos o LLDP em um Switch Cisco 3750 e um Switch HPN 12500.

Configurando

Cisco3750(config)# lldp run
!Ativando o LLDP em um Switch Cisco

[HPN12K] lldp enable
!Ativando o LLDP em um Switch HPN 12500

Para visualizar o mapeamento de vizinhos no Cisco podemos utilizar

Cisco3750#show lldp neighbors
Capability codes:
    (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
    (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID           Local Intf     Hold-time  Capability      Port ID
HPN12k      Gi1/0/4        180        B,R             GigabitEthernet 9/0/11

Cisco3750#show lldp neighbors detail
Chassis id: 3822.d6a2.9999
Port id: GigabitEthernet9/0/11
Port Description: *:: Conexao Cisco 3750:
System Name: HPN 12K
System Description:
H3C Comware software. H3C S12508 Product Version S12500-CMW520-R1238P08.
Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
Time remaining: 129 seconds
System Capabilities: B,R
Enabled Capabilities: B,R
Management Addresses: IP: 192.168.1.145
Auto Negotiation - supported, disabled
Physical media capabilities - not advertised
Media Attachment Unit type: 30
Vlan ID: 1

Para visualizar o mapeamento de vizinhos no HPN podemos utilizar

[HPN 12K]display lldp neighbor-information
LLDP neighbor-information of port 478[GigabitEthernet1/9/0/11]:
  Neighbor index   : 1
  Update time      : 67 days,18 hours,7 minutes,55 seconds
  Chassis type     : MAC address
  Chassis ID       : 4055-39d4-8888
  Port ID type     : Interface name
  Port ID          : Gi1/0/4
  Port description : *::Conexao HPN12k::
  System name        : Cisco3750
  System description : Cisco IOS Software, C3750E Software
 (C3750E-UNIVERSALK9NPE-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1)

                   Technical Support: http://www.cisco.com/techsupport
                    Copyright (c) 1986-2010 by Cisco Systems, Inc.
                    Compiled Thu 02-Dec-10 06:09 by prod_rel_team
  System capabilities supported : Bridge,Router
  System capabilities enabled   : Bridge,Router
  Management address type           : ipv4
  Management address : 192.168.1.150
  Management address interface type : SystemPortNumber
  Management address interface ID   : Unknown
  Management address OID            : 0

Abraços a todos

 

 

Guia Básico para Configuração de Switches

Amigos, disponibilizamos para a compra o nosso primeiro eBook (no formado PDF) que chamamos de “Guia Básico para Configuração de Switches“. Tentamos gerar uma material para suprir a carência no mercado de livros sobres Switches dos fabricantes 3Com, H3C e HP em português.

Além disso, esperamos que o eBook seja uma ferramenta de apoio para continuarmos com os Serviços oferecidos nos Blogs (comutadores.com.br e rotadefault.com.br) e que de forma direta e/ou indireta nos impulsione novos Projetos.

O “Guia” aborda assuntos já citados aqui no Blog, mas com um foco mais didático para administração de Switches com o Sistema Operacional Comware (3Com, H3C e HP Serie-A e alguns da Serie-E), configuração de VLANs, portas Access, Trunk, Hybrid, GVRP e Roteamento entre VLANs…. incluindo pequenos laboratórios com soluções para elucidar os exemplos:

  • Introdução aos Switches
  • Configurações Básicas
  • VLANs
  • Portas Access, Trunk e Híbrida
  • GVRP
  • Roteamento entre VLANs

A escolhemos o PagSeguro como ferramenta  pela facilidade no cadastro e o  suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancária e Cartão de Crédito.

 

Após a conclusão da compra e a  confirmação do PagSeguro , encaminharemos o eBook para o email cadastrado no site.  

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 19,99

 

Abraços a todos!

 

 

Switches HP A5800 – Atualizando o Switch via USB

Os novos modelos de Switches e Roteadores da HP estão vindo de fabrica com entradas USB que facilitam o trabalho para atualização do Comware via Pen Drive, backup de configuração, etc.

O processo é bem simples e muito similar aos comandos do Windows para cópia de arquivos e mudança de diretório.
Segue abaixo um resumo da atualização via USB:
<Switch>
%Apr 26 12:03:09:068 2000 H3C VFS/4/VFS_INSERTED:
 usba: inserted into slot 1.
! Log após inserir o Pen Drive

<Switch> dir ?
  /all    List all files
  STRING  [drive][path][file name]
  flash:  Device name
  usba0:  Device name
 ! Verificando o volume do USB (usba0)

<Switch> dir usba0:
Directory of usba0:/
   0     -rw-  27368500  May 04 2011 18:12:13   OS_old.bin
   1     -rw-     13136  Mar 01 1993 03:00:02   running-config
   2     drw-         -  Sep 22 2011 09:41:22   5800
   3    drw-         -  Sep 22 2011 09:41:46   7500
3948972 KB total (3536024 KB free)
File system type of usba0: FAT32
! Visualizando o conteúdo do Pen drive

<Switch> cd 5800
! Acessando o diretório 5800

<Switch> dir
Directory of usba0:/5800/
   0     -rw-  26632268  Oct 08 2010 19:08:02   S5800_5820X-CMW520-R1206.bin
3948972 KB total (3536024 KB free)
File system type of usba0:
FAT32
!Visualizando o conteúdo do diretório 5800

<Switch>
<Switch> copy S5800_5820X-CMW520-R1206.bin flash:/
! Copiando o arquivo S5800_5820X-CMW520-R1206.bin para memória Flash do Switch
Copy usba0:/5800/S5800_5820X-CMW520-R1206.bin to flash:/S5800_5820X-CMW520-R1206.bin?[Y/N]:y
...................................................
%Copy file usba0:/5800/s5800_5820x-cmw520-r1206.bin to flash:/s5800_5820x-cmw520-r1206.bin...Done.
<Switch>

<Switch>cd flash:
! Acessando novamente a memória a Flash
<Switch>pwd
flash:
! Visualizando o diretório volume (nível) que estamos acessando

<Switch>boot-loader file flash:/S5800_5820X-CMW520-R1206.bin slot 1 main
  This command will set the boot file of the specified board. Continue? [Y/N]:y
  The specified file will be used as the main boot file at the next reboot on slot 1!
! Forçando o boot da nova imagem quando reiniciar o Switch

<Switch> display boot-loader
 Slot 1
The current boot app is:  flash:/OS_old.bin
The main boot app is:     flash:/S5800_5820X-CMW520-R1206.bin
The backup boot app is:   flash:/
! Verificando o Sistema Operacional corrente e o que será utilizado no próximo boot

<Switch> reboot
! Reiniciando o Switch

Duvidas? Deixe um comentário!

 

 

Switches HP A7500 – Configurando Autenticação para o OSPF na Área 0

Publicado originalmente em 29 DE JANEIRO DE 2011

Para validar a troca de informações de Roteamento, o protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF  utilizará  a Autenticação e precisaremos habilitar a chave na Interface VLAN que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

Switch A

#
interface Vlan-interface1
ip address 172.31.0.1 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN
(a senha será exibida no arquivo de configuração cifrada)
#
ospf 100 router-id 172.31.0.1
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.1 0.0.0.0
area 2
network 192.168.1.1 0.0.0.0
! Area 2 sem autenticação
#

Switch B

#
interface Vlan-interface1
ip address 172.31.0.2 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN #
ospf 100 router-id 172.31.0.2
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.2 0.0.0.0

Display

[SW1] display ospf peer
OSPF Process 100 with Router ID 172.31.0.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID  Address Pri Dead-Time Interface State
172.31.0.2 172.31.0.2 1 36 Vlan1 Full/DR

 

Até a próxima! ;)

 

 

Switches 3Com 7900 – Criação de Usuário para gerenciamento remoto e vínculo com endereço IP!

Publicado originalmente em 10 DE AGOSTO DE 2010

O Script de hoje é bastante simples e permite a criação de usuário e senha para acesso remoto, certificando o IP de origem da máquina do Técnico que fará o acesso remoto (conexão Telnet ou SSH) para gerenciamento do Switch.

Obs: certifique-se que o serviço SSH ou Telnet está habilitado no Switch 

local-user diego
!Criando o usuário diego
password simple diego
!Configurando a senha diego para o usuário diego,
a linha password poderá ser substituída por
"password cipher diego" que cifrará a senha no arquivo
de configuração durante a visualização
bind-attribute ip 172.31.1.4
! efetuando o vinculo da máquina 172.31.1.4 com o usuário diego, isto é, se o usuário tentar efetuar a conexão telnet ou ssh no Switch de outra origem, o acesso do usuário será negado!
authorization-attribute level 3
! atribuindo o nível de administrador ao usuário.
service-type ssh telnet
! permitindo acesso ssh e telnet pelo usuário diego

Obs:Certifique-se também a configuração da Interface vty 0 4 ;)

user-interface vty 0 4
authentication-mode scheme

 

 

 

 

Switches 3Com 4800G – Como incluir novas regras em uma ACL?

Publicado originalmente em 5 DE MAIO DE 2010

A configuração abaixo exibe a criação da ACL 2000 (baseada somente na Origem) e o vinculo dessa ACL na user-interface vty 0 4 que é responsável pelas conexões TELNET e SSH.

acl number 2000
rule 0 permit source 172.31.1.0 0.0.0.255
rule 5 deny
#
user-interface vty 0 4
acl 2000 inbound

Para visualizar as regras:

[4800G-acl-basic-2000]display acl 2000
Basic ACL 2000, named -none-, 2 rules,
ACL's step is 5
rule 0 permit source 172.31.1.0 0.0.0.255
rule 5 deny

Por default se as regras não forem numeradas, elas serão marcadas de 5 em 5.

A tradução da regra para a ACL 2000 permite a rede 172.31.1.0/24 na regra zero (rule 0 )e a negação de qualquer rede na regra 5; se a primeira condição não for satisfeita.

Se precisassemos incluir mais 4 redes poderíamos efetuar da seguinte maneira:

[4800G]acl number 2000
[4800G-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255
[4800G-acl-basic-2000]rule 2 permit source 192.168.2.0 0.0.0.255
[4800G-acl-basic-2000]rule 3 permit source 192.168.3.0 0.0.0.255
[4800G-acl-basic-2000]rule 4 permit source 192.168.4.0 0.0.0.255

Para visualizar as regras:

[4800G-acl-basic-2000]display this
#
acl number 2000
rule 0 permit source 172.31.1.0 0.0.0.255
rule 1 permit source 192.168.1.0 0.0.0.255
rule 2 permit source 192.168.2.0 0.0.0.255
rule 3 permit source 192.168.3.0 0.0.0.255
rule 4 permit source 192.168.4.0 0.0.0.255
rule 5 deny
#

Mas se precisassemos incluir mais regras entre a rule 4 e a rule 5 ?

O Comando step dentro da ACL permite aumentarmos o espaçamento entre as regras, como no exemplo abaixo:

[4800G-acl-basic-2000]step 7
[4800G-acl-basic-2000]display this
#
acl number 2000
step 7
rule 0 permit source 172.31.1.0 0.0.0.255
rule 7 permit source 192.168.1.0 0.0.0.255
rule 14 permit source 192.168.2.0 0.0.0.255
rule 21 permit source 192.168.3.0 0.0.0.255
rule 28 permit source 192.168.4.0 0.0.0.255
rule 35 deny
#

Dessa forma poderíamos incluir diversas regras entre a rule 28 e 35.

Para reordenar, só precisaremos digitar step 1:

[4800G-acl-basic-2000]step 1
[4800G-acl-basic-2000]display this
#
acl number 2000
step 1
rule 0 permit source 172.31.1.0 0.0.0.255
rule 1 permit source 192.168.1.0 0.0.0.255
rule 2 permit source 192.168.2.0 0.0.0.255
rule 3 permit source 192.168.3.0 0.0.0.255
rule 4 permit source 192.168.4.0 0.0.0.255
rule 5 deny
#

Obs: a dica é válida para ACL’s Básicas, Avançadas e Regras de Camada 2.

 

 

 

Switches 3Com 4800G – DHCP Snooping – Como proteger a rede de falsos servidores DHCP?

A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.

Uma negociação simples de solicitação DHCP ocorre com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack.


O comando dhcp-snooping configurado globalmente, faz o Switch filtrar as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do Servidor DHCP válido deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.

No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/0/8 conectada ao servidor DHCP válido como trust.

Configuração

[4800G]dhcp-snooping
DHCP Snooping is enabled.

[4800G]int g1/0/8
[4800G-GigabitEthernet1/0/8]dhcp-snooping trust

Comandos Display

Para visualização das portas em trust digite display dhcp-snooping trust

[4800G]disp dhcp-snooping trust
DHCP Snooping is enabled.
DHCP Snooping trust becomes active.
Interface Trusted
=========================
GigabitEthernet1/0/8 Trusted

O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.

[4800G]display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---

Não esqueça de habilitar as portas de Uplink como trust caso a rede possua diversos Switches. ;)

Até o proximo post!

 

 

Switches 3Com 5500 – Port Isolate – Como isolar os hosts de um Switch (na mesma VLAN)? Sem ACL!!!

Publicado originalmente em  2 DE FEVEREIRO DE 2010

O comando port isolate permite isolarmos as portas do Switch dentro de um grupo impossibilitando a comunicação dos dispositivos pertencentes ao grupo de uma maneira fácil e prática. A comunicação das interfaces do Switch com port isolate ocorrerá somente com as portas que não possuem o comando aplicado.

Ex: Em um dos projetos, o cliente efetuou a seguinte solicitação:

“Precisamos configurar um Switch 3Com 5500 para que as portas FastEthernet1/0/19 e FastEthernet1/0/20 não comuniquem entre si, mas a comunicação com a Internet está liberada para acesso pela porta GigabitEthernet 1/0/25. ..”

 

Configuração

<Switch>system-view
[Switch]interface ethernet1/0/19
[Switch-Ethernet1/0/19]port isolate
[Switch-Ethernet1/0/19]quit
[Switch]interface ethernet1/0/20
[Switch-Ethernet1/0/20]port isolate
[Switch-Ethernet1/0/20]quit
  • A comunicação entre as máquinas 192.168.1.20 e 192.168.1.25 não será permitida.
  • A comunicação dos hosts com a Internet não será bloqueado.
  • Alguns Switches da linha H3C podem ter a variação do comando para port-isolate enable

Se conectarmos mais uma máquina ao Switch e não configurarmos a porta do Switch com o port isolate, a comunicação com todas os dispositivos da rede ocorrerá normalmente!

Observações:

A feature port isolate funciona localmente no Switch em Camada 2 e Camada 3.

 

 

 

Switches 3Com 4800G – GVRP uma solução ao VTP

Publicado originalmente em 17 DE JUNHO DE 2011

Em diversos treinamentos e projetos recebo perguntas de alunos e clientes sobre a utilização de protocolos com função similar ao VTP da Cisco. Os Switches 3Com/HP trabalham com o protocolo aberto para registro dinâmico de VLANs chamado GVRP.

A utilização do GVRP é bem simples e pode trabalhar resumidamente nos 3 seguintes modos:

  • Normal: permite que o Switch envie e receba mensagens para aprendizado de VLANs dinâmicas.
  • Fixed: permite que o Switch envie mensagens GVRP com as VLANs geradas localmente, mas o dispositivo não insere na tabela dinâmica as VLANs anunciadas por outros Switches.
  • Forbidden: permite que o Switch ignore as mensagens do protocolo.

Diferente do VTP, devemos ativar o processo globalmente no Switch e configurar nas interfaces Trunk qual o perfil que ela terá (Normal, Fixed ou Forbidden).

No exemplo abaixo configuramos o GVRP em todas as interfaces Trunk para consistência de VLANs na topologia e criamos as VLANs 4 e 5 no SWA.


Ao visualizarmos as VLANs dinamicas no SWC, veremos a saída na tabela:

[SWC] display vlan dynamic
Total 2 dynamic VLAN exist(s).
The following dynamic VLANs exist:
4-5

Configuração

A configuração do GVRP é bem simples:

#
gvrp
! Habilitando o GVRP globalmente no Switch
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
gvrp
! Habilitando a(s) interface(s) trunk(s) para propagação das mensagens GVRP
 (por default as interfaces funcionam no modo Normal).

Com a configuração dos comandos acima em todos os Switches é possível verificar quais VLANs estão configuradas localmente ou aprendidas de forma dinâmica utilizando os comandos “display vlan static” ou “display vlan dynamic”:

 

[SWB]display vlan static
Total 1 static VLAN exist(s).
The following static VLANs exist:
1(default),

[SWB]display vlan dynamic
Total 4 dynamic VLAN exist(s).
The following dynamic VLANs exist:
3-4,

Para habilitar os modos forbidden ou fixed, utilize os comandos abaixo interface-view:

[SWC-GigabitEthernet1/0/1]gvrp registration ?
fixed Fixed type
forbidden Forbidden type
normal Normal type

Como recomendação, sugerimos a criação de VLANs somente no Switch Core com as interfaces Trunk em modo forbidden para proteção e controle de tráfego em caso de erro na configuração dos Switches de acesso.

Obs: Lembrando que ao criamos ou deletarmos determinada VLAN (estática, não aprendida via GVRP) no Switch em modo normal e fixed, a informação será replicada a todos dispositivos da rede, caso nenhum Switch possua a VLAN estática e a mesma for deletada, a VLAN será apagada em todos equipamentos!

Até logo!

 

 

 

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Publicado originalmente em 30 DE DEZEMBRO DE 2010

Olá amigos, para comemorar um ótimo ano profissional e para fechar 2010 com “chave de ouro”, hoje eu escrevo a continuação do Post mais popular desse ano. “Switches 3Com 5500 – Guia rápido de Configuração!!!”

Desejo a todos um Feliz 2011!!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!