Razones para utilizar VLANs
• Crear diseños más flexibles que agrupen a usuarios por departamentos, o por gruposque trabaj...
El IEEE estandariza muchos de los protocolos relativos a las LAN, y el trunkingVLANno es una excepción. Años antes que Cis...
El proceso de VTP comienza con la creación de la VLAN en un switch llamado servidorVTP. El servidor VTP distribuye los
cam...
Lista de verificación de la configuración para configurarVLANs y asignar interfaces, Configuración
predeterminada de VTP y...
Cuatro razones por las que un troncal no permite tráfico deuna VLAN
• Una VLAN ha sido eliminada de la lista de VLANs perm...
Lista Recomendaciones de cómo proteger los puertos no utilizadosde un switch
• Deshabilitar administrativamente la interfa...
Buenas prácticas de VTP para prevenir los problemas de VTP
• Si no tiene intención de utilizar VTP, configure cada switch ...
Próxima SlideShare
Cargando en…5
×

implementacion de vlan

923 visualizaciones

Publicado el

vlan

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
923
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
34
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

implementacion de vlan

  1. 1. Razones para utilizar VLANs • Crear diseños más flexibles que agrupen a usuarios por departamentos, o por gruposque trabajen juntos, en lugar de por su ubicación física. • Segmentar dispositivos en LANs más pequeñas (dominios de difusión) para reducirla sobrecarga causada por cada host en la VLAN. • Reducir la carga de trabajo del Protocolo de árbol de extensión (STP, SpanningTreeProtocol) limitando una VLAN a un único acceso al switch. • Forzar una mayor seguridad separando los hosts que trabajen con datos sensiblesen una VLAN diferente. • Separar tráfico enviado por un teléfono IP del tráfico enviado por PCs conectadosa los teléfonos. Diagrama de trunkingVLAN Cuando se utilizan VLANs en una red con varios switches interconectados, los switchesdeben usar el trunkingVLAN en los segmentos entre los switches. Este proceso permitea los switches utilizar el proceso denominado etiquetado de VLAN (VLAN tagging),por el cual el switch emisor añade otro encabezado a la trama antes de enviarla por eltroncal. Este encabezado VLAN extra incluye un campo identificador de VLAN (IDVLAN) por el cual el switch emisor puede mostrar el ID de la VLAN y el switchreceptorpuede entonces conocer a qué VLAN pertenece cada trama. El uso del trunkingpermite a los switches pasar tramas procedentes de variasVLANs a través de una única conexión física. Los switches de Cisco soportan dos protocolos diferentes de trunking: Enlace entreswitches (ISL, Inter-Switch Link) e IEEE 802.1Q. Los protocolos de trunkingproporcionanvarias características, la más importante de ellas define las cabeceras con las cuales identificar el ID VLAN. ISLInter-Switch Link Cisco creó ISL varios años antes que el IEEE creara el protocolo de trunkingestándar deVLAN, el 802.1Q. Debido a que ISL es propiedad de Cisco, sólo puede ser utilizado entredos switches de Cisco que soporten ISL. (Algunos switches nuevos de Cisco ya no soportanISL; en cambio sólo soportan la alternativa estándar, 802.1Q). ISL encapsula completamentela trama Ethernet original en una cabecera y una información final ISL. La tramaEthernet original dentro de la cabecera y la información final de ISL permanece inalterada. La cabecera ISL incluye varios campos, pero lo más importante es que el campo VLANde la cabecera ISL proporciona un lugar para codificar el número de VLAN. Etiquetandouna trama con el número correcto de VLAN en la cabecera, el switch que envía puede asegurarque el switch receptor conoce a qué VLAN pertenece la trama encapsulada. Tambiénlas direcciones de origen y destino en la cabecera ISL utilizan las direcciones MAC delswitch que envía y del que recibe, en oposición a los dispositivos que realmente envían latrama original. Aparte de esto, los detalles de la cabecera ISL no son importantes. Cabecera 802.IQ
  2. 2. El IEEE estandariza muchos de los protocolos relativos a las LAN, y el trunkingVLANno es una excepción. Años antes que Cisco creara ISL, el IEEE completa el trabajo en elestándar 802.1Q, que define las diferentes maneras de realizar el trunking. Hoy, 802.1Q hallegado a ser el más popular de los protocolos de trunking. Cisco ya no soporta ISL en algunosde sus nuevos modelos de switches para LAN, incluyendo los switches 2960 utilizadosen los ejemplos de este libro.802.1Q utiliza un estilo diferente de cabecera que el utilizado por ISL para etiquetar lastramas con un número de VLAN. De hecho, 802.1Q no encapsula realmente la trama originalen otra cabecera y otra información final Ethernet. En cambio, 802.1Q inserta unacabecera de VLAN extra de 4 bytes en la cabecera Ethernet de la trama original. Comoresultado, al contrario de ISL, la trama tiene todavía las direcciones MAC de origen y destino originales. También, debido a que la cabecera original se ha expandido, la encapsulaciónde 802.1Q fuerza a recalcular el campo de secuencia de verificación de trama (FCS) en la información final Ethernet, debido a que este campo está basado en el contenido de la trama completa. Comparación entre 802.IQ e ISL Hasta ahora, el texto ha descrito la similitud entre ISL y 802.1Q, con un par dediferencias. La similitud es que ambos definen una cabecera VLAN que tiene un campoID VLAN. No obstante, cada uno de los protocolos de trunkingutiliza una cabecera de sobrecarga diferente, y uno está estandarizado (802.1Q) y otro es propietario (ISL). Estasección señala algunos otros puntos importantes de comparación entre los dos.Ambos protocolos soportan el mismo número de VLANs, concretamente 4094 VLANs. Ambos utilizan 12 bits de la cabecera VLAN para numerar las VLANs, soportando 2e12, ó4096, IDs de VLAN, menos dos valores reservados (0 y 4095). De las VLANs soportadas,los IDs de VLAN de 1-1005 se consideran el rango normal de VLANs, mientras que los valoresmayores de 1005 se denominan rango extendido de VLANs. Esta discusión está relacionadacon el Protocolo de trunkingVLAN (VTP, VLAN TrunkingProtocol) que se trata enla siguiente sección. ISL y 802.1Q soportan ambos una instancia separada del Protocolo de árbol de extensión(STP, SpanningTreeProtocol) para cada VLAN, pero con diferentes detalles de implementación,como se explica en el Capítulo 2. Para las LANs de campus con enlaces redundantes, el uso de una única instancia de STP significa que algunos de los enlaces permaneceninactivos en su modo normal de operación. Estos enlaces sólo se utilizan cuandootro falla. Soportando múltiples instancias de STP, los ingenieros pueden ajustar los parámetrosde STP para que bajo un funcionamiento normal, parte del tráfico de las VLANsutilice un conjunto de enlaces y otro tráfico de las VLANs utilice otros enlaces, con la ventajade usar así todos los enlaces de la red. Una diferencia clave final entre ISL y 802.1Q que se trata aquí está relacionada con unacaracterística denominada VLAN nativa. 802.1Q define una VLAN en cada troncal comola VLAN nativa, mientras que ISL no utiliza este concepto. Por defecto, la VLAN nativa de802.1Q es la VLAN 1. Por definición, 802.1Q simplemente no añade una cabecera 802.1Qa las tramas de la VLAN nativa. Cuando un switch del otro lado del troncal recibe unatrama que no tiene una cabecera 802.1Q, el switch receptor sabe que la trama pertenece ala VLAN nativa. Debido a esta conducta, ambos switches deben estar de acuerdo en quéVLAN es la nativa. La VLAN nativa de 802.1Q proporciona algunas funciones interesantes, principalmente laconexión de dispositivos que no soportan el trunking. Por ejemplo, un switch de Cisco podríaestar conectado a un switch que no soporte el trunking802.1Q. El switch de Cisco podríaenviar tramas en la VLAN nativa (significa que la trama no tiene cabecera de trunking);por tanto, el otro switch podría entender la trama. El concepto de VLAN nativa proporcionaa los switches al menos la capacidad de reenviar tráfico de una VLAN (la VLAN nativa), loque puede permitir algunas funciones básicas como la accesibilidad vía telnet de un switch. La Tabla 1.2 resume las características claves y los puntos de comparación entre ISL y 802.1Q. Conceptos del proceso de sincronización de VTP
  3. 3. El proceso de VTP comienza con la creación de la VLAN en un switch llamado servidorVTP. El servidor VTP distribuye los cambios en la configuración de la VLAN a través demensajes VTP, enviados sólo sobre troncales ISL y 802.1Q, a lo largo de la red. Tanto los servidorescomo los clientes VTP procesan los mensajes VTP recibidos, actualizan sus basesde datos de configuración de VTP basándose en estos mensajes y después envían independientementelas actualizaciones VTP por sus troncales. Al final del proceso, todos los switchesaprenden la nueva información de la VLAN. Los servidores y clientes VTP deciden si reaccionar a un mensaje de actualización VTPrecibido, y actualizar sus configuraciones deVLANbasándose en si el número de revisión deconfiguración de la base de datos de la VLAN aumenta. Cada vez que un servidor VTPmodifica su configuración de VLAN, el servidor VTP incrementa en 1 el número actual de revisiónde la configuración. Losmensajes de actualización de VTP contienen el nuevo númerode revisión de configuración. Cuando otro switch cliente o servidor recibe un mensaje VTPcon un número de revisión de configuraciónmayor a su propio número, el switch actualiza suconfiguración de VLAN. La Figura 1.6muestra cómo trabaja VTP en una red conmutada. 1. Alguien configura la nueva VLAN desde la interfaz de línea de comandos (CLI) deun servidor VTP. 2. El servidor VTP actualiza su número de revisión de la base de datos VLAN de 3a 4. 3. El servidor envía mensajes de actualización VTP por sus interfaces troncales, declarandoel número de revisión 4. 4. Los dos switches clientes VTP comprueban que el número de revisión de la actualización(4) es mayor que su número de revisión actual (3). 5. Los dos switches clientes actualizan su base de datos VLAN basándose en las actualizacionesVTP del servidor. Requisitos para que VTP funcione entre dos switches • El enlace entre los switches debe trabajar como un troncal VLAN (ISL ó 802.1Q). • El nombre de dominio VTP de los switches debe coincidir (considerando mayúsculasy minúsculas). • Si se configura en al menos uno de los switches, las contraseñas VTP de los dosswitches deben coincidir (considerando mayúsculas y minúsculas). PruningVTP pruningVTP, permite a VTP determinar dinámicamentequé switches no necesitan tramas de ciertas VLANs, y entonces VTP recorta estasVLANs en los troncales adecuados. El concepto de pruningsimplemente significa que lasinterfaces apropiadas del troncal del switch no inundan tramas de esa VLAN. Resumen de las características de VTP
  4. 4. Lista de verificación de la configuración para configurarVLANs y asignar interfaces, Configuración predeterminada de VTP y VLAN Para que un switch de Cisco reenvíe tramas en una VLAN particular, el switch debe serconfigurado para creer que la VLAN existe. Además, el switch debe tener interfaces notroncales (llamadas interfaces de acceso) asignadas a la VLAN y/o troncales que soportenla VLAN. Los pasos de configuración para crear la VLAN, y asignar una VLAN a unainterfaz de acceso, son los siguientes. (Obsérvese que la configuración del troncal se tratamás tarde en este capítulo en la sección “Configuración del trunkingVLAN”). Paso 1 Para configurar una nueva VLAN, siga estos pasos: a. Desde el modo de configuración, utilice el comando de configuración globalvlan id-vlanpara crear la VLAN y poner al usuario en modo de configuraciónVLAN. b. (Opcional) Utilice el subcomando de VLAN name nombre para ver el nombrede la VLAN. Si no está configurado, el nombre de la VLAN esVLANZZZZ, donde ZZZZ es el ID de la VLAN, un decimal de 4 dígitos. Paso 2 Para configurar una VLAN para cada interfaz de acceso, siga estos pasos: a. Utilice el comando interface para ir al modo de configuración de interfazpara cada una de las interfaces deseadas. b. Utilice el subcomando de interfaz switchportaccessvlan id-vlanpara especificarel número de VLAN asociado con esa interfaz. c. (Opcional) Para deshabilitar el trunkingen esa misma interfaz, asegúrese deque la interfaz es una interfaz de acceso, utilizando el subcomando de interfazswitchportmodeaccess. El proceso anterior se puede utilizar en un switch configurado en modo transparente oen un switch con todos los valores predeterminados de VTP. Como referencia, la siguientelista esboza los valores predeterminados importantes en un switch de Cisco relativos a lasVLANs y VTP. Por ahora, este capítulo asume o los valores predeterminados de VTP oVTP en modo transparente. Más tarde en este capítulo, la sección “Advertencias al cambiarla configuración predeterminada de VTP” revisa los valores predeterminados de unswitch de Cisco y la implicación de cómo pasar de no utilizar VTP, basado en los valorespredeterminados, a usar VTP. • Modo servidor de VTP. • Sin nombre de dominio VTP. • La VLAN 1 y las VLANs 1002-1005 están configuradas automáticamente (y no puedenser borradas). • Todas las interfaces de acceso se asignan a la VLAN 1 (un comando implícitoswitchportaccessvlan 1). Opciones del comando switchportmode Trunkingesperado resultante basándose en la configuracióndel comando switchportmode Switch(config-if)#switchportmode ? access Set trunkingmodeto ACCESS unconditionally dynamic Set trunkingmodetodynamicallynegotiateaccessortrunkmode trunk Set trunkingmodeto TRUNK unconditionally
  5. 5. Cuatro razones por las que un troncal no permite tráfico deuna VLAN • Una VLAN ha sido eliminada de la lista de VLANs permitidas del troncal. • Una VLAN no existe, o no está activa, en la base de datos VLAN del switch (comopuede verse con el comando show vlan). • Una VLAN ha sido recortada automáticamente por VTP. • Una instancia de STP de la VLAN ha colocado a la interfaz del troncal en otro estadoque no es el Estado de Reenvío. El libro enumera las cuatro razones para limitar las VLANs en un troncal en el mismoorden en el cual el IOS describe estas razones en la salida del comando show interfacestrunk. Este comando incluye una progresión de tres listas de las VLANs soportadas sobreun troncal. Estas tres listas son las siguientes: • VLANs en la lista VLAN permitida en el troncal. • VLANs en el grupo previo que están también configuradas y activas (no cerradas)en el switch. • VLANs en el grupo previo que no han sido también recortadas y están en un estadoSTP de reenvío. Para tener una idea de estas tres listas en la salida del comando show interfaces trunk, Configuración y terminología de VLAN de voz y de datos Los teléfonos IP de Cisco utilizan Ethernet para conectar redes IP con el propósito deenviar paquetes de Voz sobre IP (VoIP). Los teléfonos IP de Cisco pueden enviar paquetesVoIP a otros teléfonos IP para soportar las llamadas de voz, así como enviar paquetes VoIPa gateways de voz, que a su vez conectan con la red telefónica tradicional existente,pudiendo hablar con cualquier otro teléfono del mundo. Cisco anticipó que cualquier mesa de una empresa podría tener un teléfono IP de Ciscoy un PC. Para reducir el desorden de los cables, Cisco incluye un pequeño switch LANdebajo de cada teléfono IP de Cisco. El pequeño switch permite que el cable procedente delcableado general más próximo a la mesa se conecte al teléfono IP y después el PC se conectaal switch con un pequeño cable Ethernet (directo) desde el PC al teléfono IP. Las guías de diseño de telefonía IP de Cisco sugieren que el enlace entre el teléfono y elswitch utilice el troncal 802.1Q, y que el teléfono y el PC estén en VLANs diferentes (y, portanto, en diferentes subredes). Colocando los teléfonos en una VLAN, y los PCs conectadosa los teléfonos en diferentes VLANs, los ingenieros pueden gestionar más fácilmenteel espacio de direcciones IP, aplicar más fácilmente mecanismos de calidad de servicio(QoS, quality of service) a los paquetes VoIP, y proporcionar mayor seguridad separando eltráfico de datos del de voz. Cisco denomina a la VLAN utilizada en el tráfico telefónico la VLAN de voz y a laVLAN utilizada para datos la VLAN de datos o de acceso. Para que el switch pueda renviar el tráfico correctamente, los switches de Cisco necesitan conocer el ID VLAN de ambas, la VLAN de voz y la de datos. La VLAN de datos (o de acceso) se configura nadamás consultar los últimos ejemplos, utilizando el comando switchportaccessvlan id-vlan. LaVLAN de voz se configura con el subcomando de interfaz switchportvoicevlan id-vlan. Porejemplo, para la Figura 1.10, la interfaz Fa0/6 necesitaría el subcomando de interfazswitchportaccessvlan 2 y el subcomando switchportvoicevlan 12.
  6. 6. Lista Recomendaciones de cómo proteger los puertos no utilizadosde un switch • Deshabilitar administrativamente la interfaz no utilizada, con el subcomando deinterfaz shutdown. • Prevenir la negociación del trunkingcuando el puerto está habilitado mediante elsubcomando de interfaz switchportnonegotiatepara deshabilitar la negociación, oel subcomando de interfaz switchportmodeaccesspara configurar estáticamente la interfaz como interfaz de acceso. • Asignar el puerto a una VLAN no utilizada, llamada a veces VLAN de aparcamiento,con el subcomando de interfaz switchportaccessvlan id-vlan. Lista de verificación de la configuración de VTP Paso 1 Configurar el modo de VTP utilizando el comando de configuración global vtpmode {server|client}. Paso 2 Configurar el nombre del dominio VTP (sensible al uso de mayúsculas y minúsculas)con el comando de configuración global vtpdomain nombre-dominio. Paso 3 (Opcional) Tanto en clientes como en servidores, configurar la misma contraseñasensible al uso de mayúsculas y minúsculas con el comando de configuraciónglobal vtppassword contraseña. Paso 4 (Opcional) Configurar el pruningVTP en los servidores VTP utilizando el comandode configuración global vtppruning. Paso 5 (Opcional) Habilitar la versión 2 de VTP con el comando de configuración globalvtpversion 2. Paso 6 Plantear los troncales entre los switches. Comandos de configuración de VTP y VLAN, y dóndese almacenan Proceso de resolución de problemas de VTP utilizadoscuando VTP no funciona como se desea Paso 1 Confirmar los nombres de switch, topología (incluyendo qué interfaces conectanqué switches), y modos VTP del switch. Paso 2 Identificar conjuntos de dos switches vecinos que deban ser clientes o servidoresVTP en los que sus bases de datos VLAN difieran mediante el comandoshow vlan. Paso 3 En cada par de switches vecinos cuyas base de datos difieran, verificar losiguiente: a. Al menos debe existir un troncal operativo entre los dos switches (usarel comando show interfaces trunk, show interfaces switchport, o show cdpneighbors). b. Los switches deben tener el mismo nombre de dominio (sensible al uso demayúsculas y minúsculas) VTP (show vtp status). c. Si se configuró, los switches deben tener la misma contraseña (sensible aluso de mayúsculas y minúsculas) VTP (show vtppassword). d. Mientras el pruningVTP debe estar habilitado o deshabilitado en todos losservidores del mismo dominio, tener dos servidores configurados con unaconfiguración de pruningopuesta no previene el proceso de sincronización. Paso 4 Para cada par de switches identificados en el Paso 3, solucionar el problemabien resolviendo los problemas de truningo reconfigurando unswitch paraque los nombres de dominio y las contraseñas sean los mismos. Prediciendo qué pasará con VTP cuando un nuevo switchse conecte a la red Paso 1 Confirmar que se producirá el trunkingen el nuevo enlace (consultar la Tabla1.5 para los detalles). Paso 2 Confirmar que los dos switches utilizan el mismo nombre de dominio y contraseñaVTP (con distinción entre mayúsculas y minúsculas). Paso 3 Si los pasos 1 y 2 confirman que VTP funciona, el switch con el menor númerode versión actualiza su base de datos VLAN para coincidir con el otroswitch.
  7. 7. Buenas prácticas de VTP para prevenir los problemas de VTP • Si no tiene intención de utilizar VTP, configure cada switch para utilizar el modotransparente. • Si utiliza el modo servidor o cliente de VTP, utilice siempre una contraseña VTP. • Deshabilite el trunkingcon los comandos switchportmodeaccessy switchportnonegotiateen todas las interfaces excepto en los troncales conocidos, previniendo ataquesde VTP mediante la eliminación del establecimiento dinámico de enlaces troncales. Definiciones de los términos clave Defina los siguientes términos clave de este capítulo, y compruebe sus respuestas conayuda del glosario:802.1Q, base de datos de configuración VLAN, ISL, modo administrativo de trunking,modo cliente VTP, modo operativo de trunking, modo servidor VTP, modotransparente VTP, pruningVTP, troncal, VLAN, vlan.dat, VTP. Referencia de comandos EXEC

×