IDENTIFICACIÓN DE ELEMENTOS DE LAS
VLAN BENEFICIOS DE UNA VLAN
* Seguridad. A los grupos que tienen datos sensibles se les separa del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial.
*Reducción de costos. El ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y usos más eficientes de enlaces y ancho de banda existente.
Mejor rendimiento: la división de las redes planas de Capa 2 en múltiples grupos lógicos de trabajo (dominios de broadcast) reduce el tráfico innecesario en la red y potencia el rendimiento.
RANGOS DE ID DE LA VLAN
El acceso a las VLAN está dividido en un rango
normal o un rango extendido.
VLAN
DE RANGO NORMAL
Se utiliza en redes de pequeños y medianos negocios
y empresas.
Se identifica mediante un ID de VLAN entre 1 y
1005.
Los ID de 1002 a 1005 se reservan para las VLAN
Token Ring y FDDI.
Los ID 1 y 1002 a 1005 se crean automáticamente y no
se pueden eliminar. Aprenderá más acerca de VLAN 1 más adelante en este
capítulo.
Las configuraciones se almacenan dentro de un
archivo de datos de la VLAN, denominado vlan.dat. El archivo vlan.dat se
encuentra en la memoria flash del switch.
El
protocolo de enlace troncal de la VLAN (VTP), que ayuda a gestionar las
configuraciones de la VLAN entre los switches, sólo puede asimilar las VLAN de
rango normal y las almacena en el archivo de base de datos de la VLAN.
VLAN DE RANGO NORMAL
VLAN DE RANGO NORMAL
Una red
construida sobre dispositivos de capa 2 es conocida como “red plana”.
Este tipo de redes se componen de un único dominio de difusión, es decir, las
peticiones de broadcast inundan toda la red, si a este dominio de difusión le
añadimos más host, aumentarán las peticiones de broadcast provocando que la red
se sature.
Ejemplo de Dominio de Difusión (Broadcast)
En el siguiente ejemplo se muestra una red plana en la cual tenemos 3 Switches y 6 PC. Los Switches tienen la configuración por defecto y los PCs se han configurado en la red 172.17.1.0/24, de esta forma todos los PCs se ven unos con otros.
Ejemplo de Dominio de Difusión (Broadcast)
En el siguiente ejemplo se muestra una red plana en la cual tenemos 3 Switches y 6 PC. Los Switches tienen la configuración por defecto y los PCs se han configurado en la red 172.17.1.0/24, de esta forma todos los PCs se ven unos con otros.
VLNA DE RANGO EXTENDIDO
Posibilita a los proveedores de servicios que
amplíen sus infraestructuras a una cantidad de clientes mayor. Algunas empresas
globales podrían ser lo suficientemente grandes como para necesitar los ID de
las VLAN de rango extendido.
Se identifican mediante un ID de VLAN entre 1006 y
4094.
Admiten menos características de VLAN que las VLAN
de rango normal.
Se guardan en el archivo de configuración en
ejecución.
VTP no aprende las VLAN de rango extendido.
TIPOS
DE VLAL
Una VLAN de datos es una VLAN configurada para
enviar sólo tráfico de datos generado por el usuario. Una VLAN podría enviar
tráfico basado en voz o tráfico utilizado para administrar el switch, pero este
tráfico no sería parte de una VLAN de datos. Es una práctica común separar el
tráfico de voz y de administración del tráfico de datos. La importancia de
separar los datos del usuario del tráfico de voz y del control de
administración del switch se destaca mediante el uso de un término específico
para identificar las VLAN que sólo pueden enviar datos del usuario: una
"VLAN de datos". A veces, a una VLAN de datos se la denomina VLAN de
usuario.
VLAN
DE DATOS
Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.
Por mediante la CLI del IOS de un switch, deben
darse de alta las VLAN y a cada puerto se le debe asignar el modo y la
VLAN por la cual va a trabajar.
No es obligatorio el uso de VLAN en las redes
conmutadas, pero existen ventajas reales para utilizarlas como seguridad,
reducción de costo, mejor rendimiento, reducción de los tamaño de broadcast y
mejora la administración de la red.
El acceso a las VLAN está dividido en un rango
normal o un rango extendido, las VLAN de rango normal se utilizan en redes de
pequeñas y medianas empresas, se identifican por un ID de VLAN entre el 1 y
1005 y las de rango extendido posibilita a los proveedores de servicios que
amplien sus infraestructuras a una cantidad de clientes mayor y se identifican
mediante un ID de VLAN entre 1006 y 4094.
El protocolo de enlace troncal de la VLAN VTP (que
lo veremos más adelante) sólo aprende las VLAN de rango normal y no las de
rango extendido.
VLAN
PREDETERMINADA
Todos los puertos de switch se convierten en un
miembro de la VLAN predeterminada al iniciar un switch. Esto significa que
todos los puertos del switch forman parte del mismo dominio de
broadcast. La VLAN predeterminada para los switches de Cisco es la VLAN 1,
esta tiene todas las características de cualquier VLAN, excepto que no la puede
volver a denominar y no la puede eliminar. El tráfico de control de Capa 2,
como CDP y el tráfico del protocolo spanning tree se asociará siempre con la
VLAN 1: esto no se puede cambiar. Es una práctica habitual cambiar la VLAN 1
(Predeterminada) por otra VLAN, ya que con esto optimizamos la
seguridad.
VLAN
NATIVA
Una VLAN nativa está asignada a un puerto
troncal 802.1Q. Un
puerto de enlace troncal 802.1Q admite el tráfico que llega de muchas VLANs
(tráfico etiquetado – tagged) como también el tráfico que no llega de una VLAN
(tráfico no etiquetado – untagged). El puerto de enlace troncal 802.1Q coloca
el tráfico no etiquetado en la VLAN nativa. El tráfico no etiquetado lo genera
una computadora conectada a un puerto del switch que se configura con la VLAN
nativa. Las VLAN se establecen en la especificación IEEE 802.1Q para mantener
la compatibilidad retrospectiva con el tráfico no etiquetado común para los
ejemplos de LAN antigua.
VLAN
DE ADMINISTRACION
Una VLAN de administración es aquella con la que el
administrador y solo el administrador tendrá la capacidad de administrar la
electrónica de red (switches, router, …). La VLAN 1 serviría como VLAN de
administración, pero en la práctica habitual es aconsejable cambiar esta VLAN
por otra diferente. A esta VLAN se le asigna una dirección IP y una
máscara de subred, de esta forma podremos acceder al switch (HTTP, Telnet, SSH
o SNMP) a través de su dirección IP.
VLAN DE
VOZ
Es fácil
apreciar por qué se necesita una VLAN separada para admitir la Voz sobre IP
(VoIP). Imagine que está recibiendo una llamada de urgencia y de repente la
calidad de la transmisión se distorsiona tanto que no puede comprender lo que
está diciendo la persona que llama. El tráfico de VoIP requiere:
·
Ancho de banda garantizado para asegurar la calidad
de la voz.
·
Prioridad de la transmisión sobre los tipos de
tráfico de la red.
·
Capacidad para ser enrutado en áreas congestionadas
de la red.
·
Demora de menos de 150 milisegundos (ms) a través de
la red.
MODOS
DE MEMBRESIA DE LOS PUERTOS SWITCH DE VLAN
Cuando configura una VLAN, debe asignarle un número de ID y le puede dar un nombre si lo desea. El propósito de las implementaciones de la VLAN es asociar con criterio los puertos con las VLAN particulares. Se configura el puerto para enviar una trama a una VLAN específica. Como se mencionó anteriormente, el usuario puede configurar una VLAN en el modo de voz para admitir tráfico de datos y de voz que llega desde un teléfono IP de Cisco. El usuario puede configurar un puerto para que pertenezca a una VLAN mediante la asignación de un modo de membresía que especifique el tipo de tráfico que envía el puerto y las VLAN a las que puede pertenecer.
ENLACE
RTONCAL DE LA VLAN
Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.
Por mediante la CLI del IOS de un switch, deben
darse de alta las VLAN y a cada puerto se le debe asignar el modo y la
VLAN por la cual va a trabajar.
No es obligatorio el uso de VLAN en las redes
conmutadas, pero existen ventajas reales para utilizarlas como seguridad,
reducción de costo, mejor rendimiento, reducción de los tamaño de broadcast y
mejora la administración de la red.
El acceso a las VLAN está dividido en un rango
normal o un rango extendido, las VLAN de rango normal se utilizan en redes de
pequeñas y medianas empresas, se identifican por un ID de VLAN entre el 1 y
1005 y las de rango extendido posibilita a los proveedores de servicios que
amplien sus infraestructuras a una cantidad de clientes mayor y se identifican
mediante un ID de VLAN entre 1006 y 4094.
El protocolo de enlace troncal de la VLAN VTP (que
lo veremos más adelante) sólo aprende las VLAN de rango normal y no las de
rango extendido.
ETIQUETADO
DE TRAMA 802.1Q
El protocolo IEEE 802.1Q, también conocido como
dot1Q, fue un proyecto del grupo de trabajo 802 de la IEEE para desarrollar un
mecanismo que permita a múltiples redes compartir de forma transparente el
mismo medio físico, sin problemas de interferencia entre ellas (Trunking).
Es también el nombre actual del estándar establecido en este proyecto y se usa
para definir el protocolo de encapsulamiento usado para implementar este
mecanismo en redesEthernet. Todos
los dispositivos de interconexión que soportan VLAN deben seguir la norma IEEE
802.1Q que especifica con detalle el funcionamiento y administración de redes
virtuales.
VLAN
NATIVAS Y ENLACE TRONCAL 802.1Q
Enlace Troncal.- Un enlace troncal es un enlace
punto a punto entre dos sispositivos de red, el cual transporta más de una
vlan. Un enlace troncal de VLAN no pertence a una VLAN específica, sino que es
un conducto para las VLAN entre switches y routers.
Existen deiferentes modos de enlaces troncales como
el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es
utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q
admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un
protocolo propiedad de cisco, DTP administra la negociación del enlace troncal
sólo si el puerto en el otro switch se configura en modo de enlace troncal que
admita DTP
PUERTO
DE ACCESO EN LOS SWITCH
El diseño
de Ethernet no ofrecía escalabilidad, es decir, al aumentar el tamaño de la red
disminuyen sus prestaciones o el costo se hace inasumible. CSMA/CD, el
protocolo que controla el acceso al medio compartido en Ethernet, impone de por
sí limitaciones en cuanto al ancho de banda máximo y a la máxima distancia
entre dos estaciones. Conectar múltiples redes Ethernet era por aquel entonces
complicado, y aunque se podía utilizar un router para la interconexión, estos
eran caros y requería un mayor tiempo de procesado por paquete grande,
aumentando el retardo.
CONFIGURACION
DE UNA VLAN
Enlace
Troncal.- Un enlace troncal es un enlace punto a punto entre dos sispositivos
de red, el cual transporta más de una vlan. Un enlace troncal de VLAN no
pertence a una VLAN específica, sino que es un conducto para las VLAN entre
switches y routers.
Existen deiferentes modos de enlaces troncales como
el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es
utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q
admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un
protocolo propiedad de cisco, DTP administra la negociación del enlace troncal
sólo si el puerto en el otro switch se configura en modo de enlace troncal que
admita DTP.
CONFIGURACIÓN
DE UN ENLACE TRONCAL 802.1Q EN UN SWITCH:
AGREGAR
UNA VLAN
Ciscoredes# configure terminal
Ciscoredes(config)# vlan vlan-id
Ciscoredes(config-vlan)# name
nombre-de-vlan
Ciscoredes(config-vlan)# exit
·
Vlan .- comando para asignar las VLAN
·
Valn-id.- Numero de vlan que se creará que va de un
rango normal de 1-1005 (los ID 1002-1005 se reservan para Token Ring y FDDI).
·
Name.- comando para especificar el nombre de la VLAN
·
Nombre-de-vlan.- Nombre asignado a la VLAN, sino se
asigna ningún nombre, dicho nombre será rellenado con ceros, por ejemplo para
la VLAN 20 sería VLAN0020.
ASIGNACION
DE UN PUERTO DE SWITCH
Ciscoredes#
configure terminal
Ciscoredes(config)#
interface interface-id
Ciscoredes(config-vlan)#
switchport mode access
Ciscoredes(config-vlan)#
switchport access vlan vlan-id
Ciscoredes(config-vlan)#
end
Donde:
·
interface .- Comando para entrar al modo de
configuración de interfaz.
·
Interface-id.- Tipo de puerto a configurar por
ejemplo fastethernet 0/0
·
Switchport mode access .- Define el modo de
asociación de la VLAN para el puerto
·
Switchport access vlan .- Comandos para asignar un
puerto a la vlan.
·
Vlan-id.- Numero de vlan a la cual se asignará el
puerto.
ASIGNACION
DE RANGOS DE PUERTOS
Los comandos están de color Azul y los argumentos de color marrón.
SW_CUBA (config)# interface fastethernet
0/1 (interfaz donde se va asignar a que VLAN pertenece ese puerto).
SW_CUBA (config-if)# switchport
mode access
SW_CUBA (config-if)# switchport access
vlan ID (indicar el identificador de la VLAN que asignaremos a ese
puerto)
SW_CUBA (config-if)#do copy running-config
startup-config (guardaremos la configuración, si ponemos el comando do, podremos
poner cualquier comando en cualquier modo).
ADMINISTRACION
DE LAS VLAN
Una VLAN
de administración le otorga los privilegios de administración al administrador
de la red, para manejar un switch en forma remota se necesita asignarle al switch
una dirección IP y gateway dentro del rango de dicha subred para esta VLAN,
como hemos mencionado anteriormente por defecto la VLAN de administración es la
1, en nuestro ejemplos modificaremos dicha VLAN, los pasos para configurar la
VLAN de administración son los siguiente:
Ciscoredes#
configure terminal
Ciscoredes(config)#
interface vlan id
Ciscoredes(config-if)#
ip address a.a.a.a b.b.b.b
Ciscoredes(config-if)#
no shutdown
Ciscoredes(config-if)#
exit
Ciscoredes(config)#
interface interface-id
Ciscoredes(config-if)#
switchport mode access
Ciscoredes(config-if)#
switchport acces vlan vlan-id
Ciscoredes(config-if)# exit
VERIFICACION
DE LAS VINCULACIONES DE PUERTO Y DE LAS VLAN
Después de configurar la VLAN, puede validar las
configuraciones de la VLAN mediante la utilización de los comandos show del IOS
de Cisco.
La sintaxis de comando para los diversos comandos
show del IOS de Cisco debe conocerse bien. Ya ha utilizado el comando show vlan
brief. Se pueden ver ejemplos de estos comandos haciendo clic en los botones de
la figura.
En este ejemplo, el usuario puede ver que el comando
show vlan name student no produce resultados muy legibles. Aquí se prefiere
utilizar el comando show vlan brief. El comando show vlan summary muestra la
cuenta de todas las VLAN configuradas. El resultado muestra seis VLAN: 1,
1002-1005 y la VLAN del estudiante, VLAN 20.
Este comando muestra muchos detalles que exceden el
alcance de este capítulo. La información clave aparece en la segunda línea de
la captura de pantalla e indica que la VLAN 20 está activa.
Este comando muestra información útil para el
usuario. Puede determinar que el puerto F0/18 se asigna a la VLAN 20 y que la
VLAN nativa es la VLAN 1. El usuario ha utilizado este comando para revisar la
configuración de una VLAN de voz.
VINCULOS
AL PUERTO DE ADMINISTRACION
Existen
varias formas de administrar las VLAN y los vínculos del puerto de VLAN. La
figura muestra la sintaxis para el comando no switchport access vlan.
ADMINSTRACION
DE LA PERTENENCIA AL PUERTO
Para reasignar un puerto a la VLAN 1, el usuario
puede usar el comando no switchport access vlan en modo de configuración de
interfaz. Examine la salida del comando show vlan brief que aparece
inmediatamente a continuación. Note cómo VLAN 20 sigue activa. Sólo se la ha
eliminado de la interfaz F0/18. En el comando show interfaces f0/18 switchport,
se puede ver que la VLAN de acceso para interfaz F0/18 se ha reestablecido a la
VLAN 1.
Un puerto de acceso estático sólo puede tener una
VLAN. Con el software IOS de Cisco, no necesita quitar primero un puerto de una
VLAN para cambiar su membresía de la VLAN. Cuando reasigna un puerto de acceso
estático a una VLAN existente, la VLAN se elimina automáticamente del puerto
anterior. En el ejemplo, el puerto F0/11 se reasigna a la VLAN 20.
ELIMINACION
DE LAS VLAN
La figura proporciona un ejemplo de uso del comando
de configuración global no vlan vlan-id para eliminar la VLAN 20 del sistema.
El comando show vlan brief verifica que la VLAN 20 ya no está en el archivo
vlan.dat.
Alternativamente, el archivo completo vlan.dat puede
eliminarse con el comando delete flash:vlan.dat del modo EXEC privilegiado.
Después de que el switch se haya vuelto a cargar, las VLAN configuradas
previamente ya no estarán presentes. Esto ubica al switch, en forma efectiva,
en "de fábrica de manera predeterminada" con respecto a las
configuraciones de la VLAN.
Nota: Antes de eliminar una VLAN, asegúrese de
reasignar primero todos los puertos miembro a una VLAN diferente. Todo puerto
que no se ha movido a una VLAN activa no puede comunicarse con otras estaciones
luego de eliminar la VLAN.
CONFIGURACION
DE UN ENLACE TRONCA
Enlace Troncal.- Un enlace troncal es un enlace
punto a punto entre dos sispositivos de red, el cual transporta más de una
vlan. Un enlace troncal de VLAN no pertence a una VLAN específica, sino que es
un conducto para las VLAN entre switches y routers.
Existen deiferentes modos de enlaces troncales como
el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es
utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q
admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un
protocolo propiedad de cisco, DTP administra la negociación del enlace troncal
sólo si el puerto en el otro switch se configura en modo de enlace troncal que
admita DTP.
CONFIGURACIÓN
DE UN ENLACE TRONCAL 802.1Q EN UN SWITCH:
Ciscoredes# configure terminal
Ciscoredes(config)# interface interface-id
Ciscoredes(config-if)# switchport mode trunk
Ciscoredes(config-if)# switchport trunk native vlan vlan-id
Ciscoredes(config-if)#
exit
VERIFICACION
DE LA CONFIGURACION DEL ENLACE TRONCAL
Para configurar un enlace troncal en un puerto
de switch, utilice el comando switchport mode trunk. Cuando ingresa al modo
enlace troncal, la interfaz cambia al modo permanente de enlace troncal y el
puerto ingresa a una negociación de DTP para convertir el vínculo a un vínculo
de enlace troncal, por más que la interfaz que la conecta no acepte cambiar. En
este curso configurará un enlace troncal utilizando únicamente el comando
switchport mode trunk. En la figura se muestra la sintaxis de comando IOS de
Cisco para especificar una VLAN nativa diferente a la VLAN 1. En el ejemplo, el
usuario configura la VLAN 99 como la VLAN nativa. Se muestra la sintaxis de
comando utilizada para admitir una lista de las VLAN en el enlace troncal. En
este puerto de enlace troncal, admita las VLAN 10, 20 y 30.
CONFIGURACION
DE ENRUTAMIENTO ENTRE VLAN
El enrutamiento entre
vlans o inter vlan routing, resulta necesario una vez que se posee
una infraestructura de red con vlan implementadas, debido a que los usuarios
necesitaran intercambiar información de una red a otra.
Es importante recordar que cada VLAN es un dominio de broadcast único. Por lo tanto, de manera predeterminada, las computadoras en VLAN separadas no pueden comunicarse.
Es importante recordar que cada VLAN es un dominio de broadcast único. Por lo tanto, de manera predeterminada, las computadoras en VLAN separadas no pueden comunicarse.
CONFIGURACION
DEL PUERTO DE ENLACE TRONCAL EN EL SWITCH
Ciscoredes#
configure terminal
Ciscoredes(config)#
interface interface-id.numero
Ciscoredes(config-subif)#
encapsulation dot1q numero
Ciscoredes(config-subif)#
ip address a.a.a.a b.b.b.b
Ciscoredes(config-subif)# exit
No hay comentarios:
Publicar un comentario