Configuración de VLAN
Configuración de VLAN
Configuración de VLAN
SESIÓN 03:
Configuración de VLAN
I
OBJETIVOS
II
TEMAS A TRATAR
VLAN
Beneficios de las redes VLAN
Rangos de VLAN
Tipos de VLAN
VLAN de Voz
Enlaces troncales de la VLAN
Configuración de VLAN
Eliminación de una VLAN
Configuración de enlaces troncales
Verificación de configuración de VLAN
III
MARCO TEORICO
Los switches LAN se pueden dividir en grupos de puertos llamados “VLAN” para mejorar el
rendimiento, la administración y seguridad de la red.
Se puede crear una red de área local virtual (VLAN) en un switch de capa 2 para reducir el tamaño de
los dominios de difusión, similares a los dispositivos de capa 3. Por lo general, las VLAN se
incorporan al diseño de red para facilitar que una red dé soporte a los objetivos de una organización.
VLAN
Una VLAN permite que un administrador de red cree grupos de dispositivos conectados a la red
de manera lógica que actúan como si estuvieran en su propia red independiente, incluso si
comparten una infraestructura común con otras VLAN.
Cada puerto de switch se puede asignar a una sola VLAN (a excepción de un puerto conectado a
un teléfono IP o a otro switch).
Figura 1: VLAN
Mejor rendimiento: La división de las redes planas de capa 2 en varios grupos de trabajo
lógicos (dominios de difusión) reduce el tráfico innecesario en la red y mejora el
rendimiento.
Dominios de difusión reducidos: La división de una red en redes VLAN reduce la
cantidad de dispositivos en el dominio de difusión.
Mayor eficiencia del personal de TI: Las VLAN facilitan el manejo de la red debido a
que los usuarios con requerimientos similares de red comparten la misma VLAN. Cuando
se dispone de un switch nuevo, se implementan todas las políticas y los procedimientos
que ya se configuraron para la VLAN específica cuando se asignan los puertos. También
es fácil para el personal de TI identificar la función de una VLAN proporcionándole un
nombre.
RANGOS DE VLAN
Los rangos de VLAN normal son:
Se identifica mediante un ID de VLAN entre 1 y 1005.
Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI
Los ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar.
Las configuraciones se almacenan dentro de un archivo de datos de la VLAN,
denominado vlan.dat. El archivo vlan.dat se encuentra en la memoria flash del switch.
El protocolo de enlace troncal de la VLAN (VTP), que ayuda a gestionar las
configuraciones de la VLAN entre los switches, sólo puede asimilar las VLAN de rango
normal y las almacena en el archivo de base de datos de la VLAN
TIPOS DE VLAN
VLAN de datos
Una VLAN de datos es una VLAN configurada para enviar sólo tráfico de datos generado
por el usuario. Una VLAN podría enviar tráfico basado en voz o tráfico utilizado para
administrar el switch, pero este tráfico no sería parte de una VLAN de datos.
VLAN predeterminadas
La VLAN predeterminada para los switches Cisco es la VLAN 1. La VLAN 1 tiene todas
las características de cualquier VLAN, excepto que no se le puede cambiar el nombre ni
se puede eliminar. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera
predeterminada.
Una VLAN nativa está asignada a un puerto troncal 802.1Q. Los puertos de enlace
troncal son los enlaces entre switches que admiten la transmisión de tráfico asociado a
más de una VLAN. Un puerto de enlace troncal 802.1 Q admite el tráfico que llega de
muchas VLAN (tráfico etiquetado) como también el tráfico que no llega de una VLAN
(tráfico no etiquetado). El puerto de enlace troncal 802.1Q coloca el tráfico no etiquetado
en la VLAN nativa.
El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la VLAN nativa, que
es la VLAN 1 de manera predeterminada.
VLAN administración
Una VLAN de administración es cualquier VLAN que se configura para acceder a las
capacidades de administración de un switch. La VLAN 1 es la VLAN de administración de
manera predeterminada. Para crear la VLAN de administración, se asigna una dirección IP y
una máscara de subred a la interfaz virtual de switch (SVI) de esa VLAN, lo que permite que
el switch se administre mediante HTTP, Telnet, SSH o SNMP. Dado que en la configuración
de fábrica de un switch Cisco la VLAN 1 se establece como VLAN predeterminada, la VLAN
1 no es una elección adecuada para la VLAN de administración.
En el pasado, la VLAN de administración para los switches 2960 era la única SVI activa. En
las versiones 15.x de IOS de Cisco para los switches de la serie Catalyst 2960, es posible tener
más de una SVI activa. Con IOS de Cisco 15.x, se debe registrar la SVI activa específica
asignada para la administración remota. Si bien, en teoría, un switch puede tener más de una
VLAN de administración, esto aumenta la exposición a los ataques de red.
VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). El tráfico
de VoIP requiere:
Ancho de banda garantizado para asegurar la calidad de la voz Prioridad de la transmisión
sobre los tipos de tráfico de la red Capacidad para ser enrutado en áreas congestionadas de la
red Una demora inferior a 150 ms a través de la red
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de una
VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red, no pertenece a una
VLAN específica, sino que es un conducto para las VLAN entre switches y routers. Cisco admite
IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit Ethernet y
10-Gigabit Ethernet.
Las VLAN no serían muy útiles sin los enlaces troncales de VLAN. Los enlaces troncales de
VLAN permiten que se propague todo el tráfico de VLAN entre los switches, de modo que los
dispositivos que están en la misma VLAN pero conectados a distintos switches se puedan
comunicar sin la intervención de un router.
En la Figura 3, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para transmitir el
tráfico proveniente de las VLAN 10, 20, 30 y 99 a través de la red. Esta red no podría funcionar
sin los enlaces troncales de VLAN.
CONFIGURACION DE VLAN
Ejemplo:
Utilice el comando show vlan brief para mostrar el contenido del archivo vlan.dat.
Se puede introducir una serie de ID de VLAN separadas por comas o un rango de ID de VLAN
separado por guiones con el comando vlan id-vlan.
Después de crear una VLAN, el siguiente paso es asignar puertos a la VLAN. Un puerto de acceso
puede pertenecer a una sola VLAN por vez; una excepción a esta regla es un puerto conectado a un
teléfono IP, en cuyo caso, hay dos VLAN asociadas al puerto: una para voz y otra para datos.
Ejemplo:
El comando show vlan brief muestra una línea para cada VLAN. El resultado para cada VLAN
incluye el nombre, el estado y los puertos de switch de la VLAN.
La VLAN 20 sigue activa, aunque no tenga puertos asignados. En la figura 7, se muestra que el resultado
del comando show interfaces f0/18 switchport verifica que la VLAN de acceso para la interfaz F0/18 se
haya restablecido a la VLAN 1.
Switch#configure terminal
Switch(vlan)#no vlan 3
Ejemplo:
Se ha configurado los puertos para cada una de las VLANs existentes, para levantar el enlace
troncal, realizamos lo siguiente:
S2(config)#interface fastethernet 0/1
S2(config-if)#switchport mode trunk
S2(config-if)#switchport trunk native vlan 99
S2(config-if)#switchport trunk allowed vlan 10, 20, 30, 99
Para el restablecimiento del puerto al modo de acceso use el comando switchport mode Access
La configuración del enlace troncal se verifica con el comando show interfaces ID-interfaz
switchport.
IV
(La práctica tiene una duración de 2 horas) ACTIVIDADES
TOPOLOGÍA
Tabla de direccionamiento
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer
ping entre ellas.
¿Se puede hacer ping de la PC-A a la PC-B?
¿Se puede hacer ping de la PC-A a la PC-C?
¿Se puede hacer ping de la PC-A al S1?
¿Se puede hacer ping de la PC-B a la PC-C?
¿Se puede hacer ping de la PC-B al S2?
¿Se puede hacer ping de la PC-C al S2?
¿Se puede hacer ping del S1 al S2?
S1(config-if)# no ip address
b. Emita el comando show vlan brief y verifique que las VLAN se hayan asignado a las
interfaces correctas.
d. Use la topología para asignar las VLAN a los puertos correspondientes en el S2.
e. Elimine la dirección IP para la VLAN 1 en el S2.
f. Configure una dirección IP para la VLAN 99 en el S2 según la tabla de
direccionamiento.
g. Use el comando show vlan brief para verificar que las VLAN se hayan asignado a las
interfaces correctas.
b. Emita el comando show vlan brief para verificar las asignaciones de VLAN.
c. Reasigne F0/11 y F0/21 a la VLAN 20.
d. Verifique que las asignaciones de VLAN sean las correctas.
Nota: la tecnología de switches actual ya no requiere la emisión del comando vlan para
agregar una VLAN a la base de datos. Al asignar una VLAN desconocida a un puerto, la
VLAN se agrega a la base de datos de VLAN.
Una vez que se elimina la VLAN 30, ¿a qué VLAN se asigna el puerto F0/24?
¿Qué sucede con el tráfico destinado al host conectado a F0/24?
CUESTIONARIO
1. ¿Cuáles son algunos de los beneficios principales que una
organización puede obtener mediante el uso eficaz de las VLAN?
2. ¿Qué problemas de seguridad, si los hubiera, tiene la configuración
predeterminada de un switch Cisco?
VI
BIBLIOGRAFIA Y REFERENCIAS