De esta manera, al dividir la red física en vlan's, estamos dividiendo también el tráfico broadcast, es decir, el broadcast de una vlan no se propaga por el de las otras. Esto reduce y optimiza el uso de la red.
 |
| División lógica con VLAN's |
- Access Port: pertenecen a una solo VLAN y normalment se usa para dispositivos finales. Se pueden configurar estáticamente (configuración manual) o dinámicamente (el servidor VMPS los asigna)
- Trunk Port: es un puerto por dónde pasan múltiples VLAN's. Se configura entre dos switches o entre router y switch. En un puerto trunk no tenemos que pasar todas las VLAN's, podemos filtrar las VLANS que queremos que se comuniquen entre los equipos. Tenemos dos protocolos:
 |
| ISL es propietario de Cisco y encapsula todo la trama y, 802.1Q no y es estándar |
En los equipos Cisco tenemos los siguientes rangos para configurar VLAN:
NÚMERO DE VLAN O RANGO
|
TIPO
|
DESCRIPCIÓN
|
0
|
Reservado
|
802.1P
|
1
|
Normal
|
Vlan Nativa por defecto en Cisco
|
2 – 1001
|
Normal
|
Vlans
|
1002 - 1005
|
Normal
|
Vlans para Token Ring y FDDI
|
1006 – 4094
|
Extendida
|
Rango extendido (Vlan Ethernet)
|
4095
|
Reservada
|
Reservado para el sistema
|
Las vlan 1 y 1002-1005 no deberían ser asignadas a puertos. Además no pueden ser borradas del TRUNK pero si podemos configurarlo para que no las propague. Sin embargo, si usamos VTP las propagará.
Las vlan 1006-4094 se usan normalmente para dos casos, que en muchos modelos no nos dejará configurar estas vlans si no está configurado con una de estas opciones
- Cuando tenemos VTP en modo transparente
- Cuando configuramos VTP versión 3
Como ya sabemos, el switch crea la tabla DCAM, donde almacena todas las direcciones mac.
Si vemos el siguiente mensaje a la hora de configurar VLAN, "native vlan mismatch", esto se puede deber a:
- Si el switch recibe una trama sin etiqueta VLAN (tag) en el puerto trunk, mandará el paquete a la vlan nativa.
- También si las VLAN nativas no coinciden entre los switches que forman el trunk
- Cuando usamos IP Phones. Los IP Phones llevan un switch dentro y la implementación se hace de la siguiente manera:
El PC se conecta al teléfono y del teléfono al switch. La voz va por una vlan y los datos por otra.
En el switch configuraríamos la vlan 20 como "native vlan". Cuando el switch recibe la trama del pc que viene sin etiqueta (untagged), el switch le asignará la VLAN 20. El IP Phone es capaz de etiquetar los paquetes de voz con la VLAN 10, pero el PC no, Tenemos que hacer este truco para que funcione.
Para crear una VLAN en un switch:
(config)#vlan 300
(config-vlan)#name MARKETING
Para asignar la VLAN a los puertos:
(config)#interface range fastethernet 0/1-10 - range sirve para hacerlo en varios puertos
(config-if-range)#switchport mode access
(config-if-range)#switchport access vlan 100 - Puerto de acceso
Las VLAN's no se almacenan en la running-config. Están en un archivo en la flash llamado vlan.dat
Otras configuraciones de trunk:
(config-if)#switchport nonegotiate -> no negocia con el otro lado
(config-if)#switchport trunk native vlan X
-> asigna la vlan nativa
(config-if)#switchport trunk allowed vlan X
-> para filtrar vlans en el trunk
Para borrar vlans:
#delete flash:vlan.dat ---- > Y reiniciamos el switch
Para ver las vlans creadas en el switch:
switch#show vlan
 |
| Vemos las vlans creadas y los puertos asociados |
TRUNKING
Cómo ya hemos dicho, tenemos dos protocolos para hacer trunking: ISL y 802.1Q
ISL (Inter-Switch Link)
Suele configurarse en entornos Point-To-Point y admite hasta 1000 vlans.
La trama original se encapsula y se le añade una nueva cabecera antes de enviarlo por el trunk. Cuando llega a destino, quita la nueva cabecera y lo envía por la vlan que venga etiquetada.
Soporta PVST (Per Vlan Spanning-Tree)
802.1Q
Es el estándar y más popular. Inserta 4 bytes en la trama original y el equipo hace un chequeo FCS antes de enviarlo. En el gráfico podemos ver lo que inserta:
 |
| Podemos configurar desde la 0 a la 4095 |
Para configurar un puerto trunk en Cisco:
(config-if)#switchport trunk
encapsulation isl/dot1q
(config-if)#switchport mode trunk -> para activar el trunk
DTP (Dynamic Trunk Protocol)
Existe otra manera para formar trunks. Cisco creó el protocolo DTP (Dynamic Trunk Protocol) y con ello podemos asignar trunks entre equipos dinámicamente. Soporta tanto ISL como 802.1Q.
Hay que estar muy atentos con este protocolo porque una mala configuración puede crear un gran agujero de seguridad. Se establecen 5 modos para la configuración del DTP:
-
Access: da igual lo que se conecte, siempre se considerará un equipo de acceso y por lo tanto creará un puerto de acceso al que se le permite pasar solo una vlan. Si conectamos un switch no se convertirá en trunk.
-
Trunk: envía paquetes DTP.
-
Dynamic auto: este puerto puede cambiar a accesso o trunk, dependiendo de lo que haya en el otro lado, pero nunca preguntará para ser trunk. Dos puertos conectados en este modo, se convertirán en puertos de acceso. Si uno está en dynamic y el otro en desirable, el enlace será un trunk porque el desirable al ver un switch pedirá ser un trunk.
-
Dynamic desirable (Default): negocia con lo que sea en el otro lado. Si conectamos un PC se hará un puerto de acceso; si conectamos un switch, se hará un puerto trunk
-
Non-negotiate (Most secure): es un trunk pero no enviará paquetes DTP.
 |
| Combinaciones de puertos y resultados |
Para configurar un puerto con DTP:
(config-if)#switchport mode dynamic (auto, desirable, access, trunk, non)
Usad el comando "show interface X switchport" para ver los detalles del puerto trunk.
Para filtrar vlans en un enlace trunk:
(config-if)#switchport trunk allowed vlan 10,20,30
(config-if)#switchport vlan allowed vlan except 10,20,30
(config-if)#switchport vlan allowed vlan remove 10,20,30
(config-if)#switchport trunk allowed vlan add 15
Si el switch no detecta DTP configurado en el otro lado, directamente configurará el puerto en modo acceso.
VTP (VLAN TRUNKING PROTOCOL)
VTP es un protocolo propietario de Cisco. Se usa para administrar, crear, borrar información sobre VLAN entre switches siempre que estén en el mismo dominio VTP. Podríamos decir que es un "replicado de vlans". Reduce la administración ya que los switches configurados con VTP aportan consistencia y se hace a través de las políticas que apliquemos en el dominio VTP.
Un switch solo puede pertenecer a un dominio y descartará tramas de equipos que no estén en su mismo dominio.
VTP se anuncia cada 5 minutos por defecto a través de la dirección multicast:
01-00-0C-CC-CC-CC
Cuando VTP se inicia en un switch empieza con un "número de revisión" de la base de datos de vlan que es 0. Esto se puede comprobar con un "show vtp status". Cuando se crea una nueva vlan, el número de revisión incrementa en 1 y el resto de switches actualizan su base de datos. Eliminan la base de datos y crean una nueva con la actualización del VTP. Tenemos que tener mucho cuidado porque si conectamos un switch a la red con un número de revisión superior al que tienen los equipos, estos eliminarán su base de datos y la actualizarán con la del nuevo switch conectado. Por lo tanto, si usamos VTP en nuestra red, hay que asegurarse que el nuevo switch no tiene un número superior.
MODOS VTP
-
Server (default):
- Capacidad para crear, borrar, modificar información VLAN.Debería haber solo 1
-
Envía y recibe updates
-
Guarda la configuración VLAN en la NVRam
- Todos los dominios VTP tienen que tener un servidor VTP
-
Client:
-
No puede crear, borrar ni modificar información VLAN
- Envía y recibe updates
-
No guarda la configuración VLAN
- Siempre que pertenezca al mismo dominio
-
Transparent:
- Capacidad para crear, borrar, modificar información VLAN pero en modo local
- Renvía updates de VTP.
- Guarda la configuración VLAN en local, lo suyo propio, que además no se propaga por el dominio
Para configurar VTP:
Vamos al switch que queremos que sea el server y:
switch(config)#vtp mode server
switch(config)#vtp domain CCNPLAB
Comprobamos con: "show vtp status"
Para configurar los clientes o los switches que serán transparentes:
switch(config)#vtp mode client
switch(config)#vtp mode transparent
También podemos aplicarle una contraseña al dominio para añadir seguridad:
switch(config)#vtp password X
VERSIONES VTP
VTP
v2
|
VTP
v3
|
Soporta Token Ring
|
Autenticación mejorada
|
No reconoce TLV (type length value)
|
Soporta VLAN extendida
|
Versión
dependiente del modo Transparent
|
VLAN Privadas
|
Consistentes chequeos
|
Soporta
cualquier base de datos en el dominio
|
Servidores primaries/secundarios
|
Para configurar la versión:
switch(config)#vtp version X
VTP PRUNING
Esta característica, propietaria de CIsco, sirve para reducir el consumo de ancho de banda a través de los enlaces trunk. Bloquea el tráfico innecesario que configuramos en el pruning. El pruning parará el broadcast, unkown unicast y unknown multicast, y a través del trunk para las vlan que configuramos. La información VLAN es distribuida a través del VTP pero no el broadcast. Solo funciona en servidores VTP.
Por defecto solo se pueden bloquear las vlan de la 2-1001, aunque esta lista se puede editar con el comando:
(conf-if)#switchport trunk pruning vlan
En VTP versión 1 y 2 solo se puede configurar en los equipos con rol de Server, y cuando lo habilitamos, lo hacemos para todo el dominio. En la versión 3 del VTP lo podemos configurar en cada switch.
Por defecto solo se pueden bloquear las vlan de la 2-1001, aunque esta lista se puede editar con el comando:
(conf-if)#switchport trunk pruning vlan
En VTP versión 1 y 2 solo se puede configurar en los equipos con rol de Server, y cuando lo habilitamos, lo hacemos para todo el dominio. En la versión 3 del VTP lo podemos configurar en cada switch.
Para configurarlo:
switch(config)#vtp pruning
show interface trunk
show interface pruning
Por último recordad que hay veces que conectas un switch y paraece todo correcto pero la base de datos no parece actualizarse. Hay veces que el archivo se vuelve corrupto. Para solucionar esto tendremos que borrar el archivo y reiniciar el switch:
#erase flash: vlan.dat --> y reinciar
show interface trunk
show interface pruning
Por último recordad que hay veces que conectas un switch y paraece todo correcto pero la base de datos no parece actualizarse. Hay veces que el archivo se vuelve corrupto. Para solucionar esto tendremos que borrar el archivo y reiniciar el switch:
#erase flash: vlan.dat --> y reinciar
WIRELESS Y VOZ EN VLAN
VOZ
Para la configuración de un puerto del switch donde entra voz, podemos configurarlo tanto como puerto de acceso como puerto trunk. Si configuramos el puerto en modo acceso solo podrá pasar una VLAN, por lo que si en el puerto solo hay conectado un IP Phone no habría problema, la voz pasaría perfectamente. Sin embargo, lo más común es conectar el IP Phone al puerto del switch y el PC a un puerto del teléfono. Si lo hacemos así, el cable que va desde el IP Phone al puerto del switch enviará tanto VoIP como datos. Para que esto funcione tendremos que configurar el puerto de switch como un puerto trunk. El switch negociará con el teléfono a través de los protocolos DTP y CDP. Una última cosa a tener en cuenta es que la VoIP necesita de QoS.
No tenemos que configurar el trunk propiamente. Se negociará entre el puerto del switch y el Ip Phone. En el puerto del switch configuramos:
switch(config-if)#switchport voice vlan X ?
Tenemos varias opciones además de configurar la vlan para la voz:
 |
| Diferentes opciones que modifican el etiquetado. None etiquetaría el tráfico del PC |
Ojo, cuando el hay un trunk con el IP Phone, no se ve como "modo trunk". Lo comprobamos mirando las vlan que se están propagando a través del protocolo STP, donde mostrará la info de las dos vlans que admite el puerto: la de voz y la de datos
WIRELESS
Los AP (access point) son los que proveen de conectividad. Estos se conectan a los switches de acceso. La segmentación de las WLAN (wireless LAN) se hace con VLAN's que coinciden con las diferentes WLAN.
Vamos al LABORATORIO VLAN
3. STP (SPANNING-TREE)
No hay comentarios:
Publicar un comentario