Razones para utilizar VLANs

Crear diseos ms flexibles que agrupen a usuarios por departamentos, o por gruposque trabajen juntos, en lugar de por su ubicacin fsica. Segmentar dispositivos en LANs ms pequeas (dominios de difusin) para reducirla sobrecarga causada por cada host en la VLAN. Reducir la carga de trabajo del Protocolo de rbol de extensin (STP, SpanningTreeProtocol) limitando una VLAN a un nico acceso al switch. Forzar una mayor seguridad separando los hosts que trabajen con datos sensiblesen una VLAN diferente. Separar trfico enviado por un telfono IP del trfico enviado por PCs conectadosa los telfonos.

Diagrama de trunkingVLAN
Cuando se utilizan VLANs en una red con varios switches interconectados, los switchesdeben usar el trunkingVLAN en los segmentos entre los switches. Este proceso permitea los switches utilizar el proceso denominado etiquetado de VLAN (VLAN tagging),por el cual el switch emisor aade otro encabezado a la trama antes de enviarla por eltroncal. Este encabezado VLAN extra incluye un campo identificador de VLAN (IDVLAN) por el cual el switch emisor puede mostrar el ID de la VLAN y el switchreceptorpuede entonces conocer a qu VLAN pertenece cada trama. El uso del trunkingpermite a los switches pasar tramas procedentes de variasVLANs a travs de una nica conexin fsica. Los switches de Cisco soportan dos protocolos diferentes de trunking: Enlace entreswitches (ISL, Inter-Switch Link) e IEEE 802.1Q. Los protocolos de trunkingproporcionanvarias caractersticas, la ms importante de ellas define las cabeceras con las cuales identificar el ID VLAN.

ISLInter-Switch Link
Cisco cre ISL varios aos antes que el IEEE creara el protocolo de trunkingestndar deVLAN, el 802.1Q. Debido a que ISL es propiedad de Cisco, slo puede ser utilizado entredos switches de Cisco que soporten ISL. (Algunos switches nuevos de Cisco ya no soportanISL; en cambio slo soportan la alternativa estndar, 802.1Q). ISL encapsula completamentela trama Ethernet original en una cabecera y una informacin final ISL. La tramaEthernet original dentro de la cabecera y la informacin final de ISL permanece inalterada.

La cabecera ISL incluye varios campos, pero lo ms importante es que el campo VLANde la cabecera ISL proporciona un lugar para codificar el nmero de VLAN. Etiquetandouna trama con el nmero correcto de VLAN en la cabecera, el switch que enva puede asegurarque el switch receptor conoce a qu VLAN pertenece la trama encapsulada. Tambinlas direcciones de origen y destino en la cabecera ISL utilizan las direcciones MAC delswitch que enva y del que recibe, en oposicin a los dispositivos que realmente envan latrama original. Aparte de esto, los detalles de la cabecera ISL no son importantes.

Cabecera 802.IQ

El IEEE estandariza muchos de los protocolos relativos a las LAN, y el trunkingVLANno es una excepcin. Aos antes que Cisco creara ISL, el IEEE completa el trabajo en elestndar 802.1Q, que define las diferentes maneras de realizar el trunking. Hoy, 802.1Q hallegado a ser el ms popular de los protocolos de trunking. Cisco ya no soporta ISL en algunosde sus nuevos modelos de switches para LAN, incluyendo los switches 2960 utilizadosen los ejemplos de este libro.802.1Q utiliza un estilo diferente de cabecera que el utilizado por ISL para etiquetar lastramas con un nmero de VLAN. De hecho, 802.1Q no encapsula realmente la trama originalen otra cabecera y otra informacin final Ethernet. En cambio, 802.1Q inserta unacabecera de VLAN extra de 4 bytes en la cabecera Ethernet de la trama original. Comoresultado, al contrario de ISL, la trama tiene todava las direcciones MAC de origen y destino originales. Tambin, debido a que la cabecera original se ha expandido, la encapsulacinde 802.1Q fuerza a recalcular el campo de secuencia de verificacin de trama (FCS) en la informacin final Ethernet, debido a que este campo est basado en el contenido de la trama completa.

Comparacin entre 802.IQ e ISL

Hasta ahora, el texto ha descrito la similitud entre ISL y 802.1Q, con un par dediferencias. La similitud es que ambos definen una cabecera VLAN que tiene un campoID VLAN. No obstante, cada uno de los protocolos de trunkingutiliza una cabecera de sobrecarga diferente, y uno est estandarizado (802.1Q) y otro es propietario (ISL). Estaseccin seala algunos otros puntos importantes de comparacin entre los dos.Ambos protocolos soportan el mismo nmero de VLANs, concretamente 4094 VLANs. Ambos utilizan 12 bits de la cabecera VLAN para numerar las VLANs, soportando 2e12, 4096, IDs de VLAN, menos dos valores reservados (0 y 4095). De las VLANs soportadas,los IDs de VLAN de 1-1005 se consideran el rango normal de VLANs, mientras que los valoresmayores de 1005 se denominan rango extendido de VLANs. Esta discusin est relacionadacon el Protocolo de trunkingVLAN (VTP, VLAN TrunkingProtocol) que se trata enla siguiente seccin. ISL y 802.1Q soportan ambos una instancia separada del Protocolo de rbol de extensin(STP, SpanningTreeProtocol) para cada VLAN, pero con diferentes detalles de implementacin,como se explica en el Captulo 2. Para las LANs de campus con enlaces redundantes, el uso de una nica instancia de STP significa que algunos de los enlaces permaneceninactivos en su modo normal de operacin. Estos enlaces slo se utilizan cuandootro falla. Soportando mltiples instancias de STP, los ingenieros pueden ajustar los parmetrosde STP para que bajo un funcionamiento normal, parte del trfico de las VLANsutilice un conjunto de enlaces y otro trfico de las VLANs utilice otros enlaces, con la ventajade usar as todos los enlaces de la red. Una diferencia clave final entre ISL y 802.1Q que se trata aqu est relacionada con unacaracterstica denominada VLAN nativa. 802.1Q define una VLAN en cada troncal comola VLAN nativa, mientras que ISL no utiliza este concepto. Por defecto, la VLAN nativa de802.1Q es la VLAN 1. Por definicin, 802.1Q simplemente no aade una cabecera 802.1Qa las tramas de la VLAN nativa. Cuando un switch del otro lado del troncal recibe unatrama que no tiene una cabecera 802.1Q, el switch receptor sabe que la trama pertenece ala VLAN nativa. Debido a esta conducta, ambos switches deben estar de acuerdo en quVLAN es la nativa. La VLAN nativa de 802.1Q proporciona algunas funciones interesantes, principalmente laconexin de dispositivos que no soportan el trunking. Por ejemplo, un switch de Cisco podraestar conectado a un switch que no soporte el trunking802.1Q. El switch de Cisco podraenviar tramas en la VLAN nativa (significa que la trama no tiene cabecera de trunking);por tanto, el otro switch podra entender la trama. El concepto de VLAN nativa proporcionaa los switches al menos la capacidad de reenviar trfico de una VLAN (la VLAN nativa), loque puede permitir algunas funciones bsicas como la accesibilidad va telnet de un switch. La Tabla 1.2 resume las caractersticas claves y los puntos de comparacin entre ISL y 802.1Q.

Conceptos del proceso de sincronizacin de VTP

El proceso de VTP comienza con la creacin de la VLAN en un switch llamado servidorVTP. El servidor VTP distribuye los cambios en la configuracin de la VLAN a travs demensajes VTP, enviados slo sobre troncales ISL y 802.1Q, a lo largo de la red. Tanto los servidorescomo los clientes VTP procesan los mensajes VTP recibidos, actualizan sus basesde datos de configuracin de VTP basndose en estos mensajes y despus envan independientementelas actualizaciones VTP por sus troncales. Al final del proceso, todos los switchesaprenden la nueva informacin de la VLAN. Los servidores y clientes VTP deciden si reaccionar a un mensaje de actualizacin VTPrecibido, y actualizar sus configuraciones deVLANbasndose en si el nmero de revisin deconfiguracin de la base de datos de la VLAN aumenta. Cada vez que un servidor VTPmodifica su configuracin de VLAN, el servidor VTP incrementa en 1 el nmero actual de revisinde la configuracin. Losmensajes de actualizacin de VTP contienen el nuevo nmerode revisin de configuracin. Cuando otro switch cliente o servidor recibe un mensaje VTPcon un nmero de revisin de configuracinmayor a su propio nmero, el switch actualiza suconfiguracin de VLAN. La Figura 1.6muestra cmo trabaja VTP en una red conmutada. 1. Alguien configura la nueva VLAN desde la interfaz de lnea de comandos (CLI) deun servidor VTP. 2. El servidor VTP actualiza su nmero de revisin de la base de datos VLAN de 3a 4. 3. El servidor enva mensajes de actualizacin VTP por sus interfaces troncales, declarandoel nmero de revisin 4. 4. Los dos switches clientes VTP comprueban que el nmero de revisin de la actualizacin(4) es mayor que su nmero de revisin actual (3). 5. Los dos switches clientes actualizan su base de datos VLAN basndose en las actualizacionesVTP del servidor.

Requisitos para que VTP funcione entre dos switches

El enlace entre los switches debe trabajar como un troncal VLAN (ISL 802.1Q). El nombre de dominio VTP de los switches debe coincidir (considerando maysculasy minsculas). Si se configura en al menos uno de los switches, las contraseas VTP de los dosswitches deben coincidir (considerando maysculas y minsculas).

PruningVTP
pruningVTP, permite a VTP determinar dinmicamentequ switches no necesitan tramas de ciertas VLANs, y entonces VTP recorta estasVLANs en los troncales adecuados. El concepto de pruningsimplemente significa que lasinterfaces apropiadas del troncal del switch no inundan tramas de esa VLAN.

Resumen de las caractersticas de VTP

Lista de verificacin de la configuracin para configurarVLANs y asignar interfaces, Configuracin predeterminada de VTP y VLAN
Para que un switch de Cisco reenve tramas en una VLAN particular, el switch debe serconfigurado para creer que la VLAN existe. Adems, el switch debe tener interfaces notroncales (llamadas interfaces de acceso) asignadas a la VLAN y/o troncales que soportenla VLAN. Los pasos de configuracin para crear la VLAN, y asignar una VLAN a unainterfaz de acceso, son los siguientes. (Obsrvese que la configuracin del troncal se tratams tarde en este captulo en la seccin Configuracin del trunkingVLAN). Paso 1 Para configurar una nueva VLAN, siga estos pasos: a. Desde el modo de configuracin, utilice el comando de configuracin globalvlan id-vlanpara crear la VLAN y poner al usuario en modo de configuracinVLAN. b. (Opcional) Utilice el subcomando de VLAN name nombre para ver el nombrede la VLAN. Si no est configurado, el nombre de la VLAN esVLANZZZZ, donde ZZZZ es el ID de la VLAN, un decimal de 4 dgitos. Paso 2 Para configurar una VLAN para cada interfaz de acceso, siga estos pasos: a. Utilice el comando interface para ir al modo de configuracin de interfazpara cada una de las interfaces deseadas. b. Utilice el subcomando de interfaz switchportaccessvlan id-vlanpara especificarel nmero de VLAN asociado con esa interfaz. c. (Opcional) Para deshabilitar el trunkingen esa misma interfaz, asegrese deque la interfaz es una interfaz de acceso, utilizando el subcomando de interfazswitchportmodeaccess. El proceso anterior se puede utilizar en un switch configurado en modo transparente oen un switch con todos los valores predeterminados de VTP. Como referencia, la siguientelista esboza los valores predeterminados importantes en un switch de Cisco relativos a lasVLANs y VTP. Por ahora, este captulo asume o los valores predeterminados de VTP oVTP en modo transparente. Ms tarde en este captulo, la seccin Advertencias al cambiarla configuracin predeterminada de VTP revisa los valores predeterminados de unswitch de Cisco y la implicacin de cmo pasar de no utilizar VTP, basado en los valorespredeterminados, a usar VTP. Modo servidor de VTP. Sin nombre de dominio VTP. La VLAN 1 y las VLANs 1002-1005 estn configuradas automticamente (y no puedenser borradas). Todas las interfaces de acceso se asignan a la VLAN 1 (un comando implcitoswitchportaccessvlan 1).

Opciones del comando switchportmode

Trunkingesperado resultante basndose en la configuracindel comando switchportmode

Switch(config-if)#switchportmode ? access Set trunkingmodeto ACCESS unconditionally dynamic Set trunkingmodetodynamicallynegotiateaccessortrunkmode trunk Set trunkingmodeto TRUNK unconditionally

Cuatro razones por las que un troncal no permite trfico deuna VLAN
Una VLAN ha sido eliminada de la lista de VLANs permitidas del troncal. Una VLAN no existe, o no est activa, en la base de datos VLAN del switch (comopuede verse con el comando show vlan). Una VLAN ha sido recortada automticamente por VTP. Una instancia de STP de la VLAN ha colocado a la interfaz del troncal en otro estadoque no es el Estado de Reenvo. El libro enumera las cuatro razones para limitar las VLANs en un troncal en el mismoorden en el cual el IOS describe estas razones en la salida del comando show interfacestrunk. Este comando incluye una progresin de tres listas de las VLANs soportadas sobreun troncal. Estas tres listas son las siguientes: VLANs en la lista VLAN permitida en el troncal. VLANs en el grupo previo que estn tambin configuradas y activas (no cerradas)en el switch. VLANs en el grupo previo que no han sido tambin recortadas y estn en un estadoSTP de reenvo. Para tener una idea de estas tres listas en la salida del comando show interfaces trunk,

Configuracin y terminologa de VLAN de voz y de datos

Los telfonos IP de Cisco utilizan Ethernet para conectar redes IP con el propsito deenviar paquetes de Voz sobre IP (VoIP). Los telfonos IP de Cisco pueden enviar paquetesVoIP a otros telfonos IP para soportar las llamadas de voz, as como enviar paquetes VoIPa gateways de voz, que a su vez conectan con la red telefnica tradicional existente,pudiendo hablar con cualquier otro telfono del mundo. Cisco anticip que cualquier mesa de una empresa podra tener un telfono IP de Ciscoy un PC. Para reducir el desorden de los cables, Cisco incluye un pequeo switch LANdebajo de cada telfono IP de Cisco. El pequeo switch permite que el cable procedente delcableado general ms prximo a la mesa se conecte al telfono IP y despus el PC se conectaal switch con un pequeo cable Ethernet (directo) desde el PC al telfono IP.

Las guas de diseo de telefona IP de Cisco sugieren que el enlace entre el telfono y elswitch utilice el troncal 802.1Q, y que el telfono y el PC estn en VLANs diferentes (y, portanto, en diferentes subredes). Colocando los telfonos en una VLAN, y los PCs conectadosa los telfonos en diferentes VLANs, los ingenieros pueden gestionar ms fcilmenteel espacio de direcciones IP, aplicar ms fcilmente mecanismos de calidad de servicio(QoS, quality of service) a los paquetes VoIP, y proporcionar mayor seguridad separando eltrfico de datos del de voz. Cisco denomina a la VLAN utilizada en el trfico telefnico la VLAN de voz y a laVLAN utilizada para datos la VLAN de datos o de acceso. Para que el switch pueda renviar el trfico correctamente, los switches de Cisco necesitan conocer el ID VLAN de ambas, la VLAN de voz y la de datos. La VLAN de datos (o de acceso) se configura nadams consultar los ltimos ejemplos, utilizando el comando switchportaccessvlan id-vlan. LaVLAN de voz se configura con el subcomando de interfaz switchportvoicevlan id-vlan. Porejemplo, para la Figura 1.10, la interfaz Fa0/6 necesitara el subcomando de interfazswitchportaccessvlan 2 y el subcomando switchportvoicevlan 12.

Lista Recomendaciones de cmo proteger los puertos no utilizadosde un switch

Deshabilitar administrativamente la interfaz no utilizada, con el subcomando deinterfaz shutdown. Prevenir la negociacin del trunkingcuando el puerto est habilitado mediante elsubcomando de interfaz switchportnonegotiatepara deshabilitar la negociacin, oel subcomando de interfaz switchportmodeaccesspara configurar estticamente la interfaz como interfaz de acceso. Asignar el puerto a una VLAN no utilizada, llamada a veces VLAN de aparcamiento,con el subcomando de interfaz switchportaccessvlan id-vlan.

Lista de verificacin de la configuracin de VTP

Paso 1 Configurar el modo de VTP utilizando el comando de configuracin global vtpmode {server|client}. Paso 2 Configurar el nombre del dominio VTP (sensible al uso de maysculas y minsculas)con el comando de configuracin global vtpdomain nombre-dominio. Paso 3 (Opcional) Tanto en clientes como en servidores, configurar la misma contraseasensible al uso de maysculas y minsculas con el comando de configuracinglobal vtppassword contrasea. Paso 4 (Opcional) Configurar el pruningVTP en los servidores VTP utilizando el comandode configuracin global vtppruning. Paso 5 (Opcional) Habilitar la versin 2 de VTP con el comando de configuracin globalvtpversion 2. Paso 6 Plantear los troncales entre los switches.

Comandos de configuracin de VTP y VLAN, y dndese almacenan

Proceso de resolucin de problemas de VTP utilizadoscuando VTP no funciona como se desea

Paso 1 Confirmar los nombres de switch, topologa (incluyendo qu interfaces conectanqu switches), y modos VTP del switch. Paso 2 Identificar conjuntos de dos switches vecinos que deban ser clientes o servidoresVTP en los que sus bases de datos VLAN difieran mediante el comandoshow vlan. Paso 3 En cada par de switches vecinos cuyas base de datos difieran, verificar losiguiente: a. Al menos debe existir un troncal operativo entre los dos switches (usarel comando show interfaces trunk, show interfaces switchport, o show cdpneighbors). b. Los switches deben tener el mismo nombre de dominio (sensible al uso demaysculas y minsculas) VTP (show vtp status). c. Si se configur, los switches deben tener la misma contrasea (sensible aluso de maysculas y minsculas) VTP (show vtppassword). d. Mientras el pruningVTP debe estar habilitado o deshabilitado en todos losservidores del mismo dominio, tener dos servidores configurados con unaconfiguracin de pruningopuesta no previene el proceso de sincronizacin. Paso 4 Para cada par de switches identificados en el Paso 3, solucionar el problemabien resolviendo los problemas de truningo reconfigurando unswitch paraque los nombres de dominio y las contraseas sean los mismos.

Prediciendo qu pasar con VTP cuando un nuevo switchse conecte a la red

Paso 1 Confirmar que se producir el trunkingen el nuevo enlace (consultar la Tabla1.5 para los detalles). Paso 2 Confirmar que los dos switches utilizan el mismo nombre de dominio y contraseaVTP (con distincin entre maysculas y minsculas). Paso 3 Si los pasos 1 y 2 confirman que VTP funciona, el switch con el menor nmerode versin actualiza su base de datos VLAN para coincidir con el otroswitch.

Buenas prcticas de VTP para prevenir los problemas de VTP

Si no tiene intencin de utilizar VTP, configure cada switch para utilizar el modotransparente. Si utiliza el modo servidor o cliente de VTP, utilice siempre una contrasea VTP. Deshabilite el trunkingcon los comandos switchportmodeaccessy switchportnonegotiateen todas las interfaces excepto en los troncales conocidos, previniendo ataquesde VTP mediante la eliminacin del establecimiento dinmico de enlaces troncales.

Definiciones de los trminos clave

Defina los siguientes trminos clave de este captulo, y compruebe sus respuestas conayuda del glosario:802.1Q, base de datos de configuracin VLAN, ISL, modo administrativo de trunking,modo cliente VTP, modo operativo de trunking, modo servidor VTP, modotransparente VTP, pruningVTP, troncal, VLAN, vlan.dat, VTP.

Referencia de comandos EXEC