Vous êtes sur la page 1sur 68

Mdulo 2: Definiendo Vlans

Descripcin Este mdulo define el propsito de las VLANS y describe como la implementacin de VLAN puede simplificar la administracin de una red y la solucin de problemas y puede mejorar el rendimiento de la red. Cuando se crean VLANs, sus nombres y descripciones se almacenan en una base de datos VLAN que puedan ser compartidos entre los switc . Ver! cmo las consideraciones de dise"o determinan cuales VLANs abarcan todos los switc en una red y cuales VLANs locales permanecen en un bloque switc . La confi#uracin de los componentes de este mdulo describen cmo los puertos indi$iduales del switc pueden lle$ar el tr!fico de una o m!s VLANs, dependiendo de su confi#uracin como puertos de acceso o trunc%. En este mdulo se e&plica por qu' y cmo se produce la aplicacin de VLANs en una red de empresa.

2.1 Aplicacin de las mejores prcticas para las topologas VLAN


2.1.1 Descri iendo pro lemas en un mal dise!o de red (n mal dise"o de red a aumentado los #astos de soporte, la reduccin de la disponibilidad de ser$icio, y el soporte limite para nue$as aplicaciones y soluciones. (n funcionamiento menos ptimo afecta a los usuarios finales y el acceso a los recursos centrales. Aqu) est!n al#unas de las cuestiones que se deri$an de un mal dise"ado de red. Dominios de falla: (na de las ra*ones m!s importantes para implementar un dise"o efica* es reducir al m)nimo el alcance de un problema de red cuando se produce. Cuando los limites de capa + y capa , no est!n claramente definidos, la falla en un !rea de red puede tener un efecto de #ran alcance. Dominios de "roadcast: Los -roadcast e&isten en todas las redes. .uc as aplicaciones y muc as operaciones de red requieren de broadcasts para funcionar adecuadamente. /ara minimi*ar el impacto ne#ati$o de los broadcasts, los dominios de broadcasts deber)an tener l)mites claramente definidos, e incluir un n0mero ptimo de dispositi$os. #ran cantidad de trfico unicast MA$ desconocido: Los switc es Cisco Catalyst limitan el forwardin# de tramas unicast a los puertos asociados con la direccin unicast espec)fica. Sin embar#o, la entrada de tramas para una direccin .AC de destino no se re#istran en la tabla .AC son posteriormente inundadas fuera de todos los puertos del switc , lo que se conoce como un 12nundacin de unicast de .AC desconocido1 3ebido a que esto causa tr!fico e&cesi$o en los puertos del switc , las tarjetas de interfa* de red 4N2Cs 5 tienen que atender un #ran n0mero de tramas sobre el cable, y la se#uridad puede $erse comprometida ya que los datos se propa#an sobre un cable por el cual esto no estaba pretendido. %rfico multicast en puertos donde no era pre&isto: .ulticast 2/ es una t'cnica que permite tr!fico 2/ para ser propa#ado desde un ori#en a un #rupo multicast identificados por una sola 2/ y #rupo par de direcciones .AC de destino 4.AC destination #roup address pair5. Similar to unicast floodin# and broadcastin#, multicast frames are flooded out on all switc ports. Similares a las inundaciones y difusiones unicast, las tramas multicast son inundadas fuera de todos los puertos del switc . (n buen dise"o contiene tramas multicast.
1

Dificultad en el soporte ' administracin: 3ebido a un mal dise"o de red puede ser desor#ani*ado, mal documentado, y carecen de f!cil identificacin de los flujos de tr!fico, soporte, mantenimiento y la resolucin de problemas se $uel$e en consumo de tiempo y tareas arduas. (osi les &ulnera ilidades de seguridad: (n mal dise"o de red de conmutacin con poca atencin a los requisitos de se#uridad en la capa de acceso puede comprometer la inte#ridad de toda la red.

(n mal dise"o de red siempre tiene un impacto ne#ati$o y se con$ierte en una car#a para toda la or#ani*acin en t'rminos de soporte y #astos relacionados.

Asuntos en un mal dise"o de red 2.1.2 Agrupacin de las funciones comerciales dentro de VLANs El direccionamiento de red jer!rquico si#nifica que los n0meros de red 2/ suelen aplicarse a los se#mentos de red o VLANS en una manera ordenada que toma la red en su conjunto en consideracin. Los bloques de direcciones de red conti#uas son reser$ados para, y confi#urados sobre, dispositi$os en un !rea espec)fica de la red. 465

465 3ireccionamiento de red escalable Aqu) est!n al#unas $entajas de direccionamiento jer!rquico. )acilidad de administracin ' solucin de pro lemas: El direccionamiento jer!rquico a#rupa direcciones de red conti#uas. La administracin de red y la solucin de problemas son m!s eficientes, porque un esquema de direccionamiento jer!rquico 2/ ace m!s f!ciles de locali*ar los componentes del problema. *rrores reducidos al mnimo: Asi#nando direccionamiento de red ordenado puede reducir al m)nimo errores y duplicacin de asi#nacin de direccin. N+mero reducido de las entradas en la ta la de enrutamiento: En un plan de direccionamiento jer!rquico, los protocolos de enrutamiento 4en$)o5 son capaces de reali*ar el resumen de ruta, que permite una 0nica entrada de tabla de enrutamiento para representar una coleccin de n0meros de red 2/. El resumen de ruta ace las entradas de la tabla de enrutamiento m!s manejables y proporciona las $entajas si#uientes7 o N0mero reducido de ciclos de C/( cuando recalculan una tabla de enrutamiento o re$isando las entradas de la tabla de enrutamiento para encontrar un matc . o 8equerimientos de memoria del router reducidas o Con$er#encia m!s r!pida despu's de un cambio de la red o Solucin de problemas m!s f!cil

El 4Enterprise Composite Networ% .odel5 .odelo de 8ed Compuesto de empresa 4ECN.5 proporciona un entramado 4framewor%5 modular para dise"ar y desple#ar redes. Esto tambi'n proporciona la estructura ideal para cubrir un esquema de direccionamiento 2/ jer!rquico. Aqu) est!n al#unas pautas a se#uir.

3ise"e el esquema de direccionamiento 2/ de modo que los bloques de 9, :, 6;, ,+, o ;9 n0meros de red conti#uos puedan ser asi#nados a las subredes en una distribucin de edificio dada y el bloque de switc de acceso. Este acercamiento permite a cada bloque del switc a ser sumari*ado en un #ran bloque de direccin. En la capa de 3istribucin del Edificio, si#a asi#nando n0meros de red conti#uos acia fuera acia los dispositi$os de la capa de acceso. <en#a solo una subred de 2/ con una VLAN. Cada VLAN es un dominio de broadcast separado. La subred en el mismo $alor binario sobre todos los n0meros de red, e$itando la lon#itud $ariable de mascaras de subred cuando sea posible para minimi*ar errores y confusin solucionando o confi#urando nue$os dispositi$os y se#mentos.

/or ejemplo, un ne#ocio con apro&imadamente +=> empleados mira para mo$erse al modelo de red compuesto de empresa. La fi#ura + muestra el n0mero de usuarios en cada departamento.

(suarios por departamento Seis VLANs son requeridas para acomodar una VLAN por comunidad de usuario. /or lo tanto, si#uiendo las pautas del ECN., requieren seis subredes 2/. El ne#ocio a decidido usar la red 6>.>.>.> como su direccin base. El 3epartamento 3e $entas es el departamento m!s #rande, que requiere un m)nimo de 6>+ direcciones para sus usuarios. /or lo tanto, una m!scara de subred de +==.+==.+==.> 4?+95 es esco#ida, dando a un n0mero m!&imo de +=9 ost por subred. @a sido decidido, para el futuro crecimiento, tener un bloque de switc por edificio como lo que si#ue7 El Edificio A es asi#nado 6>.6.>.>?6;. El Edificio - es asi#nado 6>.+.>.>?6;. El Edificio C es asi#nado 6>.,.>.>?6;. *dificio A VLAN, ' ,u redes -( La fi#ura , muestra la asi#nacin de VLANS y subredes de 2/ dentro del edificio A.
4

Edificio A VLANs y Subredes 2/ *dificio " VLANs ' ,u redes -( La fi#ura 9 muestra la asi#nacin de VLANS y subredes 2/ dentro del edificio -.

Edificio - VLANs y Subredes 2/ *dificio $ VLANs ' ,u redes -( La fi#ura = muestra la asi#nacin de VLANS y subredes 2/ dentro del edificio C.

Edificio C VLANs y Subredes 2/ Al#unas VLANS actualmente no usadas y subredes 2/ ser)an usadas para administrar dispositi$os de red. Si la empresa decide implementar tecnolo#)as adicionales, como la telefon)a 2/, al#unas de las VLANS no usadas y las subredes 2/ ser)an asi#nadas a la $o* 4$oice5 VLANs. 2.1.. Descripcin de %ecnologas de -ntercone/in (n n0mero de tecnolo#)as est!n disponibles para interconectar dispositi$os en una red de campus. Al#unas de las tecnolo#)as m!s comunes son listadas aqu). La tecnolo#)a de intercone&in seleccionada depende de la cantidad de tr!fico que el enlace debe lle$ar. (na me*cla de cableado de cobre y fibra ptica probablemente ser! usada, basado en distancias, e&i#encias de inmunidad de ruido, la se#uridad, y otras e&i#encias del ne#ocio. )ast *t0ernet 1122 M ps *t0ernet3: Esta especificacin de LAN 42EEE :>+.,u5 funciona en 6>> .bps sobre el cable de par tren*ado. El est!ndar Aast Et ernet
5

aumenta la $elocidad de Et ernet de 6> .bps a 6>> .bps con slo cambios m)nimos a la estructura del cable e&istente. (n switc con el puerto que funciona tanto en 6> como en 6>> .bps puede mo$er tramas entre puertos sin la traduccin de protocolo de Capa +. #iga it *t0ernet: una e&tensin del est!ndar Et ernet 2EEE :>+.,, Bi#abit Et ernet aumenta la $elocidad die* $eces sobre Aast Et ernet, a 6>>> .bps, o 6 #i#abit por se#undo 4Bbps5. 2EEE :>+.,* especifica operaciones sobre fibra ptica, y 2EEE :>+.,ab especifica operaciones sobre el cable de par tren*ado. 124#iga it *t0ernet: 6>CBi#abit Et ernet fue formalmente ratificado como un est!ndar Et ernet 2EEE :>+., en junio de +>>+. Esta tecnolo#)a es el pr&imo paso para escalar el funcionamiento y la funcionalidad de una empresa. Con el desplie#ue de Et ernet Bi#abit que se ace m!s com0n, 6>CBi#abit se ar! la norma para los uplin%s. *t0er$0annel: Este caracter)stica proporciona la a#re#acin de lin%s de anc o de banda sobre los lin%s Capa + entre dos switc . Et erC annel ata puertos indi$iduales Et ernet en un solo puerto l#ico o lin%, proporcionando anc o de banda a#re#ado de asta 6;>> .bps 4oc o lin%s 6>> .bps, full duple&5 o asta 6; Bbps 4:CBi#abit lin%s, full duple&5 entre dos switc Cisco Catalyst. <odas las interfaces en cada bundle 4fajo5 Et erC annel deben ser confi#uradas con $elocidad similar, duple&, y membres)a de VLAN.

<ecnolo#)as de intercone&in La fi#ura + abla del empleo de cada tecnolo#)a de intercone&in en el mdulo de 2nfraestructura de Campus.

<ecnolo#)a usada en el modelo de infraestructura de campus 2.1.5 Determinacin de *6uipos ' necesidad de $a leado @ay cuatro objeti$os en el dise"o de cualquier red de alto rendimiento7 se#uridad, disponibilidad, adaptabilidad, y posibilidad de #estin. El ECN., cuando se implementa correctamente, proporciona el esquema para encontrar estos objeti$os. En la mi#racin de una infraestructura de red corriente al ECN., un n0mero de cambios de infraestructura pueden ser necesarios, incluyendo el reempla*o de equipos corrientes y cables de planta e&istentes. Esta lista describe el equipo y las decisiones de cableado que deber)an ser consideradas cuando la infraestructura es cambiada. Sustituya ubs y switc es eredados con switc es nue$os en la capa de Acceso del Edificio. Seleccione el equipo con la densidad de puerto apropiada en la capa de acceso para soportar la actual base de usuarios mientras se prepara para el crecimiento. Al#unos dise"adores comien*an planeando un crecimiento apro&imadamente del ,> por ciento. Si el presupuesto permite, use switc es de acceso modular para acomodar la e&tensin futura. Considere planificacin de soporte de poder en l)nea 4inline power5 y calidad de ser$icio 4DoS5 si la telefon)a 2/ puede ser implementada en el futuro. En el momento que este construyendo el cableado de planta de la capa de Acceso del Edificio a los dispositi$os de capa de 3istribucin del Edificio, recuerde que estos enlaces lle$an tr!fico a#re#ado de los nodos finales en la capa de acceso a los switc es de distribucin del edificio. Ase#ure que estos enlaces tienen la capacidad de anc o de banda adecuado. Los fajos 4bundles5 Et erC annel pueden ser usados aqu) para a#re#ar anc o de banda como sea necesario. En la capa de 3istribucin del Edificio, seleccione switc con el performance adecuado para manejar la car#a de la actual 4current5 capa de Acceso del edificio.
7

<ambi'n planee al#una densidad de puerto para a#re#ar trun%s m!s tarde para soportar nue$os dispositi$os de capa de acceso. Los dispositi$os en esta capa deber)an ser switc es multicapas 4Capa +?capa ,5 que soportan el enrutamiento entre el #rupo de trabajo 4wor%#roup5 VLANs y recursos de la red. Se#0n el tama"o de la red, los dispositi$os de capa de distribucin del edificio pueden ser bastidores 4c asis5 fijos o modulares. /lan para redundancia en los bastidores 4c asis5 y en las cone&iones al acceso y capas principales 4core5, como los objeti$os de la empresa dictan. El equipo de bac%bone de campus debe soportar comunicaciones de datos de alta $elocidad entre otros submdulos. Ase#urarse del tama"o del bac%bone para escalabilidad y el plan de redundancia. Cisco tiene instrumentos en l)nea para asistir a dise"adores en la fabricacin de la seleccin apropiada de dispositi$os y uplin% basados en puerto por ne#ocios y necesidades de tecnolo#)a. Cisco su#iere las proporciones de sobresuscripcin que pueden ser usadas para planear e&i#encias de anc o de banda entre dispositi$os cla$es sobre una red con flujos de tr!fico medios. Acceso a enlaces de capa de distri ucin: la proporcin de sobresuscripcin no deber)a ser m!s alto que +>76. Es decir el enlace puede ser 6?+> del total del anc o de banda acumulati$amente disponible a todos los dispositi$os finales que usan el enlace. Distri ucin a enlaces principales 1Distri ution to core lin7s3: la proporcin de sobresuscripcin no deber)a ser m!s alto que 976. *ntre dispositi&os principales 1"et8een core de&ices3: 3eber)a ser poca o nin#una planificacin de sobresuscripcin 4o$ersubscription5. Es decir, los enlaces entre dispositi$os principales deber)an ser capaces de lle$ar tr!fico a la $elocidad representada por el numero total de anc o de banda de todos los uplin%s de distribucin en el n0cleo 4core5.

/8ECA(C2EN7 Estas proporciones son apropiadas para estimar tr!fico promedio de la capa de acceso, dispositi$os de usuario final. Ellos no son e&actos para planear la sobresuscripcin de la #ranja de ser$idor 4Ser$er farm5 o mdulos de distribucin de borde 4ed#e5. No son tambi'n e&actos para planificar el anc o de banda necesario sobre los switc de acceso de aplicaciones de usuario de ostin# t)pico con consumo de anc o de banda alto 4por ejemplo, bases de datos de ser$idor de noCcliente o flujos de multimedia a direcciones de unicast5. (sando DoS e&tremo a otro priori*a el tr!fico que necesitaria ser disminuido en el caso de con#estin.

3eterminando equipamiento y necesidades de cableado 2.1.9 $onsideracin de trfico de origen a rutas de destino La fi#ura 6 lista los tipos diferentes de tr!fico que pueden e&istir sobre la red y requiere consideracin antes de la colocacin de dispositi$os y la confi#uracin VLAN.

<ipos de tr!fico de red La fi#ura + describe los tipos de tr!fico espec)ficos.


9

3escripciones de tipos de tr!fico

10

3escripciones de tipos de tr!fico $onsideracin %elefona -( El tama"o de una red de empresa conduce el dise"o y la colocacin de ciertos tipos de dispositi$os. Si la red es dise"ada se#0n el ECN., abr! dispositi$os distintos que separan el acceso, la distribucin, y las !reas bac%bone de la red. El dise"o de red y los tipos de aplicaciones soportadas determinan donde cierto tr!fico de ori#en es locali*ado. .ulticast y aplicaciones de telefon)a 2/ comparten al#unos tipos de tr!fico comunes. Espec)ficamente, si un Cisco Call.ana#er proporciona music on old, puede necesitar multicast para la corriente de tr!fico 4it may need to multicast t at traffic stream5. Considere los puntos si#uientes cuando determinando donde colocar los ser$idores7 Ser$idores Cisco Call.ana#er deben ser accesible en todas partes de la red en cualquier momento. Ase#ure que ay N2Cs redundantes en los ser$idores editor y suscriptor y cone&iones redundantes entre aquellos N2Cs y el switc upstream 4Las se"ales que $iajan desde suscriptores a la cabecera5 del ser$idor. Se 8ecomienda que el tr!fico de $o* sea confi#urado sobre su propia VLAN. Cisco Call.ana#ers t)picamente son locali*ados dentro del bloque de Branja de Ser$idor 4Ser$er farm5 en el dise"o de ECN.. Los trun%s de VLAN deben ser confi#urado de manera apropiada para lle$ar el tr!fico de telefon)a 2/ en todas partes de la red o a destinos espec)ficos.

Cuando usted desplie#a la $o*, recomiendan que usted permita dos VLANs en la capa de acceso7 VLAN natati$a para tr!fico de datos y una $o* VLAN. 4,5

11

8utas de tr!fico para telefon)a 2/ Separar VLANs de $o* y datos es recomendado por los moti$os si#uientes7 Conser$acin de espacios de direcciones y la proteccin de dispositi$os de $o* de redes e&ternas DoS conf)an en la e&tensin di$isoria a dispositi$os de $o* /roteccin de ataques de red mal'$olos Aacilidad de administracin y confi#uracin

$onsideracin de trfico -( Multicast El dise"o de campus multicapas es ideal para el control y la distribucin de tr!fico 2/ multicast. 495 El control multicast de Capa , proporcionado por el protocolo de enrutamiento /rotocol independent multicast 4/2.5. El control multicast en el closet de cableado es suministrado por 2nternet #roup multicast protocol 42B./5 snoopin# o el Cisco #roup multicast protocol 4CB./5. El control multicast es sumamente importante debido a la #ran cantidad de tr!fico in$olucrado cuando proporcionan $arias corrientes multicast de alto anc o de banda 4w en se$eral i# Cbandwidt multicast streams are pro$ided5. Considere lo si#uiente cuando dise"e la red para el tr!fico multicast7 Ser$idores multicast 2/ pueden e&istir dentro de una #ranja de ser$idor 4Ser$er faro5 o ser distribuido en todas partes de la red en posiciones apropiadas. Seleccin de switc es de capa de distribucin para trabajar como /2. puntos de encuentro /2. 48/s5 4/2. rende*$ous points5 y colocarlos donde ellos son centrales a la posicin de la distribucin m!s #rande de recibir nodos. 8/s t)picamente son usados para cone&iones temporales multicast de ori#en y recepcin.

12

8utas de trafico para 2/ multicast 2.1.: Descri iendo VLANs end4to4end El t'rmino endCtoCend VLAN se refiere a una 0nica VLAN asociada con los puertos del switc que son ampliamente dispersadas en todas partes de una red de empresa. El tr!fico para la VLAN es lle$ado en todas partes de la red conmutada. Si muc as VLANs en una red son endCtoCend, enlaces especiales 4trun%s5 son requeridos entre switc s para lle$ar el tr!fico de las diferentes VLANS. (na VLAN endCtoCend tiene estas caracter)sticas7 Beo#r!ficamente dispersado en todas partes de la red. Los usuarios son a#rupados en VLAN independientemente de la posicin f)sica. Como un usuario se mue$e en todas partes de un campus, la membrec)a VLAN de ese usuario si#ue siendo la misma. Los usuarios t)picamente son asociados con una VLAN determinada por moti$os de administracin de red. <odos los dispositi$os sobre una VLAN determinada t)picamente tienen direcciones sobre la misma subred 2/.

Como una VLAN representa un se#mento de Capa ,, Las VLANs endCtoCend permiten un 0nico se#mento de capa , para ser #eo#r!ficamente dispersado en todas partes de la red. Los moti$os para poner en pr!ctica este dise"o podr)an incluir lo si#uiente7 Agrupacin de usuarios: los (suarios pueden ser a#rupados sobre un se#mento de 2/ com0n aun cuando ellos est'n #eo#r!ficamente dispersos.

13

,eguridad: una VLAN puede contener recursos que no deber)an ser accesibles a todos los usuarios sobre la red, o puede aber una ra*n para limitar tr!fico a cierta VLAN en particular. Aplicacin ;o,7 <r!fico de una determinada VLAN puede ser determinadamente alto o prioridad de acceso menor para recursos de red. 4lower access priority to networ% resources5 *nrutamiento de anulacin 1<outing a&oidance3: Si #ran parte del tr!fico de usuario VLAN es destinado a dispositi$os sobre esa misma VLAN y enrutado a estos dispositi$os esto no es deseable, los usuarios pueden acceder a recursos sobre su VLAN sin que su tr!fico e&istente fuera de la VLAN, aun cuando el tr!fico pueda atra$esar m0ltiples switc s. = jeti&o especial VLAN: A $eces una VLAN es dotada para lle$ar un 0nico tipo de tr!fico que debe ser dispersado en todas partes del campus 4por ejemplo, multicast, $o* 4$oice5, o VLANs $isitantes5. Dise!o po re: /or nin#0n objeti$o claro, usuarios son colocados en VLANs que atra$iesan el campus o asta FANs.

Al#unos )tems deber)an ser considerados cuando se implementan VLANs endCtoCend. Los puertos del switc son apro$isionados 4dotados5 para cada usuario y asociados con un VLAN determinada. /uesto que los usuarios sobre una VLAN endCtoCend pueden estar en cualquier parte en la red, todos los switc s deben ser conscientes de esa VLAN. Esto si#nifica que todos los switc es que lle$an el tr!fico para VLANs endCtoCend son requeridas para tener id'nticas bases de datos de VLAN. <ambi'n, la inundacin de tr!fico para las VLAN es, por defecto, pasada a cada switc incluso si este no tiene actualmente nin#0n puerto acti$o en la VLAN particular endCtoCend. Ainalmente, solucionando dispositi$os sobre un campus con VLANS endCtoCend puede ser desafiante, porque el tr!fico para una VLAN 0nica puede atra$esar m0ltiples switc s en una #ran !rea del campus. /or ejemplo, en un escenario de militar, una VLAN es desi#nada para lle$ar datos topC secret. (suarios con acceso a esos datos estan e&tensamente dispersados en todas partes de la red. Como todos los dispositi$os sobre esa VLAN tienen e&i#encias de se#uridad similares, la se#uridad es manejada por listas de acceso en los dispositi$os de Capa , que enruta tr!fico sobre el se#mento 4VLAN5. La Se#uridad puede ser aplicada VLANCA./L2A sin se#uridad de direccionamiento en cada switc en la red, que podr)a tener slo un usuario 0nico sobre la VLAN topCsecret.

14

Due es una VLAN endCtoCendG 2.1.> Descripcin de VLANs locales En el pasado, los dise"adores de red intentaban implementar la re#la de :>?+> cuando dise"aban redes. La re#la fue basada en la obser$acin que, en #eneral, el :> por ciento del tr!fico sobre un se#mento de red era pasado entre dispositi$os locales, y slo el +> por ciento del tr!fico estaba destinado a se#mentos de red remotos. /or lo tanto, VLANs endCtoCend eran t)picamente usadas. Los dise"adores a ora consolidan a ser$idores en posiciones centrales sobre la red y proporcionan el acceso a recursos e&ternos como 2nternet a tra$'s de una o dos rutas sobre la red, puesto que la #ran mayor)a del tr!fico a ora atra$iesa un n0mero de se#mentos. /or lo tanto, el paradi#ma a ora es cercano a una proporcin de +>?:> en la que el mayor flujo de tr!fico sale del se#mento local, entonces las VLANs locales se an ec o m!s 0til. Adem!s, el concepto de VLANS endCtoCend era muy atracti$o cuando la confi#uracin de direccin de 2/ era manualmente administrado y proceso pesado. /or lo tanto, cualquier cosa qu' redujera esta car#a como mo$imiento de usuarios entre redes era una mejora. /ero, considerando la omnipresencia de 3@C/, el proceso de confi#urar 2/ en cada des%top deja de ser una cuestin si#nificati$a. /or consi#uiente, ay pocas $entajas en la ampliacin de una VLAN en todas partes de una empresa. Es a menudo m!s eficiente a#rupar a todos los usuarios de un #rupo de switc es #eo#r!ficamente comunes en solo una VLAN, independientemente de la funcin or#ani*acional de aquellos usuarios, sobre todo de una perspecti$a de solucin de problemas. VLANs que tienen fronteras basadas en la #eo#raf)a de campus en lu#ar de la funcin de or#ani*acin son llamadas HVLANs localesI. VLANs local #eneralmente son confinadas a un armario de cableado. Aqu) est!n al#unas caracter)sticas de las VLAN locales y pautas de usuario7 Las VLANs locales deber)an ser creadas con fronteras f)sicas antes que las funciones de trabajo de los usuarios sobre los dispositi$os finales. El tr!fico de una VLAN local es enrutado para alcan*ar destinos sobre otras redes. (na sola VLAN no se e&tiende m!s all! del submdulo de 3istribucin del Edificio. de acceso no deber)a ser anunciado a todos los

VLANs sobre un determinado switc otros switc es en la red.

15

Due es una $lan endCtoCendG 2.1.? Las &entajas de VLANs locales en una <ed de $ampus de empresa VLANs locales es parte del dise"o ECN., donde VLANs usadas en la capa de acceso no deber)a e&tenderse m!s all! que su switc de distribucin asociado. El tr!fico es enrutado de la VLAN local tal como es pasado de la capa de distribucin dentro de el n0cleo 4core5. Este dise"o puede miti#ar cuestiones de solucin de capa + que ocurren cuando una VLAN 0nica atra$iesa los switc es a lo lar#o de una red de campus de la empresa. 2mplementando el ECN. la utili*acin de VLANS locales proporciona las $entajas si#uientes7 )lujo de trfico determinista: la disposicin simple proporciona una predecible ruta de tr!fico de Capa + y Capa ,. En caso de una falla que no fue miti#ada por los ras#os de redundancia, la simplicidad del modelo facilita el oportuno aislamiento del problema y la resolucin dentro del bloque del switc . <utas redundantes acti&as: Cuando implementan /er VLAN spannin# tree 4/VS<5 o .0ltiple spannin# tree protocol 4.S</5, todos los enlaces pueden ser usado para utili*ar las rutas redundantes. Alta disponi ilidad: 8utas redundantes e&isten en todos los ni$eles de la infraestructura. El tr!fico local VLAN sobre switc s de acceso puede ser pasado a los switc s de distribucin del edificio a tra$'s de una ruta alternati$a de capa + en el caso de que la ruta primaria falle. Los protocolos de redundancia de router pueden pro$eer failo$er en caso de que el default #ateway 4puerta de enlace5 para el acceso VLAN falle. Cuando tanto la instancia spannin# tree protocol 4S</5 como VLAN son limitados a un espec)fico bloque de acceso y distribucin, medidas de redundancia de capa + y capa , y protocolos pueden ser confi#urados a failo$er en una manera coordinada. Dominio de falla finito: Si VLANs son locales a un bloque de switc y el n0mero de dispositi$os sobre cada VLAN es mantenido peque"o, las fallas en la Capa + son limitados a un peque"o subconjunto de usuarios. Dise!o escala le: Si#uiendo el dise"o ECN., nue$os switc es de acceso pueden ser f!cilmente incorporados y nue$os submdulos pueden ser a#re#ados cuando sea necesario.

16

Ventajas de VLANs locales en el ECN. 2.1.@ %raAar un mapa 1Mapeando3 VLANs en una <ed Berr6uica Cuando 4<ra*ando un mapa5 mapee VLANs en el nue$o dise"o de red jer!rquico, manten#a estos par!metros en mente. E&amine el esquema de subredes que a sido aplicado a la red y asocie una VLAN a cada subred. Confi#ure el enrutamiento entre VLANs en la capa de distribucin usando switc es multicapas. @a#a 4.a%e5 VLANs usuario final y subredes locales a un bloque de switc espec)fico. 2dealmente, limite una VLAN con switc de acceso o switc stac%. Sin embar#o, puede ser necesario e&tender una VLAN a tra$'s de m0ltiples switc es de acceso dentro de un bloque de switc para soportar una capacidad tal como la mo$ilidad inal!mbrica 4wireless5.

17

Due es una $lan endCtoCendG

2.2 -mplementando VLANs


2.2.1 Modos de $onfiguracin VLAN VLANs son creados en la confi#uracin #lobal o en el modo VLAN database sobre la mayor parte de los switc s Cisco 2JS basados por software. El modo de confi#uracin #lobal es el modo preferido de creacin y administracin de VLANs porque el interfa* de usuario es familiar. Cuando una VLAN es creada o borrada, el cambio ocurre en cuanto el usuario presiona la tecla Enter sobre la l)nea de confi#uracin VLAN. Las rdenes en este courseware delinean la creacin de VLAN y la administracin usando el modo de confi#uracin #lobal como muestra la Ai#ura 6.

.odo de confi#uracin #lobal VLAN Note:


18

El modo de confi#uracin #lobal puede ser usado para confi#urar VLANs en el ran#o 6 a 6>>= y debe ser usado para confi#urar e&tendedCran#e VLANs 46>>; a 9>K95. El VLAN <run%in# /rotocol 4V</5 el n0mero de re$isin de confi#uracin es incrementado cada $e* que una VLAN es creada o cambiada. J bien, las VLANs pueden ser creadas y administradas usando el modo VLAN database. 4+5

.odo VLAN database El modo VLAN database es orientado por sesin. Cuando usted a#re#a, suprime, o modifica par!metros VLAN, los cambios no son aplicados asta que usted in#rese el comando apply o e&it. (sted tambi'n puede salir del modo VLAN database y no aplicar los cambios in#resando el comando abort. /ara tener acceso sobre este modo, el comando $lan database es ejecutado del modo pri$ile#iado ELEC. 3e este modo, usted puede a#re#ar, suprimir, y modificar confi#uraciones para VLANs en el ran#o 6 a 6>>=. Nota: Este modo a sido desaprobado y ser! quitado en al#una edicin futura. El mo$imiento al modo de confi#uracin #lobal VLAN es de acuerdo con un m!s tradicional acercamiento del Cisco router 2JSC<ype. 2.2.2 */plicacin de los puertos de acceso Cuando un sistema final es conectado a un puerto del switc , necesita ser asociado con un VLAN, conforme al dise"o de red. /ara asociar un dispositi$o con una VLAN, el puerto del switc al que el dispositi$o se une es asi#nado a los datos 0nicos de la VLAN y as) se ace un puerto de acceso. (n puerto del switc puede con$ertirse en un puerto de acceso a tra$'s de confi#uracin est!tica o din!mica.
19

Sobre la mayor)a de switc es, la membres)a VLAN es resultado de un modo de confi#uracin espec)fico switchport. En una estrate#ia de VLAN local, el puerto del switc es asociado con la misma VLAN como los otros dispositi$os en ese mismo switc o switc cluster. Atributos y caracter)sticas de puertos de acceso7 (n puerto de acceso es asociado con una VLAN 0nica. La VLAN al que el puerto de acceso es asi#nado debe e&istir en la base de datos VLAN del switc M si no, el puerto ser! asociado con una VLAN inacti$a que no en$)a tramas. Como un puerto de switc de acceso es parte de una VLAN o dominio de broadcast, el puerto recibe broadcasts, multicast, unicast 4floods5 inundaciones, y as) sucesi$amente que es en$iado a todos los puertos en la VLAN. El dispositi$o final t)picamente tiene una direccin 2/ en una subred que es com0n a todos los otros dispositi$os sobre el mismo acceso VLAN. Asociacin de (uerto de Acceso Dinmica 1D'namic access port association3 Los puertos del switc pueden ser din!micamente asociados con una determinada VLAN basado en la direccin .AC del dispositi$o conectado sobre aquel puerto. Esto requiere que el switc pre#unte a VLAN members ip policy ser$er 4V./S5 para determinar a que VLAN asociarse con un puerto de switc cuando una direccin de .AC espec)fica de ori#en es $ista sobre el puerto del switc . Esto podr)a ser beneficioso con un conjunto de estaciones de trabajo que recorren en todas partes de la empresa. A pesar de que switc o puerto del switc la estacin de trabajo es conectado a, que puerto de switc lle#a a ser un puerto de acceso en una 0nica, espec)fica VLAN 4t at switc port becomes an access port on a sin#le, specific VLAN5. Al#unas situaciones de se#uridad pueden requerir asociaciones VLAN din!micas. VLANs din!micas requieren equipo adicional y no es compatible con el ECN., entonces ellos no son ablados en este curso.

20

/uertas de acceso $alan 4VLAN access ports5 2.2.. Descri iendo comandos de implementacin VLAN La fi#ura 6 describe los principales comandos usados para implementar VLANs y para $erificar su confi#uracin en el Cisco Catalyst switc 2JS interface. La fi#ura + describe estos comandos

Comandos para la implementacin de VLANs

21

3escripcin de los comandos para la implementacin de las VLANs 2.2.5 -mplementando una VLAN /ara crear o confi#urar una VLAN y puertos de switc asociados, si#a estos pasos7 465

Como implementar una VLAN


22

(aso 1: Crear la VLAN. 4Ai#ura + y ,5

Confi#urando una VLAN access

Ar#umentos para la creacin de VLANs Antes de la asi#nacin de un puerto de switc a una VLAN espec)fica, la VLAN puede tener que ser creada. El ejemplo si#uiente muestra la sinta&is para crear un VLAN usando la interfa* Cisco 2JS. /ara crear una VLAN o entrar al modo de confi#uracin VLAN, usar el comando $lan7
Switch(config)#vlan vlan_id

(aso 2 Verificar la confi#uracin VLAN. 4Ai#ura 9 y =5 Ejecute el comando show vlan desde el modo pri$ile#iado ELEC. Esto muestra la informacin sobre VLAN particular. Los campos en la salida del comando s ow $lan son descritos en la tabla.

23

Verificando la confi#uracin Access VLAN

3escripcin de los campos s ow $lan (aso . Asociar puertos switc con la VLAN. 4Ai#ura ; y N5 Los puertos del switc que deben funcionar en la Capa + y lle$ar el tr!fico por sin#le VLAN son confi#urados como puertos de switc de acceso y son asi#nadas a un access VLAN.
24

/ara confi#urar un switc capa + como un puerto de acceso7


Switch(config-if)#switchport mode access

/ara asi#nar el puerto de acceso a una $lan especifica7


Switch(config-if)#switchport access vlan vlan_id

/ara metros switchport

/arametros switchport access (aso 5 Verifica la confi#uracin de puerto del switc . Las comandos si#uientes son 0tiles para $erificar que un puerto del switc es confi#urado como se quiere7
show interface type slot/port switchport show running-config interface type slot/port show vlan Switch# show running-config interface fastethernet 5/6 Building configuration... ! Current configuration :33 bytes interface Fast thernet !"# switchport access $lan %&& switchport 'ode access end

(aso 9 /rueba la conecti$idad VLAN. (aso 1 Ase#ura que el dispositi$o conectado tiene una direccin 2/ correctamente confi#urada y una m!scara subred que lo coloca sobre la misma red que el default #ateway.
25

(aso 2 /in# al default #ateway. (aso . Si el pin# al default #ateway es satisfactorio, la confi#uracin VLAN y la confi#uracin de direccin de 2/ a sido $erificado.

(aso : 2mplementando switc y medidas de se#uridad VLAN. Cuando implementan VLANs, usted deber)a pensar unas pocas medidas para ase#urar las VLAN y el propio switc . La pol)tica de se#uridad de la or#ani*acin probablemente tendr! recomendaciones m!s detalladas, pero estas pueden proporcionar una base. Cree un 1par%in#Clot1 estacionamiento VLAN con un VLAN 23 4V235 aparte de VLAN6, y coloque todos los puertos del switc sin uso en esta VLAN. Esta VLAN puede pro$eer al usuario de al#una conecti$idad de red m)nima. 4Comprobar la pol)tica de se#uridad de su or#ani*acin antes de implementar.5 3es abilite los puertos del switc no usados, dependiendo de la pol)tica de se#uridad de la or#ani*acin.

2.. Aplicacin de %run7s


2...1 */plicacin de trun7s de VLAN .0ltiples VLAN son soportadas entre switc por trun%s VLAN. (n trun% es un enlace de capa + entre los switc que estan ejecutando un protocolo trun%in# especiali*ado. Los trun%s lle$an el tr!fico de m0ltiples VLANS sobre enlaces f)sicos 4multiple&in#5 y permiten la e&tensin de una 0nica VLAN Capa + entre switc . 465

.antenimiento especifico de identificacin VLAN Si las tramas de una 0nica 4sin#le5 VLAN atra$iesan un enlace trun%, un protocolo trun%in# debe marcar la trama para identificar su VLAN asociada como la trama es colocada en el
26

enlace trun%. El switc de recepcin entonces conoce las tramas VLAN de ori#en y puede procesar la trama como corresponde. Sobre el switc de recepcin, el V23 es quitado cuando la trama es en$iada en un enlace de acceso asociado con su VLAN. (n protocolo especial es requerido para establecer un enlace trun% entre dos dispositi$os. (n enlace trun% puede e&istir entre estos dispositi$os7 3os switc es (n switc y un router (n switc y un trun%Ccapable N2C en un nodo tal como un ser$idor

Si un 0nico enlace f)sico lle$a el tr!fico para m0ltiples VLANs, cada trama debe ser 1marcada1 con un V23 para que esta sea diferenciada de tramas que $ienen de otras VLANs. Esta marca o identificacin de trama son lo#radas por un protocolo trun%in#. La identificacin de trama 0nicamente asi#na un 23, referido como un V23, para cada trama. Cada switc de recepcin e&amina este V23 para determinar la destinacin VLAN de la trama. V23s slo son asociados con tramas que atra$iesan un enlace trun%. Cuando una trama entra o sale del switc sobre un enlace de acceso, nin#0n V23 est! presente. El AS2C sobre el puerto del switc asi#na el V23 a una trama como es colocada sobre un enlace trun%, y tambi'n quita el V23 si la trama sale de un puerto del switc de acceso. Los enlaces trun%s deber)an ser administrados para que ellos lle$en slo el tr!fico para VLANs pretendidas. Esta pr!ctica mantiene el tr!fico de datos no deseado a VLAN de atra$esar enlaces innecesariamente. Los enlaces trun%s son usados entre las capas de acceso y lde distribucin del bloque de switc de campus. Estos son los protocolos de trun%s usados para lle$ar VLANs m0ltiples sobre un enlace 0nico7 4+5 2nteCSwitc Lin% 42SL57 Cisco 2SL :>+.6D7 2EEE est!ndar trun%in# protocol

27

VLAN trun%in# Se#0n el protocolo trun%in#, las tramas de datos en$iadas a tra$'s de un enlace trun% son encapsulados o etiquetados. El objeti$o de encapsular o etiquetar tramas es de pro$eer al switc de recepcin con un V23 para identificar la VLAN de cual la trama es ori#inada. El protocolo trun%in# 2SL, un protocolo propietario de Cisco, encapsula tramas, mientras 2EEE :>+.6D inserta una etiqueta en la trama de datos de capa + ori#inal. 4,5

Comparando 2SL y :>+.6D :>+.6D no es propietario y puede ser desple#ado en cualquier dispositi$o capa + est!ndar basado Et ernet. Esto es espec)fico para un 0nico protocolo capa + 4Et ernet5 porque esto modifica la trama Et ernet capa + insertando una etiqueta entre dos campos espec)ficos de la trama y por lo tanto debe ser consciente de los detalles de cabecera de la trama. 2SL es un protocolo independiente de capa +. Como la trama ori#inal capa + es totalmente encapsulada y no cambiada, 2SL puede transportar tramas de datos desde $arios tipos de medios capa +.
28

2...2 Descri iendo %run7ing -,L 2SL es una opcin de protocolo propietario de Cisco para confi#uracin de enlaces trun% capa +. Es el est!ndar ori#inal para trun%in# entre switc es y precede est!ndar trun%in# 2EEE. 2SL toma tramas ori#inales capa + y los encapsula con un nue$o encabe*ado 2SL y trailer. 465

<run%in# con 2SL Como un encabe*ado completamente nue$o es a"adido a la trama ori#inal, el encabe*ado ofrece al#unos ras#os no encontrados en :>+.6D, un protocolo trun%in# alternati$o. Los si#uientes son al#unos ras#os del protocolo 2SL7 Soporta m0ltiples protocolos Capa + 4Et ernet, <o%en rin#, A332, y A<.. Soporta /VS<. No usa VLAN nati$a, as) encapsula cada trama. El proceso de encapsulacin deja la trama ori#ina sin modificar.

(roceso de encapsulacin -,L Cuando un puerto del switc es confi#urado como un puerto de trun% 2SL, la trama entera ori#inal capa +, incluyendo el encabe*ado y el ACS trailer, es encapsulado antes de que este atra$iese el enlace trun%. La encapsulacin coloca un encabe*ado adicional en el frente y en el final de la trama ori#inal capa +. El encabe*ado 2SL contiene el V23 de la VLAN donde la trama es ori#inada. En la recepcin final, el V23 es le)do, el encabe*ado y el trailer son quitados, y la trama ori#inal es en$iada como cualquier trama Capa + re#ular sobre esta VLAN. 4+5
29

Encapsulacin 2SL Slo los puertos trun% 2SL pueden recibir correctamente tramas encapsuladas 2SL. (n puerto noC2SL que recibe una trama 2SL puede considerar el tama"o de la trama para ser in$!lido o no puede reconocer los campos en el encabe*ado. La trama por lo #eneral es dejada caer y contada como un error de transmisin cuando es recibido por un puerto noC 2SL. *nca eAado -,L El encabe*ado 2SL contiene $arios campos con los $alores que definen los atributos de los datos de capa + ori#inales dentro de la trama encapsulada. Esta informacin es usada para forwardin#, identificacin de medios, y la identificacin VLAN. La poblacin de los campos dentro del encabe*ado 2SL $ar)a, basado en el tipo de VLAN y los medios del enlace. El AS2C sobre un puerto Et ernet encapsula lo trama con un encabe*ado 2SL +; bytes y 9 bytes ACS. Estos ,> bytes de o$er ead de encapsulacin 2SL es consistente entre los protocolos Capa + soportados sobre switc es Cisco Catalyst, pero el tama"o total de la trama $ar)a y es limitado por la unidad de transmisin m!&ima 4.<(5 de el protocolo de capa + ori#inal. El encabe*ado de trama Et ernet 2SL contiene estos campos de informacin7 DA 1direccin de destino3: 9> bit de direccin de destino. Esto es una direccin multicast y es puesto en >&>6C>>C>CC>>C>> o >&>,C>>C>cC>>C>>. Los primeros 9> bits del campo 3A presentan la se"al al receptor que el paquete est! en el formato 2SL. %ipo: descriptor de 9 bit de los tipos de trama encapsulados7 Et ernet 4>>>>5, <o%en rin# 4>>>65, A332 4>>6>5, y A<. 4>>665. Csuario: el descriptor de 9 bit usado como la e&tensin del campo tipo o para definir prioridades Et ernet. Esto es un $alor binario de >, la prioridad m!s baja, a ,, la prioridad m!s alta. El $alor de campo de (suario por defecto es >>>>. /ara tramas Et ernet, los bits de campo de (suario > y 6 indican la prioridad del paquete como estos atra$iesan el switc . ,A 1direccin de origen3: la direccin .AC ori#en de 9: bit de la transmisin del puerto switc Cisco Catalyst. L*N 1longitud3: descriptor de lon#itud de trama de 6; bits menos 3A, <ipo, (suario, SA, LEN, O C8C. AAAA2.: /rotocolo de Acceso de Subred Est!ndar 4Standard Subnetwor% Access /rotocol 5 4SNA/5 :>+.+ encabe*ado de control de enlace l#ico 4LLC5.4 lo#ical lin% control5 D, 1altos its de direccin de origen3: primeros , bytes del SA 4fabricante o 23 0nico de or#ani*acin5. V-D: 6= bit V23. Slo los 6> bits inferiores son usados para 6>+9 VLANs.
30

"(DC 1 ridge protocol data unit3: la identificacin de descriptor de 6 bit si la trama es una -/3( spannin# tree. Esto tambi'n identifica si al trama es un Cisco disco$ery protocol 4C3/5 o VLAN trun% protocol 4V</5 e indica si la trama debe ser en$iada al plano de control del switc . -NDE 1ndice3: 6; bits para indicar el )ndice de puerto del ori#en del paquete como salen del switc . Esto es usado para solo propsitos de dia#nsticos y puede ser puesto a cualquier $alor por otros dispositi$os. Esto es un $alor 6; bits y es i#norado en paquetes recibidos. <*,: 6; bits reser$ados para tramas <o%enrin# y A332. %rama de *t0ernet encapsulada: paquete de datos encapsulado, incluyendo su propio $alor de C8C, completamente inmodificado. La trama interna debe tener un $alor de C8C que es $!lido cuando el campo de encapsulacin 2SL es quitado. (n switc de recepcin puede quitar los campos de encapsulacin 2SL y usar este campo de ENCA/ A8A.E como la trama es recibida 4la asociacin de VLAN apropiada y otros $alores con la trama recibida como indicado para objeti$os de conmutacin5. 4associatin# t e appropriate VLAN and ot er $alues wit t e recei$ed frame as indicated for switc in# purposes5. -,L %railer La parte de trailer de la encapsulacin 2SL es un ACS que lle$a un $alor de C8C calculado sobre la trama ori#inal m!s el encabe*ado 2SL como la trama de 2SL fue colocada sobre el enlace trun%. El puerto receptor 2SL calcula de nue$o este $alor. Si los $alores de C8C no acen jue#o, la trama es desec ada. Si los $alores corresponden 4matc 5, el switc desec a el ACS como una parte de quitar el encapsulado 2SL para que la trama ori#inal pueda ser procesada. El 2SL trailer consiste en el campo ACS 9 bytes7 Esta secuencia contiene un $alor de C8C ,+ bits, el que es creado por el en$io de .AC y es calculado de nue$o por el recibimiento de .AC para comprobar tramas da"adas. El ACS es #enerado sobre el 3A, SA, LEN, <ipo 4type5, y campos de 3atos 4data fields5. Cuando un encabe*ado 2SL es atado, un nue$o ACS es calculado para el paquete entero 2SL y a#re#ado al final de la trama. 2.... Descripcin %run7ing ?22.1; Como 2SL, :>+.6D es un protocolo que permite un 0nico enlace f)sico para lle$ar el tr!fico para m0ltiples VLANs. Este es el est!ndar 2EEE VLAN trun%in# protocol. En $e* de encapsular la trama de capa + ori#inal )nte#ramente, :>+.6D inserta una etiqueta en el encabe*ado Et ernet ori#inal, lue#o calcula de nue$o y actuali*a el ACS en la trama ori#inal y transmite la trama sobre el enlace trun%. 465

31

<run%in# con :>+.6D El protocolo :>+.6D, denominado a menudo HdotC6DI, ofrece la $entaja clara de ser el primer 2EEE StandardCbased trun%in# protocol for Et ernet. Esto permite m0ltiples VLANs atra$esar equipos de infraestructura donde se cru*an enlaces de pro$eedor e&istentes. El protocolo :>+.6D tiene las si#uientes caracter)sticas7 Soporta para Et ernet y <o%enrin# Soporte para 9>K; VLANs Soporte para Common spannin# tree 4CS<5, .ultiple spannin# tree protocol 4.S</5, y 8apid spannin# tree protocol 48S</5 Soporta topolo#)a puntoCaCmultipunto Soporte para tr!fico sin etiquetar sobre el enlace trun% $)a VLAN natati$a Soporte DoS e&tendido Crecimiento est!ndar para enlaces de telefon)a 2/ /ara identificar una trama con una determinada VLAN, el protocolo :>+.6D a#re#a una etiqueta, o un campo, a la trama de datos Et ernet de capa + est!ndar. Los componentes de esta etiqueta se muestran en la Ai#ura +. /uesto que insertando la etiqueta cambia la trama ori#inal, el switc debe calcular de nue$o y cambiar el $alor de ACS para la trama ori#inal antes en$iada fuera del puerto trun% :>+.6D. Al contrario 2SL no modifica la trama ori#inal en absoluto.

32

El proceso de etiquetado :>+.6D El nue$o campo de Etiqueta :>+.6D tiene los si#uientes componentes7 4+5 *t0er%'pe: (sa Et er<ype >&:6>> para indicar que esto es una trama :>+.6D. (<-: , bitsM lle$a la informacin de prioridad para la trama. %o7en ring encapsulation flag: 2ndica la interpretacin cannica de la trama si esta es pasada de Et ernet a <o%en rin#. Este $alor siempre es puesto a cero para los switc es Et ernet. V-D: La asociacin VLAN de la trama. /or defecto, todo normal y la VLAN de ran#o e&tendido son soportadas.

Si un dispositi$o nonC:>+.6DCenabled o un puerto de acceso reciben una trama :>+.6D, el dato etiquetado es i#norado, y el paquete es conmutado a capa + como una trama Et ernet est!ndar. Esto permite la colocacin de dispositi$os intermedios de capa +, como otros switc es o puentes, a lo lar#o de la ruta trun% :>+.6D. /ara procesar una trama etiquetada :>+.6D, un dispositi$o debe permitir una .<( de 6=++ o superior. Nota: (na trama Et ernet que tiene una .<( m!s #rande que la esperada 46=6: por defecto para Et ernet5 pero no m!s #rande que re#istros de 6;>> bytes como una trama de error de capa + llamado Hbaby #iant.I /ara 2SL, la trama ori#inal m!s la encapsulacin 2SL puede #enerar una trama tan #rande como 6=9: bytes, y 6=++ bytes para una trama etiquetada :>+.6D. 2...5 */plicacin de VLANs nati&as ?22.1; Cuando confi#uran un trun% :>+.6D, un matc in# VLAN nati$a debe ser definido sobre cada final de enlace trun%. (n enlace trun% es intr)nsecamente asociado con el etiquetado de cada trama con un V23. El objeti$o de la VLAN nati$a es de permitir tramas no etiquetadas con un V23 para atra$esar el enlace trun%. (na VLAN nati$a :>+.6D es definida como una de los si#uientes7
33

VLAN que un puerto es asociado con cuando no en el modo trun%in# operacional 4VLAN t at a port is associated wit w en not in trun%in# operational mode5 VLAN que es asociada con tramas sin etiquetar que son recibidas sobre un puerto del switc VLAN al que las tramas de capa + son en$iadas si reciben sin etiquetar en un puerto trun% :>+.6D

Compare esto a 2SL, en el que nin#una trama puede ser transportado sobre el enlace trun% sin encapsulacin, y cualquier trama sin encapsular recibida sobre un puerto trun% son inmediatamente dejados caer. 4dropped5 Cada puerto f)sico tiene un par!metro llamado un puerto V23 4/V235. Cada puerto :>+.6D es asi#nado a un $alor de /V23 i#ual a V23 nati$o. Cuando un puerto recibe una trama etiquetada que debe atra$esar el enlace trun%, la etiqueta es respetada. /ara todas las tramas sin etiquetar, el /V23 es considerado la etiqueta. Esto permite a las tramas atra$esar los dispositi$os que pueden ser incapaces de leer la informacin de etiqueta VLAN. VLANs nati$as tienen los atributos si#uientes7 (n puerto de trun% que soporta slo una VLAN nati$a acti$a por modo operacional. Los modos son access y trun%. /or defecto, sobre los switc es Cisco Catalyst, todos los puertos del switc y VLANs nati$as para :>+.6D son asi#nadas a VLAN6. Los puertos trun% :>+.6D conectados el uno al otro $)a se#mentos f)sicos o l#icos todos deben tener la misma VLAN nati$a confi#urada para funcionar correctamente. Si la VLAN nati$a es misconfi#ured para puertos trun% sobre el mismo enlace trun%, loops de capa + pueden ocurrir debido a des$ios S</ -/3(s de su VLAN correcta.

VLAN nati$a :>+.6D

34

2...9 */plicacin de rangos VLAN Cada VLAN sobre la red debe tener un 0nico V23. La ran#o $!lido de 2SL confi#urable de usuario VLANs es 6 a 6>+9. La ran#o $!lido de VLANS especificadas en el est!ndar 2EEE :>+.6D es 6 a 9>K9. La fi#ura 6 describe los ran#os VLAN y sus usos.

3escripcin de los ran#os de VLANs Como una mejor pr!ctica, asi#ne VLANs e&tendidas comen*ando con 9>K9 y el uso 4wor%5 acia abajo, porque al#unos switc es usan el ran#o e&tendido V23s para el empleo interno que comien*a en el final bajo del ran#o e&tendido. Consulte 1Confi#urin# E&tendedC8an#e VLANs1 en la #u)a de confi#uracin de software asociada con su plataforma switc y la publicacin de software. 2...: Descripcin comandos de configuracin trun7ing Los comandos para confi#urar un trun% $ar)an se#0n el sistema de operacin del switc . Los comandos en la Ai#ura 6 son para un switc Cisco 2JS softwareCbased.

35

Comandos de confi#uracin trun%in# La fi#ura + describe comandos para confi#urar un trun% sobre un switc que funciona el software Cisco 2JS. (n enlace trun% puede ser confi#urado est!ticamente o din!micamente.

3escripcin de Confi#uracin <run%in# Los enlaces trun% deber)an ser confi#urados est!ticamente siempre que fuera posible. Sin embar#o, puertos del switc Cisco Catalyst funcionan con 3ynamic trun%in# protocol 43</5, que autom!ticamente puede ne#ociar un enlace trun%. Este protocolo propietario
36

de Cisco puede determinar un modo operacional trun%in# y el protocolo sobre un puerto del switc cuando este es conectado a otro dispositi$o que es tambi'n capa* de ne#ociacin de trun% din!mica. 4,5

3</ Switc port .ode 2nteractions El modo 3</ puede ser confi#urado para desacti$ar el protocolo o instruirlo para ne#ociar un enlace trun% slo bajo ciertas condiciones, como describe en la Ai#ura 9.

3</ Switc port .odes EL modo 3</ por defecto Cisco 2JS y plataforma dependiente 4< e default 3</ mode is Cisco 2JS and platform dependent5. /ara determinar el modo 3</ en uso, use el comando s ow dtp interface. Note que este comando no est! disponible en los switc Catalyst +K=> y ,==>, pero est! disponible en los switc Catalyst +K;> y ,=;>. 4=5
37

Verificando 3</ Nota: La mejor pr!ctica #eneral es poner la interfa* como trun% y none#otiate cuando un enlace trun% es requerido. 3</ deber)a ser desacti$ado sobre enlaces donde trun%in# no es querido. 2...> $onfiguracin %run7ing Los puertos del switc son confi#urados para trun%in# usando los comandos Cisco 2JS. /ara confi#urar un puerto del switc como un puerto trun%in# :>+.6D o un 2SL, si#a estos pasos sobre cada interfa* de trun%. 465

Como confi#urar trun%in# (aso 1 Entra en el modo de confi#uracin de interfa*. (aso 2 S ut down la interfa* para pre$enir la posibilidad de autoconfi#uracin prematura. (aso . Selecciona la trun%in# encapsulation. Note 6ue algunos s8itc0es soportan slo -,L o ?22.1;. *n particularF el $atal'st 2@92 ' 2@:2 soporta slo ?22.1;. (aso 5 Confi#ura la interfa* como un trun% capa +. (aso 9 Confi#ura el n0mero de VLAN trun%in# nati$o para enlaces :>+.6D. Este n0mero debe emparejar 4matc 5 en ambos finales de un trun% :>+.6D.
38

(aso : Confi#ura VLANs permisibles 4allowable5 para este trun%. Esto es necesario si VLANs es restrin#ida a ciertos enlaces trun%. Esta es la mejor pr!ctica con el .odelo de 8ed Compuesto de Empresa 4Enterprise Composite Networ% .odel5 y conduce a la operacin correcta de interfaces VLAN. (aso > (sa el comando no shutdow sobre la interfa* para acti$ar el proceso de trun%in#. (aso ? Verifica la confi#uracin de trun% que usando comandos s ow. La fi#ura +muestra como confi#urar la interfa* Aast Et ernet =?: como un trun% :>+.6D. <ramas de VLANS 6, =, 66, y 6>>+ a 6>>= ser!n permitidas para atra$esar el enlace trun%. El modo switc port para la interfa* es trun% 4on5, y nin#0n mensaje 3</ ser!n en$iados sobre la interfa*.

Confi#uracin trun% :>+.6D Nota: /ara moti$os de se#uridad, La VLAN nati$a a sido confi#urado para ser VLAN 1no usado1. Esto ser! ablado m!s detalladamente m!s tarde. La fi#ura , describe los comandos usados para confi#urar un puerto del switc como un enlace trun% :>+.6D.

39

Confi#uracin puerto switc como puerto trun% :>+.6D

(<*$AC$-GN: Ase#ure que la VLAN nati$a para un trun% :>+.6D es el mismo sobre ambos finales del enlace trun%. Si ay VLAN nati$a mismatc 4no armoni*an5, el tr!fico no es transmitido correctamente sobre el trun%. (se comandos show de empleo para mostrar la informacin de puerto, informacin de puerto switc , o la informacin trun%in#.

40

Verificando la confi#uracin :>+.6D La salida en la Ai#ura = muestra que 3</ a ne#ociado con otro switc para permitir trun%in# :>+.6D. <ambi'n note que la VLAN nati$a a sido confi#urado para ser VLANKK. Esto es la mejor pr!ctica que VLAN nati$a no es dejada como por defecto de VLAN6 y deber)a ser una VLAN 1no usada1. Esto ser! ablado m!s detalladamente m!s tarde.

Verificando un enlace trun% din!mico :>+.6D

41

En la Ai#ura ;, la interfa* Aast Et ernet +?6 a sido confi#urada como un enlace trun% para 2SL que es permanentemente conectado 4on5. La ne#ociacin 3<J no esta permitida. El enlace trun% lle$ar! el tr!fico VLAN para VLANs 6 a = y 6>>+ a 6>>=. VLANs + a = son confi#uradas sobre $arios puertos de acceso sobre el switc , y los enlaces trunc% tienen que lle$ar las tramas para estas VLANs adem!s de las tramas para el sistema VLANs 6 y 6>>+C6>>=.

Confi#uracin de puerto switc como puerto trun% 2SL Nota: Esto es la mejor pr!ctica para cerrar un interfa* 4s ut down5 confi#urando atributos trun%in# para que la autone#ociacin prematura no pueda ocurrir. Cuando Confi#uran el trun% capa + para no usar 3</, la sinta&is si#uiente es usada para que el modo trun% sea puesto 4set5 1on1 y nin#0n mensaje 3</ son en$iados sobre la interfa*7 Entre el comando shutdown en el modo de interfa*. Entre el comando switchport trunk encapsulation. Entre el comando switchport mode trunk. Entre el comando switchport nonegotiate. Entre el comando no shutdown.

(se comandos show para mostrar la informacin de puerto, informacin del puerto del switc , o la informacin trun%in#. 4N5

42

Verificando trun%in# 2SL

2.5 (ropagacin de configuraciones VLAN con protocolo %run7ing VLAN


2.5.1 */plicacin dominios V%( En una red de empresa con muc os switc es interconectados, manteniendo una lista co erente de VLANS a tra$'s de aquellos switc es pueden ser administrati$amente incmodo y potencialmente propenso a errores. El VLAN <run%in# /rotocol 4V</5 es dise"ado para automati*ar esta tarea administrati$a. Los switc es que comparten la informacin com0n VLAN son or#ani*ados en #rupos l#icos llamados dominios de administracin V</. La informacin VLAN dentro de un dominio V</ es propa#ada por enlaces trun% y es actuali*ada 4updated5 $)a el V</, permitiendo a todos los switc es dentro de un dominio particular para mantener id'nticas bases de datos VLAN. Slo la informacin 1#lobalI VLAN respecto al n0mero VLAN, nombre, y la descripcin es intercambiada. La 2nformacin VLAN sobre como los puertos son asi#nados a VLANS sobre un determinado switc es mantenida local para el switc y no es parte de un anuncio V</. Estos son los atributos de un 3ominio V</7 (n switc puede estar en slo un dominio V</. (n dominio V</ puede ser tan peque"o como slo un switc .
43

Las actuali*aciones 4update5 V</ son intercambiadas entre los switc es en el mismo dominio. La manera en que la informacin VLAN es intercambiada entre los switc es en el mismo dominio depende del modo V</ del switc . /or defecto, un switc Catalyst est! en el estado 1 dominio no administrati$o1 asta que este recibe un anuncio para un dominio sobre un enlace trun%, o asta que un dominio de administracin es confi#urado.

El dominio V</ 2.5.2 Descripcin V%( V</ es un protocolo de mensajer)a capa + que mantiene la consistencia de confi#uracin VLAN administrando las adiciones, borrados, y los cambios de nombre de VLANs sobre todos los switc es de un dominio V</. Los switc es que comparten un 0nico dominio V</ intercambian las actuali*aciones 4updates5 V</ para distribuir y sincroni*ar la informacin VLAN. V</ funciona sobre enlaces trun%, permitiendo intercone&in de switc es para distribuir y sincroni*ar una lista 0nica de VLANS confi#uradas. Este proceso reduce la confi#uracin manual requerida en cada switc M VLANs pueden ser creadas sobre un switc y lue#o propa#ado a otros. V</ tiene los atributos si#uientes7 Es un protocolo propietario de Cisco. Anuncia VLANs 6 a 6>>= slo. Las actuali*aciones 4updates5 son intercambiadas slo a tra$'s de enlaces trun%. Cada switc opera en un determinado modo V</ que determina como la actuali*acin 4updates5 son en$iados y recibidos por aquel switc .
44

Actualmente, los switc es Catalyst funcionan $ersiones V</ 6, +, y ,. La $ersin + es el m!s com0n, aunque dentro de la $ersin +, el modo de operacin por defecto del switc es la $ersin 6. La $ersin + proporciona estos ras#os7 Soporte switc es para switc es <o%en rin# Comprobacin de consistencia 4consistency c ec s5 sobre nue$o V</ y par!metros de confi#uracin VLAN La propa#acin de actuali*aciones V</ que tienen un tipo no reconocido, lon#itud, o el $alor. En$io de actuali*aciones V</ de switc es de modo transparentes sin comprobar el n0mero de $ersin La $ersin , V</ est! a ora disponible sobre al#unos switc es que usan el sistema de operacin Cisco Catalyst. Cuando esta acti$ado 4enable5, la $ersin , V</ proporciona estas mejoras a $ersiones anteriores V</7 Soporte para VLANs e&tendidas Soporte para la creacin y publicidad 4ad$ertisin#5 de VLANs pri$adas Soprte para instancias VLAN O instancias de propa#acin de mapeado 4mappin#5 .S< Autenticacin de ser$idor .ejorada /roteccin de base de datos incorrecta por casualidad siendo insertada en un dominio V</ 2nteraccin con las $ersiones V</ 6 y + Capacidad para ser confi#urada sobre una base porCpuerto 4pertCport basis5

/8ECA(C2EN7 Las $ersiones V</ 6 y + no est!n interoperables sobre switc es en el mismo dominio V</. Cada switc en el dominio V</ debe usar la misma $ersin V</. No permite la $ersin + V</ a no ser que cada switc en el dominio V</ soporte la $ersin +. @ay al#unas pautas para la utili*acin V</ dentro del mdulo de 2nfraestructura de Campus7 El dominio V</ es restrin#ido a la construccin 4buildin#5 de bloques del swic . V</ mantiene la informacin VLAN constante entre los switc es de la capa de 3istribucin del Edificio y la capa de Acceso del Edificio. Errores de confi#uracin VLAN o fallas son reducidos a la distribucin y capa de acceso de los bloques del switc . 4are confined to t e distribution and access layer switc bloc%s.5 El conocimiento de todas las VLANS no tiene que e&istir sobre todos los switc es dentro del mdulo de 2nfraestructura de Campus. El empleo de V</ es opcional, y en ambientes de alta disponibilidad esto es la mejor pr!ctica para poner todos los switc es para i#norar actuali*aciones V</.

/8ECA(C2EN7

45

Las VLANs borradas sobre un switc puede ser borradas sobre todos los switc es en el dominio V</, y as) todos los puertos son quitados de la VLAN. VLANs borradas con precaucin sobre un switc participante en un dominio V</ con otros switc es.

El protocolo V</ 2.5.. Modos V%( V</ puede ser confi#urado sobre cada switc para funcionar en uno de tres modos7 ser$idor, cliente, o transparente. 465 El modo por defecto es ser$er. El modo determina si VLANs pueden ser creadas sobre el switc y como el switc participa en el en$iar y el recibir publicaciones 4ad$ertisements5 V</. El n0mero de VLANS que pueden ser confi#uradas sobre un switc $ar)a por el modo.

.odos V</
46

La fi#ura + describe las caracter)sticas de los modos V</, client, ser$er, y transparent.

3escripcin modos V</ /8ECA(C2EN7 Antes de la a#re#acin a un cliente V</ o ser$idor a un dominio V</, siempre $erifican que su n0mero de re$isin de confi#uracin V</ es inferior que el otro n0mero de re$isin de confi#uracin de los otros switc es en el dominio V</. Los switc es en un dominio V</ siempre usa la confi#uracin VLAN del switc con el n0mero de re$isin de confi#uracin V</ m!s alto. Si usted a#re#a un switc en el modo de cliente o ser$idor que tiene un n0mero de re$isin que es m!s alto que el n0mero de re$isin en el dominio V</, esto puede borrar toda la informacin VLAN del ser$idor V</ y el dominio V</. /ara resetear el n0mero re$isin V</ sobre el switc que est! siendo a#re#ado, modifica el nombre de dominio V</ o poner el modo V</ a transparente. 2.5.5 Descripcin V%( (runing V</ prunin# usa publicaciones 4ad$ertisements5 VLAN para determinar cuando una cone&in trun% esta inundando tr!fico innecesariamente. /or defecto, una cone&in trun% lle$a tr!fico para todas las VLANs en el dominio de administracin V</. Com0nmente, al#unos switc es en una red de empresa no tiene puertos locales confi#urados en cada VLAN. En la Ai#ura 6, slo switc es 6 y 9 soportan puertos est!ticamente confi#urados en la VLAN rojo. 4red VLAN5 V</ prunin# aumenta el anc o de banda disponible restrin#iendo el tr!fico inundado para aquellos enlaces trun% que el tr!fico debe usar para acceder a los dispositi$os de red
47

apropiados. VLAN6 es siempre inele#ible para prunin#M el tr!fico de VLAN6 no puede ser prunin#. La fi#ura 6 muestra una red conmutada 4switc ed5 sin V</ prunin# permitido a la i*quierda. /uerto 6 sobre switc 6 y puerto + sobre switc 9 son asi#nados a VLAN rojo. (n broadcast es en$iado desde el ost conectado al switc 6. Switc 6 inunda el broadcast, y cada dispositi$o de red en la red lo recibe, aun cuando los switc es ,, =, y ; no ten#an puertos en VLAN rojo. Con V</ prunin# permitido, el tr!fico de broadcast de la estacin A no es e&pedida 4forward5 a switc es ,, =, y ; porque el tr!fico para VLAN rojo a sido prunin# 4podado5 sobre los enlaces indicados sobre switc es + y 9.

V</ prunin# Nota: (sted puede implementar V</ prunin# slo sobre ser$idores V</, no sobre clientes. Considere soporte V</ prunin# para m)nimi*ar tr!fico sobre enlaces trun%. Nota: (n switc controla 4runs5 una instancia de spannin# tree para cada VLAN que esta es consciente de, incluso si nin#0n puerto es acti$o o si V</ prunin# est! permitido. V</ prunin# pre$iene la inundacin de tr!fico innecesario, pero no elimina el conocimiento de switc de VLANS pruned. 2.5.9 Descripcin operacin V%( Los switc es dentro de un dominio de administracin V</ sincroni*an sus bases de datos VLAN en$iando y recibiendo anuncios 4ad$ertisements5 V</ sobre enlaces trun%. Anuncios V</ son inundados en todas partes de un dominio de administracin por switc es que funcionan en modos espec)ficos de operacin. Los anuncios son en$iados cada = minutos o siempre que aya un cambio de la confi#uracin VLAN. 465 Anuncios V</ son transmitidos sobre VLAN6, usando una trama multicast capa +. Los anuncios
48

VLAN no son propa#ados de un switc administracin sea especificado o aprendido.

asta que un nombre de dominio de

Jperacin V</ La fi#ura + muestra el orden #eneral de sincroni*acin VLAN sobre V</.

Sincroni*acin VLAN sobre V</ (no de los componentes m!s cr)ticos de V</ es el n0mero de re$isin de confi#uracin. Cuando inicialmente confi#urado, el n0mero de re$isin de confi#uracin V</ es puesto a >. Cada $e* que un ser$idor V</ modifica su informacin VLAN, este incrementa el
49

n0mero de re$isin de confi#uracin V</ en un. Esto entonces en$)a un anuncio V</ que se refiere el n0mero de re$isin de confi#uracin nue$o. Si el n0mero de re$isin de confi#uracin siendo anunciado es m!s alto que el numero almacenado sobre otros switc es en el dominio V</, ellos sobreescriben sus confi#uraciones VLAN con la informacin nue$a. /8ECA(C2EN7 /or el proceso de sobreescribir, si todas las VLANS sobre un ser$idor V</ son borradas, el ser$idor V</ en$)a un anuncio con un n0mero de re$isin m!s alto. Los dispositi$os de recibimiento en el dominio V</ aceptan el anuncio y borran aquellas VLANs tambi'n. <res tipos de anuncios V</ son intercambiados entre switc es7 Anuncios resumen 4Summary ad$ertisements57 (na actuali*acin 4update5 en$iada por ser$idores V</ cada ,>> se#undos o cuando ocurre un cambio de base de datos VLAN. Entre otras cosas, este anuncio pone en una lista el dominio de administracin, la $ersin V</, el nombre de dominio, el n0mero de re$isin de confi#uracin, el sello de tiempo 4time stamp5, y el n0mero de anuncio de subconjunto. Si el anuncio es resultado de un cambio de base de datos VLAN 4VLAN database5, uno o m!s anuncios de subconjunto se#uir!. Anuncios de subconjunto 4Subset ad$ertisements57 (na actuali*acin 4update5 que si#ue un anuncio sumario que es resultado de un cambio de la base de datos VLAN. (n anuncio de subconjunto cita el cambio espec)fico que fue ec o a una entrada espec)fica VLAN en la base de datos VLAN. (n anuncio de subconjunto es en$iado para cada V23 que encontr un cambio. Anuncio solicitante de clientes 4Ad$ertisement requests from clients57 (na actuali*acin en$iada por un switc que solicita informacin para actuali*a su base de datos VLAN. Si un cliente oye que un Hanuncio de resumeI V</ con un numero de re$isin de confi#uracin m!s alto que su propio, el switc puede en$iar un anuncio de peticin 4ad$ertisement request5. (n switc que funciona en el modo de ser$idor V</ entonces responde con anuncios de subconjunto y resumen.

Nota: Anuncios V</ son asociados con solo la informacin de base de datos VLAN, no con la informacin VLAN confi#urada sobre puertos de switc espec)ficos. 3e la misma manera, sobre un switc de recepcin, el recibo de la nue$a informacin VLAN no cambia las asociaciones VLAN de trun% o puertos de acceso sobre aquel switc . 2.5.: Descripcin V%( Grdenes de $onfiguracin El comando de confi#uracin vtp es usado para confi#urar caracter)sticas V</ para un switc . <odos los switc en el mismo dominio V</ comparten el mismo nombre de dominio V</ y la contrase"a, si uno es confi#urado. Esto es una buena idea de poner el modo V</ 1cliente1 si los switc es estan siendo a#re#ados a una red conmutada e&istente. Los comandos show vtp son usados para $erificar los actuales $alores de par!metro V</. 465

50

Comandos de confi#uracin V</ La fi#ura + describe los comandos que son usadas confi#urar V</.

3escripcin de comandos de confi#uracin V</


51

3escripcin de comandos de confi#uracin V</ 2.5.> $onfiguracin de un Dominio de administracin V%( Los $alores de confi#uracin por defecto V</ dependen del modelo de switc y la $ersin de software. Los $alores por defecto para los switc series Catalyst +K>>, 9>>>, y ;>>> son los si#uientes7 V</ domain name7 None V</ mode7 Ser$er V</ password7 None V</ trap7 3isabled 4Simple networ% mana#ement /rotocol PSN./Q traps communicatin# V</ status5 El nombre de dominio V</ puede ser especificado o aprendido de actuali*aciones V</ recibida de otros switc . /or defecto, el nombre de dominio no es puesto. (na contrase"a puede ser puesta para el dominio de administracin V</. La contrase"a debe ser la misma para todos los switc es en el dominio 4in order5 para la base de datos VLAN para ser sincroni*ada entre los switc es. 465

52

Confi#uracin de un dominio de administracin V</ Los pasos para confi#urar V</ $ar)an por dise"o y modo de switc , pero los pasos #enerales para confi#urar un switc son los si#uientes7 4+5

Confi#uracin y confi#uracin V</ (aso 1 Establece un dise"o especificando que switc es son ser$idor, cliente, o transparente, y que limites son para el dominio V</. (aso 2 Verifica la informacin VLAN actual sobre cualquier switc que ser! confi#urado como ser$idor. (aso . Especifica la contrase"a V</ 4opcional5.
53

(aso 5 Especifica el n0mero de $ersin, si es otro que el por defecto 4default5. (aso 9 Especifica el nombre de dominio V</ 4case R sensiti$e5. (aso : Confi#ura el modo V</. (aso > Verifica la confi#uracin. (aso ? Verifica que las actuali*aciones estan siendo en$iada o recibidas por el switc de la forma pre$ista. La fi#ura , describe los comandos usados para confi#urar un switc para acerse parte de un dominio V</. Si#a estos pasos desde el modo pri$ile#iado ELEC.

Confi#uracin switc para unirse a un dominio V</ (se el comando s ow $tp status para $erificar la confi#uracin V</. 495
54

Verificacin confi#uracin V</ Cuando inicialmente confi#uran switc es en un dominio V</, prestar muc a atencin al n0mero de re$isin de confi#uracin. Comprobar que los incrementos slo cuando los cambios son ec os en ser$idores V</ intencionados. En la Ai#ura 9, HConfi#uration last modified by 6>.6.6.6I especifica la direccin 2/ del switc de la 0ltima actuali*acin de la base de datos VLAN de este switc . Nota: En este ejemplo, la $ersin + V</ est! disponible 4como muestra la l)nea de salida 1V</ $ersinI5, pero no permitido 4como muestra el 1 V</ V+ .odeI5.

(se el comando show vtp counters para mostrar estad)sticas sobre la operacin V</. 4=5

55

Verificando la Confi#uracin V</ 4Cont.5 La salida de este comando $erifica si la actuali*acin V</ est! siendo en$iada y recibida por el switc , y esto re#istra el n0mero de actuali*aciones que an sido $istas.

2.5.? Agregacin de s8itc0es nue&os a un dominio V%( e/istente

56

La confi#uracin del n0mero de re$isin es usado para determinar si un switc mantiene su actual base de datos VLAN o sobrescribe con la actuali*acin de V</ en$iada por otro switc en el mismo dominio con la misma contrase"a. /or lo tanto, cuando un switc es a#re#ado a una red, es importante que no se inyecte la informacin falsa en el dominio. 465

A#re#acin de un switc a un dominio V</ e&istente /8ECA(C2EN7 Este sobrescribimiento ocurre si el switc es un cliente o ser$idor V</. (n cliente V</ puede borrar informacin VLAN sobre un ser$idor V</. (na indicacin que la informacin a sido borrada es cuando muc os de los puertos en la red entran en el estado inacti$o porque los puertos a ora son asi#nados a VLAN no e&istente. (n ejemplo de un cliente V</ sobrescribiendo a un ser$idor V</ ser! mostrado m!s tarde.

57

La fi#ura , describe el procedimiento para a#re#ar un switc nue$o a una red. /ara la estabilidad VLAN, es cr)tico a#re#ar un switc en esta manera.

/rocedimiento para a#re#ar un nue$o switc a la red

2.9 $orreccin de *rrores de $onfiguracin $omunes VLAN


58

2.9.1 Descripcin de $uestiones con VLANs Nati&as ?21.2; La fi#ura 6 muestra un error de confi#uracin frecuente. La VLAN nati$a confi#urada sobre cada final de un trun% :>+.6D debe ser el mismo. 8ecuerde que un switc que recibe una trama sin etiquetar lo asi#na a una VLAN nati$a del trun%. Si un final es confi#urado para VLAN 6 nati$a y otro a VLAN + nati$a, un marco en$i VLAN 6 sobre un lado es recibido sobre VLAN + sobre el otro. VLAN 6 y + an sido se#mentados y combinados. No ay nin#una ra*n esto deber)a ser requerido, y las cuestiones 4issues5 de conecti$idad ocurrir!n en la red. Los switc es Cisco usan el Cisco 3isco$ery Networ% 4C3/5 para ad$ertir de un mismatc VLAN nati$a. En la Ai#ura 6, los /Cs conectados al ub en$)an tramas sin etiquetar. Como las tramas son sin etiquetar, ellos se acen parte de VLAN 6 sobre el switc i*quierdo y parte de VLAN + sobre el switc derec o.

Consideraciones Vlan nati$a :>+.6D La fi#ura + describe la miti#acin de cuestiones 4issues5 de VLAN nati$as :>+.6D.

59

Cuestiones de miti#acin de VLANs Nati$as :>+.6D 2.9.2 <esolucin de $uestiones con VLAN nati&as ?22.1; Considere las si#uientes cuestiones cuando usted confi#ura VLAN nati$as sobre un enlace trun% :>+.6D7 Las confi#uraciones de interfa* de VLAN nati$as deben acer matc en ambos finales del enlace o el trun% no puede formarse. /or defecto, la VLAN nati$a es la VLAN6. /ara el objeti$o de se#uridad, la VLAN nati$a sobre un trun% deber)a ser puesto a un V23 espec)fico que no es usado para operaciones normales en otra parte sobre la red.

Switch(config(if)#switchport trunk native vlan vlan-id Si ay una VLAN nati$a mismatc sobre un enlace :>+.6D, C3/ 4si es usado y funcionando5 publica4emite5 un error Hnati$e VLAN mismatc I. Sobre las $ersiones esco#idas de software de Cisco 2JS, C3/ no puede ser transmitido o autom!ticamente apa#ado 4desacti$ado5 si VLAN6 es disabled sobre el trun%. Si ay una VLAN nati$a mismatc sobre cada lado de un enlace :>+.6D, loops de capa + pueden ocurrir porque VLAN 6 S</ -/3(s es en$iado al 2EEE S</ .AC address 4>6:>.c+>>.>>>>5 sin etiquetar. Cuando solucionas problemas VLANs, note que un enlace puede tener una asociacin VLAN nati$a cuando en el modo acceso 4access mode5, y otra asociacin VLAN nati$a cuando en modo trun%.

60

Consideraciones VLAN nati$a :>+.6D 2.9.. Descripcin de (ro lemas de enlace %run7 El modo trun%in#, el tipo de encapsulacin trun%, el dominio V</, y las capacidades de ardware de dos puertos conectados determina si un enlace trun% operacional es formado y que tipo se con$ierte. 4type it becomes5 Considere que con el modo switc port por defecto pone a dinam'c auto y con 3</ enabled, si otro switc es conectado y es puesto en si8tc0port mode trun7, el switc autom!ticamente con$ierte el enlace a trun%. Esto podr)a tener implicaciones de se#uridad, porque esto podr)a comen*ar a aceptando tr!fico destinado a cualquier VLAN. /or lo tanto, un usuario mal'$olo podr)a comen*ar a comunicarse con otra VLANs por aquel puerto comprometido. Lo si#uiente es una e&plicacin de los tres ejemplos ilustrados en la Ai#ura 6.

61

E&plicacin de problemas enlace trun% Ejemplo A Si ambos finales del enlace son puestos en s8itc0port mode auto, el enlace no se ace un trun%, y los puertos permanecen como puertos de acceso. Switch)#show interface fa0/1 switchport *a'e: Fa&") Switchport: nabled +d'inistrati$e ,ode: dyna'ic auto -perational ,ode: static access +d'inistrati$e .run/ing ncapsulation: dot)0 -perational .run/ing ncapsulation: nati$e *egotiation of .run/ing: -n Ejemplo B Si un final del enlace es puesto en s8itc0port mode d'namic desira le y el otro final del enlace es puesto en s8itc0port mode access, ambos puertos permanecen como puertos de acceso. Switch)#show interface fa0/1 switchport *a'e: Fa&") Switchport: nabled +d'inistrati$e ,ode: dyna'ic desirable -perational ,ode: static access +d'inistrati$e .run/ing ncapsulation: dot)0 -perational .run/ing ncapsulation: nati$e *egotiation of .run/ing: -n
62

Switch%#show interfaces g1/0/1 switchport *a'e: 1i)"&") Switchport: nabled +d'inistrati$e ,ode: static access -perational ,ode: static access +d'inistrati$e .run/ing ncapsulation: negotiate -perational .run/ing ncapsulation: nati$e *egotiation of .run/ing: -ff Ejemplo C Si un final del enlace es puesto en s8itc0port mode trun7 y s8itc0port nonegotiate y el otro final del enlace es puesto en switc port mode auto, un mismatc ocurre, porque el switc i*quierdo no en$)a nin#una tramas 3</. El puerto que es puesto en s8itc0port mode auto sobre el switc derec o por defecto a ser un puerto de acceso. Switch)#show int fa0/1 switchport *a'e: Fa&") Switchport: nabled +d'inistrati$e ,ode: trun/ -perational ,ode: trun/ +d'inistrati$e .run/ing ncapsulation: dot)0 -perational .run/ing ncapsulation: dot)0 *egotiation of .run/ing: -ff Switch%#show interfaces g1/0/1 switchport *a'e: 1i)"&") Switchport: nabled +d'inistrati$e ,ode: dyna'ic auto -perational ,ode: static access +d'inistrati$e .run/ing ncapsulation: negotiate -perational .run/ing ncapsulation: nati$e *egotiation of .run/ing: -n 2.9.5 <esolucin de (ro lemas de enlace %run7 La ne#ociacin trun% es administrada por el 3ynamic <run%in /rotocol 43</5, que es un protocolo pointCtoCpoint. Cuando usamos para confi#urar trun%s, ase#ure que ambos finales del enlace est!n en el mismo dominio V</. Como 3</ es un protocolo propietario de Cisco, al#unos dispositi$os interconectados 4internetwor%in#5 no soportan tramas 3</, que podr)a causar misconfi#urations. /ara e$itar este problema potencial, usted deber)a apa#ar 3</ para las interfaces que son conectadas a los dispositi$os que no soportan 3</. (se los si#uientes comandos para confi#urar puertos en el modo apropiado7 Si usted no quiere trun% a tra$'s de los enlaces, use el comando de confi#uracin de interfa* switchport mode access para des abilitar 4disabled5 trun%in#. /ara permitir trun%in# a un dispositi$o que no soporta 3</, use el comando de confi#uracin de interfa* switchport mode trunk y switchport
63

nonegotiate para acer que la interfa* se con$ierta en trun%, pero no #eneraran tramas 3</. (se el switchport trunk encapsulation isl o switchport trunk encapsulation dot1q el interfa* para seleccionar el tipo de encapsulacin sobre el puerto trun%.

2ndependiente si un dispositi$o soporta 3</, la mejor pr!ctica #eneral para confi#urar trun%s est!ticamente es confi#urando la interfa* como trun% y none#otiate.

8esol$iendo problemas de enlace trun% 2.9.9 (ro lemas $omunes con $onfiguracin V%( Al#unos resultados inesperados pueden ocurrir despu's de la confi#uracin V</ 46 y +5.

/roblemas comunes con confi#uracin V</

64

8esultados inesperados V</ El n0mero de re$isin de confi#uracin es usado para determinar si un switc debe mantener su actual base de datos VLAN o sobrescribir con la actuali*acin V</ en$iada por otro switc en el mismo dominio con la misma contrase"a. /or lo tanto, cuando un switc es a#re#ado a una red, es importante que este no inyecte la informacin falsa en el dominio. Lo si#uiente es un ejemplo de un cliente V</ que sobrescribe a un ser$idor V</ cuando los procedimientos correctos no fueron se#uidos. El ser$idor V</, Switc 6, est! actualmente en la re$isin de confi#uracin 6 y conoce seis VLANs. Switch)#show vtp status 2.3 2ersion : % Configuration 4e$ision : ) ,a5i'u' 26+*s supported locally : )&&! *u'ber of e5isting 26+*s : # 2.3 -perating ,ode : Ser$er 2.3 7o'ain *a'e : building) 2.3 3runing ,ode : 7isabled 2.3 2% ,ode : 7isabled 2.3 .raps 1eneration : 7isabled ,7! digest : &5&B &5 7 &5#C &5 % &5)# &5 8 &537 &53C Configuration last 'odified by )9%.)#.).))) at 3()(83 &&:%8:%#
65

6ocal updater :7 is )9%.)#.).))) on interface 2l) (lowest nu'bered 26+* interface found) El switc nue$o, Switc +, a0n no a sido conectado a la red. 4,5 Es un cliente V</ con una re$isin de confi#uracin de + y conoce siete VLANs. Switch%#show vtp status 2.3 2ersion : % Configuration 4e$ision : % ,a5i'u' 26+*s supported locally : %!& *u'ber of e5isting 26+*s : 9 2.3 -perating ,ode : Client 2.3 7o'ain *a'e : building) 2.3 3runing ,ode : 7isabled 2.3 2% ,ode : 7isabled 2.3 .raps 1eneration : 7isabled ,7! digest : &59C &5%+ &5%B &5F) &5%C &58& &5!7 &5B% Configuration last 'odified by )9%.)#.).)) at 3()(83 &&:3;:)9

Nue$os switc es sobrescriben un dominio V</ e&istente El enlace entre Switc 6 y Switc + a ora es conectado y el cliente V</ sobrescribe al ser$idor V</ debido al n0mero de re$isin de confi#uracin m!s alto. 495 Switch)# &&:;3:;9: <6:*=(3(>37-?*: :nterface 1igabit thernet)"&")@ changed state to up Switch)#show vtp status 2.3 2ersion : % Configuration 4e$ision : %
66

,a5i'u' 26+*s supported locally : )&&! *u'ber of e5isting 26+*s : 9 2.3 -perating ,ode : Ser$er 2.3 7o'ain *a'e : building) 2.3 3runing ,ode : 7isabled 2.3 2% ,ode : 7isabled 2.3 .raps 1eneration : 7isabled ,7! digest : &59C &5%+ &5%B &5F) &5%C &58& &5!7 &5B% Configuration last 'odified by )9%.)#.).)) at 3()(83 &&:3;:)9 6ocal updater :7 is )9%.)#.).))) on interface 2l) (lowest nu'bered 26+* interface found)

Nue$o switc sobrescribiendo un dominio V</ e&istente /ara e$itar un dominio V</ de ser sobrescrito siempre a"adir un nue$o switc ya sea en el modo V</ transparente o como un cliente V</ con un n0mero de re$isin que es inferior que el n0mero de re$isin en e&istencia en el dominio V</. 2.9.: La mejor (rctica para $onfiguracin V%( Lo si#uiente es una lista de las mejores pr!cticas #enerales con respeto a la confi#uracin V</ en el modelo de red compuesto de la empresa7 /lan de fronteras para el dominio V</. No todos los switc es en la red necesitan la informacin sobre todas las VLANs en la red. En el modelo compuesto de la empresa, el dominio V</ deber)a ser restrin#ido a switc es de distribucin redundantes y los switc es de acceso que ellos sir$en. <en#a slo uno o dos switc es espec)ficamente confi#urados como ser$idores V</ y el resto como clientes. Confi#ure una contrase"a para que nin#0n switc pueda unirse al dominio V</ con un nombre de dominio solamente 4que puede ser deri$ado din!micamente5.
67

Confi#ure manualmente el nombre de dominio V</ sobre todos los switc es que son instalados en la red para que el modo pueda ser especificado y el modo de ser$idor por defecto sobre todos los switc es pueda ser sobrescrito. Cuando se est! creando un dominio nue$o, confi#ure los switc es cliente V</ primero para que ellos participen pasi$amente. Entonces confi#ure ser$idores para actuali*ar dispositi$os cliente. En un dominio e&istente, si funciona la limpie*a V</, confi#ura contrase"as sobre ser$idores primero. Los clientes pueden necesitar para mantener la actual informacin VLAN asta que el ser$idor conten#a una base de datos VLAN completa. 3espu's de que la base de datos VLAN sobre el ser$idor es $erificada como completa, las contrase"as de cliente pueden ser confi#uradas para ser el mismo como los ser$idores. Los clientes entonces aceptar!n actuali*aciones desde el ser$idor.

2mplementando V</ en el .odelo de red compuesto de empresa

8esumen

68