CCNP SWITCH 4: Virtual LANs

Redes conmutadas pueden dividirse en VLANs. Por definición una VLAN es un único dominio de colisión. Todos los dispositivos conectados a la VLAN reciben los broadcast enviados por cualquier miembro de la misma VLAN. sin embargo dispositivos conectados a otra vlan no reciben esos broadcast. Está claro que los miembros de la VLAN reciben los paquetes unicast enviados directamente por otros miembros de la misma VLAN.

NOTA: Vlan memberships pueden ser tanto estático como dinámico.

VLAN estáticas

Son las VLANs que se configuran manualmente en el switch. Por defecto todos los puertos de un switch están asignados a la VLAN 1, configurados para ser de tipo Ethernet y tener una unidad máxima de transmisión (MTU) de 1500 bytes.

Los identificadores de las VLANs puede ir de 1 a 1005 (1 y de 1002 a 1005 son creado automáticamente y no pueden ser borrados). Para poder usar el rango extendido (de 1 a 4094) para que sea compatible con el estándar IEEE 802.1.Q se debe configurar el switch en modo transparente (se verá más adelante).

Para configurar una VLAN estática primero hay que definirla de la siguiente manera:

Switch(config)# vlan vlan-num
Switch(config-vlan)# name vlan-name

La VLAN con identificador vlan-num se crea y almacena en la base de datos inmediatamente junto con el nombre descriptivo vlan-name, que puede ser de hasta 32 caracteres y no permite espacios y es totalmente opcional su definición. Para borrar una VLAN usaremos el comando:

Switch(config)# no vlan vlan-num

Una vez definida la VLAN tenemos que asignar la VLAN en el puerto que queramos usando estos 4 comandos:

Switch(config)# interface type module/number

seleccionamos el puerto a configurar en la VLAN

Switch(config-if)# switchport

configura el puerto para operar en Capa 2, por defecto algunos switches Catalyst viene preparados para operar en Capa 3.

Switch(config-if)# switchport mode access

Configura el puerto para una sola VLAN la cual se indica con el siguiente comando.

Switch(config-if)# switchport access vlan vlan-num

indicamos el identificador de la VLAN, con lo que ya queda configurado el puerto en la VLAN.

Para verificar que la configuración podemos usar el comando "show vlan".

Despliegue de VLANs

Para implementar VLANs hay que tener en cuenta el numero de VLANs que se necesitan y como mejor colocarlas. Por lo general, el numero de VLANs depende en los patrones de tráfico, tipos de aplicaciones, segmentación de grupos de trabajo y requerimientos de la gestión de la red. Cisco recomienda emparejar una red con una VLAN.

End-to-End VLANs

Son las que se distribuyen por toda la red para poder dar mayor flexibilidad al usuario final el cual puede moverse por toda la red manteniendo la misma VLAN. Los usuarios pueden asignarse independientemente de su ubicación geográfica. Los usuarios se agrupan en VLANs independientemente de su ubicación y se asocian o agrupan por tipo de trabajo o grupo.Cada VLAN tiene un conjunto común de requisitos de seguridad para TODOS los miembros de la VLAN. Por consiguiente son más difíciles de configurar.

Este tipo de despliegue tiene la regla 80/20 que significa que el 80% del tráfico es local y el 20% es remoto (aunque es posible que ciertas VLANs usen el 100% para tráfico remoto).

NOTA: no se recomienda este tipo de despliegue para redes empresariales ya que puede crear la posibilidad de tormentas de broadcast.

VLANs locales

Son VLANs que se organizan por su ubicación geográfica local y se suelen distribuir en switches en un rack o en un mismo edificio. Tiene la regla contraria a End-to-End ya que el 20% del tráfico es local mientras que el 80% es remoto.

VLAN Trunks

Inter-Switch Link Protocol ISL

Es propietario de Cisco y lo que hace es encapsular cada trama con una cabecera y un nuevo CRC al final. Cuando una trama tiene que salir por un enlace Trunk se añade una cabecera de 26 bytes y el nuevo CRC de 4 bytes al final. Si por el contrario la trama sale por un enlace de acceso no se añade ni la cabecera ni el CRC, solo se añade en los enlaces Trunk que están configurado con ISL. Otra característica es que encapsula el tráfico no marcado (lo que en 802.1Q se conoce como VLAN nativa).

NOTA: el método ISL ya no está soportado por todos los Cisco Catalyst, pero debe ser familiar y entender las diferencias con IEEE 802.1Q.

NOTA 2: Si un extremo del enlace está configurado como ISL y el otro no, se producen giants.

IEEE 802.1Q Protocol

Este protocolo al ser estándar puede operar con equipos de otros fabricantes y lo que hace es insertar la información de la VLAN en la trama sin tener que encapsular de nuevo toda la trama. Este método se conoce como single tagging o internal tagging.

802.1Q introduce el concepto de VLAN nativa que significa que las tramas en esta VLAN no son etiquetadas, por lo que por el TRUNK pasarán las VLANs etiquetadas y la nativa sin etiquetar.

La etiqueta que se inserta en la cabecera de la trama es de 4 bytes y va justo tras el campo de dirección origen.

Configuración de VLAN Trunk

Por defecto todos los puertos en Capa 2 están en modo acceso por lo que es necesario configurar el puerto para que sea un Trunk. Primero el puerto debe estar en Capa 2 para ello usaremos el comando "switchport" y luego procederemos a configurarlo con los siguientes comandos:

Indicamos la encapsulación que se va a usar, isl encasula y etiqueta todas las tramas, dot1q etiqueta todo excepto la vlan nativa y negotiate negocia el tipo siempre favoreciendo a ISL.

Switch(config-if)# switchport trunk encapsulation {isl | dot1q | negotiate}

Configura la VLAN nativa para el caso de 802.1Q en ISL no tiene efecto alguno. Por defecto en 802.1Q la VLAN nativa si no se especifica es al VLAN 1.

Switch(config-if)# switchport trunk native vlan vlan-id

Indica que VLANs se permite pasar por el enlace Trunk. Si no se especifica se permite pasar TODAS las VLANs activas que son las que están definidas y están asignadas a algún puerto.

Switch(config-if)# switchport trunk allowed vlan {vlan-list | all | {add | except | remove} vlan-list}

Configura el modo del Trunk.

Switch(config-if)# switchport mode {trunk | dynamic {desirable | auto}}

Resolviendo problemas de VLANs y Trunks

Para verificar la configuración de una VLAN en un switch podemos usar el comando:

Switch# show vlan id vlan-id

en el listado que muestra este comando debemos asegurarnos que la VLAN está activa y que está asignada a los puertos correctos, recordando que si un puerto está en modo Trunk no aparecerá, para ello debemos usar el comando "show interface type mod/num switchport" y fijarnos principalmente en estas dos líneas "Administrative Mode" y en "Operational Mode". Si el puerto es Trunk para obtener información concreta debemos usar el comando "show interface [type mod/num] trunk". Este listado también nos muestra el TIPO y la MTU.

Retro

Lugares

Redes

Sistemas

Varios