VLANs (Virtual LANs)
VLAN - Introducción
Predeterminado VLAN 1
Predeterminado VLAN 1 VLAN 15
Las VLANs proporcionan segmentación basada en dominios de broadcast. VLAN = Subred Las VLANs pueden segmentar lógicamente redes conmutadas, atendiendo a:
Ubicación física (Ejemplo: Edificio) Organización (Ejemplo: Finanzas) Función (Ejemplo: Directivos)
VLANs – Introducción Sin VLANs
10.1.0.0/16
Un enlace por VLAN ó un enlace troncal para todas las VLANs 10.1.0.0/16
Con VLANs
10.2.0.0/16
10.2.0.0/16
10.3.0.0/16
10.3.0.0/16
Las VLANs se crean para proporcionar segmentación de servicios tradicionalmente provistos por routers físicos en las configuraciones LAN. Las VLANs facilitan la administración de la red, permitiendo incrementar la seguridad y la escalabilidad.
Dos subredes, un switche, sin VLANs
10.1.0.10/16 DG: 10.1.0.1
10.2.0.20/16 DG: 10.2.0.1
10.1.0.30/16 DG: 10.1.0.1
10.2.0.40/16 DG: 10.2.0.1
Broadcasts L2
¿Qué pasa cuando 10.1.0.10 envía una solicitud ARP para 10.1.0.30?
Dos subredes, un switch, sin VLANs
10.1.0.10/16 DG: 10.1.0.1
10.2.0.20/16 DG: 10.2.0.1
10.1.0.30/16 DG: 10.1.0.1
10.2.0.40/16 DG: 10.2.0.1
Broadcasts L2
El switch lo inunda a través de todos sus puertos. Todos los hosts reciben el broadcast, incluso los hosts en distintas subredes. El tráfico de broadcast de L2 debería aislarse sólo al segmento respectivo. Nota: Si un switch soporta VLANs, de forma predeterminada todos sus puertos pertenecen a la misma VLAN.
Dos subredes, un switche, sin VLANs
10.1.0.10/16 DG: 10.1.0.1
„
10.2.0.20/16 DG: 10.2.0.1
10.1.0.30/16 DG: 10.1.0.1
10.2.0.40/16 DG: 10.2.0.1
Unicast desconocido de L2 „
Se tiene el mismo comportamiento para unicasts de capa 2 desconocidos.
Dos subredes, un switch, sin VLANs Fa 0/0 10.1.0.1/16
10.1.0.10/16 DG: 10.1.0.1
10.2.0.20/16 DG: 10.2.0.1
Fa 0/1 10.2.0.1/16
10.1.0.30/16 DG: 10.1.0.1
10.2.0.40/16 DG: 10.2.0.1
Aún si los hosts están conectados en el mismo switch (o concentrador), los dispositivos en diferentes subredes deben comunicarse a través de un router. Un switch es un dispositivo L2, toma las decisiones con base en las direcciones MAC, no las direcciones IP.
Solución tradicional : Múltiples switches Fa 0/0 10.1.0.1/16
Fa 0/1 10.2.0.1/16
ARP Request
10.1.0.10/16 DG: 10.1.0.1
10.1.0.30/16 DG: 10.1.0.1
10.2.0.20/16 DG: 10.2.0.1
10.2.0.40/16 DG: 10.2.0.1
La solución tradicional es tener dispositivos en la misma subred conectados al mismo switch. Esto proporciona segmentación de broadcast y unicasts desconocidos, aunque es poco escalable.
Dominios de broadcast con VLANs y routers Puerto 1 VLAN 10
10.1.0.10/16 DG: 10.1.0.1
Puerto 4 VLAN 20
10.2.0.20/16 DG: 10.2.0.1
Puerto 9 VLAN 10
10.1.0.30/16 DG: 10.1.0.1
Puerto 12 VLAN 20
10.2.0.40/16 DG: 10.2.0.1
Una VLAN es un dominio de broadcast creado por uno o más switches. Las VLANs se asignan a un switch y corresponden con la dirección IP del host. Cada puerto del switch puede asignarse a una VLAN diferente.
Dominios de broadcast con VLANs y routers Puerto 1 VLAN 10
10.1.0.10/16 DG: 10.1.0.1
Puerto 4 VLAN 20
10.2.0.20/16 DG: 10.2.0.1
Puerto 9 VLAN 10
10.1.0.30/16 DG: 10.1.0.1
Puerto 12 VLAN 20
10.2.0.40/16 DG: 10.2.0.1
Los puertos asignados a la misma VLAN comparten el mismo dominio de broadcast. Los puertos en distintas VLANs se encuentran en distintos dominios de broadcast.
Operación de las VLAN
VLANs Estáticas
Los administradores de la red configuran cada puerto. Un puerto está asociado a una VLAN específica.
VLANs Dinámicas
Cada puerto define dinámicamente su configuración, a partir de una base de datos que contiene la membresía a VLANs dependiendo de las direcciones MAC
VLANs estáticas
Predeterminado VLAN 1
Predeterminado VLAN 1 VLAN 15
Switch(config)#interface Switch(config)#interface fastethernet fastethernet 0/9 0/9 Switch(config-if)#switchport Switch(config-if)#switchport access access vlan vlan 15 15
Configurada
La membresía a VLANs estáticas se conoce como VLANs basadas en puerto y membresías centradas en puerto. Este es el método más común para asignar puertos a VLANs. A medida que un dispositivo ingresa a la red, automáticamente asume la membresía de la VLAN del puerto al que se conecta. Siempre existe una VLAN predeterminada, en los switches Cisco, es la VLAN 1.
Operación de las VLANs Puerto 1 VLAN 10
10.1.0.10/16 DG: 10.1.0.1
Puerto 4 VLAN 20
10.2.0.20/16 DG: 10.2.0.1
Puerto 9 VLAN 10
10.1.0.30/16 DG: 10.1.0.1
Puerto 12 VLAN 20
10.2.0.40/16 DG: 10.2.0.1
Las VLANs se asignan a un puerto en el switch. Para que un host sea parte de una VLAN, debe tener asignada una dirección IP correspondiente a la subred respectiva.
VLAN = Subnet
Operación de las VLANs
Las VLANs de membresía dinámica se crean a través de software de administración. No son tan comunes como las VLANs estáticas. El software de administración es provisto por el fabricante del equipo. Las VLANs dinámicas permiten la membresía con base en la dirección MAC del dispositivo conectado a un puerto del switch. Cuando un dispositivo se conecta a la red, consulta la base de datos para conocer la membresía a la VLAN correspondiente.
Tipos de VLANs
VLANs extremo-a-extremo ó VLANs de campus. VLANs Geográficas o VLANs Locales.
VLANs extremo a extremo
Este Este modelo modelo ya ya no no es es recomendado recomendado por por los los fabricantes, fabricantes, aa menos menos que que se se tenga tenga una una necesidad necesidad específica para específica para esta esta configuración. configuración.
VLANs basadas en funcionalidad. Modelo "VLAN en todas partes". VLANs con la misma identificación de VLAN pueden estar en cualquier lugar en la red.
VLANs Geográficas
VLANs basadas en la ubicación física. VLANs dedicadas a cada grupo de switches de la capa de acceso. Los usuarios de "Contabilidad" conectados a diferentes switches de capa 3 se encuentran en diferentes VLANs, por ejemplo Contabilidad VLAN 10 y VLAN 30.
Las reglas 80/20 y 20/80
El diseño de la red se basa en patrones de tráfico, para tener 80% del tráfico contenido dentro de la VLAN. El 20% de tráfico restante atraviesa el router hasta los servidores corporativos y para el acceso WAN y a Internet. Esta regla se conoce como la regla 80/20. Nota:
Con los actuales patrones de tráfico, esta regla se está haciendo obsoleta. La regla 20/80 se aplica a la mayoría de las redes actuales, con el 20% del tráfico dentro de la VLAN y el 80% fuera de la VLAN.
VLANs geográficas o locales
A medida que las redes corporativas han evolucionado hacia el mantenimiento de recursos centralizados, las redes extremo-a-extremo se hacen más difíciles de administrar. Los usuarios deben usar muchos recursos diferentes, muchos de los cuales no se encuentran dentro de la misma VLAN. Este comportamiento depende de la ubicación y uso de los recursos, así que es frecuente la creación de VLANs alrededor de fronteras geográficas en lugar de fronteras de comunidades.
Trunking
¿Tráfico entre VLANs en distintos switches?
VLAN Trunking/Tagging
Las VLAN etiquetadas se usan cuando se necesita un enlace para transporte del tráfico de más de una VLAN. Enlace troncal: A medida que se reciben los paquetes en un switch desde cualquier dispositivo final conectado a él, se adiciona un identificador de paquete dentro de cada encabezado. La información de encabezado designa la membresía de VLAN de cada paquete.
VLAN Trunking/Tagging
El paquete se reenvía al switch o router apropiado con base en la identificación de VLAN o la dirección MAC. Al alcanzar el nodo destino (switch), la identificación de VLAN se elimina del paquete, y se reenvía al dispositivo final. El etiquetado de paquetes proporciona un mecanismo para controlar el flujo de broadcast y aplicaciones, sin interferir con la red y las aplicaciones. Esto se conoce como un enlace troncal o VLAN Trunking.
VLAN Trunking/Tagging No VLAN Tagging
VLAN Tagging
Las VLAN etiquetadas se usan cuando se tiene un único enlace que transporta tráfico de más de una VLAN.
VLAN Trunking/Tagging
Hay dos métodos principales para el etiquetado de tramas, ISL y IEEE 802.1Q. ISL era el método más común, actualmente se está reemplazando por el etiquetado de tramas 802.1Q.
Configuración de VLANs estáticas
El máximo número de VLANs depende del switch. Los switches 29xx generalmente permiten 4,095 VLANs La VLAN 1 es la VLAN predeterminada. La VLAN 1 es la VLAN Ethernet predeterminada. Las actualizaciones CDP y VTP se envían a través de la VLAN 1. La dirección IP del switch se asocia de forma predeterminada al dominio de broadcast de la VLAN1.
Creación de VLANs
Asignación de puertos de acceso (puertos no troncales) a una VLAN específica:
Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Switch(config-if)#switchport mode access
Creación de una VLAN
Switch#vlan database Switch(vlan)#vlan vlan_number Switch(vlan)#exit
Creación de VLANs
Predeterminado
Predeterminado VLAN 1
VLAN 1
VLAN 15
Asignación de puertos a una VLAN Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan 15 Switch(config-if)#switchport mode access
access
Indica que el puerto será un puerto de acceso y no un puerto de un enlace troncal.
Creaci贸n de VLANs
Predeterminado
Predeterminado VLAN 1
VLAN 1 VLAN 325
Switch(config)#interface Switch(config)#interface fastethernet fastethernet 0/9 0/9 Switch(config-if)#switchport Switch(config-if)#switchport access access vlan vlan 325 325 Switch(config-if)#switchport Switch(config-if)#switchport mode mode access access
Configuraci贸n de rangos de VLANs
VLAN 27
Switch(config)#interface Switch(config)#interface fastethernet fastethernet 0/5 0/5 Switch(config-if)#switchport Switch(config-if)#switchport access access vlan vlan 27 27 Switch(config-if)#switchport Switch(config-if)#switchport mode mode access access Switch(config-if)#exit Switch(config-if)#exit Switch(config)#interface Switch(config)#interface fastethernet fastethernet 0/6 0/6 Switch(config-if)#switchport Switch(config-if)#switchport access access vlan vlan 27 27 Switch(config-if)#switchport Switch(config-if)#switchport mode mode access access Switch(config-if)#exit Switch(config-if)#exit Switch(config)#interface Switch(config)#interface fastethernet fastethernet 0/7 0/7 Switch(config-if)#switchport Switch(config-if)#switchport access access vlan vlan 27 27 Switch(config-if)#switchport Switch(config-if)#switchport mode mode access access
Creación de VLANs
Predeterminado: dynamic desirable
Los puertos operarán como puertos troncales a menos que uno de los puertos se configure como puerto de acceso.
De forma predeterminada, todos los puertos están configurados en modo switchport dinámico, lo que significa que si el puerto se conecta a otro switch con un puerto configurado con el mismo modo predeterminado, este enlace automáticamente será un enlace troncal. Tanto el comando switchport access vlan como el comando switchport mode acces se recomiendan para establecer la funcionalidad de un puerto.
show vlan
vlan 1
vlan 2
vlan 3
show vlan brief
vlan 1
vlan 2
vlan 3
Eliminación de VLANs
Switch(config-if)#no switchport access vlan vlan_number
Este comando re-establece la interfaz a la VLAN 1. La VLAN 1 no puede eliminarse del switch.
Administración del switch Switch(config)#interface Switch(config)#interface vlan vlan 11 Switch(config-if)#ip Switch(config-if)#ip address address 10.1.0.5. 10.1.0.5. 255.255.0.0 255.255.0.0 Switch(config-if)#ip Switch(config-if)#ip default-gateway default-gateway 10.1.0.1 10.1.0.1 Switch(config-if)#no Switch(config-if)#no shutdown shutdown
La dirección IP, máscara de subred y puerta de enlace predeterminados en un switche tienen propósitos administrativos, para permitir su configuración desde un host de la red. Nota : Debe activarse en el switch el acceso a través de terminales vty. Dirección IP y máscara de subred. De forma predeterminada, la VLAN 1 es la VLAN de administración. La configuración IP debe hacerse en esta VLAN. Esta configuración es para propósitos administrativos y no afecta el funcionamiento de L2 del switch. Puerta de enlace predeterminada Sólo se asigna para propósitos administrativos.
Administraci贸n del switch
Switch(config)# Switch(config)# enable enable secret secret class class Switch(config)#line Switch(config)#line vty vty 00 44 Switch(config-line)#password Switch(config-line)#password cisco cisco Switch(config-line)#login Switch(config-line)#login Switch(config)#inter Switch(config)#inter Switch(config-if)#ip Switch(config-if)#ip Switch(config-if)#ip Switch(config-if)#ip Switch(config-if)#no Switch(config-if)#no
vlan vlan 11 add add 10.1.0.5. 10.1.0.5. 255.255.0.0 255.255.0.0 default-gateway default-gateway 10.1.0.1 10.1.0.1 shut shut
Administraci贸n del switch 10.1.0.5/16
DG: 10.1.0.1
Fa 0/0 10.1.0.1/16
Fa 0/1 10.2.0.1/16
10.2.0.20/16 DG: 10.2.0.1 10.1.0.10/16 DG: 10.1.0.1
10.1.0.30/16 DG: 10.1.0.1
Host Host C:\>telnet C:\>telnet 10.1.0.1 10.1.0.1 username:cisco username:cisco password:class password:class Switch>show Switch>show vlan vlan Switch>ping Switch>ping 10.2.0.20 10.2.0.20 Switch>telnet Switch>telnet 10.1.0.1 10.1.0.1 Switch>exit Switch>exit
10.2.0.40/16 DG: 10.2.0.1
Eliminación de la información de VLANs Switch#delete Switch#delete flash:vlan.dat flash:vlan.dat Delete Delete filename filename [vlan.dat]? [vlan.dat]? Delete Delete flash:vlan.dat? flash:vlan.dat? [confirm] [confirm] Switch#erase Switch#erase startup-config startup-config Switch#reload Switch#reload
La información de las VLANs se mantiene en el archivo vlan.dat El archivo no se elimina cuando se elimina la configuración del switch (startup-config) Para eliminar toda la información de VLANs en el switch, se elimina el archivo y se reinicia el switch.