CAPTULO 3 CONFIGURACIN DE VLANS

Introduccin
Una VLAN (Lan Virtual) permite que un administrador de red cree grupos de dispositivos
conectados a la red de manera lgica que actan como si estuvieran en su propia red
independiente, incluso si comparten una infraestructura comn con otras VLAN.
Hoy en da existe la necesidad de agrupar y organizar las redes segn funciones
administrativas, polticas de acceso, departamentos, aplicaciones y seguridad para grupos
particulares de usuarios independientemente de la ubicacin fsica de su segmento, para
esto los Switches implementan una tcnica de segmentacin lgica de las redes llamadas
Lan Virtuales (VLAN)

Los miembros de una VLAN pueden estar en diferentes Switches, los usuarios pueden as
moverse a travs de la red, manteniendo su pertenencia al grupo de trabajo lgico.
Las VLANs nos permiten que la ubicacin geogrfica no se limite a diferentes plantas de un
mismo edificio, sino a diferentes oficinas interconectadas mediante redes WAN o MAN























Concepto
Una VLAN es una subred IP separada de manera lgica.
Recuerde que si dos computadoras estn conectadas fsicamente en el mismo Switch no
significa que se puedan comunicar.
No hay comunicacin entre las VLANS, es como si estuviesen en Switches diferentes
La figura muestra una red con tres computadoras. Para que las computadoras se
comuniquen en la misma VLAN, cada una debe tener una direccin IP y una mscara de
subred consistente con esa VLAN. En el Switch deben darse de alta las VLANs y cada
puerto asignarse a la VLAN correspondiente.









Ventajas de las VLAN
Segn el grfico:







Seguridad: Los grupos que tienen datos sensibles se separan del resto de la red,
disminuyendo las posibilidades de que ocurran violaciones de informacin
confidencial. Las computadoras del cuerpo docente se encuentran en la VLAN 10 y
estn completamente separadas del trfico de datos del Invitado y de los
estudiantes. Se pueden aislar a los equipos servidores en una VLAN con acceso
restringido.

Reduccin de costos.

Rendimiento: La divisin o segmentacin de las redes en mltiples grupos lgicos
reduce la cantidad de dispositivos que pueden participar en una tormenta de
broadcast.
En la figura puede observar que, a pesar de que hay seis computadoras en esta red,
hay slo tres dominios de broadcast: Cuerpo docente, Estudiante e Invitado.
Mejora la administracin: Permite crear grupos lgicos de usuarios, sin importar
su ubicacin en la red, reduciendo as el tiempo que se toma en los cambios en la
red

Tipos de VLAN
VLAN de Administracin
Una VLAN de administracin es cualquier VLAN que usted configura para acceder a las
capacidades de administracin de un Switch. Se utilizar a la VLAN 99 como la de
administracin.
Se asigna una direccin IP y una mscara de subred a la VLAN de administracin. Se puede
manejar un Switch mediante HTTP, Telnet, SSH o SNMP.
VLAN Predeterminada
Todos los puertos de Switch se convierten en un miembro de la VLAN predeterminada
luego del arranque inicial del Switch.
Hacer participar a todos los puertos del Switch en la VLAN predeterminada los hace a
todos parte del mismo dominio de broadcast.
La VLAN predeterminada para los Switches de Cisco es la VLAN 1. La VLAN 1 tiene todas
las caractersticas de cualquier VLAN, excepto que no la pueden eliminar.
Es una optimizacin de seguridad cambiar la VLAN predeterminada a una VLAN que no sea
la VLAN 1; esto implica configurar todos los puertos en el Switch para que se asocien con
una VLAN predeterminada que no sea la VLAN 1.
VLAN Nativa
Una VLAN nativa est asignada a un puerto troncal 802.1Q.
VLAN Esttica
Las VLAN estticas son puertos en un Switch que se asignan estticamente a una VLAN, es
muy utilizada en una produccin ya que es segura y de fcil administracin y monitoreo.
En este tipo de VLAN destacamos la VLAN por puerto.
VLAN Dinmica
Las VLAN dinmicas son puertos en un Switch que pueden determinar automticamente
sus asignaciones de VLAN.
Este modo no se utiliza ampliamente en las redes de produccin y no se investiga en este
curso.
En este tipo de VLAN destacamos las VLAN basadas en MAC, VLAN basadas en protocolo y
VLAN basados por direcciones de red.
Control de los dominios de broadcast con las VLAN
Red sin VLAN
Cuando se tiene una red plana es decir todos los puertos del Switch estn asociados a una
sola VLAN o VLAN 1 por defecto.
Es una red diseada de forma deficiente ya que reduce la disponibilidad del servicio
afectando a los usuarios finales.
Existencia del dominio de difusin
Dificultad en la gestin y soporte ya que es dificultosa su administracin por lo que se
convierten en tareas arduas y desperdiciadoras de tiempo.
Posibles vulnerabilidades de seguridad comprometiendo la integridad de la red.
Cuando un Switch recibe una trama de broadcast en uno de sus puertos, enva la trama a
todos los dems puertos.
Red con VLAN
Es una red conmutada que est lgicamente segmentada por funciones, grupos de trabajo
o aplicaciones sin tener en cuenta la localizacin fsica de los usuarios.

En la figura, se dividi la red en dos VLAN: Cuerpo docente como VLAN 10 y Estudiante
como VLAN 20. Cuando se enva la trama de broadcast desde la computadora del cuerpo
docente, PC1, al Switch S2, el Switch enva esa trama de broadcast slo a esos puertos de
Switch configurados para admitir VLAN 10.
En la figura, los puertos que componen la conexin entre los Switches S2 y S1 (puertos
F0/1) y entre S1 y S3 (puertos F0/3) han sido configurados para admitir todas las VLAN en
la red. Esta conexin se denomina enlace troncal.
Cuando S1 recibe la trama de broadcast en el puerto F0/1, S1 enva la trama de broadcast
por el nico puerto configurado para admitir la VLAN 10, puerto F0/3. Cuando S3 recibe la
trama de broadcast en el puerto F0/3, enva la trama de broadcast por el nico puerto
configurado para admitir la VLAN 10, puerto F0/11. La trama de broadcast llega a la nica
otra computadora en la red configurada en la VLAN 10, la computadora PC4 del cuerpo
docente.
Comunicacin dentro de la VLAN y entre VLAN (Revisar el video 3.1.4.2 y 3.1.4.3 de
CCNA III)
Nota: En el video 3.1.4.3 el paso 5 est errado ya que el trfico de broadcast se debe
entregar a todos los puertos de los Switches que pertenecen a la VLAN 20 por ello
tambin debera estar incluido el S2 para la PC2.
Los Switches de capa 3 utilizan una tecnologa de interfaz virtual del Switch (SVI, por su
sigla en ingls) que permite al Switch de Capa 3 enrutar transmisiones entre las VLAN.
SVI
SVI es una interfaz lgica configurada para una VLAN especfica. Es necesario configurar
una SVI para una VLAN si desea enrutar entre las VLAN. De manera predeterminada, una
SVI se crea por la VLAN predeterminada (VLAN 1) para permitir la administracin de
Switch remota.
Nota: En el video 3.1.4.3 tomar el SVI como si fuera el mismo procedimiento que en el
video 3.1.4.2.
Enlaces Troncales
Introduccin








Es difcil describir las VLAN sin mencionar los enlaces troncales de la VLAN. Aprendi
acerca de controlar broadcasts de la red con segmentacin de la VLAN y observ la
manera en que los enlaces troncales de la VLAN transmitieron trfico a diferentes partes
de la red configurada en una VLAN. En la figura, los enlaces entre los Switches S1 y S2 y
entre S1 y S3 estn configurados para transmitir el trfico que proviene de las VLAN 10,
20, 30 y 99. Es posible que esta red no funcione sin los enlaces troncales de la VLAN. El
usuario descubrir que la mayora de las redes que encuentra estn configuradas con
enlaces troncales de la VLAN. Esta seccin une su conocimiento previo sobre el enlace
troncal de la VLAN y proporciona los detalles necesarios para poder configurar el enlace
troncal de la VLAN en una red.
Definicin
Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que
transporta ms de una VLAN. Un enlace troncal de VLAN le permite extender las VLAN a
travs de toda una red. Cisco admite IEEE 802.1Q para la coordinacin de enlaces
troncales en interfaces Fast Ethernet y Gigabit Ethernet.
Sin enlaces Troncales de VLAN

Entre los Switches S1 y S2, hay un enlace individual para cada subred. Hay cuatro enlaces
individuales que conectan los Switches S1 y S2, lo que deja tres puertos menos para
asignar a dispositivos de usuario final. Cada vez que se tiene en cuenta una subred nueva,
se necesita un nuevo enlace para cada Switch en la red. (El cuarto enlace es de la VLAN 99
de administracin
Con enlaces troncales de VLAN

La topologa de red muestra un enlace troncal de la VLAN que conecta los Switches S1 y S2
con un enlace fsico nico. sta es la forma en que debe configurarse una red.
Etiquetado de trama 802.1Q
Tipos de puertos de un Switch
Puerto de acceso :
- Procesa el trfico de una sola VLAN
- Recibe y enva tramas sin utilizar etiquetado (Tag)

Puerto Troncal:
- Procesa el trfico de mltiples VLANs
- Por defecto el puerto pertenece a todas las VLANs
- Etiqueta la trama original aadiendo 4 bytes encapsulado as en un trama
802.1q.
Si dos Switches estn conectados mutuamente, ambos deben estar configurados en modo
trunk y ambos deben estar configurados con el mismo mecanismo de etiquetado (802.1Q)
El Switch al recibir una trama a travs de un puerto de acceso enviar dicha trama sin
etiquetar a la misma VLAN, despus el Switch consulta su tabla MAC para entregar la
trama a la MAC destino correspondiente.
El Switch al recibir una trama a travs de un puerto troncal, agrega 4 bytes al encabezado
encapsulndose ahora en una trama 802.1Q
Estos 4 bytes estn separados:
2bytes para el campo Ethertype que es establecido al valor hexadecimal de 0x8100. Este
valor se denomina valor de ID de protocolo de etiqueta (TPID, por su sigla en ingls).
Este campo seala el cambio en el formato de la trama, con el campo EtherType
configurado al valor TPID, el Switch que recibe la trama sabe buscar la informacin en el
campo de informacin de control de etiqueta.
2bytes para el campo de informacin de control de etiqueta (TAG) que a su vez esta sub
dividido en 3 campos:
- Prioridad de usuario (3bits)
- Identificador de formato canonical (1bit)
- VLAN ID (12bits), nmeros de identificacin de la VLAN; admite hasta 4096 ID de
VLAN.








Enlace Troncal en accin (Revisar el video 3.2.2.1 de CCNA III)
Nota:
La configuracin del Switch puede ser realizada en forma manual o automtica a travs
del protocolo DTP (Dynamic Trunking Protocol).
Configuracin de una VLAN
El usuario configurar las VLAN con los ID en el rango normal. Recuerde que existen dos
rangos de ID de la VLAN. El rango normal incluye los ID 1 a 1001 y el rango ampliado
consiste de los ID 1006 a 4094. VLAN 1 y 1002 a 1005 son nmeros de ID reservados.
Cuando configura las VLAN de rango normal, los detalles de configuracin se almacenan
automticamente en la memoria flash del Switch en un archivo llamado vlan.dat.
Procedimiento
Crear las VLAN:




















La figura muestra un ejemplo de uso del comando # show vlan brief para mostrar los
contenidos del archivo vlan.dat. En la captura de pantalla se resalta la VLAN del
estudiante, VLAN 20. Los ID de VLAN predeterminada 1 y 1002 a 1005 se muestran en los
resultados que aparecen en pantalla.
Asignar puertos del Switch a las VLAN de manera esttica
Despus de crear una VLAN, asgnele un puerto o ms. Cuando asigna un puerto de Switch
a una VLAN en forma manual, se lo conoce como puerto de acceso esttico. Un puerto de
acceso esttico puede pertenecer a slo una VLAN por vez.










Verificar configuracin de la VLAN





Nota:
Tambin se puede configurar un rango de puertos:

(El espacio despus del nmero es requerido)



El comando # show vlan summary muestra la cuenta de todas las VLAN configuradas. El
resultado muestra seis VLAN: 1, 1002-1005 y la VLAN del estudiante, VLAN 20.






Reasignar un puerto a la VLAN 1
Al momento de quitar una interfaz de una VLAN determinada, automticamente se
reasigna dicho puerto a la VLAN 1.Note que la VLAN 20 sigue activa, solo se ha quitado la
interfaz de dicha VLAN

Eliminacin de las VLAN


Nota1
Alternativamente, el archivo completo vlan.dat puede eliminarse con el comando delete
flash:vlan.dat del modo EXEC privilegiado. Despus de que el Switch se haya vuelto a
cargar, las VLAN configuradas previamente ya no estarn presentes. Esto ubica al Switch,
en forma efectiva, en "de fbrica de manera predeterminada" con respecto a las
configuraciones de la VLAN.
Nota2
La eliminacin de las VLANS tambin puede efectuarse de la siguiente manera:
- Eliminacin de la VLAN (Primero)
- Remover el puerto de la VLAN (segundo)

Configuracin de un enlace troncal 802.1Q
Se tiene el siguiente escenario:




1. Crear VLAN en S1
S1(config)#vlan 10
S1(config-vlan)#name Faculty/Staff
S1(config)#vlan 20
S1(config-vlan)#name Students
S1(config)#vlan 30
S1(config-vlan)#name Guest(Default)
S1(config)#vlan 99
S1(config-vlan)#name Management&Native
Observacin
Si bien es cierto el S1 no tienen puertos de accesos activos con VLANs correspondientes
eso no quiere decir que no se crearn las VLANs en S1 ya el puerto troncal debe aceptar
VLANs y por ende las VLANs deben estar creadas.
2. Verificar la configuracin de las VLANs
S1#show vlan brief
3. Cree las VLANs en S2 Y S3
En S2 y S3, use los mismos comandos que us en S1 para crear las VLAN y asignarles
nombres luego verifique la configuracin de las VLANs con el comando #show vlan brief
4. Asignar VLAN a los puertos activos en S2
S2(config)#interface fastEthernet 0/6
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 30
S2(config-if)#interface fastEthernet 0/11
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 10
S2(config-if)#interface fastEthernet 0/18
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 20
5. Asignar VLAN a los puertos activos en S3.
Usar las mismas asignaciones de puerto de acceso VLAN que se configuraron en S2.
6. Configurar enlaces troncales
Paso 1. Configurar S1 Fa0/1 y Fa0/3 para enlaces troncales y para usar VLAN 99 como la
VLAN nativa.
S1(config)#interface FastEthernet 0/1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#interface FastEthernet 0/3
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
El Protocolo de enlace troncal dinmico (DTP, Dynamic Trunking Protocol) ha habilitado
automticamente el puerto Fast Ethernet 0/1 en S2 y Fast Ethernet 0/3 en S3 para los
enlaces troncales pero sin el nuevo modo nativo(VLAN 99).
Verificacin de la configuracin del enlace troncal:
S2#show interfaces fastEthernet 0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
DTP ha negociado los enlaces troncales, por lo que el modo de funcionamiento es trunk.
Si bien actualmente hay una falta de concordancia de VLAN nativa existir conectividad
entre las VLANs pero como prctica recomendada se debe configurar como puertos
troncales en S2 como en S3 de manera esttica.
S2(config)#interface FastEthernet 0/1
S2(config-if)#switchport mode trunk
S2(config-if)#switchport trunk native vlan 99
Y para S3 lo mismo.
NOTA:
Por defecto se recibe trfico de todas las VLANS pero no es recomendable por lo que se
puede realizar modificaciones para indicar que VLANs atravesarn por el Trunk.
Ejemplo:
# Switchport trunk allowed vlan (add|all|except) Vlan-List
Investigar y averiguar en qu lnea se debe colocar siguiente el ejemplo de arriba.
Reestablecer las VLAN admitidas y la VLAN nativa del enlace troncal al estado
predeterminado.
Utilice este comando en el modo de configuracin de interfaz para restablecer
todas las VLAN configuradas en la interfaz del enlace troncal.
S1(config-if)#no switchport trunk allowed vlan
Utilice este comando en el modo de configuracin de interfaz para restablecer la
VLAN nativa nuevamente a VLAN1.
S1(config-if)#no switchport trunk native vlan

Utilice este comando en el modo de configuracin de interfaz para restablecer la
interfaz de puerto de enlace troncal nuevamente a un puerto de modo de acceso
esttico.

S1(config-if)#switchport mode access
Averiguar sobre el comando:
S1# show interfaces trunk