Вы находитесь на странице: 1из 33

X CAP UPLA

LISTAS DE CONTROL DE ACCESO

X CAP UPLA LISTAS DE CONTROL DE ACCESO ¿Qué son las ACL? Las ACL son listas

¿Qué son las ACL?

Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la interfaz del router. Estas listas le informan al router qué tipo de paquetes aceptar o rechazar. La aceptación y rechazo se pueden basar en ciertas condiciones específicas. Las ACL permiten la administración del tráfico y aseguran el acceso hacia y desde una red.

del tráfico y aseguran el acceso hacia y desde una red. Es posible crear ACL en

Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las ACL se pueden configurar en el router para controlar el acceso a una red o subred.

Las ACL filtran el tráfico de red, controlando si los paquetes enrutados se envían o se

bloquean en las interfaces del router.

lo descartará, según las condiciones especificadas en la ACL. Algunos de los puntos de

decisión de ACL son direcciones origen y destino, protocolos y números de puerto de capa superior.

El router examina cada paquete y lo enviará o

superior. El router examina cada paquete y lo enviará o Las ACL se definen según el
superior. El router examina cada paquete y lo enviará o Las ACL se definen según el

Las ACL se definen según el protocolo, la dirección o el puerto. Para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Las ACL controlan el tráfico en una dirección por vez, en una interfaz. Se necesita crear una ACL por separado para cada dirección, una para el tráfico entrante y otra para el saliente. Finalmente, cada interfaz puede contar con varios protocolos y direcciones definidas. Si el router tiene dos interfaces configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs separadas. Una ACL por cada protocolo, multiplicada por dos por dirección entrante y saliente, multiplicada por dos por el número de puertos.

Estas son las razones principales para crear las ACL:

Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma.Estas son las razones principales para crear las ACL: Brindar control de flujo de tráfico. Las

Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda.la red y en consecuencia mejorar el rendimiento de la misma. Proporcionar un nivel básico de

Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Por ejemplo, al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le niega el acceso a dicha red.a las condiciones de la red, se preserva el ancho de banda. Se debe decidir qué

Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo el tráfico de telnet.Humanos, y al Host B se le niega el acceso a dicha red. Permitir que un

Permitir que un administrador controle a cuáles áreas de la red puede acceder un cliente.electrónico, pero bloquear todo el tráfico de telnet. Analizar ciertos hosts para permitir o denegar acceso

Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.a cuáles áreas de la red puede acceder un cliente. Si las ACL no están configuradas

Si las ACL no están configuradas en el router, todos los paquetes que pasen a través del router tendrán acceso a todas las partes de la red

X CAP UPLA

X CAP UPLA Ing. William Marchand N. 2
X CAP UPLA Ing. William Marchand N. 2

X CAP UPLA

X CAP UPLA Funcionamiento de las ACL Una lista ACL es un grupo de sentencias que

Funcionamiento de las ACL

Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los paquetes en interfaces entrantes o salientes. Estas decisiones se toman haciendo coincidir una sentencia de condición en una lista de acceso y luego realizando la acción de aceptación o rechazo definida en la sentencia.

acción de aceptación o rechazo definida en la sentencia. El orden en el que se ubican

El orden en el que se ubican las sentencias de la ACL es importante. El software Cisco IOS verifica si los paquetes cumplen cada sentencia de condición, en orden, desde la parte superior de la lista hacia abajo. Una vez que se encuentra una coincidencia, se lleva a cabo la acción de aceptar o rechazar y no se verifican otras sentencias ACL. Si una sentencia de condición que permite todo el tráfico está ubicada en la parte superior de la lista, no se verifica ninguna sentencia que esté por debajo.

Si se requieren más cantidad de sentencias de condición en una lista de acceso, se debe borrar y volver a crear toda la ACL con las nuevas sentencias de condición. Para que el proceso de revisión de una ACL sea más simple, es una buena idea utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuración del router.

Bloc de notas y pegar la ACL a la configuración del router. El principio del proceso

El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. A medida que una trama ingresa a una interfaz, el router verifica si la dirección de Capa 2 concuerda o si es una trama de broadcast. Si se acepta la dirección de la trama, la información de la trama se elimina y el router busca una ACL en la interfaz entrante. Si existe una ACL, entonces se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete cumple las condiciones, se lleva a cabo la acción de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino y conmutarlo a aquella interfaz. A continuación, el router verifica si la interfaz destino

y conmutarlo a aquella interfaz. A continuación, el router verifica si la interfaz destino Ing. William

X CAP UPLA

tiene una ACL. Si existe una ACL, se compara el paquete con las sentencias de la lista y si el paquete concuerda con una sentencia, se lleva a cabo la aceptación o el rechazo del paquete. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el nuevo protocolo de Capa 2 y se envía por la interfaz hacia el dispositivo siguiente.

A manera de revisión, las sentencias de la ACL operan en orden secuencial lógico. Si se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si todas las sentencias ACL no tienen coincidencias, se coloca una sentencia implícita que dice deny any (denegar cualquiera) en el extremo de la lista por defecto. Aunque la línea deny any no sea visible como última línea de una ACL, está ahí y no permitirá que ningún paquete que no coincida con las líneas anteriores de la ACL sea aceptada. Cuando esté aprendiendo por primera vez cómo crear una ACL, es una buena práctica agregar el deny any al final de las ACL para reforzar la presencia dinámica de la prohibición implícita deny

Creación de las ACL

Las ACL se crean en el modo de configuración global. Cuando se configuran las ACL en el router, cada una debe identificarse de forma única. Por ello, se les asigna un número. Después de crear una lista de acceso, se la debe asignar a la interfaz correspondiente. Las ACL se asignan a una o más interfaces, y pueden filtrar el tráfico entrante o saliente con el comando ip access-group. El comando ip access-group se envía en el modo de configuración de la interfaz. Para asignar una lista de acceso a una interfaz, se debe definir también la dirección del tráfico que filtrará la lista. El tráfico que ingresa en una interfaz se filtra mediante una lista de acceso entrante. El tráfico que sale de una interfaz se filtra mediante una lista de acceso saliente. Para cambiar una ACL que contiene declaraciones ACL numeradas, se deben borrar todas las declaraciones en la ACL numerada mediante el comando no access-list[list- number].

Los pasos para configurar una ACL son los siguientes:

rt1(config)#access-list ?

<1-99> IP standard access list

<100-199> IP extended access list

<1000-1099> IPX SAP access list

<1100-1199> Extended 48-bit MAC address access list

<1200-1299> IPX summary address access list

<1300-1999> IP standard access list (expanded range)

<200-299> Protocol type-code access list

<300-399> DECnet access list

<600-699> Appletalk access list

<700-799> 48-bit MAC address access list

<800-899> IPX standard access list

X CAP UPLA

<900-999> IPX extended access list

<2000-2699> IP extended access list (expanded range)

rate-limit Simple rate-limit specific access list

Las ACL se crean en el modo de configuración global. Existen varias clases diferentes de ACLs: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de lista.

Después de ingresar al modo de comando apropiado y que se decide el número de tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parámetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de número de lista, el usuario tipea las condiciones usando el comando access-list seguido de los parámetros apropiados. Este es el primero de un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada.

En TCP/IP, las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, usando el comando ip access-group en el modo de configuración de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicación entrante o saliente. Es posible establecer la dirección del filtro para verificar los paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL controla el tráfico entrante o saliente, el administrador de red necesita mirar las interfaces como si se observara desde dentro del router. Este es un concepto muy importante. Una lista de acceso entrante filtra el tráfico que entra por una interfaz y la lista de acceso saliente filtra el tráfico que sale por una interfaz. Después de crear una ACL numerada, se la debe asignar a una interfaz. Una ACL que contiene sentencias ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla.

Es necesario utilizar estas reglas básicas a la hora de crear y aplicar las listas de acceso.

Una lista de acceso por protocolo y por dirección. Se deben aplicar las listas de acceso estándar que se encuentran lo más cerca posible del destino. Se deben aplicar las listas de acceso extendidas que se encuentran lo más cerca posible
Se deben aplicar las listas de acceso extendidas que se encuentran lo más cerca posible del origen. que se encuentran lo más cerca posible del destino. Utilice la referencia de la interfaz entrante
Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router. que se encuentran lo más cerca posible del origen. Las sentencias se procesan de forma secuencial
Las sentencias se procesan de forma secuencial desde el principio de la lista hasta el final hasta que se encuentre una concordancia, si no se encuentra ninguna, se rechaza el paquete. si estuviera mirando el puerto desde adentro del router. Hay un deny any (denegar cualquiera)implícito al
Hay un si no se encuentra ninguna, se rechaza el paquete. deny any (denegar cualquiera)implícito al final de deny any (denegar cualquiera)implícito al final de todas las listas de acceso. Esto no aparece en la lista de configuración.
Las entradas de la lista de acceso deben realizar un filtro desde lo particular a lo general. Primero se deben denegar hosts específico y por último los grupos o filtros generales. de acceso. Esto no aparece en la lista de configuración. Primero se examina la condición de
Primero se examina la condición de concordancia. El permiso o rechazo se examina SÓLO si la concordancia es cierta. específico y por último los grupos o filtros generales. Nunca trabaje con una lista de acceso
Nunca trabaje con una lista de acceso que se utiliza de forma activa. Utilice el editor de texto para crear comentarios que describan la lógica, luego complete las sentencias que realizan esa lógica.Primero se examina la condición de concordancia. El permiso o rechazo se examina SÓLO si la

X CAP UPLA

Siempre, las líneas nuevas se agregan al final de la lista de acceso. El comando no access-list x elimina toda la lista. No es posible agregar y quitar líneas de no access-listx elimina toda la lista. No es posible agregar y quitar líneas de manera selectiva en las ACL numeradas.

Una lista de acceso IP envía un mensaje ICMP llamado de host fuera de alcance al emisor del paquete rechazado y descarta el paquete en la papelera de bits.y quitar líneas de manera selectiva en las ACL numeradas. Se debe tener cuidado cuando se

Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de acceso se aplica a una interfaz de producción y se la elimina, según sea la versión de IOS, puede haber una deny any (denegar cualquiera) por defecto aplicada a la interfaz, y se detiene todo el tráfico.rechazado y descarta el paquete en la papelera de bits. Los filtros salientes no afectan al

Los filtros salientes no afectan al tráfico que se origina en el router localaplicada a la interfaz, y se detiene todo el tráfico. Función de la máscara wildcard Una

Función de la máscara wildcard

Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Una máscara wildcard se compara con una dirección IP. Los números uno y cero en la máscara se usan para identificar cómo tratar los bits de la dirección IP correspondientes. El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el "wildcard" (comodín) que equivale a cualquier otro naipe en un juego de póquer. Las máscaras wildcard no guardan relación funcional con las máscaras de subred. Se utilizan con distintos propósitos y siguen distintas reglas. Las máscaras de subred y las máscaras de wildcard representan dos cosas distintas al compararse con una dirección IP. Las máscaras de subred usan unos y ceros binarios para identificar las porciones de red, de subred y de host de una dirección IP. Las máscaras de wildcard usan unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos según el valor de las mismas. La única similitud entre la máscara wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros.

Para evitar la confusión, se substituirán las X por 1 en los gráficos de máscaras wildcard. La máscara se escribe como 0.0.255.255. Un cero significa que se deje pasar el valor para verificarlo. Las X (1) significan impedir que se compare el valor.

Durante el proceso de máscara wildcard, la dirección IP en la sentencia de la lista de acceso tiene la máscara wildcard aplicada a ella. Esto crea el valor de concordancia, que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un paquete o enviarlo a la próxima sentencia para que se lo verifique. La segunda parte del proceso de ACL consiste en que toda dirección IP que una sentencia ACL en particular verifica, tiene la máscara wildcard de esa sentencia aplicada a ella. El resultado de la dirección IP y de la máscara debe ser igual al valor de concordancia de la ACL ACL

Hay dos palabras clave especiales que se utilizan en las ACL, las opciones any y host. Para explicarlo de forma sencilla, la opción any reemplaza la dirección IP con 0.0.0.0 y la máscara wildcard por 255.255.255.255. Esta opción concuerda con cualquier dirección con la que se la compare. La máscara 0.0.0.0 reemplaza la opción host. Esta máscara necesita todos los bits de la dirección ACL y la concordancia de dirección del paquete. Esta opción sólo concuerda con una dirección

X CAP UPLA

X CAP UPLA Verificación de las ACL Existen varios comandos show que verifican el contenido y

Verificación de las ACL

Existen varios comandos show que verifican el contenido y ubicación de las ACL en el router.

El comando show ip interface muestra información de la interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL en el router. Para ver una lista específica, agregue el nombre o número ACL como opción a este comando. El comando show running-config también revela las listas de acceso en el router y la información de asignación de interfaz.

en el router y la información de asignación de interfaz. Estos comandos show verifican los contenidos

Estos comandos show verifican los contenidos y ubicación de las listas. También se recomienda verificar las listas de acceso usando tráfico de ejemplo para asegurarse que la lógica de la lista de acceso sea correcta.

X CAP UPLA

X CAP UPLA ACL estándar Las ACL estándar verifican la dirección origen de los paquetes IP

ACL estándar

Las ACL estándar verifican la dirección origen de los paquetes IP que se deben enrutar. Con la comparación se permite o rechaza el acceso a todo un conjunto de protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen en Fa0/0 para establecer la dirección origen y el protocolo. Si se les otorga el permiso, los paquetes se enrutan a través del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante.

En la versión 12.0.1 del IOS de Cisco, se usaron por primera vez números adicionales (1300 al 1999) para las ACLs estándar pudiendo así proveer un máximo posible de 798 ACLs estándar adicionales, a las cuales se les conoce como ACLs IP expandidas. (también entre 1300 y 1999 en IOS recientes) En la primera sentencia ACL, cabe notar que no hay máscara wildcard. En este caso donde no se ve ninguna lista, se utiliza la máscara por defecto, que es la 0.0.0.0. Esto significa que toda la dirección debe concordar o que esta línea en la ACL no aplica y el router debe buscar una concordancia en la línea siguiente de la ACL.

La sintaxis completa del comando ACL estándar es:

Router(config)#access-listaccess-list-number {deny | permit | remark} source [source-wildcard ] [log]

El uso de remark facilita el entendimiento de la lista de acceso. Cada remark está limitado a 100 caracteres. Por ejemplo, no es suficientemente claro cual es el propósito del siguiente comando:

access-list 1 permit 171.69.2.88

X CAP UPLA

Es mucho mas fácil leer un comentario acerca de un comando para entender sus efectos, así como sigue:

access-list 1 remark Permit only Jones workstation through access-list 1 permit 171.69.2.88

La forma no de este comando se utiliza para eliminar una ACL estándar. Ésta es la sintaxis:

Router(config)#no access-listaccess-list-number

El comando ip access-group relaciona una ACL existente a una interface:

Router(config)#ip access-group {access-list-number | access-list-name} {in | out}

La tabla muestra descripciones de los parámetros utilizados en esta sintaxis

{ in | out } La tabla muestra descripciones de los parámetros utilizados en esta sintaxis

X CAP UPLA

X CAP UPLA ACL extendidas Las ACL extendidas se utilizan con más frecuencia que las ACL

ACL extendidas

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque ofrecen un mayor control. Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y también los protocolos y números de puerto. Esto ofrece mayor flexibilidad para establecer qué verifica la ACL. Se puede permitir o rechazar el acceso de los paquetes según el lugar donde se originó el paquete y su destino así como el tipo de protocolo y direcciones de puerto. Una ACL extendida puede permitir el tráfico de correo electrónico de Fa0/0 a destinos específicos S0/0, al mismo tiempo que deniega la transferencia de archivos y la navegación en la red. Una vez descartados los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

Es posible configurar múltiples sentencias en una sola ACL. Cada una de estas sentencias debe tener el mismo número de lista de acceso, para poder relacionar las sentencias con la misma ACL. Puede haber tanta cantidad de sentencias de condición como sean necesarias, siendo la única limitación la memoria disponible en el router. Por cierto, cuantas más sentencias se establezcan, mayor será la dificultad para comprender y administrar la ACL.

La sintaxis de una sentencia ACL extendida puede ser muy extensa y a menudo, se vuelve engorrosa en la ventana terminal. Las wildcards también tienen la opción de utilizar las palabras clave host o any en el comando.

Al final de la sentencia de la ACL extendida, se obtiene más precisión con un campo que especifica el Protocolo para el control de la transmisión (TCP) o el número de puerto del Protocolo de datagrama del usuario (UDP). Las operaciones lógicas pueden especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a (lt) aquéllas que efectuarán las ACL extendidas en protocolos específicos. Las ACL extendidas utilizan el

X CAP UPLA

número de lista de acceso entre 100 y 199 (también entre 2000 recientes).

y 2699

en

IOS

El comando ip access-group enlaza una ACL extendida existente a una interfaz. Recuerde que sólo se permite una ACL por interfaz por protocolo por dirección. El formato del comando es:

Router(config-if)#ip access-group access-list-number {in | out}

ip access-group access-list-number { in | out } Ubicación de las ACL Las ACL se utilizan

Ubicación de las ACL

Las ACL se utilizan para controlar el tráfico, filtrando paquetes y eliminando el tráfico no deseado de la red. Otra consideración importante a tener en cuenta al implementar la ACL es dónde se ubica la lista de acceso. Si las ACL se colocan en el lugar correcto, no sólo es posible filtrar el tráfico sino también toda la red se hace más eficiente. Si se tiene que filtrar el tráfico, la ACL se debe colocar en un lugar donde mejore la eficiencia de forma significativa.

un lugar donde mejore la eficiencia de forma significativa. En la figura el administrador quiere denegar

En la figura el administrador quiere denegar el tráfico telnet o FTP del segmento LAN Ethernet del Router A al segmento LAN Ethernet conmutado Fa0/1 en el Router D, y al mismo tiempo permitir otros tipos de tráfico. Hay varias maneras de cumplir con esta política. La recomendación es utilizar ACL extendida, especificando las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El tráfico con direcciones de origen y destino diferentes todavía puede permitirse.

La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. Las ACL estándar no especifican las direcciones destino, de modo que se deben colocar lo más cerca posible del destino. Por ejemplo, una ACL estándar se debe colocar en Fa0/0 del Router D para evitar el tráfico desde el Router A.

X CAP UPLA

Un administrador solo puede colocar una lista de acceso en el dispositivo que controla. De este modo, la ubicación de la lista de acceso se determina según hasta dónde se extienda el control del administrador de la red

acceso se determina según hasta dónde se extienda el control del administrador de la red Ing.

X CAP UPLA

LAN VIRTUALES

X CAP UPLA LAN VIRTUALES Introducción a las VLAN Una VLAN es una agrupación lógica de

Introducción a las VLAN

Una VLAN es una agrupación lógica de estaciones, servicios y dispositivos de red que no se limita a un segmento de LAN físico.

Las VLAN facilitan la administración de grupos lógicos de estaciones y servidores que se pueden comunicar como si estuviesen en el mismo segmento físico de LAN. También facilitan la administración de mudanzas, adiciones y cambios en los miembros de esos grupos.

Las VLAN segmentan de manera lógica las redes conmutadas según las funciones laborales, departamentos o equipos de proyectos, sin importar la ubicación física de los usuarios o las conexiones físicas a la red. Todas las estaciones de trabajo y servidores utilizados por un grupo de trabajo en particular comparten la misma VLAN, sin importar la conexión física o la ubicación.

La configuración o reconfiguración de las VLAN se logra mediante el software. Por lo tanto, la configuración de las VLAN no requiere que los equipos de red se trasladen o conecten físicamente. Una estación de trabajo en un grupo de VLAN se limita a comunicarse con los servidores de archivo en el mismo grupo de VLAN. Las VLAN segmentan de forma lógica la red en diferentes dominios de broadcast, de manera tal que los paquetes sólo se conmutan entre puertos y se asignan a la misma VLAN. Las VLAN se componen de hosts o equipos de red conectados mediante un único dominio de puenteo. El dominio de puenteo se admite en diferentes equipos de red. Los switches de LAN operan protocolos de puenteo con un grupo de puente separado para cada VLAN.

Las VLAN se crean para brindar servicios de segmentación proporcionados tradicionalmente por routers físicos en las configuraciones de LAN. Las VLAN se ocupan de la escalabilidad, seguridad y gestión de red. Los routers en las topologías de VLAN proporcionan filtrado de broadcast, seguridad y gestión de flujo de tráfico. Los switches no puentean ningún tráfico entre VLAN, dado que esto viola la integridad del dominio de broadcast de las VLAN. El tráfico sólo debe enrutarse entre VLAN.

X CAP UPLA

X CAP UPLA Dominios de broadcast con VLAN y routers Una VLAN es un dominio de

Dominios de broadcast con VLAN y routers

Una VLAN es un dominio de broadcast que se crea en uno o más switches. El diseño de red en las Figuras y requiere de tres dominios de broadcast separados.

Figuras y requiere de tres dominios de broadcast separados. La Figura muestra como los tres dominios
Figuras y requiere de tres dominios de broadcast separados. La Figura muestra como los tres dominios
Figuras y requiere de tres dominios de broadcast separados. La Figura muestra como los tres dominios

La Figura muestra como los tres dominios de broadcast se crean usando tres switches. El enrutamiento de capa 3 permite que el router mande los paquetes a tres dominios de broadcast diferentes.

, se crea una VLAN con un router y un switch. Existen tres dominios de

broadcast separados. El router enruta el tráfico entre las VLAN mediante enrutamiento

de Capa 3. El switch en la Figura presentan ciertas circunstancias:

envía tramas a las interfaces del router cuando se

En la Figura

tramas a las interfaces del router cuando se En la Figura Si es una trama de
tramas a las interfaces del router cuando se En la Figura Si es una trama de

Si es una trama de broadcast Si está en la ruta a una de las direcciones MAC del routertramas a las interfaces del router cuando se En la Figura Si la Estación de Trabajo

Si la Estación de Trabajo 1 de la VLAN de Ingeniería desea enviar tramas a la Estación de Trabajo 2 en la VLAN de Ventas, las tramas se envían a la dirección MAC Fa0/0 del router. El enrutamiento se produce a través de la dirección IP de la interfaz del router Fa0/0 para la VLAN de Ingeniería.

Si la Estación de Trabajo 1 de la VLAN de Ingeniería desea enviar una trama a la Estación de Trabajo 2 de la misma VLAN, la dirección MAC de destino de la trama es la de la Estación de Trabajo 2.

La implementación de VLAN en un switch hace que se produzcan ciertas acciones:

El switch mantiene una tabla de puenteo separada para cada VLAN.Trabajo 2. La implementación de VLAN en un switch hace que se produzcan ciertas acciones: Ing.

X CAP UPLA

Si la trama entra en un puerto en la VLAN 1, el switch busca la tabla de puenteo para la VLAN 1. Cuando se recibe la trama, el switch agrega la dirección origen a la tabla de
Cuando se recibe la trama, el switch agrega la dirección origen a la tabla de puenteo si es desconocida en el momento. VLAN 1, el switch busca la tabla de puenteo para la VLAN 1. Se verifica el
Se verifica el destino para que se pueda tomar una decisión de envío. Para aprender y enviar se realiza la búsqueda en la tabla de direcciones para esa VLAN solamente1. Cuando se recibe la trama, el switch agrega la dirección origen a la tabla de

aprender y enviar se realiza la búsqueda en la tabla de direcciones para esa VLAN solamente

X CAP UPLA

X CAP UPLA Ing. William Marchand N. 16
X CAP UPLA Ing. William Marchand N. 16

X CAP UPLA

Operación de las VLAN

Una VLAN se compone de una red conmutada que se encuentra lógicamente segmentada. Cada puerto de switch se puede asignar a una VLAN. Los puertos asignados a la misma VLAN comparten broadcasts. Los puertos que no pertenecen a

esa VLAN no comparten esos broadcasts. Esto mejora el desempeño de la red porque

se reducen los broadcasts innecesarios. Las VLAN de asociación estática se denominan

VLAN de asociación de puerto central y basadas en puerto. Cuando un dispositivo

entra a la red, da por sentado automáticamente que la VLAN está asociada con el puerto al que se conecta.

Los usuarios conectados al mismo segmento compartido comparten el ancho de banda

de ese segmento. Cada usuario adicional conectado al medio compartido significa que

el ancho de banda es menor y que se deteriora el desempeño de la red. Las VLAN

ofrecen mayor ancho de banda a los usuarios que una red Ethernet compartida basada en hubs. La VLAN por defecto para cada puerto del switch es la VLAN de administración. La VLAN de administración siempre es la VLAN 1 y no se puede borrar. Por lo menos un puerto debe asignarse a la VLAN 1 para poder gestionar el switch. Todos los demás puertos en el switch pueden reasignarse a VLAN alternadas.

Las VLAN de asociación dinámica son creadas mediante software de administración de red. Se usa CiscoWorks 2000 o CiscoWorks for Switched Internetworks para crear las VLAN dinámicas. Las VLAN dinámicas permiten la asociación basada en la dirección MAC del dispositivo conectado al puerto de switch. Cuando un dispositivo entra a la red, el switch al que está conectado consulta una base de datos en el Servidor de Configuración de VLAN para la asociación de VLAN.

En la asociación de VLAN de puerto central basada en puerto, el puerto se asigna a una asociación de VLAN específica independiente del usuario o sistema conectado al puerto. Al utilizar este método de asociación, todos los usuarios del mismo puerto deben estar en la misma VLAN. Un solo usuario, o varios usuarios pueden estar conectados a un puerto y no darse nunca cuenta de que existe una VLAN. Este método es fácil de manejar porque no se requieren tablas de búsqueda complejas para la segmentación de VLAN.

Los administradores de red son responsables por configurar las VLAN de forma estática y dinámica.

Los puentes filtran el tráfico que no necesita ir a los segmentos, salvo el segmento destino. Si una trama necesita atravesar un puente y la dirección MAC destino es conocida, el puente sólo envía la trama al puerto de puente correcto. Si la dirección MAC es desconocida, inunda la trama a todos los puertos en el dominio de broadcast,

o la VLAN, salvo el puerto origen donde se recibió la trama. Los switches se

consideran como puentes multipuerto.

X CAP UPLA

X CAP UPLA Ing. William Marchand N. 18
X CAP UPLA Ing. William Marchand N. 18

X CAP UPLA

Ventajas de las VLAN

Las VLAN permiten que los administradores de red organicen las LAN de forma lógica en lugar de física. Ésta es una ventaja clave. Esto permite que los administradores de red realicen varias tareas:

Trasladar fácilmente las estaciones de trabajo en la LAN Agregar fácilmente estaciones de trabajo a la LAN Cambiar fácilmente la configuración de la LAN Controlar fácilmente el tráfico de red Mejorar la seguridadque los administradores de red realicen varias tareas: Configuración de VLAN estáticas Las VLAN estáticas son

fácilmente el tráfico de red Mejorar la seguridad Configuración de VLAN estáticas Las VLAN estáticas son

Configuración de VLAN estáticas

Las VLAN estáticas son puertos en un switch que se asignan manualmente a una VLAN. Esto se hace con una aplicación de administración de VLAN o configurarse directamente en el switch mediante la CLI. Estos puertos mantienen su configuración de VLAN asignada hasta que se cambien manualmente. Este tipo de VLAN funciona bien en las redes que tienen requisitos específicos:

Todos los movimientos son controlados y gestionados. Existe un software sólido de gestión de VLAN para configurar los puertos. El gasto adicional requerido para mantener direcciones MAC de estación final y tablas de filtrado personalizadas no es aceptable.bien en las redes que tienen requisitos específicos: Las VLAN dinámicas no se basan en puertos

Las VLAN dinámicas no se basan en puertos asignados a una VLAN específica.

X CAP UPLA

Para configurar las VLAN en los switches serie Cisco 2900, se deben aplicar pautas específicas:

La cantidad máxima de VLAN depende del switch. Una de las VLAN por defecto de fábrica es VLAN1. La VLAN Ethernet por defecto es VLAN1. Se envían publicaciones del Protocolo de Descubrimiento de Cisco (CDP) y Protocolo de Enlace Troncal de VLAN (VTP) en la VLAN 1. (VTP se analiza en el Módulo 9).serie Cisco 2900, se deben aplicar pautas específicas: La dirección IP del switch se encuentra por

La dirección IP del switch se encuentra por defecto en el dominio de broadcast de la VLAN 1.VLAN (VTP) en la VLAN 1. (VTP se analiza en el Módulo 9). El switch debe

El switch debe estar en el modo de servidor VTP para crear, agregar o borrar VLAN.por defecto en el dominio de broadcast de la VLAN 1. La creación de una VLAN

La creación de una VLAN en un switch es una tarea muy directa y simple. Si se usa un switch basado en comandos del IOS, se puede usar el comando vlan database en el modo EXEC privilegiado para entrar al modo de configuración de VLAN. También se puede configurar un nombre de VLAN, de ser necesario:

Switch#vlan database Switch(vlan)#vlan vlan_number Switch(vlan)#exit

Al salir, se aplica la VLAN al switch. El paso siguiente es asignar la VLAN a una o más interfaces:

Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number

Verificación de la configuración de VLAN

Se aplican los siguientes hechos a las VLAN:

Una VLAN creada permanece sin usar hasta que se la asigna a puertos de switch.de VLAN Se aplican los siguientes hechos a las VLAN: Todos los puertos Ethernet son asignados

Todos los puertos Ethernet son asignados a VLAN 1 por defecto.sin usar hasta que se la asigna a puertos de switch. La Figura muestra una lista

La Figura

muestra una lista de comandos aplicables.La Figura

La Figura

muestra los pasos necesarios para asignar una nueva VLAN a un puerto enLa Figura

el switch de Sydney.

Las Figuras

Las Figuras y muestran el resultado de los comandos show vlan y show vlan

y

Las Figuras y muestran el resultado de los comandos show vlan y show vlan

muestran el resultado de los comandos show vlan y show vlan

brief .

X CAP UPLA

X CAP UPLA Ing. William Marchand N. 21
X CAP UPLA Ing. William Marchand N. 21

X CAP UPLA

X CAP UPLA Eliminación de VLAN , se asignó Fastethernet 0/9 a la VLAN 300 con
X CAP UPLA Eliminación de VLAN , se asignó Fastethernet 0/9 a la VLAN 300 con

Eliminación de VLAN

, se asignó Fastethernet 0/9 a la VLAN 300 con el comando switchport

access vlan 300 . Para eliminar esta VLAN de la interfaz, basta con usar la forma no del comando.

En la Figura

eliminar esta VLAN de la interfaz, basta con usar la forma no del comando. En la
eliminar esta VLAN de la interfaz, basta con usar la forma no del comando. En la

X CAP UPLA

El comando que aparece a continuación se utiliza para eliminar una VLAN de un switch:

Switch#vlan database Switch(vlan)#no vlan 300

Cuando se elimina una VLAN, todos los puertos asignados a esa VLAN quedan inactivos. Los puertos, sin embargo, quedan asociados a la VLAN eliminada hasta que se los asigna a una nueva VLAN

a la VLAN eliminada hasta que se los asigna a una nueva VLAN Protocolo de enlace
a la VLAN eliminada hasta que se los asigna a una nueva VLAN Protocolo de enlace

Protocolo de enlace troncal de VLAN

Conceptos de enlace troncal

un enlace troncal es una conexión física y lógica entre dos switches a través de la cual se transmite el tráfico de red. Es un único canal de transmisión entre dos puntos. Generalmente, los dos puntos son centros de conmutación.

En una red conmutada, un enlace troncal es un enlace punto a punto que admite varias VLAN. El propósito de un enlace troncal es conservar los puertos cuando se crea un enlace entre dos dispositivos que implementan las VLAN. La Figura muestra dos VLAN compartidas entre los switches Sa y Sb. Cada switch usa dos enlaces físicos de modo que cada puerto transporta tráfico para una sola VLAN. Ésta es una forma sencilla de implementar la comunicación entre las VLAN de diferentes switches, pero no funciona bien a mayor escala.

comunicación entre las VLAN de diferentes switches, pero no funciona bien a mayor escala. Ing. William

X CAP UPLA

La adición de una tercera VLAN requiere el uso de dos puertos adicionales, uno para cada switch conectado. Este diseño también es ineficiente en lo que se refiere al método de compartir la carga. Además, el tráfico en algunas de las VLAN puede no justificar un enlace dedicado. El enlace troncal agrupa múltiples enlaces virtuales en un enlace físico. Esto permite que el tráfico de varias VLAN viaje a través de un solo cable entre los switches.

Un enlace troncal se puede comparar con las carreteras de distribución de una autopista. Las carreteras que tienen distintos puntos de inicio y fin comparten una autopista nacional principal durante algunos kilómetros, luego se vuelven a dividir para llegar a sus destinos individuales. Este método es más económico que la construcción de una carretera entera desde el principio al fin para cada destino conocido o nuevo

desde el principio al fin para cada destino conocido o nuevo Operación del enlace troncal Las
desde el principio al fin para cada destino conocido o nuevo Operación del enlace troncal Las

Operación del enlace troncal

Las tablas de conmutación en ambos extremos del enlace troncal se pueden usar para tomar decisiones de envío basadas en las direcciones MAC destino de las tramas. A medida que aumenta la cantidad de VLAN que viajan a través del enlace troncal, las decisiones de envío se tornan más lentas y más difíciles de administrar. El proceso de decisión se torna más lento dado que las tablas de conmutación de mayor tamaño tardan más en procesarse.

X CAP UPLA

Los protocolos de enlace troncal se desarrollaron para administrar la transferencia de tramas de distintas VLAN en una sola línea física de forma eficaz. Los protocolos de enlace troncal establecen un acuerdo para la distribución de tramas a los puertos asociados en ambos entremos del enlace troncal.

Los dos tipos de mecanismos de enlace troncal que existen son el filtrado de tramas y el etiquetado de tramas. La IEEE adoptó el etiquetado de tramas como el mecanismo estándar de enlace troncal.

Los protocolos de enlace troncal que usan etiquetado de tramas logran un envío de tramas más veloz y facilitan la administración.

El único enlace físico entre dos switches puede transportar tráfico para cualquier VLAN. Para poder lograr esto, se rotula cada trama que se envía en el enlace para identificar a qué VLAN pertenece. Existen distintos esquemas de etiquetado. Los dos esquemas de etiquetado más comunes para los segmentos Ethernet son ISL y

802.1Q:

más comunes para los segmentos Ethernet son ISL y 802.1Q: ISL – Un protocolo propietario de

ISL Un protocolo propietario de Cisco 802.1Q Un estándar IEEE que es el punto central de esta sección

Un estándar IEEE que es el punto central de esta sección VLANs y enlace troncal Se

VLANs y enlace troncal

Se usan protocolos, o normas, específicos para implementar los enlaces troncales. El enlace troncal proporciona un método eficaz para distribuir la información del identificador de VLAN a otros switches.

Los dos tipos de mecanismos de enlace troncal estándar que existen son el etiquetado de tramas y el filtrado de tramas. En esta página se explica cómo se puede usar el etiquetado de tramas para ofrecer una solución más escalable para la implementación

X CAP UPLA

de las VLAN. El estándar IEEE 802.1Q establece el etiquetado de tramas como el método para implementar las VLAN.

El etiquetado de trama de VLAN se ha desarrollado específicamente para las comunicaciones conmutadas. El etiquetado de trama coloca un identificador único en el encabezado de cada trama a medida que se envía por todo el backbone de la red. El identificador es comprendido y examinado por cada switch antes de enviar cualquier broadcast o transmisión a otros switches, routers o estaciones finales. Cuando la trama sale del backbone de la red, el switch elimina el identificador antes de que la trama se transmita a la estación final objetivo. El etiquetado de trama funciona a nivel de Capa 2 y requiere pocos recursos de red o gastos administrativos.

Es importante entender que un enlace troncal no pertenece a una VLAN específica. Un enlace troncal es un conducto para las VLAN entre los switches y los routers.

ISL es un protocolo que mantiene la información de VLAN a medida que el tráfico fluye entre los switches. Con ISL, la trama Ethernet se encapsula con un encabezado que contiene un identificador de VLAN

con un encabezado que contiene un identificador de VLAN Introducción al enrutamiento entre VLAN Cuando el

Introducción al enrutamiento entre VLAN

Cuando el host en un dominio de broadcast desea comunicarse con un host en otro dominio de broadcast, debe utilizarse un router.

El puerto 1 en un switch forma parte de la VLAN 1 y el puerto 2 forma parte de la VLAN 200. Si todos los puertos de switch formaran parte de la VLAN 1, es posible que los hosts conectados a estos puertos puedan comunicar entre sí. Sin embargo, en este caso, los puertos forman parte de distintas VLAN, la VLAN 1 y la VLAN 200. Se debe utilizar un router si los hosts de las distintas VLAN necesitan comunicarse entre sí.

La ventajas más importante del enrutamiento es su probado historial de facilitar la administración de redes, especialmente de grandes redes. Aunque la Internet sirva de ejemplo obvio, este punto es válido para cualquier tipo de red, como por ejemplo un backbone de campus de gran tamaño. Dado que los routers evitan la propagación de

X CAP UPLA

broadcast y utilizan algoritmos de envío más inteligentes que los puentes y los switches, los routers ofrecen un uso más eficiente del ancho de banda. Esto da como resultado simultáneamente una selección de ruta flexible y óptima. Por ejemplo, es muy fácil implementar el equilibrio de carga a través de varias rutas en la mayoría de las redes cuando se realiza el proceso de enrutamiento. Por otra parte, el equilibrio de carga de la Capa 2 puede resultar muy difícil de diseñar, implementar y mantener.

Si una VLAN abarca varios dispositivos se utiliza un enlace troncal para interconectar los dispositivos. El enlace troncal transporta el tráfico para varias VLAN. Por ejemplo, un enlace troncal puede conectar un switch a otro switch, un switch a un router entre VLAN o un switch a un servidor instalando una NIC especial que admite enlace troncal.

Recuerde que cuando un host en una VLAN desea comunicarse con un host de otra VLAN, se debe utilizar un router.

con un host de otra VLAN, se debe utilizar un router. Problemas y soluciones entre VLAN

Problemas y soluciones entre VLAN

Cuando las VLAN se conectan entre sí, surgen algunos problemas técnicos. Dos de los problemas más comunes que pueden surgir en un entorno de varias VLAN son los siguientes:

surgir en un entorno de varias VLAN son los siguientes: La necesidad de que los dispositivos

La necesidad de que los dispositivos de usuario final alcancen hosts no locales Las necesidad de que los hosts en distintas VLAN se comuniquen entre sí

Cuando un router necesita realizar una conexión a un host remoto, verifica su tabla de enrutamiento para determinar si existe alguna ruta conocida. Si el host remoto entra en una subred que sabe cómo llegar al destino, el sistema verifica si puede conectarse a través de esta interfaz. Si todas las rutas conocidas fallan, el sistema tiene una

X CAP UPLA

última opción, la ruta por defecto. Esta ruta es un tipo especial de ruta gateway y por lo general es la única que está presente en el sistema. En un router, un asterisco (*) permite indicar una ruta por defecto en el resultado del comando show ip route . Para los hosts en una red de área local, este gateway se establece en cualquier máquina que tiene conexión directa con el mundo exterior y corresponde al Gateway por defecto que aparece en las configuraciones TCP/IP de la estación de trabajo. Si la ruta por defecto se configura para un router que está funcionando como gateway para

la Internet pública, entonces la ruta por defecto apuntará a la máquina de gateway en

un sitio de proveedor de servicios Internet (ISP). Las rutas por defecto se implementan usando el comando ip route .

Router(Config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

En este ejemplo, 192.168.1.1 es el gateway. La conectividad entre VLAN se puede lograr a través de una conectividad lógica o física.

La conectividad lógica involucra una conexión única, o un enlace troncal, desde el switch hasta el router. Ese enlace troncal puede admitir varias VLAN. Esta topología se denomina "router en un palo" porque existe una sola conexión al router. Sin embargo, existen varias conexiones lógicas entre el router y el switch.

La conectividad física implica una conexión física separada para cada VLAN. Esto significa una interfaz física separada para cada VLAN.

Los primeros diseños de VLAN se basaban en routers externos conectados a switches que admitían VLAN. En este enfoque, los routers tradicionales se conectan a una red conmutada a través de uno o más enlaces. Los diseños de "router en un palo" emplean un enlace troncal único que conecta el router al resto de la red campus. El tráfico entre VLANs debe atravesar el backbone de Capa 2 para alcanzar el router desde donde podrá desplazarse entre las VLAN. El tráfico viaja entonces de vuelta hacia la estación final deseada utilizando el método de envío de Capa 2 normal. Este flujo de ida y vuelta es característico de los diseños de "router en un palo".

Interfaces físicas y lógicas

En una situación tradicional, una red con cuatro VLAN requeriría cuatro conexiones físicas entre el switch y el router externo.

A medida que las tecnologías como por ejemplo el Enlace inter-switch (ISL) se vuelven

más comunes, los diseñadores de red empiezan a utilizar enlaces troncales para conectar los routers a los switches. A pesar de que se puede utilizar cualquier tecnología de enlace troncal como por ejemplo ISL, 802.1Q, 802.10 o la emulación

LAN (LANE), los enfoques basados en Ethernet como por ejemplo ISL y 802.1Q son más comunes.

El protocolo propietario de Cisco ISL así como el estándar 802.1q de varios vendedores IEEE, se utilizan para efectuar el enlace troncal de las VLAN en los enlaces Fast Ethernet.

La línea sólida en el ejemplo se refiere a un enlace físico único entre el switch Catalyst

y el router. Se trata de la interfaz física que conecta el router al switch.

A medida que aumenta la cantidad de VLAN en una red, el enfoque físico de tener una

interfaz de router por VLAN se vuelve rápidamente inescalable. Las redes con muchas

X CAP UPLA

VLAN deben utilizar el enlace troncal de VLAN para asignar varias VLAN a una interfaz de router única.

Las líneas punteadas en el ejemplo se refieren a los distintos enlaces lógicos que se ejecutan a través de este enlace físico utilizando subinterfaces. El router puede admitir varias interfaces lógicas en enlaces físicos individuales. Por ejemplo, la interfaz física FastEthernet 1/0 podría soportar tres interfaces virtuales denominadas FastEthernet 1/0.1, 1/0.2 y 1/0.3.

La ventaja principal del uso del enlace troncal es una reducción en la cantidad de puertos de router y switch que se utiliza. Esto no sólo permite un ahorro de dinero sino también reduce la complejidad de la configuración. Como consecuencia, el enfoque de router conectado a un enlace troncal puede ampliarse hasta un número mucho más alto de VLAN que el diseño de "un enlace por VLAN".

hasta un número mucho más alto de VLAN que el diseño de "un enlace por VLAN".

X CAP UPLA

X CAP UPLA División de interfaces físicas en subinterfaces Una subinterfaz es una interfaz lógica dentro

División de interfaces físicas en subinterfaces

Una subinterfaz es una interfaz lógica dentro de una interfaz física, como por ejemplo la interfaz Fast Ethernet en un router.

Pueden existir varias subinterfaces en una sola interfaz física.

Cada subinterfaz admite una VLAN y se le asigna una dirección IP. Para que varios dispositivos en una misma VLAN se puedan comunicar, las direcciones IP de todas las subinterfaces en malla deben encontrarse en la misma red o subred. Por ejemplo, si la subinterfaz FastEthernet 0/0.1 tiene una dirección IP de 192.168.1.1 entonces 192.168.1.2, 192.168.1.3 y 192.1.1.4 son las direcciones IP de dispositivos conectados a la subinterfaz FastEthernet 0/0.1.

Para poder establecer una ruta entre las distintas VLAN con subinterfaces, se debe crear una subinterfaz para cada VLAN

X CAP UPLA

X CAP UPLA Configuración de un enrutamiento entre distintas VLAN Ing. William Marchand N. 31

Configuración de un enrutamiento entre distintas VLAN

X CAP UPLA Configuración de un enrutamiento entre distintas VLAN Ing. William Marchand N. 31

X CAP UPLA

Antes de implementar cualquiera de estos comandos, debe verificarse cada router y switch para comprobar qué encapsulamientos de VLAN admiten. Los switches Catalyst 2950 han admitido el enlace troncal 802.1q desde que se lanzó al mercado la versión 12.0(5.2)WC(1) de Cisco IOS, pero no admiten el enlace troncal Inter-Switch (ISL). Para que el enrutamiento entre VLAN funcione correctamente, todos los routers y switches involucrados deben admitir el mismo encapsulamiento.

En un router, una interfaz se puede dividir lógicamente en varias subinterfaces virtuales. Las subinterfaces ofrecen una solución flexible para el enrutamiento de varias corrientes de datos a través de una interfaz física única. Para definir las subinterfaces en una interfaz física, realice las siguientes tareas:

en una interfaz física, realice las siguientes tareas: Identifique la interfaz. Defina el encapsulamiento de la

Identifique la interfaz. Defina el encapsulamiento de la VLAN. Asigne una dirección IP a la interfaz.

Para identificar la interfaz utilice el comando interface en el modo de configuración global.

Router(config)#interface fastethernet port-number. subinterface-number

port-number identifica la interfaz física y subinterface-number identifica la interfaz virtual.

El router debe poder comunicarse con el switch utilizando un protocolo de enlace troncal estandarizado. Esto significa que ambos dispositivos conectados entre sí deben comprenderse. En el ejemplo, se utiliza 802.1Q. Para definir el encapsulamiento de la VLAN, introduzca el comando encapsulation en el modo de configuración de interfaz.

Router(config-if)#encapsulation dot1q vlan-number

vlan-number identifica la VLAN para la cual la subinterfaz transportará el tráfico. Se agrega un ID de VLAN a la trama sólo cuando la trama está destinada a una red no local. Cada paquete de VLAN transporta el ID de VLAN dentro del encabezado del paquete.

Para asignar una dirección IP a la interfaz, introduzca el siguiente comando en el modo de configuración de interfaz.

Router(config-if)#ip address ip-address subnet-mask

ip-address y subnet-mask son las direcciones y la máscara de red de 32 bits de la interfaz específica.

En el ejemplo, el router tiene tres subinterfaces configuradas en la interfaz Fast Ethernet 0/0. Estas tres subinterfaces se identifican como 0/0.1, 0/0.2 y 0/0.3. Todas las interfaces se encapsulan para 802.1q. La interfaz 0/0.1 enruta paquetes para la VLAN 1, mientras que la interfaz 0/0.2 enruta paquetes para la VLAN 20 y la interfaz 0/0.3 enruta paquetes para la VLAN 30

X CAP UPLA

X CAP UPLA Ing. William Marchand N. 33