Unidad de aprendizaje: Administración de redes de área local virtuales
Propósito de la unidad: Implementara redes de área local
virtuales y puertos de enlaces troncales en dispositivos de red mediante la
agrupación lógica de estaciones de trabajo por equipos de trabajo o por
aplicaciones para transferir el tráfico de diversas LAN así como administrar la
base de datos de un servidor centralizado.
Resultado de aprendizaje: 3.1 crea redes de área local
virtuales (VLAN) y enlaces troncales con base en la asignación de los puertos
de acceso en los switches de una red.
- Identificación de elementos de las VLAN
ü
Beneficios de una VLAN:
Grupos de trabajos virtuales
Reducen los costes administrativos relacionados con a la resolución de
los problemas asociados con los traslados adicionales y cambios.
Proporcionan una actividad de disfunción controlada
Proporcionan seguridad de grupo de trabajo y de red
Suponen un ahorro de dinero, al usar los hubs existentes
ü
Rangos de la ID de la VLAN
Ø
VLAN de rango normal: se utiliza en redes de
pequeños y medianos negocios y empresas. Se identifica mediante un ID de VLAN
entre 1 y 1005 1002 a 1005, se reservan para las VLAN token ring y FDDI. Las
configuraciones se almacenan dentro de
un archivo de datos denominados VLAN.dat.
Ø
VLAN de rango extendido: posibilita a los
proveedores de servicios que amplíen su infraestructura a una cantidad de
cliente mayor. Se identifican mediante un ID de VLAN entre 1006 a 4094. Admite
menor características de VLAN que las VLAN de rango normal se guaran en el
archivo de configuración de ejecución.
·
Tipos de VLAN
Ø
VLAN de datos: Una VLAN de datos es una
VLAN configurada para enviar sólo tráfico de datos generado por el usuario. Una
VLAN podría enviar tráfico basado en voz o tráfico utilizado para administrar
el switch, pero este tráfico no sería parte de una VLAN de datos. Es una
práctica común separar el tráfico de voz y de administración del tráfico de
datos. La importancia de separar los datos del usuario del tráfico de voz y del
control de administración del switch se destaca mediante el uso de un término
específico para identificar las VLAN que sólo pueden enviar datos del usuario:
una "VLAN de datos". A veces, a una VLAN de datos se la denomina VLAN
de usuario.
- VLAN predeterminada: Todos los puertos de switch se convierten en un miembro de la VLAN predeterminada luego del arranque inicial del switch. Hacer participar a todos los puertos de switch en la VLAN predeterminada los hace a todos parte del mismo dominio de broadcast. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch. La VLAN predeterminada para los switches de Cisco es la VLAN 1. La VLAN 1 tiene todas las características de cualquier VLAN, excepto que no la puede volver a denominar y no la puede eliminar. El tráfico de control de Capa 2, como CDP y el tráfico del protocolo spanning tree se asociará siempre con la VLAN 1: esto no se puede cambiar. En la figura, el tráfico de la VLAN1 se envía sobre los enlaces troncales de la VLAN conectando los switches S1, S2 y S3. Es una optimización de seguridad para cambiar la VLAN predeterminada a una VLAN que no sea la VLAN 1; esto implica configurar todos los puertos en el switch para que se asocien con una VLAN predeterminada que no sea la VLAN 1. Los enlaces troncales de la VLAN admiten la transmisión de tráfico desde más de una VLAN.
VLAN nativa: Una VLAN nativa está asignada a un puerto
troncal 802.1Q. Un puerto de enlace troncal 802.1 Q admite el tráfico que llega
de muchas VLAN (tráfico etiquetado) como también el tráfico que no llega de una
VLAN (tráfico no etiquetado). El puerto de enlace troncal 802.1Q coloca el
tráfico no etiquetado en la VLAN nativa. En la figura, la VLAN nativa es la
VLAN 99. El tráfico no etiquetado lo genera una computadora conectada a un
puerto de switch que se configura con la VLAN nativa. Las VLAN se establecen en
la especificación IEEE 802.1Q para mantener la compatibilidad retrospectiva con
el tráfico no etiquetado común para los ejemplos de LAN antigua. Para nuestro
fin, una VLAN nativa sirve como un identificador común en extremos opuestos de
un enlace troncal. Es una optimización usar una VLAN diferente de la VLAN 1
como la VLAN nativa.
Ø VLAN de administración: Una
VLAN de administración es cualquier VLAN que usted configura para acceder a las
capacidades de administración de un switch. La VLAN 1serviría como VLAN de
administración si no definió proactivamente una VLAN única para que sirva como
VLAN de administración. Se asigna una dirección IP y una máscara de subred a la
VLAN de administración. Se puede manejar un switch mediante HTTP, Telnet, SSH o
SNMP. Debido a que la configuración lista para usar de un switch de Cisco tiene
a VLAN 1 como la VLAN predeterminada, puede notar que la VLAN 1 sería una mala
opción como VLAN de administración; no querría que un usuario arbitrario se
conectara a un switch para que se configurara de manera predeterminada la VLAN
de administración. Recuerde que configuró la VLAN de administración como VLAN
99 en el capítulo Configuración y conceptos básicos de switch.
Ø VLAN de voz: En
la figura, la VLAN 150 se diseña para enviar tráfico de voz. La computadora del
estudiante PC5 está conectada al teléfono IP de Cisco y el teléfono está
conectado al switch S3. La PC5 está en la VLAN 20 que se utiliza para los datos
de los estudiantes. El puerto F0/18 en S3 se configura para que esté en modo de
voz a fin de que diga al teléfono que etiquete las tramas de voz con VLAN 150.
Las tramas de datos que vienen a través del teléfono IP de Cisco desde la PC5
no se marcan. Los datos que se destinan a la PC5 que llegan del puerto F0/18 se
etiquetan con la VLAN 20 en el camino al teléfono, que elimina la etiqueta de
la VLAN antes de que los datos se envíen a la PC5. Etiquetar se refiere a la
adición de bytes a un campo en la trama de datos que utiliza el switch para
identificar a qué VLAN se debe enviar la trama de datos. Más adelante,
aprenderá cómo se etiquetan las tramas de datos.
Ø Modos de membresía de los puertos
switch de VLAN: Cuando configura una VLAN, debe asignarle un
número de ID y le puede dar un nombre si lo desea. El propósito de las
implementaciones de la VLAN es asociar con criterio los puertos con las VLAN
particulares. Se configura el puerto para enviar una trama a una VLAN
específica. Como se mencionó anteriormente, el usuario puede configurar una
VLAN en el modo de voz para admitir tráfico de datos y de voz que llega desde
un teléfono IP de Cisco.
Ø Enlace troncal de la VLAN: Es
difícil describir las VLAN sin mencionar los enlaces troncales de la VLAN.
Aprendió acerca de controlar broadcasts de la red con segmentación de la VLAN y
observó la manera en que los enlaces troncales de la VLAN transmitieron tráfico
a diferentes partes de la red configurada en una VLAN. En la figura, los
enlaces entre los switches S1 y S2 y entre S1 y S3 están configurados para
transmitir el tráfico que proviene de las VLAN 10, 20, 30 y 99.
Ø
Etiquetado de trama 802.1Q: Recuerde
que los switches son dispositivos de capa 2. Sólo utilizan la información del
encabezado de trama de Ethernet para enviar paquetes. El encabezado de trama no
contiene la información que indique a qué VLAN pertenece la trama.
Posteriormente, cuando las tramas de Ethernet se ubican en un enlace troncal,
necesitan información adicional sobre las VLAN a las que pertenecen. Esto se
logra por medio de la utilización del encabezado de encapsulación 802.1Q.
Ø VLAN nativas y enlace troncal 802.1Q: Algunos dispositivos que admiten enlaces troncales etiquetan
la VLAN nativa como comportamiento predeterminado. El tráfico de control
enviado en la VLAN nativa debe estar sin etiquetar. Si un puerto de enlace
troncal 802.1Q recibe una trama etiquetada en la VLAN nativa, éste descarta la
trama. Como consecuencia, al configurar un puerto de switch en un switch Cisco,
es necesario identificar estos dispositivos y configurarlos de manera que no
envíen tramas etiquetadas en la VLAN nativa. Los dispositivos de otros
proveedores que admiten tramas etiquetadas en la VLAN nativa incluyen:
teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.
B)
Administración de las VLAN:
Ø Agregar una VLAN:
En este tema,
aprenderá a crear una VLAN estática en un switch Cisco Catalyst mediante el
modo de configuración global de la VLAN. Existen dos modos diferentes para
configurar las VLAN en un switch Cisco Catalyst: modo de configuración de base
de datos y modo de configuración global. A pesar de que la documentación de
Cisco menciona el modo de configuración de base de datos de la VLAN, se elimina
a favor del modo de configuración global de la VLAN.
Ø
Asignación
de un puerto de switch: Después de crear una VLAN, asígnele un puerto o más. Cuando asigna
un puerto de switch a una VLAN en forma manual, se lo conoce como puerto de
acceso estático. Un puerto de acceso estático puede pertenecer a sólo una VLAN
por vez. Haga clic en el botón Sintaxis del comando en la figura para revisar
los comandos IOS de Cisco para asignar un puerto de acceso estático a la VLAN.
Ø Asignación de rangos de puertos: TP pasivo utiliza un rango de puertos para la transferencia
de datos. Esto puede ser un problema, porque el rango de puertos que utiliza
IIS tiene que estar abierto en el firewall.
A muchos administradores le gustaría limitar el rango de puertos entre los valores específicos para que puedan tener un mejor control en los puertos que hay que abrir en el cortafuego. A IIS se le puede configurar para limitar el rango de puertos, pero en las diferentes versiones de IIS la configuración ha cambiado un poco.
A muchos administradores le gustaría limitar el rango de puertos entre los valores específicos para que puedan tener un mejor control en los puertos que hay que abrir en el cortafuego. A IIS se le puede configurar para limitar el rango de puertos, pero en las diferentes versiones de IIS la configuración ha cambiado un poco.
C)
Administración de las VLAN
Ø Verificación de las vinculaciones de
puerto y de las VLAN: Después de configurar la VLAN, puede validar las
configuraciones de la VLAN mediante la utilización de los comandos show del IOS
de Cisco. La sintaxis de comando para los diversos comandos show del IOS de
Cisco debe conocerse bien. Ya ha utilizado el comando show vlan brief. Se
pueden ver ejemplos de estos comandos haciendo clic en los botones de la
figura. En este ejemplo, el usuario puede ver que el comando show vlan name
student no produce resultados muy legibles. Aquí se prefiere utilizar el
comando show vlan brief. El comando show vlan summary muestra la cuenta de
todas las VLAN configuradas. El resultado muestra seis VLAN: 1, 1002-1005 y la
VLAN del estudiante, VLAN 20.
Ø Vínculos al puerto de administración: Existen varias formas
de administrar las VLAN y los vínculos del puerto de VLAN. La figura muestra la
sintaxis para el comando no switchport access vlan.
Ø Administración de la pertenencia al puerto: Para reasignar un
puerto a la VLAN 1, el usuario puede usar el comando no switchport access vlan
en modo de configuración de interfaz. Examine la salida del comando show vlan
brief que aparece inmediatamente a continuación. Note cómo VLAN 20 sigue
activa. Sólo se la ha eliminado de la interfaz F0/18. En el comando show
interfaces f0/18 switchport, se puede ver que la VLAN de acceso para interfaz
F0/18 se ha reestablecido a la VLAN 1.
Ø Eliminación de las VLAN: Alternativamente, el archivo
completo vlan.dat puede eliminarse con el comando delete flash:vlan.dat del
modo EXEC privilegiado. Después de que el switch se haya vuelto a cargar, las
VLAN configuradas previamente ya no estarán presentes. Esto ubica al switch, en
forma efectiva, en "de fábrica de manera predeterminada" con respecto
a las configuraciones de la VLAN.
D)
Configuración de un enlace troncal
Ø Verificación de la configuración del
enlace troncal: Enlace Troncal.- Un enlace troncal es un
enlace punto a punto entre dos sispositivos de red, el cual transporta más de
una vlan. Un enlace troncal de VLAN no pertence a una VLAN específica, sino que
es un conducto para las VLAN entre switches y routers.
Ø
Administración de una configuración de enlace
troncal: la figura,
se muestran los comandos para reestablecer las VLAN admitidas y la VLAN nativa
del enlace troncal al estado predeterminado. También se muestra el comando para
reestablecer el puerto de switch a un puerto de acceso y, en efecto, eliminar
el puerto de enlace troncal. En la figura, los comandos utilizados para
reestablecer todas las características de enlace troncal de una interfaz de
enlace troncal a las configuraciones predeterminadas, están resaltados en el
resultado de muestra. El comando show interfaces f0/1 switchport revela que el
enlace troncal se ha reconfigurado a un estado predeterminado.
E) Configuración de enrutamiento entre VLAN
Ø Configuración de
puerto de enlace troncal en el switch: El enrutamiento entre VLAN es
un proceso que permite reenviar el tráfico de la red desde una VLAN a otra
mediante un enrutador. Las VLAN están asociadas a subredes IP únicas en la red.
Esta configuración de subred facilita el proceso de enrutamiento en un entorno
de múltiples VLAN. Tradicionalmente, el enrutamiento de la LAN utiliza
enrutadores con interfaces físicas múltiples. Es necesario conectar cada
interfaz a una red separada y configurarla para una subred diferente.
Ø Configuración de interfaz de fastethernet: El comando no
shutdown enciende la interfaz Configurar la velocidad y el Duplex.
Estos son dos comandos de suma importancia, ya que los valores de configuración
de ambos extremos de un enlace deben coincidir. De no ser así, el enlace no
será operativo. Speed hace referencia a la velocidad del enlace si
un una interfaz FastEthernet sabemos que su velocidad es de 10/100, siempre
tenemos que establecer la mayor velocidad de las interfaces para aprovechar
todo su potencial.
Ø Configuración de
subinterfaz: Para superar las limitaciones de hardware del
enrutamiento inter VLAN basado en interfaces físicas del router, se utilizan
subinterfaces virtuales y enlaces troncales, como en el ejemplo del
router-on-a-stick descrito anteriormente. Las subinterfaces son interfaces
virtuales basadas en software asignadas a interfaces físicas. Cada subinterfaz
se configura con su propia dirección IP, máscara de subred y asignación de VLAN
única, permitiendo que una interfaz física única sea parte en forma simultánea
de múltiples redes lógicas.
Ø Verificación,
configuración y funcionamiento del enrutamiento: El
enrutamiento es el relevo de tráfico de una red a otra. ¿Por qué relevo? porque
el enrutamiento se basa en pasar la reponsabilidad de un enrutador a otro, es
decir, un enrutador decide cómo enviar un paquete y se desentiende de lo que le
pueda pasar a ese paquete de ahí para adelante, eso en inglés se llama relay,
en español se llama relevo. Otra forma de decirlo, más técnica, es
la conmutación de paquetes de una red a otra. La idea del
enrutamiento está estrechamente ligada a las redes y subredes (IP, IPX, etc.)
F) Resolución de problemas de las VLANS
Ø Faltas de
concordancia de la VLAN nativa: Si ha
descubierto un problema con una VLAN o con un enlace troncal y no sabe cuál es,
comience la resolución de problemas examinando los enlaces troncales para ver
si existe una falta de concordancia de la VLAN nativa y luego vaya siguiendo
los pasos de la lista. El resto de este tema examina cómo reparar los problemas
comunes con enlaces troncales. El próximo tema presenta cómo identificar y
resolver la configuración incorrecta de la VLAN y las subredes IP.
Ø Faltas de concordancia del modo de enlace troncal: En este curso ha aprendido que los vínculos de
enlace troncal se configuran estáticamente con el comando switchport mode
trunk. Ha aprendido que los puertos de enlace troncal utilizan publicaciones de
DTP para negociar el estado del vínculo con el puerto remoto. Cuando un puerto
en un vínculo de enlace troncal se configura con un modo de enlace troncal que
no es compatible con el otro puerto de enlace troncal, no se puede formar un
vínculo de enlace troncal entre los dos switches.
VLAN admitidas en enlaces troncales: La lista de VLAN
admitidas en un enlace troncal no se ha actualizado con los requerimientos de
enlace troncal actuales de VLAN. En este caso, se envía tráfico inesperado o
ningún tráfico al enlace troncal
Ø VLAN y subredes IP:
Las Vlans y
las sub-redes son similares mas no iguales, ambas se implementan por motivos de
seguridad, solo que con diferentes propósitos, las Vlans son más utilizadas en
las empresas para impedir que los datos de la red se entremezclen, por ejemplo
para evitar que los del departamento de mercadotecnia, trabajen bajo la misma
red que el de recursos humanos, esto es porque los tipos de datos pueden
diferir, para implementar las Vlan, solo lo puedes hacer en un switch que tenga
esta función habilitada, primero debes determinar el número de Vlans que
necesitas y luego el tamaño de estas, recuerda que si necesitas una red de para
14 usuarios.
No hay comentarios:
Publicar un comentario