You are on page 1of 10

3/3/2015

Resumen Capítulo 3

Resumen Capítulo 3
VLAN
El rendimiento de la red es un factor importante en la productividad de una organización. Una de las
tecnologías que contribuyen a mejorar el rendimiento de la red es la división de los grandes dominios
de difusión en dominios más pequeños. Por una cuestión de diseño, los routers bloquean el tráfico de
difusión en una interfaz. Sin embargo, los routers generalmente tienen una cantidad limitada de
interfaces LAN. La función principal de un router es trasladar información entre las redes, no
proporcionar acceso a la red a las terminales.
La función de proporcionar acceso a una LAN suele reservarse para los switches de capa de acceso. Se
puede crear una red de área local virtual (VLAN) en un switch de capa 2 para reducir el tamaño de los
dominios de difusión, similares a los dispositivos de capa 3.
Dentro de un entorno de internetwork conmutada, las VLAN proporcionan la segmentación y la
flexibilidad organizativa. Las VLAN proporcionan una manera de agrupar dispositivos dentro de una
LAN.
Las VLAN permiten que el administrador divida las redes en segmentos según factores como la función,
el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario o del
dispositivo.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN físicos. Las VLAN
mejoran el rendimiento de la red mediante la división de grandes dominios de difusión en otros más
pequeños.
Los principales beneficios de utilizar las VLAN son los siguientes:
Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que disminuye las
posibilidades de que ocurran violaciones de información confidencial. Como se muestra en la
ilustración, las computadoras del cuerpo docente están en la VLAN 10 y separadas por completo del
tráfico de datos de los estudiantes y los Invitados.
Reducción de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones de red
costosas y al uso más eficaz de los enlaces y del ancho de banda existentes.
Mejor rendimiento: la división de las redes planas de capa 2 en varios grupos de trabajo lógicos
(dominios de difusión) reduce el tráfico innecesario en la red y mejora el rendimiento.
Dominios de difusión reducidos: la división de una red en redes VLAN reduce la cantidad de
dispositivos en el dominio de difusión. Como se muestra en la ilustración, existen seis computadoras en
esta red, pero hay tres dominios de difusión: Cuerpo docente, Estudiantes e Invitados.
Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los usuarios
con requerimientos similares de red comparten la misma VLAN. Cuando se dispone de un switch nuevo,
se implementan todas las políticas y los procedimientos que ya se configuraron para la VLAN específica
cuando se asignan los puertos. También es fácil para el personal de TI identificar la función de una
VLAN proporcionándole un nombre. En la ilustración, para facilitar la identificación, se denominó
“Cuerpo Docente” a la VLAN 10, “Estudiantes” a la VLAN 20 e “Invitados” a la VLAN 30.
Administración más simple de aplicaciones y proyectos: las VLAN agregan dispositivos de red y
usuarios para admitir los requisitos geográficos o comerciales. Al tener características diferentes, se
Raúl Alejandro Oropeza Mata
413 | 25
Página

1 de 10

Redes sin VLAN En condiciones normales de funcionamiento. VLAN predeterminada Todos los puertos de switch se vuelven parte de la VLAN predeterminada después del arranque inicial de un switch que carga la configuración predeterminada. VLAN nativa Una VLAN nativa está asignada a un puerto troncal 802. un campo de identificador de formato canónico y un campo de ID de la VLAN: Tipo: es un valor de 2 bytes denominado “ID de protocolo de etiqueta” (TPID). VLAN de administración Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades de administración de un switch. Los puertos de switch que participan en la VLAN predeterminada forman parte del mismo dominio de difusión. un ejemplo de este tipo de aplicación es una plataforma de desarrollo de aprendizaje por medios electrónicos para el cuerpo docente. un campo de prioridad. VLAN de datos Una VLAN de datos es una VLAN configurada para transportar tráfico generado por usuarios. Los puertos de enlace troncal son los enlaces entre switches que admiten la transmisión de tráfico asociado a más de una VLAN. Algunos tipos de VLAN se definen según las clases de tráfico. este valor se establece en 0x8100 hexadecimal.1Q. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. La VLAN 1 es la VLAN de administración de manera predeterminada. reenvía la trama por todos los demás puertos. Existen diferentes tipos de redes VLAN. cuando un switch recibe una trama de difusión en uno de sus puertos.  Tramas etiquetadas en la VLAN nativa Raúl Alejandro Oropeza Mata 413 | 25 Página 2 de 10 . Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). los cuales se utilizan en las redes modernas. Para Ethernet. Identificador de formato canónico (CFI): es un identificador de 1 bit que habilita las tramas Token Ring que se van a transportar a través de los enlaces Ethernet.3/3/2015 Resumen Capítulo 3 facilita la administración de un proyecto o el trabajo con una aplicación especializada. Prioridad de usuario: es un valor de 3 bits que admite la implementación de nivel o de servicio. excepto el puerto por donde recibió la difusión. El tráfico de VoIP requiere:     Ancho de banda garantizado para asegurar la calidad de la voz Prioridad de la transmisión sobre los tipos de tráfico de la red Capacidad para ser enrutado en áreas congestionadas de la red Una demora inferior a 150 ms a través de la red Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de una VLAN. Otros tipos de VLAN se definen según la función específica que cumplen. ID de VLAN (VID): es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID de VLAN. El campo de etiqueta de la VLAN consta de un campo de tipo.

envía esas tramas a la VLAN nativa. Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI. según el tipo de tráfico:    En una VLAN de voz con una etiqueta de valor de prioridad de clase de servicio (CoS) de capa 2. descarta la trama. El archivo vlan. Los ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar. Raúl Alejandro Oropeza Mata 413 | 25 Página 3 de 10 .  Tramas sin etiquetar en la VLAN nativa Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales en las redes bien diseñadas). se descarta la trama. Las configuraciones no se escriben en el archivo vlan. VLAN de rango extendido Posibilita a los proveedores de servicios que amplíen sus infraestructuras a una cantidad de clientes mayor. VTP no aprende las VLAN de rango extendido.dat. VLAN de rango normal       Se utiliza en redes de pequeños y medianos negocios y empresas.      Se identifican mediante un ID de VLAN entre 1006 y 4094. En el switch. Algunas empresas globales podrían ser lo suficientemente grandes como para necesitar los ID de las VLAN de rango extendido.3/3/2015 Resumen Capítulo 3 Algunos dispositivos que admiten enlaces troncales agregan una etiqueta VLAN al tráfico de las VLAN nativas. El protocolo de enlace troncal de VLAN (VTP). Se identifica mediante un ID de VLAN entre 1 y 1005.1Q recibe una trama etiquetada con la misma ID de VLAN que la VLAN nativa. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar. Admiten menos características de VLAN que las VLAN de rango normal. Si un puerto de enlace troncal 802. solo puede descubrir y almacenar redes VLAN de rango normal. En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2. Si no hay dispositivos asociados a la VLAN nativa (lo que no es poco usual) y no existen otros puertos de enlace troncal (lo que no es poco usual).dat se encuentra en la memoria flash del switch.dat. En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2). Se guardan en el archivo de configuración en ejecución de manera predeterminada. denominado vlan. que permite administrar la configuración de VLAN entre los switches. el acceso está configurado para enviar paquetes del protocolo de descubrimiento de Cisco (CDP) que instruyen a un teléfono IP conectado para que envíe el tráfico de voz al switch en una de tres formas posibles. Las configuraciones se almacenan en un archivo de base de datos de VLAN.

3/3/2015 Resumen Capítulo 3 Raúl Alejandro Oropeza Mata 413 | 25 Página 4 de 10 .

Para habilitar los enlaces troncales. Raúl Alejandro Oropeza Mata 413 | 25 Página 5 de 10 .3/3/2015 Resumen Capítulo 3 Un enlace troncal de VLAN es un enlace de capa 2 del modelo OSI entre dos switches que transporta el tráfico para todas las VLAN (a menos que se restrinja la lista de VLAN permitidas de manera manual o dinámica). configure los puertos en cualquier extremo del enlace físico con conjuntos de comandos paralelos.

3/3/2015 Resumen Capítulo 3 La configuración se verifica con el comando show interfaces ID-interfaz switchport. DTP maneja la negociación de enlaces troncales solo si el puerto del switch vecino está configurado en un modo de enlace troncal que admite DTP. DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches de las series Catalyst 2960 y Catalyst 3560. La negociación de enlaces troncales entre dispositivos de red la maneja el protocolo de enlace troncal dinámico (DTP). Los switches de otros proveedores no admiten el DTP. o esta puede negociar el enlace troncal con la interfaz vecina. Las interfaces Ethernet de los switches de las series Catalyst 2960 y Catalyst 3560 admiten diversos modos de enlace troncal con la ayuda de DTP:  switchport mode access : coloca la interfaz (puerto de acceso) en modo de enlace no troncal permanente y negocia para convertir el enlace en uno no troncal. La interfaz se convierte en una interfaz de enlace troncal. La interfaz se convierte en una interfaz troncal si la interfaz vecina se establece en modo de enlace troncal. La interfaz se convierte en una interfaz no troncal. Este es el modo de switchport predeterminado en los switches antiguos.  switchport mode dynamic desirable : hace que la interfaz intente convertir el enlace en un enlace troncal de manera activa. independientemente de si la interfaz vecina es una interfaz troncal. incluso si la interfaz vecina no es una interfaz de enlace troncal. El modo de switchport predeterminado para todas las interfaces Ethernet es dynamic auto.  switchport mode dynamic auto : hace que la interfaz pueda convertir el enlace en un enlace troncal. deseado o automático. Raúl Alejandro Oropeza Mata 413 | 25 Página 6 de 10 . como los switches de las series Catalyst 2950 y 3550. Las interfaces troncales Ethernet admiten diferentes modos de enlace troncal.  switchport mode trunk : coloca la interfaz en modo de enlace troncal permanente y negocia para convertir el enlace en un enlace troncal. que solo funciona de punto a punto. La interfaz se convierte en una interfaz troncal si la interfaz vecina se establece en modo de enlace troncal o deseado. Una interfaz se puede establecer como troncal o no troncal.

Este es un problema frecuente y se resuelve fácilmente mediante la identificación de la configuración incorrecta y el cambio de la dirección de la subred por una dirección correcta. Paso 2. utilice el comando show mac-address-table. debe configurar manualmente la interfaz vecina como interfaz troncal. Utilice el comando show mac address-table para revisar qué direcciones se obtuvieron en un puerto determinado del switch y a qué VLAN se asignó ese puerto. cambie la pertenencia de puerto de VLAN con el comando switchport access vlan. Utilice el comando show vlan para verificar si el puerto pertenece a la VLAN esperada. utilice el comando switchport access vlan para corregir la pertenencia de VLAN.3/3/2015 Resumen Capítulo 3  switchport nonegotiate : evita que la interfaz genere tramas DTP. Raúl Alejandro Oropeza Mata 413 | 25 Página 7 de 10 . Para establecer un enlace troncal. Si este no es el número de VLAN previsto. el puerto pasa a estar inactivo.a21c. En el ejemplo de la figura 2. Cada VLAN debe corresponder a una subred IP única. Para ver la tabla de direcciones MAC. Utilice los comandos show vlan o show interfaces switchport. no se pueden comunicar.296a. se muestran las direcciones MAC que se obtuvieron en la interfaz F0/1. Se puede observar que en la interfaz F0/1 de la VLAN 10 se obtuvo la dirección MAC000c. Si dos dispositivos en la misma VLAN tienen direcciones de subred diferentes. Si el puerto se asignó a una VLAN incorrecta. Si se elimina la VLAN a la que se asignó el puerto. Puede utilizar este comando solo cuando el modo de switchport de la interfaz es access o trunk. Paso 1.

En ocasiones. Este error de configuración genera notificaciones de consola y provoca que el tráfico de control y administración se dirija erróneamente. Los puertos de los switches Cisco Catalyst utilizan DTP de manera predeterminada e intentan negociar un enlace troncal. Configure estáticamente los enlaces troncales siempre que sea posible.3/3/2015 Resumen Capítulo 3 Una de las tareas frecuentes de los administradores de red es resolver problemas de formación de enlaces troncales o de enlaces que se comportan incorrectamente como enlaces troncales. Esto representa un riesgo de seguridad. hay una filtración de VLAN. Para resolver problemas de enlaces troncales que no se forman o de filtración de VLAN. Esto se conoce como “filtración de VLAN”. VLAN permitidas en enlaces troncales: no se actualizó la lista de VLAN permitidas en un enlace troncal con los requisitos de enlace troncal de VLAN actuales. En este caso. se envía tráfico inesperado o ningún tráfico al enlace troncal. un puerto de switch se puede comportar como puerto de enlace troncal. Estos errores de configuración hacen que el vínculo de enlace troncal deje de funcionar. proceda de la siguiente manera: Paso 1. Utilice el comando show interfaces trunk para verificar si se estableció un enlace troncal entre los switches. incluso si no se configuró como tal. Utilice el comando show interfaces trunk para verificar si hay coincidencia entre la VLAN nativa local y peer. Raúl Alejandro Oropeza Mata 413 | 25 Página 8 de 10 . Por ejemplo. Si la VLAN nativa no coincide en ambos extremos. Incompatibilidades de modo de enlace troncal: un puerto de enlace troncal está configurado en un modo que no es compatible para enlaces troncales en el puerto peer correspondiente. Paso 2.    Incompatibilidad de VLAN nativa: los puertos de enlace troncal se configuraron con VLAN nativas diferentes. un puerto de acceso puede aceptar tramas de redes VLAN distintas de la VLAN a la cual se asignó.

Raúl Alejandro Oropeza Mata 413 | 25 Página 9 de 10 . Los puertos de enlace troncal de los switches Cisco Catalyst utilizan DTP para negociar el estado del enlace. La mejor manera de prevenir un ataque de suplantación de identidad de switch básico es inhabilitar los enlaces troncales en todos los puertos.1Q en la red conmutada. El tráfico de datos no se puede reenviar entre los puertos protegidos en la capa 2. se considera una práctica recomendada de seguridad la utilización de una VLAN fija distinta de todas las VLAN de usuario como VLAN nativa para todos los enlaces troncales 802. los enlaces troncales se configuran estáticamente con el comandoswitchport mode trunk. Para que el tráfico de una VLAN se transmita a través de un enlace troncal. Las características de la función de perímetro de PVLAN son las siguientes:  Los puertos protegidos no reenvían tráfico (de unidifusión. difusión o multidifusión) a ningún otro puerto que también sea un puerto protegido. De manera predeterminada. Los saltos de VLAN permiten que una VLAN pueda ver el tráfico de otra VLAN. generalmente entre switches. excepto el tráfico de control. excepto en los que específicamente requieren enlaces troncales.3/3/2015 Resumen Capítulo 3 Por lo general. Para hacerlo. inhabilite DTP y habilite los enlaces troncales manualmente. debe estar permitido en dicho enlace. La suplantación de identidad de switch es un tipo de ataque con salto de VLAN que funciona mediante el aprovechamiento de un puerto de enlace troncal mal configurado. Otro tipo de ataque VLAN es el ataque con salto de VLAN de etiquetado doble (o de encapsulado doble). Este tipo de ataque aprovecha la forma en que funciona el hardware en la mayoría de los switches. En los puertos de enlace troncal requeridos. De hecho. El mejor método para mitigar los ataques de etiquetado doble es asegurar que la VLAN nativa de los puertos de enlace troncal sea distinta de la VLAN de cualquier puerto de usuario. no se puede formar un enlace troncal entre los dos switches. utilice el comando switchport trunk allowed vlan id-vlan. los puertos de enlace troncal tienen acceso a todas las VLAN y pasan el tráfico para varias VLAN a través del mismo enlace físico. Cuando un puerto en un enlace troncal se configura con un modo de enlace troncal que no es compatible con el puerto de enlace troncal vecino.

La VLAN Ethernet predeterminada es la VLAN 1. dinámico automático y dinámico deseado. utilice el comando show interfaces idinterfaz switchport del modo de configuración global. Por seguridad. Una buena práctica de seguridad es separar el tráfico de administración y de datos de usuario. Los switches Cisco tienen una configuración de fábrica en la cual las VLAN predeterminadas se preconfiguran para admitir diversos tipos de medios y protocolos. Los puertos protegidos se deben configurar manualmente. introduzca el comandoswitchport protected en el modo de configuración de interfaz. Raúl Alejandro Oropeza Mata 413 | 25 Página 10 de 10 . se recomienda configurar todos los puertos de todos los switches para que se asocien a VLAN distintas de la VLAN 1. Para configurar la característica de perímetro de PVLAN. Para verificar la configuración de la característica de perímetro de PVLAN. utilice el comando no switchport protected del modo de configuración de interfaz.3/3/2015 Resumen Capítulo 3   El comportamiento de reenvío entre un puerto protegido y un puerto no protegido continúa normalmente. DTP ofrece cuatro modos de puerto de switch: acceso. Una pauta general es inhabilitar la autonegociación. Una práctica recomendada de seguridad de puertos es no utilizar los modos de puerto de switch dinámico automático o dinámico deseado. enlace troncal. Para inhabilitar los puertos protegidos.