REDES VIRTUALES
VLAN
Una red
totalmente construida sobre dispositivos de capa 2 es una red llamada “red
plana”. Este tipo de redes se componen de un único dominio de difusión, es
decir, los broadcast inundan toda la red, lo que hace que al aumentar el número
de host aumente el número de broadcast disminuyendo el desempeño de la red. Sin
embargo las redes conmutadas permiten eliminar las limitaciones impuestas por
las redes planas dividiendo dicha red en varias redes virtuales (VLAN)
Las VLAN
(Virtual LAN) proveen seguridad, segmentación, flexibilidad, y permiten agrupar
usuarios de un mismo dominio de broadcast con independencia de su ubicación
física en la red. Usando la tecnología VLAN se pueden agrupar lógicamente
puertos del switch y los usuarios conectados a ellos en grupos de trabajo con
interés común. Una VLAN por definición es un dominio de difusión creado de
forma lógica.
A.Ernesto, B. Enrique 2010, Redes Cisco CCNP a
Fondo, Alfaomega RA-MA
El ejemplo que
se muestra en la gráfica siguiente es el que se estará desarrollando para
explicar el objetivo de este post.
Este será en escenario a desarrollar en este post, le sugerimos desarrollar el mismo paso a paso vía packet tracert |
Para iniciar, comenzaremos configurando el
Switch Multicapa via CLI de la siguiente forma:
Añadir leyenda |
1)
Nos conectamos via cable
consola, SSH o telnet nosotros lo haremos vía puerto consola, es posible que
tenga que administrar el switch via http(s) para habilitar la administración
por ssh o telnet.
1)
Crearemos las tres Vlans que
se muestran en nuestro diagrama inicial con los siguientes comandos:
Enable
Configure terminal
Con estos comandos habremos creados las tres Vlan.
Para comprobarlo utilizaremos el comando show vlan
Luego procederemos a configurar las redes
para estas Vlans y lo haremos con los siguientes comandos.
Habilitamos la consola de comandos y entramos
en modo de configuración.
Enable
Configure
terminal
Nos debe aparecer como se muestra en la
captura a continuación:
Posteriormente introducimos los siguientes comandos:
Luego procedemos a configurar los puertos que
conectan con los Switchs como puertos troncales.
Utilizaremos los siguientes comandos para
configurar los puertos resaltados como troncales:
Switch Servidores
En modo de configuracion de interfaz
Inteface
fastethernet 0/1
Switchport mode
trunk
Estos comandos los utilizaremos en los Switch
de capa 2 y debido a que en el otro extremo se encuentra un switch de capa 3 no
debemos realizar configuración adicional debido a que la negociación se
encuentra en auto, este al detectar los puertos de nuestro Switch de capa 2 en
modo trocal se auto configura en modo troncal, como lo pueden ver con el
siguiente comando:
Show interfaces trunk
Procedemos a configurar los puertos en el
Switch de Ventas y Operaciones:
Switch Ventas
Switch Operaciones
Comprobamos los extremos:
Como podemos ver el otro extremo negoció un
enlace trocal al detectar el puerto en modo troncal del otro extremo.
Seguido a esto configuraremos un servidor
DHCP de prueba en el Switch Multicapa con los siguientes comandos.
Vlan 10 Servidores
Vlan 20 Ventas
Vlan 30 Operaciones
Luego vamos configurar VTP para que nuestra
Vlans se repliquen a todos los Switchs, lo hacemos de la siguiente forma:
El Switch multicapa será nuestro servidor VTP
principal el que replicara los cambios de Vlan hacia los demás Switchs,
Los comandos son los siguientes:
Administramos el Switch en modo privilegiado
nos debe aparecer de la siguiente forma:
Con un numeral al final, agregamos los
siguientes comandos:
Los demás Switch los debemos configurar en
modo cliente y lo hacemos con los siguientes comandos:
Una vez hagamos esto, podemos ver con el
comando show vlan, que las mismas se crean automáticamente:
Estos comandos los usaremos en todos aquellos
switchs que formen parte de nuestro despliegue de vlans, a excepción del switch
principal el cual será configurado como servidor.
Observacion:
El password y el nombre de dominio deben ser iguales en todos los Switchs, los
que utilizamos anteriormente son de ejemplo.
Luego de esto procedemos a configurar los
puertos para asignación de Vlan en nuestros Switch de capa 2, aquellos donde
están conectados los dispositivos de usuarios.
En el switch de servidores procedemos a
configurar el puerto f0/2 con el siguiente comando.
Al hacer esto nuestro servidor debe tomar una
IP de del segmento de red de la Vlan 10, lo comprobamos con el siguiente
comando en Windows ipconfig. En Linux ifconfig.
ipconfig
Pruebas
de ping a nuestro Gateway
De esta misma forma haremos con todos los
Switchs y puertos donde tengamos conectados dispositivos.
Procedemos a configurar los Switchs de Ventas
y Operaciones.
Verificamos la IP
Seguimos con el Switch de Operaciones
Configuramos el puerto con la Vlan
correspondiente
Comprobamos la IP de nuestra PC conectada al
Switch de Operaciones.
Ahora realizaremos algunas pruebas de
alcance:
Desde el equipo en la vlan de servidores le
haremos ping a las demás Vlans
Podemos visualizar que le llegamos a los
equipos de las demás redes, esto es posible porque nuestro Switch Multicapa
está haciendo el enrutamiento inter-vlan
adicionalmente que las redes están conectadas directamente a él, en caso de que
tengamos redes en otros routers, debemos utilizar algún protocolo de
enrutamiento dinámico o rutas estáticas.
Seguridad
de puerto
En algunos
entornos la red debe estar asegurada para controlar qué estaciones terminales
podrán tener acceso a la red. Cuando las estaciones de trabajo son
estacionarias, sus direcciones MAC siempre se espera que se conecten al mismo
puerto de la capa de acceso. En estaciones móviles la MAC puede ser aprendida
dinámicamente o ser añadida en una lista de direcciones que se esperan en ese
puerto. Los switches Catalyst de Cisco poseen una característica llamada
port-security que controla las direcciones MAC asignadas a cada puerto. Para
iniciar la configuración de seguridad de puertos en un switch se comienza con
el siguiente comando.
Switch(config-if)#switchport port-security
Hasta este punto ya tenemos nuestra red
operativa con las Vlans, ahora vamos a agregar seguridad a los puetos de los
Switch
Primero configuraremos el puerto FastEthernet
0/2 de nuestro Switch de servidores, nos vamos a modo de configuración en la
consola del Switch,
Enable
Configure
terminal
switchport
port-security mac-address sticky con este
comando configuramos el puerto para que aprenda la MAC del primer equipo que se
conecte al puerto, también podemos configurar la MAC de forma estática con el
siguiente comando:switchport port-security
mac-address (direccion mac)
switchport
port-security máximum 1 Este comando se configura
para indicar que solo una dirección MAC es permitida por el puerto, la cual fue
aprendida con el comando anterior, este aprendizaje tiene un tiempo de
caducidad, si el host deja de transmitir por un tiempo específico se olvida la
MAC y se aprende cuando el host vuelva a transmitir.
switchport
port-security violation shutdown (Este comando
permite configurar una opción para cuando se viole la configuración del comando
anterior, en este caso tenemos tres opciones:
Shutdown: el puerto automáticamente se pone en el estado errdisable, lo que hace dejarlo inoperable y tendrá que ser
habilitado manualmente o utilizando la recuperación de errdisable.
Restrict: el puerto permanente activo pero los paquetes desde las direcciones MAC que
están violando la restricción son eliminados. El switch continúa ejecutando el
temporizador de los paquetes que están violando la condición y puede enviar un
trap de SNMP a un servidor Syslog para alertar de lo que está ocurriendo.
Protect: el puerto sigue habilitado pero
los paquetes de las direcciones que están violando la condición son eliminados,
no queda ninguna constancia de lo que está aconteciendo en el puerto.
Procedemos a
configura los puertos TRONCALES
En el Switch
Multicapa configuraremos el puerto FastEthernet 0/1 y estas mismas
configuraciones la replicaremos a los demás puertos troncales,
Switchport trunk allowed vlan 10,20,30
Se agregan
tantas Vlans como tengamos o las que queramos que pasen por los puertos
troncales.
Los switch
utilizados en los ejemplos son:
1 Switch multicapa 3560
3 Switch de Capa 2 2960
Observación:
Algunos comandos pueden sufrir pequeñas variaciones, dependiendo del modelo del
Switch.
Carlos Palomo.
Analista II/ Desarrollo de Proyectos. Servicios de Proyectos y Consultoría SGSI 0526 |
No hay comentarios:
Publicar un comentario