VLAN

Switches Cisco
Laboratorio
Diseo de VLAN
Cisco Switch 2960
Configuracin de switches Cisco bajo Redes de rea Local para su
administracin utilizando VLAN.

Compilacin: Dr. Ricardo Carrera Hernndez

www.uv.mx
Lic. en Informtica Redes I

REDES DE REA LOCAL VIRTUALES

https://es.wikipedia.org/wiki/VLAN

Una VLAN, acrnimo de virtual LAN (Red de rea local virtual), es un mtodo para
crear redes lgicas independientes dentro de una misma red fsica. Varias VLAN pueden
coexistir en un nico conmutador fsico o en una nica red fsica. Son tiles para reducir el
tamao del dominio de difusin y ayudan en la administracin de la red, separando
segmentos lgicos de una red de rea local (los departamentos de una empresa, por
ejemplo) que no deberan intercambiar datos usando la red local (aunque podran hacerlo
a travs de un enrutador o un conmutador de capa 3 y 4).

Una VLAN consiste en dos o ms redes de computadoras que se comportan como si

estuviesen conectados al mismo conmutador, aunque se encuentren fsicamente
conectados a diferentes segmentos de una red de rea local (LAN).

Clasificacin
Aunque las ms habituales son las VLAN basadas en puertos (nivel 1), las redes de rea
local virtuales se pueden clasificar en cuatro tipos segn el nivel de la jerarqua OSI en el
que operen:

VLAN de nivel 1 (por puerto). Tambin conocida como port switching. Se

especifica qu puertos del switch pertenecen a la VLAN, los miembros de dicha
VLAN son los que se conecten a esos puertos. No permite la movilidad de los
usuarios, habra que reconfigurar las VLAN si el usuario se mueve fsicamente. Es la
ms comn.
VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en
funcin de su direccin MAC. Tiene la ventaja de que no hay que reconfigurar el
dispositivo de conmutacin si el usuario cambia su localizacin, es decir, se conecta
a otro puerto de ese u otro dispositivo. El principal inconveniente es que si hay
cientos de usuarios habra que asignar los miembros uno a uno.
VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el
contenido del campo tipo de protocolo de la trama MAC. Por ejemplo, se asociara
VLAN 1 al protocolo IPv4, VLAN 2 al protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4
a IPX...
VLAN de nivel 3 por direcciones de subred (subred virtual). La cabecera
de nivel 3 se utiliza para mapear la VLAN a la que pertenece. En este tipo de VLAN
son los paquetes, y no las estaciones, quienes pertenecen a la VLAN. Estaciones con
mltiples protocolos de red (nivel 3) estarn en mltiples VLAN.

!1
Lic. en Informtica Redes I

VLAN de niveles superiores. Se crea una VLAN para cada aplicacin: FTP,
flujos multimedia, correo electrnico, etc. La pertenencia a una VLAN puede
basarse en una combinacin de factores como puertos, direcciones MAC, subred,
hora del da, forma de acceso, condiciones de seguridad del equipo.

Protocolos
Durante todo el proceso de configuracin y funcionamiento de una VLAN es necesaria la
participacin de una serie de protocolos entre los que destacan el IEEE 802.1Q, STP y VTP
(cuyo equivalente IEEE es GVRP). El protocolo IEEE 802.1Q se encarga del etiquetado de
las tramas que es asociada inmediatamente con la informacin de la VLAN. El cometido
principal de Spanning Tree Protocol (STP) es evitar la aparicin de bucles lgicos para que
haya un slo camino entre dos nodos. VTP (VLAN Trunking Protocol) es un protocolo
propietario de Cisco que permite una gestin centralizada de todas las VLAN.

El protocolo de etiquetado IEEE 802.1Q es el ms comn para el etiquetado de las

VLAN. Antes de su introduccin existan varios protocolos propietarios, como el ISL
(Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN Trunk)
de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formato de trama similar a 802.3
(Ethernet) donde solo cambia el valor del campo Ethertype, que en las tramas 802.1Q vale
0x8100, y se aaden dos bytes para codificar la prioridad, el CFI y el VLAN ID. Este
protocolo es un estndar internacional y por lo dicho anteriormente es compatible con
bridges y switches sin capacidad de VLAN.

En los dispositivos Cisco, VTP (VLAN trunking protocol) se encarga de mantener la

coherencia de la configuracin VLAN por toda la red. VTP utiliza tramas de nivel 2 para
gestionar la creacin, borrado y renombrado de las VLAN en una red sincronizando todos
los dispositivos entre s y evitar tener que configurarlos uno a uno. Para eso hay que
establecer primero un dominio de administracin VTP. Un dominio VTP para una red es
un conjunto contiguo de switches unidos con enlaces trunk que tienen el mismo nombre
de dominio VTP.

Los switches pueden estar en uno de los siguientes modos: servidor, cliente o transparente.
Servidor es el modo por defecto, anuncia su configuracin al resto de equipos y se
sincroniza con otros servidores VTP. Un switch en modo cliente no puede modificar la
configuracin VLAN, simplemente sincroniza la configuracin sobre la base de la
informacin que le envan los servidores. Por ltimo, un switch est en modo transparente
cuando solo se puede configurar localmente pues ignora el contenido de los mensajes VTP.

VTP tambin permite podar (funcin VTP pruning), lo que significa dirigir trfico VLAN
especfico solo a los conmutadores que tienen puertos en la VLAN destino. Con lo que se
ahorra ancho de banda en los posiblemente saturados enlaces trunk.

!2
Lic. en Informtica Redes I

Uno de los peores problemas que puede presentarse para un Switch es cuando escucha la
misma direccin MAC (Medium Access Control) por dos interfaces fsicas diferentes, este
es un bucle que en principio, no sabra como resolver. Este problema si bien parece poco
probable que pueda ocurrir, en realidad en redes grandes al tener cientos o miles de cables
(muchos de ellos para redundancia), este hecho es tan sencillo como conectar el mismo
cable en diferentes patch pannels que cierran un lazo sobre el mismo dispositivo, y en la
realidad ocurre con cierta frecuencia, mayor, en la medida que ms grande sea la red LAN.
Tambin es un hecho concreto cuando el cableado se disea para poseer caminos
redundantes, justamente para incrementar la disponibilidad de la red.

Cuando fsicamente se cierra un bucle, la topologa pura de red Jerrquica deja de serlo
y se convierte en una red Malla. Para tratar este problema el protocolo Spanning Tree
crea una red Jerrquica lgica (rbol Lgico) sobre esta red Malla Fsica. Este
protocolo crea Puentes (bridges) de unin sobre estos enlaces y define a travs de
diferentes algoritmos que se pueden configurar, cul es el que tiene mayor prioridad, este
puente de mxima prioridad lo denomina Root Bridge (o Puente Raz) y ser el que
manda jerrquicamente las interfaces por las cules se separarn los diferentes dominios
de colisin. Todo el control de STP se realiza mediante tramas llamadas BPDU (Bridge
Protocol Data Unit) que son las que regulan los diferentes dominios de colisin . El
parmetro que define esta jerarqua es el BID (Bridge Identifier) que est compuesto por
el Bridge Priority + direccin MAC. El Bridge Priority es un valor configurable que por
defecto est asignado en 32768.
En general este protocolo se configura de forma automtica, y se basa en el orden de
encendido de los diferentes Switchs de la red, siendo el primero que se pone en
funcionamiento el que se auto designa Root Bridge, pero por supuesto se puede realizar
de forma manual.

Cada switch reemplaza los BID de raz ms alta por BID de raz ms baja en las BPDU.
Todos los switches que reciben las BPDU determinan en sus tablas que el switch que cuyo
valor de BID es el ms bajo ser su puente raz, y a su vez envan nuevas BPDU hacia sus
otras interfaces con un ID ms alto, incrementando el parmetro Root Path Cost
informando con esta nueva BPDU a todo dispositivo que est conectado fsicamente a l
cmo debe ir armndose este rbol . Si se desea configurar de forma manual, el
administrador de red puede establecer jerarqua que desee configurando la prioridad de
switch que sea Root Bridge en un valor ms pequeo que el del valor por defecto (32768,
todo valor debe ser mltiplo de 4096), lo que hace que este BID sea ms pequeo y a partir
de este root puede configurar la jerarqua o rbol si lo desea, o tambin al reconocer los
dems switch a este root, de forma automtica pueden generar el resto del rbol.

!3
Lic. en Informtica Redes I

En las grandes redes actuales, se suelen establecer importantes relaciones entre las VLANs
y el Core de las redes, donde el protocolo por excelencia suele ser MPLS (Multi Protocolo
Label Switching)

Gestin de la pertenencia a una VLAN

Las dos aproximaciones ms habituales para la asignacin de miembros de una VLAN son
las siguientes: VLAN estticas y VLAN dinmicas.

Las VLAN estticas tambin se denominan VLAN basadas en el puerto. Las asignaciones
en una VLAN esttica se crean mediante la asignacin de los puertos de un switch o
conmutador a dicha VLAN. Cuando un dispositivo entra en la red, automticamente asume
su pertenencia a la VLAN a la que ha sido asignado el puerto. Si el usuario cambia de
puerto de entrada y necesita acceder a la misma VLAN, el administrador de la red debe
cambiar manualmente la asignacin a la VLAN del nuevo puerto de conexin en el switch.

En ella se crean unidades virtuales no estticas en las que se guardan los archivos y
componentes del sistema de archivos mundial

En las VLAN dinmicas, la asignacin se realiza mediante paquetes de software tales

como el CiscoWorks 2000. Con el VMPS (acrnimo en ingls de VLAN Management
Policy Server o Servidor de Gestin de Directivas de la VLAN), el administrador de la red
puede asignar los puertos que pertenecen a una VLAN de manera automtica basndose en
informacin tal como la direccin MAC del dispositivo que se conecta al puerto o el
nombre de usuario utilizado para acceder al dispositivo. En este procedimiento, el
dispositivo que accede a la red, hace una consulta a la base de datos de miembros de la
VLAN. Se puede consultar el software FreeNAC para ver un ejemplo de implementacin
de un servidor VMPS.

VLAN basadas en el puerto de conexin

Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es
independiente del usuario o dispositivo conectado en el puerto. Esto significa que todos los
usuarios que se conectan al puerto sern miembros de la misma VLAN. Habitualmente es
el administrador de la red el que realiza las asignaciones a la VLAN. Despus de que un
puerto ha sido asignado a una VLAN, a travs de ese puerto no se puede enviar ni recibir
datos desde dispositivos incluidos en otra VLAN sin la intervencin de algn dispositivo de
capa 3.

Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las caractersticas
VLAN: puertos de acceso y puertos trunk. Un puerto de acceso (switchport mode
access) pertenece nicamente a una VLAN asignada de forma esttica (VLAN nativa). La
configuracin predeterminada suele ser que todos los puertos sean de acceso de la VLAN1.
!4
Lic. en Informtica Redes I

En cambio, un puerto trunk (switchport mode trunk) puede ser miembro de mltiples
VLAN. Por defecto es miembro de todas, pero la lista de las VLAN permitidas es
configurable.

El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la

existencia de la VLAN a la que pertenece dicho puerto. El dispositivo simplemente sabe
que es miembro de una subred y que puede ser capaz de hablar con otros miembros de la
subred simplemente enviando informacin al segmento cableado. El switch es responsable
de identificar que la informacin viene de una VLAN determinada y de asegurarse de que
esa informacin llega a todos los dems miembros de la VLAN. El switch tambin se
asegura de que el resto de puertos que no estn en dicha VLAN no reciben dicha
informacin.

Este planteamiento es sencillo, rpido y fcil de administrar, dado que no hay complejas
tablas en las que mirar para configurar la segmentacin de la VLAN. Si la asociacin de
puerto a VLAN se hace con un ASIC (acrnimo en ingls de Application-Specific
Integrated Circuit o Circuito integrado para una aplicacin especfica), el rendimiento es
muy bueno. Un ASIC permite que el mapeo de puerto a VLAN sea hecho a nivel hardware.

Diseo de las VLAN

Los primeros diseadores de redes solan configurar las VLAN con el objetivo de reducir el
tamao del dominio de colisin en un segmento Ethernet y mejorar su rendimiento.
Cuando los switches lograron esto, porque cada puerto es un dominio de colisin, su
prioridad fue reducir el tamao del dominio de difusin. Ya que, si aumenta el nmero de
terminales, aumenta el trfico difusin y el consumo de CPU por procesado de trfico
broadcast no deseado. Una de las maneras ms eficientes de lograr reducir el domino de
difusin es con la divisin de una red grande en varias VLAN.

Actualmente, las redes institucionales y corporativas modernas suelen estar configuradas

de forma jerrquica dividindose en varios grupos de trabajo. Razones de seguridad y
confidencialidad aconsejan tambin limitar el mbito del trfico de difusin para que un
usuario no autorizado no pueda acceder a recursos o a informacin que no le corresponde.
Por ejemplo, la red institucional de un campus universitario suele separar los usuarios en
tres grupos: alumnos, profesores y administracin. Cada uno de estos grupos constituye un
dominio de difusin, una VLAN, y se suele corresponder asimismo con una subred IP
diferente. De esta manera la comunicacin entre miembros del mismo grupo se puede
hacer en nivel 2, y los grupos estn aislados entre s, slo se pueden comunicar a travs de
un router.

La definicin de mltiples VLAN y el uso de enlaces trunk, frente a las redes LAN
interconectadas con un router, es una solucin escalable. Si se deciden crear nuevos
grupos se pueden acomodar fcilmente las nuevas VLAN haciendo una redistribucin de
!5
Lic. en Informtica Redes I

los puertos de los switches. Adems, la pertenencia de un miembro de la comunidad

universitaria a una VLAN es independiente de su ubicacin fsica. E incluso se puede lograr
que un equipo pertenezca a varias VLAN (mediante el uso de una tarjeta de red que
soporte trunk).

!6
Lic. en Informtica Redes I

LABORATORIO VLAN

Agenda

1. Crear VLAN
2. Asignar puertos RJ45 a una VLAN
3. Verificar la configuracin de la VLAN
4. Configurar troncales 802.1Q entre dos switches
5. Configurar VLAN Nativa
6. Capturar Frames con etiqueta 802.1Q
7. Analizar trfico entre VLAN

El esquema muestra la red que se disear para el laboratorio.

Switch 1

Switch 2 Switch 3

VLAN 10 Oficinas

VLAN 20 Estudiantes

VLAN 30 Pblico

!7
Lic. en Informtica Redes I

La topologa y las caractersticas son las siguientes:

2950 24 ptos.

Fa0/1 Fa0/2
sw1

Fa0/4 192.168.1.21
Fa0/4
VLAN de Oficinas 192.168.1.11

Fa0/11 Fa0/2
Fa0/1
Fa0/11
192.168.2.22
Fa0/18 sw2 sw3
192.168.2.12
2950 24 ptos. Fa0/18
2950 24 ptos.
VLAN de Estudiantes
192.168.3.23
192.168.3.13

VLAN del Pblico

!8
Lic. en Informtica Redes I

Configuracin inicial del Switch 1

1. Dar nombre al switch, crear banner y asignar contraseas

#hostname sw1
#banner motd ^*** Cisco Switch 2950 sw1 ***^

Contrasea de modo privilegiado

#enable secret cisco

#no ip domain-lookup

Contrasea acceso consola

#line console 0
#passowrd cisco
#login

Contrasea acceso Telnet

#line vty o 15
#password cisco
#login
#end

#write
#reload

Revisar los puertos asignados a VLAN

#show vlan brief

2. Crear VLANs y asignarles nombres

#config term
#vlan 10
#name oficina
#vlan 20
#name estudiante
#vlan 30
!9
Lic. en Informtica Redes I

#name publico
#vlan 99
#name admin
#end
#show vlan brief

3. Asignar puertos RJ45 de acceso a VLAN

#config term
#interface range Fa0/4-10
#switchport access vlan 10
#interface range Fa0/11-17
#switchport access vlan 20
#interface range Fa0/18-24
#switchport access vlan 30
#end
#show vlan brief

4. Mostrar la configuracin completa y guardar

#show running-config
#copy running-config startup-config

5. Realiza los mismos pasos para los switch2 y switch3

6. Habilitacin de los puertos troncales y conexin de los switches

Switch 1

#config term
#int Fa0/1
#switchport mode access
#no shutdown

Switch 2

#config term
#int Fa0/1
#switchport mode access
#no shutdown

!10
Lic. en Informtica Redes I

Switch 3

#config term
#int Fa0/2
#switchport mode access
#no shutdown

Switch 1

#config term
#int Fa0/2
#switchport mode access
#no shutdown

7. Conectar 3 PCs a VLAN 10

Conectar PC1 a Switch2 en Fa0/4

Direccin IP: 192.168.1.11

Conectar PC2 a Switch2 en Fa0/5

Direccin IP: 192.168.1.12

Conectar PC3 a Switch3 en Fa0/4

Direccin IP: 192.168.1.21

8. Intentar comunicar a los nodos del switch2

Conecta una nueva PC al puerto 11 del Switch2, con IP 192.168.1.45 y explica el

resultado al enviar un mensaje de este PC al PC1.

9. Intentar comunicar a los nodos de los diferentes switches

Enva un mensaje de PC2 del Switch2 a PC3 que se encuentra en Switch3.
Explica que sucede: _____________________________________________
___________________________________________________________

!11
Lic. en Informtica Redes I

10. Configuracin de puertos troncales

Configurar puertos troncales 802.1Q y VLAN nativa en cada switch

#int Fa0/1
#switchport mode trunk
#switchport trunk native vlan 99

#int Fa0/2
#switchport mode trunk
#switchport trunk native vlan 99

#int Fa0/3
#switchport mode trunk
#switchport trunk native vlan 99

#end

Verificar los puertos troncales en cada switch

#show interface switchport

#show interface trunk (No funciona en Packet Tracer)

11. Enva un mensaje de PC2 del Switch2 a PC3 que se encuentra en Switch3
Explica que sucede: ____________________________________________
__________________________________________________________

12. Asignar IP al Switch1 para razones de administracin.

#config term
#int vlan 99
#ip address 192.168.99.11 255.255.255.0
#no shutdown
#end

13. Asignar IP al Switch2 para razones de administracin.

#config term
#int vlan 99
#ip address 192.168.99.12 255.255.255.0

!12
Lic. en Informtica Redes I

#no shutdown
#end

13. Asignar IP al Switch3 para razones de administracin.

#config term
#int vlan 99
#ip address 192.168.99.13 255.255.255.0
#no shutdown
#end
14. Verificar la comunicacin entre los switches a travs de las interfaces
configuradas (ping telnet)

Conexin de una PC para fines administrativos en Switch2

Conexin de una PC para fines administrativos con conexin Telnet hacia los switches
IP de PC
- 192.168.99.45/24
- Conexin al puerto Fa0/3 del switch2

Comandos en el switch para el puerto Fa0/3

#interface Fa0/3
#switchport access vlan 99
#switchport trunk native vlan 99
#switchport mode access

Dr. Ricardo Carrera Hernndez

Ixtaczoquitln, Ver.
2017

!13