VLANs y Access Port

VLANs y Access Port

- in Enterprise Infrastructure
4725
0
The video is in Spanish only
Virtual LAN – VLAN
Una VLAN define un dominio de broadcast, nos ayudan a crear redes lógicas dentro de un mismo switch con dominios de broadcast más pequeños, es decir:

VLAN = Subnet = Broadcast Domain

Un switch de capa 2 nos permite la comunicación entre dispositivos de la misma vlan, para tener comunicación entre vlans diferentes necesitamos un dispositivo de capa 3 (router, switch multicapa, etc.) para poder intercomunicar las vlans. Los dispositivos de capa 3 no reenvían broadcast.

Las vlans nos permiten segmentar nuestra red de acuerdo a patrones de tráfico, tipos de aplicaciones, agrupación de usuarios, mejora la administración y el t-shoot por mencionar algunos.
 
Tipos de VLAN
  • Rango normal (id 1-1005, incluyendo las de uso especial, almacenadas en vlan.dat)
  • Extended range (id 1006-4094) - El VTP v1 y v2 no las propaga y estas se almacenan en el running-config. Solo el VTP v3 puede propagarlas y debe estar en modo transparente).
  • • Uso especial (1,1002-1005). automáticamente se crean y se reservan para usos especiales.
La vlan 1 es la vlan por default para todos los puertos del switch, el rango de la 1002 a 1005 están reservadas para funciones heredadas relacionadas con Token Ring y FDDI, estas vlans no pueden sr eliminadas.
 
Para crear una vlan utilizamos los siguientes comandos desde el modo de configuración global:
jmcristobal# configure terminal
jmcristobal(config)# vlan vlan-id
jmcristobal(config-vlan)# name nombre-de-vlan

! ### Example: configuration of vlan 10 and 20 ###

jmcristobal(config)#vlan 10
jmcristobal(config-vlan)#name Empleados
jmcristobal(config-vlan)#vlan 20
jmcristobal(config-vlan)#name Visitantes
jmcristobal(config-vlan)#end
jmcristobal(config)#

El nombre de la vlan es opcional, si no asignamos ningún nombre a la vlan, dicho nombre será rellenado con ceros, por ejemplo para la VLAN 20 sería VLAN0020. El nombre de la vlan puede ser de hasta 32 caracteres.

Validamos que se hayan creado las vlans en el switch:

jmcristobal#sh vlan brief 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/0, Gi0/1, Gi0/2, Gi0/3
                                                Gi1/3
10   Empleados                        active    Gi1/0, Gi1/1
20   Visitantes                       active    Gi1/2
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 
jmcristobal#

Al crear una vlan por default su estado operacional es activo, la vlans se pueden deshabilitar localmente en un switch o de manera global en todo el dominio VTP, veamos cuales son esos comandos.

Deshabilitar/Habilitar una vlan en todo el dominio VTP:

jmcristobal(config)#  vlan 50  
jmcristobal(config-vlan)#  state suspend | active

Deshabilitar/Habilitar la vlan localmente en un switch:

jmcristobal(config)#  vlan 50  
jmcristobal(config-vlan)# [no] shutdown

Una vez que creamos nuestras vlans a utilizar ahora seguimos con la asiganación de ellas a cada uno de los puertos del switch.

Access Port
Los puertos de acceso solo se asignan a una vlan y están orientados comúnmente a la conexión de usuarios finales o servidores. La asignación de los puertos de acceso puede darse de dos formas:
  •  Static
  • Dynamic
 
Nuestro caso de estudio lo vamos a enfocar en la asignación de los puertos de acceso de manera estática, al final hablaremos un poco sobre la asignación dinámica.
 
Asignación estática de puertos de acceso
 
Asignación estática de puertos de acceso
jmcristobal# configure terminal
jmcristobal(config)# interface interface-id
jmcristobal(config-vlan)# switchport mode access
jmcristobal(config-vlan)# switchport access vlan vlan-id

! Example: Assigning port g1/2 to vlan 20

jmcristobal(config)#inter gig1/2
jmcristobal(config-if)#switchport mode access 
jmcristobal(config-if)#switchport access vlan 20

En switches multicapa es necesario especificar que el puerto trabajará en capa dos antes de asignarlo como un puerto en modo acceso, de caso contrario recibiremos un mensaje como el siguiente:

jmcristobal(config-if)#switchport mode acces
Command rejected: Et1/5 not a switching port.

Para indicarle al switch que el puerto trabajará en capa dos sólo es cuestión de introducir el comando switchport antes de ponerlo en modo acceso, ejemplo:

jmcristobal(config)#interface gig1/5
jmcristobal(config-if)#switchport
jmcristobal(config-if)#switchport mode access 
jmcristobal(config-if)#switchport access vlan 20

Nota: cuando se asigna un puerto de acceso a una VLAN, en caso de que la VLAN no exista esta se crea en el archivo vlan.dat con su nombre por default VLANxxxx. Este caso no aplica cuando se permite un tag de vlan en un troncal, en este escenario no se crea la vlan.

 
Asignación dinámica de puertos de acceso
  • Las VLAN dinámicas proporcionan membership basado en la dirección MAC del dispositivo de usuario final
  • Utilizan una base de datos de un VLAN Membership Policy Server (VMPS)
  • En la base de datos las direcciones MAC del usuario deben de estar asociadas a una vlan.
  • Permiten gran flexibilidad y movilidad para los usuarios finales
  • Requiere mas trabajo administrativo - agregar equipos nuevos, modificar mac de usuarios finales, etc.
  • Requiere que el trunking y 802.1x estén apagados

Mas información:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_3750x_3560x_cg/b_1524e_consolidated_3750x_3560x_cg_chapter_010100.html

 

Facebook Comments

You may also like

Cómo instalar un servidor SSH en Linux 

1.- Install with apt-get command on Ubuntu: sudo