Embed Size (px)
Citation preview
Unidad de aprendizaje: Administración de redes De Area Local Virtuales
R.A. 3.1: Crea redes de área local virtual (vlan) y enlaces troncales con base a la asignación de los puertos de acceso en los switches de una red.
a) Identificación de elementos de las VLAN
(0) BENEFICIOS DE UNA VLAN.
Seguridad. A los grupos que tienen datos sensibles se les separa del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial.
Reducción de costos. El ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y usos más eficientes de enlaces y ancho de banda existente.
Mejor rendimiento. La división de las redes planas de capa 2 en múltiples grupos lógicos de trabajo (dominios broadcats) reduce el tráficoinnecesario en la red y potencia en el rendimiento.
Mitigación de la tormenta de broatcast. La división de una red en las VLAN reduce el número de dispositivos que pueden participar en una tormenta de broadcast.
Mayor eficiencia del personal de TI. Las VLAN facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN.
Administración de aplicación o de proyectos más simples. Las VLAN agregan dispositivos de red y usuarios para admitir los requerimientos geográficos o comerciales.
RANGOS DE ID DE LA VLAN.
VLAN DE RANGO NORMAL.
Los administradores de red solo pueden cambiar la configuración de VLANs en modo servidor. Después de que se realiza algún cambio, estos son distribuidos a todos los demás dispositivos en el dominio VTP a través de los enlaces que permiten el Trunk. Los dispositivos que operan en modo transparente no aplican las configuraciones VLAN que reciben ,ni envían las suyas a otros dispositivos , sin embargo los dispositivos en modo transparente que usan la versión 2 del protocolo VTP enviaran la información que reciban (publicaciones VTP) a otros dispositivos a los que estén conectados .
VLAN DE RANGO EXTENDIDO.
Una VLAN (acrónimo de virtual LAN) es una subred IP separada de manera lógica, las VLAN permiten que redes IP Y subredes múltiples existan en la misma red conmutada, son útilespara reducir el tamaño del broatcast y ayudan en la administración de la red separando segmentos lógicos de una red de área local (como departamentos para
una empresa,oficina,universidades, etc.) que no deberían intercambiar datos usando la red local. El protocolo de enlace troncal de la VLAN VTP (que lo veremos más adelante) solo aprende las VLAN de rango normal y no las de rango extendido.
TIPOS DE VLAN.
VLAN DE DATOS.
Es una VLAN configurada para solo tráfico de datos generado por el usuario. Una VLAN podría enviar tráfico basado en voz o trafico utilizado para administrar el switch , pero este tráfico no sería parte de una VLAN de datos. Es una practica común separar el trafico de voz y de administración del tráfico de datos. La importancia de separar los datos del usuario del tráfico de voz y del control de administración del swicht se destaca mediante el uso de un término especifico para identificar las VLAN que solo pueden enviar datos del usuario: una “VLAN de datos”. A veces, a una VLAN de datos se la denomina VLAN de usuario.
VLAN PRETERMINADA.
Todos los puertos de switch se convierten en un miembro de la VLAN predeterminada luego del arranque inicial del switch. Hacer participar a todos los puertos switch de la VLAN predeterminada los hace a todos parte del mismo dominio de broatcast. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switches de Cisco es la VLAN 1. Esto implica configurar todos los puertos en el switch para que se asocien con una VLAN predeterminada que no sea VLAN 1.
- VLAN NATIVA.
Una VLAN nativa esta asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1 Q admite el trafico que llega de muchas VLAN (TRAFICO ETIQUETADO) como también el trafico que también el trafico que no llega de una VLAN (TRAFICO NO ETIQUETADO). El puerto de enlace troncal 802.1Q coloca el trafico no etiquetado en la VLAN nativa. En la figura , la VLAN nativa es la VLAN 99. EL Trafico no etiquetado lo genera una computadora conectada a un puerto se switch que se configura con la VLAN nativa.
- VLAN DE ADMINISTRACION.
Una VLAN de administración es cualquier VLAN que usted configura para acceder a las capacidades de administración de un switch .Se asigna una dirección IP y una máscara de subred a la VLAN de administración. Se puede manejar un switch mediante HTTP, Telnet, SSH o SNMP. Debido a que la configuración lista para usar de un switch de Cisco tiene una VLAN 1 como VLAN predeterminada, puede notar que la VLAN 1 sería una mala opción como VLAN de administración; la VLAN 1 serviría como VLAN de administración si no definió proactivamente una VLAN única para que sirva como VLAN.
- VLAN DE VOZ.
Es fácil apreciar por que se necesita una VLAN separada para admitir la voz sobre IP (VolIP). Imagine que está recibiendo una llamada de urgencia y de repente de calidad de la transmisión se distorsiona tanto que no puede comprender lo que la persona esta diciendo la persona que llama. El tráfico de VolIP requiere:
.Ancho de banda garantizado para asegurar la calidad de la voz.
.prioridad de la transmisión sobre los tipos de tráfico de la red.
.capacidad para ser enrutado en áreas congestionadas de la red.
.Demora de menos 150 milisegundos (ms) a través de la red.
-MODOS DE MEMBRESIA DE LOS PUERTOS SWITCH DE VLAN.
Cuando configura una VLAN , debe asignársele un numero ID y se le puede dar un nombre si lo desea. El propósito de las implementaciones de la VLAN es asociar con criterio los puertos con las VLAN particulares. Se configura el puerto para enviar una trama a una VLAN específica. Como se mencionoanteriormente, el usuario puede configurar una VLAN en el modo de voz para admitir tráfico de datos y de voz que llega desde un teléfono IP de Cisco. El usuario puede configurar un puerto para que pertenezca a una VLAN mediante la asignación de un modo membrecíaque especifique el tipo de tráfico que envía el puerto y a la VLAN que pueden pertenecer.
-ENLACE TRONCAL.
Es un enlace punto a punto, entre dos dispositivos de red ,que transporta mas de una VLAN. Un enlace troncal de VLAN le permite extender las VLAN a través de toda una red. Cisco admite IEEE 802.1Q para la coordinación de enlaces troncales e interfaces Fast Ethernet y Gigabit Ethernet. Más adelante en esta sección, aprenderá acerca de 802.1Q.Un enlace troncal de VLAN especifica,si no que es un conducto para las VLAN entre SWICHES y ROUTERS.
-ETIQUETADO DE TRAMA 802.1Q
IEEE 802.1Q
El protocolo IEEE 802.1Q, también conocido como dot1Q, fue un proyecto del grupo
de trabajo 802 de la IEEE para desarrollar un mecanismo que permita a múltiples
redes compartir de forma transparente el mismo medio físico, sin problemas de
interferencia entre ellas (Trunking). Es también el nombre actual del estándar
establecido en este proyecto y se usa para definir el protocolo de encapsulamiento
usado para implementar este mecanismo en redes Ethernet. Todos los dispositivos de
interconexión que soportan VLAN deben seguir la norma IEEE 802.1Q que especifica
con detalle el funcionamiento y administración de redes virtuales.
Formato de la trama
802.1Q en realidad no encapsula la trama original sino que añade 4 bytes al
encabezado Ethernet original. El valor del campo EtherType se cambia a 0x8100 para
señalar el cambio en el formato de la trama.
Debido a que con el cambio del encabezado se cambia la trama, 802.1Q fuerza a un
recálculo del campo "FCS".
== VLAN nativas ==//// No se etiquetan con el ID de VLAN cuando se envían por el
trunk. Y en el otro lado, si a un puerto llega una trama sin etiquetar, la trama se
considera perteneciente a la VLAN nativa de ese puerto. Este modo de funcionamiento
fue implementado para asegurar la interoperabilidad con antiguos dispositivos que no
entendían 802.1Q.
La VLAN nativa es la vlan a la que pertenecía un puerto en un switch antes de ser
configurado como trunk. Sólo se puede tener una VLAN nativa por puerto.
Para establecer un trunking 802.1q a ambos lados debemos tener la misma VLAN
nativa porque la encapsulación todavía no se ha establecido y los dos switches deben
hablar sobre un link sin encapsulación (usan la native VLAN) para ponerse de acuerdo
en estos parámetros. En los equipos de Cisco Systems la VLAN nativa por defecto es
la VLAN 1. Por la VLAN 1 además de datos, se manda información sobre PAgP, CDP,
VTP.
Durante el diseño se recomienda
La VLAN nativa no debe ser la de gestión.
Cambiar la VLAN nativa de la 1 a cualquier otra como medida de seguridad.
Todos los switches en la misma VLAN nativa.
Usuarios y servidores en sus respectivas VLANs.
El tráfico entre switches debe ser el único que no se encapsule en enlaces
trunk. El resto del tráfico, incluyendo la VLAN de gestión debe ir encapsulado
por los trunks. Si no estamos encapsulando cualquiera puede conectar un
equipo que no hable 802.1q (switches y hubs) y funcionará sin nuestro control.
-VLAN NATIVAS Y ENLACE TRONCAL 802.1Q
VLAN nativas y enlace troncal 802.1Q
Ahora que el usuario sabe más acerca de cómo un switch etiqueta una trama con la VLAN adecuada, es momento de explorar la manera en que la VLAN nativa admite el switch en el manejo de tramas etiquetadas y sin etiquetar que llegan en un puerto de enlace troncal 802.1Q.
Tramas etiquetadas en la VLAN nativa
Algunos dispositivos que admiten enlaces troncales etiquetan la VLAN nativa como comportamiento predeterminado. El tráfico de control enviado en la VLAN nativa debe estar sin etiquetar. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada en la VLAN nativa, éste descarta la trama. Como consecuencia, al configurar un puerto de switch en un switch Cisco, es necesario identificar estos dispositivos y configurarlos de manera que no envíen tramas etiquetadas en la VLAN nativa. Los dispositivos de otros proveedores que admiten tramas etiquetadas en la VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.
Tramas sin etiquetar en la VLAN nativa
Cuando un puerto de enlace troncal de switch Cisco recibe tramas sin etiquetar, éste envía esas tramas a la VLAN nativa. Como debe recordar, la VLAN nativa predeterminada es la VLAN 1. Al configurar un puerto de enlace troncal 802.1Q, se asigna el valor del ID de la VLAN nativa al ID de la VLAN de puerto predeterminado (PVID). Todo el tráfico sin etiquetar que ingresa o sale del puerto 802.1Q se envía en base al valor del PVID. Por ejemplo: si la VLAN 99 se configura como la VLAN nativa, el PVID es 99 y todo el tráfico sin etiquetar se envía a la VLAN 99. Si la VLAN nativa no ha sido configurada nuevamente, el valor de PVID se configura para la VLAN 1.
En este ejemplo, la VLAN 99 se configura como VLAN nativa en el puerto F0/1 en el switch S1. Este ejemplo muestra cómo volver a configurar la VLAN nativa desde su configuración predeterminada de la VLAN 1.
Comenzando en el modo EXEC privilegiado, la figura describe la manera de configurar la VLAN nativa en el puerto F0/1 en el switch S1 como un enlace troncal IEEE 802.1Q con la VLAN 99 nativa.
Al utilizar el comando show interfaces interface-id switchport puede verificar rápidamente si ha vuelto a configurar la VLAN nativa desde la VLAN 1 a la VLAN 99 de manera correcta. El resultado resaltado en la captura de pantalla indica que la configuración fue un éxito.
-PUERTO DE ACCESO EN LOS SWITCH.
Configuración de Puertos en Switch
Troncales
Switch_2950(config)#interface fastEthernet 0/1Switch_2950(config-if)#switchport mode [access/multi/trunk]Switch_2950(config-if)#switchport mode trunk
Cambia el modo del puerto de acceso a troncal, para permitir su operación como puerto troncal.
Switch_2950(config-if)#switchport trunk encapsulation [isl/dot1q]Configura el puerto troncal para utilizar encapsulación isl u 802.1q.
Switch_2950(config-if)#switchport mode multiCambia el modo del puerto de acceso a multi-VLAN, para permitir el tráfico de varias VLANs por este puerto. Se trata de un puerto que participa de múltiples VLANs, no de un puerto troncal.
Switch_2950(config-if)#switchport multi vlan [#],[#],[#]Asigna el puerto múltiple a las VLANs que se enumeran.
Switch_2950#show interface fastEthernet 0/1 switchportPermiteverificar el estado de unpuertotroncal.
Switch_2950#show interface trunk
Acceso
Switch_2950(config)#interface fastethernet 0/21Switch_2950(config)#switchportmodeaccess
Cambia el modo del puerto a de accesoSwitch_2950(config)#spanning-treeportfast
Sólo permitir PortFast en los puertos conectados solo a un host.Switch_2950#show interface fastEthernet 0/1 switchport
Permite verificar el estado de un Puerto.
-PUERTO DE ENLACE TRONCAL EN LOS SWITCH.
Como configurar un enlace troncal entre SWITCHESSWITNCH que utilizan el protocolo IEEE 802.1QUn puerto troncal es un enlace punto a punto que envía el tráfico de forma predeterminada de las VLAN DE RANGO NORMAL (entre la VLAN 1 y VLAN 1001) que se encuentren configuradas en nuestros SWITCHES , si estamos utilizando en este enlace troncal el protocolo IEEE 802.1Q, debemos de tener en cuenta que la VLAN nativa en ambos extremos debe de ser la misma para evitar que se generen Loops del protocolo Spanning-TreeProtocol (STP).
Tener en cuenta que todos los puertos de manera predeterminada se encuentran en modo dynamicdesirable, con lo cual si conectamos otro SWITCH y su puerto se encuentra en modo trunk, desirable o auto, este enlace se convertirá en un troncal. Como medida de seguridad todos los puertos deben de estar configurados en modo Access y apagados y con la seguridad más restrictiva en su configuración.
Comandos a utilizar:Los comandos están de color Azul y los argumentos de color marrón.
SW_CUBA (config)# interface fastethernet 5/1 (interfaz donde se va crear el enlace troncal).SW_CUBA (config-if)# switchportmodetrunk (para configurar el puerto como enlace troncal)SW_CUBA (config-if)# switchporttrunknativevlan vlan id (Especificaremos otra VLAN en el rango de 1 a 1001 que se encargara de enviar y recibir el tráfico sin etiquetar en el puerto troncal con el protocolo IEEE802.1Q.)SW_CUBA (config-if)#do copyrunning-configstartup-config (guardaremos la configuración.)Ejemplo:Teniendo la siguiente topología.
Consiste en dos SWITCHES que ya tienen configuradas las VLANs y nosotros tendremos que conectarles un enlace troncal. Utilizan el protocolo IEEE802.1Q
Comenzamos configurando SW_HABANA (interface Fa5/1) y SW_VARADERO (interface Fa5/1). En este caso las interfaces de ambos equipos coinciden pero no siempre será así.
Configurando la interface Fa5/1 del SW_HABANASW_ HABANA > enable (para cambiar a de modo usuario a modo privilegiado)SW_ HABANA # configure terminal (para entrar al modo de configuración global)SW_ HABANA (config)# interface fastethernet 5/1SW_ HABANA (config-if)# switchport mode trunkSW_ HABANA (config-if)# switchport trunk native vlan 50SW_ HABANA(config-if)#do copyrunning-configstartup-config(guardaremos la configuración.)Desde el modo privilegiado podremos verificar con el comandoshowrunning-config si configuramos el en lance troncal (trunk)SW_ HABANA # show running-configinterface FastEthernet5/1
switchport trunk native vlan 50
switchport mode trunk
Configurando la interface Fa5/1 del SW_ VARADEROSW_ VARADERO > enable (para cambiar a de modo usuario a modo privilegiado)SW_ VARADERO # configure terminal (para entrar al modo de configuración global)SW_ VARADERO (config)# interface fastethernet 5/1SW_ VARADERO (config-if)# switchport mode trunkSW_ VARADERO (config-if)# switchport trunk native vlan 50SW_ VARADERO (config-if)#do copyrunning-configstartup-config(guardaremos la configuración.)Desde el modo privilegiado podremos verificar con el comando show running-config si configuramos el en lance troncal (trunk)
SW_ VARADERO # show running-configinterface FastEthernet5/1
switchport trunk native vlan 50
switchport mode trunk
Con esta configuración ya tendremos el enlace troncal (trunk) configurado entre el SW_HABANA y SW_VARADERO.
D) CONFIGURACION DE ENLACE TRONCAL.
- VERIFICACION DE LA CONFIGURACION DEL ENLACE TRONCAL
Configuración de un enlace troncal
Configuración de un enlace troncal 802.1Q
Para configurar un enlace troncal en un puerto de switch, utilice el comando switchportmodetrunk. Cuando ingresa al modo enlace troncal, la interfaz cambia al modo permanente de enlace troncal y el puerto ingresa a una negociación de DTP para convertir el vínculo a un vínculo de enlace troncal, por más que la interfaz que la conecta no acepte cambiar. En este curso configurará un enlace troncal utilizando únicamente el comando switchportmodetrunk. En la figura se muestra la sintaxis de comando IOS de Cisco para especificar una VLAN nativa diferente a la VLAN 1. En el ejemplo, el usuario configura la VLAN 99 como la VLAN nativa. Se muestra la sintaxis de comando utilizada para admitir una lista de las VLAN en el enlace troncal. En este puerto de enlace troncal, admita las VLAN 10, 20 y 30.
El usuario ya conoce esta topología. Las VLAN 10, 20 y 30 admitirán las computadoras del Cuerpo Docente, del Estudiante y del Invitado : PC1, PC2 y PC3. El puerto F0/1 en el switch S1 se configura como un puerto de enlace troncal para admitir las VLAN 10, 20 y 30. La VLAN 99 se configura como la VLAN nativa.
El ejemplo configura al puerto F0/1 en el switch S1 como puerto de enlace troncal. Éste vuelve a configurar la VLAN nativa como VLAN 99 y agrega las VLAN 10, 20 y 30 como las VLAN admitidas en el puerto F0/1.
Verificación de la configuración del enlace troncal
La figura muestra la configuración del puerto de switch F0/1 en el switch S1. El comando utilizado es el comando show interfaces interface-ID switchport.
La primera área resaltada muestra que el puerto F0/1 tiene el modo administrativo establecido en Enlace Troncal. El puerto se encuentra en modo de enlace troncal. La siguiente área resaltada verifica que la VLAN nativa sea la VLAN 99, la VLAN de administración. En la parte inferior del resultado, la última área resaltada muestra que las VLAN del enlace troncal habilitadas son las VLAN 10, 20 y 30.
-ADMINISTRACION DE UNA CONFIGURACION DE ENLACE TRONCAL.
Administración de una configuración de enlace troncal
En la figura, se muestran los comandos para restablecer las VLAN admitidas y la VLAN nativa del enlace troncal al estado predeterminado. También se muestra el comando para restablecer el puerto de switch a un puerto de acceso y, en efecto, eliminar el puerto de enlace troncal.
En la figura, los comandos utilizados para restablecer todas las características de enlace troncal de una interfaz de enlace troncal a las configuraciones predeterminadas, están resaltados en el resultado de muestra. El comando show interfaces f0/1 switchport revela que el enlace troncal se ha reconfigurado a un estado predeterminado.
El resultado de la figura muestra los comandos utilizados para eliminar la característica de enlace troncal del puerto de switch F0/1 en el switch S1. El comando show interfaces f0/1 switchport revela que la interfaz F0/1 está ahora en modo de acceso estático.
e) CONFIGURACION DE ENRUTAMIENTO ENTRE VLAN.-CONFIGURACION DE PUERTO DE ENLACE TRONCAL EN EL SWITCH.Enlace troncal entre Switches4MAR
Como configurar un enlace troncal entre SWITCHESSWITNCH que utilizan el protocolo IEEE 802.1QUn puerto troncal es un enlace punto a punto que envía el tráfico de forma predeterminada de las VLAN DE RANGO NORMAL (entre la VLAN 1 y VLAN 1001) que se encuentren configuradas en nuestros SWITCHES , si estamos utilizando en este enlace troncal el protocolo IEEE 802.1Q, debemos de tener en cuenta que la VLAN nativa en ambos extremos debe de ser la misma para evitar que se generen Loops del protocolo Spanning-TreeProtocol (STP).
Tener en cuenta que todos los puertos de manera predeterminada se encuentran en modo dynamicdesirable, con lo cual si conectamos otro SWITCH y su puerto se encuentra en modo trunk, desirable o auto, este enlace se convertirá en un troncal. Como medida de seguridad todos los puertos deben de estar configurados en modo Access y apagados y con la seguridad más restrictiva en su configuración.
-CONFIGURACION DE INTERFAZ DE FAS ETHERNET.
CONFIGURAR INTERFACES ETHERNET ó FAST ETHERNET
RouterPruebas>enableRouterPruebas# config terminalRouterPruebas(config)# interface fastethernet 0/0 * (ingresa al Submodo de Configuración de Interfaz)RouterPruebas(config-if)# ipaddress 192.168.0.1 255.255.255.0 (configura la IP en la interfaz)RouterPruebas(config-if)# no shutdown (levanta la interfaz)RouterPruebas(config-if)# descriptionlan (asigna un nombre a la interfaz)
RouterPruebas(config-if)# exitRouterPruebas(config)#
* Tener en cuenta que la interfaz puede tener diferenstes nombres como Ethernet o FastEtherner u otros tipos y que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router.
CONFIGURAR INTERFACES SERIAL COMO DTE
RouterPrueba>enableRouterPrueba# config terminalRouterPrueba(config)# interface serial 0/0 * (ingresa al Submodo de Configuración de Interfaz)RouterPrueba(config-if)# ipaddress 10.0.0.1 255.0.0.0 (configura la IP en la interfaz)RouterPrueba(config-if)# no shutdown (levanta la interfaz)RouterPrueba(config-if)# description red (asigna un nombre a la interfaz)RouterPrueba(config-if)# exitRouterPrueba(config)#
* Tener en cuenta que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router.
CONFIGURAR INTERFACES SERIAL COMO DCE
RouterPrueba>enableRouterPrueba# config terminalRouterPrueba(config)# interface serial 0/1 * (ingresa al Submodo de Configuración de Interfaz)RouterPrueba(config-if)# ipaddress 10.0.0.2 255.0.0.0 (configura la IP en la interfaz)RouterPrueba(config-if)# clockrate 56000 (configura la sincronización entre los enlaces)RouterPrueba(config-if)# no shutdown (levanta la interfaz)RouterPrueba(config-if)# description red (asigna un nombre a la interfaz)RouterPrueba(config-if)# exitRouterPrueba(config)#
* Tener en cuenta que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router-VERIFICACION, CONFIGURACION Y FUNCIONAMINTO DEL ENRUTAMIENTO.5 comandos básicos de verificación de enrutamiento El enrutamiento es uno de los temas fundamentales para desempeñarse en cualquier tarea que tenga que ver con redes de datos y más si se persigue el objetivo de certificar CCNA. En ésta entrada explico brevemente el enrutamiento y comento los 5 comandos básicos más importantes para verificar el funcionamiento del enrutamiento.¿En qué consiste el enrutamiento?El enrutamiento es el relevo de tráfico de una red a otra. ¿Por qué relevo? porque el enrutamiento se basa en pasar la reponsabilidad de un enrutador a otro, es decir, un enrutador decide cómo enviar un paquete y se desentiende de lo que le pueda pasar a ese paquete de ahí para adelante, eso en inglés se llama relay, en español se llama relevo. Otra forma de decirlo, más técnica, es la conmutación de paquetes de una red a otra. La idea del enrutamiento está estrechamente ligada a las redes y subredes (IP, IPX, etc.) y al hecho de que los enrutadores son los separadores de esas redes/subredes, entonces, el enrutador es un dispositivo que conoce hacia dóndequedan las redes que él conoce y el hacia dónde significa después de cuál de
sus interfaces o a través de qué enrutador vecino se puede llegar más cerca de las redes destino en cuestión.La base de todas estas decisiones es la tabla de enrutamiento, una especie de base de datos sobre las rutas que dice justamente esa información: por dónde se está más cerca de una red en particular. La tabla de enrutamiento es la información que usa el enrutador efectivamente, es decir, aún si están configuradas ciertas rutas eso no significa que tengan que aparecer en la tabla de enrutamiento, pero si está en la tabla de enrutamiento eso sí va a ser lo que sucede con los paquetes destinados a una red de las que están presentes en la tabla.¿Entonces qué le pasa a un paquete cuando llega al enrutador? Simple, si el paquete tiene una dirección IP que no pertenece a alguna interfaz del enrutador (es decir que no sea para el enrutador mismo, como un telnet por ejemplo), se le busca un destino en la tabla de enrutamiento y ese destino se debe resolver en una interfaz de salida o una IP de siguiente salto (un vecino al que se asocia más cercanía a la red destino). El paquete entonces es encapsulado con encabezados de capa dos (L2) apropiados para la interfaz de salida, hay que recordar acá que los enrutadores tienen la responsabilidad de hacer de intermediarios con las tecnologías de WAN y éstas son básicamente encapsulaciones especiales para esos enlaces, por ejemplo FrameRelay, donde en vez de direcciones MAC hay DLCI. Una vez que el paquete es encapsulado en la tecnología de la interfaz de salida, la responsabilidad de éste enrutador termina, el siguiente enrutador deberá repetir el proceso y nosotros debemos esperar que el resultado sea que el paquete estará efectivamente más cerca de la red destino. El proceso que acabo de describir sucede, en teoría, para cada paquete y así el flujo de datos entre dos nodos de la red (dos PCs o dos dispositivos de red) llega a su destino.F) -RESOLUCION DE PROBLEMAS DE LAS VLANS Para resolver los problemas que puede presentar en una VLAN, generalmente causada por el problema de que “la red está lenta”, se deben verificar ciertos puntos, entre ellos:• El estado correcto de las interfaces• Que los hosts hagan ping con otro host• Que los hosts hagan ping con el servidorAlgunas resoluciones de problemas que nos ofrece CISCO, son las siguientes:• La VLAN nativa debe de ser la misma en ambos extremos del enlace troncal• Por defecto la VLAN nativa es la VLAN 1, es recomendable cambiar laVLAN nativa por defectoSwitch(config-if)# switchport trunk native vlanvlan-id• CDP advierte del problema con el mensaje 'native VLAN mismatch'• Puede que ocurran loops de Capa 2 debido a la falta de consistencia de la configuración de la VLAN nativa• Cuando resuelva problemas de VLANs, verifique que el enlace puedetener una VLAN nativa asociada en modo 'access' y otra VLAN nativa enmodo 'trunk'
B)Resolución de problemas de las VLAN3.2 Protocolo de enlaces troncales de VLAN (VTP) mediante la administración de los recursos de una red
A)Identificación de conceptos del VTP Descripción general del protocolo de enlaces troncales de VLAN (VTP)EL VTP (VLAN trunkingprotocol) es un protocolo que sirve para permitir conectividad entre VLAN, por medio de un enlace troncal entre switches. El VTP reduce la necesidad de configuración manual de la red.
El VTP permite a un administrador de red configurar un switch de modo que propagará las configuraciones de la VLAN hacia los otros switches en la red.
Beneficios del VTP• Consistencia en la configuración de la VLAN a través de la red• Seguimiento y monitoreo preciso de las Vlan• Informes dinámicos sobre las Vlan que se agregan a una red• Configuración de enlace troncal dinámico cuando las Vlan se agrega a la red• Coherencia de la configuración de VLAN a través de la red• Las VLAN pueden ser enviadas por medios mixtos.• Rastreo y control preciso de VLAN• Reporte dinámico de las VLAN añadidas a través de la red• Configuración “plug-and-play” cuando se agregan nuevas VLAN
Componentes del VTPExiste un número de componentes clave con los que necesita familiarizarse al aprender sobre el VTP Dominio de VTP
Consiste de uno o más switches interconectados. Todos los switches en un dominio comparten los detalles de configuración de la VLAN usando las publicaciones del VTP. Un router o switch de Capa 3 define el límite de cada dominio.
• Uno o más dispositivos interconectados que comparten el mismo nombre de dominio VTP.
• Un switch puede estar en un solo dominio VTP.
• Nombres de dominio deben coincidir exactamente para que se pueda pasar la información. (casesensitive)
Publicaciones del VTP
Hay dos tipos de publicaciones VTP:
Publicaciones del VTP: El VTP usa una jerarquía de publicaciones para distribuir y sincronizar las configuraciones de la VLAN a través de la red.
• Peticiones de clientes que desean información durante el arranque
• Respuestas desde servidores
Modos del VTP
Switches VTP operan en uno de tres modos:
• Servidor
• Cliente
•Transparente
Modo Servidor:
• Pueden crear, modificar y eliminar VLAN y parámetros de configuración de VLAN de todo un dominio.
• Guardan información de la configuración VTP en la NVRAM del switch.
• Envían mensajes VTP a través de todos los puertos de enlace troncal.
Modo Cliente:
• No pueden crear, modificar ni eliminar la información de VLAN.
• Modo útil para switches que carecen de memoria suficiente como para guardar grandes tablas de información de VLAN.
• Procesan los cambios de VLAN y envían mensajes VTP desde todos los puertos troncales.
Modo Transparente:
• Switches no participan de VTP
•Switches envían publicaciones VTP pero ignoran la información que contiene el mensaje.
• Switch no modifican su BD cuando se reciben actualizaciones o envían una actualización que indica que se ha producido un cambio en el estado de la VLAN.
• Salvo para reenviar publicaciones VTP, VTP se encuentra desactivado en un switch transparente.
Servidor VTP
Los servidores de este protocolo (VTP) muestran/publican la información de la VLAN del dominio de VTP a otros switches que se encuentran conectados en este mismo protocolo (VTP) dentro de la misma VLAN. Los servidores guardan la información de la VLAN Para el dominio Completo en la NVRAM.
En el servidor es donde se pueden crear, eliminar, modificar o redenominar todos los parámetros de cnfiguración de la VLAN de todo el dominio.
Cliente de VTP transparenteLos switches en modo VTP transparente envían publicaciones VTP a los clientes y a los servidores VTP, pero el modo transparente ignora la información que contiene el mensaje. Un switch transparente no modifica su base de datos cuando se reciben actualizaciones o envían una actualización que indica que se ha producido un cambio en el estado de la VLAN. A excepción en el caso de envío de publicaciones VTP, VTP se desactiva en un switch transparente. Depuración de VTPLa depuración del VTP evita inundación/saturación innecesaria de información de broadcast desde una VLAN a través de todos los enlaces troncales. Además de que la depuración aumenta el ancho de banda disponible mediante la restricción del tráfico.B) Resolución de problemas de los VTP• Antes que nada para poder corregir un problema de configuración tienes que estar en modo servidor para poder tener estos privilegios antes mencionados.• Hacer un buen enrutamiento, ya que si no es así se tendría problemas con la conexión de las host• No repetir una ip varias veces dentro de la misma red, porque si no entonces no se tendrá conexión en ningún dispositivo donde se tenga repetida la ip• Hacer ping porque esto muestra si hay conectividad entre los dispositivos conectados• Tener una contraseña en los dominios para tener una mejor seguridad
. FALTAS DE CONCORDANCIA DE LA VLAN NATIVAFaltas de concordancia de la VLAN nativa:los puertos se configuran con diferentes VLAN nativas, por ejemplo si un puerto ha definido la VLAN 99 como VLAN nativa y el otro puerto de enlace troncal ha definido la VLAN 100 como VLAN nativa. Estos errores de configuración generan notificaciones de consola, hacen que el tráfico de administración y control se dirija erróneamente y, como ya ha aprendido, representan un riesgo para la seguridad.
. FALTAS DE CONCORDANCIA DEL MODO DE ENLACE TRONCAL.Un puerto de enlace troncal se configura con el modo de enlace troncal "inactivo" y el otro con el modo de enlace troncal "activo". Estos errores de configuración hacen que el vínculo de enlace troncal deje de funcionar.
. VLAN ADMITIDAS EN ENLACES TRONCALES.La lista de VLAN admitidas en un enlace troncal no se ha actualizado con los requerimientos de enlace troncal actuales de VLAN. En este caso, se envía tráfico
.VLAN Y SUBREDES IP.Si ha descubierto un problema con una VLAN o con un enlace troncal y no sabe cuál es, comience la resolución de problemas examinando los enlaces troncales para ver si existe una falta de concordancia de la VLAN nativa y luego vaya siguiendo los pasos de la lista. El resto de este tema examina cómo reparar los problemas comunes con enlaces troncales. El próximo tema presenta cómo identificar y resolver la configuración incorrecta de la VLAN y las subredes IP.
R.A: 3.2 configura el protocolo de enlaces troncales de VLAN (VTP) mediante la administración de los dispositivos de una red
Unidad de aprendizaje: administración de redes de área local virtuales.
A -IDENTIFICACION DE CONCEPTOS DEL VTP.
Descripción general del protocolo de enlaces troncales de VLAN (VTP)
EL VTP (VLAN trunkingprotocol) es un protocolo que sirve para permitir conectividad entre VLAN, por medio de un enlace troncal entre switches. El VTP reduce la necesidad de configuración manual de la red.
El VTP permite a un administrador de red configurar un switch de modo que propagará las configuraciones de la VLAN hacia los otros switches en la red.
Beneficios del VTP
• Consistencia en la configuración de la VLAN a través de la red • Seguimiento y monitoreo preciso de las Vlan• Informes dinámicos sobre las Vlan que se agregan a una red• Configuración de enlace troncal dinámico cuando las Vlan se agrega a la red• Coherencia de la configuración de VLAN a través de la red• Las VLAN pueden ser enviadas por medios mixtos. • Rastreo y control preciso de VLAN• Reporte dinámico de las VLAN añadidas a través de la red • Configuración “plug-and-play” cuando se agregan nuevas VLAN
Componentes del VTP
Existe un número de componentes clave con los que necesita familiarizarse al aprender sobre el VTP
o Dominio de VTP
Consiste de uno o más switches interconectados. Todos los switches en un dominio comparten los detalles de configuración de la VLAN usando las publicaciones del VTP. Un router o switch de Capa 3 define el límite de cada dominio.• Uno o más dispositivos interconectados que comparten el mismo nombre de dominio VTP.• Un switch puede estar en un solo dominio VTP.• Nombres de dominio deben coincidir exactamente para que se pueda pasar la información. (casesensitive)
o Publicaciones del VTP
Hay dos tipos de publicaciones VTP:Publicaciones del VTP: El VTP usa una jerarquía de publicaciones para distribuir y sincronizar las configuraciones de la VLAN a través de la red.• Peticiones de clientes que desean información durante el arranque• Respuestas desde servidores
o Modos del VTP
Switches VTP operan en uno de tres modos:• Servidor• Cliente•TransparenteModo Servidor:• Pueden crear, modificar y eliminar VLAN y parámetros de configuración de VLAN de todo un dominio.• Guardan información de la configuración VTP en la NVRAM del switch.• Envían mensajes VTP a través de todos los puertos de enlace troncal.Modo Cliente:• No pueden crear, modificar ni eliminar la información de VLAN.• Modo útil para switches que carecen de memoria suficiente como para guardar grandes tablas de información de VLAN.• Procesan los cambios de VLAN y envían mensajes VTP desde todos los puertos troncales.Modo Transparente:• Switches no participan de VTP•Switches envían publicaciones VTP pero ignoran la información que contiene el mensaje.• Switch no modifican su BD cuando se reciben actualizaciones o envían una actualización que indica que se ha producido un cambio en el estado de la VLAN.• Salvo para reenviar publicaciones VTP, VTP se encuentra desactivado en un switch transparente.
o Servidor VTP
Los servidores de este protocolo (VTP) muestran/publican la información de la VLAN del dominio de VTP a otros switches que se encuentran conectados en este mismo protocolo (VTP) dentro de la misma VLAN. Los servidores guardan la información de la VLAN Para el dominio Completo en la NVRAM.
En el servidor es donde se pueden crear, eliminar, modificar o re denominar todos los parámetros de configuración de la VLAN de todo el dominio.
o Cliente de VTP transparente
Los switches en modo VTP transparente envían publicaciones VTP a los clientes y a los servidores VTP, pero el modo transparente ignora la información que contiene el mensaje. Un switch transparente no modifica su base de datos cuando se reciben actualizaciones o envían una actualización que indica que se ha producido un cambio en el estado de la VLAN. A excepción en el caso de envío de publicaciones VTP, VTP se desactiva en un switch transparente.
o Depuración de VTP
La depuración del VTP evita inundación/saturación innecesaria de información de broadcast desde una VLAN a través de todos los enlaces troncales. Además de que la depuración aumenta el ancho de banda disponible mediante la restricción del tráfico. B) Resolución de problemas de los VTP• Antes que nada para poder corregir un problema de configuración tienes que estar en modo servidor para poder tener estos privilegios antes mencionados.• Hacer un buen enrutamiento, ya que si no es así se tendría problemas con la conexión de las host• No repetir una ip varias veces dentro de la misma red, porque si no entonces no se tendrá conexión en ningún dispositivo donde se tenga repetida la ip• Hacer ping porque esto muestra si hay conectividad entre los dispositivos conectados• Tener una contraseña en los dominios para tener una mejor seguridad
B)CONFIGURACIÓN PREDETERMINADA DEL VTP
Visualización del estado del VTPLa figura muestra cómo ver las configuraciones del VTP para un switch Cisco 2960, S1. El comando del IOS de Cisco show VTP status visualiza el estado del VTP. La salida muestra que el switch S1 está en modo del servidor del VTP predeterminado y que no existe nombre de dominio del VTP asignado. La salida también muestra que la versión máxima del VTP disponible para el switch es la versión 2 y que la versión 2 del VTP está deshabilitada. Utilizará el comando show VTP status frecuentemente a medida que configure y administre el VTP en una red. A continuación, se describen brevemente los parámetros de show VTP status:
Versión del VTP: muestra la versión del VTP que el switch puede ejecutar. De manera predeterminada, el switch implementa la versión 1, pero puede configurarse para la versión 2.
Revisión de la configuración: el número de la revisión de la configuración actual está en el switch. Más adelante, en este capítulo, aprenderá más acerca de los números de revisiones. VLAN máximas admitidas localmente: Número máximo de VLAN admitidas localmente.
Número de VLAN existentes: Número de VLAN existentes.Modo operativo del VTP: puede ser servidor, cliente o transparente.
Nombre de dominio del VTP: nombre que identifica el dominio administrativo para el switch.
Modo de depuración del VTP: muestra si la depuración está habilitada o deshabilitada.
Modo de la V2 del VTP: muestra si la versión 2 del VTP está habilitada. La versión 2 del VTP está deshabilitada de manera predeterminada.
Generación de Traps del VTP: muestra si las traps del VTP se envían hacia la estación de administración de red. MD5 Digest: una checksum de 16 bytes de la configuración del VTP.Última configuración modificada: fecha y hora de la última modificación de configuración. Muestra la dirección IP del switch que causó el cambio de configuración a la base de datos.
Creación y prueba de un dominio VTP.El VTP le permite separar su red en dominios de administración más pequeños para ayudarlo a reducir la administración de la VLAN. Un beneficio adicional de configurar los dominios del VTP es que limita hasta qué punto se propagan los cambios de configuración en la red si se produce un error. La figura muestra una red con dos dominios de VTP: Cisco2 y Cisco3. En este capítulo, se configurarán los tres switches: S1, S2 y S3 para el VTP.Un dominio del VTP consiste en un switch o varios switches interconectados que comparten el mismo nombre de dominio del VTP. Más adelante en este capítulo aprenderá cómo los switches habilitados por el VTP adquieren un nombre común de
dominio. Un switch puede ser parte de sólo un dominio del VTP a la vez. Hasta tanto especifique el nombre de dominio del VTP, no puede crear ni modificar las VLAN en un servidor del VTP, y la información de la VLAN no se propaga a través de la red.Agregar un switch a un dominio VTP.
EPara que un switch de cliente o servidor del VTP participe en una red habilitada por el VTP, debe ser parte del mismo dominio. Cuando los switches están en diferentes dominios de VTP no intercambian los mensajes del VTP. Un servidor del VTP propaga el nombre de dominio del VTP a todos los switches. La propagación del nombre de dominio usa tres componentes del VTP: servidores, clientes y publicaciones.
La red en la figura muestra tres switches: S1, S2 y S3 en su configuración predeterminada del VTP. Se configuran como servidores del VTP. Los nombres de dominio del VTP no han sido configurados en ninguno de los switches. El administrador de la red configura el nombre de dominio del VTP como cisco1
en el switch S1 del servidor del VTP. El servidor del VTP envía una publicación de VTP con el nuevo nombre de dominio incluido. Los switches del servidor del VTP de S2 y S3 actualizan su configuración del VTP al nuevo nombre de dominio.
Nota: Cisco recomienda que el acceso a las funciones de configuración del nombre de dominio sea protegido por una contraseña. Los detalles de la configuración de la contraseña se presentarán más adelante en el curso.
Guía de configuración del VTP.El VTP le permite separar su red en dominios de administración más pequeños para ayudarlo a reducir la administración de la VLAN. Un beneficio adicional de configurar los dominios del VTP es que limita hasta qué punto se propagan los cambios de configuración en la red si se produce un error. La figura muestra una
red con dos dominios de VTP: Cisco2 y Cisco3. En este capítulo, se configurarán los tres switches: S1, S2 y S3 para el VTP.
Un dominio del VTP consiste en un switch o varios switches interconectados que comparten el mismo nombre de dominio del VTP. Más adelante en este capítulo aprenderá cómo los switches habilitados por el VTP adquieren un nombre común de dominio. Un switch puede ser parte de sólo un dominio del VTP a la vez. Hasta tanto especifique el nombre de dominio del VTP, no puede crear ni modificar las VLAN en un servidor del VTP, y la información de la VLAN no se propaga a través de la red.
C) RESOLUCION DE PROBLEMAS DEL VTP
Resolución de problemas VTP
Hemos aprendido a usar VTP para simplificar la administración de una base de datos VLAN
a través de varios switches. A continuación vamos a revisar los problemas de configuración
más comunes que nos podemos encontrar.
Problemas de configuración VTP más comunes:
§ Versiones de VTP incompatibles.
§ Problemas con la contraseña VTP.
§ Nombre de dominio VTP incorrecto.
§ Todos los switches establecido en modo cliente VTP.
Versiones de VTP incompatibles
Las versiones 1 y 2 de VTP son incompatibles. Los switches Cisco catalyst, como 2960, se
configuran de forma predeterminada para utilizar la versión 1 de VTP. Los switches que sólo
soportan la versión 1 de VTP, no pueden participar en el dominio VTP junto con switches de
la versión 2 de VTP. Si nuestra red contiene switches que sólo soportan VTP versión 1,
tendremos que configurar los switches de versión 2 de VTP para que operen con la versión 1
de VTP.
Problemas con la contraseña
Al utilizar una contraseña de VTP para controlar la participación en el dominio VTP, debemos
asegurarnos de que esta se ha configurado correctamente en todos los switches del dominio
VTP. Uno de los problemas más comunes es olvidarse de configurar la contraseña VTP. Los
switches no establecen automáticamente el parámetro de contraseña, a diferencia de otros
parámetros que se establecen automáticamente al recibir una publicación VTP.
Nombre de dominio VTP incorrecto
El nombre de dominio VTP es un parámetro clave en un switch. Un dominio VTP
incorrectamente configurado afecta a la sincronización de las VLANs entre el resto de
switches. Si el switch recibe una publicación VTP errónea, este descarta el mensaje, y si
este mensaje contiene información legítima, el switch no sincronizará su base de datos de la
forma esperada.
Todos los switches establecido en modo cliente VTP
Al cambiar todos los switches a modo cliente VTP, perdemos la operativa de crear, eliminar y
administrar VLANs dentro de nuestro entorno de red. Como los switches configurados en
modo cliente VTP no almacenan la información VLAN en la NVRAM, tendremos que
actualizar dicha información cada vez que se reinicie el switch.
Imaginemos que el único switch que tenemos configurado en modo servidor VTP lo
reconfiguramos en modo cliente y reiniciamos. Para solucionar este problema es
aconsejable tener configurado un segundo switch del mismo dominio como servidor VTP.
A) IDENTIFICACION DEL ENRUTAMIENTO INTER VLAN
B) Definición de Enrutamiento: Enlaces Troncales: Utilizados para interconectar dispositivos de VLAN que abarcan varios dispositivos.
El enlace troncal transporta el tráfico para varias VLAN.
• O un switch a un servidor instalando una NIC especialque admite enlace troncal
Tipos de enrutamiento VLAN:• Conexión única, o enlace troncal, desde el switch hasta elrouter.• Enlace troncal puede admitir varias VLAN.• Esta topología se denomina "router en un palo" porque existeuna sola conexión al router.• Conectividad física:• Implica una conexión física separada para cada VLAN.• Esto significa una interfaz física separada para cada VLAN
Router: Un router —anglicismo, también conocido como encaminador, enrutador, direccionador o ruteador— es un dispositivo de hardware usado para la interconexión de redes informáticas que permite asegurar el direccionamiento de paquetes de datos entre ellas o determinar la mejor ruta que deben tomar. Opera en la capa tres del modelo OSI.
B) CONFIGURACION DE INTERFACES
Uso del router como gateway
El enrutamiento tradicional requiere de routers que tengan interfaces físicas múltiples para facilitar el enrutamiento inter VLAN. El router realiza el enrutamiento al conectar cada una de sus interfaces físicas a una VLAN única. Además, cada interfaz está configurada con una dirección IP para la subred asociada con la VLAN conectada a ésta. Al configurar las direcciones IP en las interfaces físicas, los dispositivos de red conectados a cada una de las VLAN pueden comunicarse con el router utilizando la interfaz física conectada a la misma VLAN. En esta configuración los dispositivos de red pueden utilizar el router como un gateway para acceder a los dispositivos conectados a las otras VLAN.
Publicado por gabrielazamora** en 16:50 No hay comentarios:
Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con Facebook
Configuración de la subinterfaz
Para superar las limitaciones de hardware del enrutamiento inter VLAN basado en interfaces físicas del router, se utilizan subinterfaces virtuales y enlaces troncales, como en el ejemplo del router-on-a-stick descrito anteriormente. Las subinterfaces son interfaces virtuales basadas en software asignadas a interfaces físicas. Cada subinterfaz se configura con su propia dirección IP, máscara de subred y asignación de VLAN única, permitiendo que una interfaz física única sea parte en forma simultánea de múltiples redes lógicas. Esto resulta útil cuando se realiza el enrutamiento inter VLAN en redes con múltiples VLAN y pocas interfaces físicas del router.
Al configurar el enrutamiento inter VLAN mediante el modelo router-on-a-stick, la interfaz física del router debe estar conectada al enlace troncal en el switch adyacente. Las subinterfaces se crean para cada VLAN/subred única en la red. A cada subinterfaz se le asigna una dirección IP específica a la subred de la cual será parte y se configura en tramas con etiqueta de la VLAN para la VLAN con la cual interactuará la interfaz. De esa manera, el router puede mantener separado el tráfico de cada subinterfaz a medida que atraviesa el enlace troncal hacia el switch.
Publicado por gabrielazamora** en 16:48 No hay comentarios:
Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con Facebook
Configuraciones de Interfaces
Las interfaces de red permiten a cualquier servidor que ejecute el servicio Enrutamiento y acceso remoto comunicarse con otros equipos a través de redes privadas o públicas. Las interfaces de red se relacionan con el servicio Enrutamiento y acceso remoto en dos aspectos: el hardware físico, como el adaptador de red, y la configuración de las interfaces de red.
Las interfaces de red, conocido también como adaptadores de red, puede ser cualquier adaptador que se conecte al bus del sistema de un equipo y permita que ese equipo se conecte a una red. La mayoría de los servidores que ejecutan el servicio Enrutamiento y acceso de red disponen de al menos dos adaptadores de red. Estos dos adaptadores son necesarios si el servidor que ejecuta el servicio Enrutamiento y acceso remoto actúa como enrutador entre dos segmentos de red. Un servidor que tiene dos o más adaptadores de red que se conectan con redes distintas se denomina de hosts múltiples.
Debido a que los servidores de hosts múltiples son accesibles desde varias redes, tienen un mayor número de requisitos de seguridad que un servidor que se conecta a una sola red. Cada interfaz de red debe configurarse correctamente para proteger el servidor y las redes privadas a las que éste se conecta. Para obtener más información, vea
Información de seguridad para enrutamiento e Información de seguridad de acceso remoto.
El servidor que ejecuta el servicio Enrutamiento y acceso remoto suele detectar automáticamente todos los adaptadores de red cuando se ejecuta el Asistente para la instalación del servidor de enrutamiento y acceso remoto
En el servicio Enrutamiento y acceso remoto, las interfaces de red se dividen en las siguientes categorías:
Interfaz privada. Una interfaz privada es un adaptador de red que está físicamente conectado a una red privada. La mayoría de las redes privadas se configuran con un intervalo de direcciones IP de red privada, y la interfaz privada también se configura con una dirección privada. Dado que una red privada está compuesta, teóricamente, de usuarios y equipos, normalmente serán menos los aspectos de seguridad que tendrá que tener en cuenta para una interfaz privada que para una interfaz pública. Para obtener más información, vea Direcciones privadas de Internet.
Interfaz pública. Una interfaz pública es un adaptador de red que está físicamente conectado a una red pública, como Internet. Las interfaces públicas se configuran con una dirección IP pública. Se puede configurar una interfaz pública para que realice la traducción de direcciones de red (NAT). Dado que a una interfaz pública teóricamente puede tener acceso cualquier persona, los aspectos sobre seguridad que deben considerarse para una interfaz pública serán mayores que para una interfaz privada.
Interfaz de marcado a petición. Las interfaces de marcado a petición se conectan con enrutadores específicos de redes públicas o privadas. Una interfaz de marcado a petición puede ser una interfaz a petición (que se activa sólo cuando es necesario) o permanente (siempre conectada). Para obtener más información, vea
Enrutamiento de marcado a petición .
Además de configurar cada interfaz de red como una interfaz pública, privada o de marcado a petición, puede configurar filtros de paquetes, direcciones y otras opciones para las interfaces de red. Algunas opciones para las interfaces públicas, como el Servidor de seguridad básico, no están disponibles para interfaces privadas. Para obtener más información acerca del tipo de configuración más conveniente y ejemplos de implementaciones, vea Escenarios de enrutamiento y Escenarios de acceso remoto.
R.A: 3.3 establece la conectividad entre Vlans A TRAVES DE LA CONFIGURACXION DEL ENRUTAMIENTO DE DISPOSITIVOS DE CONMUTACION EN LAS REDES DE ESTE TIPO.
Propósito de la unidad: implementara redes de área local virtuales y puertos de enlaces troncales con base en la asignación de los puertos de acceso en los swithes de una red.
C) CONFIGURACION DE ENRUTAMIENTO INTER VLAN
CONFIGURACIÓN DE ENRUTAMIENTO ENTRE VLAN El enrutamiento entre vlans o inter vlanrouting, resulta necesario una vez que se posee una infraestructura de red con vlan implementadas, debido a que los usuarios necesitaran intercambiar información de una red a otra.
Es importante recordar que cada VLAN es un dominio de broadcast único. Por lo tanto, de manera predeterminada, las computadoras en VLAN separadas no pueden comunicarse.
El enrutamiento entre VLAN es un proceso que permite reenviar el tráfico de la red desde una VLAN a otra mediante un enrutador. Las VLAN están asociadas a subredes IP únicas en la red. Esta configuración de subred facilita el proceso de enrutamiento en un entorno de múltiples VLAN.
Tradicionalmente, el enrutamiento de la LAN utiliza enrutadores con interfaces físicas múltiples. Es necesario conectar cada interfaz a una red separada y configurarla para una subred diferente.
En una red tradicional que utiliza múltiples VLAN para segmentar el tráfico de la red en dominios de broadcast lógicos, el enrutamiento se realiza mediante la conexión de diferentes interfaces físicas del enrutador a diferentes puertos físicos del switch.
INTERFACES & SUBINTERFACES
Interfaces físicas a una VLAN única. Además, cada interfaz está configurada con una dirección IP para la subred asociada con la VLAN conectada a ésta. Al configurar las direcciones IP en las interfaces físicas, los dispositivos de red conectados a cada una de las VLAN pueden comunicarse con el enrutador mediante la interfaz física conectada a la misma VLAN. En esta configuración los dispositivos de red pueden utilizar el enrutador como un gateway para acceder a los dispositivos conectados a las otras VLAN.
CONFIGURACIÓN DE LA SUBINTERFAZ
Antes de asignar una dirección IP a una subinterfaz, es necesario configurar la subinterfaz para que funcione en una VLAN específica mediante el comando encapsulation dot1q id de la VLAN. En el ejemplo, la subinterfaz Fa0/0.10 está asignada a la VLAN10. Una vez asignada la VLAN, el comando ipaddress
172.16.10.1 255.255.255.0 asigna la subinterfaz a la dirección IP apropiada para esa VLAN.
1. Router#configure terminal2. Router(config)# interface f0/0.103. Router(config-subif)# encapsulation dot1q 104. Router(config-subif)# ip address 172.16.10.1 255.255.255.05. Router(config-subif)# no shutdown
LIMITES DEL PUERTO
Las interfaces físicas están configuradas para tener una interfaz por VLAN en la red. En las redes con muchas VLAN, no es posible utilizar un único enrutador para realizar el enrutamiento entre VLAN. Los enrutadors tienen limitaciones físicas para evitar que contengan una gran cantidad de interfaces físicas.
Las subinterfaces permiten ampliar el enrutador para acomodar más VLAN que las permitidas por las interfaces físicas. El enrutamiento entre VLAN en grandes entornos con muchas VLAN puede acomodarse mejor si se utiliza una interfaz física única con muchas subinterfaces.
PUERTOS DE ACCESO Y PUERTOS DE ENLACE TRONCAL
La conexión de las interfaces físicas para el enrutamiento entre VLAN requiere que los puertos del switch estén configurados como puertos de acceso. Las subinterfaces requieren que el puerto del switch esté configurado como un puerto de enlace troncal para que pueda aceptar el tráfico etiquetado de la VLAN en el enlace troncal. Al utilizar subinterfaces, muchas VLAN pueden enrutarse sobre un enlace troncal único, en lugar de utilizar una interfaz física única para cada VLAN.
Por otro lado, el uso de subinterfaces con un puerto de enlace troncal tiene como resultado una configuración de software más compleja, que puede ser difícil de solucionar en caso de presentarse problemas. En el modelo enrutador-on-a-stick se utiliza sólo una interfaz única para alojar todas las VLAN.
Si una VLAN tiene problemas al enrutarse con otras VLAN, no puede simplemente rastrear el cable para ver si éste está conectado en el puerto correcto.
CONFIGURACIÓN DE PUERTO DE ENLACE TRONCAL EN EL SWITCH
Para configurar un enlace troncal en un puerto de switch, utilice el comando switchportmodetrunk. Cuando ingresa al modo enlace troncal, la interfaz cambia al modo permanente de enlace troncal y el puerto ingresa a una negociación de DTP para convertir el vínculo a un vínculo de enlace troncal, por más que la interfaz que la conecta no acepte cambiar.
Configurará un enlace troncal utilizando únicamente el comando switchportmodetrunk.
En la figura se muestra la sintaxis de comando IOS de Cisco para especificar una VLAN nativa diferente a la VLAN 1.
En el ejemplo, el usuario configura la VLAN 99 como la VLAN nativa. Se muestra la sintaxis de comando utilizada para admitir una lista de las VLAN en el enlace troncal. En este puerto de enlace troncal, admita las VLAN 10, 20 y 30.
El usuario ya conoce esta topología. Las VLAN 10, 20 y 30 admitirán las computadoras del Cuerpo Docente, del Invitado : PC1, PC2 y PC3.
El puerto F0/1 en el switch S1 se configura como un puerto de enlace troncal para admitir las VLAN 10, 20 y 30. La VLAN 99 se configura como la VLAN nativa.
BORRAR Y RECARGAR EL ROUTER
Ingrese en el modo EXEC privilegiado escribiendo enable (habilitar). Si pide una contraseña, introduzca class. Si “class” no funciona, solicite ayuda a su instructor.
Router>enable
En el modo EXEC privilegiado, introduzca el comando erase startup-config.
Router#erasestartup-config
La petición de la línea de respuesta será:
Erasing the nvramfilesystem will remove all files! Continue?
[confirm]
Presione Intro para confirmar. La respuesta deberá ser:
Erase of nvram: complete
En el modo EXEC privilegiado, introduzca el comando reload (recargar).
Router#reload
La petición de la línea de respuesta será:
System configuration has been modified. Save? [yes/no]:
Escriba n y luego presione Intro. La petición de la línea de respuesta será:
Proceedwithreload? [confirm]
Presione Intro para confirmar. La primera línea de la respuesta será:
Reloadrequestedbyconsole.
Una vez que el router se ha recargado el mensaje de respuesta será:
Would you like to enter the initial configuration dialog? [yes/no]:
Escriba n y luego presione Intro. La petición de la línea de respuesta será:
Press RETURN to get started!
Presione Intro. El router está listo.
MAPA CONCEPTUAL DE ENRUTAMIENTO
VÍDEO DE CONFIGURACIÓN DE ENRUTAMIENTO ENTRE VLAN
D) CONFIGURACION DE ENRUTAMIENTO INTER VLAN DEL ROUTER ONA STICK
En esta oportunidad analizaremos uno de ellos, el de routeron-a-stick. La idea es ver cómo se configura en equipos Cisco. Utilizaremos para ello la topología del siguiente diagrama:
Las tareas a realizar son las siguientes:
En el switch: o Configurar el puerto que lo conecta al router como trunk.o Enviar las VLANs deseadas por el trunk.
En el router: o Levantar la interfaz que se conecta al switch.o Configurar tantas subinterfaces como VLANs se deseen rutear (una por
VLAN). El identificador de cada subinterfaz puede ser cualquiera, pero se recomienda que coincida con el ID de la VLAN para que sirva de autodocumentación.
A continuación se pueden ver los comandos para configurar ambos equipos:
Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan 2,3,4,5Router(config)#interface fastEthernet 0/0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/0.2Router(config-subif)#encapsulation dot1Q 2Router(config-subif)#ip address 192.168.2.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.3Router(config-subif)#encapsulation dot1Q 3Router(config-subif)#ip address 192.168.3.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.4Router(config-subif)#encapsulation dot1Q 4Router(config-subif)#ip address 192.168.4.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.5Router(config-subif)#encapsulation dot1Q 5Router(config-subif)#ip address 192.168.5.1 255.255.255.0Router(config-subif)#exit
E) RESOLUCION DE PROBLEMAS DE ENRUTAMIENTO INTER VLAN
Del SwitchEste tema explora los problemas comunes y describe los métodos de resolución de problemas para identificarlos y corregirlos.Al utilizar el modelo de enrutamiento tradicional para el enrutamiento inter VLAN, asegúrese de que los puertos del switch que conectan a las interfaces del router estén
configurados en las VLAN correctas. Si los puertos del switch no están configurados en la VLAN correcta, los dispositivos configurados en dicha VLAN no pueden conectarse a la interfaz del router y en consecuencia no pueden enrutarse a las demás VLAN.del direccionamiento ipcomo analizamos, las subredes son la clave para implementar el enrutamiento inter vlan. lasvlan corresponden a subredes únicas en la red. para que el enrutamiento inter vlan funcione, es necesario conectar un router a todas las vlan, ya sea por medio de interfaces físicas separadas o subinterfaces de enlace troncal. toda interfaz o subinterfaz necesita que se le asigne una dirección ip que corresponda a la subred para la cual está conectada. esto permite que los dispositivos en la vlan se comuniquen con la interfaz del router y habiliten el enrutamiento del tráfico a otras vlan conectadas al router.
Investigación de campo
Nuestro equipo realizó dos investigaciones de campo acerca de lo que son las VLAN y VTP. La primera investigación se realizó en el CIE (Centro de investigación en energía), en donde sabíamos que trabajaban con VLAN por áreas, pero la persona encargada de darnos la explicación no se encontraba, por lo que nos limitamos a entrar a las oficinas a tomar fotografías de cómo estaban conectadas las redes, los servidores y recursos. Se anexa presentación de fotografías.
La primera investigación se realizó en el CIE (Centro de investigación en energía), en donde sabíamos que trabajaban con VLAN por áreas, pero la persona encargada de darnos la explicación no se encontraba, por lo que nos limitamos a entrar a las oficinas a tomar fotografías de cómo estaban conectadas las redes, los servidores y recursos. Se anexa presentación de fotografías.
Etiquetado de trama de 802.1QEl protocolo 802.1Q es un proyecto de la IEEE para crear una forma para compartir de forma transparente medios físicos entre múltiples redes, tratando de que no haya interferencias entre ellasEste protocolo interconecta switches, routers y servidores, a través de los puertos FastEthernet y GigabitEthernet.En este protocolo, que funciona a nivel de la capa 2, las estaciones no tienen conocimiento de la VLAN, cada trama se marcará con un identificador de la VLAN a la que está vinculada (esto para asignar prioridades a los paquetes.)
Puerto de acceso en los switchUn enlace troncal es una conexión física y lógica, punto a punto, entre dos switches a través de la cual viaja el tráfico de red entre varias VLAN.Su propósito es conservar puertos cuando se crea un enlace entre dispositivos, al implementar varias VLAN. Éste agrupará enlaces virtuales permitiendo que la información viaje por un único cable entre switchesLos esquemas de etiquetado más comunes entre segmentos Ethernet, son el protocolo ISL (Cisco) y el estándar 802-1Q (IEEE)UNIDAD DE APRENDIZAJE: ADMINISTRACION DE REDES DE AREA LOCAL VIRTUALES
PROPOSITO DE LA UNIDAD: Implementara redes de área local virtuales y puertos de enlaces troncales en dispositivos de red mediante la agrupación lógica de estaciones de trabajo por equipos de trabajo o por aplicaciones para trasmitir el trafico de diversas LANs Así como administrar la base de datos de un servidor centralizado.
R.A: 3.1 crea redes de área local virtuales (vlan) y enlaces troncales con base en la asignación de los puertos de acceso en los swithes de una red.
configuración de una VLANUna VLAN (acrónimo de Virtual LAN) es una subred IP separada de manera lógica, las VLAN permiten que redes IP y subredes múltiples existan en la misma red conmutada, son útiles para reducir el tamaño del broadcast y ayudan en la administración de la red separando segmentos lógicos deuna red de área local (como departamentos para una empresa, oficina, universidades, etc.) que no deberían intercambiar datos usando la red local.Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.Por mediante la CLI del IOS de un switch, deben darse de alta las VLAN y a cada puerto se le debe asignar el modo y la VLAN por la cual va a trabaja. El acceso a las VLAN está dividido en un rango normal o un rango extendido, las VLAN de rango normal se utilizan en redes de pequeñas y medianas empresas, se identifican por un ID de VLAN entre el 1 y 1005 y las de rango extendido posibilita a los proveedores de servicios que amplien sus infraestructuras a una cantidad de clientes mayor y se identifican
mediante un ID de VLAN entre 1006 y 4094.El protocolo de enlace troncal de la VLAN VTP (que lo veremos más adelante) sólo aprende las VLAN de rango normal y no las de rango extendido.
Tipos de VLAN
VLAN de Datos.- es la que está configurada sólo para enviar tráfico de datos generado por el usuario, a una VLAN de datos también se le denomina VLAN de usuario.
VLAN Predeterminada.- Es la VLAN a la cual todos los puertos del Switch se asignan cuando el dispositivo inicia, en el caso de los switches cisco por defecto es la VLAN1, otra manera de referirse a la VLAN de predeterminada es aquella que el administrador haya definido como la VLAN a la que se asignan todos los puertos cuando no estan en uso.
VLAN Nativa.- una VLAN nativa está asiganada a un puerto troncal 802.1Q, un puerto de enlace troncal 802.1Q admite el tráfico que llega de una VLAN y también el que no llega de las VLAN’s, la VLAN nativa sirve como un identificador común en extremos opuestos de un elace troncal, es aconsejable no utilizar la VLAN1 como la VLAN Nativa.
VLAN de administración.- Es cualquier vlan que el administrador configura para acceder a la administración de un switch, la VLAN1 sirve por defecto como la VLAN de administración si es que no se define otra VLAN para que funcione como la VLAN de Administración.
Modos de puertos del Switch
VLAN estática.- Los puertos de un switch se asignan manualmente a una VLAN (éste es el tipo de VLAN con el que trabajaremos).
VLAN dinámica.- La membresía de una VLAN de puerto dinámico se configura utilizando un servidor especial denominado Servidor de Política de Membresía de VLAN (VMPS).
VLAN de voz.- El puerto se configura para que esté en modo de voz a fin de que pueda admitir un teléfono IP conectado al mismo tiempo de enviar datos.
Agregar una VLAN
Ciscoredes# configure terminalCiscoredes(config)# vlan vlan-idCiscoredes(config-vlan)# name nombre-de-vlanCiscoredes(config-vlan)# exit
Vlan .- comando para asignar las VLAN
Valn-id.- Numero de vlan que se creará que va de un rango normal de 1-1005 (los ID 1002-1005 se reservan para Token Ring y FDDI).
Name.- comando para especificar el nombre de la VLAN
Nombre-de-vlan.- Nombre asignado a la VLAN, sino se asigna ningún nombre, dicho nombre será rellenado con ceros, por ejemplo para la VLAN 20 sería VLAN0020.
Asignar puertos a la VLAN
Ciscoredes# configure terminalCiscoredes(config)# interface interface-idCiscoredes(config-vlan)# switchport mode accessCiscoredes(config-vlan)# switchport access vlan vlan-idCiscoredes(config-vlan)# end
Donde:
interface .- Comando para entrar al modo de configuración de interfaz.
Interface-id.- Tipo de puerto a configurar por ejemplo fastethernet 0/0
Switchport mode access .- Define el modo de asociación de la VLAN para el puerto
Switchport access vlan .- Comandos para asignar un puerto a la vlan.
Vlan-id.- Numero de vlan a la cual se asignará el puerto.
Vlan de Administración
Una VLAN de administración le otorga los privilegios de administración al administrador de la red, para manejar un switch en forma remota se necesita asignarle al switch una dirección IP y gateway dentro del rango de dicha subred para esta VLAN, como hemos mencionado anteriormente por defecto la VLAN de administración es la 1, en nuestro ejemplos modificaremos dicha VLAN, los pasos para configurar la VLAN de administración son los siguiente:
Ciscoredes# configure terminalCiscoredes(config)# interface vlan idCiscoredes(config-if)# ip address a.a.a.a b.b.b.bCiscoredes(config-if)# no shutdownCiscoredes(config-if)# exitCiscoredes(config)# interface interface-idCiscoredes(config-if)# switchport mode accessCiscoredes(config-if)# switchport acces vlan vlan-idCiscoredes(config-if)# exit
Configurar un Enlace Troncal
Enlace Troncal.- Un enlace troncal es un enlace punto a punto entre dos sispositivos de red, el cual transporta más de una vlan. Un enlace troncal de VLAN no pertence a una VLAN específica, sino que es un conducto para las VLAN entre switches y routers.
Existen deiferentes modos de enlaces troncales como el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un protocolo propiedad de cisco, DTP administra la
negociación del enlace troncal sólo si el puerto en el otro switch se configura en modo de enlace troncal que admita DTP.
Configuración de un enlace troncal 802.1Q en un Switch:
Ciscoredes# configure terminalCiscoredes(config)# interface interface-idCiscoredes(config-if)# switchport mode trunkCiscoredes(config-if)# switchport trunk native vlan vlan-idCiscoredes(config-if)# exit
Intercomunicación entre VLAN's
Por si sólo, un switch de capa 2 no tiene la capacidad de enrutar paquetes entre vlan diferentes, si ya tenemos creadas las vlan y hemos asignado más de una computadora a cada vlan, entonces las computadoras que se encuentran en la misma vlan pueden comunicarse entre si, pero que pasaría por ejemplo si la vlan 10 se quiere comunicar con la vlan 20, la comunicación no se llevaría acabo porque las vlan se encuentran en subredes diferentes y el proceso de enrutamiento lo lleva acabo un dispositivo de capa 3 (o un switch de capa 3), por tal motivo configuraremos un router con subinterfeces, ya que cada subinterfaz será designada para cada vlan con su propia subred.
Una interfaz de un router se puede dividir en subinterfaces lógicas, por ejemplo de la interfaz FastEthernet 0/0 podemos derivar varias subinterfaces como: FastEthernet 0/0.10 , FastEthernet 0/0.50 , FastEthernet 0/0.30
La configuración de las subinterfaces del router es similar a la configuración de las interfaces físicas sólo que al final agregamos un punto y un numero (.20), por lo regular este número es el mismo con el número de vlan a utilizar, todo esto para una mejor administración.
Configuración de subinterfaces en un router: Ciscoredes# configure terminalCiscoredes(config)# interface interface-id.numeroCiscoredes(config-subif)# encapsulation dot1q numer
Ciscoredes(config-subif)# ip address a.a.a.a b.b.b.bCiscoredes(config-subif)# exit
Conclusión de 3.1.1
En ambientes empresariales amplios, donde se requiere una segmentación de la red manteniendo un buen uso del ancho de banda por usuario, las implementaciones con VLANs proveen una buena solución, para que de esta manera se pueda contener el trafico de Broadcast.
La tecnología de VLANs, es mas que una buena combinación de Hubs, Switches y Routers; es una solución que provee una potente segmentación y una eficiente administración de la red, de carácter centralizado.
Las VLANs mejoran el desempeño de las tecnologías tradicionales porque no requieren sobrecostos en actualizaciones del cableado o tiempo de reconfiguración.
La tecnología de VLANs, permite la creación de grupos de trabajo distribuidos, manteniendo una excelente seguridad, respecto a la integridad de los datos. Además, están diseñadas bajo la regla de l 80/20, lo cual permite un control bastante detallado del trafico entre VLANs. También, se puede decir que esta tecnología hace fácil cumplir que: "Switchea cuando puedas, Rutea cuando debas".
La implementación de la tecnología de VLANs, usa las tecnologías e infraestructuras ya existentes, facilitando la migración de una a otra.
Para trabajos futuros, seria interesante explicar detalladamente la configuración e implementación de una VLAN, teniendo en cuenta los diferentes equipos que existen en el mercado, justificando su utilización.
Con base en lo anterior, se podría poner en practica conceptos, tales como, las VLANs basadas en servicio; con intereses de carácter académico, al ser este tema uno de los futuros de esta tecnología.
Existen varios tipos de VLAN: una VLAN predeterminada, una VLAN de administración, las VLAN nativas, las VLAN de usuario/datos y las VLAN de voz.
Los enlaces troncales de la VLAN facilitan la comunicación entre switches con VLAN múltiples. El etiquetado de tramas IEEE 802.1Q permite la diferenciación entre tramas de Ethernet asociadas a distintas VLAN, mientras recorren vínculos comunes de enlace troncal.
Hemos analizado la configuración, verificación y resolución de problemas de la VLAN y los enlaces troncales mediante la utilización de IOS CLI de Cisco.
Conclusión 3.2.1
En este trabajo se vieron los siguientes temas VlantrunkingProtocol,
Protocolo de capa 2 este permite que haya un servidor VTP el cualadministre las vlans de la red y haga una réplica de las vlans que se creen en el servidorpara esto debemos primero configurar los enlaces troncales entre los switchesyconfigurar el dispositivo servidor, los clientes y es muy importante crear el dominio VTP encada switche al que no se le configure este dominio va a estar aislado de los demásswitches.VTPvlantrunkingprotocol, es un protocolo capa 2 que se encarga de administrar Vlanentreswitches. La ventaja de trabajar con este protocolo es que te ahorras el tiempo de irpor cada dispositivo a configurar las vlan, el protocolo VTP se encarga de que las vlansquese creen en el switches servidor haga una réplica de las vlans que se creen allí.Para que esto se pueda llevar acabo debemos
configurar un servidor entre el conjunto deswitches y que los demás sean clientes además deben estar todos los switchesconfigurados dentro del mismo dominio VTP.El propósito con la elaboración y presentación de este trabajo es aprender sobre elprotocoloVTP.Los recursos necesarios para la elaboración del contenido de la obra.
Conclusión:3.3.1: lnos dimos cuenta de cómo se configura una vlan es un proceso digamos muy complicado porque es por codigos o por direcciones iip de las cuales solo debemos de saber enrotarlas bien por que por un numero mal que se ponga todo lo tendremos mal.y no dnos dara la conexión que solicitamosUna VLAN (acrónimo de Virtual LAN) es una subred IP separada de manera lógica, las VLAN permiten que redes IP y subredes múltiples existan en la misma red conmutada, son útiles para reducir el tamaño del broadcast y ayudan en la administración de la red separando segmentos lógicos deuna red de área local (como departamentos para una empresa, oficina, universidades, etc.) que no deberían intercambiar datos usando la red local.Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.Por mediante la CLI del IOS de un switch, deben darse de alta las VLAN y a cada puerto se le debe asignar el modo y la VLAN por la cual va a trabaja. El acceso a las VLAN está dividido en un rango normal o un rango extendido, las VLAN de rango normal se utilizan en redes de pequeñas y medianas empresas, se identifican por un ID de VLAN entre el 1 y 1005 y las de rango extendido posibilita a los proveedores de servicios que amplien sus infraestructuras a una cantidad de clientes mayor y se identifican mediante un ID de VLAN entre 1006 y 4094.El protocolo de enlace troncal de la VLAN VTP (que lo veremos más adelante) sólo aprende las VLAN de rango normal y no las de rango extendido.
