CCNP SWITCH 642-813 Official Certification Guide (Part II – Chapter 4.1 Virtual VLANs)

Publicado el 8 enero, 2012 por Juan Miguel Huertas Alegre

1. Virtual LANs (Redes Virtuales)

Una red construida sobre dispositivos de capa 2  es conocida como «red plana». Este tipo de redes se componen de un único dominio de difusión, es decir, las peticiones de broadcast inundan toda la red, si a este dominio de difusión le añadimos más host, aumentarán las peticiones de broadcast provocando que la red se sature.

Ejemplo de Dominio de Difusión (Broadcast)

En el siguiente ejemplo se muestra una red plana en la cual tenemos 3 Switches y 6 PC. Los Switches tienen la configuración por defecto y los PCs se han configurado en la red 172.17.1.0/24, de esta forma todos los PCs se ven unos con otros.

Dominio de Difusión (Broadcast)

A continuación vamos a realizar un ping desde el PC1 hasta el PC6 mediante Packet Tracer, lo que provocará que primero se realice una petición ARP (Address Resolution Protocol) para encontrar la dirección hardware (MAC) que corresponde a una determinada dirección IP. Si la petición ARP resulta exitosa, a continuación se lanzará la petición ICMP (Ping) para comprobar que tenemos visibilidad entre los dos PCs.

Lo primero que tenemos que hacer es instalar la herramienta Packet Tracer, una vez instalada, nos descargamos el ejercicio «Broadcast.pkt» y lo abrimos con Packet Tracer.

A continuación veremos que en la parte inferior derecha se muestra un reloj cuya descripción es Tiempo Real, si pulsamos el reloj que hay detrás de este, esto cambiará y nos mostrará un cronómetro cuya descripción es Simulación. Una vez situados en modo simulación, pulsaremos sobre un icono representado con un «sobre cerrado» y un símbolo «+» el cual está definido como «Agregar PDU Simple«, seleccionaremos el PC1 y a continuación el PC6. 

PDU Simple (Ping + ARP desde PC1 a PC6)

 Ahora sólo tenemos que pulsar sobre Auto Captura/Reproducir para ejecutar la PDU y ver el resultado paso a paso.

Resultado paso a paso

Lo primero que hará es intentar resolver la dirección IP de destino en una dirección hardware (MAC) conocida, para ello lanzará una petición de ARP.

  1. Petición ARP de PC1 a switch S2.
  2. Petición ARP de switch S2 a PC2, PC3 y switch S1.
  3. Petición ARP de switch S1 a switch S3.
  4. Petición ARP de switch S3 a PC4, PC5 y PC6.
  5. Respuesta petición ARP desde PC6 al switch S3.
  6. Respuesta petición ARP desde switch S3 al switch S1.
  7. Respuesta petición ARP desde switch S1 al switch S2.
  8. Respuesta petición ARP desde switch S2 al PC1.

Una vez localizada, esta es almacenada en la tabla MAC, como podemos comprobar en el switch S2 mediante el comando show mac-address-table. Si comparamos las direcciones MAC obtenidas de ejecutar el comando anterior con la dirección MAC del PC6 veremos que existe una coincidencia.

Coincidencia (MAC) Switch S2 y PC6

Ahora que ya conocemos la dirección MAC de PC6, podemos realizar la petición ICMP. Esta es similar a la petición ARP, sólo que en esta ocasión conocemos el camino que debe seguir gracias a que la dirección MAC está almacenada en todos los switches (S1, S2 y S3), indicando porque puerto tenemos que realizar la petición.

Y aquí es donde entran las VLAN (Virtual LAN), una VLAN es una subred IP separada de manera lógica. Estas permiten que redes IP y subredes múltiples existan en la misma red conmutada. La figura muestra una red con 6 PCs, para que estas se comuniquen en la misma VLAN, deben tener una dirección IP y una máscara de subred consistente con esa VLAN. En el switch se deben dar de alta las VLANs y asignar a cada puerto la VLAN correspondiente. Un puerto de switch con una VLAN configurada se denomina puerto de acceso. Debemos recordar que si dos PC están conectadas físicamente en el mismo switch no significa que estos se puedan comunicar. Los dispositivos en dos redes y subredes separadas se deben comunicar a través de un router (Capa 3), se utilicen o no las VLAN.

  • Red Virtual 1 (Vlan 10) – PC1 y PC4 – Marketing – Red 172.17.10.0/24.
  • Red Virtual 2 (Vlan 20) – PC2 y PC5 – Contabilidad – Red 172.17.20.0/24.
  • Red Virtual 3 (Vlan 30) – PC3 y PC6 – Finanzas – Red 172.17.30.0/24.

Ventajas VLANs

Existen ciertas ventajas a la hora de trabajar con VLANs, entre las cuales podemos destacar:

  1. Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo la posibilidad de que ocurran violaciones de información confidencial.
  2. Reducción de costes: el ahorro en el coste es resultado de la poca necesidad de realizar actualizaciones de red caras y más uso eficiente de los enlaces y el ancho de banda existente.
  3. Mejor rendimiento: la división de las redes planas de Capa 2 en múltiples grupos lógicos de trabajo (dominios de broadcast) reduce el tráfico innecesario en la red y potencia el rendimiento.
  4. Mitigación de la tormenta de broadcast: la división de una red en VLANs reduce la cantidad de dispositivos que pueden participar en una tormenta de broadcast. La segmentación de la LAN impide que una tormenta de broadcast se propague a toda la red. En la figura puede observar que, a pesar de que hay seis PC en esta red, hay sólo tres dominios de broadcast (Marketing, Contabilidad y Finanzas).
  5. Mayor eficiencia del personal de TI: las VLANs facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN. Cuando se configura un switch nuevo, todas las políticas y procedimientos que se configuraron para una VLAN concreta se implementan en el momento en el que se asignan los puertos. También es fácil para el personal de TI identificar la función de una VLAN proporcionándole un nombre. En la figura, para una identificación más fácil se nombró «Marketing» a la VLAN 10, «Contabilidad» a la VLAN 20 y «Finanzas» a la VLAN 30.
  6. Administración de aplicación o de proyectos más simples: las VLANs agregan dispositivos de red y usuarios para admitir los requerimientos geográficos o comerciales. Tener funciones separadas hace que gestionar un proyecto o trabajar con una aplicación especializada sea más fácil, como por ejemplo un software de contabilidad para el departamento de Contabilidad. También es fácil determinar el alcance de los efectos de la actualización de los servicios de red.

Tipos de VLANs

Hoy en día, existe una manera de implementar las VLANs (VLAN basada en puerto), una VLAN basada en puerto se asocia con un puerto al cual se denominado puerto de acceso VLAN. Sin embargo, en las redes actuales, existe una variedad de términos para las VLANs, algunos de ellos definen el tipo de tráfico de red que envían y otros definen una función específica que desempeña esa VLAN. A continuación, se describe la terminología común de las VLANs:

VLAN de Datos

Una VLAN de datos es una VLAN configurada para enviar sólo tráfico de datos generado por el usuario. Una VLAN podría enviar tráfico basado en voz o tráfico utilizado para administrar el switch, pero este tráfico no sería parte de una VLAN de datos. Es una práctica común separar el tráfico de voz y de administración del tráfico de datos. La importancia de separar los datos del usuario del tráfico de voz y del control de administración del switch se destaca mediante el uso de un término específico para identificar las VLAN que sólo pueden enviar datos del usuario: una «VLAN de datos». A veces, a una VLAN de datos se la denomina VLAN de usuario.

VLAN Predeterminada

Todos los puertos de switch se convierten en un miembro de la VLAN predeterminada al iniciar un switch. Esto significa que todos los puertos del switch forman parte del mismo dominio de broadcast. La VLAN predeterminada para los switches de Cisco es la VLAN 1, esta tiene todas las características de cualquier VLAN, excepto que no la puede volver a denominar y no la puede eliminar. El tráfico de control de Capa 2, como CDP y el tráfico del protocolo spanning tree se asociará siempre con la VLAN 1: esto no se puede cambiar. Es una práctica habitual cambiar la VLAN 1 (Predeterminada) por otra VLAN, ya que con esto optimizamos la seguridad. Esto implica configurar todos los puertos en el switch para que se asocien con una VLAN predeterminada que no sea la VLAN 1.

VLAN Nativa

Una VLAN nativa está asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1Q admite el tráfico que llega de muchas VLANs (tráfico etiquetado – tagged) como también el tráfico que no llega de una VLAN (tráfico no etiquetado – untagged). El puerto de enlace troncal 802.1Q coloca el tráfico no etiquetado en la VLAN nativa. El tráfico no etiquetado lo genera una computadora conectada a un puerto del switch que se configura con la VLAN nativa. Las VLAN se establecen en la especificación IEEE 802.1Q para mantener la compatibilidad retrospectiva con el tráfico no etiquetado común para los ejemplos de LAN antigua. Para nuestro fin, una VLAN nativa sirve como un identificador común en extremos opuestos de un enlace troncal. Es una optimización usar una VLAN diferente de la VLAN 1 como la VLAN nativa.

VLAN de Administración

Una VLAN de administración es aquella con la que el administrador y solo el administrador tendrá la capacidad de administrar la electrónica de red (switches, router, …). La VLAN 1 serviría como VLAN de administración, pero en la práctica habitual es aconsejable cambiar esta VLAN por otra diferente. A esta VLAN se le asigna una dirección IP y una máscara de subred, de esta forma podremos acceder al switch (HTTP, Telnet, SSH o SNMP) a través de su dirección IP.

VLAN de voz

Es fácil apreciar por qué se necesita una VLAN separada para admitir la Voz sobre IP (VoIP). Imagine que está recibiendo una llamada de urgencia y de repente la calidad de la transmisión se distorsiona tanto que no puede comprender lo que está diciendo la persona que llama. El tráfico de VoIP requiere:

  • Ancho de banda garantizado para asegurar la calidad de la voz.
  • Prioridad de la transmisión sobre los tipos de tráfico de la red.
  • Capacidad para ser enrutado en áreas congestionadas de la red.
  • Demora de menos de 150 milisegundos (ms) a través de la red. 

A continuación se muestra un ejemplo práctico de una red realizada con Packet Tracer en la cual se han configurado los tipos de VLANs mencionados anteriormente (Red VLAN.pkt).

Red con VLAN (Datos, Predeterminada, Administración, ...)

La configuración de las VLAN está pensada para realizarla en la capa de acceso donde se agregan los host, y estas se pueden configurar de forma estática o dinámica.

VLANs estáticas: Las VLAN estáticas se configuran por medio de la utilización del CLI de Cisco o con la aplicación de administración de GUI, una vez configuradas las VLANs, se asignan manualmente dichas VLANs a cada uno de los puertos de un switch. Aunque yo recomiendo la utilización del CLI para realizar cualquier tipo de configuración, ya que de esta forma obtendremos un mayor aprendizaje de los comandos Cisco.

VLANs dinámicas: La asignación se realiza mediante paquetes de software tales como el Cisco Works 2000. Con el VMPS (VLAN Policy Server o Servidor de Directivas de la VLAN), el administrador de la red puede asignar los puertos que pertenecen a una VLAN de manera automática basándose en información tal como la dirección MAC del dispositivo que se conecta al puerto o el nombre de usuario utilizado para acceder al dispositivo. En este procedimiento, el dispositivo que accede a la red, hace una consulta a la base de datos de miembros de la VLAN.

Configuración de VLANs Estáticas

Por defecto los puertos de un switch están asociados a la VLAN 1, sin embargo es posible utilizar VLAN con otra numeración, esta la podemos clasificar en dos tipos de rangos (Rango Normal y Rango Extendido).

VLANs de rango Normal

  • Se utiliza en redes de pequeños y medianos negocios y empresas.
  • Se identifica mediante un ID de VLAN entre 1 y 1005.
  • Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI.
  • Los ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar. 
  • Las configuraciones se almacenan dentro de un archivo de datos de la VLAN, denominado vlan.dat. El archivo vlan.dat se encuentra en la memoria flash del switch.
  • El protocolo de enlace troncal de la VLAN (VTP), que ayuda a gestionar las configuraciones de la VLAN entre los switches, sólo puede asimilar las VLAN de rango normal y las almacena en el archivo de base de datos de la VLAN.

VLANs de rango Extendido

  • Posibilita a los proveedores de servicios que amplíen sus infraestructuras a una cantidad de clientes mayor. Algunas empresas globales podrían ser lo suficientemente grandes como para necesitar los ID de las VLAN de rango extendido.
  • Se identifican mediante un ID de VLAN entre 1006 y 4094.
  • Admiten menos características de VLAN que las VLAN de rango normal.
  • Se guardan en el archivo de configuración en ejecución.
  • VTP no aprende las VLAN de rango extendido.

El proceso para realizar la configuración de una VLAN es el siguiente:

    Switch(config)#vlan vlan-num

    Switch(config-vlan)#name vlan-name

Si no indicamos el nombre de la VLAN, este utilizará un nombre compuesto por la palabra VLAN seguida del número de VLAN (Ejemplo VLAN98), para facilitar la administración es recomendable nombrar las VLANs.

Para eliminar una VLAN haremos lo siguiente:

    Switch(config)#no vlan vlan-num

Si lo que queremos es eliminar todas las VLANs, lo podemos hacer eliminando el fichero vlan.dat de la memoria flash.

Una vez creada la VLAN, es necesario asignar a ésta los puertos necesarios siguiendo el siguiente proceso:

    Switch(config)#interface type module/number

    Switch(config-if)#switchport

    Switch(config-if)#switchport mode access

    Switch(config-if)#switchport access vlan vlan-num

El comando switchport cuando no lleva argumentos, lo que hace es indicarle al switch que se trata de un puerto de capa 2, en los switch multicapa de Cisco, por defecto todos los puertos son de capa 3.

El comando switchport mode access, nos indica que ese puerto es de acceso, y es donde se conectarán los host, nunca otro switch.

Con el comando switchport access vlan se le indica que VLAN es la que asociamos al puerto de acceso.  Los dispositivos o host que se conecten a un puerto de acceso, no conocen el número de la VLAN, el tráfico es etiquetado a la VLAN una vez llega al puerto del switch correspondiente.

Una vez configurados los puertos y asociados cada uno a su VLAN, se puede proceder a comprobar que la configuración es correcta mediante el comando show vlan, el cual nos mostrará un resultado parecido al que mostramos a continuación:

Comando show vlan

Diseño de VLANs

Existen consideraciones de diseño que aunque parezcan obvias debemos recordar. Se recomienda una VLAN por cada subred IP, aunque es posible utilizar varios rangos en una misma VLAN, no es nada recomendable.

Otro factor de diseño importante, es no permitir que las VLANs se propaguen más allá de la capa de distribución, es decir, que no estén presentes en el core siempre que sea posible, de tal manera que el tráfico de broadcast permanezca lo más alejado del mismo, aunque esto no siempre es viable, para ello hay dos modelos a seguir:

VLAN Extremo a Extremo (end-to-end VLANs):

Comprende de las siguientes características:

  • La afiliación de usuarios a cada VLAN es en base al departamento o función de trabajo, sin considerar donde los usuarios están localizados.
  • Todos los usuarios en una VLAN deben tener el mismo patrón de flujo de tráfico 80/20.
  • La agrupación de usuarios a cada VLAN no debe cambiar cuando ellos son reubicados dentro del campus.
  • Cada VLAN tiene un conjunto de requerimientos de seguridad para todos los miembros.

En la siguiente figura, los servidores de grupo de trabajo operan en el modelo cliente/servidor. Por esta razón, los usuarios son asignados a la misma VLAN con el servidor que ellos utilicen, y así maximizar el desempeño de la conmutación de capa 2 y mantener localizado el tráfico. Es decir la VLAN extremo a extremo permite a los dispositivos ser agrupados en base al uso de recursos.

La red es diseñada en base al patrón de flujo de tráfico, para tener un 80 por ciento del tráfico contenido dentro de la VLAN, y el restante 20 por ciento que cruce el router para tener acceso a servidores de la empresa, al internet y a la WAN.

Ejemplo VLAN end-to-end

VLAN Locales (Local VLANs):

Cuando redes corporativas tienden a centralizar sus recursos, las VLANs extremo a extremo (80/20), llegan a ser difícil de mantener. Los usuarios utilizan diferentes recursos, muchos de los cuales no se encuentran en su propia VLAN. Este cambio en el uso de recursos requiere que las VLANs sean creadas alrededor de fronteras geográficas en lugar de fronteras comunes.

Esta localización geográfica puede ser tan grande como un edificio entero o tan pequeño como un simple switch dentro de un armario. En una estructura de VLAN geográfica, es típico encontrar la nueva regla 20/80 en efecto. Esto significa que el 20 por ciento del tráfico se mantiene dentro de la VLAN local y el 80 por ciento del tráfico de la red viaja fuera de la VLAN local. Aunque esta topología significa que el 80 por ciento de los servicios de los recursos deben viajar a través de un dispositivo de capa 3, éste diseño permite a las redes proveer un método determinístico y consistente para acceder a los recursos.

Ejemplo VLAN Local

Un saludo a tod@s,

JMHAlegre

Esta entrada fue publicada en CCNP SWITCH 642-813 Official Certification Guide (Part II – Chapter 4.1 Virtual VLANs), Cisco, SWITCH 642-813 y etiquetada , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , . Guarda el enlace permanente.

2 respuestas a CCNP SWITCH 642-813 Official Certification Guide (Part II – Chapter 4.1 Virtual VLANs)

  1. Francisco dijo:
    23 marzo, 2012 en 2:42

    Excelente… Continúa Así…

    Responder

Deja un comentario