CCNP SWITCH 642-813 Official Certification Guide (Part II – Chapter 4.3 VLAN Trunk Configuration)

3. VLAN Trunk Configuration (Configuración de Enlaces Troncales)

Por defecto los puertos de capa 2 de los switches son puertos de acceso, para que estos funcionen como puertos de enlace troncal deben ser configurados como se muestra a continuación:

switch(config)#interface type mod/port

switch(config-if)#switchport

switch(config-if)#switchport mode trunk encapsulation {isl | dot1q | negotiate}

switch(config-if)#switchport trunk native vlan vlan-id

switch(config-if)#switchport trunk allowed vlan {vlan-list | all | { add | except | remove } vlan-list}

switch(config-if)#switchport mode {trunk | dynamic {desirable | auto}}

En la configuración de enlaces troncales intervienen varios parámetros, uno de los cuales es la encapsulación. Este lo podemos configurar de tres formas diferentes:

  • isl: el trunk se forma utilizando ISL.
  • dot1q: el trunk se forma utilizando IEEE 802.1Q.
  • negotiate: el trunk se forma utilizando el protocolo DTP de Cisco.

El comando switchport trunk native vlan sólo se utiliza con la encapsulación dot1q e identifica que VLAN será nativa o de administración, por lo tanto no llevará etiqueta alguna.

El comando switchport trunk allowed vlan se utiliza para añadir o borrar VLANs de un enlace troncal, aunque la opción except lo que hará será permitir todas excepto las que le indiquemos.

El comando switchport mode {access | trunk | dynamic {desirable | auto}} se utiliza para configurar el puerto en el modo adecuado.  La siguiente tabla describe las combinaciones de modos y el estado final del puerto al que se llega, asumiendo que ambos lados tienen DTP habilitado. Con el comando switchport nonegotiate se desactiva DTP.

Combinación modos y estado final del puerto

Es importante tener en cuenta que en los casos en los tengamos demasiado tráfico en un enlace troncal, se puede configurar no solo en una interfaz individual sino que también se puede utilizar la agregación FastEtherChannel o GigabitEtherChannel ampliando así el ancho de banda del enlace.

Para ver el estado de un enlace troncal utilizaremos el comando show interface type mod/port trunk o show interface trunk, como se muestra a continuación:

show interface type mod/port trunk

Ejemplo de configuración de un enlace troncal

En el siguiente ejemplo 2 switches están conectados mediante un enlace troncal a través de sus interfaces GigabitEthernet 2/1. Aunque existen varias VLANs configuradas, sólo se transportarán a través del enlace troncal las VLANs comprendidas entre la 100 y la 105. La VLAN 100 es la nativa y se utiliza encapsulación 802.1Q.

Más abajo se muestran algunos comandos show aplicados al ejemplo, se observan en ellos las interfaces troncales y las que no están activas entre otros conceptos.

SwitchB(config)#interface gigabitethernet 2/1

SwitchB(config-if)#switchport trunk encapsulation dot1q

SwitchB(config-if)#switchport trunk native vlan 100

SwitchB(config-if)#switchport trunk allowed vlan 100-105

SwitchB(config-if)#switchport mode dynamic desirable

SwitchB#show interface gigabitethernet 2/1 trunk

SwitchB#show interface status

Bien, ahora queremos eliminar la VLAN 103 para que no sea transportada por el enlace troncal, esto lo podemos hacer de dos formas distintas:

SwitchB(config)#interface gigabitethernet 2/1

SwitchB(config-if)#switchport trunk allowed vlan 100-102, 104-105

o

SwitchB(config-if)#switchport trunk allowed vlan remove 103

Para completar el ejemplo vamos a configurar el switchA:

SwitchA(config)#interface gigabitethernet 2/1

SwitchA(config-if)#switchport trunk encapsulation dot1q

SwitchA(config-if)#switchport trunk native vlan 100

SwitchA(config-if)#switchport trunk allowed vlan 100-105

SwitchA(config-if)#switchport trunk allowed vlan remove 103

SwitchA(config-if)#switchport mode dynamic desirable

Ahora vamos a ver un ejemplo práctico, con el que utilizaremos el fichero Red VLAN.pkt que utilizamos en el punto 4.1 Virtual VLANs.

Red con VLAN (Datos, Predeterminada, Administración, ...)

Lo primero que vamos a hacer, es realizar la configuración de los enlaces troncales. Para ello, haremos lo siguiente:

Primero verificaremos que VLANs tenemos que pasar por los enlaces troncales. En este caso, pasarán todas las VLANs debido a que existen equipos (PC, Teléfonos IP) ubicados en el Switch S2 que se tienen que comunicar con los equipos ubicados en el Switch S3.

A continuación configuraremos los Switches S2, S1 y S3 de la siguiente forma (debemos tener en cuenta que hay muchos comandos que no se pueden configurar con Packet Tracer):

Para comprobar la configuración del enlace troncal podemos utilizar los siguientes comandos:

show interface trunk

show interface fastethernet 0/1 switchport

Una vez realizada la configuración de los enlaces troncales, podemos comprobar que tenemos visibilidad entre VLANs realizando un PING desde el PC1 hasta el PC4, desde el PC2 hasta el PC5 y desde Pc3 hasta PC6.

Si intentamos realizar un ping desde PC1 a cualquier equipo que no esté configurado en la misma VLAN, este nos devolverá Request timed out (Tiempo de respuesta agotado) tal y como se muestra a continuación.

Ahora vamos a eliminar la VLAN 10 del enlace troncal del switch S2 para comprobar que la comunicación entre PC1 y PC4 ya no es posible. Para realizar esto podemos hacerlo de dos formas diferentes:

Con esto finaliza la explicación de los enlaces troncales, para los que quieran practicar, os dejo un enlace  donde tenéis unos cuantos ejemplos.

Saludos a tod@s,

JMHAlegre

Esta entrada fue publicada en CCNP SWITCH 642-813 Official Certification Guide (Part II – Chapter 4.3 VLAN Trunk Configuration), Cisco, SWITCH 642-813 y etiquetada , , , , , , , , , , , , , , , , , , . Guarda el enlace permanente.

12 respuestas a CCNP SWITCH 642-813 Official Certification Guide (Part II – Chapter 4.3 VLAN Trunk Configuration)

  1. Busteko dijo:

    Interesante entrada.
    Sobre todo, me ha venido de pm el cuadrito de “Combinación de modos y estado final del puerto”
    Salud.

  2. Martin dijo:

    Buenas Tardes

    Me podrias explicar la diferencia en cuanto a notificaciones, entre SNMP y Syslog. Muchas gracias y felicitaciones por tu blog, se parende mucho.

    Saludos

  3. Martin dijo:

    Muchas gracias Juan !!

  4. Martin dijo:

    Buenas Tardes Juan
    Te hago una consulta con respecto a la configuracion de puertos SPAN en switchs de cisco. Cisco dice que las interfaces deben ser monitoreadas en ambas direcciones (both), mientras
    que las VLANs deben ser monitoreadas sólo en una dirección. A que se refiere con esto ?, no se puede realizar una copia del trafico de las vlans en ambas direcciones (rx y tx)? Muchas gracias

    Saludos

    • Que yo sepa tu marcas como origen lo que quieres monitorizar (Interface o Vlan) y le indicas el destino que será la máquina que recibe el tráfico a monitorizar.

      Sintaxis: monitor session [SPAN session number] [interface/vlan] [both/rx/tx]

      Ejemplo: monitor session 1 source vlan 2 both

      Te pongo unos ejemplos:

      Ejemplo de monitorización de una Interface
      ——————————————
      Router(config)#monitor session 1 source interface fa 0/2 [both/rx/tx]
      Router(config)#monitor session 1 destination interface fa 0/3

      Podemos especificar si es el tráfico entrante o saliente con rx o tx después de la interfaz.

      Ejemplo de monitorización de una vlan
      ————————————-
      Router(config)#monitor session 1 source vlan 1 [both/rx/tx]
      Router(config)#monitor session 1 destination interface fa 0/3

      También podemos hacerlo sobre un puerto trunk y monitorizar solo las vlanes que creamos oportunas si fa0/2 fuera un puerto trunk
      ——————————————————————————————————————————–
      Router(config)#monitor session 1 source interface fa 0/2 [both/rx/tx]
      Router(config)#monitor session 1 destination interface fa 0/3
      Router(config)#monitor session 1 filter vlan 1-3, 229

      Para verificar el resultado se puede hacer con show monitor session numero-sesion, el destino siempre tiene que ser puerto físico, aunque el origen pueda ser un puerto un portchannel o una vlan (o varias).

      Router#show monitor session 1
      Session 1
      ———
      Source Ports:
      RX Only: None
      TX Only: Fa0/0
      Both: None
      Source VLANs:
      RX Only: None
      TX Only: None
      Both: None
      Destination Ports: Fa0/2
      Filter VLANs: None

      Por cierto, sobre el tema que me comentaste el otro día, cuando hacias un ping desde una maquina a la otra y no te respondía. Te puedo confirmar que seguramente tenías deshabilitado en los interfaces del switch la opción switchport(L2). En los switches de L3 los interfaces por defecto vienen configurados como switchport(L2), si haces un no switchport en el interface, verás que ya no te responde el equipo.

      Te envió un ejemplo hecho con Packet Tracer. Si haces un ping desde el equipo PC0 192.168.1.1 al PC1 192.168.1.2 verás que no responde. Ahora te vas al switch y ejecutas la siguiente configuración:

      Switch>
      Switch>enable
      Switch#conf term
      Enter configuration commands, one per line. End with CNTL/Z.
      Switch(config)#interface fa0/1
      Switch(config-if)#switchport
      Switch(config-if)#

      Ahora vuelve a probar de hacer el ping desde PC0 a PC1 (tarda un poco, si la primera no te responde vuelve a probarlo), verás como ahora te responde a Ping.

      Un saludo,

      Juan M. Huertas Alegre

  5. Martin dijo:

    Perfecto, muchisimas gracias Juan. Me quedo super claro🙂

  6. Martin dijo:

    Buenas Juan

    Tengo varias dudas con respecto a la seguridad de datos. Estoy viendo el algoritmo de hashing MD5 cuya funcion es asegurar la integridad de los datos (no el cifrado). Mi duda es, dado un mensaje, se calcula el hash del mismo y se agrega al mensaje, el destinatario recibe el mensaje, realiza el calculo y si es igual al recibido lo da por valido. Ahora, a que se refiere cisco cuando dice que MD5 puede ser vulnerable y en muchos casos se reemplaza por SHA-1 ??, quiero decir, que consecuencias puede traer el descifrado de MD5 si lo unico que ha calculado es el hashing del mensaje, que por cierto el mensaje no va cifrado, va en texto plano. Muchas gracias.
    Saludos

    • Hola Martín,

      En cuanto al tema MD5 o SHA. Puedes encontrar mucha información en el CCNA Security (IINS) “capítulo 7” donde se tratan temas de criptología.

      En concreto el capítulo 7.2.2 habla de Integridad con MD5 y SHA-1.

      Saludos,

      JMHAlegre

  7. Agio dijo:

    Que excelente blog!
    Sigue adelante . Saludos desde Perù

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s