diseño de vlans
TRANSCRIPT
-
7/24/2019 Diseo de VLANs
1/5
Diseo de VLANs
Se recomienda una VLAN por cada subred IP, aunque es posible utilizar varios
rangos en una misma VLAN, no es nada recomendable.
Otro factor de diseo importante, es no permitir que las VLANs se propaguen m!sall! de la capa de distribuci"n, es decir, que no est#n presentes en el core siempre
que sea posible, de tal manera que el tr!fico de broadcast permanezca lo m!s
ale$ado del mismo, aunque esto no siempre es viable, para ello %a& dos modelos a
seguir'
VLAN Extremo a Extremo (end)to)end VLANs*'
+omprende de las siguientes caractersticas'
La afiliaci"n de usuarios a cada VLAN es en base al departamento o funci"n
de traba$o, sin considerar donde los usuarios est!n localizados.
-odos los usuarios en una VLAN deben tener el mismo patr"n de flu$o de
tr!fico /01/.
La agrupaci"n de usuarios a cada VLAN no debe cambiar cuando ellos son
reubicados dentro del campus.
+ada VLAN tiene un con$unto de requerimientos de seguridad para todos los
miembros.
VLAN Locales(Local VLANs*'
+uando redes corporativas tienden a centralizar sus recursos, las VLANs e2tremo a
e2tremo (/01/*, llegan a ser difcil de mantener. Los usuarios utilizan diferentes
recursos, muc%os de los cuales no se encuentran en su propia VLAN. 3ste cambio
en el uso de recursos requiere que las VLANs sean creadas alrededor de fronteras
geogr!ficas en lugar de fronteras comunes.
3sta localizaci"n geogr!fica puede ser tan grande como un edificio entero o tan
pequeo como un simple s4itc% dentro de un armario. 3n una estructura de VLAN
geogr!fica, es tpico encontrar la nueva regla 1/0/ en efecto. 3sto significa que el
1/ por ciento del tr!fico se mantiene dentro de la VLAN local & el / por ciento del
tr!fico de la red via$a fuera de la VLAN local.
-
7/24/2019 Diseo de VLANs
2/5
2. Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es
independiente del usuario o dispositivo conectado en el puerto. Esto significa que todos los
usuarios que se conectan al puerto sern !ie!bros de la !is!a VLAN. "abitual!ente es el
ad!inistrador de la red el que reali#a las asignaciones a la VLAN. $espu%s de que un puerto
&a sido asignado a una VLAN, a trav%s de ese puerto no se puede enviar ni recibir datosdesde dispositivos incluidos en otra VLAN sin la intervenci'n de algn dispositivo de capa .
Los puertos de un switchpueden ser de dos tipos, en lo que respecta a las caracter*sticas
VLAN+ puertos de acceso puertos trunk. -n puerto de acceso(switchport mode access)
pertenece nica!ente a una VLAN asignada de for!a esttica (VLAN nativa). La
configuraci'n predeter!inada suele ser que todos los puertos sean de acceso de la VLAN1.
En ca!bio, un puerto trunk(switchport mode trunk) puede ser !ie!bro de !ltiples VLAN.
or defecto es !ie!bro de todas, pero la lista de las VLAN per!itidas es configurable.
. Crea!os las VLAN en el switchtroncal, supone!os que este s/itc& acta de servidor se
sincroni#a con el resto+
Switch-troncal> enable
Switch-troncal# configure terminal
Switch-troncal(config)# vlan database
Switch-troncal(config-vlan)# vlan 10 name administracin
Switch-troncal(config-vlan)# vlan 20 name profesores
Switch-troncal(config-vlan)# vlan 0 name alumnos
Switch-troncal(config-vlan)# e!it
$efini!os co!o puertos trun0 los cuatro del s/itc& troncal+
Switch-troncal(config)# interface range g0"0 -
Switch-troncal(config-if-range)# switchport
Switch-troncal(config-if-range)# switchport mode trun
Switch-troncal(config-if-range)# switchport trun native vlan 10
Switch-troncal(config-if-range)# switchport trun allowed vlan 20$ 0
Switch-troncal(config-if-range)# e!it
A&ora &abr*a que definir en cada s/itc& de acceso qu% rango de puertos dedica!os a cada
VLAN. Va!os a suponer que se utili#an las interfaces f314 para la vlan ad!instracion,
f15,1 para vlan profesores f2367 para la vlan alu!nos.
Switch-1(config)# interface range f0"0 -1%
-
7/24/2019 Diseo de VLANs
3/5
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 10
Switch-1(config-if-range)# e!it
Switch-1(config)# interface range f0"1& -1
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 20
Switch-1(config-if-range)# e!it
Switch-1(config)# interface range f0"2 -'
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 0
Switch-1(config-if-range)# e!it
$efini!os co!o trun0 el puerto que conecta cada s/itc& de acceso con el troncal+
Switch-1(config)# interface g0"0
Switch-1(config-if)# switchport
Switch-1(config-if)# switchport mode trun
Switch-1(config-if)# switchport trun native vlan 10
Switch-1(config-if)# switchport trun allowed vlan 20$0
Switch-1(config-if)# e!it
En el routercrea!os una subinterfa# por cada VLAN transportada en el enlace trun0+
outer(config)# interface f2
outer(config-if)# no ip address
outer(config-if)# e!it
outer(config)# interface f2*1
outer(config-if)# encapsulation dot1+ 10 native
outer(config-if)# ip address 12*1&*10*1 2%%*2%%*2%%*0outer(config-if)# e!it
outer(config)# interface f2*2
outer(config-if)# encapsulation dot1+ 20
outer(config-if)# ip address 12*1&*20*1 2%%*2%%*2%%*0
outer(config-if)# e!it
outer(config)# interface f2*
-
7/24/2019 Diseo de VLANs
4/5
outer(config-if)# encapsulation dot1+ 0
outer(config-if)# ip address 12*1&*0*1 2%%*2%%*2%%*0
outer(config-if)# e!it
6. C'digo para configurar 8ub9edes con 14, 2 64 "ost de no!bres Contabilidad, Ventas Ad!inistrativo, siendo VLAN de Nivel 1
Switch-troncal> enable
Switch-troncal# configure terminal
Switch-troncal(config)# vlan database
Switch-troncal(config-vlan)# vlan 1% name contabilidad
Switch-troncal(config-vlan)# vlan 20 name ventasSwitch-troncal(config-vlan)# vlan 0 name administrativo
Switch-troncal(config-vlan)# e!it
$efini!os co!o puertos trun0 los cuatro del s/itc& troncal+
Switch-troncal(config)# interface range g0"0 -
Switch-troncal(config-if-range)# switchport
Switch-troncal(config-if-range)# switchport mode trun
Switch-troncal(config-if-range)# switchport trun native vlan 1%
Switch-troncal(config-if-range)# switchport trun allowed vlan 20$ '%
Switch-troncal(config-if-range)# e!it
A&ora &abr*a que definir en cada s/itc& de acceso qu% rango de puertos dedica!os a cada
VLAN. Va!os a suponer que se utili#an las interfaces f314 para la vlan ad!instracion,
f15,1 para vlan profesores f2367 para la vlan alu!nos.
Switch-1(config)# interface range f0"0 -1%
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 1%
Switch-1(config-if-range)# e!it
Switch-1(config)# interface range f0"1& -1
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
-
7/24/2019 Diseo de VLANs
5/5
Switch-1(config-if-range)# switchport access vlan 20
Switch-1(config-if-range)# e!it
Switch-1(config)# interface range f0"2 -'
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan '%
Switch-1(config-if-range)# e!it
$efini!os co!o trun0 el puerto que conecta cada s/itc& de acceso con el troncal+
Switch-1(config)# interface g0"0
Switch-1(config-if)# switchport
Switch-1(config-if)# switchport mode trunSwitch-1(config-if)# switchport trun native vlan 1%
Switch-1(config-if)# switchport trun allowed vlan 20$'%
Switch-1(config-if)# e!it
En el routercrea!os una subinterfa# por cada VLAN transportada en el enlace trun0+
outer(config)# interface f2
outer(config-if)# no ip address
outer(config-if)# e!it
outer(config)# interface f2*1
outer(config-if)# encapsulation dot1+ 1% native
outer(config-if)# ip address 12*1&*10*1 2%%*2%%*2%%*0
outer(config-if)# e!it
outer(config)# interface f2*2
outer(config-if)# encapsulation dot1+ 20
outer(config-if)# ip address 12*1&*20*1 2%%*2%%*2%%*0
outer(config-if)# e!it
outer(config)# interface f2*
outer(config-if)# encapsulation dot1+ '%outer(config-if)# ip address 12*1&*0*1 2%%*2%%*2%%*0
outer(config-if)# e!it