Creando y administrando VLANs. I

En algunos entornos a veces es necesario la creación de VLANs (Virtual Local Area Networks), ya que es muy común el tener varias redes separadas pero en el mismo sitio físicamente. Es decir utilizar el mismo switch, y la misma salida a Internet para las redes existentes. Cuando creamos VLANs, estamos reduciendo costos ya que las nuevas redes que creemos utilizaran los mismos segmentos de red, obtenemos un mejor rendimiento ya que en cierta medida estamos reduciendo el numero de equipos por red, y con ello conseguimos reducir los dominios de difusión (Recordemos que cuando un dispositivo de una red desea enviar un paquete en la capa 2 por broadcast, este paquete llega a todos los equipos que haya en el switch, esto se denomina Dominio de Difusión).

Tipos de VLAN

Existen distintos tipos de VLAN, estas son utilizadas en diferentes ambitos:

  • VLAN de datos: Es la vlan común utilizada por los usuarios para transportar datos; esta VLAN también es llamada VLAN de usuarios.
  • VLAN predeterminada: De manera predeterminada en todos los switch Cisco, cuando este arranca todas las interfaces del mismo pasan a formar parte de la VLAN predeterminada.
  • VLAN nativa: Esta VLAN se asigna a un puerto troncal, el cual esta designado a transportar datos de varias VLAN. Esta VLAN admite trafico con y sin etiquetado. Este etiquetado hace referencia a un campo de 4bytes en la cabecera del paquete que indica la VLAN a la cual pertenece. Cuando llega un paquete sin etiquetar se coloca en la VLAN 1, que es la VLAN predeterminada.
  • VLAN de administración: Esta puede ser cualquier VLAN que se configure para el acceso a la administración de los dispositivos. De manera predeterminada la VLAN 1, suele ser la VLAN de administración. A esta se le asigna una dirección IP y una máscara para poder acceder mediante algún protocolo de control remoto. Si se desea acceder desde fuera de la LAN habría que asignarle un Gateway.
  • VLAN de voz:  Se suele utilizar una VLAN separada para la transmisión de datos VOIP.

Enlaces troncales

Antes hablaba de puerto troncal, y con ello me refería al puerto por el cual circula todo el trafico de las VLANs existentes en la LAN, los enlaces troncales hacen referencia al enlace entre switchs por el cual circulará todo el tráfico etiquetado. Esta etiqueta de la que hablo es de 4 bytes y se añade  en la cabecera de los paquetes 802.1 y gracias a ella existen las VLANs.

dot1q
Imagen 1. 802.1q o dot1q

En la imagen 1, el paquete original es el superior y el modificado con la etiqueta es el central, abajo del todo encontramos la etiqueta desglosada con sus diferentes campos los cuales son los siguientes:

  • Tipo: es un valor de 2 bytes denominado “ID de protocolo de etiqueta” (TPID). Para Ethernet, este valor se establece en 0x8100 hexadecimal.
  • Prioridad de usuario: es un valor de 3 bits que admite la implementación de nivel o de servicio.
  • Identificador de formato canónico (CFI): es un identificador de 1 bit que habilita las tramas Token Ring que se van a transportar a través de los enlaces Ethernet.
  • ID de VLAN (VID): es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID de VLAN.

En el campo ID de VLAN hay 12 bits que permiten 4096 ID de VLAN, las cuales estan definidas en distintos rangos.

Rangos de VLAN

Hay dos tipos de rangos, Rango Normal y Rango Extendido. Las VLAN de rango normal van desde la 1 hasta la 1005, las de rango extendido van desde la 1006 hasta la 4094.

Rango normal

  • Van desde el 1 al 1005.
  • Se utiliza en redes pequeñas.
  • Las VLAN de 1002 a 1005 se crean automáticamente y no se pueden borrar; son utilizadas para Token Ring y FDDI (Imagen 2).
  • Se almacenan en el fichero VLAN.DAT que se almacena en la memoria Flash.
  • El protocolo de enlace troncal de VLAN (VTP), que permite administrar la configuración de VLAN entre los switches, solo puede descubrir y almacenar redes VLAN de rango normal.

Rango Extendido

  • Van desde la 1006 a la 4094.
  • Posibilita a los grandes proveedores de servicios la creación de una cantidad mayor de VLANs  para proporcionar sus servicios.
  • Las configuraciones no se escriben en el archivo vlan.dat, a diferencia de las VLANs de rango normal.
  • Admiten menos características que las VLANs de rango normal.
  • Se guarda en el archivo de ejecución de manera predeterminada.
  • VTP no aprende las VLAN de rango extendido.
shvlanbrie
Imagen 2. Show VLAN brief

Creando una VLAN

Para crear una VLAN debemos ejecutar los siguientes comandos:

S1# Configure terminal
S1(Config)# vlan ID-VLAN
S1(Config-vlan)# name NOMBRE-VLAN
S1(Config-vlan)# end

Se pueden generar varias VLANs a la vez poniendo los IDs separados con comas, por ejemplo:

S1(Config)# vlan 100,200,300

O un rango ejecutando:

S1(Config)# vlan 100-102

shvlanbrief
Imagen 3.VLANs creadas con rangos.

También se puede realizar una combinación de ambas, ejecutando, por ejemplo:

S1(Config)# vlan 100,200,300-302

Si se detalla la imagen 3, se puede ver que por defecto todas las interfaces pertenecen a la VLAN por defecto que es la uno, si una de ella estuviese en otra VLAN y quisieramos quitar la interfaz de dicha VLAN, habría que ejecutar:

S1(Config)# interface ID-INTERFAZ
S1(Config-if)# no switchport access vlan
S1(Config-if)# end

Si quisiéramos borrar la VLAN como tal, deberíamos ejecutar:

S1(Config)# no vlan VLAN-ID

Si queremos borrar toda la configuración relacionada con las VLANs entonces deberíamos borrar el fichero VLAN.DAT normalmente ubicado en la memoria Flash del Switch, deberiamos ejecutar:

S1(Config)# delete flash:vlan.dat

Pero ¿que es esto de switchport?, bien, pues es el comando utilizado para definir el modo de la interfaz, y antes de continuar os paso a comentar cada uno de los modos existentes.

Modos de Interfaz

  • mode access : este modo coloca la interfaz en modo de enlace no troncal permanente y negocia para convertir el enlace en uno no troncal. Sobre todo se suele utilizar para los diferentes host de la red, como PC’s, Impresoras, etc… es decir todo aquello que no sea un enlace troncal.
  • mode dynamic auto : hace que la interfaz pueda convertir el enlace en un enlace troncal. La interfaz se convierte en una interfaz troncal si la interfaz vecina se establece en modo de enlace troncal o dynamic desirable. Este es el modo predeterminado para todas las interfaces. Las buenas practicas en seguridad de Cisco recomiendan siempre establecer un modo para todas las interfaces y no dejarlas en dynamic auto.
  • mode dynamic desirable : hace que la interfaz intente convertir el enlace en un enlace troncal de manera activa. La interfaz se convierte en una interfaz troncal si la interfaz vecina se establece en modo de enlace troncal, dynamic desirable o dynamic auto. Este es el modo de switchport predeterminado en los switches antiguos.
  • mode trunk : coloca la interfaz en modo de enlace troncal permanente y negocia para convertir el enlace en uno troncal. La interfaz se convierte en una interfaz de enlace troncal, incluso si la interfaz vecina no es una interfaz de enlace troncal.
  • nonegotiate : evita que la interfaz genere tramas DTP (Dynamic Trunk Protocol). Solo es utilizable cuando la interfaz esta en modo access o trunk.

Configurando una VLAN

Vamos a configurar una interfaz en modo acceso para la VLAN 200, por ejemplo:

S1# configure terminal; Entra en el modo de configuración global

S1(config)# interface et0/1; Configura la interfaz Ethertnet 0/1

S1(config-if)# switchport mode access; establece la interfaz en modo acceso

S1(config-if)# switchport access vlan 200; le asigna la pertenencia a la VLAN 200

S1(config-if)# end; sale del modo configuración de interfaz

Y una interfaz en modo troncal:

S1# configure terminal; Entra en el modo de configuración global

S1(config)# interface et3/3; Configura la interfaz Ethertnet 3/3
S1(config-if)# switchport mode trunk; El puerto establece una negociación de protocolo de enlace troncal dinámico DTP

S1(config-if)# switchport trunk encapsulation dot1q; activa el protocolo 802.1q para la interfaz troncal
S1(config-if)# switchport trunk native vlan 1; Específica la VLAN nativa para enlaces troncales 802.1Q sin etiquetar
S1(config-if)# switchport trunk allowed vlan 200; lista de VLANs permitidas

Tengamos en cuenta que al ejecutar el comando switchport mode trunk en una interfaz, que este conectada a otro Switch, hará que este también se convierta en modo troncal. Recordemos que el modo por defecto es dynamic desirable.

Veamos un ejemplo de la siguiente red (Imagen 4)

red
Imagen 4. Red de ejemplo.

Tenemos dos Switch unidos a través del puerto e3/3, este es un enlace troncal; de los switch derivan 2 maquinas por cada, 1 con S.O Windows y otra con GNU/Linux. La configuración establecida en los switch establece que el puerto e0/0 del switch 1 sea de la VLAN 400 con nombre WINDOWSDOCS y el puerto e0/1 sea de la VLAN 200 con nombre GNULINUXDOCS, en el Switch es igual para los host establecidos.

switch1
Imagen 5. Switch 1
switch2
Imagen 6. Switch 2

El puerto e3/3 (en ambos switchs) tiene la VLAN 1 como nativa y permiten el trafico de las VLAN 200 y 400. Entonces haremos las siguientes pruebas:

  • Un ping desde Asterisk (.130) a Debian (.120) (Imagen 7)
  • Un ping desde Windows 2012 Server (.140) a Asterisk (.130) (Imagen 8)
asteriskadebian
Imagen 7. Ping desde Asterisk a Debian
windowsaasterisk
Imagen 8. Ping desde Windows 2012 Server a Asterisk

Como podeis detallar la VLAN 200 no tiene comunicación con la 400, y si vamos un poco más allá y analizamos los paquetes que viajan a través de la red, haciendo una captura con Wireshark, podemos ver que cuando Windows 2012 Server hace un ping, antes de hacerlo utiliza el protocolo ARP para saber la dirección física (MAC) de Asterisk, enviando una solicitud ARP, que nunca es respondida, a pesar de estar en el mismo switch (Imagen 9).

El análisis con Wireshark del enlace troncal entre los switch nos demuestra como el ping es correctamente respondido. (Imagen 10)

wiresharkpingw2012
Imagen 9. Análisis con Wireshark de e0/0
wiresharkpingasterisk
Imagen 10. Análisis con Wireshar de e3/3.

En la siguiente entrada hablare sobre seguridad en VLANs.

2 comentarios sobre “Creando y administrando VLANs. I

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s