ADMINISTRACION DE LAS VLAN

Una VLAN de administración le otorga los privilegios de administración al administrador de la red, para manejar un switch en forma remota se necesita asignarle al switch una dirección IP y gateway dentro del rango de dicha subred para esta VLAN, como hemos mencionado anteriormente por defecto la VLAN de administración es la 1, en nuestro ejemplos modificaremos dicha VLAN, los pasos para configurar la VLAN de administración son los siguiente:

Ciscoredes# configure terminal

Ciscoredes(config)# interface vlan id

Ciscoredes(config-if)# ip address  a.a.a.a  b.b.b.b

Ciscoredes(config-if)# no shutdown

Ciscoredes(config-if)# exit

Ciscoredes(config)# interface interface-id

Ciscoredes(config-if)# switchport mode access

Ciscoredes(config-if)# switchport acces vlan vlan-id

Ciscoredes(config-if)# exit

Donde:

• interface vlan id .- Entrar al modo de configuración de interfaz para configurar la interfaz VLAN 99
• ip address a.a.a.a b.b.b.b.- Asignar la direción IP y Gateway para la interfaz.
• no shutdown.- Levantar la interfaz (habilitarla)
• exit.- Salir de la interfaz y regresar al modo de configuración global
• interface interface-id.- Tipo de puerto a configurar por ejemplo fastethernet 0/0
• Switchport mode access .- Define el modo de asociación de la VLAN para el puerto
• Switchport access vlan vlan-id  .- Comando para asignar el puerto a una la vlan de administración

CONFIGURACION DE UN ENLACE TRONCAL

Enlace Troncal.- Un enlace troncal es un enlace punto a punto entre dos sispositivos de red, el cual transporta más de una vlan. Un enlace troncal de VLAN no pertence a una VLAN específica, sino que es un conducto para las VLAN entre switches y routers.

Existen deiferentes modos de enlaces troncales como el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un protocolo propiedad de cisco, DTP administra la negociación del enlace troncal sólo si el puerto en el otro switch se configura en modo de enlace troncal que admita DTP.

Configuración de un enlace troncal 802.1Q en un Switch:

Ciscoredes# configure terminal

Ciscoredes(config)# interface interface-id

Ciscoredes(config-if)# switchport mode trunk

Ciscoredes(config-if)# switchport trunk native vlan vlan-id

Ciscoredes(config-if)# exit

Donde:

• interface .- Comando para entrar al modo de configuración de interfaz.
• Interface-id.- Tipo de puerto a configurar por ejemplo fastethernet 0/0
• Switchport mode trunk .- Definir que el enlace que conecta a los switches sea un enlace troncal
• Switchport trunk native vlan vlan-id .- Especificar otra VLAN como la VLAN nativa para los enlaces troncales.

CONFIGURACION DE ENRUTAMIENTO DE VLAN

El switch es un allied at-8000s en cual ya configure las vlans el tema es que este no las puede enrutar yo queria saber como hago para q el pfsense enrute las mismas este se encuentra conectado a una interfaz del switch directamete conectado pero como lo tengo separado por vlan lo ven solamente lo que se encuentran en la vlan en la que se encuentra el pfsense .

Una interfaz del switch debe estar en modo trunk, esta va dirigida a la puerta de enlace del router pfsense.
Con las otras interfaces del switch deben estar las vlan a las cuales se les asigna un nombre.

Bueno, las vlan no tendran conectividad entre ellas, ya que tienen distintas puertas de enlace "virtuales", es aqui donde el pfsense como router debe actuar con reglas para permitir o no que haya comunicacion entre ellas.
Ahora obviamente al router (pfsense), se deben crear las vlans con el mismo nombre que fueron asignadas en el switch.

la tarjeta debe soportar estandar 802.1q, de otra forma solo vera la vlan nativa (por defecto del switch), aunque hacer la prueba no esta de mas.
Todas las vlans de nivel 3 por ipes, pasan por una misma interfaz, por ejemplo si una interfaz (tarjeta de red de pfsense) tiene por nombre sk0, las interfaces virtuales serira sk0.1, sk0.2, etc. En el caso de pfsense, hice lo sgte:
1.En asignacion de interfaces se crea una opt#
2.En la pestaña vlan: se crea una vlan con un nombre apuntando a la interfaz sk0. Se asigna el vlan tag # (que debe ser el mismo tag # de una de las vlans del switch)
3.Luego a opt# se le debe configurar como cualquier interfaz: dandole un nomble, direccion de red (puerta de enlace de la vlan), etc.
4.Por ultimo volvemos a asignacion de interfaces y apuntamos nuestra opt# (ya con un nombre punto 3) a la vlan creada (ya con un nombre punto 2) y que esta a su vez apunta a la interfaz sk0.

RESOLUCION DE PROBLEMAS DE LAS VLANS

Lo ideal es contar con un enfoque preventivo. Hay acciones proactivas que sirven para evitar que los problemas afecten a los usuarios, como la de interrogar periódicamente a todos los switches y controlar la calidad del tráfico en cada uno de los puertos del switch (es decir, de la misma manera que se supervisaría de manera periódica cualquier otro segmento). La implementación de estrategias como la monitorización y la definición de tendencias de las estadísticas de los puertos de conmutación y la utilización de herramientas que le permitan observar el funcionamiento interno de los switches harán que actúe evitando las incidencias en lugar de solucionándolas.

Los analizadores portátiles de Fluke Networks le ayudan a ver el interior de los switches. Con el OptiView Series III Integrated Network Analyzer y el EtherScope Serie II Network Assistant, verá con detalle los switches y obtendrá estadísticas de los puertos. Conecte el analizador en cualquier punto de la red y verá al instante a qué puerto del switch está conectado y la utilización media y máxima. Examine la configuración de la VLAN y los principales generadores de tráfico, establezca las tendencias del tráfico de red o explore los detalles de la interfaz.

Con los enlaces a recursos que aparecen en esta página, tendrá en su mano información valiosa para solucionar problemas y monitorizar redes conmutadas. Aprenderá las técnicas que puede aplicar y conocerá los pros y los contras de cada una de ellas, además de saber qué herramientas se adaptan mejor a sus necesidades.

IDENTIFICACION Y CONFIGURACION DE UNA VLAN

• Hay grupos de trabajos virtuales.
• Se reducen los costos administrativos relacionados con los problemas asociados a los traslados adicionales y cambios.
• Se proporciona una actividad de difusión controlada.
• Se proporciona seguridad del grupo de trabajo y de la red.
• Hay un ahorro de dinero al usar los Hubs ya existentes.

Configuración estática:

Es la realizada por un administrador asignado manualmente los puertos a las respectivas Vlans. Por defecto todos los puertos pertenecen a la Vlan1 hasta que el administrador cambie esta configuración.
Configuración dinámica:

El IOS de los switches Catalyst soportan la configuración dinámica a través de un servidor de pertenecía de Vlan (VMPS). El servidor VMPS puede ser un switch de gama alta que ejecute un sistema operativo basado en set (CatOS).

Configuración de VLAN en un switch 2950

Switch#vlan database
Switch(vlan)#vlan [numero de vlan] name [nombre de vlan]
Switch(vlan)#exit

Switch(config)#interface fastethernet 0/numero de puerto
Switch(config-if)#switchport access vlan [numero de vlan

Configuración de VLAN en un switch 1900

Ejemplo de la creación de una Vlan 6 Administración  y su correspondiente asociación al Puerto 0/10:

Sw_1900(config)#vlan 6 name administración
Sw_1900(config)#interface ethernet 0/10
Sw_1900(config-if)#vlan-membership static 6

Conexión física y lógica entre dos switches o entre switches y routers a través del cual viaja el tráfico de la red

ENLACE TRONCAL

• En redes conmutadas, un enlace troncal es un enlace

punto a punto que admite varias VLAN.

• Propósito: conservar los puertos cuando se crea un

enlace entre dos dispositivos que implementan las VLAN.

• Agrupa varios enlaces virtuales en un solo enlace físico.

• Permite que el tráfico de varias VLAN viaje a través de un

solo cable entre switches o entre switches y routers

• Un enlace troncal se puede comparar con las carreteras

de distribución de una autopista.

• Tablas MAC en ambos extremos del E.T pueden usarse

para tomar decisiones de envío basadas en las direcciones

MAC destino de las tramas.

• A medida que aumenta la cantidad de VLAN que viajan a

través del enlace troncal:

• Las decisiones de envío se tornan más lentas y más

difíciles de administrar.

•Tablas de conmutación de mayor tamaño tardan más en

procesarse.

OPERACIÓN DEL ENLACE TRONCAL

• Protocolos de enlace troncal:

• Administran transferencia de tramas de distintas

VLAN en una sola línea física de forma eficaz.

• Establecen acuerdo para distribución de tramas a los

puertos asociados en ambos entremos del enlace

troncal.

• Dos tipos de mecanismos de enlace troncal:

• Filtrado de tramas

• Etiquetado de tramas. La IEEE adoptó como el

mecanismo estándar de enlace troncal.

• Etiquetado de tramas:

• Tramas que se envían por enlaces se etiquetan para

identificar VLAN a la que pertenecen.

• Existen varios esquemas de etiquetado. Comunes:

• Enlace inter-switch (ISL): Patentado por Cisco

• 802.1Q: Método Estándar del IEE para insertar

información de agrupación de VLAN en las tramas

Ethernet.

• Etiquetado de Tramas

•Protocolos de Enlace Troncal que usan etiquetado de

tramas logran:

• Envío de tramas más veloz

• Facilitan la administración.

• El enlace físico entre switches transporta tráfico para

cualquier VLAN.

• Cada trama que se envía por el enlace se rotula para

identificar a qué VLAN pertenece.

• Etiquetado de trama de VLAN:

• Coloca identificador único en encabezado de cada trama

que viaja por el backbone de la red.

• Identificador es examinado por cada switch antes de enviar

cualquier broadcast o transmisión a otros switches, routers o

estaciones finales.

• Cuando trama sale del backbone de la red: switch elimina

el identificador antes que la trama llegue a estación final.

• El etiquetado de trama funciona a nivel de Capa 2 y

requiere pocos recursos de red o gastos administrativos.

IMPLEMENTACION DEL ENLACE

TRONCAL

PROTOCOLO DE ENLACE

TRONCAL DE VLAN

VTP

• Protocolo propietario de Cisco.

• Creado para solucionar problemas de funcionamiento en redes

conmutadas con VLAN.

• Conexión cruzada entre las VLAN debido a incoherencias en la

configuración VLAN

• Errores de configuración de VLAN entre entornos de medios

mixtos

• Con VTP:

• Coherencia VLAN se mantiene en todo el dominio de

administración.

• Se reduce la complejidad de administración y monitorización de

las redes VLAN.

HISTORIA DE VTP

•VTP:

• Papel: Mantener coherencia de configuración de VLAN en un

dominio de administración común.

• Es un protocolo de mensajería.

• Utiliza las troncales de la capa 2 para administrar VLAN en un

solo dominio:

• Edición

• Eliminación

• Renombrado

• Permite cambios centralizdos que se comunican a todos los switches

de la red.

• VTP (2):

• Mensajes se encapsulan en tramas ISL, u 802.1Q y se

envían a través de enlaces troncales a otros dispositivos.

• Ventajas de VTP:

• Minimiza posibles incoherencias de configuración:

violaciones de la seguridad (Conexión cruzada de VLAN)

• Permite que una VLAN sea troncal cuando hay mezcla de

medios

• Seguimiento y monitorización precisos de VLAN

• Configuración Plug-and-Play al añadir VLAN nuevas.

OPERACIÓN DE VTP

• Modo Servidor:

• Pueden crear, modificar y eliminar VLAN y parámetros

de configuración de VLAN de todo un dominio.

• Guardan información de la configuración VTP en la

NVRAM del switch.

• Envían mensajes VTP a través de todos los puertos

de enlace troncal.

• Modo Cliente:

• No pueden crear, modificar ni eliminar la información

de VLAN.

REDES LOCALES VIRTUALES (VLANs)

Características de una VLAN

· El núcleo de una VLAN es un Switch

· Una VLAN es una red conmutada que está lógicamente segmentada en base a funciones

(trabajadores de un mismo departamento), grupos de proyectos o usuarios compartiendo la

misma aplicación, sin importar la ubicación física de los usuarios.

· Por ejemplo, cada puerta del switch puede asignarse a una VLAN. Las puertas que no

pertenecen a esa VLAN no comparten los broadcast. Esto mejora el comportamiento global de

la red.

· La comunicación entre VLANs es provista a través de ruteo de capa 3.

· Agrupando puertas y usuarios a través de múltiples switches, la VLAN puede cubrir un edificio

completo, interconectar edificios, o aun redes WAN 

Redes definidas logicamente (VLANs) (nm747)

Switches, el núcleo de las VLANs

Los switches proveen las siguientes propiedades:

· La inteligencia para realizar filtrado y decisiones de retransmisión de paquetes, basado en

métricas de la VLAN definidas por el usuario.

· La habilidad de comunicar información a otros switches o routers en la red.

· En la actualidad, los switches son ubicados entre los segmentos compartidos y los ruteadores

ubicados en el backbone. En el futro, desempeñaran un rol importante en la segmentación de

VLANs y baja latencia de retransmisión.

Beneficios de VLANs

· Reducción de costos de administración relacionados con movimiento, adición o cambios de usuarios.

· Seguridad de la red y grupos de trabajo.

· Actividad de broadcast controlada.

· Reutilización de inversión existente en Hubs.

· Administración y control centralizado.

Reducción de costos de administración

Las compañías continuamente deben reorganizarse para tratar de aumentar la productividad. Por ejemplo,

en USA cada año 20 a 40% de la fuerza de trabajo es físicamente reubicada.

Estos movimientos, adiciones y cambios son uno de los grandes costos de administración de una red.

Muchos de ellos requieren recableado, Casi todos los movimientos requieren nueva dirección y

reconfiguración de Hub o Router.

Una VLAN permite compartir la dirección de red sin importar la ubicación física, siempre que su conexión

se mantenga a la misma puerta del switch o que la puerta a que esté conectado (directa o indirectamente) se

incorpore a la VLAN en cuestión. la cual no requiere ningún

cambio de configuración física ni del ruteador.

Simplificación de los movimientos de usuarios utilizando VLANs (nm753)

Control de la actividad de bradcast.

El tráfico broadcast ocurre en toda red y depende de los siguientes factores:

· Tipo de aplicaciones

· Tipo de servidores

· Cantidad de segmentación lógica

· Uso de los recursos de la red.

· A pesar de que las aplicaciones se hallan optimizado para minimizar el número de broadcast, las

aplicaciones multimedia actuales son intensivas en bradcast o multicast.

· Los broadcast pueden ser generados también por dispositivos de red o interfaces de red defectuosas.

· Si no se administran adecuadamente, pueden degradar seriamente el rendimiento de una red completa o

incluso dejarlo no funcional.

· La medida más efectiva contra este problema es segmentar la red adecuadamente incluyendo

cortafuegos de protección, provistos usualmente por un ruteador.

· Por ello se debe considerar que al segmentar un red mediante switches, se pierde el efecto protector de

los ruteadores.

· Pero, al igual que los ruteadores, las VLAN permiten establecer cortafuegos. Estos se pueden crear

asignando puertas o usuarios a grupos VLAN específicos ubicados en un mismo switch o múltiples

switches interconectados. El VLAN no deja salir el tráfico broadcast fuera de su dominio Administrando la actividad broadcast mediante VLAs (nm754)

Mejor Seguridad de la Red

Una desventaja inherente de una red compartida es que puede ser accedida fácilmente, al conectarse en una

puerta cualquiera que esté disponible. Mientras más grande el dominio de broadcast, más vulnerable será la

red.

Por ello, una medida simple de aumentar la seguridad es segmentar la red en distintos dominios de

broadcast, lo cual permite:

· Reducir el número de usuarios en una VLAN

· Impedir que un usuario de una VLAN diferente se conecte a otra VLAN

· Configurar todas las puertas no utilizadas a una VLAN de bajos privilegios.

Se puede asegurar seguridad adicional usando listas de acceso en el ruteador.