VLAN

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 19

Capítulo 

6: VLAN

El rendimiento de la red es un factor importante en la productividad de una organización. Una de las


tecnologías que contribuyen a mejorar el rendimiento de la red es la división de los grandes dominios de
difusión en dominios más pequeños. Por una cuestión de diseño, los routers bloquean el tráfico de difusión en
una interfaz. Sin embargo, los routers generalmente tienen una cantidad limitada de interfaces LAN. La función
principal de un router es trasladar información entre las redes, no proporcionar acceso a la red a las terminales.

La función de proporcionar acceso a una LAN suele reservarse para los switches de capa de acceso. Se puede
crear una red de área local virtual (VLAN) en un switch de capa 2 para reducir el tamaño de los dominios de
difusión, similares a los dispositivos de capa 3. Por lo general, las VLAN se incorporan al diseño de red para
facilitar que una red dé soporte a los objetivos de una organización. Si bien las VLAN se utilizan principalmente
dentro de las redes de área local conmutadas, las implementaciones modernas de las VLAN les permiten
abarcar redes MAN y WAN.

Debido a que las VLAN segmentan la red, es necesario un proceso de capa 3 para permitir que el tráfico pase
de un segmento de red a otro.

Este proceso de routing de capa 3 puede implementarse utilizando un router o una interfaz de switch de
capa 3. El uso de un dispositivo de capa 3 proporciona un método para controlar el flujo de tráfico entre
segmentos de red, incluidos los segmentos de red creados por las VLAN.

La primera parte de este capítulo describe cómo configurar y administrar VLAN y enlaces troncales de VLAN,
así como resolver problemas relacionados.

Definiciones de VLAN

Dentro de una red conmutada, las VLAN proporcionan la segmentación y la flexibilidad organizativa. Las VLAN
proporcionan una manera de agrupar dispositivos dentro de una LAN. Un grupo de dispositivos dentro de una
VLAN se comunica como si cada dispositivo estuviera conectados al mismo cable. Las VLAN se basan en
conexiones lógicas, en lugar de conexiones físicas.

Las VLAN permiten que el administrador divida las redes en segmentos según factores como la función, el
equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario o del dispositivo. Cada
VLAN se considera una red lógica diferente. Los dispositivos dentro de una VLAN funcionan como si estuvieran
en su propia red independiente, aunque compartan una misma infraestructura con otras VLAN. Cualquier
puerto de switch puede pertenecer a una VLAN. Los paquetes de unidifusión, difusión y multidifusión, se
reenvían y distribuyen por saturación solo a terminales dentro de la VLAN, de donde se obtienen los paquetes.
Los paquetes destinados a dispositivos que no pertenecen a la VLAN se deben reenviar a través de un
dispositivo que admita el routing.

Varias subredes IP pueden existir en una red conmutada, sin el uso de varias VLAN. Sin embargo, los
dispositivos estarán en el mismo dominio de difusión de capa 2. Esto significa que todas las difusiones de capa
2, tales como una solicitud de ARP, serán recibidas por todos los dispositivos de la red conmutada, incluso por
aquellos que no se quiere que reciban la difusión.

Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN físicos. Las VLAN
mejoran el rendimiento de la red mediante la división de grandes dominios de difusión en otros más pequeños.
Si un dispositivo en una VLAN envía una trama de Ethernet de difusión, todos los dispositivos en la VLAN
reciben la trama, pero los dispositivos en otras VLAN no la reciben.
Las VLAN habilitan la implementación de las políticas de acceso y de seguridad según grupos específicos de
usuarios. Cada puerto de switch se puede asignar a una sola VLAN (a excepción de un puerto conectado a un
teléfono IP o a otro switch).

Beneficios de las redes VLAN

La productividad de los usuarios y la adaptabilidad de la red son importantes para el crecimiento y el éxito de
las empresas. Las redes VLAN facilitan el diseño de una red para dar soporte a los objetivos de una
organización. Los principales beneficios de utilizar las VLAN son los siguientes:

 Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las
posibilidades de que ocurran violaciones de información confidencial. Como se muestra en la ilustración,
las computadoras del cuerpo docente están en la VLAN 10 y separadas por completo del tráfico de datos
de los alumnos y los invitados.
 Reducción de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones de red
costosas y al uso más eficaz de los enlaces y del ancho de banda existentes.

 Mejor rendimiento: la división de las redes planas de capa 2 en varios grupos de trabajo lógicos
(dominios de difusión) reduce el tráfico innecesario en la red y mejora el rendimiento.

 Reducción del tamaño de los dominios de difusión: la división de una red en redes VLAN reduce la
cantidad de dispositivos en el dominio de difusión. Como se muestra en la ilustración, existen seis
computadoras en esta red, pero hay tres dominios de difusión: Cuerpo docente, Estudiantes e Invitados.

 Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los usuarios
con requerimientos similares de red comparten la misma VLAN. Cuando se dispone de un switch nuevo,
se implementan todas las políticas y los procedimientos que ya se configuraron para la VLAN específica
cuando se asignan los puertos. También es fácil para el personal de TI identificar la función de una VLAN
proporcionándole un nombre. En la ilustración, para facilitar la identificación, se denominó “Cuerpo
Docente” a la VLAN 10, “Estudiantes” a la VLAN 20 e “Invitados” a la VLAN 30.

 Administración más simple de aplicaciones y proyectos: las VLAN agregan dispositivos de red y


usuarios para admitir los requisitos geográficos o comerciales. Al tener características diferentes, se
facilita la administración de un proyecto o el trabajo con una aplicación especializada; un ejemplo de este
tipo de aplicación es una plataforma de desarrollo de aprendizaje por medios electrónicos para el cuerpo
docente.

Cada VLAN en una red conmutada corresponde a una red IP. Por lo tanto, el diseño de VLAN debe tener en
cuenta la implementación de un esquema de direccionamiento de red jerárquico. El direccionamiento jerárquico
de la red significa que los números de red IP se aplican a los segmentos de red o a las VLAN de manera
ordenada, lo que permite que la red se tome en cuenta como conjunto. Los bloques de direcciones de red
contiguas se reservan para los dispositivos en un área específica de la red y se configuran en estos, como se
muestra en la ilustración.
Tipos de VLAN

Existen diferentes tipos de redes VLAN, los cuales se utilizan en las redes modernas. Algunos tipos de VLAN
se definen según las clases de tráfico. Otros tipos de VLAN se definen según la función específica que
cumplen.

VLAN de datos

Una VLAN de datos es una VLAN configurada para transportar tráfico generado por usuarios. Una VLAN que
transporta tráfico de administración o de voz no sería una VLAN de datos. Es una práctica común separar el
tráfico de voz y de administración del tráfico de datos. A veces a una VLAN de datos se la denomina VLAN de
usuario. Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos.

VLAN predeterminada

Todos los puertos de switch se vuelven parte de la VLAN predeterminada después del arranque inicial de un
switch que carga la configuración predeterminada. Los puertos de switch que participan en la VLAN
predeterminada forman parte del mismo dominio de difusión. Esto admite cualquier dispositivo conectado a
cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch. La VLAN
predeterminada para los switches Cisco es la VLAN 1. En la ilustración, se emitió el comando show vlan
brief en un switch que ejecuta la configuración predeterminada. Observe que todos los puertos se asignan a la
VLAN 1 de manera predeterminada.

La VLAN 1 tiene todas las características de cualquier VLAN, excepto que no se le puede cambiar el nombre ni
se puede eliminar. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.

VLAN nativa

Una VLAN nativa está asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal son los enlaces
entre switches que admiten la transmisión de tráfico asociado a más de una VLAN. Los puertos de enlace
troncal 802.1Q admiten el tráfico proveniente de muchas VLAN (tráfico con etiquetas), así como el tráfico que
no proviene de una VLAN (tráfico sin etiquetar). El tráfico con etiquetas hace referencia al tráfico que tiene una
etiqueta de 4 bytes insertada en el encabezado de la trama de Ethernet original, que especifica la VLAN a la
que pertenece la trama. El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la VLAN nativa,
que es la VLAN 1 de manera predeterminada.

Las VLAN nativas se definen en la especificación IEEE 802.1Q a fin de mantener la compatibilidad con el
tráfico sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas. Una VLAN nativa funciona
como identificador común en extremos opuestos de un enlace troncal.

Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1 y de otras VLAN.
De hecho, es común utilizar una VLAN fija para que funcione como VLAN nativa para todos los puertos de
enlace troncal en el dominio conmutado.

VLAN de administración

Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades de
administración de un switch. La VLAN 1 es la VLAN de administración de manera predeterminada. Para crear
la VLAN de administración, se asigna una dirección IP y una máscara de subred a la interfaz virtual de switch
(SVI) de esa VLAN, lo que permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP. Dado
que en la configuración de fábrica de un switch Cisco la VLAN 1 se establece como VLAN predeterminada, la
VLAN 1 no es una elección adecuada para la VLAN de administración.

En el pasado, la VLAN de administración para los switches 2960 era la única SVI activa. En las versiones 15.x
de IOS de Cisco para los switches de la serie Catalyst 2960, es posible tener más de una SVI activa. Cisco IOS
15.x requiere la registración de la SVI activa específica asignada para la administración remota. Si bien, en
teoría, un switch puede tener más de una VLAN de administración, esto aumenta la exposición a los ataques
de red.
En la ilustración, actualmente todos los puertos están asignados a la VLAN 1 predeterminada. No hay ninguna
VLAN nativa asignada explícitamente ni otras VLAN activas; por lo tanto, la VLAN nativa de la red que se
diseñó es la VLAN de administración. Esto se considera un riesgo de seguridad.

VLAN de voz

Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). El tráfico de VoIP requiere:

 Ancho de banda garantizado para asegurar la calidad de la voz

 Prioridad de la transmisión sobre los tipos de tráfico de la red

 Capacidad para ser enrutado en áreas congestionadas de la red

 Una demora inferior a 150 ms a través de la red

Para cumplir estos requerimientos, se debe diseñar la red completa para que admita VoIP.

En la figura, la VLAN 150 se diseña para enviar tráfico de voz. La computadora del estudiante PC5 está
conectada al teléfono IP de Cisco y el teléfono está conectado al switch S3. La PC5 está en la VLAN 20 que se
utiliza para los datos de los estudiantes.
Packet Tracer: ¿quién escucha la difusión?

Información básica/situación

En esta actividad, se ocupa la totalidad de un switch Catalyst 2960 de 24 puertos. Se utilizan todos los puertos.
Observará el tráfico de difusión en una implementación de VLAN y responderá algunas preguntas de reflexión.

Archivos a usar:

• 6.1.1.5 Packet Tracer - Who Hears the Broadcast Instructions.pdf

• 6.1.1.5 Packet Tracer - Who Hears the Broadcast Instructions.pka

Enlaces troncales de la VLAN

Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de una VLAN. Un
enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco admite IEEE 802.1Q para coordinar
enlaces troncales en las interfaces Fast Ethernet, Gigabit Ethernet y 10-Gigabit Ethernet.

Las VLAN no serían muy útiles sin los enlaces troncales de VLAN. Los enlaces troncales de VLAN permiten
que se propague todo el tráfico de VLAN entre los switches, de modo que los dispositivos que están en la
misma VLAN pero conectados a distintos switches se puedan comunicar sin la intervención de un router.

Un enlace troncal de VLAN no pertenece a una VLAN específica, sino que es un conducto para varias VLAN
entre switches y routers. También se puede utilizar un enlace troncal entre un dispositivo de red y un servidor u
otro dispositivo que cuente con una NIC con capacidad 802.1Q. En los switches Cisco Catalyst, se admiten
todas las VLAN en un puerto de enlace troncal de manera predeterminada.

En la ilustración, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para transmitir el tráfico
proveniente de las VLAN 10, 20, 30 y 99 a través de la red. Esta red no podría funcionar sin los enlaces
troncales de VLAN.
Control de los dominios de broadcast con las VLAN

Redes sin VLAN

En condiciones normales de funcionamiento, cuando un switch recibe una trama de difusión en uno de sus
puertos, reenvía la trama por todos los demás puertos, excepto el puerto por donde recibió la difusión. En la
animación de la figura 1, se configuró toda la red en la misma subred (172.17.40.0/24), y no se configuró
ninguna VLAN. Como consecuencia, cuando la computadora del cuerpo docente (PC1) envía una trama de
difusión, el switch S2 envía dicha trama de difusión por todos sus puertos. Finalmente, toda la red recibe la
difusión porque la red es un dominio de difusión.

En este ejemplo, todos los dispositivos están en la misma subred IPv4. Si hubiese dispositivos en otras
subredes IPv4, también recibirían la misma trama de difusión. Las difusiones tales como una solicitud de ARP
están diseñadas solamente para dispositivos de la misma subred.

Red con VLAN

Como se muestra en la animación de la figura 2, la red se segmentó mediante dos VLAN. Los dispositivos del
cuerpo docente se asignaron a la VLAN 10, y los dispositivos de los estudiantes se asignaron a la VLAN 20.
Cuando se envía una trama de difusión desde la computadora del cuerpo docente, la PC1, al switch S2, el
switch reenvía esa trama de difusión solo a los puertos de switch configurados para admitir la VLAN 10.
Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el S1 y el S3 (puertos
F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN en la red.

Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por el único puerto
configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3 recibe la trama de difusión en el
puerto F0/3, reenvía la trama de difusión por el único puerto configurado para admitir la VLAN 10, que es el
puerto F0/11. La trama de difusión llega a la única otra computadora de la red configurada en la VLAN 10, que
es la computadora PC4 del cuerpo docente.

Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifusión, multidifusión y difusión
desde un host en una VLAN en particular se limita a los dispositivos presentes en esa VLAN.

https://static-course-assets.s3.amazonaws.com/RSE6/es/index.html#6.1.2.2

Etiquetado de tramas de Ethernet para la identificación de VLAN

Los switches de la serie Catalyst 2960 son dispositivos de capa 2. Estos utilizan la información del encabezado
de la trama de Ethernet para reenviar paquetes. No poseen tablas de routing. El encabezado de las tramas de
Ethernet estándar no contiene información sobre la VLAN a la que pertenece la trama; por lo tanto, cuando las
tramas de Ethernet se colocan en un enlace troncal, se debe agregar la información sobre las VLAN a las que
pertenecen. Este proceso, denominado “etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q,
especificado en el estándar IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de 4 bytes insertada en
el encabezado de la trama de Ethernet original que especifica la VLAN a la que pertenece la trama.

Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a una VLAN, el
switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a calcular la secuencia de verificación
de tramas (FCS) y envía la trama etiquetada por un puerto de enlace troncal.

Detalles del campo de etiqueta de la VLAN

El campo de etiqueta de la VLAN consta de un campo de tipo, un campo de prioridad, un campo de


identificador de formato canónico y un campo de ID de la VLAN:

 Tipo: es un valor de 2 bytes denominado “ID de protocolo de etiqueta” (TPID). Para Ethernet, este valor
se establece en 0x8100 hexadecimal.

 Prioridad de usuario: es un valor de 3 bits que admite la implementación de nivel o de servicio.

 Identificador de formato canónico (CFI): es un identificador de 1 bit que habilita las tramas Token Ring
que se van a transportar a través de los enlaces Ethernet.

 ID de VLAN (VID): es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID de
VLAN.

Una vez que el switch introduce los campos Tipo y de información de control de etiquetas, vuelve a calcular los
valores de la FCS e inserta la nueva FCS en la trama.
VLAN nativas y etiquetado de 802.1Q

Tramas etiquetadas en la VLAN nativa

Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico de las VLAN
nativas. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar. Si un puerto de enlace
troncal 802.1Q recibe una trama etiquetada con la misma ID de VLAN que la VLAN nativa, descarta la trama.
Por consiguiente, al configurar un puerto de un switch Cisco, configure los dispositivos de modo que no envíen
tramas etiquetadas por la VLAN nativa. Los dispositivos de otros proveedores que admiten tramas etiquetadas
en la VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.

Tramas sin etiquetar en la VLAN nativa

Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales en las redes
bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay dispositivos asociados a la VLAN nativa (lo que
es usual) y no existen otros puertos de enlace troncal (es usual), se descarta la trama. La VLAN nativa
predeterminada es la VLAN 1. Al configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de
VLAN nativa a la ID de VLAN de puerto (PVID) predeterminada. Todo el tráfico sin etiquetar entrante o saliente
del puerto 802.1Q se reenvía según el valor de la PVID. Por ejemplo, si se configura la VLAN 99 como VLAN
nativa, la PVID es 99, y todo el tráfico sin etiquetar se reenvía a la VLAN 99. Si no se volvió a configurar la
VLAN nativa, el valor de la PVID se establece en VLAN 1.

En la ilustración, la PC1 está conectada a un enlace troncal 802.1Q mediante un hub. La PC1 envía el tráfico
sin etiquetar que los switches asocian a la VLAN nativa configurada en los puertos de enlace troncal y que
reenvían según corresponda. El tráfico etiquetado del enlace troncal que recibe la PC1 se descarta. Esta
situación refleja un diseño de red deficiente por varios motivos: utiliza un hub, tiene un host conectado a un
enlace troncal y esto implica que los switches tengan puertos de acceso asignados a la VLAN nativa. También
ilustra la motivación de la especificación IEEE 802.1Q para que las VLAN nativas sean un medio de manejo de
entornos antiguos.
Etiquetado de VLAN de voz

Se necesita una red VLAN de voz separada para admitir VoIP.

Un puerto de acceso que se usa para conectar un teléfono IP de Cisco se puede configurar para usar dos
VLAN separadas: una VLAN para el tráfico de voz y otra VLAN para el tráfico de datos desde un dispositivo
conectado al teléfono. El enlace entre el switch y el teléfono IP funciona como un enlace troncal para
transportar tanto el tráfico de la VLAN de voz como el tráfico de la VLAN de datos.

El teléfono IP Cisco contiene un switch integrado 10/100 de tres puertos. Los puertos proporcionan conexiones
dedicadas para estos dispositivos:

 El puerto 1 se conecta al switch o a otro dispositivo VoIP.

 El puerto 2 es una interfaz interna 10/100 que envía el tráfico del teléfono IP.

 El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.

En el switch, el acceso está configurado para enviar paquetes del protocolo de descubrimiento de Cisco (CDP)
que instruyen a un teléfono IP conectado para que envíe el tráfico de voz al switch en una de tres formas
posibles, según el tipo de tráfico:

 En una VLAN de voz con una etiqueta de valor de prioridad de clase de servicio (CoS) de capa 2

 En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2

 En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)

En la figura 1, la computadora del estudiante PC5 está conectada a un teléfono IP de Cisco, y el teléfono está
conectado al switch S3. La VLAN 150 está diseñada para transportar tráfico de voz, mientras que la PC5 está
en la VLAN 20, que se usa para los datos de los estudiantes.
Ejemplo de configuración

En la figura 2, se muestra un resultado de ejemplo. El análisis de los comandos de voz de Cisco IOS excede el
ámbito de este curso, pero las áreas resaltadas en el resultado de ejemplo muestran que la interfaz F0/18 se
configuró con una VLAN configurada para datos (VLAN 20) y una VLAN configurada para voz (VLAN 150).

Packet Tracer: investigación de la implementación de una VLAN

Información básica/situación

En esta actividad, observará el modo en que los switches reenvían el tráfico de difusión cuando se configuran
las VLAN y cuando no se configuran las VLAN.

Archivos a usar:

6.1.2.7 Packet Tracer - Investigating a VLAN Implementation Instructions.pdf

6.1.2.7 Packet Tracer - Investigating a VLAN Implementation Instructions.pka

Rangos de VLAN en los switches Catalyst

Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de VLAN que admiten
es suficiente para satisfacer las necesidades de la mayoría de las organizaciones. Por ejemplo, los switches de
las series Catalyst 2960 y 3560 admiten más de 4000 VLAN. Las VLAN de rango normal en estos switches se
numeran del 1 al 1005, y las VLAN de rango extendido se numeran del 1006 al 4094. En la ilustración, se
muestran las VLAN disponibles en un switch Catalyst 2960 que ejecuta IOS de Cisco, versión 15.x.
VLAN de rango normal

 Se utiliza en redes de pequeños y medianos negocios y empresas.

 Se identifica mediante una ID de VLAN entre 1 y 1005.

 Las ID de 1002 a 1005 se reservan para las VLAN de Token Ring e interfaz de datos distribuidos por fibra
óptica (FDDI).

 Las ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar.

 Las configuraciones se almacenan en un archivo de base de datos de VLAN, denominado vlan.dat. El


archivo vlan.dat se encuentra en la memoria flash del switch.

 El protocolo de enlace troncal de VLAN (VTP), que permite administrar la configuración de VLAN entre
los switches, solo puede detectar y almacenar redes VLAN de rango normal.

VLAN de rango extendido

 Posibilita a los proveedores de servicios que amplíen sus infraestructuras a una cantidad de clientes
mayor. Algunas empresas globales podrían ser lo suficientemente grandes como para necesitar las ID de
las VLAN de rango extendido.

 Se identifican mediante una ID de VLAN entre 1006 y 4094.

 Las configuraciones no se escriben en el archivo vlan.dat.

 Admiten menos características de VLAN que las VLAN de rango normal.

 Se guardan, de manera predeterminada, en el archivo de configuración en ejecución.

 VTP no aprende las VLAN de rango extendido.

Nota: la cantidad máxima de VLAN disponibles en los switches Catalyst es 4096, ya que el campo ID de VLAN
tiene 12 bits en el encabezado IEEE 802.1Q.

.
Creación de una VLAN

Al configurar redes VLAN de rango normal, los detalles de configuración se almacenan en la memoria flash del
switch en un archivo denominado vlan.dat. La memoria flash es persistente y no requiere el comando copy
running-config startup-config. Sin embargo, debido a que en los switches Cisco se suelen configurar otros
detalles al mismo tiempo que se crean las VLAN, es aconsejable guardar los cambios a la configuración en
ejecución en la configuración de inicio.

En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se utiliza para agregar una VLAN a un
switch y asignarle un nombre. Se recomienda asignarle un nombre a cada VLAN en la configuración de un
switch.

En la figura 2, se muestra cómo se configura la VLAN para estudiantes (VLAN 20) en el switch S1. En el
ejemplo de topología, la computadora del estudiante (PC2) todavía no se asoció a ninguna VLAN, pero tiene la
dirección IP 172.17.20.22.

Utilice el verificador de sintaxis de la figura 3 para crear una VLAN y utilice el comando show vlan brief para
mostrar el contenido del archivo vlan.dat.

Además de introducir una única ID de VLAN, se puede introducir una serie de ID de VLAN separadas por
comas o un rango de ID de VLAN separado por guiónes con el comando vlan  id-de-vlan  . Por ejemplo, utilice
el siguiente comando para crear las VLAN 100, 102, 105, 106 y 107:

S1(config)# vlan 100,102,105-107
Asignación de puertos a las redes VLAN

Después de crear una VLAN, el siguiente paso es asignar puertos a la VLAN.

En la figura 1, se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a una VLAN. El
comando switchport mode access es optativo, pero se aconseja como práctica recomendada de seguridad.
Con este comando, la interfaz cambia al modo de acceso permanente.

Nota: utilice el comando interface range para configurar varias interfaces simultáneamente.

En el ejemplo de la figura 2, se asigna la red VLAN 20 al puerto F0/18 en el switch S1. Cualquier dispositivo
conectado a ese puerto está asociado con la VLAN 20. Por lo tanto, en nuestro ejemplo, PC2 está en la VLAN
20.

Es importante tener en cuenta que las VLAN se configuran en el puerto del switch y no en el terminal. La PC2
se configura con una dirección IPv4 y una máscara de subred asociadas a la VLAN, que se configura en el
puerto de switch. En este ejemplo, es la VLAN 20. Cuando se configura la VLAN 20 en otros switches, el
administrador de red debe configurar las otras computadoras de alumnos para que estén en la misma subred
que la PC2 (172.17.20.0/24).

Un puerto de acceso puede pertenecer a sólo una VLAN por vez. Sin embargo, una excepción a esta regla es
la de un puerto conectado a un teléfono IP y un terminal. En este caso, habría dos VLAN asociadas con el
puerto: una para voz y otra para datos.
Considere la topología de la Figura 3. En este ejemplo, la PC5 está conectada con el teléfono IP de Cisco, que
a su vez está conectado a la interfaz FastEthernet 0/18 en S3. Para implementar esta configuración, se crean
la VLAN 20 y la VLAN de voz 150.

Use la vlan de voz de puerto de switch vlan-# configuración de la interfazcomandopara asignar una VLAN de


voz a un puerto.

Las redes LAN que admiten tráfico de voz por lo general también tienen la Calidad de servicio (QoS) habilitada.
El tráfico de voz debe etiquetarse como confiable ni bien ingresa en la red. Use el comando de configuración de
interfaces mls qos trust[cos | device cisco-phone | dscp | ip-precedence] para establecer el estado
confiable de una interfaz, y para indicar qué campos del paquete se usan para clasificar el tráfico.

La configuración en la figura 4 crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a continuación, asigna la
interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También asigna el tráfico de voz en VLAN 150 y
permite la clasificación de QoS basada en la clase de servicio (CoS) asignado por el teléfono IP.

Nota: la implementación de QoS no está contemplada en este curso. Consulte cisco.com para obtener más
información.

Utilice el verificador de sintaxis de la figura 5 para asignar una VLAN de datos y una VLAN de voz. También
utilizará el comando show vlan brief para mostrar el contenido del archivo vlan.dat.

El comando switchport access vlan fuerza la creación de una VLAN si es que aún no existe en el switch. Por
ejemplo, la VLAN 30 no está presente en la salida del comando show vlan brief del switch. Si se introduce el
comando switchport access vlan 30 en cualquier interfaz sin configuración previa, el switch muestra lo
siguiente:

% Access VLAN does not exist. Creating vlan 30


Cambio de pertenencia de puertos de una VLAN

Existen varias maneras de cambiar la pertenencia de puertos de una VLAN. En la figura 1, se muestra la
sintaxis para cambiar la pertenencia de un puerto de switch de la VLAN 1 con el comando no switchport
access vlan del modo de configuración de interfaz.

La interfaz F0/18 se asignó anteriormente a la VLAN 20. Se introduce el comando no switchport access
vlan para la interfaz F0/18. Examine el resultado del comando show vlan brief que le sigue inmediatamente,
como se muestra en la figura 2. El comando show vlan brief muestra el tipo de asignación y pertenencia de
VLAN para todos los puertos de switch. El comando show vlan brief muestra una línea para cada VLAN. El
resultado para cada VLAN incluye el nombre, el estado y los puertos de switch de la VLAN.

La VLAN 20 sigue activa, aunque no tenga puertos asignados. En la figura 3, se muestra que el resultado del
comando show interfaces f0/18 switchport verifica que la VLAN de acceso para la interfaz F0/18 se haya
restablecido a la VLAN 1.
La pertenencia de VLAN de un puerto se puede cambiar fácilmente. No es necesario eliminar primero un puerto
de una VLAN para cambiar su pertenencia de VLAN. Cuando se vuelve a asignar la pertenencia de VLAN de
un puerto de acceso a otra VLAN existente, la nueva pertenencia de VLAN simplemente reemplaza la
pertenencia de VLAN anterior. En la figura 4, el puerto F0/11 se asignó a la VLAN 20.

Eliminación de VLAN

En la ilustración, el comando del modo de configuración global no vlan vlan-id  se utiliza para eliminar la VLAN
20 del switch. El switch S1 tenía una configuración mínima con todos los puertos en la VLAN 1 y una VLAN 20
sin usar en la base de datos de VLAN. El comando show vlan brief verifica que la VLAN 20 ya no esté
presente en el archivo vlan.dat después de utilizar el comando no vlan 20.
Precaución: Antes de borrar una VLAN, reasigne todos los puertos miembros a una VLAN distinta. Los puertos
que no se trasladen a una VLAN activa no se podrán comunicar con otros hosts una vez que se elimine la
VLAN y hasta que se asignen a una VLAN activa.

Alternativamente, se puede eliminar el archivo vlan.dat completo con el comando delete flash:vlan.dat del


modo EXEC privilegiado. Se puede utilizar la versión abreviada del comando (delete vlan.dat) si no se trasladó
el archivo vlan.dat de su ubicación predeterminada. Después de emitir este comando y de volver a cargar el
switch, las VLAN configuradas anteriormente ya no están presentes. Esto vuelve al switch a la condición
predeterminada de fábrica con respecto a la configuración de VLAN.

Nota: para los switches Catalyst, el comando erase startup-config debe acompañar al comando delete


vlan.dat antes de la recarga para restaurar el switch a la condición predeterminada de fábrica.

Verificación de información de VLAN

Una vez que se configura una VLAN, se puede validar la configuración con los comandos show de IOS de
Cisco.

En la figura 1, se muestran las opciones de los comandos show vlan y show interfaces.


En el ejemplo de la figura 2, el comando show vlan name student produce un resultado que no se interpreta
fácilmente. El comando show vlan summary muestra el conteo de todas las VLAN configuradas. La salida de
la figura 2 muestra siete VLAN.

El comando show interfaces vlan  vlan-id  muestra detalles que superan el alcance de este curso. La
información importante aparece en la segunda línea de la figura 3, que indica que la VLAN 20 está activa.

Packet Tracer: configuración de redes VLAN

Información básica/situación

Las VLAN son útiles para la administración de grupos lógicos y permiten mover, cambiar o agregar fácilmente a
los miembros de un grupo. Esta actividad se centra en la creación y la denominación de redes VLAN, así como
en la asignación de puertos de acceso a VLAN específicas.

Archivos a usar:

6.2.1.7 Packet Tracer - Configuring VLANs Instructions.pdf

6.2.1.7 Packet Tracer - Configuring VLANs Instructions.pka

También podría gustarte