practica2 VLAN
Anuncio
Una red Institucional Diseño de VLANs Los primeros diseñadores de redes solían configurar las VLANs con el objetivo de reducir el tamaño del dominio de colisión en un segmento Ethernet y mejorar su rendimiento. Cuando los switches lograron esto, porque cada puerto es un dominio de colisión, su prioridad fue reducir el tamaño del dominio de difusión. Ya que, si aumenta el número de terminales, aumenta el tráfico difusión y el consumo de CPU por procesado de tráfico broadcast no deseado. Una de las maneras más eficientes de lograr reducir el domino de difusión es con la división de una red grande en varias VLANs. Actualmente, las redes institucionales y corporativas modernas suelen estar configuradas de forma jerárquica dividiéndose en varios grupos de trabajo. Razones de seguridad y confidencialidad aconsejan también limitar el ámbito del tráfico de difusión para que un usuario no autorizado no pueda acceder a recursos o a información que no le corresponde. Por ejemplo, la red institucional de un campus universitario suele separar los usuarios en tres grupos: alumnos, profesores y administración. Cada uno de estos grupos constituye un dominio de difusión, una VLAN, y se suele corresponder asimismo con una subred IP diferente. De esta manera la comunicación entre miembros del mismo grupo se puede hacer en nivel 2, y los grupos están aislados entre sí, sólo se pueden comunicar a través de un router. La definición de múltiples VLANs y el uso de enlaces trunk, frente a las redes LAN interconectadas con un router, es una solución escalable. Si se deciden crear nuevos grupos se pueden acomodar fácilmente las nuevas VLANs haciendo una redistribución de los puertos de los switches. Además, la pertenencia de un miembro de la comunidad universitaria a una VLAN es independiente de su ubicación física. E incluso se puede lograr que un equipo pertenezca a varias VLANs (mediante el uso de una tarjeta de red que soporte trunk). Imagine que la universidad tiene una red con un rango de direcciones IP del tipo 172.16.XXX.0/24, cada VLAN, definida en la capa de enlace de datos (nivel 2 de OSI), se corresponderá con una subred IP distinta: 1) VLAN 10. Administración. Subred IP 172.16.10.0/24 2) VLAN 20. Profesores. Subred IP 172.16.20.0/24 3) VLAN 30. Alumnos. Subred IP 172.16.30.0/24 En cada edificio de la universidad hay un switch denominado de acceso, porque a él se conectan directamente los sistemas finales. Los switches de acceso están conectados con enlaces trunk (enlace que transporta tráfico de las tres VLANs) a un switch troncal, de grandes prestaciones, típicamente Gigabit Ethernet o 10-Gigabit Ethernet. Este switch está unido a un router también con un enlace trunk, el router es el encargado de llevar el tráfico de una VLAN a otra. Comandos IOS A continuación se presentan a modo de ejemplo los comandos IOS para configurar los switches y routeres del escenario anterior. Creamos las VLANs en el switch troncal, suponemos que este switch actúa de servidor y se sincroniza con el resto: Switch-troncal> enable Switch-troncal# configure terminal Switch-troncal(config)# vlan database Switch-troncal(config-vlan)# vlan 10 name administracion Switch-troncal(config-vlan)# vlan 20 name profesores Switch-troncal(config-vlan)# vlan 30 name alumnos Switch-troncal(config-vlan)# exit Definimos como puertos trunk los cuatro del switch troncal: Switch-troncal(config)# interface range g0/0 -3 Switch-troncal(config-if-range)# switchport Switch-troncal(config-if-range)# switchport mode trunk Switch-troncal(config-if-range)# switchport trunk native vlan 10 Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 30 Switch-troncal(config-if-range)# exit Ahora habría que definir en cada switch de acceso qué rango de puertos dedicamos a cada VLAN. Vamos a suponer que se utilizan las interfaces f0/0-15 para la vlan adminstracion, f0/16,31 para vlan profesores y f0/32-47 para la vlan alumnos. Switch-1(config)# interface range f0/0 -15 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport access vlan 10 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0/16 -31 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport access vlan 20 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0/32 -47 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport access vlan 30 Switch-1(config-if-range)# exit Definimos como trunk el puerto que conecta cada switch de acceso con el troncal: Switch-1(config)# interface g0/0 Switch-1(config-if)# switchport Switch-1(config-if)# switchport mode trunk Switch-1(config-if)# switchport trunk native vlan 10 Switch-1(config-if)# switchport trunk allowed vlan 20,30 Switch-1(config-if)# exit En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk: Router(config)# interface f2 Router(config-if)# no ip address Router(config-if)# exit Router(config)# interface f2.1 Router(config-if)# encapsulation dot1q 10 native Router(config-if)# ip address 172.16.10.1 255.255.255.0 Router(config-if)# exit Router(config)# interface f2.2 Router(config-if)# encapsulation dot1q 20 Router(config-if)# ip address 172.16.20.1 255.255.255.0 Router(config-if)# exit Router(config)# interface f2.3 Router(config-if)# encapsulation dot1q 30 Router(config-if)# ip address 172.16.30.1 255.255.255.0 Router(config-if)# exit Esta sería la configuración relativa a la creación de las VLANs, se omite la configuración de otros elementos como los hosts, routers y otros dispositivos de red. Extras Modos de configuración *Modo USER EXEC: Modo sin privilegios en el que no podemos modificar ni leer la configuración del equipo. Básicamente, solo podemos utilizar: show, ping, telnet,traceroute. Debemos escribir “enable” en el terminal, para acceder al siguiente modo. *Modo PRIVILEGED EXEC: Modo de visualización con privilegios. Debemos escribir “configure terminal” en el terminal, para acceder al siguiente modo. *Modo de Configuración Global o CONFIGURE: Permite configurar aspectos simples del equipo como pueden ser el nombre, alias de comandos, reloj, etc. Escribiremos en el terminal : “interface, line, router…” dependiendo de lo que queramos configurar.
