Practica Redes VLAN y Enrutamientos (Esttico y Dinmico)

A- Se trata de hacer enrutamiento esttico entre los Router y crear varias VLAN, se configurara seguridad de
puertos en el switch, de tal manera que solo se pueda conectar un ordenador especifico y no otro (pt A!"
1) #ara no liarnos, primeramente empe$amos con la configuracin de las VLAN y una ve$ que esta parte
funcione, entonces se configuran los router y el enrutamiento esttico"
%omo se puede ver se han definido por cada switch & VLAN, cada una de ellas con un ordenador, en
principio, si solo consideramos los switch, los ordenadores de la VLAN ' se vern entre si, pero sin em(argo
estos no se vern con los ordenadores de la VLAN ), se ha definido otra Red donde esta el ordenador #%* y
que por defecto si no se le asigna una VLAN pertenecer a la VLAN +"
Se ha definido en cada ordenador una ,# de -ateway, para el funcionamiento de las VLAN no es necesario,
solo es necesaria esta ,# para que los ordenadores puedan salir al e.terior o comunicarse con otras redes
(funci/n de enrutamieto que har el router y se e.plica mas adelante y por este motivo se ha elegido poner ,#
de diferente Red a las VLAN!"
0na ve$ configurados los ordenadores con su correspondiente ,# y mascara, se procede a configurar en los
switch a que VLAN pertenece cada puerto, como se ve en el esquema el Switch S+ tiene en el puerto fa12&
conectado el ordenador #%+ que pertenece a la VLAN ' y el puerto fa12' que esta conectado al #%& de la
VLAN ), el puerto fa123 esta conectado al ordenador #%* y que no tiene definida una VLAN, por lo tanto
esta en la de por defecto (en un switch si no se configuran VLAN, por defecto esta la VLAN + y a ella
pertenecen todos los puertos, esto se puede ver con el comando show vlan!"
Los comandos a aplicar en cada switch para configurar las VLAN y puertos asignados son (si la VLAN no
esta creada, se crea tras introducir el comando switchport access vlan!4
S+(config!5interface fa12&
S+(config6if!5switchport access vlan '
S+(config6if!5e.it
S+(config!5interface fa12'
S+(config6if!5switchport access vlan )
S+(config6if!5e.it
si quisi7ramos asignar un nom(re a cada VLAN har8amos lo siguiente4
S+(config!5VLAN '
S+(config6if!5name mecani$ado
S+(config6if!5e.it
S+(config!5VLAN )
S+(config6if!5name informatica
S+(config6if!5e.it
#ara el Switch S& se har8a lo mismo, en este caso se han usado el mimo numero de puerto, si fuese otro
puerto distinto, entonces donde se pone fa12& se pondr8a el nom(re del puerto utili$ado, si por e9emplo es el
+1, entonces fa12+1"
:l puerto fa123 no es necesario configurarlo ya que esta en la VLAN por defecto, esto es la VLAN +"
Ahora que tenemos creadas las VLAN en cada switch es necesario que se puedan comunicar entre si, para
ello se reali$a un enlace troncal entre am(os switch (por donde fluiran todas las VLAN creadas en el Switch!,
simplemente es unir entre si un puerto de cada switch y indicar que tra(a9en en modo trunc (se puede usar un
puerto ethernet o un puerto giga(itethernet para ello!, de la siguiente manera4
S+(config!5interface fa12)
S+(config6if!5switchport mode trunc
para el otro switch4
S&(config!5interface fa12+
S&(config6if!5switchport mode trunc
Si se quisiera volver a de9ar el puerto en modo de funcionamiento normal se aplica el siguiente comando
(primero el puerto al que hacemos referencia y luego el comando de modo de funcionamiento!4
S+(config!5interface fa12)
S+(config6if!5switchport mode access
:n este punto de la configuraci/n, podemos compro(ar como los ordenadores que est7n dentro de la misma
VLAN se pueden comunicar entre si aunque est7n en diferentes switch"
#ara ello si por e9emplo en el ordenador #%+ ;acemos ping a la ,# +<&"+*="*"&1 ira (ien
Sin em(argo si en el ordenador #%+ ;acemos ping a la ,# +<&"+*="="+1 entonces fallara"
Nota4 como se hace si en ve$ de asignar un puerto a una VLAN queremos asignar un con9unto de puertos
correlativos (por e9emplo desde el ' al +1!, utili$amos el comando range de la siguiente manera4
S+(config!5interface range fa12' 6 +1
S+(config6if!5switchport access vlan )
Ahora que ya tenemos configuradas las VLAN con sus respectivos puertos y el enlace troncal entre los
switch, queremos que al puerto del switch solo se pueda conectar un ordenador, para ello configuramos la
seguridad de uerto, lo vamos a reali$ar de forma dinmica, esto es que capture la mac del primer
ordenador que se conecte a dicho puerto y si luego conectamos otro entonces entre la seguridad y no funcione
(por eso en el esquema se ha puesto un ordenador de prue(as!, para la prue(a solo se va a configurar en el
puerto fa12& del Switch S+ (si se quiere hacer lo mismo en mas puertos, seria igual solo cam(iando el numero
de puerto!, la secuencia de comandos que se tiene que aplicar por cada puerto es la siguiente4
S+(config!5interface fastethernet 12&
S+(config6if!5switchport mode access
S+(config6if!5switchport port6security
S+(config6if!5switchport port6security ma.imum +
S+(config6if!5switchport port6security mac6address sticy
S+(config6if!5switchport port6security violation shutdown
S+(config6if!5e.it
#ro(amos a hacer un ping desde el ordenador #%+ al #%', de(e ir (ien, pero si sustituimos el ordenador #%+
por el #% prue(as y hacemos de nuevo ping desde este ultimo al #%' veremos como se (loquea el puerto del
switch (ha entrado la seguridad!, volvemos a conectar el #%+ y para levantar el puerto de nuevo se teclean los
siguientes comandos4
S+(config!5interface fa12&
S+(config6if!5shutdown
S+(config6if!5no shutdown
Adicionalmente y como medida de seguridad tam(i7n, podemos apagar (desconectar! todos los puertos que
no se usen con la orden s!utdo"n tras indicar el puerto, ya que por defecto en un Switch los puertos estn
activos, y cualquiera se podr8a conectar"
#) :ntra en 9uego un router (R+! y para poder comunicar todas las Redes (VLAN) de los $"itc!es con el
router or un %nico enlace de datos, hay que configurar un enlace troncal entre el Switch y el Router (en el
Switch se define en modo trunc y en el router se crean tantos su(6interfaces como VLAN tengamos!, lo que
se llama >enrutamiento on stic?"
La configuraci/n a reali$ar en el Switch S+ es la siguiente4
S+(config!5interface fa12+
S+(config6if!5switchport mode trunc
La configuraci/n a reali$ar en el router es la siguiente4
R+(config!5interface fa121"+
R+(config6su(if!5encapsulation dot+@ +
R+(config6su(if!5ip address +<&"+*="A"+ &33"&33"&33"1
5%rea la +a su(interfa$ en el puerto definido y le asigna la VLAN +, Befine modo encapsulacion =1&" +@ y
VLAN +, Befine ,# y mascara a la su(interfa$ de este puerto, esto se repetir8a por cada VLAN"
:n nuestro caso los pasos a hacer son4
R+(config!5interface fa121"+
R+(config6su(if!5encapsulation dot+@ +
R+(config6su(if!5ip address +<&"+*="A"+ &33"&33"&33"1
R+(config6su(if!5e.it
R+(config!5interface fa121"'
R+(config6su(if!5encapsulation dot+@ '
R+(config6su(if!5ip address +<&"+*="*"+ &33"&33"&33"1
R+(config6su(if!5e.it
R+(config!5interface fa121")
R+(config6su(if!5encapsulation dot+@ )
R+(config6su(if!5ip address +<&"+*="="+ &33"&33"&33"1
R+(config6su(if!5e.it
0na ve$ configurado los su(interfaces en el Router y configurada la ,# de gateway en los ordenadores (La ,#
de -ateway es la ,# que se ha asignado a cada su(interface en el Router y que ha de ser una ,# del rango de la
red en la que esta dicho ordenador! , ya se pueden comunicar todas las VLAN entre si por medio del Router
que las enruta, esto lo podemos compro(ar haciendo ping entre los diferentes ordenadores"
N&'A4 Si todas las VLAN se han creado a partir de la misma Red (algo ha(itual cuando tienes una Red con
un switch y quieres dividir los ordenadores conectados por $onas!, solo se vern los ordenadores que
pertene$can a la misma VLAN y si este Switch se conecta a otro en modo CDruncC entonces los ordenadores
de este ultimo Switch que pertene$can a la misma VLAN del primer Switch tam(i7n se vern con ellos, si
ahora conecto este Switch a un Router de forma normal, sin hacer trunc, ni su(interfaces, solo saldrn al
e.terior los ordenadores que pertene$can a la misma VLAN a la que tenga asignada el puerto que se conecte
con el Router (para que el router enrute todas las VLAN estas de(en ser de diferente Red2Su(red y hacer
Drunc y Su(interfaces!, en el paet tracer A& se han configurado todas las Vlan dentro de la misma Red y
solo salen al e.terior los ordenadores que pertenecen a la VLAN por defecto, ya que el puerto que se conecta
con el Router no tiene asignada VLAN y ya se ha comentado que por defecto todos los puertos estn
asignados a la VLAN por defecto que es la +"
() :l siguiente paso es configurar las interfaces de los router y ha(ilitar los enlaces serial, recordar que en
un enlace seria un e.tremo es B%: (el que proporciona relo9 y al que hay que ponerle el comando cloc rate!
y el otro e.tremo es BD:, en nuestro caso se ha decidido que sea R& el que se comporte como B%: en sus
dos enlaces, las configuraciones a reali$ar son asignar una ,# a cada interface, indicarle el cloc rate si es
oportuno y levantar la interface, a continuaci/n los comandos para cada Router4
R+(config!5interface Serial&21
R+(config6if!5ip address +1"1"+"& &33"&33"&33"&3&
R+(config6if!5cloc rate *)111
R+(config6if!5no shutdown
R+(config6if!5e.it
La interfa$ fa121 ya se ha definido anteriormente con los su(interfaces"
R&(config!5interface Serial&21
R&(config6if!5ip address +1"1"+"+ &33"&33"&33"&3&
R&(config6if!5cloc rate *)111
R&(config6if!5no shutdown
R&(config6if!5e.it
R&(config!5interface Serial'21
R&(config6if!5ip address +1"1"&"+ &33"&33"&33"&3&
R&(config6if!5cloc rate *)111
R&(config6if!5no shutdown
R&(config6if!5e.it
R&(config!5interface fa121
R&(config6if!5ip address &+&"+11"&1"+ &33"&33"&33"1
R&(config6if!5no shutdown
R'(config!5interface Serial'21
R'(config6if!5ip address +1"1"&"& &33"&33"&33"&3&
R'(config6if!5cloc rate *)111
R'(config6if!5no shutdown
R'(config6if!5e.it
R'(config!5interface fa121
R'(config6if!5ip address +<&"+*="&"+ &33"&33"&33"1
R'(config6if!5no shutdown
0na ve$ reali$ada esta configuracion se levantaran todas las lineas de cone.i/n entre los router,
configuramos tam(ien la ,# y -ateway del Servidor y ordenador #%), llegados a este punto podemos
compro(ar que no es posi(le hacer ping desde #%) hasta el servidor, ni a los ordenadores de las VLAN, esto
es de(ido a que no se han definido rutas en los router"
)! Definicin de rutas estticas, para que los ordenadores se puedan comunicar de(emos decirle a cada
Router como llegar hasta una determinada direccion de red, hay una ruta que se llama >ruta por defecto?, que
indica que para ir a cualquier direccion, se vaya por el puerto de salida o direccion ,# del siguiente salto que
le indiquemos"
:n el esquema e.puesto tenemos las sigueintes Redes4
+<&"+*="&"1 2&)
+<&"+*="*"1 2&)
+<&"+*="A"1 2&)
+<&"+*="="1 2&)
&+&"+11"&1"1 2&)
Las Redes que unen los interfaces serial (+1"1"+"1 2'1 y +1"1"&"1 2'1! no se tienen en cuenta a la hora de hacer
enrutamiento esttico"
Domaremos como e9emplo el router R', como se puede apreciar, este router solo tiene una salida y es por
medio del interface serial '21, en la configuraci/n de rutas estticas se configuran rutas a las direcciones de
Red que no estan conectadas directamente, en este caso son4
+<&"+*="*"1 2&)
+<&"+*="A"1 2&)
+<&"+*="="1 2&)
&+&"+11"&1"1 2&)
%onfiguramos una ruta esttica por cada red a la que queremos acceder o una ruta resumen, por e9emplo estas
cuatro redes se pueden resumir en una, la +<&"+*="1"1 2+*, pero tam(i7n se puede utili$ar la ruta por defecto
que englo(a a todas las direcciones de red, imaginemos que la red es mucho mayor que la que hemos
di(u9ado y aunque resumamos algunas redes al final tenemos &1 redes diferentes, como la Enica salida que
tiene este router es a trav7s del serial '21 no tiene sentido poner las &1 rutas cuando con una Enica ruta (La
ruta por defecto! resumimos a todas, as8 en este caso concreto de un router terminal se usa la ruta por defecto,
que es direccion de red 1"1"1"1 con mascara 1"1"1"1 y se configura as84
R'(config!5ip route 1"1"1"1 1"1"1"1 Serial'21 :sto indicando el puerto de salida
#ara ir a la red 1"1"1"1 con mascara 1"1"1"1 (osea a cualquier Red! sal por la interfa$ serial '21"
R'(config!5ip route 1"1"1"1 1"1"1"1 +1"1"&"+ :sto indicando la ,# del siguiente salto
#ara ir a la red 1"1"1"1 con mascara 1"1"1"1 (osea a cualquier Red! vete por la ,# del siguiente salto, esto es
por la interfa$ serial '21 del Router R& con el que estas directamente conectado"
%onfigurando esta ruta, todos los mensa9es enviados desde el #%) saldr8an por el interfce serial '21 y
llegar8an a R& que se encargar8a de enrutarlos donde corresponda (para ello en R& hay que configurar una
serie de rutas estticas!"
%onfiguraci/n de rutas estticas en R&, aqu8 ya no hay una unica salida por que tenemos que configurar
varias rutas estaticas, la direcciones de Red directamente conectadas ya las conoce, por lo que no hay que
configurarlas, solo las que no tiene directamente conectadas directamente, en este caso son estas4
+<&"+*="&"1 2&)
+<&"+*="*"1 2&)
+<&"+*="A"1 2&)
+<&"+*="="1 2&)
de tal manera que configuramos ) rutas estticas, aunque la * y la A se pueden resumir en una sola, esto es la
+<&"+*=")"1 2&&, quedando de la siguiente manera4
R&(config!5ip route +<&"+*="&"1 &33"&33"&33"1 +1"1"&"&
R&(config!5ip route +<&"+*=")"1 &33"&33"&3&"1 +1"1"+"& sumari$ando la *"1 y A"1, pasa de 2&) a 2&&
R&(config!5ip route +<&"+*="="1 &33"&33"&33"1 +1"1"+"&
R&(config!5e.it
Si no sumari$amos, entonces ponemos las )
R&(config!5ip route +<&"+*="&"1 &33"&33"&33"1 +1"1"&"&
R&(config!5ip route +<&"+*="*"1 &33"&33"&33"1 +1"1"+"&
R&(config!5ip route +<&"+*="A"1 &33"&33"&33"1 +1"1"+"&
R&(config!5ip route +<&"+*="="1 &33"&33"&33"1 +1"1"+"&
R&(config!5e.it
:l caso de R+ es similar a R', solo tiene una Enica salida y con configurar una ruta esttica por defecto es
suficiente"
R+(config!5ip route 1"1"1"1 1"1"1"1 +1"1"+"+
F una ve$ terminada la configuraci/n de rutas estticas, se puede compro(ar como todos los ordenadores se
comunican entre si y con el servidor, ademas si ponemos en el router el comando s!o" i route, mostrara las
rutas configuradas y las redes directamente conectadas"
:n el caso de R' da este resultado4
Se puede o(servar como la ruta esttica indicada por la $, esta configurada, en este caso es una ruta por
defecto"
)- :l siguiente paso es deshacer las rutas estticas y configurar un enrutamiento dinmico, se escoge GS#H
por ser mas sencillo de reali$ar (pt I!"
*) Des!acer el enrutamiento esttico, para ello se aplica el comando no ip route con todas las rutas
introducidas en el paso ) y en cada uno de los router, los comandos a aplicar en cada router son los
siguientes4
R+(config!5no ip route 1"1"1"1 1"1"1"1 +1"1"+"+
R&(config!5no ip route +<&"+*="&"1 &33"&33"&33"1 +1"1"&"&
R&(config!5no ip route +<&"+*=")"1 &33"&33"&3&"1 +1"1"+"&
R&(config!5no ip route +<&"+*="="1 &33"&33"&33"1 +1"1"+"&
R'(config!5no ip route 1"1"1"1 1"1"1"1 +1"1"&"+
0na ve$ aplicados los comandos se puede compro(ar que ya no hay rutas estticas configuradas con el
comando s!o" i route"
%omo se puede apreciar en el resultado, ya no hay una ruta esttica configurada, si ahora intentamos
comunicar los diferentes ordenadores dar fallo (destino inalcan$a(le!"
+) ,onfiguracin de enrutamiento dinmico, se utili$a el enrutamiento GS#H, el comando para activar
GS#H en el router es router osf seguido de un numero de ,B, los siguientes comandos a introducir son las
direcciones de Red de los interfaces para los que queramos activar este protocolo de enrutamiento, con el
comando net"or- seguido de la direcci/n de red de cada interface (esto es la direcci/n de Red a la que
pertenece la ,# asignada al interface! con mascara wildcard y un numero de rea (que de(e ser el mismo en
todos los router!, adicionalmente se introduce el comando assi.e-interface por cada interface al que no
queramos que se le env8en actuali$aciones de enrutamieto GS#H por corresponder con redes de ordenadores
(normalmente agrupados por un Switch!"
Los comandos a aplicar en cada Router son los siguientes4
R+(config!5router ospf +
R+(config6router!5networ +<&"+*="*"1 1"1"1"&33 area 1
R+(config6router!5networ +<&"+*="A"1 1"1"1"&33 area 1
R+(config6router!5networ +<&"+*="="1 1"1"1"&33 area 1
R+(config6router!5networ +1"1"+"1 1"1"1"' area 1
R+(config6router!5passive6interface fa121 no se env8an actuali$aciones al no ha(er un router
R&(config!5router ospf +
R&(config6router!5networ &+&"+11"&1"1 1"1"1"&33 area 1
R&(config6router!5networ +1"1"&"1 1"1"1"' area 1
R&(config6router!5networ +1"1"+"1 1"1"1"' area 1
R&(config6router!5passive6interface fa121 no se env8an actuali$aciones al no ha(er un router
R'(config!5router ospf +
R'(config6router!5networ +<&"+*="&"1 1"1"1"&33 area 1
R'(config6router!5networ +1"1"&"1 1"1"1"' area 1
R'(config6router!5passive6interface fa121 no se env8an actuali$aciones al no ha(er un router
Si hacemos un s!o" i route una ve$ configurado el enrutamiento, mostrar8a las rutas creadas mediante
ospf4
0na ve$ configuradas las rutas dinmicas en todos los router, podemos compro(ar como todos los
ordenadores se comunican entre si y con el servidor"
,- Ahora supongamos que hay un router de (orde, de un proveedor de servicios de internet (,S#!, en este
caso se define una ruta esttica por defecto de salida de R& hacia el ,S# por medio del serial *21 (notese que
al router R& se le ha agregado una tar9eta mas de puerto serial! y en el Router ,S# hay que configurarle rutas
estticas para acceder a las redes que tenemos creadas (pt %!"
:squema del aJadido para ilustrar esta practica4
/) #rimero hay que configurar los enlaces serial, con sus respectivas ,#, as8 como el interfa$ ethernet con el
servidor de prue(a, los comandos a reali$ar en cada caso son los siguientes4
R&(config!5interface Serial*21
R&(config6if!5ip address +1"1"'"+ &33"&33"&33"&3&
R&(config6if!5cloc rate *)111
R&(config6if!5no shutdown
R&(config6if!5e.it
,S#(config!5interface Serial&21
,S#(config6if!5ip address +1"1"'"& &33"&33"&33"&3&
,S#(config6if!5no shutdown
,S#(config6if!5e.it
,S#(config!5interface fa121
,S#(config6if!5ip address &+&"&11"&1"+ &33"&33"&33"1
,S#(config6if!5no shutdown
0) 0na ve$ configurados los interfaces, se configuran las rutas estticas, en R& una ruta esttica por defecto
y en ,S# las rutas estticas necesarias para acceder a todas las redes que tenemos (se procurara resumirlas en
una o varias!"
%omandos a introducir en R& para configurar la ruta esttica por defecto de salida4
R&(config!5ip route 1"1"1"1 1"1"1"1 +1"1"'"&
#ara que el protocolo GS#H que hemos configurado como enrutamiento dinmico, cono$ca esta ruta de
salida, se la transferimos con el comando default-information originate de la siguiente manera4
R&(config!5router ospf +
R&(config6router!5 default6information originate
R&(config6router!5 e.it
con s!o" i route en R& podemos compro(ar como se ha agregado la nueva ruta esttica (SK!"
F si ponemos en otro router como por e9emplo R', se comprue(a como esta ruta esttica se ha transferido
(marcada como GK!4
:n el Router ,S#, se configuran las rutas estticas necesarias para acceder a todas la redes que tenemos de la
siguiente manera4
,S#(config!5ip route &+&"+11"&1"1 &33"&33"&33"1 +1"1"'"+
,S#(config!5ip route +<&"+*="1"1 &33"&33"&)1"1 +1"1"'"+
,S#(config!5e.it
Las redes4 +<&"+*="&"1 2&) +<&"+*="*"1 2&) +<&"+*="A"1 2&) +<&"+*="="1 2&)
se resumen con +<&"+*="1"1 2&1
0na ve$ configuradas las rutas estticas, se puede compro(ar como todos los ordenadores acceden al router
del ,S#"
Algo de teor1a y concetos
0n Switch se utili$a cuando quiero conectar mas de & ordenadores, ya que dos puedo conectarlos con ca(le
cru$ado"
Si no tengo Router, pero si tengo Switch de &) puertos por e9emplo, podre conectar hasta &) ;GSDs , si
necesito conectar mas me har falta otro SL,%;
%omo no tengo Router y si un Switch y necesito que los ordenadores conectados al Switch no se vean
algunos con otros, tengo que crear VLANs
Dodos los ordenadores conectados al Switch por omisi/n pertenecen a la VLAN+, y solo se vern los de la
misma VLAN, as8 que creare las VLAN ', ), 3 """"en modo access que necesite y as8 divido el Switch en
varios Switches, es como si tuviera varios Switches independientes"
Si me paso de &) ordenadores como he dicho antes necesito otro Switch pero sigo si tener Router, de(o
conectar los dos Switches con un ca(le para cada vlan (es decir un puerto que ocupo de intercone.ion con el
otro Switch por cada VLAN que tenga!, como no tengo tantos ca(les los puedo unir con uno (en modo
trun!, solo se vern las que tengan puertos asignados a la misma VLAN, nunca los no asignados que
pertenecen a VLAN+"
S8 tengo un Router puedo hacer varias redes, y ahora puedo hacer VLANs de diferentes ,#s para que ciertos
ordenadores no se vean con otros aunque est7n conectados a un mismo SL,D%;" pero para salir a
,ND:RN:D necesitare enrutar" :l enrutar NG quiere decir que los ordenadores de la VLAN' de este switch
se vean con los de otra red que NG tiene VLANs, es decir todos pertenecer8an a la VLAN+ (practica A&!"
#ara verlo ha$ lo siguiente4
coloca algEn ordenador suplementario en el Switch S+ con VLANs y no le asignes a ninguna VLAN es decir
pertenecer por defecto a la VLAN+, es decir como si no hu(iera VLANs, que las has creado por algun otro
motivo, compro(aras que este nuevo ordenador tras enrutar con estticas o dinmicas si se ve con todos los
dems"
Resumiendo
Solo se ven VLANs iguales"
Solo se ven redes iguales"
SL,D%; Vlan a nivel mac
RG0D:R nivel ,#"