Capítulo 3: VLAN

El rendimiento de la red es un factor importante, mejorar el

rendimiento de la red es la división de los grandes dominios de
difusión en dominios más pequeños los routers bloquean el tráfico
de difusión pero tienen cantidad limitada de interfaces LAN, las
VLAN se incorporan al diseño de red para facilitar que una red dé
soporte a los objetivos

3.1 SEGMENTACIÓN DE VLAN

VLAN permiten dividir las redes en segmentos según función
aunque compartan una misma infraestructura con otras VLAN
Cualquier puerto de switch puede pertenecer a una VLAN, y los
paquetes de unidifusión, difusión y multidifusión se reenvían y saturan dentro de la VLAN
VLAN se considera una red lógica independiente(diferente segmento de red), y los paquetes destinados a las estaciones que
no pertenecen a la VLAN se deben reenviar a el ROUTING. Las VLAN habilitan políticas de acceso y de seguridad

TIPOS DE VLAN .- se definen según las clases de tráfico o la función que cumplen
 VLAN de datos: transportar tráfico generado por usuarios. se
usan para dividir la red en grupos de usuarios o dispositivos Es
común separar el tráfico de voz y de administración del tráfico
de datos.
 VLAN predeterminada: Es cargada en la configuración
predeterminada VLAN 1 tiene todas las características de
cualquier VLAN pero no se le puede cambiar el nombre ni se
puede eliminar
 VLAN nativa: está asignada a un puerto troncal 802.1Q. que
son enlaces entre switches y admiten el tráfico proveniente de
muchas VLAN (tráfico con etiquetas -> 4 bytes en la trama ), o
que no proviene de una VLAN (tráfico sin etiquetar -> VLAN1)
Es definen en la especificación IEEE 802.1Q para
compatibilidad de trafico sin etiqueta anteriores
Se recomienda configurar la VLAN nativa como VLAN sin
utilizar, independiente de la VLAN 1
 VLAN de administración: es para acceder a las capacidades de administración remota de un switch. La VLAN 1 es
predeterminada (se recomienda cambiar por seguridad) y se asigna IP y una máscara a la interfaz virtual de switch (SVI).
En el pasado la VLAN de administración era la única SVI activa, en las versiones 15.x de IOS es posible tener más de una
SVI activa

Se necesita una VLAN separada para admitir la tecnología de voz

sobre IP (VoIP).
o Ancho de banda garantizado
o Prioridad
o Una demora inferior a 150 ms a través de la red

Un enlace troncal es un enlace punto a punto que amplía las

VLAN a través de toda la red con la IEEE 802.1Q que puede usar
Fast Ethernet, Gigabit Ethernet y 10-Gigabit Ethernet.
No pertenece a una VLAN específica, sino que es un conducto
para varias VLAN entre switches y routers
También se puede utilizar un enlace troncal entre un dispositivo
de red y un servidor u otro dispositivo que cuente con una NIC
con capacidad 802.1Q

Cuando las tramas de Ethernet se colocan en un enlace troncal,

se debe agregar la información sobre las VLAN a las que
pertenecen “etiquetado”, se logra mediante el uso del
encabezado IEEE 802.1Q
Cuando el switch recibe una trama en un puerto configurado en
modo de acceso y asignado a una VLAN, el switch coloca una
etiqueta VLAN en el encabezado de la trama, vuelve a calcular
la FCS y envía la trama etiquetada por un puerto de enlace
troncal con los siguientes campos
o Tipo: “ID de protocolo de etiqueta” (TPID)
o Prioridad de usuario: que admite la implementación de
nivel o de servicio.
o Identificador de formato canónico (CFI): habilita las tramas
Token Ring que se van a transportar a través de los enlaces
Ethernet
o ID de VLAN (VID): es un número de identificación de VLAN
Un puerto de acceso que se usa para conectar un teléfono IP
puede usar dos VLAN separadas
El enlace entre el switch y el teléfono IP funciona como un
enlace troncal para voz y datos.
El teléfono IP Cisco contiene un switch integrado 10/100 de tres
puertos (P1 y P3 fisicos – P2 interno telefoniaIP)
En el switch, el acceso está configurado para enviar paquetes
(CDP) que instruyen a un teléfono IP conectado para que envíe
el tráfico de voz al switch

3.2 IMPLEMENTACIONES DE VLAN

los switches de las series Catalyst 2960 y 3560 admiten hasta 4096 VLANs (12 bits VID en el encabezado de la trama), en
rango normal de 1 al 1005, en rango extendido 1006 al 4094
VLAN de rango normal
o redes de pequeños
o VLAN entre 1 y 1005
o se almacenan vlan.dat que esta en la memoria flash
o El protocolo de enlace troncal de VLAN (VTP) aprende las VLANs
VLAN de rango extendido
o proveedores de servicios
o VLAN entre 1006 y 4094
o no se escriben en vlan.dat.
o Se guardan en el archivo de configuración en ejecución
o VTP no aprende las VLANs

Un puerto de acceso puede pertenecer a una sola VLAN por vez; a

excepción teléfono IP que es una para voz y otra para datos. El
comando switchport mode access es optativo, pero se aconseja
como práctica recomendada de seguridad
TRONCALES

transporta el tráfico para todas las VLAN (a menos que se restrinja la lista de VLAN permitidas de manera manual o
dinámica). Para habilitar los enlaces troncales, configure los
puertos en cualquier extremo del enlace físico con conjuntos
de comandos paralelos switchport mode trunk
Siempre configure ambos extremos de un enlace troncal con
la misma VLAN nativa sino IOS de Cisco registra errores
Y volver a colocar modo acceso al puerto

Protocolo de enlace troncal dinámico exclusivo de Cisco

La negociación de enlaces troncales entre dispositivos de red la
maneja el protocolo de enlace troncal dinámico (DTP), que solo
funciona de punto a punto. desactive DTP en las interfaces de
los switches Cisco conectadas a dispositivos que no admiten DTP
u otros fabricantes

diversos modos de enlace troncal con la ayuda de DTP:

 switchport mode access: se convierte en una interfaz no
troncal, independientemente de si la interfaz vecina es una
interfaz troncal, negocia para convertir el enlace a acceso
 switchport mode dynamic auto: hace que la interfaz pueda
convertir el enlace en la configuración vecina. El modo
predeterminado es dynamic auto
 switchport mode dynamic desirable: intente convertir el
enlace en un enlace troncal de manera activa para switches
antiguos
 switchport mode trunk: modo de enlace troncal
permanente y negocia para convertir el enlace en un enlace
troncal. Se recomiendo en los dos extremos poner troncal
 switchport nonegotiate: evita que la interfaz genere tramas DTP. Puede utilizarse cuando los enlaces son access o trunk

Nota: por lo general, se recomienda que la interfaz se establezca en trunk y nonegotiate cuando se requiere un enlace
troncal. Se debe inhabilitar DTP en los enlaces cuando no se deben usar enlaces troncales.
RESOLUCIÓN DE PROBLEMAS DE VLAN Y ENLACES
TRONCALES

Cada VLAN debe corresponder a una subred IP única

Verificar si el puerto pertenece a la VLAN esperada

Si se elimina la VLAN a la que se asignó el puerto, el puerto pasa a estar inactivo

un puerto de switch se puede comportar como puerto de enlace troncal, incluso si no se configuró como tal.
un puerto de acceso puede aceptar tramas de redes VLAN
distintas de la VLAN a la cual se asignó. Esto se conoce como
“filtración de VLAN”.
CDP muestra un aviso de incompatibilidad de VLAN nativa
En general, los problemas de enlaces troncales se deben a
una configuración incorrecta.
 Incompatibilidad de VLAN nativa
 Incompatibilidades de modo de enlace troncal
 VLAN permitidas en enlaces troncales: no se actualizó
la lista de VLAN permitidas en un enlace tronca. En
este caso, se envía tráfico inesperado o ningún tráfico
al enlace troncal

S1 y S3 no están en modo TRUNK solo AUTO ambos

Para que el tráfico de una VLAN se transmita a través de un enlace troncal, debe estar permitido en dicho enlace
switchport trunk allowed “vlan id-vlan”
3.1 SEGURIDAD Y DISEÑO DE REDES VLAN
Los saltos de VLAN permiten que una VLAN pueda ver el tráfico de otra
VLAN. Por ejemplo el aprovechamiento de DTP y hacerse suplantar por un
Switch que tiene un enlace Troncal y volverse enlace troncal y tener acceso
a todas las VLANs

Inhabilitar los enlaces troncales en todos los puertos, excepto en los que
específicamente requieren enlaces troncales
En los puertos de enlace troncal requeridos, inhabilite DTP y habilite los
enlaces troncales manualmente.

Otro tipo de ataque VLAN es el ataque con salto de VLAN de

etiquetado doble (o de encapsulado doble)
Funciona incluso si se inhabilitan los puertos de enlace
troncal, ya que, generalmente, un host envía una trama por
un segmento que no es un enlace troncal
Este tipo de ataque es unidireccional y solo funciona cuando
el atacante se conecta a un puerto que reside en la misma
VLAN que la VLAN nativa del puerto de enlace troncal.
Frustrar este tipo de ataque no es tan fácil
El mejor método para mitigar los ataques de etiquetado doble
es asegurar que la VLAN nativa de los puertos de enlace
troncal sea distinta de la VLAN de cualquier puerto de usuario.
De hecho, se considera una práctica recomendada de
seguridad la utilización de una VLAN fija distinta de todas las
VLAN de usuario como VLAN nativa para todos los enlaces
troncales 802.1Q en la red conmutada.

Algunas aplicaciones requieren que no se reenvíe tráfico en la capa 2 entre los

puertos del mismo switch, de modo que un vecino no vea el tráfico generado
por otro vecino y se hace uso de VLAN privada (PVLAN) o “puertos protegidos”,
que asegura que no se intercambie tráfico de unidifusión, difusión o
multidifusión entre estos puertos del switch
PRÁCTICAS RECOMENDADAS DE DISEÑO PARA LAS VLAN
 Por seguridad, se recomienda configurar todos los puertos de todos los switches para que se asocien a VLAN
distintas de la VLAN 1
 separar el tráfico de administración y de datos de usuario y que acepte sesiones SSH
 Por seguridad, se recomienda cambiar la VLAN nativa a una VLAN distinta de la VLAN 1 y misma en ambos extremos
del enlace troncal.
 inhabilitar la autonegociación dinámico de DTP
 es aconsejable utilizar VLAN separadas para la telefonía IP y para el tráfico de datos.

S1# show vlan name “student” // Muestra info especifica para esa vlan (stado, puertos, tipo, remoto, etc)
S1# show vlan summary // Muestra información resumida de las VLANs y VTP (cantidad)
S1# show interfaces vlan “20” //Muestra info de esa interface (up, MAC, ARPA, paquetes, tx rx, etc)
S1# show interfaces f0/18 switchport //Muestra info de esa interface (modo, encapsulacion, vlan, VoIP, etc)
si el puerto está inactivo cuando se elimino la VLAN, Protegido o No
S1#show interfaces trunk //Muestra info TRONCAL (modo=auto(dina DTP) modo=on(manual), Nro VLAN, etc)
y VLAN que permitirá el paso la troncal
S1#show mac-address-table interface f0/1 //muestra direcciones MAC que se obtenieron en ese puerto y a q VLAN
S1#show dtp interface f0/1 //muestra dtp, trunk, encapsulacion

S1(config)# vlan 10 // Creando la VLAN con su Nro

S1(config-if)# name “Clientes” // asignando nombre (importa mayúscula minúscula)
S1(config)# interface “fa0/10” // seleccionando la interface a asignar USAR RANGE para varios
S1(config-if)#switchport mode access //configurando al modo acceso (No es necesario pero RECOM por seguridad)
S1(config-if)# switchport access vlan “10” //asignando las interfaces que seleccionamos a la VLAN

S1(config)# vlan 99 // Creando la VLAN99 para NATIVA y ADMINISTRACION REMOTA

S1(config-if)# name “ADMIN/NATIVA” // asignando nombre
S1(config)# interface “gi0/1” // seleccionando la interface a asignar USAR RANGE para varios
S1(config-if)#switchport mode trunk //configurando al modo troncal
S1(config-if)# switchport trunk native vlan 99 //asignando la interface modo NATIVA y asu VLAN99

S1(config-if)# switchport trunk allowed vlan "1,10..,99" //especifica lista de vlan que se permitirá en la troncal (RECOM,opc)
S1(config-if)# switchport protected //asegura q no intercambie tráfico de uni y multidifusion entre mismos puertos(opc)

S1(config-if)#switchport mode dynamic auto // que la interfaz pueda convertirse respecto la configuración vecin
predeterminado dynamic auto
S1(config-if)#switchport nonegotiate // evita que la interfaz genere tramas DTP para negociar la configuración
Generalmente en TRONCALES o disp. De diferente FABRICANTE (RECOM)

S1(config)# no ip http server // Deshabilite el servicio web básico en ejecución.

Se recomienda crear una VLAN modo acceso

como AGUJERONEGRO para que cuando
quieran suplantar un enlace TRONCAL
Y solo permitir el flujo de las VLAN por las
TRONCALES
QUIEN ESCUCHA LA MULTIDIFUSION
PC0 envia un ICMP al 255.255.255.255 y todos les responden con un mensaje, pudiendo el SW almacenar las MAC de las
demás PCs que solo pertenecen a su VLAN
 Existen 3 dominios de difusión(broadcast)
 Existen 24 dominios de colisión

PC1 MAC -> ECB8

- De PC1 a PC6 PING no llega debido (envía un ARP con origen MAC:ECB8 y destino FFFF a todos los SW q a la vez
reenvían solo a su VLAN10 y ninguna PC responde debido a que ninguna PC en esa VLAN10 tiene una MAC con la IP
172.17.30.26)
- De PC1 a PC4 PING llega debido (envía un ARP con origen MAC:ECB8 y destino FFFF a todos los SW q a la vez
reenvían solo a su VLAN10 y la PC4 responde debido a que se encuentra en esa VLAN10 y tiene una MAC:73B4 con
la IP 172.17.30.24)
- En caso de eliminar las VLAN en los 3 Switch al enviar PING los paquetes ARP inundan todas las interfaces (menos
por donde se envió) de solicitudes (no siendo optimo)
- Existen 11 dominios de colisión y 3 dominios de difusión
-
 Sin configuración de VLANs existe comunicación en cada segmento de red correspondiente
 Configuramos VLANS en cada SW con su respectivo puerto
 Y para que haya comunicación entre VLANs S1 declarar sus enlaces Giga como troncales
 También lo declaramos a VLAN99 como nativa en S1 y por DTP negocia a los S2 y S3 que sus interfaces Giga sean
troncales y que por CDP va saliendo mensajes que en los S2 y S3 sus VLAN NATIVA no es la misma (siguen con VLAN1)
que en S1
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/2 (99), with S3
GigabitEthernet0/2 (1).
 En S2 y S3 tambien declarar como native a la VLAN99

Modo On cuando en S1 y S2 se declararon

Modo AUTO por DTP dinamico que en S1 se
como nativas a la VLAN 99 (recomendado)
declaro nativa a VLAN99 y no en S2
Una VLAN nativa está asignada a un puerto troncal 802.1Q, un puerto de enlace troncal 802.1Q admite el tráfico que
llega de una VLAN y también el que no llega de las VLAN's, la VLAN nativa sirve como un identificador común en
extremos opuestos de un enlace troncal, es aconsejable no utilizar la VLAN1 como la VLAN Nativa.