Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VLAN de administración
Una VLAN de administración es cualquier VLAN que se configura para acceder a las
capacidades de administración de un switch. La VLAN 1 es la VLAN de administración
de manera predeterminada. Para crear la VLAN de administración, se asigna una
dirección IP y una máscara de subred a la interfaz virtual de switch (SVI) de esa VLAN,
lo que permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP. Dado
que en la configuración de fábrica de un switch Cisco la VLAN 1 se establece como VLAN
predeterminada, la VLAN 1 no es una elección adecuada para la VLAN de
administración.
En el pasado, la VLAN de administración para los switches 2960 era la única SVI activa.
En las versiones 15.x de IOS de Cisco para los switches de la serie Catalyst 2960, es
posible tener más de una SVI activa. Cisco IOS 15.x requiere la registración de la SVI
activa específica asignada para la administración remota. Si bien, en teoría, un switch
puede tener más de una VLAN de administración, esto aumenta la exposición a los
ataques de red.
VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). El
tráfico de VoIP requiere:
• Ancho de banda garantizado para asegurar la calidad de la voz
• Prioridad de la transmisión sobre los tipos de tráfico de la red
• Capacidad para ser enrutado en áreas congestionadas de la red
• Una demora inferior a 150 ms a través de la red
Para cumplir estos requerimientos, se debe diseñar la red completa para que admita
VoIP. Los detalles sobre cómo configurar una red para que admita VoIP exceden el
ámbito de este curso, pero es útil resumir cómo funciona una VLAN de voz entre un
switch, un teléfono IP Cisco y una computadora.
2.2 Protocolos de enlace VLAN
IEEE 802.1Q
El estándar IEEE 802.1Q fue publicado en 1998 por el organismo IEEE para resolver el
problema que se presenta cuando diversas redes se encuentran compartiendo el mismo
medio físico y por lo tanto consumiendo un mayor ancho de banda del necesario,
generando tráfico broadcast y multicast.
Este protocolo interconecta VLANs entre varios switches, routers y servidores,
proporcionando a su vez un mayor nivel de seguridad entre los segmentos de redes
internas. Los switches Cisco soportan dicho estándar para las interfaces FastEthernet y
GigabitEthernet.
Para poder identificar a una VLAN en específico, el IEEE 802.1Q inserta un campo en el
frame, es decir, incluye una etiqueta de cuatro octetos (32 bits) en cada trama Ethernet
entre la dirección fuente y el campo de longitud.
La etiqueta agregada a la trama Ethernet está compuesta por dos campos de
información:
• La etiqueta de información de control (Tag Control Information – TCI)
• Campo de etiqueta de identificador de protocolo (Tag Protocol IDentifier field –
TPID).
El campo TCI es constituido a su vez por tres sub-campos que suman 16 bits, es decir,
dos octetos:
1. VLAN ID que consta de 12 bits, este campo indica el grupo de VLAN y permite
acceder hasta 4096 VLANs. Todos los switches en la red usan este VLAN ID para
enlazar las membrecías de redes virtuales entre sí. Los números de identificación
VLAN ID deben asignarse de forma centralizada e informarse en su totalidad a los
diferentes switches y nodos que conformen la red, de no ser así, un mismo VLAN
ID podría repetirse varias veces. Para evitar esta situación, se recurre al Protocolo
Genérico de Registro de Atributos (Generic Attribute Registration Protocol –
GARP) que es la norma original 802.1P, este protocolo es utilizado como base
para la comunicación de la membrecía de las redes VLAN entre los diferentes
switches.
2. Prioridad de usuario de 3 bits, este campo permite hasta ocho niveles de prioridad.
3. CFI (Canonical Identifier Format – Indicador de Formato Canónico) consta de un
bit que se utiliza únicamente para comunicaciones Token Ring, indicando si el
paquete encapsulado es una trama Token Ring en un formato de trama Ethernet.
El campo TPID consta también de 16 bits (2 octetos) y se usa para las transmisiones de
datos de Token Ring, FDDI y codificadas en SNAP.
La membrecía de redes VLAN puede darse a conocer de dos formas:
• Implícita
Supone que indirectamente el o los switches saben a qué VLAN en específico
pertenece un paquete
• Explícita
Por otro lado, la comunicación explícita implica que cada paquete o trama debe
ser como su nombre lo indica, explícitamente marcada para indicar su pertenencia
a una VLAN en particular, por ejemplo, el tráfico de una VLAN basada en
direcciones MAC debe marcarse con un identificador propio de esa red virtual.
En general las VLANs que se encuentran basadas en puertos y direcciones MAC usan
comunicaciones explícitas, mientras que las VLANs con atributo de capa 3 como las
basadas en protocolo o dirección IP pueden usar etiquetado implícito.
2.3 Enrutamiento inter VLAN
Es un proceso para reenviar el tráfico de la red desde una VLAN a otra mediante un
router. Las VLAN están asociadas a subredes IP únicas en la red.
Esta configuración de subred facilita el proceso de enrutamiento en un ambiente de
múltiples VLAN.
Enrutamiento Inter-VLAN Tradicional
El enrutamiento inter VLAN tradicional requiere de interfaces físicas múltiples en el router
y en el switch. Sin embargo, no todas las configuraciones del enrutamiento inter VLAN
requieren interfaces físicas múltiples.
Diagrama de topología
Comandos de implementación
Se comienza a crear la Vlan 10 y Vlan 20 en donde como se muestra en la imagen de
la topología estará conectada una PC en cada una, los siguentes son los comandos de
creación de Vlans.
Para asegurar que se crearon las Vlans correctamente se efectúa el siguiente comando
Se configuran las interfaces del router que serán destinadas a cada una de las Vlans con
su respectiva dirección IP
Se asigna a cada de una de las PC´s su IP correspondiente a la Vlan que pertenecerá asi
como el Gateway predeterminado.
Desventajas
• Supone un gasto adicional de uso de interfaces
• Permite el total de ancho de banda en las interfaces
• Requiere una conexión Switch Router para cada Vlan
• Usa una interfaz del Switch para cada Vlan estática
• Puertos que conectan con el Router en modo acceso
Comandos de implementación
Se comienza a configurar el Switch
Ahora se comienza a configurar el Router, asignando a cada subinterfaz la dirección IP
y la Vlan correspondiente.
Para verificar que se realizo correctamente se ejecuta el siguiente comando, observando
los resultados que efectivamente las están activas las subinterfaces.
Ventajas
• Fácil de implementar solo se requiere crear una subinterfaz por cada VLAN en el
Router.
• Mucho más económica que tener un Router por VLAN.
• Mucho mejor latencia que tener un Router por VLAN.
Desventajas
• Los Routers son más lentos que los switches para ruteo inter-VLAN, lo ideal es
tener un switch multicapa.
• Si se necesita incrementar el número de puertos, entre más puertos requiera un
Router más costoso resulta.
• Estamos expuestos al buen funcionamiento de una sola interfaz física en el
Router, esto es un único punto de fallo.
Enrutamiento inter-VLAN con un switch capa 3.
Diagrama de topología
Comandos de implementación
Se comienza configurando el Switch de capa 3 comenzando con el comendo vlan
database.
Para asignar las direcciones a las Vlans se utilizan los siguientes comandos:
Ventajas
• Se minimizan los puntos de fallas al reducir de dos a un solo equipo
• El proceso de enrutamiento se hace más rápido ya que solo se revisa una tabla y
no dos o tres (en cada router)
• La seguridad de la red se ve mejorada por cuanto se aplican políticas en un solo
dispositivo
Desventajas
• Son mas costosos.
2.4 Resolución de problemas de VLAN
Cuando configura la VLAN y los enlaces troncales en una infraestructura conmutada,
estos tipos de errores de configuración son los más comunes, en el siguiente orden:
Faltas de concordancia de la VLAN nativa: los puertos se configuran con diferentes VLAN
nativas, por ejemplo si un puerto ha definido la VLAN 99 como VLAN nativa y el otro
puerto de enlace troncal ha definido la VLAN 100 como VLAN nativa. Estos errores de
configuración generan notificaciones de consola, hacen que el tráfico de administración
y control se dirija erróneamente y, como ya ha aprendido, representan un riesgo para la
seguridad.
Fuentes de Consulta
https://ccnadesdecero.es/segmentacion-de-vlan-definicion-y-tipos/
http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/779/A5.pdf
?sequence=5
http://diariodeingenieria01.blogspot.com/2017/09/enrutamiento-inter-vlan-es-un-
proceso.html
https://sites.google.com/site/isaacivantorresgonzalezvlan/resolucion-de-problemas-de-
vlan-y-enlaces-troncales
https://docs.oracle.com/cd/E50696_01/html/E50091/gmpfo.html