Cisco Vlan Linux

VLAN
LINUX Y CISCO
RENZO TACO COAYLA
Implementación de VLANs Usando Linux y Cisco
© 2010 ITSPERU, Inc. All rights reserved. Renzo Taco Coayla renzo@itsperu.com http://www.itsperu.com 1
Introducción
Mejores practicas en VLANs
Implementando VLANs
Implementando enlaces Troncales
Propagando VLANs con VTP
Corrigiendo problemas comunes en VLANs
Laboratorios VLANs
Redes Corporativas Virtuales
© 2010 ITSPERU, Inc. All rights reserved. Renzo Taco Coayla renzo@itsperu.com http://www.itsperu.com 2
Introducción
 Este charla define los propósitos de las VLANs y describe como

implementarlas
 Describe cómo la implementación de VLANS puede subir el
rendimiento de la red y puede volver simple la administración y la
resolución de problemas de red
 Ustéd podrá ver cómo las consideraciones del diseño pueden
determinar que VLANs se compartirán su información con otros
switches
 Los componentes de configuración de esta charla describen como
manipular independientemente los puertos del switch a bien que
se puedan utilizar como puertos Troncales o puertos de Acceso
BSCI 8 - 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
Virtual LANs
Como trabaja una VLAN
Entonces Varias VLANs
Necesitamos VLANs?
Problemas de un diseño de red no apropiado
 Dominios de falla
 Dominios de broadcast
 Gran cantidad de trafico unicast con MAC desconocida
 Tráfico multicast en puertos donde no se requiere
 Dificultad en el manejo y soporte
 Posibles vulnerabilidades de seguridad
Agrupando funciones del negocio dentro de
VLANs
 Direccionamiento jerárquico de
red significa que un numero de red es asignado a una
VLAN
 Beneficios
Fácil mantenimiento y resolución de problemas
Errores minimizados
Tablas de enrutamiento reducidas
Describiendo tecnologías
de interconexión
 Fast Ethernet (100 Mbps Ethernet)

IEEE 802.3u opera a 100 Mbps sobre
cable de par trenzado
 Gigabit Ethernet
Opera a 1000 Mbps (1 Gbps), IEEE 802.3z especifica la operación sobre fibra
óptica, IEEE 802.3ab especifica la operación sobre cable de par trenzado
 10-Gigabit Ethernet
Se convirtió en un estándar IEEE 802.3 en junio 2002
 EtherChannel
Esta característica provee agregación de ancho de banda sobre enlaces de
Capa 2 entre dos switches, maneja hasta 1600 Mbps (8 enlaces 100 Mbps, full
duplex) o hasta 16 Gbps (8 enlaces Gbps, full duplex)
Determinando el equipo y el
cableado a necesitar
 Los cuatro objetivos en el diseño de una red de

alto desempeño son
Seguridad
Disponibilidad
Escalabilidad
Manejabilidad
 Reemplace los hubs y switches heredados con
switches nuevos considerando la expansión futura
 Asegure que los enlaces entre swithes de
distribución y acceso tengan el suficiente ancho de
banda
 Seleccione los switches con adecuado rendimiento
para la capa de Distribución, los cuales deben de
manejar procesos de Capa 2 y Capa 3
 El equipo de backbone debe de soportar alta
velocidad entre la comunicación entre otros sub-
módulos, tenga en cuenta el tamaño del backbone
para brindar escalabilidad
VLANs (end-to-end)
 El termino “end-to-end VLAN” se refiere a que

una serie de puertos del switch pueden estar conectados a través
de una VLAN en una red esparcida por toda la red empresarial, a
otro conjunto de puertos de un switch
 Razones para implementar VLANs
Agrupar usuarios
Seguridad
QoS
Evitar enrutamiento
VLANS de propósito específico
Debido al diseño
Beneficios de VLANs locales
en un Campus Empresarial
 Flujo de trafico determinístico

 Rutas redundantes activas
 Alta disponibilidad
 Dominio de falla finito
 Diseño escalable
Modos de configuración de VLAN
 Las VLANs pueden ser creadas tanto en modo de configuración

global (modo recomendado) como en VLAN database
 En modo de configuración global puede ser usado para configurar
VLANs en el rango de 1 a 1005 y debe de ser usado para
configurar el rango extendido (1006 a 4096)
 En el modo de configuración VLAN database cuando usted agrega
borra o modifica los parámetros de una VLAN, los cambios no son
aplicados hasta que se utilice el comando APPLY
VLAN access ports
 Cuando un sistema terminal es

conectado a un puerto del switch, es necesario que éste se asocie
a una VLAN
 Para asociar un dispositivo a una VLAN, el puerto del switch debe
ser asignado a una VLAN de forma dinámica o estática
 Atributos de los puertos de acceso
Un puerto de datos es asociado a una sola VLAN
La VLAN a la cual el puerto pertenece, debe de existir en la base de
datos de VLAN del switch
Debido a que un puerto del switch es parte de una VLAN o dominio de
broadcast, el puerto recibe broadcast, multicast o tramas unicast,
entonces el puerto lo manda a todos los puertos de la misma VLAN
Un dispositivo terminal típicamente tiene una dirección IP en una
subred que es común a otros dispositivos en la misma VLAN
 Si es asignación dinámica, se requiere de un VMPS (Vlan
Membership Policy Server)
Implementando VLANs
 Paso 1
Crear la VLAN
Asignar nombre (opcional)
Asignar el puerto del switch a la VLAN
…Implementando VLANs
 Paso 2
Verificar la configuración
 Paso 3
Asociar el puerto a la VLAN
 Paso 4
Verificar la configuración de los puertos del switch
show interface type slot/port

switchport
show running-config interface type
slot/port
show vlan
Switch# show running-config
interface fastethernet 5/6
Building configuration...
!
Current configuration :33 bytes
interface FastEthernet 5/6
switchport access vlan 200
switchport mode access
end
 Paso 5
Probar conectividad entre la VLAN
PASO 1 Verifique que la IP y la mascara de subred de los
dispositivos esté configurada correctamente a bien de que
estén en la misma subred
PASO 2 Ping al gateway por defecto
PASO 3 Si el ping es exitoso, la configuración y la dirección IP
ha sido verificada
 Paso 6
Implementar medidas de seguridad al Switch y a las VLANs
Explicando enlaces
Troncales
 El paso de paquetes de multiples VLANs es permitido entre

switches a través de enlaces troncales
 Para esto se necesita un protocolo especializado como
ISL (Inter – Switch Link)
802.1Q (IEEE standard trunking protocol)
 Estos protocolos son necesarios para cuando se necesite
interconectar:
Dos Switches
Un Switch y un Router
Un Switch y una tarjeta NIC en un server que permita enlaces
troncales
VLAN nativa
(802.1Q)
 Cuando se configura
un enlace troncal 802.1Q, debe de existir una mutua
congruencia de la VLAN nativa en cada extremo del
enlace
 El propósito de la VLAN nativa es permitir que
datagramas sin etiqueta con VID puedan atravesar el
enlace troncal
 Cada puerto físico tiene un parámetro llamado PVID
(port VID). Cada puerto 802.1Q es asignado a un valor
PVID igual al de la VID nativa. Cuando un puerto
recibe un puerto etiquetado, este es respetado. Para
aquellos datagramas sin etiqueta el PVID es
considerado como etiqueta
Rangos de VLANs
 Cada VLAN en la red debe de tener un VID único

 El rango valido configurable por el usuario es
VLAN ISL de 1 a 1024
VLAN 802.1Q de 1 a 4094
 Como una buena practica, es asignar los rangos desde

4094 hacia abajo, debido a que ciertos Switches usan
el rango extendido para uso interno, iniciando desde la
parte baja del rango
Modos de VTP
 Server
Crea, Modifica y borra VLANs
Manda y envía avisos
Sincroniza configuraciones de VLANs
Graba la configuración en NVRAM
 Client
No puede crear, cambiar o borrar VLANs
Re-envía los avisos
Sincroniza configuraciones de VLANs
No graba a NVRAM
 Transparent
Crea, modifica y borra VLANs locales
Re-envía avisos
No sincroniza configuraciones de VLANs
Graba la configuración a NVRAM
Y Linux??
Configuración
El prerequisito para hacer esto es contar con el paquete de VLAN que, en Debian y
derivados es pecisamente vlan. Por ello, en esos sistemas:
aptitude install vlan
Luego, para crear una interfaz de con un VLAN ID 22, con nombre vlan22, asociada a
la interfaz eth0 y con la IP 192.168.22.2:
vconfig add eth0 22 vlan22

ifconfig vlan22 192.168.22.2 netmask 255.255.255.0 up
De la misma manera, para eliminar la interfaz creada:
vconfig rem vlan22

Ahora bien, esto es necesario hacerlo cada vez que arranca el equipo. Para que el
cambio sea permanente, en los Debian/Ubuntu, editar el archivo
/etc/network/interfaces y agregar las siguientes líneas:
auto vlan22
iface vlan22 inet static
address 192.168.22.2
netmask 255.255.255.0
Caso Práctico
 ifconfig eth1 0.0.0.0 up
 vconfig add eth1 11 Creando las interfaces
Added VLAN with VID == 11 to IF -:eth1:-
 vconfig add eth1 12
Added VLAN with VID == 12 to IF -:eth1:-
Hacer Permanente las VLANs
 modprobe 8021q
 ifconfig eth1 0.0.0.0 up
 ifconfig eth1.11 192.168.11.254 netmask 255.255.255.0
up
 ifconfig eth1.12 192.168.12.254 netmask
255.255.255.0 up
Debian: /etc/rc.local ; Centos: /etc/rc.local ; Slackware: /etc/rc.d/rc.local
Asigne IP a las vlans
 ifconfig eth1.11 192.168.11.254 netmask 255.255.255.0 up

 ifconfig eth1.12 192.168.12.254 netmask 255.255.255.0 up
Cisco Catalyst Switch Configuration (i)
 switch#conf terminal
 switch#wr mem
 Enter configuration commands, one per line.
 Building configuration...
End with CNTL/Z.
 [OK]
 switch(config)#vlan 11
 switch#show vlan | include test-vlan
 switch(config-vlan)#name test-vlan11
 switch(config-vlan)#exit  11 test-vlan11 active
 switch(config)#vlan 12  12 test-vlan12 active
 switch(config-vlan)#name test-vlan12
 switch(config-vlan)#exit
 switch(config)#exit
Cisco Catalyst Switch Configuration (ii)
Finalmente Iptables
 # Regla por defecto para forward
 iptables -P FORWARD DROP
 # Solo las que aceptaras las autorizas:
 # de ventas a servidores Ida y regreso
 iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.3.0/24 -j ACCEPT
 # de admin a servidores y regreso
 # De tecnico a servidores y regreso
Caso Resuelto
Tiene alguna pregunta?
RENZO ALBERTO TACO COAYLA
renzo@itsperu.com
http://renzo.itsperu.com
M. 952879721 RPM. #681438
C. 952398975 RPC. 952398975

Cisco Vlan Linux

Cargado por

Información del documento

Título original

Derechos de autor

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Cisco Vlan Linux

Cargado por

Copyright:

VLAN

Implementación de VLANs Usando Linux y Cisco

Redes Corporativas Virtuales

 Este charla define los propósitos de las VLANs y describe como

 Fast Ethernet (100 Mbps Ethernet)

 Los cuatro objetivos en el diseño de una red de

 El termino “end-to-end VLAN” se refiere a que

 Flujo de trafico determinístico

 Las VLANs pueden ser creadas tanto en modo de configuración

 Cuando un sistema terminal es

show interface type slot/port

 El paso de paquetes de multiples VLANs es permitido entre

 Cada VLAN en la red debe de tener un VID único

 Como una buena practica, es asignar los rangos desde

aptitude install vlan

vconfig add eth0 22 vlan22

vconfig rem vlan22

 ifconfig eth1.11 192.168.11.254 netmask 255.255.255.0 up

 switch(config-vlan)#exit  11 test-vlan11 active

 switch(config)#vlan 12  12 test-vlan12 active

También podría gustarte