Práctica Switches 2023

IES Gonzalo Nazareno

1º ASIR

Tras haber trabajado con los switches reales, ahora montaréis en el simulador
GNS3 una estructura para asentar los conceptos de VLAN, VLAN asimétricas,
Port Bonding y Port Mirroring.

Debéis montar el siguiente escenario:

Y sobre él crear las siguientes configuraciones:

a) PC1 y PC3 pertenecen a la VLAN 10, PC2 y PC4 pertenecen a la VLAN 20.
Demuestra el funcionamiento correcto de ambas VLAN y que no hay conectividad
entre PC2 y PC3. ¿Puedes hacerlo con los switches Ethernet que trae GNS3?
¿Encuentras alguna limitación? ¿Cuáles son las distintos tipos (types) que puede
tener un puerto y en qué se diferencian?
La configuración para los switches por defecto en GNS3, para crear 2 vlan llamadas
vlan10 y vlan20 es definir los puertos que conectan un switch con otro como trunk o
dot1Q y para conexión de equipos en modo access. Es decir:
De esta forma, solo se pueden comunicar los pcs que formen parte de la misma VLAN,
que para este caso son el PC1 (10.0.10.10) con el PC3 (10.0.10.12), y el PC2
(10.0.10.11) con el PC4 (10.0.10.13).

Como se ve en las imágenes solo se pueden comunicar con los equipos en su misma
VLAN. La limitación que tienen los switches por defecto en GNS3, es que no permiten
en un mismo puerto poner distintas vlans. Y los tipos de puerto, pueden ser access
modo normal, o dot1q tramas etiquetadas (comunicacion entre switches), aunque
tambien esta el tipo puerto qinq ( permite etiquetar el trafico en 2 niveles, pero es de
poco uso).

Y sobre los puertos, como he mencionado antes, estan los de acceso (o access) que es
destinado a dispositivos, y solo pueden tener una única vlan (como lo de gns3). Por otro
lado estan los troncales (modo trunk) que conectan dispositivos de red entre si, como de
un switch a otro switch, y pueden tener diversas vlans, lo que usa el protocolo dot1q
para etiquetar los paquetes que se envian, asi se sabe a que vlan pertenecen.

b) Todos los ordenadores deben poder acceder al servidor de datos, pero solo PC1 y
PC3 deben acceder a Internet. Lo harán a través de vuestra máquina física usando
el elemento llamado NAT, que deberéis comprender y configurar. ¿Puedes hacerlo
con los switches Ethernet que trae GNS3? ¿Qué limitación te encuentras? Para
superar dicha limitación, descarga el CISCO 3725 como appliance y úsalo en lugar
de los switches Ethernet configurándolos adecuadamente.

La limitación es que no reconoce los mensajes el servidor por ser dot1q el protocolo de
comunicación entre switches de las vlans, de ser tipo access pero esos switches no dejan
que una access tenga vlan (no existe vlan asimetrica, solamente con otro switch) por lo
que la nat no funciona al tener que poner la salida los 2 vlans. Los switchs en dot1q
ponen la etiqueta 802.q en el mensaje y el ultimo lo traduce para que lo entienda el
equipo o no se reconocera. (Es una peticion arp al servidor no lo entiende por estar
conectado al dot1q, y en el access solo puede ser 1 vlan). Tambien hay que configurar y
crear las vlans requeridas para esta practica. (vlan database permite ver las vlans en
los routers)
Para crear las vlans en cisco, lo primero es:
vlan database (sin config t)
vlan 10 name vlan10
vlan 20 name vlan20
exit
Ahora elegir las interfaces, si son pc usar mode access si son otros switchs usar trunk:
int f1/2 (switch a switch)
switchport mode trunk
switchport trunk allowed vlan 1-1005 (permite varias vlans)
no sh
exit
Así con cada router e interfaz.
Para que tenga salida a internet hay que dividir las interfaces por cada vlans, es decir,
si tenemos la vlan 10, hay que introducir la orden int f1/2.10 por ejemplo, y luego
encapsulation dot1q 10 y darle una ip.

c) Responde a las siguientes preguntas sobre los apartados anteriores:

• ¿Qué pasa con el direccionamiento cuando añades la nube de NAT? ¿Cuál es

el motivo de este cambio?
• ¿Por qué es necesario asignar un disco duro a cada uno de los dispositivos y
qué tamaño mínimo debe tener para que el escenario funcione?
• ¿Qué diferencia hay entre configurar un puerto del switch en modo access y
en modo trunk y cuándo hay que usar cada uno de ellos?

Cuando se añade la NAT, las ips cambian ya que la nat permite que las vlans, tengan
acceso a internet, y para ello, en equipo, la nat simula una nueva interfaz. Como la nat
permite que los equipos puedan salir a internet con la misma ip pública, ayuda a
“ocultar” la topologia de la red interna.

Para poder usar los routers cisco 3725, (con el siwtch ya importado en GNS3), hay que
asignarle los SLOTS (el de 16 NM-16ESW) para que se comporte como un switch, y
asignarle una memoria por ejemplo de 4mb para que pueda guardar las
configuraciones. Hecho esto al iniciar cada router hay que escribir “format flash”
para que le de formato a la memoria, sino dará error.
Y por último, en la conexión de los puertos, hay que empezar a conectar dejando libres
los dos primeros puertos, que son de la tarjeta de red y de los slots del switch. Una vez
hecho eso, se puede empezar a crear las VLANS en estos “Switches”. Por otro lado
como he dicho antes el modo access es para la conexión de los equipos, y el modo trunk
para los dispositivos de red, que al hacer un port trunk y establecer mas de una vlan en
el mismo puerto, son indispensables.
d) Sustituye ahora PC1 y PC3 por dos máquinas Linux con Firefox instalado
(puedes encontrar las imágenes en el MarketPlace de GNS3) y comprueba que
navegan correctamente.

Hay que descargarlos del marketplace de GNS3 (llamado firefox) que se basa en tiny
core (linux minima). Para que naveguen correctamente hay que configurar primero el
modo dhcp que aporta el nat y la puerta de enlace.

e) Monta un Port Bonding entre el switch de cabecera y los otros dos. Demuestra su
correcto funcionamiento y explica detalladamente como lo has configurado.
Explica los flags que puede tener un portchannel.

Para realizar un port Bonding los puertos deben estar previamente configurados y de la
misma forma, y posteriormente hay que “agruparlos”. Primero elijo la interfaz por
ejemplo la f1/2 con int range fa1/2-4, channel-group 1 mode on, para agruparlos, y
posteriormente tengo que configurar como se van a unir, y seria usando int port-
channel 1, switchport trunk encapsulation dot1q, switchport mode trunk. Ahora elegir
la vlan que será la permitida en este caso, y para ello, int port-channel 1, switchport
trunk allowed vlan 1,10. Luego repetir el proceso en los demás equipos.

Para poder ver los resultados se puede usar la orden show etherchannel summary, que
de paso mustra información sobre las etiquetas.
Sobre las etiquetas que pueden tener son las siguientes:

D es caido o down, I es que esta inactivo, S aquí es layer2, s suspendido, P es

funcionando en port-channel, U es up o en uso, etc. Aunque según diversas fuentes de
internet hay más tipos como por ejemplo A de modo auto.

f) Port Mirroring: Conecta un PC5 al Switch1 y monitoriza el tráfico que sale de

PC1. Realiza una captura con Wireshark en la boca correspondiente al PC5 y
explica el tráfico capturado.

Debes entregar una memoria de la práctica en la que se explique cada paso

realizado y se demuestre el funcionamiento correcto de cada uno de los apartados.

Puedes encontrar información en castellano para esta práctica en nuestra Moodle

para los conceptos teóricos y en www.josedomingo.org para los aspectos prácticos.

Para hacer este apartado he tenido muchos problemas con el GNS3 en casa, me daba
diversos errores que incluso buscandolos en internet y ahciendo lo que ponian no se
arreglaba. Tuve que hacer el proyecto varias veces, por si en las interfaces creo que no
me han llegado a coincidir entre momentos de capturas, pero el procedimiento es el
siguiente:

Para desviar el tráfico hay que introducir primero quien va a recibirlo y para ello es
“monitor session 1 source int f1/3” y “monitor session 1 destination int f1/0”, luego
hay que configurar el receptor con “monitor session 1 source int f1/3”.
Hay una orden que sirve para verlo que es “show monitor” pero por algún motivo me
decia que era inválido, por lo que no se que estaba pasando, esto fue uno de los errores
que tuve en casa a la hora de tener que hacerlo de nuevo todo, por no haber podido ir a
clases.