Las VLANs permiten agrupar usuarios por departamentos o proyectos independientemente de su ubicación física, segmentar la red en dominios más pequeños para reducir la sobrecarga de tráfico, y aumentar la seguridad separando dispositivos sensibles. Para que las VLANs funcionen entre switches interconectados, estos deben utilizar trunking VLAN que etiqueta los paquetes con un identificador de VLAN para que el switch receptor sepa a qué VLAN pertenece cada paquete.
1. Razones para utilizar VLANs
• Crear diseños más flexibles que agrupen a usuarios por departamentos, o por gruposque trabajen juntos, en lugar de por su ubicación
física.
• Segmentar dispositivos en LANs más pequeñas (dominios de difusión) para reducirla sobrecarga causada por cada host en la VLAN.
• Reducir la carga de trabajo del Protocolo de árbol de extensión (STP, SpanningTreeProtocol) limitando una VLAN a un único
acceso al switch.
• Forzar una mayor seguridad separando los hosts que trabajen con datos sensiblesen una VLAN diferente.
• Separar tráfico enviado por un teléfono IP del tráfico enviado por PCs conectadosa los teléfonos.
Diagrama de trunkingVLAN
Cuando se utilizan VLANs en una red con varios switches interconectados, los switchesdeben usar el trunkingVLAN en los
segmentos entre los switches. Este proceso permitea los switches utilizar el proceso denominado etiquetado de VLAN (VLAN
tagging),por el cual el switch emisor añade otro encabezado a la trama antes de enviarla por eltroncal. Este encabezado VLAN extra
incluye un campo identificador de VLAN (IDVLAN) por el cual el switch emisor puede mostrar el ID de la VLAN y el
switchreceptorpuede entonces conocer a qué VLAN pertenece cada trama. El uso del trunkingpermite a los switches pasar tramas
procedentes de variasVLANs a través de una única conexión física.
Los switches de Cisco soportan dos protocolos diferentes de trunking: Enlace entreswitches (ISL, Inter-Switch Link) e IEEE 802.1Q.
Los protocolos de trunkingproporcionanvarias características, la más importante de ellas define las cabeceras con las cuales identificar
el ID VLAN.
ISLInter-Switch Link
Cisco creó ISL varios años antes que el IEEE creara el protocolo de trunkingestándar deVLAN, el 802.1Q. Debido a que ISL es
propiedad de Cisco, sólo puede ser utilizado entredos switches de Cisco que soporten ISL. (Algunos switches nuevos de Cisco ya no
soportanISL; en cambio sólo soportan la alternativa estándar, 802.1Q). ISL encapsula completamentela trama Ethernet original en una
cabecera y una información final ISL. La tramaEthernet original dentro de la cabecera y la información final de ISL permanece
inalterada.
La cabecera ISL incluye varios campos, pero lo más importante es que el campo VLANde la cabecera ISL proporciona un lugar para
codificar el número de VLAN. Etiquetandouna trama con el número correcto de VLAN en la cabecera, el switch que envía puede
asegurarque el switch receptor conoce a qué VLAN pertenece la trama encapsulada. Tambiénlas direcciones de origen y destino en la
cabecera ISL utilizan las direcciones MAC delswitch que envía y del que recibe, en oposición a los dispositivos que realmente envían
latrama original. Aparte de esto, los detalles de la cabecera ISL no son importantes.
Cabecera 802.IQ
2. El IEEE estandariza muchos de los protocolos relativos a las LAN, y el trunkingVLANno es una excepción. Años antes que Cisco
creara ISL, el IEEE completa el trabajo en elestándar 802.1Q, que define las diferentes maneras de realizar el trunking. Hoy, 802.1Q
hallegado a ser el más popular de los protocolos de trunking. Cisco ya no soporta ISL en algunosde sus nuevos modelos de switches
para LAN, incluyendo los switches 2960 utilizadosen los ejemplos de este libro.802.1Q utiliza un estilo diferente de cabecera que el
utilizado por ISL para etiquetar lastramas con un número de VLAN. De hecho, 802.1Q no encapsula realmente la trama originalen
otra cabecera y otra información final Ethernet. En cambio, 802.1Q inserta unacabecera de VLAN extra de 4 bytes en la cabecera
Ethernet de la trama original. Comoresultado, al contrario de ISL, la trama tiene todavía las direcciones MAC de origen y destino
originales. También, debido a que la cabecera original se ha expandido, la encapsulaciónde 802.1Q fuerza a recalcular el campo de
secuencia de verificación de trama (FCS) en la información final Ethernet, debido a que este campo está basado en el contenido de la
trama completa.
Comparación entre 802.IQ e ISL
Hasta ahora, el texto ha descrito la similitud entre ISL y 802.1Q, con un par dediferencias. La similitud es que ambos definen
una cabecera VLAN que tiene un campoID VLAN. No obstante, cada uno de los protocolos de trunkingutiliza una cabecera de
sobrecarga diferente, y uno está estandarizado (802.1Q) y otro es propietario (ISL). Estasección señala algunos otros puntos
importantes de comparación entre los dos.Ambos protocolos soportan el mismo número de VLANs, concretamente 4094 VLANs.
Ambos utilizan 12 bits de la cabecera VLAN para numerar las VLANs, soportando 2e12, ó4096, IDs de VLAN, menos dos
valores reservados (0 y 4095). De las VLANs soportadas,los IDs de VLAN de 1-1005 se consideran el rango normal de VLANs,
mientras que los valoresmayores de 1005 se denominan rango extendido de VLANs. Esta discusión está relacionadacon el Protocolo
de trunkingVLAN (VTP, VLAN TrunkingProtocol) que se trata enla siguiente sección.
ISL y 802.1Q soportan ambos una instancia separada del Protocolo de árbol de extensión(STP, SpanningTreeProtocol) para
cada VLAN, pero con diferentes detalles de implementación,como se explica en el Capítulo 2. Para las LANs de campus con enlaces
redundantes, el uso de una única instancia de STP significa que algunos de los enlaces permaneceninactivos en su modo normal de
operación. Estos enlaces sólo se utilizan cuandootro falla. Soportando múltiples instancias de STP, los ingenieros pueden ajustar los
parámetrosde STP para que bajo un funcionamiento normal, parte del tráfico de las VLANsutilice un conjunto de enlaces y otro
tráfico de las VLANs utilice otros enlaces, con la ventajade usar así todos los enlaces de la red.
Una diferencia clave final entre ISL y 802.1Q que se trata aquí está relacionada con unacaracterística denominada VLAN
nativa. 802.1Q define una VLAN en cada troncal comola VLAN nativa, mientras que ISL no utiliza este concepto. Por defecto, la
VLAN nativa de802.1Q es la VLAN 1. Por definición, 802.1Q simplemente no añade una cabecera 802.1Qa las tramas de la VLAN
nativa. Cuando un switch del otro lado del troncal recibe unatrama que no tiene una cabecera 802.1Q, el switch receptor sabe que la
trama pertenece ala VLAN nativa. Debido a esta conducta, ambos switches deben estar de acuerdo en quéVLAN es la nativa.
La VLAN nativa de 802.1Q proporciona algunas funciones interesantes, principalmente laconexión de dispositivos que no
soportan el trunking. Por ejemplo, un switch de Cisco podríaestar conectado a un switch que no soporte el trunking802.1Q. El switch
de Cisco podríaenviar tramas en la VLAN nativa (significa que la trama no tiene cabecera de trunking);por tanto, el otro switch podría
entender la trama. El concepto de VLAN nativa proporcionaa los switches al menos la capacidad de reenviar tráfico de una VLAN (la
VLAN nativa), loque puede permitir algunas funciones básicas como la accesibilidad vía telnet de un switch.
La Tabla 1.2 resume las características claves y los puntos de comparación entre ISL
y 802.1Q.
Conceptos del proceso de sincronización de VTP
3. El proceso de VTP comienza con la creación de la VLAN en un switch llamado servidorVTP. El servidor VTP distribuye los
cambios en la configuración de la VLAN a través demensajes VTP, enviados sólo sobre troncales ISL y 802.1Q, a lo largo de la red.
Tanto los servidorescomo los clientes VTP procesan los mensajes VTP recibidos, actualizan sus basesde datos de configuración de
VTP basándose en estos mensajes y después envían independientementelas actualizaciones VTP por sus troncales. Al final del
proceso, todos los switchesaprenden la nueva información de la VLAN.
Los servidores y clientes VTP deciden si reaccionar a un mensaje de actualización VTPrecibido, y actualizar sus
configuraciones deVLANbasándose en si el número de revisión deconfiguración de la base de datos de la VLAN aumenta. Cada
vez que un servidor VTPmodifica su configuración de VLAN, el servidor VTP incrementa en 1 el número actual de revisiónde la
configuración. Losmensajes de actualización de VTP contienen el nuevo númerode revisión de configuración. Cuando otro switch
cliente o servidor recibe un mensaje VTPcon un número de revisión de configuraciónmayor a su propio número, el switch actualiza
suconfiguración de VLAN. La Figura 1.6muestra cómo trabaja VTP en una red conmutada.
1. Alguien configura la nueva VLAN desde la interfaz de línea de comandos (CLI) deun servidor VTP.
2. El servidor VTP actualiza su número de revisión de la base de datos VLAN de 3a 4.
3. El servidor envía mensajes de actualización VTP por sus interfaces troncales, declarandoel número de revisión 4.
4. Los dos switches clientes VTP comprueban que el número de revisión de la actualización(4) es mayor que su número de revisión
actual (3).
5. Los dos switches clientes actualizan su base de datos VLAN basándose en las actualizacionesVTP del servidor.
Requisitos para que VTP funcione entre dos switches
• El enlace entre los switches debe trabajar como un troncal VLAN (ISL ó 802.1Q).
• El nombre de dominio VTP de los switches debe coincidir (considerando mayúsculasy minúsculas).
• Si se configura en al menos uno de los switches, las contraseñas VTP de los dosswitches deben coincidir (considerando mayúsculas
y minúsculas).
PruningVTP
pruningVTP, permite a VTP determinar dinámicamentequé switches no necesitan tramas de ciertas VLANs, y entonces VTP
recorta estasVLANs en los troncales adecuados. El concepto de pruningsimplemente significa que lasinterfaces apropiadas del troncal
del switch no inundan tramas de esa VLAN.
Resumen de las características de VTP
4. Lista de verificación de la configuración para configurarVLANs y asignar interfaces, Configuración
predeterminada de VTP y VLAN
Para que un switch de Cisco reenvíe tramas en una VLAN particular, el switch debe serconfigurado para creer que la VLAN
existe. Además, el switch debe tener interfaces notroncales (llamadas interfaces de acceso) asignadas a la VLAN y/o troncales que
soportenla VLAN. Los pasos de configuración para crear la VLAN, y asignar una VLAN a unainterfaz de acceso, son los siguientes.
(Obsérvese que la configuración del troncal se tratamás tarde en este capítulo en la sección “Configuración del trunkingVLAN”).
Paso 1 Para configurar una nueva VLAN, siga estos pasos:
a. Desde el modo de configuración, utilice el comando de configuración globalvlan id-vlanpara crear la VLAN y poner al
usuario en modo de configuraciónVLAN.
b. (Opcional) Utilice el subcomando de VLAN name nombre para ver el nombrede la VLAN. Si no está configurado, el
nombre de la VLAN esVLANZZZZ, donde ZZZZ es el ID de la VLAN, un decimal de 4 dígitos.
Paso 2 Para configurar una VLAN para cada interfaz de acceso, siga estos pasos:
a. Utilice el comando interface para ir al modo de configuración de interfazpara cada una de las interfaces deseadas.
b. Utilice el subcomando de interfaz switchportaccessvlan id-vlanpara especificarel número de VLAN asociado con esa
interfaz.
c. (Opcional) Para deshabilitar el trunkingen esa misma interfaz, asegúrese deque la interfaz es una interfaz de acceso,
utilizando el subcomando de interfazswitchportmodeaccess.
El proceso anterior se puede utilizar en un switch configurado en modo transparente oen un switch con todos los valores
predeterminados de VTP. Como referencia, la siguientelista esboza los valores predeterminados importantes en un switch de Cisco
relativos a lasVLANs y VTP. Por ahora, este capítulo asume o los valores predeterminados de VTP oVTP en modo transparente. Más
tarde en este capítulo, la sección “Advertencias al cambiarla configuración predeterminada de VTP” revisa los valores
predeterminados de unswitch de Cisco y la implicación de cómo pasar de no utilizar VTP, basado en los valorespredeterminados, a
usar VTP.
• Modo servidor de VTP.
• Sin nombre de dominio VTP.
• La VLAN 1 y las VLANs 1002-1005 están configuradas automáticamente (y no puedenser borradas).
• Todas las interfaces de acceso se asignan a la VLAN 1 (un comando implícitoswitchportaccessvlan 1).
Opciones del comando switchportmode
Trunkingesperado resultante basándose en la configuracióndel comando switchportmode
Switch(config-if)#switchportmode ?
access Set trunkingmodeto ACCESS unconditionally
dynamic Set trunkingmodetodynamicallynegotiateaccessortrunkmode
trunk Set trunkingmodeto TRUNK unconditionally
5. Cuatro razones por las que un troncal no permite tráfico deuna VLAN
• Una VLAN ha sido eliminada de la lista de VLANs permitidas del troncal.
• Una VLAN no existe, o no está activa, en la base de datos VLAN del switch (comopuede verse con el comando show vlan).
• Una VLAN ha sido recortada automáticamente por VTP.
• Una instancia de STP de la VLAN ha colocado a la interfaz del troncal en otro estadoque no es el Estado de Reenvío.
El libro enumera las cuatro razones para limitar las VLANs en un troncal en el mismoorden en el cual el IOS describe estas
razones en la salida del comando show interfacestrunk. Este comando incluye una progresión de tres listas de las VLANs soportadas
sobreun troncal. Estas tres listas son las siguientes:
• VLANs en la lista VLAN permitida en el troncal.
• VLANs en el grupo previo que están también configuradas y activas (no cerradas)en el switch.
• VLANs en el grupo previo que no han sido también recortadas y están en un estadoSTP de reenvío.
Para tener una idea de estas tres listas en la salida del comando show interfaces trunk,
Configuración y terminología de VLAN de voz y de datos
Los teléfonos IP de Cisco utilizan Ethernet para conectar redes IP con el propósito deenviar paquetes de Voz sobre IP (VoIP).
Los teléfonos IP de Cisco pueden enviar paquetesVoIP a otros teléfonos IP para soportar las llamadas de voz, así como enviar
paquetes VoIPa gateways de voz, que a su vez conectan con la red telefónica tradicional existente,pudiendo hablar con cualquier otro
teléfono del mundo.
Cisco anticipó que cualquier mesa de una empresa podría tener un teléfono IP de Ciscoy un PC. Para reducir el desorden de
los cables, Cisco incluye un pequeño switch LANdebajo de cada teléfono IP de Cisco. El pequeño switch permite que el cable
procedente delcableado general más próximo a la mesa se conecte al teléfono IP y después el PC se conectaal switch con un pequeño
cable Ethernet (directo) desde el PC al teléfono IP.
Las guías de diseño de telefonía IP de Cisco sugieren que el enlace entre el teléfono y elswitch utilice el troncal 802.1Q, y
que el teléfono y el PC estén en VLANs diferentes (y, portanto, en diferentes subredes). Colocando los teléfonos en una VLAN, y los
PCs conectadosa los teléfonos en diferentes VLANs, los ingenieros pueden gestionar más fácilmenteel espacio de direcciones IP,
aplicar más fácilmente mecanismos de calidad de servicio(QoS, quality of service) a los paquetes VoIP, y proporcionar mayor
seguridad separando eltráfico de datos del de voz.
Cisco denomina a la VLAN utilizada en el tráfico telefónico la VLAN de voz y a laVLAN utilizada para datos la VLAN de
datos o de acceso. Para que el switch pueda renviar el tráfico correctamente, los switches de Cisco necesitan conocer el ID VLAN de
ambas, la VLAN de voz y la de datos. La VLAN de datos (o de acceso) se configura nadamás consultar los últimos ejemplos,
utilizando el comando switchportaccessvlan id-vlan. LaVLAN de voz se configura con el subcomando de interfaz switchportvoicevlan
id-vlan. Porejemplo, para la Figura 1.10, la interfaz Fa0/6 necesitaría el subcomando de interfazswitchportaccessvlan 2 y el
subcomando switchportvoicevlan 12.
6. Lista Recomendaciones de cómo proteger los puertos no utilizadosde un switch
• Deshabilitar administrativamente la interfaz no utilizada, con el subcomando deinterfaz shutdown.
• Prevenir la negociación del trunkingcuando el puerto está habilitado mediante elsubcomando de interfaz switchportnonegotiatepara
deshabilitar la negociación, oel subcomando de interfaz switchportmodeaccesspara configurar estáticamente la
interfaz como interfaz de acceso.
• Asignar el puerto a una VLAN no utilizada, llamada a veces VLAN de aparcamiento,con el subcomando de interfaz
switchportaccessvlan id-vlan.
Lista de verificación de la configuración de VTP
Paso 1 Configurar el modo de VTP utilizando el comando de configuración global vtpmode {server|client}.
Paso 2 Configurar el nombre del dominio VTP (sensible al uso de mayúsculas y minúsculas)con el comando de configuración global
vtpdomain nombre-dominio.
Paso 3 (Opcional) Tanto en clientes como en servidores, configurar la misma contraseñasensible al uso de mayúsculas y minúsculas
con el comando de configuraciónglobal vtppassword contraseña.
Paso 4 (Opcional) Configurar el pruningVTP en los servidores VTP utilizando el comandode configuración global vtppruning.
Paso 5 (Opcional) Habilitar la versión 2 de VTP con el comando de configuración globalvtpversion 2.
Paso 6 Plantear los troncales entre los switches.
Comandos de configuración de VTP y VLAN, y dóndese almacenan
Proceso de resolución de problemas de VTP utilizadoscuando VTP no funciona como se desea
Paso 1 Confirmar los nombres de switch, topología (incluyendo qué interfaces conectanqué switches), y modos VTP del switch.
Paso 2 Identificar conjuntos de dos switches vecinos que deban ser clientes o servidoresVTP en los que sus bases de datos VLAN
difieran mediante el comandoshow vlan.
Paso 3 En cada par de switches vecinos cuyas base de datos difieran, verificar losiguiente:
a. Al menos debe existir un troncal operativo entre los dos switches (usarel comando show interfaces trunk, show interfaces
switchport, o show cdpneighbors).
b. Los switches deben tener el mismo nombre de dominio (sensible al uso demayúsculas y minúsculas) VTP (show vtp
status).
c. Si se configuró, los switches deben tener la misma contraseña (sensible aluso de mayúsculas y minúsculas) VTP (show
vtppassword).
d. Mientras el pruningVTP debe estar habilitado o deshabilitado en todos losservidores del mismo dominio, tener dos
servidores configurados con unaconfiguración de pruningopuesta no previene el proceso de sincronización.
Paso 4 Para cada par de switches identificados en el Paso 3, solucionar el problemabien resolviendo los problemas de truningo
reconfigurando unswitch paraque los nombres de dominio y las contraseñas sean los mismos.
Prediciendo qué pasará con VTP cuando un nuevo switchse conecte a la red
Paso 1 Confirmar que se producirá el trunkingen el nuevo enlace (consultar la Tabla1.5 para los detalles).
Paso 2 Confirmar que los dos switches utilizan el mismo nombre de dominio y contraseñaVTP (con distinción entre mayúsculas y
minúsculas).
Paso 3 Si los pasos 1 y 2 confirman que VTP funciona, el switch con el menor númerode versión actualiza su base de datos VLAN
para coincidir con el otroswitch.
7. Buenas prácticas de VTP para prevenir los problemas de VTP
• Si no tiene intención de utilizar VTP, configure cada switch para utilizar el modotransparente.
• Si utiliza el modo servidor o cliente de VTP, utilice siempre una contraseña VTP.
• Deshabilite el trunkingcon los comandos switchportmodeaccessy switchportnonegotiateen todas las interfaces excepto en los
troncales conocidos, previniendo ataquesde VTP mediante la eliminación del establecimiento dinámico de enlaces troncales.
Definiciones de los términos clave
Defina los siguientes términos clave de este capítulo, y compruebe sus respuestas conayuda del glosario:802.1Q, base de datos de
configuración VLAN, ISL, modo administrativo de trunking,modo cliente VTP, modo operativo de trunking, modo servidor VTP,
modotransparente VTP, pruningVTP, troncal, VLAN, vlan.dat, VTP.
Referencia de comandos EXEC