CONFIGURACION DE ENRUTAMIENTO VLAN

Enrutamiento VLAN

a) Identificación del enrutamiento inter VLAN.

Definición de Enrutamiento

Enlaces Troncales: Utilizados para interconectar dispositivos de VLAN que abarcan varios dispositivos. El enlace troncal transporta el tráfico para varias VLAN. Un enlace troncal puede conectar: Un switch a otro switch, un switch a un router o un switch a un servidor instalando una NIC
especial que admite enlace troncal.

Tipos de enrutamiento VLAN.

Conectividad lógica:

Conexión única, o enlace troncal, desde el switch hasta el router. Enlace troncal puede admitir varias VLAN. Esta topología se denomina "router en un palo" porque existe una sola conexión al router. Conectividad física: Implica una conexión física separada para cada VLAN.  Esto significa una interfaz física separada para cada VLAN.

B) Configuración de Interfaces y Subinterfaces.

Uso del router como gateway

El enrutamiento tradicional requiere de routers que tengan interfaces físicas múltiples para facilitar el enrutamiento inter VLAN. El router realiza el enrutamiento al conectar cada una de sus interfaces físicas a una VLAN única. Además, cada interfaz está configurada con una dirección IP para la subred asociada con la VLAN conectada a ésta. Al configurar las direcciones IP en las interfaces físicas, los dispositivos de red conectados a cada una de las VLAN pueden comunicarse con el router utilizando la interfaz física conectada a la misma VLAN. En esta configuración los dispositivos de red pueden utilizar el router como un gateway para acceder a los dispositivos conectados a las otras VLAN.

Configuración de la subinterfaz

Para superar las limitaciones de hardware del enrutamiento inter VLAN basado en interfaces físicas del router, se utilizan subinterfaces virtuales y enlaces troncales, como en el ejemplo del router-on-a-stick descrito anteriormente. Las subinterfaces son interfaces virtuales basadas en software asignadas a interfaces físicas. Cada subinterfaz se configura con su propia dirección IP, máscara de subred y asignación de VLAN única, permitiendo que una interfaz física única sea parte en forma simultánea de múltiples redes lógicas. Esto resulta útil cuando se realiza el enrutamiento inter VLAN en redes con múltiples VLAN y pocas interfaces físicas del router.

Al configurar el enrutamiento inter VLAN mediante el modelo router-on-a-stick, la interfaz física del router debe estar conectada al enlace troncal en el switch adyacente. Las subinterfaces se crean para cada VLAN/subred única en la red. A cada subinterfaz se le asigna una dirección IP específica a la subred de la cual será parte y se configura en tramas con etiqueta de la VLAN para la VLAN con la cual interactuará la interfaz. De esa manera, el router puede mantener separado el tráfico de cada subinterfaz a medida que atraviesa el enlace troncal hacia el switch.

C) Configuración de enrutamiento inter VLAN.

Tabla de enrutamiento

Como puede ver en el ejemplo, la tabla de enrutamiento tiene dos entradas, una para la red 172.17.10.0 y la otra para la red 172.17.30.0. Observe la letra C a la izquierda de cada entrada de ruta. Esta letra indica que la ruta es local para una interfaz conectada, que también está identificada en la entrada de ruta. En base al resultado en este ejemplo,si el tráfico estuviera destinado para la subred 172.17.30.0, el router debería reenviar el tráfico fuera de la interfaz F0/1. El enrutamiento inter VLAN tradicional que utiliza interfaces físicas tiene una limitación. A medida que aumenta la cantidad de VLAN en una red, el enfoque físico de tener una interfaz del router por VLAN se vuelve rápidamente dificultoso debido a las limitaciones del hardware de un router. Los routers tienen una cantidad limitada de interfaces físicas que pueden utilizar para conectar las distintas VLAN. Las redes grandes con muchas VLAN deben utilizar enlace troncal de VLAN para asignar múltiples VLAN a una interfaz del router única, para funcionar dentro de las restricciones de hardware de los routers dedicados.

Verificación de la configuración del router

Para verificar la configuración del router, utilice el comando show running-config en el modo EXEC privilegiado. Este comando muestra la configuración operativa actual del router. Puede ver las direcciones IP que se configuraron para cada una de las interfaces del router, así como también el estado operativo de la interfaz. En este ejemplo, observe que la interfaz F0/0 está configurada correctamente con la dirección IP 172.17.10.1. Además, observe la ausencia del comando shutdown debajo de la interfaz F0/0. La ausencia del comando shutdown confirma que se ejecutó el comando no shutdown y se habilitó la interfaz. Puede obtener información más detallada sobre las interfaces del router, como información de diagnóstico, estado, dirección MAC y errores de transmisión y recepción, mediante el comando show interface en el modo EXEC privilegiado.

D) Configuración de enrutamiento inter VLAN del router-on-a-stick.

Configuración del router

A continuación, se puede configurar el router para realizar el enrutamiento inter VLAN. Como muestra la figura, la configuración de múltiples subinterfaces es diferente a cuando se utilizan interfaces físicas.

Cada subinterfaz se crea con el comando interface interface_id.Subinterface_id en el modo de configuración global. En este ejemplo, la subinterfaz Fa0/0.10 se crea mediante el comando interface fa0/0.10 en el modo de configuración global. Una vez creada la subinterfaz, se asigna el ID de la VLAN mediante el comando encapsulation dot1q vlan_id en el modo de configuración de la subinterfaz. A continuación, asigne la dirección IP para la subinterfaz mediante el comando ip address ip_address subnet_mask en el modo de configuración de la subinterfaz. En este ejemplo, la subinterfaz F0/0.10 es asignada a la dirección IP 172.17.10.1 mediante el comando ip address 172.17.10.1 255.255.255.0. No es necesario que ejecute un comando no shutdown en el nivel de la subinterfaz porque éste no habilita la interfaz física. Este proceso se repite para todas las subinterfaces del router necesarias para enrutar entre las VLAN configuradas en la red. Es necesario asignar una dirección IP a cada subinterfaz del router en una subred única para que tenga lugar el enrutamiento. En este ejemplo, se configuró la otra subinterfaz del router, F0/0.30, para utilizar la dirección IP 172.17.30.1, que está en una subred diferente a la subinterfaz F0/0.10.

Una vez configuradas todas las subinterfaces en la interfaz física del router, se habilita la interfaz física. En el ejemplo, la interfaz F0/0 tiene ejecutado el comando no shutdown para habilitar la interfaz, la cual habilita todas las subinterfaces configuradas.

Los routers Cisco están configurados de manera predeterminada para enrutar el tráfico entre las subinterfaces locales. Por lo tanto, no es necesario que esté habilitado el enrutamiento.

Tabla de enrutamiento

Luego, examine la tabla de enrutamiento mediante el comando show ip route en el modo EXEC privilegiado. En el ejemplo, hay dos rutas en la tabla de enrutamiento. Una ruta es la subred 172.17.10.0, que está conectada a la subinterfaz local F0/0.10. La otra ruta es la subred 172.17.30.0, que está conectada a la subinterfaz local F0/0.30. El router utiliza la tabla de enrutamiento para determinar dónde enviar el tráfico que recibe. Por ejemplo: si el router recibe un paquete en la subinterfaz F0/0.10 destinado a la subred 172.17.30.0, el router identificará que debe enviar el paquete fuera de la subinterfaz F0/0.30 para alcanzar los hosts en la subred 172.17.30.0.

Verificación de la configuración del router

Para verificar la configuración del router, utilice el comando show running-config en el modo EXEC privilegiado. El
comando show running-config muestra la configuración operativa actual del router. Observe cuáles son las direcciones IP configuradas para cada subinterfaz del router, así como también si la interfaz física quedó
deshabilitada o habilitada, mediante el comando no shutdown.

En este ejemplo, observe que la interfaz F0/0.10 se configuró correctamente con la dirección IP 172.17.10.1. Además, observe la ausencia del comando shutdown debajo de la interfaz F0/0. La ausencia del comando shutdown confirma que se ejecutó el comando no shutdown y se habilitó la interfaz. Puede obtener información más detallada sobre las interfaces del router, como información de diagnóstico, estado, dirección MAC y errores de transmisión y recepción, mediante el comando show interface en el modo EXEC privilegiado.

E) Resolución de problemas de enrutamiento inter VLAN.

Del Switch

Este tema explora los problemas comunes y describe los métodos de resolución de problemas para identificarlos y corregirlos.

Al utilizar el modelo de enrutamiento tradicional para el enrutamiento inter VLAN, asegúrese de que los puertos del switch que conectan a las interfaces del router estén configurados en las VLAN correctas. Si los puertos del switch no están configurados en la VLAN correcta, los dispositivos configurados en dicha VLAN no pueden conectarse a la interfaz del router y en consecuencia no pueden enrutarse a las demás VLAN. 

Del Router

Uno de los errores de configuración del router inter VLAN más comunes es conectar la interfaz física del router al puerto del switch incorrecto, ya que la coloca en la VLAN incorrecta y evita que llegue a las demás VLAN. Como puede ver en Topología 1, la interfaz F0/0 del router R1 está conectada al puerto F0/9 del switch S1. El puerto del switch F0/9 está configurado para la VLAN predeterminada, no para la VLAN10. Esto evita que PC1 pueda comunicarse con la interfaz del router y, en consecuencia, enrutarse con la VLAN30.

Para corregir este problema, conecte físicamente la interfaz F0/0 del router R1 al puerto F0/4 del switch S1. Esto coloca la interfaz del router en la VLAN correcta y permite que funcione el enrutamiento inter VLAN. Otra alternativa es cambiar la asignación de la VLAN del puerto del switch F0/9 para que esté en la VLAN10. Esto también permite a PC1 comunicarse con la interfaz F0/0 del router R1.

Del Direccionamiento IP

Como analizamos, las subredes son la clave para implementar el enrutamiento inter VLAN. Las VLAN corresponden a subredes únicas en la red. Para que el enrutamiento inter VLAN funcione, es necesario conectar un router a todas las VLAN, ya sea por medio de interfaces físicas separadas o subinterfaces de enlace troncal. Toda interfaz o subinterfaz necesita que se le asigne una dirección IP que corresponda a la subred para la cual está conectada. Esto permite que los dispositivos en la VLAN se comuniquen con la interfaz del router y habiliten el enrutamiento del tráfico a otras VLAN conectadas al Router

Descripción general del protocolo de enlaces troncales vlan (vtp):

Definición de vtp:

El VTP permite a un administrador de red configurar un switch de modo que propagará las configuraciones de la VLAN hacia los otros switches en la red.

Cuáles son las funciones que realiza el VTP?

Su función es permitir que el administrador de red realice cambios en un switch que se configura posteriormente como administrador de vtp. Este servidor se encarga de distribuir y sincronizar las vlan

Ventajas de VTP?

Ø  Consistencia en la configuración de la VLAN a través de la red

Ø  Seguimiento y monitoreo preciso de las VLAN

Ø  Informes dinámicos sobre las vlan que se agregan a una red

Ø  Configuración de enlace troncal dinámico cuando las VLAN se agregan a la red

BENEFICIOS DE VTP

Ø  VTP tiene muchos beneficios para la administracion de la red, como:

Ø   Consistencia en la configuracion de la VLAN a travez de la red.

Ø   Seguimiento y monitoreo preciso de las VLAN.

Ø  Informes dinamicos sobre las VLAN que se agregan en una red.

Ø  Configuracion de enlace troncal dinamico cuando las VLAN se agregan a la red.

DESCRIPCION:

Descripción general del protocolo de seguridad inalámbrico: La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.

El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.Conscientes de este problema, el IEEE [1] publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11 [2]. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i [3], que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se espera para junio de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación (por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN. De hecho, como hemos comentado antes, ambos canales de transmisión deben considerarse inseguros. Pero la tecnología VPN es quizás demasiado costosa en recursos para su implementación en redes WLAN. No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi [4] decidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA [5].

COMPONENTES DEL VTP

DOMINIO DEL VTP:

Consiste en uno o más switches interconectados. Todos los switches en un dominio comparten los detalles de configuración de la VLAN

PUBLICACIONES VTP.

Un router o switch de Capa 3 define el límite de cada dominio. Publicaciones del VTP: el VTP usa una jerarquía de publicaciones para distribuir y sincronizar las configuraciones de la VLAN a través de la red.

MODOS VTP:

Un switch se puede configurar en uno de tres modos: servidor, cliente o transparente.

SERVIDOR VTP:

Los servidores del VTP publican la información VLAN del dominio del VTP a otros switches habilitados por el VTP en el mismo dominio del VTP. Los servidores del VTP guardan la información de la VLAN para el dominio completo en la NVRAM. El servidor es donde la VLAN puede ser creada, eliminada o redenominada para el dominio.

CLIENTE VTP:

Los clientes VTP funcionan de la misma manera que los servidores VTP pero no pueden crear, cambiar ni eliminar las VLAN en un cliente VTP. Un cliente del VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de la VLAN. Debe configurar el modo de cliente VTP en un switch.

VTP TRANSPARENTE:

Los switches transparentes envían publicaciones del VTP a los clientes VTP y servidores VTP. Los switches transparentes no participan en el VTP. Las VLAN que se crean, redenominan o se eliminan en los switches transparentes son locales a ese switch solamente.

DEPURACION DE  VTP:

La depuración del VTP aumenta el ancho de banda disponible para la red mediante la restricción del tráfico saturado a esos enlaces troncales que el tráfico debe utilizar para alcanzar los dispositivos de destino. Sin la depuración del VTP, un switch satura el broadcast, el multicast y el tráfico desconocido de unicast a través de los enlaces troncales dentro de un dominio del VTP aunque los switches receptores podrían descartarlos

VERCIONES DE  VTP

El VTP tiene tres versiones: 1, 2 y 3. Sólo se permite una versión de VTP en un dominio del VTP. La versión predeterminada es la Versión 1 del VTP. Un switch Cisco 2960 admite la versión 2 del VTP pero está deshabilitada. Un debate de las versiones del VTP está más allá del ámbito de este curso

DOMINIOS DE  VTP

El VTP le permite separar su red en dominios de administración más pequeños para ayudarlo a reducir la administración de la VLAN. Un beneficio adicional de configurar los dominios del VTP es que limita hasta qué punto se propagan los cambios de configuración en la red si se produce un error. La figura muestra una red con dos dominios de VTP: Cisco2 y Cisco3.

ESTRUCTURA DE VTP

Las publicaciones (omensajes) del VTP distribuyen nombre de dominio del VTP y cambios en la configuración de la VLAN a los switches habilitados por el VTP. En este punto, aprenderá sobre la estructura de la trama del VTP y cómo los tres tipos de publicaciones permiten al VTP distribuir y sincronizar las configuraciones de VLAN a través de toda la red.

establece la conectividad entre VLAN´s a través de la configuración del enrutamiento de dispositivos de conmutación en las redes de este tipo

** http://redesvlans.blogspot.mx/


fuentes consultadas

http://ciscoccna3.blogspot.mx/2012/07/vtp-vlan-trunking-protocol.html

http://www.buenastareas.com/ensayos/Protocolo-Vtp/2487537.html

http://tutoriales.conalepqro.edu.mx/REDES2/1A1.html