1.
INTRODUCCIÓN ................................................................... .......................................................................................................................... ....................................................... 2
2.
OBJETIVOS ............................................................... .................................................................................................................................. ................................................................... 3
3.
2.1.
Objetivo General ........................................................ ................................................................................................................ ........................................................ 3
2.2.
Objetivos Específicos ............................................................. .......................................................................................................... ............................................. 3
MARCO TEÓRICO ................................................................. ........................................................................................................................ ....................................................... 4 3.1.
¿Qué es VLAN? ........................................................... ................................................................................................................... ........................................................ 4
3.2.
Las características de una VLAN son las siguientes: ........................................................... 4
3.3.
Ventajas de la VLAN .............................................................. ........................................................................................................... ............................................. 4
3.4.
Modelo de Redes Jerárquicas ........................................................... ............................................................................................ ................................. 5
3.4.1. 3.5.
Conmutación capa 2 y capa 3 ............................................................ ............................................................................................. ................................. 5
3.5.1.
5.
6.
Comparación entre Switch capa 3 y router ................................................................ 5
3.6.
Tipos de VLAN............................................................. ..................................................................................................................... ........................................................ 6
3.7.
Enlace troncal en una VLAN .............................................................. ............................................................................................... ................................. 7
3.8.
Acceso Remoto ........................................................... ................................................................................................................... ........................................................ 7
3.8.1.
TELNET ................................................................. ........................................................................................................................ ....................................................... 8
3.8.2.
SSH ........................................................... .............................................................................................................................. ................................................................... 8
3.9.
4.
Capas en una red jerárquica ................................................................. ....................................................................................... ...................... 5
802.1X .............................................................. ................................................................................................................................. ................................................................... 9
3.9.1.
AAA (Authentication, Authorization and Accounting) ............................................... 9
3.9.2.
RADIUS................................................................. ........................................................................................................................ ....................................................... 9
DESARROLLO ........................................................... ............................................................................................................................ ................................................................. 10 4.1.
Enrutamiento entre vlan ................................................................... .................................................................................................. ............................... 10
4.2.
¿Por qué es necesario el enrutamiento entre vlan? ........................................................ 13
4.3.
Ejemplos ...................................................................... ........................................................................................................................... ..................................................... 14
CONCLUSIONES Y RECOMENDACIONES ............................................................... ................................................................................... .................... 21 5.1.
Conclusiones............................................................... ..................................................................................................................... ...................................................... 21
5.2.
Recomendaciones .................................................................. ............................................................................................................ .......................................... 22
BIBLIOGRAFÍA ...................................................................... ........................................................................................................................... ..................................................... 23
Las redes de área local virtuales (VLANs) han surgido de un conjunto de soluciones que los mayores distribuidores de equipamiento de redes de área local (LAN) habían propuesto para la conmutación de éstas. Aunque el entusiasmo del usuario final por la implementación de las VLANs todavía no se ha mostrado, la mayoría de las empresas han empezado a buscar fabricantes que propongan una buena estrategia para su VLAN, así como que éstas sean incorporadas sobre las redes existentes, añadiendo funciones de conmutación y un software de gestión avanzado. Una de las razones de que se centre la atención sobre las VLANs ha sido el rápido desarrollo de las LANs conmutadas, hecho que comenzó en 1994/1995. Hemos visto que el uso de redes VLAN para segmentar una red conmutada proporciona mayor rendimiento, seguridad y capacidad de administración. Se utilizan enlaces troncales para transportar información de varias VLAN entre dispositivos. Sin embargo, debido a que estas VLAN segmentan la red, es necesario un proceso de capa 3 para permitir que el tráfico pase de un segmento de red a otro. Este proceso de routing de capa 3 puede implementarse utilizando un router o una interfaz de Switch de capa 3. El uso de un dispositivo de capa 3 proporciona un método para controlar el flujo de tráfico entre segmentos de red, incluidos los segmentos de red creados por las VLAN.
El propósito general de este trabajo, es apoyar el aprendizaje a través de la descripción del proceso de configuración de redes de área local virtuales (VLANs).
Comprender la finalidad del enrutamiento inter VLAN.
Definir la sintaxis para la activación del Enrutamiento entre VLAN.
Este trabajo tiene como objetivo ver los diferentes tipos de VLANS la conmutación que hay entre ellas y el enrutamiento entre ambas redes de área local.
Aprender a configurar VLAN
Conocer los beneficios de las VLAN
Es una red de área local virtual es un método para crear redes lógicamente independientes dentro de una misma red física. Varias VLAN pueden coexistir en un único conmutador físico o en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la red separando segmentos lógicos de una red de área local.
Las VLAN deben ser rápidas y permitir la combinación de todos los tipos de redes LAN, tales como ETHERNET y Token Ring.
Las VLAN deben cruzar a través de los backbones, tales como ATM, FDDI, Fast ETHERNET, y Gigabit ETHERNET.
La VLAN permite definir una nueva red por encima de la red física y, por lo tanto, ofrece las siguientes ventajas:
Mayor flexibilidad en la administración y en los cambios de la red, ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores; aumento de la seguridad, ya que la información se encapsula en un nivel adicional y posiblemente se analiza; disminución en la transmisión de tráfico en la red.
El diseño de una LAN que cumpla las necesidades de empresas pequeñas o medianas tiene más probabilidades de ser exitosa si utilizamos un modelo de diseño jerárquico. En comparación con otros diseños de redes, una red jerárquica se administra y expande con más facilidad y los problemas se resuelven con mayor rapidez.
En una red Jerárquica encontramos 3 capas: Capa de Acceso, Capa de Distribución y Capa de Núcleo como muestra la figura 3.
El Switch de capa 2 es completamente transparente para los protocolos de la red y las aplicaciones del usuario. Un Switch de capa 3 funciona de modo similar a un Switch de capa 2, pero en lugar de utilizar solo la información de las direcciones MAC para determinar los envíos, el Switch de capa 3 puede también emplear la información de la dirección IP.
Para comprender las diferencias entre cada dispositivo observemos la tabla 1. Colocando que funciones cumple cada dispositivo de Red.
Las VLAN pueden ser ya sea estáticas o dinámicas. Si hablamos de VLAN estática quiere decir que los administradores de la red configuran puerto por puerto. Cada puerto está asociado a una VLAN especifica. El administrador de red es responsable de escribir las asignaciones entre los puertos y las VLAN. En el caso de una VLAN dinámica los puertos pueden calcular dinámicamente. Utiliza una base de datos centralizada en la cual cada dirección MAC está asignada a su respectiva VLAN, el administrador de red debe configurar previamente. Las VLAN, se dividen en cuatro tipos principales: Se configura por una cantidad “n” de puertos en el
cual se indica que puertos pertenecen a cada VLAN. Este tipo de VLAN asigna a un protocolo una VLAN. El Switch se encarga de la distribución dependiendo del protocolo por el cual pase la trama, designando a la VLAN correspondiente. Está basado en el encabezado de la capa 3 del modelo OSI, llamada capa de red. Las direcciones IP a los servidores de VLAN configurados. No actúa como router, lo que hace es un mapeo de las
direcciones IP que están autorizadas a entrar en la red VLAN. No realiza otros procesos con la dirección IP. Estas VLAN se basan en la autenticación de usuarios y no en las direcciones MAC de los dispositivos.
Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que transporta más de una red. La solucion al problema es el protocolo 802.1Q como muestra la Figura 4.
El acceso remoto a un dispositivo de red permite el ahorro de tiempos y costes, la disponibilidad de realizar asistencia remota ayuda a los profesionales en el área de redes, tener acceso al equipo mediante una línea telefónica o simplemente teniendo conexión a internet.
Telnet es un protocolo de acceso remoto que como indica en la Figura 5 y la Figura 6. Maneja un modelo Cliente-Servidor y los datos viajan en texto plano.
SSH es un protocolo de acceso remoto que como indica la Figura 7 y la Figura 8. Maneja un modelo Cliente-Servidor y los datos viajan en texto cifrado. A diferencia del Telnet este protocolo es más seguro.
La IEEE 802.1X es una norma de la IEEE para el control de acceso a la red basada en puertos. Es parte del grupo de protocolos IEEE 802(IEEE 802.1). Permite la autentificación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o proviniendo el acceso por ese puerto si la autentificación falla. 802.1X está disponible en ciertos Switch y puede configurarse para autenticar nodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos.
Los servicios de seguridad AAA proporcionan un marco inicial para montar control de acceso en un dispositivo de red. AAA es una manera de controlar a quien se le permite acceso a una red (autenticación) y que puedan hacer mientras están allí (autorización), así como auditar que acciones realizaron al acceder a la red (registro de auditoria).
El protocolo RADIUS esconde las contraseñas durante la transmisión, incluso con el protocolo de autenticación de contraseñas (Password Aunthentication Protocol –PAP), usando una operación bastante compleja que involucra la dispersión a través de MD5 (Message Digest 5) y una contraseña compartida. Sin embargo, el resto del paquete se envía en texto plano.
Cada vlan es un dominio de broadcast único, por lo que de manera predeterminada las computadoras en vlan separadas no pueden comunicarse, pero existe un método al cual se le llama enrutamiento entre vlan que lo permite, según Cisco Systems, Inc., 2007-2009 lo define como un “proceso para reenviar el tráfico de la red desde una vlan a otra desde mediante un r outer”. La configuración de subred con la que cuentan facilita el proceso de enrutamiento en un entorno de múltiples vlan, ya que cuando se conectan los routers de esta manera pueden conectarse a vlan separadas, entonces sí, los dispositivos en dichas vlan envían en tráfico a través del router hasta llegar a las otras vlan. Por costumbre el enrutamiento de la LAN (Local Área Network) utiliza routers con interfaces físicas múltiples; para lo cual es necesario conectar cada interfaz a una red separarla y configurarla para una subred diferente. Una red que utiliza vlan múltiples, para realizar el enrutamiento de igual forma necesita la conexión de diferentes interfaces del router a diferentes puertos físicos del Switch, permitiendo que estos últimos conecten al router en modo de acceso, de esta manera diferentes vlan estáticas son asignadas cada interfaz del puerto; entonces cada interfaz del router logra admitir el tráfico desde la vlan relacionada y el trafico puede enrutarse a otras vlan enlazadas a otras interfaces. Como ya se mencionó el enrutamiento entre vlan requiere de interfaces físicas múltiples en los routers y Switch, aunque no todas las configuraciones del enrutamiento entre vlan requieren de estas, por lo que cisco ha creado software para los router que permite configurar las interfaces del router como enlaces troncales, lo que facilita el enrutamiento entre vlan. Un ejemplo de ello es la configuración de
en la cual una interfaz física única enruta el
tráfico entre múltiples vlan en una red; es decir la interfaz del router se configura para funcionar como un enlace troncal que se encuentra conectado a un puerto switch configurado en modo de enlace troncal, se completa el enrutamiento
cuando el router acepta el trafico etiquetado de la vlan en la interfaz troncal proveniente del switch adyacente, enruta de manera interna las vlan a partir de subinterfaces y reenvía el tráfico enrutado de la vlan de destino por la misma interfaz física. Donde precisamente estas interfaces son configuradas en software del router, las cuales son configuradas para diferentes subredes que corresponden a la asignación de la vlan para facilitar el enrutamiento lógico antes de que la vlan etiquete las tramas y las reenvié por la interfaz física. Además, permite vencer las limitaciones de hardware del enrutamiento entre vlan basado en interfaces físicas del router, utilizando subinterfaces virtuales lo cual resulta útil exactamente cuándo se realiza el enrutamiento entre vlan en redes con múltiples vlan y escasas interfaces físicas del router. Existen varias opciones de enrutamiento entre vlan y cada una utiliza una configuración de router diferente entre las cuales se encuentra la opción de usar el router como Gateway. La Configuración de la interfaz es equivalente a como se configuran las interfaces de vlan de los switch.
Configuración de la subinterfaz de igual forma es parecida a la configuración de las interfaces físicas, excepto que es necesario crear la subinterfaz y asignarla a una vlan. Además, es necesario agregar el no shoutdown ya que con este se habilitan todas subinterfaces configuradas, pero en la interfaz física.
Para decidir si es realmente lo necesario para administrar nuestra red es necesario analizar las ventajas y desventajas que nos da el enrutamiento entre las vlan. En una vlan las interfaces físicas están configuradas para admitir una Interfaz por vlan, cuando existen redes con muchas vlan, es imposible utilizar un único router para realizar en enrutamiento entre vlan, lo cual representa limites en los puertos. Aunque también están las subinterfaces que nos permiten ampliar el router para acomodar más vlan que las que se encuentran permitidas en las interfaces físicas. Al hablar de desempeño el ancho de banda juega un papel importante en las interfaces físicas, porque se tiene un mejor rendimiento cuando se compara con el uso de subinterfaces, ya que el tráfico de la vlan conectada tiene acceso al ancho de banda completo de la interfaz física del router y cuando se habla de subinterfaces el tráfico que se está enrutando compite por el ancho de banda en la interfaz física única, lo cual puede llegar a provocar un cuello de botella, aunque podría resolverse de cierta manera si se configuran las subinterfaces en múltiples interfaces físicas. Además, respecto al costo pues sale bastante más barato utilizar las subinterfaces y la configuración física resulta menos compleja, debido a que la cantidad de cables de red física que interconectan el router con el switch es menor. Aunque viéndolo por el lado de la configuración de software ahora si resultaría más compleja.
Cada red tiene sus propias necesidades, aunque si se trata de una red grande o pequeña, en la mayoría de los casos, es esencial, la posibilidad de segmentar la red mediante la creación de vlan, lo que reduce el tráfico de la red y aumenta su seguridad, además de ser una táctica usada por la mayoría de los administradores de red. La cuestión aquí es ¿cómo pueden los usuarios de una vlan utilizar los servicios ofrecidos por otra vlan? El administrador del sitio firewall.cx, con su experiencia en Cisco menciona que para ello es necesario comunicar los paquetes de alguna manera entre las dos vlan, por lo que el enrutamiento entre vlan tiene lugar dando solución a este problema con la ayuda de la configuración "Router-on-a-stick". Además, que el elemento clave para realizar el enrutamiento entre vlan es que en la red en la que se va a trabajar se debe tener al menos una interfaz vlan configurada con una dirección IP en el dispositivo de red, asimismo se deberá establecer la red IP para esa vlan. Todos los hosts que participan en esa VLAN también deben utilizar el mismo esquema de direccionamiento IP para garantizar la comunicación entre ellos. Si las condiciones anteriores se cumplen, es tan simple como activar el servicio de enrutamiento IP en el dispositivo de red y se tiene el servicio de enrutamiento entre vlan activado.
Revisar el estado actual de las redes virtuales, usar el siguiente comando en cada switch:
Note que inicialmente ya hay creadas varias vlan. Pero todos los puertos del switch están asociados a la vlan default. Realice pruebas de conectividad entre PCs.
Ahora proceda a configurar en cada Switch las VLANs: Ventas, Bodegas, Finanzas.
Revisar nuevamente el estado de las redes virtuales.
Asignación de puertos a las vlan creadas en el paso anterior. Las asignaciones se realizarán según indica la siguiente tabla.
Asignación de puertos para el Switch0:
Realizar la asignación de puertos en el switch1
Usar nuevamente el comando show vlan. Ver como ahora las membrecías han cambiado de modo que las vlan 10, 20 y 30 ahora tienen puertos asociados. Realice pruebas de conectividad ¿Qué sucedió? Y ¿a qué se debe el resultado? Observe que tanto PC0 y PC3 están en la VLAN Ventas, pero estas aun no tienen conectividad (Compruébelo realizando ping entre ellas) debido a que pertenecen a diferentes switches. Por lo tanto, se debe de configura un enlace de troncal entre los switches.
Configuración en Switch0:
Note que se ha configurado la interface 0/24, ya que esta es la utilizada para la comunicación hacia el Switch1. Configuración en Switch1:
Para comprobar la comunicación a través del enlace troncal, puede realizar estas pruebas:
Todas las pruebas deberían ser realizadas con éxito, ya que las estaciones de trabajo pertenecen a la misma vlan y por tanto al mismo dominio de broadcast.
Añadir un enrutador 2620 al esquema de conexión
En esta parte de la práctica, colocaremos las VLANs creadas en la parte anterior en diferentes redes, y estas serán intercomunicadas por medio de enrutador. Colocar las estaciones de trabajo en redes diferentes:
Realice pruebas de conectividad. Habilitar el enlace troncal en el Switch0 (interface hacia router)
Configurar el enrutador
Comprobar ahora la conectividad (usar ping) entre las diferentes vlan. Las pruebas entre las estaciones de trabajo y diferentes dominios de broadcast serán exitosas ya que el tráfico se moverá hacia el enrutador y este lo reenviará a la vlan destino correspondiente (visualizar en modo simulación), basado en la distribución de direcciones IP del esquema.
En esta configuración, se usan los puertos Fa 0/1 y Fa 0/2 para la conexión al router, garantizando que cada uno de los puertos forme parte de una de las VLANs que se quiere enrutar.
En ambos switches se usa el puerto Gi 0/1 para la creación de un enlace troncal entre ambos switches. Se restringen las VLANs permitidas a través del enlace.
En este ejemplo, se realiza la configuración IP de las interfaces LAN que permiten la conexión a las VLANs y de la interfaz serial que permite la conexión remota con R1 y se añade una ruta predeterminada a través de la interfaz Serial 0/0.
En los switches deben verificarse la configuración de VLANs y enlaces troncales. En el router debe verificarse que la tabla de enrutamiento contenga las rutas requeridas para la interconexión de las subredes asociadas a las VLANs y rutas hacia las redes externas.
Prueba de conectividad entre dos hosts en distintas VLANs:
El enrutamiento entre vlan es el proceso de tráfico de enrutamiento entre diferentes vlan, mediante un router dedicado o un Switch multicapa. El enrutamiento entre vlan facilita la comunicación entre los dispositivos aislados por los límites de la vlan.
Se comprendió la finalidad de una red VLAN, la cual satisface necesidades de la vida real, al ofrecer la posibilidad de dividir una red en subredes (departamentos).
La topología de enrutamiento entre vlan que utiliza un router externo con subinterfaces con enlace troncal a un switch de capa dos se llama router-ona-stick. Con esta opción, es importante configurar una dirección IP en cada subinterfaz lógica, así como también el número de vlan asociadas.
Esta opción resulta bastante útil cuando en una red se tienen diversas vlan configuradas, y se requiere comunicar a dispositivos de las diferentes; concluyo que dependiendo a cada situación se debe elegir si es conveniente utilizarlo porque claro tiene sus ventajas y desventajas, pero habrá que estudiarlas en cada caso, y así averiguar si podría ayudarnos a administrar mejor nuestra red que es el objetivo principal cuando se habla de vlan.
Se recomienda que los equipos de Networking dentro de la red sean del mismo fabricante, para que haya compatibilidad en todos los protocolos de comunicación.
Tener un enlace redundante entre switches, y entre el switch que está directamente conectado al router que permite la comunicación InterVlan, para que permita la continuidad dentro de la red, ante una falla en el enlace principal.
Si se van a tener varias VLAN, realizar pruebas para verificar la conectividad y si no hay saturación en la red debido a las distintas aplicaciones que se manejará.
Se recomienda verificar que se haya realizado una correcta configuración con los comandos de ayuda como lo son todos los comandos de
. Además,
evite el desperdicio de direcciones de red, puede que las necesite a largo o corto plazo.
Cisco. (2013). MarcoTeórico. California. Obtenido de https://repositorio.espe.edu.ec/bitstream/21000/865/2/T-ESPE-021815-2.pdf Freeman, J. (2014). RedesLocalesVirtuales. Mexico. Obtenido de http://www.lcc.uma.es/~eat/services/rvirtual/rvirtual.html#link1 Fuentes, L. (2012). EnrutamientoentreVlans. San Juan del Rio. Obtenido de https://es.slideshare.net/fulaura18/ensayo-enrutamiento-entre-las-vlan Idrobo, C. (2013). EnrutamientoentreVlan. China. Obtenido de https://www.academia.edu/10111186/MANUAL_DE_ENRUTAMIENTO_ENTRE_V LAN Tufiño, J. (2015). DesarrollodeGuiasparaelDiseñoeImplementacióndeRedes LocalesVirtuales. Ecuador. Obtenido de https://repositorio.espe.edu.ec/bitstream/21000/6168/1/AC-TEL-ESPE038887.pdf
