Modulo 2: Definiendo Vlans

Descripcin
Este modulo define el proposito de las VLANS y describe como la implementacion de
VLAN puede simplificar la administracion de una red y la solucion de problemas y
puede mejorar el rendimiento de la red. uando se crean VLANs! sus nombres y
descripciones se almacenan en una base de datos VLAN "ue puedan ser compartidos
entre los s#itc$. Ver% cmo las consideraciones de dise&o determinan cuales VLANs
abarcan todos los s#itc$ en una red y cuales VLANs locales permanecen en un
blo"ue s#itc$. La confi'uracin de los componentes de este mdulo describen cmo
los puertos indi(iduales del s#itc$ pueden lle(ar el tr%fico de una o m%s VLANs!
dependiendo de su confi'uracin como puertos de acceso o trunc). En este mdulo
se e*plica por "u+ y cmo se produce la aplicacin de VLANs en una red de empresa.
2., Aplicacin de las mejores pr%cticas para las topolo'-as VLAN
2.,., Describiendo problemas en un mal dise&o de red
.n mal dise&o de red $a aumentado los 'astos de soporte! la reduccin de la
disponibilidad de ser(icio! y el soporte limite para nue(as aplicaciones y soluciones.
.n funcionamiento menos ptimo afecta a los usuarios finales y el acceso a los
recursos centrales. A"u- est%n al'unas de las cuestiones "ue se deri(an de un mal
dise&ado de red.
/Dominios de falla: .na de las ra0ones m%s importantes para implementar un
dise&o efica0 es reducir al m-nimo el alcance de un problema de red cuando se
produce. uando los limites de capa 2 y capa 1 no est%n claramente definidos! la falla
en un %rea de red puede tener un efecto de 'ran alcance.
/ Dominios de 2roadcast: Los 2roadcast e*isten en todas las redes. Muc$as
aplicaciones y muc$as operaciones de red re"uiren de broadcasts para funcionar
adecuadamente. 3ara minimi0ar el impacto ne'ati(o de los broadcasts! los dominios
de broadcasts deberian tener l-mites claramente definidos! y incluir un n4mero ptimo
de dispositi(os.
/5ran cantidad de tr%fico unicast MA desconocido: Los s#itc$es isco atalyst
l-mitan el for#ardin' de tramas unicast a los puertos asociados con la direccin
unicast espec-fica. Sin embar'o! la entrada de tramas para una direccin MA de
destino no se re'istran en la tabla MA son posteriormente inundadas fuera de todos
los puertos del s#itc$! lo "ue se conoce como un 67nundacin de unicast de MA
desconocido6 Debido a "ue esto causa tr%fico e*cesi(o en los puertos del s#itc$! las
tarjetas de interfa0 de red 8N7s 9 tienen "ue atender un 'ran n4mero de tramas sobre
el cable! y la se'uridad puede (erse comprometida ya "ue los datos se propa'an
sobre un cable por el cual esto no estaba pretendido.
/:r%fico multicast en puertos donde no era pre(isto: Multicast 73 es una t+cnica "ue
permite tr%fico 73 para ser propa'ado desde un ori'en a un 'rupo multicast
identificados por una sola 73 y 'rupo par de direcciones MA de destino 8MA
destination 'roup address pair9. Similar to unicast floodin' and broadcastin'! multicast
frames are flooded out on all s#itc$ ports. Similares a las inundaciones y difusiones
unicast! las tramas multicast son inundadas fuera de todos los puertos del s#itc$. .n
buen dise&o contiene tramas multicast.
/ Dificultad en el soporte y administracin: Debido a un mal dise&o de red puede ser
desor'ani0ado! mal documentado! y carecen de f%cil identificacin de los flujos de
tr%fico! soporte! mantenimiento y la resolucin de problemas se (uel(e en consumo
de tiempo y tareas arduas.
/ 3osibles (ulnerabilidades de se'uridad: .n mal dise&o de red de conmutacin con
poca atencin a los re"uisitos de se'uridad en la capa de acceso puede comprometer
la inte'ridad de toda la red.
.n mal dise&o de red siempre tiene un impacto ne'ati(o y se con(ierte en una car'a
para toda la or'ani0acin en t+rminos de soporte y 'astos relacionados.
Asuntos en un mal dise&o de red
2.,.2 A'rupacion de las funciones comerciales dentro de VLANs
El direccionamiento de red jer%r"uico si'nifica "ue los n4meros de red 73 suelen
aplicarse a los se'mentos de red o VLANS en una manera ordenada "ue toma la red
en su conjunto en consideracin. Los blo"ues de direcciones de red conti'uas son
reser(ados para! y confi'urados sobre! dispositi(os en un %rea espec-fica de la red.
8,9
A"u- est%n al'unas (entajas de direccionamiento jer%r"uico.
;acilidad de administracion y solucin de problemas: El direccionamiento jer%r"uico
a'rupa direcciones de red conti'uas. La administracion de red y la solucin de
problemas son m%s eficientes! por"ue un es"uema de direccionamiento jer%r"uico 73
$ace m%s f%ciles de locali0ar los componentes del problema.
Errores reducidos al m-nimo: Asi'nando direccionamiento de red ordenado puede
reducir al m-nimo errores y duplicacion de asi'nacion de direccin.
N4mero reducido de las entradas en la tabla de enrutamiento: En un plan de
direccionamiento jer%r"uico! los protocolos de enrutamiento8en(-o9 son capaces de
reali0ar el resumen de ruta! "ue permite una unica entrada de tabla de enrutamiento
para representar una coleccin de n4meros de red 73. El resumen de ruta $ace las
entradas de la tabla de enrutamiento m%s manejables y proporciona las (entajas
si'uientes:
N4mero reducido de ciclos de 3. cuando recalculan una tabla de enrutamiento o
re(isando las entradas de la tabla de enrutamiento para encontrar un matc$
<e"uerimientos de memoria del router reducidas
on(er'encia m%s r%pida despu+s de un cambio de la red
Solucin de problemas m%s f%cil
El 8Enterprise omposite Net#or) Model 9 Modelo de <ed ompuesto de empresa
8ENM9 proporciona un entramado 8frame#or)9 modular para dise&ar y desple'ar
redes. Esto tambi+n proporciona la estructura ideal para cubrir un es"uema de
direccionamiento 73 jer%r"uico. A"u- est%n al'unas pautas a se'uir.
Dise&e el es"uema de direccionamiento 73 de modo "ue los blo"ues de =! >! ,?! 12! o
?= n4meros de red conti'uos puedan ser asi'nados a las subredes en una
distribucin de edificio dada y el blo"ue de s#itc$ de acceso. Este acercamiento
permite a cada blo"ue del s#itc$ a ser sumari0ado en un 'ran blo"ue de direccin.
En la capa de Distribucin del Edificio! si'a asi'nando n4meros de red conti'uos
$acia fuera $acia los dispositi(os de la capa de acceso.
:en'a solo una subred de 73 con una VLAN. ada VLAN es un dominio de broadcast
separado.
La subred en el mismo (alor binario sobre todos los n4meros de red! e(itando la
lon'itud (ariable de mascaras de subred cuando sea posible para minimi0ar errores y
confusin solucionando o confi'urando nue(os dispositi(os y se'mentos.
3or ejemplo! un ne'ocio con apro*imadamente 2@A empleados mira para mo(erse al
modelo de red compuesto de empresa. La fi'ura 2 muestra el n4mero de usuarios en
cada departamento.
.suarios por departamento
Seis VLANs son re"ueridas para acomodar una VLAN por comunidad de usuario. 3or
lo tanto! si'uiendo las pautas del ENM! re"uieren seis subredes 73.
El ne'ocio $a decidido usar la red ,A.A.A.A como su direccin base.
El Departamento De (entas es el departamento m%s 'rande! "ue re"uiere un m-nimo
de ,A2 direcciones para sus usuarios. 3or lo tanto! una m%scara de subred de
2@@.2@@.2@@.A 8B2=9 es esco'ida! dando a un n4mero m%*imo de 2@= $ost por subred.
Ca sido decidido! para el futuro crecimiento! tener un blo"ue de s#itc$ por edificio
como lo "ue si'ue:
El Edificio A es asi'nado ,A.,.A.AB,?.
El Edificio 2 es asi'nado ,A.2.A.AB,?.
El Edificio es asi'nado ,A.1.A.AB,?.
Edificio A VLANS y Subredes 73
La fi'ura 1 muestra la asi'nacin de VLANS y subredes de 73 dentro del edificio A.
Edificio 2 VLANs y Subredes 73
La fi'ura = muestra la asi'nacin de VLANS y subredes 73 dentro del edificio 2.

Edificio VLANs y Subredes 73
La fi'ura @ muestra la asi'nacin de VLANS y subredes 73 dentro del edificio .
Al'unas VLANS actualmente no usadas y subredes 73 ser-an usadas para administrar
dispositi(os de red. Si la empresa decide implementar tecnolo'-as adicionales! como
la telefon-a 73! al'unas de las VLANS no usadas y las subredes 73 ser-an asi'nadas a
la (o0 8(oice9 VLANs.
2.,.1 Descripcin de :ecnolo'-as de 7ntercone*in
.n n4mero de tecnolo'-as est%n disponibles para interconectar dispositi(os en una
red de campus. Al'unas de las tecnolo'-as m%s comunes son listadas a"u-. La
tecnolo'-a de intercone*in seleccionada depende de la cantidad de tr%fico "ue el
enlace debe lle(ar. .na me0cla de cableado de cobre y fibra ptica probablemente
ser% usada! basado en distancias! e*i'encias de inmunidad de ruido! la se'uridad! y
otras e*i'encias ded ne'ocio.
/ ;ast Et$ernet 8,AA Mbps Et$ernet9: Esta especificacin de LAN 87EEE >A2.1u9
funciona en ,AA Mbps sobre el cable de par tren0ado. El est%ndar ;ast Et$ernet
aumenta la (elocidad de Et$ernet de ,A Mbps a ,AA Mbps con slo cambios m-nimos
a la estructura del cable e*istente. .n s#itc$ con el puerto "ue funciona tanto en ,A
como en ,AA Mbps puede mo(er tramas entre puertos sin la traduccin de protocolo
de apa 2.
/ 5i'abit Et$ernet: una e*tensin del est%ndar Et$ernet 7EEE >A2.1! 5i'abit
Et$ernet aumenta la (elocidad die0 (eces sobre ;ast Et$ernet! a ,AAA Mbps! o ,
'i'abit por se'undo 85bps9. 7EEE >A2.10 especifica operaciones sobre fibra ptica! y
7EEE >A2.1ab especifica operaciones sobre el cable de par tren0ado.
/ ,AD5i'abit Et$ernet: ,AD5i'abit Et$ernet fue formalmente ratificado como un
est%ndar Et$ernet 7EEE >A2.1 en junio de 2AA2. Esta tecnolo'-a es el pr*imo paso
para escalar el funcionamiento y la funcionalidad de una empresa. on el desplie'ue
de Et$ernet 5i'abit "ue se $ace m%s com4n! ,AD5i'abit se $ar% la norma para los
uplin)s.
/ Et$er$annel: Este caracteristica proporciona la a're'acin de lin)s de anc$o de
banda sobre los lin)s apa 2 entre dos s#itc$. Et$er$annel ata puertos indi(iduales
Et$ernet en un solo puerto l'ico o lin)! proporcionando anc$o de banda a're'ado de
$asta ,?AA Mbps 8oc$o lin)s ,AA Mbps! full duple*9 o $asta ,? 5bps 8>D5i'abit lin)s!
full duple*9 entre dos s#itc$ isco atalyst. :odas las interfaces en cada bundle 8fajo9
Et$er$annel deben ser confi'uradas con (elocidad similar! duple*! y membres-a de
VLAN.
:ecnolo'-as de interconeccin
La fi'ura 2 $abla del empleo de cada tecnolo'-a de intercone*in en el mdulo de
7nfraestructura de ampus.
:ecnolo'-a usada en el modelo de infraestructura de campus
2.,.= Determinacin de E"uipos y necesidad de ableado
Cay cuatro objeti(os en el dise&o de cual"uier red de alto rendimiento:
se'uridad! disponibilidad! adaptabilidad! y posibilidad de 'estin. El ENM! cuando se
implementa correctamente! proporciona el es"uema para encontrar estos objeti(os.
En la mi'racin de una infraestructura de red corriente al ENM! un n4mero de
cambios de infraestructura pueden ser necesarios! incluyendo el reempla0o de
e"uipos corrientes y cables de planta e*istentes.
Esta lista describe el e"uipo y las decisiones de cableado "ue deber-an ser
consideradas cuando la infraestructura es cambiada.
/ Sustituya $ubs y s#itc$es $eredados con s#itc$es nue(os en la capa de Acceso
del Edificio. Seleccione el e"uipo con la densidad de puerto apropiada en la capa de
acceso para soportar la actual base de usuarios mientras se prepara para el
crecimiento. Al'unos dise&adores comien0an planeando un crecimiento
apro*imadamente del 1A por ciento. Si el presupuesto permite! use s#itc$es de
acceso modular para acomodar la e*tensin futura. onsidere planificacion de soporte
de poder en linea 8inline po#er9 y calidad de ser(icio 8EoS9 si la telefon-a 73 puede ser
implementada en el futuro.
/ En el momento "ue este construyendo el cableado de planta de la capa de
Acceso del Edificio a los dispositi(os de capa de Distribucin del Edificio! recuerde
"ue estos enlaces lle(an tr%fico a're'ado de los nodos finales en la capa de acceso a
los s#itc$es de distribucin del edificio. Ase'ure "ue estos enlaces tienen la
capacidad de anc$o de banda adecuado. Los fajos 8bundles9 Et$er$annel pueden
ser usados a"u- para a're'ar anc$o de banda como sea necesario.
/ En la capa de Distribucin del Edificio! seleccione s#itc$ con el performance
adecuado para manejar la car'a de la actual 8current9 capa de Acceso del edificio.
:ambi+n planee al'una densidad de puerto para a're'ar trun)s m%s tarde para
soportar nue(os dispositi(os de capa de acceso. Los dispositi(os en esta capa
deber-an ser s#itc$es m4lticapas 8apa 2Bcapa 19 "ue soportan el enrutamiento entre
el 'rupo de trabajo 8#or)'roup9 VLANs y recursos de la red. Se'4n el tama&o de la
red! los dispositi(os de capa de distribucin del edificio pueden ser bastidores 8c$asis9
fijos o modulares. 3lan para redundancia en los bastidores 8c$asis9 y en las
cone*iones al acceso y capas principales 8core9! como los objeti(os de la empresa
dictan.
/ El e"uipo de bac)bone de campus debe soportar comunicaciones de datos de alta
(elocidad entre otros submdulos. Ase'urarse del tama&o del bac)bone para
escalabilidad y el plan de redundancia.
isco tiene instrumentos en l-nea para asistir a dise&adores en la fabricacin de la
seleccin apropiada de dispositi(os y uplin) basados en puerto por ne'ocios y
necesidades de tecnolo'-a. isco su'iere las proporciones de sobresuscripcin "ue
pueden ser usadas para planear e*i'encias de anc$o de banda entre dispositi(os
cla(es sobre una red con flujos de tr%fico medios.
/ Acceso a enlaces de capa de distribucin: la proporcin de sobresuscripcin no
deber-a ser m%s alto "ue 2A:,. Es decir el enlace puede ser ,B2A del total del anc$o de
banda acumulati(amente disponible a todos los dispositi(os finales "ue usan el
enlace.
/ Distribucin a enlaces principales 8Distribution to core lin)s9: la proporcin de
sobresuscripcin no deber-a ser m%s alto "ue =:,.
/ Entre dispositi(os principales 82et#een core de(ices9: Deber-a ser poca o nin'una
planificacin de sobresuscripcin 8o(ersubscription9. Es decir! los enlaces entre
dispositi(os principales deber-an ser capaces de lle(ar tr%fico a la (elocidad
representada por el numero total de anc$o de banda de todos los uplin)s de
distribucin en el n4cleo 8core9.

3<EA.7FN:
Estas proporciones son apropiadas para estimar tr%fico promedio de la capa de
acceso! dispositi(os de usuario final. Ellos no son e*actos para planear la
sobresuscripcin de la 'ranja de ser(idor 8Ser(er farm9 o mdulos de distribucin de
borde 8ed'e9. No son tambi+n e*actos para planificar el anc$o de banda necesario
sobre los s#itc$ de acceso de aplicaciones de usuario de $ostin' t-pico con consumo
de anc$o de banda alto 8por ejemplo! bases de datos de ser(idor de noDcliente o flujos
de multimedia a direcciones de unicast9. .sando EoS e*tremo a otro priori0a el tr%fico
"ue necesitaria ser disminuido en el caso de con'estin.
Determinando e"uipamiento y necesidades de cableado

2.,.@ onsideracin de tr%fico de ori'en a rutas de destino
La fi'ura , lista los tipos diferentes de tr%fico "ue pueden e*istir sobre la red y
re"uiere consideracin antes de la colocacin de dispositi(os y la confi'uracin VLAN.
:ipos de trafico de red
La fi'ura 2 describe los tipos de tr%fico espec-ficos.
Descripciones de tipos de tr%fico
onsideracin :elefon-a 73
El tama&o de una red de empresa conduce el dise&o y la colocacin de ciertos tipos
de dispositi(os. Si la red es dise&ada se'4n el ENM! $abr% dispositi(os distintos "ue
separan el acceso! la distribucin! y las %reas bac)bone de la red. El dise&o de red y
los tipos de aplicaciones soportadas determinan donde cierto tr%fico de ori'en es
locali0ado. Multicast y aplicaciones de telefon-a 73 comparten al'unos tipos de tr%fico
comunes. Especificamente! si un isco allMana'er proporciona music on $old!
puede necesitar multicast para la corriente de tr%fico 8it may need to multicast t$at
traffic stream9.
onsidere los puntos si'uientes cuando determinando donde colocar los ser(idores:
/ Ser(idores isco allMana'er deben ser accesible en todas partes de la red en
cual"uier momento. Ase'ure "ue $ay N7s redundantes en los ser(idores editor y
suscriptor y cone*iones redundantes entre a"uellos N7s y el s#itc$ upstream 8Las
se&ales "ue (iajan desde suscriptores a la cabecera9 del ser(idor. Se <ecomienda
"ue el tr%fico de (o0 sea confi'urado sobre su propia VLAN. isco allMana'ers
t-picamente son locali0ados dentro del blo"ue de 5ranja de Ser(idor 8Ser(er farm9 en
el dise&o de ENM.
/ Los trun)s de VLAN deben ser confi'urado de manera apropiada para lle(ar el
tr%fico de telefon-a 73 en todas partes de la red o a destinos espec-ficos.
uando usted desplie'a la (o0! recomiendan "ue usted permita dos VLANs en la capa
de acceso: VLAN natati(a para tr%fico de datos y una (o0 VLAN. 819
<utas de trafico para telefonia 73
Separar VLANs de (o0 y datos es recomendado por los moti(os si'uientes:
/ onser(acin de espacios de direcciones y la proteccin de dispositi(os de (o0 de
redes e*ternas
/ EoS conf-an en la e*tensin di(isoria a dispositi(os de (o0
/ 3roteccin de ata"ues de red mal+(olos
/ ;acilidad de administracion y confi'uracin
onsideracin de tr%fico 73 Multicast
El dise&o de campus m4lticapas es ideal para el control y la distribucin de tr%fico 73
multicast. 8=9 El control multicast de apa 1 proporcionado por el protocolo de
enrutamiento 3rotocol independent multicast 837M9. El control multicast en el closet de
cableado es suministrado por 7nternet 'roup multicast protocol 875M39 snoopin' o el
isco 'roup multicast protocol 85M39. El control multicast es sumamente importante
debido a la 'ran cantidad de tr%fico in(olucrado cuando proporcionan (arias corrientes
multicast de alto anc$o de banda 8#$en se(eral $i'$Dband#idt$ multicast streams are
pro(ided9. onsidere lo si'uiente cuando dise&e la red para el tr%fico multicast:
/ Ser(idores multicast 73 pueden e*istir dentro de una 'ranja de ser(idor 8Ser(er
faro9 o ser distribuido en todas partes de la red en posiciones apropiadas.
/ Seleccion de s#itc$es de capa de distribucin para trabajar como 37M puntos de
encuentro 37M 8<3s9 837M rende0(ous points9 y colocarlos donde ellos son centrales a
la posicin de la distribucin m%s 'rande de recibir nodos. <3s t-picamente son
usados para conecciones temporales multicast de ori'en y recepcion.
Select distribution layer s#itc$es to act as 37M rende0(ous points 8<3s9 and
place t$em #$ere t$ey are central to t$e location of t$e lar'est distribution of
recei(in' nodes. <3s are typically used to temporarily connect multicast sources
and recei(ers.
<utas de trafico para 73 multicast
2.,.? Describiendo VLANs endDtoDend
El t+rmino endDtoDend VLAN se refiere a una unica VLAN asociada con los puertos
del s#itc$ "ue son ampliamente dispersadas en todas partes de una red de empresa.
El tr%fico para la VLAN es lle(ado en todas partes de la red conmutada. Si muc$as
VLANs en una red son endDtoDend! enlaces especiales 8trun)s9 son re"ueridos entre
s#itc$s para lle(ar el tr%fico de las diferentes VLANS.
.na VLAN endDtoDend tiene estas caracter-sticas:
/ 5eo'r%ficamente dispersado en todas partes de la red.
/ Los usuarios son a'rupados en VLAN independientemente de la posicin f-sica.
/ omo un usuario se mue(e en todas partes de un campus! la membresia VLAN
de ese usuario si'ue siendo la misma.
/ Los usuarios t-picamente son asociados con una VLAN determinada por moti(os
de administracion de red.
/ :odos los dispositi(os sobre una VLAN determinada t-picamente tienen
direcciones sobre la misma subred 73.
omo una VLAN representa un se'mento de apa 1! Las VLANs endDtoDend permiten
un 4nico se'mento de capa 1 para ser 'eo'r%ficamente dispersado en todas partes
de la red. Los moti(os para poner en pr%ctica este dise&o podr-an incluir lo si'uiente:
/ A'rupacin de usuarios: los .suarios pueden ser a'rupados sobre un se'mento
de 73 com4n aun cuando ellos esten 'eo'r%ficamente dispersos.
/ Se'uridad: una VLAN puede contener recursos "ue no deber-an ser accesibles a
todos los usuarios sobre la red! o puede $aber una ra0n para limitar tr%fico a cierta
VLAN en particular.
/ Aplicacin EoS: :r%fico de una determinada VLAN puede ser determinadamente
alto o prioridad de acceso menor para recursos de red. 8lo#er access priority to
net#or) resources9
/ Enrutamiento de anulacin 8<outin' a(oidance9: Si 'ran parte del tr%fico de
usuario VLAN es destinado a dispositi(os sobre esa misma VLAN y enrutado a estos
dispositi(os esto no es deseable! los usuarios pueden acceder a recursos sobre su
VLAN sin "ue su tr%fico e*istente fuera de la VLAN! aun cuando el tr%fico pueda
atra(esar m4ltiples s#itc$s.
/ Gbjeti(o especial VLAN: A (eces una VLAN es dotada para lle(ar un unico tipo de
tr%fico "ue debe ser dispersado en todas partes del campus 8por ejemplo! multicast!
(o0 8(oice9! o VLANs (isitantes9.
/ Dise&o pobre: 3or nin'4n objeti(o claro! usuarios son colocados en VLANs "ue
atra(iesan el campus o $asta HANs.
Al'unos -tems deber-an ser considerados cuando se implementan VLANs endDtoDend.
Los puertos del s#itc$ son apro(isionados 8dotados9 para cada usuario y asociados
con un VLAN determinada. 3uesto "ue los usuarios sobre una VLAN endDtoDend
pueden estar en cual"uier parte en la red! todos los s#itc$s deben ser conscientes de
esa VLAN. Esto si'nifica "ue todos los s#itc$es "ue lle(an el tr%fico para VLANs endD
toDend son re"ueridas para tener identicas bases de datos de VLAN. :ambi+n! la
inundacin de tr%fico para las VLAN es! por defecto! pasada a cada s#itc$ incluso si
este no tiene actualmente nin'4n puerto acti(o en la VLAN particular endDtoDend.
;inalmente! solucionando dispositi(os sobre un campus con VLANS endDtoDend puede
ser desafiante! por"ue el tr%fico para una VLAN unica puede atra(esar m4ltiples
s#itc$s en una 'ran %rea del campus.
3or ejemplo! en un escenario de militar! una VLAN es desi'nada para lle(ar datos topD
secret. .suarios con acceso a esos datos estan e*tensamente dispersados en todas
partes de la red. omo todos los dispositi(os sobre esa VLAN tienen e*i'encias de
se'uridad similares! la se'uridad es manejada por listas de acceso en los dispositi(os
de apa 1 "ue enruta tr%fico sobre el se'mento 8VLAN9. La Se'uridad puede ser
aplicada VLANDAM3L7A sin se'uridad de direccionamiento en cada s#itc$ en la red!
"ue podr-a tener slo un usuario unico sobre la VLAN topDsecret.
Eue es una VLAN endDtoDendI
2.,.J Descripcin de VLANs locales
En el pasado! los dise&adores de red intentaban implementar la re'la de >AB2A
cuando dise&aban redes. La re'la fue basada en la obser(acin "ue! en 'eneral! el >A
por ciento del tr%fico sobre un se'mento de red era pasado entre dispositi(os locales!
y slo el 2A por ciento del tr%fico estaba destinado a se'mentos de red remotos. 3or lo
tanto! VLANs endDtoDend eran tipicamente usadas. Los dise&adores a$ora consolidan
a ser(idores en posiciones centrales sobre la red y proporcionan el acceso a recursos
e*ternos como 7nternet a tra(es de una o dos rutas sobre la red! puesto "ue la 'ran
mayoria del tr%fico a$ora atra(iesa un n4mero de se'mentos. 3or lo tanto! el
paradi'ma a$ora es cercano a una proporcin de 2AB>A en la "ue el mayor flujo de
tr%fico sale del se'mento local! entonces las VLANs locales se $an $ec$o m%s 4til.
Adem%s! el concepto de VLANS endDtoDend era muy atracti(o cuando la confi'uracin
de direccin de 73 era manualmente administrado y proceso pesado. 3or lo tanto!
cual"uier cosa "u+ redujera esta car'a como mo(imiento de usuarios entre redes era
una mejora. 3ero! considerando la omnipresencia de DC3! el proceso de confi'urar
73 en cada des)top deja de ser una cuestin si'nificati(a. 3or consi'uiente! $ay pocas
(entajas en la ampliacin de una VLAN en todas partes de una empresa. Es a
menudo m%s eficiente a'rupar a todos los usuarios de un 'rupo de s#itc$es
'eo'r%ficamente comunes en solo una VLAN! independientemente de la funcin
or'ani0acional de a"uellos usuarios! sobre todo de una perspecti(a de solucin de
problemas. VLANs "ue tienen fronteras basadas en la 'eo'raf-a de campus en lu'ar
de la funcin de or'ani0acin son llamadas KVLANs localesL. VLANs local
'eneralmente son confinadas a un armario de cableado.
A"u- est%n al'unas caracter-sticas de las VLAN locales y dpautas de usuario:
/ Las VLANs locales deber-an ser creadas con fronteras f-sicas antes "ue las
funciones de trabajo de los usuarios sobre los dispositi(os finales.
/ El tr%fico de una VLAN local es enrutado para alcan0ar destinos sobre otras redes.
/ .na sola VLAN no se e*tiende m%s all% del submdulo de Distribucin del Edificio.
VLANs sobre un determinado s#itc$ de acceso no deber-a ser anunciado a todos los
otros s#itc$es en la red.
Eue es una (lan endDtoDendI
2.,.> Las (entajas de VLANs locales en una <ed de ampus de empresa
VLANs locales es parte del dise&o ENM! donde VLANs usadas en la capa de
acceso no deber-a e*tenderse mas alla "ue su s#itc$ de distribucin asociado. El
tr%fico es enrutado de la VLAN local tal como es pasado de la capa de distribucin
dentro de el n4cleo 8core9. Este dise&o puede miti'ar cuestiones de solucin de capa
2 "ue ocurren cuando una VLAN unica atra(iesa los s#itc$es a lo lar'o de una red de
campus de la empresa. 7mplementando el ENM la utili0acin de VLANS locales
proporciona las (entajas si'uientes:
/ ;lujo de tr%fico determinista: la disposicin simple proporciona un predecible ruta
de trafico de apa 2 y apa 1. En caso de una falla "ue no fue miti'ada por los
ras'os de redundancia! la simplicidad del modelo facilita el oportuno aislamiento del
problema y la resolucin dentro del blo"ue del s#itc$.
/ <utas redundantes acti(as: uando umplementan 3er VLAN spannin' tree
83VS:9 o Multipl spannin' tree protocol 8MS:39! todos los enlaces pueden ser usado
para utili0ar las rutas redundantes.
/ Alta disponibilidad: <utas redundantes e*isten en todos los ni(eles de la
infraestructura. El tr%fico local VLAN sobre s#itc$s de acceso puede ser pasado a los
s#itc$s de distribucin del edificio a tra(+s de una ruta alternati(a de capa 2 en el
caso de "ue la ruta primaria falle. Los protocolos de redundancia de router pueden
pro(eer failo(er en caso de "ue el default 'ate#ay 8puerta de enlace9 para el acceso
VLAN falle. uando tanto la instancia spannin' tree protocol 8S:39 como VLAN son
limitados a un espec-fico blo"ue de acceso y distribucin! medidas de redundancia de
capa 2 y capa 1 y protocolos pueden ser confi'urados a failo(er en una manera
coordinada.
/ Dominio de falla finito: Si VLANs son locales a un blo"ue de s#itc$ y el n4mero de
dispositi(os sobre cada VLAN es mantenido pe"ue&o! las fallas en la apa 2 son
limitados a un pe"ue&o subconjunto de usuarios.
/ Dise&o escalable: Si'uiendo el dise&o ENM! nue(os s#itc$es de acceso pueden
ser f%cilmente incorporados y nue(os submdulos pueden ser a're'ados cuando sea
necesario.
Ventajas de VLANs locales en el ENM
2.,.M :ra0ar un mapa 8Mapeando9 VLANs en una <ed Ner%r"uica
uando 8:ra0ando un mapa9 mapee VLANs en el nue(o dise&o de red
jer%r"uico! manten'a estos par%metros en mente.
/ E*amine el es"uema de subredes "ue $a sido aplicado a la red y asocie una
VLAN a cada subred.
/ onfi'ure el enrutamiento entre VLANs en la capa de distribucin usando
s#itc$es multicapas.
/ Ca'a 8Ma)e9 VLANs usuario final y subredes locales a un blo"ue de s#itc$
espec-fico.
/ 7dealmente! limite una VLAN con s#itc$ de acceso o s#itc$ stac). Sin embar'o!
puede ser necesario e*tender una VLAN a tra(+s de multiples s#itc$es de acceso
dentro de un blo"ue de s#itc$ para soportar una capacidad tal como la mo(ilidad
inalambrica 8'-reles9.
2.2 7mplementando VLANs
2.2., Modos de onfi'uracin VLAN
VLANs son creados en la confi'uracin 'lobal o en el modo VLAN database sobre la
mayor parte de los s#itc$s isco 7GS basados por soft#are. El modo de confi'uracin
'lobal es el modo preferido de creacin y administracin de VLANs por"ue el interfa0
de usuario es familiar. uando una VLAN es creada o borrada! el cambio ocurre en
cuanto el usuario presiona la tecla Enter sobre la l-nea de confi'uracin VLAN. Las
rdenes en este course#are delinean la creacin de VLAN y la administracin usando
el modo de confi'uracin 'lobal como muestra la ;i'ura ,.
Modo de confi'uracin 'lobal VLAN
Note:
El modo de confi'uracin 'lobal puede ser usado para confi'urar VLANs en el ran'o ,
a ,AA@ y debe ser usado para confi'urar e*tendedDran'e VLANs 8,AA? a =AM=9. El
VLAN :run)in' 3rotocol 8V:39 el n4mero de re(isin de confi'uracin es
incrementado cada (e0 "ue una VLAN es creada o cambiada.
G bien! las VLANs pueden ser creadas y administradas usando el modo VLAN
database. 829
Modo VLAN database

El modo VLAN database es orientado por sesin. uando usted a're'a! suprime! o
modifica par%metros VLAN! los cambios no son aplicados $asta "ue usted in'rese el
comando apply o e*it. .sted tambi+n puede salir del modo VLAN database y no
aplicar los cambios in'resando el comando abort.
3ara tener acceso sobre este modo! el comando (lan database es ejecutado del modo
pri(ile'iado EOE. De este modo! usted puede a're'ar! suprimir! y modificar
confi'uraciones para VLANs en el ran'o , a ,AA@.
Note:
Este modo $a sido desaprobado y ser% "uitado en al'una edicion futura. El
mo(imiento al modo de confi'uracin 'lobal VLAN es deacuerdo con un mas
tradicional acercamiento del isco router 7GSD:ype.
2.2.2 E*plicacin de los puertos de acceso
uando un sistema final es conectado a un puerto del s#itc$! necesita ser
asociado con un VLAN! conforme al dise&o de red. 3ara asociar un dispositi(o con
una VLAN! el puerto del s#itc$ al "ue el dispositi(o se une es asi'nado a los datos
unicos de la VLAN y as- se $ace un puerto de acceso. .n puerto del s#itc$ puede
con(ertirse en un puerto de acceso a tra(+s de confi'uracin est%tica o din%mica.
Sobre la mayor-a de s#itc$es! la membres-a VLAN es resultado de un modo de
confi'uracin especifico s#itc$port. En una estrate'ia de VLAN local! el puerto del
s#itc$ es asociado con la misma VLAN como los otros dispositi(os en ese mismo
s#itc$ o s#itc$ cluster.
Atributos y caracter-sticas de puertos de acceso:
/ .n puerto de acceso es asociado con una VLAN unica.
/ La VLAN al "ue el puerto de acceso es asi'nado debe e*istir en la base de datos
VLAN del s#itc$P si no! el puerto ser% asociado con una VLAN inacti(a "ue no en(ia
tramas.
/ omo un puerto de s#itc$ de acceso es parte de una VLAN o dominio de
broadcast! el puerto recibe broadcasts! multicast! unicast 8floods9 inundaciones! y asis
sucesi(amente "ue es en(iado a todos los puertos en la VLAN.
/ El dispositi(o final t-picamente tiene una direccin 73 en una subred "ue es com4n
a todos los otros dispositi(os sobre el mismo acceso VLAN.
Asociacin de 3uerto de Acceso Din%mica 8Dynamic access port association9
Los puertos del s#itc$ pueden ser din%micamente asociados con una determinada
VLAN basado en la direccin MA del dispositi(o conectado sobre a"uel puerto. Esto
re"uiere "ue el s#itc$ pre'unte a VLAN members$ip policy ser(er 8VM3S9 para
determinar a "ue VLAN asociarse con un puerto de s#itc$ cuando una direccin de
MA espec-fica de ori'en es (ista sobre el puerto del s#itc$.
Esto podr-a ser beneficioso con un conjunto de estaciones de trabajo "ue recorren en
todas partes de la empresa. A pesar de "ue s#itc$ o puerto del s#itc$ la estacion de
trabajo es conectado a! "ue puerto de s#itc$ lle'a a ser un puerto de acceso en una
unica! espec-fica VLAN 8t$at s#itc$ port becomes an access port on a sin'le! specific
VLAN9. Al'unas situaciones de se'uridad pueden re"uerir asociaciones VLAN
din%micas. VLANs din%micas re"uieren e"uipo adicional y no es compatible con el
ENM! entonces ellos no son $ablados en este curso.
3uertas de acceso (alan 8VLAN access ports9
2.2.1 Describiendo comandos de implementacion VLAN
La fi'ura , describe los principales comandos usados para implementar VLANs y
para (erificar su confi'uracin en el isco atalyst s#itc$ 7GS interface. La fi'ura 2
describe estos comandos
;i'ura ,
;i'ura 2
2.2.= 7mplementando una VLAN
3ara crear o confi'urar una VLAN y puertos de s#itc$ asociados! si'a estos
pasos: 8,9
8omo implementar una VLAN9
3aso ,: rear la VLAN. 82 y 19
onfi'urando una VLAN access
Vlan creation ar'uments
Antes de la asi'nacin de un puerto de s#itc$ a una VLAN espec-fica! la VLAN puede
tener "ue ser creada. El ejemplo si'uiente muestra la sinta*is para crear un VLAN
usando la interfa0 isco 7GS.
3ara crear una VLAN o entrar al modo de confi'uracin VLAN! usar el comando (lan:
S#itc$8confi'9Q(lan vlan_id
3aso 2 Verificar la confi'uracin VLAN. 8= y @9
Ejecute el coamando s$o# (lan desde el modo pri(ile'iado EOE. Esto muestra la
informacin sobre VLAN particular. Los campos en la salida del comando s$o# (lan
son descritos en la tabla 8@9.
Verificando la confi'uracin Access (lan
Descripcin de los campos s$o# (lan
3aso 1 Asociar puertos s#itc$ con la VLAN. 8? y J9
Los puertos del s#itc$ "ue deben funcionar en la apa 2 y lle(ar el tr%fico por sin'le
VLAN son confi'urados como puertos de s#itc$ de acceso y son asi'nadas a un
access VLAN.
3ara confi'urar un s#itc$ capa 2 como un puerto de acceso:
S#itc$8confi'Dif9Qs#itc$port mode access 8?9
3ara asi'nar el puerto de acceso a una (lan especifica:
S#itc$8confi'Dif9Qs#itc$port access (lan vlan_id 8J9
3arametros s#itc$port
3arametros s#itc$port access
3aso = Verifica la confi'uracin de puerto del s#itc$.
Las comandos si'uientes son 4tiles para (erificar "ue un puerto del s#itc$ es
confi'urado como se "uiere:
s$o# interface type slot/port s#itc$port
s$o# runnin'Dconfi' interface type slot/port
s$o# (lan
S#itc$Q s$o# runnin'Dconfi' interface fastet$ernet @B?
2uildin' confi'uration...
R
urrent confi'uration :11 bytes
interface ;astEt$ernet @B?
s#itc$port access (lan 2AA
s#itc$port mode access
end
3aso @ 3rueba la conecti(idad VLAN.
3aso , Ase'ura "ue el dispositi(o conectado tiene una direccin 73 correctamente
confi'urada y una m%scara subred "ue lo coloca sobre la misma red "ue el default
'ate#ay.
3aso 2 3in' al default 'ate#ay.
3aso 1 Si el pin' al default 'ate#ay es satisfactorio! la confi'uracin VLAN y la
confi'uracin de direccin de 73 $a sido (erificado.
3aso ? 7mplementando s#itc$ y medidas de se'uridad VLAN.
uando implementan VLANs! usted deber-a pensar unas pocas medidas para
ase'urar las VLAN y el propio s#itc$. La pol-tica de se'uridad de la or'ani0acin
probablemente tendr% recomendaciones m%s detalladas! pero estas pueden
proporcionar una base.
ree un 6par)in'Dlot6 estacionamiento VLAN con un VLAN 7D 8V7D9 aparte de VLAN,!
y colo"ue todos los puertos del s#itc$ sin uso en esta VLAN. Esta VLAN puede
pro(eer al usuario de al'una conecti(idad de red m-nima. 8omprobar la pol-tica de
se'uridad de su or'ani0acin antes de implementar.9
Des$abilite los puertos del s#itc$ no usados! dependiendo de la pol-tica de se'uridad
de la or'ani0acin.
2.1 Aplicacion de :run)s
2.1., E*plicacin de trun)s de VLAN
M4ltiples VLAN son soportadas entre s#itc$ por trun)s VLAN. .n trun) es un
enlace de capa 2 entre los s#itc$ "ue estan ejecutando un protocolo trun)in'
especiali0ado. Los trun)s lle(an el tr%fico de multiples VLANS sobre enlaces f-sicos
8multiple*in'9 y permiten la e*tensin de una unica VLAN apa 2 entre s#itc$. 8,9
Mantenimiento especifico de identificacin VLAN
Si las tramas de una unica 8sin'le9 VLAN atra(iesan un enlace trun)! un protocolo
trun)in' debe marcar la trama para identificar su VLAN asociada como la trama es
colocada en el enlace trun). El s#itc$ de recepcion entonces conoce las tramas VLAN
de ori'en y puede procesar la trama como corresponde.
Sobre el s#itc$ de recepcion! el V7D es "uitado cuando la trama es en(iada en un
enlace de acceso asociado con su VLAN.
.n protocolo especial es re"uerido para establecer un enlace trun) entre dos
dispositi(os. .n enlace trun) puede e*istir entre estos dispositi(os:
/ Dos s#itc$es
/ .n s#itc$ y un router
/ .n s#itc$ y un trun)Dcapable N7 en un nodo tal como un ser(idor
Si un unico enlace fisico lle(a el tr%fico para multiples VLANs! cada trama debe ser
6marcada6 con un V7D para "ue esta sea diferenciada de tramas "ue (ienen de otras
VLANs. Esta marca o identificacin de trama son lo'radas por un protocolo trun)in'.
La identificacin de trama 4nicamente asi'na un 7D! referido como un V7D! para cada
trama. ada s#itc$ de recepcin e*amina este V7D para determinar la destinacin
VLAN de la trama.
V7Ds slo son asociados con tramas "ue atra(iesan un enlace trun). uando una
trama entra o sale del s#itc$ sobre un enlace de acceso! nin'4n V7D est% presente. El
AS7 sobre el puerto del s#itc$ asi'na el V7D a una trama como es colocada sobre un
enlace trun)! y tambi+n "uita el V7D si la trama sale de un puerto del s#itc$ de acceso.
Los enlaces trun)s deber-an ser administrados para "ue ellos lle(en slo el tr%fico
para VLANs pretendidas. Esta pr%ctica mantiene el tr%fico de datos no deseado a
VLAN de atra(esar enlaces innecesariamente. Los enlaces trun)s son usados entre
las capas de acceso y lde distribucin del blo"ue de s#itc$ de campus. Estos son los
protocolos de trun)s usados para lle(ar VLANs m4ltiples sobre un enlace unico: 829
/ 7nteDS#itc$ Lin) 87SL9: isco 7SL
/ >A2.,E: 7EEE est%ndar trun)in' protocol
VLAN trun)in'
Se'4n el protocolo trun)in'! las tramas de datos en(iadas a tra(+s de un enlace trun)
son encapsulados o eti"uetados. El objeti(o de encapsular o eti"uetar tramas es de
pro(eer al s#itc$ de recepcion con un V7D para identificar la VLAN de cual la trama es
ori'inada. El protocolo trun)in' 7SL! un protocolo propietario de isco! encapsula
tramas! mientras 7EEE >A2.,E inserta una eti"ueta en la trama de datos de capa 2
ori'inal. 819
omparando 7SL y >A2.,E
>A2.,E no es propietario y puede ser desple'ado en cual"uier dispositi(o capa 2
estandar basado Et$ernet. Esto es espec-fico para un unico protocolo capa 2
8Et$ernet9 por"ue esto modifica la trama Et$ernet capa 2 insertando una eti"ueta
entre dos campos espec-ficos de la trama y por lo tanto debe ser consciente de los
detalles de cabecera de la trama.
7SL es un protocolo independiente de capa 2. omo la trama ori'inal capa 2 es
totalmente encapsulada y no cambiada! 7SL puede transportar tramas de datos desde
(arios tipos de medios capa 2.
2.1.2 Describiendo :run)in' 7SL
7SL es una opcin de protocolo propietario de isco para confi'uracion de enlaces
trun) capa 2. Es el est%ndar ori'inal para trun)in' entre s#itc$es y precede estandar
trun)in' 7EEE. 7SL toma tramas ori'inales capa 2 y los encapsula con un nue(o
encabe0ado 7SL y trailer. 8,9
:run)in' con 7SL
omo un encabe0ado completamente nue(o es a&adido a la trama ori'inal! el
encabe0ado ofrece al'unos ras'os no encontrados en >A2.,E! un protocolo trun)in'
alternati(o.
Los si'uientes son al'unos ras'os del protocolo 7SL:
D Soporta multiples protocolos apa 2 8Et$ernet! :o)en rin'! ;DD7! y A:M.
D Soporta 3VS:.
D No usa VLAN nati(a! asi encapsula cada trama.
D El proceso de encapsulacion deja la trama ori'ina sin modificar.
3roceso de encapsulacion 7SL
uando un puerto del s#itc$ es confi'urado como un puerto de trun) 7SL! la trama
entera ori'inal capa 2! incluyendo el encabe0ado y el ;S trailer! es encapsulado
antes de "ue este atra(iese el enlace trun). La encapsulasion coloca un encabe0ado
adicional en el frente y en el final de la trama ori'inal capa 2. El encabe0ado 7SL
contiene el V7D de la VLAN donde la trama es ori'inada. En la recepcion final! el V7D
es le-do! el encabe0ado y el trailer son "uitados! y la trama ori'inal es en(iada como
cual"uier trama apa 2 re'ular sobre esta VLAN. 829
Encapsulacion 7SL
Slo los puertos trun) 7SL pueden recibir correctamente tramas encapsuladas 7SL.
.n puerto noD7SL "ue recibe una trama 7SL puede considerar el tama&o de la trama
para ser in(%lido o no puede reconocer los campos en el encabe0ado. La trama por lo
'eneral es dejada caer y contada como un error de transmisin cuando es recibido por
un puerto noD7SL.
Encabe0ado 7SL
El encabe0ado 7SL contiene (arios campos con los (alores "ue definen los atributos
de ldatos capa 2 ori'inal dentro de la trama encapsulada. Esta informacin es usada
para for#ardin'!identificacin de medios! y la identificacin VLAN. La poblacin de los
campos dentro del encabe0ado 7SL (ar-a! basado en el tipo de VLAN y los medios del
enlace. El AS7 sobre un puerto Et$ernet encapsula lo trama con un encabe0ado 7SL
2? bytes y = bytes ;S. Estos 1A bytes de o(er$ead de encapsulacion 7SL es
consistente entre los protocolos apa 2 soportados sobre s#itc$es isco atalyst!
pero el tama&o total de la trama (ar-a y es limitado por la unidad de transmisin
m%*ima 8M:.9 de el protocolo de capa 2 ori'inal.
El encabe0ado de trama Et$ernet 7SL contiene estos campos de informacin:
DA 8direccin de destino9: =A bit de direccion de destino. Esto es una direccion
multicast y es puesto en A*A,DAADADAADAA o A*A1DAADAcDAADAA. Los primeros =A bits
del campo DA presentan la se&al al receptor "ue el pa"uete est% en el formato 7SL.
:ipo: descriptor de = bit de los tipos de trama encapsulados: Et$ernet 8AAAA9! :o)en
rin' 8AAA,9! ;DD7 8AA,A9! y A:M 8AA,,9.
.suario: el descriptor de = bit usado como la e*tendion del campo tipo o para definir
prioridades Et$ernet. Esto es un (alor binario de A! la prioridad m%s baja! a 1! la
prioridad m%s alta. El (alor de campo de .suario por defecto es AAAA. 3ara tramas
Et$ernet! los bits de campo de .suario A y , indican la prioridad del pa"uete como
estos atra(iesan el s#itc$.
SA 8direccin de ori'en9: la direccin MA ori'en de => bit de la transmisin del
puerto s#itc$ isco atalyst.
LEN 8lon'itud9: descriptor de lon'itud de trama de ,? bits menos DA! :ipo! .suario!
SA! LEN! S <.
AAAAA1: 3rotocolo de Acceso de Subred Est%ndar 8Standard Subnet#or) Access
3rotocol 9 8SNA39 >A2.2 encabe0ado de control de enlace lo'ico 8LL9.8 lo'ical lin)
control9
CS 8altos bits de direccin de ori'en9: primeros 1 bytes del SA 8fabricante o 7D 4nico
de or'ani0acin9.
V7D: ,@ bit V7D. Slo los ,A bits inferiores son usados para ,A2= VLANs.
23D. 8brid'e protocol data unit9: la identificacin de descriptor de , bit si la trama es
una 23D. spannin' tree. Esto tambi+n identifica si al trama es un isco disco(ery
protocol 8D39 o VLAN trun) protocol 8V:39 e indica si la trama debe ser en(iada al
plano de control del s#itc$.
7NDO 8-ndice9: ,? bits para indicar el -ndice de puerto del ori'en del pa"uete como
salen del s#itc$. Esto es usado para solo propositos de dia'nsticos y puede ser
puesto a cual"uier (alor por otros dispositi(os. Esto es un (alor ,? bits y es i'norado
en pa"uetes recibidos.
<ES: ,? bits reser(ados para tramas :o)enrin' y ;DD7.
:rama de Et$ernet encapsulada: pa"uete de datos encapsulado! incluyendo su propio
(alor de <! completamente inmodificado. La trama interna debe tener un (alor de
< "ue es (%lido cuando el campo de encapsulacion 7SL es "uitado. .n s#itc$ de
recepcion puede "uitar los campos de encapsulacion 7SL y usar este campo de
ENA3 ;<AME como la trama es recibida 8la asociacin de VLAN apropiada y otros
(alores con la trama recibida como indicado para objeti(os de conmutacion9.
8associatin' t$e appropriate VLAN and ot$er (alues #it$ t$e recei(ed frame as
indicated for s#itc$in' purposes9.
7SL :railer
La parte de trailer de la encapsulacion 7SL es un ;S "ue lle(a un (alor de <
calculado sobre la trama ori'inal m%s el encabe0ado 7SL como la trama de 7SL fue
colocada sobre el enlace trun). El puerto receptor 7SL calcula de nue(o este (alor. Si
los (alores de < no $acen jue'o! la trama es desec$ada. Si los (alores
corresponden 8matc$9! el s#itc$ desec$a el ;S como una parte de "uitar el
encapsulado 7SL para "ue la trama ori'inal pueda ser procesada. El 7SL trailer
consiste en el campo ;S = bytes: Esta secuencia contiene un (alor de < 12 bits!
el "ue es creado por el en(io de MA y es calculado de nue(o por el recibimiento de
MA para comprobar tramas da&adas. El ;S es 'enerado sobre el DA! SA! LEN!
:ipo 8type9! y campos de Datos 8data fields9. uando un encabe0ado 7SL es atado! un
nue(o ;S es calculado para el pa"uete entero 7SL y a're'ado al final de la trama.
2.1.1 Descripcin :run)in' >A2.,E
omo 7SL! >A2.,E es un protocolo "ue permite un unico enlace f-sico para lle(ar el
tr%fico para multiples VLANs. Este es el est%ndar 7EEE VLAN trun)in' protocol. En (e0
de encapsular la trama de capa 2 ori'inal -nte'ramente! >A2.,E inserta una eti"ueta
en el encabe0ado Et$ernet ori'inal! lue'o calcula de nue(o y actuali0a el ;S en la
trama ori'inal y transmite la trama sobre el enlace trun). 8,9
:run)in' con >A2.,E
El protocolo >A2.,E! denominado a menudo KdotD,EL! ofrece la (entaja clara de ser el
primer 7EEE StandardDbased trun)in' protocol for Et$ernet. Esto permite multiples
VLANs atra(esar e"uipos de infraestructura donde se cru0an enlaces de pro(eedor
e*istentes.
El protocolo >A2.,E tiene las si'uientes caracteristicas:
/ Soporta para Et$ernet y :o)enrin'
/ Soporte para =AM? VLANs
/ Soporte para ommon spannin' tree 8S:9! Multiple spannin' tree protocol
8MS:39! y <apid spannin' tree protocol 8<S:39
/ Soporta topolo'-a puntoDaDmultipunto
/ Soporte para tr%fico sin eti"uetar sobre el enlace trun) (-a VLAN natati(a
/ Soporte EoS e*tendido
/ recimiento est%ndar para enlaces de telefon-a 73
3ara identificar una trama con una determinada VLAN! el protocolo >A2.,E a're'a
una eti"ueta! o un campo! a la trama de datos Et$ernet de capa 2 estandar. Los
componentes de esta eti"ueta se muestran en la ;i'ura 2. 3uesto "ue insertando la
eti"ueta cambia la trama ori'inal! el s#itc$ debe calcular de nue(o y cambiar el (alor
de ;S para la trama ori'inal antes en(iada fuera del puerto trun) >A2.,E. Al
contrario 7SL no modifica la trama ori'inal en absoluto.
El proceso de eti"uetado >A2.,E
El nue(o campo de Eti"ueta >A2.,E tiene los si'uientes componentes: 829
/ Et$er:ype: .sa Et$er:ype A*>,AA para indicar "ue esto es una trama >A2.,E.
/ 3<7: 1 bitsP lle(a la informacin de prioridad para la trama.
/ :o)en rin' encapsulation fla': 7ndica la interpretacin cannica de la trama si esta
es pasada de Et$ernet a :o)en rin'. Este (alor siempre es puesto a cero para los
s#itc$es Et$ernet.
/ V7D: La asociacin VLAN de la trama. 3or defecto! todo normal y la VLAN de
ran'o e*tendido son soportadas.
Si un dispositi(o nonD>A2.,EDenabled o un puerto de acceso reciben una trama
>A2.,E! el dato eti"uetado es i'norado! y el pa"uete es conmutado a capa 2 como
una trama Et$ernet est%ndar. Esto permite la colocacin de dispositi(os intermedios
de capa 2! como otros s#itc$es o puentes! a lo lar'o de la ruta trun) >A2.,E. 3ara
procesar una trama eti"uetada >A2.,E! un dispositi(o debe permitir una M:. de ,@22
o superior.
Nota:
.na trama Et$ernet "ue tiene una M:. m%s 'rande "ue la esperada 8,@,> por
defecto para Et$ernet9 pero no m%s 'rande "ue re'istros de ,?AA bytes como una
trama de error de capa 2 llamado Kbaby 'iant.L 3ara 7SL! la trama ori'inal m%s la
encapsulacion 7SL puede 'enerar una trama tan 'rande como ,@=> bytes! y ,@22
bytes para una trama eti"uetada >A2.,E.
2.1.= E*plicacin de VLANs nati(as >A2.,E
uando confi'uran un trun) >A2.,E! un matc$in' VLAN nati(a debe ser definido
sobre cada final de enlace trun). .n enlace trun) es intr-nsecamente asociado con el
eti"uetado de cada trama con un V7D. El objeti(o de la VLAN nati(a es de permitir
tramas no eti"uetadas con un V7D para atra(esar el enlace trun). .na VLAN nati(a
>A2.,E es definida como una de los si'uientes:
/ VLAN "ue un puerto es asociado con cuando no en el modo trun)in' operacional
8VLAN t$at a port is associated #it$ #$en not in trun)in' operational mode9
/ VLAN "ue es asociada con tramas sin eti"uetar "ue son recibidas sobre un puerto
del s#itc$
/ VLAN al "ue las tramas de capa 2 son en(iadas si reciben sin eti"uetar en un
puerto trun) >A2.,E
ompare esto a 7SL! en el "ue nin'una trama puede ser transportado sobre el enlace
trun) sin encapsulacion! y cual"uier trama sin encapsular recibida sobre un puerto
trun) son inmediatamente dejados caer. 8dropped9
ada puerto f-sico tiene un par%metro llamado un puerto V7D 83V7D9. ada puerto
>A2.,E es asi'nado a un (alor de 3V7D i'ual a V7D nati(o. uando un puerto recibe
una trama eti"uetada "ue debe atra(esar el enlace trun)! la eti"ueta es respetada.
3ara todas las tramas sin eti"uetar! el 3V7D es considerado la eti"ueta. Esto permite a
las tramas atra(esar los dispositi(os "ue pueden ser incapaces de leer la informacin
de eti"ueta VLAN.
VLANs nati(as tienen los atributos si'uientes:
/ .n puerto de trun) "ue soporta slo una VLAN nati(a acti(a por modo
operacional. Los modos son access y trun).
/ 3or defecto! sobre los s#itc$es isco atalyst! todos los puertos del s#itc$ y
VLANs nati(as para >A2.,E son asi'nadas a VLAN,.
/ Los puertos trun) >A2.,E conectados el uno al otro (-a se'mentos f-sicos o
l'icos todos deben tener la misma VLAN nati(a confi'urada para funcionar
correctamente.
/ Si la VLAN nati(a es misconfi'ured para puertos trun) sobre el mismo enlace
trun)! loops de capa 2 pueden ocurrir debido a des(ios S:3 23D.s de su VLAN
correcta.
VLAN nati(a >A2.,E
2.1.@ E*plicacin de ran'os VLAN
ada VLAN sobre la red debe tener un unico V7D. La ran'o (%lido de 7SL
confi'urable de usuario VLANs es , a ,A2=. La ran'o (%lido de VLANS especificadas
en el estandar 7EEE >A2.,E es , a =AM=.
La fi'ura , describe los ran'os VLAN y sus usos.
omo una mejor pr%ctica! asi'ne VLANs estendidas comen0ando con =AM= y el uso
8#or)9 $acia abajo! por"ue al'unos s#itc$es usan el ran'o e*tendido V7Ds para el
empleo interno "ue comien0a en el final bajo del ran'o e*tendido. onsulte
6onfi'urin' E*tendedD<an'e VLANs6 en la 'u-a de confi'uracin de soft#are
asociada con su plataforma s#itc$ y la publicacion de soft#are.
2.1.? Descripcin comandos de confi'uracin trun)in'
Los comandos para confi'urar un trun) (ar-an se'4n el sistema de operacion del
s#itc$. Los comandos en la ;i'ura , son para un s#itc$ isco 7GS soft#areDbased.
omandos de confi'uracin trun)in'
La fi'ura 2 describe comandos para confi'urar un trun) sobre un s#itc$ "ue funciona
el soft#are isco 7GS. .n enlace trun) puede ser confi'urado est%ticamente o
din%micamente.
Los enlaces trun) deber-an ser confi'urados est%ticamente siempre "ue fuera posible.
Sin embar'o! puertos del s#itc$ isco atalyst funcionan con Dynamic trun)in'
protocol 8D:39! "ue autom%ticamente puede ne'ociar un enlace trun). Este protocolo
propietario de isco puede determinar un modo operacional trun)in' y el protocolo
sobre un puerto del s#itc$ cuando este es conectado a otro dispositi(o "ue es
tambi+n capa0 de ne'ociacin de trun) din%mica. 819
D:3 S#itc$port Mode 7nteractions
El modo D:3 puede ser confi'urado para desacti(ar el protocolo o instruirlo para
ne'ociar un enlace trun) slo bajo ciertas condiciones! como describe en la ;i'ura =.
D:3 S#itc$port Modes
EL modo D:3 por defecto isco 7GS y plataforma dependiente 8:$e default D:3
mode is isco 7GS and platform dependent9. 3ara determinar el modo D:3 en uso!
use el comando s$o# dtp interface. Note "ue este comando no est% disponible en los
s#itc$ atalyst 2M@A y 1@@A! pero est% disponible en los s#itc$ atalyst 2M?A y 1@?A.
8@9
Verificando D:3
Nota:
La mejor pr%ctica 'eneral es poner la interfa0 como trun) y none'otiate cuando un
enlace trun) es re"uerido. D:3 deber-a ser desacti(ado sobre enlaces donde trun)in'
no es "uerido.
2.1.J onfi'uracin :run)in'
Los puertos del s#itc$ son confi'urados para trun)in' usando los comandos isco
7GS. 3ara confi'urar un puerto del s#itc$ como un puerto trun)in' >A2.,E o un 7SL!
si'a estos pasos sobre cada interfa0 de trun). 8,9
omo confi'urar trun)in'
3aso , Entra en el modo de confi'uracin de interfa0.
3aso 2 S$ut do#n la interfa0 para pre(enir la posibilidad de autoconfi'uracin
prematura.
3aso 1 Selecciona la trun)in' encapsulation. Note "ue al'unos s#itc$es soportan slo
7SL o >A2.,E. En particular! el atalyst 2M@A y 2M?A soporta slo >A2.,E.
3aso = onfi'ura la interfa0 como un trun) capa 2.
3aso @ onfi'ura el n4mero de VLAN trun)in' nati(o para enlaces >A2.,E. Este
n4mero debe emparejar 8matc$9 en ambos finales de un trun) >A2.,E.
3aso ? onfi'ura VLANs permisibles 8allo#able9 para este trun). Esto es necesario si
VLANs es restrin'ida a ciertos enlaces trun). Esta es la mejor pr%ctica con el Modelo
de <ed ompuesto de Empresa 8Enterprise omposite Net#or) Model9 y conduce a
la operacin correcta de interfaces VLAN.
3aso J .sa el comando no s$utdo# sobre la interfa0 para acti(ar el proceso de
trun)in'.
3aso > Verifica la confi'uracin de trun) "ue usando comandos s$o#.
La fi'ura 2muestra como confi'urar la interfa0 ;ast Et$ernet @B> como un trun)
>A2.,E. :ramas de VLANS ,! @! ,,! y ,AA2 a ,AA@ seran permitidas para atra(esar el
enlace trun). El modo s#itc$port para la interfa0 es trun) 8on9! y nin'un mensaje D:3
ser%n en(iados sobre la interfa0.
onfi'uracin trun) >A2.,E
Nota:
3ara moti(os de se'uridad! La VLAN nati(a $a sido confi'urado para ser VLAN 6no
usado6. Esto ser% $ablado m%s detalladamente m%s tarde.
La fi'ura 1 describe los comandos usados para confi'urar un puerto del s#itc$ como
un enlace trun) >A2.,E.
onfi'uracin puerto s#itc$ como puerto trun) >A2.,E
3<EA.7FN:
Ase'ure "ue la VLAN nati(a para un trun) >A2.,E es el mismo sobre ambos finales
del enlace trun). Si $ay VLAN nati(a mismatc$ 8no armoni0an9! el tr%fico no es
transmitido correctamente sobre el trun).
.se comandos s$o# de empleo para mostrar la informacin de puerto! informacin de
puerto s#itc$! o la informacin trun)in'.
Verificando la confi'uracin >A2.,E
La salida en la ;i'ura @ muestra "ue D:3 $a ne'ociado con otro s#itc$ para permitir
trun)in' >A2.,E. :ambi+n note "ue la VLAN nati(a $a sido confi'urado para ser
VLANMM. Esto es la mejor pr%ctica "ue VLAN nati(a no es dejada como por defecto de
VLAN, y deber-a ser una VLAN 6no usada6. Esto ser% $ablado m%s detalladamente
m%s tarde.
Verificando un enlace trun) dinamico >A2.,E
En la ;i'ura ?! la interfa0 ;ast Et$ernet 2B, $a sido confi'urada como un enlace trun)
para 7SL "ue es permanentemente conectado 8on9. La ne'ociacin D:G no esta
permitida. El enlace trun) lle(ar% el tr%fico VLAN para VLANs , a @ y ,AA2 a ,AA@.
VLANs 2 a @ son confi'uradas sobre (arios puertos de acceso sobre el s#itc$! y los
enlaces trunc) tienen "ue lle(ar las tramas para estas VLANs adem%s de las tramas
para el sistema VLANs , y ,AA2D,AA@.
onfi'uracin de puerto s#itc$ como puerto trun) 7SL
Nota:
Esto es la mejor pr%ctica para cerrar un interfa0 8s$ut do#n9 confi'urando atributos
trun)in' para "ue la autone'ociacin prematura no pueda ocurrir.
uando onfi'uran el trun) capa 2 para no usar D:3! la sinta*is si'uiente es usada
para "ue el modo trun) sea puesto 8set9 6on6 y nin'un mensaje D:3 son
en(iadossobre la interfa0:
Entre el comando s$utdo#n en el modo de interfa0.
Entre el comando s#itc$port trun) encapsulation.
Entre el comando S#itc$port mode trun).
Entre el comando S#itc$port none'otiate.
Entre el comando no s$utdo#n.
.se comandos s$o# para mostrar la informacin de puerto! informacin del puerto del
s#itc$! o la informacin trun)in'. 8J9
Verificando trun)in' 7SL
2.= 3ropa'acin de confi'uraciones VLAN con protocolo :run)in' VLAN
2.=., E*plicacin dominios V:3
En una red de empresa con muc$os s#itc$es interconectados! manteniendo una
lista co$erente de VLANS a tra(+s de a"uellos s#itc$es pueden ser
administrati(amente incmodo y potencialmente propenso a errores. El VLAN
:run)in' 3rotocol 8V:39 es dise&ado para automati0ar esta tarea administrati(a.
Los s#itc$es "ue comparten la informacin com4n VLAN son or'ani0ados en 'rupos
l'icos llamados dominios de administracin V:3. La informacin VLAN dentro de un
dominio V:3 es propa'ada por enlaces trun) y es actuali0ada 8updated9 (-a el V:3!
permitiendo a todos los s#itc$es dentro de un dominio particular para mantener
identicas bases de datos VLAN.
Slo la informacin 6'lobalL VLAN respecto al n4mero VLAN! nombre! y la descripcin
es intercambiada. La 7nformacin VLAN sobre como los puertos son asi'nados a
VLANS sobre un determinado s#itc$ es mantenida local para el s#itc$ y no es parte
de un anuncio V:3.
Estos son los atributos de un Dominio V:3:
/ .n s#itc$ puede estar en slo un dominio V:3.
/ .n dominio V:3 puede ser tan pe"ue&o como slo un s#itc$.
/ Las actuali0aciones 8update9 V:3 son intercambiadas entre los s#itc$es en el
mismo dominio.
/ La manera en "ue la informacin VLAN es intercambiada entre los s#itc$es en el
mismo dominio depende del modo V:3 del s#itc$.
/ 3or defecto! un s#itc$ atalyst est% en el estado 6 dominio no administrati(o6
$asta "ue este recibe un anuncio para un dominio sobre un enlace trun)! o $asta "ue
un dominio de administracion es confi'urado.
El dominio V:3
2.=.2 Descripcin V:3
V:3 es un protocolo de mensajer-a capa 2 "ue mantiene la consistencia de
confi'uracin VLAN administrando las adiciones! borrados! y los cambios de nombre
de VLANs sobre todos los s#itc$es de un dominio V:3. Los s#itc$es "ue comparten
un unico dominio V:3 intercambian las actuali0aciones 8updates9 V:3 para distribuir y
sincroni0ar la informacin VLAN.
V:3 funciona sobre enlaces trun)! permitiendo interconeccion de s#itc$es para
distribuir y sincroni0ar una lista unica de VLANS confi'uradas. Este proceso reduce la
confi'uracin manual re"uerida en cada s#itc$P VLANs pueden ser creadas sobre un
s#itc$ y lue'o propa'ado a otros.
V:3 tiene los atributos si'uientes:
/ Es un protocolo propietario de isco.
/ Anuncia VLANs , a ,AA@ slo.
/ Las actuali0aciones 8updates9 son intercambiadas slo a tra(+s de enlaces trun).
/ ada s#itc$ opera en un determinado modo V:3 "ue determina como la
actuali0acion 8updates9 son en(iados y recibidos por a"uel s#itc$.
Actualmente! los s#itc$es atalyst funcionan (ersiones V:3 ,! 2! y 1. La (ersin 2 es
el m%s com4n! aun"ue dentro de la (ersin 2! el modo de operacion por defecto del
s#itc$ es la (ersin ,.
La (ersin 2 proporciona estos ras'os:
/ Soporte s#itc$es para s#itc$es :o)en rin'
/ omprabacion de consistencia 8consistency c$ec$s9 sobre nue(o V:3 y
par%metros de confi'uracin VLAN
/ La propa'acin de actuali0aciones V:3 "ue tienen un tipo no reconocido!
lon'itud! o el (alor
/ En(io de actuali0aciones V:3 de s#itc$es de modo transparentes sin comprobar
el n4mero de (ersin
La (ersin 1 V:3 est% a$ora disponible sobre al'unos s#itc$es "ue usan el sistema
de operacin isco atalyst. uando esta acti(ado 8enable9! la (ersin 1 V:3
proporciona estas mejoras a (ersiones anteriores V:3:
/ Soporte para VLANs e*tendidas
/ Soporte para la creacin y publicidad 8ad(ertisin'9 de VLANs pri(adas
/ Soprte para instancias VLAN S instancias de propa'acion de mapeado 8mappin'9
MS:
/ Autenticacin de ser(idor Mejorada
/ 3roteccin de base de datos incorrecta por casualidad siendo insertada en un
dominio V:3
/ 7nteraccin con las (ersiones V:3 , y 2
/ apacidad para ser confi'urada sobre una base porDpuerto 8pertDport basis9
3<EA.7FN:
Las (ersiones V:3 , y 2 no est%n interoperables sobre s#itc$es en el mismo dominio
V:3. ada s#itc$ en el dominio V:3 debe usar la misma (ersin V:3. No permite la
(ersin 2 V:3 a no ser "ue cada s#itc$ en el dominio V:3 soporte la (ersin 2.
Cay al'unas pautas para la utili0acin V:3 dentro del mdulo de 7nfraestructura de
ampus:
/ El dominio V:3 es restrin'ido a la construccion 8buildin'9 de blo"ues del s#ic$.
/ V:3 mantiene la informacin VLAN constante entre los s#itc$es de la capa de
Distribucin del Edificio y la capa de Acceso del Edificio.
/ Errores de confi'uracin VLAN o fallas son reducidos a la distribucin y capa de
acceso de los blo"ues del s#itc$. 8are confined to t$e distribution and access layer
s#itc$ bloc)s.9
/ El conocimiento de todas las VLANS no tiene "ue e*istir sobre todos los s#itc$es
dentro del mdulo de 7nfraestructura de ampus. El empleo de V:3 es opcional! y en
ambientes de alta disponibilidad esto es la mejor pr%ctica para poner todos los
s#itc$es para i'norar actuali0aciones V:3.
3<EA.7FN:
Las VLANs borradas sobre un s#itc$ puede ser borradas sobre todos los s#itc$es en
el dominio V:3! y as- todos los puertos son "uitados de la VLAN. VLANs borradas con
precaucin sobre un s#itc$ participante en un dominio V:3 con otros s#itc$es.
El protocolo V:3
2.=.1 Modos V:3
V:3 puede ser confi'urado sobre cada s#itc$ para funcionar en uno de tres
modos: ser(idor! cliente! o transparente. 8,9 El modo por defecto es ser(er. El modo
determina si VLANs pueden ser creadas sobre el s#itc$ y como el s#itc$ participa en
el en(iar y el recibir publicaciones 8ad(ertisements9 V:3. El n4mero de VLANS "ue
pueden ser confi'uradas sobre un s#itc$ (ar-a por el modo.
Modos V:3
La fi'ura 2 describe las caracteristicas de los modos V:3! client! ser(er! y transparent.
Descripcin modos V:3
3<EA.7FN:
Antes de la a're'acin a un cliente V:3 o ser(idor a un dominio V:3! siempre
(erifican "ue su n4mero de re(isin de confi'uracin V:3 es inferior "ue el otro
n4mero de re(isin de confi'uracin de los otros s#itc$es en el dominio V:3. Los
s#itc$es en un dominio V:3 siempre usa la confi'uracin VLAN del s#itc$ con el
n4mero de re(isin de confi'uracin V:3 m%s alto. Si usted a're'a un s#itc$ en el
modo de cliente o ser(idor "ue tiene un n4mero de re(isin "ue es m%s alto "ue el
n4mero de re(isin en el dominio V:3! esto puede borrar toda la informacin VLAN
del ser(idor V:3 y el dominio V:3. 3ara resetear el n4mero re(isin V:3 sobre el
s#itc$ "ue esta siendo a're'ado! modifica el nombre de dominio V:3 o poner el
modo V:3 a transparente.
2.=.= Descripcin V:3 3oda
V:3 prunin' usa publicaciones 8ad(ertisements9 VLAN para determinar cuando
una cone*in trun) esta inundando tr%fico innecesariamente.
3or defecto! una cone*in trun) lle(a tr%fico para todas las VLANs en el dominio de
administracin V:3. om4nmente! al'unos s#iitc$es en una red de empresa no tiene
puertos locales confi'urados en cada VLAN. En la ;i'ura ,! slo s#itc$es , y =
soportan puertos est%ticamente confi'urados en la VLAN rojo. 8red VLAN9
V:3 prunin' aumenta el anc$o de banda disponible restrin'iendo el tr%fico inundado
para a"uellos enlaces trun) "ue el tr%fico debe usar para acceder a los dispositi(os de
red apropiados. VLAN, es siempre inele'ible para prunin'P el tr%fico de VLAN, no
puede ser prunin'.
La fi'ura , muestra una red conmutada 8s#itc$ed9 sin V:3 prunin' permitido a la
i0"uierda. 3uerto , sobre s#itc$ , y puerto 2 sobre s#itc$ = son asi'nados a VLAN
rojo. .n broadcast es en(iado desde el $ost conectado al s#itc$ ,. S#itc$ , inunda el
broadcast! y cada dispositi(o de red en la red lo recibe! aun cuando los s#itc$es 1! @!
y ? no ten'an puertos en VLAN rojo. on V:3 prunin' permitido! el tr%fico de
broadcast de la estacin A no es e*pedida 8for#arde9 a s#itc$es 1! @! y ? por"ue el
tr%fico para VLAN rojo $a sido prunin' 8podado9 sobre los enlaces indicados sobre
s#itc$es 2 y =.
V:3 prunin'
Nota:
.sted puede implementar V:3 prunin' slo sobre ser(idores V:3! no sobre
clientes. onsidere soporte V:3 prunin' para m-nimi0ar tr%fico sobre enlaces trun).
Nota:
.n s#itc$ controla 8runs9 una instancia de spannin' tree para cada VLAN "ue esta
es consciente de! incluso si nin'un puerto es acti(o o si V:3 prunin' esta permitido.
V:3 prunin' pre(iene la inundacin de tr%fico innecesario! pero no elimina el
conocimiento de s#itc$ de VLANS pruned.
2.=.@ Descripcin operacin V:3
Los s#itc$es dentro de un dominio de administracin V:3 sincroni0an sus bases
de datos VLAN en(iando y recibiendo anuncios 8ad(ertisements9 V:3 sobre enlaces
trun). Anuncios V:3 son inundados en todas partes de un dominio de administracin
por s#itc$es "ue funcionan en modos especificos de operacin. Los anuncios son
en(iados cada @ minutos o siempre "ue $aya un cambio de la confi'uracin VLAN. 8,9
Anuncios V:3 son transmitidos sobre VLAN,! usando una trama multicast capa 2. Los
anuncios VLAN no son propa'ados de un s#itc$ $asta "ue un nombre de dominio de
administracion sea especificado o aprendido.
Gperacin V:3
La fi'ura 2 muestra el orden 'eneral de sincroni0acin VLAN sobre V:3.
.no de los componentes m%s cr-ticos de V:3 es el n4mero de re(isin de
confi'uracin. uando inicialmente confi'urado! el n4mero de re(isin de
confi'uracin V:3 es puesto a A. ada (e0 "ue un ser(idor V:3 modifica su
informacin VLAN! este incrementa el n4mero de re(isin de confi'uracin V:3 en un.
Esto entonces en(-a un anuncio V:3 "ue se refiere el n4mero de re(isin de
confi'uracin nue(o. Si el n4mero de re(isin de confi'uracin siendo anunciado es
m%s alto "ue el numero almacenado sobre otros s#itc$es en el dominio V:3! ellos
sobreescriben sus confi'uraciones VLAN con la informacin nue(a.
3<EA.7FN:
3or el proceso de sobreescribir! si todas las VLANS sobre un ser(idor V:3 son
borradas! el ser(idor V:3 en(-a un anuncio con un n4mero de re(isin m%s alto. Los
dispositi(os de recibimiento en el dominio V:3 aceptan el anuncio y borran a"uellas
VLANs tambi+n.
:res tipos de anuncios V:3 son intercambiados entre s#itc$es:
/ anuncios resumen 8Summary ad(ertisements9: .na actuali0acion 8update9 en(iada
por ser(idores V:3 cada 1AA se'undos o cuando ocurre un cambio de base de datos
VLAN. Entre otras cosas! este anuncio pone en una lista el dominio de administracion!
la (ersin V:3! el nombre de dominio! el n4mero de re(isin de confi'uracin! el sello
de tiempo 8time stamp9! y el n4mero de anuncio de subconjunto. Si el anuncio es
resultado de un cambio de base de datos VLAN 8VLAN database9! uno o m%s
anuncios de subconjunto se'uir%.
/ Anuncios de subconjunto 8Subset ad(ertisements9: .na actualu0acion 8update9
"ue si'ue un anuncio sumario "ue es resultado de un cambio de la base de datos
VLAN. .n anuncio de subconjunto cita el cambio espec-fico "ue fue $ec$o a una
entrada espec-fica VLAN en la base de datos VLAN. .n anuncio de subconjunto es
en(iado para cada V7D "ue encontr un cambio.
/ Anuncio solicitante de clientes 8Ad(ertisement re"uests from clients9: .na
actuali0acion en(iada por un s#itc$ "ue solicita informacin para actuali0a su base de
datos VLAN. Si un cliente oye "ue un Kanuncio de resumeL V:3 con un numero de
re(isin de confi'uracin m%s alto "ue su propio! el s#itc$ puede en(iar un anuncio de
peticin 8ad(ertisement re"uest9. .n s#itc$ "ue funciona en el modo de ser(idor V:3
entonces responde con anuncios de subconjunto y resumen.
Nota:
Anuncios V:3 son asociados con solo la informacin de base de datos VLAN! no
con la informacin VLAN confi'urada sobre puertos de s#itc$ espec-ficos. De la
misma manera! sobre un s#itc$ de recepcion! el recibo de la nue(a informacin VLAN
no cambia las asociaciones VLAN de trun) o puertos de acceso sobre a"uel s#itc$.
2.=.? Descripcin V:3 Frdenes de onfi'uracin
El comando de confi'uracin (tp es usado para confi'urar caracter-sticas V:3
para un s#itc$. :odos los s#itc$ en el mismo dominio V:3 comparten el mismo
nombre de dominio V:3 y la contrase&a! si uno es confi'urado. Esto es una buena
idea de poner el modo V:3 6cliente6 si los s#itc$es estan siendo a're'ados a una red
conmutada e*istente.
Los comandos s$o# (tp son usados para (erificar los actuales (alores de
par%metro V:3. 8,9
omandos de confi'uracin V:3
La fi'ura 2 describe los comandos "ue son usadas confi'urar V:3.
Descripcin de comandos de confi'uracin V:3
2.=.J onfi'uracin de un Dominio de administracion V:3
Los (alores de confi'uracin por defecto V:3 dependen del modelo de s#itc$ y
la (ersin de soft#are. Los (alores por defecto para los s#itc$ series atalyst 2MAA!
=AAA! y ?AAA son los si'uientes:
/ V:3 domain name: None
/ V:3 mode: Ser(er
/ V:3 pass#ord: None
/ V:3 trap: Disabled 8Simple net#or) mana'ement 3rotocol TSNM3U traps
communicatin' V:3 status9
El nombre de dominio V:3 puede ser especificado o aprendido de actuali0aciones
V:3 recibida de otros s#itc$. 3or defecto! el nombre de dominio no es puesto.
.na contrase&a puede ser puesta para el dominio de administracion V:3. La
contrase&a debe ser la misma para todos los s#itc$es en el dominio 8in order9 para la
base de datos VLAN para ser sincroni0ada entre los s#itc$es. 8,9
onfi'uracin de un dominio de administracin V:3
Los pasos para confi'urar V:3 (ar-an por dise&o y modo de s#itc$! pero los pasos
'enerales para confi'urar un s#itc$ son los si'uientes: 829
onfi'uracin y confi'uracin V:3
3aso , Establece un dise&o especificando "ue s#itc$es son ser(idor! cliente! o
transparente! y "ue limites son para el dominio V:3.
3aso 2 Verifica la informacion VLAN actual sobre cual"uier s#itc$ "ue ser%
confi'urado como ser(idor.
3aso 1 Especifica la contrase&a V:3 8opcional9.
3aso = Especifica el n4mero de (ersin! si es otro "ue el por defecto 8default9.
3aso @ Especifica el nombre de dominio V:3 8case V sensiti(e9.
3aso ? onfi'ura el modo V:3.
3aso J Verifica la confi'uracin.
3aso > Verifica "ue las actuali0aciones estan siendo en(iada o recibidas por el s#itc$
de la forma pre(ista.
La fi'ura 1 describe los comandos usados para confi'urar un s#itc$ para $acerse
parte de un dominio V:3. Si'a estos pasos desde el modo pri(ile'iado EOE.
onfi'uracin s#itc$ para unirse a un dominio V:3
.se el comando s$o# (tp status para (erificar la confi'uracin V:3. 8=9
Verificacin confi'uracin V:3
uando inicialmente confi'uran s#itc$es en un dominio V:3! prestar muc$a atencin
al n4mero de re(isin de confi'uracin. omprobar "ue los incrementos slo cuando
los cambios son $ec$os en ser(idores V:3 intecionados.
En la ;i'ura =! Konfi'uration last modified by ,A.,.,.,L especifica la direccin 73 del
s#itc$ de la ultima actuali0acion de la base de datos VLAN de este s#itc$.
Nota:
En este ejemplo! la (ersin 2 V:3 est% disponible 8como muestra la linea de salida
6V:3 (ersionL9! pero no permitido 8como muestra el 6 V:3 V2 ModeL9.
.se el comando s$o# (tp counters para mostrar estad-sticas sobre la operacin V:3.
8@9
La salida de este comando (erifica si la actuali0acion V:3 esta siendo en(iada y
recibida por el s#itc$! y esto re'istra el n4mero de actuali0aciones "ue $an sido
(istas.
2.=.> A're'acin de s#itc$es nue(os a un dominio V:3 e*istente
La confi'uracin del n4mero de re(isin es usado para determinar si un s#itc$
mantiene su actual base de datos VLAN o sobrescribe con la actuali0acion de V:3
en(iada por otro s#itc$ en el mismo dominio con la misma contrase&a. 3or lo tanto!
cuando un s#itc$ es a're'ado a una red! es importante "ue no se inyecte la
informacin falsa en el dominio. 8,9
A're'acin de ub s#itc$ a un dominio V:3 e*istente
3<EA.7FN:
Este sobrescribimiento ocurre si el s#itc$ es un cliente o ser(idor V:3. .n cliente V:3
puede borrar informacin VLAN sobre un ser(idor V:3. .na indicacin "ue la
informacin $a sido borrada es cuando muc$os de los puertos en la red entran en el
estado inacti(o por"ue los puertos a$ora son asi'nados a VLAN no e*istente. .n
ejemplo de un cliente V:3 sobrescribiendo a un ser(idor V:3 sera mostrado m%s
tarde.
La fi'ura 1 describe el procedimiento para a're'ar un s#itc$ nue(o a una red. 3ara la
estabilidad VLAN! es cr-tico a're'ar un s#itc$ en esta manera.
3rocedimiento para a'r'ar un nue(o s#itc$ a la red

2.@ orreccin de Errores de onfi'uracin omunes VLAN
2.@., Descripcin de uestiones con VLANs Nati(as >A,.2E
La fi'ura , muestra un error de confi'uracin frecuente. La VLAN nati(a
confi'urada sobre cada final de un trun) >A2.,E debe ser el mismo. <ecuerde "ue un
s#itc$ "ue recibe una trama sin eti"uetar lo asi'na a una VLAN nati(a del trun). Si un
final es confi'urado para VLAN , nati(a y otro a VLAN 2 nati(a! un marco en(i VLAN
, sobre un lado es recibido sobre VLAN 2 sobre el otro. VLAN , y 2 $an sido
se'mentados y combinados. No $ay nin'una ra0n esto deber-a ser re"uerido! y las
cuestiones 8issues9 de conecti(idad ocurrir%n en la red.
Los s#itc$es isco usan el isco Disco(ery Net#or) 8D39 para ad(ertir de un
mismatc$ VLAN nati(a.
En la ;i'ura ,! los 3s conectados al $ub en(-an tramas sin eti"uetar. omo las
tramas son sin eti"uetar! ellos se $acen parte de VLAN , sobre el s#itc$ i0"uierdo y
parte de VLAN 2 sobre el s#itc$ derec$o.
onsideraciones Vlan nati(a >A2.,E
La fi'ura 2 describe la miti'acin de cuestiones 8issues9 de VLAN nati(as >A2.,E.
2.@.2 <esolucin de uestiones con VLAN nati(as >A2.,E
onsidere las si'uientes cuestiones cuando usted confi'ura VLAN nati(as sobre un
enlace trun) >A2.,E:
/ Las confi'uraciones de interfa0 de VLAN nati(as deben $acer matc$ en ambos
finales del enlace o el trun) no puede formarse.
/ 3or defecto! la VLAN nati(a es la VLAN,. 3ara el objeti(o de se'uridad! la VLAN
nati(a sobre un trun) deber-a ser puesto a un V7D espec-fico "ue no es usado para
operaciones normales en otra parte sobre la red.
S#itc$8confi'Dif9Qs#itc$port trun) nati(e (lan vlan-id
/ Si $ay una VLAN nati(a mismatc$ sobre un enlace >A2.,E! D3 8si es usado y
funcionando9 publica8emite9 un error Knati(e VLAN mismatc$L.
/ Sobre las (ersiones esco'idas de soft#are de isco 7GS! D3 no puede ser
transmitido o autom%ticamente apa'ado 8desacti(ado9 si VLAN, es disabled sobre el
trun).
/ Si $ay una VLAN nati(a mismatc$ sobre cada lado de un enlace >A2.,E! loops de
capa 2 pueden ocurrir por"ue VLAN , S:3 23D.s es en(iado al 7EEE S:3 MA
address 8A,>A.c2AA.AAAA9 sin eti"uetar.
/ uando solucionas problemas VLANs! note "ue un enlace puede tener una
asociacin VLAN nati(a cuando en el modo acceso 8access mode9! y otra asociacin
VLAN nati(a cuando en modo trun).
onsideraciones VLAN nati(a >A2.,E
2.@.1 Descripcin de 3roblemas de enlace :run)
El modo trun)in'! el tipo de encapsulacion trun)! el dominio V:3! y las
capacidades de $ard#are de dos puertos conectados determina si un enlace trun)
operacional es formado y "ue tipo se con(ierte. 8type it becomes9
onsidere "ue con el modo s#itc$port por defecto pone a dinamyc auto y con
D:3 enabled! si otro s#itc$ es conectado y es puesto en si#tc$port mode trun)! el
s#itc$ autom%ticamente con(ierte el enlace a trun). Esto podr-a tener implicaciones
de se'uridad! por"ue esto podr-a comen0ar a aceptando tr%fico destinado a cual"uier
VLAN. 3or lo tanto! un usuario mal+(olo podr-a comen0ar a comunicarse con otra
VLANs por a"uel puerto comprometido.
Lo si'uiente es una e*plicacin de los tres ejemplos ilustrados en la ;i'ura ,.
E*plicacin de problemas enlace trun)
Ejemplo A
Si ambos finales del enlace son puestos en s#itc$port mode auto! el enlace no se
$ace un trun)! y los puertos permanecen como puertos de acceso.
S#itc$,Qs$o# interface faAB, s#itc$port
Name: ;aAB,
S#itc$port: Enabled
Administrati(e Mode: dynamic auto
Gperational Mode: static access
Administrati(e :run)in' Encapsulation: dot,"
Gperational :run)in' Encapsulation: nati(e
Ne'otiation of :run)in': Gn
Ejemplo 2
Si un final del enlace es puesto en s#itc$port mode dynamic desirable y el otro final
del enlace es puesto en s#itc$port mode access! ambos puertos permanecen como
puertos de acceso.
S#itc$,Qs$o# interface faAB, s#itc$port
Name: ;aAB,
S#itc$port: Enabled
Administrati(e Mode: dynamic desirable
Gperational Mode: static access
Administrati(e :run)in' Encapsulation: dot,"
Gperational :run)in' Encapsulation: nati(e
Ne'otiation of :run)in': Gn
S#itc$2Qs$o# interfaces ',BAB, s#itc$port
Name: 5i,BAB,
S#itc$port: Enabled
Administrati(e Mode: static access
Gperational Mode: static access
Administrati(e :run)in' Encapsulation: ne'otiate
Gperational :run)in' Encapsulation: nati(e
Ne'otiation of :run)in': Gff
Ejemplo
Si un final del enlace es puesto en s#itc$port mode trun) y s#itc$port none'otiate y
el otro final del enlace es puesto en s#itc$port mode auto! un mismatc$ ocurre!
por"ue el s#itc$ i0"uierdo no en(-a nin'una tramas D:3. El puerto "ue es puesto en
s#itc$port mode auto sobre el s#itc$ derec$o porf defecto a ser un puerto de acceso.
S#itc$,Qs$o# int faAB, s#itc$port
Name: ;aAB,
S#itc$port: Enabled
Administrati(e Mode: trun)
Gperational Mode: trun)
Administrati(e :run)in' Encapsulation: dot,"
Gperational :run)in' Encapsulation: dot,"
Ne'otiation of :run)in': Gff
S#itc$2Qs$o# interfaces ',BAB, s#itc$port
Name: 5i,BAB,
S#itc$port: Enabled
Administrati(e Mode: dynamic auto
Gperational Mode: static access
Administrati(e :run)in' Encapsulation: ne'otiate
Gperational :run)in' Encapsulation: nati(e
Ne'otiation of :run)in': Gn
2.@.= <esolucin de 3roblemas de enlace :run)
La ne'ociacin trun) es administrada por el Dynamic :run)in 3rotocol 8D:39!
"ue es un protocolo pointDtoDpoint. uando usamos para confi'urar trun)s! ase'ure
"ue ambos finales del enlace est%n en el mismo dominio V:3.
omo D:3 es un protocolo propietario de isco! al'unos dispositi(os
interconectados 8internet#or)in'9 no soportan tramas D:3! "ue podr-a causar
misconfi'urations. 3ara e(itar este problema potencial! usted deber-a apa'ar D:3
para las interfaces "ue son conectadas a los dispositi(os "ue no soportan D:3.
.se los si'uientes comandos para confi'urar puertos en el modo apropiado:
/ Si usted no "uiere trun) a tra(+s de los enlaces! use el comando de confi'uracin
de interfa0 s#itc$port mode access para des$abilitar 8disabled9 trun)in'.
/ 3ara permitir trun)in' a un dispositi(o "ue no soporta D:3! use el comando de
confi'uracin de interfa0 s#itc$port mode trun) y s#itc$port none'otiate para $acer
"ue la interfa0 se con(ierta en trun)! pero no 'eneraran tramas D:3.
/ .se el s#itc$port trun) encapsulation isl o s#itc$port trun) encapsulation dot1q el
interfa0 para seleccionar el tipo de encapsulacion sobre el puerto trun).
7ndependiente si un dispositi(o soporta D:3! la mejor pr%ctica 'eneral para
confi'urar trun)s est%ticamente es confi'urando la interfa0 como trun) y none'otiate.
<esol(iendo problemas de enlace trun)
2.@.@ 3roblemas omunes con onfi'uracin V:3
Al'unos resultados inesperados pueden ocurrir despu+s de la confi'uracin V:3
8, y 29.
3roblemas comunes con confi'uracin V:3
<esultados inesperados V:3
El n4mero de re(isin de confi'uracin es usado para determinar si un s#itc$
debe mantener su actual base de datos VLAN o sobrescribir con la actuali0acin V:3
en(iada por otro s#itc$ en el mismo dominio con la misma contrase&a. 3or lo tanto!
cuando un s#itc$ es a're'ado a una red! es importante "ue este no inyecte la
informacin falsa en el dominio.
Lo si'uiente es un ejemplo de un cliente V:3 "ue sobrescribe a un ser(idor V:3
cuando los procedimientos correctos no fueron se'uidos.
El ser(idor V:3! S#itc$,! est% actualmente en la re(isin de confi'uracin , y conoce
seis VLANs.
S#itc$,Qs$o# (tp status
V:3 Version : 2
onfi'uration <e(ision : ,
Ma*imum VLANs supported locally : ,AA@
Number of e*istin' VLANs : ?
V:3 Gperatin' Mode : Ser(er
V:3 Domain Name : buildin',
V:3 3runin' Mode : Disabled
V:3 V2 Mode : Disabled
V:3 :raps 5eneration : Disabled
MD@ di'est : A*A2 A*ED A*? A*E2 A*,? A*EM A*1D A*1
onfi'uration last modified by ,J2.,?.,.,,, at 1D,DM1 AA:2M:2?
Local updater 7D is ,J2.,?.,.,,, on interface Vl, 8lo#est numbered VLAN interface
found9
El s#itc$ nue(o! S#itc$2! a4n no $a sido conectado a la red. 819 Es un cliente V:3
con una re(isin de confi'uracin de 2 y conoce siete VLANs.
S#itc$2Qs$o# (tp status
V:3 Version : 2
onfi'uration <e(ision : 2
Ma*imum VLANs supported locally : 2@A
Number of e*istin' VLANs : J
V:3 Gperatin' Mode : lient
V:3 Domain Name : buildin',
V:3 3runin' Mode : Disabled
V:3 V2 Mode : Disabled
V:3 :raps 5eneration : Disabled
MD@ di'est : A*J A*2A A*22 A*;, A*2 A*MA A*@D A*22
onfi'uration last modified by ,J2.,?.,.,, at 1D,DM1 AA:1=:,J
Nue(os s#itc$es sobrescriben un dominio V:3 e*istente
El enlace entre S#itc$, y S#itc$2 a$ora es conectado y el cliente V:3 sobrescribe al
ser(idor V:3 debido al n4mero de re(isin de confi'uracin m%s alto. 8=9
S#itc$,Q
AA:=1:=J: WL7NXD1D.3DGHN: 7nterface 5i'abitEt$ernet,BAB,! c$an'ed state to up
S#itc$,Qs$o# (tp status
V:3 Version : 2
onfi'uration <e(ision : 2
Ma*imum VLANs supported locally : ,AA@
Number of e*istin' VLANs : J
V:3 Gperatin' Mode : Ser(er
V:3 Domain Name : buildin',
V:3 3runin' Mode : Disabled
V:3 V2 Mode : Disabled
V:3 :raps 5eneration : Disabled
MD@ di'est : A*J A*2A A*22 A*;, A*2 A*MA A*@D A*22
onfi'uration last modified by ,J2.,?.,.,, at 1D,DM1 AA:1=:,J
Local updater 7D is ,J2.,?.,.,,, on interface Vl, 8lo#est numbered VLAN interface
found9
Nue(o s#itc$ sobrescribiendo un dominio V:3 e*istente
3ara e(itar un dominio V:3 de ser sobrescrito siempre a&adir un nue(o s#itc$
ya sea en el modo V:3 transparente o como un cliente V:3 con un n4mero de
re(isin "ue es inferior "ue el n4mero de re(isin en e*istencia en el dominio V:3.
2.@.? La mejor 3r%ctica para onfi'uracin V:3
Lo si'uiente es una lista de las mejores pr%cticas 'enerales con respeto a la
confi'uracin V:3 en el modelo de red compuesto de la empresa:
/ 3lan de fronteras para el dominio V:3. No todos los s#itc$es en la red necesitan
la informacin sobre todas las VLANs en la red. En el modelo compuesto de la
empresa! el dominio V:3 deber-a ser restrin'ido a s#itc$es de distribucin
redundantes y los s#itc$es de acceso "ue ellos sir(en.
/ :en'a slo uno o dos s#itc$es especificamente confi'urados como ser(idores
V:3 y el resto como clientes.
/ onfi'ure una contrase&a para "ue nin'4n s#itc$ pueda unirse al dominio V:3
con un nombre de dominio solamente 8"ue puede ser deri(ado din%micamente9.
/ onfi'ure manualmente el nombre de dominio V:3 sobre todos los s#itc$es "ue
son instalados en la red para "ue el modo pueda ser especificado y el modo de
ser(idor por defecto sobre todos los s#itc$es pueda ser sobrescrito.
/ uando se esta creando un dominio nue(o! confi'ure los sitc$es cliente V:3
primero para "ue ellos participen pasi(amente. Entonces confi'ure ser(idores para
actuali0ar dispositi(os cliente.
/ En un dominio e*istente! si funciona la limpie0a V:3! confi'ura contrase&as sobre
ser(idores primero. Los clientes pueden necesitar para mantener la actual informacin
VLAN $asta "ue el ser(idor conten'a una base de datos VLAN completa. Despu+s de
"ue la base de datos VLAN sobre el ser(idor es (erificada como completa! las
contrase&as de cliente pueden ser confi'uradas para ser el mismo como los
ser(idores. Los clientes entonces aceptar%n actuali0aciones desde el ser(idor.
7mplementando V:3 en el Modelo de red compuesto de empresa
<esumen