VLANs y Access Port

VLANs y Access Port

Virtual LAN – VLAN

Una VLAN define un dominio de broadcast, nos ayudan a crear redes lógicas dentro de un mismo switch con dominios de broadcast más pequeños, es decir:

VLAN = Subred = Dominio de Broadcast

Un switch de capa 2 nos permite la comunicación entre dispositivos de la misma vlan, para tener comunicación entre vlans diferentes necesitamos un dispositivo de capa 3 (router, switch multicapa, etc.) para poder intercomunicar las vlans. Los dispositivos de capa 3 no reenvían broadcast.

Las vlans nos permiten segmentar nuestra red de acuerdo a patrones de tráfico, tipos de aplicaciones, agrupación de usuarios, mejora la administración y el t-shoot por mencionar algunos.

Tipos de VLAN:

  • Rango normal (id 1-1005, incluyendo las de uso especial, almacenadas en vlan.dat)
  • Rango extendido (id 1006-4094) – El VTP v1 y v2 no las propaga y estas se almacenan en el running-config. Solo el VTP v3 puede propagarlas y debe estar en modo transparente).
  • Uso especial (1,1002-1005). automáticamente se crean y se reservan para usos especiales.

La vlan 1 es la vlan por default para todos los puertos del switch, el rango de la 1002 a 1005 están reservadas para funciones heredadas relacionadas con Token Ring y FDDI, estas vlans no pueden sr eliminadas.

Para crear una vlan utilizamos los siguientes comandos desde el modo de configuración global:

el nombre de la vlan es opcional, si no asignamos ningún nombre a la vlan, dicho nombre será rellenado con ceros, por ejemplo para la VLAN 20 sería VLAN0020. El nombre de la vlan puede ser de hasta 32 caracteres.

Validamos que se hayan creado las vlans en el switch:

Al crear una vlan por default su estado operacional es activo, la vlans se pueden deshabilitar localmente en un switch o de manera global en todo el dominio VTP, veamos cuales son esos comandos.

Deshabilitar/Habilitar una vlan en todo el dominio VTP:

Deshabilitar/Habilitar la vlan localmente en un switch:

Una vez que creamos nuestras vlans a utilizar ahora seguimos con la asiganación de ellas a cada uno de los puertos del switch.

Access Port

Los puertos de acceso solo se asignan a una vlan y están orientados comúnmente a la conexión de usuarios finales o servidores. La asignación de los puertos de acceso puede darse de dos formas:

  • Estático
  • Dinámico

Nuestro caso de estudio lo vamos a enfocar en la asignación de los puertos de acceso de manera estática, al final hablaremos un poco sobre la asignación dinámica.

Asignación estática de puertos de acceso

La asignación de puertos de acceso estáticos es de la siguiente manera:

En switches multicapa es necesario especificar que el puerto trabajará en capa dos antes de asignarlo como un puerto en modo acceso, de caso contrario recibiremos un mensaje como el siguiente:

Para indicarle al switch que el puerto trabajará en capa dos sólo es cuestión de introducir el comando switchport antes de ponerlo en modo acceso, ejemplo:

Nota: cuando se asigna un puerto de acceso a una VLAN, en caso de que la VLAN no exista esta se crea en el archivo vlan.dat con su nombre por default VLANxxxx. Este caso no aplica cuando se permite un tag de vlan en un troncal, en este escenario no se crea la vlan.

Asignación dinámica de puertos de acceso

  • Las VLAN dinámicas proporcionan membership basado en la dirección MAC del dispositivo de usuario final
  • Utilizan una base de datos de un VLAN Membership Policy Server (VMPS)
  • En la base de datos las direcciones MAC del usuario deben de estar asociadas a una vlan.
  • Permiten gran flexibilidad y movilidad para los usuarios finales
  • Requiere mas trabajo administrativo – agregar equipos nuevos, modificar mac de usuarios finales, etc.
  • Requiere que el trunking y 802.1x estén apagados

 

Mas información en:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_3750x_3560x_cg/b_1524e_consolidated_3750x_3560x_cg_chapter_010100.html

 

About the author

Related Posts

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *