Resumen Sesion 06 - Red de área local virtual PDF

Preview

Summary

Red de área local virtual ...

Description

SESIÓN 06 DESCRIPCIÓN Red de área local virtual El rendimiento de la red es un factor importante en la productividad de una organización. Una de las tecnologías que contribuyen a mejorar el rendimiento de la red es la división de los grandes dominios de difusión en dominios más pequeños. Por una cuestión de diseño, los routers bloquean el tráfico de difusión en una interfaz. Sin embargo, los routers generalmente tienen una cantidad limitada de interfaces LAN. La función principal de un router es trasladar información entre las redes, no proporcionar acceso a la red a las terminales. Esta función suele reservarse para los switches de capa de acceso. Se puede crear una red de área local virtual (VLAN) en un switches de capa 2 para reducir el tamaño de los dominios de difusión, similares a los dispositivos de capa 3. Por lo general, las VLAN se incorporan al diseño de red para facilitar que una red dé soporte a los objetivos de una organización. Si bien las VLAN se utilizan principalmente dentro de las redes de área local conmutadas, las implementaciones modernas de las VLAN les permiten abarcar redes MAN y WAN. Debido a que las VLAN segmentan la red, es necesario un proceso de capa 3 para permitir que el tráfico pase de un segmento de red a otro. En esta sesión describiremos cómo configurar y administrar VLAN y enlaces troncales de VLAN, así como resolver problemas relacionados. Posteriormente revisaremos la acción de implementar el routing entre VLAN mediante un router.

CAPACIDAD Configura en un switch el acceso remoto seguro, la seguridad de puerto y la segmentación de red de área local usando VLAN’s.

TEMÁTICA  Segmentación de VLAN  Implementaciones de VLAN  Enrutamiento entre VLAN con routers

1. Segmentación de la red implementando VLANs

Los switches LAN permiten reducir el tamaño de los dominios de colisión mejorando notablemente la performance de las redes Ethernet y posibilitando la operación en modo full dúplex. Esto sin dudas es una mejora notable en el diseño y operación de la red. Sin embargo, los switches LAN no logran por sí mismos acotar el tráfico de broadcast ya que son transparentes a este tipo de tráfico. Y esto es un tema a resolver en nuestras redes actuales, tanto por las implicancias de seguridad como por su impacto en el rendimiento de la red. Es por esto de gran importancia la implementación de VLANs (Virtual LANs). Las VLANs son agrupaciones lógicas de puertos del switch que dividen la red en diferentes dominios de broadcast. Cada VLAN constituye un dominio de broadcast diferente. Los dispositivos que pertenecen a una VLAN solo se comunican con los que están dentro de la misma VLAN. Para poder establecer una comunicación entre VLANs diferentes es preciso hacerlo a través de un dispositivo de capa 3, como un router. Esto implica que es posible controlar con mayor precisión los flujos de tráfico dentro de la red. Ilustración 1: VLAN = Agrupamiento de puertos

Fuente tomada de: El autor

1.1 Beneficios de la implementación de VLANs  Reducen los costos de administración.  Controlan el broadcast.  Mejoran la seguridad de la red.  Permiten agrupar de manera lógica a los usuarios de la red.

1

1.2 Modos de membrecía VLAN Se conoce con la denominación de “membrecía VLAN” a la forma por la cual se define la pertenencia o no de un puerto del switch a una VLAN en particular. Las formas básicas de membrecía VLAN son:  Estática. La asignación del puerto a una VLAN específica es realizada por el Administrador manualmente y sólo puede ser modificada por él. La asignación de la VLAN es independiente del usuario o sistema que se conecta a cada puerto. Se denominan también VLANS centradas en el puerto o basadas en el puerto.  Dinámica. Requiere de un VLAN Membership Policy Server (VMPS) o servidor de políticas de gestión de VLANs. En esta modalidad cada puerto es asignado a una VLAN en función de un parámetro variable como puede ser la dirección MAC de la terminal o el usuario conectado utilizando la terminal conectada a ese puerto. El VMPS puede ser tanto otro switch (Catalyst 5000 por ejemplo) como un servidor externo.  Voice VLAN. Es una característica de los switches Cisco Catalyst que permite incorporar una VLAN auxiliar asociada a una VLAN de datos. Los teléfonos IP de Cisco están equipados con un switch interno que permite conectar una terminal (que utiliza una VLAN de datos) al teléfono (que utiliza una VLAN de voz), que a su vez se conecta a un switch. Cuando se opera con switches de otros fabricantes se utiliza un puerto troncal para transportar ambas VLANs; cuando se utiliza un switch Catalyst se puede utilizar una VLAN auxiliar en el puerto de acceso para transportar la VLAN de voz, que recibe el nombre de Voice VLAN, sin necesidad de configurar un troncal.

1.3 Tipos de puertos o enlaces Al implementar VLANs hay que considerar dos tipos de puerto o enlaces:  Puertos de acceso. Son los puertos que se conectan a los equipos terminales y que pertenece a una única VLAN, que se denomina VLAN del puerto.  Puerto troncal. Son enlaces que conectan dispositivos entre sí. Permiten el transporte de varias VLANs a través de la infraestructura de la red manteniendo sus identidades. Son también llamados puertos de backbone. Para configurar este tipo de puertos se utiliza el protocolo de troncal que define al puerto como troncal y activa en él diferentes protocolos de identificación de VLANs.

1.4 Tomar siempre en cuenta:  Por defecto todos los puertos de los switches Cisco Catalyst están asignados a la VLAN 1 (la única VLAN creada por defecto).  Todos los switches Catalyst tienen una VLAN de gestión o management, que por defecto es la VLAN 1.

2

 Sólo se puede acceder al dispositivo utilizando telnet o SSH a través de los puertos asignados a la VLAN de gestión.  La VLAN de gestión por defecto es la VLAN 1. Se puede cambiar la VLAN de gestión, pero la VLAN 1 no se puede borrar.  En los switches Catalyst por la VLAN 1 se envían las publicaciones de CDP, VTP y SNMP.  Por lo menos un puerto debe quedar asignado a la VLAN de gestión si se desea gestionar el switch de modo remoto.  Si bien no es obligatorio, es una práctica recomendada la asignación a cada VLAN de una red o subred IP diferente (mapear capa 3 a capa 2) para la configuración IP de los dispositivos conectados. Esto permite a posteriori el enrutamiento entre VLANs.  La dirección IP del switch debe pertenecer a la red o subred de la VLAN de gestión, por defecto a la VLAN 1.  La cantidad máxima de VLANs que pueden configurarse depende exclusivamente de las características del dispositivo. En la teoría es posible configurar hasta 4096 VLANs.  Una VLAN puede ser creada en un dispositivo sin necesidad de asignar ningún puerto del dispositivo a esa VLAN.  Si un puerto se retira de una VLAN y no es asignado a otra, queda inoperable hasta tanto sea nuevamente asignado a una VLAN.  Si se elimina una VLAN, todos los puertos que estaban asignados a ella quedan inoperables ya que han quedado asignados a una VLAN que ya no existe.

2. Enlace troncal

Se denomina enlace troncal (en inglés trunk link) a un enlace punto a punto que transporta múltiples VLANs brindando una solución escalable para interconectar principalmente switches. Permite optimizar el empleo de los enlaces disponibles, ya que de lo contrario se requeriría de un enlace por cada VLAN que se desea transportar entre dispositivos. Su implementación acarrea los siguientes beneficios, entre otros:  Disminuye el requerimiento de puertos físicos para mantener comunicadas terminales que pertenecen a la misma VLAN en diferentes switches.  Permite un manejo más eficiente de la carga de tráfico. Un enlace troncal se establece activando la funcionalidad de puerto troncal en los puertos ubicados en cada extremo del enlace. Los puertos del switch Catalyst 2960 están por defecto en modo “dynamic auto”, es decir, implementan el protocolo DTP en función del cual, si detectan en el otro extremo del cable una terminal, trabajan en modo acceso; si detectan en el otro extremo un puerto troncal, pasan a modalidad troncal.

3

Se puede implementar sobre enlaces que conectan punto a punto dos switches, un switch con un router o con un servidor. En los dos últimos casos, tanto el router como la placa del servidor deben soportar el modo troncal y los protocolos de identificación de VLANs, típicamente IEEE 802.1Q.

Ilustración 2: Enlace troncal y puerto tyroncal

Fuente tomada de: El autor La cantidad total de VLANs que pueden transportar depende del protocolo de etiquetado de tramas que se implemente. Al habilitar un puerto como troncal en un switch Catalyst por defecto transporta todas las VLANs configuradas en el switch. Si no se desea que todas las VLANs circulen por ese enlace se deberán excluir las VLANs no deseadas. Los puertos troncales de un switch Catalyst utilizan por defecto el protocolo DTP (Dynamic Trunk Protocol) para negociar el establecimiento de enlaces troncales. En consecuencia, los puertos de los switches Catalyst pueden ser configurados en uno de los siguientes 5 estados:  Dynamic auto. Es la opción por defecto. Permite que el puerto se convierta en un troncal sólo si el puerto vecino al que se encuentra conectado está en modo trunk o desirable.  Dynamic desirable. Hace que el puerto intente activamente colocarse como troncal. Sólo pasará a ser un troncal si el puerto vecino al que se encuentra conectado está en modo trunk, desirable

 Trunk. Coloca al puerto en modo troncal permanentemente y envía periódicamente paquetes DTP para negociar con el puerto vecino a fin de colocar el enlace en modo troncal. El puerto se colocará como troncal aun cuando el puerto vecino no acepte el cambio.  Acceso. Define el puerto como un puerto de acceso.  Nonegotiate. Suprime la operación de DTP en ese puerto, por lo que la configuración de troncales deberá hacerse manualmente. No envía ni negocia ningún tráfico DTP. El puerto vecino deberá ser configurado como troncal manualmente.

4

Para permitir el transporte de tramas pertenecientes a diferentes VLANs sobre un único enlace físico, manteniendo la división lógica de los diferentes dominios de broadcast, es necesario implementar un protocolo que permita identificar claramente la pertenencia de cada trama a su respectiva VLAN. Con este propósito se implementa el etiquetado de tramas. Este mecanismo requiere que cada trama sea identificada por su origen indicando a que VLAN pertenece la misma. Hay dos métodos diferentes para la marcación de la trama:  ISL (Inter-Switch Link). Protocolo propietario de Cisco. Sólo funciona sobre enlaces FastEthernet o GigabitEthernet. Implementa el encapsulado de tramas ya que opera agregando un nuevo encabezado y CRC de capa 2 a la trama.  IEEE 802.1Q. Protocolo Estándar de la IEEE. Implementa el etiquetado de tramas. Para identificar la VLAN inserta un nuevo campo de información en el encabezado de la trama.

3. IEEE 802.1Q

Protocolo estándar de la IEEE que utiliza un mecanismo de señalización interno ya que el marcador (tag) es insertado dentro de la estructura del encabezado de la trama Ethernet antes de ser enviada a través del enlace troncal. Este marcador es eliminado cuando la trama abandona el backbone para ser enviada a la estación destino Es lo que se denomina propiamente etiquetado de la trama. Ilustración 3: Trama Ethernet Dirección de Destino

Dirección de Origen

Tipo

Datos

FCS

Fuente tomada de: El autor Ilustración 4: Etiquetado 802.1Q Dirección de Destino

Dirección de Origen

TAG

Tipo

Datos

FCS

Fuente tomada de: El autor Este mecanismo introduce una modificación de la trama original agregando un marcador de 4 bytes y recalculando en consecuencia el FCS, que ya no será el original de la trama Ethernet.

5

Ilustración 5: Protocolo 802.1Q

Fuente tomada de: El autor De esta manera, el tamaño mínimo de una trama Ethernet marcada con 802.1Q es de 68 bytes, y el tamaño máximo es de 1522 bytes (1518 es el tamaño máximo de una trama Ethernet). 802.1Q permite trasportar hasta 4096 VLANs ya que utiliza 12 bits para identificar la VLAN. Los switches Catalyst 2960 soportan únicamente 802.1Q. Dada la estructura de la etiqueta o tag, permite identificar hasta 8 diferentes clases de tráfico, lo que también hace adecuado este protocolo para la implementación de QoS. Implementa el concepto de VLAN nativa. La VLAN nativa es una VLAN que no aplica etiquetado de tramas, y que por lo tanto es transportada sobre los troncales sin ser identificada. De esta forma, todo tráfico no etiquetado que ingresa al troncal será derivado a la VLAN nativa.

6

Ilustración 6: Como etiqueta 802.1Q el tráfico de VLAN 10 & VLAN nativa

Fuente tomada de: https://ippacket.com.au/lesson/vlan-trunks-part-three-native-vlan/

4. Configuración de VLANs.

4.1 Creación de VLANs Switch_2960#config t Enter configuration commands, one per line. End with CNTL/Z. Switch_2960 (config)#vlan 2

Crea una nueva VLAN e ingresa al modo de configuración de esa misma VLAN. Si la VLAN ya estuviera creada, permite ingresar a la configuración de los parámetros de esa VLAN. Switch_2960 (config-vlan)#name PRUEBA

Asigna un nombre para identificar la VLAN. Switch_2960 (config-vlan)#^Z %SYS-5-CONFIG_I: Configured from console by console Switch_2960#_

7

El nombre que se configura no es el ID de la VLAN. El ID es el número que se utilizó al momento de crearla.

4.2 Asignación de puertos a las VLANs. Switch_2960#configure terminal Enter configuration commands, one per line. End with CNTL/Z Switch_2960(config)#interface fastEthernet 0/4 Switch_2960(config-if)#switchport mode access

Define el modo en que operará el puerto. En este caso el puerto operará en modo acceso. Switch_2960(config-if)#switchport access vlan 2

Asigna el puerto de acceso a una VLAN específica. Se recomienda crear la VLAN antes de asignar los puertos a ella. Switch_2960(config-if)#no switchport access vlan 2

Remueve a este puerto de la VLAN que se identifica. ¡Importante!: La interfaz removida no es asignada automáticamente a ninguna VLAN, y estará inoperable. Para que vuelva a ser utilizable se la deberá incorporar a la VLAN 1 o alguna otra.

4.3 Comandos para verificar la asignación de puertos Switch_2960#show vlan

Permite revisar las VLANs creadas en un switch y los puertos asignados a cada VLAN. Los puertos definidos como troncales no aparecen en el listado de puertos. VLAN Name Status Ports ---- ----------------------- --------- ---------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5 2 PRUEBA active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridNo Stp BrdgMode Trans1 Trans2 ---- ---- ---- ---- ----- ------ ------ --- -------- ------ -----1 enet 100001 1500 0 0 2 enet 100002 1500 0 0 1002 fddi 101002 1500 0 0 1003 tr 101003 1500 0 0 1004 fdnet 101004 1500 ieee 0 0

8

1005 trnet 101005 1500

-

-

-

ibm

-

0

0

Switch_2960#show vlan brief VLAN Name Status Ports ---- ----------------------- --------- ---------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5 2 PRUEBA active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active

Switch_2960#show vlan id [#]

Permite revisar exclusivamente la información que corresponde a la VLAN cuyo ID se especifica.

5. Configuración de puertos troncales

Switch_2960(config)#interface fastEthernet 0/1 Switch_2960(config-if)#switchport trunk encapsulation [dot1q/isl]

Configura el puerto troncal para utilizar encapsulación ISL u 802.1Q. Este comando está disponible solamente en switches que soportan los dos protocolos de etiquetado de tramas (802.1Q e ISL). Este comando no está disponible en switches Catalyst 2960 ya que solamente soportan encapsulación 802.1Q. Switch_2960(config-if)#switchport mode trunk

Define el modo del puerto como troncal, para permitir su operación como puerto troncal. Los switches Catalyst soportan la configuración manual de enlaces troncales o su negociación utilizando DTP (Dynamic Trunking Protocol).

5.1 Monitoreo de los puertos troncales Switch_2960#show interface GigabitEthernet 0/1 switchport

Permite verificar el modo en que se encuentra un puerto en particular. Name: Gi0/1 Operational Mode: trunk

9

Indica que el puerto está operando en modo troncal. Administrative Trunking Encapsulation: 802.1q Operational Trunking Encapsulation: 802.1q

Indica que se está utilizando encapsulación 802.1Q para la identificación de VLANs en el troncal. Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: NONE Pruning VLANs Enabled: NONE Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none Switch_2960#show interfaces trunk

Muestra una síntesis de los puertos que se encuentran configurados en modo troncales y el tipo de encapsulación que está utilizando cada uno Port Mode Encapsulation Gi0/1 on 802.1q Gi0/2 on 802.1q

Status trunking trunking

Native vlan 1 1

6. Configuración de un “router on stick”

Al implementar VLANs en una red conmutada en capa 2 se generan múltiples dominios de broadcast. Entre los efectos inmediatos de esta implementación se cuenta la división del tráfico total de la red generando múltiples redes virtuales que conviven sobre una misma infraestructura física. Ilustración 7: Enrutamiento InterVLAN tradicional

10

Fuente tomada de: El autor Simultáneamente y como fruto de esta segmentación no hay posibilidad de establecer una comunicación entre nodos que se encuentran en diferentes VLANs de la red. Sin embargo, el diseño contemporáneo de redes LAN tiende a una infraestructura en la que más del 90% del tráfico está dirigido hacia fuera de la VLAN en la que se encuentra la terminal. Esto es debido a que los servidores están concentrados por motivos de gestión y seguridad en granjas de servidores o data centers, y buena parte del tráfico se canaliza hacia Internet o la red WAN. En consecuencia, luego de segmentar el tráfico utilizando VLANs para mejorar el rendimiento y la seguridad, suele ser necesario establecer comunicación entre nodos alojados en diferentes VLANs. Para esto se requiere contar con varios elementos:  Mapear cada VLANs a diferentes subredes. Es decir, hacer coincidir cada una de las VLANs con una subred diferente.  Todos los enlaces entre dispositivos (switch a switch o switch a router) han de ser enlaces troncales.  Implementar dispositivos de ruteo en capa 3. De esta forma, el tráfico que se divide en VLANs en la capa 2 puede ser filtrado y enrutado a nivel de la capa 3.  Si al dispositivo de ruteo se llega con un enlace troncal, en el puerto conectado al enlace troncal se deberán configurar interfaces virtuales (subinterfaces). Una subinterfaz por cada VLAN que se debe enrutar a través del dispositivo. Cuando para la tarea de enrutar las múltiples VLANs se utiliza un router, la implementación recibe el nombre de “router on stick”. De esta forma todo el enrutamiento se resuelve en un único dispositivo capa 3. Su implementación es simple: Ilustración 8: Enrutamiento InterVLAN Router on-a-stick

Fuente tomada de: El autor

11

 Un enlace troncal une el switch con el router.  El router tiene una sub-interfaz para definir el gateway de cada una de las VLANs...