Manejo de VLANs en Switches Cisco
Cisco es el fabricante de equipos de telecomunicaciones de voz y data más importante del mercado. En Canó Academy somos academia Cisco.
Existen 2 tipos de redes, las redes físicas y las redes virtuales. Las redes físicas son las que manejamos en equipos con puertos en un mismo dominio de broadcast (difusión). Por ejemplo, si conectas un switch a una interfaz de un router generando un DHCP, ese dominio de broadcast se distribuirá en todos los puertos del equipo. Si conectas otro puerto con un dominio de broadcast distinto generando un segundo DHCP, tendrás una red independiente. El router como conoce las 2 redes, creará una ruta conectada y los 2 dominios de broadcast se podrán alcanzar, siempre y cuando no tengamos una regla que lo evite.
En la siguiente gráfica tenemos 2 dominios de broadcast distribuidos por puertos distintos como mencionamos anteriormente.
Este método tiene un problema y es la escalabilidad. Los switches para expandir su dominio de broadcast se interconectan entre si dependientes uno del otro. Un switch no administrable no puede tener varios puertos con 2 redes distintas si queremos segmentar cámaras, data, telefonía u otro tipo de red. Si aceptamos este despliegue, nuestra red será plana (única) con un DHCP colectivo para todos los servicios. Esto no es recomendado en redes con una política de seguridad establecida.
En este escenario, la red del WiFi corporativa o los usuarios del WiFi de invitados, tendrán acceso a los servidores principales de la empresa. Podrán realizar ataques maliciosos, robo de claves, intentos de autenticación en servidores de cámaras, controles de acceso y demás. Para evitar esto necesitamos switches administrables que pueda crear VLANs y varios features adicionales.
VLAN (Virtual Local Area Network)
El otro tipo de red es la red virtual o VLAN. Esta red especial se trabaja en switches administrativos exclusivamente. Un switch sencillo, de casa o pequeña oficina, no tiene las funcionalidades que manejan esta gama de equipos. Vamos a explicar cómo funcionan las VLANs.
Las VLAN, o Virtual Local Area Networks, son una tecnología que permite la creación de múltiples redes virtuales en una misma infraestructura física de red. Estas redes virtuales pueden ser utilizadas para separar los distintos departamentos o equipos de una empresa, o para mejorar la seguridad y el control de acceso a la red.
El funcionamiento de las VLAN se basa en la capacidad de los switches de red para clasificar y segmentar los paquetes de datos según su dirección MAC. Cada paquete es asignado a una VLAN determinada, lo que permite crear redes virtuales distintas.
Además, las VLAN también permiten la creación de redes virtuales que trabajen de forma independiente, lo que significa que los paquetes de datos de una VLAN no pueden ser accedidos desde otras VLAN. Esto aumenta la seguridad y el control de acceso a la red.
Puertos troncales para Vlans
Los puertos troncales para VLANs son puertos especiales en los switches que se utilizan para conectar varios switches y permitir la comunicación entre diferentes redes virtuales. Estos puertos son esenciales para el funcionamiento de las VLANs y permiten la transmisión de paquetes de datos entre diferentes redes virtuales.
El funcionamiento de los puertos troncales es bastante simple. Cuando un paquete de datos llega a un puerto troncal, el switch inspecciona el encabezado del paquete y determina a qué VLAN pertenece. Luego, el switch etiqueta el paquete con el VLAN ID correspondiente y lo envía a su destino.
Esta etiquetación es importante porque permite a los switches en el camino determinar a qué VLAN pertenece el paquete y decidir a dónde debe ser enviado. De esta manera, los puertos troncales permiten la comunicación entre diferentes VLANs, lo que permite una gestión más eficiente de la red.
los puertos troncales también se pueden utilizar para crear un enrutamiento inter-VLAN, lo que permite a los usuarios comunicarse entre diferentes VLANs. Esto se logra mediante la configuración de un router para que funcione como un puente entre diferentes VLANs.
Configuración de Vlans con dhcp en switch administrable
- Crear las VLANs:
Primero, creamos las tres VLANs en el switch. Para ello, ingresamos al modo de configuración global y ejecutamos los siguientes comandos:
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name VLAN10
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name VLAN20
Switch(config-vlan)# exit
Switch(config)# vlan 30
Switch(config-vlan)# name VLAN30
Switch(config-vlan)# exit
- Asignar puertos a las VLANs:
A continuación, asignamos los puertos a las VLANs correspondientes. Por ejemplo, supongamos que los puertos 1-10 están destinados a la VLAN10, los puertos 11-20 a la VLAN20 y los puertos 21-30 a la VLAN30. Para hacerlo, ejecutamos los siguientes comandos:
Switch(config)# interface range gigabitEthernet 1/0/1-10
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit
Switch(config)# interface range gigabitEthernet 1/0/11-20
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# exit
Switch(config)# interface range gigabitEthernet 1/0/21-30
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 30
Switch(config-if-range)# exit
- Configurar el servidor DHCP:
Ahora, configuramos el servidor DHCP en el switch para cada VLAN. Para ello, ingresamos al modo de configuración global y ejecutamos los siguientes comandos:
Switch(config)# ip dhcp pool VLAN10
Switch(dhcp-config)# network 10.0.10.0 255.255.255.0
Switch(dhcp-config)# default-router 10.0.10.1
Switch(dhcp-config)# dns-server 8.8.8.8
Switch(dhcp-config)# exit
Switch(config)# ip dhcp pool VLAN20
Switch(dhcp-config)# network 10.0.20.0 255.255.255.0
Switch(dhcp-config)# default-router 10.0.20.1
Switch(dhcp-config)# dns-server 8.8.8.8
Switch(dhcp-config)# exit
Switch(config)# ip dhcp pool VLAN30
Switch(dhcp-config)# network 10.0.30.0 255.255.255.0
Switch(dhcp-config)# default-router 10.0.30.1
Switch(dhcp-config)# dns-server 8.8.8.8
Switch(dhcp-config)# exit
- Verificar la configuración:
Finalmente, verificamos que la configuración haya sido exitosa ejecutando los siguientes comandos:
Switch# show vlan brief
Switch# show interfaces status
Switch# show ip dhcp binding
Configuración de puerto troncal para 2 switches
Vamos a configurar los puertos troncales para interconectar 2 switches permitiendo las vlans 10,20,30.
- Configurar el puerto en ambos switches Primero, debes asegurarte de que el puerto que conectará ambos switches esté configurado para permitir múltiples VLAN. Para hacer esto, entra en modo de configuración de interfaz para el puerto en ambos switches y ejecuta el siguiente comando:
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport mode trunk
Configurar el puerto en modo trunk
Switch(config)# interface gigabitethernet1/0/24
Switch(config-if)# switchport mode trunk
Configurar VLANs permitidas
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Verificar la configuración
Switch(config-if)# end
Switch# show interfaces trunk
Repetir los comandos para el segundo Switch y conectarlos vía el puerto troncal en el 24. Recordar que cada switch tiene una nomenclatura de nombres para sus puertos que puede ser distinta.