net 101 switching
DESCRIPTION
explicación de switches ciscoTRANSCRIPT
Switching
1. Servicios de un switchHasta ahora se pudo ver que los switches tienen diferentes características,
Los switchs de capa 2 presentan un menor costo. Presentan una menor latencia en los enlaces. Eliminar dominios de colisión, ya que a diferencia de los hubs, este equipo nos ayuda con
la segmentación de la red. Brindar un ancho de banda dedicado para las comunicaciones y proveer de enlaces del
tipo full-duplex para realizar comunicaciones más eficientes. Aprender direcciones MAC, esto lo realizan por medio del hardware que poseen. Los
switches actuales utilizan los circuitos ASICs (application-specific integrated circuits) para ello.
Gestionar el tráfico de manera más rápida que un router, ya que solo trabaja con el encabezado de capa 2 para reenviar/filtrar, inundar o eliminar la trama recibida.
Eliminar las redundancias que se puedan producir a consecuencia de tener enlaces de respaldo por medio del STP (Spanning Tree Protocol).
De las anteriores las principales funciones que un switch tiene son:
Aprender direcciones MAC. Reenviar/filtrar el tráfico. Eliminar bucles por medio del STP.
Antes ya habíamos visto como los swithes aprender direcciones MAC, además de cómo estos reenvían, filtran o eliminan el tráfico que les llega. Ahora nos enfocaremos en el estudio propio del STP y servicios que pueden ofrecer los switch.
1.1 Half y Full DuplexComo se había visto anteriormente las comunicaciones a través de los cables Ethernet pueden ser de dos maneras, half-duplex y full-duplex. En half-duplex la comunicación se realiza en un solo sentido, es decir, que el equipo solo puede transmitir o recibir la comunicación pero no ambas. En esencia funciona como los walkie-talkie. Cuando se transmite al mismo tiempo se origina una colisión en el medio y nadie escucha a nadie.
Una conexión del tipo full-duplex es una comunicación que se realiza en ambos sentidos, es decir que se puede transmitir y recibir al mismo tiempo. Un ejemplo de esto es la comunicación telefónica donde ambos extremos pueden transmitir y recibir.
Cuando se realiza una conexión del tipo full-duplex, lo primero que realizan los puertos es negociar entre ellos, para poder luego estable conexión en modo full-duplex, a es to se llama mecanismo de
auto-detección. Este mecanismo se ocupa de revisar a la velocidad que puede trabajar el enlace, 10, 100, 1000 Mbps. Posteriormente revisa si puede trabajar en modo full-duplex, si este último fallase, entonces el enlace solo trabaja en half-duplex. Generalmente esto ocurre porque los dispositivos no pueden trabajar en este modo.
En el modo half-duplex no existen colisiones, debido a que se transmite (Tx) por el par trenzado blanco/verde, verde y se recibe (Rx) por el par blanco/naranja, naranja.
Ilustración 1. Par trenzado de Tx y Rx.
2. Interfaces
2.1 Bridge Protocol Data Unit (BPDU) y Estado de las interfacesLos BPDUs son frames que se envían entre los switch de una red, estos alertan a los otros equipos del estado de sus interfaces, ayudando de esta manera a mantener una red convergente.
Los switch por defecto tienen siempre sus interfaces activadas, por lo cual al momento de conectar un nuevo dispositivo o equipo al puerto, este empieza un proceso de activación del puerto, pasando por diferentes estados. Estos estados ayudan a la conformación del STP para la mitigación de loops que se puedan originar.
Bloqueado. Este puerto no re envía los frames que recibe, solo escucha los BPDUs que recibe, de esta manera previene que se cree un loop en la red. Por defecto todos los puertos de un switch se encuentran en este estado al momento de encender el mismo.
Escuchando. Cuando el puerto se encuentra en este estado, lo que hace es escuchar los BPDUs mientras se va armando el STP, de igual manera no va almacenando las direcciones MAC y no reenvía los frames recibidos.
Aprendiendo. El puerto empieza a almacenar las direcciones MAC llenando su tabla de direcciones, para esto escucha a los BPDUs que atraviesan la red conmutada, de esta manera va armando la misma. La transición de paso de Escuchando a Aprendiendo tiene una duración de 15 segundos por defecto.
Enviando. Los puertos se encuentran completamente operativos.
Cuando los puertos de un switch se desconectan por un periodo muy corto de tiempo, el switch por el Spanning Tree Protocol (STP), no permite que el puerto este operativo inmediatamente, si no espera un tiempo de 50 segundos aproximadamente para hacer que el puerto este operativo nuevamente. (Estos 50 segundos son el cambio de los cuatro estados de las interfaces de un switch). Para evitar este retardo se utiliza el PortFast, donde su principal función es colocar el puerto de bloqueado a enviando directamente, sin pasar por los otros estados.
Cabe recalcar que la función del PortFast está deshabilitada en todos los equipos, además que solo debe ser configurada en los puertos de acceso y no así entre los equipos de comunicación. Para configurar el PortFast utilizamos el comando spanning-tree portfast desde modo de configuración de interface.
Ilustración 2. Cuando utilizar PortFast.
3. STP (Spanning Tree Protocol)El STP es un protocolo que ayuda a la eliminación y/o prevención de bucles en la red, que se puedan formar a causa de tener enlaces redundantes para brindar un servicio constante en la red. El STP está regido por la norma IEEE 802.1D.
STP trabaja por medio de los BPDUs, en sentido de que los switch constantemente se mandan los mismos para actualizar el árbol.
3.1 Terminología Root Bridge, es el bridge que posee el menor Bridge ID. El bridge que es elegido como
Root Bridge se convierte en el eje principal del STP. Non Root Bidges, estos son todos los otros equipos que no fueron asignados como Root
Bridge. Estos intercambian paquetes BPDUs entre todos los switches para mantener la base de datos del STP actualizada y evitar la formación de bucles.
Bridge ID, es la forma que utiliza STP para mantener un monitoreo en la red. Está determinado por la prioridad del bridge que por defecto es 32768 en todos los switches Cisco y por la dirección MAC del equipo. El bridge que tenga el menor bridge ID, es el que se convierte en el root bridge. Una vez que se establece el root bridge, todos los otros equipos deben realizar o tener un camino único hacia este.
Port Cost, determina el mejor camino cuando múltiples enlaces son utilizados entre dos switches. El costo del enlace es determinado por el ancho de banda del enlace, y este valor es el decisivo para encontrar el correcto más eficiente hacia el root bidge.
Path Cost. Un switch puede encontrar más de un camino hacia el bridge raíz, cada uno de estos caminos es analizado individualmente para saber cuál es el más eficiente. Para calcular el costo del mejor camino, se utiliza el port cost de cada enlace hasta el root bridge.
Velocidad Costo10 Mbps 100
100 Mbps 191000 Mbps 4
10000 Mbps 2Tabla 1. Costo de los Enlaces en STP.
Convergencia. Cuando todos los equipos dentro la red obtienen una visión común de la misma. En el caso del STP es cuando el mismo ya se ha formado completamente.
3.2 Roles de los puertos en STPEstos roles le indica cómo se está llevando a cabo el STP en cada uno de los switches que están interconectados.
Puerto raíz; es el enlace que tiene el menor costo (Path Cost), hacia el bridge root. Si más de un enlace se conecta hacia el bridge root, entonces el costo de cada puerto se determina por el ancho de banda de cada puerto.
Puerto designado; se determina sabiendo quien tiene el mejor costo (o el más bajo), para ese segmento de red en específico. Un puerto designado tendrá un estado de enviando para ese enlace. Por enlace solo se permite un puerto designado.
Puerto no designado; es aquel puerto que tiene el mayor costo en referencia al puerto designado. Básicamente estos puertos son los que quedan después de que se designaron los puertos raíz y designados. Esos puertos asumen los roles de descartado o bloqueado y no son puertos con estado de enviando.
Puertos de envío; estos puertos reenvían los frames y podrán ser puertos raíz o designados.
Puerto bloqueado; este puerto no reenviará los frames y de esta manera evita la formación de loops. Este puerto sin embargo continuará escuchando los frames BPDU de los otros switches.
o Puerto alterno; corresponde de igual manera al estado del puerto bloqueado de STP, sin embargo es un término nuevo utilizado por el 802.1W (RSTP). Se utiliza este término cuando un switch, se conecta a una LAN que tenga más de dos switches y uno de estos switches tenga un puerto designado hacia este.
o Puerto de respaldo; al igual que el anterior, corresponde al puerto bloqueado de STP, sin embargo es un término nuevo utilizado por el 802.1W (RSTP). Implica que uno de los puertos está conectado a la LAN y otro está como puerto designado.
3.3 Formación del STPPara la conformación del STP, se necesitan realizar cuatro pasos.
1. Determinar el bridge raíz; para esto debemos revisar el menor bridge ID, que está conformado por la prioridad del switch y su dirección MAC. Recordemos que el valor por defecto de la prioridad es 32768. Si todas las prioridades son las mismas, entonces verificamos que equipo tiene la menor dirección MAC, al ser esta única, siempre se tendrá un equipo que será el bridge raíz. Sin embargo el valor de la prioridad se puede modificar de acuerdo a la necesidad de la red.
2. Identificar los puertos designados; estos puertos se encuentran siempre en el switch que posee el menor Bridge ID de un enlace o de la red. En el caso del bridge raíz, todos sus puertos son designados hacia los otros switches que tenga directamente conectados, estos puertos se encuentran en el estado de enviando.
3. Identificar los puertos raíz; estos puertos se encuentran en los switches que tienen el mayor bridge ID, generalmente un puerto que se encuentra etiquetado como puerto raíz, es dependiente de un puerto en otro switch que es designado como puerto designado. Estos puertos son dependientes del puerto designado.
4. Bloqueo; se deben bloquear aquellos puertos que tengan el mayor bridge ID y que su switch ya tenga un enlace previamente formado hacia otro equipo. Generalmente se ponen en estado de bloqueo a los puertos raíz que como ya se mencionó anteriormente generan enlaces redundantes en la red.
Para un mejor entendimiento seguiremos el siguiente ejemplo que se muestra en la ilustración 3, donde tenemos 4 switches con sus respectivas direcciones MAC.
En el primer paso que vimos, debemos determinar el menor bridge ID para saber quién es el bridge raíz. Si los equipos son nuevos y no se realizó ninguna configuración sabemos que su prioridad es de 32768, entonces al tener los cuatro equipos la misma prioridad verificamos sus direcciones MAC, donde encontramos que el switch1 tiene la menor, por ende nombramos a este como bridge raíz.
Ilustración 3. Cálculo del Spanning Tree Protocol
Siguiendo con el paso 2, debemos identificar los puertos designados para los enlaces del switch1 hacia los switches 0 y 3. Si observamos nuevamente los bridges ID de los switches 0, 1 y 3, veremos que el menor lo tiene el switch1, por ende ambos puertos de este son puertos designados y se encuentran en estado de forwarding. Esto lo podemos comprobar con ayuda del comando show spanning-tree dentro el switch1 como se puede verificar en la ilustración 5. Recordemos que podemos identificar que switch es el bridge raíz, viendo que todos sus puertos están como designados y en estado de forwarding.
Ilustración 4. Cálculo del Spanning Tree Protocol
Ilustración 5. Verificación del STP. Bridge raíz y puerto designado
Ahora determinaremos el puerto raíz para el enlace entre los switches 0 y 1. Si observamos nuevamente el bridge ID, sabemos que el switch 0 tiene el mayor, por ente su puerto resulta siendo el puerto raíz. De igual manera podemos verificar esto con ayuda del comando show spanning-tree dentro del switch0 como se ve en la ilustración 7. Realizamos el mismo procedimiento para el enlace entre los switches 1 y 3.
Ilustración 6. Cálculo del Spanning Tree Protocol
Ilustración 7. Verificación del STP. Puerto Raíz Switch0
Ilustración 8. Verificación del STP. Puerto Raíz Switch3
De la ilustración 6 vemos que ya tenemos identificados los enlaces entre los switches 0, 1 y 3, sin embargo tenemos dos enlaces pendientes que interconectan a los switches 0 y 3 con el 2. Para identificar el estado de sus puertos volvemos al paso 1 y analizamos para cada enlace los puertos designados y raíz.
En el enlace entre los switch 2 y 3, verificamos quien de estos tiene el menor bridge ID, se puede ver que el switch3 tiene el menor, (0002.1726.C04B es menor a 00E0.F7AA.4D38), por ende el puerto de este será el designado y puesto que el switch2 tiene el mayor bridge ID este tendrá el puerto para este enlace como puerto raíz. Realizamos el mismo procedimiento para el enlace entre los switches 2 y 0, donde nuevamente comparamos el bridge ID de ambos dispositivos, ya que la prioridad es la misma entonces vemos las direcciones MAC, de donde se determina que el switch0 tiene el menor bridge ID. Entonces el puerto de este switch pasará a ser designado y nuevamente el puerto del switch2 será el puerto raíz. Esto lo verificamos como se muestra en la ilustración 9.
La pregunta es qué puerto se bloquea, ya en el paso 4. Si observamos la ilustración 9 vemos que los puertos raíz del switch2 forman un bucle en la red, entonces debemos bloquear uno de estos. El STP para verificar cuál de estos dos enlaces se bloqueará vuelve a verificar el bridge ID, pero esta vez de los switches hacia los cuales se tiene este enlace redundante, es decir que verifica los switchs0 y 3. Comparando su bridge ID, sabemos que la prioridad es la misma, entonces vemos las direcciones MAC, del switch0 es 000C.8578.6CE8 y del switch3 es 0002.1726.C04B. De estas dos la menor es la del switc3, por ende el puerto que se mantendrá activo en el switch2 es el que realiza el enlace hacia el switch3. En cambio el puerto del switch2 que realiza la conexión hacia el switch0 se bloqueará y no permitirá el envío de frames por el mismo, evitando de esta manera la formación de loops.
Ilustración 9. Verificación del STP. Puertos Raíz Switch2.
Ilustración 10. Cálculo del Spanning Tree Protocol
3.3.1 Cambio del bridge IDComo se había mencionado anteriormente, se puede cambiar el valor de la prioridad de los switches. Este procedimiento generalmente se lo realiza para mejorar la administración de nuestros equipos, en sentido de que a veces queremos que el equipo que será el bridge root esté en nuestro data center y no así el switch que está bajo las gradas.
Para lograr este cambio, tenemos que definir sobre que VLAN se requiere realizar este cambio. Por defecto todos los switches tienen la VLAN1 que es la de administración. Por el momento realizaremos este cambio solo en esta VLAN hasta llegar al tema de formación y administración de VLANs. Para nuestro cometido se aplica el comando spanning-tree vlan [#] priority [0 - 61440], desde el modo de configuración global.
Para nuestro ejemplo anterior se cambiará la prioridad del Switch2 a 28672 y automáticamente se restructurará todo el árbol. Esto se lo puede evidenciar en la ilustración 11 y 12. En la primera se muestra la aplicación del comando sobre la VLAN1, posteriormente se verifica que el cambio haya surtido efecto y se muestra la leyenda de que este equipo es el bridge raíz. La segunda ilustración muestra como el switch2 tomó control del STP a pesar de tener la dirección MAC más alta.
De esta manera se muestra cómo se puede modificar u obligar a un switch a ser el bridge raíz.
Ilustración 11. Modificación de la prioridad de un Switch
Ilustración 12. Cálculo del STP con la modificación de la prioridad.
3.3.2 BPDU GuardCuando tenemos el STP funcionando y un puerto habilitado con PortFast, se producirá un error en ese puerto cuando empiece a recibir BPDUs, por actualizaciones del STP. Por este motivo se recomienda siempre utilizar el comando spanning-tree bpduguard enable, en modo de configuración de interfaz. Este comando se lo debe aplicar en todas las interfaces que tengan el PortFast habilitado y que sean switches de acceso al usuario.
3.4 Tipos de Spanning TreeTodos los tipos de STP que se verán a continuación parten del concepto estudiado de STP, que en algunas referencias se lo conoce como CST o Common Spanning Tree.
3.4.1 Per Vlan Spanning Tree + (PVST+)Es un protocolo propietario de Cisco, provee las funcionabilidades de crear una instancia STP para cada VLAN dentro del switch, es decir tener un bridge root para cada VLAN, sin embargo esto utiliza bastantes recursos del equipo, aunque nos brinda una mayor eficiencia para inter operar entre VLANs. Esta tiene una mejor performance cuando las troncales se las realiza con el protocolo de encapsulamiento 802.1Q, en cambio su predecesor que es el protocolo PVST solo trabajaba con el encapsulamiento ISL propietario de Cisco.
3.4.2 Rapid Spanning Tree Protocol (RSTP)Tipificado en la norma 802.1W, mejora la velocidad de intercambio de BPDUs y la convergencia de los equipos para la formación del STP. Esta norma vuelve al concepto inicial del STP, donde solo se tiene una instancia STP para todo el equipo y VLANs que se tengan. La utilización de recursos del equipo, es mayor que el STP normal y menor al del PVST+.
3.4.3 Rapid PVST+ (RPVST+)Esta es la versión de Cisco de la norma 802.1W. Que al igual que PVST+ utiliza una instancia separada de STP para cada VLAN que se tenga creada. Al igual que la norma acelera los tiempos de convergencia y optimiza el flujo de tráfico, sin embargo periódicamente utiliza todos los recursos del equipo.
Para lograr una convergencia más rápida, el RPVST+, simplifica los estados de los puertos al momento del arranque, dejando de lado los 50 segundos de un arranque normal que tienen por defecto los switches con STP.
ESTADOS802.1D 802.1W
Deshabilitado DescartandoBloqueado DescartandoEscuchando DescartandoAprendiendo AprendiendoEnviando Enviando
Tabla 2. Comparativa de los estados del Rapid PVST+
4. EtherChannelEl Etherchannel nace de la necesidad de tener múltiples enlaces entre switches para poder conseguir una redundancia, sin afectar a la conformación del STP. Cuando se colocan varios enlaces entre dos o más switches, el STP entra en acción, colocando en estado de bloqueado todos los puertos que creen enlaces redundantes, esto debido a que cuando no utilizamos EtherChannel el switch ve estos enlaces de manera individual.
Cuando utilizamos Etherchannel el switch ve los enlaces redundantes como uno solo, ya que el Ethercannel agrupa los mismos, brindándonos alta tolerancia a fallos y uso compartido de la carga. De esta manera, se puede transmitir y recibir por todos los enlaces que conforman el EtherChannel.
4.1 Terminología Port Channeling; hace referencia a la combinación y/o unión de dos a ocho enlaces
FastEthernet, o de dos Gigabit Ethernet entre dos switches, para lograr obtener un enlace lógico de agregación, de esta manera obtener mayor ancho de banda y tolerancia a fallos.
EtherChannel; término propietario de Cisco para hacer referencia al Port Channeling. PAgP (Port Aggregation Protocol); es la forma propietaria de Cisco para lograr el Port
Channeling, logrando de esta manera una conformación automática del EtherChannel. Para ello todos los enlaces que se vayan a juntar, deben tener los mismos parámetros, velocidad, modo de comunicación (half o full dúplex), información de la VLAN correspondiente. Manda paquetes cada 30 segundos para ver adición de nuevos enlaces, consistencia y fallas.
LACP (Link Aggregation Control Protocol); norma 802.3ad, esta norma realiza las mismas funciones que el PAgP, sin embargo esta es la forma no propietaria, por tanto se la puede utilizar para trabajar entre diferentes marcas de equipos.
Channel-group; este es un comando de las interfaces Ethernet utilizado para adherir una interface específica a un grupo EtherChannel. El número que complementa a este comando es el Port Channel ID.
Interface Port-Channel; con este comando creamos el grupo de interfaces. Los puertos pueden ser adheridos a esta interface con el comando channel-group.
4.2 Configuración del EtherChannelPara configurar Etherchannel primeramente debemos determinar cuántos enlaces vamos a agrupar, es decir, si utilizaremos enlaces Fast Ethernet o Gigabit Ethernet. Seguidamente se debe verificar con qué protocolo se irá a trabajará, se recomienda utilizar el protocolo estandarizado LACP, ya que podemos encontrarnos en situaciones donde no todos los switches sean Cisco.
La configuración que se muestra a continuación se realiza basada en la ilustración 13 donde queremos agrupar tres enlaces FastEthernet en el recuadro rojo, el STP bloqueó dos de los enlaces, mismos que los configuraremos con EtherChannel para lograr que trabajen como uno solo y el STP los vea de la misma manera.
Ilustración 13. Redundancia sin el EtherChannel
Empezaremos con el Switch SW1, donde debemos definir los puertos que pertenecerán al grupo para el EtherChannel, estos serán los puertos Fa0/1, Fa0/2 y Fa0/3. A estos puertos los definiremos como puertos troncales, posteriormente les asignaremos el channel-group 1 para que trabajen con LACP como se muestra en la siguiente ilustración.
Ilustración 14. Configuración del EtherChannel SW1
Cuando adicionamos el comando channel-group 1 mode active, se crea la interface Port-channel 1, haciendo referencia al mismo ID introducido, en este caso 1. Debemos ingresar a esta interface como se muestra en la ilustración 14 y adicionar el comando switchport mode trunk para que habilite esta interface de igual manera como troncal.
Se debe realizar el mismo procedimiento dentro del switch SW2 para terminar la configuración.
4.2.1 Verificación de la configuración de EtherChannelPartiendo del ejemplo que se utilizó en este caso, verificaremos si los comandos introducidos tomaron efecto en nuestra configuración.
El primer comando a utilizar es el show etherchannel port-channel. Con este comando podremos verificar el protocolo que estamos utilizando, en este caso el LACP y que puertos están agrupados bajo el ID 1.
Ilustración 15. Verificación del EtherChannel
Otro comando que nos ayuda a verificar el estado del EtherChannel es el show etherchannel summary, mismo que nos muestra la cantidad de channel-groups que estén trabajando, ID del grupo, número de Port-channel, protocolo en uso y puertos que están incluidos en el grupo.
Ilustración 16. Verificación del EtherChannel
Si nos fijamos en la red propuesta en la ilustración 13, donde no se tenía el EtherChannel, se veían dos puertos en estado bloqueado, ahora tenemos esos dos puertos en estado de enviando, ya que ahora trabajan como un solo enlace para el STP.
Para verificar el estado del STP en el switch SW2 que tenía los puertos bloqueados anteriormente, recurrimos al comando show spanning-tree como se muestra en la ilustración 17. Donde en las interfaces nos aparecerá la interface Po1, misma que hace referencia al Port-channel 1 que creamos al momento de habilitar el EtherChannel. El estado de esta interfaz estará en enviando.
Ilustración 17. Estado de las interfaces STP después de configurar EtherChannel
Ilustración 18. Puertos bloqueados trabajando como uno con EtherChannel.
Se pueden crear varias agrupaciones de puertos en el mismo switch, todo dependerá de la cantidad de puertos que dispongamos en el switch para formar los Port-channel. De la misma forma podemos agrupar por cada Port-channel todas las VLANs que se vayan a crear o solo algunas, para de esta manera por ejemplo, la VLAN de video, utilice el Port-channel que tiene configurado en las interfaces Gigabit Ethernet y la VLAN de datos utilice el Port-channel que utiliza puertos Fast Ethernet. De esta manera se puede crear un tipo de priorización de tráfico o segmentación del mismo para no utilizar recursos compartidos.
5. VLANsAlgunas redes hasta el día de hoy, trabajan de forma plana, es decir, que no tienen segmentados sus departamentos o recursos de red, por ende son totalmente vulnerables y llenas de latencias y/o errores en la red. Para mitigar estos problemas utilizamos VLANs.
Una VLAN es un segmento de red virtual, misma que ayuda a agrupar de manera lógica a usuarios y recursos de una red. Estas agrupaciones lógicas permiten que la comunicación sea más eficiente, ya que cada VLAN crea su propio dominio de broadcast, por lo cual los switches ya no realizan una inundación de todos los puertos cuando no conoce un host, sino solo a aquellos que pertenecen a la VLAN.
Algunas de las formas en las cuales las VLANs nos ayudan se detallan a continuación.
Las VLANs nos brindan un mantenimiento simplificado de la red, en sentido de que a la red se le puede añadir, eliminar o mover de acuerdo a la necesidad, esto mediante la configuración de los puertos del equipo.
Brindar una mejor administración de la red, en sentido de que si existe alguna falla en la red, o se debe realizar alguna modificación, solo se lo realiza en el segmento indicado.
Brinda movilidad en la red, debido a que podemos trabajar con VLANs dinámicas. Las VLANs nos brindan seguridad en la red, de forma que podemos evitar que la
comunicación se realice entre determinadas VLANs. Las VLANs crean dominios separados de broadcast por cada VLAN que se vaya a crear en el
equipo. Cada VLAN tienen su propio dominio de colisión de acuerdo a la cantidad de puertos configurados o asignados a las VLAN.
Todos los switch traen por defecto configurada la VLAN1. Esta VLAN es llamada la VLAN de administración o nativa. La misma no puede ser eliminada del equipo y siempre está presente. Por defecto todos los puertos de un switch pertenecen a la VLAN1, a medida que vayamos creando VLANs podremos ir asociando puertos a estas y por tanto ya no pertenecerán a la VLAN1.
De igual manera existen cuatro VLANs definidas para uso de tecnologías específicas, estas son desde la 1002 a la 1005 y son de uso reservado.
Las VLAN al ser interfaces virtuales dentro de un switch, permiten la configuración de IPs en las mismas, generalmente se las puede utilizar como IPs de Gateways1 o para la administración de los equipos.
Podemos verificar la configuración de nuestros switches utilizando el comando show vlan como se muestra en la siguiente ilustración. En la misma se puede verificar la existencia de VLANs, puertos
1 Los Gateways, son las puertas de enlace por donde los equipos terminales de usuario (hosts), se conectan con la red.
asignados a cada VLAN y los puertos que no aparecen dentro la tabla son puertos troncales, de los cuales hablaremos más adelante en el punto 5.4 de este tema.
Ilustración 19. Estado de las VLANs de un switch
5.1 Comunicación inter VLANsSi tenemos varias VLANs configuradas entre dos equipos, los hosts que pertenezcan a una VLAN en específico, solo podrán comunicarse con host en otros switches que pertenezcan a la misma VLAN, para explicarlo mejor nos referiremos a la ilustración 20.
Ilustración 20. Comunicación inter VLANs
En ambos switches de la ilustración, se crearon las mismas VLANs, donde a cada VLAN se le asignó un host; los host PC1 y PC4 pertenecientes a la VLAN2 por ejemplo pueden comunicarse entre ellos, en cambio si la PC4 trata de comunicarse con la PC3 de la VLAN4 en el switch SW1, la comunicación no se llevará a cabo ya que pertenecen a diferentes VLANs. En otro ejemplo si la PC1 trata de comunicarse con la PC2, la comunicación tampoco se llevara a cabo. ¿Por qué sucede esto? Esto ocurre porque cada VLAN tiene un segmento de red diferente, los switches al no manejar direcciones IP no pueden re direccionar o enrutar el tráfico.
5.2 Tipos de VLANsExisten dos tipos de VLAN, las estáticas y las dinámicas, sin embargo está última ya no está siendo muy utilizada por la introducción al mercado de la conexión a la nube y el BYOD (Bring Your Own Device).
Las VLANs estáticas, son aquellas que las configuramos manualmente en los switchs y asignamos puertos específicos a las mismas, de esta manera cuando se requiere habilitar o dar de baja un puerto para una VLAN, la configuración se la debe realizar de forma manual en él equipo. La cantidad de VLANs que podamos crear está determinada por cada equipo.
Las VLANs dinámicas trabajan con una base de datos previamente configurada. Donde los usuarios se encuentran previamente registrados con su dirección MAC en una VLAN dentro la base de datos, cuando se conectan a un puerto del switch asignado para trabajar con VLANs dinámicas, este busca la MAC en la base de datos y le asigna la VLAN correspondiente. De esta manera no importa donde se conecte el usuario, siempre estará en la misma VLAN. Para realizar esta configuración se utilizan switches core, mismos que gestionan la base de datos.
5.2.1 Creación y Configuración de VLANsEn este documento veremos la creación de VLANs de forma estática, dentro el switch utilizamos el comando vlan[# de vlan], esto en modo de configuración global. De esta manera el equipo entrará en el modo de configuración de vlan como se muestra en la ilustración 21, en este modo, podemos configurarle un nombre a la VLAN para saber qué hace la misma o a donde pertenece por ejemplo.
Luego podemos ingresar a la VLAN como interface con el comando interface vlan [# de vlan], ya que recordemos que cada VLAN es una interface virtual dentro el switch, entonces tenemos la opción de configurar una descripción, una dirección IP entre otras características.
Ilustración 21. Creación de VLAN
Ilustración 22. Configuración de VLAN
5.3 Etiquetas en los FramesLos switches para comunicarse entre ellos utilizan enlaces troncales (punto 5.4), estos manejan el tráfico originado por las VLANs mediante etiquetas. Estas son conocidas como VLAN IDs, mismas que identifican los frames originados por cada VLAN.
Cuando un frame llega a un switch, lo primero que este hace es identificar su VLAN ID para verificar si conoce la MAC de destino, esto lo realiza revisando su tabla de direcciones MAC, si no conoce donde se encuentra inmediatamente filtra la comunicación y lo envía al siguiente switch por el enlace troncal. En caso de encontrar al destinatario, el switch remueve la etiqueta y reenvía el frame donde corresponda.
Cuando un frame no tiene la etiqueta correspondiente (untagged), entonces este tráfico es re direccionado inmediatamente a la VLAN nativa, (generalmente la VLAN1), quien puede reenviar el tráfico a donde corresponda en caso de que el destinatario este en el equipo o lo re envía a otro switch para buscar al destinatario, en caso de no encontrarlo el frame se descarta.
Al principio de este punto, indicábamos que para realizar la comunicación del tráfico inter switches utilizamos enlaces troncales, mismos que para etiquetar los frames pueden trabajar con dos formas de encapsulación diferentes, ISL y dot1q.
5.3.1 Inter-Switch Link (ISL)Encapsulación propietaria de Cisco, que consiste en etiquetar una VLAN dentro un frame Ethernet. ISL ayuda con la encapsulación de los frames en los enlaces troncales.
Esta encapsulación funciona en capa 2, encapsulando los datos con una nueva cabecera y realizando un nuevo CRC (Cyclic Redundancy Check), para la verificación del frame. Esta forma de encapsulación se la puede utilizar en puertos Fast Ethernet como Gigabit Ethernet.
En la actualidad Cisco está dejando de lado este método de encapsulación y está trabajando con la encapsulación estandariza 802.1q.
5.3.2 802.1q (DOT1Q)Este estándar fue desarrollado por la IEEE como método para etiquetar los frames en una comunicación por enlaces troncales. A diferencia de ISL, dot1q no inserta una nueva cabecera al frame, ya que esto incrementa el tamaño del paquete, más al contrario solo adiciona al frame original un campo correspondiente a la encapsulación, esto lo podemos ver en la ilustración 23. De esta manera se ahorra recursos del switch y se tiene una rápida comunicación.
Esta forma de encapsulación soporta un total de 4094 VLANs, es decir que se puede configurar y trabajar con la cantidad de VLANs mencionadas.
Ilustración 23. Encapsulación de Frame DOT1Q
Cuando se trabaja con esta encapsulación, los puertos que ya tienen el VLAN ID empiezan a comunicarse, el switch analiza el tipo de encapsulación, si encuentra al destinatario remueve la etiqueta y re envía la comunicación donde corresponda, caso contrario lo pasa por el enlace troncal al siguiente switch para verificar si corresponde o no. Cuando el frame no posee una etiqueta, automáticamente es direccionado por la VLAN nativa (VLAN1) a través del enlace troncal.
5.4 Tipos de puertos a configurarLos puertos de un switch se pueden configurar de dos formas de acuerdo a los requerimientos que se tengan.
5.4.1 Puertos de Acceso. Estos puertos son aquellos a los cuales se conectan directamente los equipos de los usuarios. Es en estos puertos donde definimos a que VLAN pertenecerán. Un puerto del switch solo puede pertenecer o configurarse a una VLAN de datos y a otra de voz, pero no a más. El modo de configuración de estos puertos se muestra a continuación.
Ilustración 24. Interconexión de un puerto de acceso
Ilustración 25. Configuración de los puertos de acceso
Los comandos utilizados son switchport mode Access, que le indica al equipo que este puerto actuará como acceso, switchport Access vlan [# de vlan], indica al puerto a que VLAN pertenecerá. Por último tenemos el comando opcional o solo en caso de que se trabaje con telefonía IP, switchport voice vlan [# de vlan], mismo que habilita la interface a trabajar con telefonía en la VLAN asignada.
5.4.2 Puertos troncales. Los puertos troncales se utilizan para multiplexar la comunicación que ocurre entre dos o más switches, o entre un switch y un router. Para lograr esto es necesario realizar la encapsulación de los frames con alguno de los protocolos vistos en el punto 5.3, sin embargo se recomienda trabajar con dot1q, debido a que es más rápido. La encapsulación solo se configura en el Router, ya que los switches Cisco trabajan por defecto con dot1q.
Ilustración 26. Multiplexación de datos en la troncal
Cuando se trabaja con troncales, por defecto todas las VLANs están admitidas, esto incluye el tráfico que no se encuentra etiquetado, ya que va por la VLAN1. Ahora bien, si se desea que por una troncal solo vayan algunas VLANs, esto se puede configurar.
Ilustración 27. Interconexión de Troncales
Para la configuración de troncales, se ingresa en modo de configuración global dentro del switch y se accede a la interface que deseamos configurarla como troncal, es ahí donde aplicamos el comando switchport mode trunk. Una vez aplicado el comando el puerto pasa a transmitir para todas las VLANs involucradas, para verificar que las troncales han sido correctamente configuradas se utiliza el comando show interface trunk, desde modo privilegiado.
Ilustración 28. Configuración de troncales
Ilustración 29. Verificación de puertos troncales
De igual manera podemos restringir el paso de las VLANS, en sentido de que solo algunas puedan ir por los enlaces troncales, de esta manera podemos tener una mejor administración o distribución de la red. Al segmentar el tráfico que pasa por las troncales, se puede tener una troncal exclusiva de voz y otra de datos por ejemplo, o colocar el tráfico de los servidores por troncales giga y el tráfico normal por enlaces fast Ethernet.
Para habilitar las troncales solo para algunas VLANs debemos utilizar el siguiente comando dentro de la interface troncal, switchport trunk allowed vlan [vlanA],[vlanB],…,[vlanX]; se pueden adherir todas las VLANs que se vean por conveniente o solo algunas.
Ilustración 30. Inspección del puerto troncal
En la ilustración 30, se muestra como todas las VLANs están permitidas por el puerto Gigabit Ethernet 1/2, desde la 1 a la 1005. Ahora aplicaremos el comando en el puerto troncal, donde permitiremos solamente las vlan 2 y 4, luego volveremos a revisar la interfaz troncal.
Ilustración 31. Configuración de troncales para VLANs específicas
Ilustración 32. Inspección del puerto troncal
De esta manera al momento de revisar nuevamente las interfaces troncales con ayuda del comando show interface trunk, se puede observar que el puerto ahora solo admite las VLANs 2 y 4, posteriormente ya se pueden añadir o eliminar VLANs de esta troncal, de acuerdo a la necesidad que se tenga. Algunas opciones adicionales se muestran en la ilustración 33.
Ilustración 33. Opciones de configuración para la interface troncal
5.4.2.1 Cambio de VLAN de administración o nativaComo una buena práctica de configuración de switches, se ve por conveniente cambiar la VLAN de administración, por una que sea de conocimiento solo de los administradores de red. De esta manera podemos incrementar en parte la seguridad de la red de acceso. Este cambio solo se lo puede realizar en los enlaces troncales que se tengan configurados.
Para realizar el cambio de VLAN nativa, se debe colocar dentro la interfaz troncal el comando, switchport trunk native vlan [# de la vlan], donde ya se puede reenviar el tráfico por la VLAN correspondiente. Cabe recalcar que por la VLAN que se escoja, se enviará todo el tráfico no etiquetado.
Ilustración 34. Configuración del cambio de VLAN nativa
5.4.2.2 DTP (Dynamic Trunking Protocol)Es un protocolo propietario de Cisco, utilizado para realizar auto negociación de los enlaces troncales entre los switches. Cisco recomienda eliminar la auto negociación de las interfaces de un switch, ya sean de puertos troncales o de puertos de acceso. Esto para evitar que se consuman recursos del equipo y para evitar loops por errores de conectividad.
Cuando deseamos eliminar el DTP, se tiene que especificar primeramente el modo del puerto a través del comando switchport mode [Access/trunk]. Luego se debe aplicar el comando switchport nonegotiate. En la ilustración 35 podemos ver un ejemplo de configuración de un puerto de acceso y otro troncal.
Ilustración 35. Eliminación del DTP.
5.5 Administración de VLANsComo se pudo ver anteriormente, se pueden crear múltiples VLANs, sin embargo las mismas no pueden comunicarse entre ellas, para poder comunicarse necesitan de un equipo que pueda enrutarlas a través de los diferentes segmentos, de esta manera veremos la configuración del router on a stick, además de ver cómo podemos administrar varios switches para verificar la configuración y estado de las VLANs.
5.5.1 Router on a stick (ROAS)Cuando tenemos varios segmentos de red, los switches no pueden comunicar las VLANs entre ellas, debido a que los switches son equipos de capa 2 que manejan solamente direcciones MAC y no así direcciones IP.
Entonces para realizar la comunicación inter VLANs trabajamos con un router, mismo que estará directamente conectado a un switch por medio de un enlace troncal. Este enlace troncal debe ayudar a que los diferentes segmentos de red puedan comunicarse entre sí. Al momento de que el enlace troncal multiplexa la comunicación, envía todos los frames etiquetados y sin etiquetar hacia el router, mismo que revisa las direcciones IP para poder reenviarlas al destino correspondiente.
Ilustración 36. Intercomunicación de VLANs
Viendo el funcionamiento del router on a stick, podemos decir que es necesario configurar en el router sub interfaces, estas se crean a partir de una interfaz física que tenga el router disponible. Cada una de las sub interfaces creadas, corresponde a una VLAN que se tenga configurada, brindándole el encapsulamiento con el que se vaya a trabajar en los switches (ISL o DOT1Q preferentemente), una dirección IP y si se desea, que se convierta en el Gateway por defecto para los hosts en las diferentes VLANs.
En la ilustración 36, podemos apreciar como las VLANs 2, 3 y 4 tienen diferentes segmentos de red, mismos que se conectan por un enlace troncal haca el router, donde el router tiene las sub interfaces creadas en la interfaz giga0/0. En estas sub interfaces configuramos las direcciones IP correspondientes a cada segmento que manejan las VLANs, de esta manera ya podemos comunicar las diferentes VLANs.
La comunicación se realiza de la siguiente manera. Supongamos que la PC en la VLAN2 requiere comunicarse con la PC en la VLAN4, para ello cuando envía el frame, este se transmite al switch, el mismo como no sabe dónde se encuentra la PC de la VLAN4, reenvía el frame por el enlace troncal hacia el router, el router verifica la dirección IP y retransmite nuevamente el frame hacia el switch después de haber realizado el enrutamiento de la IP, el switch recibe la comunicación en la VLAN4 y busca la MAC de la PC que está en esta VLAN en su tabla de direcciones, si la encuentra re envía el tráfico a la PC que corresponde, caso contrario re envía el frame al router y este lo descarta.
El modo de configurar el switch para este procedimiento es solo el de crear troncales, en el router se deben seguir los siguientes pasos, siguiendo el requerimiento de la ilustración 36.
1. Ingresar a la interfaz física del router donde se vayan a configurar las sub interfaces, esto con ayuda del comando interface [tipo] [# de puerto].
2. Ingresar a la sub interfaz del puerto escogido, con el comando interface [tipo] [# de puerto]. [etiqueta]. En el apartado de etiqueta se recomienda hacer referencia al número de VLAN con el que se irá a trabajar.
3. Determinar el encapsulamiento a utilizar para el enlace troncal, en esta parte escogemos ISL o dot1q preferentemente, en el campo de la etiqueta, se sugiere poner el número de la VLAN a la cual se vaya a asignar la sub interface, para esto utilizamos el comando, Encapsulation [tipo de encapsulamiento][etiqueta].
4. Configurar la dirección IP que tendrá el router para esa VLAN, esta IP servirá para realizar el enrutamiento entre diferentes segmentos IP, cuando se requiera comunicarse entre diferentes VLANs. ip address [ip][mask].
5. Al finalizar, no olvidemos que debemos habilitar la interface física o principal con el comando, no shutdown. De igual manera se puede habilitar la configuración después del primer paso, para evitar salir del modo de interfaz y volver a ingresar como en el ejemplo de la ilustración 37.
En la siguiente ilustración se tiene un ejemplo de configuración de sub interfaces. Cabe recalcar que el procedimiento es el mismo para todas las sub interfaces que se necesiten configurar.
Ilustración 37. Configuración de sub interfaces en el Router
Cuando se configura el enrutamiento entre VLANs, no es necesario aplicar ningún protocolo de enrutamiento o realizarlo de manera estática, esto debido a que las VLANs están directamente conectadas al router.
5.5.2 VLAN Trunk Protocol (VTP)Es un protocolo propietario de Cisco, que ayuda a la administración de las VLAN en una red de switches. Funciona de la siguiente manera, cuando se configura una VLAN en un servidor VTP, la VLAN es distribuida a través de todos los switches que estén configurados en el mismo dominio que el servidor VTP, de esta manera se auto configura la nueva VLAN en los demás equipos. Esta autoconfiguración o distribución de la información de las VLANs a los otros equipos reduce el tiempo de configuración de la red de acceso.
VTP trabaja por defecto en todos los switches como VTP server, no tiene un dominio VTP definido y lleva un conteo de las VLANs existentes, que inicialmente son cinco. Como vimos en el punto 5 (VLANs), el switch siempre tiene la VLAN1 y otras 4 de uso específico configuradas por defecto. El estado de configuración de VTP dentro un switch se lo puede revisar mediante el comando show vtp status.
Ilustración 38. Verificación del estado de VTP
Nuevamente recalcar; es muy importante que los switches para intercambiar información de las VLANs que tienen configuradas, deben pertenecer al mismo dominio.
5.5.2.1 Modos VTPSe ha hablado de que los switches trabajan por defecto en modo servidor, sin embargo se los puede configurar de tres maneras diferentes de acuerdo a las necesidades de la empresa.
Modo servidor; en este modo, se puede crear, modificar y borrar las VLANs que existan en el dominio. De igual manera permite cambiar o modificar la versión del VTP y habilitar o deshabilitar el VTP prunning. En este modo, el switch publica o propaga sus VLANs a los otros switches que se encuentren dentro el mismo dominio, mediante los enlaces troncales que se tengan configurados. Se puede tener más de un switch como VTP server.
Modo cliente; el modo cliente se comunica con los otros switches, de la misma manera que el modo servidor, con la diferencia que un cliente no puede eliminar, crear o cambiar la configuración de las VLANs en un dominio VTP.
Modo transparente; los switches que se encuentran en este modo, no participan del VTP. Estos switches no anuncian ni comparten su configuración con otros switches que se encuentren dentro del dominio VTP. Sin embargo los switches en este modo, retransmiten o propagan la información VTP por sus puertos troncales.
5.5.2.2 VTP PrunningVTP para conocer la configuración de los switches en la red, realiza peticiones continuas; de esta manera se asegura que todos los switches posean la misma información. Entonces se genera bastante tráfico del tipo unicast y broadcast entre los switches, además de todo el tráfico desconocido que inundan los switches. El VTP prunning se encarga de eliminar el tráfico innecesario que se pueda generar. Esta característica está deshabilitada por defecto.
5.5.2.3 Configuración del VTPPara configurar el VTP se deben seguir algunas directrices,
Nuevamente, todos los switches deben pertenecer al mismo dominio VTP. Todos los switches en el dominio VTP deben estar configurados con la misma versión. Si el password está configurado, todos los switches en el dominio VTP, deben tenerlo
configurado. Todos los switches server que se vayan a configurar, deben tener el mismo número de
revisión, mismo que debe ser el mayor dentro el dominio. Cuando se mueve de un modo transparente a un servidor, las VLANs configuradas en el
switch transparente deben existir en el switch servidor.
La configuración básica de VTP se centra en configurar un switch como servidor y los demás como clientes, esto aplica para redes pequeñas y en algunos casos para redes medianas, sin embargo se recomienda que para redes medianas o grandes se utilice más de un switch en modo servidor para tener alta disponibilidad.
Para configurar VTP en un switch utilizamos los siguientes comandos desde modo de configuración global:
Vtp domain [nombre del dominio]; define el nombre del dominio donde se irá a trabajar. Vtp mode [server/client/transparent]; define el modo en el cuál irá a trabajar el switch. (Opcional). Vtp password [password]; define un password para el dominio VTP. Vtp versión [1, 2]; para configurar el tipo de versión de VTP.
La diferencia de las versiones de VTP v1 y VTP v2, radica en que VTP v2 puede trabajar con la tecnología Token Ring para las VLANs. En caso de no estar utilizando esta característica no existe razón para utilizar VTP v2. Realizar el cambio de una versión a la otra de VTP no provocará que el switch se reinicie.
Para mostrar cómo se realiza la configuración del VTP en una red, utilizaremos el diagrama de red que se presenta en la siguiente ilustración y seguiremos los pasos anteriormente descritos.
Ilustración 39. Red de switches a trabajar con VTP
En la ilustración 39 se configurará los switches de la siguiente manera, SW0 como servidor, SW2 en modo transparente, SW1 y SW3 como clientes.
Ilustración 40. Habilitación VTP, SW0
Ilustración 41. Habilitación VTP, SW1
Ilustración 42. Habilitación VTP, SW2
Ahora verificaremos su estado con ayuda del comando show vtp status. Mismo que nos mostrará la cantidad de VLANs configuradas, (cinco por defecto), modo y dominio VTP del switch. En el caso del servidor de igual manera debemos revisar el valor de revisión, mismo que debe ser mayor al de los otros switches o igual, pero no menor, si es menor VTP no funcionará.
Ilustración 43. Verificación VTP
Ilustración 44. Verificación VTP
Ilustración 45. Verificación de VTP
Como pudimos apreciar, todos los equipos fueron correctamente configurados, ahora procederemos a configurar una VLAN con el ID 100 en el VTP Server, inmediatamente este retransmitirá la información y el número de VLANs incrementará en los clientes y servidor, además que a su tabla de VLANs se incorporará esta nueva. En el switch SW2 esta información no se actualizará por su modo de trabajo.
Ilustración 46. Creación de VLAN en VTP
Ilustración 47. Verificación de la VLAN creada
Tenemos que verificar que la VLAN se haya publicado hacia los switches que están en modo cliente, para ello se verá su tabla de vlans con ayuda del comando show vlan o show vlan brief.
Ilustración 48. Verificación de la VLAN creada en el cliente
Ilustración 49. Verificación de la VLAN creada en el modo transparente
Cuando verificamos, la nueva VLAN ya se creó en los switches que están trabajando en modo cliente, sin embargo el switch que está trabajando como transparente no incluyó en su tabla de VLANs a la VLAN 100.
Ahora trataremos de crear una VLAN en el swich de acceso y veremos cómo se deshabilitó esta función cuando el switch trabaja como cliente.
Ilustración 50. Error al tratar de crear una VLAN en el switch en modo cliente
5.5.2.4 TShoot de VTPPor lo general los errores que se presentan al manejar VTP, son los siguientes:
Error en la configuración de dominio VTP. Se debe revisar el estado del VTP con ayuda del comando show vtp status, para determinar si todos los switches pertenecen al mismo domingo.
Si el VTP no está trabajando se recomienda primero revisar los enlaces troncales y verificar si estos están activos, en los mismos revisar el tipo de encapsulación si correspondiese.
Revisar que todos los switches estén trabajando bajo la misma versión.
De igual manera se pueden ocasionar problemas cuando se ingresa un nuevo switch a la red, sobretodo problemas correspondientes al STP, debido a que el switch al estar antes de forma independiente entra con un número de revisión mayor al del servidor VTP, por lo que toda la red cae. Para solucionar este problema se recomienda reconfigurar rápidamente todas las VLANs.
Otro problema relacionado con VTP, ocurre cuando un switch que era cliente se reinicia, en ese momento al perder las VLANs configuradas los puertos se apagan. Por tal razón es necesario cambiar al switch a modo transparente, configurar las VLANs correspondientes y de esta manera el equipo ya quedaría operativo nuevamente. Una vez que los puertos levanten, se debe cambiar el switch a modo cliente nuevamente.