Escalamiento Escalamiento de VLAN A medida que aumenta el número de switches en una red de empresas pequeñas o medianas, la administración general requerida para administrar las VLAN y los enlaces troncales en una red se convierte en un desafío. En este capítulo, se analizarán algunas de las estrategias y de los protocolos que se pueden usar para administrar VLAN y enlaces troncales. El protocolo VTP (VLAN Trunking Protocol, protocolo de enlaces troncales de VLAN) reduce la administración en una red conmutada. Un switch en modo de servidor VTP puede administrar las adiciones, las eliminaciones y los cambios de nombre de las VLAN en el dominio. Por ejemplo, cuando una VLAN nueva se agrega al servidor VTP, la información i nformación de dicha VLAN se distribuye a todos los switches en el dominio. Esto elimina la necesidad de configurar la VLAN nueva en cada switch. El protocolo VTP es un protocolo exclusivo de Cisco que está disponible en la mayoría de los productos de la serie Cisco Catalyst. El uso de redes VLAN para segmentar una red conmutada proporciona más rendimiento, seguridad y capacidad de administración. Se utilizan enlaces troncales para transportar información de varias VLAN entre dispositivos. El protocolo DTP (Dynamic Trunking Protocol, protocolo de enlace troncal dinámico) permite que los puertos negocien automáticamente los enl aces troncales entre los switches. Dado que las VLAN segmentan la red y se encuentran cada una en su propia red o subred, se requiere un proceso de capa 3 para permitir que el tráfico se desplace de una VLAN a otra. En este capítulo, se analiza la implementación de routing entre VLAN mediante un switch de capa 3. También se describen los problemas encontrados al implementar el protocolo VTP, el protocolo DTP y el routing entre VLAN.
VTP: Descripción general A medida que aumenta el número de switches en una red de empresas pequeñas o medianas, la administración general requerida para administrar las VLAN y los enlaces troncales en una red se convierte en un desafío. En redes más grandes, la administración de VLAN puede volverse desalentadora. Como se muestra en la figura 1, suponga que las VLAN 10, 20 y 99 ya se implementaron, y ahora debe agregar la VLAN 30 a todos los switches. Agregar la VLAN manualmente en esta red incluiría la configuración de switches 12.
El protocolo de troncal VLAN (VTP) permite que un administrador de redes maneje las VLAN en un switch configurado como servidor VTP. El servidor VTP distribuye y sincroniza la información de la VLAN en los enlaces troncales a los switches habil itados por el VTP en toda la red conmutada. Esto minimiza los problemas causados por las configuraciones incorrectas y las inconsistencias de configuración. Nota: El VTP solo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a
1005) no son admitidas por la versión 1 o versión 2 de VTP. La versión 3 del protocolo VTP admite VLAN extendidas, pero este tema no se trata en este curso. Nota: El protocolo VTP guarda configuraciones de VLAN en una base de datos llamada vlan.dat.
Modos del protocolo VTP Un switch se puede configurar en uno de los tres modos VTP, como se describe en la figura 1. Servidor VTP
Un switch en este modo anuncia la información de VLAN del dominio de VTP a otros switches habili tados para VTP en el mismo dominio VTP.
Almacena la información de VLAN para todo el dominio en la NVRAM.
Crea, elimina o cambia los nombres de las VLAN para el dominio.
Modo predeterminado del protocolo VTP
Cliente VTP
Un switch en este modo no puede crear, cambiar o eliminar las VLAN.
Almacena la información de VLAN para todo el dominio en la RAM.
Debe configurarse como cliente VTP.
VTP transparente
Un switch en este modo no participa en VTP, excepto para enviar publicaciones del VTP a los clientes VTP y al servidor VTP. Las VLAN que se crean, se eliminan o que reciben otro nombre en los switches transparentes son locales a ese switch solamente. Debe configurarse como VTP transparente.
En la tabla 2, se resume el funcionamiento de los tres modos.
Nota: Un switch que está en modo servidor o modo cliente con un número de revisión de configuración más alto que el servidor
VTP existente actualiza toda la información de la VLAN en el dominio VTP. Los números de revisión de configuración se analizan más adelante en este capítulo. Cisco recomienda, como mejor práctica, implementar VTP en modo transparente para tener más control de VLAN, seguridad y capacidad de administración.
Publicaciones del VTP El VTP emite tres tipos de publicaciones:
Publicaciones de resumen: informan a los switches adyacentes el nombre de dominio del VTP y el número de revisión de
configuración.
Solicitud de publicación: responde a un mensaje de publicación de resumen cuando la publicación de resumen contiene
un número de revisión de configuración más alto que el valor actual.
Publicaciones de subgrupos: contienen información de VLAN, incluido cualquier cambio.
De forma predeterminada, los switches Cisco e jecutan publicaciones de resumen cada cinco minutos. Las publicaciones de resumen informan a los switches del VTP adyacentes el nombre de dominio de VTP actual y el número de revisión de la configuración. El número de revisión de la configuración es un número de 32 bits que indica el nivel de revisión para un paquete VTP. Cada dispositivo de VTP rastrea el número de revisión de configuración del VTP que se le asigna. Esta información se utiliza para determinar si la información recibida es más reciente que la versión actual. Cada vez que modifica una VLAN en un dispositivo VTP, la revisión de la configuración se incrementa en uno. Nota: Para reiniciar una revisión de configuración en un switch, cambie el nombre de dominio VTP, y luego vuelva a cambiarlo al
nombre original.
Cuando un switch recibe un paquete de publicación de resumen, compara el nombre de dominio de VTP con su propio nombre de dominio de VTP. Si el nombre es diferente, el switch simplemente ignora el paquete. Si el nombre es el mismo, el s witch compara la revisión de configuración con su propia revisión. Si el número de revisión de la configuración es mayor o igual al número de revisión de configuración del paquete, se ignora el paquete. Si el número de revisión de la configuración es más bajo, s e envía una solicitud de publicación que solicita para el mensaje de publicación del subgrupo. El mensaje de publicación de subgrupo contiene información de la VLAN con cualquier cambio. Al agregar, eliminar o cambiar una VLAN en el servidor VTP, el servidor del VTP aumenta la revisión de configuración y emite una publicación de resumen. Una o varias publicaciones de subgrupos siguen la publicación de resumen que incluye la información de VLAN que incluye cualquier cambio. Este proceso se muestra en la figura.
Versiones del VTP La versión 1 y la versión 2 del protocolo VTP se describen en la figura. Los s witches en el mismo dominio VTP deben utilizar la misma versión de VTP.
Nota: El protocolo VTPv2 no es muy diferente del protocolo VTPv1 y generalmente solo se configura si se requiere soporte para Token Ring antiguo. La última versión de VTP es la versión 3. Sin embargo, la versión 3 de VTP no entra dentro del ámbito de este curso.
Configuración predeterminada del protocolo VTP El comando EXEC privilegiado show vtp status muestra el estado del protocolo VTP. La ejecución del comando en un switch de la serie Cisco 2960 Plus genera la salida que se muestra en la figura.
A continuación, se describe brevemente la salida del comando para los parámetros show vtp status. Versión de VTP que se puede ejecutar y que se está ejecutando
Muestra la versión del VTP que el switch es capaz de ejecutar y la versión que está ejecutando.
De forma predeterminada, los switches implementan la versión 1.
La mayoría de los switches admiten la versión 2 mientras que los switches más nuevos también admiten la versión 3.
Nombre de dominio del VTP
Nombre que identifica el dominio administrativo para el switch.
De manera predeterminada, el nombre de dominio del VTP es NULL.
Modo de depuración del VTP
Muestra si la depuración está activada o desactivada.
De manera predeterminada, la depuración VTP está deshabilitada.
Generación de traps del VTP
Muestra si las traps del VTP se envían hacia la estación de administración de red.
De manera predeterminada, las traps del VTP están deshabilitadas.
Identificador del dispositivo
La dirección MAC del switch.
Última modificación de la configuración
Fecha y hora de la modificación de configuración más reciente.
Muestra la dirección IP del switch que generó el cambio de configuración a la base de datos.
Modo operativo del VTP
Puede ser servidor, cliente o transparente.
De manera predeterminada, un switch está en modo servidor VTP.
Cantidad máxima de VLAN admitidas localmente
La cantidad de VLAN admitidas varía según las plataformas de switches.
Cantidad de VLAN existentes
Incluye la cantidad de VLAN predeterminadas y configuradas.
La cantidad predeterminada de VLAN existentes varía según las plataformas de switches
Revisión de la configuración
Número de revisión de la configuración actual de este switch.
El número de revisión es un número de 32 bits que indica el nivel de revisión para un paquete de VTP.
El número de configuración predeterminado para un switch es cero.
Cada vez que se agrega o elimina una VLAN, se aumenta el número de revisión de la configuración.
Cada dispositivo de VTP rastrea el número de revisión de configuración del VTP que se le asigna.
MD5 Digest
Checksum de 16 bytes de la configuración del VTP.
Advertencias del VTP Algunos administradores de redes evitan el VTP porque podría presentar información errónea de la VLAN en el dominio VTP existente. Se utiliza el número de revisión de c onfiguración para determinar si un switch debe mantener su base de datos de VLAN existente, o sobrescribirla con la actualización del VTP enviada por otro s witch en el mismo dominio con la misma contrase ña. Agregar un switch con VTP habilitado a un dominio de VTP existente borrará las configuraciones de la VLAN existente en el dominio si el nuevo switch se configura con distintas VLAN y tiene un número de revisión de configuración más alto que el servidor VTP existente. El nuevo switch puede ser servidor VTP o switch de cliente. Esta propagación puede ser difícil de corregir. Por lo tanto, cuando un switch se agrega a una red, asegúrese de que tenga la configuración predeterminada del VTP. Como se muestra en la figura, el switch S1 es el servidor VTP, mientras que los switches S2 y S3 son clientes VTP. Todos los switches están en el dominio cisco1 y la versión actual del VTP es 17. Además de la VLAN 1 predeterminada, el servidor VTP (S1) tiene las VLAN 10 y 20 configuradas. Estas VLAN fueron propagadas por el VTP a los otros dos switches. Un técnico de redes agrega el S4 a la red debido a la necesidad de contar con capacidad adicional. Sin embargo, el técnico no borró la configuración de inicio o eliminó el archivo VLAN.DAT en el S4. El S4 tiene el mismo nombre de dominio VTP configurado que los otros dos switches pero su número de revisión es 35, que es un número más alto que el número de revisión en los otros dos switches. El S4 tiene VLAN 1 y se configura con la VLAN 30 y 40. Pero no tiene las VLAN 10 y 20 en la base de datos. Desafortunadamente, debido a que el S4 tiene un número de revisión más alto, el resto de los switches en el dominio se sincronizarán con la revisión del S4. Como consecuencia, las VLAN 10 y 20 no existirán más en los switches, lo que deja sin conectividad a los clientes que están conectados a los puertos que pertenecen a VLAN no existentes.
El número de revisión de configuración del VTP se almacena en la NVRAM (o Flash en algunas plataformas) y no se restablece si borra la configuración del switch y lo vuelve a cargar. Para restablecer el número de revisión de configuración del VTP en cero tiene dos opciones:
Cambie el dominio VTP del switch a un dominio VTP inexistente y luego vuelva a cambiar el dominio al nombre original.
Cambie al modo VTP del switch al modo transparente y luego vuelva al modo anterior del VTP.
Nota: Los comandos para restablecer el número de revisión de configuración del VTP se analizan en el próximo tema.
Configuración del VTP: Descripción general Complete los siguientes pasos para configurar el VTP: Paso 1: Configure el servidor VTP Paso 2: Configure el nombre de dominio y la contraseña del VTP Paso 3: Configure los clientes VTP Paso 4: Configure la VLAN en el servidor VTP Paso 5: Verifique que los clientes VTP hayan recibido la nueva información de la VLAN
La figura representa la topología de referencia utilizada en esta sección para configurar y comprobar una implementación del protocolo VTP. El switch S1 será el servidor VTP mientras que el S2 y el S3 serán los clientes.
Paso 1: Configure el servidor VTP Confirme que todos los switches están configurados con las configuraciones predeterminadas para evitar cualquier problema con los números de revisión de configuración. Configure el S1 como servidor VTP con el comando de configuración global vtp mode server, como se muestra en la figura 1.
Emita el comando show vtp status para confirmar que el S1 es el servidor VTP, como se muestra en la figura 2.Observe que el número de revisión de configuración todavía está configurado en 0 y la cantidad de VLAN existentes es 5. Esto sucede porque n o se configuró ninguna VLAN todavía y el switch no pertenece a un dominio VTP. Las 5 VLAN son la VLAN 1 predeterminada y las VLAN 1002-1005.
Paso 2: Configure el nombre de dominio y la contraseña del VTP Para configurar el nombre de dominio, se utiliza el comando de configuración global vtp domain domain-name . En la figura 1, el nombre de dominio se configura como CCNA en el S1. El switch S1 luego envía una publicación del VTP al S2 y el S3. Si el S2 y el S3 tienen la configuración predeterminada con el nombre de dominio NU LL, entonces ambos switches aceptarán CCNA como el nuevo nombre de dominio del VTP. El cliente VTP debe tener el mismo nombre de dominio que el servidor del VTP antes de que acepte las publicaciones del VTP.
Por razones de seguridad, se debe configurar una contraseña usando el comando vtp password password . En la figura 2, la contraseña de dominio del VTP se configura en cisco12345. Todos los switches en el dominio del VTP deben utilizar la misma contraseña de dominio del VTP. Compruebe la contraseña del VTP mediante el comando show vtp password, como se muestra en la figura 2.
Paso 3: Configure los clientes VTP Configure S2 y S3 como clientes VTP en el d ominio CCNA utilizando la contraseña de VTP cisco12345. La configuración para el S2 se muestra en la figura. El S3 tiene una configuración idéntica.
Paso 4: Configure la VLAN en el servidor VTP Actualmente, no hay ninguna VLAN configurada en el S1, con excepción de las VLAN predeterminadas. Configure 3 VLAN, como se muestra en la figura 1.
Compruebe las VLAN en el S1, como se muestra en la figura 2.
Observe que las 3 VLAN ahora están en la b ase de datos de VLAN. Compruebe el estado del protocolo VTP, como se muestra en la figura 3.
Observe que el número de revisión de configuración se incrementó seis veces a partir del valor predeterminado de 0 a 6. Esto es porque se agregaron tres nuevas VLAN con nombre. Cada vez que el administrador realiza un cambio en la base de datos de VLAN del servidor VTP, este número se incrementará en uno. La cantidad aumentó en uno cuando se agregó una VLAN y en uno cuando se configuró el nombre para la VLAN.
Paso 5: Verifique que los clientes VTP hayan recibido la nueva información de la VLAN En el S2, compruebe que las VLAN configuradas en el S1 se hayan recibido y se hayan ingresado en la base de datos de VLAN en el S2 con el comando show vlan brief, como se muestra en la figura 1.
Tal como se previó, las VLAN configuradas en el s ervidor VTP se han propagado al S2. Compruebe el estado del protocolo VTP en el S2, como se muestra en la figura 2.
Observe que el número de revisión de configuración en el S2 es el mismo que el número del servidor VTP. Debido a que el S2 opera en modo cliente VTP, no se permiten los intentos para configurar las VLAN, como se muestra en la figura 3.
Rangos de VLAN en los switches Catalyst Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de VLAN que admiten es suficiente para satisfacer las necesidades de la mayoría de las organizaciones. Por ejemplo, los switches de las series Catalyst 2960 y 3560 admiten más de 4000 VLAN. Las VLAN de rango normal en estos switches se numeran del 1 al 1005, y las VLAN de rango extendido se numeran del 1006 al 4094. En la figura 1, se muestran las VLAN disponibles en un switch Catalyst 2960 que ejecuta IOS de Cisco, versión 15.x. En la tabla 2, se muestran las características de las VLAN de rango normal y de rango extendido.
VLAN de rango normal
Se utiliza en redes de pequeños y medianos negocios y empresas.
Se identifica mediante una ID de VLAN entre 1 y 1005.
Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI.
Las ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar.
Las configuraciones se almacenan en un archivo de base de datos de VLAN, denominado vlan.dat. El archivo vlan.dat se encuentra en la memoria flash del switch. El protocolo de enlace troncal de VLAN (VTP), que permite administrar la configuración de VLAN entre los switches, solo puede detectar y almacenar redes VLAN de rango normal.
VLAN de rango extendido
Posibilita a los proveedores de servicios que amplíen sus infraestructuras a una cantidad de clientes mayor. Algunas empresas globales podrían ser lo suficientemente grandes como para necesitar las ID de las VLAN de rango extendido.
Se identifican mediante una ID de VLAN entre 1006 y 4094.
Las configuraciones no se escriben en el archivo vlan.dat.
Admiten menos características de VLAN que las VLAN de rango normal.
Se guardan en el archivo de configuración en ejecución de manera predeterminada.
VTP no aprende las VLAN de rango extendido.
Nota: la cantidad máxima de VLAN disponibles en los switches Catalyst es 4096, ya que el campo ID de VLAN tiene 12 bits en el
encabezado IEEE 802.1Q.
Creación de una VLAN Al configurar redes VLAN de rango normal, los detalles de configuración se almacenan en la memoria flash del switch en un archivo denominado vlan.dat. La memoria flash es persistente y no requiere el comando copy running-config startup-config . Sin embargo, debido a que en los switches Cisco se suelen configurar otros detalles al mismo tiempo que se crean las VLAN, es aconsejable guardar los cambios a la configuración en ejecución en la configuración de inicio. En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se utiliza para agregar una VLAN a un switch y asignarle un nombre. Se recomienda asignarle un nombre a cada VLAN en la configuración de un switch.
En la figura 2, se muestra cómo se configura la VLAN para estudiantes (VLAN 20) en el switch S1. En la topología de ejemplo, observe que a la computadora del estudiante (PC2) se le ha asignado una dirección IP adecuada para VLAN 20, pero el puerto al que se conecta la PC aún no se ha asociado a una VLAN.
Además de introducir una única ID de VLAN, se puede introducir una serie de ID de VLAN separadas por comas o un rango de ID de VLAN separado por guiones con el comando vlan id-de-vlan . Por ejemplo, utilice el siguiente comando para crear las VLAN 100, 102, 105, 106 y 107: S1(config)# vlan 100,102,105-107
Asignación de puertos a las redes VLAN Después de crear una VLAN, el siguiente paso es asignar puertos a la VLAN. Un puerto de acceso puede pertenecer a una sola VLAN por vez; una excepción a esta regla es un puerto conectado a un teléfono IP, en cuyo caso, hay dos VLAN asociadas al puerto: una para voz y otra para datos. En la figura 1, se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a una VLAN. El comando switchport mode access es optativo, pero se aconseja como práctica recomendada de seguridad. Con este comando, la interfaz cambia al modo de acceso permanente.
Nota: utilice el comando interface range para configurar varias interfaces simultáneamente.
En el ejemplo de la figura 2, la VLAN 20 se asigna al puerto F0/18 del switch S1; por lo tanto, la computadora de estudiantes (PC2) está en la VLAN 20. Cuando se configura la VLAN 20 en otros switches, el administrador de red sabe que debe configurar las otras computadoras de estudiantes para que estén en la misma subred que la PC2 (172.17.20.0/24).
El comando switchport access vlan fuerza la creación de una VLAN si es que aún no existe en el switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan brief del switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz sin configuración previa, el switch muestra lo siguiente: % Access VLAN does not exist. Creating vlan 30
Verificación de información de VLAN Una vez que se configura una VLAN, se puede validar la configuración con los comandos show de IOS de Cisco. En la figura 1, se muestran las opciones de los comandos show vlan y show interfaces.
En el ejemplo de la figura 2, el comando show vlan name student muestra información que también se encuentra con el comando show vlan brief, pero solo para la VLAN 20, que es la VLAN del estudiante. Observe el estado activo y los puertos de switch asignados a la VLAN. El comando show vlan summary muestra el conteo de todas las VLAN configuradas. La salida de la figura 2 muestra siete VLAN.
El comando show interfaces vlan id-de-vlan devuelve detalles sobre la VLAN. En la segunda línea, indica si la VLAN está activa o inactiva, como se muestra en la figura 3.
Configuración de VLAN extendidas Las VLAN de rango extendido se identifican por medio de una ID de VLAN que puede ir de 1006 a 4094. En la figura 1 se muestra que, de manera predeterminada, un switch Catalyst 2960 Plus no admite VLAN extendidas. Para configurar una VLAN extendida en un switch 2960, se debe establecer en el modo VTP transparente.
En la figura 2, se muestra cómo crear una VLAN de rango extendido en el switch Catalyst 2960 Plus.
El comando show vlan brief permite comprobar que se creó la VLAN, como se muestra en la figura 3. La salida confirma que se configuró la VLAN extendida 2000 y está activa.
Nota: Un switch Cisco Catalyst 2960 puede admitir hasta 255 VLAN de rango normal y rango extendido. Sin embargo, la cantidad
de VLAN configurada afectará el rendimiento del hardware del switch.
Introducción a DTP Las interfaces troncales Ethernet admiten diferentes modos de enlace troncal. Una interfaz se puede establecer como troncal o no troncal, o esta puede negociar el enlace troncal con la interfaz vecina. La negociación de enlaces troncales entre dispositivos de red la maneja el protocolo de enlace troncal dinámico (DTP), que solo funciona de punto a punto. DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches de las series Catalyst 2960 y Catalyst 3560. Los switches de otros proveedores no admiten el DTP. DTP maneja la negociación de enlaces troncales solo si el puerto del switch vecino está configurado en un modo de enlace troncal que admite DTP. Precaución: algunos dispositivos de interredes pueden reenviar tramas DTP de manera incorrecta, lo que puede causar errores
de configuración. Para evitar esto, desactive DTP en las interfaces de los switches Cisco conectadas a dispositivos que no admiten DTP.
La configuración predeterminada de DTP para los switches Cisco Catalyst 2960 y 3560 es dinámico automático, como se muestra en la figura 1, en la interfaz F0/3 de los switches S1 y S3.
Para habilitar los enlaces troncales desde un switch Cisco hacia un dispositivo que no admite DTP, utilice los comandos switchport mode trunk y switchport nonegotiate del modo de configuración de interfaz. Esto hace que la interfaz se convierta en un enlace troncal, pero sin que genere tramas DTP. En la figura 2, el enlace entre los switches S1 y S2 se convierte en un enlace troncal porque los puertos F0/1 de los switches S1 y S2 se configuraron para omitir todos los anuncios de DTP, así como para aparecer y permanecer en modo de puerto de enlace troncal. Los puertos F0/3 de los switches S1 y S3 se establecieron en modo dinámico automático, de modo que el resultado de la negociación es el estado de modo de acceso. Esto genera un enlace troncal inactivo. A fin de configurar un puerto para que esté en modo de enlace troncal, utilice el comando switchport mode trunk . No existe ambigüedad sobre el estado en que se encuentra el enlace troncal: este se encuentra si empre activo.