Cuando un puerto del switch ha sido configurado como un enlace troncal, este es etiquetado con su respectivo identificador de número de vlan. Las tramas de todas las vlan son trasportadas por un enlace en modo troncal, por medio de la un tag que puede ser 802.1Q o ISL, exceptuando a esto, las tramas que pertenecen a la vlan 1.
Por defecto todas las tramas pertenecen a la vlan 1, a su vez pertenecen tambien a la vlan nativa, ademas estas tramas son transportadas sin etiqueta por el enlace troncal.
Switch(config-if)#switchport trunk native vlan vlan-id
Es recomendado que la vlan nativa nunca sea ocupada para usos administrativos.
Esta vlan originalmente fue usada para controlar trafico como: CDP, VTP, PAgP, DTP, que son transmitidos por la vlan 1. Si tu cambias la etiqueta de la vlan nativa a cualquiera que no sea la vlan 1, todo el control de trafico debería ser transmitido por la vlan 1. Es decir, el cambio de vlan no modifica el control de tráfico, Esto ayuda a que el control de trafico por defecto efectuado solo por la vlan 1 y no por la vlan nativa.
Es importante asegurar que ambos extremos de una conexión switch a switch, tengan una consistente configuracion de vlan nativa. Si la vlan nativa en ambos extremos no es la misma, esto podría atentar el flujo entre Vlan, aunque IOS recientes avisan de este error.
Comandos Basicos
Para crear una vlan de administracion
switch#conf t
switch(config)#vlannumero de vlan .
switch(config)#namenombre deseado para la vlan .
switch(config)#exit
switch#sh vlan
Configurar IP al switch (es decir, se crea la vlan administrtiva)
switch#conf t
switch(config)#interface vlan nuero de la VLAN de administracion
switch(config-if)#ip address // Se asigna la ip recuerda debe estar en el mismo rango que la de la SubInterfaz del router.
EJEMPLO:
SWITCH:
interface FastEthernet0/2 // Es la que va conectada al Router
switchport trunk native vlan 11 // Asigno mi Vlan Adminstradora como Nativaswitchport access vlan 11
switchport mode trunk
interface Vlan11 // Asigno la ip a la Vlan de Adminstracion
ip address 172.16.6.2 255.255.255.248
SERVER_DF(config)#ip default-gateway 172.16.6.1 // Es la ip de la SubInterfaz
ROUTER:
interface GigabitEthernet1/0.11 // Es mi SubInterfazdescription Vlan de Administracion DF
encapsulation dot1Q 11 native
ip address 172.16.6.1 255.255.255.248
Configurar default-gateway al switch
switch#conf t
switch(config)#ip default-gatewayIP del router // La de la Subinterfazswitch(config)#end
switch#wr
Ejemplo:
SERVER_DF(config)#ip default-gateway 172.16.6.1 // Es la ip la SubInterfaz
Para habilitar TELNET
switch#conf t
switch(config)#line vty 0 4
switch(config)#passwordcontraseña deseada
switch(config)#login
switch(config)#exit
switch#wr
Recuerde que para que la computadora pueda hacerle telnet al switch, el puerto al que se conecta dicha computadora debe pertenecer ala misma VLAN que el switch
Para agregar vlans a un grupo permitido se hace
switch#conf t
switch(config)#interface numero de la interface
switch(config-if)# switchport trunk allowed vlan add numero de la vlan
switch(config-if)#end
switch(config)#exit
switch#wr
Para modificar la vlan nativa del enlace troncal
switch#conf t
switch(config)#interface numero de la interface
switch(config-if)# switchport trunk native vlan numero de la vlan
switch(config-if)#end
switch(config)#exit
switch#wr
ENRUTAMIENTO
Algunos de los trabajos en redes en mi Universisdad han llegado a ser muy latosos les presento algunos para que los chequen.
Algunos de los tipos de enrutamiento:
OSPF
RIP
EIGRP
ESTATICO
Configurar OSPF
(Configuración Básica)
Router> enable
Router# config terminal
Router(config)# router ospf 1
(número del 1 al 65535 como ID de Proceso, este número lo adjudica el admin y no tiene que coinidir entre routers de la misma área para ser vecinos)
Router(config-router)# network 10.0.0.0 0.0.0.255 area 0
(publicamos la red directamente conectada, siempre hay que utilizar la wilcard y el ID del área debe ser la misma para todos los routers del área)
Router(config-router)# network 192.168.10.8 0.0.0.3 area 0
(publicamos la subred directamente conectada, siempre hay que utilizar la wilcard y el ID del área debe ser la misma para todos los routers del área)
Configurar EIGRP
(Configuración Básica)
Router> enable
Router# config terminal
Router(config)# router eigrp 100
(número del 1 al 65535 como ID de Proceso / Sistema Autónomo, los routers para ser vecinos (adyacentes) tiene que poseer el mismo ID de Proceso / Sistema Autónomo)
Router(config-router)# network 10.0.0.0
(publicamos la red directamente conectada)
Router(config-router)# network 192.168.10.8 0.0.0.3
(con la máscara wilcard publicamos una subred específica directamente conectada)
Configuración de Rutas Estáticas
Las rutas estáticas se configuran mediante el comando ip route, en el modo configuración global, utilizando la siguiente sintaxis:
Router(config)# ip route « IP destino + máscara de red destino ó subred destino » « IP del siguiente salto ó interfaz de salida » « distancia administrativa »
IP destino + máscara de red o subred destino: La IP específica la red o host que se quiere alcanzar junto con la máscara de red o subred correspondiente.
IP del siguiente salto: Es la IP de la interfaz del router conectado directamente al router donde se está configurando la ruta estática.
Interfaz de salida: Es la interfaz serial del router donde se está configurando la ruta estática. Se utiliza en el caso de desconocer la IP del siguiente salto.
Distancia administrativa: Si no se especifica distancia administrativa, esta tomará el valor por defecto de 1 en la tabla de enrutamiento. El valor puede ser de 1-255, siendo 1 el valor que da más importancia a la ruta.
Configurar RIP
(Configuración Básica)
RIP es muy fácil de configurar así que no creo que tengan problemas.
Cualquier cosa o duda me consultan.
Router> enable
Router# config terminal
Router(config)# router rip
Router(config-router)# network 10.0.0.0
(publicamos la red directamente conectada)
Router(config-router)# network 172.16.0.0
(publicamos la red directamente conectada)
Router(config-router)# version 2
(habilitamos la versión 2 de RIP)
Excelente!! ! Era la informaci´n que me faltaba. Veamos si logro implementarla. Gracias Marlon!
ResponderEliminarSaludos.
Gracias!
ResponderEliminarQué tal, tengo una duda
ResponderEliminarSegún he leído no recomiendan poner la VLAN de administración y la VLAN nativas juntas. ¿por qué lo configuras así?
Gracias y saludos.
Gracias,te pasaste man!!!
ResponderEliminarMUY SUPERFICIAL LA EXPLICACION.. PERO GRACIAS DE TODAS FORMAS
ResponderEliminarYo quisiera saber podrias realizar un ejemplo de una vlan con acl
ResponderEliminarGracias
Hola tengo inconvenientes para darle salida a internet a unas vlan, necesito de un router o puedo hacerlo en un L3.
ResponderEliminarGracias por la informacion que me puedan facilitar
Hola, muy buen articulo pero hay algo que me gustase aclarar
ResponderEliminarEl uso principal de la VLAN nativa es la transmisión de información de gestión (CDP, STP, VTP, etc.)., tambien tienen otras funcionalidades como permitir la compatibilidad con switches que no utilizan el protocolo 802.1q.
Por motivos de seguridad es recomendable que un puerto que participa en un enlace troncal cumpla con los siguientes parámetros:
Se declare específicamente el protocolo de encapsulado utilizar en el trunk (ISL o 802.1q(dot1q)) (nonegotiete)
Cambiar la VLAN nativa por defecto (1) a a cualquier otra y no asignarla a ningún puerto
Los puertos que no sean trunk definirlos como access port
Y se aconseja un shutdown administrativo de los puertos que no se esten utilizando
Estas medidas son para intentar mitigar el VLAN Hopping (compuesto principalmente por 2 tipos de ataques Switch spoofing y Double tagging)
Muy bueno tio me sirvio rearto saludos desde Peru. Academy Cisco Peru
ResponderEliminarMil gracias hermanooooooooo
ResponderEliminarBueno el juego de peces xd
ResponderEliminar:c
ResponderEliminarGracias por publicar!!!!
Eliminar