15 de mayo de 2011

Algunas notas sobre VLANs

Quizás nos resulte frecuente la configuración básica de VLANs en los switches Catalyst. 
Para crear una VLAN simplemente hay que ingresar al modo de configuración y crearla:
Switch#config t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#name PRUEBA
Sin embargo, hay algunos detalles respecto del almacenamiento de esta configuración que no solemos tener en cuenta.
La operación por defecto
El sistema operativo de los switches Catalyst incluye el protocolo VTP (Virtual Trunk Protocol), propietario de Cisco.
Este protocolo permite administrar dinámicamente la configuración de las VLANs en múltiples switches de modo simultáneo. Cada switch opera en uno de tres modos posibles: servidor, cliente o transparente. Por defecto los switches Catalyst son servidores VTP por defecto.
Para poder compartir la configuración de VLANs, VTP comparte una base de datos de VLANs que es almacenada en la memoria flash del switch bajo el nombre de vlan.dat.  Cuando se crea, borra o modifica una VLAN se modifica este archivo.
Si observamos atentamente, cuando creamos una VLAN en un switch Catalyst operando en su modo por defecto (servidor VTP), nuestros comandos de configuración de VLANs no aparecen en el archivo de configuración ya que está almacenada en el archivo vlan.dat.
¿Cómo verificamos que el dispositivo está como servidor VTP?
Utilizando el siguiente comando:

Switch#sh vtp status
VTP Version.....................: 2
Configuration Revision..........: 0
Maximum VLANs supported locally :255
Number of existing VLANs .......: 6
VTP Operating Mode..............: Server
VTP Domain Name.................:
VTP Pruning Mode................: Disabled
VTP V2 Mode.....................: Disabled
VTP Traps Generation............: Disabled
MD5 digest......................: 0xA6 0x9B 0x45 0x5B 0x72 0xDE 0xB2 0x10
Configuration last modified by 10.2.2.11 at 0-0-00 00:00:00
De esta forma, en la operación por defecto, el único modo que tenemos de verificar la configuración de las VLANs es utiliza el comando show correspondiente.

Switch#sh vlan brief


VLAN Name                 Status  Ports
---- -------------------- ------- -------------------------------
1....default..............active..Fa0/1, Fa0/2, Fa0/3, Fa0/4
..................................Fa0/5, Fa0/6, Fa0/7, Fa0/8
..................................Gi0/1
10...PRUEBA...............active
1002 fddi-default.........act/unsup
1003 token-ring-default...act/unsup
1004 fddinet-default......act/unsup
1005 trnet-default........act/unsup
No vemos nada en nuestro archivo de configuración.
¿Qué pasa en los switches que están en modo transparente?
Esto cambia significativamente cuando pasamos nuestro switch a modo transparente:
Switch#config t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vtp mode transparent
Setting device to VTP TRANSPARENT mode.
Switch(config)#exit
01:02:43: %SYS-5-CONFIG_I: Configured from console by console
Switch#sh vtp status
VTP Version.....................: 2
Configuration Revision..........: 0
Maximum VLANs supported locally : 255
Number of existing VLANs........: 6
VTP Operating Mode..............: Transparent
VTP Domain Name.................:
VTP Pruning Mode................: Disabled
VTP V2 Mode.....................: Disabled
VTP Traps Generation............: Disabled
MD5 digest......................: 0xA6 0x9B 0x45 0x5B 0x72 0xDE 0xB2 0x10
Configuration last modified by 10.2.2.11 at 0-0-00 00:00:00
Switch#_
Los switches Catalyst que operan en modo transparente almacenan los comandos de configuración de las VLANs en su archivo de configuración:
Switch#config t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#name PRUEBA
Switch(config-vlan)#exit
Switch(config)#exit
Switch#sh run
Building configuration...
Current configuration : 864 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
!
vtp mode transparent
!
!
vlan 10
 name PRUEBA
!
interface FastEthernet0/1
!
Obviamente que también podemos revisar la configuración de VLANs utilizando el comando show vlan brief.

¿Tenés alguna información o comentario para aportar en este tema....?
¡Perfecto! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta


Si el blog te ha resultado de utilidad y querés contribuir con su sostenimiento,
no hagas una donación, comprá un libro.

14 comentarios:

  1. Hola Oscar

    En primer lugar queria felicitarte, consulto tu blog con asiduidad cuando se me genera un problema. Creo que es muuy completo.

    Me ha surgidouna duda ¿como puedo acceder a un switch transparente tanto desde un router o switch? Me ha pasado de que ese switch no sale reflejado en la tabla de MAC's del switch al que esta conectado pero si aparecerme por CDP. Pero al realizar un ping o Telnet a la IP no lo ha completado y no se ha podido entrar.

    Muchas gracias

    Un saludo

    ResponderEliminar
  2. Estimado. Si el switch se está viendo por CDP desde un dispositivo vecino, entonces está operando bien a nivel de capa 1 y 2.
    Si además podés ver la dirección IP utilizando show cdp neighborg detail, entonces está configurado.
    Si así no llegás con el ping desde uno de los vecinos, hay algún error de capa 3. Alguna dirección IP mal configurada. Sugiero que revises por ese lado.

    ResponderEliminar
  3. Primero que nada una felicitacion por tu blog, lo he visitado en varias ocaciones en busca de aprender mas sobre las redes que me parecen muy interesantes.
    Volviendo a mi consulta, el problema que se me presento en mi centro de trabajo es el siguiente: Se quiere instalar un servidor de replicacion para actualizaciones de antivirus, la red consta de 5 vlans con diferentes permisos y privilegios. El equipo que hara de servidor es una PC comun por lo que solo tiene una inteface ethernet y necesito tener acceso a el desde cualqueir vlan, el switch es un Catalyst 2960 de 48 puertos. Te agradesco de antemano tu ayuda y esperare tu respuesta ya sea por este medio o por correo deneddy.fierro@gmail.com

    ResponderEliminar
  4. Bullrock
    Para poder mantener tráfico entre terminales y servidores que están en diferentes VLANs, es necesario implementar enrutamiento entre las diferentes VLANs.
    Contando únicamente con un Cat 2960 eso no es posible, ya que se trata de un switch de capa 2, y por lo tanto no rutea.
    Una solución sería implementar router on stick, con un router externo que quizás tengas. Para eso te sugiero revisar: http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example09186a00800949fd.shtml
    En su defecto, otra opción es migrar a un switch layer 3, que entonces te permitirá enrutar entre las VLANs en el mismo switch.

    ResponderEliminar
  5. Nuevamente pidiendo tu ayuda, he conseguido un 3560, ahora si me pudieras ayudar con los comandos para el enrutamiento de las vlans a un puerto de switch, ya he migrado las vlans, cada vlan ya tiene asignados sus respectivos puertos y he dejado el puerto Fa 0/12 para el servidor. Quisiera ver si es posible que me mostraras los comandos ya que me es mas facil comprender el codigo y es que en realida en redes aun me considero un novato pero siempre con muchas ganas de aprender. De antemano doblemente agradecido, por tu tan pronta respuesta en la duda anterior y por esta nueva que se tu respuesta sera nuevamente satisfactoria

    ResponderEliminar
  6. Bullrock.
    Si vas a implementar un Cat 3560 (este si es capa 3), tenés una introducción al tema en este post: http://librosnetworking.blogspot.com/2009/05/configurando-un-switch-multilayer.html
    Ahí mismo encontrarás un enlace a la guía de configuración de este switch.

    ResponderEliminar
  7. Hola Oscar,
    es la primera vez que posteo en tu blog y no se si es el sitio correcto...pero bueno, intentaré explicarte mi problema para ver si me puedes ayudar en algo:

    Dispositivos:
    - ap cisco aironet 1250
    - switch hp 1905 poe 8 ports

    Tengo configurado el ap con 2 vlan (vlan1:privada, vlan2:open), configurando el puerto fa0 como trunk creando dos sub-interfaces y encapsulamiento dot1q. Este Ap ha estado funcionando correctamente hasta que se estropeó el switch donde estaba conectado. Ahora he adquirido un switch hp 1905 (3com) para sustituir el averiado, pero no consigo configurarlo correctamente.
    La configuración del switch es la siguiente:
    SwitchHP(configure)# interface ethernet 1/1
    SwitchHP(configure-if)# switchport mode hybrid
    SwitchHP(configure-if)# switchport allowed vlan add 1 untagged
    SwitchHP(configure-if)# interface ethernet 1/2
    SwitchHP(configure-if)# switchport allowed vlan add 1 untagged
    SwitchHP(configure)# interface ethernet 1/7
    SwitchHP(configure-if)# switchport mode hybrid
    SwitchHP(configure-if)# switchport allowed vlan add 2 untagged
    SwitchHP(configure-if)# switchport allowed vlan remove 1
    SwitchHP(configure-if)# switchport native vlan 2
    SwitchHP(configure)# interface ethernet 1/8
    SwitchHP(configure-if)# switchport mode hybrid
    SwitchHP(configure-if)# switchport allowed vlan add 2 untagged
    SwitchHP(configure-if)# switchport allowed vlan remove 1
    SwitchHP(configure-if)# switchport native vlan 2

    como puedes ver, tengo creadas 2 vlans en puertos con modo access (untagged) donde van conectados otros pcs. Hasta aquí funciona correctamente, por lo que el problema viene cuando voy a configurar el puerto "trunk" o hybrid conectado al ap:
    SwitchHP(configure)# interface ethernet 1/5
    SwitchHP(configure-if)# switchport allowed vlan add 2 tagged
    SwitchHP(configure-if)# switchport allowed vlan add 1 untagged
    SwitchHP(configure-if)# switchport native vlan 1

    Puedes ver que he activado el etiquetado en la vlan2 ya que desde el AP me enviará estas tramas etiquetadas, ya que la vlan 1 es la nativa. Con esta configuración no consigo hacerlo funcionar ya que o me funciona una vlan o la otra, por lo que deduzco que el switch esta descartando paquetes.
    ¿Puedo configurar la vlan 2 en el switch como tagged, sabiendo que el dispositivo conectado a ese puerto es un pc y por lo tanto no está etiquetado?(me refiero a los puertos 1/7-8)

    Gracias de antemano; Por cierto, felicitarte por tu buen trabajo en el blog, muy útil y bien explicado.

    ResponderEliminar
  8. Estimado.
    Desconozco cómo opera el sistema operativo de los switches HP, y las consecuencias de cada uno de los comandos que estás ingresando. Siento no poder ayudarte.

    ResponderEliminar
  9. Buenos Dias y mi agradecimiento por el blog y sus libros (soy el feliz poseedoir de Principioas basicos de networking) el cual me ayuda muchisimo en mi labor.
    Mi consulta es la siguiente, si es tan amable.

    Cual es laforma/metodo para implementar la validacion de hosts mediante active directory de modo que al conectar un host a CUALQUIER boca de piso en CUALQUIER switch del edificio, este identifique esa MAC, user/credenciales y lo envie a la VLAN correspondiente, y en caso de no existir ese user lo mande a , digamos, la VLAN REMEDIACION donde NO tendra a acceso a NADA.
    Debo validar por Radius/Tacacs me imagino, pero como implemento en los sw esa validacion? cualquier pista es valida asi continuo investignado.

    Muy amable

    ResponderEliminar
    Respuestas
    1. Alberto.
      La implementación que querés hacer es un poco más compleja de explicar que estas pocas líneas.
      Lo que querés hacer se puede hacer de 2 formas: utilizando NAC o implementando guest VLAN.
      En ambos casos, no es el Active Directory directamente el que realiza esa tarea, sino que es la base de datos de usuarios. Si implementas NAC, el servidor de autenticación de NAC utiliza la base de datos de usuarios de AD para esto, si lo haces con guest VLAN, es el controlador el que hará la consulta.
      Por lo tanto es el servicio de NAC o el de guest VLAN el que indica al puerto del switch que debe poner a ese cliente en una VLAN específica para que, como dices, no acceda a nada, o solamente tenga acceso a Internet.

      Eliminar
  10. Oscar buen día, supongamos que tengo un switch core en donde creo todas vlans y ese dispositivo conecta a otros swiches con topología estrella. Mi pregunta seria, que es lo mas recomendable de colocar al switch core, en modo server o client?? y en los demás switches de acceso estaría bien en modo client??

    ResponderEliminar
    Respuestas
    1. Andrés.
      En primer lugar, no es aconsejable que los VLANs lleguen hasta el switch de Core. Las VLANs debieran tener su gateway, al menos, en el switch de distribución.
      En segundo lugar, la best practice es no utilizar VTP, y por lo tanto todos los switches, incluidos el core, debieran estar en modo transparente.
      Si vas a utilizar, y la topología es una estrella clara, la mejor opción es que el core sea server.

      Eliminar
  11. Que solución es factible utilizar si por ejemplo tenemos otros equipos que no son CISCO que es lo que tu persona sugiere en este caso, deshabilitar el vtp o que otra alternativa hay?

    ResponderEliminar
    Respuestas
    1. Como dije en la respuesta anterior, la mejor opción es no utilizar VTP (poner los switches en modo transparente) y gestionar las VLANs switch por switch.
      Si buscás un modo de facilitar esto porque la cantidad de switches es elevada, debieras tener una consola SNMP de gestión y puedes gestionarlas a través de SNMP de modo centralizado utilizando plantillas de configuración.
      Por último, tienes la opción de un protocolo estándar: GVRP, que no es exactamente lo mismo que VTP. Lo puedes revisar aquí: http://www.ciscopress.com/articles/article.asp?p=29803&seqNum=5

      Eliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.