28 de junio de 2015

Configuración de SVIs en switches Catalyst



¿Qué es una SVI?

Cuando ingresamos en el mundo de los switches capa 3 uno de los primeros conceptos que se incorporan es el de SVI (Switch Virtual Interface).

¿Qué es una SVI?
Se trata de una interfaz virtual, no vinculada a ningún puerto físico del dispositivo, que opera como una interfaz completa (incluyendo capa 3) de salida de una VLAN.
Típicamente una SVI es el default gateway de las terminales que forman parte del dominio de broadcast definido por una VLAN. Proporciona posibilidades de procesamiento en capa 3 a los paquetes que tienen origen o destino en puertos que son parte de la VLAN, en consecuencia es posible configurar la mayoría de los features vinculados a capa 3 de los puertos de los routers (dirección IP, ACLs, etc.) en estas interfaces.

¿Para qué utilizaría una SVI?
Estas interfaces virtuales tienen múltiples aplicaciones, entre las principales podemos mencionar:
  • Proporcionar en los switches capa 3 un interfaz que pueda operar como gateway de la VLAN, permitiendo de este modo enrutar tráfico hacia y desde las VLANs sin necesidad de un router.
  • Permitir el bridging de VLANs en el caso de protocolos no ruteables.
  • Posibilitar la conectividad de capa 3 en los switches (como en los switches LAN, donde se utiliza una SVI para definir la IP de gestión).
  • Soportar la configuración de protocolos de enrutamiento.

SVIs en Cisco IOS
  • Los switches Catalyst (tanto capa 2 como capa 3) presentan una interfaz SVI creada por defecto que es la interfaz VLAN1. Dado que la VLAN 1 es por defecto la VLAN de gestión en switches Catalyst, esta es la interfaz en la que se ingresa la configuración IP necesaria para el acceso por Telnet, SSH, HTTP y HTTPS.
  • El comando interface vlan [ID] permite crear una SVI asociada a la VLAN cuyo ID se aplica, e ingresar al modo de configuración de esa interfaz.
  • Se realiza un mapeo uno a uno entre VLANs y SVIs ,por lo tanto cada SVI puede estar asociada a una única VLAN, y cada VLAN puede asociarse a una única SVI.
Para que una SVI (la interfaz) se muestre como up/up es necesario que:
  • La VLAN exista y esté activa en la base de datos de VLANs del switch.
  • Que la interfaz VLAN no se encuentre administratively down (por defecto en IOS están en este estado).
  • Exista al menos un puerto (de acceso o troncal) activo y en estado de STP forwarding sobre esa VLAN
Configuración de una SVI
  • Identifique a qué VLAN desea dotar de un gateway.
  • Si no existe la VLAN en el dispositivo, créela (puede utilizar el comando show vlan brief para verificar esto).
  • Cree la SVI con el comando interface vlan [ID].
  • Habilite administrativamente la interfaz.
  • Asigne la configuración IP necesaria a la interfaz.
  • Asegúrese que el enrutamiento IP se encuentre habilitado en el dispositivo.
  • Si es necesario, configure el protocolo de enrutamiento deseado.
Una vez creadas las SVIs pueden monitorearse con los comandos de monitoreo de interfaces regulares, como por ejemplo show ip interfaces brief.

Switch#configure terminal
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface vlan 10
Switch(config-if)#no shutdown
Switch(config-if)#ip address 172.16.1.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#ip routing

Enlace de referencia:


5 de junio de 2015

Enrutamiento IP en entornos con VRFs

Cuando implementamos VRFs podemos diferencias, en principio, 2 redes que están operando e interactuando entre sí:
  • La red de servicios que es la que opera brindando conectividad entre extremos distantes. Este es el rol esencial de la red del Proveedor de Servicios clásico.
  • La red cliente que es la red dispersa que necesita interconectar puntos remotos a través de la red de servicios. Si bien en la gráfica de más abajo representé una única red cliente para mayor claridad, sobre una red de servicio pueden conectarse múltiples redes cliente diferentes sin que ocurran superposiciones de ningún tipo.
Cada una de estas redes tienen su propio dominio de enrutamiento, completamente independiente. Para que todo esto funcione hay que considerar 3 dominios de enrutamiento diferentes:
  • El dominio de enrutamiento de la red cliente que utiliza un protocolo de enrutamiento para gestionar las rutas de la red cliente. Típicamente es un IGP (RIPv2, EIGRP, OSPF), pero también es posible que utilice BGP.
  • El dominio de enrutamiento de la red de servicios que utiliza un protocolo de enrutamiento interior para gestionar las rutas de la red de servicios. Típicamente encontramos en este caso OSPF, EIGRP o IS-IS.
  • El dominio de enrutamiento BGP de la red de servicios que utiliza un address-family vpnv4  para transportar las rutas de la red cliente a través de la red de servicios.
Para que BGP pueda transportar las rutas de la red cliente es necesario que se redistribuyan las rutas de la red cliente dentro de un address-family asociado a la VRF de la red cliente, del mismo modo que las rutas del address-family luego deben ser redistribuidas dentro de la VRF.
De esta forma, el transporte de rutas de la red cliente sobre la red de servicios puede ser representado de la siguiente manera:
Consecuencias de esto:
  • Las rutas de la red cliente solamente se encuentran en la tabla de enrutamiento de las VRFs y los CEs. Nunca se incorporan a la tabla de enrutamiento de la red de servicios (PEs y Ps).
  • Las rutas de la red de servicios nunca se mezclan con las rutas de las VRFs.
  • Cuando hay múltiples VRFs en un mismo PE, las rutas de cada VRF se mantienen independientemente unas de otras.
  • En el router P nunca se encuentran rutas de las redes cliente.