•1 Seguridad VTP•2 Mensajes VTP•3 Número de configuración de revisión•4 Publicación de resúmenes•5 Publicaciones de subconjuntos•6 Solicitudes de publicación•7 VTP Pruning (Poda)•8 Sobre el uso de VTP•9 Configuración VTP•10 Referencias

VLAN Trunking ProtocolVTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la administración en un domino de VLANs, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar la misma VLAN en todos los nodos. El protocolo VTP nace como una herramienta de administración para redes de cierto tamaño, donde la gestión manual se vuelve inabordable.VTP opera en 3 modos distintos:•Servidor•Cliente•Transparente

Servidor:Es el modo por defecto. Desde él se pueden crear, eliminar o modificar VLANs. Su cometido es anunciar su configuración al resto de switches del mismo dominio VTP y sincronizar dicha configuración con la de otros servidores, basándose en los mensajes VTP recibidos a través de sus enlaces trunk. Debe haber al menos un servidor. Se recomienda autenticación MD5.

Cliente:En este modo no se pueden crear, eliminar o modificar VLANs, tan sólo sincronizar esta información basándose en los mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de la VLAN.

Transparente:Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a los demás switches. La información VLAN en los switches que trabajen en este modo sólo se puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio.

Los administradores cambian la configuración de las VLANs en el switch en modo servidor. Después de realizar cambios, estos son distribuidos a todos los demás dispositivos en el dominio VTP a través de los enlaces permitidos en el trunk(VLAN 1, por defecto), lo que minimiza los problemas causados por las configuraciones incorrectas y las inconsistencias. Los dispositivos que operan en modo transparente no aplican las configuraciones VLAN que reciben, ni envían las suyas a otros dispositivos. Sin embargo, aquellos que usan la versión 2 del protocolo VTP, enviarán la información que reciban (publicaciones VTP) a otros dispositivos a los que estén conectados con una frecuencia de 5 minutos. Los dispositivos que operen en modo cliente, automáticamente aplicarán la configuración que reciban del dominio VTP. En este modo no se podrán crear VLANs, sino que sólo se podrá aplicar la información que reciba de las publicaciones VTP.

Para que dos equipos que utilizan VTP puedan compartir información sobre VLAN, es necesario que pertenezcan al mismo dominio. Los switches descartan mensajes de otro dominio VTP.

Las configuraciones VTP en una red son controladas por un número de revisión. Si el número de revisión de una actualización recibida por un switch en modo cliente o servidor es más alto que la revisión anterior, entonces se aplicará la nueva configuración. De lo contrario se ignoran los cambios recibidos. Cuando se añaden nuevos dispositivos a un dominio VTP, se deben resetear los números de revisión de todo el dominio VTP para evitar conflictos. Se recomienda tener mucho cuidado al usar VTP cuando haya cambios de topología, ya sean lógicos o físicos. Realmente no es necesario resetear todos los números de revisión del dominio. Sólo hay que asegurarse de que los switches nuevos que se agregen al dominio VTP tengan números de revisión más bajos que los que están configurados en la red. Si no fuese así, bastaría con eliminar el nombre del dominio del switch que se agrega. Esa operación vuelve a poner a cero su contador de revisión.

El VTP sólo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN, denominada vlan.dat.

Seguridad VTP[editar]VTP puede operar sin autenticación, en cuyo caso resulta fácil para un atacante falsificar paquetes VTP para añadir, cambiar o borrar la información sobre las VLANs. Existen herramientas disponibles gratuitamente para realizar esas operaciones. Debido a eso se recomienda establecer un password para el dominio VTP y usarlo en conjunto con la función hash MD5 para proveer autenticación a los paquetes VTP. Resulta de vital importancia para los enlaces troncales de la VLAN.

Mensajes VTP[editar]Los paquetes VTP se pueden enviar tanto en tramas Inter-Switch Link (ISL) como en tramas IEEE 802.1Q (dot1q). El formato de los paquetes VTP encapsulados en tramas ISL es el siguiente:

En el caso de paquetes VTP encapsulados en dot1q, tanto la cabecera ISL (ISL Header) como CRC son sustituidos por etiquetas dot1q. Por otro lado, salvo el formato de la cabecera VTP (VTP Header), que puede variar, todos los paquetes VTP contienen los siguientes campos en la cabecera:•Versión del protocolo VTP: 1, 2 o 3•Tipos de mensaje VTP:•Resumen de advertencias•Subconjunto de advertencias•Peticiones de advertencias•Mensajes de unión VTP•Longitud del dominio de control•Nombre del dominio de control

Número de configuración de revisión[editar]El número de configuración de revisión es un número de 32 bits que indica el nivel de revisión del paquete VTP. Cada nodo VTP rastrea el número de configuración de revisión que le ha sido asignado. La mayoría de paquetes VTP contienen el número de configuración de revisión del emisor.La información que aporta el número de configuración de revisión se usa para saber si la información recibida es más reciente que la actual. Cada vez que hay un cambio en la configuración de la VLAN en algún dispositivo VTP del dominio, el número de configuración de revisión se incrementa en una unidad. Para resetearlo, basta con cambiar el nombre del dominio VTP y después restablecerlo.

Publicación de resúmenes[editar]Los switches Catalyst emiten, por defecto, publicaciones resumidas que informan a los demás switches del nombre actual del dominio VTP, así como de su número de revisión.Cuando un switch recibe un paquete de resumen, compara su propio nombre de dominio VTP con el recibido. Si el nombre es diferente ignora el paquete, y si es igual, compara el número de revisión propio con el recibido. Si el número de revisión es menor o igual, ignora el paquete, y si no, envía una solicitud de publicación (ya que el switch está desactualizado).

El formato de los paquetes de resumen es el siguiente:La siguiente lista aclara los campos del paquete de publicación de resúmenes:•El campo Followers (seguidores) indica que el paquete precede a un paquete de publicación de subconjunto.•El campo Updater Identity (identidad del actualizador) es la dirección IP del último switch que incrementó el número de configuración de revisión.•El campo Update Timestamp (sello de momento de actualización) indica la fecha y la hora del último incremento del número de configuración de revisión.•El campo Message Digest 5 (algoritmo MD5) porta la contraseña VTP, si se configura y usa MD5 para autenticar la validación de una actualización VTP.

Publicaciones de subconjuntos[editar]Cuando se cambia la configuración VLAN en un switch, éste incrementa el número de revisión y envía una publicación de resumen. A una publicación de resumen le pueden seguir una o más publicaciones de subconjunto, que contienen una lista de información referente a VLANs. Si hay varias VLANs, se puede requerir más de una publicación para informar a todas ellas.El formato de los paquetes de subconjunto es el siguiente:Este ejemplo muestra que los campos de información VLAN son exclusivos de cada VLAN:Hay dos aclaraciones pertinentes respecto a los campos del paquete:•El campo Code (código) tiene un formato de 0x02 para publicaciones de subconjunto.•El campo Sequence number (número de secuencia) contiene el número de secuencia (que empieza por 1) del paquete en el flujo de paquetes tras una publicación de resumen.

Solicitudes de publicación[editar]Un switch necesita solicitar publicaciones VTP en las siguientes situaciones:•El switch ha sido reseteado.•El nombre del dominio VTP ha sido cambiado.•El switch ha recibido una publicación de resumen cuyo número de revisión es mayor que el suyo propio.Cuando un nodo VTP recibe una solicitud de publicación, envía una publicación de resumen y, como se ha descrito antes, una o más publicaciones de subconjunto. Por ejemplo:

Solicitudes de publicación[editar]Un switch necesita solicitar publicaciones VTP en las siguientes situaciones:•El switch ha sido reseteado.•El nombre del dominio VTP ha sido cambiado.•El switch ha recibido una publicación de resumen cuyo número de revisión es mayor que el suyo propio.Cuando un nodo VTP recibe una solicitud de publicación, envía una publicación de resumen y, como se ha descrito antes, una o más publicaciones de subconjunto. Por ejemplo:•En este caso, el campo Code (código) tiene un formato de 0x03 para publicaciones de subconjunto.•El campo Start value (valor de comienzo) se usa cuando hay varios subconjuntos.

VTP Pruning (Poda)[editar]El protocolo

El siguiente gráfico muestra el tráfico broadcast en una red sin poda:

Los puertos 1 y 2 de los switches A y D respectivamente están asignados a la VLAN roja. Si una trama broadcast se envía desde algún host conectado al switch A, éste reenvía dicha trama a todos los switches de la red (inundación, flooding), recibiéndola incluso los switches C, E y F, que no tienen puertos asignados a la VLAN roja.En contraposición, el gráfico siguiente muestra los beneficios del pruning:En este caso, el tráfico broadcast del switch A no es reenviado a los switches C, E y F, ya que el tráfico de la VLAN roja ha sido filtrado en los puertos 4 y 5 de los switches D y B respectivamente.Cuando está habilitada la poda VTP en un servidor VTP, lo está para todo el dominio. Cabe destacar que el tráfico de las VLANs 1002-1005 no puede ser podado (filtrado).

Sobre el uso de VTP[editar]El modo por defecto de los swithes es el de servidor VTP. Se recomienda el uso de este modo para redes de pequeña escala en las que la información de las VLANs es pequeña y por tanto de fácil almacenamiento en las NVRAMs de los switches.En redes de mayor tamaño, el administrador debe elegir qué switches actúan como servidores, basándose en las capacidades de éstos (los mejor equipados serán servidores y los demás, clientes).

Configuración VTP[editar]Los comandos IOS más utilizados para la configuración de un dominio VTP son los siguientes:Switch#vlan databaseSelecciona el modo de creación y edición de VLANs.Switch(vlan)#vtp domain nombre-dominioNombre del dominio VTP.Switch(vlan)#vtp [mode] {server | client | transparent}Selección del modo VTP del switch.Switch(vlan)#vtp pruningPermite la poda en el dominio VTP.Switch#show vtp statusPermite verificar la configuración del dominio VTP.Switch(config-if)# switchport mode trunkConfigura un puerto en modo trunk.Switch(config-if)# switchport trunk native vlan 2Configura la VLAN como predeterminada.Switch(config-if)# switchport trunk {allowed | pruning} vlan [add|all|except|remove] vlan-listConfigura las VLANs permitidas (allowed) o filtradas (pruning).

VLAN

Una VLAN (acrónimo de virtual LAN, red de área local virtual) es un método para crear redes lógicas independientes dentro de una misma red física.1 Varias VLAN pueden coexistir en un único conmutador físico o en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la red, separando segmentos lógicos de una red de área local (los departamentos de una empresa, por ejemplo) que no deberían intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un conmutador de capa 3 y 4).Una VLAN consiste en dos redes de ordenadores que se comportan como si estuviesen conectados al mismo PCI, aunque se encuentren físicamente conectados a diferentessegmentos de una red de área local. Los administradores de red configuran las VLANs mediante hardware en lugar desoftware, lo que las hace extremadamente fuertes.

Índice  [ocultar] •1 Historia•2 Clasificación•3 Protocolos•4 Gestión de la pertenencia a una VLAN•5 VLAN basadas en el puerto de conexión•6 Diseño de VLANs•7 Comandos IOS•8 Referencias

8.1 Bibliografía

HistoriaA principios de la década de 1980 Ethernet ya era una tecnología consolidada que ofrecía una velocidad de 1 Mbits/s, mucho mayor que gran parte de las alternativas de la época. Las redes Ethernet tenían una topología en bus, donde el medio físico de transmisión (cable coaxial) era compartido. Ethernet era, por lo tanto, una red de difusión y como tal cuando dos estaciones transmiten simultáneamente se producen colisiones y se desperdicia ancho de banda en transmisiones fallidas.El diseño de Ethernet no ofrecía escalabilidad, es decir, al aumentar el tamaño de la red disminuyen sus prestaciones o el costo se hace inasumible. CSMA/CD, el protocolo que controla el acceso al medio compartido en Ethernet, impone de por sí limitaciones en cuanto al ancho de banda máximo y a la máxima distancia entre dos estaciones. Conectar múltiples redes Ethernet era por aquel entonces complicado, y aunque se podía utilizar un router para la interconexión, estos eran caros y requería un mayor tiempo de procesado por paquete grande, aumentando el retardo.

Para solucionar estos problemas, Dr. W. David Sincoskie inventó el switch Ethernet con auto-aprendizaje, dispositivo de conmutación de tramas de nivel 2. Usar switches para interconectar redes Ethernet permite separar dominios de colisión, aumentando la eficiencia y la escalabilidad de la red. Una red tolerante a fallos y con un nivel alto de disponibilidad requiere que se usen topologías redundantes: enlaces múltiples entre switches y equipos redundantes. De esta manera, ante un fallo en un único punto es posible recuperar de forma automática y rápida el servicio. Este diseño redundante requiere la habilitación del protocolo spanning tree (STP) para asegurarse de que solo haya activo un camino lógico para ir de un nodo a otro y evitar así el fenómeno conocido como tormentas broadcast. El principal inconveniente de esta topología lógica de la red es que los switches centrales se convierten en cuellos de botella, pues la mayor parte del tráfico circula a través de ellos.Sincoskie consiguió aliviar la sobrecarga de los switches inventando LAN virtuales al añadir una etiqueta a las tramas Ethernet con la que diferenciar el tráfico. Al definir varias LAN virtuales cada una de ellas tendrá su propio spanning tree y se podrá asignar los distintos puertos de un switch a cada una de las VLAN. Para unir VLAN que están definidas en variosswitches se puede crear un enlace especial llamado trunk, por el que fluye tráfico de varias VLAN. Los switches sabrán a qué VLAN pertenece cada trama observando la etiqueta VLAN (definida en la norma IEEE 802.1Q). Aunque hoy en día el uso de LAN virtuales es generalizado en las redes Ethernet modernas, usarlas para el propósito original puede ser un tanto extraño, ya que lo habitual es utilizarlas para separar dominios de difusión (hosts que pueden ser alcanzados por una tramabroadcast).

Clasificación[editar]Aunque las más habituales son las VLAN basadas en puertos (nivel 1), las redes de área local virtuales se pueden clasificar en cuatro tipos según el nivel de la jerarquía OSI en el que operen:•VLAN de nivel 1 (por puerto). También conocida como “port switching”. Se especifica qué puertos del switch pertenecen a la VLAN, los miembros de dicha VLAN son los que se conecten a esos puertos. No permite la movilidad de los usuarios, habría que reconfigurar las VLANs si el usuario se mueve físicamente. Es la más común y la que se explica en profundidad en este artículo.•VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en función de su dirección MAC. Tiene la ventaja de que no hay que reconfigurar el dispositivo de conmutación si el usuario cambia su localización, es decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente es que si hay cientos de usuarios habría que asignar los miembros uno a uno.•VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el contenido del campo tipo de protocolo de la trama MAC. Por ejemplo, se asociaría VLAN 1 al protocolo IPv4, VLAN 2 al protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX...•VLAN de nivel 3 por direcciones de subred (subred virtual). La cabecera de nivel 3 se utiliza para mapear la VLAN a la que pertenece. En este tipo de VLAN son los paquetes, y no las estaciones, quienes pertenecen a la VLAN. Estaciones con múltiples protocolos de red (nivel 3) estarán en múltiples VLANs.•VLAN de niveles superiores. Se crea una VLAN para cada aplicación: FTP, flujos multimedia, correo electrónico... La pertenencia a una VLAN puede basarse en una combinación de factores como puertos, direcciones MAC, subred, hora del día, forma de acceso, condiciones de seguridad del equipo...

Protocolos[editar]Durante todo el proceso de configuración y funcionamiento de una VLAN es necesaria la participación de una serie de protocolos entre los que destacan el IEEE 802.1Q, STP y VTP (cuyo equivalente IEEE es GVRP). El protocolo IEEE 802.1Q se encarga del etiquetado de las tramas que es asociada inmediatamente con la información de la VLAN. El cometido principal de Spanning Tree Protocol (STP) es evitar la aparición de bucles lógicos para que haya un sólo camino entre dos nodos. VTP (VLAN Trunking Protocol) es un protocolo propietario de Cisco que permite una gestión centralizada de todas las VLAN.

El protocolo de etiquetado IEEE 802.1Q es el más común para el etiquetado de las VLAN. Antes de su introducción existían varios protocolos propietarios, como el ISL (Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT(Virtual LAN Trunk) de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formato de trama similar a 802.3 (Ethernet) donde solo cambia el valor del campo Ethertype, que en las tramas 802.1Q vale X'8100, y se añaden dos bytes para codificar la prioridad, el CFI y el VLAN ID. Este protocolo es un estándar internacional y por lo dicho anteriormente es compatible con bridges y switches sin capacidad de VLAN.Para evitar el bloqueo de los switches debido a las tormentas broadcast, una red con topología redundante tiene que tener habilitado el protocolo STP. Los switches utilizan STP para intercambiar mensajes entre sí (BPDU, Bridge Protocol Data Units) para lograr de que en cada VLAN solo haya activo un camino para ir de un nodo a otro.En los dispositivos Cisco, VTP (VLAN trunking protocol) se encarga de mantener la coherencia de la configuración VLAN por toda la red. VTP utiliza tramas de nivel 2 para gestionar la creación, borrado y renombrado de VLANs en una red sincronizando todos los dispositivos entre s í y evitar tener que configurarlos uno a uno. Para eso hay que establecer primero un dominio de administración VTP. Un dominio VTP para una red es un conjunto contiguo de switches unidos con enlaces trunk que tienen el mismo nombre de dominio VTP.

Los switches pueden estar en uno de los siguientes modos: servidor, cliente o transparente. «Servidor» es el modo por defecto, anuncia su configuración al resto de equipos y se sincroniza con otros servidores VTP. Un switch en modo cliente no puede modificar la configuración VLAN, simplemente sincroniza la configuración en base a la información que le envían los servidores. Por último, un switch está en modo transparente cuando solo se puede configurar localmente pues ignora el contenido de los mensajes VTP.VTP también permite «podar» (función VTP prunning), lo que significa dirigir tráfico VLAN específico solo a los conmutadores que tienen puertos en la VLAN destino. Con lo que se ahorra ancho de banda en los posiblemente saturados enlaces trunk.

Gestión de la pertenencia a una VLAN[editar]Las dos aproximaciones más habituales para la asignación de miembros de una VLAN son las siguientes: VLAN estáticas y VLAN dinámicas.Las VLAN estáticas también se denominan VLAN basadas en el puerto. Las asignaciones en una VLAN estática se crean mediante la asignación de los puertos de un switch o conmutador a dicha VLAN. Cuando un dispositivo entra en la red, automáticamente asume su pertenencia a la VLAN a la que ha sido asignado el puerto. Si el usuario cambia de puerto de entrada y necesita acceder a la misma VLAN, el administrador de la red debe cambiar manualmente la asignación a la VLAN del nuevo puerto de conexión en el switch.En ella se crean unidades virtuales no estáticas en las que se guardan los archivos y componentes del sistema de archivos mundial

En las VLAN dinámicas, la asignación se realiza mediante paquetes de software tales como el CiscoWorks 2000. Con elVMPS (acrónimo en inglés de VLAN Management Policy Server o Servidor de Gestión de Directivas de la VLAN), el administrador de la red puede asignar los puertos que pertenecen a una VLAN de manera automática basándose en información tal como la dirección MAC del dispositivo que se conecta al puerto o el nombre de usuario utilizado para acceder al dispositivo. En este procedimiento, el dispositivo que accede a la red, hace una consulta a la base de datos de miembros de la VLAN. Se puede consultar el software FreeNAC para ver un ejemplo de implementación de un servidor VMPS.

VLAN basadas en el puerto de conexión[editar]Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es independiente del usuario o dispositivo conectado en el puerto. Esto significa que todos los usuarios que se conectan al puerto serán miembros de la misma VLAN. Habitualmente es el administrador de la red el que realiza las asignaciones a la VLAN. Después de que un puerto ha sido asignado a una VLAN, a través de ese puerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLAN sin la intervención de algún dispositivo de capa 3.Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las caracter ísticas VLAN: puertos de acceso y puertos trunk. Un puerto de acceso (switchport mode access) pertenece únicamente a una VLAN asignada de forma estática (VLAN nativa). La configuración por defecto suele ser que todos los puertos sean de acceso de la VLAN 1. En cambio, un  puerto trunk (switchport mode trunk) puede ser miembro de múltiples VLANs. Por defecto es miembro de todas, pero la lista de VLANs permitidas es configurable.

El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la existencia de la VLAN a la que pertenece dicho puerto. El dispositivo simplemente sabe que es miembro de una subred y que puede ser capaz de hablar con otros miembros de la subred simplemente enviando información al segmento cableado. El switch es responsable de identificar que la información viene de una VLAN determinada y de asegurarse de que esa información llega a todos los demás miembros de la VLAN. El switch también se asegura de que el resto de puertos que no están en dicha VLAN no reciben dicha información.Este planteamiento es sencillo, rápido y fácil de administrar, dado que no hay complejas tablas en las que mirar para configurar la segmentación de la VLAN. Si la asociación de puerto a VLAN se hace con un ASIC (acrónimo en inglés de Application-Specific Integrated Circuit o Circuito integrado para una aplicación específica), el rendimiento es muy bueno. Un ASIC permite el mapeo de puerto a VLAN sea hecho a nivel hardware.

Diseño de VLANs[editar]Los primeros diseñadores de redes solían configurar las VLANs con el objetivo de reducir el tamaño del dominio de colisiónen un segmento Ethernet y mejorar su rendimiento. Cuando los switches lograron esto, porque cada puerto es un dominio de colisión, su prioridad fue reducir el tamaño del dominio de difusión. Ya que, si aumenta el número de terminales, aumenta el tráfico difusión y el consumo de CPU por procesado de tráfico broadcast no deseado. Una de las maneras más eficientes de lograr reducir el domino de difusión es con la división de una red grande en varias VLANs.

Red institucional

Actualmente, las redes institucionales y corporativas modernas suelen estar configuradas de forma jerárquica dividiéndose en varios grupos de trabajo. Razones de seguridad y confidencialidad aconsejan también limitar el ámbito del tráfico de difusión para que un usuario no autorizado no pueda acceder a recursos o a información que no le corresponde. Por ejemplo, la red institucional de un campus universitario suele separar los usuarios en tres grupos: alumnos, profesores y administración. Cada uno de estos grupos constituye un dominio de difusión, una VLAN, y se suele corresponder asimismo con una subred IP diferente. De esta manera la comunicación entre miembros del mismo grupo se puede hacer en nivel 2, y los grupos están aislados entre sí, sólo se pueden comunicar a través de un router.

La definición de múltiples VLANs y el uso de enlaces trunk, frente a las redes LAN interconectadas con un router, es una solución escalable. Si se deciden crear nuevos grupos se pueden acomodar fácilmente las nuevas VLANs haciendo una redistribución de los puertos de los switches. Además, la pertenencia de un miembro de la comunidad universitaria a una VLAN es independiente de su ubicación física. E incluso se puede lograr que un equipo pertenezca a varias VLANs (mediante el uso de una tarjeta de red que soporte trunk).Imagine que la universidad tiene una red con un rango de direcciones IP del tipo 172.16.XXX.0/24, cada VLAN, definida en la capa de enlace de datos (nivel 2 de OSI), se corresponderá con una subred IP distinta: VLAN 10. Administración. Subred IP 172.16.10.0/24 VLAN 20. Profesores. Subred IP 172.16.20.0/24 VLAN 30. Alumnos. Subred IP 172.16.30.0/24

En cada edificio de la universidad hay un switch denominado de acceso, porque a él se conectan directamente los sistemas finales. Los switches de acceso están conectados con enlaces trunk (enlace que transporta tráfico de las tres VLANs) a un switch troncal, de grandes prestaciones, típicamente Gigabit Ethernet o 10-Gigabit Ethernet. Este switch está unido a un router también con un enlace trunk, el router es el encargado de llevar el tráfico de una VLAN a otra.

Comandos IOS[editar]A continuación se presentan a modo de ejemplo los comandos IOS para configurar los switches y routeres del escenario anterior.Creamos las VLANs en el switch troncal, suponemos que este switch actúa de servidor y se sincroniza con el resto:

Switch-troncal> enable Switch-troncal# configure terminalSwitch-troncal(config)# vlan databaseSwitch-troncal(config-vlan)# vlan 10 name administracionSwitch-troncal(config-vlan)# vlan 20 name profesoresSwitch-troncal(config-vlan)# vlan 30 name alumnosSwitch-troncal(config-vlan)# exit

Definimos como puertos trunk los cuatro del switch troncal:

Switch-troncal(config)# interface range g0/0 -3Switch-troncal(config-if-range)# switchportSwitch-troncal(config-if-range)# switchport mode trunk Switch-troncal(config-if-range)# switchport trunk native vlan 10Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 30Switch-troncal(config-if-range)# exit

Ahora habría que definir en cada switch de acceso qué rango de puertos dedicamos a cada VLAN. Vamos a suponer que se utilizan las interfaces f0/0-15 para la vlan adminstracion, f0/16,31 para vlan profesores y f0/32-47 para la vlan alumnos.

Switch-1(config)# interface range f0/0 -15Switch-1(config-if-range)# switchportSwitch-1(config-if-range)# switchport mode accessSwitch-1(config-if-range)# switchport access vlan 10Switch-1(config-if-range)# exitSwitch-1(config)# interface range f0/16 -31Switch-1(config-if-range)# switchportSwitch-1(config-if-range)# switchport mode accessSwitch-1(config-if-range)# switchport access vlan 20Switch-1(config-if-range)# exitSwitch-1(config)# interface range f0/32 -47Switch-1(config-if-range)# switchportSwitch-1(config-if-range)# switchport mode accessSwitch-1(config-if-range)# switchport access vlan 30Switch-1(config-if-range)# exit

Definimos como trunk el puerto que conecta cada switch de acceso con el troncal:

Switch-1(config)# interface g0/0Switch-1(config-if)# switchportSwitch-1(config-if)# switchport mode trunkSwitch-1(config-if)# switchport trunk native vlan 10Switch-1(config-if)# switchport trunk allowed vlan 20,30Switch-1(config-if)# exit

En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk :

Router(config)# interface f2Router(config-if)# no ip addressRouter(config-if)# exit Router(config)# interface f2.1Router(config-if)# encapsulation dot1q 10 nativeRouter(config-if)# ip address 172.16.10.1 255.255.255.0Router(config-if)# exit Router(config)# interface f2.2Router(config-if)# encapsulation dot1q 20Router(config-if)# ip address 172.16.20.1 255.255.255.0Router(config-if)# exit Router(config)# interface f2.3Router(config-if)# encapsulation dot1q 30Router(config-if)# ip address 172.16.30.1 255.255.255.0Router(config-if)# exit

Esta sería la configuración relativa a la creación de las VLANs, se omite la configuración de otros elementos como los hosts, routers y otros dispositivos de red.