Router Teldat VLAN Doc. DM751 Rev. 10.61 Junio, 2008

Router Teldat VLAN Rev. 10.61 Junio, 2008

ÍNDICE Capítulo 1 Introducción...1 1. Descripción... 2 2. Prestaciones de las VLAN... 4 3. Formato de las tramas de VLAN... 5 Capítulo 2 Configuración de VLANs...6 1. Posibilidades de configuración de VLANs... 7 2. Procesado de las tramas de VLAN... 8 Capítulo 3 Configuración de la funcionalidad de VLAN...9 1. Acceso a la configuración de la funcionalidad de VLAN... 10 2. Configuración de la funcionalidad de VLAN... 11 3. Comandos de configuración de la funcionalidad de VLAN... 12 3.1.? (AYUDA)... 12 3.2. ENABLE... 13 3.3. INGRESS-FILTER... 13 3.4. LIST... 13 3.5. NO... 14 a) NO ENABLE... 14 b) NO INGRESS-FILTER... 14 c) NO TAG-DEFAULT... 14 d) NO TAG-INSERTION... 15 e) NO TAG-REMOVAL... 15 f) NO VLAN... 15 3.6. TAG-DEFAULT... 15 3.7. TAG-INSERTION... 15 3.8. TAG-REMOVAL... 16 a) TAG-REMOVAL PORT... 16 b) TAG-REMOVAL VLAN... 16 3.9. VLAN... 16 3.10. EXIT... 17 Capítulo 4 Monitorización de VLANs...18 1. Comandos de monitorización de la funcionalidad de VLAN... 19 Capítulo 5 Ejemplos...20 1. Escenario 1... 21 2. Configuración del escenario 1... 22 3. Escenario 2... 27 4. Configuración del escenario 2... 28 - ii -

Capítulo 1 Introducción

1. Descripción Los grupos de trabajo en una red, hasta ahora, han sido creados por la asociación física de los usuarios en un mismo segmento de la red, o en un mismo concentrador o hub (Figura 1.1). Figura 1.1 Grupos de trabajo sin VLANs Como consecuencia directa, estos grupos de trabajo comparten el ancho de banda disponible y los dominios de "broadcast". A esto hay que añadir la dificultad de gestión cuando se producen cambios en los miembros del grupo. Más aún, presentan la limitación geográfica que supone que los miembros de un determinado grupo deben de estar situados adyacentemente, por su conexión al mismo concentrador o segmento de la red. Los esquemas VLAN (Virtual LAN o red virtual), proporcionan los medios adecuados para solucionar esta problemática, al realizarse la agrupación de equipos de una forma lógica en lugar de física. Las LANs virtuales (VLANs) son agrupaciones, definidas por software, de estaciones LAN que se comunican entre sí como si estuvieran conectadas al mismo cable, incluso estando situadas en diferentes segmentos de una red, o en redes distintas (Figura 1.2). Figura 1.2. Grupos de trabajo con VLANs ROUTER TELDAT VLAN Introducción I - 2

Las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos, en el sentido de que todos los usuarios de una VLAN tienen conectividad entre ellos y comparten sus dominios de "broadcast". La principal diferencia con la agrupación física, como se ha mencionado, es que los usuarios de las redes virtuales pueden ser distribuidos a través de una red LAN, incluso situándose en diferentes concentradores de la misma. Los usuarios pueden, así, "moverse" a través de la red, manteniendo su pertenencia al grupo de trabajo lógico. Por otro lado, al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos, se logra, como consecuencia directa, el incremento del ancho de banda en dicho grupo de usuarios. Además, al poder distribuir a los usuarios en diferentes segmentos de la red, se pueden situar bridges y routers entre ellos, separando segmentos con diferentes topologías y protocolos. Todo ello manteniendo la seguridad deseada en cada configuración por el administrador de la red: se puede permitir o no que el tráfico de una VLAN entre y salga desde/hacia otras redes. Pero aún se puede llegar más lejos. Las redes virtuales permiten que la ubicuidad geográfica no se limite a diferentes concentradores o plantas de un mismo edificio, sino a diferentes oficinas intercomunicadas mediante redes WAN, a lo largo de países y continentes, sin limitación ninguna más que la impuesta por el administrador de dichas redes. ROUTER TELDAT VLAN Introducción I - 3

2. Prestaciones de las VLAN Los dispositivos con funciones VLAN ofrecen unas prestaciones de valor añadido, suplementarias a las funciones específicas de las redes virtuales, aunque algunas de ellas son casi tan fundamentales como los principios mismos de las VLAN. Al igual que en el caso de los grupos de trabajo "físicos", las VLAN permiten a un grupo de trabajo lógico compartir un dominio de broadcast. Ello significa que los sistemas dentro de una determinada VLAN reciben mensajes de broadcast desde el resto, independientemente de que residan o no en la misma red física. Por ello, las aplicaciones que requieren tráfico broadcast siguen funcionando en este tipo de redes virtuales. Al mismo tiempo, estos broadcast no son recibidos por otras estaciones situadas en otras VLAN. Las VLAN no se limitan solo a un conmutador, sino que pueden extenderse a través de varios, estén o no físicamente en la misma localización geográfica. Además las redes virtuales pueden solaparse, permitiendo que varias de ellas compartan determinados recursos, como backbones (troncales) de altas prestaciones o conexiones a servidores. Uno de los mayores problemas a los que se enfrentan los administradores de las redes actuales, es la administración de las redes y subredes. Las VLAN tienen la habilidad de usar el mismo número de red en varios segmentos, lo que supone un práctico mecanismo para incrementar rápidamente el ancho de banda de nuevos segmentos de la red sin preocuparse de colisiones de direcciones. Las soluciones tradicionales de internetworking, empleando concentradores y routers, requieren que cada segmento sea una única subred por el contrario, en un dispositivo con facilidades VLAN, una subred puede expandirse a través de múltiples segmentos físicos, y un solo segmento físico puede soportar varias subredes. Asimismo, hay que tener en cuenta que los modelos más avanzados de conmutadores con funciones VLAN soportan filtros muy sofisticados, definidos por el usuario o administrador de la red, que nos permiten determinar con gran precisión las características del tráfico y de la seguridad que deseamos en cada dominio, segmento, red o conjunto de redes. Todo ello se realiza en función de algoritmos de bridge y routing multiprotocolo. ROUTER TELDAT VLAN Introducción I - 4

3. Formato de las tramas de VLAN El formato de las tramas de VLAN, así como el funcionamiento de los bridges para el procesado de este tipo de tramas, está descrito en el estándar IEEE 802.1Q. Una trama VLAN es una ampliación de la trama básica de Ethernet. La trama VLAN incluye dos campos adicionales, de dos bytes cada uno, situados entre el campo de dirección origen y el campo de longitud/tipo: Trama Ethernet DA SA LEN/ Etype DATA Trama VLAN DA SA 0x8100 VLAN Tag LEN/ Etype DATA PRI VLAN ID CFI: Canonical Format Indicator Este encapsulado hace que el tamaño del cabecero MAC de las tramas Ethernet se incremente en cuatro bytes. El primer campo, de 2 bytes, se denomina TPID (Tag Protocol Identifier). Es un campo de valor fijo que permite identificar las tramas como tramas de VLAN. El valor de este campo es 0x8100. El siguiente campo, de dos bytes, se denomina TCI (Tag Control Information), y está compuesto por los siguientes subcampos: o PRI (3 bits), user priority (prioridad del usuario), empleado para calidad de servicio. o CFI (1 bit), Canonical Format Indicator, empleado para compatibilidad entre redes Ethernet y Token Ring. Si es cero, indica que la trama está en formato canónico, y no incluye un campo adicional denominado E-RIF (Embedded Routing Information Field). o VLAN-ID (12 bits), habitualmente denominado VID, es el dentificador de la VLAN a la que pertenece la trama. Al ser un campo de 12 bits, se pueden identificar hasta 4096 VLANs diferentes. Habitualmente se utiliza el término trama etiquetada para referirse a una trama con información de VLAN. De igual modo, las tramas sin información de VLAN se denominan tramas sin etiquetar ROUTER TELDAT VLAN Introducción I - 5

Capítulo 2 Configuración de VLANs

1. Posibilidades de configuración de VLANs A la hora de configurar VLANs en los equipos de Teldat existen varias posibilidades: 1. Crear un subinterfaz Ethernet y asignar una VLAN al mismo. 2. En equipos con interfaces de switch Ethernet, configurar la forma en que debe tratar el switch los paquetes de VLAN en cada puerto. El primer caso permite, mediante la asignación de una dirección IP al subinterfaz Ethernet, etiquetar, como pertenecientes a una determinada VLAN, los paquetes pertenecientes a una subred IP. El proceso de creación y asignación de una etiqueta de VLAN a un subinterfaz Ethernet se describe en el manual Dm 750 Subinterfaz Ethernet. El segundo caso permite especificar a través de qué puertos del switch se permite tráfico de las distintas VLANs. La configuración del tratamiento de los paquetes de VLAN por parte de un interfaz de switch Ethernet se describe en el capítulo 3 Configuración de la funcionalidad de VLAN. ROUTER TELDAT - Configuración de VLANs II - 7

2. Procesado de las tramas de VLAN A la hora de realizar una configuración en la que intervienen VLANs es conveniente tener presente el esquema de la Figura 2.1, en el que se detalla el proceso que sigue un paquete a través de un switch o bridge desde su recepción en un puerto hasta su salida por otro puerto. Port State Information Forwarding Process Port State Information Ingress Rules Filtering Database Egress Rules Frame Reception Frame Transmission Figura 2.1. Procesado de paquetes de VLAN En la descripción de este proceso se va a utilizar el término bridge. La descripción es igualmente válida para un switch. El proceso es el siguiente: 1. El bridge recibe, por uno de sus puertos, un paquete, ya sea etiquetado (con información de VLAN) o no. 2. El bridge clasifica el paquete como perteneciente a una determinada VLAN. En caso de que el paquete no tenga información de VLAN asociada, el paquete se clasifica como perteneciente a la VLAN por defecto para el puerto de entrada. 3. En función del estado del puerto de entrada (para bridges, si el puerto está bloqueado o no) y de las reglas de ingreso (ingress rules) definidas para ese puerto, se decide si el paquete se envía al proceso, que decide por qué puertos debe transmitirse (proceso de reenvío, forwarding process) o se descarta. 4. El proceso de reenvío, basándose en los distintos campos del paquete recibido (direcciones MAC origen y destino, etiqueta VLAN), consulta la base de datos de filtrado para decidir qué puertos son candidatos a reenviar el paquete recibido. Si, por ejemplo, el paquete está destinado a una dirección MAC individual y en la base de datos de filtrado se encuentra almacenado el puerto por el que se alcanza dicha dirección, el paquete sólo es candidato a ser reenviado por dicho puerto. 5. Para cada puerto candidato a la transmisión, el bridge decide, en función de las reglas de salida (egress rules), si el paquete es efectivamente transmitido o se descarta. En caso de que el paquete sea enviado, se envía etiquetado o no en función de la configuración asociada al puerto. En caso de que el paquete se deba enviar etiquetado, se envía con la etiqueta VLAN correspondiente a la clasificación que se hizo del paquete a la entrada. ROUTER TELDAT - Configuración de VLANs II - 8

Capítulo 3 Configuración de la funcionalidad de VLAN

1. Acceso a la configuración de la funcionalidad de VLAN Para acceder al menú de configuración de la funcionalidad de VLAN, se usa el comando FEATURE VLAN desde el menú general de configuración. Ejemplo: Config>feature vlan -- VLAN configuration -- Desde el menú de configuración de la funcionalidad de VLAN es posible configurar el comportamiento, respecto a las tramas de VLAN, de una interfaz de switch Ethernet. ROUTER TELDAT - Configuración Funcionalidad VLAN III - 10

2. Configuración de la funcionalidad de VLAN De acuerdo al esquema de la Figura 2.1, es posible configurar el comportamiento de un puerto del switch: En entrada, se puede configurar la VLAN por defecto asociada al puerto. De este modo, si se recibe un paquete sin etiquetar (esto es, sin identificador de VLAN), se clasifica como perteneciente a la VLAN por defecto. El comando para configurar la VLAN por defecto es TAG-DEFAULT. Se puede configurar qué puertos son miembros de cada VLAN, mediante el comando VLAN. El proceso de reenvío selecciona como puertos candidatos a reenviar un paquete a todos aquellos puertos miembros de la VLAN en la que ha sido clasificado el paquete de entrada. En entrada, se puede configurar el comportamiento del puerto respecto a los paquetes recibidos con un identificador de una VLAN de la que el puerto no es miembro. Si se habilita el filtrado de ingreso, mediante el comando INGRESS-FILTER, se descartan todos los paquetes recibidos que se clasifiquen en una VLAN de la que el puerto no es miembro. En caso contrario, estos paquetes llegan al proceso de reenvío. En salida, se puede configurar la forma en que se envía el paquete por el puerto. Si se usa el comando TAG-INSERTION, los paquetes sin etiquetar se envían con la etiqueta por defecto asociada al puerto de entrada del paquete (VLAN en la que fue clasificado el paquete en entrada). Si se usa el comando TAG-REMOVAL, los paquetes etiquetados se envían sin etiquetar. A la hora de configurar la facilidad de VLAN en un interfaz de switch Ethernet, conviene ver dicho interfaz como un interfaz Ethernet conectado internamente a un switch. Al puerto del switch conectado directamente con el interfaz Ethernet se le denomina puerto interno, y se configura mediante la opción internal en los comandos de configuración. ROUTER TELDAT - Configuración Funcionalidad VLAN III - 11

3. Comandos de configuración de la funcionalidad de VLAN Los comandos disponibles en el menú de configuración de la funcionalidad de VLAN son los siguientes: Comando Función? (AYUDA) Muestra los comandos u opciones disponibles. ENABLE Habilita el procesamiento de VLANs en todos los interfaces Ethernet con switch. INGRESS-FILTER Configura el filtrado de ingreso en un puerto. LIST Muestra la configuración de VLAN. NO Configura parámetros con los valores por defecto. TAG-DEFAULT Configura un identificador de VLAN por defecto para tramas sin etiquetar recibidas por un puerto. TAG-INSERTION Habilita el etiquetado en la salida de tramas recibidas sin etiquetar. TAG-REMOVAL Habilita la eliminación de la cabecera VLAN de tramas etiquetadas al ser enviadas por un puerto o por la combinación puerto y VLAN. VLAN Configura una VLAN en un puerto. EXIT Sale de la configuración de la facilidad de VLAN. En todos los comandos que necesitan como parámetro el identificador del puerto sobre el que se establecen es posible especificar, aparte de los puertos externos, un puerto especial, identificado como internal. Este puerto se refiere al puerto interno de conexión entre el switch y el equipo. 3.1.? (AYUDA) Muestra la lista de los comandos disponibles. Sintaxis: Ejemplo:?? enable ingress-filter list no tag-default tag-insertion tag-removal vlan exit Enables VLAN feature Configures ingress filter on the interface/port Display VLAN configuration Negate a command or set its defaults Set a default VLAN ID for untagged packets on the incoming interface/port Enables tag insertion on untagged packets on the outgoing interface/port Enables tag removal for tagged packets on the outgoing interface/port or interface/port/vlan vid Groups interface/port into a VLAN ROUTER TELDAT - Configuración Funcionalidad VLAN III - 12

3.2. ENABLE Habilita el procesamiento de VLANs en todos los interfaces Ethernet con switch. Sintaxis: Ejemplo: enable enable 3.3. INGRESS-FILTER Activa el filtrado de ingreso en un puerto de un interfaz con switch Ethernet. De esta forma, todas las tramas etiquetadas con un identificador de VLAN del que el puerto no es miembro que se reciban en el puerto indicado son descartadas. Sintaxis: Ejemplo: ingress-filter <interface> port [<port-id> internal] ingress-filter ethernet0/0 port 1 3.4. LIST Muestra la configuración de VLAN. Sintaxis: Ejemplo: list list VLAN Feature : Enabled VID Interface Port -------------------------------- 101 ethernet0/0 1 101 ethernet0/0 2 101 ethernet0/0 3 101 ethernet0/0 internal 102 ethernet0/0 4 102 ethernet0/0 internal Interface Port Ing_Fil Tag_Ins Tag_Rmv VID_def --------------------------------------------------------------- ethernet0/0 1 Y N N 101 ethernet0/0 2 Y N N 101 ethernet0/0 3 Y N N 101 ethernet0/0 4 Y N N 102 ethernet0/0 internal N Y N 1 Se muestra la siguiente información: Estado global de la funcionalidad de VLAN en los interfaces con switch. Si el campo VLAN Feature indica Enabled, la funcionalidad de VLAN se encuentra activada en todos los interfaces con switch. ROUTER TELDAT - Configuración Funcionalidad VLAN III - 13

Tabla de puertos miembros de cada VLAN configurada. Para cada identificador de VLAN (VID) configurado, se indican los puertos que son miembros de esa VLAN. En el ejemplo mostrado, los puertos 1, 2, 3 e interno del interfaz ethernet0/0 son miembros de la VLAN 101, mientras que los puertos 4 e interno de ese mismo interfaz son miembros de la VLAN 102. Tabla de comportamiento de cada puerto. Para cada puerto de un interfaz con switch se muestra la siguiente información: o Ing_Fil: estado del filtrado de ingreso. Indica si sólo se aceptan paquetes clasificados como pertenecientes a las VLANs de las que el puerto es miembro o se permite la entrada de cualquier paquete. o Tag_Ins: inserción de etiqueta. Indica si se deben etiquetar los paquetes recibidos sin etiquetar antes de su envío por el puerto. o Tag_Rmv: eliminación de etiqueta. Indica si se debe eliminar la etiqueta de VLAN a los paquetes etiquetados antes de su envío por el puerto. o VID_def: Identificador de VLAN por defecto. Usado en la entrada para clasificar los paquetes que llegan sin etiquetar. Esta clasificación se usa posteriormente en la salida para etiquetar paquetes no etiquetados. 3.5. NO Permite deshabilitar opciones de configuración o fijar valores por defecto. Sintaxis: no? enable ingress-filter tag-default tag-insertion tag-removal vlan a) NO ENABLE Enables VLAN feature Configures ingress filter on the interface/port Set a default VLAN ID for untagged packets on the incoming interface/port Enables tag insertion on untagged packets on the outgoing interface/port Enables tag removal for tagged packets on the outgoing interface/port Groups interface/port into a VLAN Deshabilita el procesamiento de VLANs en todos los interfaces Ethernet con switch. Independientemente del resto de comandos configurados, no se realiza ninguna programación de VLAN en los switches. Sintaxis: no enable b) NO INGRESS-FILTER Desactiva el filtrado de ingreso en un puerto de un interfaz con switch Ethernet. Sintaxis: no ingress-filter <interface> port [<port-id> internal] c) NO TAG-DEFAULT Configura el identificador de VLAN por defecto para tramas sin etiquetar a 1. ROUTER TELDAT - Configuración Funcionalidad VLAN III - 14

Sintaxis: no tag-default <interface> port [<port-id> internal] d) NO TAG-INSERTION Deshabilita el etiquetado en la salida por un puerto de tramas recibidas sin etiquetar. Sintaxis: no tag-insertion <interface> port [<port-id> internal] e) NO TAG-REMOVAL Deshabilita la eliminación de la cabecera VLAN en la salida por un puerto de tramas etiquetadas o para una determinada VLAN. Sintaxis 1: Sintaxis 2: no tag-removal <interface> port [<port-id> internal] no tag-removal <interface> port [<port-id> internal] vlan <vid> f) NO VLAN Borra un puerto de la lista de miembros de una VLAN. Sintaxis: no vlan <vid> <interface> port [<port-id> internal] 3.6. TAG-DEFAULT Configura un identificador de VLAN VID por defecto para las tramas no etiquetadas recibidas por un puerto. La etiqueta por defecto se usa en la entrada para clasificar los paquetes que llegan sin etiquetar. Esta clasificación se usa posteriormente en la salida para etiquetar paquetes no etiquetados. Así, si se recibe una trama sin etiquetar por un puerto, se le asocia la etiqueta por defecto, de modo que la trama es tratada, a la hora de decidir los puertos por los que se envía, como perteneciente a la VLAN indicada por la etiqueta por defecto. Sintaxis: tag-default <interface> port [<port-id> internal] <vid> Ejemplo: Todas las tramas recibidas sin etiquetar por el puerto 1 del interfaz ethernet0/0 se asocian a la VLAN 101. tag-default ethernet0/0 port 1 101 3.7. TAG-INSERTION Habilita el etiquetado en la salida por un puerto de tramas recibidas sin etiquetar. Sintaxis: tag-insertion <interface> port [<port-id> internal] Ejemplo: Todas las tramas salientes por el puerto 3 del interfaz ethernet0/0 salen etiquetadas. ROUTER TELDAT - Configuración Funcionalidad VLAN III - 15

tag-insertion ethernet0/0 port 3 3.8. TAG-REMOVAL Habilita la eliminación de la cabecera VLAN en la salida por un puerto de tramas etiquetadas. Se puede seleccionar eliminar la cabecera de todas las tramas con tag VLAN o eliminar la cabecera de la VLAN que se indique. De este modo, las tramas se envían sin etiquetar por el puerto, independientemente de si se recibieron etiquetadas o no. a) TAG-REMOVAL PORT Elimina la cabecera de VLAN para aquellas tramas VLAN que salgan por ese puerto. Sintaxis: tag-removal <interface> port [<port-id> internal] Ejemplo: Las tramas que salgan por el puerto 4 del interfaz ethernet0/0 se envían sin etiquetar, independientemente de que se hayan recibido etiquetadas o no. tag-removal ethernet0/0 port 4 b) TAG-REMOVAL VLAN Elimina la cabecera de VLAN para aquellas tramas VLAN que salgan por ese puerto con el identificador de VLAN indicado. Con este comando se permite que pueda existir tráfico marcado y sin marcar en salida de un determinado puerto de un interfaz. Sintaxis: tag-removal <interface> port [<port-id> internal] vlan <vid> Ejemplo: Las tramas que salgan por el puerto 4 del interfaz ethernet0/0 y pertenecientes a la VLAN 100 se envían sin etiquetar.. tag-removal ethernet0/0 port 4 vid 100 3.9. VLAN Configura una determinada VLAN en un puerto de un interfaz con switch. Dicho de otro modo, se configura un puerto como miembro de una determinada VLAN. El equipo permite la configuración de hasta 16 VLANs diferentes en un puerto. Sintaxis: vlan <vid> <interface> port [<port-id> internal]> Ejemplo: Configuración del puerto 1 del interfaz ethernet0/0 como perteneciente a la VLAN 101. vlan 101 ethernet0/0 port 1 ROUTER TELDAT - Configuración Funcionalidad VLAN III - 16

3.10. EXIT Sale de la configuración de la facilidad de VLAN. Sintaxis: Ejemplo: exit exit Config> ROUTER TELDAT - Configuración Funcionalidad VLAN III - 17

Capítulo 4 Monitorización de VLANs

1. Comandos de monitorización de la funcionalidad de VLAN La funcionalidad de VLAN no tiene comandos de monitorización propios. Se puede obtener información de las tablas de VLAN almacenadas en el switch accediendo a la monitorización de su interfaz. Para más información sobre la monitorización de interfaces con switch consúltese el manual Dm 709 Interfaces LAN. Ejemplo: *monitor Console Operator +net ethernet0/0 -- Ethernet Console -- ETH+? BITRATE LLC REPEATER STATUS EXIT ETH+repeater -- Repeater Monitoring Console -- ethernet0/0 Repeater+list? AUTO-NEGOTIATION CLEAR DISABLE DUPLEX ENABLE LIST NO SNIFFER-PORT SNIFF SPEED EXIT ethernet0/0 Repeater+list vlan Entry Membership FilterID VlanID ----------------------------------- 0 0x1F 0 1 1 0x1F 0 1 2 0x1F 0 1 3 0x1F 0 1 4 0x1F 0 1 5 0x1F 0 1 6 0x1F 0 1 7 0x1F 0 1 8 0x1F 0 1 9 0x1F 0 1 10 0x1F 0 1 11 0x1F 0 1 12 0x1F 0 1 13 0x1F 0 1 14 0x1F 0 1 15 0x1F 0 1 Repeater+ ROUTER TELDAT - VLAN Monitorización IV - 19

Capítulo 5 Ejemplos

1. Escenario 1 Una empresa en expansión ha realizado una reestructuración de sus departamentos y desea optimizar los recursos en su red interna, formada por cuatro departamentos. A cada departamento se le asigna una subred IP: al departamento A le corresponde la red 192.168.1.x, al B la 192.168.2.x, al C la 192.168.3.x y al D la 192.168.4.x. Se desea independizar el tráfico de los cuatro departamentos, para lo cual se asigna una VLAN, de la 101 a la 104 a cada departamento. La red está hecha de tal forma que hay cuatro segmentos de LAN, cada uno con las estaciones de un departamento. Hay una excepción a esto: en el segmento del departamento C hay una estación perteneciente al departamento A. Además, se desea que haya conectividad IP entre las subredes asociadas a los departamentos A, B y D. Estas tres subredes, además, tendrán acceso al exterior de la empresa, a través de un gateway situado en la subred D y con dirección 192.168.4.2. Los equipos del departamento C, por el contrario, no dispondrán de conexión con el exterior, ni tampoco acceso a los departamentos A, B y D. ROUTER TELDAT VLAN Ejemplos V - 21

2. Configuración del escenario 1 Se va a configurar una VLAN para cada departamento, lo que permitirá aislar el tráfico entre departamentos sin renunciar a la conectividad entre los mismos. Para permitir el routing entre las diferentes subredes de la empresa se van a utilizar subinterfaces Ethernet (véase el manual Dm 760 Subinterfaz Ethernet). Se crean subinterfaces Ethernet para todas las subredes de las que se quiere que haya conectividad IP. En este caso, basta con crear tres subinterfaces Ethernet, asociados a los departamentos A, B y D. Config>add device eth-subinterface ethernet1/0 1 Config>add device eth-subinterface ethernet1/0 2 Config>add device eth-subinterface ethernet1/0 4 Se asignan las direcciones IP a los interfaces definidos y la ruta por defecto, que en este caso es un gateway situado en la subred del departamento D. Config>protocol ip -- Internet protocol user configuration -- IP config>show config Showing Menu and Submenus Configuration for access-level 15... C9i+ IPSec SNA VoIP Router 14 24 Version 10.6.29-Alfa address ethernet1/0.1 192.168.1.1 255.255.255.0 address ethernet1/0.2 192.168.2.1 255.255.255.0 address ethernet1/0.4 192.168.4.1 255.255.255.0 route 0.0.0.0 0.0.0.0 192.168.4.2 IP config> Falta asociar las direcciones IP con los identificadores de VLAN usados en cada departamento. Se asigna además una MAC diferente a cada subinterfaz. network ethernet1/0.1 -- Config of the Ethernet Subinterface -- description "Department A" encapsulation dot1q 101 mac-address 02-00-00-aa-aa-aa exit network ethernet1/0.2 -- Config of the Ethernet Subinterface -- description "Department B" encapsulation dot1q 102 mac-address 02-00-00-bb-bb-bb exit network ethernet1/0.4 -- Config of the Ethernet Subinterface -- description "Department D" ROUTER TELDAT VLAN Ejemplos V - 22

encapsulation dot1q 104 mac-address 02-00-00-dd-dd-dd exit Se hacen públicas las direcciones fisicas asignadas a los subinterfaces. Config>protocol arp -- ARP user configuration -- ARP config>show config Showing Menu and Submenus Configuration for access-level 15... C9i+ IPSec SNA VoIP Router 14 24 Version 10.6.29-Alfa entry ethernet1/0.1 192.168.1.1 02-00-00-aa-aa-aa public entry ethernet1/0.2 192.168.2.1 02-00-00-bb-bb-bb public entry ethernet1/0.4 192.168.4.1 02-00-00-dd-dd-dd public ARP config> Por último hay que configurar el comportamiento del switch respecto a las diferentes VLANs. Para este ejemplo, vamos a suponer que todos los equipos son capaces de generar y recibir tramas de VLAN salvo los situados en el segmento del departamento B. En este segmento, hay algún ordenador antiguo que no puede entender el tráfico con cabecera de VLAN. A la hora de configurar el comportamiento del switch, hay que tener muy clara la estructura de VLANs. En primer lugar, definamos qué puertos deben ser miembros de qué VLANs. En principio, cada puerto del switch está asociado a una VLAN, por lo que basta con definir cada puerto como perteneciente a la VLAN del departamento. Sin embargo, el departamento A se expande a lo largo de dos segmentos de red, conectados a los puertos 1 y 3. Por tanto: el puerto 1 debe ser miembro de la VLAN 101, asociada al departamento A. el puerto 2 debe ser miembro de la VLAN 102, asociada al departamento B. el puerto 3 debe ser miembro de las VLANs 101 y 103, asociadas a los departamentos A y C. el puerto 4 debe ser miembro de la VLAN 104, asociada al departamento D. Config>feature vlan -- VLAN configuration -- vlan 101 ethernet1/0 port 1 vlan 102 ethernet1/0 port 2 vlan 103 ethernet1/0 port 3 vlan 104 ethernet1/0 port 4 vlan 101 ethernet1/0 port 3 Con esta configuración, nos aseguramos de que el tráfico de nivel 2 asociado a cada VLAN sólo va a pasar de segmento en el caso de la VLAN 101, para la que deben comunicarse dos segmentos físicos diferentes. Ahora hay que pasar a la parte de rutado. Como ya se ha comentado, se desea que los departamentos A, B y D se comuniquen a nivel IP. Para ello, el tráfico de estos tres departamentos debe llegar al router para su encaminamiento. Esto se consigue haciendo que el puerto interno, puerto de conexión entre el interfaz Ethernet del router y el switch, pertenezca a las VLANs de los departamentos A, B y D. ROUTER TELDAT VLAN Ejemplos V - 23

vlan 101 ethernet1/0 port internal vlan 102 ethernet1/0 port internal vlan 104 ethernet1/0 port internal De esta forma, el tráfico de los departamentos A y D llega etiquetado al puerto correspondiente y se reenvía por los puertos miembros de la VLAN, que incluyen el puerto interno. Qué pasa con el tráfico del departamento B? Como se ha indicado, para ese departamento el tráfico circula sin etiquetar por el segmento de LAN. Para que el router lo clasifique en la VLAN adecuada, el switch debe agregar o quitar las etiquetas de VLAN según corresponda. cuando el tráfico entra por el puerto 2, se debe clasificar como perteneciente a la VLAN 102: tag-default ethernet1/0 port 2 102 cuando el tráfico sale por el puerto 2, debe quitarse la etiqueta de VLAN para que las estaciones entiendan el tráfico. tag-removal ethernet1/0 port 2 además, el tráfico que entra sin etiquetar por el puerto 2, debe llegar etiquetado al interfaz Ethernet del router para que funcione correctamente el nivel IP. Por tanto, en la salida del puerto interno deben etiquetarse los paquetes sin etiqueta: tag-insertion ethernet1/0 port internal Por último, se habilita la funcionalidad de VLAN globalmente. Además, se habilita el filtrado de ingreso para no permitir tráfico extraño de VLANs no configuradas. enable ingress-filter ethernet1/0 port 1 ingress-filter ethernet1/0 port 2 ingress-filter ethernet1/0 port 3 ingress-filter ethernet1/0 port 4 La configuración de VLAN queda como sigue: show config Showing Menu and Submenus Configuration for access-level 15... ATLAS150 Router 7 96 Version 10.7.4-Alfa enable vlan 101 ethernet1/0 port 1 vlan 101 ethernet1/0 port 3 vlan 101 ethernet1/0 port internal vlan 102 ethernet1/0 port 2 vlan 102 ethernet1/0 port internal vlan 103 ethernet1/0 port 3 vlan 104 ethernet1/0 port 4 vlan 104 ethernet1/0 port internal ingress-filter ethernet1/0 port 1 ingress-filter ethernet1/0 port 2 ingress-filter ethernet1/0 port 3 ingress-filter ethernet1/0 port 4 ROUTER TELDAT VLAN Ejemplos V - 24

tag-default ethernet1/0 port 2 102 tag-insertion ethernet1/0 port internal tag-removal ethernet1/0 port 2 list VLAN Feature : Enabled VID Interface Port -------------------------------- 101 ethernet1/0 1 101 ethernet1/0 3 101 ethernet1/0 internal 102 ethernet1/0 2 102 ethernet1/0 internal 103 ethernet1/0 3 104 ethernet1/0 4 104 ethernet1/0 internal Interface Port Ing_Fil Tag_Ins Tag_Rmv Tag_Def VID_def ----------------------------------------------------------------------- ethernet1/0 1 Y N N N 1 ethernet1/0 2 Y N Y Y 102 ethernet1/0 3 Y N N N 1 ethernet1/0 4 Y N N N 1 ethernet1/0 internal N Y N N 1 Y la configuración completa: Config>show config Showing Menu and Submenus Configuration for access-level 15... ATLAS150 Router 7 96 Version 10.7.4-Alfa log-command-errors no configuration add device eth-subinterface ethernet1/0 1 add device eth-subinterface ethernet1/0 2 add device eth-subinterface ethernet1/0 4 network ethernet1/0.1 -- Config of the Ethernet Subinterface -- description "Department A" ip address 192.168.1.1 255.255.255.0 encapsulation dot1q 101 mac-address 02-00-00-aa-aa-aa exit network ethernet1/0.2 -- Config of the Ethernet Subinterface -- description "Department B" ip address 192.168.2.1 255.255.255.0 ROUTER TELDAT VLAN Ejemplos V - 25

encapsulation dot1q 102 mac-address 02-00-00-bb-bb-bb exit network ethernet1/0.4 -- Config of the Ethernet Subinterface -- description "Department D" ip address 192.168.4.1 255.255.255.0 encapsulation dot1q 104 mac-address 02-00-00-dd-dd-dd exit protocol ip -- Internet protocol user configuration -- route 0.0.0.0 0.0.0.0 192.168.4.2 exit protocol arp -- ARP user configuration -- entry ethernet1/0.1 192.168.1.1 02-00-00-aa-aa-aa public entry ethernet1/0.2 192.168.2.1 02-00-00-bb-bb-bb public entry ethernet1/0.4 192.168.4.1 02-00-00-dd-dd-dd public exit feature vlan -- VLAN configuration -- enable vlan 101 ethernet1/0 port 1 vlan 101 ethernet1/0 port 3 vlan 101 ethernet1/0 port internal vlan 102 ethernet1/0 port 2 vlan 102 ethernet1/0 port internal vlan 103 ethernet1/0 port 3 vlan 104 ethernet1/0 port 4 vlan 104 ethernet1/0 port internal ingress-filter ethernet1/0 port 1 ingress-filter ethernet1/0 port 2 ingress-filter ethernet1/0 port 3 ingress-filter ethernet1/0 port 4 tag-default ethernet1/0 port 2 102 tag-insertion ethernet1/0 port internal tag-removal ethernet1/0 port 2 exit dump-command-errors end ROUTER TELDAT VLAN Ejemplos V - 26

3. Escenario 2 Se trata de facilitar la comprensión de los comandos de configuración de VLAN a través de un ejemplo, una oficina con tres ordenadores conectados formando la LAN de la oficina, que se conectan a un puerto WAN de acceso. El puerto interno es el empleado por el router para funciones de rutado y seguridad. El esquema sería el siguiente: 1 Router 2 4 3 internal Para resolver la separación entre la LAN interna y la WAN externa, se van a configurar 2 VLANs diferentes, la primera incluye todos los puertos LAN y el interno del router (VLAN ID 101) y la segunda incluye el puerto interno y el puerto WAN, en el ejemplo el puerto 4 (VLAN ID 102). El puerto interno va a funcionar como gatekeeper, es decir, todo tráfico con origen LAN y destino WAN y viceversa debe de atravesar el interfaz interno, sin interferir el tráfico entre los equipos pertenecientes a la misma LAN. Asímismo, con esta configuración todos los paquetes broadcast y multicast desde el puerto interno del router son enviados a la VLAN de la LAN y de la WAN. Para el resto, los paquetes broadcast y multicast solo son enviados a aquellos puertos que pertenecer a su misma VLAN. Esto permite que los paquetes LAN - ARP no salgan por la WAN. ROUTER TELDAT VLAN Ejemplos V - 27

4. Configuración del escenario 2 1.- Acceder a la configuracion de la funcionalidad VLAN. Config>feature vlan -- VLAN configuration 2.- Habilitar de forma global las funcionalidades VLAN. enable 3.- Configurar los puertos 1, 2, 3 y el interno como pertenecientes a la VLAN 101. vlan 101 ethernet0/0 port 1 vlan 101 ethernet0/0 port 2 vlan 101 ethernet0/0 port 3 vlan 101 ethernet0/0 port internal 4.- Configurar el puerto 4 y el interno como pertenecientes a la VLAN 102. vlan 102 ethernet0/0 port 4 vlan 102 ethernet0/0 port internal 5.- Configurar los puertos 1, 2 y 3 con VLAN por defecto (101). Permitirá añadir el tag de la VLAN a los paquetes recibidos y que no son VLAN (untagged). tag-default ethernet0/0 port 1 101 tag-default ethernet0/0 port 2 101 tag-default ethernet0/0 port 3 101 6.- Configurar ingress filtering en los puertos 1, 2 y 3, lo que permitirá descartar todos los paquetes que no pertenezcan a la VLAN configurada en estos puertos. ingress-filter ethernet0/0 port 1 ingress-filter ethernet0/0 port 2 ingress-filter ethernet0/0 port 3 7.- Configurar como VLAN por defecto en el puerto 4 el VID 102. tag-default ethernet0/0 port 4 102 8.- Configurar ingress filtering en el puerto 4. ingress-filter ethernet0/0 port 4 9.- Configurar tag-insertion en el puerto interno del router, lo que permitirá insertar el VLAN-ID de defecto del puerto entrante a todos los paquetes con destino al interfaz interno. ROUTER TELDAT VLAN Ejemplos V - 28

tag-insertion ethernet0/0 port internal 10.- El router debe de marcar todos los paquetes que envíe por el puerto interno. 11.- Mediante el comando list, podemos ver la configuracion final list VLAN Feature : Enabled VID Interface Port -------------------------------- 101 ethernet0/0 1 101 ethernet0/0 2 101 ethernet0/0 3 101 ethernet0/0 internal 102 ethernet0/0 4 102 ethernet0/0 internal Interface Port Ing_Fil Tag_Ins Tag_Rmv Tag_Def VID_def ----------------------------------------------------------------------- ethernet0/0 1 Y N N Y 101 ethernet0/0 2 Y N N Y 101 ethernet0/0 3 Y N N Y 101 ethernet0/0 4 Y N N Y 102 ethernet0/0 internal N Y N N 1 12.- Asi mismo, mediante el comando show config podemos ver los comandos necesarios: show config Showing Menu and Submenus Configuration... Router Cxx YY ZZ Version 10.X.XXTM enable vlan 101 ethernet0/0 port 1 vlan 101 ethernet0/0 port 2 vlan 101 ethernet0/0 port 3 vlan 101 ethernet0/0 port internal vlan 102 ethernet0/0 port 4 vlan 102 ethernet0/0 port internal ingress-filter ethernet0/0 port 1 ingress-filter ethernet0/0 port 2 ingress-filter ethernet0/0 port 3 ingress-filter ethernet0/0 port 4 tag-default ethernet0/0 port 1 101 tag-default ethernet0/0 port 2 101 tag-default ethernet0/0 port 3 101 tag-default ethernet0/0 port 4 102 tag-insertion ethernet0/0 port internal ROUTER TELDAT VLAN Ejemplos V - 29