Ejemplo de diseño de asignación de direcciones IP: Figura 1. Infraestructura básica de la red LAN1 en Headquarters. La red de la figura 1 tiene: 1 switch de núcleo nivel 3 3750G-12S-S o SW1 (puede consistir de 2 o más switches apilados), 1 switch de acceso 3750-Ax o SWAx por armario de cableado (puede consistir de 2 o más switches apilados) - se tienen cuatro armarios de cableado, 1 switch de granja de servidores 3750-SFx o SWSFx por armario de cableado (puede consistir de 2 o más switches apilados) - se tienen dos armarios de cableado para servidores. El enrutador ISR-3845 o R1 recibe las oficinas remotas y conforma la Intranet, el Firewall ASA5510 permite la conexión a Internet. En cuanto al número de dominios de difusión nivel 2 de la LAN1, inicialmente se estimará que se requieren 9 VLANs, cada una con un número máximo de 254 equipos por VLAN, esto con el fin de limitar las tormentas de broadcast (storm). El sistema anterior puede atender entre 200 y 600 empleados que usen tanto aplicaciones de datos como de voz (VoIP), los cuales se supone estarán distribuidos así: 20 oficinas remotas con 20 empleados cada una y 200 empleados en dirección general (para un total de 600 empleados). Si se desea aumentar el número de empleados en la dirección general a 600 (para un total de 1000 empleados), se puede usar un switch de núcleo con mayor desempeño (4507R). 1. Asignar direcciones de red a cada una de las VLAN del campus y su respectiva puerta de enlace (Planeación). VLANnúmero - Nombre Dirección de red Dirección IP de puerta de enlace por defecto (SW1) VLAN1 - Management 192.168.1.0/24 192.168.1.1 (IF1) VLAN8 HQ Data 192.168.8.0/24 192.168.8.1 (IF8) Nota: ip pim sparse-mode Habilitar Multicast en la VLAN 8 VLAN10 HQ Wireless Data 192.168.10.0/24 192.168.10.1 (IF10) VLAN12 HQ Voice 192.168.12.0/24 192.168.12.1 (IF12) Habilitar Multicast VLAN14 HQ Wireless Voice 192.168.14.0/24 192.168.14.1 (IF14) VLAN16 Wireless Guest 192.168.16.0/24 No tiene acceso a la red interna, solo a Internet VLAN28 Server Farm A 192.168.28.0/24 192.168.28.1 (IF28) Habilitar Multicast VLAN29 Server Farm B 192.168.29.0/24 192.168.29.1 (IF29) Habilitar Multicast VLAN31 Core Routing 192.168.31.0/24 192.168.31.1 (IF31) Habilitar Multicast
2. Definir la VLAN nativa y asignar direcciones IP a los equipos - la VLAN1 o Management- (planeación). Equipo Dirección IP Puerta de enlace por defecto (SW1) SW1 192.168.1.1/24 o /26 Nota: 192.168.31.254 para SW1 SWSF1 192.168.1.8/24 192.168.1.1 SWSF2 192.168.1.9/24 192.168.1.1 SWA1 192.168.1.10/24 192.168.1.1 SWA2 192.168.1.2/24 192.168.1.1 SWA3 192.168.1.3/24 192.168.1.1 SWA4 192.168.1.4/24 192.168.1.1 Loopback del router R1 192.168.1.12/32 o 192.168.1.65/32 Loopback del router Rbranchx 192.168.1.65+x/32 Nota: 192.168.31.254 para R1 3. Asignar direcciones IP a equipos con conexión a la VLAN31 (Planeación). Equipo Dirección IP Nota o Dirección real asociada al Hot Stanby SW1 192.168.31.1/24 Nota: ip pim rp-address 192.168.31.1 lo define como rp (RP=Randezvous Point) + ip multicast-routing distributed que habiilta el enrutamiento multicast R1 192.168.31.2/24 Nota: es el ntp server WAAA-CR 192.168.31.3/24 WLC 192.168.31.64/24 192.168.31.65/24 ASA5510-1 192.168.31.254/24 (HS) 192.168.31.253/24 ASA5510-2 192.168.31.254/24 (HS) 192.168.31.252/24 Para administración del WLC (También servidor DHCP) Para recibir los APs por medio de un túnel 4. Asignar direcciones IP a equipos con conexión a la VLAN16 (Planeación). WLC 192.168.16.5/24 Atiende STAs (estaciones inalámbricas) del SSID Guest ASA5510-1 192.168.16.254/24 (HS) 192.168.16.253/24 ASA5510-2 192.168.16.254/24 (HS) 192.168.16.252/24 5. Asignar direcciones IP a equipos con conexión a las VLANs 10 y 14 (Planeación). WLC 192.168.10.5/24 192.168.14.5/24 Atiende STAs del SSID W-HQData Atiende STAs del SSID W-HQvoice 6. Asignar direcciones IP a equipos con conexión a la VLAN30 DMZ (Planeación). Servidor Público 192.168.30.1/24 ASA5510-1 192.168.30.66/24 (HS) 192.168.30.65/24 ASA5510-2 192.168.30.66/24 (HS) 192.168.30.67/24
7. Asignar direcciones IP a la WAN de la conexión a Internet (Planeación). ASA5510-1 10.194.40.56/24 (HS) 10.194.40.55/24 ASA5510-2 10.194.40.56/24 (HS) 10.194.40.57/24 8. Asignar direcciones de red a cada oficina remota (Planeación). VLANnúmero - Nombre Dirección de red Dirección IP de puerta de enlace por defecto (R-branch1- ISR2811) VLAN64 Wired Data 192.168.64.0/24 192.168.64.1 (FastEternet0/0.64) VLAN65 Wired Voice 192.168.65.0/24 192.168.65.1 (FastEternet0/0.65) VLAN69 Wireless Data (SSID= CAB Br1 Access ) VLAN70 Wireless Voice (SSID= CAB Br1 Voice ) 192.168.69.0/24 192.168.69.1 (FastEternet0/0.69) Nota 1: Este tráfico es terminado localmente por e AP mediante la IF=192.168.69.5 (definida en el WLC y funcional en el AP remoto). Dicha WLAN (IF + SSID) es mapeada a la VLAN 69 de la Branch u oficina remota. 192.168.70.0/24 192.168.70.1 (FastEternet0/0.70) IDEM a la nota 1 pero con IF=192.168.70.5, SSID de voz y VLAN 70. 9. Asignar direcciones IP a las conexiones WAN (Planeación). WANnúmero: Equipo-Interface Dirección de red Dirección IP WAN1: R1-Serial 0/0/0:0.1 10.0.1.0/30 10.0.1.1/30 Rbranch1-Serial 0/0/0:0 10.0.1.2/30 WAN2: R1-Serial 0/0/0:0.2 10.0.1.4/30 10.0.1.5/30 Rbranch1-Serial 0/0/0:0 10.0.1.6/30... 10. Crear en cada switch únicamente las VLANs que requiera tener en operación dicho switch (SW1, SWAx y SWSFx): los comandos dependen del modelo del switch, en algunos switches la VLAN se crea automáticamente cuando se le asigna a un puerto. Cisco 37500 Comentario Switch(config)# vlan 8 Se crea la VLAN8 Switch(config-vlan)# name HQ Data 11a. En los Switches SWAx asignar a cada puerto de acceso la(s) VLAN(s) que le corresponde(n). También configurar los puertos 802.1Q. Switch(config)# Interface GigabitEthernet 1/0/1 Se asigna las VLANs 8 y 12 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 8 Switch(config-if)# switchport voice vlan 12 Switch(config)# Interface GigabitEthernet 1/0/25 Se asigna la VLANs 1,8 y 12 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport trunk allowed vlan 1,8,12
11b. Después se aplican los siguientes comandos globales. ip dhcp snooping! differentiated untrusted interfaces from trusted intefaces (default=untrusted) ip dhcp snooping vlan 1-12! acts like a firewall between untrusted hosts and dhcp servers.! Has two functions: 1) Filtering untrusted dhcp message. 2)Building dhcp snooping binding table! The dhcp snooping binding table has: MAC address, IP address, Lease time, Vlan, Interfaces no ip dhcp snooping information option ip arp inspection vlan 1-12! intercepts all ARP Request and Responses on untrusted ports (based! on dhcp snooping binding table ) 11c. Después se afinan los puertos de acceso en los siguientes términos (de seguridad): spanning-tree portfast spanning-tree bpduguard enable switchport port-security maximum 11! 11 direcciones MAC como máximo, Avoid MAC flooding switchport port-security switchport port-security aging time 2! 2 minutes switchport port-security violation restrict switchport port-security aging type inactivity ip arp inspection limit rate 100! ARP inspection limit in PPS to prevent DoS ip dhcp snooping limit rate 100! DHCP PPS that an interface can receive, default=infinite) ip verify source! Uses information from dhcp snooping binding table to dynamically configure a! Port Access Control List (PACL) on layer 2 srr-queue bandwidth share 10 10 60 20! Ratios in which the Share Round Robin dequeues packets! q1 --> 10%, q2 --> 10%, q3 --> 60%, q4 --> 20% priority-queue out! Configure a queue 4 (q4) to be priority queue-set 2! Ports belongs to a queue-set, maps buffers to queues (four queues) and thresholds service-policy input AutoQoS-Police-CiscoPhone mls qos trust cos! To classify ingress packets with the packet CoS value (four egress queues) and! changes DSCP according. The por has a trust state. mls qos trust device cisco-phone! Uses CDP to detect the precense of a Cisco IP phone and! enable or disable the trus state of a port. auto qos voip cisco-phone! To generate template to VoIP traffic (ACL, class map, priority, apply! over the interface). Subcommands: cisco-phone=trust on Cisco devices; trust= trust on DSCP of! others packets differents of VoIP. 11d. Después se debe configurar el puerto Etherchannel (LACP o IEEE 802.3ad): interface Port-channel1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 1,8,12 switchport mode trunk ip arp inspection trust ip dhcp snooping trust 11e. Después se deben afinar los puertos 802.1Q en los siguientes términos: channel-group 1 mode on spanning-tree link-type point-to-point srr-queue bandwidth share 10 10 60 20 queue-set 2 priority-queue out mls qos trust dscp auto qos voip trust ip arp inspection trust ip dhcp snooping trust
12. Configurar las interfaces del switch capa 3 (SW1) interfaces IFi. Switch(config)# interface vlan8 Switch(config)# description HQ-Data Switch(config-if)# ip address 192.168.8.1 255.255.255.0 Switch(config-if)# ip pim sparse-mode Switch(config-if)# ip helper-address 192.168.8.1! for example Switch(config-if)# ip helper-address 192.168.28.255! optional Switch(config-if)# no ip directed-broadcast 13. Opcional: por cada VLAN, colocar un pool de direcciones en un servidor dhcp1 y otro pool en dhcp2. http://www.formortals.com/building-a-redundant-and-manageable-dhcp-infrastructure/