Captulo 3: VLAN

3.0.1.1 Introduccin

VLAN
Introduccin
El rendimiento de la red es un factor importante en la productividad de una organizacin. Una de las tecnologas que
contribuyen a mejorar el rendimiento de la red es la divisin de los grandes dominios de difusin en dominios ms
pequeos. Por una cuestin de diseo, los routers bloquean el trfico de difusin en una interfaz. Sin embargo, los
routers generalmente tienen una cantidad limitada de interfaces LAN. La funcin principal de un router es trasladar
informacin entre las redes, no proporcionar acceso a la red a las terminales.
La funcin de proporcionar acceso a una LAN suele reservarse para los switches de capa de acceso. Se puede crear
una red de rea local virtual (VLAN) en un switch de capa 2 para reducir el tamao de los dominios de difusin,
similares a los dispositivos de capa 3. Por lo general, las VLAN se incorporan al diseo de red para facilitar que una
red d soporte a los objetivos de una organizacin. Si bien las VLAN se utilizan principalmente dentro de las redes de
rea local conmutadas, las implementaciones modernas de las VLAN les permiten abarcar redes MAN y WAN.
En este captulo, se describe cmo configurar y administrar VLAN y enlaces troncales de VLAN, as como resolver
problemas relacionados. Tambin se analizan cuestiones y estrategias de seguridad relacionadas con las VLAN y los
enlaces troncales, as como las prcticas recomendadas para el diseo de VLAN.
3.1.1.1 Definiciones de VLAN

Segmentacin de VLAN
Descripcin general de las VLAN
Dentro de un entorno de internetwork conmutada, las VLAN proporcionan la segmentacin y la flexibilidad
organizativa. Las VLAN proporcionan una manera de agrupar dispositivos dentro de una LAN. Un grupo de
dispositivos dentro de una VLAN se comunica como si estuvieran conectados al mismo cable. Las VLAN se basan
en conexiones lgicas, en lugar de conexiones fsicas.
Las VLAN permiten que el administrador divida las redes en segmentos segn factores como la funcin, el equipo
del proyecto o la aplicacin, sin tener en cuenta la ubicacin fsica del usuario o del dispositivo. Los dispositivos
dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque compartan una misma
infraestructura con otras VLAN. Cualquier puerto de switch puede pertenecer a una VLAN, y los paquetes de
unidifusin, difusin y multidifusin se reenvan y saturan solo las estaciones terminales dentro de la VLAN donde
se originan los paquetes. Cada VLAN se considera una red lgica independiente, y los paquetes destinados a las
estaciones que no pertenecen a la VLAN se deben reenviar a travs de un dispositivo que admita el routing.
Una VLAN crea un dominio de difusin lgico que puede abarcar varios segmentos LAN fsicos. Las VLAN
mejoran el rendimiento de la red mediante la divisin de grandes dominios de difusin en otros ms pequeos. Si un
dispositivo en una VLAN enva una trama de Ethernet de difusin, todos los dispositivos en la VLAN reciben la
trama, pero los dispositivos en otras VLAN no la reciben.

Las VLAN habilitan la implementacin de las polticas de acceso y de seguridad segn grupos especficos de
usuarios. Cada puerto de switch se puede asignar a una sola VLAN (a excepcin de un puerto conectado a un
telfono IP o a otro switch).
3.1.1.2 Beneficios de las redes VLAN

Segmentacin de VLAN
Descripcin general de las VLAN
La productividad de los usuarios y la adaptabilidad de la red son importantes para el crecimiento y el xito de las
empresas. Las redes VLAN facilitan el diseo de una red para dar soporte a los objetivos de una organizacin. Los
principales beneficios de utilizar las VLAN son los siguientes:
Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que disminuye las
posibilidades de que ocurran violaciones de informacin confidencial. Como se muestra en la ilustracin, las
computadoras del cuerpo docente estn en la VLAN 10 y separadas por completo del trfico de datos de los
estudiantes y los Invitados.
Reduccin de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones de red costosas y al
uso ms eficaz de los enlaces y del ancho de banda existentes.
Mejor rendimiento: la divisin de las redes planas de capa 2 en varios grupos de trabajo lgicos (dominios
de difusin) reduce el trfico innecesario en la red y mejora el rendimiento.
Dominios de difusin reducidos: la divisin de una red en redes VLAN reduce la cantidad de dispositivos en
el dominio de difusin. Como se muestra en la ilustracin, existen seis computadoras en esta red, pero hay tres
dominios de difusin: Cuerpo docente, Estudiantes e Invitados.
Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los usuarios con
requerimientos similares de red comparten la misma VLAN. Cuando se dispone de un switch nuevo, se
implementan todas las polticas y los procedimientos que ya se configuraron para la VLAN especfica cuando
se asignan los puertos. Tambin es fcil para el personal de TI identificar la funcin de una VLAN
proporcionndole un nombre. En la ilustracin, para facilitar la identificacin, se denomin Cuerpo Docente
a la VLAN 10, Estudiantes a la VLAN 20 e Invitados a la VLAN 30.
Administracin ms simple de aplicaciones y proyectos: las VLAN agregan dispositivos de red y usuarios
para admitir los requisitos geogrficos o comerciales. Al tener caractersticas diferentes, se facilita la
administracin de un proyecto o el trabajo con una aplicacin especializada; un ejemplo de este tipo de
aplicacin es una plataforma de desarrollo de aprendizaje por medios electrnicos para el cuerpo docente.
Cada VLAN en una red conmutada corresponde a una red IP; por lo tanto, al disear la VLAN, se debe tener en
cuenta la implementacin de un esquema de direccionamiento de red jerrquico. El direccionamiento jerrquico de la
red significa que los nmeros de red IP se aplican a los segmentos de red o a las VLAN de manera ordenada, lo que
permite que la red se tome en cuenta como conjunto. Los bloques de direcciones de red contiguas se reservan para los
dispositivos en un rea especfica de la red y se configuran en estos, como se muestra en la ilustracin.
3.1.1.3 Tipos de VLAN

Segmentacin de VLAN

Descripcin general de las VLAN

Existen diferentes tipos de redes VLAN, los cuales se utilizan en las redes modernas. Algunos tipos de VLAN se
definen segn las clases de trfico. Otros tipos de VLAN se definen segn la funcin especfica que cumplen.
VLAN de datos
Una VLAN de datos es una VLAN configurada para transportar trfico generado por usuarios. Una VLAN que
transporta trfico de administracin o de voz no sera una VLAN de datos. Es una prctica comn separar el trfico
de voz y de administracin del trfico de datos. A veces a una VLAN de datos se la denomina VLAN de usuario. Las
VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos.
VLAN predeterminada
Todos los puertos de switch se vuelven parte de la VLAN predeterminada despus del arranque inicial de un switch
que carga la configuracin predeterminada. Los puertos de switch que participan en la VLAN predeterminada forman
parte del mismo dominio de difusin. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para
comunicarse con otros dispositivos en otros puertos de switch. La VLAN predeterminada para los switches Cisco es
la VLAN 1. En la ilustracin, se emiti el comando show vlan brief en un switch que ejecuta la configuracin
predeterminada. Observe que todos los puertos se asignan a la VLAN 1 de manera predeterminada.
La VLAN 1 tiene todas las caractersticas de cualquier VLAN, excepto que no se le puede cambiar el nombre ni se
puede eliminar. Todo el trfico de control de capa 2 se asocia a la VLAN 1 de manera predeterminada.
VLAN nativa
Una VLAN nativa est asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal son los enlaces entre
switches que admiten la transmisin de trfico asociado a ms de una VLAN. Los puertos de enlace troncal 802.1Q
admiten el trfico proveniente de muchas VLAN (trfico con etiquetas), as como el trfico que no proviene de una
VLAN (trfico sin etiquetar). El trfico con etiquetas hace referencia al trfico que tiene una etiqueta de 4 bytes
insertada en el encabezado de la trama de Ethernet original, que especifica la VLAN a la que pertenece la trama. El
puerto de enlace troncal 802.1Q coloca el trfico sin etiquetar en la VLAN nativa, que es la VLAN 1 de manera
predeterminada.
Las VLAN nativas se definen en la especificacin IEEE 802.1Q a fin de mantener la compatibilidad con el trfico sin
etiquetar de modelos anteriores comn a las situaciones de LAN antiguas. Una VLAN nativa funciona como
identificador comn en extremos opuestos de un enlace troncal.
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1 y de otras VLAN.
De hecho, es comn utilizar una VLAN fija para que funcione como VLAN nativa para todos los puertos de enlace
troncal en el dominio conmutado.
VLAN de administracin
Una VLAN de administracin es cualquier VLAN que se configura para acceder a las capacidades de administracin
de un switch. La VLAN 1 es la VLAN de administracin de manera predeterminada. Para crear la VLAN de
administracin, se asigna una direccin IP y una mscara de subred a la interfaz virtual de switch (SVI) de esa
VLAN, lo que permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP. Dado que en la
configuracin de fbrica de un switch Cisco la VLAN 1 se establece como VLAN predeterminada, la VLAN 1 no es
una eleccin adecuada para la VLAN de administracin.
En el pasado, la VLAN de administracin para los switches 2960 era la nica SVI activa. En las versiones 15.x de
IOS de Cisco para los switches de la serie Catalyst 2960, es posible tener ms de una SVI activa. Con IOS de Cisco
15.x, se debe registrar la SVI activa especfica asignada para la administracin remota. Si bien, en teora, un switch
puede tener ms de una VLAN de administracin, esto aumenta la exposicin a los ataques de red.

En la ilustracin, actualmente todos los puertos estn asignados a la VLAN 1 predeterminada. No hay ninguna
VLAN nativa asignada explcitamente ni otras VLAN activas; por lo tanto, la VLAN nativa de la red que se dise es
la VLAN de administracin. Esto se considera un riesgo de seguridad.

3.1.1.4 VLAN de voz

Segmentacin de VLAN
Descripcin general de las VLAN
Se necesita una VLAN separada para admitir la tecnologa de voz sobre IP (VoIP). El trfico de VoIP requiere:
Ancho de banda garantizado para asegurar la calidad de la voz
Prioridad de la transmisin sobre los tipos de trfico de la red
Capacidad para ser enrutado en reas congestionadas de la red
Una demora inferior a 150 ms a travs de la red
Para cumplir estos requerimientos, se debe disear la red completa para que admita VoIP. Los detalles sobre cmo
configurar una red para que admita VoIP exceden el mbito de este curso, pero es til resumir cmo funciona una
VLAN de voz entre un switch, un telfono IP Cisco y una computadora.
En la figura, la VLAN 150 se disea para enviar trfico de voz. La computadora del estudiante PC5 est conectada al
telfono IP de Cisco y el telfono est conectado al switch S3. La PC5 est en la VLAN 20 que se utiliza para los
datos de los estudiantes.
3.1.2.1 Enlaces troncales de la VLAN

Segmentacin de VLAN
Redes VLAN en un entorno conmutado mltiple
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva ms de una VLAN. Un enlace
troncal de VLAN ampla las VLAN a travs de toda la red. Cisco admite IEEE 802.1Q para coordinar enlaces
troncales en las interfaces Fast Ethernet, Gigabit Ethernet y 10-Gigabit Ethernet.
Las VLAN no seran muy tiles sin los enlaces troncales de VLAN. Los enlaces troncales de VLAN permiten que se
propague todo el trfico de VLAN entre los switches, de modo que los dispositivos que estn en la misma VLAN
pero conectados a distintos switches se puedan comunicar sin la intervencin de un router.
Un enlace troncal de VLAN no pertenece a una VLAN especfica, sino que es un conducto para varias VLAN entre
switches y routers. Tambin se puede utilizar un enlace troncal entre un dispositivo de red y un servidor u otro
dispositivo que cuente con una NIC con capacidad 802.1Q. En los switches Cisco Catalyst, se admiten todas las

VLAN en un puerto de enlace troncal de manera predeterminada.

En la ilustracin, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para transmitir el trfico
proveniente de las VLAN 10, 20, 30 y 99 a travs de la red. Esta red no podra funcionar sin los enlaces troncales de
VLAN.
3.1.2.2 Control de los dominios de broadcast con las VLAN

Segmentacin de VLAN
Redes VLAN en un entorno conmutado mltiple
Redes sin VLAN
En condiciones normales de funcionamiento, cuando un switch recibe una trama de difusin en uno de sus puertos,
reenva la trama por todos los dems puertos, excepto el puerto por donde recibi la difusin. En la animacin de la
figura 1, se configur toda la red en la misma subred (172.17.40.0/24), y no se configur ninguna VLAN. Como
consecuencia, cuando la computadora del cuerpo docente (PC1) enva una trama de difusin, el switch S2 enva dicha
trama de difusin por todos sus puertos. Finalmente, toda la red recibe la difusin porque la red es un dominio de
difusin.
Red con VLAN
Como se muestra en la animacin de la figura 2, la red se segment mediante dos VLAN. Los dispositivos del cuerpo
docente se asignaron a la VLAN 10, y los dispositivos de los estudiantes se asignaron a la VLAN 20. Cuando se
enva una trama de difusin desde la computadora del cuerpo docente, la PC1, al switch S2, el switch reenva esa
trama de difusin solo a los puertos de switch configurados para admitir la VLAN 10.
Los puertos que componen la conexin entre los switches S2 y S1 (puertos F0/1), y entre el S1 y el S3 (puertos F0/3)
son enlaces troncales y se configuraron para admitir todas las VLAN en la red.
Cuando el S1 recibe la trama de difusin en el puerto F0/1, reenva la trama de difusin por el nico puerto
configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3 recibe la trama de difusin en el puerto
F0/3, reenva la trama de difusin por el nico puerto configurado para admitir la VLAN 10, que es el puerto F0/11.
La trama de difusin llega a la nica otra computadora de la red configurada en la VLAN 10, que es la computadora
PC4 del cuerpo docente.
Cuando se implementan las VLAN en un switch, la transmisin del trfico de unidifusin, multidifusin y difusin
desde un host en una VLAN en particular se limita a los dispositivos presentes en esa VLAN.
3.1.2.3 Etiquetado de tramas de Ethernet para la identificacin de VLAN

Segmentacin de VLAN
Redes VLAN en un entorno conmutado mltiple
Los switches de la serie Catalyst 2960 son dispositivos de capa 2. Estos utilizan la informacin del encabezado de la
trama de Ethernet para reenviar paquetes. No poseen tablas de routing. El encabezado de las tramas de Ethernet
estndar no contiene informacin sobre la VLAN a la que pertenece la trama; por lo tanto, cuando las tramas de

Ethernet se colocan en un enlace troncal, se debe agregar la informacin sobre las VLAN a las que pertenecen. Este
proceso, denominado etiquetado, se logra mediante el uso del encabezado IEEE 802.1Q, especificado en el
estndar IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de 4 bytes insertada en el encabezado de la trama
de Ethernet original que especifica la VLAN a la que pertenece la trama.
Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a una VLAN, el switch
coloca una etiqueta VLAN en el encabezado de la trama, vuelve a calcular la FCS y enva la trama etiquetada por un
puerto de enlace troncal.
Detalles del campo de etiqueta de la VLAN
El campo de etiqueta de la VLAN consta de un campo de tipo, un campo de prioridad, un campo de identificador de
formato cannico y un campo de ID de la VLAN:
Tipo: es un valor de 2 bytes denominado ID de protocolo de etiqueta (TPID). Para Ethernet, este valor se
establece en 0x8100 hexadecimal.
Prioridad de usuario: es un valor de 3 bits que admite la implementacin de nivel o de servicio.
Identificador de formato cannico (CFI): es un identificador de 1 bit que habilita las tramas Token Ring
que se van a transportar a travs de los enlaces Ethernet.
ID de VLAN (VID): es un nmero de identificacin de VLAN de 12 bits que admite hasta 4096 ID de
VLAN.
Una vez que el switch introduce los campos Tipo y de informacin de control de etiquetas, vuelve a calcular los
valores de la FCS e inserta la nueva FCS en la trama.
3.1.2.4 VLAN nativas y etiquetado de 802.1Q

Segmentacin de VLAN
Redes VLAN en un entorno conmutado mltiple
Tramas etiquetadas en la VLAN nativa
Algunos dispositivos que admiten enlaces troncales agregan una etiqueta VLAN al trfico de las VLAN nativas. El
trfico de control que se enva por la VLAN nativa no se debe etiquetar. Si un puerto de enlace troncal 802.1Q recibe
una trama etiquetada con la misma ID de VLAN que la VLAN nativa, descarta la trama. Por consiguiente, al
configurar un puerto de un switch Cisco, configure los dispositivos de modo que no enven tramas etiquetadas por la
VLAN nativa. Los dispositivos de otros proveedores que admiten tramas etiquetadas en la VLAN nativa incluyen:
telfonos IP, servidores, routers y switches que no pertenecen a Cisco.
Tramas sin etiquetar en la VLAN nativa
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales en las redes bien
diseadas), enva esas tramas a la VLAN nativa. Si no hay dispositivos asociados a la VLAN nativa (lo que no es
poco usual) y no existen otros puertos de enlace troncal (lo que no es poco usual), se descarta la trama. La VLAN
nativa predeterminada es la VLAN 1. Al configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de
VLAN nativa a la ID de VLAN de puerto (PVID) predeterminada. Todo el trfico sin etiquetar entrante o saliente del
puerto 802.1Q se reenva segn el valor de la PVID. Por ejemplo, si se configura la VLAN 99 como VLAN nativa, la

PVID es 99, y todo el trfico sin etiquetar se reenva a la VLAN 99. Si no se volvi a configurar la VLAN nativa, el
valor de la PVID se establece en VLAN 1.
En la ilustracin, la PC1 est conectada a un enlace troncal 802.1Q mediante un hub. La PC1 enva el trfico sin
etiquetar que los switches asocian a la VLAN nativa configurada en los puertos de enlace troncal y que reenvan
segn corresponda. El trfico etiquetado del enlace troncal que recibe la PC1 se descarta. Esta situacin refleja un
diseo de red deficiente por varios motivos: utiliza un hub, tiene un host conectado a un enlace troncal y esto implica
que los switches tengan puertos de acceso asignados a la VLAN nativa. Sin embargo, ilustra la motivacin de la
especificacin IEEE 802.1Q para que las VLAN nativas sean un medio de manejo de entornos antiguos.
3.1.2.5 Etiquetado de VLAN de voz

Segmentacin de VLAN
Redes VLAN en un entorno conmutado mltiple
Recuerde que, para admitir VoIP, se requiere una VLAN de voz separada.
Un puerto de acceso que se usa para conectar un telfono IP de Cisco se puede configurar para usar dos VLAN
separadas: una VLAN para el trfico de voz y otra VLAN para el trfico de datos desde un dispositivo conectado al
telfono. El enlace entre el switch y el telfono IP funciona como un enlace troncal para transportar tanto el trfico de
la VLAN de voz como el trfico de la VLAN de datos.
El telfono IP Cisco contiene un switch integrado 10/100 de tres puertos. Los puertos proporcionan conexiones
dedicadas para estos dispositivos:
El puerto 1 se conecta al switch o a otro dispositivo VoIP.
El puerto 2 es una interfaz interna 10/100 que enva el trfico del telfono IP.
El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.
En el switch, el acceso est configurado para enviar paquetes del protocolo de descubrimiento de Cisco (CDP) que
instruyen a un telfono IP conectado para que enve el trfico de voz al switch en una de tres formas posibles, segn
el tipo de trfico:
En una VLAN de voz con una etiqueta de valor de prioridad de clase de servicio (CoS) de capa 2.
En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2.
En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2).
En la figura 1, la computadora del estudiante PC5 est conectada a un telfono IP de Cisco, y el telfono est
conectado al switch S3. La VLAN 150 est diseada para transportar trfico de voz, mientras que la PC5 est en la
VLAN 20, que se usa para los datos de los estudiantes.
Ejemplo de configuracin
En la figura 2, se muestra un resultado de ejemplo. El anlisis de los comandos de voz de IOS de Cisco exceden el
mbito de este curso, pero las reas resaltadas en el resultado de ejemplo muestran que la interfaz F0/18 se configur

con una VLAN configurada para datos (VLAN 20) y una VLAN configurada para voz (VLAN 150).
3.2.1.1 Rangos de VLAN en los switches Catalyst

Implementaciones de VLAN
Asignacin de red VLAN
Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de VLAN que admiten es
suficiente para satisfacer las necesidades de la mayora de las organizaciones. Por ejemplo, los switches de las series
Catalyst 2960 y 3560 admiten ms de 4000 VLAN. Las VLAN de rango normal en estos switches se numeran del 1
al 1005, y las VLAN de rango extendido se numeran del 1006 al 4094. En la ilustracin, se muestran las VLAN
disponibles en un switch Catalyst 2960 que ejecuta IOS de Cisco, versin 15.x.
VLAN de rango normal
Se utiliza en redes de pequeos y medianos negocios y empresas.
Se identifica mediante un ID de VLAN entre 1 y 1005.
Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI.
Los ID 1 y 1002 a 1005 se crean automticamente y no se pueden eliminar.
Las configuraciones se almacenan en un archivo de base de datos de VLAN, denominado vlan.dat. El archivo
vlan.dat se encuentra en la memoria flash del switch.
El protocolo de enlace troncal de VLAN (VTP), que permite administrar la configuracin de VLAN entre los
switches, solo puede descubrir y almacenar redes VLAN de rango normal.
VLAN de rango extendido
Posibilita a los proveedores de servicios que amplen sus infraestructuras a una cantidad de clientes mayor.
Algunas empresas globales podran ser lo suficientemente grandes como para necesitar los ID de las VLAN
de rango extendido.
Se identifican mediante un ID de VLAN entre 1006 y 4094.
Las configuraciones no se escriben en el archivo vlan.dat.
Admiten menos caractersticas de VLAN que las VLAN de rango normal.
Se guardan en el archivo de configuracin en ejecucin de manera predeterminada.
VTP no aprende las VLAN de rango extendido.
Nota: la cantidad mxima de VLAN disponibles en los switches Catalyst es 4096, ya que el campo ID de VLAN
tiene 12 bits en el encabezado IEEE 802.1Q.

3.2.1.2 Creacin de una VLAN

Implementaciones de VLAN
Asignacin de red VLAN
Al configurar redes VLAN de rango normal, los detalles de configuracin se almacenan en la memoria flash del
switch en un archivo denominado vlan.dat. La memoria flash es persistente y no requiere el comando copy
running-config startup-config. Sin embargo, debido a que en los switches Cisco se suelen configurar
otros detalles al mismo tiempo que se crean las VLAN, es aconsejable guardar los cambios a la configuracin en
ejecucin en la configuracin de inicio.
En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se utiliza para agregar una VLAN a un switch
y asignarle un nombre. Se recomienda asignarle un nombre a cada VLAN en la configuracin de un switch.
En la figura 2, se muestra cmo se configura la VLAN para estudiantes (VLAN 20) en el switch S1. En el ejemplo de
topologa, la computadora del estudiante (PC2) todava no se asoci a ninguna VLAN, pero tiene la direccin IP
172.17.20.22.
Utilice el verificador de sintaxis de la figura 3 para crear una VLAN y utilice el comando show vlan brief para
mostrar el contenido del archivo vlan.dat.
Adems de introducir una nica ID de VLAN, se puede introducir una serie de ID de VLAN separadas por comas o
un rango de ID de VLAN separado por guiones con el comando vlanid-vlan. Por ejemplo, utilice el siguiente
comando para crear las VLAN 100, 102, 105, 106 y 107:
S1(config)# vlan 100,102,105-107
3.2.1.3 Asignacin de puertos a las redes VLAN

Implementaciones de VLAN
Asignacin de red VLAN
Despus de crear una VLAN, el siguiente paso es asignar puertos a la VLAN. Un puerto de acceso puede pertenecer a
una sola VLAN por vez; una excepcin a esta regla es un puerto conectado a un telfono IP, en cuyo caso, hay dos
VLAN asociadas al puerto: una para voz y otra para datos.
En la figura 1, se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a una VLAN. El
comando switchport mode access es optativo, pero se aconseja como prctica recomendada de seguridad.
Con este comando, la interfaz cambia al modo de acceso permanente.
Nota: utilice el comando interface range para configurar varias interfaces simultneamente.
En el ejemplo de la figura 2, la VLAN 20 se asigna al puerto F0/18 del switch S1; por lo tanto, la computadora de
estudiantes (PC2) est en la VLAN 20. Cuando se configura la VLAN 20 en otros switches, el administrador de red
sabe que debe configurar las otras computadoras de estudiantes para que estn en la misma subred que la PC2
(172.17.20.0/24).
Utilice el verificador de sintaxis de la figura 3 para asignar una VLAN y utilice el comando show vlan
brief para mostrar el contenido del archivo vlan.dat.

El comando switchport access vlan fuerza la creacin de una VLAN si es que an no existe en el switch.
Por ejemplo, la VLAN 30 no est presente en el resultado del comandoshow vlan brief del switch. Si se
introduce el comando switchport access vlan 30en cualquier interfaz sin configuracin previa, el switch
muestra lo siguiente:
% Access VLAN does not exist. Creating vlan 30
3.2.1.4 Cambio de pertenencia de puertos de una VLAN

Implementaciones de VLAN
Asignacin de red VLAN
Existen varias maneras de cambiar la pertenencia de puertos de una VLAN. En la figura 1, se muestra la sintaxis para
cambiar la pertenencia de un puerto de switch de la VLAN 1 con el comando no switchport access
vlan del modo de configuracin de interfaz.
La interfaz F0/18 se asign anteriormente a la VLAN 20. Se introduce el comando no switchport access
vlan para la interfaz F0/18. Examine el resultado del comando show vlan brief que le sigue inmediatamente,
como se muestra en la figura 2. El comando show vlan brief muestra el tipo de asignacin y pertenencia de
VLAN para todos los puertos de switch. El comando show vlan brief muestra una lnea para cada VLAN. El
resultado para cada VLAN incluye el nombre, el estado y los puertos de switch de la VLAN.
La VLAN 20 sigue activa, aunque no tenga puertos asignados. En la figura 3, se muestra que el resultado del
comando show interfaces f0/18 switchport verifica que la VLAN de acceso para la interfaz F0/18 se
haya restablecido a la VLAN 1.
La pertenencia de VLAN de un puerto se puede cambiar fcilmente. No es necesario eliminar primero un puerto de
una VLAN para cambiar su pertenencia de VLAN. Cuando se vuelve a asignar la pertenencia de VLAN de un puerto
de acceso a otra VLAN existente, la nueva pertenencia de VLAN simplemente reemplaza la pertenencia de VLAN
anterior. En la figura 4, el puerto F0/11 se asign a la VLAN 20.
Utilice el verificador de sintaxis de la figura 5 para cambiar la pertenencia de puertos de una VLAN.
3.2.1.5 Eliminacin de VLAN

Implementaciones de VLAN
Asignacin de red VLAN
En la ilustracin, se utiliza el comando no vlan id-vlan del modo de configuracin global para eliminar la
VLAN 20 del switch. El switch S1 tena una configuracin mnima con todos los puertos en la VLAN 1 y una VLAN
20 sin usar en la base de datos de VLAN. El comando show vlan brief verifica que la VLAN 20 ya no est
presente en el archivo vlan.dat despus de utilizar el comando no vlan 20.
Precaucin: antes de eliminar una VLAN, asegrese de reasignar primero todos los puertos miembro de una VLAN
a otra. Los puertos que no se trasladen a una VLAN activa no se podrn comunicar con otros hosts una vez que se
elimine la VLAN y hasta que se asignen a una VLAN activa.

Alternativamente, se puede eliminar el archivo vlan.dat completo con el comando delete flash:vlan.dat del
modo EXEC privilegiado. Se puede utilizar la versin abreviada del comando (delete vlan.dat) si no se
traslad el archivo vlan.dat de su ubicacin predeterminada. Despus de emitir este comando y de volver a cargar el
switch, las VLAN configuradas anteriormente ya no estn presentes. Esto vuelve al switch a la condicin
predeterminada de fbrica con respecto a la configuracin de VLAN.
Nota: para los switches Catalyst, el comando erase startup-config debe acompaar al comando delete
vlan.dat antes de la recarga para restaurar el switch a la condicin predeterminada de fbrica.
3.2.1.6 Verificacin de informacin de VLAN

Implementaciones de VLAN
Asignacin de red VLAN
Una vez que se configura una VLAN, se puede validar la configuracin con los comandosshow de IOS de Cisco.
En la figura 1, se muestran las opciones de los comandos show vlan y show interfaces.
En el ejemplo de la figura 2, el comando show vlan name student produce un resultado que no se interpreta
fcilmente. Es preferible usar el comando show vlan brief. El comando show vlan summary muestra el
conteo de todas las VLAN configuradas. El resultado de la figura 2 muestra siete VLAN.
El comando show interfaces vlan id-vlan muestra detalles que exceden el mbito de este curso. La
informacin importante aparece en la segunda lnea de la figura 3, que indica que la VLAN 20 est activa.
Utilice el verificador de sintaxis de la figura 4 para mostrar la informacin de VLAN y de puertos del switch, as
como para verificar el modo y las asignaciones de VLAN.
3.2.2.1 Configuracin de enlaces troncales IEEE 802.1Q

Implementaciones de VLAN
Enlaces troncales de la VLAN
Un enlace troncal de VLAN es un enlace de capa 2 del modelo OSI entre dos switches que transporta el trfico para
todas las VLAN (a menos que se restrinja la lista de VLAN permitidas de manera manual o dinmica). Para habilitar
los enlaces troncales, configure los puertos en cualquier extremo del enlace fsico con conjuntos de comandos
paralelos.
Para configurar un puerto de switch en un extremo de un enlace troncal, utilice el comandoswitchport mode
trunk. Con este comando, la interfaz cambia al modo de enlace troncal permanente. El puerto establece una
negociacin de protocolo de enlace troncal dinmico (DTP) para convertir el enlace en un enlace troncal, incluso si la
interfaz conectada a este no acepta el cambio. El protocolo DTP se describe en el tema siguiente. En este curso, el
comando switchport mode trunk es el nico mtodo que se implementa para la configuracin de enlaces
troncales.
En la figura 1, se muestra la sintaxis del comando de IOS de Cisco para especificar una VLAN nativa (distinta de la
VLAN 1).

Utilice el comando switchport trunk allowed vlan lista-vlan de IOS de Cisco para especificar la
lista de VLAN que se permiten en el enlace troncal.
En la figura 2, las VLAN 10, 20 y 30 admiten las computadoras de Cuerpo docente, Estudiante e Invitado (PC1, PC2
y PC3). La VLAN nativa tambin se debe cambiar de la VLAN 1 a otra VLAN, como la VLAN 99. De manera
predeterminada, se permiten todas las VLAN a lo largo de un enlace troncal. Para limitar las VLAN permitidas, se
puede usar el comando switchport trunk allowed vlan.
En la figura 3, el puerto F0/1 en el switch S1est configurado como puerto de enlace troncal, asigna la VLAN nativa
a la VLAN 99 y especifica el enlace troncal para que solo reenve trfico para las VLAN10, 20, 30 y 99.
Nota: esta configuracin supone el uso de los switches Cisco Catalyst 2960 que utilizan de manera automtica la
encapsulacin 802.1Q en los enlaces troncales. Es posible que otros switches requieran la configuracin manual de la
encapsulacin. Siempre configure ambos extremos de un enlace troncal con la misma VLAN nativa. Si la
configuracin de enlace troncal 802.1Q no es la misma en ambos extremos, el software IOS de Cisco registra errores.
3.2.2.2 Restablecimiento del enlace troncal al estado predeterminado

Implementaciones de VLAN
Enlaces troncales de la VLAN
En la figura 1, se muestran los comandos para eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace
troncal. Cuando se restablece al estado predeterminado, el enlace troncal permite todas las VLAN y utiliza la VLAN
1 como VLAN nativa.
En la figura 2, se muestran los comandos utilizados para restablecer todas las caractersticas de enlace troncal de una
interfaz troncal a la configuracin predeterminada. El comando show interfaces f0/1 switchport revela
que el enlace troncal se volvi a configurar en un estado predeterminado.
En la figura 3, el resultado de ejemplo muestra los comandos utilizados para eliminar la caracterstica de enlace
troncal del puerto F0/1 del switch S1. El comando show interfaces f0/1 switchport revela que la
interfaz F0/1 ahora est en modo de acceso esttico.
3.2.2.3 Verificacin de la configuracin de enlace troncal

Implementaciones de VLAN
Enlaces troncales de la VLAN
En la figura 1, se muestra la configuracin del puerto F0/1 del switch S1. La configuracin se verifica con el
comando show interfaces ID-interfaz switchport.
En el rea superior resaltada, se muestra que el modo administrativo del puerto F0/1 se estableci en trunk. El
puerto est en modo de enlace troncal. En la siguiente rea resaltada, se verifica que la VLAN nativa es la VLAN 99.
Ms abajo en el resultado, en el rea inferior resaltada, se muestra que todas las VLAN estn habilitadas en el enlace
troncal.
Utilice el verificador de sintaxis de la figura 2 para configurar un enlace troncal que admita todas las VLAN en la

interfaz F0/1 con la VLAN 99 como VLAN nativa. Verifique la configuracin de enlace troncal con el
comando show interfaces f0/1 switchport.
3.2.3.1 Introduccin a DTP

Implementaciones de VLAN
Protocolo de enlace troncal dinmico
Las interfaces troncales Ethernet admiten diferentes modos de enlace troncal. Una interfaz se puede establecer como
troncal o no troncal, o esta puede negociar el enlace troncal con la interfaz vecina. La negociacin de enlaces
troncales entre dispositivos de red la maneja el protocolo de enlace troncal dinmico (DTP), que solo funciona de
punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automtica en los switches de las series Catalyst
2960 y Catalyst 3560. Los switches de otros proveedores no admiten el DTP. DTP maneja la negociacin de enlaces
troncales solo si el puerto del switch vecino est configurado en un modo de enlace troncal que admite DTP.
Precaucin: algunos dispositivos de internetworking pueden reenviar tramas DTP de manera incorrecta, lo que
puede causar errores de configuracin. Para evitar esto, desactive DTP en las interfaces de los switches Cisco
conectadas a dispositivos que no admiten DTP.
La configuracin predeterminada de DTP para los switches Cisco Catalyst 2960 y 3560 es dynamic auto (dinmico
automtico), como se muestra en la figura 1, en la interfaz F0/3 de los switches S1 y S3.
Para habilitar los enlaces troncales desde un switch Cisco hacia un dispositivo que no admite DTP, utilice los
comandos switchport mode trunk y switchport nonegotiate del modo de configuracin de interfaz.
Esto hace que la interfaz se convierta en un enlace troncal, pero sin que genere tramas DTP.
En la figura 2, el enlace entre los switches S1 y S2 se convierte en un enlace troncal porque los puertos F0/1 de los
switches S1 y S2 se configuraron para omitir todos los anuncios de DTP, as como para aparecer y permanecer en
modo de puerto de enlace troncal. Los puertos F0/3 de los switches S1 y S3 se establecieron en modo dinmico
automtico, de modo que el resultado de la negociacin es el estado de modo de acceso. Esto genera un enlace
troncal inactivo. Al configurar un puerto para que est en modo de enlace troncal mediante el
comando switchport mode trunk, no existe ambigedad sobre el estado en que se encuentra el enlace troncal:
este se encuentra siempre activo. Con esta configuracin, es fcil recordar en qu estado estn los puertos de enlace
troncal: si se supone que el puerto es un enlace troncal, el modo se establece en enlace troncal.

3.2.3.2 Modos de interfaz negociados

Implementaciones de VLAN
Protocolo de enlace troncal dinmico
Las interfaces Ethernet de los switches de las series Catalyst 2960 y Catalyst 3560 admiten diversos modos de enlace
troncal con la ayuda de DTP:
switchport mode access : coloca la interfaz (puerto de acceso) en modo de enlace no troncal

permanente y negocia para convertir el enlace en uno no troncal. La interfaz se convierte en una interfaz no
troncal, independientemente de si la interfaz vecina es una interfaz troncal.
switchport mode dynamic auto : hace que la interfaz pueda convertir el enlace en un enlace
troncal. La interfaz se convierte en una interfaz troncal si la interfaz vecina se establece en modo de enlace
troncal o deseado. El modo de switchport predeterminado para todas las interfaces Ethernet es dynamic
auto.
switchport mode dynamic desirable : hace que la interfaz intente convertir el enlace en un
enlace troncal de manera activa. La interfaz se convierte en una interfaz troncal si la interfaz vecina se
establece en modo de enlace troncal, deseado o automtico. Este es el modo de switchport predeterminado en
los switches antiguos, como los switches de las series Catalyst 2950 y 3550.
switchport mode trunk : coloca la interfaz en modo de enlace troncal permanente y negocia para
convertir el enlace en un enlace troncal. La interfaz se convierte en una interfaz de enlace troncal, incluso si la
interfaz vecina no es una interfaz de enlace troncal.
switchport nonegotiate : evita que la interfaz genere tramas DTP. Puede utilizar este comando solo
cuando el modo de switchport de la interfaz es access o trunk. Para establecer un enlace troncal, debe
configurar manualmente la interfaz vecina como interfaz troncal.
En la figura 1, se muestran los resultados de las opciones de configuracin de DTP en extremos opuestos de un
enlace troncal conectado a los puertos de un switch Catalyst 2960.
Configure los enlaces troncales estticamente siempre que sea posible. El modo de DTP predeterminado depende de
la versin del software IOS de Cisco y de la plataforma. Para determinar el modo de DTP actual, emita el
comando show dtp interface, como se muestra en la figura 2.
Utilice el verificador de sintaxis de la figura 3 para determinar el modo de DTP en la interfaz F0/1.
Nota: por lo general, se recomienda que la interfaz se establezca en trunk ynonegotiate cuando se requiere un
enlace troncal. Se debe inhabilitar DTP en los enlaces cuando no se deben usar enlaces troncales.
3.2.4.1 Problemas de direccionamiento IP de VLAN

Implementaciones de VLAN
Resolucin de problemas de VLAN y enlaces troncales
Cada VLAN debe corresponder a una subred IP nica. Si dos dispositivos en la misma VLAN tienen direcciones de
subred diferentes, no se pueden comunicar. Este es un problema frecuente y se resuelve fcilmente mediante la
identificacin de la configuracin incorrecta y el cambio de la direccin de la subred por una direccin correcta.
En la figura 1, la PC1 no se puede conectar al servidor Web/TFTP que se muestra.
La verificacin de las opciones de configuracin IP de la PC1, que se muestra en la figura 2, revela el error ms
frecuente en la configuracin de redes VLAN: una direccin IP mal configurada. La PC1 se configur con la
direccin IP 172.172.10.21, pero debera haberse configurado con la direccin 172.17.10.21.

El cuadro de dilogo de la configuracin de Fast Ethernet de la PC1 muestra la direccin IP actualizada,

172.17.10.21. En la figura 3, el resultado que se muestra en la parte inferior indica que la PC1 recuper la
conectividad al servidor Web/TFTP que se encuentra en la direccin IP 172.17.10.30.
3.2.4.2 VLAN faltantes

Implementaciones de VLAN
Resolucin de problemas de VLAN y enlaces troncales
Si todava no hay conexin entre los dispositivos en una VLAN pero se descartaron los problemas de
direccionamiento IP, consulte el diagrama de flujo de la figura 1 para llevar a cabo la resolucin de problemas:
Paso 1. Utilice el comando show vlan para verificar si el puerto pertenece a la VLAN esperada. Si el puerto se
asign a una VLAN incorrecta, utilice el comando switchport access vlan para corregir la pertenencia de
VLAN. Utilice el comando show mac address-table para revisar qu direcciones se obtuvieron en un puerto
determinado del switch y a qu VLAN se asign ese puerto.
Paso 2. Si se elimina la VLAN a la que se asign el puerto, el puerto pasa a estar inactivo. Utilice los
comandos show vlan o show interfaces switchport.
Para ver la tabla de direcciones MAC, utilice el comando show mac-address-table. En el ejemplo de la
figura 2, se muestran las direcciones MAC que se obtuvieron en la interfaz F0/1. Se puede observar que en la interfaz
F0/1 de la VLAN 10 se obtuvo la direccin MAC000c.296a.a21c. Si este no es el nmero de VLAN previsto,
cambie la pertenencia de puerto de VLAN con el comando switchport access vlan.
Cada puerto de un switch pertenece a una VLAN. Si se elimina la VLAN a la que pertenece el puerto, este pasa a
estar inactivo. Ninguno de los puertos que pertenecen a la VLAN que se elimin puede comunicarse con el resto de la
red. Utilice el comando show interface f0/1 switchport para verificar si el puerto est inactivo. Si el
puerto est inactivo, no funciona hasta que se cree la VLAN con el comando vlan id_vlan.
3.2.4.3 Introduccin a la resolucin de problemas de enlaces troncales

Implementaciones de VLAN
Resolucin de problemas de VLAN y enlaces troncales
Una de las tareas frecuentes de los administradores de red es resolver problemas de formacin de enlaces troncales o
de enlaces que se comportan incorrectamente como enlaces troncales. En ocasiones, un puerto de switch se puede
comportar como puerto de enlace troncal, incluso si no se configur como tal. Por ejemplo, un puerto de acceso
puede aceptar tramas de redes VLAN distintas de la VLAN a la cual se asign. Esto se conoce como filtracin de
VLAN.
En la figura 1, se muestra un diagrama de flujo de las pautas generales de resolucin de problemas de enlaces
troncales.
Para resolver problemas de enlaces troncales que no se forman o de filtracin de VLAN, proceda de la siguiente
manera:

Paso 1. Utilice el comando show interfaces trunk para verificar si hay coincidencia entre la VLAN nativa
local y peer. Si la VLAN nativa no coincide en ambos extremos, hay una filtracin de VLAN.
Paso 2. Utilice el comando show interfaces trunk para verificar si se estableci un enlace troncal entre los
switches. Configure estticamente los enlaces troncales siempre que sea posible. Los puertos de los switches Cisco
Catalyst utilizan DTP de manera predeterminada e intentan negociar un enlace troncal.
Para mostrar el estado del enlace troncal, la VLAN nativa utilizada en ese enlace troncal y verificar el
establecimiento del enlace troncal, utilice el comando show interfaces trunk. En el ejemplo de la figura 2,
se muestra que la VLAN nativa en un extremo del enlace troncal se cambi a la VLAN 2. Si un extremo del enlace
troncal se configura como VLAN 99 nativa y el otro extremo como VLAN 2 nativa, las tramas que se envan desde la
VLAN 99 en un extremo se reciben en la VLAN 2 en el otro extremo. La VLAN 99 se filtra en el segmento VLAN 2.
CDP muestra un aviso de incompatibilidad de VLAN nativa en un enlace troncal con este mensaje:
*Mar 1 06:45:26.232: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch
discovered on FastEthernet0/1 (2), with S2 FastEthernet0/1 (99).
Si existe una incompatibilidad de VLAN nativa, se producen problemas de conectividad en la red. El trfico de datos
para las VLAN distintas de las dos VLAN nativas configuradas se propaga correctamente a travs del enlace troncal,
pero los datos relacionados con cualquiera de las VLAN nativas no se propagan correctamente a travs del enlace
troncal.
Como se muestra en la figura 2, los problemas de incompatibilidad de la VLAN nativa no impiden que se forme el
enlace troncal. Para resolver una incompatibilidad de VLAN nativa, configure la VLAN nativa para que sea la misma
VLAN en ambos lados del enlace.
3.2.4.4 Problemas comunes con enlaces troncales

Implementaciones de VLAN
Resolucin de problemas de VLAN y enlaces troncales
En general, los problemas de enlaces troncales se deben a una configuracin incorrecta. Al configurar las VLAN y los
enlaces troncales en una infraestructura conmutada, los errores de configuracin ms frecuentes son los siguientes:
Incompatibilidad de VLAN nativa: los puertos de enlace troncal se configuraron con VLAN nativas
diferentes. Este error de configuracin genera notificaciones de consola y provoca que el trfico de control y
administracin se dirija errneamente. Esto representa un riesgo de seguridad.
Incompatibilidades de modo de enlace troncal: un puerto de enlace troncal est configurado en un modo
que no es compatible para enlaces troncales en el puerto peer correspondiente. Estos errores de configuracin
hacen que el vnculo de enlace troncal deje de funcionar.
VLAN permitidas en enlaces troncales: no se actualiz la lista de VLAN permitidas en un enlace troncal
con los requisitos de enlace troncal de VLAN actuales. En este caso, se enva trfico inesperado o ningn
trfico al enlace troncal.

Si se detecta un problema con un enlace troncal y se desconoce la causa, comience la resolucin de problemas con un
examen de los enlaces troncales para determinar si hay una incompatibilidad de VLAN nativa. Si esa no es la causa,
verifique si hay una incompatibilidad de modo de enlace troncal y, por ltimo, revise la lista de VLAN permitidas en
el enlace troncal. En las dos pginas siguientes, se analiza cmo solucionar problemas frecuentes de los enlaces
troncales.
3.2.4.5 Faltas de concordancia del modo de enlace troncal

Implementaciones de VLAN
Resolucin de problemas de VLAN y enlaces troncales
Por lo general, los enlaces troncales se configuran estticamente con el comandoswitchport mode trunk. Los
puertos de enlace troncal de los switches Cisco Catalyst utilizan DTP para negociar el estado del enlace. Cuando un
puerto en un enlace troncal se configura con un modo de enlace troncal que no es compatible con el puerto de enlace
troncal vecino, no se puede formar un enlace troncal entre los dos switches.
En la situacin que se describe en la figura 1, la PC4 no puede conectarse al servidor web interno. La topologa indica
una configuracin vlida. Por qu hay un problema?
Verifique el estado de los puertos de enlace troncal del switch S1 con el comando show interfaces trunk. El
resultado que se muestra en la figura 2 indica que la interfaz Fa0/3 del switch S1 actualmente no es un enlace troncal.
Si se examina la interfaz F0/3, se descubre que el puerto del switch est en modo dinmico automtico. Si se
examinan los enlaces troncales del switch S3, se descubre que no hay puertos de enlace troncal activos. Si se sigue
examinando, se descubre que la interfaz Fa0/3 tambin est en modo dinmico automtico. Esto explica la
inactividad del enlace troncal.
Para resolver el problema, vuelva a configurar el modo de enlace troncal de los puertos F0/3 de los switches S1 y S3,
como se muestra en la figura 3. Despus del cambio de configuracin, el resultado del comando show
interfaces indica que el puerto del switch S1 ahora est en modo de enlace troncal. El resultado de la PC4 indica
que esta recuper la conectividad al servidor Web/TFTP que se encuentra en la direccin IP 172.17.10.30.
3.2.4.6 Lista de VLAN incorrectas

Implementaciones de VLAN
Resolucin de problemas de VLAN y enlaces troncales
Para que el trfico de una VLAN se transmita a travs de un enlace troncal, debe estar permitido en dicho enlace.
Para hacerlo, utilice el comando switchport trunk allowed vlan id-vlan.
En la figura 1, se agregaron la VLAN 20 (Estudiantes) y la PC5 a la red. La documentacin se ha actualizado para
mostrar que las VLAN permitidas en el enlace troncal son las 10, 20 y 99. En esta situacin, la PC5 no puede
conectarse al servidor de correo electrnico para estudiantes.
Verifique los puertos de enlace troncal del switch S1 con el comando show interfaces trunk, como se
muestra en la figura 2. El comando revela que la interfaz F0/3 del switch S3 se configur correctamente para permitir
las VLAN 10, 20 y 99. Si se examina la interfaz F0/3 del switch S1, se descubre que las interfaces F0/1 y F0/3
permiten solo las VLAN 10 y 99. Alguien actualiz el registro pero olvid volver a configurar los puertos del switch

S1.
Vuelva a configurar los puertos F0/1 y F0/3 del switch S1 con el comando switchport trunk allowed
vlan 10,20,99, como se muestra en la figura 3. El resultado muestra que ya se agregaron las VLAN 10, 20 y 99
a los puertos F0/1 y F0/3 del switch S1. El comandoshow interfaces trunk es una excelente herramienta
para revelar problemas frecuentes de enlace troncal. La PC5 recuper la conectividad al servidor de correo
electrnico para estudiantes que se encuentra en la direccin IP 172.17.20.10.
3.3.1.1 Ataque de suplantacin de identidad de switch

Seguridad y diseo de redes VLAN

Ataques a redes VLAN
Existen diferentes tipos de ataques a VLAN en las redes conmutadas modernas. La arquitectura VLAN simplifica el
mantenimiento de la red y mejora el rendimiento, pero tambin posibilita el uso indebido. Es importante comprender
la metodologa general detrs de estos ataques y los mtodos principales para mitigarlos.
Los saltos de VLAN permiten que una VLAN pueda ver el trfico de otra VLAN. La suplantacin de identidad de
switch es un tipo de ataque con salto de VLAN que funciona mediante el aprovechamiento de un puerto de enlace
troncal mal configurado. De manera predeterminada, los puertos de enlace troncal tienen acceso a todas las VLAN y
pasan el trfico para varias VLAN a travs del mismo enlace fsico, generalmente entre switches.
Haga clic en el botn Play (Reproducir) de la ilustracin para ver una animacin del ataque de suplantacin de
identidad de switch.
En un ataque de suplantacin de identidad de switch bsico, el atacante aprovecha el hecho de que la configuracin
predeterminada del puerto del switch sea dinmica automtica. El atacante de la red configura un sistema para
suplantar su propia identidad y hacerse pasar por un switch. Esta suplantacin de identidad requiere que el atacante
de la red pueda emular mensajes 802.1Q y DTP. Al hacerle creer al switch que otro switch intenta crear un enlace
troncal, el atacante puede acceder a todas las VLAN permitidas en el puerto de enlace troncal.
La mejor manera de prevenir un ataque de suplantacin de identidad de switch bsico es inhabilitar los enlaces
troncales en todos los puertos, excepto en los que especficamente requieren enlaces troncales. En los puertos de
enlace troncal requeridos, inhabilite DTP y habilite los enlaces troncales manualmente.
3.3.1.2 Ataque de etiquetado doble

Seguridad y diseo de redes VLAN

Ataques a redes VLAN
Otro tipo de ataque VLAN es el ataque con salto de VLAN de etiquetado doble (o de encapsulado doble). Este tipo
de ataque aprovecha la forma en que funciona el hardware en la mayora de los switches. La mayora de los switches
realizan solo un nivel de desencapsulacin 802.1Q, lo que permite que un atacante incorpore una etiqueta 802.1Q
oculta en la trama. Esta etiqueta permite que la trama se reenve a una VLAN que la etiqueta 802.1Q original no
especific. Una caracterstica importante del ataque con salto de VLAN de encapsulado doble es que funciona
incluso si se inhabilitan los puertos de enlace troncal, ya que, generalmente, un host enva una trama por un segmento
que no es un enlace troncal.

Los ataques con salto de VLAN de etiquetado doble implican los siguientes tres pasos:
1. El atacante enva una trama 802.1Q con doble etiqueta al switch. El encabezado externo tiene la etiqueta VLAN
del atacante, que es la misma que la VLAN nativa del puerto de enlace troncal. Se supone que el switch procesa la
trama que recibe del atacante como si estuviera en un puerto de enlace troncal o un puerto con una VLAN de voz (un
switch no debe recibir una trama de Ethernet etiquetada en un puerto de acceso). A los fines de este ejemplo, suponga
que la VLAN nativa es la VLAN 10. La etiqueta interna es la VLAN vctima; en este caso, la VLAN 20.
2. La trama llega al switch, que observa la primera etiqueta 802.1Q de 4 bytes. El switch observa que la trama est
destinada a la VLAN 10, que es la VLAN nativa. El switch reenva el paquete por todos los puertos de la VLAN 10
despus de eliminar la etiqueta de VLAN 10. En el puerto de enlace troncal, se elimina la etiqueta de VLAN 10, y no
se vuelve a etiquetar el paquete porque esta forma parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20
sigue intacta, y el primer switch no la inspeccion.
3. El segundo switch observa solo la etiqueta 802.1Q interna que envi el atacante y ve que la trama est destinada a
la VLAN 20, el objetivo. El segundo switch enva la trama al puerto vctima o lo satura, segn si existe una entrada
en la tabla de direcciones MAC para el host vctima.
Este tipo de ataque es unidireccional y solo funciona cuando el atacante se conecta a un puerto que reside en la
misma VLAN que la VLAN nativa del puerto de enlace troncal. Frustrar este tipo de ataque no es tan fcil como
detener ataques de salto de VLAN bsicos.
El mejor mtodo para mitigar los ataques de etiquetado doble es asegurar que la VLAN nativa de los puertos de
enlace troncal sea distinta de la VLAN de cualquier puerto de usuario. De hecho, se considera una prctica
recomendada de seguridad la utilizacin de una VLAN fija distinta de todas las VLAN de usuario como VLAN
nativa para todos los enlaces troncales 802.1Q en la red conmutada.
3.3.1.3 Permetro de PVLAN

Seguridad y diseo de redes VLAN

Ataques a redes VLAN
Algunas aplicaciones requieren que no se reenve trfico en la capa 2 entre los puertos del mismo switch, de modo
que un vecino no vea el trfico generado por otro vecino. En ese entorno, el uso de la caracterstica de permetro de
VLAN privada (PVLAN), tambin conocida como puertos protegidos, asegura que no se intercambie trfico de
unidifusin, difusin o multidifusin entre estos puertos del switch (figura 1).
Las caractersticas de la funcin de permetro de PVLAN son las siguientes:
Los puertos protegidos no reenvan trfico (de unidifusin, difusin o multidifusin) a ningn otro puerto que
tambin sea un puerto protegido, excepto el trfico de control. El trfico de datos no se puede reenviar entre
los puertos protegidos en la capa 2.
El comportamiento de reenvo entre un puerto protegido y un puerto no protegido contina normalmente.
Los puertos protegidos se deben configurar manualmente.
Para configurar la caracterstica de permetro de PVLAN, introduzca el comando switchport protected en el
modo de configuracin de interfaz (figura 2). Para inhabilitar los puertos protegidos, utilice el comando no
switchport protected del modo de configuracin de interfaz. Para verificar la configuracin de la

caracterstica de permetro de PVLAN, utilice el comando show interfaces idinterfaz switchport del modo de configuracin global.
Utilice el verificador de sintaxis de la figura 3 para configurar la caracterstica de permetro de PVLAN en la interfaz
G0/1 y verificar la configuracin.
3.3.2.1 Pautas de diseo de VLAN

Seguridad y diseo de redes VLAN

Prcticas recomendadas de diseo para las VLAN
Los switches Cisco tienen una configuracin de fbrica en la cual las VLAN predeterminadas se preconfiguran para
admitir diversos tipos de medios y protocolos. La VLAN Ethernet predeterminada es la VLAN 1. Por seguridad, se
recomienda configurar todos los puertos de todos los switches para que se asocien a VLAN distintas de la VLAN 1.
Generalmente, esto se logra configurando todos los puertos sin utilizar en una VLAN de agujero negro que no se use
para nada en la red. Todos los puertos utilizados se asocian a VLAN independientes de la VLAN 1 y de la VLAN de
agujero negro. Tambin se recomienda desactivar los puertos de switch sin utilizar para evitar el acceso no
autorizado.
Una buena prctica de seguridad es separar el trfico de administracin y de datos de usuario. La VLAN de
administracin, que es la VLAN 1 de manera predeterminada, se debe cambiar a una VLAN diferente e
independiente. Para comunicarse de manera remota con un switch Cisco con fines de administracin, el switch debe
tener una direccin IP configurada en la VLAN de administracin. Los usuarios en otras VLAN no pueden establecer
sesiones de acceso remoto al switch, a menos que se los enrute a la VLAN de administracin, lo que proporciona una
capa de seguridad adicional. Adems, se debe configurar el switch para que solo acepte sesiones SSH cifradas para la
administracin remota.
Todo el trfico de control se enva por la VLAN 1. Por lo tanto, cuando se cambia la VLAN nativa a una opcin
distinta de la VLAN 1, todo el trfico de control se etiqueta en los enlaces troncales de VLAN IEEE 802.1Q (se
etiqueta con la ID de VLAN 1). Por seguridad, se recomienda cambiar la VLAN nativa a una VLAN distinta de la
VLAN 1. La VLAN nativa tambin debe ser distinta de todas las VLAN de usuarios. Asegrese de que la VLAN
nativa para un enlace troncal 802.1Q sea la misma en ambos extremos del enlace troncal.
DTP ofrece cuatro modos de puerto de switch: acceso, enlace troncal, dinmico automtico y dinmico deseado. Una
pauta general es inhabilitar la autonegociacin. Una prctica recomendada de seguridad de puertos es no utilizar los
modos de puerto de switch dinmico automtico o dinmico deseado.
Por ltimo, el trfico de voz tiene requisitos de QoS estrictos. Si las computadoras y los telfonos IP de los usuarios
estn en la misma VLAN, cada uno intenta usar el ancho de banda disponible sin tener en cuenta al otro dispositivo.
Para evitar este conflicto, es aconsejable utilizar VLAN separadas para la telefona IP y para el trfico de datos.
3.4.1.1 Plan de la VLAN

Resumen
Resumen
Plan de la VLAN

Situacin
Disea una red VLAN conmutada para su pequea o mediana empresa.
La empresa posee espacios en dos pisos de un edificio de gran altura. La VLAN debe tener en cuenta los siguientes
elementos y el acceso de estos para fines de planificacin:
Management
Finanzas
Ventas
Recursos humanos
Administrador de redes
Visitas generales a la sede comercial
Usted posee dos switches Cisco 3560-24PS.
Utilice un programa de software de procesamiento de texto para disear el esquema de red VLAN conmutada.
En la seccin 1 del diseo, debe incluir los nombres comunes de los departamentos, los nombres y nmeros sugeridos
para las VLAN, y los puertos de switch que se asignarn a cada VLAN.
En la seccin 2 del diseo, debe especificar cmo se planificar la seguridad para esta red conmutada.
Cuando termine con la planificacin de la VLAN, conteste las preguntas de reflexin del PDF de esta actividad.
Guarde el trabajo. Debe poder explicar y analizar su diseo de VLAN con otro grupo o con la clase.
Actividad de clase: planificacin de VLAN (instrucciones)
3.4.1.3 Resumen

Resumen
Resumen
En este captulo, se presentaron las redes VLAN. Las VLAN se basan en conexiones lgicas, en lugar de conexiones
fsicas. Las VLAN son un mecanismo para permitir que los administradores de red creen dominios de difusin
lgicos que puedan extenderse a travs de un nico switch o varios switches, independientemente de la cercana
fsica. Esta funcin es til para reducir el tamao de los dominios de difusin o para permitir la agrupacin lgica de
grupos o usuarios sin la necesidad de que estn ubicados fsicamente en el mismo lugar.
Existen varios tipos de VLAN:
VLAN predeterminada

 VLAN de administracin
VLAN nativa
VLAN de datos/de usuarios
VLAN de agujero negro
VLAN de voz
En los switches Cisco, la VLAN 1 es la VLAN Ethernet predeterminada, la VLAN nativa predeterminada y la VLAN
de administracin predeterminada. Las prcticas recomendadas sugieren que la VLAN nativa y la de administracin
se cambien a una VLAN distinta, y que los puertos de switch sin utilizar se trasladen a una VLAN de agujero negro
para mayor seguridad.
El comando switchport access vlan se utiliza para crear una VLAN en un switch. Despus de crear una
VLAN, el siguiente paso es asignar puertos a la VLAN. El comandoshow vlan brief muestra el tipo de
asignacin y pertenencia de VLAN para todos los puertos de switch. Cada VLAN debe corresponder a una subred IP
nica.
Utilice el comando show vlan para verificar si el puerto pertenece a la VLAN esperada. Si el puerto se asign a
una VLAN incorrecta, utilice el comando switchport access vlanpara corregir la pertenencia de VLAN.
Utilice el comando show mac address-table para revisar qu direcciones se obtuvieron en un puerto
determinado del switch y a qu VLAN se asign ese puerto.
Un puerto de un switch es un puerto de acceso o un puerto de enlace troncal. Los puertos de acceso transportan el
trfico de una VLAN especfica asignada al puerto. Un puerto de enlace troncal pertenece a todas las VLAN de
manera predeterminada; por lo tanto, transporta el trfico para todas las VLAN.
Los enlaces troncales de VLAN facilitan la comunicacin entre switches mediante el transporte de trfico relacionado
con varias VLAN. El etiquetado de tramas IEEE 802.1Q permite diferenciar tramas de Ethernet asociadas a distintas
VLAN a medida que atraviesan enlaces troncales en comn. Para habilitar los enlaces troncales, utilice el
comandoswitchport mode trunk. Utilice el comando show interfaces trunk para verificar si se
estableci un enlace troncal entre los switches.
La negociacin de enlaces troncales entre dispositivos de red la maneja el protocolo de enlace troncal dinmico
(DTP), que solo funciona de punto a punto. DTP es un protocolo exclusivo de Cisco que se habilita de manera
automtica en los switches de las series Catalyst 2960 y Catalyst 3560.
Para volver un switch a su condicin predeterminada de fbrica con una VLAN predeterminada, use el
comando delete flash:vlan.dat y erase startup-config.
En este captulo, tambin se analiz la configuracin y la verificacin de redes VLAN y de enlaces troncales, as
como la resolucin de problemas relacionados mediante la CLI de IOS de Cisco, y se exploraron las consideraciones
bsicas de seguridad y de diseo en el contexto de las redes VLAN.