Blog de Javier Castañón – JavCastaPosts RSS Comments RSS


Rescato un doumento de la extinta web: http://www.hackxcrack.com (el dominio sigue, pero es el cadaver lo que se ve :-( )

Si deseais ver las imágenes que faltan en el post, con el navegador IE o uno que soporte formato mht, lo teneis en:

http://club.idecnet.com/~ccastano/cisco/SwVLAN.mht


Switching y VLAN’s

Los Switches

Aunque existen switches (conmutadores) de capa 3 y hasta de capa 4 del modelo OSI, lo más habitual es encontrarnos con Switches de capa 2, por ello voy a reseñar algunas de sus características más significativas:

· Dispositivo hardware de capa 2 del modelo OSI.

· Utiliza MAC’s para conmutar el tráfico de la red

· Construye una tabla llamada CAM que relaciona MAC-IP y otros datos

· Reduce el Broadcast

· Dedican el ancho de banda por cada puerto

· Son algo más lentos que sus primos los hubs debido a un pequeño tiempo que necesitan para consultar la tabla CAM y dirigir el tráfico por la boca adecuada, eso se llama latencia

· Pese a la latencia, los switches con más eficientes que los hubs, la red va “más rápida” puesto que prácticamente la totalidad del ancho de banda del cable se dedica a la comunicación, mientras que un hub comparte el cable, es decir, el ancho de banda se divide entre todas las bocas.

· Son inteligentes y pueden tomar decisiones

· Tienen CPU, memoria, sistema operativo y se puede configurar “a medida”

· Permiten el tráfico redundante, es decir, un mimo paquete de datos puede ir por diferentes caminos si existen switches conectados unos con otros.

Ejemplo de red conmutada CON redundancia (corregido, estaba mal, ponía sin redundancial)

Ejemplo de red conmutada NO redundante (corregido, estaba mal, ponía redundantel)

Este último ejemplo sería imposible de implementarlo con Hubs en lugar de switches, puesto que como un hub propaga el tráfico por todas las bocas, al final resultaría que la red se inundaría, en pocos segundos provocaríamos un DoS si hiciésemos eso con hubs.

Con los switches también pasa, pero solo con el tráfico de difusión (broadcast) o multidifusión (multicast), para evitarlo los switches usan protocolos de capa 2, más concretamente STP (Spanning Tree Protocol o Protocolo de árbol de expansión)

Cada puerto de un switch se puede configurar “al gusto” o a las necesidades de cada red, así por ejemplo se puede tener de puertos que “van” a 10 Mbps, otros a 100 Mbps, a 1000 Mbps, unos pueden estar desactivados, otros pueden monitorizarse, etc…

Hasta podemos agrupar puertos (channel) y así duplicamos, triplicamos, etc.. el ancho de banda, es decir, podemos explicar a un switch que 5 puertos con un ancho de banda de 100 Mbps cada uno funcionen como si fuese uno sólo de 500Mbps.

Cada puerto de un switch puede encontrarse en 5 estados diferentes:

· Bloqueo: Los datos no pasan pero sí el tráfico Spanning-tree

· Envío: Permite el paso de todo tipo de tráfico

· Desactivado: No pasa ningún tráfico, es el equivalente a quitar el cable

· Aprendizaje: Es un estado intermedio, en el que el switch decide si ese puerto debe pasar al modo de envío o bloqueo

· Espera: Parecido al anterior, en el que realmente escucha determinado tráfico para saber en qué modo termina por configurarse.

Por último y para no enrollarme más, un switch puede estar globalmente en dos modos de operación:

· Cut and Through, método de corte, en el que no hace falta esperar a recibir toda la trama de datos para que inmediatamente transmita la información, es decir, imagina que nada mas leer las señas de una carta el cartero la coloca en el buzón, aunque puede que haya más cartas para el mismo destino

· Store and Forward, almacenamiento y reenvío, en este modo el switch “se traga” todo el paquete de datos, lo recompone y lo envía, es como si el cartero espera a que ya no haya más cartas para un mismo destino antes de meterlas en el buzón.

Cada uno tiene sus ventajas e inconvenientes, el método de almacenamiento requiere más consumo de RAM, más CPU, pero también puede llegar a ser más fiable y más seguro, imagina un cable “dudoso” o una tarjeta defectuosa o un usuario mal intencionado que envía datos “incompletos”, con el método de corte esos paquetes siempre llegarán al destino aunque luego no pueda leerse, con el método de almacenamiento se quedan en el switch, lo que al final termina con un menor consumo de ancho de banda, mayor seguridad para los destinatarios, etc… bueno, eso es en teoría.

Igual te sorprende que un switch tenga RAM y CPU, etc… pues sí,… y para que te hagas una idea, un switch de no muy elevadas prestaciones es capaz de almacenar 8000 direcciones MAC e IP’s por cada uno de sus bocas o puertos, una pasada verdad?

Bien, ahora que ya sabemos más o menos como funciona un switch a groso modo, veamos qué son y para qué se usan las VLAN

Virtual LAN, Redes locales Virtuales.

Una VLAN de alguna forma se parece a una LAN física, igual que una VPN se parece a una red física….

Incorporar VLAN en un switch es como “trocear” el switch en otros switches más pequeños, o sea, pongamos un switch de 24 puertos (bocas), si cogemos y le decimos:

VLAN para Abogados son los puertos 1-2-3-4
VLAN para Secretarias son los puertos 5-6-7-8-9-10
VLAN para Comerciales son los puertos 11-12-13-14-15-16
VLAN para Desarrollo son los puertos 17-18-19-20
VLAN para pruebas son los puertos 21-22
VLAN para Administradores son los 23-24

Pues esto es como si realmente tuviésemos 6 switches, así:

Switch 1 de 4 puertos
Switch 2 de 6 puertos
Switch 3 de 6 puertos
Switch 4 de 4 puertos
Switch 5 de 2 puertos
Switch 6 de 2 puertos

Independientes entre sí, aunque en un mismo bloque….

Luego las ventajas que nos encontramos al usar VLAN’s son:

· mayor seguridad, podemos filtrar el tráfico a voluntad, por ejemplo podemos explicar que los administradores pueden pasar por cualquier boca, la red de pruebas no se comunica con nadie, las secretarias y los desarrolladores no se verán….

· Mayor ancho de banda, antes dijimos que un switch dedica el ancho de banda, pero el tráfico de difusión pasa por todas las bocas del switch, al incluir VLAN’s el trafico de broadcast se queda dentro de cada VLAN, los paquetes de difusión de una VLAN no pasan a otra.

· Permite hacer una división lógica de la empresa, obvio, físicamente podemos tener 6 plantas en nuestra empresa, pero no pretenderemos tener a todas las secretarias en una, a los abogados en otra, etc… es decir, en cada planta hay trabajos diferentes con personas diferentes, pero virtualmente pertenecen a la misma VLAN

· Son escalables, puesto que no hace falta mover a los empleados y si vienen otros nuevos se añaden o se crean nuevas VLAN

· Si se trata de un switch de capa 3 o le incluimos un router, podemos establecer ACL’s (listas de acceso, filtros ip, etc..) por cada VLAN, elevando así la seguridad a límites muy altos.

· Ahorran costes económicos, sobre todo cuando por ejemplo, un departamento se va a otro edificio, con pocos cambios y el mismo hardware solucionamos el pastel, de otra forma necesitaríamos más medios y más administración

Prácticamente las VLAN no tienen desventajas, excepto y si se le puede llamar desventaja a que necesitaremos de un router para comunicar las VLAN entre sí o si llamamos desventaja a tener que administrar esto mismo… pero eso no son desventajas como tales, son necesidades del día a día.

No todos los switches son capaces de manejar VLAN’s, sólo aquellos que son “verdaderos” switches soportan este método.

Además y si por si fuera poco, tenemos dos tipos principales de VLAN’s:

· Estáticas: aquellos puertos que son asignados a una determinada VLAN y no cambian nunca a menos que el administrador del switch decida cambiar la configuración, el ejemplo anterior es una ilustración de VLAN’s estáticas

· Dinámicas, en los que el switch “reconoce” por MAC a quien se conecta, independientemente del puerto al que se conecte, y le “mete” dentro de la VLAN apropiada, en este caso, si yo soy una secretaria, me daría igual que me conectase al puerto 1, 3, 12 o 23 que el switch me asignaría como miembro de la VLAN de secretarias…. es un poco más complejo, pero en resumen es esto.

Bueno, hay otro modo, de puerto central… pero digamos que ese tipo de VLAN la encontramos en switches que conectan routers… luego lo veremos en otro ejemplo.

Tampoco es necesario que los puertos de VLAn sean contiguos, como en el ejemplo, pueden ser “salteados”, pero así es más fácil de identificarlas físicamente, no?

Ejemplo de switch con 3 VLAN’s

Como ves en el ejemplo, a un puerto de un switch se puede conectar cualquier cosa, un PC, un servidor, un router, otro switch, un hub… vamos cualquier cosa….

Bueno, ya sabemos bastante más de conmutadores y VLAN’s, ahora nos toca aprender unos cuantos protocolos que usan, varios conceptos y la parte práctica de todo esto.

Protocolos de conmutación y Switching

Aunque nos podríamos perder entre muchos de ellos, resaltemos unos cuantos:

· STP, Spaning Tree Protocol, se debe usar cuando tenemos más de un switch conectados entre sí, cuando hay switches redundantes, si no hay “circuito” no se necesita y proporciona topologías de conmutación redundantes libre de bucles.

· VTP, Virtual Trunking Protocol, se usa para que un switch le “explique” a otro dispositivo como está configurado y qué VLAN’s tiene, así mismo, podemos agrupar switches por dominios VTP y hacer la red todavía más granular.

· Dot1q y/o ISL, es un protocolo para transportar información de cada puerto entre vlan’s y/o entre switch-switch o switch-router, para que se puedan entender… 802.1q (dot1q) es un protocolo estándar, ISL es propietario de CISCO

· STA, Es el algoritmo que usa STP para determinar cual es el mejor camino para llevar un paquete de datos de un origen a un destino

· BPDU, Unidad de datos del Switch, es la trama en la que viajan los paquetes, dicho mal y pronto sería como IP en TCP/IP.

· CBPDU, protocolo de configuración de switch, informa a otros switches del estado de otros switches y reconfigura la red si es preciso.

Debería explicar como funciona STP, pero no lo voy a hacer, seguro que nos perdemos todos, en clase lo hago, “sufren” todos y todas , para que os hagáis una idea explicar bien STP, el método de elección, lo que son los switches raíz, switches designados, puertos raíces, puertos designados, costes por puerto, formato de tramas, etc… me lleva unas 4 horas de pizarra…. uff, si alguno está muy, muy interesado se lo cuento “de alguna forma” pero ahora no….

Lo que sí tengo que explicar un resumen de ello,

STA (el algoritmo que usa STP) se basa en unas pocas reglas sencillas:

· El switch raíz tiene TODOS sus puertos en modo de envío excepto aquellos que estén desactivados, claro.

· El switch de coste mínimo será el switch designado para cada segmento de la red, en otras palabras, STA elegirá el camino más rápido para llegar de un origen a un destino y esos puertos designados están en envío.

· Todos los switches disponen de un único puerto considerado de coste mínimo, ese puerto normalmente es el que le une con otro switch y ese puerto está en modo envío.

· Todos los puertos que unen al switch con PC’s o con hub’s o routers están en envío.

· El resto de puertos del switch se bloquean

Esto que seguro que no entiendes del todo permite utilizar redes de switches redundantes o en malla para garantizar la comunicación “pase lo que pase”

El administrador del switch o del conjunto de switches decide quien es el switch raíz, para ello le asigna una prioridad, cuanto más cerca esté de cero, mayor prioridad tiene ese switch, es decir, un switch con prioridad cero probablemente será el raíz.

Digo probablemente… porque…. y si hay dos con la misma prioridad y dicha prioridad es la más baja de toda la red? Pues se toma el coste por puerto y la MAC del switch, como parámetro de elección, recuerda SOLO puede haber UN switch raíz, puede existir otro secundario, pero no dos raíces principales.

Es el administrador quien decide cual de todos será… mira este ejemplo y lo entenderás mejor:

Si elegimos el switch que hay rodeado en rojo como switch raíz, obligamos que TODO el tráfico de la red pase por él, es decir aunque dos pc’s estén en switches “contiguos” en lugar de ir de uno a otro, primero se dirige el tráfico hacia el switch raíz, y luego se encamina al destino…

Una mala elección del switch raíz puede ralentizar en exceso las comunicaciones.

Por lo general, el switch raíz suele ser el que está en el centro de la topología, pero a veces, como en el caso anterior, es difícil saber cual es el verdadero centro… también dependerá del tipo de tráfico, de la cantidad de usuarios, de los servidores de red, del acceso a otras redes como Internet, etc… eso queda para el Diseño de redes….

Puede que te estés preguntando que esto ¿para qué? Si total, yo tengo nada mas que un switch y un router…. pero aunque no lo creas, es muy probable que cuando navegas por Internet, lo que te une con el proveedor es tú router que va a “morir” a un switch de conmutación ATM o de cable, y que tu proveedor despliegue su red mediante switches, vamos que te asombraría saber la cantidad de switches por los que pasas cuando estás en Internet, y de routers, claro….

Ahora veamos en la práctica que hay que hacer….

· Hay que elegir el puente raíz y si lo deseamos uno secundario por si nos falla el primero

· Hay que elegir el diámetro de la red, es decir, el valor máximo u óptimo de switches por el que pasarán los datos.

· Hay que proteger el switch raíz… porque imagina que llega un administrador capullo y nos enchufa otro switch en el culo del mundo de nuestra red y por “casualidad” o porque así lo dispuso el administrador capullo, este switch que es una mierda y está lejos, se convierte en raíz…. a tomar por saco la red… todo lento…

· Hay que decidir si utilizamos STP o no

· Hay que configurar VTP, el modo VTP y el dominio de gestión

· Hay que decidir la velocidad de los puertos

· Hay que decidir si esos puertos son trunking (compartidos) o no

· Hay que decidir el protocolo de encapsulación, si tiramos por ISL, por IEEE, por dot1q…

· Hay que construir las VLAN’s y asignarlas a puertos estáticos o dinámicos

· Hay que decidir el modo de negociación de los puertos

· Hay que decidir si serán puertos rápidos, de backbone o de uplink

Y mas cosas… la protección de BPDU, las difusiones, las multidifusiones, etc… pero nos vamos a perder y mucho… así que vamos a plantear el escenario, uno simplón, que además es el que “sorprendió” a nuestro compañero Grullanetx y le damos la solución final

Escenario

1 Switch con tres VLAN’s
1 Router que intercomunica las tres VLAN’s y proporciona acceso a Internet
1 Servidor DHCP que asigna IP’s automáticas a cualquier cosa que se conecte al switch

Parece fácil, pero no lo es, el problema o mejor dicho, lo que le llamó la atención a Grullanetx, es que existiendo 3 VLAN’s sólo había un servidor DHCP, con una única tarjeta de red….

Pensaréis, pues vaya problema, se configura el DHCP con cada rango de red y ya está… pues NO!!! Porque qué pasaría si el servidor DHCP le entrega a un PC de la VLAN de secretarias una IP que le debería corresponder a la VLAN de los jefes…. pues que se quedará sin comunicación, no será ni secretaria, ni jefe… el switch no entenderá que coño hace ese PC con un rango de red que no le corresponde…

Vamos, que no me extraña que le haya sorprendido, pero a grandes problemas, grandes remedios…

Antes de solucionar y configurar todo, pongamos el caso real

Configuración del Switch

Cisco Catalyst 2950 de 24 puertos.

VLAN 10 para el departamento de diseño, red 192.168.10.0/24
VLAN 20 para el departamento comercial, red 192.168.20.0/24
VLAN 30 para el departamento de administración, red 192.168.30.0/24

Puertos: 1-2-3-4-5-6-7-8 asignados a la VLAN 10
Puertos: 9-10-11-12-13-14-15-16, a la VLAN 20
Puertos: 17-18-19-20-21-22-23-24, a la VLAN 30

IP’s de gestión del Switch

Para la VLAN 10, la IP de gestión es: 192.168.10.199 /24
Para la VLAN 20, la IP de gestión es: 192.168.20.199 /24
Para la VLAN 30, la IP de gestión es: 192.168.30.199 /24

Clave de acceso para telnet: clase
Clave de acceso para el administrador: cisco
Designarlo como switch raíz y protegerlo como raíz
Habilitar STP por VLAN
Habilitar VTP en modo servidor, con nombre de dominio HxC

Los puertos 22-23-24 en modo TRUNK, modo compartido para que pase el tráfico VTP

Los puertos 1 al 21 en modo dinámico “deseable”

Los puertos 1 al 21 se habilita el modo portfast para no esperar el cambio de estado de puerto

Los puertos 22-23-24 se habilita el modo backbone fast, son puertos troncales, que unirán al router y/o a otros switches en el futuro

En el puerto 24 conectaremos el router

En un puerto cualquiera de la VLAN 20 (del 9 al 16) conectaremos el servidor DHCP

Configuración del Servidor DHCP

Servidor DHCP de Windows 2000 advanced Server

IP 192.168.20.1 /24

Tres ámbitos de concesiones, uno para cada rango de red de VLAN para 50 host dinámicos, o sea, así:

Ámbito Diseño: 192.168.10.200 a 192.168.10.250
Ámbito Comercial: 192.168.20.200 a 192.168.20.250
Ámbito Admón.: 192.168.30.200 a 192.168.30.250

Los tres ámbitos con máscara 255.255.255.0 (/24)

Configuración de router

Cisco 1700

2 Tarjetas WAN serie (no usadas)
1 Tarjeta ATM para adsl (ya configurada, no se pone en el ejemplo)
1 Tarjeta FastEthernet 10/100 conectada al switch por el puerto 24

Se habilitarán 3 subinterfaces en la FastEthernet, de nombres: F0.10, F0.20 y F0.30 que conectarán las tres VLAN’s, habilitando el enrutamiento entre las tres y proporcionando conectividad WAN xDSL

Bueno y más cosas que iremos “descubriendo” poco a poco… de momento con esto te haces una idea, observa dos cosas:

1º) Utilizamos vlan 10, 20 y 30, configuramos redes .10, .20 y .30, habilitamos subinterfaces .10, .20 y .30…. como ves todo coincide

Pero no te equivoques, esto es un convenio, es para “mejorar la comprensión”, pero es perfectamente posible tener la VLAN 80 con red 192.168.13.0/24, asignada a una subinterfaces del router que se llame F0.112 …. lo que ocurre es que es más sencillo de recordar así, que si empezamos a ser fantasiosos con los rangos de red, etc…

2º) Las subinterfaces…. hemos dicho que usar 25 VLAN’s en un switch es como tener 25 switches, si queremos conectar esas VLAN entre si, necesitaríamos:

· 25 routers con al menos 1 interface ethernet
· 1 router con al menos 25 interfaces ethernet
· 1 router con una interface FastEthernet

No hay que ser muy listo para darse cuenta que los dos primeros puntos son carísimos e innecesarios a la vista del tercero… imagina una subinterface como un pc con una tarjeta de red con varias ip’s…. eso es…. mas o menos….

Cada una de estas subinterfaces, tienen estas ip’s:

Para f0.10 la IP 192.168.10.254/24
Para f0.20 la IP 192.168.20.254/24
Para f0.30 la IP 192.168.30.254/24

Estas IP’s serán a su vez, las puertas de enlace para cada VLAN, es decir, si configurásemos manualmente un IP de la VLAN 20, por ejemplo el propio servidor DHCP, sería;

IP: 192.168.20.1
Máscara: 255.255.255.0
Puerta de enlace predeterminada: 192.168.20.254

Es como si tuviésemos 3 redes y 3 routers diferentes… son “virtuales”
Vale, pues al tajo….

CONFIGURACION PASO A PASO DEL SWITCH

Empecemos por el Switch, aunque hay cosas que son innecesarias para esta práctica, de todas formas las incluyo, así te irás dando cuenta de que va el rollo este… son capturas de pantalla, comentadas, claro…

Explicando…

Configure terminal, pasa al modo de configuración global de switch
Hostname SWForo-HxC le asigna el nombre
Exit, regresa al “menú anterior”
Vlan database entra en el modo de configuración de VLAN y VTP
Vtp server, asigna a este switch el modo de servidor en la red de switches
Vtp domain HxC, le proporciona un nombre de dominio al switch, sólo se comunicará con otros switches que tengan ese nombre, como solo hay uno nos lo podríamos haber ahorrado
Vlan 10 name Diseno, crea una VLAN con identificador 10 y nombre diseno, para le resto, 20, 30, etc… lo mismo….

Ahora veamos como está el switch y sus VLAN’s

Como ves están creadas, pero resulta que TODOS los puertos del switch están asignados a la VLAN 1 y no como queremos, así que nos toca asignar puertos a VLAN

Vale, esto se entiende más o menos, empezamos a teclear ordenes:

Interface range f0/1 – 8 (puertos del 1 al y los asignamos a la VLAN 10 (switchport access vlan 10) y lo mismo para la 20 y 30, claro seleccionando el rango de puertos correcto

Ahora veamos como está el switch con la misma orden de antes (show vlan brief)

BIEN!!! Ya lo tenemos… ya le hemos explicado al switch que los puertos 1 al 8 son de la vlan 10, los puertos 9 al 16 para la vlan 20 y los puertos 17 a 24 para la vlan 30

A ver que toca ahora….

mmm, todo esto sobraría, no es relevante para el ejemplo, pero viene bien por si acaso…

line vty 05 habilita 5 sesiones de telnet simultáneas al switch y para acceder por telnet le asignamos el password clase

service password-encryption obliga a cifrar la password, así no viaja en texto plano

enable secret cisco, significa que para entrar al modo de administración deberemos escribir cisco como contraseña, aquí no hace falta encriptar, este pass se almacena en Md5

Y por último nos encontramos la línea copy run start, esto salva la configuración que hay en RAM a una memoria del tipo flash (NVRAM) para que si se va la luz o si hay que apagar el asunto no perdamos los pasos andados…

Ahora, le diremos al switch como ha de comportarse spannig tree, para las vlan 10 y 20, habilitamos el modo portfast, esto es opcional, pero trae una ventaja…

Cuando a un switch se conecta un pc, un router, un “algo” pasan unos 30 segundos hasta que se pone operativo (recuerda los estados de los puertos, espera, aprendizaje, envío, bloqueo y desactivado) es importante que estén en portfast porque…

¿qué pasa si el puerto del servidor DHCP todavía no está operativo y un cliente le solicita una IP? Pues que no se la da, porque es como si no tuviese red…. así nos lo evitamos.

LA vlan 30 no hacemos eso, porque son puertos donde conectaremos otros switches, routers y otros dispositivos “especiales” esos deberían estar en backbonefast o en uplinkfast, los dejaremos por defecto, que serán backbonefast.

Ahora le vamos a explicar que usaremos un diámetro de 7 saltos máximo y que la prioridad de este switch es cero… queremos que sea el switch raíz, recuerda lo de STP

Se lo explicamos únicamente a la VLAN 30, puesto que hemos decidido que en las VLAN 10 y 20 no conectaremos otra cosa más que PC’s…. y que en la VLAN 30 puede haber (que lo hay) routers, switches, hubs….

Nos toca establecer el modo de comportamiento del los puertos…

Según lo que ya hemos comentado en el escenario, los puertos 1 a 21 se usarán para PC’s, habilitamos el modo “desirable” eso quiere decir que estos puertos del switch se comportarán como lo haga el extremo al que están conectados, es decir, como digan los Pc’s

Haremos lo propio pero para los puertos 22-23 y 24, estos estarán en modo TRUNK, para que pase el tráfico VTP, de VLAN’s, las BPDU, etc.. y luego los levantamos por si acaso (no shutdown)

Bien, está el 99%… pero por si acaso, guardamos de nuevo la configuración y reiniciamos el switch que a veces “se lían” un poco si no lo hacemos

Vale, ahora vamos por el router… algunos comandos son parecidos….

CONFIGURACION DEL ROUTER PASO A PASO

Le damos el nombre, y una cosa MUY IMPORTANTE!!!

Como vamos a crear subinterfaces, a la verdadera interfaces fastethernet NO LE PODEMOS ASIGNAR IP, si lo hacemos la j*dem*s

También le ponemos el password (elegimos el mismo, podría ser otro, claro) levantamos la línea con un no shutdown

Vamos a configurar las subinterfaces de acuerdo a los criterios establecidos, f0.10, f0.20, f0.30 y elegimos como encapsulación dot1q, así cumplimos con el estándar… que ISL sería sólo para CISCO y por supuesto le colocamos las IP’s correspondientes POR CADA INTERFACE, es decir, para la f0.10 sería así:

Interface f0.10 (entramos en la configuración de dicha interface)

Encapsulation dot1q 10 (elegimos dot1q y el 10 es por el id de VLAN, no por f0.10, pero como ves es mas sencillo utilizar los mismos números, pero perfectamente podría haber sido interface f0.234, encapsulation dot1q 10)

Ip address 192.168.10.254 255.255.255.0 es la ip de esta interface, la que usarán los pc’s conectados a la VLAN 10 como puerta de enlace….

Para el resto de subinterfaces, lo mismo cambiando la ip, el encapsulation y el numero de subinterface, ahí va todo:

Ahora los password del router, las líneas telnet y esas cosas….

No lo hice… pero debería haber terminado con un copy run start, que al igual que con el switch sirve para salvar la configuración actual… por si las moscas…

Y para comprobar que todo va bien, asignamos unas cuantas ip’s estáticas por la red y probamos unos ping… y a las puertas de enlace también… eso lo hacemos desde un equipo cualquiera:

BINGO!!! Hay conexión con todo… esto va como la seda.

Queda poco… ánimo….

Configuración del Servidor DHCP en Windows 2000

Ufff, esto no lo detallaré… simplemente instalamos el servicio y servidor DHCP, lo iniciamos y creamos estos ámbitos, todas las pantallas que no aparezcan se asume la configuración por defecto… sólo pongo las que hay que cambiar algo

Nuestro primer ámbito lo llamamos vlan10, o lo que te de la gana, pero si se trata de la vlan 10 porque le vas a poner otro nombre

Y le damos una descripción de lo que es… Red de Diseño

Ahora le explicamos el rango de direcciones a entregar, como decía nuestro escenario de la .200 a la .250, y recuerda que como es la VLAN 10 elegimos 192.168.10

Ahora le decimos la puerta de enlace que recibirán los clientes DHCP, ¿cuál será?

Pues la IP del router… pero como el router tiene 3 ip’s hay que escoger la adecuada… ¿cuál es la adecuada? La que configuramos en la f0.10, es decir, la 192.168.10.254, revisa la configuración del router, esta corresponde a la VLAN 10

Y ya estaría el primer ámbito, el resto de pantallas que salen las dejamos por defecto, es decir, siguiente, siguiente, ….. hasta finalizar.

Para los otros dos ámbitos se hace igual, sólo que cambiarán los rangos de red de concesiones y las puertas de enlace… te pongo las pantallas pero sin comentar nada, que ya está todo dicho con lo de antes:

ejemm… en esta última me colé… debería ser 192.168.30.254 y no 192.168.3.254 que es lo que muestra la pantalla, pero es que una vez subida la imagen al ftp, me da pereza…. sorry, y recuerda ponerla BIEN

Vale… veamos como quedó nuestro DHCP

Ahí lo tenemos… tras ámbitos… una sola tarjeta de red… tres VLAN, un router con una sólo interface… todo como decía Grullanetx

Bueno, pues si lo probamos ahora… NO FUNCIONARÁ… JODER!!!

Después del petardo este… dices que no va?

Pues no… porque hay un pequeño problema… cuando un pc solicita una IP dinámica llega al switch… y el switch tiene VLAN’s…. y que?

Pues que el tráfico DHCP es UDP broadcast!!! Y las VLAN NO PROPAGAN EL BROADCAST, ni los routers… por tanto NO SALDRÁ DE LA VLAN….

Tenemos que explicar al router y al switch que el broadcast lo pase a la dirección ip 192.168.20.1 /24

A esa?

Sí, porque ESA es la IP del DHCP server

PERMITIR BROADCAST EN SWITCH POR VLAN Y EN EL ROUTER

Así que hacemos esto en el switch:

Se entiende… asignamos un gateway por defecto al switch… elegimos la 192.168.30.254, pero podría haber sido cualquiera de las otras IP’s que tiene el routers, es decir, la 192.168.10.254 ó la 192.168.20.254, pero como la VLAN 30 está en modo trunk… mejor

Asignamos una IP de gestión al switch… una por cada VLAN, esto es opcional, pero si no lo hago, no tengo telnet al switch eso es la línea ip address……

Y la solución a nuestro problema… le explicamos POR CADA VLAN, que el tráfico de difusión se lo coma la máquina 192.168.20.1 que es la IP del DHCP server

Y aunque no lo pone, tendríamos que haber terminado con un copy run start para salvar los cambios.

Mas o menos hacemos lo propio en el router….

Aquí lo hacemos POR CADA SUBINTERFACE, la ip no se pone que ya lo hicimos… y si… también falta el copy run start

Ahora probemos, conectamos un PC cualquiera a un puerto de la VLAN 10, le decimos que obtenga una IP automática… por si acaso y para forzar más la máquina, le decimos que libere cualquier IP que posea…. y luego le obligamos con /renew a que obtenga una IP de algún DHCP que haya por la red:

Como ves… primero no tiene IP, luego le hacemos un /release para que libere… después un /renew para que la obtenga y ZAS!!! Nos mete la 192.168.10.200 que es la primera que está disponible para el ámbito de la VLAN 10

Si miramos en el DHCP server…. AHÍ ESTA!!!

Ahhh… que no te crees que si metemos otro PC en la VLAN 20 le dará una ip del rango 192.168.20.200 a 192.168.20.250…. jeje…. desconfiado…. mira:

100% funcional… no 100% terminado… porque habría que meter ACL’s (como un firewall), proteger la raíz, no propagar las BPDU’s por la LAN, etc… pero eso… eso en clase amigos.

Guardad bien este documento… me juego las barbas, el cuerno izquierdo y una de mis trenzas a que esto no lo veréis en ningún curso… ni CCNA, ni CCNP…. al menos yo… es la primera vez que lo hago… todo por tu culpa Grulla….

Ya se que pocos tenéis dispositivos de este tipo, quién sabe… …

Salud…. y paz….
_________________

Share
Clika en el altavoz para oir el postAltavoz


Leave a Reply

Los enlaces en los comentarios pueden encontrarse libres de nofollow.

?>