En - SWITCH - v6 - Ch02 Español

Chapter 2: Implementing VLANs in Campus Networks
CCNP SWITCH: Implementing IP Switching
SWITCH v6 Chapter 2 2007 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Chapter 2 Objectives
Diseo y plan de VLAN, troncos y direccionamiento para satisfacer los requerimientos del negocio, los requisitos tcnicos y restricciones. Configurar VLAN y VLAN troncos en la red del campus para apoyar los requisitos comerciales y tcnicos. Configurar VTP en la red del campus para apoyar los requisitos comerciales y tcnicos. Describir las VLAN privadas y configurar VLAN privadas en la red del campus para apoyar los requisitos comerciales y tcnicos. Configurar y verificar un EtherChannel en una topologa de capa 2 que contiene bucles puente.
Chapter 2 2007 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Implementing VLAN Technologies in a Campus Network
Virtual Local Area Network (VLAN)
Una VLAN es un grupo lgico de dispositivos finales. Las emisiones estn dentro de las VLAN. Diseo moderno tiene 1 VLAN = 1 subred IP. Troncos conexin switches para transportar mltiples VLANs. VLAN de interconexin de dispositivos de capa 3.
End-to-End VLANs
Cada VLAN se distribuye geogrficamente a lo largo de la red. Los usuarios se agrupan en cada VLAN independientemente de la ubicacin fsica, tericamente facilitando la gestin de la red. Como un usuario se mueve a lo largo de un campus, la membresa VLAN para que el usuario sigue siendo el mismo. Interruptores estn configurados para el modo de servidor o cliente VTP.
Local VLANs
Crear VLANs locales con lmites fsicos en las funciones de la mente en lugar de trabajo de los usuarios. VLAN locales existen entre las capas de acceso y distribucin. El trfico de una VLAN local se enruta a nivel distribucin y ncleo. Interruptores estn configurados en modo transparente VTP. rbol de expansin se utiliza slo para evitar bucles involuntarias en el armario de cableado. VLAN de uno a tres por switch de capa de acceso recomendado.
VLANs in Enterprise Campus Design
Las VLAN que se utiliza en la capa de acceso deben extenderse no ms all de su interruptor de distribucin asociados. El trfico se enruta de la VLAN local como se pasa de la capa de distribucin en el ncleo. Bloques pueden contener uno o tres VLAN cada. STP se limita a conmutadores de acceso y distribucin. Se utiliza DHCP para asignar direcciones IP a los usuarios.
Best Practices for VLAN Design

VLAN de uno a tres por mdulo de acceso y el lmite cambia las VLAN para un par de switches de acceso y la distribucin. Evite utilizar VLAN 1 como la "negra" para todos los puertos no utilizados. Utilizar una VLAN dedicada independiente de VLAN 1 para asignar todos los puertos no utilizados. Separar las VLAN de voz, datos VLAN, la VLAN de administracin, la VLAN nativa y negras VLAN predeterminada VLAN (VLAN 1). Evitar VTP al utilizar VLAN locales; uso permitido manualmente VLAN sobre troncos. Para puertos de tronco, girar apagado Dynamic Trunking Protocol (DTP) y configurar trunking. Use IEEE 802.1Q en lugar de ISL porque tiene mejor soporte para QoS y es un protocolo estndar. Configurar manualmente los puertos de acceso que no estn especficamente diseados para un enlace de tronco. Evitar todo el trfico de datos de la VLAN 1; slo se permitir protocolos de control para ejecutar en la VLAN 1 (DTP, VTP, STP BPDU, PAgP, LACP, CDP, etc.). Evite el uso de Telnet debido a los riesgos de seguridad; habilitar la compatibilidad con SSH en administracin de redes VLAN.
VLAN Support on Catalyst Switches

Catalyst Switch 2940 2950/2955 2960 2970/3550/3560/3750 2848G/2980G/4000/4500 6500 Max VLANs 4 250 255 1055 4094 4094 VLAN ID Range 1 - 1005 1 - 4094 1 - 4094 1 - 4094 1 - 4094 1 - 4094
VLAN Ranges on Catalyst Switches

VLAN Range 0, 4095 1 2 1001 Range Reserved Normal Normal Usage For system use only. You cannot see or use these. Cisco default. You can use this VLAN, but you cannot delete it. For Ethernet VLANs. You can create, use, and delete these. Popagated via VTP? n/a Yes Yes
1002 1005
1006 1024 1025 - 4094
Normal
Reserved Reserved
Cisco defaults for FDDI and Token Ring. You cannot delete these.
For system use only. You cannot see or use these. For Ethernet VLANs only.
Yes
n/a VTP v 3 only. Not supported in VTP v1 or v2. Requires VTP transparent mode for configuration.
10
Configuration: Create a VLAN

Para crear una nueva VLAN en el modo de configuracin global. Switch(config) # vlan id-vlan-id de vlan es 2-1001 o 1025-4094
11
Configuration: Name a VLAN

A nombre de una VLAN en el modo de configuracin de VLAN.
Switch(config-vlan)# name vlan-name
vlan-name is a descriptor for the VLAN. Nombrar una VLAN es opcional.
12
Example: Creating and Naming a VLAN

Enter global configuration mode:
Switch# configure terminal
Create a new VLAN with a particular ID number:

Switch(config)# vlan vlan-id
(Optional.) Name the VLAN:

Switch(config-vlan)# name vlan-name
Switch# configure terminal Switch(config)# vlan 5 Switch(config-vlan)# name Engineering Switch(config-vlan)# exit
13
Configuration: Disable Trunk Negotiation on a Port

Para deshabilitar la negociacin de tronco en un puerto de switch.Switch(config-if)# switchport mode access
Este comando es opcional pero se recomienda por razones de seguridad. Un puerto de acceso no tiene que negociar la formacin de tronco.
14
Configuration: Macro for Access Port

Para configurar una macro opcional para los puertos de acceso del interruptor.Switch(config-if)# switchport host Este comando optimiza un puerto de capa 2 para una conexin de host.Establece el modo de puerto para acceder a esta macro, permite el spanning-tree portfast y deshabilita EtherChannel.
15
Configuration: Assign Port to VLAN

Para asignar un puerto a una VLAN en el modo de configuracin de interfaz.Switch(config-if)# switchport access vlan vlan-id vlan-id is a previously created VLAN.
16
Example: Assigning a Port to a VLAN

Enter interface configuration mode:
Switch(config)# interface interface-id
Assign port to VLAN:

Switch(config-if)# switchport access vlan vlan-id
Enable the interface:

Switch(config-if)# no shutdown
Configure a description for the device(s) connected to the port:

Switch(config-if)# description string
Return to Privileged EXEC mode

Switch(config-if)# end
Configure access port macro:

Switch(config-if)# switchport host
Switch(config)# interface FastEthernet 5/6 Switch(config-if)# description PC A Switch(config-if)# switchport host switchport mode will be set to access spanning-tree portfast will be enabled channel group will be disabled Switch(config-if)# switchport access vlan 200 Switch(config-if)# no shutdown Switch(config-if)# end
17
Verification: VLAN Configuration

El comando show de vlan y sus derivados son los comandos ms tiles para mostrar informacin relacionada con las VLAN. Las dos formas siguientes tienen la misma salida.
Switch# show vlan id 3 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------3 VLAN0003 SAID MTU active Fa0/1 BrdgMode Trans1 Trans2
VLAN Type
Parent RingNo BridgeNo Stp
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----3 enet 100003 1500 0 0
Switch# show vlan name VLAN0003 VLAN Name Status Ports ---- -------------------------------- --------- --------------------3 VLAN0003 active Fa0/1 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----3 enet 100003 1500 0 0
18
Verification: Interface Configuration

El comando show running-config tiene una opcin de palabra clave de la interfaz para permitir la salida de la interfaz especfica.
Switch# show running-config interface FastEthernet 5/6 Building configuration... ! Current configuration :33 bytes interface FastEthernet 5/6 switchport access vlan 200 switchport mode access switchport host end
19
Verification: Switch Port Configuration

One of the most useful commands for showing VLAN configuration information specific to a switch port is the show interfaces interface_id switchport command.
Switch# show interfaces f0/18 switchport Name: Fa0/18 Switchport: Enabled Administrative Mode: static access Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 20 (VLAN0020) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: 150 (VLAN0150) <output omitted> Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL
20
Verification: MAC Address Information

Puede ver informacin de la direccin MAC especfica a una interfaz y una VLAN asociada.
Switch# show mac-address-table interface GigabitEthernet 0/1 vlan 1 Mac Address Table -----------------------------------------Vlan Mac Address Type Ports --------------------1 0008.2199.2bc1 DYNAMIC Gi0/1 Total Mac Addresses for this criterion: 1
21
Implementing Trunking in a Campus Network
22
VLAN Trunking
Troncos llevan el trfico para varias VLAN a travs de un nico vnculo fsico (multiplexing). Troncalizacin se utiliza para extender las operaciones de capa 2 a travs de toda una red. El host de la izquierda en 2 VLAN puede comunicarse con el host a la derecha en 2 VLAN a travs del enlace de tronco; sobre el mismo enlace de tronco, los hosts de VLAN 1 pueden comunicarse simultneamente.
23
VLAN Trunking with Inter-Switch Link (ISL)
ISL is Cisco-proprietary trunking protocol. ISL is nearly obsolete. ISL encapsulates Ethernet frames, adding 30 bytes of overhead. ISL is supported on non-access-layer Cisco switches.
24
VLAN Trunking with IEEE 802.1Q
802.1Q es un protocolo estndar de la industria ampliamente admitido. IEEE 802.1Q tiene menor sobrecarga de marco de ISL 802.1Q. sobrecarga es de 4 bytes. 802.1Q tiene el campo 802.1P para soporte de QoS.
25
Native VLAN with IEEE 802.1Q
El estndar 802.1Q especifica cmo el conmutador debe manejar sin etiquetar marcos enviados o recibidos en 802.1Q puerto de tronco. 802.1Q puerto de tronco se asigna por defecto PVID, que est asociado a todo el trfico sin etiquetar en el puerto. Todo el trfico con un ID de VLAN null se supone que pertenecen a la predeterminada del puerto PVID. Se enva un paquete con un igual a los predeterminados de puerto saliente PVID ID de VLAN sin etiquetar. El trfico que se enva con una etiqueta VLAN. Enlace de tronco con una VLAN nativa distinta de todas las otras VLAN se recomienda configurar proactivamente ambos extremos de 802.1Q.
26
Dynamic Trunking Protocol (DTP)
Acceso - pone la interfaz en modo trunking no permanente y negocia para convertir el enlace en un enlace no tronco. La interfaz se convierte en una interfaz no tronco, incluso si la interfaz vecina no acepta el cambio. Tronco - pone la interfaz en modo trunking permanente y negocia para convertir el enlace en un enlace de tronco. La interfaz se convierte en una interfaz de tronco, incluso si la interfaz vecina no acepta el cambio. Nonegotiate - pone la interfaz en modo trunking permanente pero impide que la interfaz de generar marcos DTP. Debe configurar manualmente la interfaz vecina como una interfaz de tronco para establecer un vnculo de tronco. Utilice este modo cuando se conecta a un dispositivo que no admite DTP. Dinmica deseable - hace la interfaz activamente intente convertir el enlace en un enlace de tronco. La interfaz se convierte en una interfaz de tronco si la interfaz vecina se establece en el tronco, deseable, o el modo auto. Dynamic auto - hace la interfaz dispuesta a convertir el lin...
27
Design with VLAN Trunks
Definidores de capa de acceso de interconexin de troncos. Troncos conectan conmutadores de capa de acceso a conmutadores de capa de distribucin. Conmutadores de nivel bsico de interconexin de enlaces de capa 3 y distribucin. Definidores de capa de acceso se configuran en una topologa de spanning-tree, sin bucles, en forma de V. Si falla un eslabn de la distribucin, HSRP o VRRP proporcionar una puerta de enlace predeterminada alternativos. Recomendado: Apague la DTP y podar manualmente VLAN sobre troncos.
28
Configuring an Interface for Trunking

Select the encapsulation type:
Switch(config-if)# switchport trunk encapsulation {isl | dot1q | negotiate}
Configure the interface as a Layer 2 trunk:

Switch(config-if)# switchport mode {dynamic {auto | desirable} | trunk}
Specify the native VLAN:

Switch(config-if)# switchport trunk native vlan vlan-id
Configure the allowable VLANs for this trunk:

Switch(config-if)# switchport trunk allowed vlan {add | except | all | remove} vlan-id[,vlan-id[,vlan-id[,...]]]
Switch(config)# interface FastEthernet 5/8 Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport mode trunk Switch(config-if)# switchport nonegotiate Switch(config-if)# switchport trunk allowed vlan 1-100 Switch(config-if)# no shutdown Switch(config-if)# end
optional
29
Verifying Trunk Configuration

Switch# show running-config interface f5/8 Building configuration... Current configuration: ! interface FastEthernet5/8 switchport mode dynamic desirable switchport trunk encapsulation dot1q end Switch# show interfaces f5/8 switchport Name: Fa5/8 Switchport: Enabled Administrative Mode: dynamic desirable Operational Mode: trunk Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Enabled Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Switch# show interfaces f5/8 trunk Port Mode Encapsulation Fa5/8 desirable n-802.1q Port Fa5/8 Vlans allowed on trunk 1-1005
Status trunking
Native vlan 1
30
Troubleshooting Trunk Links

Asegrese de que el modo de interfaz de capa 2 configurado en ambos extremos del enlace es vlido. El modo de tronco debera ser tronco o deseable para al menos uno de los lados del tronco. Asegrese de que el tipo de encapsulacin de tronco configurado en ambos extremos del enlace es vlido y compatible. En IEEE 802.1Q troncos, asegrese de que la VLAN nativa es el mismo en ambos extremos del tronco. Cuando utilice la DTP, asegrese de que ambos extremos del enlace estn en el mismo dominio VTP..
31
VLAN Trunking Protocol
32
VLAN Trunking Protocol (VTP)
VTP es un protocolo propietario de Cisco que automatiza la propagacin de informacin de la VLAN entre conmutadores a travs de enlaces de tronco. Esto minimiza los errores e incoherencias de configuracin. VTP no configurar puertos de switch para la membresa VLAN. Tres tipos de mensajes VTP son enviados a travs de la capa 2 de multidifusin en la VLAN 1. Dominios VTP definen conjuntos de switches interconectados compartiendo la misma configuracin de VTP.
33
VTP Modes
Mode
Client
Description
No puede crear, cambiar o eliminar VLAN en interfaz de lnea de comandos (CLI). Reenva anuncios a otros conmutadores. Configuracin de VLAN se sincroniza con la ltima informacin recibida de otros interruptores en el dominio de administracin. No guardar la configuracin de VLAN en la RAM no voltil (NVRAM).
Server
Puede crear, modificar y eliminar VLAN. Enva y reenva anuncios a otros conmutadores. Configuracin de VLAN se sincroniza con la ltima informacin recibida de otros interruptores en el dominio de administracin. Guarda la configuracin de VLAN en NVRAM. Puede crear, modificar y eliminar VLAN slo en el interruptor local. Reenva anuncios de VTP recibidos desde otros interruptores en el mismo dominio de administracin. No sincronizar su configuracin de VLAN con informacin recibida de otros interruptores en el dominio de administracin. Guarda la configuracin de VLAN en NVRAM.
Transparent
34
VTP Operation
35
VTP Pruning
Poda de VTP impide que el trfico inundado plantones a conmutadores que no tienen miembros en VLAN especficas. Poda de VTP utiliza anuncios de VLAN para determinar cuando una conexin de tronco est inundando trfico innecesariamente. Los interruptores 1 y 4 en la figura admiten puertos configurados estticamente en la VLAN de rojo. El trfico de difusin de la estacin a no se reenva a los conmutadores de 3, 5 y 6 porque el trfico de la Red VLAN ha sido podado en los enlaces indicados en conmutadores 2 y 4.
36
VTP Versions
Tres versiones VTP: V1, V2, V3. Las versiones no son interoperables (p. ej., V2 soporta VLAN token ring pero no V1). Se propagan los cambios de configuracin de tipo-longitud-valor (TLV) no reconocida por los clientes y servidores de V2 y estos no reconocido que TLVs pueden ser almacenados en la NVRAM. Interruptores transparentes V1 inspeccin los mensajes versin y el nombre de dominio VTP y reenviar un mensaje slo si la versin y dominio nombre del partido. Conmutadores transparentes V2 reenvan mensajes VTP en modo transparente sin comprobacin de versiones. V2 realiza VLAN consistencia comprueba (VLAN nombres y valores) slo cuando introduce nueva informacin a travs de la CLI, o a travs de SNMP. V2 no realiza comprobaciones cuando se obtiene nueva informacin de un mensaje VTP o cuando se lee la informacin de NVRAM. Si el hash MD5 en un mensaje recibido de VTP es correcto, V2 acepta la informacin del mensaje VTP.
37
VTP Message Types

Resumen anuncios subconjunto anuncios anuncio peticiones
38
VTP Summary Advertisements
De forma predeterminada, los switches de Catalyst emiten anuncios de resumen en incrementos de 5 minutos. Anuncios de resumen informar a conmutadores adyacentes del nombre del dominio VTP actual y el nmero de revisin de la configuracin. Cuando el interruptor recibe un paquete de publicidad resumen, el interruptor compara el nombre del dominio VTP a su propio nombre de dominio VTP. Si el nombre es diferente, el interruptor ignora el paquete. Si el nombre es el mismo, el interruptor compara entonces la revisin de la configuracin para su revisin. Si su propia revisin de la configuracin es igual o mayor, se omite el paquete. Si es inferior, se enva una solicitud de anuncio.
39
VTP Subset Advertisements
Al agregar, eliminar o cambiar una VLAN, el servidor VTP donde se realizan los cambios incrementa la revisin de la configuracin y emite un anuncio resumen. Uno o varios anuncios de subconjunto siguen el anuncio resumen. Un anuncio de subconjunto contiene una lista de informacin de VLAN. Si hay varias VLAN, ms de un anuncio de subconjunto puede que deba de anunciar todas las VLAN.
40
VTP Subset Advertisements
Al agregar, eliminar o cambiar una VLAN, el servidor VTP donde se realizan los cambios incrementa la revisin de la configuracin y emite un anuncio resumen. Uno o varios anuncios de subconjunto siguen el anuncio resumen. Un anuncio de subconjunto contiene una lista de informacin de VLAN. Si hay varias VLAN, puede requerir ms de un anuncio de subconjunto anuncia todas las VLAN.
41
VTP Advertisement Requests

Un interruptor emite una solicitud de anuncio de VTP en estas situaciones: el interruptor se ha restablecido. Se cambi el nombre del dominio VTP. El interruptor ha recibido un anuncio Resumen VTP con una revisin de configuracin superior que su propia. Al recibir una solicitud de anuncio, un dispositivo VTP enva un anuncio resumen. Uno o ms anuncios de subconjunto siguen el anuncio resumen.
42
VTP Authentication
Dominios VTP pueden fijarse mediante la funcin de contrasea VTP. Es importante asegurarse de que todos los interruptores en el dominio VTP tienen la misma contrasea y el nombre de dominio; de lo contrario, un interruptor no se convertir en un miembro del dominio VTP. Switches Cisco utilizan MD5 para codificar contraseas en palabras de 16 bytes. Estas contraseas se propagan dentro de anuncios de resumen de VTP. En VTP, las contraseas distinguen maysculas de minsculas y pueden ser de 8 a 64 caracteres de longitud. El uso de autenticacin de VTP es una prctica recomendada. De forma predeterminada, un switch Catalyst no tiene una contrasea VTP. El interruptor no establece automticamente el parmetro de contrasea, a diferencia de otros parmetros que se ajustan automticamente cuando se recibe un anuncio de VTP.
43
Configuring VTP
Step 1. Enter global configuration mode:
Switch# configure terminal
Step 2. Configure the VTP mode as server:

Switch(config)# vtp mode server
Step 3. Configure the domain name:

Switch(config)# vtp domain domain_name
Step 4. (Optional.) Enable VTP version 2:

Switch(config)# vtp version 2
Step 5. (Optional.) Specify a VTP password:

Switch(config)# vtp password password_string
Step 6. (Optional.) Enable VTP pruning in the management domain:

Switch(config)# vtp pruning
44
VTP Configuration Example

Este ejemplo crea un servidor VTP con poda habilitado, gnero contrasea y nombre de dominio Modular_Form.
Switch# configure terminal Switch(config)# vtp mode server Setting device to VTP SERVER mode. Switch(config)# vtp domain Modular_Form Switch(config)# vtp password genus Switch(config)# vtp pruning Switch(config)# end
45
Verifying VTP Configuration (1)

El comando ms til para comprobar la configuracin del VTP es el comando show de estado vtp. La salida muestra incluye la versin VTP, el nmero de revisin de configuracin de VTP, el nmero de VLAN admitidas localmente, el modo de funcionamiento, el nombre del dominio VTP y el modo de poda de VTP de VTP.
Switch# show vtp status VTP Version : 2 Configuration Revision : 247 Maximum VLANs supported locally : 1005 Number of existing VLANs : 33 VTP Operating Mode : Server VTP Domain Name : Modular_Form VTP Pruning Mode : Enabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x45 0x52 0xB6 0xFD 0x63 0xC8 0x49 0x80 Configuration last modified by 0.0.0.0 at 8-12-99 15:04:4
46
Verifying VTP Configuration (2)

Utilice el comando show de contadores vtp para mostrar las estadsticas sobre la operacin VTP. Si hay algn problema con respecto a la operacin de VTP, este comando permite buscar actualizaciones de tipo de mensaje VTP.
Switch# show vtp counters VTP statistics: Summary advertisements received : 7 Subset advertisements received : 5 Request advertisements received : 0 Summary advertisements transmitted : 997 Subset advertisements transmitted : 13 Request advertisements transmitted : 3 Number of config revision errors : 0 Number of config digest errors : 0 Number of V1 summary errors : 0
VTP pruning statistics:

Trunk Join Transmitted device ------ ---------------Fa5/8 43071 Join Received ------------42766 Summary advts received from non-pruning-capable ----------------5
47
VTP Troubleshooting
Revise que los interruptores estn interconectados por enlaces de tronco activa. Compruebe que coincide con el protocolo trunking en extremos opuestos de un vnculo de tronco. Compruebe la contrasea y nombre de dominio VTP (maysculas y minsculas). Compruebe el modo VTP de los interruptores. Compruebe las versiones VTP de los interruptores.
48
Private VLANs
49
Motivation for Private VLANs

Service providers often have devices from multiple clients, in addition to their own servers, in a single Demilitarized Zone (DMZ) segment or VLAN. As security issues abound, it becomes more important to provide traffic isolation between devices, even though they might exist on the same Layer 3 segment and VLAN. Most Cisco IOS-based switches implement private VLANs to keep some switch ports shared and some switch ports isolated, even though all ports remain in the same VLAN.
50
pVLAN Port Types

Isolated Promiscuous Community
51
pVLAN Structure Supporting VLANs

Primary Private VLAN Secondary Private VLAN Community Private VLAN Isolated Private VLAN
52
Configuring pVLANs - Steps

Step 1. Set VTP mode to transparent. Step 2. Create the secondary pVLANs. Step 3. Create the primary pVLAN. Step 4. Associate the secondary pVLAN with the primary pVLAN.
Only one isolated pVLAN can be mapped to a primary pVLAN, but more than one community pVLAN can be mapped to a primary pVLAN.
Step 5. Configure an interface as an isolated or community port. Step 6. Associate the isolated port or community port with the primary-secondary pVLAN pair. Step 7. Configure an interface as a promiscuous port. Step 8. Map the promiscuous port to the primary-secondary pVLAN pair.
53
Configuring pVLANs - Commands

Switch(config)# vlan pvlan-id Switch(config-vlan)# private-vlan {community | isolated | primary} Switch(config-vlan)# exit
Switch(config)# vlan primary-vlan-id

Switch(config-vlan)# private-vlan association {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list} Switch(config-vlan)# interface vlan primary-vlan-id Switch(config-if)# private-vlan mapping {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list} Switch(config-if)# interface type slot/port Switch(config-if)# switchport Switch(config-if)# switchport mode private-vlan {host | promiscuous} Switch(config-if)# switchport private-vlan host-association primary-vlanid secondary-vlan-id Switch(config-if)# switchport private-vlan mapping primary-vlan-id {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlanlist}
54
Verifying pVLAN Configuration

The two most useful commands for this purpose are show interface switchport and show vlan privatevlan.
Switch# show vlan private-vlan Primary Secondary Type ------- ---------------------100 200 community 100 300 isolated Interfaces -----------------
Switch# show interfaces FastEthernet 5/2 switchport Name: Fa5/2 Switchport: Enabled Administrative Mode: private-vlan host Operational Mode: down Administrative Trunking Encapsulation: negotiate Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative private-vlan host-association: 100 (VLAN0200) 300 (VLAN0300) Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled
55
pVLAN Scenario 1: Single Switch
A corporate DMZ contains two DNS servers, one web server and one SMTP server. All servers and their connecting router are in the same subnet. DNS servers are redundant copies, so they need to communicate with each other to update their entries and to the Internet. In addition to that, they also need to communicate with the Internet. The Web Server and the SMTP server need to communicate with the Internet, but for security purposes, the SMTP server should not be reachable from the Web or the DNS servers. The web server needs to be accessible from the Internet but not from the SMTP server.
56
pVLAN Configuration for Scenario 1

Switch(config)# vtp transparent Switch(config)# vlan 201 Switch(config-vlan)# private-vlan isolated Switch(config)# vlan 202 Switch(config-vlan)# private-vlan community Switch(config-vlan)# vlan 100 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 201,202 Switch(config-vlan)# interface fastethernet 0/24 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 201,202 Switch(config-if)# interface range fastethernet 0/1 - 2 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 202 Switch(config-if)# interface range fastethernet 0/3 - 4 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 201
57
pVLAN Scenario 2: Multiple Switches
A trunk port carries the primary VLAN and secondary VLANs to a neighboring switch just like any other VLAN.
A feature of pVLANs across multiple switches is that traffic from an isolated port in one switch does not reach an isolated port on another switch.
Configure pVLANs on all switches on the path, which includes devices that have no pVLAN ports to maintain the security of your pVLAN configuration, and avoid using other VLANs configured as pVLANs.
As shown in the figure, the switches SWA and SWB have the same pVLANs on two different switches and are connected through the trunk link.
58
pVLAN Configuration for Scenario 2

To configure a Layer 2 interface as a Private VLAN trunk port, use the interface command:
Switch(config-if)# switchport private-vlan association trunk primary_vlan_ID secondary_vlan_ID
If the port is set to promiscuous, use the mapping command:

Switch(config-if)# switchport private-vlan mapping primary_vlan_ID secondary_vlan_list
Once the trunk is configured, allow VLANs with the command

Switch(config-if)# switchport private-vlan trunk allowed vlan vlan_list
Configure the native VLAN with following command

Switch(config-if)# switchport private-vlan trunk native vlan vlan_id
Switch(config)# interface fastethernet 5/2 Switch(config-if)# switchport mode private-vlan trunk secondary Switch(config-if)# switchport private-vlan trunk native vlan 10 Switch(config-if)# switchport private-vlan trunk allowed vlan 10, 3,301302 Switch(config-if)# switchport private-vlan association trunk 3 301 Switch(config-if)# switchport private-vlan association trunk 3 302
59
pVLAN Verification for Scenario 2

Switch# show interfaces fastethernet 5/2 switchport Name: Fa5/2 Switchport: Enabled Administrative Mode: private-vlan trunk secondary Operational Mode: private-vlan trunk secondary Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: 10 Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk associations: 3 (VLAN0003) 301 (VLAN0301) Administrative private-vlan trunk mappings: none Operational private-vlan: none Operational Normal VLANs: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001
60
pVLAN Edge (Protected Port) Feature

The PVLAN edge (protected port) feature has only local significance to the switch (unlike pVLANs), and there is no isolation provided between two protected ports located on different switches. A protected port does not forward any traffic to any other port that is also a protected port on the same switch. Traffic cannot be forwarded between protected ports at L2, all traffic passing between protected ports must be forwarded through an L3 device.
Switch(config-if)# switchport protected
61
Configuring Link Aggregation with Etherchannel
62
EtherChannel Technology
Hasta 8 enlaces fsicos pueden ser incluidos en un nico vnculo lgico de EtherChannel. Generalmente se utiliza EtherChannel para enlaces de tronco. Aplicado a la interfaz de canal de puerto de configuracin afecta a todas las interfaces fsicas asignadas al canal de puerto. Balanceo de carga tiene lugar entre los vnculos fsicos en un EtherChannel. EtherChannels puede ser interfaces L2 o L3.
63
EtherChannel Management Protocols

Agregacin de puerto (PAgP) es un protocolo propietario de Cisco que ayuda en la creacin automtica de vnculos de Fast EtherChannel. Cuando un enlace de EtherChannel se configura utilizando PAgP, se envan paquetes PAgP entre puertos Fast EtherChannel capaces para negociar la formacin de un canal. Cuando PAgP identifica coincidentes enlaces Ethernet, agrupa los enlaces en un EtherChannel. rbol de expansin agrega el EtherChannel como puerto nico puente. Protocolo de Control de agregacin de enlace (LACP) es parte de una especificacin de IEEE (802.3ad) que tambin permite varios puertos fsicos a ser agrupadas para formar un EtherChannel. LACP permite un interruptor para negociar un paquete automtico mediante el envo de paquetes LACP al interlocutor. Realiza una funcin similar como PAgP con Cisco EtherChannel. Porque LACP es un estndar de IEEE, usted puede utilizar para facilitar EtherChannels en entornos mixtos-switch. En un entorno de Cisco, se admiten ambos protocolos.
64
PAgP Modes
Mode Auto Desirable
Purpose Coloca una interfaz en un pasivo negociar el estado en que la interfaz responde a los paquetes PAgP que recibe, pero no iniciar negociacin PAgP (predeterminado). Lugares una interfaz en la negociacin de un activo del estado en el que la interfaz inicia negociaciones con otras interfaces enviando paquetes PAgP. Las interfaces configuradas en el modo "on" no intercambiar paquetes PAgP. Las fuerzas de la interfaz al canal sin PAgP. Si un interruptor se conecta a un socio que es capaz de PAgP, configurar la interfaz de switch para operacin silenciosa no. La palabra clave silent no siempre se utiliza con el modo auto o deseable. Si no se especifica no silencioso con el modo auto o deseable, se supone silencioso. La silenciosa es para conexiones a servidores de archivos o analizadores de paquetes; Esta configuracin permite PAgP para operar, para conectar la interfaz a un grupo de canales y usar la interfaz para la transmisin.
2007 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
On Non-silent
Chapter 2
65
LACP Modes
Mode Passive
Purpose Coloca un puerto en un pasivo en el estado de la negociacin. En este estado, el puerto responde a los paquetes LACP que recibe, pero no iniciar la negociacin del paquete LACP (predeterminado). Coloca un puerto en un estado activo de negociacin. En este estado, el puerto inicia negociaciones con otros puertos enviando paquetes LACP. Las fuerzas de la interfaz para el canal sin PAgP o LACP.
2007 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Active On
Chapter 2
66
Configuring EtherChannel
Paso 1. Especificar las interfaces que formarn el grupo EtherChannel. Utilizando los comandos de gama le permite seleccionar varias interfaces y configurarlos todos juntos. Una buena prctica es empezar por apagar estas interfaces, por lo que esa configuracin incompleta no empezar a crear actividad en el enlace: Switch(config) # interfaz gama interface_type [interface_range] paso 2. Especificar el Protocolo de canalizacin a utilizarse. Este comando no es aplicable a todas las plataformas de catalizador. Tambin puede especificar el Protocolo de canalizacin en el paso 3: Switch(config-if-range) # canal-Protocolo {pagp | lacp} paso 3. Crear la interfaz de canal de puerto, si es necesario y asignarle las interfaces especificadas: modo de Switch(config-if-range) # canal-grupo nmero {activa | en | {auto [no silencioso]} | {deseable [no silencioso]} | pasivo de paso de 4. Especificar la interfaz de canal de puerto. En el modo de configuracin de interfaz, puede configurar parmetros adicionales. Las interfaces fsicas heredar estos param...
67
Example: EtherChannel Configuration

Switch(config)# interface fastethernet 0/23 Switch(config-if)# channel-group 2 mode active Switch(config)# interface fastethernet 0/24 Switch(config-if)# channel-group 2 mode active Switch(config)# interface port-channel 2 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk native VLAN 99 Switch(config-if)# switchport trunk allowed VLAN 2,3,99
Remote Switch configuration

RSwitch(config)# interface fastethernet 0/23 RSwitch(config-if)# channel-group 5 mode on RSwitch(config)# interface fastethernet 0/24 RSwitch(config-if)# channel-group 5 mode on RSwitch(config)# interface port-channel 5 RSwitch(config-if)# switchport mode trunk RSwitch(config-if)# switchport trunk native VLAN 99
68
Verifying EtherChannel (1)

Puede utilizar varios comandos para comprobar una configuracin de EtherChannel. Ningn miembro de la interfaz fsica de un paquete de EtherChannel, el show interfaces interface_id etherchannel comando proporciona informacin sobre el papel de la interfaz en el EtherChannel. Interfaz FastEthernet 0/24 a continuacin forma parte del conjunto de EtherChannel 1. El Protocolo para esta EtherChannel es LACP.
Switch# show interfaces fa0/24 etherchannel Port state = Up Sngl-port-Bndl Mstr Not-in-Bndl Channel group = 1 Mode = Active Gcchange = Port-channel = null GC = Pseudo port-channel = Po1 Port index = 0 Load = 0x00 Protocol = LACP
69

El comando show etherchannel de Puerto-canal nmero puede utilizarse para mostrar informacin sobre un canal de puerto especfico. A continuacin Puerto-canal 1 consta de dos puertos fsicos, Fa0/23 y Fa0/24. Utiliza LACP en modo activo. Est bien conectada a otro conmutador con una configuracin compatible.Esto es por el canal de puerto se dice que est en uso.
Switch# show etherchannel 1 port-channel Port-channels in the group: --------------------------Port-channel: Po7 (Primary Aggregator) Age of the Port-channel = 195d:03h:10m:44s Logical slot/port = 0/1 Number of ports = 2 Port state = Port-channel Ag-Inuse Protocol = LACP Ports in the Port-channel: Index Load Port EC state No of bits ------+------+--------+--------------+----------0 55 fa0/23 Active 4 1 45 fa0/24 Active 4
70

When several port-channel interfaces are configured on the same device, the show etherchannel summary command is useful for displaying one-line information per port-channel. As shown below; the switch has three EtherChannels configured: Groups 2 and 7 use LACP and Group 9 uses PAgP. Each EtherChannel has the member interfaces listed. All three groups are Layer 2 EtherChannels and are all in use (SU next to the port-channel number).
Switch# show etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator M - not in use, minimum links not met u - unsuitable for bundling w - waiting to be aggregated d - default port Number of channel-groups in use: 2 Number of aggregators: 2 Group Port-channel Protocol Ports ------+-------------+-----------+-------------------------------------------2 Po2(SU) LACP g0/49(P) g0/50(P) g0/51(P) g0/52(P) 7 Po7(SU) LACP g0/47(P) g0/48(P) 9 Po9(SU) PAgP g0/8(P) g0/9(P)
71

The show running-config interface interface_id command displays sections of your configuration relevant to EtherChannel. The interface argument can be physical or logical.
Switch# show running-config interface g0/48 Building configuration... Current configuration : 154 bytes interface GigabitEthernet0/48 switchport access vlan 41 switchport trunk encapsulation dot1q switchport mode trunk channel-group 7 mode active Switch# show running-config interface port-channel 7 Building configuration... Current configuration : 92 bytes interface Port-channel7 switchport trunk encapsulation dot1q switchport mode trunk
72
EtherChannel Load Balancing
73
EtherChannel Load Balancing Example

Here the EtherChannel load-balancing mechanism is configured to use source and destination IP address pairs. This rule is applied to IPv4 and IPv6 traffic, whereas the non-IP loadbalancing mechanism uses source and destination MAC address pairs. It was observed that with source-destination IP load balancing, the balancing ends up more like 70-30 on the links!
Switch(config)# port-channel load-balance src-dst-ip Switch(config)# exit Switch# show etherchannel load-balance EtherChannel Load-Balancing Configuration: src-dst-ip EtherChannel Load-Balancing Addresses Used Per-Protocol: Non-IP: Source XOR Destination MAC address IPv4: Source XOR Destination IP address IPv6: Source XOR Destination IP address
74
Chapter 2 Summary
Una VLAN es una agrupacin lgica de puertos de switch independientes de la ubicacin fsica. VLAN locales ahora se recomiendan sobre implementaciones de VLAN de extremo a extremo. Un tronco es un vnculo de capa 2 punto a punto entre dispositivos de red llevar el trfico de mltiples VLANs. ISL y 802.1Q son los dos protocolos de trunking que se pueden conectar dos interruptores. VTP se utiliza para distribuir y sincronizar informacin sobre VLANs configuradas a travs de una red conmutada. Poda de VTP ayuda a detener la inundacin de trfico innecesario en enlaces de tronco. Comunicacin entre dispositivos dentro de la misma VLAN puede ser ajustada usando pVLANs. Una pVLAN es asociado a una VLAN principal y, a continuacin, se asignan a uno o varios puertos. Puede asignar una VLAN principal a uno aislado y comunidad varias VLAN. pVLANs puede abarcar varios interruptores usando 802.1q regular troncos o troncos pVLAN. Utilice EtherChannel agregando enlaces individuales, similares entre switches. EtherChannel puede configurarse dinmicamente entre conmutadores usando ya sea el propietario de Cisco P...
75
Chapter 2 Labs
Lab 2-1 Lab 2-2 Static VLANS, VLAN Trunking, and VTP Domains Configuring EtherChannel
76
Resources
Catalyst 3560 Switch Command Reference www.cisco.com/en/US/docs/switches/lan/catalyst3560/softw are/release/12.2_52_se/command/reference/3560cr.html
77
78

En - SWITCH - v6 - Ch02 Español

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

En - SWITCH - v6 - Ch02 Español

Uploaded by

Copyright:

Available Formats

Chapter 2: Implementing VLANs in Campus Networks

CCNP SWITCH: Implementing IP Switching

Implementing VLAN Technologies in a Campus Network

Virtual Local Area Network (VLAN)

VLANs in Enterprise Campus Design

Best Practices for VLAN Design

VLAN Support on Catalyst Switches

VLAN Ranges on Catalyst Switches

Configuration: Create a VLAN

Configuration: Name a VLAN

vlan-name is a descriptor for the VLAN. Nombrar una VLAN es opcional.

Example: Creating and Naming a VLAN

Create a new VLAN with a particular ID number:

(Optional.) Name the VLAN:

Configuration: Disable Trunk Negotiation on a Port

Configuration: Macro for Access Port

Configuration: Assign Port to VLAN

Example: Assigning a Port to a VLAN

Assign port to VLAN:

Enable the interface:

Configure a description for the device(s) connected to the port:

Return to Privileged EXEC mode

Configure access port macro:

Verification: VLAN Configuration

Parent RingNo BridgeNo Stp

Verification: Interface Configuration

Verification: Switch Port Configuration

Verification: MAC Address Information

Implementing Trunking in a Campus Network

VLAN Trunking with Inter-Switch Link (ISL)

VLAN Trunking with IEEE 802.1Q

Native VLAN with IEEE 802.1Q

Dynamic Trunking Protocol (DTP)

Design with VLAN Trunks

Configuring an Interface for Trunking

Configure the interface as a Layer 2 trunk:

Specify the native VLAN:

Configure the allowable VLANs for this trunk:

Verifying Trunk Configuration

Troubleshooting Trunk Links

VLAN Trunking Protocol

VLAN Trunking Protocol (VTP)

VTP Message Types

VTP Summary Advertisements

VTP Subset Advertisements

VTP Subset Advertisements

VTP Advertisement Requests

Step 2. Configure the VTP mode as server:

Step 3. Configure the domain name:

Step 4. (Optional.) Enable VTP version 2:

Step 5. (Optional.) Specify a VTP password:

Step 6. (Optional.) Enable VTP pruning in the management domain:

VTP Configuration Example

Verifying VTP Configuration (1)

Verifying VTP Configuration (2)

VTP pruning statistics:

Motivation for Private VLANs

pVLAN Port Types

pVLAN Structure Supporting VLANs

Configuring pVLANs - Steps

Configuring pVLANs - Commands

Switch(config)# vlan primary-vlan-id

Verifying pVLAN Configuration