--- title: Laboratorio VLAN author: Taller de diseño de redes universitarias --- Laboratorio de VLAN =================== Introduccion ------------ El proposito de este ejercicio es crear VlANs separadas para diferentes grupos de usuarios en cada edificio. En un ejercicio mas adelante nosotros configuraremos el router de nucleo de forma que cada VLAN estara usando una subred IP diferente. Este laboratorio es una continuacion del ejercicio de spanning tree y la configuracion del laboratorio es identica:    Accediendo al laboratorio y al direccionamiento IP actual --------------------------------------------------------- Aqui un recordatorio de como acceder al laboratorio. Refierase al documento de abajo para informacion sobre el acceso a los dispositivos que han sido asignados para usted: **AMBIENTE VIRTUAL:** [Virtual Environment Lab Access Instructions](lab-access.md) Y aqui esta un recordatorio de la administracion del direccionamiento IP actual en cada switch. Cambie la "X" con su numero de campus. | **Nombre** | **IPv4** | **IPv6** | |------------------|---------------|----------------------| | core1-campusX | 172.2X.0.1/16 | 2001:db8:X:0::0:1/64 | | dist1-b1-campusX | 172.2X.1.2/16 | 2001:db8:X:0::1:2/64 | | edge1-b1-campusX | 172.2X.1.3/16 | 2001:db8:X:0::1:3/64 | | edge2-b1-campusX | 172.2X.1.4/16 | 2001:db8:X:0::1:4/64 | | dist1-b2-campusX | 172.2X.2.2/16 | 2001:db8:X:0::2:2/64 | | edge1-b2-campusX | 172.2X.2.3/16 | 2001:db8:X:0::2:3/64 | | edge2-b2-campusX | 172.2X.2.4/16 | 2001:db8:X:0::2:4/64 |   VLANs ----- Nosotros ahora queremos segmentar la red para separar el trafico de adminsitracion de la red del trafico del usuario final (personal y estudantes). Ahora queremos segmentar la red para separar el tráfico de gestión de red del tráfico de usuarios finales (personal y estudiantes). Ejecutar una gran red plana en todo el campus simplemente no escala como fue cubierto durante la presentación. Cada uno de estos segmentos será una subred separada. Tenemos que adoptar un enfoque estructurado con esta migración. Mientras que tenemos el lujo de trabajar en un laboratorio para este taller, en una migración de la red del campus de una red plana a una redireccionada necesita atención y planificación. El proceso será el siguiente: 1. Crear una VLAN para cada personal (llamada STAFF) 2. Crear una VLAN para los estudiantes (llamada STUDENT) 3. Crear una VLAN para la administracion de dispositivos. (llamada MGMT) 4. Apagado de VLAN1 - VLAN1 es el predeterminado de Cisco, tiene muchos riesgos de seguridad bien documentados para redes de campus, y nunca debe ser utilizado.   ### VLANs y plan de direccionamiento Nosotros ahora crearemos las VLANs descritas en los pasos anteriores. Como cada VLAN es una red diferente, ellos necesitan su propio direccionamiento de subred (IPv4 y IPv6). El switch del nucleo del campus enrutara entre cada VLAN ( llamado L3-switch: un switch ethernet el cual tiene alguna capacidad de enruta- miento capa 3 (L3). | **Nombre** | **VLAN** | **IPv4** | **IPv6** | |-----------------------|----------|----------------|--------------------| | Building 1 Management | 10 | 172.2X.10.0/24 | 2001:db8:X:10::/64 | | Building 1 Staff | 11 | 172.2X.11.0/24 | 2001:db8:X:11::/64 | | Building 1 Student | 12 | 172.2X.12.0/24 | 2001:db8:X:12::/64 | | Building 2 Management | 20 | 172.2X.20.0/24 | 2001:db8:X:20::/64 | | Building 2 Staff | 21 | 172.2X.21.0/24 | 2001:db8:X:21::/64 | | Building 2 Student | 22 | 172.2X.22.0/24 | 2001:db8:X:22::/64 | Este direccionamiento IP esta tambien documentado en el [master IP address plan](ip_address_plan). ### Deshabilitando VTP VTP (VLAN Trunking Protocol) es una tecnología propietaria de Cisco que permite el aprovisionamiento dinámico de VLAN. No lo usaremos aquí. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ vtp mode transparent ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   ### Configure los puertos troncales El switch de núcleo se conecta a los switches de distribución en cada edificio, que a su vez se conectan a dos switches de borde en cada edificio. Para que podamos pasar las etiquetas VLAN de switch a switch, necesitamos convertir las interfaces que conectan entre los switches dos puertos troncal. (El valor predeterminado de Cisco es que las interfaces pasen las tramas ethernet sin etiquetar). Haciendo referencia al diagrama de red anterior, configure lo siguiente para cada puerto que necesite etiquetar tramas VLAN. Por ejemplo, en el switch de distribución en Building1 en Campus1: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface FastEthernet 1/13 description Trunk Link to edge1-campus1 switchport trunk encapsulation dot1q switchport mode trunk ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ **Nota**: El valor por defecto de Cisco es usar encapsulacion dot1q (En lugar de ISL propietario Cisco). Pero en cualquier caso incluimos el comando dot1q en la configuracion. ** Recordatorio **: Compruebe el diagrama para ver qué puertos necesita modificar - no sólo adivine! Y no olvide colocar las descripciones en las interfaces!   ### Configure los switches con las VLANs; MGMT, STAFF y STUDENT. Agregue las VLAN a la base de datos VLAN en cada switch y déles nombres para identificarlos mejor. Si no lo hace, los switches no sabrán qué VLAN están presentes en la red. En el switch de nucleo: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ vlan 10 name MGMT1 vlan 11 name STAFF1 vlan 12 name STUDENT1 vlan 20 name MGMT2 vlan 21 name STAFF2 vlan 22 name STUDENT2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ En el switches Building 1: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ vlan 10 name MGMT1 vlan 11 name STAFF1 vlan 12 name STUDENT1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ En los switches Building 2: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ vlan 20 name MGMT2 vlan 21 name STAFF2 vlan 22 name STUDENT2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ### Configure STP para cada VLAN Verifique el estado de Spanning Tree: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show spanning-tree brief ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Note que las prioridades de raiz y puente en cada VLAN (1,10,11,12) y (1,20,21,22). Son las mismas? Copie la prioridad de puente que usted configuro previamente en la VLAN 1 a las nuevas VLANs que usted ha creado. (Esto fue de la tabla de **Apendice A** en el ejercicio de Spanning Tree) **Nota**: Esto es llamado "Spanning tree Per-VLAN", o PVST. Esto significa que los switches estan creando 4 arboles separados, cado uno con sus propios para- metros, estado, calculos, etc. Imagine si usted ha tenido varios cientos de VLANs! esto ciertamente no es ideal. Hay mejores estandares, como "Multiples Spanning Tree" (MST), que permiten la adminsitracion para crear solo el numero deseado de arboles, y mapear grupos de VLANs para cada arbol. Desafortunadamente, Este dispositivo de Cisco no soporta MST. Por ejemplo, para el switch de distribucion en Building 1: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ spanning-tree vlan 10 priority 12288 spanning-tree vlan 11 priority 12288 spanning-tree vlan 12 priority 12288 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Una vez las prioridades han sido configuradas, chequee la salida del comando del estado del arbol de spanning tree. Cual es el puente raiz para cada VLAN?   ### Direccionamiento IP para la VLAN MGMT Originalmente configuramos los switches de manera que estábamos utilizando la VLAN 1 para gestionarlos (y proporcionar acceso al usuario final para todo la red universitaria!). Y el bloque de direcciones IPv4 que hemos utilizado hasta ahora era todo el 172.2X.0.0/16 (para IPv6 sólo usamos 2001: DB8: X: 0 :: / 64) ya que teníamos un dominio de broadcast grande para todo la red universitaria. Necesitamos movernos lejos de esto ahora. Nosotros simplemente no podemos direccionar las VLANs que creamos usando una subred de 172.2X.0.0/16 mientras que el bloque de direccionamientoo entero esta siendo usado por la VLAN 1 - El IOS de Cisco no permite ser configuradas en los dipositivos de enrutamiento (el switch core1-campusX estara enrutando trafico entre VLANs). Para este ejercicio simplemente eliminaremos las direcciones IP de gestión de VLAN 1 y configuraremos nuevas subredes en VLAN10 (MGMT para el Edificio 1) y VLAN 20 (MGMT para el Edificio 2). (** Nota: ** Si realiza esto en una red activa, la eliminación del direccionamiento IP y el apagado de la VLAN 1 eliminará toda la conectividad a Internet para todos los usuarios conectados a los switches, - por lo que esta actividad es mejor hacerla cuando la red no este en uso, usualmente temprano en la manana o el fin de semana, dependiendo de cuando la red universitaria esta sin mucha actividad.) Recuerde que si bien podemos borrar una dirección IPv4 simplemente haciendo "no ip address", tenemos que escribir toda la dirección IPv6 para borrarla (porque IPv6 permite múltiples direcciones por interfaces, a diferencia de IPv4). En el Switch de nucleo: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface vlan 1 no ip address no ipv6 address 2001:db8:X:0::1:1/64 shutdown ! interface vlan 10 description Management VLAN Building 1 ip address 172.2X.10.1 255.255.255.0 ipv6 address 2001:db8:X:10::1/64 no shutdown ! interface vlan 20 description Management VLAN Building 2 ip address 172.2X.20.1 255.255.255.0 ipv6 address 2001:db8:X:20::1/64 no shutdown ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ En Building 1: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface vlan 1 no ip address no ipv6 address 2001:db8:X:0::1:Y/64 shutdown ! interface vlan 10 description Management VLAN Building 1 ip address 172.2X.10.Y 255.255.255.0 ipv6 address 2001:db8:X:10::Y/64 no shutdown ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ En Building 2: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface vlan 1 no ip address no ipv6 address 2001:db8:X:0::2:Y/64 shutdown ! interface vlan 20 description Management VLAN Building 2 ip address 172.2X.20.Y 255.255.255.0 ipv6 address 2001:db8:X:20::Y/64 no shutdown ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ **Observe la secuencia!!** ** Nota: Es muy importante eliminar todas las direcciones IP (IPv4 e IPv6) de la VLAN 1 y cerrar la VLAN 1 antes de que se configure algo en las nuevas VLAN de administración (VLAN 10 o VLAN 20) **.  Estas dos tablas muestran las direcciones IP que están asignadas a las interfaces de administración del núcleo, distribución y switches de borde. Reemplace los ** X ** y ** Y ** en los ejemplos anteriores con los números apropiados de estas tablas: | **Building 1 Management​** | **VLAN** | **IPv4** | **IPv6** | |---------------------------|----------|----------------|---------------------| | core1-campusX | 10 | 172.2X.10.1/24 | 2001:db8:X:10::1/64 | | dist1-b1-campusX | 10 | 172.2X.10.2/24 | 2001:db8:X:10::2/64 | | edge1-b1-campusX | 10 | 172.2X.10.3/24 | 2001:db8:X:10::3/64 | | edge2-b1-campusX | 10 | 172.2X.10.4/24 | 2001:db8:X:10::4/64 | | **Building 2 Management​** | **VLAN** | **IPv4** | **IPv6** | | core1-campusX | 20 | 172.2X.20.1/24 | 2001:db8:X:20::1/64 | | dist1-b2-campusX | 20 | 172.2X.20.2/24 | 2001:db8:X:20::2/64 | | edge1-b2-campusX | 20 | 172.2X.20.3/24 | 2001:db8:X:20::3/64 | | edge2-b2-campusX | 20 | 172.2X.20.4/24 | 2001:db8:X:20::4/64 | Verifique la conectividad entre switches. Puede hacer ping? **Note**: changing Management VLANs is quite tricky to achieve by remotely accessing the switch - it is normally done by accessing the switch’s console port (like we are doing here in the lab). Cisco IOS requires VLAN 1 to be shutdown before any packets are moved on VLAN 10 or VLAN 20, so we can’t even use the trick of accessing the switch over IPv6 while the IPv4 address is being moved. ** Nota **: el cambio de VLANs de gestión es dificil de lograr si estas accediendo remotamente al switch, normalmente se hace accediendo al puerto de consola del switch (como lo hacemos aquí en el laboratorio). Cisco IOS requiere que la VLAN 1 se cierre antes de que se muevan los paquetes en la VLAN 10 o VLAN 20, por lo que ni siquiera podemos usar el truco de acceder al switch a través de IPv6 mientras se está usando la dirección IPv4.  ### configure la direcccion IP para la VLAN STAFF y STUDENT. Ahora configuramos las direcciones IP de las VLANs STAFF y STUDENT en el **Switch del nucleo**. Aquí está un ejemplo para la VLAN 11, la VLAN "STAFF" en el Edificio 1: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface vlan 11 description STAFF VLAN of Building 1 ip address 172.2X.11.1 255.255.255.0 ipv6 address 2001:db8:X:11::1/64 no shutdown ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Reemplace **X** con el numero de red universitaria. Haga lo mismo para las otras VLANs tambien. Una vez completado, su switch de nucleo debera tener Las VLANs 11, 12, 21 y 22 configuradas con direccionamiento IPv4 e IPv6. **Pregunta**: Que es lo significativo sobre el direccionamiento IP configurado en cada VLAN? **Respuesta**: Esta direccion IP ahora funciona como la puerta de enlace predeterminada para cada dispositivo conectado a esta VLAN. Asi que un usuario en la VLAN 11 tendra puerta de enlace 172.2X.11.1, etc. **NB:** Esta configuracion sólo va en el switch del nucleo, no en el switch de distribucion o de acceso.   ### Designando puertos en los Switches de borde Ahora que las VLAN de STAFF y STUDENT han sido creadas, y una direccion IPv4 e IPv6 han sido asignada a cada uno, nosotros podemos mover a los usuarios finales a estas VLANs. Ahora designar 7 puertos de acceso para las VLAN STAFF y STUDENT solo en los switches de **borde** (ejemplo es para Building 1): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface range Fast1/0 - 6 description Access Port VLAN 11 STAFF switchport mode access switchport access vlan 11 ! interface range Fast1/7 - 13 description Access Port VLAN 12 STUDENT switchport mode access switchport access vlan 12 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Verifica qué puertos son miembros o troncales de cada vlan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show vlan-switch id `` ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Imagina que hay computadores conectados a la VLAN STAFF. ¿Serían capaces de hacer ping al switch? Explique su respuesta Ahora ejecute el comando: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show interface description ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ¿que ves? Es por ello que es importante asegurarse de que todas las interfaces tienen una línea de descripción configurada - el comando de diagnóstico anterior permite a cualquier operador ver de un solo vistazo qué interfaces del switch se utilizan para qué función. ### Verificación de la conectividad Intentando hacer ping desde un switch a otro dentro de su edificio. Haga ping a las direcciones de la interfaz de administración. Ahora intente hacer ping a las direcciones de subred STAFF y STUDENT configuradas en el Switch del nucleo también. ¿Que ves? ¿Puede hacer ping a cualquiera de los switches en los otros edificios de su red universitaria? ¿Qué ocurre?