martes, 28 de mayo de 2013

D. Configuración de un enlace troncal.

· Verificación de la configuración del enlace troncal

Los enlaces troncales son conecciones entre los swiches que permiten a los mismos intercambiar informacion de todas las VLAN.De manera predeterminada, un puerto troncal pertenece a todas las VLAN, a diferencia del puerto de acceso que solo puede pertenecer a una sola VLAN.

Las redes con muchas VLAN deben utilizar el enlace troncal de VLAN para asignar varias VLAN a una interfaz de router única.
La ventaja principal del uso del enlace troncal es una reducción en la cantidad de puertos de router y switch que se utiliza.
Permite un ahorro de dinero y reduce la complejidad de la configuración.
Si el switch admite tanto el encapsulamiento de VLAN ISL como el de 802.1Q, los enlaces troncales deben especificar que método utilizan.Debido a que el switch 2960 solo admite el enlace troncal 802.1Q.

Se asigna una VLAN nativa a un puerto troncal 802.1.En la topologia, la VLAN nativa es VLAN 99.Un enlace troncal 802.1Q admite trafico de varias VLAN(tráfico etiquetado), asi como el trafico que no proviene de una VLAN(tráfico sin etiquetar).El puerto de enlace troncal 802.1Q coloca el trafico sin etiquetar en la VLAN nativa.El trafico sin etiquetar se genera con una computadora conectada a un puerto del switch que se configura en la VLAN nativa.Una de las especificaciones de IEEE 802.1Q para VLAN nativas es mantener la compatibilidad retrospectiva con el tráfico sin etiquetar común en los escenarios de LAN antigua.Una VLAN nativa sirve como identificador común en lados opuestos de un enlace troncal.Es una optimizacion utilizar una VLAN que no sea VLAN 1 como VLAN nativa.
Para simplificar la configuracion de enlaces troncales se utiliza el comando interface range en el modo de configuracion global.
s1(config)#interface range fa0/1-5
s1(config-if-range)#switchport mode trunk
s1(config-if-range)#switchport mode trunk native vlan 99
s1(config-if-range)#no shutdown
s1(config-if-range)#end

Despues hay que verificar que los swiches se puedan comunicar

administracion de una configuracion de un enlace troncal

LOS DOS TIPOS DE MECANISMOS DE ENLACE TRONCAL QUE EXISTEN SON EL FILTRADO

DE TRAMAS Y EL ETIQUETADO DE TRAMAS.

LOS PROTOCOLOS DE ENLACE TRONCAL QUE USAN ETIQUETADO DE

TRAMAS LOGRAN UN ENVÍO DE TRAMAS MÁS VELOZ Y FACILITAN LA

ADMINISTRACIÓN.

EL ÚNICO ENLACE FÍSICO ENTRE DOS SWITCHES PUEDE TRANSPORTAR

TRÁFICO PARA CUALQUIER VLAN. PARA PODER LOGRAR ESTO, SE ROTULA

CADA TRAMA QUE SE ENVÍA EN EL ENLACE PARA IDENTIFICAR A QUÉ

VLAN PERTENECE. EXISTEN DISTINTOS ESQUEMAS DE ETIQUETADO.

ISL – UN PROTOCOLO PROPIETARIO DE CISCO

802.1Q – UN ESTÁNDAR IEEE QUE ES EL PUNTO CENTRAL

CON VTP, LA CONFIGURACIÓN DE VLAN SE MANTIENE

UNIFICADA DENTRO DE UN DOMINIO ADMINISTRATIVO COMÚN.

ADEMÁS, VTP REDUCE LA COMPLEJIDAD DE LA ADMINISTRACIÓN

Y EL MONITOREO DE REDES QUE TIENEN VLAN.

EL ROL DE VTP ES MANTENER LA CONFIGURACIÓN DE VLAN DE

MANERA UNIFICADA EN TODO UN DOMINIO ADMINISTRATIVO DE RED

COMÚN. VTP ES UN PROTOCOLO DE MENSAJERÍA QUE USA TRAMAS DE

ENLACE TRONCAL DE CAPA 2 PARA AGREGAR, BORRAR Y CAMBIAR EL

NOMBRE DE LAS VLAN EN UN SOLO DOMINIO. VTP TAMBIÉN ADMITE

CAMBIOS CENTRALIZADOS QUE SE COMUNICAN A TODOS LOS DEMÁS

SWITCHES DE LA RED.

LOS MENSAJES DE VTP SE ENCAPSULAN EN LAS TRAMAS DEL PROTOCOLO

DE ENLACE INTER-SWITCH (ISL), PROPIETARIO DE CISCO, O IEEE

802.1Q Y SE ENVÍAN A TRAVÉS DE ENLACES TRONCALES A OTROS

DISPOSITIVOS. UN DOMINIO VTP SE COMPONE DE UNO O MÁS DISPOSITIVOS

INTERCONECTADOS QUE COMPARTEN EL MISMO NOMBRE DE DOMINIO VTP.

UN SWITCH PUEDE ESTAR EN UN SOLO DOMINIO VTP.

CUANDO SE TRANSMITEN MENSAJES VTP A OTROS SWITCHES EN LA RED, EL

MENSAJE VTP SE ENCAPSULA EN UNA TRAMA DE PROTOCOLO DE ENLACE

TRONCAL COMO POR EJEMPLO ISL O IEEE 802.1Q.

jueves, 16 de mayo de 2013

B. Configuración de una VLAN.

agregar una vlan:

Abra el diálogo Administrar conexiones de red. Abra el Panel de control.
Haga doble clic en Centro de redes y recursos compartidos para abrirlo.
Seleccione Administrar conexiones de red en la parte izquierda del panel, bajo “Tareas”.
Nota - Anote el puerto de controlador que utilice para crear la VLAN. Tendrá que utilizar el mismo puerto de controlador para quitar la VLAN.

En el ejemplo siguiente, la VLAN se agregará al puerto de controlador de la Conexión de área local 3.

Seleccione Sun Multiple VLAN Protocol (Protocolo de VLAN múltiples de Sun) y haga clic en Propiedades.

Se muestra el diálogo Sun Multiple VLAN Protocol (Protocolo de VLAN múltiples de Sun).

Seleccione Add a VLAN (Agregar una VLAN) e introduzca el número de VLAN.
Haga clic en Aceptar. Aparece un nuevo icono de conexión de área local llamado Local Sun Blade 6000 10GbE VLAN Virtual Miniport en la ventana Conexiones de red y en la sección Adaptadores de red del Administrador de dispositivos de Windows. El puerto de la LAN física utilizado para crear la LAN virtual pierde sus propiedades, puesto que se ha virtualizado.
En el ejemplo siguiente, la LAN virtualizada se muestra como Conexión de área local 5.

· Asignación de un puerto de switch.

Con las VLAN con pertenencia basada en el puerto de conexión del switch, el puerto asignado a la VLAN es independiente del usuario o dispositivo conectado en el puerto. Esto significa que todos los usuarios que se conectan al puerto serán miembros de la misma VLAN. Habitualmente es el administrador de la red el que realiza las asignaciones a la VLAN. Después de que un puerto ha sido asignado a una VLAN, a través de ese puerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLAN sin la intervención de algún dispositivo de capa 3.
El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la existencia de la VLAN a la que pertenece dicho puerto. El dispositivo simplemente sabe que es miembro de una sub-red y que puede ser capaz de hablar con otros miembros de la sub-red simplemente enviando información al segmento cableado. El switch es responsable de identificar que la información viene de una VLAN determinada y de asegurarse de que esa información llega a todos los demás miembros de la VLAN. El switch también se asegura de que el resto de puertos que no están en dicha VLAN no reciben dicha información.
Este planteamiento es sencillo, rápido y fácil de administrar, dado que no hay complejas tablas en las que mirar para configurar la segmentación de la VLAN. Si la asociación de puerto-a-VLAN se hace con un ASIC (acrónimo en inglés de Application-Specific Integrated Circuit o Circuito integrado para una aplicación específica), el rendimiento es muy bueno. Un ASIC permite el mapeo de puerto-a-VLAN sea hecho a nivel hardware.

· Asignación de rangos de puertos.

FTP pasivo utiliza un rango de puertos para la transferencia de datos. Esto puede ser un problema, porque el rango de puertos que utiliza IIS tiene que estar abierto en el firewall.

A muchos administradores le gustaría limitar el rango de puertos entre los valores específicos para que puedan tener un mejor control en los puertos que hay que abrir en el cortafuegos. A IIS se le puede configurar para limitar el rango de puertos, pero en las diferentes versiones de IIS la configuración ha cambiado un poco. Así que aquí esta cómo configurar el intervalo de puertos (por ejemplo 5500-5525) en IIS 5.0, IIS 6.0, IIS 7.0

IIS 5.0

- En IIS 5.0 se controla a través de una clave de registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\ParametersPassivePortRange REG_SZ 5500-5525

IIS 6.0

- En IIS 6.0 se controla a través de una clave de metabase

En las propiedades del servidor en IIS 6.0 hay que activar "Habilitar la modificación directa de archivos de metabase"

Luego ejecutar el script que encontraremos en c:\inetpub\adminscripts de la siguiente manera:
adsutil.vbs set /MSFTPSVC/PassivePortRange "5500-5525"

IIS 7.0

- IIS 7.0 tiene dos servicios de FTP disponibles

1. Servicio FTP Clásico
-------------------------------------
- El servicio FTP clásico es similar al de IIS 6.0 y requiere que esté instalada la compatibilidad de la metabase de IIS 6.0

Hacer lo mismo que en el punto anterior de IIS 6.0

2. Módulo FTP 7
--------------------------
Se puede hacer usando la interfaz de usuario de Administrador de IIS

En el Server Manager, en el grupo FTP, en FTP Firewall support, Configurar FTP Passive

Port Range: 5500-5525

o por VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set firewallSupportSection = adminManager.GetAdminSection("system.ftpServer/firewallSupport", "MACHINE/WEBROOT/APPHOST")
firewallSupportSection.Properties.Item("lowDataChannelPort").Value = 5000
firewallSupportSection.Properties.Item("highDataChannelPort").Value = 6000

C. Administración de las VLAN.

Verificación de las vinculaciones de puerto y de las VLAN:

Si bien el concepto de VLAN se creo para las redes LAN, la necesidad llevo a ampliar los horizontes con el crecimiento de las redes ATM. Para los administradores de las VLAN se crearon una serie de estándares para simular en una red ATM una VLAN. Por un lado una tecnología orientada a no conexión, qué es el caso de las LANS y por el otro una orientada a conexión como en el caso de ATM. En el caso de las LANS se trabaja con direcciones MAC, mientras en ATM se usan direcciones ATM y se establecen circuitos virtuales permanentes, por esta razón se requiere hacer cambios de direcciones MAC a ATM.

Ventajas:• Facilidad de administración.
• Facilidad de movimientos y cambios.
• Multiprotocolo.

Desventajas:• Aplicable solo a Ethernet y Token Ring.
• No explota la calidad de Calidad de servicio (QoS) de ATM.

Después de configurar la VLAN, puede validar las configuraciones de la VLAN mediante la utilización de los comandos show del IOS de Cisco.

· Vínculos al puerto de administración.

VINCULOS AL PUERTO DE ADMINISTRACION

Existen varias formas de administrar las VLAN y los vínculos del puerto de VLAN. La figura muestra la sintaxis para el comando no switchport access vlan.

· Administración de la pertenencia al puerto.

Un puerto de acceso estático sólo puede tener una VLAN. Con el software IOS de Cisco, no necesita quitar primero un puerto de una VLAN para cambiar su membresía de la VLAN. Cuando reasigna un puerto de acceso estático a una VLAN existente, la VLAN se elimina automáticamente del puerto anterior.

· Eliminación de las VLAN.

La figura proporciona un ejemplo de uso del comando de configuración global no vlan vlan-id para eliminar la VLAN 20 del sistema. El comando show vlan brief verifica que la VLAN 20 ya no está en el archivo vlan.dat.

Alternativamente, el archivo completo vlan.dat puede eliminarse con el comando delete flash:vlan.dat del modo EXEC privilegiado. Después de que el switch se haya vuelto a cargar, las VLAN configuradas previamente ya no estarán presentes. Esto ubica al switch, en forma efectiva, en "de fábrica de manera predeterminada" con respecto a las configuraciones de la VLAN.

jueves, 9 de mayo de 2013

Identificación de elementos de las VLAN.

Beneficios de la VLAN

* Seguridad. A los grupos que tienen datos sensibles se les separa del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial.

*Reducción de costos. El ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y usos más eficientes de enlaces y ancho de banda existente.
Mejor rendimiento: la división de las redes planas de Capa 2 en múltiples grupos lógicos de trabajo (dominios de broadcast) reduce el tráfico innecesario en la red y potencia el rendimiento.
Mitigación de la tormenta de broadcast. La división de una red en las VLAN reduce el número de dispositivos que pueden participar en una tormenta de broadcast.
Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN.
Administración de aplicación o de proyectos más simples: las VLAN agregan dispositivos de red y usuarios para admitir los requerimientos geográficos o comerciales.

Rangos del ID de la VLAN

El acceso a las VLAN está dividido en un rango normal o un rango extendido.

VLAN de rango normal

Se utiliza en redes de pequeños y medianos negocios y empresas.

Se identifica mediante un ID de VLAN entre 1 y 1005.

Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI.

Los ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar. Aprenderá más acerca de VLAN 1 más adelante en este capítulo.

Las configuraciones se almacenan dentro de un archivo de datos de la VLAN, denominado vlan.dat. El archivo vlan.dat se encuentra en la memoria flash del switch.

El protocolo de enlace troncal de la VLAN (VTP), que ayuda a gestionar las configuraciones de la VLAN entre los switches, sólo puede asimilar las VLAN de rango normal y las almacena en el archivo de base de datos de la VLAN.

VLAN de rango extendido

Posibilita a los proveedores de servicios que amplíen sus infraestructuras a una cantidad de clientes mayor. Algunas empresas globales podrían ser lo suficientemente grandes como para necesitar los ID de las VLAN de rango extendido.

Se identifican mediante un ID de VLAN entre 1006 y 4094.

Admiten menos características de VLAN que las VLAN de rango normal.

Se guardan en el archivo de configuración en ejecución.

VTP no aprende las VLAN de rango extendido.

tipos de VLAN

Estáticas.- Los administradores de la red configuran puerto por puerto. Cada puerto está asociado a una VLAN específica. El administrador de red es responsable de escribir las asignaciones entre los puertos y las VLANs.

Dinámicas.- Los puertos pueden calcular dinámicamente. Se usa una base de datos de software que contiene un mapeo de direcciones MAC a las VLAN que el administrador de red debe configurar primero

Las VLANs, se dividen en cuatro tipos principales:

¨ Basadas en puertos

¨ Basadas en MAC

¨ VLANs de capa 3

¨ VLAN de Voz