tutoriales.com

Configuración y Optimización de VLANs y Trunking en Redes Cisco: Segmentación Eficiente

Este tutorial te guiará a través de la configuración de Virtual LANs (VLANs) y enlaces troncales (trunking) en switches Cisco. Aprenderás a segmentar tu red de manera eficiente, mejorar la seguridad y optimizar el rendimiento, desde los conceptos básicos hasta la implementación práctica.

Intermedio20 min de lectura26 views
Reportar error

📖 Introducción a VLANs y Trunking en Redes Cisco

En el mundo de las redes modernas, la segmentación es clave para la seguridad, el rendimiento y la gestión. Las Virtual LANs (VLANs) ofrecen una solución poderosa para dividir una red física en múltiples redes lógicas. Esto permite que dispositivos en diferentes VLANs se comuniquen como si estuvieran en redes separadas, incluso si están conectados al mismo switch físico.

El trunking es el mecanismo que permite que múltiples VLANs atraviesen un único enlace físico entre switches, o entre un switch y un router (para routing inter-VLAN). Sin trunking, cada VLAN necesitaría su propio enlace físico dedicado, lo cual sería ineficiente y costoso.

Este tutorial te proporcionará una comprensión sólida de los conceptos de VLANs y trunking, y te guiará paso a paso a través de su configuración en dispositivos Cisco IOS. Desde la creación de VLANs hasta la configuración de puertos de acceso y troncales, estarás listo para implementar estas tecnologías en tu propia red.

✅ ¿Por qué usar VLANs?

La implementación de VLANs ofrece múltiples beneficios:

  • Seguridad Mejorada: Aislando diferentes departamentos o tipos de tráfico, se reduce la superficie de ataque. Por ejemplo, el tráfico de los invitados puede estar completamente separado del tráfico corporativo.
  • Rendimiento Optimizado: Se reduce el tamaño de los dominios de broadcast, lo que puede mejorar el rendimiento general de la red, especialmente en entornos grandes.
  • Gestión Simplificada: Las VLANs facilitan la gestión de la red al permitir la agrupación lógica de usuarios y dispositivos, independientemente de su ubicación física.
  • Flexibilidad: Los usuarios pueden moverse dentro de la red física sin cambiar su configuración de IP, simplemente moviendo su puerto a la VLAN correcta.
  • Ahorro de Costos: Al no necesitar switches separados para cada segmento de red, se reducen los costos de hardware y cableado.
🔥 Importante: Las VLANs operan en la Capa 2 (Enlace de Datos) del modelo OSI, pero para que las diferentes VLANs se comuniquen entre sí, se necesita un dispositivo de Capa 3 (router o switch multicapa) para realizar el routing inter-VLAN.

💡 Conceptos Fundamentales

Antes de sumergirnos en la configuración, es crucial entender algunos conceptos clave.

🌐 ¿Qué es una VLAN?

Una Virtual LAN (VLAN) es una división lógica de una red física. Imagina un switch físico dividido en varios switches virtuales más pequeños. Cada VLAN es un dominio de broadcast independiente. Los dispositivos dentro de la misma VLAN pueden comunicarse entre sí sin necesidad de un router, mientras que los dispositivos en diferentes VLANs requieren un router para comunicarse.

📌 Nota: Las VLANs se identifican con un número (VLAN ID) que va del 1 al 4094. Las VLANs 1 y 1002-1005 son VLANs por defecto o reservadas y tienen usos específicos. La VLAN 1 es la VLAN por defecto donde todos los puertos del switch están asignados inicialmente.

🔗 ¿Qué es el Trunking (IEEE 802.1Q)?

El Trunking es la capacidad de un enlace de transportar tráfico de múltiples VLANs simultáneamente. Para lograr esto, se utiliza un método de tagging (etiquetado) para identificar a qué VLAN pertenece cada trama Ethernet. El estándar más común para el trunking es IEEE 802.1Q.

Cuando una trama de una VLAN específica necesita ser enviada a través de un enlace troncal, se le añade una etiqueta (tag) que contiene el ID de la VLAN. Al llegar al otro extremo del enlace troncal, el switch receptor lee la etiqueta y sabe a qué VLAN debe entregar la trama. La trama se 'desetiqueta' antes de ser entregada al dispositivo final en un puerto de acceso.

Detalles de 802.1Q:

  • Tagging: Se insertan 4 bytes adicionales en la cabecera Ethernet de la trama para incluir el VLAN ID y otras informaciones. Este proceso se llama encapsulación.
  • VLAN Nativa: Es una VLAN especial en un enlace troncal 802.1Q que no se etiqueta. Por defecto, es la VLAN 1, pero puede configurarse a cualquier otra VLAN. El tráfico de la VLAN nativa no lleva etiqueta 802.1Q cuando atraviesa el trunk. Es una práctica recomendada cambiar la VLAN nativa de la VLAN 1 por seguridad.
Funcionamiento Trunking 802.1Q SWITCH A SWITCH B ENLACE TRONCAL (Trama con Etiqueta 802.1Q) PC A1 (V10) PC A2 (V20) PC B1 (V10) PC B2 (V20) Sin Etiqueta Sin Etiqueta Sin Etiqueta Sin Etiqueta V10 V20 VLAN 10 VLAN 20 Trunk

Tipos de Puertos en Switches Cisco

En el contexto de las VLANs, los puertos de un switch se clasifican principalmente en dos tipos:

  1. Puertos de Acceso (Access Ports): Son puertos que pertenecen a una única VLAN y se utilizan para conectar dispositivos finales como PCs, servidores o impresoras. El tráfico que entra o sale de un puerto de acceso no está etiquetado con 802.1Q.
  2. Puertos Troncales (Trunk Ports): Son puertos que transportan tráfico de múltiples VLANs entre switches o entre un switch y un router. El tráfico en estos puertos suele estar etiquetado con 802.1Q (excepto el tráfico de la VLAN nativa).
💡 Consejo: Es una buena práctica de seguridad configurar explícitamente el tipo de puerto y deshabilitar la negociación automática (DTP) en enlaces troncales.

🛠️ Configuración de VLANs en Switches Cisco IOS

Ahora que hemos cubierto la teoría, pasemos a la práctica. Usaremos la interfaz de línea de comandos (CLI) de Cisco IOS para configurar VLANs y trunking.

Escenario de Ejemplo

Consideremos un escenario simple con dos switches (SwitchA y SwitchB) y varias PCs. Queremos segmentar la red en dos VLANs: VLAN 10 (Administración) y VLAN 20 (Ventas).

  • SwitchA y SwitchB estarán conectados por un enlace troncal.
  • PC1 (VLAN 10) y PC2 (VLAN 20) se conectarán a SwitchA.
  • PC3 (VLAN 10) y PC4 (VLAN 20) se conectarán a SwitchB.
Enlace Troncal (Gi0/1) SwitchA SwitchB Fa0/1 Fa0/2 Fa0/1 Fa0/2 PC1 VLAN 10 PC2 VLAN 20 PC3 VLAN 10 PC4 VLAN 20 VLAN 10: Ventas VLAN 20: RRHH

Paso 1: Creación de VLANs

El primer paso es crear las VLANs en cada switch. Las VLANs se crean globalmente en el switch. Es importante crear las mismas VLANs en todos los switches que necesiten participar en ellas.

SwitchA# configure terminal
SwitchA(config)# vlan 10
SwitchA(config-vlan)# name Administracion
SwitchA(config-vlan)# exit
SwitchA(config)# vlan 20
SwitchA(config-vlan)# name Ventas
SwitchA(config-vlan)# exit
SwitchA(config)# end

SwitchB# configure terminal
SwitchB(config)# vlan 10
SwitchB(config-vlan)# name Administracion
SwitchB(config-vlan)# exit
SwitchB(config)# vlan 20
SwitchB(config-vlan)# name Ventas
SwitchB(config-vlan)# exit
SwitchB(config)# end

Verificación:

SwitchA# show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- --------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Gig0/1, Gig0/2
10   Administracion                   active
20   Ventas                           active

Paso 2: Asignación de Puertos de Acceso a VLANs

Una vez creadas las VLANs, debemos asignar los puertos del switch a las VLANs correspondientes. Estos son los puertos donde se conectarán los dispositivos finales (PCs).

En SwitchA:

  • Fa0/1 para PC1 (VLAN 10)
  • Fa0/2 para PC2 (VLAN 20)
SwitchA# configure terminal
SwitchA(config)# interface FastEthernet0/1
SwitchA(config-if)# switchport mode access
SwitchA(config-if)# switchport access vlan 10
SwitchA(config-if)# exit
SwitchA(config)# interface FastEthernet0/2
SwitchA(config-if)# switchport mode access
SwitchA(config-if)# switchport access vlan 20
SwitchA(config-if)# exit
SwitchA(config)# end

En SwitchB:

  • Fa0/1 para PC3 (VLAN 10)
  • Fa0/2 para PC4 (VLAN 20)
SwitchB# configure terminal
SwitchB(config)# interface FastEthernet0/1
SwitchB(config-if)# switchport mode access
SwitchB(config-if)# switchport access vlan 10
SwitchB(config-if)# exit
SwitchB(config)# interface FastEthernet0/2
SwitchB(config-if)# switchport mode access
SwitchB(config-if)# switchport access vlan 20
SwitchB(config-if)# exit
SwitchB(config)# end

Verificación:

SwitchA# show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- --------------------------------
1    default                          active    Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                                Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                Fa0/11, Fa0/12, Gig0/1, Gig0/2
10   Administracion                   active    Fa0/1
20   Ventas                           active    Fa0/2

Paso 3: Configuración de Puertos Troncales (Trunk Ports)

Ahora, configuraremos el enlace entre SwitchA y SwitchB como un puerto troncal. Asumiremos que están conectados por el puerto GigabitEthernet0/1 en ambos switches.

En SwitchA:

SwitchA# configure terminal
SwitchA(config)# interface GigabitEthernet0/1
SwitchA(config-if)# switchport mode trunk
SwitchA(config-if)# switchport trunk encapsulation dot1q
SwitchA(config-if)# switchport trunk native vlan 99  -- (Opcional, pero recomendado)
SwitchA(config-if)# end
⚠️ Advertencia: El comando `switchport trunk encapsulation dot1q` es necesario en switches antiguos que soportan ISL y 802.1Q. En switches modernos, 802.1Q es el único protocolo de trunking soportado y, por lo tanto, a menudo no es necesario especificarlo, o el switch lo elige automáticamente. Sin embargo, especificarlo explícitamente no hace daño.

En SwitchB:

SwitchB# configure terminal
SwitchB(config)# interface GigabitEthernet0/1
SwitchB(config-if)# switchport mode trunk
SwitchB(config-if)# switchport trunk encapsulation dot1q
SwitchB(config-if)# switchport trunk native vlan 99  -- (Asegúrate de que la VLAN nativa coincida en ambos lados)
SwitchB(config-if)# end

Verificación:

SwitchA# show interfaces trunk

Port        Mode         Encapsulation  Status        Native VLAN
Gig0/1      on           802.1q         trunking      99

Port        Vlans allowed on trunk
Gig0/1      1-4094

Port        Vlans allowed and active in management domain
Gig0/1      1,10,20,99

Port        Vlans in spanning tree forwarding state and not pruned
Gig0/1      1,10,20,99
💡 Consejo: Por seguridad, es una buena práctica restringir las VLANs permitidas en un enlace troncal utilizando el comando `switchport trunk allowed vlan `. Por ejemplo: `switchport trunk allowed vlan 10,20,99`.

Paso 4: Deshabilitar DTP (Dynamic Trunking Protocol)

DTP es un protocolo que negocia automáticamente el modo de trunking entre switches. Por seguridad y estabilidad, se recomienda deshabilitarlo y configurar los puertos de forma manual y estática.

En SwitchA y SwitchB (en la interfaz del trunk):

SwitchA(config)# interface GigabitEthernet0/1
SwitchA(config-if)# switchport nonegotiate
SwitchA(config-if)# end

🚀 Optimización y Buenas Prácticas

Configurar VLANs y trunking va más allá de los comandos básicos. Adoptar buenas prácticas asegura una red más robusta, segura y fácil de mantener.

🔒 Seguridad en VLANs

  • Cambiar la VLAN Nativa: No uses la VLAN 1 como VLAN nativa. Asigna una VLAN diferente y, si es posible, una VLAN que no se use para tráfico de usuarios. Asegúrate de que esta VLAN exista en ambos switches.
Switch(config-if)# switchport trunk native vlan 99
  • Restringir VLANs Permitidas en el Trunk: Limita las VLANs que pueden atravesar un enlace troncal. Esto reduce el riesgo de ataques como el VLAN Hopping.
Switch(config-if)# switchport trunk allowed vlan 10,20,99
  • Desactivar Puertos No Utilizados: Apaga los puertos del switch que no estén en uso para evitar conexiones no autorizadas.
Switch(config)# interface range FastEthernet0/3 - 24
Switch(config-if-range)# shutdown
  • Asignar VLAN Inusitada a Puertos No Utilizados: Si no puedes apagar puertos, asigna los puertos no utilizados a una 'VLAN sumidero' (blackhole VLAN) que no tenga routing.
Switch(config)# vlan 999
Switch(config-vlan)# name BLACKHOLE_VLAN
Switch(config-vlan)# exit
Switch(config)# interface range FastEthernet0/3 - 24
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 999

📊 Monitoreo y Troubleshooting

Es fundamental saber cómo verificar el estado de tus VLANs y troncales para diagnosticar problemas.

ComandoDescripción
------
show vlan briefMuestra un resumen de todas las VLANs y los puertos asignados a cada una.
show interfaces trunkMuestra información detallada sobre todos los enlaces troncales del switch.
------
show interfaces <interface-id> switchportMuestra la configuración de switchport para una interfaz específica.
show run interface <interface-id>Muestra la configuración en ejecución de una interfaz específica.
⚠️ Advertencia: Si las VLANs nativas no coinciden en ambos extremos de un enlace troncal, pueden ocurrir problemas de conectividad o bucles. Esto se conoce como un `Native VLAN Mismatch` y debe evitarse.

Routing Inter-VLAN

Para que los dispositivos en diferentes VLANs puedan comunicarse, necesitas un dispositivo de Capa 3. Esto se puede lograr de dos maneras principales:

  1. Router-on-a-Stick: Un router con una única interfaz física conectada a un puerto troncal del switch. El router usa subinterfaces lógicas, cada una configurada con una dirección IP para una VLAN diferente y una encapsulación 802.1Q.
Router (R1) Sub-Int: Gig0/0.10 (VLAN 10) Sub-Int: Gig0/0.20 (VLAN 20) Puerto Troncal (802.1Q) Un solo cable físico Switch Capa 2 Configurado con VLAN 10, 20 PC Host A VLAN 10 (Marketing) IP: 192.168.10.x PC Host B VLAN 20 (Ventas) IP: 192.168.20.x Puerto Acceso Puerto Acceso 
Router# configure terminal
Router(config)# interface GigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface GigabitEthernet0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface GigabitEthernet0/0
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# end
  1. Switch Multicapa (Layer 3 Switch): Un switch que puede realizar funciones de routing. Se configuran interfaces virtuales de switch (SVI - Switch Virtual Interfaces) para cada VLAN, actuando como el gateway para esa VLAN.
SwitchL3# configure terminal
SwitchL3(config)# ip routing  -- Habilitar routing L3
SwitchL3(config)# interface vlan 10
SwitchL3(config-if)# ip address 192.168.10.1 255.255.255.0
SwitchL3(config-if)# no shutdown
SwitchL3(config-if)# exit
SwitchL3(config)# interface vlan 20
SwitchL3(config-if)# ip address 192.168.20.1 255.255.255.0
SwitchL3(config-if)# no shutdown
SwitchL3(config-if)# exit
SwitchL3(config)# end

<div class="callout tip">💡 <strong>Consejo:</strong> Para que un SVI funcione, la VLAN correspondiente debe existir en el switch y tener al menos un puerto de acceso o troncal activo asignado a ella.</div>

Preguntas Frecuentes (FAQ)

Q: ¿Puedo tener una VLAN sin un puerto de acceso asignado? A: Sí, puedes crear una VLAN, pero no será funcional hasta que le asignes al menos un puerto de acceso o un SVI (si es un switch de Capa 3).

Q: ¿Cuál es la diferencia entre un puerto de acceso y un puerto troncal? A: Un puerto de acceso transporta tráfico de una única VLAN y conecta dispositivos finales (PCs). Un puerto troncal transporta tráfico de múltiples VLANs y conecta switches o routers. El tráfico en un puerto de acceso no está etiquetado, mientras que el tráfico en un puerto troncal (excepto la VLAN nativa) está etiquetado con 802.1Q.

Q: ¿Qué sucede si la VLAN nativa no coincide en un enlace troncal? A: Un desajuste de VLAN nativa (native VLAN mismatch) puede causar problemas graves, incluyendo pérdida de conectividad, bucles de spanning-tree (STP) o incluso la exposición de tráfico de una VLAN a otra. Siempre asegúrate de que la VLAN nativa sea la misma en ambos extremos de un enlace troncal.

Q: ¿Cómo puedo ver las VLANs activas en mi switch? A: Usa el comando show vlan brief para ver un resumen de las VLANs configuradas y los puertos asignados.

Q: ¿Es el Dynamic Trunking Protocol (DTP) seguro? A: Generalmente, no se recomienda usar DTP en entornos de producción por razones de seguridad y predictibilidad. Es preferible configurar los enlaces troncales de forma estática y explícita para evitar posibles vulnerabilidades como el VLAN Hopping.

🏁 Conclusión

La configuración de VLANs y trunking es una habilidad fundamental para cualquier administrador de red. Permite segmentar tu red de manera lógica, lo que resulta en una mayor seguridad, un mejor rendimiento y una gestión más sencilla. Hemos cubierto los conceptos esenciales, la configuración paso a paso en Cisco IOS y las mejores prácticas para asegurar una implementación exitosa.

Al dominar estas técnicas, podrás diseñar y mantener redes más eficientes y resilientes. Recuerda siempre verificar tu configuración y aplicar las medidas de seguridad recomendadas para proteger tu infraestructura.

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!