cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
26555
Visitas
70
ÚTIL
15
Respuestas

Vlan administración y vlan nativa

buenas gente 

Tengo una duda sobre las vlans 

vlan nativa: por lo que entiendo la vlan nativa funciona para el trafico de vlan sin etiquetas 

vlan de administracion: estas la que se va a usar para la configuracion del switch

enlace troncal: son los que transportan el trafico de las vlan a otros dispositivos de red 

 

los enlaces troncales se configuran en la vlan nativa para que el trafico sin etiquetar se mande por o ahi o se configuran a parte

 

y otra cosa que no me queda clara es que en la vlan de administracion para que la interfaz SVi este activa tiene que haber un dispositivo conectada a la misma. osea que por ejemplo para el depto de infraestructura yo le tendria que asiga la vlan de administración?

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Hola 

Lo que mencionas es correcto, lo unico que puedo agregar es lo siguiente:

La vlan nativa debe ser la misma en ambos extremos de una interface Trunk (de lo contrario, aunque te funcione, vas a estar observando mensajes de mismatch native vlan), ahora bien la vlan nativa es utiliza para que todos aquellos frames (datagramas) que no incluyen una etiqueta (tag), osea untagged, sean enviados a la vlan nativa y asi se descartan. Si lo quieres ver desde un punto de vista de seguridad, la vlan nativa ayuda a evitar algun tipo de amenaza, donde se descartan aquellos datagramas que no cuentan una etiqueta que indique a que vlan corresponden. 

 

La vlan nativa por defecto es la 1, pero se recomienda que se utilice una vlan nueva para ese rol, puede ser cualquier vlan ID pero no debe tener otro rol que la vlan nativa, en pocas palabras no se debe asignar a nadie.

 

Aunque la vlan nativa y la vlan de administracion pueden ser la misma, por buena practica se recomienda que sean totalmente distintas. 

 

La vlan de administracion se recomienda que se aplique a todos los switches (igual la vlan nativa), esta vlan de administracion sera unicamente una, donde se asociara al default gateway, y deben estar en el mismo segmento de red, tanto el SVI, como el default gateway, ejemplo:

 

vlan 100

name VLAN-ADMINISTRATIVA

 

interface vlan 100

description VLAN-ADMINISTRATIVA

ip address 172.16.100.10 255.255.255.0

no shut

 

ip default-gateway 172.16.100.1 

 

Cuando te dice que la vlan de administracion estara activa unicamente cuando esta conectando a otro switches es que por ejemplo la vlan esta fluyendo a traves de un enlace trunk entre 2 switches, de lo contrario si ejecutas un show ip interface brief, veras que el estado es UP - DOWN. 

 

OJO, por buena practica se recomienda que la vlan de administracion sea unicamente para ese rol, igual que la vlan nativa, no debe ser asignado a ningun departamento a ningun usuario. Recuerda que si tienes multiples vlans, necesitas un equipo capa 3 (como un router, firewall o switch multicapa) para habilitar la comunicacion entre todas las vlans, de esta manera desde tu red de IT podras tener comunicacion con la vlan de administracion, osea, gracias al inter vlan routing. 

 

Espero esto haya contestado tu pregunta. 

Saludos. 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

15 RESPUESTAS 15

luis_cordova
VIP Alumni
VIP Alumni

Hola @Jonathanbellocco 

 

Solo una pequeña corrección:

enlace troncal: son los que transportan el trafico de más de una vlan a otros dispositivos de red.

 

los enlaces troncales se configuran en la vlan nativa para que el trafico sin etiquetar se mande por o ahi o se configuran a parte

R: En realidad es al revés, pues la vlan nativa se configura en enlaces troncales.

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk native vlan vlan-id

Asi, cualquier tráfico sin etiqueta será enviado a la vlan nativa.

Otro detalle es que, al conectar dos switch por enlaces troncales, lo switchs verificarán que la vlan nativa configurada en ambos extremos sea la misma antes de levantar(activar) el enlace troncal.

 

y otra cosa que no me queda clara es que en la vlan de administracion para que la interfaz SVi este activa tiene que haber un dispositivo conectada a la misma. osea que por ejemplo para el depto de infraestructura yo le tendria que asiga la vlan de administración?

R: El objetivo de la vlan de administración es que el switch pueda ser administrado.

Si el departamento de infraestructura será el asignado para administrar los dispositivos de red, puedes asignar a como vlan de administración la vlan asignada a ese departamento.

Por ejemplo, si el departamento de infraestructura usa la vlan 10, entonces puedes configurar en el switch una ip que pertenezca a la red de la vlan 10, dentro de la interface virtual (SVI) 10.

Saludos

Estimados:

Tengo una duda, espero puedan ayudarme.

teniendo claro el tema de de vlan administrativa y nativa

en la imagen se aprecia la vlan de administración que es la misma nativa

las vlan 10,20 y 30 tienen su propio segmento de red.

mi duda es: ¿Qué se hace con esos segmentos de red?, ¿ se debe declarar en alguna configuración del switch al igual que la vlan administrativa?

tengo ese vacío que no logro comprender o tal vez me quedé dormido en clases y se me pasó, desde ya muchas gracias.

 

vlan.png

Hola

 

Los parámetros de red de las vlan deben ser configurados en un equipo capa 3, como un router, un firewall o un switch multicapa.

En los switch, basta con ingresar los parámetros ip de la vlan de administración, pues, como su nombre lo indica, esa vlan sirve para poder administrar los switch remotamente.

 

Saludos

a la configuración en capa 3 ¿se refiere a ruteo mediante router-on-a-stick?

entiendo el tema de vlan administrativa, pero me surge otra duda ahora, para asignar ip a los hosts mediante DHCP ¿lo hago solo mediante la creación de un pool dhcp?

¿Cómo puede un host x saber que esta en la vlan x si no tiene ip asignada? aparte de la asignación de puertos del switch.

Hola 

 

a la configuración en capa 3 ¿se refiere a ruteo mediante router-on-a-stick?

R: Es una opción para ocupar sólo una interfaz del equipo capa3 y dividirlo en subinterfaces.

Otra opción sería dedicar una interfaz del capa 3 a cada vlan, pero con ROAS es más escalable, pues te deja interfaces libres para otros propósitos.

 

entiendo el tema de vlan administrativa, pero me surge otra duda ahora, para asignar ip a los hosts mediante DHCP ¿lo hago solo mediante la creación de un pool dhcp?

R: Si tienes varios segmentos de red, debes crear un Pool de direcciones para cada segmento.

 

¿Cómo puede un host x saber que esta en la vlan x si no tiene ip asignada? aparte de la asignación de puertos del switch.

R: En palabras simples.

Los paquetes salen de los host sin etiqueta vlan, pues recién son etiquetados en la puerta del switch, con la etiqueta vlan configurada.

Entonces, salen del switch por el puerto troncal, y entran al router, por la subinterfaz que está encapsulada con ese número de etiqueta.

El router chequea el segmento de red configurado en la subinterfaz y asigna direcciones del Pool DHCP que tiene ese segmento configurado.

El paquete DHCP sale del router con la etiqueta vlan configurada en la subinterfaz y el switch lo reenvía a los puertos que tienen esa etiqueta vlan.

Finalmente llega al PC que solicito la dirección IP y este PC adopta la dirección y hace un acuse de recibo.

Lamento si me extendí mucho, jeje

 

Saludos

 

 

Hola 

Lo que mencionas es correcto, lo unico que puedo agregar es lo siguiente:

La vlan nativa debe ser la misma en ambos extremos de una interface Trunk (de lo contrario, aunque te funcione, vas a estar observando mensajes de mismatch native vlan), ahora bien la vlan nativa es utiliza para que todos aquellos frames (datagramas) que no incluyen una etiqueta (tag), osea untagged, sean enviados a la vlan nativa y asi se descartan. Si lo quieres ver desde un punto de vista de seguridad, la vlan nativa ayuda a evitar algun tipo de amenaza, donde se descartan aquellos datagramas que no cuentan una etiqueta que indique a que vlan corresponden. 

 

La vlan nativa por defecto es la 1, pero se recomienda que se utilice una vlan nueva para ese rol, puede ser cualquier vlan ID pero no debe tener otro rol que la vlan nativa, en pocas palabras no se debe asignar a nadie.

 

Aunque la vlan nativa y la vlan de administracion pueden ser la misma, por buena practica se recomienda que sean totalmente distintas. 

 

La vlan de administracion se recomienda que se aplique a todos los switches (igual la vlan nativa), esta vlan de administracion sera unicamente una, donde se asociara al default gateway, y deben estar en el mismo segmento de red, tanto el SVI, como el default gateway, ejemplo:

 

vlan 100

name VLAN-ADMINISTRATIVA

 

interface vlan 100

description VLAN-ADMINISTRATIVA

ip address 172.16.100.10 255.255.255.0

no shut

 

ip default-gateway 172.16.100.1 

 

Cuando te dice que la vlan de administracion estara activa unicamente cuando esta conectando a otro switches es que por ejemplo la vlan esta fluyendo a traves de un enlace trunk entre 2 switches, de lo contrario si ejecutas un show ip interface brief, veras que el estado es UP - DOWN. 

 

OJO, por buena practica se recomienda que la vlan de administracion sea unicamente para ese rol, igual que la vlan nativa, no debe ser asignado a ningun departamento a ningun usuario. Recuerda que si tienes multiples vlans, necesitas un equipo capa 3 (como un router, firewall o switch multicapa) para habilitar la comunicacion entre todas las vlans, de esta manera desde tu red de IT podras tener comunicacion con la vlan de administracion, osea, gracias al inter vlan routing. 

 

Espero esto haya contestado tu pregunta. 

Saludos. 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola @Jonathanbellocco 

Agregando un poco.

 

La vlan nativa como mencionas es un vlan que no lleva etiquetas, regularmente en Cisco la vlan nativa siempre es la vlan 1. A veces, se confunde el concepto de vlan nativa con vlan de administración, pero la realidad es que la vlan nativa puede ser diferente a la vlan de administración.  Lo que pasa es que a veces la gente caza el concepto vlan nativa = vlan de administración, pero la realidad puede ser diferente, veamos un ejemplo sencillo.

 

Tienes que implementar una red nueva en un edificio, por defecto la vlan nativa en todos tus equipos Cisco es la vlan Es necesario cambiarla? No, no lo es, la puedes dejar así.

 

Ahora tienes 10 Switches y 1 router, es necesario que les asignes direccionamiento a cada uno de ellos para que se puedan comunicar entre ellos y tu los puedas administrar (vlan de administracion) para ellos designas un direccionamiento 192.168.1.0/ 24. A este direccionamiento le debes de asignar una vlan, puede ser la 2,3,4,5,10,100, etc, la que tu quieras y esa era tu vlan de adminitración.

 

Ahora, los enlaces troncales como has mencionado son enlaces por dónde tiene que pasar tráfico de más de un segmento de red o si lo traducimos al ejemplo anterior, pasa tráfico de más de una vlan. Regresemos al ejemplo anterior del edificio y los Swithces.  Hasta ahora, ya tienes configurado el segmento de administracion y le asginado una vlan.  Para el trafico de datos de tu red has asignado una direccionameinto 10.10.10.0/24 y para la voz (telefonia) has utilizado el segmento 10.10.20.0/24. Supongamos que para los datos, asignaste a vlan 10, para la voz la 20 y como administración la vlan 100.  Ahora la configuracion de tus puertos de interconexion entre cada switch y hacia el router los debes de configurar como troncales, por que? Por que quieres que los segmentos de red que previamente asignaste pase y viajen por toda la red. Así que en el puerto troncal dejas pasar la vlan 10,20 y 100.

Si lo notas, no tienes que declarar la vlan nativa, por defecto la vlan nativa es igual en todos los equipos cisco (vlan 1) asi que no tiene que hacer nada adicional ni preocupar por ella. Por otro lado, si quieres cambiar la vlan nativa y decique que no sea la 1 si no la 101, en ese caso tiene que cambiar la vlan nativa en todos los switches, lo cual me parece trabajo adicional y como menciona Julio tendrás que preocuparte por que esa vlan sea la misma en cada extremo.

 

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"

**Please rate the answer if this information was useful***

**Por favor si la información fue util marca esta respuesta como correcta**

 

 

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

AL Fernandez
Level 1
Level 1

Si a un Switch le asigno dos IPs a dos VLAN y el default gateway con laIP en concordancia de una de ellas pensaba solo se gestionaba con la IP que concuerda con el gateway, y que no se podría gestionar accediendo a la IP de la otra VLAN pero en realidad si que se puede. No tengo muy claro como lo hace. ¿por cual de las 2 VLANs sale las respuestas del switch? ¿por la de la IP que uso para gestionar o por la de la IP del gateway de salida?Captura.JPG

 

Hola

 

¿Puedes comprimir y compartir ese ejercicio de prueba?

 

Me gustaría ver las configuraciones para poder darte una mejor respuesta.

 

Saludos

hola, gracias por la respuesta.

no tiene mucha historia. Le di dos direcciones IP a los 2 interfaces VLAN (10.0.0.10 y 20.0.0.20) y puse el gateway de una de ellas(20.0.0.100). Simplemente para ver que pasaba. Me sorprendió poder hacer pings a las dos IPs, ya que si hago un ping a la 10.0.0.10 (vlan3 del switch)  y su gateway de salida es 20.0.0.100 pensaba no funcionaría. Es decir suponiendo que no conozca la MAC de 20.0.0.100 ¿tiene que hacer un arp, preguntando en broadcast en su VLAN3 por una IP(20.0.0.100) que no pertenece a su red (10.0.0.0/8) ? 

 

Básicamente me imagino un PC con la ip 10.0.0.10 y gateway 20.0.0.100 y me imaginaba que el switch tendría el mismo problema. 

 

Mi pregunta es, ¿la respuesta del ping desde el switch con IP origen 10.0.0.10 sale hacia router por el trunk etiquetada con la VLAN3 (por donde recibió el ping) o con la etiqueta VLAN2 (la etiqueta asignada al subinterface virtual con ip 20.0.0.100)?

 

enlace del pkt: https://www.dropbox.com/s/syuni7q0gfcoelg/duda.zip?dl=0

 

 

Hola

 

Trataré de explicar los resultados de los ping de los 3 PC de la topología.

 

Dominio de difusión = VLAN3

PC0 = 10.0.0.1

SVI VLAN 3 = 10.0.0.10

---------------------------------

Dominio de difusión = VLAN2

PC1 = 20.0.0.1 gateway 20.0.0.100

SVI VLAN 2 = 20.0.0.20 gateway 20.0.0.100

---------------------------------

Dominio de difusión remoto

PC2 = 200.0.0.5 gateway 200.0.0.1

 

PC0

ping 10.0.0.10 exitoso (al estar el destino directamente conectado y estar dentro del mismo dominio de difusión, no se necesita un gateway para la comunicación)

ping 20.0.0.20 no exitoso (el destino no está dentro del dominio de difusión, por lo que no se logra comunicación)

 

PC1

ping 10.0.0.10 no exitoso (el destino no está dentro del dominio de difusión, por lo que no se logra comunicación)

ping 20.0.0.20 exitoso (al estar el destino directamente conectado y estar dentro del mismo dominio de difusión, no se necesita un gateway para la comunicación)

 

PC2

ping 10.0.0.10 no exitoso (el destino no tiene un gateway configurado para lograr comunicación fuera de su dominio de difusión)

ping 20.0.0.20 exitoso (el destino tiene un gateway configurado, por lo que puede tener comunicación fuera de su dominio de difusión)

 

Saludos

hola,

 

el problema es que:

PC2

ping 10.0.0.10 sí es exitoso. Y esa es mi duda

En el pkt que te subí no funcionaba porque tenía mal la encapsulacion del gi0/0.1  (1 en vez de a 3)

Ya está cambiado y como se ve en la imagen, el ping funciona.

https://www.dropbox.com/s/syuni7q0gfcoelg/duda.zip?dl=0

 

 

Captura.JPG

Hola @AL Fernandez 

 

Puedes gestionar el equipo por ambas VLANs si no existe una limitante como alguna ACL sobre la interface VLAN.

Las peticiones de tu swtich van a salir por el segmento o VLAN donde se encuentra tu gateway, pero, por ejemplo, si tiene un equipo con diferentes SVI y ejecutas un "show cdp neig" la direccion ip que saldra el ouput del comando, será la direccion IP de la VLAN o interface VLAN más baja (según lo recuerdo). 

 

En un deplyment común, solo un equipo, en su mayoría de veces el core, contiene todas las SVIs de tu red, y en los swtiches de acceso y distribución solo creas la SVI de Administración, y para el resto de segmentos, solo creas las VLAN en capa 2.

 

No es comun que tengas una SVI en cada switch por cada segemento de red.

 

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

hola,

gracias por la respuesta.

Al final he montado una prueba con equipos reales. He conectado el conmutador y el router por dos puertos distintos (uno para cada vlan) (sin subinterfaces) y he hecho mirrow (span) de los 2 puertos del conmutador para ver que se transmitía por allí.  Los mirrow los he conectado a PCs con wireshark y he capturado.

Resultados:

1.- Un icmp request y su correspondiente reply no van siempre por el mismo intereface vlan. 

2.- Las reply salen del switch siempre por un mismo interface (asociado a una de de las dos vlans), independientemente de la IP del conmutador que uses como destino del ping (20.0.0.20, 10.0.0.10).

3.- El interface que usa el conmutador para enviar las respuestas es independiente del ip default que ponga (es decir cambio el ip default gateway (de 20.0.0.100 a 30.0.0.100 pero siguen saliendo por el mismo interface).

4.- Si cambio el id de la VLAN y previo reseteo del conmutador logro que cambie el interfaz de salida. en todas mis pruebas acaba saliendo por la VLAN con id más alto (estuve mirando si elegía por número de interfaz, o por número de red IP)

5.- Como hay veces que aunque cambies valores el conmutador no cambia su forma de preceder hasta que guardas la configuración y haces un reload hay que tomar las conclusiones con cautela.

 

Con esto mi curiosidad se da por satisfecha. En realidad como bien dices, lo normal es poner una única Vlan de administración.

 

saludos y gracias a todos por la ayuda.