0

Configuración VLAN I en dispositivos Cisco

Hola a tod@s.

En este post vamos a mostrar con un ejemplo como se configuran las LAN Virtuales (VLANs) con dispositivos Cisco.

Una empresa tiene 3 departamentos (Gestión, Informática y Dirección) distribuidos en un edificio de 4 plantas. En cada planta hay un switch de 24 puertos que recoge el cableado de todos los puestos de trabajo de la planta. En el sótano se encuentra el núcleo de la red con un switch capa 3 central que recibe una conexión por cada planta, una conexión al router que da salida al exterior y otra conexión a un equipo para la administración de la red como se muestra en el esquema.
Vamos a realizar las siguientes configuraciones:

  • Reservar 5 puertos para cada departamento en los switchs de planta.
  • Gestionar la red desde el equipo de administración.
  • Permitir la comunicación entre los departamentos.
  • Configurar el enrutamiento estático necesario.
  • Bloquear el acceso a internet para la vlan de Gestión.

cvlan1_1

  • Se creará una VLAN para cada departamento, más una VLAN para administrar la red, cada VLAN será una red que tendrá conexión al router, en el router se realizan las ACLs necesarias para filtrar el tráfico y se enrutará el tráfico entre redes.

cvlan1_2

  • Cada switch tendrá una IP de administración, que será una SVI (interface virtual),  dentro de la red de administración:

cvlan1_3

  • Los switchs de planta tendrán la siguiente asignación de puertos:

cvlan1_4

  • No es necesario asignar ningún puerto a la VLAN de administración, a la SVI se accederá a través del puerto troncal. Las VLAN normales no responden a ninguna IP porque no tiene una SVI asociada. El esquema lógico de los switchs de planta sería:

cvlan1_5

  • En cuanto al núcleo de la red vamos crear subinterfaces en el router, desde el router se realiza el filtrado del tráfico. En el switch crearíamos las siguientes asignaciones de VLAN:

cvlan1_6

  • En el router crearemos 4 subinterfaces (interfaces lógicas) a partir de su interface LAN (interface física), una para cada VLAN, cuando el router recibe un paquete etiquetado del switch comprueba a que VLAN pertenece y lo “envía” a la subinterface correspondiente. El esquema lógico equivalente sería:

cvlan1_7

  • El router tiene dos interfaces físicas pero tiene cuatro interfaces lógicas. Las cuatro interfaces lógicas son las puertas de enlace de las diferentes redes asignadas a las VLANs.
    La configuración IP del equipo de administración sería por ejemplo 192.168.40.40, desde este equipo se conectaría a las IPs de administración de los switchs (192.168.40.1, .2, .3, .4, .100) y también se administraría el router en la IP 192.168.40.254.
    En cuanto al enrutamiento, todas las redes que llegan por las interfaces lógicas son redes conectadas directamente y, por tanto, el router las añade automáticamente a la tabla de enrutamiento. El único enrutamiento que necesitamos configurar es la ruta por defecto que son los datos facilitados por el ISP para conectar a internet.

cvlan1_8

  • En esta situación el router comunicará a todos los dispositivos del edificio, pero en el router se podrán activar filtros para controlar la comunicación entre los diferentes departamentos y también los accesos a internet. Para bloquear el acceso del departamento de gestión a internet incluimos la siguiente ACL:

cvlan1_9

  • Para aplicar la ACL no podemos usar la interface LAN.10 porque bloquearíamos el tráfico que va desde la VLAN 10 al resto de VLANs, debemos aplicar la ACL en tráfico de salida de la interface WAN:

cvlan1_10

El usuario y password que utilizaremos en esta topología para los routers y switches es:

Usuario: ragasys

enable secret class

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

cvlancI_11

Aquí os dejo el link de descarga de esta topología de red: Configuración VLAN I en dispositivos Cisco

Saludos y espero que os resulte de ayuda 😉

ragasys

Técnico Superior STI

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *