390 likes | 574 Views
VLANs Virtual LANs. Aunque las tres capas del modelo de diseño jerárquico poseen switches y routers, la capa de acceso generalmente tiene más switches.
E N D
Aunque las tres capas del modelo de diseño jerárquico poseen switches y routers, la capa de acceso generalmente tiene más switches. La función principal de los switches es conectar los hosts, tales como las estaciones de trabajo de usuario final, los servidores, los teléfonos IP, las cámaras web, los puntos de acceso y los routers. Esto quiere decir que en una organización hay muchos más switches que routers. Los switches poseen muchos factores de forma: Los modelos autónomos pequeños se colocan en un escritorio o en una pared. Los routers integrados poseen un switch incorporado al chasis que está montado en el bastidor. Los switches de alto nivel se montan en un bastidor y suelen tener un chasis y un diseño de blade para agregar más blades a medida que aumenta la cantidad de usuarios.
VLANs • Los hosts y los servidores conectados a switches de Capa 2 son parte del mismo segmento de la red. Esta disposición presenta dos problemas considerables: • Los switches inundan todos los puertos con las transmisiones de broadcast, lo que consume ancho de banda innecesario. A medida que aumenta la cantidad de dispositivos conectados a un switch, se genera más tráfico de broadcast y se desperdicia más ancho de banda. • Todos los dispositivos conectados a un switch pueden enviar y recibir tramas de todos los demás dispositivos del mismo switch. • Una de las mejores prácticas de diseño de red establece que el tráfico de broadcast debe quedar restringido al área de la red en la que resulta necesario. También existen razones comerciales por las cuales ciertos hosts se comunican entre ellos, pero otros no. Por ejemplo, es posible que los miembros del departamento de contabilidad sean los únicos usuarios que necesiten acceso al servidor de contabilidad. En una red conmutada, redes de área local virtuales (VLAN) se crean de modo que contengan broadcast y agrupen a los hosts en comunidades de interés. • Una VLAN es un dominio lógico de broadcast que puede abarcar diversos segmentos de una LAN física. Esto le permite a un administrador agrupar estaciones por función lógica, por equipos de trabajo o por aplicaciones, independientemente de la ubicación física de los usuarios.
VLANs • Nosotros podemos crear Virtual LANs –VLANs- para resolver muchos problemas, además de los mencionados en el slide anterior: • Los problemas que podemos resolver por medio de esta técnica, son los siguientes: • Agregar redes, o mover host, es muy fácil, debido a que solo nos basta con configurar la apropiada vlan. Entienda por esto, que sucede si una serie de usuarios cambian de pisos. Para evitar mover el SW y el router del piso, solo basta con configurar la vlan de los usuarios en el nuevo SW, o bien en alguno ya existente. • Un grupo de usuarios, puede tener privilegios mayores que otros, de modo de poder ingresar a ciertas áreas de la red, que otros no. • Permite ordenar los usuarios por función, de manera de evitar tener que ubicarlos por zona geográfica. • Mejoran la Seguridad en la red. • Aumentan el número de dominios de broadcast, reduciendo su extensión. Un broadcast generado en la vlan 4, solo afectará o será visto, por los hosts de la misma vlan.
VLANs -Escalabilidad- Como hemos ido mencionando, los switches de nivel 2, solo evitan extender los dominios de colisión, pero no toman acción ninguna acerca de los broadcast de nivel 3. La única tarea que realizan, es filtrar frames con el objetivo de evitar que las tramas sean vistas por todos los host. Por ejemplo, cuando una NIC falla, genera habitualmente una tormenta de broadcast. Asignando un puerto a una vlan, al menos podemos reducir el impacto de esta tormenta solo a la vlan a la cual pertenece. La implementación de vlans, ha generado además mejoras en los diseños de las redes de datos. Para esto, veamos la siguiente figura: Esta figura representaba el diseño habitual de las redes, antes de desarrollarse el IEEE 802.1q. Cada área de la empresa, poseía su SW/HUB, y estos se conectaban por una interface dedicada al router, que se encargaba de rutear el tráfico entre cada red. Administración Ingeniería Ventas Marketing
VLANs -Escalabilidad- Ahora, que sucede, si al Hub de Ventas, no le quedan más puertos para soportan la nueva demanda de usuarios? Podemos colocar Hubs en cascada, de manera de solucionar el inconveniente provisoriamente, teniendo en cuenta que cada vez el dominio de colisión aumenta de manera considerable. También podemos agregar otro Hub, y conectar este nuevo equipo a otro puerto dedicado del router de Core, aunque ahora habrá miembros de Ventas en redes diferentes, por ende no solo debemos replantear nuestras políticas de acceso, sino que también estos nuevos empleados estarán en una LAN propia, dificultando el principal concepto de las redes: compartir fácilmente recursos. Ingeniería Administración Marketing Ventas
VLANs -Escalabilidad- Las Vlans solucionan las limitaciones mencionadas, dividiendo al switch lógicamente en diferentes dominios de broadcast, a través de la asignación de un TAG dentro del frame Ethernet. Esto lo debemos configurar, dentro de modo específico de la interface, asignando puertos a la vlan que corresponda. Una VLAN es un dominio lógico de broadcast que puede abarcar diversos segmentos de una LAN física. Esto le permite a un administrador agrupar estaciones por función lógica, por equipos de trabajo o por aplicaciones, independientemente de la ubicación física de los usuarios. Con este nuevo criterio de diseño, podemos ampliar la red de nivel 2, con más switches, y evitando instalar tantos routers, que son más costosos y lentos a la hora de conmutar tráfico. Por otro lado, también ahorramos en Hardware, ya que podemos emplear un SW para múltiples tipos de usuarios, y no uno dedicado por área ,y quizás mal utilizado como sucedía antes. Es de importancia entender, que como cada vlan es un dominio de broadcast separado, debe tener su propia subred, por lo tanto, la vlan 5 debe tener una red diferente a la de la vlan 6. Cada host de la vlan 5, se puede comunicar con otro de la misma vlan, pero que se encuentre en otro SW, viendo a este, como si lo tuviese conectado al mismo SW de acceso. Esta es la principal ventaja de las vlans. Ahora si un host de una determinada vlan, desea comunicarse con otro, que pertenece a otro dominio de broadcast, va a necesitar que un equipo que realice nivel 3, los conmute.
VLANs -Definición- La diferencia entre una red física y una red virtual o lógica puede ilustrarse mediante el siguiente ejemplo: Los estudiantes de una escuela se dividen en dos grupos. Los estudiantes del primer grupo se identifican con tarjetas rojas. Los del segundo grupo se identifican con tarjetas azules. El director anuncia que los estudiantes con tarjetas rojas sólo pueden hablar con los compañeros que también tengan tarjetas rojas, y que los estudiantes con tarjetas azules sólo pueden hablar con sus compañeros poseedores de tarjetas azules. Ahora los estudiantes están separados lógicamente en dos grupos virtuales, o VLAN. Según esta agrupación lógica, un broadcast se transmite sólo al grupo con tarjetas rojas, aunque ambos grupos están ubicados físicamente en la misma escuela. Ahora los switches, en vez de solo asignar en la tabla CAM o de Mac Address que MAC aprende por cada puerto, asigna la relación tripartita MAC – Puerto o Interface – VLAN. Este ejemplo también ilustra otra función de las VLAN. Los broadcasts no se envían entre distintas VLAN, están restringidos a la misma VLAN.
VLANs -Definición- • Cada VLAN funciona como una LAN individual. Una VLAN abarca uno o más switches, lo que permite que los dispositivos host funcionen como si estuvieran en el mismo segmento de la red. • Una VLAN tiene dos funciones principales: • Contiene broadcasts. • Agrupa dispositivos. Los dispositivos ubicados en una VLAN no son visibles para los dispositivos ubicados en otra VLAN. • Es necesario que el tráfico cuente con un dispositivo de Capa 3 para poder transmitirlo entre VLAN, ya que los routers son los únicos capaces de poder intercambiar un TAG de la vlan N, por otro TAG de la vlan M. • Cuando una PC se desea comunicar con una IP que está en otra red, enviará el tráfico hacia el DG. El frame llegará al puerto del SW al cual la PC se encuentre conectada. Este agregará el TAG al frame, y lo enviará por los enlaces troncales, o trunks, que este posee, que son interfaces por donde todas las vlans son transportadas. • El router recibirá un frame en la vlan N, con destino un host que está en la vlan M, por ende deberá modificar el frame de L2, cambiando como hace habitualmente las MAC origen y destino, pero además en este caso cambiando el TAG de vlan que corresponda.
VLANs -Membresía- La membresía estática a una VLAN requiere que el administrador asigne de forma manual cada puerto a una VLAN específica. Por ejemplo, el puerto fa0/3 puede asignarse a la VLAN 20. Cualquier dispositivo que se conecte al puerto fa0/3 es miembro de la VLAN 20 de forma automática. Este tipo de membresía a una VLAN es el más fácil de configurar y también es el más difundido; sin embargo, requiere un mayor grado de apoyo administrativo en caso de adiciones, traslados y cambios. Por ejemplo, el traslado de un host de la VLAN a otra requiere reconfigurar manualmente el puerto del switch para asignarlo a la nueva VLAN o conectar el cable de la estación de trabajo a otro puerto del switch de la nueva VLAN. La membresía dinámica a VLAN requiere un servidor de política de administración de VLAN (VMPS). El VMPS contiene una base de datos que asigna direcciones MAC a la VLAN. Cuando se conecta un dispositivo a un puerto del switch, el VMPS busca en la base de datos una coincidencia con la dirección MAC, y asigna ese puerto de forma temporal a la VLAN correspondiente. La membresía dinámica a VLAN requiere más organización y configuración, pero crea una estructura con mucha más flexibilidad que la membresía estática a una VLAN. En una VLAN dinámica, los traslados, las adiciones y los cambios están automatizados, y no requieren intervenciones por parte del administrador. Nota: no todos los switches de Catalyst son compatibles con el uso de VMPS
00:07:B3:11:13:16 00:07:B3:11:13:14 00:07:B3:11:13:12 00:07:B3:11:13:16 Solicita ser miembro de una VLAN 00:07:B3:11:13:16 Esta en mi base de datos VLAN Azul | Servidor de administración de VLAN 00:07:B3:11:13:13 00:07:B3:11:13:11
VLANs -Membresía- Independientemente de que las VLAN sean estáticas o dinámicas, la cantidad máxima de VLAN depende del tipo de switch y de IOS. De forma predeterminada, VLAN1 es la VLAN de administración. El administrador utiliza la dirección IP de la VLAN de administración para configurar el switch de forma remota. Al tener acceso remoto al switch, el administrador de red puede configurar y mantener todas las configuraciones de VLAN. Además, la VLAN de administración se utiliza para intercambiar información, como el tráfico del protocolo de descubrimiento de Cisco (CDP, Cisco Discovery Protocol) y el tráfico del protocolo de enlace troncal de la VLAN (VLAN Trunking Protocol, VTP) con otros dispositivos de red. Cuando se crea una VLAN, se le asigna un número (salvo el 1) )y un nombre o descripción.
VLANs -Tipos de Puertos- • Los puertos de los Switches ven nivel 2, o sea que asocian una vlan a un puerto físico del equipo. Estos puertos pueden ser de 3 tipos: • Access Ports: transportan el tráfico de una sola vlan. Cualquier frame enviado o recibido, es visto por el host con el formato nativo del frame, por ende sin un Vlan ID. Si un puerto de este tipo recibe un frame taggeado, simplemente lo borra, porque los puertos de este tipo solo ven frames en formato nativo. • Al configurar el puerto como access, y asignarle un número de vlan, el host entiende que está en un dominio de broadcast determinado, pero al estar la vlan diseminada por toda la red, no comprende realmente como es la topología física. • Estos puertos, solo taggean el frame cuando el SW comprende que el Host de nivel 2 destino, se encuentra vía un port trunk, pero si se encuentra dentro del mismo SW, no se toma acción alguna. • Voice Access Ports: son puertos del tipo access, que además permiten configurar una vlan secundaria, específicamente usada para llevar tráfico de voz. Es solo configurable bajo cierta gama de switches, debido a que no todos permiten este feature. • Trunk Ports: a diferencia de los anteriores, este tipo de link permite llevar una gran cantidad de vlans. Un link trunk, es un enlace de 100Mbps o 1Gbps, punto a punto entre dos Switches, que permite transportar las 4096 vlans. Por estas conexiones, es que se enlazan Switches punto a punto, para llevar información de muchas vlans; también se conectan un SW y un router, a los fines de interconectar todas las vlans por medio del router, que se encargará de rutear cada una.
VLANs -Tipos de Puertos- Veamos la siguiente figura, en donde hay dos vlans a la vez configuradas en la red. La vlan roja, hay dos host, que pueden comunicarse entre ellos sin problemas. Ahora, cuando un host de esta red, desea comunicarse con otro de la vlan verde, deben si o si pasar por el trunk que interconecta un SW con el router. Lo mismo sucede en el sentido contrario. AccessPorts TrunkPorts Vlan 4 – Red 192.168.4.0/24Vlan 5 – Red 192.168.5.0/24Vlan 6 – Red 192.168.6.0/24
VLANs -Trunking- • Para enviar tráfico de varias vlans, a través de un trunk, existen dos tipos de métodos de encapsulación. Ellas son: • InterSwitch Link –ISL-: es una forma de tagging de información que se transporta sobre frames Ethernet. Este tagging permite identificar a un VlanID sobre un trunk encapsulado con este método. ISL a nivel 2, agrega un Header y un CRC adicional, de modo de poder disminuir la probabilidad de errores de capa de enlace. • Es un método de encapsulación propietaria de Cisco, que solo puede emplearse para interconectar switches o routers, por interfaces fastethernet y gigaethernet. • Es de destacar, que ISL, agrega el Source Address, y el Destination Address, de los Switches que envían el tráfico por el trunk, a diferencia de las direcciones que se transportan en el frame Ethernet.
VLANs -Trunking- • El método de la IEEE, es el siguiente: • IEEE 802.1q: es el método estándar de tagging de vlan, agregando al frame ethernet un campo de Vlan ID de 4 bytes. Esto hace que los frames tengan ahora hasta 1522bytes. • En la implementación primero debe decidirse, que ports serán trunks. Luego de eso, se debe elegir un Vlan ID que se denominará VLAN Nativa, la cual transportará información no taggeada que podrá ser vista por el resto de los hosts. • A diferencia de ISL, dot1q no encapsula el frame en otro header, sino que modifica el frame ethernet, de manera de poder agregar un parámetro que identifique la vlan. Para esto, agrega un campo de 4bytes, como lo vemos a continuación:
VLANs -Ejemplo- En la figura debajo expuesta, podemos observar como un SW agrega el tag, cuando debe enviar la información característica de una vlan, a través de un trunk. Lo que sucede en este caso, es que el host conectado al access port fa0/1 envía un broadcast en la LAN. Al estar en una vlan, para enviar el tráfico hacia el SW2, el SW1 se vé en la obligación de agregar al frame el tag que indique “vlan id 2”, de manera que pueda ser transportado por el trunk. Una vez que el frame llega al SW2, este observa que puertos están en la vlan 2, elimina el tag y forwardea la trama a los puertos que corresponda. Por medio de estos, los SW, agregan al header el VLAN ID, de manera de poder identificar la información de manera correcta. Vlan 2 Vlan 2 access access Ethernet trunk Ethernet Vlan 2 Ethernet
VLANs -Configuración- Utilice los siguientes comandos para crear una VLAN según el modo de configuración global: Switch(config)#vlan vlan_number Switch(config-vlan)#name vlan_name Switch(config-vlan)#exit Asigne puertos para que sean miembros de la VLAN. De forma predeterminada, al inicio todos los puertos son miembros de VLAN1. Asigne los puertos individualmente o como rango. Utilice los siguientes comandos para asignar puertos individuales a las VLAN: Switch(config)#interface fa x/x Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan vlan_number Switch(config-if)# exit Utilice los siguientes comandos para asignar un rango de puertos a las VLAN: Switch(config)#interface range fa#/start_of_range - end_of_range Switch(config-if)#switchport access vlan vlan_number Switch(config-if)#exit
VLANs -Configuración- Los puertos de switch son puertos de acceso de forma predeterminada. Para configurar un puerto de switch como puerto de enlace troncal, utilice los siguientes comandos: Switch(config)#interface fa(controler # / port #) Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate} Los switches que son compatibles tanto con 802.1Q como con ISL requieren el último fragmento de configuración. El 2960 no requiere ese fragmento, ya que sólo es compatible con 802.1Q. El parámetro de negociación es el modo predeterminado en muchos switches de Cisco. Este parámetro detecta automáticamente el tipo de encapsulamiento del switch vecino.
VLANs -Configuración- Los switches más modernos tienen la capacidad de detectar el tipo de enlace configurado en el otro extremo. Según el servicio conectado, el enlace se configura como puerto de enlace troncal o como puerto de acceso. Switch(config-if)#switchport mode dynamic {desirable | auto} En el modo deseable, el puerto se establece como puerto de enlace troncal si el otro extremo se establece como enlace troncal, deseable o automático. En el modo automático, el puerto se convierte en puerto de enlace troncal si el otro extremo se establece como enlace troncal o deseable.
VLANs -Vlan Nativa- Para procesar el tráfico sin etiquetar, existe una VLAN especial llamada VLAN nativa. Las tramas sin etiquetar recibidas en el puerto de enlace troncal con 802.1Q son miembros de la VLAN nativa. En los switches Catalyst de Cisco, la VLAN 1 es la VLAN nativa predeterminada. Puede configurarse cualquier VLAN como VLAN nativa. Asegúrese de que la VLAN nativa para un enlace troncal con 802.1Q sea la misma en ambos extremos de la línea de enlace troncal. Si son diferentes, pueden ocasionarse bucles en Spanning Tree. En un enlace troncal con 802.1Q, utilice el siguiente comando para asignar el ID de la VLAN nativa en una interfaz física: Switch(config-if)#dot1q native vlan vlan-id
VLANs -Intervlan Routing- Aunque las VLAN se extienden para abarcar diversos switches, sólo los miembros de la misma VLAN pueden comunicarse. Un dispositivo de Capa 3 proporciona conectividad entre diferentes VLAN. Esta configuración permite que el administrador de red controle estrictamente el tipo de tráfico que se transmite de una VLAN a otra. Un método para realizar el enrutamiento entre VLAN requiere una conexión de interfaz aparte al dispositivo de Capa 3 para cada VLAN. La VLAN1 puede comunicarse con la VLAN 200, si cada una tiene una conexion dedicada con el router VLAN 1 VLAN 200
VLANs -Intervlan Routing- • Otro método para proporcionar conectividad entre distintas VLAN requiere una función llamada subinterfaces. Las subinterfaces dividen lógicamente una interfaz física en diversas rutas lógicas. Es posible configurar una ruta o una subinterfaz para cada VLAN. • La compatibilidad con la comunicación inter-VLAN mediante subinterfaces requiere configuración tanto en el switch como en el router. Realice lo siguiente: • Switch • Configure la interfaz del switch como un enlace troncal con 802.1Q. • Router • Seleccione una interfaz de enrutamiento con un mínimo de 100 Mbps FastEthernet. • Configure subinterfaces compatibles con el encapsulamiento de 802.1Q. • Configure una subinterfaz para cada VLAN. • Una subinterfaz permite que cada VLAN tenga su propia ruta lógica y un gateway predeterminado en el router.
Interface FE 0/0 Interface FE 0/0.1 VLAN 1 Interface FE 0/0.15 VLAN 15 Interface FE 0/0.35 VLAN 35 VLAN 1 VLAN 15 VLAN 35
VLANs -Intervlan Routing- El host de la VLAN de origen envía el tráfico al router mediante el gateway predeterminado. La subinterfaz de la VLAN especifica el gateway predeterminado para todos los hosts de esa VLAN. El router ubica la dirección IP de destino y lleva a cabo una búsqueda en la tabla de enrutamiento. Si la VLAN de destino se encuentra en el mismo switch que la VLAN de origen, el router vuelve a enviar el tráfico al origen mediante los parámetros de subinterfaz del ID de la VLAN de origen. Este tipo de configuración a menudo se denomina router-on-a-stick. Si la interfaz de salida del router es compatible con 802.1Q, la trama conserva su etiqueta de VLAN de 4 bytes. Si la interfaz de salida no es compatible con 802.1Q, el router elimina la etiqueta de la trama y le devuelve su formato de Ethernet original.
VLANs -Intervlan Routing- Para configurar el enrutamiento entre VLAN, lleve a cabo los siguientes pasos: 1. Configure un puerto de enlace troncal en el switch. Switch(config)#interface fa0/2 Switch(config-if)#switchport mode trunk 2. En el router, configure una interfaz de FastEthernet sin dirección IP ni máscara de red. Router(config)#interface fa0/1 Router(config-if)#no shutdown 3. En el router, configure una subinterfaz con una dirección IP y una máscara de red para cada VLAN. Cada subinterfaz tiene un encapsulamiento de 802.1Q. Router(config)#interface fa0/0.10 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 4. Utilice los siguientes comandos para verificar la configuración y el funcionamiento del enrutamiento entre VLAN. Switch#show trunk Router#show ip route
VTP • Vlan Trunking Protocol –VTP- es un protocolo propietario de Cisco, que permite a los switches intercambiar información de nivel 2, relacionada al encapsulamiento o tagging de vlans, advirtiendo las vlans existentes, los nombres y el Vlan ID. A pesar de lo mencionado, VTP, no informa acerca de que puertos están asignados a cada vlan. • Imagine que se posee una red de nivel 2, con diez switches, y que en cada uno de ellos hay al menos 1 port con el access vlan 3. En condición normal de operación, el administrador de la red, deberá ingresar por telnet a cada uno de los switches y configurar el vlan id. • Con VTP, solo basta con crearla en uno, y el resto aprenderá de ella por medio de los frames de señalización del protocolo. VTP define un frame que emplean los SWs para intercambiar información, que se produce cuando se agrega o elimina una vlan de la configuración de alguno de los dispositivos. • Estos frames que VTP emplea, se envían periódicamente, tal cual lo hace un protocolo de ruteo. Cada SW, usa uno de los siguientes tres tipos de modos: • Server Mode: se agrega la vlan en el server y este se encarga de propagar la información al resto. Una vez que el resto de los switches, recibe la actualización, modifica su vlan database. • Transparente Mode: el SW elimina los updates de VTP, no participando practicamente del proceso. Permite crear vlans en el sw y mantener su propia Vlan Database, pero no envía ni recibe mensajesVTP. • Client: aprenden información de las vlans por medio de los Server. En ellas no se pueden modificar las LANs Virtuales.
VTP Con VTP, cada switch publica los mensajes en sus puertos de enlace troncal. Los mensajes incluyen el dominio de administración, el número de revisión de configuración, las VLAN conocidas y los parámetros de cada una. Estas tramas de publicación se envían a una dirección multicast de modo que todos los dispositivos vecinos puedan recibir las tramas. Cada switch de VTP guarda una base de datos de VLAN en NVRAM que contiene un número de revisión. Si un VTP recibe un mensaje de actualización con un número de revisión posterior al que tiene almacenado en la base de datos, el switch actualiza su base de datos de VLAN con esta nueva información. El número de revisión de configuración VTP comienza en cero. Cuando se producen cambios, el número de revisión de configuración aumenta en uno. El número de revisión continúa incrementándose hasta llegar a 2,147,483,648. En este punto, el contador vuelve a cero. Reiniciar el switch también restablece el número de revisión a cero. Puede producirse un problema con el número de revisión si alguien conecta a la red un switch con un número de revisión mayor sin reiniciarlo antes. Dado que un switch está establecido como servidor de modo predeterminado, esto tiene como resultado que se sobrescriba la información legítima de la VLAN en todos los switches con información nueva, pero incorrecta.
VTP -Mensajes- • Los VTP Servers and Client, envían updates periódicos cada 5 minutos, anunciando los cambios, si los hubiese, a todos los host de la red. Adicionalmente cuando se encuentra un nuevo neighbor VTP, se envía un nuevo update, de modo que las vlans de este nuevo host sean conocidos por toods. • VTP define tres tipos de mensajes en operación normal, estos son: • Summary Advertisement: lista el número de revisión, el nombre del dominio VTP, etc, pero no envía información acerca de las vlans. Estos son los frames que se envían cada 5 minutos. Si hay un cambio en la red, un frame de este tipo es enviado adicionando un nuevo número de revisión • Subset Advertisement: seguido a un Summary, se envía un Subset, que transporta toda la información de las vlans, o sea la Vlan Database. • Advertise Request: es un frame que se emplea, cuando un Server VTP detecta que se ha levantado un nuevo trunk. Esto indica al SW que posee el nuevo trunk, que debe enviar información acerca de la vlan nueva.
Las VLANS son locales solamente Emite solicitudes de publicaciones Usa publicaciones de VTP para actualizar la base de datos de la VLAN Puede crear, modificar o Eliminar información de VLAN para todo el dominio Ignora las publicaciones De VTP Modo predeterminado Para un switch CISCO
VTP -Requerimientos- • Cuando un Server o SW, o bien dos switches desean comunicarse entre sí por VTP, es preciso que antes de intercambiar información, se cumplan las siguientes 3 condiciones: • Que el link entre los equipos esté operando en modo trunk, ya sea ISL o dot1q. • El nombre del dominio VTP debe matchear. El nombre del dominio VTP, permite crear diversas zonas que intercambien información de nivel 2. • Si está configurado en al menos uno de los dos switches un password, el mismo debe ser igual. Esto permite que se agreguen switches a la red maliciosamente, protegiendo la seguridad de la red. Este password nunca se transmite en modo texto.
VTP -Requerimientos- Los switches son servidores de forma predeterminada. Si un switch en modo de servidor emite una actualización con un número de revisión mayor al número actual, todos los switches modifican sus bases de datos para que coincidan con el nuevo switch. Switch(config)# vtp domain domain_name Switch(config)# vtp mode { server | client | transparent } Switch(config)# vtp password password Switch(config)# end Switch# show vtp status VTP Version : 2 Configuration Revision : 250 Maximum VLANs supported locally : 1005 Number of existing VLANs : 33 VTP Operating Mode : Server VTP Domain Name : Lab_Network VTP Pruning Mode : Enabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0xE6 0xF8 0x3E 0xDD 0xA4 0xF5 0xC2 0x0E Configuration last modified by 172.20.52.18 at 9-22-99 11:18:20 Local updater ID is 172.20.52.18 on interface Vl1 (lowest numbered VLAN interface found) Switch#
VTP -Pruning- Suponiendo que tenemos una gran cantidad de switches en la red, y que en los trunks tenemos las 4096 vlans permitidas, cada broadcast de nivel 3 sobre una vlan, viajará hasta switches que no poseen en sus access port, configurados puertos sobre la LAN Virtual que emite la difusión. Para evitar que esto suceda, los administradores, pueden manualmente solo permitir cierto rango de vlans sobre los trunks, de manera de evitar que haya tráfico de vlans que no son utilizadas localmente. Existe un segundo método dinámico, que se denomina VTP Prunning, el cual automáticamente observa que ciertas vlans no deben ser permitidas en algunos trunk. Veamos la siguiente figura: Como resultado de la figura, el SW 2 y el SW 4, aprenden que no deben enviar tráfico de la vlan 10, a ciertas interfaces trunk, evitando que los switches vecino reciban información que terminarán droppeando.