Diseo de VLANs

Se recomienda una VLAN por cada subred IP, aunque es posible utilizar varios
rangos en una misma VLAN, no es nada recomendable.
Otro factor de diseo importante, es no permitir que las VLANs se propaguen ms
all de la capa de distribucin, es decir, que no estn presentes en el core siempre
que sea posible, de tal manera que el trfico de broadcast permanezca lo ms
alejado del mismo, aunque esto no siempre es viable, para ello hay dos modelos a
seguir:
VLAN Extremo a Extremo (end-to-end VLANs):
Comprende de las siguientes caractersticas:

La afiliacin de usuarios a cada VLAN es en base al departamento o funcin

de trabajo, sin considerar donde los usuarios estn localizados.

Todos los usuarios en una VLAN deben tener el mismo patrn de flujo de

trfico 80/20.
La agrupacin de usuarios a cada VLAN no debe cambiar cuando ellos son

reubicados dentro del campus.

Cada VLAN tiene un conjunto de requerimientos de seguridad para todos los
miembros.

VLAN Locales (Local VLANs):

Cuando redes corporativas tienden a centralizar sus recursos, las VLANs extremo a
extremo (80/20), llegan a ser difcil de mantener. Los usuarios utilizan diferentes
recursos, muchos de los cuales no se encuentran en su propia VLAN. Este cambio
en el uso de recursos requiere que las VLANs sean creadas alrededor de fronteras
geogrficas en lugar de fronteras comunes.
Esta localizacin geogrfica puede ser tan grande como un edificio entero o tan
pequeo como un simple switch dentro de un armario. En una estructura de VLAN
geogrfica, es tpico encontrar la nueva regla 20/80 en efecto. Esto significa que el
20 por ciento del trfico se mantiene dentro de la VLAN local y el 80 por ciento del
trfico de la red viaja fuera de la VLAN local.

2. Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es

independiente del usuario o dispositivo conectado en el puerto. Esto significa que todos los
usuarios que se conectan al puerto sern miembros de la misma VLAN. Habitualmente es el
administrador de la red el que realiza las asignaciones a la VLAN. Despus de que un puerto
ha sido asignado a una VLAN, a travs de ese puerto no se puede enviar ni recibir datos
desde dispositivos incluidos en otra VLAN sin la intervencin de algn dispositivo de capa 3.
Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las caractersticas
VLAN: puertos de acceso y puertos trunk. Un puerto de acceso (switchport mode access)
pertenece nicamente a una VLAN asignada de forma esttica (VLAN nativa). La
configuracin predeterminada suele ser que todos los puertos sean de acceso de la VLAN1.
En cambio, un puerto trunk (switchport mode trunk) puede ser miembro de mltiples VLAN.
Por defecto es miembro de todas, pero la lista de las VLAN permitidas es configurable.
3. Creamos las VLAN en el switch troncal, suponemos que este switch acta de servidor y se
sincroniza con el resto:
Switch-troncal> enable
Switch-troncal# configure terminal
Switch-troncal(config)# vlan database
Switch-troncal(config-vlan)# vlan 10 name administracin
Switch-troncal(config-vlan)# vlan 20 name profesores
Switch-troncal(config-vlan)# vlan 30 name alumnos
Switch-troncal(config-vlan)# exit

Definimos como puertos trunk los cuatro del switch troncal:

Switch-troncal(config)# interface range g0/0 -3
Switch-troncal(config-if-range)# switchport
Switch-troncal(config-if-range)# switchport mode trunk
Switch-troncal(config-if-range)# switchport trunk native vlan 10
Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 30
Switch-troncal(config-if-range)# exit
Ahora habra que definir en cada switch de acceso qu rango de puertos dedicamos a cada
VLAN. Vamos a suponer que se utilizan las interfaces f0/0-15 para la vlan adminstracion,
f0/16,31 para vlan profesores y f0/32-47 para la vlan alumnos.
Switch-1(config)# interface range f0/0 -15

Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 10
Switch-1(config-if-range)# exit
Switch-1(config)# interface range f0/16 -31
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 20
Switch-1(config-if-range)# exit
Switch-1(config)# interface range f0/32 -47
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 30
Switch-1(config-if-range)# exit

Definimos como trunk el puerto que conecta cada switch de acceso con el troncal:
Switch-1(config)# interface g0/0
Switch-1(config-if)# switchport
Switch-1(config-if)# switchport mode trunk
Switch-1(config-if)# switchport trunk native vlan 10
Switch-1(config-if)# switchport trunk allowed vlan 20,30
Switch-1(config-if)# exit
En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk:
Router(config)# interface f2
Router(config-if)# no ip address
Router(config-if)# exit
Router(config)# interface f2.1
Router(config-if)# encapsulation dot1q 10 native
Router(config-if)# ip address 172.16.10.1 255.255.255.0
Router(config-if)# exit
Router(config)# interface f2.2
Router(config-if)# encapsulation dot1q 20
Router(config-if)# ip address 172.16.20.1 255.255.255.0
Router(config-if)# exit
Router(config)# interface f2.3

Router(config-if)# encapsulation dot1q 30

Router(config-if)# ip address 172.16.30.1 255.255.255.0
Router(config-if)# exit

4. Cdigo para configurar 3 SubRedes con 15, 20 y 45 Host de nombres Contabilidad, Ventas y
Administrativo, siendo VLAN de Nivel 1

Switch-troncal> enable
Switch-troncal# configure terminal
Switch-troncal(config)# vlan database
Switch-troncal(config-vlan)# vlan 15 name contabilidad
Switch-troncal(config-vlan)# vlan 20 name ventas
Switch-troncal(config-vlan)# vlan 30 name administrativo
Switch-troncal(config-vlan)# exit

Definimos como puertos trunk los cuatro del switch troncal:

Switch-troncal(config)# interface range g0/0 -3
Switch-troncal(config-if-range)# switchport
Switch-troncal(config-if-range)# switchport mode trunk
Switch-troncal(config-if-range)# switchport trunk native vlan 15
Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 45
Switch-troncal(config-if-range)# exit
Ahora habra que definir en cada switch de acceso qu rango de puertos dedicamos a cada
VLAN. Vamos a suponer que se utilizan las interfaces f0/0-15 para la vlan adminstracion,
f0/16,31 para vlan profesores y f0/32-47 para la vlan alumnos.
Switch-1(config)# interface range f0/0 -15
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 15
Switch-1(config-if-range)# exit
Switch-1(config)# interface range f0/16 -31
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access

Switch-1(config-if-range)# switchport access vlan 20

Switch-1(config-if-range)# exit
Switch-1(config)# interface range f0/32 -47
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 45
Switch-1(config-if-range)# exit

Definimos como trunk el puerto que conecta cada switch de acceso con el troncal:
Switch-1(config)# interface g0/0
Switch-1(config-if)# switchport
Switch-1(config-if)# switchport mode trunk
Switch-1(config-if)# switchport trunk native vlan 15
Switch-1(config-if)# switchport trunk allowed vlan 20,45
Switch-1(config-if)# exit
En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk:
Router(config)# interface f2
Router(config-if)# no ip address
Router(config-if)# exit
Router(config)# interface f2.1
Router(config-if)# encapsulation dot1q 15
Router(config-if)# ip address 172.16.10.1
Router(config-if)# exit
Router(config)# interface f2.2
Router(config-if)# encapsulation dot1q 20
Router(config-if)# ip address 172.16.20.1
Router(config-if)# exit
Router(config)# interface f2.3
Router(config-if)# encapsulation dot1q 45
Router(config-if)# ip address 172.16.30.1
Router(config-if)# exit

native
255.255.255.0

255.255.255.0

255.255.255.0