PLANIFICACIN Y ADMINISTRACIN DE REDES

VLAN
VLAN significa Virtual Local Area Network. Una VLAN es una red que est configurada en ciertos dispositivos de un switch, pero que no puede ver a otras VLAN de ese mismo switch. VLAN puede unir equipos que estn enganchados a switches distintos, y separar equipos enganchados al mismo switch. Una VLAN puede proporcionar un nivel extra de seguridad al poder separar equipos crticos del resto de la red. Las VLAN aaden flexibilidad y seguridad.
Ejercicio:

Supongamos una red con dos switches y en cada una de ellas hay 4 usuarios (es decir 8 en total). Si hay cuatro contables en el switch izquierdo y cuatro en el derecho mantenerlos separados a nivel de red no es muy complejo (subredes). Qu pasara si se nos exige que en la sala del switch izquierdo estn dos contables y dos administrativos y que en el derecho estn los otros dos contables y dos administrativos? Habra un problema muy difcil de solventar. Dado que nos piden que estn fsicamente juntos, pero lgicamente separados a nivel de red, se necesita "algo nuevo" que permita conseguir cumplir con todos los requisitos.
ROUTER SWITCH SWITCH 1 -------------------------- SWITCH 2 PC1--- PC2 --- PC3 --- PC4 PC1--- PC2 --- PC3 --- PC4 C --- C C --- A
*C = Contabilidad. *A = Administracin.

-----

C --C ---

C A

A --- A

--- A --- A

Lo ideal sera que los usuarios de contabilidad estn separados de los usuarios de administracin. Lo real es que los usuarios que realizan tareas diferentes, estn juntos.

1 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES Puede haber un problema si deseamos que los grupos de personas distintos entre C y A estn en la misma sala y peor si se desea que dos personas estn fsicamente en el mismo sitio, pero que no se pueden ver. (Queremos que estn en el mismo SW). La solucin sera no algo tan complejo, porque podemos crear subredes para separar a la gente que estn en salas distintas segn las tareas que realizan. Pero, qu pasara s en un switch tenemos dos contables y dos administrativos. Eso sera un problema muy difcil de solventar porque se supone que estos usuarios estn en la misma sala y no se deben ver. Pues, dado que nos piden que estn fsicamente juntos (pero lgicamente separados a nivel de red), se necesita algo nuevo que permita conseguir cumplir con todos los requisitos. La solucin es la VLAN para estar fsicamente juntos, pero lgicamente separados.

CONFIGURACIN DE DISPOSITIVOS CISCO: ASPECTOS BSICOS DE NETWORKING.

IOS significa Internetwork Operating System y es propiedad de Cisco Systems. Como sistema operativo, es imprescindible. Sin l, el hardware no sirve para nada. Se maneja por CLI (Command Line Interface) y se almacena en una memoria flash, y luego se instala en la Memoria RAM para mejorar el rendimiento. Hay varios mtodos de acceso: Cable de consola. Conexiones Telnet o SSH. Puerto AUX. El cable de consola es un cable especial que funciona incluso aunque no se haya configurado nada en el dispositivo Cisco. Por lo tanto, es necesario para empezar a trabajar. Se conoce como lnea CTY y no tiene contrasea por defecto, por lo que se debe habilitar y proteger el dispositivo en un armario cerrado. Normalmente funciona a 9600 bits por segundo, enviando los bits de 8 en 8, sin paridad y un bit de stop, con flujo de control hardware. Ver el programa Hyperterminal. Las conexiones Telnet y SSH usan un cable de red normal, pero se necesita que el router ya tenga una configuracin IP. Telnet es un protocolo sin cifrar, y por tanto inseguro. Se recomienda usar SSH, aunque las imgenes IOS no siempre los traen (y hay que pagarlos aparte). El puerto AUX utiliza un cable serie y un programa de Terminal (por ejemplo, el de Windows). No muestra el arranque del router, por lo que en general, para empezar a trabajar usaremos el cable de consola. Su nica ventaja es que no hace falta configurar ni un solo parmetro (9600, 8N1 ni nada por el estilo).

2 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES

Archivos de configuracin:

Startup-Configuration es el archivo de configuracin guardado en la NVRAM (en realidad es una flash) y no se borra al apagar. Se copia en RAM al encender el dispositivo, ya que la RAM es ms rpida que la memoria de tipo flash. Running-Configuration es la configuracin en ejecucin. Cualquier cambio tiene un efecto inmediato en el dispositivo. Si no guardamos esta configuracin encima de la startup-configuration, los cambios se perdern al apagar.

Modos de Operacin en IOS: Hay diversos modos de operacin en los IOS Cisco: Modo usuario: muy limitado. Modo privilegiado: acceso total. Modo de configuracin global: los comandos se aplican a todo el router. Otros modos.

Los prompts, en funcin del modo, cambia. Podemos ver los cambios en el simulador: -En el modo usuario el prompt es: Router> -En el modo privilegiado el prompt es: Router# Podemos cambiar entre modos con: enable (paso a privilegiado). disable (modo usuario).

3 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES

Para acceder al modo de configuracin global, despus de entrar en el modo privilegiado, se requiere el comando:
configure terminal En ese modo, los comandos afectan a todo el router, y no solo a interfaces (bocas) aisladas. Para salir de nuevo al modo privilegiado usamos el comando: exit Un comando de configuracin global es el nombre del nodo y podemos cambiarlo con: hostname <nuevonombre> Otro comando bsico es: copy <origen><destino> Podemos guardar el cambio que acabamos de hacer con: copy running-config startup-config Aunque reseteemos, el router conserva el nombre.

4 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES

Proteccin del dispositivo: La norma ms bsica es encerrar el dispositivo en un armario con llave. Adems de eso, pueden ponerse contraseas a los diversos modos de funcionamiento (usuario, privilegiado, de configuracin global, etc). Por supuesto, las contraseas deben ser robustas y deben cambiarse peridicamente. Las IOS suelen usar usuarios y claves simples, como cisco o class. Ya sabemos que el cable de consola es uno de los mecanismos de acceso al dispositivo. Desde el modo de configuracin global usaremos estos comandos: line console 0 (pasar a configurar la consola). password cisco (establecer la contrasea). login (solicitar autenticacin). Hay comandos que proporcionan seguridad adicional, en concreto: enable password | enable secret (mejor este ltimo por ser ms moderno). El acceso a Telnet se puede hacer por medio de hasta cinco interfaces. Podemos configurar un conjunto de lneas telnet (llamadas vty) y proteger todas ellas con contrasea desde el modo global. line vty 0 4 password cisco login Una cosa es poner contrasea y otra es exigirla. Es posible evitar que las contraseas se muestren descifradas. Esto NO significa que las contraseas se cifren, simplemente significa que mientras tengamos cierto servicio activado, las contraseas se ocultan. El comando necesario es: service password-encryption Para des-ocultar o mostrar la contrasea: no service password encryption Se puede usar un comando que muestre un mensaje cada vez que alguien inicie sesin en el router/switch. Este mensaje se configura con el comando: banner motd # mensaje Cada vez que alguien inicie sesin leer el mensaje. Copias de seguridad: Para hacer copias de seguridad debemos instalar primero un pequeo servidor TFTP como por ejemplo el disponible en: http://tftpd32.jounin.net/ El router/switch puede copiar la configuracin desde su memoria al servidor con el comando: copy running-config tftp

5 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES

Otros parmetros: Los dispositivos Cisco tienen montones de funciones y modos de configuracin que iremos viendo a lo largo del curso. Recordad que en los exmenes se pueden preguntar comandos IOS y que la configuracin debe ser perfecta, en cuyo caso la puntuacin ser nula.

Ejercicio: ======= Crear una red con tres PC y un servidor que use la direccin de red 10.128.0.0/16. Poner al switch las contraseas siguientes: * 1234 al cable de consola. * class al terminal vty. * cisco al modo administrador. * Poner en el switch la Direccin IP: 10.128.1.1 * Poner en el switch el motd: "Ejercicio de repaso". Una vez est todo configurado, enviar una copia de la configuracin del switch al servidor. Borrar el switch, poner otro nuevo y transferirle la configuracin almacenada en el servidor.
Los comandos seran: -Poner la Direccin IP: enable configure terminal interface vlan 1 ip address 10.128.1.1 255.255.0.0 no shutdown exit exit -Poner clave al cable de consola: enable configure terminal line console 0 password 1234 login exit exit

6 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES

-Poner clave al comando telnet (con cable Ethernet): enable configure terminal line vty 0 4 password class login -Poner la clave ``cisco`` al modo privilegiado: enable configure terminal enable secret cisco exit exit -Poner un "mensaje del dia": enable configure terminal banner motd "Ejercicio..." -Transferir la configuracin al 10.128.20.20 : enable copy running-config startup-config copy running-config tftp

Configuracin de redes VLAN:

Para poder configurar correctamente las redes VLAN en un conjunto de salas se debe tener muy claro los puertos del switch a los que se conecta cada miembro de cada VLAN.
Cada puerto del switch necesitar tener asociado un nmero de VLAN o VLAN-ID. Si tenemos distintos switches conectados entre ellos y deseamos poder crear VLAN's, lo que haremos ser asociar a los miembros de una VLAN el mismo VLAN-ID en los puertos correspondientes de sus switches.

Comandos para asociar VLAN a puertos:

Para asociar un nmero de VLAN a un puerto se necesita ser privilegiado (administrador), entrar en el modo de configuracin global, luego entrar en el puerto correspondiente y por ltimo poner el interfaz en modo acceso conectndolo con la VLAN correspondiente: enable configure terminal interface fastethernet 0/1 switchport mode access switchport access vlan 10

7 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES

Para poner un interfaz en modo troncal e indicar las VLAN que pueden pasar por all se har algo como esto: enable configure terminal interface fastethernet 0/5 switchport mode trunk switchport trunk allowed vlan add 10 switchport trunk allowed vlan add 20

Ejercicio: ==========

En una empresa hay tres salas con tres ordenadores cada uno. En la sala A estn los ordenadores A1, A2 y A3. En la sala B los ordenadores B1, B2 y B3 y en la sala C los ordenadores C1, C2 y C3. Se desean crear VLAN's en las cuales solo se vean los que tienen el mismo nmero de equipo. Es decir, en una VLAN irn A1, B1 y C1. En otra VLAN irn A2, B2 y C2 y la tercera VLAN irn A3, B3 y C3.

8 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED

PLANIFICACIN Y ADMINISTRACIN DE REDES

Switch 1, 2 y 3 (switches de acceso): enable configure terminal interface fastethernet 0/1 switchport mode access switchport access vlan 10 exit interface fastethernet 0/2 switchport mode access switchport access vlan 20 exit interface fastethernet 0/3 switchport mode access switchport access vlan 30 exit interface fastethernet 0/4 switchport mode trunk switchport trunk allowed vlan 10 switchport trunk allowed vlan add 20 switchport trunk allowed vlan add 30 exit

Se debe tener en cuenta que el cableado puede ser un problema crtico, ya que al tender las conexiones podrian crearse "ciclos". Normalmente el cableado se organiza en forma de rbol, donde los switches reciben distinto nombre en funcin de donde estn. Los switches ms cercanos a las mquinas se les llaman "switches de acceso", los intermedios se llaman "switches de distribucin" y los de arriba (cercanos a los router) se les llama "switches de ncleo". De esta forma, el switch de arriba (el switch de distribucin) llevar una configuracin parecida a la siguiente:
enable configure terminal interface fastethernet 0/1 switchport mode trunk switchport trunk allowed vlan switchport trunk allowed vlan switchport trunk allowed vlan exit interface fastethernet 0/2 switchport mode trunk switchport trunk allowed vlan switchport trunk allowed vlan switchport trunk allowed vlan exit interface fastethernet 0/3 switchport mode trunk switchport trunk allowed vlan switchport trunk allowed vlan switchport trunk allowed vlan exit

10 add 20 add 30

10 add 20 add 30

10 add 20 add 30

9 ADMINISTRACIN DE SISTEMAS INFORMTICOS EN RED