Diseño y puesta

en marcha de
una red LAN
corporativa
desde cero
Diseño de una red desde cero
Esquema básico

Router
VLAN 30
Core
DGS-3630

Gestión: VLAN 2

Acceso
DGS-1510

Grupo 1 Grupo 2 Grupo 1 Grupo 2

VLAN 10 VLAN 20 VLAN 10 VLAN 20

Diseño de una red desde cero
Pasos a realizar

Configuración básica:
• Asignar una VLAN de gestión diferente de la VLAN default
• Definición de VLANs de usuarios y de interconexión con el router y servicios comunes
• Asignación de direccionamientos IP acordes al tamaño de cada subred
• Crear interfaces IP para cada VLAN en el CORE
• Configurar las tablas de rutas necesarias, incluyendo las rutas en el Router de internet
• Habilitar el servidor DHCP en el CORE (equipo necesario: DGS-3630)

Opcionalmente:
• Habilitar DHCP server screening para evitar la aparición de un servidor DHCP erróneo
• Configurar ACLs para controlar qué accesos están permitidos entre grupos de trabajo
 Diseño de una red desde cero
Esquema básico
Configuración de VLANs
Creación grupos de enlaces LACP
Ruta por defecto hacia internet:0.0.0.0 0.0.0.0 172.16.0.254
Configuración de interfaces IP para routing
Red Corporativa. Vlan 10. 192.168.10.1/24 Servicio DHCP
Red Invitados. Vlan 20. 192.168.20.1/24 Rango Red1: 192.168.10.0/24
Red Router. Vlan 30. 172.16.0.1 /24 Rango Red2: 192.168.20.0/24

Core VLAN 30
Router
DGS-3630 172.16.0.254

Gestión: VLAN 2 Rutas estáticas en router:

192.168.10.0/24 gw: 172.16.0.1
Red Gestión: 192.168.2.0/24
192.168.20.0/24 gw: 172.16.0.1

Acceso
DGS-1510

Grupo 1 Grupo 2 Grupo 1 Grupo 2

VLAN 10 VLAN 20 VLAN 10 VLAN 20

Seguridad 1: DHCP server screening
Configuración de VLANs
Seguridad 2:
Creación grupos de enlaces LACP ACL para bloqueo de tráfico entre red Corporativa e Invitados
Gestión
Configuración de una VLAN para gestión de dispositivos

Se recomienda utilizar una VLAN diferente a la Default para la gestión de dispositivos de red.

• Por seguridad: los usuarios conectados a las redes LAN no tendrán acceso a la gestión.

• Cualquier persona que acceda a cualquier puerto del switch no podrá llegar a su gestión.

• Se recomienda expandir la VLAN de gestión en modo tagged (no nativa) entre switches. Si alguien desconecta
un uplink y conecta un PC, no podrá llegar a la gestión de la red.

• En este ejemplo utilizaremos la VLAN 2. Eliminaremos la VLAN 1 en modo access de todos los puertos.

• Importante recordar estos datos para evitar quedarnos sin gestión en los switches.
Gestión
Crear una VLAN para la gestión

• Dentro de la VLAN de gestión, asignar una subred IP para la gestión de dispositivos.

• Dimensionar la subred con previsión para poder integrar todas las direcciones de gestión de toda la red.
• Este rango englobará conmutadores, puntos de acceso y cualquier otra infraestructura de red.
Gestión
Asignar direccionamiento IP a los dispositivos de red

• Dentro de la VLAN de gestión, asignar una subred IP para la gestión de dispositivos.

• Dimensionar la subred con previsión para poder integrar todas las direcciones de gestión de toda la red.
• Este rango englobará conmutadores, puntos de acceso y cualquier otra infraestructura de red.
Gestión
Asignar direccionamiento IP a los dispositivos de red

• En switches Smart de layer 2, utilizar la función Management VLAN.

• El conmutador conserva su dirección IP pero sólo es accesible a través de la VLAN de gestión.
Gestión
Asignar direccionamiento IP a los dispositivos de red

• Asignaremos algunos puertos a la nueva VLAN de gestión para acceder a los equipos a través de ella.
• Una vez hechas las configuraciones, los deshabilitaremos.
 En este caso configuramos los puertos 23 y 24 en modo access.
Gestión
Asignar direccionamiento IP a los dispositivos de red

 A partir de ahora, realizaremos la configuración desde esos puertos en la VLAN de gestión, a través de la IP
del rango 192.168.2.0/24.
 Habrá que hacer esto mismo con el resto de switches.
Diseño y capacidad
Escoger los equipos necesarios

• Anotar la cantidad de puertos necesaria en cada zona.

• Se suele recomendar añadir un 10% de puertos para futuras ampliaciones.

• Escoger los modelos de switch:

• recomendado utilizar conmutadores con puertos gigabit: preparados para el futuro.
• con la densidad de puertos requerida usar modelos de 10, 16, 24 ó 48 puertos.
• si en un rack se necesitan más de 48 puertos, considerar la utilización de stacking, para disponer de una
única interfaz de gestión por armario.

• Si necesitamos alimentación PoE, analizar el consumo de los dispositivos a alimentar y escoger el switch con
la densidad de puertos y Power Budget PoE que encaje.
Diseño y capacidad
Agregación de enlaces

Dimensionar el ancho de banda de los enlaces de uplink entre conmutadores:

• La literatura indica una sobresuscripción de 10:1 a 20:1 para redes medias.
• Una sobresuscripción menor para redes con altas necesidades de tráfico.

Según estos datos:

• Para un switch con 24 puertos, uplinks de entre 2,4 y 1,2 Gbps (media de 1,8 Gbps)
• Para un switch de 48 puertos, uplinks de entre 4,8 y 2,4 Gbps (media de 3,6 Gbps)
Interconexión de switches
Agregación de enlaces
• Entre el switch de Core y Acceso se pueden agregar enlaces para disponer de:
• mayor ancho de banda
• tolerancia a fallos
• Con los anteriores cálculos de sobresuscripción, utilizaremos 2 puertos 1G en LACP para el uplink de
un switch de 24 puertos.
• Para densidades de puertos superiores o volúmenes de tráfico mayores, podremos hacer LACP de
más puertos o utilizar uplinks con puertos 10G.
Interconexión de switches
Agregación de enlaces

• En el CORE se realizarán tantos grupos de agregaciones de enlaces como switches de aceso a conectar.
• Recomendable utilizar el estándar 802.3ad.
• Este extremo de los enlaces (lado CORE) se configurará en modo activo.
• Cada Port-Channel generado se comportará como un único puerto lógico.
Interconexión de switches
Agregación de enlaces

• El los switches de ACCESO se creará un port channel con los puertos que enlazan hacia el CORE.
• Este extremo del enlace se configurará en modo pasivo.
• Cada Port-channel se comportará como un único puerto lógico.
• Revisar el algoritmo de balanceo: recomendable utilizar Source-Destination-MAC.
Switches de Acceso
Asignación de VLANs a los switches de acceso

• Los puertos para conectar dispositivos en modo access: sólo dejan pasar una VLAN untagged.
• Los puertos de enlaces con otros switches en modo trunk: varias VLANs en modo tagged.
Switches de Acceso
Asignación de VLANs a los switches de acceso

• Los puertos para conectar dispositivos de usuario en modo ACCESS: sólo dejan pasar una VLAN untagged.
 Ejemplo: puertos del 3 a 11 en VLAN 10 y puertos 12 a 22 en VLAN 20.
Switches de Acceso
Asignación de VLANs a los switches de acceso

• Los puertos de enlaces con otros switches en modo TRUNK: varias VLANs en modo tagged.
 Ejemplo: en el Port-Channel 1 (formado por puertos 1 y 2) modo TRUNK
Switch de Core
Asignación de VLANs al switch de core

• Creación de las mismas VLANs definidas. Los puertos de enlaces con otros switches: modo trunk
Switch de Core
Asignación de VLANs al switch de core

• Creación de las mismas VLANs definidas. Los puertos de enlaces con otros switches: modo TRUNK
Switch de Core
Asignación de VLANs al switch de core

Creación de interfaces IP para funciones de Layer 3: enrutado y servicio DHCP

 En el ejemplo, asignar el siguiente direccionamiento IP:
 VLAN10 – Corporativa – 192.168.10.1 /24
 VLAN20 – Invitados – 192.168.20.1 /24
 VLAN30 – Router y común – 172.16.0.1 /24
Switch de Core
Asignación de VLANs al switch de core

Creación de interfaces IP para funciones de Layer 3: enrutado y servicio DHCP

 En el ejemplo, asignar el siguiente direccionamiento IP:
 VLAN10 – Corporativa – 192.168.10.1 /24
 VLAN20 – Invitados – 192.168.20.1 /24
 VLAN30 – Router y común – 172.16.0.1 /24
Switch de Core
Asignación de VLANs al switch de core

Asignar los puertos necesarios a las VLANs creadas.

 En el ejemplo, añadir como mínimo un puerto a la VLAN30 para conectar el router.
Switch de Core
Asignación de rangos y configuración de servicio DHCP

Configuración de servidor DHCP para cada VLAN.

Esta función está disponible en la serie DGS-3630.

 Crear los dos Pools de direcciones: para la red Corporativa y la red de Invitados.
Switch de Core
Asignación de rangos y configuración de servicio DHCP

Configuración de servidor DHCP para cada VLAN

 En cada Pool de direcciones, asignar como mínimo:

• Rango de red
• Default router
• DNS server
• Lease Time
Switch de Core
Asignación de rangos y configuración de servicio DHCP

Configuración de servidor DHCP para cada VLAN

 En cada Pool de direcciones, asignar como mínimo:

• Rango de red
• Default router
• DNS server
• Lease Time
Switch de Core
Asignación de rangos y configuración de servicio DHCP

 Indicar las direcciones IP excluidas que el servidor DHCP no deberá conceder

Core
Asignación de rangos y configuración de servicio DHCP

 Habilitar el servicio DHCP.

IMPORTANTE: cada vez que modifiquemos alguna característica del servidor DHCP, deberemos parar y reanudar
el servicio para que surja a efecto.
Seguridad
DHCP Server Screening en los swithes de acceso
Habilitar la función DHCP Server Screening para evitar la aparición de un servidor DHCP erróneo conectado en
cualquier punto de la red.

Esta configuración se realizará en los switches de acceso, donde se conectan los usuarios.

 Indicar en el Puerto donde esté el servidor DHCP válido su dirección ip

 Habilitar la función para todos los puertos
 Es posible indicar hasta 5 servidores DHCP válidos.
Seguridad II
ACLs

Crearemos una ACL para evitar el acceso a la red de gestión desde cualquier otra

 Primera regla: permitir el tráfico dentro de la red de gestión.

Seguridad II
ACLs

Crearemos una ACL para evitar el acceso a la red de gestión desde cualquier otra

 Segunda regla: bloquear el tráfico desde cualquier red a la red de gestión.

Seguridad II
ACLs
Opcionalmente podemos utilizar ACLs controlar qué accesos están permitidos entre los diferentes grupos de
trabajo.
 Salida a internet
Configuración de interfaces IP para routing entre subredes:
Red Corporativa. Vlan 10. 192.168.10.1/24
Red Invitados. Vlan 20. 192.168.20.1/24
Red Router. Vlan 30. 172.16.0.1 /24

Ruta por defecto para tráfico de salida hacia internet:

0.0.0.0 0.0.0.0 172.16.0.254
Rutas estáticas en router para tráfico
entrante hacia redes LAN
192.168.10.0/24 gw: 172.16.0.1
192.168.20.0/24 gw: 172.16.0.1

Core VLAN 30
Router
DGS-3630 172.16.0.254
Gestión: VLAN 2

Acceso
DGS-1510

Grupo 1 Grupo 2 Grupo 1 Grupo 2

VLAN 10 VLAN 20 VLAN 10 VLAN 20

Switch de Core
Asignación de VLANs al switch de core

 Configuración de ruta por defecto para acceso a internet

Al configurar interfaces IP en el switch, éste puede enrutar entre VLANs.
Para enviar todo el tráfico de internet hacia el router, se deberá configurar una ruta por defecto hacia él.
Routing
Configuración del router

 En el router de internet se deben declarar las redes internas.

En cada una de ellas se debe asignar como gateway la interfaz IP del switch core en la vlan de interconexión.
Routing
Configuración del router

 En el router de internet se deben declarar las redes internas.

En cada una de ellas se debe asignar como gateway la interfaz IP del switch core en la vlan de interconexión.
Save
Guardar los cambios :)

Guardar los cambios y exportar los archivos de configuración

 Resumen
Configuración de VLANs
Creación grupos de enlaces LACP
Ruta por defecto hacia internet:0.0.0.0 0.0.0.0 172.16.0.254
Configuración de interfaces IP para routing
Red Corporativa. Vlan 10. 192.168.10.1/24 Servicio DHCP
Red Invitados. Vlan 20. 192.168.20.1/24 Rango Red1: 192.168.10.0/24
Red Router. Vlan 30. 172.16.0.1 /24 Rango Red2: 192.168.20.0/24

Core VLAN 30
Router
DGS-3630 172.16.0.254

Gestión: VLAN 2 Rutas estáticas en router:

192.168.10.0/24 gw: 172.16.0.1
Red Gestión: 192.168.2.0/24
192.168.20.0/24 gw: 172.16.0.1

Acceso
DGS-1510

Grupo 1 Grupo 2 Grupo 1 Grupo 2

VLAN 10 VLAN 20 VLAN 10 VLAN 20

Seguridad 1: DHCP server screening
Configuración de VLANs
Seguridad 2:
Creación grupos de enlaces LACP ACL para bloqueo de tráfico entre red Corporativa e Invitados
 Posibles mejoras
Stacking en todos los niveles
• Al funcionar como un solo equipo, es posible hacer agregación de enlaces formados por puertos de diferentes
unidades.
• Se garantiza un camino disponible aunque alguna de las unidades, puerto o cable de uplink falle.

VLAN 30
Core
DGS-3630
Router
Gestión: VLAN 2

Acceso
DGS-1510

Grupo 1 Grupo 2 Grupo 1 Grupo 2

VLAN 10 VLAN 20 VLAN 10 VLAN 20

¡Gracias!

Puedes ver el vídeo de esta

formación en nuestro canal de
Youtube en:

https://www.youtube.com/
user/DLINKIberiaTV