Configuración básica de VLAN privada

Este artículo analiza el concepto de VLAN privadas e incluye un ejemplo de configuración básica, con configuraciones más complejas diferidas para artículos futuros.

Las VLAN privadas se desarrollaron para brindar la capacidad de aislar hosts finales en la capa dos. Para comprender la motivación detrás de esta función, considere un entorno de coubicación en el que el operador de red debe conectar servidores que pertenecen a diferentes clientes a Internet. Todos estos servidores deben poder llegar a su enrutador de primer salto, pero por razones de seguridad, los servidores que pertenecen a un cliente no deben poder comunicarse con los servidores que pertenecen a otro. Una solución de diseño obvia para estos requisitos es colocar los servidores de cada cliente en una VLAN separada, lo que también requiere la asignación de una subred IP separada por cliente (incluso si solo tienen un servidor).

segmentación_tradicional.png

Este enfoque desperdicia tanto los ID de VLAN como el espacio de direcciones IP. Las VLAN privadas se introdujeron como una alternativa más elegante, permitiendo que varios dispositivos residan en la misma subred IP, pero que permanezcan aislados entre sí en la capa dos.

PVLAN_segmentation.png

Una VLAN privada se define como un emparejamiento de una VLAN principal con una VLAN secundaria . Las VLAN primarias son las VLAN normales que todos conocemos y amamos. Las VLAN secundarias usan el mismo rango de ID de VLAN y se definen de la misma manera que las VLAN primarias, pero están especialmente diseñadas para operar como VLAN secundarias en uno de dos modos:

  • Isolated: los puntos finales de todos los puertos asignados a una VLAN privada aislada no pueden comunicarse entre sí, ni con los puertos de host en ninguna otra VLAN privada.
  • Community: los puntos finales conectados a los puertos de la comunidad pueden comunicarse entre sí, pero no con los puertos de otras VLAN privadas.

Un puerto de acceso asignado a una VLAN privada opera en uno de dos modos:

  • Host : el puerto hereda su comportamiento del tipo de VLAN privada a la que está asignado.
  • Promiscuous : el puerto puede comunicarse con cualquier otro puerto VLAN privado en la misma VLAN principal.

Configuración de VLAN privadas

Configuraremos una VLAN privada aislada para permitir que dos servidores propiedad de diferentes clientes en la misma subred IP se comuniquen con su enrutador de primer salto, pero no entre sí.

lab_topology.png

Antes de comenzar con la configuración de VLAN privada, asegúrese de que VTP se haya configurado en modo transparente. Existen numerosas razones para ejecutar VTP en modo transparente más allá del alcance de este artículo, y para habilitar VLAN privadas se requiere explícitamente.

Switch(config)# vtp mode transparent
Setting device to VTP TRANSPARENT mode

Al igual que con las VLAN normales, las VLAN privadas deben crearse antes de que puedan utilizarse. Tras la creación, también debemos definir un tipo (aislado, comunitario o primario) para cada uno. Primero crearemos nuestras VLAN secundarias, luego nuestra VLAN primaria. La VLAN privada secundaria se asigna bajo la configuración de la VLAN privada principal.

Switch(config)# vlan 101
Switch(config-vlan)# private-vlan isolated
Switch(config-vlan)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 101

Nuestra configuración de VLAN completa se ve así:

vlan 100
  private-vlan primary
  private-vlan association 101
!
vlan 101
  private-vlan isolated

A continuación, designamos nuestras interfaces VLAN privadas. Nuestro puerto de enlace ascendente al enrutador se configurará en modo promiscuo, con la VLAN principal asignada a la VLAN secundaria.

Switch(config)# interface f0/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 101

Nuestros dos puertos de servidor se configurarán en modo host:

Switch(config)# interface f0/3
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 101
Switch(config-if)# interface f0/5
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 101

En este punto, nuestra configuración de VLAN privada está completa. Podemos verificar las asignaciones de la interfaz de VLAN privada con el comando show vlan private-vlan:

Switch# show vlan private-vlan

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------
100     101       isolated          Fa0/1, Fa0/3, Fa0/5
Switch# show interface status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        connected    100        a-full  a-100 10/100BaseTX
Fa0/2                        notconnect   1            auto   auto 10/100BaseTX
Fa0/3                        connected    100,101    a-full  a-100 10/100BaseTX
Fa0/4                        notconnect   1            auto   auto 10/100BaseTX
Fa0/5                        connected    100,101    a-full  a-100 10/100BaseTX
Fa0/6                        notconnect   1            auto   auto 10/100BaseTX
Fa0/7                        notconnect   1            auto   auto 10/100BaseTX
...

El comando show interface switchporttambién es útil para examinar los detalles de la VLAN privada por interfaz.

Finalmente, podemos verificar que el enrutador puede comunicarse con ambos servidores, pero los servidores no pueden comunicarse directamente entre sí.

Router# ping 192.168.0.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Router# ping 192.168.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Server1# ping 192.168.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Related Posts

VLAN privadas en troncales y SVIs

Este artículo examina la función de las VLAN privadas a través de enlaces troncales 802.1Q (que no debe confundirse con la configuración de puertos troncales VLAN privados , que solo se admiten en las series Catalyst 4500 y 6500) y cómo se pueden asignar a SVI para conmutación multicapa. Para una revisión de los fundamentos de VLAN privada, consulte Configuración básica […]

Bloqueo de unicast flooding desconocido

Cuando un conmutador Ethernet recibe una trama destinada a una dirección MAC que no está en su tabla de direcciones, el comportamiento predeterminado es inundar la trama por todos los demás puertos como si fuera una transmisión. Solo después de conocer la dirección como fuente de una trama entrante, se ingresará en la tabla de direcciones […]

Spanning Tree prioridades del Protocolo

STP es vital para detectar bucles dentro de una red conmutada. El árbol de expansión funciona designando un punto de referencia común (el puente raíz) y construyendo sistemáticamente un árbol sin bucles desde la raíz hasta todos los demás puentes. Todas las rutas redundantes permanecen bloqueadas a menos que falle un enlace designado. Cada nodo del árbol de […]