VLAN privadas en troncales y SVIs

Este artículo examina la función de las VLAN privadas a través de enlaces troncales 802.1Q (que no debe confundirse con la configuración de puertos troncales VLAN privados , que solo se admiten en las series Catalyst 4500 y 6500) y cómo se pueden asignar a SVI para conmutación multicapa. Para una revisión de los fundamentos de VLAN privada, consulte Configuración básica de VLAN privada . Usaremos la topología de ejemplo a continuación como referencia.

topology.png

Nuestra configuración de VLAN privada en S1 y S2 se ve así (si está siguiendo en un laboratorio, tenga en cuenta que las VLAN comunitarias 101 y 102 deben crearse antes de asociarse con la VLAN 100 principal):

vlan 100
  private-vlan primary
  private-vlan association 101-102
!
vlan 101
  private-vlan community
!
vlan 102
  private-vlan community

Estas son las configuraciones de interfaz física por conmutador para su referencia:

S1

interface FastEthernet0/1
 switchport private-vlan mapping 100 101-102
 switchport mode private-vlan promiscuous
!
interface FastEthernet0/3
 switchport private-vlan host-association 100 101
 switchport mode private-vlan host
!
interface FastEthernet0/5
 switchport private-vlan host-association 100 102
 switchport mode private-vlan host
!
interface FastEthernet0/13
 switchport trunk encapsulation dot1q
 switchport mode trunk

S2

interface GigabitEthernet0/4
 switchport private-vlan host-association 100 101
 switchport mode private-vlan host
!
interface GigabitEthernet0/6
 switchport private-vlan host-association 100 102
 switchport mode private-vlan host
!
interface GigabitEthernet0/13
 switchport trunk encapsulation dot1q
 switchport mode trunk

Tenga en cuenta que no hay nada especial en la configuración del tronco; ambos extremos están configurados como interfaces troncales 802.1Q típicas.

Troncal

Con las configuraciones anteriores aplicadas, el enrutador puede comunicarse con todos los hosts, y todos los hosts pueden comunicarse con el enrutador y con el otro host en sus respectivas VLAN privadas de la comunidad (por ejemplo, el host A puede comunicarse con el enrutador y el host B, pero no host C o D).

reachability.png

Por supuesto, los buenos ingenieros de redes no están satisfechos con el simple hecho de saber que algo funciona: queremos saber cómo funciona. En realidad, esta funcionalidad se logra doblando algunas reglas sobre las asignaciones de VLAN. Tradicionalmente, se espera que el tráfico de retorno que se origina dentro de una VLAN regrese a través del enlace troncal etiquetado con el mismo ID de VLAN. Este no es siempre el caso de las VLAN privadas.

Cuando el enrutador envía una trama a uno de los hosts en S2, la trama se etiqueta como perteneciente a la VLAN principal 100 cuando atraviesa el tronco, porque el enrutador está conectado a un puerto promiscuo. Sin embargo, las tramas que se originan en los hosts se etiquetan con sus ID de VLAN secundaria correspondientes. Una trama del host B al enrutador, por ejemplo, se etiqueta como VLAN 101 cuando se atraviesa el enlace troncal.

VLAN_tagging.png

Para resumir:

  • Las tramas que se originan en un puerto promiscuo se etiquetan con el ID de VLAN principal
  • Las tramas que se originan en un puerto de host se etiquetan con la ID de VLAN secundaria (aislada o comunitaria)

Y, por supuesto, aquí hay una captura de paquetes para ayudar a llevar la idea a casa.

SVIs

¿Qué pasaría si quisiéramos eliminar el enrutador de nuestra topología y hacer todo el enrutamiento entre VLAN localmente en nuestro conmutador multicapa S1? No hay problema, solo tenemos que crear la VLAN SVI primaria (interfaz virtual conmutada, también conocida comúnmente como interfaz VLAN) y aplicarle un mapeo para nuestras VLAN secundarias. Primero apagaremos la interfaz conectada al enrutador y habilitaremos la conmutación multicapa.

S1(config)# interface f0/1
S1(config-if)# shutdown
S1(config-if)# exit
S1(config)# ip routing

A continuación, crearemos el SVI para la VLAN 100, le asignaremos la dirección IP que se asignó previamente al enrutador y asignaremos nuestras VLAN secundarias.

S1(config)# interface vlan100
S1(config-if)# ip address 192.168.0.1 255.255.255.0
S1(config-if)# private-vlan mapping 101-102
S1(config-if)#
%PV-6-PV_MSG: Created a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG: Created a private vlan mapping, Primary 100, Secondary 102

S1 ahora funciona en lugar del enrutador externo; todos los hosts pueden acceder a su interfaz Vlan100 enrutada, pero aún están restringidos a comunicarse con los hosts en su VLAN secundaria.

Related Posts

Configuración básica de VLAN privada

Ahora que el laboratorio comunitario ha sido equipado con un Catalyst 3560 , finalmente pude escribir sobre VLAN privadas (que solo son compatibles con Catalyst 3560 y switches superiores). Este artículo analiza el concepto de VLAN privadas e incluye un ejemplo de configuración básica, con configuraciones más complejas diferidas para artículos futuros. Las VLAN privadas se desarrollaron para […]

Bloqueo de unicast flooding desconocido

Cuando un conmutador Ethernet recibe una trama destinada a una dirección MAC que no está en su tabla de direcciones, el comportamiento predeterminado es inundar la trama por todos los demás puertos como si fuera una transmisión. Solo después de conocer la dirección como fuente de una trama entrante, se ingresará en la tabla de direcciones […]

Spanning Tree prioridades del Protocolo

STP es vital para detectar bucles dentro de una red conmutada. El árbol de expansión funciona designando un punto de referencia común (el puente raíz) y construyendo sistemáticamente un árbol sin bucles desde la raíz hasta todos los demás puentes. Todas las rutas redundantes permanecen bloqueadas a menos que falle un enlace designado. Cada nodo del árbol de […]