Imprimir el Libro CompletoImprimir el Libro Completo

LABORATORIO: Configuracion de VLAN

Sitio: Facultad de Ingeniería U.Na.M.
Curso: REDES I - IC412
Libro: LABORATORIO: Configuracion de VLAN
Imprimido por: Invitado
Día: miércoles, 4 de diciembre de 2024, 23:26

Tabla de contenidos

1. Objetivos

Objetivos: Interiorizarse en la configuración de los equipos, conocer los parámetros de configuración y poder implementar una VLAN tanto virtual como fisicamente. realizar las pruebas de comunicación en la red entre equipos.

También se practicará en el uso del simulador de redes GNS3 de manera de generar confianza y adaptarlo como una herramienta fundamental en la materia para poder entender conceptos y practicar sin disponer de un entorno de red físico

El Laboratorio consiste en 3 actividades:

  • Parte I: El objetivo es lograr una VLAN entre 2 PCs por medio de GNS3.
  • Parte II: Incluiremos una VLAN adicional en un segundo switch
  • Parte III: Realizaremos una VLAN de forma física utilizando los switch que dispone la catedra.

2. Introduccion

En el presente laboratorio se trabajará en la creación de redes virtuales (VLAN) utilizando en un primer caso el software de simulación y luego un Switch administrable de la firma TP-link, cuyo modelo es TLSG2218

A modo recordatorio una VLAN es una subred dentro de una LAN cuya implementación esta dada en CAPA 2.

Implementando una VLAN no solo realizamos la división de equipos en la red sino que trae además seguridad y eficiencia en la misma (por ejemplo la restricción de paquetes broadcast para un sector determinado)

Para definir una VLAN, es necesario configurar que puertos estarán asignados a determinada VLAN. Cada VLAN se caracterizara por un nombre, un identificador de red (VLAN ID) y los puertos que la componen.

Como veremos más adelante dependiendo el tamaño de la red o el dispositivo que se conectará tendremos dos tipos de puertos configurables en los switch



3. Materiales

  • Computadora con GNS3
  • Switch administrable
  • Cables ethernet
  • 2 o mas computadoras (para VLAN física)

4. VLAN en GNS3. Parte I

Vamos a poner en práctica la implementación de una VLAN con el GNS3.

Se va a realizar primero sobre un esquema sencillo con una sola VLAN y luego un esquema con 2(dos ) VLANs interconectadas.

Se va a utilizar un esquema de red sencillo para la primer prueba.

El objetivo es lograr una VLAN entre PC-1 y PC-2.  Si tenemos éxitos, no se podrá hacer PING desde PC3 a cualquier PC de la VLAN y en la tabla de ARP de PC-3 no van a existir las MAC de PC-1 y PC-2.


4.1. Armado de esquemas

Planteamos el siguiente esquema y arrancamos los dispositivos.



En cada una de las PCs, hacemos click con el botón derecho del mouse y abrimos la consola auxiliar


Se abre una ventana ( negra) le damos enter y luego tipeamos  "ifconfig" y presionamos "Enter".

.

Se podrá ver lo siguiente :

PC-3:


 Se pueden ver en la imagen para PC-3 la MAC asociada a esa interfaz. Hacemos lo mismo para las otras dos PCs.

MAC PC3:1e:33:a5:c5:80:5e

PC-2:



MAC PC2 : 22:a0:cd:2f:1c:d1

PC-1:


MAC PC1: 8a:83:5e:1e:53:b5


4.2. OpenVswitch

Estos dispositivos son una implementación por software de un Switch configurable. El mismo corre su propio sistema operativo del tipo Linux, usaremos algunos comandos en la terminal, para ver la configuración o configurar.

Vamos a ver número de proceso (=programa que se está ejecutando) del OpenSwitch:


Podemos ver que el número de proceso ( PID) es 79. Lo mismo que se vería si ejecutamos:

ls -ahlt /var/run/openvswitch/ovs-vswitchd*


Si queremos ver la Tabla MAC del OpenSwitch ejecutamos, ovs-appctl -t /var/run/openvswitch/ovs-vswitchd.??.ctl fdb/show br0, reemplazando ?? por el 79, que es el PID del proceso que implementa el OpenSwitch.


Esta MAC listada corresponde a la PC-1 conectada a eth1.

Con el comando ovs-vsctl list-br  listamos todos los bridges que existen.


Por defecto en un OpenvSwitch todas las interfaces están en un bridge multipuerto (br0), o sea, un Switch capa2.

Ahora vamos a ver que puertos del Switch están configurados como bridge en el br0, que es el que se usa por defecto:


como era de esperar, TODOS los puertos están asociados el bridge  br0!!


4.3. Configurando IPs de PCs

Vamos a dar a las PCs direcciones de IPs, para luego poder comprobar con el comando ping por ejemplo si la VLAN está correcta.

Recordemos que el comando PING invoca el protocolo ARP, que forma una tabla vinculando IP <->MAC, para que al momento de intentar desde capa 3 sabiendo la IP, al bajar a capa 2, utiliza la dirección MAC que tiene en la Tabla de ARP para enviar físicamente ( MAC) el paquete al otro equipo.

Para configurar la VPC con IP estática, hacemos click con el botón derecho sobre PC-1 y elegimos Configure.


Luego en este cuadro elegimos


Veremos la siguiente ventana, (también podemos acceder directamente a la misma desde botón derecho sobre la pc debian y luego -> edit config.)


vamos a des comentar las líneas de manera que queden de la siguiente forma:


Podemos ver que luego de cerrar esta ventana, si accedemos a la Terminal Auxiliar veremos que estos datos son los que se configuraron:


Hacemos lo mismo para PC-2 con IP 192.168.0.2 y para PC-3 con 192.168.0.3. Los únicos datos que cambian son los de "address".



En este punto tenemos las 3 PCs en la misma red, por lo que los pings entre unas y otras a través del Switch será posible, comprobemos eso desde PC3, haciendo unos pings a PC-2 y PC-1.


4.4. Creando VLAN PC-1 y PC-2

OpenvSwitch utiliza la norma IEEE 802.1Q para las VLANs y denomina "trunk" a los enlaces entre las mismas.

Para crear una VLAN tenemos que ingresar a la terminal del OpenvSwitch y configuramos los puertos ethernet donde están conectados PC-1 y PC-2  para que estén en  una misma VLAN ( tag)

Los puertos se agregan a VLANs mediante una marca "tag". Con los siguientes comandos, en el switch1, agregamos los puertos 1 y 2 a la VLAN10 y los puertos 3 y 4 a la VLAN20

ovs-vsctl set port eth1 tag=10
ovs-vsctl set port eth2 tag=10


Si por ejemplo se quisiera crear otra VLAN (tag=20) por ejemplo, deberíamos tipear:

ovs-vsctl set port eth3 tag=20
ovs-vsctl set port eth4 tag=20
En ese caso eth3 y eth4 formarían una VLAN.

Con el comando ovs-vsctl show  se muestra la configuración de todos los puertos. Vemos los "tags" y el "trunc" asignados.


a partir de ahora PC-1 y PC-2 están en la misma VLAN que tiene un ID ( tag ) de valor 10, que es la etiqueta que caracteriza a esa VLAN.
Veamos el tema de los pings.
Desde PC-1 a PC-2 y PC-3:

Desde  PC-2 a PC-1 y PC3:

Se puede ver que NO llegan a PC-3.}

Objetivo cumplido!!
Creamos una Red VLAN ( Capa 2) entre PC-1 y PC-2 que NO tiene conectividad con PC-3, pese a que están en la misma red a nivel Capa 3 ( 192.168.0.0/24).

5. VLAN en GNS3 Parte II

Interconectando VLANs.

Los puertos troncales (trunk) pueden transportar paquetes de dos o más VLANs por un único puerto del switch, son de gran ayuda cuando los switches están conectados a otros switches, routers o firewall por un solo puerto.

Para que un frame se transporte por un enlace troncal es necesario agregar el id de la vlan para que los extremos del enlace troncal puedan tratarlo de manera correcta.

Vamos a crea una nueva VLAN2 que va a tener 2 PCs,  por ejemplo (PC-3 y PC-4) , que están distribuidas ente DOS swtich s (OpenvSwitch y OpenvSwitch-1).  Para eso los puertos que interconectan los dos Switch deben configurarse como Trunk. El esquema sería:
 

5.1. Configurando OpenvSwitch

Vamos a configurar OpenvSwitch dos puntos.

Si nuestra VLAN a extender esta identificada por el tag: 20 , tenemos entonces:

1) Indicar que eth5 va a ser un puerto del tipo "trunk" : ovs-vsctl set port eth5 trunks=20


Asignamos eth5 a la VLAN2 con el comando: ovs-vsctl set port eth5 tag=20

Comprobamos con el comando: ovs-vsctl show.


Claramente está indicada con "tag"=20 y es del tipo "Trunk".


5.2. Configurando OpenvSwitch-1

1) Indicar que eth0 va a ser un puerto del tipo "trunk" : ovs-vsctl set port eth0 trunks=20


Luego indicamos que eth1 va a ser parte de la VLAN2 , con "tag"=20


Verificamos que eth0 es del tipo trunk para VLAN2 y eth1 es parte de la VLAN2 con ovs-vsctl show.


5.3. Configuramos PC-4

Asignamos la IP 192.168.0.4/255.255.255.0 para PC4


5.4. Comprobación

Entre PC-3 y PC-4 se pueden hacer ping sin problemas, pero no así entre PC-4 y PC-2 o PC-1


Bien, con esto podemos comprobar que nuestra configuración es correcta.


5.5. Captura con Wireshark

Entre los dos OpenvSwitch de nuestro esquema situamos una captura de Wireshark, luego si hacemos un ping( ICMP) por ejemplo entre la PC3 y la PC4 que pertenecen a la VLAN 2. Podemos observar en la captura, que la trama enviada que se manda efectivamente figura el encapsulamiento 802.1Q en donde identificamos el campo VLAN ID


Deberíamos poder obtener la siguiente captura, donde vemos la adición del protocolo 802.1q, y podemos ver la ID de VLAN




6. Configuración VLAN física

Ahora realizaremos una VLAN utilizando dispositivos físicos. Para la primera parte realizaremos una VLAN simple con 1 switch y luego, incorporaremos un switch adicional interconectado para agrandar la misma

Procedemos a conectarnos al switch tal cual lo indica la guia


6.1. Práctica 1

Realizaremos la siguiente configuración de VLAN, La PC1 y la PC2 estarán en la VLAN1, mientras que la PC3 y la PC4 estarán en la VLAN2.

Cabe mencionar que el esquema fue realizado en el simulador GNS3 pero realizaremos la práctica utilizando los dispositivos físicos.



Como nos centramos en la configuración de la VLAN (Capa 2), debemos proporcionar las direcciones IP (Capa 3) para las computadoras ya que no habilitamos servicio de DHCP en el router.

Para ello utilizaremos las siguientes configuraciones:

PC1: 

IP: 192.168.0.1

Mascara de Red: 255.255.255.0   

Puerta de enlace: 192.168.0.1


PC2:

 IP: 192.168.0.2

Mascara de Red: 255.255.255.0

Puerta de enlace: 192.168.0.2


PC3: 

IP: 192.168.0.3

Mascara de Red: 255.255.255.0

Puerta de enlace: 192.168.0.3


PC4: 

IP: 192.168.0.4

Mascara de Red: 255.255.255.0

Puerta de enlace: 192.168.0.4

6.2. Configuración vía GUI

Configuración mediante interfaz grafica.

Una vez ingresado debemos buscar la opción VLAN 802.1Q en CAPA 2 como vimos en la teoría. Se nos mostrará una lista de las VLAN creadas.


 ¿Por qué figura que hay una VLAN ya creada, si hemos reseteado el dispositivo?




6.3. Añadiendo una VLAN

Como  dijimos configuramos el ID, que corresponde a un numero entero. el nombre y los puertos. Los puertos pueden ser añadidos haciendo click arriba de ellos.

Como vemos en la interfaz tenemos dos sectores para agregar puertos, puertos y puertos etiquetados (tagged ports). También denominados acces ports y trunk ports respectivamente.

acces port: Puerto de acceso, este tipo de puerto son utilizados para conectar dispositivos de uso final, computadora, impresora, estación.

trunk port: Si el puerto es especificado como trunk, todos los paquetes que salen por el mismo se enviaran con el identificador de red VLAN ID, esto nos sirve si vamos a conectar switch con switch para extender las capacidades de las VLAN, de este modo ese puerto puede manejar trafico de múltiples VLAN, en ambos switch debemos configurar el puerto de interconexión como trunk

6.4. Configuración de puerto

Una vez creada la VLAN y sus miembros, debemos agregar los parámetros de los puertos que pertenecen a la misma


Seleccionamos los puertos mediante el checklist de la izquierda, en PVID colocamos el ID de la VLAN a la que pertenece, si el paquete recibido en ese puerto no tiene TAG, es agregado el TAG la la VLAN especificada en el PVID.

Los otros parámetros los dejaremos por defecto, son para filtrar por ejemplo que se descarten paquetes sin tag o que pertenecen a otra red.


6.5. Configuración mediante consola

Podemos realizar la configuración por medio de línea de comandos. tenemos 3 alternativas

  • Vía puerto serie por puerto de consola
  • Vía telnet por puerto RJ45
  • Vía SSH por puerto RJ45.

una vez que coloques la clave (si no la hemos cambiado , nos pedirá que coloquemos una clave diferente a admin-admin)

importante: antes de mandar comandos de configuración debemos habilitar la interfaz mandando el comando enable

cada línea debe ser mandada de forma individual.

ejemplo: configuración de VLAN 2, llamada Oficinas. se agrega el puerto 5 sin tag.

# creación de VLAN#
configure
vlan 2
name Oficinas
show vlan id 2
end
copy running-config startup-config

#agregado de puerto 5#
configure
interface gigabitEthernet 1/0/5
switchport general allowed vlan 2 untagged
show interface switchport gigabitEthernet 1/0/5
end
copy running-config startup-config

#Configuracion de puerto 5#
configure
interface gigabitEthernet 1/0/5
switchport pvid 2
switchport check ingress
switchport acceptable frame all
show interface switchport gigabitEthernet 1/0/5
end
copy running-config startup-config

6.6. Práctica 2

Realizar la siguiente configuración de VLAN


7. Preguntas

  • Según se vio en un OpenvSwitch se pueden configurar varios Bridges aislados entre si, entonces ¿por qué no optar por usar bridges en lugar de VLANs?
  • Que pasa si conectamos dos switch con diferentes VLAN sin configurar la opción de trunk?
  • Porque todos los switch no traen la opción de VLAN?
  • Como haría para resolver un problema que requiere uso de VLAN si no dispone de forma local con swich apto para su configuración?
  • En la Parte II, donde capturamos paquetes para ver el ID de VLAN, ¿podríamos situarnos en otro lugar para hacer la captura?. justifique