Router Teldat VLAN

Transcripción

Router Teldat VLAN

Router Teldat
VLAN
Doc. DM751 Rev. 10.81
Junio, 2014
ÍNDICE
Capítulo 1 Introducción ....................................................................................................1
1.
2.
3.
Descripción ........................................................................................................................ 2
Prestaciones de las VLAN .................................................................................................. 4
Formato de las tramas de VLAN ........................................................................................ 5
Capítulo 2 Configuración de VLANs ...............................................................................1
1.
2.
Posibilidades de configuración de VLANs ........................................................................ 2
Procesado de las tramas de VLAN ..................................................................................... 3
Capítulo 3 Configuración de las funcionalidades de VLAN ..........................................1
1.
2.
3.
4.
Acceso a la configuración de la funcionalidad VLAN ....................................................... 2
Configuración de la funcionalidad de VLAN..................................................................... 3
Restricciones aplicables a la configuración de VLAN ....................................................... 4
Comandos de configuración de la funcionalidad de VLAN ............................................... 5
4.1.
? (AYUDA) ............................................................................................................. 5
4.2.
ENABLE ................................................................................................................. 6
4.3.
INGRESS-FILTER ................................................................................................. 6
4.4.
LIST ........................................................................................................................ 6
4.5.
NO ........................................................................................................................... 7
a)
NO ENABLE ........................................................................................................... 7
b)
NO INGRESS-FILTER ............................................................................................ 7
c)
NO TAG-DEFAULT ................................................................................................ 8
d)
NO TAG-INSERTION ............................................................................................. 8
e)
NO TAG-REMOVAL ............................................................................................... 8
f)
NO VLAN ................................................................................................................ 8
4.6.
TAG-DEFAULT ..................................................................................................... 8
4.7.
TAG-INSERTION .................................................................................................. 8
4.8.
TAG-REMOVAL ................................................................................................... 9
a)
TAG-REMOVAL PORT........................................................................................... 9
b)
TAG-REMOVAL VLAN ........................................................................................... 9
4.9.
VLAN ..................................................................................................................... 9
4.10.
EXIT ....................................................................................................................... 10
Capítulo 4 Configuración del bridge de VLAN ..............................................................1
1.
2.
3.
Acceso a la configuración de VLANs en el bridge ............................................................ 2
Configuración del bridge de VLANs ................................................................................. 3
Comandos de configuración del bridge de VLANs ............................................................ 4
3.1.
? (AYUDA) ............................................................................................................. 4
3.2.
ACCEPT-ONLY-TAGGED-FRAMES .................................................................. 4
3.3.
EGRESS-FILTER ................................................................................................... 5
3.4.
ENABLE ................................................................................................................. 5
3.5.
INGRESS-FILTER ................................................................................................. 5
3.6.
INTERNAL-TAG ................................................................................................... 5
3.7.
MEMBER ............................................................................................................... 6
3.8.
NO ........................................................................................................................... 6
a)
NO ACCEPT-ONLY-TAGGED-FRAMES............................................................... 6
b)
NO EGRESS-FILTER ............................................................................................. 6
c)
NO ENABLE ........................................................................................................... 7
d)
NO INGRESS-FILTER ............................................................................................ 7
e)
NO INTERNAL-TAG ............................................................................................... 7
f)
NO MEMBER.......................................................................................................... 7
g)
NO TAG-DEFAULT ................................................................................................ 7
h)
NO TAG-REMOVAL ............................................................................................... 7
3.9.
TAG-DEFAULT ..................................................................................................... 8
3.10.
TAG-REMOVAL ................................................................................................... 8
- ii -
3.11.
EXIT ....................................................................................................................... 9
Capítulo 5 Monitorización de VLANs .............................................................................10
1.
2.
Comandos de monitorización de la funcionalidad de VLAN ............................................. 11
Comandos de monitorización del bridge de VLANs .......................................................... 12
Capítulo 6 Ejemplos ..........................................................................................................13
1.
2.
3.
4.
Escenario 1 ......................................................................................................................... 14
Configuración del escenario 1 ............................................................................................ 15
Escenario 2 ......................................................................................................................... 20
Configuración del escenario 2 ............................................................................................ 21
- iii -
Capítulo 1
Introducción
1. Descripción
Los grupos de trabajo en una red, hasta ahora, han sido creados por la asociación física de los usuarios
en un mismo segmento de la red, o en un mismo concentrador o hub (Figura 1.1).
Figura 1.1 Grupos de trabajo sin VLANs
Como consecuencia directa, estos grupos de trabajo comparten el ancho de banda disponible y los
dominios de "broadcast". A esto hay que añadir la dificultad de gestión cuando se producen cambios
en los miembros del grupo. Más aún, presentan la limitación geográfica que supone que los miembros
de un determinado grupo deben de estar situados adyacentemente, por su conexión al mismo
concentrador o segmento de la red.
Los esquemas VLAN (Virtual LAN o red virtual), proporcionan los medios adecuados para solucionar
esta problemática, al realizarse la agrupación de equipos de una forma lógica en lugar de física.
Las LANs virtuales (VLANs) son agrupaciones, definidas por software, de estaciones LAN que se
comunican entre sí como si estuvieran conectadas al mismo cable, incluso estando situadas en
diferentes segmentos de una red, o en redes distintas (Figura 1.2).
Figura 1.2. Grupos de trabajo con VLANs
ROUTER TELDAT – VLAN Introducción
I-2
Doc. DM751
Rev.10.81
Las redes virtuales siguen compartiendo las características de los grupos de trabajo físicos, en el
sentido de que todos los usuarios de una VLAN tienen conectividad entre ellos y comparten sus
dominios de "broadcast".
La principal diferencia con la agrupación física, como se ha mencionado, es que los usuarios de las
redes virtuales pueden ser distribuidos a través de una red LAN, incluso situándose en diferentes
concentradores de la misma.
Los usuarios pueden, así, "moverse" a través de la red, manteniendo su pertenencia al grupo de trabajo
lógico.
Por otro lado, al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos,
se logra, como consecuencia directa, el incremento del ancho de banda en dicho grupo de usuarios.
Además, al poder distribuir a los usuarios en diferentes segmentos de la red, se pueden situar bridges y
routers entre ellos, separando segmentos con diferentes topologías y protocolos.
Todo ello manteniendo la seguridad deseada en cada configuración por el administrador de la red: se
puede permitir o no que el tráfico de una VLAN entre y salga desde/hacia otras redes.
Pero aún se puede llegar más lejos. Las redes virtuales permiten que la ubicuidad geográfica no se
limite a diferentes concentradores o plantas de un mismo edificio, sino a diferentes oficinas
intercomunicadas mediante redes WAN, a lo largo de países y continentes, sin limitación ninguna más
que la impuesta por el administrador de dichas redes.
I-3
Doc. DM751
Rev.10.81
2. Prestaciones de las VLAN
Los dispositivos con funciones VLAN ofrecen unas prestaciones de "valor añadido", suplementarias a
las funciones específicas de las redes virtuales, aunque algunas de ellas son casi tan fundamentales
como los principios mismos de las VLAN.
Al igual que en el caso de los grupos de trabajo "físicos", las VLAN permiten a un grupo de trabajo
lógico compartir un dominio de broadcast. Ello significa que los sistemas dentro de una determinada
VLAN reciben mensajes de broadcast desde el resto, independientemente de que residan o no en la
misma red física. Por ello, las aplicaciones que requieren tráfico broadcast siguen funcionando en este
tipo de redes virtuales. Al mismo tiempo, estos broadcast no son recibidos por otras estaciones
situadas en otras VLAN.
Las VLAN no se limitan solo a un conmutador, sino que pueden extenderse a través de varios, estén o
no físicamente en la misma localización geográfica.
Además las redes virtuales pueden solaparse, permitiendo que varias de ellas compartan determinados
recursos, como backbones (troncales) de altas prestaciones o conexiones a servidores.
Uno de los mayores problemas a los que se enfrentan los administradores de las redes actuales, es la
administración de las redes y subredes. Las VLAN tienen la habilidad de usar el mismo número de red
en varios segmentos, lo que supone un práctico mecanismo para incrementar rápidamente el ancho de
banda de nuevos segmentos de la red sin preocuparse de colisiones de direcciones.
Las soluciones tradicionales de internetworking, empleando concentradores y routers, requieren que
cada segmento sea una única subred; por el contrario, en un dispositivo con facilidades VLAN, una
subred puede expandirse a través de múltiples segmentos físicos, y un solo segmento físico puede
soportar varias subredes.
Asimismo, hay que tener en cuenta que los modelos más avanzados de conmutadores con funciones
VLAN soportan filtros muy sofisticados, definidos por el usuario o administrador de la red, que nos
permiten determinar con gran precisión las características del tráfico y de la seguridad que deseamos
en cada dominio, segmento, red o conjunto de redes. Todo ello se realiza en función de algoritmos de
bridge y routing multiprotocolo.
I-4
Doc. DM751
Rev.10.81
3. Formato de las tramas de VLAN
El formato de las tramas de VLAN, así como el funcionamiento de los bridges para el procesado de
este tipo de tramas, está descrito en el estándar IEEE 802.1Q.
Una trama VLAN es una ampliación de la trama básica de Ethernet. La trama VLAN incluye dos
campos adicionales, de dos bytes cada uno, situados entre el campo de dirección origen y el campo de
longitud/tipo:
Trama Ethernet
DA
SA
LEN/ Etype
Trama VLAN
DA
SA
0x8100
PRI
DATA
VLAN Tag
LEN/ Etype
DATA
VLAN ID
CFI: Canonical Format Indicator
Este encapsulado hace que el tamaño del cabecero MAC de las tramas Ethernet se incremente en
cuatro bytes.
• El primer campo, de 2 bytes, se denomina TPID (Tag Protocol Identifier). Es un campo de
valor fijo que permite identificar las tramas como tramas de VLAN. El valor de este campo es
0x8100.
• El siguiente campo, de dos bytes, se denomina TCI (Tag Control Information), y está
compuesto por los siguientes subcampos:
o PRI (3 bits), user priority (prioridad del usuario), empleado para calidad de servicio.
o CFI (1 bit), Canonical Format Indicator, empleado para compatibilidad entre redes
Ethernet y Token Ring. Si es cero, indica que la trama está en formato canónico, y no
incluye un campo adicional denominado E-RIF (Embedded Routing Information
Field).
o VLAN-ID (12 bits), habitualmente denominado VID, es el identificador de la VLAN
a la que pertenece la trama. Al ser un campo de 12 bits, se pueden identificar hasta
4096 VLANs diferentes.
Habitualmente se utiliza el término trama etiquetada para referirse a una trama con
información de VLAN. De igual modo, las tramas sin información de VLAN se
denominan tramas sin etiquetar.
I-5
Doc. DM751
Rev.10.81
Capítulo 2
Configuración de VLANs
1. Posibilidades de configuración de VLANs
A la hora de configurar VLANs en los equipos de Teldat existen varias posibilidades:
1. Crear un subinterfaz Ethernet y asignar una VLAN al mismo.
2. En equipos con interfaces de switch Ethernet, configurar la forma en que debe tratar el switch
los paquetes de VLAN en cada puerto.
3. En equipos que funcionan como bridge, configurar la forma en que debe tratar el bridge los
paquetes de VLAN en cada puerto.
El primer caso permite, mediante la asignación de una dirección IP al subinterfaz Ethernet, etiquetar,
como pertenecientes a una determinada VLAN, los paquetes pertenecientes a una subred IP. El
proceso de creación y asignación de una etiqueta de VLAN a un subinterfaz Ethernet se describe en el
manual Dm 750 “Subinterfaz Ethernet”.
El segundo caso permite especificar a través de qué puertos del switch se permite tráfico de las
distintas VLANs. La configuración del tratamiento de los paquetes de VLAN por parte de un interfaz
de switch Ethernet se describe en el capítulo 3 “Configuración de la funcionalidad de VLAN”.
El tercer caso permite especificar cómo se va a hacer bridge de los paquetes de VLAN. La
configuración del tratamiento de los paquetes de VLAN en el bridge se describe en el capítulo 4
“Configuración del bridge de VLANs”.
ROUTER TELDAT – Configuración VLAN
II - 2
Doc. DM751
Rev.10.81
2. Procesado de las tramas de VLAN
A la hora de realizar una configuración en la que intervienen VLANs es conveniente tener presente el
esquema de la Figura 2.1 , en el que se detalla el proceso que sigue un paquete a través de un switch o
bridge desde su recepción en un puerto hasta su salida por otro puerto.
Port State
Information
Port State
Information
Forwarding
Process
Egress
Rules
Ingress
Rules
Filtering
Database
Frame
Reception
Frame
Transmission
Figura 2.1. Procesado de paquetes de VLAN
En la descripción de este proceso se va a utilizar el término bridge. La descripción es igualmente
válida para un switch. El proceso es el siguiente:
1. El bridge recibe, por uno de sus puertos, un paquete, ya sea etiquetado (con información de
VLAN) o no.
2. El bridge clasifica el paquete como perteneciente a una determinada VLAN. En caso de que el
paquete no tenga información de VLAN asociada, el paquete se clasifica como perteneciente a
la VLAN por defecto para el puerto de entrada.
3. En función del estado del puerto de entrada (para bridges, si el puerto está bloqueado o no) y
de las reglas de ingreso (ingress rules) definidas para ese puerto, se decide si el paquete se
envía al proceso que decide por qué puertos debe transmitirse (proceso de reenvío, forwarding
process) o se descarta.
4. El proceso de reenvío, basándose en los distintos campos del paquete recibido (direcciones
MAC origen y destino, etiqueta VLAN), consulta la base de datos de filtrado para decidir qué
puertos son candidatos a reenviar el paquete recibido. Si, por ejemplo, el paquete está
destinado a una dirección MAC individual y en la base de datos de filtrado se encuentra
almacenado el puerto por el que se alcanza dicha dirección, el paquete sólo es candidato a ser
reenviado por dicho puerto.
5. Para cada puerto candidato a la transmisión, el bridge decide, en función de las reglas de
salida (egress rules), si el paquete es efectivamente transmitido o se descarta. En caso de que
el paquete sea enviado, se envía etiquetado o no en función de la configuración asociada al
puerto. En caso de que el paquete se deba enviar etiquetado, se envía con la etiqueta VLAN
correspondiente a la clasificación que se hizo del paquete a la entrada.
ROUTER TELDAT – Configuración VLAN
II - 3
Doc. DM751
Rev.10.81
Capítulo 3
Configuración de las funcionalidades de
VLAN
1. Acceso a la configuración de la funcionalidad
VLAN
Para acceder al menú de configuración de la funcionalidad de VLAN, se usa el comando FEATURE
VLAN desde el menú general de configuración.
Ejemplo:
Config>feature vlan
-- VLAN configuration -VLAN config>
Desde el menú de configuración de la funcionalidad de VLAN es posible configurar el
comportamiento, respecto a las tramas de VLAN, de una interfaz de switch Ethernet.
ROUTER TELDAT – Configuración funcionalidades VLAN
III - 2
Doc. DM751
Rev.10.81
2. Configuración de la funcionalidad de VLAN
De acuerdo al esquema de la Figura 2.1, es posible configurar el comportamiento de un puerto del
switch:
• En entrada, se puede configurar la VLAN por defecto asociada al puerto. De este modo, si se
recibe un paquete sin etiquetar (esto es, sin identificador de VLAN), se clasifica como
perteneciente a la VLAN por defecto. El comando para configurar la VLAN por defecto es
TAG-DEFAULT.
• Se puede configurar qué puertos son miembros de cada VLAN, mediante el comando VLAN.
El proceso de reenvío selecciona como puertos candidatos a reenviar un paquete a todos
aquellos puertos miembros de la VLAN en la que ha sido clasificado el paquete de entrada.
• En entrada, se puede configurar el comportamiento del puerto respecto a los paquetes
recibidos con un identificador de una VLAN de la que el puerto no es miembro. Si se habilita
el filtrado de ingreso, mediante el comando INGRESS-FILTER, se descartan todos los
paquetes recibidos que se clasifiquen en una VLAN de la que el puerto no es miembro. En
caso contrario, estos paquetes llegan al proceso de reenvío.
• En salida, se puede configurar la forma en que se envía el paquete por el puerto. Si se usa el
comando TAG-INSERTION, los paquetes sin etiquetar se envían con la etiqueta por defecto
asociada al puerto de entrada del paquete (VLAN en la que fue clasificado el paquete en
entrada). Si se usa el comando TAG-REMOVAL, los paquetes etiquetados se envían sin
etiquetar.
A la hora de configurar la facilidad de VLAN en un interfaz de switch Ethernet,
conviene ver dicho interfaz como un interfaz Ethernet conectado internamente a un
switch. Al puerto del switch conectado directamente con el interfaz Ethernet se le
denomina puerto interno, y se configura mediante la opción “internal” en los
comandos de configuración.
III - 3
Doc. DM751
Rev.10.81
3. Restricciones aplicables a la configuración de
VLAN
En algunos switches, en concreto en los Kendin, hay que tener en cuenta algunas restricciones a la
hora de configurar VLANs:
• la configuración de Spanning Tree en un puerto del switch es incompatible con la
configuración de VLANs en dicho puerto.
• en el puerto interno (puerto de conexión a la CPU), no se puede configurar tag-insertion o tagremoval en caso de que se haya configurado Spanning Tree en algún otro puerto del switch.
III - 4
Doc. DM751
Rev.10.81
4. Comandos de configuración de la funcionalidad
de VLAN
Los comandos disponibles en el menú de configuración de la funcionalidad de VLAN son los
siguientes:
Comando
Función
? (AYUDA)
ENABLE
Muestra los comandos u opciones disponibles.
Habilita el procesamiento de VLANs en todos los interfaces Ethernet con
switch.
Configura el filtrado de ingreso en un puerto.
Muestra la configuración de VLAN.
Configura parámetros con los valores por defecto.
Configura un identificador de VLAN por defecto para tramas sin etiquetar
recibidas por un puerto.
Habilita el etiquetado en la salida de tramas recibidas sin etiquetar.
Habilita la eliminación de la cabecera VLAN de tramas etiquetadas al ser
enviadas por un puerto o por la combinación puerto y VLAN.
Configura una VLAN en un puerto.
Sale de la configuración de la facilidad de VLAN.
INGRESS-FILTER
LIST
NO
TAG-DEFAULT
TAG-INSERTION
TAG-REMOVAL
VLAN
EXIT
En todos los comandos que necesitan como parámetro el identificador del puerto sobre
el que se establecen es posible especificar, aparte de los puertos externos, un puerto
especial, identificado como “internal”. Este puerto se refiere al puerto interno de
conexión entre el switch y el equipo.
4.1. ? (AYUDA)
Muestra la lista de los comandos disponibles.
Sintaxis:
VLAN config>?
Ejemplo:
VLAN config>?
enable
ingress-filter
list
no
tag-default
tag-insertion
tag-removal
vlan
exit
VLAN config>
Enables VLAN feature
Configures ingress filter on the interface/port
Display VLAN configuration
Negate a command or set its defaults
Set a default VLAN ID for untagged packets on the incoming
interface/port
Enables tag insertion on untagged packets on the outgoing
interface/port
Enables tag removal for tagged packets on the outgoing
interface/port or interface/port/VLAN vid
Groups interface/port into a VLAN
III - 5
Doc. DM751
Rev.10.81
4.2. ENABLE
Habilita el procesamiento de VLANs en todos los interfaces Ethernet con switch.
Sintaxis:
VLAN config>enable
Ejemplo:
VLAN config>enable
VLAN config>
4.3. INGRESS-FILTER
Activa el filtrado de ingreso en un puerto de un interfaz con switch Ethernet. De esta forma, todas las
tramas etiquetadas con un identificador de VLAN del que el puerto no es miembro que se reciban en el
puerto indicado son descartadas.
Sintaxis:
VLAN config>ingress-filter <interface> port [<port-id> | internal]
Ejemplo:
VLAN config>ingress-filter ethernet0/0 port 1
VLAN config>
4.4. LIST
Muestra la configuración de VLAN.
Sintaxis:
VLAN config>list
Ejemplo:
VLAN config>list
VLAN Feature : Enabled
VID
Interface
Port
-------------------------------101
ethernet0/0
1
101
ethernet0/0
2
101
ethernet0/0
3
101
ethernet0/0
internal
102
ethernet0/0
4
102
ethernet0/0
internal
Interface
Port
Ing_Fil Tag_Ins Tag_Rmv VID_def
--------------------------------------------------------------ethernet0/0
1
Y
N
N
101
ethernet0/0
2
Y
N
N
101
ethernet0/0
3
Y
N
N
101
ethernet0/0
4
Y
N
N
102
ethernet0/0
internal
N
Y
N
1
VLAN config>
Se muestra la siguiente información:
III - 6
Doc. DM751
Rev.10.81
•
•
•
Estado global de la funcionalidad de VLAN en los interfaces con switch. Si el campo VLAN
Feature indica Enabled, la funcionalidad de VLAN se encuentra activada en todos los
interfaces con switch.
Tabla de puertos miembros de cada VLAN configurada. Para cada identificador de VLAN
(VID) configurado, se indican los puertos que son miembros de esa VLAN. En el ejemplo
mostrado, los puertos 1, 2, 3 e interno del interfaz ethernet0/0 son miembros de la VLAN 101,
mientras que los puertos 4 e interno de ese mismo interfaz son miembros de la VLAN 102.
Tabla de comportamiento de cada puerto. Para cada puerto de un interfaz con switch se
muestra la siguiente información:
o Ing_Fil: estado del filtrado de ingreso. Indica si sólo se aceptan paquetes clasificados
como pertenecientes a las VLANs de las que el puerto es miembro o se permite la
entrada de cualquier paquete.
o Tag_Ins: inserción de etiqueta. Indica si se deben etiquetar los paquetes recibidos sin
etiquetar antes de su envío por el puerto.
o Tag_Rmv: eliminación de etiqueta. Indica si se debe eliminar la etiqueta de VLAN a
los paquetes etiquetados antes de su envío por el puerto.
o VID_def: Identificador de VLAN por defecto. Usado en la entrada para clasificar los
paquetes que llegan sin etiquetar. Esta clasificación se usa posteriormente en la salida
para etiquetar paquetes no etiquetados.
4.5. NO
Permite deshabilitar opciones de configuración o fijar valores por defecto.
Sintaxis:
VLAN config>no ?
enable
ingress-filter
tag-default
tag-insertion
tag-removal
vlan
VLAN config>
Enables VLAN feature
Configures ingress filter on the interface/port
Set a default VLAN ID for untagged packets on the incoming
interface/port
Enables tag insertion on untagged packets on the outgoing
interface/port
Enables tag removal for tagged packets on the outgoing
interface/port
Groups interface/port into a VLAN
a) NO ENABLE
Deshabilita el procesamiento de VLANs en todos los interfaces Ethernet con switch.
Independientemente del resto de comandos configurados, no se realiza ninguna programación de
VLAN en los switches.
Sintaxis:
VLAN config>no enable
b) NO INGRESS-FILTER
Desactiva el filtrado de ingreso en un puerto de un interfaz con switch Ethernet.
Sintaxis:
VLAN config>no ingress-filter <interface> port [<port-id> | internal]
III - 7
Doc. DM751
Rev.10.81
c) NO TAG-DEFAULT
Configura el identificador de VLAN por defecto para tramas sin etiquetar a 1.
Sintaxis:
VLAN config>no tag-default <interface> port [<port-id> | internal]
d) NO TAG-INSERTION
Deshabilita el etiquetado en la salida por un puerto de tramas recibidas sin etiquetar.
Sintaxis:
VLAN config>no tag-insertion <interface> port [<port-id> | internal]
e) NO TAG-REMOVAL
Deshabilita la eliminación de la cabecera VLAN en la salida por un puerto de tramas etiquetadas o
para una determinada VLAN.
Sintaxis:
VLAN config>no tag-removal <interface> port [<port-id> | internal]
Sintaxis:
VLAN config>no tag-removal <interface> port [<port-id> | internal] vlan <vid>
f) NO VLAN
Borra un puerto de la lista de miembros de una VLAN.
Sintaxis:
VLAN config>no vlan <vid> <interface> port [<port-id> | internal]
4.6. TAG-DEFAULT
Configura un identificador de VLAN VID por defecto para las tramas no etiquetadas recibidas por un
puerto. La etiqueta por defecto se usa en la entrada para clasificar los paquetes que llegan sin etiquetar.
Esta clasificación se usa posteriormente en la salida para etiquetar paquetes no etiquetados. Así, si se
recibe una trama sin etiquetar por un puerto, se le asocia la etiqueta por defecto, de modo que la trama
es tratada, a la hora de decidir los puertos por los que se envía, como perteneciente a la VLAN
indicada por la etiqueta por defecto.
Sintaxis:
VLAN config>tag-default <interface> port [<port-id> | internal] <vid>
Ejemplo:
Todas las tramas recibidas sin etiquetar por el puerto 1 del interfaz ethernet0/0 se asocian a la VLAN
101.
VLAN config>tag-default ethernet0/0 port 1 101
VLAN config>
4.7. TAG-INSERTION
Habilita el etiquetado en la salida por un puerto de tramas recibidas sin etiquetar.
III - 8
Doc. DM751
Rev.10.81
Sintaxis:
VLAN config>tag-insertion <interface> port [<port-id> | internal]
Ejemplo:
Todas las tramas salientes por el puerto 3 del interfaz ethernet0/0 salen etiquetadas.
VLAN config>tag-insertion ethernet0/0 port 3
VLAN config>
4.8. TAG-REMOVAL
Habilita la eliminación de la cabecera VLAN en la salida por un puerto de tramas etiquetadas.
Se puede seleccionar eliminar la cabecera de todas las tramas con tag VLAN o eliminar la cabecera de
la VLAN que se indique.
De este modo, las tramas se envían sin etiquetar por el puerto, independientemente de si se recibieron
etiquetadas o no.
a) TAG-REMOVAL PORT
Elimina la cabecera de VLAN para aquellas tramas VLAN que salgan por ese puerto.
Sintaxis:
VLAN config> tag-removal <interface> port [<port-id> | internal]
Ejemplo:
Las tramas que salgan por el puerto 4 del interfaz ethernet0/0 se envían sin etiquetar,
independientemente de que se hayan recibido etiquetadas o no.
VLAN config>tag-removal ethernet0/0 port 4
VLAN config>
b) TAG-REMOVAL VLAN
Elimina la cabecera de VLAN para aquellas tramas VLAN que salgan por ese puerto con el
identificador de VLAN indicado. Con este comando se permite que pueda existir tráfico marcado y sin
marcar en salida de un determinado puerto de un interfaz.
Sintaxis:
VLAN config> tag-removal <interface> port [<port-id> | internal] vlan <vid>
Ejemplo:
Las tramas que salgan por el puerto 4 del interfaz ethernet0/0 y pertenecientes a la VLAN 100 se
envían sin etiquetar.
VLAN config>tag-removal ethernet0/0 port 4 vid 100
VLAN config>
4.9. VLAN
Configura una determinada VLAN en un puerto de un interfaz con switch. Dicho de otro modo, se
configura un puerto como miembro de una determinada VLAN.
El equipo permite la configuración de hasta 16 VLANs diferentes en un puerto.
III - 9
Doc. DM751
Rev.10.81
Sintaxis:
VLAN config>vlan <vid> <interface> port [<port-id> | internal]>
Ejemplo:
Configuración del puerto 1 del interfaz ethernet0/0 como perteneciente a la VLAN 101.
VLAN config>vlan 101 ethernet0/0 port 1
VLAN config>
4.10. EXIT
Sale de la configuración de la facilidad de VLAN.
Sintaxis:
VLAN config>exit
Ejemplo:
VLAN config>exit
Config>
III - 10
Doc. DM751
Rev.10.81
Capítulo 4
Configuración del bridge de VLAN
1. Acceso a la configuración de VLANs en el bridge
Para acceder al menú de configuración de VLANs en el bridge, se usa el comando VLAN desde el
menú de configuración de una entidad de bridge. Para más información sobre la configuración del
bridge en los equipos Teldat, consúltese el manual Dm 717 “Bridge”.
Ejemplo:
Config>protocol asrt
-- ASRT Bridge user configuration -ASRT config>vlan
802.1Q Bridge Configuration
ASRT VLAN Config>
Desde el menú de configuración de VLANs es posible configurar el comportamiento, respecto a las
tramas de VLAN, del bridge.
ROUTER TELDAT – Configuración bridge VLAN
IV - 2
Doc. DM751
Rev.10.81
2. Configuración del bridge de VLANs
De acuerdo al esquema de la figura 2.1, es posible configurar el comportamiento de un puerto del
bridge:
• En entrada, se puede configurar la VLAN por defecto asociada al puerto. De este modo, si se
recibe un paquete sin etiquetar (esto es, sin identificador de VLAN), se clasifica como
perteneciente a la VLAN por defecto. El comando para configurar la VLAN por defecto es
TAG-DEFAULT.
• Se puede configurar qué puertos son miembros de cada VLAN, mediante el comando
MEMBER. El proceso de reenvío selecciona como puertos candidatos a reenviar el paquete a
todos aquellos puertos miembros de la VLAN en la que ha sido clasificado el paquete de
entrada. Este comportamiento puede modificarse mediante el comando NO EGRESSFILTER. Si se utiliza este comando en un puerto, el puerto es candidato a reenviar el paquete
independientemente de las VLANs de las que sea miembro.
• En entrada, se puede configurar el comportamiento del puerto respecto a los paquetes
recibidos con un identificador de una VLAN de la que el puerto no es miembro. Si se habilita
el filtrado de ingreso, mediante el comando INGRESS-FILTER, se descartan todos los
paquetes recibidos que se clasifiquen en una VLAN de la que el puerto no es miembro. En
caso contrario, estos paquetes llegan al proceso de reenvío.
• En entrada es posible, mediante el comando ACCEPT-ONLY-TAGGED-FRAMES, indicar
que sólo se acepten tramas etiquetadas. De esta forma, cualquier trama sin cabecera VLAN
que se reciba por el puerto se descarta.
• En salida, se puede configurar la forma en que se envía el paquete por el puerto. Si se usa el
comando TAG-REMOVAL, los paquetes etiquetados se envían sin etiquetar.
A diferencia de la configuración de la funcionalidad de VLAN para switches, en el
bridge el comando TAG-REMOVAL se usa por identificador de VLAN, permitiendo
decidir qué VLANs deben enviarse etiquetadas y cuáles no en cada puerto.
•
Para los paquetes generados internamente se puede especificar, mediante el comando
INTERNAL-TAG, el identificador de VLAN asociado. Este identificador se usa en el
proceso de reenvío para decidir los puertos por los que se envían dichos paquetes.
IV - 3
Doc. DM751
Rev.10.81
3. Comandos de configuración del bridge de VLANs
Los comandos disponibles en el menú de configuración de VLANs en el bridge son los siguientes:
Comando
Función
? (AYUDA)
ACCEPT-ONLY-TAGGED-FRAMES
EGRESS-FILTER
ENABLE
INGRESS-FILTER
INTERNAL-TAG
Muestra los comandos u opciones disponibles.
Permite sólo tramas etiquetadas en un puerto.
Configura el filtrado de salida en un puerto.
Habilita el procesamiento de VLANs en el bridge.
Configura el filtrado de ingreso en un puerto.
Configura la etiqueta por defecto para paquetes
generados internamente.
Configura una VLAN en un puerto.
Configura parámetros con los valores por defecto.
Configura un identificador de VLAN por defecto para
tramas sin etiquetar recibidas por un puerto.
Habilita la eliminación de la cabecera VLAN en tramas
etiquetadas que van a salir por un puerto.
Sale de la configuración de VLAN en el bridge.
MEMBER
NO
TAG-DEFAULT
TAG-REMOVAL
EXIT
3.1. ? (AYUDA)
Muestra la lista de los comandos disponibles.
Sintaxis:
ASRT VLAN Config>?
Ejemplo:
ASRT VLAN Config>?
accept-only-tagged-frames
egress-filter
enable
ingress-filter
internal-tag
member
no
tag-default
tag-removal
Enable the accept-only-tagged-frames feature
Enable the egress rule checking on a given port
Enable the 802.1Q features of the bridge
Enable the ingress rule checking on a given port
Set the VLAN identifier for locally generated
packets
Adds a port to the member set of a given VLAN
Negate a command or set its defaults
Set the default VLAN identifier for untagged
frames on a port
Enables tag removal on tagged packets on the
outgoing port
exit
ASRT VLAN Config>
3.2. ACCEPT-ONLY-TAGGED-FRAMES
Configura un puerto de modo que sólo se permitan tramas etiquetadas. Cualquier trama sin cabecera
VLAN recibida en el puerto se descarta.
IV - 4
Doc. DM751
Rev.10.81
Sintaxis:
ASRT VLAN Config>accept-only-tagged-frames port <port-id>
Ejemplo:
ASRT VLAN Config>accept-only-tagged-frames port 1
ASRT VLAN Config>
3.3. EGRESS-FILTER
Configura el filtrado de salida en un puerto. De esta forma, sólo se permite la salida por un puerto de
las tramas clasificadas como pertenecientes a alguna VLAN de la que el puerto es miembro. Este es el
comportamiento por defecto.
Sintaxis:
ASRT VLAN Config>egress-filter port <port-id>
Ejemplo:
ASRT VLAN Config>egress-filter port 2
ASRT VLAN Config>
3.4. ENABLE
Habilita el procesamiento de VLANs en el bridge.
Sintaxis:
ASRT VLAN Config>enable
3.5. INGRESS-FILTER
Activa el filtrado de ingreso en un puerto del bridge. De esta forma, todas las tramas que se reciban en
el puerto indicado etiquetadas con un identificador de VLAN del que el puerto no es miembro, son
descartadas.
Sintaxis:
ASRT VLAN Config>ingress-filter port <port-id>
Ejemplo:
ASRT VLAN Config>ingress-filter port 1
ASRT VLAN Config>
3.6. INTERNAL-TAG
Configura la etiqueta por defecto para paquetes generados internamente. Los paquetes generados
internamente en el equipo pertenecen a la VLAN indicada por este comando. Una vez generado el
paquete, el bridge lo trata como si lo hubiese recibido por un puerto especial, el puerto interno, para
decidir los puertos por los que debe enviarse el paquete.
Sintaxis:
ASRT VLAN Config>internal-tag vid <vid>
IV - 5
Doc. DM751
Rev.10.81
Ejemplo:
ASRT VLAN Config>internal-tag vid 102
ASRT VLAN Config>
3.7. MEMBER
Configura una determinada VLAN en un puerto del bridge. Dicho de otro modo, se configura un
puerto como miembro de una determinada VLAN.
Sintaxis:
ASRT VLAN Config>member port <port-id> vid <vid>
Ejemplo:
Configuración del puerto 1 como perteneciente a la VLAN 101.
ASRT VLAN Config>member port 1 vid 101
ASRT VLAN Config>
3.8. NO
Permite deshabilitar opciones de configuración o fijar valores por defecto.
Sintaxis:
ASRT VLAN Config>no ?
accept-only-tagged-frames
egress-filter
enable
ingress-filter
internal-tag
member
tag-default
tag-removal
Enable the accept-only-tagged-frames feature
Enable the egress rule checking on a given port
Enable the 802.1Q features of the bridge
Enable the ingress rule checking on a given port
Set the VLAN identifier for locally generated
packets
Adds a port to the member set of a given VLAN
Set the default VLAN identifier for untagged
frames on a port
Enables tag removal on tagged packets on the
outgoing port
ASRT VLAN Config>
a) NO ACCEPT-ONLY-TAGGED-FRAMES
Configura un puerto de modo que se permitan tanto tramas etiquetadas como tramas no etiquetadas.
Cualquier trama sin cabecera VLAN recibida en el puerto se clasifica como perteneciente a la VLAN
por defecto asociada al puerto.
Sintaxis:
ASRT VLAN Config>no accept-only-tagged-frames port <port-id>
Ejemplo:
ASRT VLAN Config>no accept-only-tagged-frames port 1
ASRT VLAN Config>
b) NO EGRESS-FILTER
Desactiva el filtrado de salida en un puerto. De esta forma, se permite la salida por un puerto de tramas
clasificadas como pertenecientes a una VLAN de la que el puerto no es miembro.
Sintaxis:
ASRT VLAN Config>no egress-filter port <port-id>
IV - 6
Doc. DM751
Rev.10.81
Ejemplo:
ASRT VLAN Config>no egress-filter port 2
ASRT VLAN Config>
c) NO ENABLE
Deshabilita el procesamiento de VLANs en el bridge.
Sintaxis:
ASRT VLAN Config>no enable
d) NO INGRESS-FILTER
Desactiva el filtrado de ingreso en un puerto del bridge. De esta forma, las tramas que se reciban en el
puerto indicado etiquetadas con un identificador de VLAN del que el puerto no es miembro, son
pasadas al proceso de reenvío.
Sintaxis:
ASRT VLAN Config>no ingress-filter port <port-id>
Ejemplo:
ASRT VLAN Config>no ingress-filter port 1
ASRT VLAN Config>
e) NO INTERNAL-TAG
Elimina la configuración de la etiqueta por defecto para paquetes generados internamente. La etiqueta
por defecto cuando se usa este comando es 1.
Sintaxis:
ASRT VLAN Config>no internal-tag
f) NO MEMBER
Borra un puerto de la lista de miembros de una VLAN.
Sintaxis:
ASRT VLAN Config>no member port <port-id> vid <vid>
Ejemplo:
ASRT VLAN Config>no member port 1 vid 101
ASRT VLAN Config>
g) NO TAG-DEFAULT
Configura el identificador de VLAN por defecto para tramas sin etiquetar a 1.
Sintaxis:
ASRT VLAN Config>no tag-default port <port-id>
Ejemplo:
ASRT VLAN Config>no tag-default port 1
ASRT VLAN Config>
h) NO TAG-REMOVAL
Deshabilita la eliminación de la cabecera VLAN en tramas etiquetadas que van a salir por un puerto.
La eliminación de la cabecera VLAN se define por identificador de VLAN. De esta forma, es posible
configurar por puerto el conjunto de VLANs que se desea que salgan etiquetadas y el conjunto de
VLANs que se desea que salgan sin etiquetar. Por defecto, todos los paquetes salen etiquetados por un
IV - 7
Doc. DM751
Rev.10.81
puerto, salvo los clasificados como pertenecientes a la VLAN 1. Dado que la VLAN 1 es la usada
como VLAN por defecto en todos los puertos si no se configura nada, esto permite que el
comportamiento por defecto de un bridge sea enviar etiquetados los paquetes que recibe con cabecera
VLAN y sin etiquetar los paquetes que recibe sin cabecera VLAN.
Sintaxis:
ASRT VLAN Config>no tag-removal port <port-id> vid <vid>
Ejemplo:
Los paquetes clasificados como pertenecientes a la VLAN 123 deben enviarse etiquetados por el
puerto 1.
SRT VLAN Config>no tag-removal port 1 vid 123
ASRT VLAN Config>
3.9. TAG-DEFAULT
Configura un identificador de VLAN VID por defecto para las tramas no etiquetadas recibidas por un
puerto. La etiqueta por defecto se usa en la entrada para clasificar los paquetes que llegan sin etiquetar.
Esta clasificación se usa posteriormente en la salida para etiquetar paquetes no etiquetados. Así, si se
recibe una trama sin etiquetar por un puerto, se le asocia la etiqueta por defecto, de modo que la trama
es tratada, a la hora de decidir los puertos por los que se envía, como perteneciente a la VLAN
indicada por la etiqueta por defecto.
Sintaxis:
ASRT VLAN Config>tag-default port <port-id> vid <vid>
Ejemplo:
Todas las tramas recibidas sin etiquetar por el puerto 1 se asocian a la VLAN 101.
ASRT VLAN Config>tag-default port 1 vid 101
ASRT VLAN Config>
3.10. TAG-REMOVAL
Habilita la eliminación de la cabecera VLAN en la salida por un puerto de tramas etiquetadas. De este
modo, las tramas se envían sin etiquetar por el puerto, independientemente de si se recibieron
etiquetadas o no.
La eliminación de la cabecera VLAN se define por identificador de VLAN. De esta forma, es posible
configurar por puerto el conjunto de VLANs que se desea que salgan etiquetadas y el conjunto de
VLANs que se desea que salgan sin etiquetar. Por defecto, todos los paquetes salen etiquetados por un
puerto, salvo los clasificados como pertenecientes a la VLAN 1. Dado que la VLAN 1 es la usada
como VLAN por defecto en todos los puertos si no se configura nada, esto permite que el
comportamiento por defecto de un bridge sea enviar etiquetados los paquetes que recibe con cabecera
VLAN y sin etiquetar los paquetes que recibe sin cabecera VLAN.
Sintaxis:
ASRT VLAN Config>tag-removal port <port-id> vid <vid>
Ejemplo:
Los paquetes clasificados como pertenecientes a la VLAN 140 deben enviarse sin etiquetar por el
puerto 1.
IV - 8
Doc. DM751
Rev.10.81
SRT VLAN Config>tag-removal port 1 vid 140
ASRT VLAN Config>
3.11. EXIT
Sale de la configuración de VLAN en el bridge.
Sintaxis:
ASRT VLAN Config>exit
Ejemplo:
ASRT VLAN Config>exit
Config>
IV - 9
Doc. DM751
Rev.10.81
Capítulo 5
Monitorización de VLANs
1. Comandos de monitorización de la funcionalidad
de VLAN
La funcionalidad de VLAN no tiene comandos de monitorización propios.
Se puede obtener información de las tablas de VLAN almacenadas en el switch accediendo a la
monitorización de su interfaz. Para más información sobre la monitorización de interfaces con switch
consúltese el manual Dm 709 “Interfaces LAN”.
Ejemplo:
*monitor
Console Operator
+network ethernet1/0
--
Ethernet Console
--
ethernet1/0 ETH+?
bitrate
llc
repeater
status
exit
ethernet1/0 ETH+repeater
-- Repeater Monitoring Console -ethernet1/0 Repeater+list ?
dynamic-mac-table
remote-status
sniffer
static-mac-table
stats
status
vlan-table
ethernet1/0 Repeater+list vlan-table
Entry Membership FilterID VlanID
----------------------------------1
0x1F
0
1
2
0x1F
0
1
3
0x1F
0
1
4
0x1F
0
1
5
0x1F
0
1
6
0x1F
0
1
7
0x1F
0
1
8
0x1F
0
1
9
0x1F
0
1
10
0x1F
0
1
11
0x1F
0
1
12
0x1F
0
1
13
0x1F
0
1
14
0x1F
0
1
15
0x1F
0
1
16
0x1F
0
1
ethernet1/0 Repeater+
ROUTER TELDAT - Monitorización VLAN
V - 11
Doc. DM751
Rev.10.81
2. Comandos de monitorización del bridge de
VLANs
El bridge no tiene comandos específicos para monitorizar las VLANs. En los comandos para mostrar
las direcciones aprendidas por el bridge se indica la VLAN asociada a cada dirección. Puede obtenerse
más información consultando el manual Dm 717 “Bridge”.
ROUTER TELDAT - Monitorización VLAN
V - 12
Doc. DM751
Rev.10.81
Capítulo 6
Ejemplos
1. Escenario 1
Una empresa en expansión ha realizado una reestructuración de sus departamentos y desea optimizar
los recursos en su red interna, formada por cuatro departamentos. A cada departamento se le asigna
una subred IP: al departamento A le corresponde la red 192.168.1.x, al B la 192.168.2.x, al C la
192.168.3.x y al D la 192.168.4.x.
Se desea independizar el tráfico de los cuatro departamentos, para lo cual se asigna una VLAN, de la
101 a la 104 a cada departamento.
La red está hecha de tal forma que hay cuatro segmentos de LAN, cada uno con las estaciones de un
departamento. Hay una excepción a esto: en el segmento del departamento C hay una estación
perteneciente al departamento A.
Además, se desea que haya conectividad IP entre las subredes asociadas a los departamentos A, B y D.
Estas tres subredes, además, tendrán acceso al exterior de la empresa, a través de un gateway situado
en la subred D y con dirección 192.168.4.2.
Los equipos del departamento C, por el contrario, no dispondrán de conexión con el exterior, ni
tampoco acceso a los departamentos A, B y D.
ROUTER TELDAT - Ejemplos
VI - 14
Doc. DM751
Rev.10.81
2. Configuración del escenario 1
Se va a configurar una VLAN para cada departamento, lo que permitirá aislar el tráfico entre
departamentos sin renunciar a la conectividad entre los mismos.
Para permitir el routing entre las diferentes subredes de la empresa se usarán subinterfaces Ethernet
(véase el manual Dm 760 Subinterfaz Ethernet).
Se crean subinterfaces Ethernet para todas las subredes de las que se quiere que haya conectividad IP.
En este caso, basta con crear tres subinterfaces Ethernet, asociados a los departamentos A, B y D.
Config>add device eth-subinterface ethernet1/0 1
Se asignan las direcciones IP a los interfaces definidos y la ruta por defecto, que en este caso es un
gateway situado en la subred del departamento D.
Config>protocol ip
-- Internet protocol user configuration -IP config>show config
; Showing Menu and Submenus Configuration for access-level 15 ...
; C9i+ IPSec SNA VoIP Router 14 24 Version 10.6.29-Alfa
;
address ethernet1/0.1 192.168.1.1 255.255.255.0
;
;
route 0.0.0.0 0.0.0.0 192.168.4.2
;
IP config>
Falta asociar las direcciones IP con los identificadores de VLAN usados en cada departamento. Se
asigna además una MAC diferente a cada subinterfaz.
network ethernet1/0.1
; -- Config of the Ethernet Subinterface -description "Department A"
encapsulation dot1q 101
;
;
mac-address 02-00-00-aa-aa-aa
;
exit
;
; -- Config of the Ethernet Subinterface -description "Department B"
;
;
mac-address 02-00-00-bb-bb-bb
;
exit
;
; -- Config of the Ethernet Subinterface -description "Department D"
;
VI - 15
Doc. DM751
Rev.10.81
;
mac-address 02-00-00-dd-dd-dd
exit
Se hacen públicas las direcciones fisicas asignadas a los subinterfaces.
Config>protocol arp
-- ARP user configuration -ARP config>show config
; C9i+ IPSec SNA VoIP Router 14 24 Version 10.6.29-Alfa
entry ethernet1/0.1 192.168.1.1 02-00-00-aa-aa-aa public
entry ethernet1/0.2 192.168.2.1 02-00-00-bb-bb-bb public
entry ethernet1/0.4 192.168.4.1 02-00-00-dd-dd-dd public
ARP config>
Por último hay que configurar el comportamiento del switch respecto a las diferentes VLANs. Para
este ejemplo, vamos a suponer que todos los equipos son capaces de generar y recibir tramas de
VLAN salvo los situados en el segmento del departamento B. En este segmento, hay algún ordenador
antiguo que no puede entender el tráfico con cabecera de VLAN.
A la hora de configurar el comportamiento del switch, hay que tener muy clara la estructura de
VLANs.
En primer lugar, definamos qué puertos deben ser miembros de qué VLANs. En principio, cada puerto
del switch está asociado a una VLAN, por lo que basta con definir cada puerto como perteneciente a la
VLAN del departamento. Sin embargo, el departamento A se expande a lo largo de dos segmentos de
red, conectados a los puertos 1 y 3.
Por tanto:
• el puerto 1 debe ser miembro de la VLAN 101, asociada al departamento A.
• el puerto 2 debe ser miembro de la VLAN 102, asociada al departamento B.
• el puerto 3 debe ser miembro de las VLANs 101 y 103, asociadas a los departamentos A y C.
• el puerto 4 debe ser miembro de la VLAN 104, asociada al departamento D.
Config>feature vlan
-- VLAN configuration -VLAN config>vlan 101 ethernet1/0
VLAN config>vlan 102 ethernet1/0
port
port
port
port
port
1
2
3
4
3
Con esta configuración, nos aseguramos de que el tráfico de nivel 2 asociado a cada VLAN sólo va a
pasar de segmento en el caso de la VLAN 101, para la que deben comunicarse dos segmentos físicos
diferentes.
Ahora hay que pasar a la parte de rutado. Como ya se ha comentado, se desea que los departamentos
A, B y D se comuniquen a nivel IP. Para ello, el tráfico de estos tres departamentos debe llegar al
router para su encaminamiento. Esto se consigue haciendo que el puerto interno, puerto de conexión
entre el interfaz Ethernet del router y el switch, pertenezca a las VLANs de los departamentos A, B y
D.
VI - 16
Doc. DM751
Rev.10.81
VLAN config>vlan 101 ethernet1/0 port internal
De esta forma, el tráfico de los departamentos A y D llega etiquetado al puerto correspondiente y se
reenvía por los puertos miembros de la VLAN, que incluyen el puerto interno. ¿Qué pasa con el tráfico
del departamento B? Como se ha indicado, para ese departamento el tráfico circula sin etiquetar por el
segmento de LAN. Para que el router lo clasifique en la VLAN adecuada, el switch debe agregar o
quitar las etiquetas de VLAN según corresponda.
• cuando el tráfico entra por el puerto 2, se debe clasificar como perteneciente a la VLAN 102:
•
cuando el tráfico sale por el puerto 2, debe quitarse la etiqueta de VLAN para que las
estaciones entiendan el tráfico.
VLAN config>tag-removal ethernet1/0 port 2
•
además, el tráfico que entra sin etiquetar por el puerto 2, debe llegar etiquetado al interfaz
Ethernet del router para que funcione correctamente el nivel IP. Por tanto, en la salida del
puerto interno deben etiquetarse los paquetes sin etiqueta:
VLAN config>tag-insertion ethernet1/0 port internal
Por último, se habilita la funcionalidad de VLAN globalmente. Además, se habilita el filtrado de
ingreso para no permitir tráfico extraño de VLANs no configuradas.
VLAN
VLAN
VLAN
VLAN
VLAN
config>enable
config>ingress-filter
ethernet1/0
ethernet1/0
ethernet1/0
ethernet1/0
port
port
port
port
1
2
3
4
La configuración de VLAN queda como sigue:
VLAN config>show config
; ATLAS150 Router 7 96 Version 10.7.4-Alfa
enable
;
vlan
vlan
vlan
vlan
vlan
vlan
vlan
vlan
101
101
101
102
102
103
104
104
ethernet1/0
ethernet1/0
ethernet1/0
ethernet1/0
ethernet1/0
ethernet1/0
ethernet1/0
ethernet1/0
port
port
port
port
port
port
port
port
1
3
internal
2
internal
3
4
internal
;
ingress-filter
ingress-filter
ingress-filter
ingress-filter
ethernet1/0
ethernet1/0
ethernet1/0
ethernet1/0
port
port
port
port
1
2
3
4
;
tag-default ethernet1/0 port 2 102
;
tag-insertion ethernet1/0 port internal
;
tag-removal ethernet1/0 port 2
VI - 17
Doc. DM751
Rev.10.81
;
VLAN config>list
VID
Interface
Port
-------------------------------101
ethernet1/0
1
101
ethernet1/0
3
101
ethernet1/0
internal
102
ethernet1/0
2
102
ethernet1/0
internal
103
ethernet1/0
3
104
ethernet1/0
4
104
ethernet1/0
internal
Interface
Port
Ing_Fil Tag_Ins Tag_Rmv Tag_Def VID_def
----------------------------------------------------------------------ethernet1/0
1
Y
N
N
N
1
ethernet1/0
2
Y
N
Y
Y
102
ethernet1/0
3
Y
N
N
N
1
ethernet1/0
4
Y
N
N
N
1
ethernet1/0
internal
N
Y
N
N
1
VLAN config>
Y la configuración completa:
Config>show config
; ATLAS150 Router 7 96 Version 10.7.4-Alfa
log-command-errors
no configuration
add device eth-subinterface ethernet1/0 1
;
;
;
;
;
;
; -- Config of the Ethernet Subinterface -description "Department A"
;
ip address 192.168.1.1 255.255.255.0
;
;
;
;
;
;
mac-address 02-00-00-aa-aa-aa
;
exit
;
; -- Config of the Ethernet Subinterface -description "Department B"
;
ip address 192.168.2.1 255.255.255.0
;
;
;
;
VI - 18
Doc. DM751
Rev.10.81
;
;
mac-address 02-00-00-bb-bb-bb
;
exit
;
; -- Config of the Ethernet Subinterface -description "Department D"
;
ip address 192.168.4.1 255.255.255.0
;
;
;
;
;
;
mac-address 02-00-00-dd-dd-dd
;
exit
;
;
protocol ip
; -- Internet protocol user configuration -route 0.0.0.0 0.0.0.0 192.168.4.2
;
;
exit
;
protocol arp
; -- ARP user configuration -entry ethernet1/0.1 192.168.1.1 02-00-00-aa-aa-aa public
entry ethernet1/0.2 192.168.2.1 02-00-00-bb-bb-bb public
entry ethernet1/0.4 192.168.4.1 02-00-00-dd-dd-dd public
exit
;
;
;
feature vlan
; -- VLAN configuration -enable
;
vlan 101 ethernet1/0 port 1
vlan 101 ethernet1/0 port internal
;
ingress-filter ethernet1/0 port 1
;
tag-default ethernet1/0 port 2 102
;
;
tag-removal ethernet1/0 port 2
;
exit
;
dump-command-errors
end
VI - 19
Doc. DM751
Rev.10.81
3. Escenario 2
Se trata de facilitar la comprensión de los comandos de configuración de VLAN a través de un
ejemplo, una oficina con tres ordenadores conectados formando la LAN de la oficina, que se conectan
a un puerto WAN de acceso. El puerto interno es el empleado por el router para funciones de rutado y
seguridad.
El esquema sería el siguiente:
Router
1
2
4
3
internal
Para resolver la separación entre la LAN interna y la WAN externa, se van a configurar 2 VLANs
diferentes, la primera incluye todos los puertos LAN y el interno del router (VLAN ID 101) y la
segunda incluye el puerto interno y el puerto WAN, en el ejemplo el puerto 4 (VLAN ID 102).
El puerto interno va a funcionar como “gatekeeper”, es decir, todo tráfico con origen LAN y destino
WAN y viceversa debe de atravesar el interfaz interno, sin interferir el tráfico entre los equipos
pertenecientes a la misma LAN.
Asímismo, con esta configuración todos los paquetes broadcast y multicast desde el puerto interno del
router son enviados a la VLAN de la LAN y de la WAN. Para el resto, los paquetes broadcast y
multicast solo son enviados a aquellos puertos que pertenecer a su misma VLAN. Esto permite que los
paquetes LAN - ARP no salgan por la WAN.
VI - 20
Doc. DM751
Rev.10.81
4. Configuración del escenario 2
1.- Acceder a la configuracion de la funcionalidad VLAN.
Config>feature vlan
-- VLAN configuration –
VLAN config>
2.- Habilitar de forma global las funcionalidades VLAN.
VLAN config>enable
VLAN config>
3.- Configurar los puertos 1, 2, 3 y el interno como pertenecientes a la VLAN 101.
VLAN
VLAN
VLAN
VLAN
VLAN
config>vlan
config>vlan
config>vlan
config>vlan
config>
101
101
101
101
ethernet0/0
ethernet0/0
ethernet0/0
ethernet0/0
port
port
port
port
1
2
3
internal
4.- Configurar el puerto 4 y el interno como pertenecientes a la VLAN 102.
VLAN config>vlan 102 ethernet0/0 port 4
VLAN config>
5.- Configurar los puertos 1, 2 y 3 con VLAN por defecto (101). Permitirá añadir el tag de la VLAN a
los paquetes recibidos y que no son VLAN (untagged).
VLAN
VLAN
VLAN
VLAN
config>tag-default ethernet0/0 port 1 101
config>
6.- Configurar ingress filtering en los puertos 1, 2 y 3, lo que permitirá descartar todos los paquetes
que no pertenezcan a la VLAN configurada en estos puertos.
VLAN
VLAN
VLAN
VLAN
config>ingress-filter ethernet0/0 port 1
config>
7.- Configurar como VLAN por defecto en el puerto 4 el VID 102.
VLAN config>
8.- Configurar ingress filtering en el puerto 4.
VLAN config>ingress-filter ethernet0/0 port 4
VLAN config>
9.- Configurar tag-insertion en el puerto interno del router, lo que permitirá insertar el VLAN-ID de
defecto del puerto entrante a todos los paquetes con destino al interfaz interno.
VI - 21
Doc. DM751
Rev.10.81
VLAN config>tag-insertion ethernet0/0 port internal
VLAN config>
10.- El router debe de marcar todos los paquetes que envíe por el puerto interno.
11.- Mediante el comando list, podemos ver la configuracion final
VLAN config>list
VID
Interface
Port
-------------------------------101
ethernet0/0
1
101
ethernet0/0
2
101
ethernet0/0
3
101
ethernet0/0
internal
102
ethernet0/0
4
102
ethernet0/0
internal
Interface
Port
Ing_Fil Tag_Ins Tag_Rmv Tag_Def VID_def
----------------------------------------------------------------------ethernet0/0
1
Y
N
N
Y
101
ethernet0/0
2
Y
N
N
Y
101
ethernet0/0
3
Y
N
N
Y
101
ethernet0/0
4
Y
N
N
Y
102
ethernet0/0
internal
N
Y
N
N
1
VLAN config>
12.- Asi mismo, mediante el comando show config podemos ver los comandos necesarios:
VLAN config>show config
; Showing Menu and Submenus Configuration ...
; Router Cxx YY ZZ Version 10.X.XXTM
enable
;
vlan
vlan
vlan
vlan
vlan
vlan
101
101
101
101
102
102
ethernet0/0
ethernet0/0
ethernet0/0
ethernet0/0
ethernet0/0
ethernet0/0
port
port
port
port
port
port
1
2
3
internal
4
internal
;
ingress-filter
ingress-filter
ingress-filter
ingress-filter
ethernet0/0
ethernet0/0
ethernet0/0
ethernet0/0
port
port
port
port
1
2
3
4
;
tag-default
tag-default
tag-default
tag-default
ethernet0/0
ethernet0/0
ethernet0/0
ethernet0/0
port
port
port
port
1
2
3
4
101
101
101
102
;
;
VLAN config>
VI - 22
Doc. DM751
Rev.10.81

Router Teldat VLAN

Transcripción

Documentos relacionados

The Medium Access Sublayer