Inter VLAN Routing con DHCP por VLAN

Aprenderemos con este Post como enrutar VLAN’s configuradas en un switch CISCO. Cuando segmentamos una red mediante VLAN’s obtenemos entre otras cosas:

Mejorar el rendimiento de la red al segmentarla en diferentes dominios de BroadCast
Mejorar la seguridad, ya que pasan a ser redes separadas, y por lo tanto “no se ven”.

Evidentemente nos encontramos a menudo la necesidad de enrutar las redes segmentadas en diferentes VLAN’S. Para ello, una de las formas más eficientes es utilizar un enrutador CISCO ( podría ser también una máquina Linux ) , configurando adecuadamente uno de sus interfaces de red para actuar como Trunk, y por lo tanto tener la capacidad de “enteder” las VLAN’s que le llegan.

Trabajemos con el siguiente esquema:

esquema_vlan_trunking

Podemos ver la configuración inicial del Switch, donde por defecto todos los interfaces FastEthernet pertenecen a la VLAN no tagged 1

Switch>enable
Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------

1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active

Pasamos a configurar en primer termino las VLAN’S

Switch>enable
Switch#config t
Switch(config)#vlan 10
Switch(config-vlan)#name administracion
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name marketing

Podemos ver como han quedado de nuevo con el comando adecuado:

Switch>enable
Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------

1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
10   administracion                   active
20   marketing                        active
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active

Recordar que si nos equivocamos al definir la VLAN la podemos borrar con el comando no vlan 10.

Asignemos los puertos del 1 al 10 a la VLAN10, y del 11 al 20 a la VLAN 20.

Switch(config)#interface range fastEthernet 0/1-10
Switch(config-if-range)#switchport mode access 
Switch(config-if-range)#switchport access vlan 10
Switch(config-if-range)#exit
Switch(config)#interface range fastEthernet 0/11-20
Switch(config-if-range)#switchport mode access 
Switch(config-if-range)#switchport access vlan 20
Switch(config-if-range)#exit

Veamos como han quedado asignados los puertos con show vlan brief

Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2

10   administracion                   active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10

20   marketing                        active    Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                Fa0/19, Fa0/20

Realizaremos las oportunas pruebas de conectivad en ambas redes:

VLAN10 administracion

PC>ipconfig

FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::202:16FF:FE05:4558
IP Address......................: 192.168.1.10
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1

PC>ping 192.168.1.11

Pinging 192.168.1.11 with 32 bytes of data:

Reply from 192.168.1.11: bytes=32 time=0ms TTL=128
Reply from 192.168.1.11: bytes=32 time=0ms TTL=128
Reply from 192.168.1.11: bytes=32 time=0ms TTL=128
Reply from 192.168.1.11: bytes=32 time=0ms TTL=128

Ping statistics for 192.168.1.11:
   Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
   Minimum = 0ms, Maximum = 0ms, Average = 0ms

VLAN 20 marketing

PC>ipconfig

FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::201:C9FF:FE56:2D5B
IP Address......................: 192.168.2.11
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.2.1

PC>ping 192.168.2.10

Pinging 192.168.2.10 with 32 bytes of data:

Reply from 192.168.2.10: bytes=32 time=0ms TTL=128
Reply from 192.168.2.10: bytes=32 time=0ms TTL=128
Reply from 192.168.2.10: bytes=32 time=0ms TTL=128
Reply from 192.168.2.10: bytes=32 time=0ms TTL=128

Ping statistics for 192.168.2.10:
   Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
   Minimum = 0ms, Maximum = 0ms, Average = 0ms

Pasemos a configurar el puerto FastEthernet como puerto Trunk, para que pasen solamente las VLAN’s 10 y 20. Para este ejemplo será suficiente.

Switch(config)#interface fastEthernet 0/21
Switch(config-if)#switchport mode trunk 
Switch(config-if)#switchport trunk allowed vlan 10,20

OJO, Recordar que estamos trabajando con Packet tracer y no todos los comandos aparecen….

Ahora crearemos dos subinterficies para que en enlace del router actúe como troncal. Importante prestar atención a que la codificación de las subinterficies y de dot1Q coincida con la de las VLAN’s, 10 y 20 en nuestro caso.

Activamos la Interfac FastEthernet 0/0. NO es necesario asignar IP

Router(config)#int fastEthernet 0/0
Router(config-if)#no shutdown

Para la vlan 10

Router(config)#interface fastEthernet 0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.1.1 255.255.255.0

Para la vlan 20

Router(config)#interface fastEthernet 0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.2.1 255.255.255.0

Ponemos a continuación la secuencia de comandos entera, incluyendo la configuración de FastEThernet 1/0 con la ip 10.0.0.1. Además veremos que no es necesario asignar ninguna IP al interface FastEThernet 0/0, solo hay que levantarlo con la orden no shutdown

Router>
Router>enable
Router#config t
Router(config)#interface fastEthernet 1/0
Router(config-if)#ip address 10.0.0.1 255.0.0.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown 
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.1.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#exit
Router(config)#exit
Router#write 
Building configuration...
[OK]
Router#

No olvidemos tanto en el Switch como en el Router de guardar la configuración activa en la NVRAM, o cuando apaguemos todo se perderá. Eso lo hacemos con el comando

Router#write

Podemos probar con tracer que en enrutamiento es correcto y tenemos conectividad entre VLAN’s

PC>ipconfig

FastEthernet0 Connection:(default port)

Link-local IPv6 Address.........: FE80::202:16FF:FE05:4558
IP Address......................: 192.168.1.10
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1

PC>tracert 192.168.2.10

Tracing route to 192.168.2.10 over a maximum of 30 hops:

  1 * 0 ms 0 ms 192.168.1.1
  2 * 0 ms 0 ms 192.168.2.10

Trace complete.

Asignando direcciones DHCP

Aprovechamos para configurar como servidor DHCP el router, para que asigne IP’s a las dos redes.

dhcp para VLAN 10: 192.168.1.100-192.168.1.254

dhcp para VLAN 20: 192.168.2.100-192.168.2.254

Utilizaremos los parámetros default-router y dns-server para establecer el servidor y gateway adecuado a cada VLAN

Establecemos primero el rango de IP’s para VLAN 10

Router(config)#ip dhcp pool vlan10
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.1.1
Router(dhcp-config)#dns-server 10.0.0.10
Router(dhcp-config)#exit
Router(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.99

Hacemos lo mismo para VLAN 20

Router(config)#ip dhcp pool vlan20
Router(dhcp-config)#network 192.168.2.0 255.255.255.0
Router(dhcp-config)#dns-server 10.0.0.10
Router(dhcp-config)#default-router 192.168.2.1
Router(dhcp-config)#exit
Router(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.99

Si colocamos un PC, al que hemos llamado test en el esquema, y lo colocamos en una de las interfaces que pertenezcan a la VLAN 10 ( fa0/3), podremos observar que se le asigna la IP y parámetros adecuados.

Vemos como el resultado es el esperado:

PC>ipconfig /all

FastEthernet0 Connection:(default port)

Connection-specific DNS Suffix..:
Physical Address................: 0007.EC4D.92DE
Link-local IPv6 Address.........: FE80::207:ECFF:FE4D:92DE
IP Address......................: 192.168.1.100
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
DNS Servers.....................: 10.0.0.10
DHCP Servers....................: 192.168.1.1
DHCPv6 Client DUID..............: 00-01-00-01-A4-A1-2B-D7-00-07-EC-4D-92-DE

La primera IP que se nos asigna es la .100, debido como es evidente al comando:

ip dhcp excluded-address 192.168.1.1 192.168.1.99

Dejo para vosotros que conectéis el PC Test en la interface FastEthernet 0/13, para observar que las IP asignadas corresponden al rango de la red 192.168.2.0/24

Espero que este Post os haya ayudado. Es un ejercicio simple, donde se ven varios conceptos importantes.

@sanchezborque

July 2017
M	T	W	T	F	S	S
« Jun				Aug »
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Inter VLAN Routing con DHCP por VLAN

Activamos la Interfac FastEthernet 0/0. NO es necesario asignar IP

Para la vlan 10

Para la vlan 20

Asignando direcciones DHCP

dhcp para VLAN 10: 192.168.1.100-192.168.1.254

dhcp para VLAN 20: 192.168.2.100-192.168.2.254

Establecemos primero el rango de IP’s para VLAN 10

Hacemos lo mismo para VLAN 20

Configurar Port Security en un Switch CISCO 2960

Linux – Firewall Completo con estados 1ª Parte

You may also like

Leave a Comment Cancel Reply