Saltar al contenido

Configuración de una LAN Cisco con PaketTracer. VLANS, VTP, ETHERCHANEL, STP, HSRP y más.

Compartir en:

En este post vamos a reconfigurar un una red LAN de un supuesto. Si sigues la historia y vas realizando los pasos por ti mismo verás como te quedan claros varios conceptos de redes mientras resuelves los problemas. Te aconsejo que vayas configurando por tu cuenta y lo compruebas cada apartado a ver como vas.

El problema se nos plantea en una pequeña escuela donde no encontramos esta infraestructura:

El sistema se ha borrado por una catástrofe y nos piden que reconfiguremos la red para que puedan seguir trabajando.

Se nos presenta una red compuesta por 3 Switch cisco 2960 de 24 puertos cada uno y una infraestructura donde existen en convivencia 3 grupos de usuarios separados en diferentes redes lógicas (son las limitaciones de PaketTracer :P).

La idea es crear 3 VLANs :

  • VLAN10: Para los Profes
  • VLAN20: Para los Alumnos
  • VLAN30: Para los invitados

El encargado nos ha llamado muy alterado y no es capaz ni de decirnos el número exacto de gente que se conecta a la red, como desconocemos el número final de usuarios, la topología de servidores y las diferentes configuraciones de posibles firewalls etc. Se harán las siguientes suposiciones:

  • Para cada segmento de red de usuarios, se entiende que el número de usuarios no es muy elevado, pero hay perspectivas de crecimiento, por tanto, se reserva un rango completo de direcciones IP para cada VLAN implementada.
  • Vemos que en el switch S1 es donde se encuentran las máquinas más importantes de la organización (servidores de ficheros, salidas de internet, etc.), por tanto tomaremos este nodo como importante.

Empezaremos configurando VTP para facilitarnos la vida.

Vamos a implementar el protocolo VTP (VLAN Trunk Protocol) para la gestión de VLAN. Este reduce las tareas de mantenimiento de VLAN en el entorno donde se pone en marcha, las VLAN son distribuidas por todo el dominio configurado de forma automática.

Los switches que son incluidos en un dominio VTP pueden funcionar de 4 formas distintas:

  • VTP Server: Es el encargado de controlar la base de datos de VLAN del dominio, es desde el cual se pueden modificar, eliminar y crear nuevas VLAN’s. En el caso que nos atañe, será el S1.
  • VTP Client: Estos equipos gestionan retransmisiones y actualizaciones VTP y utilizan como buena la base de datos del Switch Sever del dominio. Estos, sin embargo, no pueden modificar ni crear VLAN`s.
  • VTP Transparent: Estos equipos no participan en el intercambio de VTP. (aunque en ciertas versiones pueden reenviar paquetes VTP por los trunks)
  • VTP Off: Funciona como Transparent, pero NO reenvía ningún tipo de tráfico VTP.

Para completar con éxito la configuración del entorno de laboratorio seguimos los siguientes pasos:

Nos conectamos a S1 y entramos en modo configuración (omitiremos este paso en futuros comentarios en favor de la claridad):

S1#configure terminal

Creamos las diferentes VLAN`s que se plantean :

S1(config)# vlan 10 
S1(config-vlan)# name escuela
S1(config)# exit 
S1(config)# vlan 20 
S1(config-vlan)# name alumnos
S1(config)# exit 
S1(config)# vlan 30 
S1(config-vlan)# name invitados
S1(config)# exit

Comprobamos que están todas creadas:

Creamos el dominio VTP, configuramos el switch en modo Sever y  adjudicamos una contraseña de laboratorio (1234). Esta tendrá que ser mejorada en un hipotético entorno real, si no algún alumno espabilado podría alegrarte el día.

S1(config)# vtp domain Red-Escuela
S1(config)# vtp mode server
S1(config)# vtp password 1234

Examinamos la configuración y guardamos los cambios.

La revisión de configuración es la que marca que equipo servidor del dominio es el que tiene la configuración más actual. Hay que tener mucho cuidado al conectar equipos a la red con VTP activos, ya que si su revisión es mayor y su configuración errónea, todos los equipos clientes de dominio la darán por buena.

Configuramos S2 y S3 como clientes del dominio VTP Red-Escuela.

S2(config)#vtp domain Red-Escuela
S2(config)# vtp mode client
S2(config)# vtp password 1234
S3(config)#vtp domain Red-Escuela
S3(config)# vtp mode client
S3(config)# vtp password 1234

Como podemos ver, la revisión es la 4, la misma que en el servidor.

Configurando las VLANS

Vamos a configurar ahora la siguiente infraestructura de VLAN`s en el sistema (es la que creemos que tenían):

  • VLAN10: para el profesorado y otro personal de la escuela
  • VLAN20: para los alumnos
  • VLAN30: para los invitados

La distribución de bocas nos la marca el esquema de los equipos conectados. Continuaremos asignando las bocas propuestas en sus respectivas VLAN`s.

Las bocas pueden ser las que quieras, yo me he ceñido a las que ya estaban en mi escuela imaginaria.

S2(config)#interface fastEthernet 0/x 
S2(config-if)# switchport mode access 
S2(config-if)# switchport access vlan yy 
S2(config-if)# no shutdown 

Repetir el proceso para cada boca de acceso necesaria. Comprobamos los resultados:

Como se aprecia en las capturas, ya hemos designado cada boca a su respectiva VLAN.

La base de datos VTP, es idéntica a la del servidor, y cada boca está asignada a su respectiva VLAN.

Configurando los TRUNK

Continuando con la implementación y configuración de la red, el siguiente paso es la definición de los puertos de interconexión de equipos o Trunks. Estos enlaces son los encargados del transporte del tráfico etiquetado de las diferentes VLAN`s hacia el resto de equipos de la red.

El método de encapsulado que utilizaremos será el IEEE 802.1Q  estándar de cisco.

Como primer paso configuramos una única interfaz en modo Trunk:

S2(config)#interface fastEthernet 0/x  
S2(config-if)# switchport mode trunk  
S2(config-if)# no shutdown 

Repetimos el proceso en todas las bocas en las que se interconectan los equipos.

Con el comando show interfaces [type] <mod/port> switchport podemos comprobar la configuración correcta del puerto:

Al activar un Trunk en una boca de interconexión de equipos de cisco, estos por defecto negocian automáticamente que el otro extremo es un Trunk (lo dan por supuesto). Esto en el ámbito de configuración es cómodo, pero inseguro, ya que un hipotético atacante pude negociar con cualquier switch que su conexión es un Trunk y tener acceso a todo el tráfico etiquetado de la red. Conviene desactivarlo una vez el sistema sea estable (en las bocas sin acceso restringido).

Planificando el direccionamiento IP

Al realizar la interconexión de equipos ya tenemos interconexión a nivel dos entre equipos en toda la red, por tanto, procedemos a la planificación de rangos de IP`s válidos para los diferentes departamentos.

Se han definido los siguientes rangos:

  • VLAN 10 Gestión escuela –> 10.1.10.0 / 24
  • VLAN 20 Alumnos             –> 10.1.20.0 / 24
  • VLAN 30 Invitados            –> 10.1.30.0 / 24

Con esta distribución tenemos un total de 254 direcciones IP`s por VLAN. Dejamos un amplio margen de direcciones por red, ya que el caso no requiere un ajuste en este sentido y por motivos de dimensionamiento.

Configuramos los equipos propuestos en la práctica con una dirección IP válida de su rango para comprobar la conectividad:

  • VLAN 10
    • Host 1 –> 10.1.10.1/32
    • Host 2 –> 10.1.10.2/32
  • VLAN 20
    • Host 1 –> 10.1.20.1/32
    • Host 2 –> 10.1.20.2/32
  • VLAN 30
    • Host 1 –> 10.1.30.1/32
    • Host 2 –> 10.1.30.2/32

Para comprobar la conectividad, hacemos un ping (ICMP) del host 1 al host 2 de todas las VLAN. Comprobando en  todos los casos que los equipos responden y que la tabla de direcciones mac de los diferentes switches implicados aprende sus respectivas direcciones.

Redundancia, STP y Etherchannel

Para añadir más redundancia, se decide añadir un enlace entre S2 y S3. Hasta ahora solo teníamos una ruta para llegar a los diferentes destinos de la red, al añadir este enlace las rutas ya no son únicas. Esto provoca un problema con respecto a capa 2, produciendo perdida de paquetes que pueden no llegar nunca a su destino o las temidas tormentas de broadcast.

Para solucionar este problema, por defecto los switches traen un protocolo activo llamado Spanning tree protocol o SPT. Este protocolo construye un árbol de caminos únicos a partir de un switch principal o root, bloqueando los puertos que llevan a caminos redundantes de la red, por tanto finalmente solo hay una ruta posible desde un equipo hacia otro. Además, SPT proporciona redundancia, ya que el bloqueo y desbloqueo de puertos es automático, es decir, los equipos pueden reconocer la caída de un enlace y habilitar los puertos que tenían en estado bloqueo para seguir dando servicio al sistema.

Cisco implementa el protocolo pvst o rapid-pvst, este último con una velocidad de convergencia mejor, por tanto aplicaremos el siguiente comando para habilitar el modo de funcionamiento de los equipos:

S1(config)#spanning-tree mode rapid-pvst

Como única medida se decide designar el switch S1 como root (para cada VLAN), ya que está en un camino intermedio entre los otros equipos, y como hemos comentado antes, es el nodo principal de servidores.

Para activar esta característica:

S1(config)#spanning-tree vlan 10 root  primaryà repetir para el resto de VLAN

El protocolo SPT utiliza unos paquetes BPDU con la información necesaria para funcionar, esta va en claro y sin ningún tipo de encriptación. Conviene en un entorno real permitir paquetes BPDU solo en los puertos que se necesitan para evitar errores de conexión (podrían conectar un Switch con una prioridad menor que nuestro root y modificar el árbol) o la inyección maliciosa de paquetes BPDU.

Una vez realizadas las conexiones en los switches comprobamos que uno de los equipos secundarios tiene uno de sus puertos de Trunk en modo block, eso es señal de que SPT funciona correctamente.

Para comprobarlo:

S2#show spanning-tree

El propio PacketTracer nos muestra las dos interfaces del Etherchannel 3 en estado de bloqueo. Se explica la implementación de los Etherchannel en el siguiente apartado.

Etherchannel es una tecnología de cisco que permite agrupar a nivel lógico varios enlaces físicos. Permite aumentar la velocidad de los enlaces y mejorar la redundancia. Los puertos que se utilizan en un Etherchannel deben tener la misma configuración.

En el caso que nos ocupa utilizaremos el protocolo propietario de Cisco PAgP “Port Agregation Protocol” en modo Desirable, para que los puertos negocien el establecimiento del canal mediante PAgP.

Por ejemplo para configurar Etherchannel 3:

S3(config)#interface range fastEthernet 0/5 , fastEthernet 0/7
S3(config-if-range)#channel-group 3 mode desirable
S3(config-if-range)#exit
S3(config)# interface port-channel 3
S3(config-if)# switchport mode trunk
S3(config-if)# no shutdown

Adicionalmente podemos permitir o bloquear VLAN`s que pasan por el enlace.

Para comprobar los canales:

Comprobaremos que todos los equipos siguen comunicando y que SPT está bloqueando correctamente los puertos del anillo.

Configurando HSRP e inter VLAN

Finalmente, dado que alguien ha robado los routers, se nos pide implementar mediante dos routers nuevos, el routing ente las diferentes VLANs del proyecto. Para ello agregamos a la topología 2 equipos Cisco de la serie 4000 (4321)  capaces de trabajar en capa 3 y habilitar alta disponibilidad mediante HSRP.

La primera decisión es el emplazamiento, se opta por colocar un equipo en S1 (donde supuestamente están los servidores) y otro en S2. Esta topología nos permite tener disponibilidad de routing ante cualquier caída de cualquiera de los switches.

Para realizar la comunicación y la conversión de capa 3 (inter VLAN) y que las subredes puedan comunicarse con los diferentes dominios de broadcast. Utilizaremos una configuración Route on a stick donde solo es necesaria una interfaz de red para las diferentes VLANs (en una configuración tradicional se usaría una por VLAN).

Dado que los switches tienen interfaces Gigabyte Ethernet y los enrutadores también no tendremos problemas de cuello de botella con la comunicación inter-vlan.

El puerto del switch que se interconecta con el router se debe configurar como trunk y la interfaz del router se debe configurar con múltiples direcciones IP que correspondan con las VLANs en los switches. Esta interfaz acepta el tráfico de todas las VLAN y determina la red de destino en función de la IP de origen y de destino en los paquetes.

Dado que configuraremos los enrutadores en alta disponibilidad mediante HSRP, tendremos que planificar el direccionamiento de las interfaces para poder configurar posteriormente los equipos de la red.

HSRP es un protocolo de cisco diseñado para proporcionar redundancia y alta disponibilidad entre routers. Los equipos son configurados con una IP virtual compartida entre todos los equipos que pertenecen al grupo HSRP (que hará de Gateway en la red) aparte de su dirección IP real que hará de enlace de capa 3 (una dirección IP por dominio de broadcast).

Todo el routing pasará a través del equipo activo mientras que los equipos secundarios están en stand by esperando por si hubiera un fallo con el enrutador principal.

Seguiremos el siguiente esquema de sub interfaces:

  • ROUTER 1 –> R1
    • Interface –> GigabyteEthernet 0/0/0
    • Sub-Interface –> GigabyteEthernet 0/0/0.10 –> VLAN 10 –> 10.1.10.200
    • Sub-Interface –> GigabyteEthernet 0/0/0.20 –> VLAN 20 –> 10.1.20.200
    • Sub-Interface –> GigabyteEthernet 0/0/0.20 –> VLAN 30 –> 10.1.30.200
    • HSRP virtual IP
      • VLAN 10 –> 10.1.10.203
      • VLAN 10 –> 10.1.20.203
      • VLAN 10 –> 10.1.30.203
  • ROUTER 2 –> R2
    • Interface –> GigabyteEthernet 0/0/0
    • Sub-Interface –> GigabyteEthernet 0/0/0.10 –> VLAN 10 –> 10.1.10.201
    • Sub-Interface –> GigabyteEthernet 0/0/0.20 –> VLAN 20 –> 10.1.20.201
    • Sub-Interface –> GigabyteEthernet 0/0/0.20 –> VLAN 30 –> 10.1.30.201
    • HSRP virtual IP
      • VLAN 10 –> 10.1.10.203
      • VLAN 10 –> 10.1.20.203
      • VLAN 10 –> 10.1.30.203

Primero realizamos la configuración del switch:

S2(config)# interface GigabyteEthernet 0/1
S2(config-if)# switchport mode trunk
S2(config-if)# no shutdown

Posteriormente la del Router 2 (R2) para conseguir el Inter VLAN routing:

R2(config)# interface gigabitEthernet 0/0/0.10
R2(config-subif)#encapsulation dot1Q 10
R2(config-subif)#ip address 10.1.10.201 255.255.255.0
R2(config-subif)#exit
R2(config)#interface gigabitEthernet 0/0/0.20
R2(config-subif)#encapsulation dot1Q 20
R2(config-subif)#ip address 10.1.20.201 255.255.255.0
R2(config-subif)#exit
R2(config)#interface gigabitEthernet 0/0/0.30
R2(config-subif)#encapsulation dot1Q 30
R2(config-subif)#ip address 10.1.30.201 255.255.255.0
R2(config-subif)#exit

Ponemos a dos equipos de diferentes VLANs como gateway una de las sub-interfaces del router 2 y comprobamos mediante ping que se realiza correctamente el intercambio de paquetes.

La configuración de los dos router será la misma siguiendo en cada caso el direccionamiento expuesto anteriormente.

Finalmente procederemos con la configuración de la alta disponibilidad mediante HSRP.

R1(config)#interface gigabitEthernet 0/0/0.10
R1(config-subif)#standby 1 ip 10.1.10.203
R1(config-subif)#exit
R1(config)#interface gigabitEthernet 0/0/0.20
R1(config-subif)#standby 1 ip 10.1.20.203
R1(config-subif)#exit
R1(config)#interface gigabitEthernet 0/0/0.30
R1(config-subif)#standby 1 ip 10.1.30.203
R1(config-subif)#exit

Repetimos la misma operación para el router 2.

Podemos comprobar cuál el equipo activo con el comando:

En este caso vemos que R2 es el que esta a la espera y R1 es el activo.

Comprobamos que esta variable cambia automáticamente cuando apagamos la interfaz G0/0/0  de R1:

Vemos como R2 identifica la caída de R1 y pasa a funcionar como activo del grupo.

Para tener controlado cuál es el router activo por defecto, daremos una prioridad mayor a R1 (la por defecto es 100), y lo configuraremos como preempt, para que si hay una caída y luego una recuperación del equipo, este vuelva a tener el control del routing.

Para esto ejecutaremos los siguientes comandos por sub-interfaz de red:

R1(config)#interface gigabitEthernet 0/0/0.10
R1(config-subif)#standby 1 priority 101
R1(config-subif)#standby 1 preempt

Comprobamos:

Como vemos la prioridad es 101.

Ahora vamos a apagar la interfaz del equipo activo R1, comprobaremos que R2 toma el control, y volveremos a activar R1, para ver que nuestra red vuelve a su estado por defecto:

Como vemos el sistema responde correctamente.

Finalmente comprobamos que podemos ver desde cualquier equipo de la red, cualquiera de las VLANs y los equipos existentes en la red.

Por último grabamos las configuraciones con cualquiera de estos dos comandos (que no se te olvide grabar):

Pruebas

Finalmente podéis realizar las siguientes pruebas comprobando después de cada una que el sistema aguanta y todo funciona:

  • Desactivar interfaces de los etherchannel (una de ellas) y comprobar que el canal sigue activo
  • Desactivar ambas bocas de uno de los etherchannel en FW y comprobar como SPT habilita las bocas bloqueadas
  • Desactivar por separado los routers y ver que el protocolo HSRP conmuta el routing correctamente, dejando la situación como se ha planeado.

Y ¡LISTO!, los alumnos pueden volver a estudiar, los profesores a enseñar, y tú puedes cobrar una buena factura por las horas extra.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *