Práctica 6. VLANs - PoliformaT

Redes de Área Local e Interconexión de RedesPrácticasPRÁCTICA 6.VLANs: Virtual Local Area Networks1. IntroducciónUna VLAN (Virtual Local Area Network) o red virtual es un grupo flexible dedispositivos que se encuentran en cualquier sitio de una red de computadores pero quese comunican como si estuvieran en el mismo segmento físico. Con las VLANs sepuede segmentar la red sin restringirse a las conexiones físicas.Las ventajas que nos pueden aportar las VLANs son entre otras:• Proporcionan una segmentación de la red flexible (escalabilidad).• Es muy fácil cambiar y mover dispositivos en la red (mejor gestión derecursos)• Facilidad de encontrar y aislar averías• Proporcionan seguridad extra (los dispositivos sólo pueden comunicarsedirectamente con otros dispositivos que están en la misma VLAN)• Control de tráfico de broadcast• Separación de protocolos1.1. 802.1 Q (VLAN Tagging)Es una modificación al estándar de Ethernet. El protocolo IEEE 802.1Q fue unproyecto del grupo de trabajo 802 de IEEE para desarrollar un mecanismo que permita amúltiples redes con puentes para compartir transparentemente el mismo medio físico sinproblemas de interferencia entre las redes que comparten el medio (Trunking). EsPágina 1

Práctica 6. Virtual Local Area Networkstambién el nombre actual del estándar establecido en este proyecto y se usa para definirel protocolo de encapsulamiento usado para implementar este mecanismo en redesEthernet.Permite identificar a una trama como proveniente de un equipo conectado a una reddeterminada. Una trama perteneciente a una VLAN sólo se va a distribuir a los equiposque pertenezcan a su misma VLAN, por lo que:• Separamos dominios de Broadcast• Separamos usuarios1.1.1 Formato de la trama. 802.1Q en realidad no encapsula la trama original sino queañade 4 bytes al encabezado Ethernet original. El valor del campo EtherType se cambiaa 0x8100 para señalar el cambio en el formato de la trama.Formatos de trama 802.3 (tradicional) y 802.1QLa VLAN tag se inserta en la trama Ethernet entre el campo Source MAC Address y elcampo Length. Los primeros 2 bytes del VLAN tag consisten en el “Tag Type" (tipo detag) de 802.1Q y siempre está puesto a 0x8100. Los últimos 2 bytes contienen lasiguiente información:• Los primeros 3 bits son el campo User Priority Field que pueden ser usados paraasignar un nivel de prioridad.• El próximo bit es el campo Canonical Format Indicator (CFI) usado para indicarla presencia de un campo Routing Information Field (RIF).• Los restantes 12 bits son el VLAN Identifier (VID) que identifica de formaúnica a la VLAN a la cual pertenece la trama Ethernet.Con el agregado del VLAN tag, el estándar 802.3ac permitió que la longitud máxima dela trama Ethernet fuese extendida de 1518 a 1522 bytes1.1.2 Configuración en los SwitchesExisten dos tipos de puertos:1. Puertos de acceso• Se conectan las estaciones directamente. Mapean el puerto a una VLANprogramada.• Cuando entra una trama Ethernet se le añade el TAG de 802.1Q.Página 2

Práctica 6. Virtual Local Area Networks• Cuando sale una trama 802.1Q se le quita el TAG2. Puertos 1Q Trunk• Se utilizan para conectar Switches entre si y que pase la infomaciónde VLANs a través de ellos• Las tramas que le llegan y que salen llevan el Tag 802.1Q1.1.3 VLANs nativas. El punto 9 del estándar define el protocolo de encapsulamientousado para multiplexar varias VLAN a través de un solo enlace, e introduce el conceptode las VLAN nativas. Las tramas pertenecientes a las VLAN nativas no se modificancuando se envían por medio del trunking. Las VLAN nativas también se conocen con elnombre de "VLAN de administración", dado que desde los ordenadores conectados adichas VLANs serán desde los que configuraremos los switches y podremos administrarlas VLANs.Los fabricantes generalmente distribuyen sus equipos con la VLAN id 1 configuradacomo VLAN nativa, VLAN por defecto y VLAN de administración. Esto quiere decirque por defecto, todos los puertos del Switch pertenecen a la VLAN 1. Si un puerto loañadimos a otra VLAN creada posteriormente, dejará por tanto de pertenecer a laVLAN de administración. Solo se puede tener una VLAN nativa por puerto.2. Objetivos de la prácticaEl aula dispone de la siguiente electrónica de red para la realización de la práctica (delfabricante 3Com):• Switches SW-1, SW-2, SW-3 y SW-4 modelo 3Com SuperStack II 610 (24puertos a 10Mbps)• Switches SW-5, SW-6 y SW-7 modelo 3Com SuperStack II 1100 (24puertos a 10Mbps)Se trata de dividir el laboratorio en VLANS (grupos de 2 PC´s), además tendremosreservado un PC por cada switch que utilicemos, que se utilizarán para la administracióndel switch correspondiente, por lo que deberá estar conectado a la VLAN 1 ó VLAN deadministración. En VLAN (grupo), uno de los PCs ejecutará el capturador de tramasEthereal y el otro lanzará difusiones de paquetes con la utilidad NMAP. El objetivoconsistirá en crear y administrar las VLANs, y ver cómo funciona la comunicación entreequipos de una misma VLAN y entre equipos de VLANs diferentes haciendo capturasde tráfico.La práctica se estructurará en las siguientes secciones:2.1 Comunicación intra-switch. Crearemos 2 redes virtuales (VLANs) con 2 puertoscada una en un mismo Switch y veremos si los equipos conectados al mismo se puedenPágina 3

Práctica 6. Virtual Local Area Networkscomunicar entre ellos: primero entre los equipos de una misma VLAN y luego entreequipos de las 2 VLANs.1. Acceder al switch2. Crear 2 VLANs3. Añadir 2 puertos del switch a cada VLAN4. Mostrar la información de la VLAN5. Hacer un ping de un PC a otro dentro de la misma VLAN. ¿Hay comunicación?6. Borrar un puerto de una VLAN y añadirlo a otra VLAN7. Mostrar la información de las VLANs para ver si se ha modificadocorrectamente el puerto8. Hacer un ping de un equipo a otro al cual hemos movido el puerto. ¿Haycomunicación?2.2 Comunicación inter-switch. En esta sección el objetivo será ver si se comunicanequipos que están conectados en diferentes Switches. Para este punto veremos cómoconfigurar el puerto por el que estarán unidos los switches mediante un cablecruzado como un puerto Tagged (deben ser puertos 802.1x ) e indicar las VLANsque contiene.2.3 Observar el tráfico en el Switch, y comprobar la separación de dominiosbroadcast que ofrecen las VLANs. Para conseguir este objetivo, uno de los PC´sde cada grupo (VLAN), deberá ejecutar un analizador de protocolos, por ejemplo elETHEREAL, y el otro equipo, lanzará un broadcast que se puede generar porejemplo con la utilidad NMAP, disponible en www.insecure.org. Podremosobservar como dentro de una misma VLAN se ve el tráfico de broadcast pero queeste no pasa a las otras VLANs, ni aunque los PCs pertenecientes a las mismas esténfísicamente en el mismo switch.La configuración para cada par de switches deberá ser como se indica a continuación:Dos (o más) Switches en los que se crean las VLANs. A cada VLAN se conectan 2equipos, excepto a la VLAN 1 (administración) que sólo se conectará un PC por switch.Página 4

Práctica 6. Virtual Local Area NetworksA B C D RVLAN 200VLAN 300VLAN 1802.1qSW-192.168.0.241VLAN 200VLAN 300VLAN 1SW-192.168.0.243802.1qE F G H SLos equipos R y S pertenecen a la VLAN 1 y se usan para configurar los Switches.Comprobaremos la comunicación en los siguientes casos:• A-B• A-C• A-E• A-GPágina 5

Práctica 6. Virtual Local Area Networks3. Implementación de la prácticaNota 1. Con el fin de poder dejar los switches en su estado inicial, debemos abrir unarchivo Notepad en el que iremos anotando todas las acciones que ejecutemos sobre elswitch para luego deshacer los cambios.Nota 2. Es necesario desactivar el Firewall de Windows.Podemos configurar los switches via web: http://dirección_IP_Switch o por Telnet:telnet dirección_IP_switchEl usuario y password para los switches será:User: security.Password: security.Por defecto, la VLAN 1 viene creada (VLAN ID 1 y Local ID 1) y en ella están todoslos puertos del switch.3.1 Acceso por TELNET. Primero nos aseguraremos de que el PC que hayamosreservado para la configuración del switch esté conectado a dicho switch, para elloobservaremos el número de la roseta de conexión de nuestro PC (cable amarillo) y luegocomprobaremos en el armario de comunicaciones del laboratorio que haya un latiguillode red correspondiente a dicha toma conectado al switch que queremos configurar. Acontinuación ya podemos teclear telnet . Al accederpor Telnet, lo primero que nos aparece es un menú con varias opciones (ver figura).Con la opción “bridge”, administramos las VLANs.A continuación, teclearemos “vlan” para acceder a las opciones propias de la gestión deVLANs: crear, borrar, modificar una VLAN, añadir y eliminar puertos de una VLAN ymostrar información.3.1.1 Debemos crear 2 VLANs junto con el compañero de al lado, en el switchasignado.Una VLAN se define mediante:• Un nombre VLAN: nombre descriptivo para la VLAN (ventas, contabilidad,etc.)• Un VLAN ID: identificador de la VLAN creada.• Un Local ID: identifica la VLAN localmente en la pilaPágina 6

Práctica 6. Virtual Local Area NetworksPodemos crear las VLANs con ID 200 y 300 (orden create):Enter VLAN ID (2-4094) [2]: 200Enter Local ID (2-16): 4Enter VLAN Name [VLAN 200]: VLAN 200Enter VLAN ID (2-4094) [2]: 300Enter Local ID (2-16): 5Enter VLAN Name [VLAN 300]: VLAN 3003.1.2 Añadir puertos del swicth a cada VLANLos puertos donde están conectados los puestos de trabajo, no deben ser configuradoscomo tagged, solo configuraremos de tal forma los puertos que usemos para conectarswitches entre si.Teclear la opción “addPort”Select VLAN ID (1-4094) [1]: 200Select Ethernet port (1-14, all): 3Enter tag type (none, 802.1Q) [802.1Q]: nonede Tagging (si se usa o no)Información3.1.3 Mostrar la información de la VLAN.Con la opción “detail”, seleccionamos la VLAN sobre la que queremos obtenerinformación y vemos su ID de VLAN, el ID Local, el Nombre y los puertos quecontiene.Con “summary” aparece todo lo anterior, menos los puertos.3.1.4 Hacer un ping de un PC a otro que pertenezca a la misma VLAN. ¿Haycomunicación? De nuevo tendremos que asegurarnos primero de que los PCs queestamos comprobando estén conectados a los puertos de las VLAN que hemosconfigurado previamente (armario de red del laboratorio).3.1.5 Borrar un puerto de una VLAN y añadirlo a otra VLAN.Usaremos primero la opción “removePort” y luego “addPort”Página 7

Práctica 6. Virtual Local Area Networks3.1.6 Mostrar la información de la VLAN como se vio en el punto 3.1.3 para ver si seha cambiado correctamente el puerto3.1.7 Hacer un ping de un PC a otro al cual hemos movido el puerto a otra VLAN.¿Hay comunicación?Con todo lo anterior, habríamos realizado todas las pruebas de comunicación intraswitch.3.1.8 Crear las mismas VLANs anteriores en el otro Switch, como en el punto 3.1.13.1.9 Configurar los puertos que unen Switches como puertos 802.1x (puertos Tagged)FORMATO: bridge vlan addport vlan_creada Puerto_tag 802.1QDonde Puerto_tag es el puerto que une los 2 Switches con un cable cruzadobridge vlan addport 200 24 802.1qbridge vlan addport 300 24 802.1q3.1.10 Hacer un ping de un equipo conectado a una VLAN de un Switch a otro equipoconectado a la misma VLAN de otro Switch. ¿Hay comunicación?3.1.11 Hacer un ping de un equipo conectado a una VLAN de un Switch a otro equipoconectado a una VLAN diferente de otro Switch. ¿Hay comunicación?Con todo lo anterior, habremos realizado todas las pruebas de comunicación en VLANsinter-switch.3.1.12 Ahora, vamos a comprobar el aislamiento de tormentas broadcast que ofrecen lasVLANs. Para ello, en cada grupo (VLAN), iniciaremos el Ethereal en un PC, ycomenzaremos a capturar el tráfico de la interface con IP 192.168.X.X (menú capture) yen el otro PC de la VLAN lanzaremos un broadcast con la utilidad NMAP, para elloejecutaremos la orden: NMAP 192.168.x.*. Se trata de ver el tráfico cuando secomunican equipos dentro de una misma VLAN y ver si afecta la difusión a equipos deotras VLANs.3.2 Acceso por HTTP. También se puede configurar el switch mediante un navegador.En el apartado Configuration,• Advanced Stack Setup• En VLANs:Vemos que por defecto, todos los puertos del Switch están en la VLAN 1.(VLANs Available)Página 8

Práctica 6. Virtual Local Area NetworksVamos a crear 2 VLAN más. Pulsar en Create de VLAN OperationVLAN Name: VLAN 200802.1Q VLAN ID: 200Local ID: 2VLAN Name: VLAN 300802.1Q VLAN ID: 300Local ID: 3Local ID es un identificador local para las VLANs, cuyo valor máximo es 16.Ahora podemos ver que en el desplegable tenemos 3 VLANs.Los nombres 200 y 300 no son relevantes. Podíamos haber puesto 2 y 3 por ej.Página 9

Página 10Práctica 6. Virtual Local Area Networks

Práctica 6. Virtual Local Area Networks4. ANEXOSe adjunta la estructura de menús de la interface de línea de comandos del Switch:Página 11