lunes, 24 de junio de 2013

VLANs privadas

Puertos protegidos y no protegidos.
Los puertos protegidos sólo se pueden comunicar con puertos no protegidos, son útiles para switches de acceso, y es una configuración local al switch, no se extiende más allá del dispositivo.

Configuring Private VLANs

Características:
  • Una VLAN primaria se divide en VLANs secundarias
  • estas VLAN son aisladas en community VLANs
  • el host puede comunicarse sólo con puertos promiscuos
  • los hosts en community VLANs pueden comunicarse en la misma comunidad
  • PVLAN no son soportadas en los Catalyst 2960
Puertos:
  • Aislados, pueden comunicarse sólo con puertos promiscuos
  • Promiscuos, se comunican con todos los otros puertos
  • Comunidad, se comunican con los puertos de la comunidad y promiscuos.
Configuracion de PVLAN aisladas:

verificando operaciones generales de VLAN

show interface switchport
show running-config int f0/8
show vlan
show interfaces trunk

problemas comunes de las troncales.
Las troncales pueden ser estáticas o autonegociadas con DTP
para el trunking autonegociado, los switches deben estar en el mismo dominio de VTP
algunas combinaciones de trunk serán exitosas, algunas no:

  • auto - auto (no será trunk)
  • deseable - acceso (no será trunk)
  • trunk no negotiate - auto (no será trunk)

Troubleshooting:
Crear las VLAN
¿se agregaron a todos los switches?
debe ser limitada manualmente? (pruned)
Agregar nuevos usuarios a los puertos
está el puerto en la VLAN correcta?
está el puerto activo?
está activo como switchport?
verificar la conectividad
están todos los links en trunk?
está la VLAN permitida en todos los trunks?
está STP bloqueando un link?

 Problemas con 802.1q native VLAN
los frames son transportados en un link de trunk que no tiene tagging
la VLAN nativa debe hacer match en los dos dispositivos que están en link
el tráfico se mezcla si no coinciden los nombres de LVAN nativa.
la VLAN nativa de default es la VLAN 1
configurar las VLAN no utilizadas...

Recomendaciones para configurar Trunks y VTP

switchport mode interactions
  • Siempre configurar los puertos como trunk o acceso en ambos switches
  • tratar de no usar auto-negociación, deshabilitar la negociación y no usar dynamic.
  • La configuración manual es deseable.


  1. Configurar las VLANs
  2. Configurar el modo trunk
  3. Desactivar la negociación de trunk
  4. Quitar las VLAN innecesarias de los trunks
  5. Configurar las VLAN nativas como no usadas
  6. Desactivar trunking en los puertos de host (acceso)
  7. No usar VTP (utilizar transparent mode)
Configuración VTP
usar modo transparente
VLAN se almacena en la configuración del switch
no anunciar VTP a otros switches
....

show VTP status

Problemas con VTP
  • VLANs que faltan (otro VTP switch nos borra las VLANs)
  • No recibir actualizaciones como se esperaban (VTP passwords y  dominios deben coincidir)
  • Demasiadas VLANs (hay que hacer los dominios de VTP pequeños)




Trunk configuration

Preparación para el examen de certificación de Switch 642-813. vlan 5, 7-9 exit interface fastethernet 0/1 shutdown switchport trunk encapsulation dot1q switchport nonegotiate switchport mode trunk switchport trunk native vlan 99 switchport trunk allowed vlan 3,5,8,99 no shut http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example09186a00800949fd.shtml