VLAN extendida, VTP y DTP
Los rangos VLAN
Una VLAN es una red virtual que lógicamente es independiente pero que se puede encontrar en una misma red fisica.
En otras palabras, podemos tener redes virtuales separadas unas de otras en una misma infraestructura física siendo posible el agrupamiento de equipos según determinados criterios. Existen dos rangos de redes virtuales según el ID que se le asigne en su creación (1-4094)
VLAN de rango normal
·Se utiliza en redes pequeñas y medianas
·Se identifica mediante una ID de VLAN entre 1 y 1005.
·Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI.
·Las ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar.
·Las configuraciones se almacenan en un archivo denominado vlan.dat.
·El protocolo VTP, solo trabaja VLAN de rango normal.
VLAN de rango extendido
·Las utilizan los provedores de servicios y empresas de gran tamaño.
·Se identifican mediante una ID de VLAN entre 1006 y 4094.
·Las configuraciones no se escriben en el archivo vlan.dat.
·Admiten menos características de VLAN que las VLAN de rango normal.
·Se guardan en el archivo de configuración en ejecución de manera predeterminada.
·VTP no aprende las VLAN de rango extendido.
VLAN Trunking Protocol
La configuración de VLANs en una red pequeña y sin muchos cambios puede resultar fácil, en cambio en redes muy grandes, la administración de la misma puede ser más complicada debido a que se deben configurar todas las VLANs en cada uno de los switches y es fácil que se cometa algún error. Por eso resulta muy recomendable tener un mecanismo que simplifique y centralice la administración y permita tener todas las VLANs de los switches sincronizadas.
El “VTP” es un protocolo de mensajes de capa 2 que se usa para configurar y administrar las VLANS en los equipos Cisco. Gracias a éste protocolo no es necesario configurar las mismas VLANs en todos los switches de nuestra red, porque cuando creamos una nueva en el servidor VTP, la misma es distribuida a través de todos los switches del mismo dominio. De esta manera se centraliza y simplifica la administración de VLANs cuando se trata de una red grande.
VTP solo trabaja con VLANs de rango normal (1 a 1005). Las VLANs en un rango extendido (es decir mayores de 1005) no son soportadas. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN, llamada vlan.dat.
Para que un switch pertenezca a un dominio debe cumplir con los siguientes requisitos:
- Se deben configurar con el mismo dominio que el servidor
- Deben tener la misma versión de VTP
- Deben tener la misma contraseña VTP, si la hay.
- Los enlaces trunk deben estar configurados correctamente.
Existen 3 modos VTP en los que un switch puede operar:
Server: en este modo puedes crear, modificar y eliminar VLANs. El VTP Server anuncia y sincroniza sus VLANs configuradas, a todos los switches en el mismo dominio VTP a través de los enlaces trunk.
Cliente: En este modo no se pueden crear, eliminar o modificar VLANs, tan sólo sincronizar esta información basándose en los mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de las VLANs.
Transparente: Los switches configurados en modo transparente no procesan las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio. Las VLAN que se crean, se eliminan o que reciben otro nombre en los switches transparentes son locales a ese switch solamente.
Dynamic Trunk Protocol
El DTP es otro protocolo de cisco creado para facilitar la creación de los enlaces troncales entre switches.
Permite a dos equipos conectados establecer un enlace troncal (trunk) entre ellos de una manera automática. Este protocolo se encuentra disponible en muchos switches Cisco y se encuentra activado por defecto, preparado para negociar en todos los puertos del switch. Sin embargo, es necesario saber cómo negociar DTP para establecer un trunk.
Existen varios modos de configuración:
- Auto: Es el modo por defecto, e implica que el puerto aguardará pasivamente la indicación del otro extremo del enlace para pasar a modo troncal. Sin embargo si los dos extremos están en modo auto no se establecerá el enlace como troncal.
- On: Fuerza al enlace a permanecer siempre en modo troncal, aún si el otro extremo no está de acuerdo.
- Off: Fuerza al enlace a permanecer siempre en modo de acceso, aún si el otro extremo no está de acuerdo.
- Desirable: En este modo el puerto activamente intenta convertir el enlace en un enlace troncal. De este modo, si en el otro extremo encuentra un puerto en modo troncal, o en modo auto o en modo desirable (en todos los casos), pasará a operar en modo troncal.
- Nonegotiate — Fuerza siempre al puerto a permanecer en modo troncal, pero no envía tramas DTP. Los vecinos deberán establecer el modo troncal en el enlace de forma manual.
Como conclusión podemos decir que todas estas herramientas facilitan mucho el trabajo de un administrador de redes. Automatizan configuraciones y pueden ahorrar Bajo mi punto de vista es conveniente desactivar el protocolo DTP ya que creo es un agujero de seguridad por el simple hecho de que si alguien tiene acceso a los puertos del switch puede formar un enlace troncal y desde ahi iniciar algunos ataques en los que la informacion podría verse comprometida.
Autor: Sergio Casado Martín
Curso: Cisco CCNA Routing & Switching
Centro: Tajamar
Año académico: 2017-2018