PRCTICA 2.

CONMUTACIN LAN

Objetivos generales:
En la presente prctica se quieren alcanzar los siguientes objetivos:
1.

Establecer una determinada poltica de seguridad para la administracin de un

switch y un router:
a.

Establecimiento del nombre del switch y router.

b.

Establecimiento de clave de acceso al modo privilegiado.

c.

Establecimiento de usurarios de distintos niveles de privilegio para el

acceso a la consola del switch y router o a las terminales remotas de
stos.

d. Configuracin de la lnea consola y acceso remoto para que exijan

autentificacin.
2.

3.

Configuracin de dos VLAN en cada subred:

a.

Definicin y configuracin de las VLAN en el switch

b.

Configuracin del router de la subred para dar soporte a VLANs

permitiendo as la intercomunicacin entre ellas.

Que el alumno se familiarice con la interface telnet del switch y router, y que
adquiera conocimientos sobre los distintos parmetros e instrucciones de
configuracin del switch y router.

Informacin bsica
Seguridad del switch y del router:
Un aspecto muy importante a tener en cuenta en la administracin de una red es
que la configuracin de los dispositivos no debe poder ser modificada por cualquier
persona que: o bien no tenga los conocimientos necesarios para ello, o bien tenga unos
propsitos distintos a los de una administracin optima y bien intencionada de la red.
Para ello es necesario implantar ciertas polticas de seguridad en el acceso a la
administracin de nuestros dispositivos de red.
Por otro lado, es muy habitual que un slo administrador sea el encargado de la
administracin de mltiples dispositivos dentro de una misma red, casi todos ellos con
una interface de configuracin similar. sto hace que a veces, sobre todo en jornadas de
excesivo trabajo, el propio administrador tenga momentos en los que no sepa
claramente cul es el dispositivo que esta administrando, para evitar esto es conveniente
particularizar las interfaces de cada uno de los dispositivos administrados. Esta
particularizacin, que es muy til, se puede realizar dndole a cada dispositivo un
nombre (hostname), el cual, antecede siempre al prompt del inteface de configuracin.
Por ejemplo, si nuestro switch se llama MADSW el prompt en modo EXEC aparecer

PRCTICA 2. CONMUTACIN LAN

como sigue: MADSW>, identificndolo de esta manera con el simple hecho de ver el
prompt el dispositivo administrado.
En cuanto a la seguridad de nuestros dispositivos es muy conveniente habilitar
una poltica de autenticacin antes de poder acceder a cualquier interface de
configuracin de un dispositivo. Si no lo hiciramos as, cualquier usuario mal
intencionado, podra acabar en unos pocos segundos con el trabajo de horas o incluso
das, adems de dejar nuestra red momentneamente sin conectividad. Entre las medidas
de seguridad que se pueden tomar estn:
1.

La proteccin mediante una clave de acceso al modo privilegiado.

2.

La creacin de usuarios con distintos niveles de privilegio. Dando as a

cada usuario un determinado nivel de acceso a la administracin de
nuestro dispositivo. En el caso de nuestros switches existen 16 niveles de
privilegio del 0 al 15:
! el nivel 1: da acceso al modo EXEC.
! el nivel 15: da acceso al modo privilegiado

3. La encriptacin de las claves de acceso a las herramientas de

administracin. La encriptacin de las claves de usuarios en el fichero de
configuracin del switch no se realiza por defecto sino que hay que
especificarla explcitamente.
4.

La obligatoriedad de autentificarse antes de abrir una sesin de

administracin, tanto si accedemos mediante el puerto consola como si lo
hacemos a travs de una interface telnet o web.

Configuracin de VLANs
Qu es una VLAN?
En una configuracin LAN tpica, todas las estaciones de trabajo conectadas a
un mismo switch (hub), o a un grupo de switches conectados entre s, comparte el
mismo dominio de difusin, esto provoca que cualquier paquete de difusin enviado a
la LAN es replicado en todos los puertos del switch o grupo de switches. Este hecho
hace que el rendimiento de la red baje considerablemente debido al uso del ancho de
banda de dichos mensajes de difusin.
Este mal es menor si todos los dispositivos que pertenecen a la LAN usan la
informacin de dichos mensajes de difusin, pero es muy habitual que dentro de una
misma LAN (dominio de difusin) haya usuarios pertenecientes a distintos grupos de
trabajo, por lo que la informacin de dichos mensajes de difusin slo incumbe, la
mayora de las veces, a los dispositivos pertenecientes al mismo grupo de trabajo. Este
hecho hace que a cada usuario le lleguen mensajes de otros grupos de trabajo que no le
incumben, y lo que es peor: que el ancho de banda usado por dichos mensajes no puede
ser utilizado por los usuarios de otro grupo de trabajo distinto. El problema anterior slo
ocurre a nivel de LAN, puesto que un router es un dispositivo que asla dominios de
difusin, es decir, los mensajes de difusin de una LAN no son propagados ms all
de un router.
Para limitar los dominios de difusin a nivel de LAN se ha creado el concepto
de VLAN. La implementacin de las VLANs se realiza a nivel de capa 2, por lo que

PRCTICA 2. CONMUTACIN LAN

pueden ser implementadas en un switch. El objetivo es que los dominios de difusin no
se asignen por la pertenencia a una determinada red LAN, es decir, por tu situacin
fsica dentro de la LAN (en que planta o despacho), sino que stos son definidos en
funcin de en que puerto del switch est conectado el dispositivos. La implementacin
de una VLAN se realiza asignado cada puerto del switch a una determinada VLAN,
limitando la difusin de mensajes entre los dispositivos (puertos) que pertenecen a la
misma VLAN. En la Figura 1 se puede ver como se modifican los dominios de difusin
dentro de una red con el empleo de VLAN. Hacer notar que las VLAN se pueden
propagar a travs de una jerarqua de switch pero que no pueden propagarse ms all de
un router, ya que el router separa por s mismo dominios de difusin, por lo que no tiene
sentido el que las VLAN se propaguen a travs de l.
LAN 1

LAN 2

LAN 3

VLAN 3
VLAN 1

VLAN2

Figura 1 Uso de VLANs en una red.

Pero la implementacin de VLANs conlleva un problema, y es que a la vez que

aislamos los dominios de difusin a los puertos pertenecientes a cada VLAN, tambin
aislamos todos los dispositivos de cada VLAN de los dispositivos de las dems VLAN.
Es decir, que si nosotros pertenecemos a la VLANi no podremos comunicarnos con
ningn dispositivo de una VLANj siempre que i"j, a no ser que conectemos el switch
raz de nuestra jerarqua con un router.
La causa de la limitacin mostrada en el prrafo anterior es la siguiente: cuando
nosotros configuramos un switch (o grupo de switches) para que soporte distintas
VLAN, es como si en realidad nuestro switch (o grupo de switches) lo estuviramos
dividiendo en varias LANs distintas, una por cada VLAN. De ah que necesitemos de un
router para poder intercomunicarlas entre ellas. Esto se podra resumir con la siguiente
premisa: La comunicacin entre dispositivos de una misma VLAN (LAN) se realiza
a nivel de capa 2 (direcciones MAC), pero la comunicacin entre dispositivos de

PRCTICA 2. CONMUTACIN LAN

distintas VLANs (LANs) se realiza a nivel de capa 3 (direcciones IP). Consecuencia
de esto es que a cada VLAN se le debe de asignar un espacio de direcciones distinto,
debindose realizar subnetting en la subred. Ver Figura 2 para un ejemplo del
subnetting realizado en la subred MADRID.
MADRID

F0/0.1
172.20.40.1/22

MADSW: 172.20.40.2/22

VLAN 1
172.20.40.0/22
gateway: 172.20.40.1

F0/0.2
172.20.44.1/22

1 interface fsico
2 subinterfaces uno por VLAN

VLAN 2
172.20.44.0/22
gateway: 172.20.44.1

Figura 2. Interconexin entre VLANs.

As pues para interconectar entre s las VLANs de un switch, deberemos

conectar el switch con un router. Esto se realizar utilizando un puerto trunk de switch.
La caracterstica de este tipo de puertos es que el switch encamina por l todo el trfico
ascendente o descendente de todas las VLANs implementadas en el switch. Antes de
que las tramas MAC procedentes de una VLAN sean enviadas por el puerto trunk, hacia
un router u otro switch de la jerarqua, a las tramas se les aade una etiqueta que
indica el identificador de VLAN al que pertenece la trama. La forma en que se
etiqueta la trama MAC est especificada en el estndar IEEE 802.1Q.
A su vez en la interface Fast/Ethernet del router en la cual conectamos el
switch deberemos crear una subinterface por cada una de las VLANs que hemos
creado en el switch. La direccin de cada una de las subinterfaces ser la direccin de
gateway que habr que asignar a cada uno de los dispositivos en funcin del VLAN al
que pertenezca. Indicando en la configuracin de las subinterfaces el uso del estndar
IEEE 802.1Q para el etiquetado de la tramas MAC.
NOTA: si el switch no est conectado al router y quisiramos conectarnos, en el
ejemplo de la Figura 2, mediante un terminal remoto al switch (172.20.40.2) deberamos
estar conectados a un puerto perteneciente a la VLAN 1 (subred 172.20.40.0), ya que de
no ser as no tendramos conectividad, por ser las VLANes ocultas entre s.

PRCTICA 2. CONMUTACIN LAN

Desarrollo de la prctica.
Preparativos:
En esta prctica pretendemos la configuracin de dos VLANs dentro de cada una
de las subredes de nuestra organizacin. Por ello, trataremos a cada una de las subredes
individualmente sin importarnos la comunicacin entre ellas, es decir, nos centraremos
en la configuracin de cada red de manera aislada y sin configurar los routeres de
cada una de ellas para que se pueda comunicar con las dems subredes. En concreto
cada una de las subredes del laboratorio se dividirn en 2 VLAN, por lo que, en primer lugar
deberemos realizar las siguientes operaciones antes de comenzar a configurar los
dispositivos de la red:
1. Realizar el subneting que deberemos aplicar a nuestra subred. Para
ello tomaremos en lugar de 21 bits de mascara, uno ms, quedndose la
mscara con 22 bits.
a. Determinar el nmero de VLANs que podemos crear en cada
subred.
b. Obtener una configuracin de subred similar a la mostrada en la
Figura 2. Hay ms de una posible configuracin?Por qu?
2. Conectar fsicamente todos los dispositivos de nuestra red. Tener en
cuenta que en la interconexin de los PCs al switch deberemos tener
al menos un dispositivo conectado a cada VLAN de las que creemos para
poder probar el comportamiento de estas. Determinar pues cuantos y
cuales son los puertos que usaremos para cada VLAN y cual ser el
puerto que configuraremos como trunk. Una posible eleccin podra ser:
si el switch tiene n puertos los n/2 primeros puertos para la VLAN1 de
los otros n/2, n/2-1 para la VLAN2 y el restante el puerto trunk.
Una vez realizadas estas tareas previas pasaremos a la configuracin de los
dispositivos de red.

1. Configurando y dando seguridad al switch:

Nos conectaremos al puerto consola del switch para darle la configuracin IP
bsica e implementar en l una poltica de seguridad mnima. Tras la conexin al puerto
consola responderemos NO a la pregunta que aparece en pantalla, evitando as el pasar
por el dilogo inicial de configuracin del switch. Una vez que nos aparece el prompt
introduciremos los siguientes comandos (ejemplo de la red MADRID) para la
configuracin del nombre del switch, particularizando as la interface:
Switch> enable
Switch# configure terminal
Switch(config)# hostname MADSW

A continuacin habilitaremos una clave para entrar al modo privilegiado:

MADSW(config)# enable secret cisco

Vamos a creare dos usuarios distintos: uno root, el cual entra en modo privileged EXEC
(privileg 15) y cuya password es cisco, y el otro user01, que nicamente tiene
privilegios para entrar en modo user EXEC (privilege 1) y cuya password es
user01.
7

PRCTICA 2. CONMUTACIN LAN

MADSW(config)# username root privilege 15 password cisco
MADSW(config)# username user01 privilege 1 password user01
MADSW(config)# end
MADSW# show running-config

Con el comando show mostramos la configuracin que actualmente est activa y

podemos ver como se han aadido tanto una clave para enable, la cual est encriptada, y
dos nuevas lneas una por cada usuario introducido cuyas claves no estn encriptadas.
Para activar la encriptacin de dichas claves pasaremos a modo de Global
configuration donde introduciremos la siguiente instruccin
MADSW(config)# service password-encryption
MADSW(config)# end
MADSW# show running-config

Ahora ya vemos como las claves asignadas a los usuarios estn encriptadas.
Para darle al switch una configuracin IP que nos permita acceder de manera remota
deberemos hacer lo siguiente (partiendo del modo privilege EXEC):
MADSW# configure terminal
MADSW(config)# interface vlan 1
MADSW(config-if)# ip address 172.20.40.2 255.255.252.0
MADSW(config-if)# exit
MADSW(config-if)# ip default-gateway 172.20.40.1
MADSW(config-if)# no shutdown

A continuacin habilitaremos la autentificacin, tanto en la consola como para el acceso

mediante terminal remoto. Tomar nota del contenido de la configuracin actualmente
activa para ver como vara despus de este proceso. Para el caso de la consola
introduciremos a partir del modo Global configuration:
MADSW(config)# line console 0
MADSW(config-line)# login local
MADSW(config-line)# exit

para las terminales remotas, en total el switch permite un total de 16 terminales

remotas numeradas del 0 al 15 las cuales las configuraremos de una sola vez:
MADSW(config)# line vty 0 15
MADSW(config-line)# login local
MADSW(config-line)# end
MADSW# show running-config

Para ver el efecto que tiene en el acceso el cambio en la configuracin

se podr realizar lo siguiente:
! Salir de la consola tecleando exit desde el modo user EXEC. Si lo
hacemos vemos como ahora nos pide el nombre de un usuario y si lo
introducimos nos pide un password.
! Comprobar con winipcfg la direccin IP de nuestra mquina y
comprobar que es la correcta en funcin de la VLAN a la que nos
vayamos a conectar. Comprobar la puerta de enlace y cambiarla si es
necesario.
! Si realizamos un telnet a la direccin del switch podremos ver como
nos pide un nombre de usuario y un password de la misma manera que en
el punto anterior.

PRCTICA 2. CONMUTACIN LAN

2. Configurando y dando seguridad al router:

El proceso para dar la configuracin bsica y dotar de seguridad de acceso al
router es similar al del switch siendo las instrucciones a introducir las siguientes, una
vez que hemos evitado la entrada al dialogo de configuracin contestando NO a la
pregunta inicial de dicho dilogo:
Router# configure terminal
Router(config)# hostname MADRID
MADRID(config)# enable secret cisco
MADRID(config)# username root privilege 15 password cisco
MADRID(config)# username user01 privilege 1 password user01
MADRID(config)# service password-encryption
MADRID(config)# line console 0
MADRID(config-line)# login local
MADRID(config-line)# exit
MADRID(config)# line vty 0 4
(solo existen 5 terminales remotas para el router)
MADRID(config-line)# login local
MADRID(config-line)# exit

Con las instrucciones anteriores hemos definido usuarios y configurado seguridad en los
accesos al router adems de darle un nombre al router para particularizar la interface. A
continuacin daremos la configuracin bsica a la interface Fast/Ethenet del router
que ser la nica que usaremos en esta prctica. Partiendo del modo privilege EXEC:
MADRID# configure terminal
MADRID(config)# interface fastEthernet 0/0
MADRID(config-if)# ip address 172.20.40.1 255.255.252.0
MADRID(config-if)# no shutdown
MADRID(config-if)# end
MADRID# show running-configure

Para comprobar los efectos que han tenido las instrucciones introducidas se
pueden realizar las mismas acciones que hicimos en el switch.

3. Configurando VLANs en el switch.

Para configurar las VLAN en el switch se deben dar los siguientes pasos
1. Aadir, modificar o eliminar las VLAN que deseemos configurar. Hay
que tener en cuenta que, por defecto, el switch tiene ya una VLAN (vlan
1) a la cual se le asignan todos los puertos del switch. Y a sta debern de
estar conectados todos los dipositivos que quieran acceder al switch.
2. Asignar puertos a las VLANs. Dado que por defecto todos los puertos
estn asignados a la VLAN 1, slo deberemos asignar puertos a las
dems VLANs.
3. Configuracin de un puerto trunk para a partir de su conexin con un
router, permitir la interconectividad entre VLANs.
Todas las anteriores acciones las realizaremos conectndonos al switch mediante
telnet, asegurndonos que nuestra conexin de realiza a travs de un PC que est
conectado a un puerto que, una vez configuradas las VLANs, seguir perteneciendo a la
VLAN 1, ya que si no fuera as perderamos conectividad cuando el puerto se asignara a
la VLAN 2.

PRCTICA 2. CONMUTACIN LAN

3.1. Aadir una nueva VLAN al switch
Para ello desde el modo privilege EXEC realizar las siguientes acciones, donde
en negrita estn las instrucciones a introducir y en modo normal los mensajes de salida
del switch:
MADSW# vlan database
MADSW(vlan)# vtp transparent
Setting device to VTP TRANSPARENT mode.
MADSW(vlan)# vlan 2 name vlan0002
VLAN 2 added:
Name: vlan0002
MADSW(vlan)# exit
APPLY completed.
Exiting....
MADSW# show vlan name vlan0002
VLAN Name
Status
Ports
---- -------------------------------- --------- -----------------------------2
vlan0002
active
VLAN Type SAID
MTU
Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----2
enet 100002
1500 0
0
MADSW# show vlan
VLAN Name
Status
Ports
---- -------------------------------- --------- -----------------------------1
default
active
Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
2
vlan0002
active
1002 fddi-default
active
1003 token-ring-default
active
1004 fddinet-default
active
1005 trnet-default
active
VLAN
---1
2
1002
1003
1004
1005

Type
----enet
enet
fddi
tr
fdnet
trnet

SAID
---------100001
100002
101002
101003
101004
101005

MTU
----1500
1500
1500
1500
1500
1500

Parent
-----1005
-

RingNo
-----0
-

BridgeNo
-------1
1

Stp
---ibm
ibm

BrdgMode
-------srb
-

Trans1
-----1002
0
1
1
0
0

Trans2
-----1003
0
1003
1002
0
0

3.2. Asignar puertos a cada VLAN.

Dado que, por defecto, todos los puertos estn asignados a la VLAN 1 slo tendr
que asignar puertos a la nueva VLAN creada. Para ella seguir la secuencia de
instrucciones que se muestran en negrita:
MADSW# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
MADSW(config)# interface range fastEthernet 0/13 23 (configuro los puertos del 13 al 23)
MADSW(config-if-range)# switchport mode access
MADSW(config-if-range)# switchport access vlan 2
MADSW(config-if-range)# end
MADSW#
02:30:43: %SYS-5-CONFIG_I: Configured from console by console
MADSW# show interfaces fastEthernet 0/15 switchport (da informacin sobre el puerto 15)
Name: Fa0/15

10

PRCTICA 2. CONMUTACIN LAN

switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 2 (vlan0002)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Protected: false
Voice VLAN: none (Inactive)
Appliance trust: none

Para ver el efecto de la configuracin de las VLANs se pueden realizar las

siguientes pruebas:
1. Tomando dos PCs que pertenezcan lgicamente a una misma VLAN
(172.20.40.x en el caso de MADRID) los conectamos a puertos que
pertenezcan a la VLAN 1. Realizaremos un ping y veremos que ambos
se responden.
2. Si de los dos PCs anteriores, uno se coloca en un puerto de la VLAN 2,
realizando un ping podemos ver que se ha perdido la conectividad. Si El
otro PC tambin se conecta a la VLAN 2 ambos dispositivos vuelven a
tener conectividad. Con esto probamos que a nivel de switch no se puede
dar conectividad entre VLANs
3. Si intentamos realizar un ping o un telnet al switch desde un puerto que
no pertenezca la VLAN 1 no conseguiremos respuesta debido a que el
switch no puede dar conectividad entre VLANs.
3.3. Configuracin de un puerto trunk
Configuraremos como puerto trunk, en el caso de switches de 24 puertos, el
puerto 24 y, en el caso de switches de 12 puertos, el puerto 12. Para configurarlo
deberemos de introducir desde el modo privileged EXEC las siguientes instrucciones
en negrita:
MADSW# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
MADSW(config)# interface fastEthernet 0/24
MADSW(config-if)# switchport mode trunk
MADSW(config-if)# switchport trunk allowed vlan all
MADSW(config-if)# exit
MADSW(config)# end
MADSW# show interfaces fastEthernet 0/24 switchport
Name: Fa0/24
switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
e VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Protected: false
Voice VLAN: none (Inactive)
Appliance trust: none

11

PRCTICA 2. CONMUTACIN LAN

Hacer notar que la instruccin switchport trunk allowed vlan all se
utiliza para determinar qu VLANs tendrn acceso al puerto trunk pudindose
especificar un subconjunto de las existentes. En nuestro caso permitimos el acceso al
puerto trunk a todas las VLANs.

4 Configuracin VLANs en el router

Como se ha podido constatar en el punto 3 del desarrollo de la prctica, el switch
asla totalmente una VLAN de otra, de ah que necesitemos interconectar el switch
con un dispositivo de capa 3 para poder interconectar a las VLANs entre s. Para ello
deberemos realizar las siguientes acciones:
1. Especificar un puerto trunk en el switch: esto ya se realiz en el punto
3.3.
2. Especificar en un interface Fast/Ethenet del
subinterfaces como VLANs queramos interconectar.

router

tantas

3. Conectar fsicamente mediante cableado el puerto trunk del switch con

el puerto Fast/Ethernet del router.
Para la especificacin de las subinterfaces de la interface Fast/Ethenet
deberemos tener en cuenta que en la seccin 2 del desarrollo de la prctica ya hemos
configurado la interface fastEthenet 0/0 del router y que, por lo tanto, como tenemos dos
VLANs, slo tendremos que configurar una nueva subinterface en el mismo interface
fastEthernet 0/0, que ser la subinterface fastEthernet 0/0.2. sto se realizar utilizando
la siguiente secuencia de instrucciones en negrita a partir del modo global
configuration:
MADRID(config)#interface fastEthernet 0/0.2
MADRID(config-subif)#encapsulation dot1Q 2
MADRID(config-subif)#ip address 172.20.44.1 255.255.252.0
MADRID(config-subif)#exit

La instruccin encapsulation dot1Q 2 es utilizada para especificar que dicha

subinterface utiliza la un etiquetado de VLANs basado en el estndar IEEE 802.1Q.
Si ahora realizamos un ping desde una mquina situada en un puerto de la
VLAN 1 a otra que est en un puerto de la VLAN 2 podremos comprobar que ambas
mquinas tienen conectividad. Esto no implica que todos los mensajes de difusin que
se enven en una VLAN pasen a la otra ya que, como dijimos al principio, el router
separa dominios de difusin, pero todos los mensajes que no son de difusin si que
pueden pasar de una VLAN a otra. Es decir: hemos separado dominios de difusin sin
perder conectividad entre los dispositivos de cada uno de los dominios.

12