Configuración de enlaces troncales en switches Catalyst
Respecto
de la implementación de VLANs y enlaces troncales, los switches Cisco
Catalyst presentan varias definiciones por defecto que debemos tener
presentes:
Por defecto está creada la VLAN 1, y todos los puertos del switch están asignados a esa VLAN 1.
La VLAN 1 es la VLAN de gestión (management) por defecto, y la VLAN nativa por defecto en los enlaces troncales.
En
la mayoría de los switches en la actualidad no es necesario definir un
protocolo de etiquetado de tramas ya que se asume por defecto IEEE
802.1Q. Sin embargo, si el dispositivo soportara ISL, no hay
encapsulación por defecto y se debe especificar.
Cuando
se define un enlace como troncal, por defecto, en ese enlace están
permitidas todas las VLANs que se encuentran creadas en el switch.
Todos los puertos del switch implementan por defecto DTP para definir dinámicamente si operan en modo acceso o modo troncal.
Configuración básica del troncal
En
primer lugar debemos tener presente que un troncal es un enlace que
conecta 2 puertos de 2 switches diferentes, que son independientes entre
sí. Por lo tanto es esencial que la configuración de ambos puertos sea
compatible ya que se configuran de modo independiente.
En
los manuales de procedimiento se aconseja desactivar la interfaz antes
de iniciar propiamente la configuración del puerto para evitar que los
procesos de autonegociación estén negociando permanentemente mientras
cambiamos la configuración.
El comando define el protocolo de etiquetado de etiquetas que utilizará al operar en modo troncal.
No
todas las plataformas permiten variar la encapsulación por defecto que
se utiliza en los enlaces troncales. En aquellos dispositivos que
solamente soportan IEEE 802.1Q este comando no está disponible.
Switch(config-if)#switchport mode trunk
Coloca el puerto en modo troncal.
Utilizará
el protocolo de etiquetado de trama especificado con el comando
anterior. Si el comando no está disponible, utilizará por defecto IEEE
802.1Q
Todas las VLANs creadas en el switch están permitidas en el enlace.
Al utilizar 802.1Q hay siempre una VLAN nativa, y en este caso la VLAN nativa por defecto es la VLAN 1.
Switch(config-if)#no shutdown
Terminada la configuración es necesario activar nuevamente el puerto.
Buenas prácticas sugeridas
En
este caso se trata de prácticas de configuración sugeridas, no
obligatorias, que apuntan a mejorar la seguridad o performance de la
red. 1. Desactivar DTP DTP
es el protocolo que negocia, en los swtiches Catalyst, el modo de
operación del puerto (troncal o acceso).
Esto permite que, por ejemplo,
un enlace entre 2 switches negocie automáticamente como troncal sin
necesidad de intervención del Administrador. DTP está activo por defecto en todos los puertos de los switches Catalyst. Dado
que este protocolo permite que un enlace podría negociar sin
intervención alguna como troncal, y que ese troncal permitiría por
defecto el tráfico de todas las VLANs existentes, DTP es un potencial
riesgo de seguridad. De alli que se recomienda desactivarlo. Switch(config-if)#switchport nonegotiate
El comando suprime toda negociación de DTP en el puerto.
Este
comando es necesario aún cuando el puerto sea colocado manualmente en
modo acceso o troncal, ya que el protocolo sigue activo.
Esto hace necesario que el otro extremo del enlace también sea configurado manualmente como troncal.
2. Cambiar la VLAN nativa Todo enlace troncal 802,1Q tiene una VLAN nativa o untagged. En los switches Catalyst la VLAN nativa en los puertos troncales 802.1Q es por defecto la VLAN 1. Dado
que la VLAN nativa puede ser aprovechada por un potencial atacante para
"saltar" la división de VLANs en la red, se sugiere cambiar la VLAN
nativa a otra VLAN en la que no se coloquen puertos de acceso,
preferentemente una VLAN que esté en desuso. Switch(config-if)#switchport trunk native vlan 999
Tenga presente que la VLAN nativa debe coincidir en ambos extremos del enlace.
Una disparidad en la definición de la VLAN nativa en ambos extremos no genera mensajes de error. En el caso de switches Catalyst CDP generará un mensaje de evento CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on...que puede visualizarse en el puerto consola o en el registro de eventos.
3. Restricción de las VLANs transportadas en el enlace troncal Al activar un enlace troncal, por defecto se permite el transporte de todas las VLANs existentes a través de ese enlace troncal. En
algunos casos el diseño de la red requiere restringir las VLANs que se
transportan en algunos troncales. Cuando no es así se sugiere, como
buena práctica, que se limite las VLANs permitidas a solamente las
necesarias. Esto
se hace permitiendo solamente las VLANs deseadas con lo que
automáticamente quedan excluidas todas las VLANs que no son
explíticamente permitidas. Switch(config-if)#switchport trunk allowed vlan 2-10,20,30
De
este modo se restringe el troncal exclusivamente a las VLANs que se
declaran en el comando. En este caso es el rango de VLANs que va desde
la 2 hasta la 10, y además las VLANs 20 y 30.
Todas las demás VLANs están excluidas de este enlace troncal.
Este
comando remueve de las VLANs permitidas en el enlace, exclusivamente
aquellas que se especifican en el comando. En este caso remueve la VLAN 5
del grupo de VLANs permitidas.
Si
se aplica en un troncal que está operando con valores por defecto, el
resultado será que siguen estando permitidas todas las VLANs salvo
aquellas que se indiquen específicamente.
Este comando agrega a las VLANs permitidas en el troncal aquella que se indica específicamente en el comando.
ATENCIÓN:
Si se intenta agregar una VLAN sin el keyword "add" el resultado será
que se sobrescribirán las VLANs permitidas y quedarán como permitidas
solamente aquellas que se están especificando en el comando.
Procedimiento de configuración de troncales
1. Ingrese al modo de configuración de la interfaz. 2. Desactive la interfaz. 3. Selecciona la encapsulación a utilizar (si corresponde). 4. Coloque la interfaz en modo troncal. 5. Desactive DTP 6. Modifique la VLAN nativa. 7. Restrinja las VLANs permitidas en el enlace troncal. 8. Reactive la interfaz.