stp-vlan

Spanning Tree Protocol Érase una vez, una empresa llamada Digital Equipment Corporation (DEC) se adquirió y cambió el nombre de Compaq. Pero antes de que eso sucediera, diciembre creó la versión original Spanning Tree Protocol (STP). El IEEE tarde creó su propia versión de STP 802.1D llamada. Sin embargo, una vez más, 's no todos los cielos claros - Por defecto, la mayoría de los interruptores de ejecutar la versión IEEE 802.1D de STP, la que t ISN 'compatible con la versión de diciembre La buena noticia es que hay una nueva estándar de la industria llamado 802.1w, que es más rápido, pero no está activo por defecto en los interruptores. interruptores. Para empezar, la tarea principal STP 's es dejar de bucles de red que se produzcan en el nivel 2 red (puentes o conmutadores). Se logra esta hazaña mediante la supervisión vigilante de la red para encontrar todos los enlaces y asegurarse de que no se produzcan bucles por el cierre de las otras redundantes. STP utiliza el algoritmo de árbol de expansión (STA) para crear primero una base de datos de topología y luego buscar y destruir enlaces redundantes. Con STP funcionamiento, se enviarán tramas sólo en la prima, enlaces STP-recogido. Interruptores transmiten Puente Unidades de datos de protocolo (BPDU) a todos los puertos para que todos los enlaces entre los switches se pueden encontrar. NOTA: STP es un protocolo de Capa 2 que se utiliza para mantener una conmutación libre de bucles red. STP es necesario en las redes, tales como la que se muestra en la figura 11.10.

En la figura 11.10, se ve una red conmutada con una topología redundante (conmutación bucles). Sin algún tipo de mecanismo de Capa 2 para detener bucles de red, queremos ser víctimas de la problemas yo discutimos anteriormente: las tormentas de broadcast y m últiples copias de marco. ADVERTENCIA: Entender que la red de la figura 11.10 en realidad tipo de trabajo,

aunque muy lentamente. Esto demuestra claramente el peligro de conmutación bucles. Y para empeorar las cosas, puede ser s úper difícil encontrar este problema

una vez que comienza!

Spanning Tree puerto Unidos Los puertos de un puente o un interruptor de funcionamiento de STP puede pasar a través de cinco estados diferentes: El bloqueo de un puerto bloqueado ganó 't fotogramas hacia delante, sino que sólo escucha BPDU y caerá todo otros marcos. El propósito del estado de bloqueo es para prevenir el uso de rutas de bucle. Todo puertos están en estado de bloqueo por defecto cuando el interruptor está encendido. Escuchar El puerto escucha BPDU para asegurarse de no se produzcan bucles en la red antes pasando tramas de datos. Un puerto en estado de escucha se prepara para enviar tramas de datos sin rellenar la tabla de direcciones MAC. Aprendizaje El puerto del switch escucha BPDU y aprende todos los caminos de la red conmutada. Un puerto en el estado de aprendizaje rellena la tabla de direcciones MAC, pero doesn 't de datos hacia adelante marcos. Delantero retraso significa que el tiempo que se tarda para la transición de un puerto de la escucha de aprendizaje modo. It 's establece en 15 segundos de forma predeterminada. Desvío El puerto envía y recibe todas las tramas de datos en el puerto de puente. Si el puerto sigue siendo un designado o puerto raíz en el extremo de la estado de aprendizaje, que entra en el reenvío estado. Disabled Un puerto en el estado desactivado (administrativamente) no participa en el marco reenvío o STP. Un puerto en el estado de discapacidad es prácticamente no operacional. NOTA: Los interruptores poblar la tabla de direcciones MAC en el aprendizaje y la transmisión sólo los modos. Los puertos del conmutador están generalmente ya sea en el estado de bloqueo o reenviar. Un puerto de reenvío es uno que se ha determinado que tienen la (mejor) menor coste para el puente raíz. Pero cuando y si la red experimenta un cambio de topología debido a una falla del enlace o cuando alguien agrega un nuevo interruptor en la mezcla, usted encontrará los puertos de un switch en la escucha y el aprendizaje estados. Como ya he dicho, los puertos de bloqueo es una estrategia para prevenir bucles en la red. Una vez que un conmutador determina el mejor camino para el puente raíz, todos los demás puertos re dundantes serán en el bloqueo modo. Puertos bloqueados todavía pueden recibir las BPDU - que acaba de don 't envían los marcos.

Si un interruptor determina que un puerto bloqueado ahora debe ser el designado, o de la raíz, el puerto, decir que a causa de un cambio en la topología, responderá por entrar en modo de escucha y revise todas las BPDU que recibe para asegurarse de que ganó 't crear un bucle una vez que el puerto se remonta en modo de transmisión.

STP Convergencia La convergencia es lo que sucede cuando todos los puertos de puentes e interruptores han hecho la transición ya sea a la transmisión o el bloqueo de los modos. Durante esta fase, los datos no se envían hasta que el evento ha finalizado la convergencia.  Además, antes de que los datos pueden comenzar siendo remitido de nuevo, todo dispositivos deben ser actualizados. Sí - has leído bien: cuando STP está convergiendo, todos los datos del host deja de transmitir! Así que si usted desea permanecer en buenos términos con los usuarios de la red 's (o siendo utilizado por mucho tiempo), que positivamente debe asegurarse de que su conmuta red está diseñada físicamente muy bien para que STP puede converger rápidamente y sin dolor. La figura 11.11 muestra algunos realmente grandes maneras de diseñar y poner en práctica su red de conmutación de modo que STP converge de manera eficiente.

La convergencia es verdaderamente importante, ya que garantiza que todos los dispositivos están ya sea en la expedición el modo o el modo de bloqueo. Pero como he perforado en usted, le cuesta un poco de tiempo. Por lo general toma 50 segundos para el final del bloqueo a modo de reenvío, y yo don 't recomiendan cambiar los temporizadores STP por defecto. (Puedes ajustar los temporizadores si realmente tener a.) Al crear el diseño de su interruptor físico de una manera jerárquica, tal como se muestra en Figura 11.11, usted puede hacer que su núcleo de cambiar la raíz STP. Esto hace que todo el mundo feliz

porque hace que la convergencia STP suceda rápido. Debido a que la topología típica de spanning-tree 's tiempo para la convergencia de bloqueo de r eenvío en un puerto del conmutador es de 50 segundos, se puede crear problemas de tiempo de espera en los servidores o hosts - como cuando usted los reinicia. Para hacer frente a esta dificultad, se puede desactivar la expansión en árbol de puertos individuales.

Protocolo Rapid Spanning Tree 802.1w ¿Cómo le gustaría tener una buena configuración de STP que se ejecuta en la red conmutada (Independientemente de la marca de interruptores) pero en vez de 50 segundos a converger, la red conmutada puede converger e n unos 5 segundos, o incluso menos. Cómo funciona ese sonido? Absolutamente - sí, queremos que esto! Pues bien, bienvenido al mundo de  Rapid   Protocolo Spanning Tree (RSTP). RSTP no fue diseñado para ser un "flamante" de protocolo, sino más bien de una evolución de la Estándar 802.1d, con el tiempo una convergencia más r ápida cuando se produce un cambio de topología. Hacia atrás compatibilidad era un deber cuando se creó 802 .1w. El 802.1w se define en estos difere ntes estados de puerto (en comparación con 802.1d): NN

= Inhabilitado descarte

NN

= Bloqueo descarte

NN

Listening = descarte

NN

= Aprendizaje Aprendizaje

= Forwarding Forwarding Ahora que nuestras redes conmutadas tienen enlaces re dundantes que están funcionando correctamente con NN

STP, let 's romper dominios de broadcast en una red de conmutación de capa 2. Para verificar el tipo de spanning-tree se ejecuta en el switch Cisco, utilice el siguiente comando:

Dado que el tipo de salida muestra

el árbol de expansión habilitada protocolo IEEE, sabemos que se

están ejecutando el protocolo 802.1d. Si el resultado muestra RSTP, entonces usted sabe que su interruptor está en marcha el protocolo 802.1w.

VLAN virtuales Sé que sigo diciendo esto, pero Tengo que estar seguro de que nunca se olvida, así que aquí voy de un última vez: De forma predeterminada, los interruptores de romper los dominios de colisión y routers romper difusión dominios. Está bien, me siento mejor! Ahora podemos seguir adelante.  A diferencia de las redes de ayer, que se basaban en backbones colapsados, diseño de redes de hoy s se caracteriza por una arquitectura más plana - gracias a los interruptores. Así ¿y ahora qué? ¿Cómo rompemos dominios de broadcast en una pura internetwork conmutada? Por  la creación de una red de área local virtuales (VLAN), que 's cómo! Una VLAN es una agrupación lógica de usuarios de la red y los recursos conectados a administrativamente puertos definidos en un switch.  Al crear VLANs, se obtiene la capacidad para crear más pequeña transmitir dominios dentro de una capa 2 internetwork conmutada mediante la asignación de los distintos puertos en el interruptor para diferentes subredes. Una VLAN es tratado como su propia subred o difusión dominio, lo que significa que los marcos transmitidos en la red sólo se conectan entre el puertos agrupados de forma lógica dentro de la misma VLAN.  Así que, ¿esto significa que ya no necesitamos routers? Tal vez sí, tal vez no - lo que realmente depende de cuáles son sus metas y necesidades específicas. Por defecto, el servidor en una VLAN específica puede 't comunicarse con hosts que son miembros de otra VLAN, así que si quieres interComunicación VLAN, la respuesta es sí, usted todavía necesita un router.

Fundamentos de VLAN La figura 11.12 muestra la capa 2 redes conmutadas se diseñan típicamente - como las redes planas. Con esta configuración, cada paquete de difusión transmitida es visto por cada dispositivo en la red, independientemente de si el dispositivo que necesita recibir datos o no.

Por defecto, los routers permiten transmisiones tengan lugar sólo dentro de la red de origen, mientras que conmuta delante emisiones a todos los segmentos. Ah, y por cierto, la razón de que 's llama una red plana se debe a que' s un dominio de difusión, no porque el diseño actual es físicamente plana. En la figura 11.12, se puede ver el Host A envía un mensaje de difusión y todos los puertos en todos los switches de reenvío - todo excepto el puerto que originalmente recibió. Ahora echa un vistazo a la figura 1 1.13. Se imagina una red conmutada y muestra Host A envío un marco con Host D como su destino. Lo que s importante para salir de esta cifra es que el trama se reenvía sólo por el puerto donde se encuentra el Host D. Esta es una gran mejora sobre las viejas redes de estas, a menos que tenga un dominio de c olisión por defecto es lo que realmente quiere. (No estoy adivinando!)

Bien - usted ya sabe que el beneficio más fresco a ganar por tener una capa 2 activa red es que crea un segmento de dominio de colisión individual para cada dispositivo conectado en cada puerto del conmutador. Pero como suele ser el caso, los nuevos avances traen nuevos desafíos con ellos. Uno de los mayores es que cuanto mayor e s el número de usuarios y dispositivos, la más emisiones y paquetes cada interruptor debe manejar. Y, por supuesto, el tema de suma importancia de la seguridad y sus exigencias también debe ser considerado mientras que cada vez más complicado al mismo tiempo! VLANs presentan un desafío a la seguridad porque por defecto, dentro de la capa típica 2 internetwork conmutada, todos los usuarios pueden ver todos los dispositivos. Y usted puede 't dispositivos de parada de la radiodifusión, además de que puede' t evitar que los usuarios tratando de responder a las emisiones. Esto significa que sus opciones de seguridad son lamentablemente limitados a poniendo contraseñas en los servidores y otros dispositivos. Para entender cómo se ve una VLAN a un conmutador, que 's útil para comenzar, primero buscando a una

red tradicional. La figura 11.14 muestra cómo una red solía ser creado usando hubs conectar redes LAN física a un router. Aquí se puede ver que cada red está conectado con un puerto hub del router (cada segmento También tiene su propio número de red lógica, a pesar de t esto no es "obvio mirando la figura). Cada host conectado a una red física particular tiene que coincidir con esa re d 's número de red lógica con el fin de ser capaz de comunicarse en la red interna. Notar que cada departamento tiene su propia LAN, por lo que si teníamos que añadir nuevos usuarios, vamos 's dicen, Ventas, nos gustaría simplemente conectarlos a la red LAN de Ventas y serían automáticamente a formar parte del Colisión de Ventas y dominio de difusión. Este diseño realmente ha funcionado bien durante muchos años.

Pero había un defecto importante: ¿Qué pasa si el centro de ventas está lleno y hay que agregar otro usuario de la red local de ventas? O, ¿qué hacemos si no hay más espacio físico para un nuevo empleado que se encuentra el equipo de ventas? Hmmm, bueno, vamos a 's dicen que no pasa sólo a ser un montón de sitio otra vez en la sección de Finanzas del edificio. Ese nuevo miembro del equipo de ventas sólo tendrá que sentarse en el mismo lado del edificio como la gente de Finanzas, y sólo tendremos que tapar la pobre alma en el cubo de Hacienda. Simple, ¿no? Tan mal! Al hacer esto, obviamente, hace que la nueva parte de usuario de la L AN de Finanzas, que es muy mal por muchas razones. En primer lugar, ahora tenemos un problema de seguridad importante. Porque el nuevo empleado de ventas es un miembro del dominio de difusión Finanzas, el novato puede ver los mismos servidores y acceder a t odos los servicios de red que la gente de Finanzas pueda. En segundo lugar, para los Este usuario acceder a los servicios de la red de ventas que necesitan para hacer su trabajo, lo harían tener que pasar por el router para conectarse al servidor de ventas - no es exactamente eficiente.

Ahora, vamos a ver lo que s un interruptor c umple para nosotros. La figura 11.15 muestra cómo interruptores vienen al rescate mediante la eliminación de los límites físicos de resolver nuestro problema. Lo También se muestra cómo se utilizan seis VLAN (numerados 2 a 7) para crear un dominio de difusión para cada departamento. Cada puerto del switch se le asigna administrativamente una membresía de VLAN, dependiendo de la acogida y transmisión de dominio es 's está colocada en Así que ahora, si teníamos que agregar o tro usuario a la venta VLAN (VLAN 7), podríamos simplemente asignar el puerto a la VLAN 7, independientemente de que el nuevo miembro del e quipo de ventas está físicamente situado - agradable! Esto ilustra una de las ventajas más dulces para e l diseño de su red con VLANs sobre el antiguo diseño de backbone co lapsado. Ahora, limpia y sencilla, cada host que tiene que estar en la VLAN Sales es meramente asignado a la VLAN 7. Tenga en cuenta que empecé con la asignación de VLAN VLAN número 2. El número es irrelevante, pero puede que se pregunte qué pasó con VLAN 1. Bueno, eso es una VLAN administrativa VLAN, y a pesar de que puede ser utilizado para un grupo de t rabajo, Cisco recomienda utilizar para fines administrativos. Usted puede 't eliminar o cambiar el nombre de la VLAN 1 y De forma predeterminada, todos los puertos de un switch son miembros de VLAN 1 hasta que realmente no los cambie.

Ahora, debido a que cada VLAN se considera un dominio de difusión, es s tiene que disponer de su número de subred propia (véase de nuevo a la figura 11.15). Y si usted está también usando IPv6, cada VLAN debe tener asignado su propio número de red IPv6. Así que don 't se confunda, sólo seguir pensando en VLANs como subredes o redes separadas. Let 's volver a la "causa de los interruptores, que don' t necesitamos routers más" concepto erróneo. Al observar la figura 11.15, se puede ver que hay siete VLANs o dominios de difusión, contando VLAN 1. Los hosts dentro de cada VLAN pueden comunicarse e ntre sí, pero no con cualquier cosa en una VLAN diferente porque los anfitriones en cualquier VLAN dado "piensan" que estés en realidad, en una estructura co lapsada, se ilustra en la Figura 11.14. Así lo poco práctico dispositivo crees que es necesario para permitir que los hosts en la figura 11.15

para comunicarse con un anfitrión o anfitriones en una VLAN diferente? Usted lo adivinó - un router! Aquellos hosts tienen una necesidad imperiosa de ir a t ravés de un router, o algún otro dispositivo de Capa 3, al igual que hacerlo cuando están configurados para la comunicación inter-red (como se muestra en la Figura 11.14). Funciona de la misma manera que lo haría si estuviéramos tratando de conectar diferentes redes físicas. La comunicación entre las VLAN debe pasar por un dispositivo de Capa 3. Así que don 't esperan masa enrutador extinción pronto!

Calidad de Servicio Antes de profundizar en más en las VLAN, yo quiero estar seguro de que usted tiene una fundamental la comprensión de QoS y por qué es importante. Capítulo 20, "Gestión y Optimización" proporcionará más detalles sobre QoS. Calidad de servicio (QoS) se refiere a la forma en que los recursos están controlados de manera que la calidad se mantiene de servicios. Se trata básicamente de la capacidad de proporcionar una prioridad diferente para una o más tipos de tráfico sobre otros niveles de prioridad, se aplica a las diferentes aplicaciones, flujos de datos, o usuarios de modo que se puede gar antizar un cierto nivel de rendimiento. Métodos de calidad de servicio se centran e n uno de los cinco problemas que pueden afe ctar a los datos, ya que atraviesa la red cable: NN

Delay

NN

paquetes perdidos

NN

Error

NN

Jitter

Entrega fuera de orden NN QoS puede garantizar que las aplicaciones con una ve locidad de bits requerida reciben el ancho de banda para que funcione correctamente. Es evidente que, en las redes con exceso de ancho de banda, esto no es un factor, pero la más limita el ancho de banda es e l concepto más importante como esta se c onvierte. NOTAS: Para proporcionar la comunicación entre VLAN (comunicación entre VLAN),

es necesario utilizar un router o un conmutador de capa 3.

Pertenencia a la VLAN La mayoría de las veces, las VLAN son creados por un administrador del sistema que procede a asignar  puertos del switch a cada uno de ellos. VLAN de este tipo se conocen como VLAN estáticas. Si usted don 't

importa hacer un poco más de trabajo al comenzar este proceso, asignar todos los dispositivos de acogida ' direcciones de hardware en una base de datos por lo que sus conmutadores se pueden configurar para asignar VLAN dinámicamente cada vez que conecta un host hacia el detector. Odio decir cosas como "obviamente" pero, obviamente, este tipo de VLAN se conoce como una VLAN dinámica. Voy a estar cubriendo tanto VLANs estáticas y dinámicas próximos.

VLAN estáticas Creación de VLAN estáticas es la forma más común de crear una VLAN, y una de las razones para eso se debe a que las VLAN estáticas son las más seguras. Esta seguridad se deriva del hecho de que cualquier puerto del switch que hayas asignado una asociación de VLAN siempre mantendrá a menos que cambiar la asignación de puerto manualmente. Configuración de VLAN estática es muy fácil de configurar y supervisar, y funciona muy bien en un entorno de red donde necesita cualquier movimiento del usuario dentro de la red para ser controlado. Puede ser útil el uso de software de gestión de red para configurar los puertos, pero don 't tiene que usarlo si usted don' t quieren. En la figura 11.15, cada puerto del conmutador se ha configurado manualmente con una membresía VLAN sobre la base de que el host VLAN necesaria para ser miembro de - recuerde, real del dispositivo s importa ubicación física doesn 'ni un poco, siempre y cuando las asignaciones de VLAN e stán correctamente configurado. ¿Qué dominio de broadcast sus anfitriones se convierten en miembros de es puramente depende de usted. Y una vez más, recordar que cada huésped también tiene que tener la información de la dirección IP correcta. Por ejemplo, debe configurar cada host VLAN 2 en la red 172.16.20.0/24 para que se conviertan en miembros de esa VLAN. It 's también una buena idea tener en cuenta que si conecta un host en un interruptor, usted tiene que comprobar la pertenencia a la VLAN de ese puerto. Si el membresía es diferente de lo que es necesario para que el anfitrión, el anfitrión ganó 't ser capaz de ganar el acceso a los servicios de red que necesita, como por ejemplo un servidor de grupo de trabajo. importa ubicación física doesn 'ni un poco, siempre y cuando las asignaciones de VLAN e stán correctamente configurado. ¿Qué dominio de broadcast sus anfitriones se convierten en miembros de es puramente depende de usted.

Y una vez más, recordar que cada huésped también tiene que tener la información de la dirección IP correcta. Por ejemplo, debe configurar cada host VLAN 2 en la red 172.16.20.0/24 para que se conviertan en miembros de esa VLAN. It 's también una buena idea tener en cuenta que si conecta un host en un interruptor, usted tiene que comprobar la pertenencia a la VLAN de ese puerto. Si el membresía es diferente de lo que es necesario para que el anfitrión, el anfitrión ganó 't ser capaz de ganar el acceso a los servicios de red que necesita, como por ejemplo un servidor de grupo de trabajo. NOTA: los puertos de acceso estáticos pueden asignar manualmente a una VLAN o asignados a través

de un servidor RADIUS para su uso con IEEE 802.1x.