Los puertos de switch son componentes fundamentales de su infraestructura de TI que permiten la comunicación de red. Estos dispositivos de hardware alámbricos son responsables de conectar y permitir la transferencia de datos entre diferentes dispositivos y partes de la red que están conectadas a sus puertos. Dado que desempeñan un papel fundamental para garantizar la conectividad y la disponibilidad de la red, es importante que los administradores de red tengan una comprensión, asignación y visibilidad clara de los puertos de sus switches de red.
La discusión sobre "Puertos de acceso vs. Puertos troncales" se debe comprender claramente y evaluar para aprovechar la implementación efectiva de puertos de switch y superar varios desafíos de la gestión de puertos de switch en su red. En esta página, explicaremos las diferencias clave entre los puertos de acceso y los puertos troncales.
Conceptos Básicos del Puerto Troncal
Los puertos troncales están configurados para transportar tráfico y permitir la comunicación de red entre diferentes VLAN. De forma predeterminada, los puertos troncales permiten el tráfico de todas las VLAN de la red. Sin embargo, los administradores de red pueden limitar o eliminar las VLAN necesarias para restringir su tráfico a través de los puertos troncales. Los puertos troncales se utilizan a menudo para conectar diferentes puertos de switch en un diseño de red jerárquico. También se pueden utilizar para conectar puertos de switch a otros componentes de red, como servidores DHCP y firewalls.
Tramas de Puerto Troncal y Etiquetado VLAN
Los puertos troncales facilitan la comunicación entre los diferentes componentes de la red mediante tramas de datos etiquetadas. Basándose en protocolos como IEEE 802.1Q e ISL, los puertos troncales etiquetan cada paquete con un ID de VLAN. Los puertos de switch que procesan estas tramas de datos utilizan el ID de VLAN para reenviar el paquete a su VLAN de destino prevista.
Dado que los puertos troncales procesan solo tramas de datos etiquetadas, es importante asegurarse de que hay dos puertos troncales vecinos configurados de la misma manera. Es decir, si un puerto troncal está configurado para permitir el tráfico de la VLAN A hacia la VLAN B, el puerto troncal vecino también debe configurarse para permitir el tráfico de la VLAN A hacia la VLAN B.
Por ejemplo, los puertos troncales se pueden utilizar para conectar un switch central a varios switches de distribución, que luego se conectan a diferentes switches de acceso. Esto permite una mejor escalabilidad y una mayor eficiencia de la red.
Puerto de Acceso vs. Puerto Troncal: Diferencias Clave
Comprender la capacidad, las funcionalidades y las diferencias clave del procesamiento de tramas de datos es fundamental para configurar de forma efectiva los puertos de switch de acceso y troncal en los puertos de switch de red. Dado que la diferencia fundamental entre estos puertos es el número de VLAN que admiten, los administradores de red también deben tener en cuenta las siguientes diferencias clave.
| Factor | Puerto de Acceso | Puerto Troncal |
|---|---|---|
| Conectividad del Dispositivo | Recomendado para dispositivos finales que operan dentro de la misma VLAN. Ofrecen configuraciones de mayor calidad de servicio (QoS) y permiten una mayor interoperabilidad con otros componentes de red. | Recomendado para componentes de red, como servidores y firewalls. Es más difícil garantizar una calidad de servicio óptima en las conexiones de puerto troncal, ya que permiten la comunicación entre diferentes VLAN con diferentes condiciones de red. |
| Configuración | Predeterminado: Admiten la comunicación en la VLAN predeterminada de una red (VLAN 1). Los administradores deben configurar la VLAN específica en la que desean utilizar el puerto. | Predeterminado: Admiten la comunicación entre todas las VLAN de la red. Los administradores deben aprovechar la limitación de VLAN (pruning), un proceso que les permite reducir el tráfico de difusión innecesario. |
| Resolución de Problemas | Menos compleja, ya que solo afectan a una sola VLAN. | Difícil, ya que amplían el soporte y afectan a varias VLAN. |
| Conmutación de Capa 2 vs. Capa 3 | Se utiliza en la conmutación de capa 2, ya que no ofrecen transferencia de datos de subred cruzada. Se puede utilizar junto con switches de capa 3 para proporcionar conectividad de capa 2 a dispositivos en la misma VLAN. | Ofrecen transferencias de datos entre subredes IP y VLAN, por lo que se pueden utilizar tanto en la conmutación de capa 2 como en la de capa 3. |
| Protocolo de Árbol de Expansión (STP) | Se admite la implementación de STP de red configurada por VLAN. | Se admite la implementación de STP de red configurada por puerto. |
| Seguridad | Ofrece mejor seguridad y aislamiento de comunicaciones, ya que se configuran normalmente con funciones de seguridad de puertos, como filtrado de direcciones MAC y autenticación 802.1X. Reducen las posibilidades de que un atacante no autorizado penetre en la red. | Permite la comunicación entre varias VLAN con diferentes refuerzos de seguridad, por lo que es comparativamente menos seguro. |
| Dominio de Difusión | Solo admite un único dominio de difusión. | Admite varios dominios de difusión. |
¿Cuándo Usar Puertos de Acceso vs. Puertos Troncales?
Al elegir entre puertos de acceso y puertos troncales, además de comprender las diferencias principales, también es importante tener en cuenta los requisitos específicos de los dispositivos que se conectan y la jerarquía general de la red.
Ejemplos de Casos de Uso:
- Estaciones de Trabajo de Oficinas Locales: Los dispositivos conectados aquí a menudo solo requieren acceso a una sola VLAN o subred IP. Configurar los puertos de switch de conexión con puertos de acceso garantiza que los administradores de red controlen y tengan visibilidad sobre qué dispositivos tienen acceso a qué recursos de red, y puede ayudar a evitar ataques o accesos no autorizados.
- Dispositivos de Red Compartidos: Los usuarios que operan en varias subredes IP o VLAN acceden a dispositivos de oficina, como teléfonos IP, puertas de enlace VoIP, sistemas de videoconferencia e impresoras. Estos dispositivos deben conectarse a un puerto troncal para admitir este requisito. Sin embargo, si estos dispositivos se van a utilizar dentro de una subred, los puertos de acceso son adecuados.
- Entornos de Red Inalámbrica: Los habilitadores de redes inalámbricas, como puntos de acceso, requieren permitir el acceso y la comunicación a través de varias VLAN. Esto requiere que los puntos de acceso estén conectados a un puerto de switch configurado como un puerto troncal.
- Componentes de Almacenamiento y Gateway: Las redes que implementan sistemas RAID y dispositivos de gateway, incluidos los firewalls de red, deben conectar estos dispositivos a puertos troncales para permitir funciones de comunicación de red integrales.
- Entornos de Alta Disponibilidad: Los puertos troncales permiten conexiones redundantes en redes de alta disponibilidad al tiempo que permiten el acceso a varias VLAN. Al usar puertos troncales para conectar switches en una red HA, los administradores de red pueden crear una topología de red resistente que pueda manejar la congestión del tráfico y proporcionar un failover eficiente en caso de fallo de la red.
Configuración Básica de un Enlace Troncal
La configuración de un enlace troncal en un puerto de switch es fundamental para permitir el paso del tráfico de múltiples VLANs a través de una única conexión física. Esto es crucial para la segmentación de la red y la gestión eficiente del tráfico.
Para configurar un enlace troncal en un puerto de switch, utilice el comando switchport mode trunk. Cuando ingresa al modo enlace troncal, la interfaz cambia al modo permanente de enlace troncal y el puerto ingresa a una negociación de DTP para convertir el vínculo a un vínculo de enlace troncal, por más que la interfaz que la conecta no acepte cambiar.
Nota: Esta configuración supone el uso de switches Cisco Catalyst 2960 que utilizan de manera automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros switches requieran la configuración manual de la encapsulación.
Un enlace troncal de VLAN es un enlace de capa 2 del modelo OSI entre dos switches que transporta el tráfico para todas las VLAN (a menos que se restrinja la lista de VLAN permitidas de manera manual o dinámica). Para configurar un puerto de switch en un extremo de un enlace troncal, utilice el comando switchport mode trunk. Con este comando, la interfaz cambia al modo de enlace troncal permanente. El puerto establece una negociación de protocolo de enlace troncal dinámico (DTP) para convertir el enlace en un enlace troncal, incluso si la interfaz conectada a este no acepta el cambio.
Configuración de VLANs y Puertos de Acceso
Antes de configurar un enlace troncal, es importante entender cómo funcionan las VLANs y los puertos de acceso. Un puerto de acceso puede pertenecer a solo una VLAN por vez. El comando switchport mode access es optativo, pero se aconseja como práctica recomendada de seguridad.
La siguiente sintaxis muestra cómo definir un puerto como puerto de acceso y asignarlo a una VLAN:
interface interface-idswitchport mode accessswitchport access vlan vlan-id
El comando switchport access vlan fuerza la creación de una VLAN si es que aún no existe en el switch.
Creación de VLANs
La sintaxis del comando de IOS de Cisco que se utiliza para agregar una VLAN a un switch y asignarle un nombre es:
vlan vlan-idname nombre-vlan
Etiquetado y Desetiquetado de Tramas
Los switches de la serie Catalyst 2960 son dispositivos de capa 2. Estos utilizan la información del encabezado de la trama de Ethernet para reenviar paquetes. No poseen tablas de routing. El encabezado de las tramas de Ethernet estándar no contiene información sobre la VLAN a la que pertenece la trama; por lo tanto, cuando las tramas de Ethernet se colocan en un enlace troncal, se debe agregar la información sobre las VLAN a las que pertenecen. Este proceso, denominado “etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q, especificado en el estándar IEEE 802.1Q.
El proceso de añadir el ID de la VLAN se denomina frame tagging o etiquetado de la trama. Recordemos que cuando estamos hablando de tramas, lo hacemos a nivel de capa 2, es decir, a nivel de enlace de datos. Se modifica la información que se encuentra dentro de la trama para que así los switches involucrados logren identificar tanto las VLANs de origen como de destino. El proceso de quitar el ID de la VLAN se denomina frame untagging o desetiquetado de la trama.
Configuración de VLAN Nativa
Una VLAN nativa está asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal son los enlaces entre switches que admiten la transmisión de tráfico asociado a más de una VLAN. Los puertos de enlace troncal 802.1Q admiten el tráfico proveniente de muchas VLAN (tráfico con etiquetas), así como el tráfico que no proviene de una VLAN (tráfico sin etiquetar). El tráfico con etiquetas hace referencia al tráfico que tiene una etiqueta de 4 bytes insertada en el encabezado de la trama de Ethernet original, que especifica la VLAN a la que pertenece la trama.
Las VLAN nativas se definen en la especificación IEEE 802.1Q a fin de mantener la compatibilidad con el tráfico sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas. Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1 y de otras VLAN.
Siempre configure ambos extremos de un enlace troncal con la misma VLAN nativa.
La siguiente sintaxis de comando IOS de Cisco se utiliza para especificar una VLAN nativa diferente a la VLAN 1:
interface interface-idswitchport trunk native vlan vlan-id
Especificación de VLANs Permitidas en un Enlace Troncal
La siguiente sintaxis de comando se utiliza para admitir una lista de las VLAN en el enlace troncal. En este puerto de enlace troncal, admita las VLAN 10, 20 y 30:
interface interface-idswitchport trunk allowed vlan vlan-list
El comando switchport mode trunk permite realizar un enlace troncal de todas y cada una de las VLANs, pero todos los switches permiten añadir o quitar los VLAN ID de este enlace troncal. ¿Para qué vamos a pasar una VLAN si realmente no la vamos a utilizar en el otro switch?
Ejemplo de Configuración
En este ejemplo, las VLAN 10, 20 y 30 admitirán las computadoras del Cuerpo Docente, del Estudiante y del Invitado: PC1, PC2 y PC3. El puerto F0/1 en el switch S1 se configura como un puerto de enlace troncal para admitir las VLAN 10, 20 y 30. La VLAN 99 se configura como la VLAN nativa.
Comandos de Configuración en Switch S1:
enableconfigure terminalinterface FastEthernet0/1switchport mode trunkswitchport trunk native vlan 99switchport trunk allowed vlan 10,20,30end
Verificación de la Configuración del Enlace Troncal
El comando show interfaces interface-ID switchport se utiliza para verificar la configuración del puerto de switch. La salida de este comando muestra el modo administrativo del puerto, el modo de enlace troncal, la VLAN nativa y las VLAN permitidas.
Comando de Verificación:
show interfaces FastEthernet0/1 switchport
La imagen que compartimos más arriba simula una pequeña red que consiste en dos ordenadores y cada uno de los mismos está conectado a un switch. A su vez, estos switches se encuentran conectados entre sí. Este escenario consiste en la aplicación de un enlace troncal que permite que dos ordenadores en una misma VLAN pueden comunicarse.
Ahora vemos la misma red de ejemplo, pero con el detalle de los puertos utilizados. Generalmente para la configuración de los enlaces troncales, se utiliza el último puerto de cada switch.
Administración de una Configuración de Enlace Troncal
Se muestran los comandos para reestablecer las VLANs admitidas y la VLAN nativa del enlace troncal al estado predeterminado. También se muestra el comando para reestablecer el puerto de switch a un puerto de acceso y, en efecto, eliminar el puerto de enlace troncal.
Para reestablecer todas las VLANs configuradas en la interfaz del enlace troncal:
S1 (config-if) #no switchport trunk allowed vlan
Para reestablecer la VLAN nativa nuevamente a VLAN1:
S1 (config-if) #no switchport trunk native vlan
Para reestablecer la interfaz de puerto de enlace troncal nuevamente a un puerto de modo de acceso estático:
S1 (config-if) #switchport mode access
Consideraciones Adicionales y Troubleshooting
Protocolos de Troncalización
El protocolo esencial que da vida al enlace troncal es el que pertenece al estándar IEEE 802.1Q. Los dos métodos más comunes son 802.1q, que cambia un campo dentro del paquete, y el ISL (creado y licenciado por Cisco) que agrega un encabezado adicional al marco, pero deja intacta la información básica en el marco original.
Si el switch admite tanto el encapsulamiento de VLAN ISL como el de 802.1Q, los enlaces troncales deben especificar qué método utilizan.
DTP (Dynamic Trunking Protocol)
DTP es un protocolo propietario de Cisco que se encarga de administrar la negociación del enlace troncal, pero solo si el puerto del otro switch se configura como un enlace troncal que pueda funcionar con DTP. Si se tienen otras marcas de dispositivos, no se podrá utilizar.
Problemas Comunes y Soluciones
Uno de los problemas comunes es el error de encapsulación, que puede aparecer en switches Cisco con el mensaje "Command rejected: An interface whose trunk encapsulation is ‘Auto’ can not be configured to ‘trunk’ mode'". Este mensaje indica que el modo troncal también puede fallar cuando la opción “auto” espera una negociación que no siempre se completa.
Otro problema habitual es el VLAN native mismatch. Esto pasa cuando dos switches conectados por un trunk tienen configurada una VLAN nativa diferente. La solución pasa por alinear las VLANs nativas en ambos lados con el comando switchport trunk native vlan, por ejemplo, switchport trunk native vlan 10.
Tampoco hay que pasar por alto que los bucles de red son un riesgo en configuraciones con trunks. Por eso es importante chequear el estado de STP con show spanning-tree y ajustar la prioridad del switch raíz con spanning-tree vlan priority si es necesario. Desactivar puertos sospechosos tampoco es mala opción si el problema persiste.
Cisco Packet Tracer – video 13: Como crear vlans y enlaces troncales (3 switches)
Beneficios de los Enlaces Troncales
El conocimiento sobre los enlaces troncales agrega mucho valor a la hora de garantizar un buen desempeño de nuestras redes locales. De primeras, nos ayudan a que la calidad de transmisión sea mayor, además de que también se consigue que la eficiencia del ancho de banda en la red aumente también. Todo esto, nos lleva a que la configuración de un enlace trunk sea inevitable si se quiere disfrutar de una correcta distribución del tráfico en múltiples enlaces de comunicación. Con esto se consigue que la red en cuestión, que es la nuestra en este caso, pueda funcionar de una manera más eficiente en todo momento. Sin olvidar mencionar que se simplifica la gestión, se aumenta la flexibilidad y también se logra mejorar la seguridad.
Ventajas de la Segmentación con VLANs y Enlaces Troncales:
- Seguridad: Los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial.
- Reducción del tamaño de los dominios de difusión: La división de una red en redes VLAN reduce la cantidad de dispositivos en el dominio de difusión.
- Mayor eficiencia del personal de TI: Las VLAN facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN.
- Administración más simple de aplicaciones y proyectos: Las VLAN agregan dispositivos de red y usuarios para admitir los requisitos geográficos o comerciales.
Cada VLAN en una red conmutada corresponde a una red IP.