Diseo y Configuracin de la Red de Acceso

Lloren Cerd Alabern

VLAN Membership Policy Server (VMPS) y

Hot Standby Routing Protocol (HSRP)
Contenido:
VLAN Membership Policy Server (VMPS) ........................................................................................................... 1
1.

Introduccin.............................................................................................................................................. 1

2.

Fichero de configuracin de VMPS.......................................................................................................... 1

3.

Configuracin de los clientes de VMPS ................................................................................................... 3

4.

Cisco 1900 (Command Line Interface, CLI) ............................................................................................ 3

5.

Cisco 2950 (IOS) ...................................................................................................................................... 3

Hot Standby Routing Protocol (HSRP)................................................................................................................... 4

1.

Introduccin.............................................................................................................................................. 4

2.

Configuracin en un router CISCO .......................................................................................................... 4

VLAN Membership Policy Server (VMPS)

1. Introduccin
La configuracin de VLANs dinmicas en switches CISCO se hace a travs de VMPS. VMPS usa el paradigma
cliente-servidor con UDP (puerto por defecto del servidor: 1589).
Inicialmente los clientes configuran los puertos con una VLAN dinmica. Con esta configuracin, no se asigna
ninguna VLAN al puerto. Cuando un host conectado a un puerto con una VLAN dinmica recibe una trama, se
conecta al servidor para descubrir la VLAN a la que pertenece el host. Para ello VMPS hace un mapeo
direccin-MAC VLAN y devuelve la VLAN a la que pertenece el host. Si el host se desconecta del puerto y
se conecta a otro distinto, VMPS reconfigura dinmicamente las VLANs de los puertos.
La mayora de switches de CISCO pueden configurar sus puertos con VLANs dinmicas. Sin embargo, slo los
switches de gama alta (por ejemplo, series Catalyst 5000/6000) implementan un servidor VMPS. Para hacer esta
prctica usaremos una implementacin de libre distribucin (OpenVMPS) que puede descargarse de:
http://sourceforge.net/projects/vmps

OpenVMPS crea un daemon que se puede ejecutar desde un PC con linux. OpenVMPS lee un fichero de
configuracin que tiene el mismo formato que el fichero de configuracin VMPS de CISCO. En la siguiente
URL hay una descripcin de VMPS de CISCO:
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_5_5/sw_cfg/vmps.htm

Si el fichero de configuracin es vlan.db, para iniciar el daemon OpenVMPS hay que ejecutar simplemente:
linux# ./vmpsd f vlan.db

Para reiniciar el daemon (hace falta si deseamos cambiar el fichero de configuracin) ejecutar killall vmpsd, y
volver a ejecutar el comando anterior.

2. Fichero de configuracin de VMPS

La Figura 1 muestra un ejemplo de configuracin de VMPS distribuido con OpenVMPS (se ha aadido un
nmero de lnea). Las lneas que empiezan con el carcter ! son comentarios. A continuacin hay una breve
descripcin:

Hay que definir un VMPS domain (lnea 6), este dominio debe coincidir con el dominio VTP del switch

Diseo de Redes Corporativas

Diseo y Configuracin de la Red de Acceso

Lloren Cerd Alabern

VMPS puede operar en modo open o secure (lnea 7). En modo open: Si una MAC no est definida, se le
asigna una VLAN por defecto (lnea 8). En modo secure: Si una MAC no est definida se bloquea el puerto.
Para desbloquear un puerto hay que ejecutar los comandos shutdown / no shutdown.

En la seccin MAC Addresses (lnea 11) se asignan las VLANs a las que pertenecen las direcciones MAC.
Puede usarse --NONE-- para denegar explcitamente el acceso a cualquier VLAN. Notar que para
identificar las VLANs se usa el VLAN-name, no el VLAN-id. En el switch deben haberse creado las
VLANs con el mismo nombre que el indicado en esta seccin del fichero de configuracin.

Una VLAN se puede restringir a un switch especfico, o a un grupo de puertos de un switch. Para ello hay
que especificar:
1. Los puertos permitidos (seccin Port Groups, lnea 24). Por ejemplo, la lnea 33 especifica el puerto 2/4
del switch 10.0.0.1, y la lnea 34 especifica todos los puertos del switch 10.0.0.2.
2. Las VLANs a las que se les aplicar alguna restriccin (seccin VLAN groups, la lnea 36).
3. La asociacin entre las definiciones anteriores (seccin VLAN port Policies, lnea 43).

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.

!vmps domain <domain-name> - The VMPS domain must be defined.

!vmps mode { open | secure } - The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny } - The default value is allow.
!
vmps domain mydomain
vmps mode open
vmps fallback --NONE-vmps no-domain-req deny
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!MAC Addresses
! address <addr> vlan-name <vlan_name>
!
vmps-mac-addrs
!
address 0010.a49f.30e1 vlan-name --DEFAULT-! disabled - no access
address 0010.a49f.30e2 vlan-name --NONE-! vlan TEST restricted
address 0010.a49f.30e3 vlan-name TEST
! vlan TEST1 unrestricted
address 0010.a49f.30e4 vlan-name TEST1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!Port Groups
!vmps-port-group <group-name>
! default-vlan <vlan-name>
! fallback-vlan <vlan-name>
! device <device-id> { port <port-name> | all-ports }
!
vmps-port-group myswitch
default-vlan VLAN1
fallback-vlan VLAN2
device 10.0.0.1 port 2/4
device 10.0.0.2 all-ports
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!VLAN groups
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
!
vmps-vlan-group myvlans
vlan-name TEST
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!VLAN port Policies
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!
vmps-port-policies vlan-group myvlans
port-group myswitch

Figura 1: Ejemplo de configuracin VMPS.

Diseo de Redes Corporativas

Diseo y Configuracin de la Red de Acceso

Lloren Cerd Alabern

3. Configuracin de los clientes de VMPS

Debe configurarse:

La direccin IP del switch.

El dominio VTP.

La direccin del servidor VMPS.

Configurar las interfaces con VLANs dinmicas.

4. Cisco 1900 (Command Line Interface, CLI)

Para asignar la direccin IP del switch:

(config)# ip address ip-add mask

Para definir el dominio VTP:

(config)# vtp domain domain-name

Para asignar la direccin IP del VMPS:

(config)# vlan-membership server ip-addr

Para reconfirmar con el VMPS la configuracin de las VLANs:

# vlan-membership reconfirm

Para configurar un puerto con VLAN dinmica:

(config-if)# vlan-membership dynamic

NOTA: desde el men se puede cambiar la configuracin esttica o dinmica a un

conjunto de puertos.

#
#
#
#

Verificacin:
show
show
show
show

ip
vlan
vlan-membership
vlan-membership server

5. Cisco 2950 (IOS)

Para asignar la direccin IP del switch:

Hay que entrar en modo de configuracin de la subinterface de la VLAN a la que queremos asignar la
direccin IP:

Switch(config)# interface vlan vlan-id

Switch(config-if)# ip address ip-add mask

Para definir el dominio VTP:

Switch(config)# vtp domain domain-name

Para asignar la direccin IP del VMPS:

Switch(config)# vmps server ip-addr

Para reconfirmar con el VMPS la configuracin de las VLANs:

Switch# vmps reconfirm

Para configurar un puerto con VLAN dinmica:

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan dynamic

Diseo de Redes Corporativas

Diseo y Configuracin de la Red de Acceso

Lloren Cerd Alabern

Verificacin:

Switch# show vlan

Switch# show vmps

Hot Standby Routing Protocol (HSRP)

1. Introduccin
HSRP es un protocolo propietario de CISCO que permite introducir un router de backup. Por ejemplo, en la
Figura 2 todos los PCs tendran el mismo router cmo router por defecto. Si este cayera, todos los PCs quedaran
sin poder salir de su red.
R1
R2

...

...

Figura 2

Figura 3

HSRP permite configurar dos routers (por ejemplo R1 y R2 en la Figura 3) de forma que una de sus interfaces
comparta una direccin IP y una direccin MAC virtual. Esa direccin virtual es vista por todos los PCs como
si fuera la direccin de un nico router. Los dos routers se envan mensajes de hello peridicamente entre ellos
(cada 3 segundos). Uno de ellos es el router activo y el otro est en estado standby. Si el standby deja de recibir
hellos del router activo (durante 8 segundos), pasa a ser el router activo.
A la interfaz que van a compartir los routers hay que asignar dos direcciones: la direccin nica del router y la
direccin virtual. La MAC virtual es siempre 0000.0c07.acXX, donde XX es el standby group, es decir, un
nmero que identifica el grupo de routers que comparten la interfaz.
Para ms detalles sobre HSRP se puede consultar el RFC 2281.

2. Configuracin en un router CISCO

Una posible configuracin para el ejemplo de la Figura 3 sera la siguiente:
R1(config)# interface ethernet 0
R1(config-if)# ip address 10.0.0.1 255.255.255.0
R1(config-if)# standby 1 ip 10.0.0.5
R1(config-if)# standby 1 priority 110
R1(config-if)# standby 1 preempt
R2(config)# interface ethernet 0
R2(config-if)# ip address 10.0.0.2 255.255.255.0
R2(config-if)# standby 1 ip 10.0.0.5
R2(config-if)# standby 1 priority 105
R2(config-if)# standby 1 preempt

El comando standby 1 ip 10.0.0.5 establece la direccin virtual 10.0.0.5 y Standby group 1.

El comando standby 1 priority 110 establece una prioridad de 110 en la eleccin del router activo. A mayor valor
de la prioridad, mayor prioridad en la eleccin.
El comando standby 1 preempt establece que si entra en servicio un router con prioridad mayor, pasar a ser el
router activo.
Verificacin:
Router# show standby

Diseo de Redes Corporativas