Servidor OpenVMPS

1. ndice
1. ndice
2. Introduccin
3. Instalacin
4. Configuracin
5. Verificacin del funcionamiento
2. Introduccin
El servidor que instalar es el OpenVMPS aunque para resumir me referir a l como
VMPS.
El servidor VMPS hace la funcin de servidor para la base de datos de asignacin de
VLANs dinmicas. En las redes basadas en equipos de Cisco Systems hay la posibilidad
de asignar de manera dinmica los puertos a una u otra VLAN dependiendo de la
direccin MAC del dispositivo conectado a un puerto determinado, los dipositivos
capaces de realizar esta funcin son los Cisco Catalyst de las series 6000, al ser una
gama alta pueden no estar al alcance de cualquier empresa que quiera implementar este
sistema, para ello hay la alternativa de instalar el servidor VMPS en un servidor Linux a
un coste mucho menor, ya que las necesidades de prestaciones del servidor son
mnimas.
El funcionamiento de las VLAN virtuales es el siguiente: cuando se conecta un
dispositivo a un puerto de un conmutador, y el conmutador recibe la direccin MAC del
dispositivo, ste enva una consulta al servidor VMPS indicando la direccin MAC del
dispositivo y pide la VLAN a la que se ha de asignar, el servidor VMPS tiene una base
de datos (un fichero) en la que consulta la VLAN a la que hay que asignar la direccin
MAC, si no encuentra ninguna VLAN le asigna una por defecto. Cuando el servidor
VMPS le responde con la VLAN, el puerto pasa a ser asignado a dicha VLAN.
Hay que tener en cuenta que el servidor VMPS no responde con un nmero de VLAN,
sino que responde con el nombre de la VLAN, por lo que los conmutadores (switch)
han de tener configuradas las VLAN con nombres asignados.
El servidor VMPS permite muchas configuraciones, pero en ste caso, de momento al
menos, solamente configurar el servidor para asignar VLAN a puertos.
3. Instalacin
Yo uso el sistema operativo Linux CentOS, en otros sistemas la instalacin ser similar.
Primeramente se descarga el software de la web: http://sourceforge.net/projects/vmps/
La versin del fichero que he encontrado y que usar se llama: vmpsd-1.4.03.tar.gz
En mi caso guardar el fichero en el directorio /vmpsd e instalar el servidor en la ruta
/vmpsd/servidor. Pasos:
[root@localhost /]# cd vmpsd
[root@localhost vmpsd]# ls
vmpsd-1.4.03.tar.gz
[root@localhost vmpsd]# tar -xvf vmpsd-1.4.03
vmpsd-1.4.03/

Si hay algn problema instalndolo, en el directorio donde se descomprime el archivo
descargado hay un fichero llamado "INSTALL" donde indica como instalarlo tambin.
Una vez instalado el servidor, para ejecutarlo aconsejo introducir los siguientes
parmetros:
-d: muestra mensajes del servidor, errores, ... sin tener que revisar el registro de
errores. De esta manera si hay que "matar" el proceso se puede hacer con
Control+C y sin tener que buscar el proceso y matarlo. Para hacer pruebas ya
est bien, si es en un entorno de produccin se puede omitir este parmetro y
ejecutarlo en segundo plano cuando se ha verificado su funcionamiento.
-f: especifica el fichero de la BBDD donde se encuentra la informacin de las
VLAN y las direcciones MAC.
-a: especifica la direccin IP en la que tiene que "escuchar" para las peticiones
entrantes.
As pues, el comando completo que ejecuto para utilizar el servidor VMPSd es:
/vmpsd/vmpsd -d -f /etc/vmps.db -a 192.168.0.2
4. Configuracin
Una vez instalado el servidor VMPSd, hay que configurarlo, para ello se crea un fichero
(o se usa el que viene de ejemplo llamado vlan.db) y se edita.
Los parmetros que usar son:
Dominio VTP: redespracticas
Modo abierto.
VLAN por defecto "default".
Se permiten peticiones donde no se especifique el dominio VTP.
El dominio VTP es el que se ha configurado en los conmutadores. El modo tiene dos
valores: abierto (open) si se permite que las direcciones MAC que no tienen VLAN
configurada sean asignadas a la VLAN por defecto, o bien seguro (secure) en caso de
que cuando se conecte un dispositivo con una MAC no configurada en la base de datos,
el puerto se desactive y se tenga que acceder al switch por consola y activarlo de nuevo.
La VLAN por defecto es la VLAN que se asignar a los puertos donde la direccin
MAC no est configurada. En este caso se permitirn conexiones donde no se
especifique el dominio VTP. Estos cuatro parmetros es obligatorio indicarlos.
Se configurarn dos asignaciones de direcciones MAC a VLAN:
MAC: 0040.9531.eb8b -> VLAN "PRUEBA"
MAC: 1234.5678.9123 -> VLAN "Administracin"
El fichero de configuracin "vlan.db" queda as:
vmps no-domain-req allow
vmps-mac-addrs
address 0040.9531.eb8b vlan-name PRUEBA
address 1234.5678.9123 vlan-name Administra

5. Verificacin del funcionamiento
Este apartado est explicado en la seccin Conmutacin -> VLAN y VTP -> VLAN
dinmicas.
Para ir al apartado correspondiente presione en el siguiente enlace: VLAN dinmicas
Redes locales virtuales (VLAN y VTP)
1. ndice
1. ndice
2. Introduccin
3. Topologa
4. Configuracin VLAN
5. Configuracin de los enlaces troncales
6. Ajustes de VTP
7. VLANs dinmicas
2. Introduccin
Se entiende por red local (LAN), la que est localizada en un entorno reducido, puede
ser una habitacin, un auditorio, toda una planta de un edificio, o un edificio entero, a
diferencia de una red de rea amplia (WAN) que abarcara desde la conexin entre dos
pueblos, dos pases vecinos o situados en los extremos del planeta Tierra o una red de
rea metropolitana (MAN) que abarcara localizaciones separadas pero dentro de una
misma ciudad por ejemplo.
Al ser tan genrico el trmino "red de rea local" y dndose tantas escalas, tambin
pueden darse muchas topologas distintas, haber desde solamente un grupo reducido de
dispositivos hasta cientos o miles de dispositivos, de diferentes tipos como PC,
servidores, telfonos IP, ... por lo que si se colocasen todos en la misma red fsica sera
algo catico.
Una posibilidad es fragmentar fsicamente la red segn los departamentos, como
colocando un switch por departamento y luego conectarlos entre ellos, aunque as puede
darse el caso de desaprovechar aparatos, sobredimensionar la red segn las necesidades,
por ejemplo, tener que poner un switch de 24 puertos para un departamento con 17 PCs,
y otro switch de 48 puertos para otro departamento con 28 PCs, en ste caso se
necesitaran 17+28=45 puertos, y los switch en total suman 72 puertos y restando un
puerto en cada switch para la interconexin an sobraran 15 puertos, y an as, habra
la posibilidad de que si un PC estuviese infectado por malware, este se propagase a toda
la red.
Otra posibilidad, es colocar un solo switch de 48 puertos y segmentar la red a nivel
lgico, esto significa que fsicamente todos los PC estn conectados al mismo
dispositivo (el mismo switch) pero el switch est configurado para que se comporte
como dos o ms redes independientes. Esto tambin tiene la ventaja de que en este caso
las difusiones (broadcast), las subredes, ... se encuentran aisladas unas de otras por lo
que en caso de que un PC tenga un virus que afecte a la red, solo afectara a la red
virtual (VLAN) en la que se encuentre. Y en caso se que haya que interconectar varios
switch, se seguir manteniendo la separacin lgica entre las diferentes redes virtuales
configuradas.
Esta separacin lgica se hace a todos los niveles menos el fsico, es decir, a cualquier
dato que entre por un puerto de un switch configurado con una o ms VLAN se le
asigna una "etiqueta" con el identificador de la red virtual que se ha asignado al puerto
por donde ha entrado. En caso de que los datos entrantes vengan de otro switch, el otro
switch ya le habr asignado la etiqueta correspondiente y el receptor mirar su tabla de
direcciones MAC para decidir a donde enviar los datos recibidos. De la misma manera,
el protocolo de rbol expandido (Spanning-Tree Protocol - STP) tambin tratar a las
diferentes LANs virtuales como redes independientes bloqueando puertos para una
VLAN y para otra dejndolos en estado de reenvo (Forward).
Las VLANs estn definidas por el estndar 802.1q y la encapsulacin a la hora de
configurarlas en conmutadores de la marca Cisco se define con el nombre del estndar:
"dot1q".
Hay dos tipos de puertos en las VLAN y VTP, los de acceso que solamente pertenecen a
una VLAN y es en los que se conectan los hosts, y los troncales que tienen el fin de
interconectar switch y por donde pasan una o varias VLAN configuradas pero el puerto
no tiene asignada explcitamente ninguna VLAN.
Si hay un enlace entre switch que tiene la finalidad de unir una VLAN configurada en
cada conmutador, no es necesario configurar el puerto como troncal, sino que se puede
configurar el puerto como de acceso y asignarle la VLAN que se quiere unir con l, esta
opcin es vlida solamente cuando se quieren llevar datos de una sola VLAN por un
puerto, si se quieren unir dos o ms VLANs el puerto ha de ser configurado como
troncal.
Existen dos tipos de VLAN:
Dinmicas: se configura una base de datos con las direcciones MAC y las VLAN que
tienen permitidas, cuando un dispositivo con una direccin MAC almacenada en la
base de datos se conecta al switch, ste le asigna la VLAN definida, en caso de no
haber ninguna VLAN definida para la direccin MAC, se asigna una predeterminada.
Estticas: la asignacin de VLAN se hace en base al puerto por el cual se conecta el
dispositivo, en caso de no haber ninguna VLAN explcitamente configurada para un
puerto, ste tendr asignada la VLAN de administracin (VLAN nmero 1).
Aqu pueden encontrarse documentos sobre este y otros estndares: ir a la pgina de los
estndares 802.1 del IEEE.
3. Topologa
La topologa que se usar estar formada por cinco switch y un enrutador:
2 Catalyst 2950G
2 Catalyst 2950T
1 Catalyst 3550-EMI
1 Cisco 7204VXR
Ser la misma topologa que se usar para el apartado sobre el protocolo Spanning-Tree.
En ste caso se simularn tres departamentos de una empresa y aparte la red de Voz IP,
cada departamento tendr su VLAN y la red de voz tendr su propia VLAN
independiente, por lo que por cada usuario que haya en la supuesta empresa habr dos
puertos del switch en uso (para el PC y para el telfono IP).
Topologa de la red:

Cada departamento y servicio usar los puertos siguientes:
Direccin: 2 usuarios.
o 2950G1: Fa 3, Fa 4.
Administracin: 8 usuarios y 2 impresoras en red.
o 2950G1: Fa 11, Fa 12, Fa 15, Fa 16, Fa 17, Fa 18.
o 2950G2: Fa 3, Fa 4, Fa 7, Fa 8.
Comercial: 10 usuarios, 4 impresoras en red, 4 datfonos.
o 2950G2: Fa 9, Fa 10, Fa 11, Fa 12.
o 2950T1: Fa 3, Fa 4, Fa 7, Fa 8, Fa 11, Fa 12, Fa 13, Fa 14, Fa 15, Fa 16.
o 2950T2: Fa 1, Fa 2, Fa 3, Fa 4.
Voz IP: 20 usuarios, 1 servidor de Voz IP.
o 2950G1: Fa 19, Fa 20, Fa 21, Fa 22, Fa 23, Fa 24.
o 2950G2: Fa 15, Fa 16, Fa 17, Fa 18, Fa 19, Fa 20.
o 2950T1: Fa 19, Fa 20, Fa 21, Fa 22, Fa 23, Fa 24.
o 2950T2: Fa 15, Fa 16.
o 3550: Fa 48 (Servidor VoIP).
Las conexiones del switch 3550 al router 7204vxr no sern configuradas como un
EtherChannel sino que sern dos conexiones independientes en modo troncal
transportando cada una de ellas unas VLAN distintas.
Topologa de interconexin entre VLANs:

Las interfaces que forman los EtherChannels no se muestran porque al estar agrupadas
en un Port Channel dejan de configurarse independientemente.
Todos los EtherChannels usan el protocolo PAgP y estn en modo "on", aunque para
las VLAN y VTP no tiene importancia.
Inicialmente solamente se configurarn los switch sin tener en cuenta el router,
posteriormente se configurarn los enlaces troncales entre switchs y del switch al router,
se aplicarn ACLs para filtrar trfico entre VLAN y finalmente se verificar la
conectividad entre dispositivos de cada VLAN y tambin que pueden conectarse a "la
nube".
4. Configuracin de las LANs virtuales
La configuracin de las VLAN es sencilla, ha de configurarse el puerto en modo de
acceso y asignarlo a una VLAN, segn los puertos especificados en el apartado anterior:
Direccin (VLAN 10): 2 usuarios.
o 2950G1: Fa 3, Fa 4.
Administracin (VLAN 20): 8 usuarios y 2 impresoras en red.
o 2950G1: Fa 11, Fa 12, Fa 15, Fa 16, Fa 17, Fa 18.
o 2950G2: Fa 3, Fa 4, Fa 7, Fa 8.
Comercial (VLAN 30): 10 usuarios, 4 impresoras en red, 4 datfonos.
o 2950G2: Fa 9, Fa 10, Fa 11, Fa 12.
o 2950T1: Fa 3, Fa 4, Fa 7, Fa 8, Fa 11, Fa 12, Fa 13, Fa 14, Fa 15, Fa 16.
o 2950T2: Fa 1, Fa 2, Fa 3, Fa 4.
Voz IP (VLAN 90): 20 usuarios, 1 servidor de Voz IP.
o 2950G1: Fa 19, Fa 20, Fa 21, Fa 22, Fa 23, Fa 24.
o 2950G2: Fa 15, Fa 16, Fa 17, Fa 18, Fa 19, Fa 20.
o 2950T1: Fa 19, Fa 20, Fa 21, Fa 22, Fa 23, Fa 24.
o 2950T2: Fa 15, Fa 16.
o 3550: Fa 48 (Servidor VoIP).
Pondr la configuracin de las VLAN en los switch Catalyst 2950G1 y 2950G2 usando
diferentes comandos para configurar las propiedades de las VLAN, la configuracin de
los switch 2950T1, 2950T2 y 3550 es similar solo cambiando el nmero de puerto y
VLAN. La configuracin se hace con los siguientes pasos:
1. Se crea la VLAN de una de las siguientes maneras:
o Desde el modo "(vlan)" con los comandos:
"vlan database": pasa al modo de configuracin vlan desde el modo
privilegiado (switch#).
"vlan <id> name <nombre> state <estado> media <tipo de medio>":
crea o modifica una vlan existente con los parmetros especificados. El
parmetro esencial solo es el parmetro "id" donde se pone el nmero
de VLAN. El parmetro "name" sirve para darle un nombre
identificativo a la VLAN, si el nombre tiene espacios ha de ir entre
comillas dobles "". El parmetro "state" indica el estado de la VLAN, si
est activada o no, las opciones son "active" para activarla o "suspend"
para desactivarla. El parmetro "media" indica el tipo de medio por el
cual irn las tramas, puede ser Ethernet, Token Ring o FDDI.
o Desde el modo de configuracin global ("switch(config)#") con los comandos:
"vlan <id>": entra en modo de configuracin de la VLAN.
"name <nombre>": asigna un identificador alfanumrico a la VLAN.
"media <medio>": igual que del otro modo hay las opciones Ethernet,
FDDI o Token Ring.
"state <estado>": estado de la VLAN, las opciones son "active" o
"suspend".
2. Se establece el tipo de puerto como de acceso y se asignan los puertos a las VLAN
correspondientes. Desde el modo de configuracin global:
"interface [range] <fast|giga> <slot>/<puerto>": entra en el modo de
configuracin de la/s interfaz/ces.
"switchport mode access": establece el puerto como puerto de
acceso.
"switchport access vlan <id>": se asigna el puerto a la VLAN indicada
en <id>. En caso de que las VLAN vayan nombradas, el identificador
sigue siendo el nmero asignado.
3. De los puertos de acceso configurados, se establecen los que van a ser para conectar
host de los que van a ser para hosts:
"interface [range] <fast|giga> <slot>/<puerto>": entra en el modo de
configuracin de la/s interfaz/ces.
"switchport host": indica que en este puerto ir conectado un
dispositivo "cliente" como un PC, servidor, telfono IP, ... Al ejecutar
este comando, el switch lleva a cabo los siguientes cambios en el
puerto:
Se deshabilita cualquier EtherChannel del cual forme parte la
interfaz.
Se establece el puerto como puerto de acceso (si en lugar de
introducir en el paso anterior el comando "switchport mode
access" se introduce "switchport host" tendra el mismo
efecto de cara a la VLAN).
Se establece el puerto en el modo "PortFast" de Spanning-
Tree, esto se explicar detalladamente en el apartado
dedicado a STP cuando est disponible.
Catalyst 2950G1:
CREACION DE LAS VLAN:
2950G1#vlan database
2950G1(vlan)#vlan 10 name Dir

Catalyst 2950G2:
CREACION DE LAS VLAN:
2950G2(config)#vlan 20
2950G2(config-vlan)#name Adm

Tras configurar los puertos con las respectivas VLAN correspondientes, los puertos a
los que no se ha asignado ninguna VLAN se comportan como puertos troncales, esto se
detalla en el siguiente apartado donde se configuran los puertos troncales.
Por ejemplo, la interfaz virtual "Port-Channel 3" que ser enlace troncal para las
VLANs 20, 30 y 90, cuando todava no se ha configurado, muestra los siguientes
parmetros:
2950G1#sh interfaces port-cha
Port Mode Encapsulati
Po3 desirable 802.1q

Al comportarse todos los puertos no configurados como troncales hay conectividad total
entre dispositivos de una misma VLAN, como por ejemplo, un host (20.0.0.66)
conectado a un puerto del switch 2950G1 en la VLAN 20 haciendo ping a otro host
(20.0.0.67) en la misma VLAN del switch 2950G2, tiene conectividad, posteriormente,
haciendo ping a otro host (20.0.0.2) en el switch 2950G1 en la VLAN 10 no tiene
conectividad:
C:\>ipconfig
Configuracin IP de Windows

5. Configuracin de los enlaces troncales
Normalmente las redes troncales son las que se encargan de transportar el grueso de los
datos y en cada punto de acceso a la red troncal los datos se distribuyen a otros puntos.
En el caso de las VLAN, los enlaces troncales son los encargados de centralizar el
transporte de los datos de las diferentes VLANs, y de esto se encarga el protocolo VTP
(del ingls "VLAN Trunking Protocol").
Hay dos encapsulaciones para configurar enlaces troncales:
1. dot1q: estndar de la industria 802.1q. Aade 4 bytes a los datos.
2. ISL: propietario de Cisco. Aade 30 bytes a los datos.
Al limitarse actualmente los dispositivos compatibles con ISL a algunos dispositivos
solamente, es mejor configurar siempre que se pueda la encapsulacin 802.1q ya que es
compatible con dispositivos de varios fabricantes.
El estndar 802.1q contempla que los puertos de los switch tengan asignada una VLAN
por defecto, de esta manera, en caso de recibir tramas sin etiqueta VLAN, se les
asignar la etiqueta de la VLAN por defecto y en caso de estar etiquetadas se respetar
la etiqueta a la hora de tomar la decisin mientras en el caso de ISL, si recibe una trama
sin etiquetar la descarta. De esta manera pueden coexistir en una misma red switch con
y sin capacidad de interpretar VLANs. Es importante que la VLAN por defecto sea la
misma en todos los switch para evitar problemas.
En los switch Cisco, todos los puertos se comportan como troncales por defecto. Los
diferentes modos de puerto troncal que hay son los siguientes:
"access": deshabilita el modo de puerto troncal.
"trunk": el puerto est en modo troncal e intenta establecer un enlace troncal
negociando con la interfaz a la que est conectado. La negociacin se hace con DTP
(Dynamic Trunking Protocol) propietario de Cisco.
"nonegotiate": el puerto est en modo troncal pero no negocia mediante DTP. Para
que se convierta en un puerto troncal hay que configurar los puertos de ambos
dispositivos conectados en modo troncal.
"desirable": hace que la interfaz intente conectarse de manera activa el enlace en un
enlace troncal, si la interfaz a la cual est conectada el puerto est en modo "auto",
"desirable" o "trunk", el enlace se convertir en un enlace troncal. Este modo es el que
viene por defecto en los switch con Cisco IOS.
"auto": la interfaz intenta establecer el enlace troncal, el enlace se establece solo si la
interfaz del dispositivo conectado est en modo "trunk" o "desirable". Modo por
defecto de las interfaces en CatOS.
Todas los switch Cisco soportan el estndar 802.1q, mientras que solamente los switch
de las series 1970, 3550, 3560, 3750, 4000*, 4500* y 6500 soportan ISL. Los modelos
marcados con * soportan ISL en la versin con Cisco IOS, pero no en la versin con
sistema operativo CatOS.
La configuracin de los enlaces troncales es similar sea configurando un solo puerto o
un EtherChannel en modo troncal, pero no en un enrutador, por lo que segn la
topologa que se mostraba en el apartado "Topologa":

Primero se mostrar la configuracin de los enlaces troncales del switch 3550 (switch
multicapa conectado al enrutador 7204vxr, 2950G1 y 2950T1) y posteriormente se
mostrar la configuracin de los enlaces troncales entre el switch 3550 y el enrutador
7204vxr, y cuando se configur el enrutador, habr conectividad entre las diferentes
VLAN. Las configuraciones van descritas dentro del mismo campo de texto.
Configuracin switch Catalyst 3550:
MODO
DE CONFIGURACIN GLOBAL:
s3550#conf t
Enter configuration commands,

Ahora hay conectividad entre dispositivos de la misma VLAN aunque no entre
dispositivos de VLANs diferentes:
DE HOST EN 2950T1 A HOST EN
C:\>ping 20.0.0.130

Configuracin router Cisco 7204VXR:
SE CREA UNA SUBINTERFAZ P
7204vxr(config)#int fa0/0.10
SE ESPECIFICA QUE SE VA A U

He configurado un servidor DHCP con los respectivos rangos IP de cada VLAN para no
estar cambiando manualmente las direcciones IP segn la VLAN asignada a cada
interfaz, y al conectar el cable en una u otra interfaz segn est asignada a una VLAN u
otra, las asigna correctamente:
Adaptador Ethernet Conexin Rack Cisco 2:
Suf ijo conexin especf ica DNS:
Direccin IP. . . . . . . . . : 192.168.0.2
Mscara de subred . . . . . . : 255.255.255.0

Y ahora, con el enrutador configurado ya hay conectividad entre VLANs:
Adaptador Ethernet Rack CISCO:
Suf ijo conexin especf ica DNS:
Direccin IP. . . . . . . . . : 20.0.0.130
Mscara de subred . . . . . . : 255.255.255.192

6. Ajustes de VTP
Partiendo de la configuracin ya hecha, se van a realizar modificaciones en la
configuracin de VTP.
Se considera un dominio a una parte de una red administrada por un nico colectivo o
individuo, en VTP siempre hay un dominio que abarca todos los dispositivos que se
unen y en este dominio los dispositivos tienen la misma configuracin.
El protocolo VTP tiene tres modos de funcionamiento:
Cliente: no puede aadir ni modificar la configuracin en el dominio VTP.
Servidor: puede aadir y modificar la configuracin en el dominio VTP.
Transparente: simplemente transfiere los cambios de configuracin sin aplicrselos.
En la red, los switch se configurarn con los siguientes modos cada uno:

Se mostrarn las configuraciones del switch 3550, 2950G1 y 2950T1. Dentro de las
configuraciones habr la descripcin de lo que se haga. En la configuracin de los
parmetros de VTP el enrutador no tiene ningn papel.
Cisco 3550:
ESTABLEZCO EL DOMINIO VTP A redespractic
s3550(conf ig)#vtp domain redespracticas
Changing VTP domain name f rom NULL to redes
00:07:02: %SW_VLAN-6-VTP_DOMAIN_NAME_

Como se puede ver, por defecto el switch tiene establecido el modo servidor de VTP. Al
haber configurado el dominio a "redespracticas" en un switch del dominio que estaba en
modo servidor (tiene autoridad para cambiar y transmitir la configuracin VTP a los
switch del dominio), ahora el dominio VTP del resto de switch habr de ser el mismo
("redespracticas"):
2950T1#show vtp status
VTP Version : 2
Conf iguration Revision : 14
Maximum VLANs supported locally : 250
Number of existing VLANs : 9

El dominio no es necesario configurarlo en los otros switch porque el servidor ya lo
tiene configurado, ahora estn todos en modo servidor por lo que falta configurar el
resto segn corresponda en modo cliente o transparente.
Cisco 2950T1:
CONFIGURACIN DE VTP EN MODO CLIENTE:
2950T1(conf ig)#vtp mode client
Setting device to VTP CLIENT mode.
VERIFICACIN DE LOS CAMBIOS:

Cisco 2950G1:
CONFIGURACIN DE VTP EN MODO TRANSPA
2950G1(conf ig)#vtp mode transparent
Setting device to VTP TRANSPARENT mode.
VERIFICACIN DE LOS CAMBIOS:

Si se intenta cambiar, por ejemplo, la versin VTP o activar el pruning en el switch en
modo transparente (2950G1) no debera permitirlo o los cambios no tienen efecto ni en
el switch ni en el dominio, de igual forma, los cambios hechos en el dominio desde el
switch "servidor" (3550) no tienen efecto sobre el switch en modo "transparente",
mientras que en el switch en modo cliente no puede cambiar la configuracin del
dominio VTP mientras que los cambios desde el switch en modo "servidor" s que los
aplica.
Modo transparente (2950G1):
CONFIGURACIN ACTUAL SWITCH "TRANSPA
2950G1#sh vtp status
VTP Version : 2
Conf iguration Revision : 0
Maximum VLANs supported locally : 250

Modo cliente (2950T1):
2950T1(conf ig)#vtp version 1
Cannot modif y version in VTP client mode

Parmetros como el dominio o la clave s que son modificables a nivel de cliente ya que
un switch puede cambiar de dominio, y si la clave configurada en el servidor se
propagase a travs de la red para configurar a los clientes, sera una vulnerabilidad.
Tambin se puede establecer una contrasea en el dominio VTP de manera que sea
necesario que los switch necesiten la contrasea para unirse al dominio. En este caso se
configurar la contrasea "RedesPracticas":
ESTABLEZCO LA CONTRASEA "RedesPractic
s3550(conf ig)#vtp password RedesPracticas
Setting device VLAN database password to Re
PARA VER COMO AFECTA LA CONTRASEA

Otra funcin de VTP es lo que se llama el "pruning". Cuando en un switch se configura
la VLAN X, informa a los switch vecinos de que en se switch hay la VLAN X, si se
enva un paquete destinado a la VLAN Y con el pruning deshabilidado hacia una MAC
que no est registrada, se enviar a todos los switch, tengan configurada la VLAN X, Y,
Z, ... o no, mientras que con el pruning habilitado, el paquete destinado a la VLAN Y,
solo se enviar a los switch que tengan la VLAN Y configurada y no a los que tengan
cualquier otra VLAN, excepto en caso de que para llegar de un switch A a un switch C
que tienen configurada la VLAN Y, han de pasar por un switch B que no la tiene
configurada.
Configuracin del parmetro:
s3550(conf ig)#vtp pruning
Pruning switched on

Depuracin de los procesos de pruning:
2950T2#debug sw-vlan vtp pruning
vtp pruning debugging is on
2950T2#VTP PRUNING DEBUG: trunk Gi0/2 rx J
VTP PRUNING NOTICE: discard Join rx on trunk
VTP PRUNING DEBUG: trunk Po5 rx Join, len=16

Como se puede ver, se establecen los puertos VTP en modo de "noPrune",
posteriormente se envan datos ("Flooding") por los puertos, y se inicia el proceso de
agrupar los puertos configurados como troncales segn si se encuentra una VLAN u
otra. Esta agrupacin tiene un periodo de validez breve, tras el cual, el switch vecino ha
de solicitar unirse de nuevo.
7. VLANs dinmicas
Las VLANs dinmicas son VLANs que se crean segn el dispositivo que se conecte en
un switch, se agregan los puertos a una VLAN determinada y si se conecta otro
dispositivo con una direccin MAC distinta, el puerto se asignar a otra VLAN.
Para ello se configura una pequea base de datos con un grupo de direcciones MAC y se
asigna cada una de ellas a una VLAN, al conectar un dispositivo con una direccin
MAC que se encuentre en la base de datos a un puerto cualquiera del switch, ese puerto
toma la VLAN especificada.
Para configurar VLANs dinmicas, es necesario tener un servidor llamado VMPS (de
"VLAN Membership Policy Server"), el cual tiene una base de datos donde se relacionan
las direcciones MAC con la VLAN correspondiente.
Usando solamente equipamiento de Cisco Systems, solo es posible tener un servidor
VMPS usando switch Catalyst serie 6000 ya que son los nicos que pueden dar este
servicio. Aparte del switch Catalyst 6000, tambin es necesario un servidor TFTP en el
cual estar almacenado el fichero con la relacin de las direcciones MAC y las VLAN.
Como los sistemas Catalyst 6000 son caros, usar un servidor VMPS para Linux
(vmpsd), la instalacin y configuracin del mismo la especificar en otro apartado
(Linux -> Servidor VMPS), este programa no necesita ningn servidor TFTP sino que
usa un fichero que se ha de editar para aadir o modificar las asignaciones y parmetros.
Importante: VMPS utiliza el puerto UDP/1589, si el Linux que se utiliza tiene un
firewall configurado por defecto que bloquea los puertos, es importante que se abra este
puerto, ya que hasta que el switch no contacta con el servidor para saber la VLAN que
ha de asignar a cada puerto, ningn dispositivo conectado podr transmitir.
Los puertos que vayan a asignarse de manera dinmica, han de estar configurados en
modo de acceso y en lugar de especificar una VLAN determinada, se usa el parmetro
"dynamic", de esta manera en lugar de asignar el puerto a la VLAN, consultar al
servidor VMPS configurado.
Switch(config-if)#switchport access vlan dynamic
El servidor VMPS lo conectar al puerto Fa0/48 del switch 3550, donde ira el servidor
"Asterisk" de Voz IP, usar la VLAN "Voz IP" para que los switch se comuniquen con
el servidor. La direccin IP del servidor VMPS ser 192.168.0.2. Como esta
configuracin ser solo para este apartado, usar solamente el switch 3550 y asignar
los puertos desde el Fa 0/17 al 32 en modo dinmico y conectar dos interfaces con
diferente direccin MAC, las asignaciones que har sern:
MAC: 0040.9531.eb8b VLAN: Administracion
MAC: 1234.5678.9123 VLAN Comercial
Al especificar la VLAN, siempre hay que configurarla por su nombre, nunca por su
identificador (el nmero de VLAN).
Se usar una configuracin sencilla en el fichero de configuracin, solamente para
asignar dos direcciones MAC a las VLAN respectivas, pero sin ms opciones.
Contenido del fichero:
1> vmps domain redespracticas
2> vmps mode open
3> vmps f allback def ault
4> vmps no-domain-req deny

Explicacin por lneas:
1. Se especifica el dominio VTP.
2. Modo
3. Cuando una MAC no tenga asignada una VLAN, se asignar a la VLAN por defecto, en
ste caso es la VLAN 1.
4. Los switch fuera del dominio VTP especificado no pueden consultar al servidor VMPS.
5. Se indica el inicio de la lista de direcciones MAC.
6. Se asigna la MAC 0040.9531.eb8b a la VLAN llamada Administracion.
7. Se asigna la MAC 1234.5678.9123 a la VLAN llamada Comercial.
Nota: los nmeros de lnea son aadidos para enumerar las lneas para su explicacin,
en el fichero original no han de ir enumeradas.
Configuracin del switch:
1> s3550#conf t
2> s3550(conf ig)#interf ace range f a0/17 - 32
3> s3550(conf ig-if -range)#switchport mode ac
4> s3550(conf ig-if -range)#switchport access v
5> 01:51:49: %LINEPROTO-5-UPDOWN: Line pr

Explicacin por lneas:
1. Se entra en modo de configuracin global.
2. Se selecciona el rango de puertos del Fa0/17 a 32
3. Se establecen los puertos en modo de acceso.
4. Se establecen los puertos en modo de asignacin dinmica de VLAN.
5. Como los puertos por defecto estn asignados a la VLAN 1, al establecer una
asignacin dinmica de los puertos, dejan de estar asignados a la VLAN 1, por lo que la
VLAN 1 pasa a estar desactivada.
6. Se sale del modo de configuracin de interfaz.
7. Se configura como servidor VMPS primario al servidor 192.168.0.2
8. En caso de no responder a la primera consulta, se establece que reintente contactar
con el servidor 10 veces, el rango es entre 1 y 10, por defecto 3.
9. Se configura que reconfirme cada una de las asignaciones cada 1 minuto, el rango es
de 0 a 120 minutos, por defecto 60.
Se puede configurar ms de un servidor VMPS, pero uno ha de ser el primario.
Cuando se configura el switch y todava no hay ningn dispositivo conectado a los
puertos de asignacin dinmica, se muestra el estado "No Dynamic Port":
s3550#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconf irm Interval: 1 min

En cuanto se conecta un dispositivo a un puerto de asignacin dinmica, el estado de
reconfirmacin cambia a "other":
s3550#
00:08:30: %LINK-3-UPDOWN: Interf ace FastEth
00:08:31: %LINEPROTO-5-UPDOWN: Line proto
s3550#show vmps
VQP Client Status:

Tras pasar el intervalo de reconfirmacin (en este caso 1 minuto), y tras haber
reconfirmado almenos una vez la asignacin de VLANs, el estado cambia a "Success"
(correcto):
00:09:31: %VQPCLIENT-7-RECONF: Reconf irmi
00:10:31: %VQPCLIENT-7-RECONF: Reconf irmi
s3550#show vmps
VQP Client Status:
--------------------

Ahora verificar que las direcciones MAC asignadas a cada puerto corresponden con lo
configurado anteriormente en el fichero del servidor VMPS de tal manera que los
puertos estn asignados a las VLAN segn la direccin MAC conectada a cada puerto:
DIRECCIONES MAC CONECTADAS A CADA PU
s3550#show mac address-table dynamic
Mac Address Table
-------------------------------------------

Como se ve, se cumple lo que se haba configurado, el puerto donde se conecta la MAC
que comienza por 1234... est asignado a la VLAN "Comercial", y el puerto que
comienza por 0040... est asignado a la VLAN "Administracion".
Mirando los parmetros de la interfaz, se puede ver que est configurada para ser
asignada a una VLAN de manera dinmica:
s3550#show interf aces f a0/17 switchport
Name: Fa0/17
Switchport: Enabled
Administrative Mode: dynamic access
Operational Mode: dynamic access

En el fichero de configuracin del servidor VMPS, se pueden hacer varios cambios para
ajustar el comportamiento, como por ejemplo:
vmps domain <dominio>: dominio VTP donde se encuentra el servidor VMPS.
vmps mode:
o open: si no encuentra una coincidencia para la direccin MAC, le asigna la
VLAN de ltimo recurso ("fallback"). Si no hay VLAN de ltimo recurso
configurada, el puerto se queda sin ser asignado a ninguna VLAN y sin poder
transmitir, puede seguir intentando ser asignado a diferencia del modo seguro
que queda totalmente desactivado.
o secure: si no se encuentra una coincidencia y no hay configurada una VLAN de
ltimo recurso, el puerto se desactiva como medida de seguridad, para
activarlo de nuevo el administrador ha de activar la interfaz por consola.
vmps fallback <nombre vlan>: en caso de que el servidor VMPS no encuentre ninguna
coincidencia con la direccin MAC, y si el "vmps mode" est como "open", se asignar
esta VLAN al puerto.
vmps no-domain-req:
o allow: permite consultas a clientes de otros dominios VTP.
o deny: no permite consultas a clientes de otros dominios.
Como VLAN se puede especificar el nombre "--NONE--" que es como un comodn, al
asignar esta VLAN, el puerto queda desactivado. Lo mismo ocurre cuando el servidor
VMPS est configurado en modo seguro y no hay configurada ninguna VLAN de
ltimo recurso o est configurada con el valor "--NONE--", en este caso no se ha
configurado VLAN de limo recurso:
%LINK-3-UPDOWN: Interface FastEthernet0/25, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/25,
changed state to up
%VQPCLIENT-2-SHUTDOWN: Interface Fa0/25 shutdown by VMPS
%PM-4-ERR_DISABLE: vmps error detected on Fa0/25, putting Fa0/25 in
err-disable state
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/25,
changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/25, changed state to down
Se puede ver que primero el puerto detecta que hay un dispositivo conectado y hay
enlace, por lo que se activa, cuando el dispositivo transmite su direccin MAC y el
servidor VMPS no encuentra la direccin en el fichero y no tiene configurada la VLAN
de ltimo recurso, indica que el puerto ha de ser desactivado. Registro del servidor
VMPS:
ALLOW: 12:34:56:78:91:23 -> Comercial, switch (unknown)
[192.168.0.254] port Fa0/22
ALLOW: 00:40:95:31:eb:8b -> Administracion, switch (unknown)
[192.168.0.254] port Fa0/29
SHUTDOWN: 12:34:56:78:91:22 -> --NONE--, switch (unknown)
[192.168.0.254] port Fa0/25
Se puede ver que como solamente hay configuradas en el fichero de configuracin las
direcciones MAC que acaban por ...9123 y ...eb8b, al conectarse la que acaba por
...9122 le indica al switch que desactive el puerto enviando como nombre de la VLAN a
asignar "--NONE--", el mismo efecto tendra configurar la VLAN de ltimo recurso
("fallback vlan") con se mismo nombre.
Por ahora dejo el protocolo VMPS aqu, se pueden configurar bastantes ms cosas, pero
lo ms importante y que es necesario saber, es esto. Mirando por internet me he
encontrado aplicativos NAC ("Network Access Control") que incluyen vmpsd dentro
del aplicativo, pero an as, he encontrado poca informacin de este servicio, por lo que
quizs VMPS sea algo que vaya cayendo en desuso.
Los inconvenientes que le veo a este sistema, es sobretodo el hecho de que si se quiere
configurar en una empresa no muy grande, es necesario tener o bien un switch de gama
alta y coste elevado, o bien un host asignando VLANs. Por otro lado, creo que si se
documenta bien una red y se tienen presentes los puertos de los switch que hay
asociados a cada VLAN, la configuracin se reduce y simplifica aparte de que se mejroa
la seguridad, ya que cada servicio ejecutndose en la red es una carga en los enlaces,
switch y una vulnerabilidad ms.
Lo mejor que le encuentro a este sistema es el bloqueo de puertos o la no asignacin de
una VLAN por lo que el puerto est activo pero inutilizable hasta que se conecte un
dispositivo con una VLAN asignada, pero para implementar medidas de seguridad
basadas en MAC hay otras alternativas, y al fin y al cabo, la direccin MAC de un PC
puede cambiarse y ponerse la misma que un dispositivo configurado y de esta manera se
salta la proteccin. Quizs lo ms prctico que le veo a este sistema, es que no tienes
que recordar los puertos a los que se ha asignado una VLAN u otra, y conectando un
host a un puerto cualquiera, si el host tiene una MAC configurada, se le asignar la
VLAN a la que corresponda, esto en una red de empresa es bastante til ya que
permitira movilidad entre mesas, plantas, ... conservando siempre la pertenencia a la
misma VLAN.
VLAN Management Policy Server
Jose L. Villaln, 7 enero 2013 | | Also available in English
Habitualmente, cuando tenemos que llevar a cabo la segmentacin lgica de una red
mediante el uso de VLANs, procedemos a crear las redes necesarias ya sea de forma
manual o automticamente mediante protocolos tipo VTP (VLAN Trunking Protocol) de
Cisco en nuestra red y tras esto, asignamos las distintas interfaces de los dispositivos a
cada una de las VLANs definidas. Esto supone que, si maana me cambio de sitio y
cambio mi porttil de toma de red, deber configurar la nueva toma de red para que
pertenezca a la VLAN que necesito para llevar a cabo mi trabajo diario.
Una solucin a este problema puede ser el uso junto al protocolo VTP, el servicio
VMPS (VLAN Management Policy Server) de Cisco, el cual proporciona una primera
aproximacin a una solucin de control de acceso a red tan ofrecida por los fabricantes
en la actualidad. Entre otras funcionalidades, VMPS permite asociar dinmicamente
equipos a VLANs basndonos en su direccin MAC (con el problema de seguridad que
supone), de forma que mi porttil, en cualquier toma de red de la oficina al que lo
conecte, siempre pertenecer a la misma VLAN y podr trabajar con normalidad.
Cualquier switch Cisco de gama media soporta VMPS como cliente, no obstante, solo
las gamas altas (superiores a la 4000), soportan el modo servidor. A pesar de esto, no es
necesario disponer de uno de estos equipos para aplicar esta solucin ya que existen
multitud de herramientas tanto libres (algunas algo desactualizadas) como comerciales
que nos proporcionan la funcionalidad de servidor VMPS que necesitamos. Dentro de
todas ellas, se ha seleccionado vmpsd (http://sourceforge.net/projects/vmps/), un
pequeo demonio para GNU/Linux que nos proporciona un servidor VMPS sin
necesidad de instalar demasiado software, como un sistema de gestin de base de datos.
Para proceder a configurar VMPS en nuestro switch (el elegido es un Cisco 2960),
realizamos los siguientes pasos:
1) Configuramos VTP
Switch(config)#vtp mode server
Switch(config)#vtp domain s2

Switch#show vtp status
: running VTP2
Configuration Revision : 1
Maximum VLANs supported locally : 255
Number of existing VLANs : 14
VTP Operating Mode : Server
VTP Domain Name : s2
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0xC4 0xE8 0xDB 0x1A 0xF2 0x6B 0xC2
0x79
2) Configuramos switch como cliente VMPS
Para llevar a cabo esta configuracin, indicamos la direccin IP del servidor VPMS
principal (podemos tener varios)
Switch(config)# vmps retry 3
Switch(config)# vmps reconfirm 1
Switch(config)# vmps server 172.18.0.150 primary
Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 1 min
Server Retry Count: 3
VMPS domain server: 172.18.0.150 (primary, current)
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
3) Creamos las distintas vlans
Switch(config)#vlan 21
Switch(config-vlan)#name GESTION
Switch(config)#vlan 22
Switch(config-vlan)#name USUARIOS
Switch(config)#vlan 23
Switch(config-vlan)#name INVITADOS
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- ----------------------
---------
21 GESTION active
22 USUARIOS active
23 INVITADOS active
4) Marcamos las interfaces que usan VMPS
Switch(config)#interface range fastEthernet 0/10-20
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan dynamic

Switch#show interface fastEthernet 0/10 switchport
Name: Fa0/10
Switchport: Enabled
Administrative Mode: dynamic access ******
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: unassigned *******
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
5) Configuramos el servidor VMPS (vlan.db)
vmps domain s2
vmps mode open
vmps fallback INVITADOS
vmps no-domain-req deny

vmps-mac-addrs
address 0023.8bd7.c2b3 vlan-name GESTION
En la configuracin debemos tener en cuenta lo siguiente:
El dominio debe coincidir con el configurado en VTP.
La VLAN INVITADOS es usada para redireccionar las MACs que no estan
autorizadas por la poltica debido a que configuramos el modo open, si usamos
el modo secure, la interfaz quedara deshabilitada.
Asignamos la direccin MAC de mi portatil a la VLAN de GESTION.
Una vez aqu, arrancamos el demonio y lanzamos una consulta de prueba (indicamos la
direccin IP, el dominio VTP y la direccin MAC)
perl vqpcli.pl -s 172.18.0.150 -v s2 -m 0023.8bd7.c2b3
Vlan: GESTION
MAC Address: 00238bd7c2b3
Status: ALLOW
Como vemos, la direccin MAC esta autorizada y le asigna la VLAN GESTION.
Llegados a este punto, solo queda probar a conectarnos al switch (activamos el debug
mediante el comando debug vqpc all) para realizar distintas pruebas:
Conectamos mi porttil una de las tomas definidas para usar VMPS (fa0/13)
*Mar 1 02:23:09.070: VQPC EVENT: -pm_port_vqp_start: port Fa0/13
*Mar 1 02:23:11.075: %LINK-3-UPDOWN: Interface FastEthernet0/13,
changed state to up
*Mar 1 02:23:12.081: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/13, changed
state to up
*Mar 1 02:23:13.986: VQPC LEARN:
*Mar 1 02:23:13.986: VQPC LEARN: -learning mac 0023.8bd7.c2b3 on vlan
0, port Fa0/13
*Mar 1 02:23:13.986: VQPC LEARN: adding mac 0023.8bd7.c2b3 on vlan 0,
port Fa0/13, type = 0x0021
*Mar 1 02:23:13.986: VQPC: allocating transID 0x00000471
*Mar 1 02:23:13.986: VQPC PAK: xmt transaction ID = 0x00000471
*Mar 1 02:23:13.986: VQPC PAK: sending query to VMPS
*Mar 1 02:23:13.986: VQPC PAK:
*Mar 1 02:23:13.986: VQPC PAK: rcvd packet from VMPS
*Mar 1 02:23:13.994: VQPC PAK: transaction ID = 0x00000471
*Mar 1 02:23:13.994: VQPC: rcvd response, transID = 0x00000471
*Mar 1 02:23:13.994: VQPC PAK: VLAN name TLV, vlanName = GESTION
*Mar 1 02:23:13.994: VQPC PAK: Cookie TLV, cookie = 0023.8bd7.c2b3,
length = 6
*Mar 1 02:23:13.994: VQPC EVENT: -set_hwidb_vlanid: port Fa0/13 to
vlan 21, mac: 0023.8bd7.c2b3
*Mar 1 02:23:13.994: VQPC EVENT: saving 0023.8bd7.c2b3 from old vlan
0
*Mar 1 02:23:13.994: VQPC EVENT: changing Fa0/13 to vlan 21
*Mar 1 02:23:13.994: VQPC LEARN: adding mac 0023.8bd7.c2b3 on vlan
21, port Fa0/13, type = 0x0001
*Mar 1 02:23:13.994: VQPC LEARN: deleting mac 0023.8bd7.c2b3 on vlan
0, port Fa0/13
*Mar 1 02:23:13.994: VQPC LEARN: changing mac 0023.8bd7.c2b3 on vlan
21, port Fa0/13 to FORWARDING
Como vemos, asigna la direccin MAC la VLAN 21 (GESTION):
Switch#show vlan

VLAN Name Status Ports
---- -------------------------------- --------- ----------------------
---------
21 GESTION active Fa0/13
22 USUARIOS active
23 INVITADOS active

Switch#show interface fastEthernet 0/13 switchport
Name: Fa0/13
Switchport: Enabled
Administrative Mode: dynamic access
Operational Mode: dynamic access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 21 (GESTION)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Ahora la desconecamos y la conectamos a otra toma del switch( fa0/17)
*Mar 1 02:24:42.938: VQPC EVENT: -pm_port_vqp_start: port Fa0/17
*Mar 1 02:24:44.650: VQPC LEARN:
*Mar 1 02:24:44.650: VQPC LEARN: -learning mac 0023.8bd7.c2b3 on vlan
0, port Fa0/17
*Mar 1 02:24:44.650: VQPC LEARN: adding mac 0023.8bd7.c2b3 on vlan 0,
port Fa0/17, type = 0x0021
*Mar 1 02:24:44.650: VQPC: allocating transID 0x00000491
*Mar 1 02:24:44.650: VQPC PAK: xmt transaction ID = 0x00000491
*Mar 1 02:24:44.650: VQPC PAK: sending query to VMPS
*Mar 1 02:24:44.650: VQPC PAK:
*Mar 1 02:24:44.650: VQPC PAK: rcvd packet from VMPS
*Mar 1 02:24:44.650: VQPC PAK: transaction ID = 0x00000491
*Mar 1 02:24:44.650: VQPC: rcvd response, transID = 0x00000491
*Mar 1 02:24:44.650: VQPC PAK: VLAN name TLV, vlanName = GESTION
*Mar 1 02:24:44.650: VQPC PAK: Cookie TLV, cookie = 0023.8bd7.c2b3,
length = 6
*Mar 1 02:24:44.650: VQPC EVENT: -set_hwidb_vlanid: port Fa0/17 to
vlan 21, mac: 0023.8bd7.c2b3
*Mar 1 02:24:44.650: VQPC EVENT: saving 0023.8bd7.c2b3 from old vlan
0
*Mar 1 02:24:44.650: VQPC EVENT: changing Fa0/17 to vlan 21
*Mar 1 02:24:44.658: VQPC LEARN: adding mac 0023.8bd7.c2b3 on vlan
21, port Fa0/17, type = 0x0001
*Mar 1 02:24:44.658: VQPC LEARN: deleting mac 0023.8bd7.c2b3 on vlan
0, port Fa0/17
*Mar 1 02:24:44.658: VQPC LEARN: changing mac 0023.8bd7.c2b3 on vlan
21, port Fa0/17 to FORWARDING
*Mar 1 02:24:44.943: %LINK-3-UPDOWN: Interface FastEthernet0/17,
changed state to up
*Mar 1 02:24:45.950: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/17,
changed state to up

Switch#sh mac-address-table | inc DYNAMIC
21 0023.8bd7.c2b3 DYNAMIC Fa0/17

Switch#show vlan

VLAN Name Status Ports
---- -------------------------------- --------- ----------------------
---------
21 GESTION active Fa0/13, Fa0/17
22 USUARIOS active
23 INVITADOS active
Vemos que la interfaz Fa0/13 todava est asignada a la VLAN GESTION, por lo que
conectamos otro equipo dicho puerto:
*Mar 1 00:03:35.016: VQPC EVENT: -pm_port_vqp_start: port Fa0/13
*Mar 1 00:03:36.887: VQPC LEARN:
*Mar 1 00:03:36.887: VQPC LEARN: -learning mac 0005.1b00.3f81 on vlan
0, port Fa0/13
*Mar 1 00:03:36.887: VQPC LEARN: adding mac 0005.1b00.3f81 on vlan 0,
port Fa0/13, type = 0x0021
*Mar 1 00:03:36.887: VQPC: allocating transID 0x00000061
*Mar 1 00:03:36.887: VQPC PAK: xmt transaction ID = 0x00000061
*Mar 1 00:03:36.887: VQPC PAK: sending query to VMPS
*Mar 1 00:03:36.887: VQPC PAK:
*Mar 1 00:03:36.887: VQPC PAK: rcvd packet from VMPS
*Mar 1 00:03:36.887: VQPC PAK: transaction ID = 0x00000061
*Mar 1 00:03:36.887: VQPC: rcvd response, transID = 0x00000061
*Mar 1 00:03:36.887: VQPC PAK: VLAN name TLV, vlanName = INVITADOS
*Mar 1 00:03:36.887: VQPC PAK: Cookie TLV, cookie = 0005.1b00.3f81,
length = 6
*Mar 1 00:03:36.887: VQPC EVENT: -set_hwidb_vlanid: port Fa0/13 to
vlan 23, mac: 0005.1b00.3f81
*Mar 1 00:03:36.887: VQPC EVENT: saving 0005.1b00.3f81 from old vlan
0
*Mar 1 00:03:36.887: VQPC EVENT: changing Fa0/13 to vlan 23
*Mar 1 00:03:36.895: VQPC LEARN: adding mac 0005.1b00.3f81 on vlan
23, port Fa0/13, type = 0x0001
*Mar 1 00:03:36.895: VQPC LEARN: deleting mac 0005.1b00.3f81 on vlan
0, port Fa0/13
*Mar 1 00:03:36.895: VQPC LEARN: changing mac 0005.1b00.3f81 on vlan
23, port Fa0/13 to FORWARDING
*Mar 1 00:03:37.021: %LINK-3-UPDOWN: Interface FastEthernet0/13,
changed state to up
*Mar 1 00:03:38.028: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/13,
changed state to up
Puesto que la direccin MAC no est autorizada por la poltica definida, la asigna
dinmicamente a la VLAN INVITADOS.
Switch#show vlan

VLAN Name Status Ports
---- -------------------------------- --------- ----------------------
---------
21 GESTION active Fa0/17
22 USUARIOS active Fa0/24
23 INVITADOS active Fa0/13
Si ahora cambiamos la poltica al modo secure y sin VLAN de fallback y conectamos el
mismo equipo:
*Mar 1 00:12:57.019: VQPC LEARN:
*Mar 1 00:12:57.019: VQPC LEARN: -learning mac 0005.1b00.3f81 on vlan
0, port Fa0/13
*Mar 1 00:12:57.019: VQPC LEARN: adding mac 0005.1b00.3f81 on vlan 0,
port Fa0/13, type = 0x0021
*Mar 1 00:12:57.019: VQPC: allocating transID 0x00000151
*Mar 1 00:12:57.019: VQPC PAK: xmt transaction ID = 0x00000151
*Mar 1 00:12:57.019: VQPC PAK: sending query to VMPS
*Mar 1 00:12:57.019: VQPC PAK:
*Mar 1 00:12:57.019: VQPC PAK: rcvd packet from VMPS
*Mar 1 00:12:57.019: VQPC PAK: transaction ID = 0x00000151
*Mar 1 00:12:57.019: VQPC: rcvd response, transID = 0x00000151
*Mar 1 00:12:57.019: %VQPCLIENT-2-SHUTDOWN: Interface Fa0/13 shutdown
by VMPS
*Mar 1 00:12:57.019: %PM-4-ERR_DISABLE: vmps error detected on
Fa0/13, putting Fa0/13 in
err-disable state
*Mar 1 00:12:57.019: VQPC EVENT: -pm_port_vqp_stop: port Fa0/13
*Mar 1 00:12:57.019: VQPC EVENT: port Fa0/13, REMOVE dynamic access
config
*Mar 1 00:12:57.019: VQPC EVENT: deleting all addresses on vlan 0,t
Fa0/13
*Mar 1 00:12:57.019: VQPC EVENT: Deleted TCAM catch-all for port
Fa0/13
*Mar 1 00:12:57.019: VQPC EVENT: -set_hwidb_vlanid: port Fa0/13 to
vlan 0, mac: NULL
*Mar 1 00:12:57.019: VQPC EVENT: changing Fa0/13 to vlan 0
*Mar 1 00:12:58.026: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/13,
changed state to down
*Mar 1 00:12:59.024: %LINK-3-UPDOWN: Interface FastEthernet0/13,
changed state to down

Switch#show interfaces fas 0/13 status

Port Name Status Vlan Duplex Speed Type
Fa0/13 err-disabled unassigned auto auto 10/100BaseTX
Podemos comprobar como efectivamente ha desconectado la interfaz del switch y as
aparece en las estadsticas del protocolo VMPS:
Switch#show vmps statistics
VMPS Client Statistics
----------------------
VQP Queries: 53
VQP Responses: 20
VMPS Changes: 0
VQP Shutdowns: 5
VQP Denied: 0
VQP Wrong Domain: 0
VQP Wrong Version: 0
VQP Insufficient Resource: 0
Como hemos podido ver, esta solucin nos proporciona algo ms de seguridad que la
solucin habitual, mejorando la mobilidad por nuestra red. No obstante, presenta otros
problemas de seguridad que veremos en futuras entradas.

16 comentarios a VLAN Management Policy Server
(Tenga en cuenta que los comentarios en espaol y en ingls estn mezclados por lo que puede necesitar un
traductor online para entender los comentarios de otros usuarios)
buenas! felicito a esta publicacion porque muestra muchos puntos de forma ordenada, y
en comparacin a otras guias esta es la mas completa que vi, de todas maneras quiero
consultar algunos puntos:
- el servidor openvmps a que puerto esta conectado a uno dinmico o alguno esttico?
- como instalo el servidor vmps de forma correcta?
- que comandos me permiten ver que el servidor vmps este ya en funcionamiento?
- al querer ejecutar esta linea perl vqpcli.pl -s 172.18.0.150 -v s2 -m 0023.8bd7.c2b3
no me reconoce el comando perl o vqpcli.pl, en todo caso no se si podrian explicar esa
parte con un poco de detalle por favor.
por lo demas veo bien, hice toda la configuracion , pero parece que no quiere
comunicarse con el servidor, entonces no se si podrian ilustrar con un grafico de ejm q
diga de que puerto a que puerto esta conectado el servidor y tambien mas detalles con
respecto a la instalacion y ejecucion del openvmps. gracias de antemano.
fabrizzio chavez [web], 4 de julio de 2013, 6:49 pm
good! I commend this publication because it shows many points of an orderly,
compared to other guides this is the most complete that I saw, anyway I want to check a
few points:
- OpenVMPS server which port is connected to a dynamic or static one?
- How vmps server install properly?
- Commands that allow me to see that the server already running vmps this?
- To want to run this line vqpcli.pl perl-v-s 172.18.0.150-m s2 0023.8bd7.c2b3 does
not recognize me or vqpcli.pl perl command, in any case if they could not explain that
part a little Please detail.
so other look good, did all the settings, but seems unwilling to communicate with the
server, then if they could not illustrate with an example chart that says that port is
connected to which port the server and also more details regarding to the installation
and execution of OpenVMPS. thanks in advance.
fabrizzio chavez [web], 4 de julio de 2013, 6:53 pm
Gracias por el comentario Fabrizzio; sobre tus cuestiones
- el servidor openvmps a que puerto esta conectado a uno dinmico o alguno esttico?
En uno estatico, solo se configuraron los puertos dinamicos aquellos en los que se
simula la presencia de equipos de usuarios.
- como instalo el servidor vmps de forma correcta?
Es posible que para la distribucion que uses tengas paquetes compilados; para este post
se compilo a mano el codigo, una vez descargado mediante ./configure && make y si
quieres instalarlo, make install.
- que comandos me permiten ver que el servidor vmps este ya en funcionamiento?
El demonio se lanza como vmpsd, por lo tanto, un ps en busca de ese nombre es
suficiente para saber si esta arrancado, una vez arrancado, ya puedes hacer consultas.
- al querer ejecutar esta linea perl vqpcli.pl -s 172.18.0.150 -v s2 -m 0023.8bd7.c2b3
no me reconoce el comando perl o vqpcli.pl, en todo caso no se si podrian explicar esa
parte con un poco de detalle por favor.
Debes tener instalado el paquete perl para poder lanzar el script de consulta, lo tienes
instalado?
Un saludo
joseluis [web], 5 de julio de 2013, 7:35 am
gracias por la respuesta, bueno efectivamente recin encontre el paquete perl dentro de
la carpeta tools,lo que me queda en duda es lo siguiente:
- el servidor openvmps cuando se conecta a un puerto esttico, este puerto debe tener
algun tipo de configuracin adicional o dejarlo como esta predeterminado en la vlan 1?
lo pongo en modo trunk o access? o simplemente no hago nada ? xD
- se debe habilitar algn puerto en el mismo linux para que escuche?y si es asi que
puerto es y que lineas de cdigo necesito?
por lo dems ya lo veo mas claro, esto seria las dudas que me estn quedando y bueno
espero salga este proyecto, de todas maneras agradezco su respuesta y a este post que
me sirvi de mucho, agradezco mucho su ayuda y gracias :D un saludo!
fabrizzio chavez [web], 6 de julio de 2013, 6:55 am
Hola Fabrizzio, sobre lo que comentas:
- el servidor openvmps cuando se conecta a un puerto esttico, este puerto debe tener
algun tipo de configuracin adicional o dejarlo como esta predeterminado en la vlan 1?
lo pongo en modo trunk o access? o simplemente no hago nada ?
Para la prueba se dejo en la vlan por defecto (1), no obstante, supongo que puede estar
configurado en cualquier vlan en modo acceso; si esta en modo trunk, tu servidor tiene
que estar tambien en modo trunk, no creo que haya mayor problema, pero no he
probado esa configuracion.
- se debe habilitar algn puerto en el mismo linux para que escuche?y si es asi que
puerto es y que lineas de cdigo necesito?
Cuando arrancas el demonio, escucha automaticamente en el puerto UDP/1589, no
obstante puede escuchar en el puerto que indiques con el parametro -p durante el
arranque.
un saludo!
joseluis [web], 8 de julio de 2013, 7:44 am
gracias por la ayuda , me salio el trabajo de maravilla, solo cabe resaltar, que la vlan que
use el servidor debe tener una ip asignada, por ejm si mi servidor tiene 192.168.1.5 con
mascara 24 y puerta de enlace predeterminada 192.168.1.1, se pone interface vlan 1 , y
luego se pone ip address 192.168.1.1 255.255.255.0; es decir que la vlan asignada al
puerto donde se conecta el servidor debe ser su gateway, para que este en red la
comunicacion que se consideraria UPD/IP, por lo demas est completo el trabajo,
gracias.
fabrizzio chavez [web], 14 de julio de 2013, 6:25 pm
hola , quisiera saber como reinicio el servidor, cuando modifico una mac a una vlan
(cambiar una mac de vlan a otra en el vlan.db) es necesario reiniciar el servidor, cual
seria en nombre del demonio, he intentado con vmps y vmpsd y no me funciona, gracias
edgar [web], 7 de noviembre de 2013, 4:46 pm
hola
Para las pruebas no se uso ningun demonio del sistema, simplemente se lanzo el binario
vmpsd de forma manual. En caso de que la instalacion no cree el automaticamente el
script de inicio/parada del demonio, no creo que hubiera problema en crear uno nuevo
similar al resto de scripts de sistema.
Mira en la lista de procesos la entrada del proceso que buscas, normalmente vmpsd.
joseluis [web], 8 de noviembre de 2013, 7:45 am
Despus de configurar el servidor VMPS, clientes conectadas en las puertas que
funcionarn como dinmica no ir a ninguna VLAN. Las puertas estn simplemente
obstruidos. Qu puede hacer que esto suceda?
Braz [web], 10 de noviembre de 2013, 10:29 pm
Hola Braz,
No entiendo lo que quieres decir; los puertos estan deshabilitados? tienes algun otro tipo
de seguridad activada tipo port-security? cual es el estado de las interfaces?
joseluis [web], 12 de noviembre de 2013, 8:34 am
Hola. Qu sistema operativo se utilizan para aplicar el Service VMPS? Qu versin
de Linux?
Gracias
Braz [web], 24 de noviembre de 2013, 11:58 pm
Hola, levante el servidor y anda de maravillas, pero realice una prueba de clonado de
mac y me asigna ambos puertos, como hacer que me reconozca solo una mac y si existe
duplicidad de mac, la segunda mac identica no la reconozca? . Gracias
edgar [web], 3 de diciembre de 2013, 7:52 pm
Hola
Braz: las pruebas las hice con debian 6
Edgar: esta solucion es estandar, para el caso que comentas, se quedaria corta y
seguramente habria que aadir otras medidas de seguridad tipo port security o
validacion 802.1x.
joseluis [web], 4 de diciembre de 2013, 9:17 am
Wow, fantastic weblog format! How long have you ever been blogging for?
you made blogging look easy. The full look
of your web site is great, as smartly as the content
material!
colocar tarima flotante [web], 6 de marzo de 2014, 11:01 pm
Me sale el error cannot bien socket gracias por la ayuda
andres [web], 3 de mayo de 2014, 5:19 pm
Buenos dias Andres
Por ese error, revisa si tienes privilegios para lanzar el servicio en el puerto que tengas
configurado y si no hay ya otro servicio en el mismo.

Wednesday, January 30, 2013
Servidor VMPS en Linux (OpenVMPS - Vlan Management Policy Server)
Es posible asignar una Vlan a un puerto de Switch tanto de
forma estatica como de forma dinamica; para este ultimo se requiere de un VMPS, el cual es
un servidor que se va a encargar de asignar la Vlan a un puerto dependiendo de ciertos
parametros pre-establecidos.

Cisco oficialmente tiene soporte para que actuen como Servidores VMPS la serie de Catalyst
4000, 5000 y 6500, pero utilizando un servidor Linux con el servicio OpenVMPS podemos
llevar a cabo esa tarea.

Antes de proceder con la implementacin de la solucin es necesario que entiendan como
funciona: cuando se conecta un dispositivo a un puerto de un Switch, ste enva una consulta
al servidor VMPS indicando la direccin MAC del dispositivo y pide la VLAN a la cual deberia
pertenecer, el servidor VMPS tiene una base de datos en la que consulta la VLAN a la que hay
que asignar la direccin MAC, si no encuentra ninguna VLAN le asigna una por defecto.

Lo primero que tenemos que hacer es descargar OpenVPMS, lo podemos descargar desde
aqui: http://sourceforge.net/projects/vmps/

Luego descomprimimos el paquete OpenVMPS:

[root@punto-libre.org]/ # tar -xvf vmpsd-1.4.03.tar.gz

Luego instalamos el paquete:

[root@punto-libre.org] # cd vmpsd-1.4.03
[root@punto-libre.org] # ./configure
[root@punto-libre.org] # make
[root@punto-libre.org] # make install

OpenVMPS para su funcionamiento utiliza un archivo de configuracion que tambien le sirve
como base de datos, en la carpeta de instalacin podemos ver un archivo de ejemplo llamado
vlan.db, lo abrimos y modificamos los siguientes parametros:
Dominio VTP: Es el dominio que se ha configurado en los Switches.

Modo VMPS: Puede ser Open o Secure, si es Open las Mac Address que no esten
especificadas estaran en la Vlan Default y si es Secure el puerto se deshabilitara si
encuentra una Mac address no especificada.

Default Vlan: Es la Vlan a la cual irn los puertos que tengan mac addreses no
definidas.

Para este archivo de configuracin de ejemplo voy a mostrarles como configuro la Mac
Address aaaa.aaaa.aaaa en la Vlan Comercial y la Mac Address bbbb.bbbb.bbbb en la Vlan
Tecnico.


vmps domain punto-libre.org
vmps mode open
vmps fallback default
vmps-mac-addrs
address aaaa.aaaa.aaaa vlan-name Comercial
address bbbb.bbbb.bbbb vlan-name Tecnico

Luego ejecutamos el server de la siguiente manera:

[root@punto-libre.org] # vmpsd -f vlan.db -a 10.200.9.230

Donde con la opcion -f especificamos el archivo con la configuracin, con -a especificamos la
interfaz por la cual escuchara las peticiones y opcionalmente podemos agregarle la opcion -d
para que podamos observar todas las peticiones y acciones que toma el server.

Solo basta aplicar la siguiente configuracin a los Switches para que consulten al servidor:


Switch (config)# vmps server 10.200.9.230
Switch (config)# vmps retry 10
Switch (config)# vmps reconfirm 1

Y en cada puerto del Switch que trabajara dinamicamente ejecutar el siguiente comando:

Switch (config)# interface fastethernet0/1

Switch (config-if)# switchport access vlan dynamic

Y Listo, eso es todo... cualquier duda, estamos a las ordenes!