Verificació i resolució d'incidències - VLANs - Tarik Aberdane
CFGM · Sistemes Microinformàtics i Xarxes

Verificació i resolució d'incidències de connectivitat

Diagnòstic sistemàtic · Resolució d'errors · Xarxa VLANs
Tarik Aberdane · Institut Castellbisbal · Curs 2024-2026

✅ Justificació de les decisions tècniques

Per garantir una xarxa troncal robusta, segura i escalable a la LAN Party 4.0, s'ha implementat una arquitectura basada en VLANs 802.1Q i encaminament inter-VLAN mitjançant subinterfícies (router-on-a-stick). Les decisions tècniques fonamentals són:

  • Segmentació en 4 VLANs independents (10, 20, 30, 99): Aïlla el tràfic de jugadors, personal, servidors i gestió. Això evita atacs laterals (seguretat), redueix dominis de broadcast (rendiment) i permet afegir nous dispositius sense reconfigurar (escalabilitat).
  • Trunk 802.1Q entre switch i router: Un sol enllaç físic transporta totes les VLANs, optimitzant el cablatge i els ports del switch. La VLAN nativa s'ha canviat a VLAN 99 per seguretat, evitant que tràfic no etiquetat caigui a la VLAN per defecte (VLAN 1).
  • DHCP per VLAN amb rangs exclosos: Assignació dinàmica d'adreces per a jugadors i personal. S'exclouen les primeres 20 IPs de cada subxarxa per a dispositius estàtics (gateways, servidors, impressores).
  • ACLs al router per aïllar VLANs: S'han configurat llistes de control d'accés per blocar el tràfic directe entre VLAN 10 (jugadors) i VLAN 20 (personal), mantenint només l'accés a Internet i als serveis autoritzats.
  • Ruta per defecte (0.0.0.0/0): Totes les VLANs tenen sortida a Internet a través del router, mentre que el firewall central controla les polítiques de seguretat.

Alternatives descartades: Switch de capa 3 (cost innecessari per a aquesta mida), IP fixes (mala experiència d'usuari), VLAN nativa per defecte (risc de seguretat).

🛠 Incidències detectades i resolució

S'ha seguit un procediment sistemàtic de diagnòstic des de la capa física fins a la capa d'aplicació, identificant i resolent cada problema amb la seva causa arrel.

INCIDÈNCIA 1 RESOLTA Manca de servei DHCP a la VLAN de Jugadors (VLAN 10)

Causa arrel: El router no tenia configurat cap pool DHCP per a la subxarxa 192.168.10.0/24. Els ordinadors dels jugadors rebien adreces APIPA (169.254.x.x), impossibilitant la connectivitat.

Procés de diagnòstic: Es va executar ipconfig /all en un PC de la VLAN 10 i es va observar l'absència de servidor DHCP. Al router, la comanda show ip dhcp pool va confirmar que no hi havia pools actius per a aquesta VLAN.

Solució aplicada: Es van crear els pools DHCP "JURADOSS" per a la VLAN 10 i "PERSONAL" per a la VLAN 20, amb les seves respectives xarxes, gateways i rangs exclosos (les primeres 20 IPs per a dispositius estàtics).

Verificació: Després de l'aplicació, un ordinador de la VLAN 10 va obtenir una IP del rang 192.168.10.21 - 192.168.10.254. El ping al gateway (192.168.10.1) va ser exitós.

Router(config)# ip dhcp pool JURADOSS
Router(dhcp-config)# network 192.168.10.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.10.1
Router(dhcp-config)# exit
Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.20
INCIDÈNCIA 2 RESOLTA Manca d'aïllament entre VLAN 10 (Jugadors) i VLAN 20 (Personal)

Causa arrel: El router tenia l'encaminament inter-VLAN activat per defecte, sense cap ACL restrictiva. Això permetia que qualsevol jugador pogués fer ping i accedir als equips del personal.

Procés de diagnòstic: Es va realitzar un ping 192.168.20.1 des d'un ordinador de la VLAN 10. La resposta va ser positiva, demostrant l'absència d'aïllament. Es va revisar la configuració del router i no hi havia cap ACL aplicada a les subinterfícies.

Solució aplicada: Es van configurar ACLs exteses al router per denegar explícitament el tràfic entre VLAN 10 i VLAN 20, mentre es permetia l'accés a Internet i als servidors autoritzats (VLAN 30).

Verificació: Després d'aplicar les ACLs, el ping des de VLAN 10 a VLAN 20 va donar timeout. L'aïllament és efectiu. El tràfic cap a Internet va seguir funcionant correctament.

Router(config)# access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Router(config)# access-list 100 permit ip any any
Router(config)# interface gigabitEthernet 0/0.10
Router(config-subif)# ip access-group 100 in
INCIDÈNCIA 3 RESOLTA Port trunk amb VLAN nativa per defecte (VLAN 1)

Causa arrel: El port trunk entre el switch i el router tenia la VLAN nativa per defecte (VLAN 1). Això implicava que el tràfic sense etiquetar (inclòs el de gestió) es barrejava amb la VLAN per defecte, creant un risc de seguretat i dificultant l'administració remota.

Procés de diagnòstic: Es va observar que l'accés per SSH al switch des de la VLAN 99 (gestió) no funcionava de manera fiable. Es van analitzar els paquets CDP/DTP i es va identificar que la VLAN nativa era la 1.

Solució aplicada: Es va reconfigurar el port trunk canviant la VLAN nativa a la VLAN 99 (gestió), seguint les bones pràctiques de seguretat. Així, el tràfic sense etiquetar pertany ara a la VLAN de gestió.

Verificació: Després del canvi, l'equip de la VLAN 99 va poder accedir al switch per SSH sense problemes. La resta de VLANs van mantenir el seu funcionament normal.

Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# switchport trunk allowed vlan 10,20,30,99

📋 Procediment sistemàtic de diagnòstic

Metodologia emprada per a la detecció d'incidències, seguint l'ordre de la pila OSI:

Ordre Capa Verificació realitzada Eina utilitzada
1 Capa Física Cables connectats correctament, LEDs dels ports en verd, alimentació dels dispositius Inspecció visual, tester de continuïtat
2 Capa d'enllaç (VLANs) Verificació de les VLANs creades i assignació de ports amb show vlan brief CLI del switch
3 Capa de xarxa (IP) Comprovació de taules d'enrutament amb show ip route i rutes inter-VLAN CLI del router
4 Capa d'aplicació (DHCP) Verificació dels pools DHCP i assignació d'IPs als clients show ip dhcp pool, ipconfig /all
5 Seguretat (ACLs) Proves de ping entre VLANs per verificar aïllament ping, show access-lists

Resultat final de la verificació

Totes les incidències han estat resoltes. La xarxa troncal funciona amb segmentació òptima, aïllament entre VLANs verificat, serveis DHCP actius i configuració de seguretat aplicada correctament.

🔬 Eines de diagnòstic utilitzades

Comandes CLI

  • show vlan brief – verifica VLANs i ports
  • show ip route – confirma taules d'enrutament
  • show ip dhcp pool – estat dels serveis DHCP
  • show access-lists – verifica ACLs actives
  • ping / tracert – test de connectivitat

Eines gràfiques

  • Cisco Packet Tracer – simulació completa
  • VLAN Database (GUI) – gestió visual de VLANs
  • Terminal integrat – execució de comandes

Verificació de seguretat

  • ACLs exteses en router
  • Native VLAN canviada a 99
  • Ports access amb Portfast
  • Proves de ping entre VLANs

📸 Evidències de configuració i verificació

show vlan brief

Evidència 1: show vlan brief

VLANs 10, 20, 30, 99 actives

Ports assignats correctament a cada VLAN

Trunk actiu a Gig0/1

📅 Maig 2026🔧 Switch SW1
VLAN Database

Evidència 2: VLAN Database

Llistat de VLANs creatives

Noms: JUGADORS, PERSONAL, SERVIDORS, GESTIO

Interfície gràfica de configuració

📅 Maig 2026🖥️ Packet Tracer
DHCP pools

Evidència 3: Configuració DHCP

Pool "JURADOSS" per a VLAN 10

Pool "PERSONAL" per a VLAN 20

Rangs exclosos: 20 adreces per VLAN

📅 Maig 2026🔧 Router R1
Routing table

Evidència 4: Taula d'enrutament

Rutes connectades: 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24

Ruta per defecte: 0.0.0.0/0 via 203.0.113.2

📅 Maig 2026🔧 Router R1
Firewall ACL

Evidència 5: ACLs (tallafocs)

ACLs exteses per blocar tràfic VLAN10 → VLAN20

Permís d'accés a Internet

Aïllament de seguretat verificat

📅 Maig 2026🔧 Router R1

Totes les evidències són captures pròpies realitzades a Cisco Packet Tracer

© 2026 Tarik Aberdane · CFGM SMX · Institut Castellbisbal

Verificació i resolució d'incidències de connectivitat · Xarxa VLANs · LAN Party Castellbisbal · Curs 2024-2026

Tarik Aberdan | Asistente 🚀 ×
¡Hola! Soy el asistente de Tarik Aberdan. ¿En qué puedo ayudarte hoy?