Professional Documents
Culture Documents
seguridad de VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
Descripcin general
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
Definiciones de VLAN
Presentation_ID
Definiciones de VLAN
La VLAN (LAN virtual) es una particin lgica de una red
de capa 2.
Se pueden crear varias particiones para que coexistan
varias VLAN.
Cada VLAN es un dominio de difusin (broadcast), que
generalmente posee su propia red IP.
Las VLAN se aslan mutuamente y los paquetes pueden
pasar entre ellas solamente mediante un router.
La particin de la red de capa 2 se lleva a cabo dentro de
un dispositivo de capa 2 (por lo general, un switch).
Los hosts que se agrupan dentro de una VLAN
desconocen la existencia de esta.
Presentation_ID
Definiciones de VLAN
Las VLAN habilitan la implementacin de las polticas de
acceso y de seguridad segn grupos especficos de
usuarios.
Cada puerto de switch se puede asignar a una sola VLAN (a
excepcin de un puerto conectado a un telfono IP o a otro
switch).
Cada VLAN en una red conmutada corresponde a una red
IP; por lo tanto, al disear la VLAN, se debe tener en cuenta
la implementacin de un esquema de direccionamiento de
red jerrquico.
Presentation_ID
Definiciones de VLAN
El direccionamiento jerrquico de la red significa que los
nmeros de red IP se aplican a los segmentos de red o a las
VLAN de manera ordenada, lo que permite que la red se
tome en cuenta como conjunto.
Los bloques de direcciones de red contiguas se reservan
para los dispositivos en un rea especfica de la red y se
configuran en estos, como se muestra en la ilustracin.
Presentation_ID
Reduccin de costos
Mejor rendimiento
Reduccin de dominios de difusin
Mejora de la eficiencia del personal de TI
Administracin ms simple de aplicaciones y proyectos
Presentation_ID
Presentation_ID
Tipos de VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
Tipos de VLAN
VLAN de datos
VLAN predeterminada
VLAN nativa
VLAN de administracin
Presentation_ID
10
VLAN de datos
Una VLAN de datos es una VLAN configurada para enviar slo
trfico de datos generado por el usuario.
Una VLAN podra enviar trfico basado en voz o trfico utilizado para
administrar el switch, pero este trfico no sera parte de una VLAN de
datos.
Presentation_ID
11
VLAN de predeterminada
Todos los puertos de switch se convierten en un miembro de la VLAN
predeterminada luego del arranque inicial del switch.
Hacer participar a todos los puertos de switch en la VLAN
predeterminada los hace a todos parte del mismo dominio de broadcast.
Esto admite cualquier dispositivo conectado a cualquier puerto de switch
para comunicarse con otros dispositivos en otros puertos de switch.
La VLAN predeterminada para los switches de Cisco es la VLAN 1.
La VLAN 1 tiene todas las caractersticas de cualquier VLAN, excepto
que no la puede volver a denominar y no la puede eliminar.
El trfico de control de Capa 2, como CDP y el trfico del protocolo
spanning tree se asociar siempre con la VLAN 1: esto no se puede
cambiar.
Nota: Algunos administradores de red utilizan el trmino "VLAN
predeterminada" para referirse a una VLAN que no sea la VLAN 1
que el administrador de red defini como la VLAN a la que se
asignan todos los puertos cuando no estn en uso.
Presentation_ID
12
VLAN Nativa
Una VLAN nativa est asignada a un puerto troncal 802.1Q.
Un puerto de enlace troncal 802.1 Q admite el trfico que llega de
muchas VLAN (trfico etiquetado) como tambin el trfico que no
llega de una VLAN (trfico no etiquetado).
El puerto de enlace troncal 802.1Q coloca el trfico no etiquetado en
la VLAN nativa.
La funcin que cumple la VLAN Nativa es la de manejar el trfico de
control de Capa 2 para la red, como CDP, VTP, DTP, PAgP, STP.
Las VLAN se establecen en la especificacin IEEE 802.1Q para
mantener la compatibilidad retrospectiva con el trfico no etiquetado
comn para los ejemplos de LAN antigua.
13
VLAN de administracin
Una VLAN de administracin es cualquier VLAN que usted
configura para acceder a las capacidades de administracin de
un switch.
14
Tipos de VLAN
Presentation_ID
15
VLAN de voz
El trfico VoIP depende del factor tiempo y requiere lo
siguiente:
16
VLAN de voz
El telfono IP 7960 de Cisco tiene un switch integrado
10/100 de tres puertos:
Presentation_ID
17
VLAN de voz
Presentation_ID
18
Presentation_ID
19
Enlaces troncales de
VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
20
Qu es un enlace troncal?
Un enlace troncal es un enlace punto a punto, entre dos
dispositivos de red, que transporta ms de una VLAN.
Presentation_ID
21
Qu es un enlace troncal?
Un enlace troncal de VLAN le permite extender las VLAN a travs
de toda una red.
Cisco admite IEEE 802.1Q para la coordinacin de enlaces
troncales en interfaces FastEthernet y Gigabitethernet.
Un enlace troncal de VLAN no pertenece a una VLAN especfica,
sino que es un conducto para las VLAN entre switches y routers.
Presentation_ID
22
Presentation_ID
23
Presentation_ID
24
VLAN Etiquetada
Presentation_ID
25
Presentation_ID
26
27
Presentation_ID
28
Presentation_ID
29
Presentation_ID
30
31
Presentation_ID
32
Presentation_ID
33
Presentation_ID
34
Asignacin de VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
35
Asignacin de VLAN
Presentation_ID
36
Asignacin de VLAN
Presentation_ID
37
Asignacin de VLAN
Presentation_ID
38
Asignacin de VLAN
Presentation_ID
39
Asignacin de VLAN
Presentation_ID
40
Asignacin de VLAN
Presentation_ID
41
Asignacin de VLAN
Eliminacin de VLAN
Presentation_ID
42
Asignacin de VLAN
Presentation_ID
43
Asignacin de VLAN
Presentation_ID
44
Asignacin de VLAN
Presentation_ID
45
Asignacin de VLAN
Ejemplo:
(config- if )#switchport trunk allowed vlan 10,20-30,1
Presentation_ID
46
Asignacin de VLAN
Presentation_ID
47
Asignacin de VLAN
Presentation_ID
48
Asignacin de VLAN
Presentation_ID
49
Asignacin de VLAN
Presentation_ID
50
Configuracin de Calidad
de servicio para Vlan de
voz
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
51
Asignacin de VLAN
VLAN de voz
Antes de que configure una VLAN de voz en el puerto,
primero debe crear una VLAN para voz y una VLAN para
datos.
Por ejemplo, la VLAN 150 es la VLAN de voz y la VLAN 20
es la VLAN de datos.
Se supone que la red ha sido configurada para garantizar
que el trfico de voz se pueda transmitir con un estado
prioritario sobre la red, mediante el comando mls qos trust
cos.
Cuando se enchufa por primera vez un telfono IP en un
puerto de switch que est en modo de voz, ste enva
mensajes al telfono proporcionndole la configuracin y el
ID de VLAN de voz adecuado.
Presentation_ID
52
Asignacin de VLAN
VLAN de voz
El telfono IP etiqueta las tramas de voz con el ID de VLAN
de voz y enva todo el trfico de voz a travs de la VLAN de
voz.
El comando de configuracin mls qos trust cos garantiza
que el trfico de voz se identifique como trfico
prioritario.
Recuerde que toda la red debe prepararse para que priorice
el trfico de voz.
No puede simplemente configurar el puerto con este
comando.
Presentation_ID
53
Asignacin de VLAN
VLAN de voz
S3 (config)#mls qos
S3 (config)#interface f0/20
S3 (config-if)# switchport mode access
S3 (config-if)#switchport access vlan 20
S3 (config-if)#switchport voice vlan 150
S3 (config-if)# mls qos trust cos
S3 (config-if)#mls qos trust device cisco-phone
Presentation_ID
54
Asignacin de VLAN
VLAN de voz
Presentation_ID
55
Asignacin de VLAN
VLAN de voz
Presentation_ID
56
DTP
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
57
58
Presentation_ID
59
60
Resolucin de problemas
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
61
Presentation_ID
62
VLAN faltantes
Si se resolvieron todas las incompatibilidades de las
direcciones IP pero el dispositivo an no puede
conectarse, revise si la VLAN existe en el switch.
Presentation_ID
63
Presentation_ID
64
Presentation_ID
65
Presentation_ID
66
Presentation_ID
67
Presentation_ID
68
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
69
70
71
Presentation_ID
72
Permetro de PVLAN
La caracterstica de permetro de
VLAN privada (PVLAN), tambin
conocida como puertos
protegidos, asegura que no se
intercambie trfico de unidifusin,
difusin o multidifusin entre los
puertos protegidos del switch.
Solo tiene importancia local.
Un puerto protegido intercambia
trfico solamente con los puertos
no protegidos.
Un puerto protegido no
intercambia trfico con otro puerto
protegido.
Presentation_ID
73
Permetro de PVLAN
Las caractersticas de la funcin de permetro de PVLAN
son las siguientes:
Los puertos protegidos no reenvan trfico (de unidifusin,
difusin o multidifusin) a ningn otro puerto que tambin sea
un puerto protegido, excepto el trfico de control.
El trfico de datos no se puede reenviar entre los puertos
protegidos en la capa 2.
El comportamiento de reenvo entre un puerto protegido y un
puerto no protegido contina normalmente.
Los puertos protegidos se deben configurar manualmente.
Presentation_ID
74
Permetro de PVLAN
Presentation_ID
75
Prcticas recomendadas
de diseo para las VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
76
77
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
78
Funcionamiento de SSH
Shell seguro (SSH) es un protocolo que proporciona una
conexin segura (cifrada) a un dispositivo remoto basada en la
lnea de comandos.
Por lo general, SSH se utiliza en sistemas basados en UNIX.
IOS de Cisco tambin admite SSH.
Para habilitar SSH en los switches Catalyst 2960, se requiere
una versin del software IOS que incluya caractersticas y
capacidades criptogrficas (cifradas).
SSH reemplaza a Telnet para las conexiones de administracin,
debido a sus slidas caractersticas de cifrado.
SSH utiliza el puerto TCP 22 de manera predeterminada. Telnet
utiliza el puerto TCP 23.
Presentation_ID
79
Funcionamiento de SSH
Presentation_ID
80
Configuracin de SSH
Presentation_ID
81
Ejemplo: inacap.cl
# ip ssh version 2
# username [nombre_usuario] privilege 15 secret [contrasea]
# Line vty 0 4
#Login local
#exit
Presentation_ID
82
Verificacin de SSH
Presentation_ID
83
Resumen
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
84
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
85
Deteccin de DHCP
La deteccin de DHCP permite determinar cules son los
puertos de switch que pueden responder a solicitudes de
DHCP.
Presentation_ID
86
Deteccin de DHCP
Presentation_ID
87
Deteccin de DHCP
Presentation_ID
88
Presentation_ID
89
Presentation_ID
90
Trusted
------------------------ ----------
--------------------
FastEthernet0/35
no
FastEthernet0/36
no
GigabitEthernet0/1
yes
unlimited
Switch#
Presentation_ID
91
Seguridad de puertos de
acceso
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
92
de
93
94
95
96
Presentation_ID
97
Presentation_ID
98
Presentation_ID
99
Presentation_ID
100
Presentation_ID
101
Presentation_ID
102
Presentation_ID
103
Presentation_ID
104
Presentation_ID
105
Presentation_ID
106
Consultas ..
Presentation_ID
107
Presentation_ID
108