ES RS InstructorPPT Chapter3

2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential Presentation_ID 1

Captulo 3:
Implementando
Seguridad VLAN
Routing y Switching
Presentation_ID 2 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Captulo 3
3.1 Segmentacin VLAN
3.2 Implementacin de VLAN
3.3 Seguridad y Diseo de VLAN
3.4 Resumen

Captulo 3: Objetivos
Explicar el propsito de las VLAN en las redes conmutadas
Analizar cmo un switch reenva tramas basado en configuracin de
VLAN en ambientes multi-conmutados
Configurar un puerto de switch para ser asignado a una VLAN
basado en requerimientos
Configurar un puerto troncal en un switch LAN
Configurar Dynamic Trunk Protocol (DTP)
Solucionar problemas de configuracin de VLAN y troncales en una
red conmutada
Configurar caractersticas de seguridad para mitigar ataques en un
entorno segmentado por VLAN
Explicar las mejores prcticas de seguridad en un entorno
segmentado por VLAN
Descripcin de VLANs
Definiciones de VLAN
VLAN (LAN virtual) es una particin lgica de una red de
capa 2
Mltiples particiones pueden ser creadas, permitiendo que
mltiples VLANs co-existan
Cada VLAN es un dominio de broadcast, usualmente con su
propia IP de red
Las VLANS estn mutuamente aisladas y los paquetes
solamente pueden pasar entre ellas a travs de un router
Las particiones de red de capa 2, se lleva dentro de un
dispositivo de capa 2, usualmente un switch.
Los hosts agrupados dentro de una VLAN no son
consientes de la existencia de la VLAN

Descripcin de VLANs
Definiciones de VLAN
Descripcin de VLANs
Beneficios de las VLANs
Seguridad
Reduccin de costos
Mejor rendimiento
Reduce el tamao de los dominios de broadcast
Mejora la eficiencia del personal de TI
Proteccin y administracin de aplicaciones ms
simple
Descripcin de VLANs
Tipos de VLANs
VLAN de datos
VLAN por defecto
VLAN Nativa
VLAN de Administracin
Descripcin de VLANs
Tipos de VLANs
Descripcin de VLANs
VLANs de Voz
El trfico de VoIP es sensible al tiempo y requiere:
Ancho de banda asegurado para asegurar calidad de servicio
Prioridad de transmisin sobre otros tipos de trfico de red
Habilidad de ser ruteado alrededor de reas congestionadas
en la red
Retardo de menos de 150 ms a travs de la red
La caracterstica de VLAN de voz permite a los puertos de acceso
llevar trfico voz IP desde un telfono IP
El switch se puede conectar a un telfono IP Cisco 7960 y llevar
trfico de voz IP
Debido a que la calidad del sonido de una llamada por telfono IP
se puede deteriorar si los datos se envan de forma desigual, el
switch debe soportar calidad de servicio (QoS)
Descripcin de VLANs
VLANs Voz
Los telfonos IP Cisco 7960 IP contienen tres puertos
de switch integrados de 10/100:
Port 1 conecta al switch
Port 2 es una interfaz interna de 10/100 que lleva el trfico
Port 3 (puertos acceso) conecta a un PC u otro dispositivo.

VLANs en un entorno multi-conmutado
VLAN Trunks
Un troncal VLAN lleva ms de una VLAN
Usualmente establecido entre switch para que
dispositivos de la misma VLAN se puedan comunicar,
an si estn conectados a diferentes switchs
Un troncal VLAN no se asocia a ninguna VLAN.
Tampoco se usa el puerto troncal para establecer el
enlace troncal
Cisco IOS soporta IEEE802.1q, un popular protocolo
de VLAN trunk

VLAN Trunks
Controlando dominios de Broadcast con VLANs
Las VLANs pueden ser usadas para limitar el alcance
de las tramas de broadcast
Una VLAN es un dominio de broadcast por si misma
Por lo tanto, una trama broadcast enviada por un
dispositivo en una VLAN especfica es reenviada
solamente dentro de esa VLAN
Esto ayuda a controlar el alcance de las tramas de
broadcast y su impacto en la red
Tramas unicast y multicast son reenviadas tambin
dentro de la VLAN originaria
Etiquetado de tramas Ethernet para la
identificacin de VLAN
El etiquetado de tramas es usado para transmitir
apropiadamente tramas de mltiples VLAN a travs de un
enlace troncal
Los Switches etiquetarn las tramas la VLAN a la cual ellas
pertenecen. Existen diferentes protocolos, siendo el IEEE
802.1q uno muy popular
Los protocolos definen la estructura del etiquetado agregado
al encabezado de la trama
Los switches agregarn etiquetas de VLAN a las tramas
antes de ponerlas en el enlace troncal y quita la etiqueta
antes de reenviar la trama a travs de puertos no troncales
Una vez etiquetada correctamente, las tramas pueden
atravesar varios switches va enlaces troncales y todava ser
reenviada dentro de la VLAN correcta al destino
Etiquetado de tramas Ethernet para la
identificacin de VLAN
VLANs Nativas y etiquetado 802.1q
Una trama que pertenece a la VLAN nativa no ser
etiquetada
Una trama que es recibida sin etiqueta permanecer
sin etiqueta y ser puesta en la VLAN nativa cuando se
reenve
Si no hay puertos asociados a la VLAN nativa y no hay
otros puertos troncales, una trama no etiquetada ser
descartada
En switchs Cisco, La VLAN nativa es la VLAN 1 por
defecto

Etiquetado de VLAN de Voz
Asignacin de VLAN
Rangos de VLAN en Switchs Catalyst
Los Switch Catalyst serie 2960 y 3560 soportan sobre 4,000
VLANs
Estas VLANs estn divididas en 2 categoras:
Rango de VLANs normales
Nmeros de VLAN desde 1 a 1005
Configuraciones almacenadas en el archivo vlan.dat (en la
flash)
VTP pueden aprender y almacenar solamente rango de
VLANs normales
Rango de VLANs extendidas
Nmeros de VLAN desde 1006 a 4096
Configuraciones almacenadas en el running-config (en la
NVRAM)
VTP no aprende VLANs extendidas

Asignacin de VLAN
Creando una VLAN
Asignacin de VLAN
Asignando Puertos a VLANs
Asignacin de VLAN
Asignando Puertos a VLANs
Asignacin de VLAN
Cambiando pertenencia de puerto a VLAN
Asignacin de VLAN
Cambiando pertenencia de puerto a VLAN
Asignacin de VLAN
Borrando VLANs
Asignacin de VLAN
Verificando Informacin de VLAN
Asignacin de VLAN
Verificando Informacin de VLAN
Asignacin de VLAN
Configurando enlace troncal IEEE 802.1q
Asignacin de VLAN
Reseteando el troncal al estado por defecto
Asignacin de VLAN
Reseteando el troncal al estado por defecto
Asignacin de VLAN
Verificando la Configuracin Troncal
Dynamic Trunking Protocol
Introduccin a DTP
Los puertos de switch pueden ser manualmente
configurados para formar troncales
Los puertos de switch tambin pueden ser configurados
para negociar y establecer un enlace troncal con un par
conectado
Dynamic Trunking Protocol (DTP) es un protocolo para
administrar la negociacin troncal
DTP es un protocolo propietario Cisco y est habilitado por
defecto en los switch Cisco Catalyst 2960 y 3560
Si el puerto en el switch vecino est configurado en un
modo troncal que soporta DTP, l administra la negociacin
La configuracin por defecto de DTP para los switch Cisco
Catalyst 2960 y 3560 es dynamic auto
Dynamic Trunking Protocol
Modos de Negociacin de Interfaz
Cisco Catalyst 2960 y 3560 soportan los siguientes
modos troncales:
switchport mode dynamic auto
switchport mode dynamic desirable
switchport mode trunk
switchport nonegotiate
Resolucin de Problemas de VLANs y Trunks
Abordando problemas con VLAN
Es una prctica muy comn asociar una VLAN con una red
IP
Ya que diferentes rede IP slo se pueden comunicar a
travs de un router, todos los dispositivos dentro de una
VLAN deben ser parte de la misma red IP para comunicarse
En la imagen de abajo, el PC1 no puede comunicarse al
servidor debido a que tiene una direccin IP errnea
configurada
Missing VLANs
Si todas las direcciones IP errneas han sido resueltas
pero los dispositivos an no se pueden conectar, revisa
si la VLAN existe en el switch.
Introduccin a Troubleshooting de troncales
Problemas Comunes con Troncales
Los problemas de troncales son usualmente asociados
con configuraciones incorrectas.
Los tipos ms comunes de errores de configuracin
troncales son:
1. Desajuste (mismatches) de VLAN Nativa
2. Desajuste (mismatches) de modo Troncal
3. VLANs permitidas (Allowed) en los troncales
Si un problema es detectado, Las pautas de mejores
prcticas recomendadas, se muestran en orden
arriba.
Modos Mismatches (errneos) de Troncales
Si un puerto en un enlace troncal es configurado con un
modo troncal que es incompatible con el puerto troncal del
vecino, un enlace troncal falla de formarse entre los dos
switchs
Verifica el estado de los puertos troncales en los switchs
usando el comando show interfaces trunk
Para solucionar el problema, configura las interfaces con los
modos troncales apropiados.

Lista Incorrecta de VLAN
Las VLANs deben ser permitidas en el troncal antes de
que sus tramas puedan ser transmitidas a travs del
enlace
Usa el comando switchport trunk allowed vlan para
especificar cuales VLANs son permitidas en un enlace
troncal
Para asegurarse de que las VLANs correctas son
permitidas en un troncal, usa el comando show
interfaces trunk

Ataques en VLANs
Ataques de spoofing a Switch
Hay una cantidad de diferentes tipos de ataques de VLAN
en redes conmutadas modernas. VLAN hopping es una de
ellas.
La configuracin por defecto de los puertos del switch es
dynamic auto
Configurando un host para actuar como un switch y formar
un troncal, un atacante podra ganar acceso a cualquier
VLAN en la red.
Debido a que el atacante est ahora habilitado para acceder
a otras VLANs, esto es llamado un ataque de VLAN hopping
Para prevenir un ataque de spoofing bsico a switchs,
deshabilita trunking en todos los puertos, excepto los nicos
que especficamente requieren ser troncales

Ataques en VLANs
Ataque de Doble-Etiquetado
El ataque de doble-etiquetado toma ventajas de la
forma en que el hardware en muchos switches
desencapsula las etiquetas 802.1Q
Muchos switches ejecutan slo un nivel de
desencapsulado 802.1Q, permitiendo a un atacante
incrustar un segundo encabezado no autorizado en la
trama
Despus quitando el primero y legtimo encabezado
802.1Q, el switch reenva la trama a la VLAN
especificada en el encabezado 802.1Q no autorizado
La mejor propuesta para mitigar ataques de doble
etiquetado es asegurar que la VLAN nativa de los
puertos troncales es diferente de la VLAN de cualquier
puerto de usuario

Ataques en VLANs
Ataque de Doble-Etiquetado
Ataques en VLANs
PVLAN Edge
La caracterstica Edge de Private
VLAN (PVLAN), tambin conocida
como puertos protegidos, asegura
que no hay intercambio de trfico
unicast, broadcast, o multicast
entre puertos protegidos en el
switch
Slo de relevancia local
Un puerto protegido slo
intercambia trfico con puertos no
protegidos
Un puerto protegido no
intercambiar trfico con otro
puerto protegido
Mejores prcticas de Diseo para VLANs
Pauta de Diseo VLAN
Mueve todos los puertos de la VLAN1 y asgnalos a
una VLAN no usada
Shutdown todos los puertos del switch no usados
Separa el trfico de administracin del de datos
Cambia la VLAN de administracin a otra VLAN que
no sea la VLAN1. Lo mismo para la VLAN nativa
Asegrate que slo dispositivos en la VLAN de
administracin puedan conectarse a los switchs
El switch debera aceptar slo conexiones SSH
Deshabilita la autonegociacin de puertos troncales
No uses modos auto o desirable en puertos de switch

Captulo 3: Resumen
Este captulo introdujo VANS y sus tipos.
Tambin cubri las conexiones entre VLANs y dominios
de broadcast
El captulo tambin cubre etiquetado de tramas IEEE
802.1Q y cmo permite la diferenciacin entre tramas
Ethernet asociadas con distintas VLANs a medida que
atraviesan los enlaces troncales.
Este captulo tambin examin la configuracin,
verificacin y resolucin de problemas de VLANs y
troncales usando la CLI de IOS CL y explor la
seguridad bsica y consideraciones de diseo en el
contexto de VLANs.


ES RS InstructorPPT Chapter3

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ES RS InstructorPPT Chapter3

Enviado por

Direitos autorais:

Formatos disponíveis

2008 Cisco Systems, Inc. All rights reserved.

Cisco Confidential Presentation_ID 1

Você também pode gostar