2 Redes Vlan

 2 R edes V L A N I INTRODUCCIÓN Una VLAN es su definición es red de área local virtual, es un método que nos permite crear redes lógicas e independientes dentro de una misma red, los cuales podemos tener varias VLANS en un único conmutador físico o en una red física. En el ámbito laborales, las redes son muy importantes, ya que son importantes porque pueden ofrecer seguridad y monitoreo de distintos servicios que se brindan, a través de las redes se pueden dar accesos a ciertos cosas, y restringir otras, por lo que la organización pueda dar más privilegios a un departamento que a otro dentro de su empresa, para este tipo de redes es muy recomendable crear restricciones para una mayor seguridad mediante VLANS. Esperando que este reporte sobre la seguridad en VLANS sea claro y entendible para el lector, así como también para el docente, cumpliendo con todo los requisitos del mismo. SEGURIDAD EN VLAN Definición 1: Es una red de área local virtual, es una red que agrupa un conjunto de equipos demanera lógica y no física. Los grupos de puertos que hacemos en un switchgestionable para aislar un conjunto de máquinas forman una VLAN. Se la llamavirtual porque parece que está en una LAN propia y que la red es de ellos solos.Utilizar una VLAN hace que la seguridad y el rendimiento sean mejores. Definición 2: Es un método para crear redes lógicas independientes dentro de una misma redfísica. Varias VLAN pueden coexistir en un único conmutador físico o en una únicared física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en laadministración de la red, separando segmentos lógicos de una red de área local (losdepartamentos de una empresa, por ejemplo) que no deberían intercambiar datosusando la red local (aunque podrían hacerlo a través de un enrutador o unconmutador de capa 3 y 4). Definición 3: Una VLAN consiste en dos o más redes de computadoras que se comportan como siestuviesen conectados al mismo PCI, aunque se encuentren físicamente conectadosa diferentes segmentos de una red de área local (LAN). Los administradores de redconfiguran las VLAN mediante software en lugar de hardware, lo que las haceextremadamente fuertes Utilidad: La utilidad de las VLAN radica en la posibilidad de separar aquellos segmentoslógicos que componen una LAN y que no tienen la necesidad de intercambiarinformación entre sí a través de la red de área local. Esta particularidad contribuye auna administración más eficiente de la red física. 2 Existen diversos modos de establecer una VLAN. Las VLAN de Nivel 1 sonaquellas que se desarrollan a partir del uso de puertos. Las VLAN de Nivel 2, encambio, se crean a través de la asignación de direcciones MAC o por clase deprotocolo. También existen las VLAN de Nivel 3, que implican la creación desubredes virtuales, y las VLAN de niveles superiores (una VLAN por aplicación). Seguridad: Si configura una red de área local virtual (VLAN), las VLAN comparten el ancho debanda de la red y requieren medidas de seguridad adicionales. Al usar VLAN, separa los clusters sensibles de sistemas del resto de l a red.De esta manera, se reduce la probabilidad de que los usuarios tengan acceso a lainformación almacenada en esos clientes y servidores.      Asigne un número de VLAN nativo único a los puertos de enlace troncal. Limite las VLAN que se pueden transportar mediante un un enlace troncal a las queson estrictamente necesarias. Desactivar el protocolo de enlace troncal (VTP) (VTP) de VLAN, si es posible. De locontrario, configurar la siguiente para el VTP: dominio de gestión, contraseña yeliminación. A continuación, se define VTP en modo transparente. Utilice configuraciones de VLAN estáticas, cuando sea posible. Desactive los puertos de conmutador no utilizados y asígneles un número deVLAN que no esté en uso VLAN basadas en el puerto de conexión: Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN esindependiente del usuario o dispositivo conectado en el puerto. Esto significa quetodos los usuarios que se conectan al puerto serán miembros de la misma VLAN.Habitualmente es el administrador de la red el que realiza las asignaciones ala VLAN. Después de que un puerto ha sido asignado a una VLAN, a través de esepuerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLANsin la intervención de algún dispositivo de capa 3 Los puertos de un switch pueden ser de dos tipos, en lo que respecta a lascaracterísticas VLAN: puertos de acceso y puertos trunk. Un puerto de acceso(switchport mode access) pertenece únicamente a una VLAN asignada de formaestática (VLAN nativa). La configuración predeterminada suele ser que todos lospuertos sean de acceso de la VLAN1. En cambio, un puerto trunk (switchport modetrunk) puede ser miembro de múltiples VLAN. Por defecto es miembro de todas, perola lista de las VLAN permitidas es configurable.El dispositivo que se conecta a un puerto, posiblemente no tengaconocimiento de la existencia de la VLAN a la que pertenece dicho puerto. Eldispositivo simplemente sabe que es miembro de una subred y que puede ser capazde hablar con otros miembros de la subred simplemente enviando información alsegmento cableado.El switch es responsable de identificar que la información viene de una VLANdeterminada y de asegurarse de que esa información llega a todos los demásmiembros de la VLAN. El switch también se asegura de que el resto de puertos queno están en dicha VLAN no reciben dicha información.Este planteamiento es sencillo, rápido y fácil de administrar, dado que no haycomplejas tablas en las que mirar para configurar la segmentación de la VLAN. Si laasociación de puerto a VLAN se hace con un  ASIC (acrónimo en inglés de ApplicationSpecific Integrated Circuit o Circuito integrado para una aplicaciónespecífica), el rendimiento es muy bueno. Un ASIC permite que el mapeo de puerto aVLAN sea hecho a nivel hardware. La tecnología de red LAN con nodos permite organizar los sistemas de unared local en redes VLAN. Para poder dividir una red de área local en redes VLAN,debe tener nodos compatibles con la tecnología VLAN. Puede configurar todos lospuertos de un nodo para que transfieran datos para una única VLAN o para variasVLAN, según el diseño de configuración VLAN. Cada fabricante de conmutadoresutiliza procedimientos diferentes para configurar los puertos de un conmutador. 4 Autentificación en el puerto MAC y 802.1x: Se realiza la autentificación en el puerto, y de esta manera el switch solo podráconectar aquel cuya MAC este dentro de una lista definitiva en el propio switch o elque se autentificado mediante RADIUS en el estándar 802.1x.Por lo tanto, se dice que 802.1x es un mecanismo de seguridad de acceso almedio. La dirección MAC es asignada por el fabricante de la tarjeta de red por lo queno puede haber dos tarjetas de red con la misma dirección MAC.RADIUS es un protocolo de autentificación y autorización para aplicacionesde acceso a la red o movilidad IP. Asegurando VLAN Trunks: Cuando un puerto está configurado con Dynamic Trunking Protocol (DTP) (pordefecto en Cisco una interface está así configurada) y la interface está en auto puedenegociar la interface para convertirse en un Trunk, por eso un atacante que conecteun host (PC, server, etc.) a una interface DTP en auto podría "negociar" con el switchpara establecer un Trunk entre el host y el switch lo que se llama Switch Spoofing.Por ello es conveniente que cada interface que no se use ponerla en shutdowny configurar las interfaces donde se conecten usuarios finales en modo acceso y conla VLAN correspondiente con los comandos: El exploit llamado VLAN Hopping consiste en que un atacante marcadoblemente el tráfico para poder alcanzar una VLAN que de por si no deberíaalcanzar. Primero marca con la VLAN que NO puede alcanzar y por encima vuelve aencapsular con la VLAN en la que se encuentra (que será la VLAN nativa), porejemplo: [VLAN30][VLAN 50][trama].Para que este exploit funcione se deben cumplir estas condiciones: El atacante está conectado a una interface en modo acceso. El mismo switch tiene configurado trunk 802.1Q. El Trunk debe tener configurada como VLAN nativa la misma en la que elatacante esté.Para evitar este tipo de ataque es conveniente seguir estos pasos: Deshabilitar DTP en todos los puertos que no se usen con el comando "switchportnonegotiate". Definir las interfaces de acceso (switchport mode access) y trunk (switchportmode trunk) explícitamente. Poner en shutdown todos los puertos que no se usen y asignarles una VLAN queno se use Configurar la VLAN nativa de los Trunk con una VLAN sin usar o falsa. Eliminar esa vlan de ambos extremos del Trunk. Definir explícitamente en los puertos trunks las VLANs que tiene que pasar en vezde dejar pasar todas.También podemos configurar que la VLAN nativa vaya marcada siempre conel comando: Seguridad en puertos de switches cisco: La seguridad en los switches comienza por el acceso al propio sistema, a través dela consola o a través de las líneas virtuales (vty), ya sea por Telnet o SSH, o tambiénpor Http. Se puede establecer una contraseña para el acceso en modo privilegiado yademás, la autenticación se puede llevar de modo local, por medio de usuariosconfigurados en el propio sistema, con sus diferentes niveles de privilegios, o bienpor medio de un servidor externo (como un servidor RADIUS por ejemplo). CONCLUSIÓN Como se vio una vlan sirve para tener un buen control de nuestras redes, de estamanera se consigue una mayor seguridad, ya que a partir de sus configuracionesque se le dé, puede otorgar privilegios unos de otros, independientemente de lanecesidad que se tenga en ese momento, así como también permiten reducir lostamaños de dominio, separando cada segmento lógico en una red de área local.Otra función de VLAN es que puede agrupar puertos distintos como Ethernet, Access Point inalámbricos y usuarios en otras redes virtuales, además de separar eltráfico de la red por razones de desempeño y diseño, independiente de tipo deusuario que maneje (colaboradores, administradores, invitados) por razones deseguridad. Ya que están configuradas dinámicamente.Un ejemplo muy claro en la seguridad puede ser cuando un usuario conectesu equipo a la red, lo que hará la VLAN es que ya estará designada para ese usuarioy este solo podrá acceder solo a esa red que ya está configurada por eladministrador, también se hace una recomendación de configurar mediante lasdirecciones MAC o mediante la autenticación 802.1X este garantiza la protección deenvió y acceso hasta la red que otorgue esa credencial de acceso, así como tambiénasigna los usuarios VLAN de forma dinámica. Unidad 2. Redes VLAN Qué es una red VLAN Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que agrupa un conjunto de equipos de manera lógica y no física. Efectivamente, la comunicación entre los diferentes equipos en una red de área local está regida por la arquitectura física. Gracias a las redes virtuales (VLAN), es posible liberarse de las limitaciones de la arquitectura física (limitaciones geográficas, limitaciones de dirección, etc.), ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios (direcciones MAC, números de puertos, protocolos, etc.). Tipos de VLAN Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel en el que se lleve a cabo. Así, la VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del conmutador . La VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red es independiente de la ubicación de la estación.  Además de las anteriores, existe la VLAN de nivel 3, que incluye diferentes tipos. La VLAN basada en la dirección de red conecta subredes según la dirección IP de origen de los datagramas. Este tipo de solución brinda gran flexibilidad, en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. En contrapartida, puede haber una ligera disminución del rendimiento, ya que la información contenida en los paquetes debe analizarse detenidamente. La VLAN basada en protocolo permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX,  AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red. Ventajas de la VLAN La VLAN permite definir una nueva red por encima de la red física y, por lo tanto, ofrece diversas ventajas: una mayor flexibilidad en la administración y en los cambios de la red, ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores; un aumento de la seguridad, puesto que la información se encapsula en un nivel adicional y puede ser analizada; una disminución en la transmisión de tráfico en la red. Qué estándares definen a las VLAN Las VLAN están definidas por los estándares IEEE 802.1D, 802.1p, 802.1Q y 802.10. Para obtener más información, te aconsejamos que consulte los siguientes documentos: IEEE 802.1D, IEEE 802.1Q y IEEE 802.10. 2.1 Tipos VLAN Existen diferentes tipos de redes VLAN, los cuales se utilizan en las redes modernas. Algunos tipos de VLAN se definen según las clases de tráfico. Otros tipos de VLAN se definen según la función específica que cumplen. Ø VLAN de datos Una VLAN de datos es una VLAN configurada para transportar tráfico generado por usuarios. Una VLAN que transporta tráfico de administración o de voz no sería una VLAN de datos. Es una práctica común separar el tráfico de voz y de administración del tráfico de datos. A veces a una VLAN de datos se la denomina VLAN de usuario. Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. Ø VLAN predeterminada Todos los puertos de switch se vuelven parte de la VLAN predeterminada después del arranque inicial de un switch que carga la configuración predeterminada. Los puertos de switch que participan en la VLAN predeterminada forman parte del mismo dominio de difusión. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch. Ø VLAN nativa Una VLAN nativa está asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal son los enlaces entre switches que admiten la transmisión de tráfico asociado a más de una  VLAN. Los puertos de enlace troncal 802.1Q admiten el tráfico proveniente de muchas  VLAN (tráfico con etiquetas), así como el tráfico que no proviene de una VLAN (tráfico sin etiquetar). Las VLAN nativas se definen en la especificación IEEE 802.1Q a fin de mantener la compatibilidad con el tráfico sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas. Una VLAN nativa funciona como identificador común en extremos opuestos de un enlace troncal. Ø VLAN de administración Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades de administración de un switch. La VLAN 1 es la VLAN de administración de manera predeterminada. Para crear la VLAN de administración, se asigna una dirección IP  y una máscara de subred a la interfaz virtual de switch (SVI) de esa VLAN, lo que permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP. 2.2. Protocolos de enlace VLAN. El protocolo de etiquetado IEEE 802.1Q domina el mundo de las VLANs. Antes de su introducción existían varios protocolos propietarios, como el ISL (Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. Los primeros diseñadores de redes enfrentaron el problema del tamaño de los dominios de colisió n (Hubs) esto se logró controlar a través de la introducción de los switch o conmutadores pero a su  vez se introdujo el problema del aumento del tamaño de los dominios de difusión y una de las formas más eficientes para manejarlo fue la introducción de las VLANs. Las VLANs también pueden servir para restringir el acceso a recursos de red con independencia de la topología física de ésta, si bien la robustez de este método es discutible al ser el salto de VLAN (VLAN hopping) un método común de evitar tales medidas de seguridad. Las VLANs se caracterizan en el nivel 2 (enlace de datos) del modelo OSI. Sin embargo, los administradores suelen configurar las VLANs como correspondencia directa de una red o subred IP, lo que les da apariencia de funcionar en el nivel 3 (red). 2.3 Enrutamiento Inter VLAN Es un proceso para reenviar el tráfico de la red desde una VLAN a otra mediante un router. El enrutamiento se realiza mediante la conexión de diferentes interfaces físicas del router a diferentes puertos físicos del switch. Los puertos del switch se conectan al router en modo de acceso; Cada interfaz del switch estaría asignada a una VLAN estática diferente. Es un tipo de configuración de router en la cual una interfaz física única enruta el tráfico entre múltiples VLAN en una red. Routeron a stick. El router realiza el enrutamiento inter VLAN al aceptar el tráfico proveniente del switch adyacente y reenvía el tráfico enrutado de la VLAN etiquetada para la VLAN de destino, por la misma interfaz física. Sub-interfaces Son interfaces virtuales múltiples, asociadas Uso del router Interfaces y Sub-interfaces Temas de Direccionamiento IP Errores Comunes a una como interfaz física. Gateway 1) Configurar dirección IP incorrecta para la subred asociada con la VLAN 2) Configurar una dirección IP incorrecta en la interfaz F0/0. 3) Configurar una máscara de subred incorrecta. Es necesario conectar un router a todas las VLAN, ya sea por medio de interfaces físicas separadas o sub-interfaces de enlace troncal. 2.4 Resolución De Problemas De VLAN Ø Faltas de concordancia de la VLAN nativa: los puertos se configuran con diferentes VLAN nativas, estos errores de configuración generannotificaciones de consola, hacen que el tráfico de administración y control se dirija erróneamente. Ø Faltas de concordancia del modo de enlace troncal: un puerto de enlace troncal se configura con el modo de enlace troncal "inactivo" y el otro con el modo de enlace troncal "activo". Estos errores de configuración hacen que el vínculo de enlace troncal deje de funcionar. Ø La resolución de problemas es examinando los enlaces troncales para ver si existe una falta de concordancia de la VLAN nativa. Ø Cada VLAN debe corresponder a una subred IP única. Si dos dispositivos en la misma VLAN tienen direcciones de subred diferentes, no se pueden comunicar. Este tipo de configuración incorrecta es un problema común y de fácil resolución al identificar el dispositivo en controversia y cambiar la dirección de subred por una dirección correcta. 2.5 Seguridad En VLAN Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. Por malicia o desconocimiento, los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados. Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y los usuarios internos están más controlados, aunque sea a nivel de aplicación. Como este blog nace con la idea de ayudar a los que menos experiencia tienen, vamos a explicar un poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su antojo por toda nuestra red. UNIDAD II. REDES VLANS. En esta unidad abordaremos la temática de vlans, tecnología que ha tenido gran impacto en la administración de redes permitiendonos tener un mayor control sobre el trafico de datos que se presenta en una organización. Una vlan es una red de área local virtual que nos permite segmentar una red en subredes a las cuales podemos restringir la comunicación de los d ispositivos pertenecientes a una vlan con respecto a otra. También nos permite reducir el trafico en la red ya que solo se transmiten los paquetes a los dispositivos que estén incluidos dentro del dominio de cada vlan, con lo que se logra eficiencia en el uso que se le da al ancho de banda y confidencialidad respecto a personas ajenas a la red de área local virtual. ESTAS REDES SE CLASIFICAN EN TIPOS DE VLAN: Estáticas: Los puertos del switch están ya pre-asignados a las estaciones d e trabajo. vlan por dirección mac: En esta los miembros de la vlan están especificados en una tabla  por su dirección mac, permitiendo facilidad de movimiento. vlan por protocolo : Es caracterizada por asignar un protocolo a una vlan. el switch es el que se encargara de dirigir las tramas a la vlan correspondiente. vlan por direcciones ip: Se basa en el encabezado de la capa 3 del modelo OSI, conecta subredes según la dirección ip de origen de los datagramas. Este tipo de solución brinda gran flexibilidad, en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. En contrapartida, puede haber una ligera disminución del rendimiento, ya que la información contenida en los paquetes debe analizarse detenidamente. vlan por puerto: Se configura por una cantidad “n” de puertos en el cual podemos indicar que puertos pertenecen a cada vlan. vlan por nombre de usuario: Se basan en la autenticación del usuario y no por las direcciones mac de los dispositivos. Dinámicas: Las vlan dinámicas son puertos del switch que automáticamente determinan a que vlan pertenece cada puesto de trabajo. El funcionamiento de estas vlans se basa en las direcciones mac, direcciones lógicas o protocolos utilizados. VENTAJAS Permite mayor flexibilidad en la administración y en los cambios de la red, debido a que la arquitectura puede cambiarse usando los parámetros de los conmutadores. Aumenta la seguridad, ya que la información se encapsula en un nivel adicional y  posiblemente se analiza. Permite la disminución en la transmisión de tráfico en la red. REDES VIRTUALES VLANS Concepto Una red de área local (LAN) esta definida como una red de computadoras dentro de un área geográficamente acotada como puede ser una empresa o una corporación. Uno de los problemas que nos encontramos es el de no poder tener una confidencialidad entre usuarios de la LAN como pueden ser los directivos de la misma, también estando todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la misma no era aprovechado correctamente. La solución a este problema era la división de la LAN en segmentos físicos los cuales fueran independientes entre si, dando como desventaja la imposibilidad de comunicación entre las LANs para algunos de los usuarios de la misma. La necesidad de confidencialidad como así el mejor aprovechamiento del ancho de banda disponible dentro de la corporación ha llevado a la creación y crecimiento de las VLANs. Una VLAN se encuentra conformada por un conjunto de dispositivos de red interconectados (hubs, bridges, switches o estaciones de trabajo) la definimos como como una subred definida por software y es considerada como un dominio de Broadcast que pueden estar en el mismo medio físico o bien puede estar sus integrantes ubicados en distintos sectores de la corporación (Figura 1). Figura 1 La tecnología de las VLANs se basa en el empleo de Switches, en lugar de hubs, de tal manera que esto permite un control mas inteligente del tráfico de la red, ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico, para que de esta manera la eficiencia de la red entera se incremente. Por otro lado, al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos, se logra el incremento del ancho de banda en dicho grupo de usuarios. Segmentación Con los switches se crean pequeños dominios, llamados segmentos, conectando un pequeño hub de grupo de trabajo a un puerto de switch o bien se aplica microsegmentación la cual se realiza conectando cada estación de trabajo y cada servidor directamente a puertos de switch teniendo una conexión dedicada dentro de la red, con lo que se consigue aumentar considerablemente el ancho de banda a disposición de cada usuario. Una de las ventajas que se pueden notar en las VLAN es la reducción en el trafico de la red ya que solo se transmiten los paquetes a los dispositivos que estén incluidos dentro del dominio de cada VLAN, una mejor utilización del ancho de banda y confidencialidad respecto a personas ajenas a la VLAN, alta performance, reducción de latencia, facilidad para armar grupos de trabajo. La comunicación que se hace entre switches para interconectar VLANs utiliza un proceso llamado Trunking. El protocolo VLAN Trunk Protocol (VTP) es el que se utiliza para esta conexión, el VTP puede ser utilizado en todas las líneas de conexión incluyendo ISL, IEEE 810.10. IEEE 810.1Q y ATM LANE. Tipos de VLAN VLAN de puerto central Es en la que todos los nodos de una VLAN se conectan al mismo puerto del switch. VLAN Estáticas Los puertos del switch están ya preasignados a las estaciones de trabajo. Por puerto Se configura por una cantidad “n” de puertos en el cual podemos indicar que puertos pertenecen a cada VLAN. Para la Figura 1 tendríamos en el Switch 9 puertos de los cuales el 1,5 y 7 pertenecen a la VLAN 1; el 2, 3 y 8 a la VLAN 2 y los puertos 4, 6 y 9 a la VLAN 3 como la tabla lo indica (Figura 2). Puerto VLAN 1 1 2 2 3 2 4 3 5 1 6 3 7 1 8 2 9 3 Figura 2 Ventajas:  Facilidad de movimientos y cambios.  Microsegmentación y reducción del dominio de Broadcast.  Multiprotocolo: La definición de la VLAN es independiente del o los protocolos utilizados, no existen limitaciones en cuanto a los protocolos utilizados, incluso permitiendo el uso de protocolos dinámicos. Desventajas:   Administración: Un movimiento en las estaciones de trabajo hace necesaria la reconfiguración del puerto del switch al que esta conectado el usuario. Esto se puede facilitar combinando con mecanismos de LAN Dinámicas. Por dirección MAC Los miembros de la VLAN están especificados en una tabla por su dirección MAC (Figura 3). MAC VLAN 12.15.89.bb.1d.aa 1 12.15.89.bb.1d.aa 2 aa.15.89.b2.15.aa 2 1d.15.89.6b.6d.ca 2 12.aa.cc.bb.1d.aa 1 Figura 3 Ventajas:  Facilidad de movimientos: No es necesario en caso de que una terminal de trabajo cambie de lugar la reconfiguración del switch.  Multiprotocolo.  Se pueden tener miembros en múltiples VLANs. Desventajas:  Problemas de rendimiento y control de Broadcast: el tráfico de paquetes de tipo Multicast y Broadcast se propagan por todas las VLANs.  Complejidad en la administración: En un principio todos los usuarios se deben configurar de forma manual las direcciones MAC de cada una de las estaciones de trabajo. También se puede emplear soluciones de DVLAN. Por protocolo  Asigna a un protocolo una VLAN. El switch se encarga de dependiendo el protocolo por el cual venga la trama derivarlo a la VLAN correspondiente (Figura 4). Protocolo VLAN IP 1 IPX 2 IPX 2 IPX 2 IP 1 Figura 4 Ventajas:   Segmentación por protocolo.  Asignación dinámica. Desventajas  Problemas de rendimiento y control de Broadcast: Por las búsquedas en tablas de pertenencia se pierde rendimiento en la VLAN.  No soporta protocolos de nivel 2 ni dinámicos. Por direcciones IP Esta basado en el encabezado de la capa 3 del modelo OSI. Las direcciones IP a los servidores de VLAN configurados. No actúa como router sino para hacer un mapeo de que direcciones IP están autorizadas a entrar en la red VLAN. No realiza otros procesos con la dirección IP. Ventajas:  Facilidad en los cambios de estaciones de trabajo: Cada estación de trabajo al tener asignada una dirección IP en forma estática no es necesario reconfigurar el switch. Desventajas:  El tamaño de los paquetes enviados es menor que en el caso de utilizar direcciones MAC.  Perdida de tiempo en la lectura de las tablas.  Complejidad en la administración: En un principio todos los usuarios se deben configurar de forma manual las direcciones MAC de cada una de las estaciones de trabajo. Por nombre de usuario Se basan en la autenticación del usuario y no por las direcciones MAC de los dispositivos. Ventajas:  Facilidad de movimiento de los integrantes de la VLAN.  Multiprotocolo. Desventajas:  En corporaciones muy dinámicas la administración de las tablas de usuarios. VLAN Dinámicas (DVLAN) Las VLAN dinámicas son puertos del switch que automáticamente determinan a que VLAN pertenece cada puesto de trabajo. El funcionamiento de estas VLANs se basa en las direcciones MAC, direcciones lógicas o protocolos utilizados. Cuando un puesto de trabajo pide autorización para conectarse a la VLAN el switch chequea la dirección MAC ingresada previamente por el administrador en la base de datos de las mismas y automáticamente se configura el puerto al cual corresponde por la configuración de la VLAN. El mayor beneficio de las DVLAN es el menor trabajo de administración dentro del armario de comunicaciones cuando se cambian de lugar las estaciones de trabajo o se agregan y también notificación centralizada cuando un usuario desconocido pretende ingresar en la red. Capa de Red: ELAN o Redes LAN Emuladas Si bien el concepto de VLAN se creo para las redes LAN, la necesidad llevo a ampliar los horizontes con el crecimiento de las redes ATM. Para los administradores de las VLAN se crearon una serie de estándares para simular en una red ATM una VLAN. Por un lado una tecnología orientada a no conexión, qué es el caso de las LANS y por el otro una orientada a conexión como en el caso de  ATM. En el caso de las LANS se trabaja con direcciones MAC, mientras en ATM se usan direcciones ATM y se establecen circuitos virtuales permanentes, por esta razón se requiere hacer cambios de direcciones MAC a ATM. Ventajas:  Facilidad de administración.  Facilidad de movimientos y cambios.  Multiprotocolo.  Desventajas:    Aplicable solo a Ethernet y Token Ring. No explota la calidad de Calidad de servicio (QoS) de ATM. Segmentación de VLAN Descripción general de las VLAN La productividad de los usuarios y la adaptabilidad de la red son importantes para el crecimiento y el éxito de las empresas. Las redes VLAN facilitan el diseño de una red para dar soporte a los objetivos de una organización. Los principales beneficios de utilizar las VLAN son los siguientes:  Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que disminuye las posibilidades de que ocurran violaciones de información confidencial. Como se muestra en la ilustración, las computadoras del cuerpo docente están en la VLAN 10 y separadas por completo del tráfico de datos de los estudiantes y los Invitados.  Reducción de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones de red costosas y al uso más eficaz de los enlaces y del ancho de banda existentes.  Mejor rendimiento: la división de las redes planas de capa 2 en varios grupos de trabajo lógicos (dominios de difusión) reduce el tráfico innecesario en la red y mejora el rendimiento.  Dominios de difusión reducidos: la división de una red en redes VLAN reduce la cantidad de dispositivos en el dominio de difusión. Como se muestra en la ilustración, existen seis computadoras en esta red, pero hay tres dominios de difusión: Cuerpo docente, Estudiantes e Invitados.  Mayor eficiencia del personal de TI : las VLAN facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN. Cuando se dispone de un switch nuevo, se implementan todas las políticas y los procedimientos que ya se configuraron para la VLAN específica cuando se asignan los puertos. También es fácil para el personal de TI identificar la función de una VLAN proporcionándole un nombre. En la ilustración, para facilitar la identificación, se denominó “Cuerpo Docente” a la VLAN 10, “Estudiantes” a la VLAN 20 e “Invitados” a la VLAN 30.  Administración más simple de aplicaciones y proyectos: las VLAN agregan dispositivos de red y usuarios para admitir los requisitos geográficos o comerciales. Al tener características diferentes, se facilita la administración de un proyecto o el trabajo con una aplicación especializada; un ejemplo de este tipo de aplicación es una plataforma de desarrollo de aprendizaje por medios electrónicos para el cuerpo docente. Cada VLAN en una red conmutada corresponde a una red IP; por lo tanto, al diseñar la VLAN, se debe tener en cuenta la implementación de un esquema de direccionamiento de red jerárquico. El direccionamiento jerárquico de la red significa que los números de red IP se aplican a los segmentos de red o a las VLAN de manera ordenada, lo que permite que la red se tome en cuenta como conjunto. Los bloques de direcciones de red contiguas se reservan para los dispositivos en un área específica de la red y se configuran en estos, como se muestra en la ilustración.
View more...
   EMBED

Share

Preview only show first 6 pages with water mark for full document please download

Transcript

2 Redes VLAN

I
INTRODUCCIÓN
Una VLAN es su definición es red de área local virtual, es un método que nos
permite crear redes lógicas e independientes dentro de una misma red, los cuales
podemos tener varias VLANS en un único conmutador físico o en una red física.
En el ámbito laborales, las redes son muy importantes, ya que son importantes
porque pueden ofrecer seguridad y monitoreo de distintos servicios que se
brindan, a través de las redes se pueden dar accesos a ciertos cosas, y restringir
otras, por lo que la organización pueda dar más privilegios a un departamento que
a otro dentro de su empresa, para este tipo de redes es muy recomendable crear
restricciones para una mayor seguridad mediante VLANS. Esperando que este
reporte sobre la seguridad en VLANS sea claro y entendible para el lector, así
como también para el docente, cumpliendo con todo los requisitos del mismo.

SEGURIDAD EN VLAN

Definición 1:
Es una red de área local virtual, es una red que agrupa un conjunto de
equipos demanera lógica y no física. Los grupos de puertos que hacemos en un
switchgestionable para aislar un conjunto de máquinas forman una VLAN. Se la
llamavirtual porque parece que está en una LAN propia y que la red es de ellos
solos.Utilizar una VLAN hace que la seguridad y el rendimiento sean mejores.
Definición 2:
Es un método para crear redes lógicas independientes dentro de una misma
redfísica. Varias VLAN pueden coexistir en un único conmutador físico o en una
únicared física. Son útiles para reducir el tamaño del dominio de difusión y ayudan
en laadministración de la red, separando segmentos lógicos de una red de área
local (losdepartamentos de una empresa, por ejemplo) que no deberían
intercambiar datosusando la red local (aunque podrían hacerlo a través de un
enrutador o unconmutador de capa 3 y 4).
Definición 3:
Una VLAN consiste en dos o más redes de computadoras que se comportan como
siestuviesen conectados al mismo PCI, aunque se encuentren físicamente
conectadosa diferentes segmentos de una red de área local (LAN). Los
administradores de redconfiguran las VLAN mediante software en lugar de
hardware, lo que las haceextremadamente fuertes

Utilidad:
La utilidad de las VLAN radica en la posibilidad de separar aquellos
segmentoslógicos que componen una LAN y que no tienen la necesidad de
intercambiarinformación entre sí a través de la red de área local. Esta
particularidad contribuye auna administración más eficiente de la red física.

2
Existen diversos modos de establecer una VLAN. Las VLAN de Nivel 1
sonaquellas que se desarrollan a partir del uso de puertos. Las VLAN de Nivel 2,
encambio, se crean a través de la asignación de direcciones MAC o por clase
deprotocolo. También existen las VLAN de Nivel 3, que implican la creación
desubredes virtuales, y las VLAN de niveles superiores (una VLAN por aplicación).
Seguridad:
Si configura una red de área local virtual (VLAN), las VLAN comparten el ancho
debanda de la red y requieren medidas de seguridad
adicionales. Al usar VLAN, separa los clusters sensibles de sistemas del resto de l
a red.De esta manera, se reduce la probabilidad de que los usuarios tengan
acceso a lainformación almacenada en esos clientes y servidores.

 Asigne un número de VLAN nativo único a los puertos de enlace troncal.
 Limite las VLAN que se pueden transportar mediante un enlace troncal
a las queson estrictamente necesarias.
 Desactivar el protocolo de enlace troncal (VTP) de VLAN, si es posible.
De locontrario, configurar la siguiente para el VTP: dominio de gestión,
contraseña yeliminación. A continuación, se define VTP en modo
transparente.
 Utilice configuraciones de VLAN estáticas, cuando sea posible.
 Desactive los puertos de conmutador no utilizados y asígneles un número
deVLAN que no esté en uso

VLAN basadas en el puerto de conexión:
Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN
esindependiente del usuario o dispositivo conectado en el puerto. Esto significa
quetodos los usuarios que se conectan al puerto serán miembros de la misma
VLAN.Habitualmente es el administrador de la red el que realiza las asignaciones
ala VLAN. Después de que un puerto ha sido asignado a una VLAN, a través de
esepuerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra
VLANsin la intervención de algún dispositivo de capa 3

El switch también se asegura de que el resto de puertos queno están en dicha VLAN no reciben dicha información.1x. se dice que 802.1x: Se realiza la autentificación en el puerto. La tecnología de red LAN con nodos permite organizar los sistemas de unared local en redes VLAN.Este planteamiento es sencillo. Cada fabricante de conmutadoresutiliza procedimientos diferentes para configurar los puertos de un conmutador. Un puerto de acceso(switchport mode access) pertenece únicamente a una VLAN asignada de formaestática (VLAN nativa). rápido y fácil de administrar.El dispositivo que se conecta a un puerto. el rendimiento es muy bueno. Para poder dividir una red de área local en redes VLAN. posiblemente no tengaconocimiento de la existencia de la VLAN a la que pertenece dicho puerto. La dirección MAC es asignada por el fabricante de la tarjeta de red por lo queno puede haber dos tarjetas de red con la misma dirección MAC. Puede configurar todos lospuertos de un nodo para que transfieran datos para una única VLAN o para variasVLAN. Por defecto es miembro de todas. Asegurando VLAN Trunks: .RADIUS es un protocolo de autentificación y autorización para aplicacionesde acceso a la red o movilidad IP. Un ASIC permite que el mapeo de puerto aVLAN sea hecho a nivel hardware. y de esta manera el switch solo podráconectar aquel cuya MAC este dentro de una lista definitiva en el propio switch o elque se autentificado mediante RADIUS en el estándar 802. La configuración predeterminada suele ser que todos lospuertos sean de acceso de la VLAN1. En cambio. según el diseño de configuración VLAN.debe tener nodos compatibles con la tecnología VLAN.Los puertos de un switch pueden ser de dos tipos.El switch es responsable de identificar que la información viene de una VLANdeterminada y de asegurarse de que esa información llega a todos los demásmiembros de la VLAN.Por lo tanto. perola lista de las VLAN permitidas es configurable. un puerto trunk (switchport modetrunk) puede ser miembro de múltiples VLAN. Eldispositivo simplemente sabe que es miembro de una subred y que puede ser capazde hablar con otros miembros de la subred simplemente enviando información alsegmento cableado. 4 Autentificación en el puerto MAC y 802.1x es un mecanismo de seguridad de acceso almedio. en lo que respecta a lascaracterísticas VLAN: puertos de acceso y puertos trunk. Si laasociación de puerto a VLAN se hace con un ASIC (acrónimo en inglés de Application- Specific Integrated Circuit o Circuito integrado para una aplicaciónespecífica). dado que no haycomplejas tablas en las que mirar para configurar la segmentación de la VLAN.

Eliminar esa vlan de ambos extremos del Trunk.Cuando un puerto está configurado con Dynamic Trunking Protocol (DTP) (pordefecto en Cisco una interface está así configurada) y la interface está en auto puedenegociar la interface para convertirse en un Trunk.) a una interface DTP en auto podría "negociar" con el switchpara establecer un Trunk entre el host y el switch lo que se llama Switch Spoofing.Por ello es conveniente que cada interface que no se use ponerla en shutdowny configurar las interfaces donde se conecten usuarios finales en modo acceso y conla VLAN correspondiente con los comandos: El exploit llamado VLAN Hopping consiste en que un atacante marcadoblemente el tráfico para poder alcanzar una VLAN que de por si no deberíaalcanzar. Definir explícitamente en los puertos trunks las VLANs que tiene que pasar en vezde dejar pasar todas.Para evitar este tipo de ataque es conveniente seguir estos pasos: Deshabilitar DTP en todos los puertos que no se usen con el comando "switchportnonegotiate". server. por eso un atacante que conecteun host (PC.1Q. Primero marca con la VLAN que NO puede alcanzar y por encima vuelve aencapsular con la VLAN en la que se encuentra (que será la VLAN nativa). El Trunk debe tener configurada como VLAN nativa la misma en la que elatacante esté. Poner en shutdown todos los puertos que no se usen y asignarles una VLAN queno se use Configurar la VLAN nativa de los Trunk con una VLAN sin usar o falsa.Para que este exploit funcione se deben cumplir estas condiciones: El atacante está conectado a una interface en modo acceso. porejemplo: [VLAN- 30][VLAN 50][trama]. Definir las interfaces de acceso (switchport mode access) y trunk (switchportmode trunk) explícitamente. El mismo switch tiene configurado trunk 802. etc.También podemos configurar que la VLAN nativa vaya marcada siempre conel comando: .

1X este garantiza la protección deenvió y acceso hasta la red que otorgue esa credencial de acceso. así como también permiten reducir lostamaños de dominio. ya que a partir de sus configuracionesque se le dé. con sus diferentes niveles de privilegios. así como tambiénasigna los usuarios VLAN de forma dinámica. Access Point inalámbricos y usuarios en otras redes virtuales.Un ejemplo muy claro en la seguridad puede ser cuando un usuario conectesu equipo a la red. a través dela consola o a través de las líneas virtuales (vty). separando cada segmento lógico en una red de área local. además de separar eltráfico de la red por razones de desempeño y diseño. también se hace una recomendación de configurar mediante lasdirecciones MAC o mediante la autenticación 802. independiente de tipo deusuario que maneje (colaboradores. administradores. lo que hará la VLAN es que ya estará designada para ese usuarioy este solo podrá acceder solo a esa red que ya está configurada por eladministrador. . o tambiénpor Http. por medio de usuariosconfigurados en el propio sistema.Seguridad en puertos de switches cisco: La seguridad en los switches comienza por el acceso al propio sistema. Ya que están configuradas dinámicamente. ya sea por Telnet o SSH. o bienpor medio de un servidor externo (como un servidor RADIUS por ejemplo). de estamanera se consigue una mayor seguridad. Se puede establecer una contraseña para el acceso en modo privilegiado yademás. independientemente de lanecesidad que se tenga en ese momento. CONCLUSIÓN Como se vio una vlan sirve para tener un buen control de nuestras redes. puede otorgar privilegios unos de otros.Otra función de VLAN es que puede agrupar puertos distintos como Ethernet. invitados) por razones deseguridad. la autenticación se puede llevar de modo local.

.

.

ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores. Tipos de VLAN Se han definido diversos tipos de VLAN. la VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del conmutador. ya que la información contenida en los paquetes debe analizarse detenidamente. En contrapartida. protocolos. Además de las anteriores. ya que la red es independiente de la ubicación de la estación. puede haber una ligera disminución del rendimiento. etc. . Gracias a las redes virtuales (VLAN).).Unidad 2. una disminución en la transmisión de tráfico en la red. según criterios de conmutación y el nivel en el que se lleve a cabo.).). ofrece diversas ventajas: una mayor flexibilidad en la administración y en los cambios de la red. La VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. La VLAN basada en la dirección de red conecta subredes según la dirección IP de origen de los datagramas. Efectivamente. IPX. La VLAN basada en protocolo permite crear una red virtual por tipo de protocolo (por ejemplo. en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. puesto que la información se encapsula en un nivel adicional y puede ser analizada. Este tipo de VLAN es más flexible que la VLAN basada en puerto. AppleTalk. ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios (direcciones MAC. etc. Este tipo de solución brinda gran flexibilidad. existe la VLAN de nivel 3. Ventajas de la VLAN La VLAN permite definir una nueva red por encima de la red física y. que incluye diferentes tipos. Redes VLAN Qué es una red VLAN Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que agrupa un conjunto de equipos de manera lógica y no física. limitaciones de dirección. números de puertos. es posible liberarse de las limitaciones de la arquitectura física (limitaciones geográficas. Así. se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red. etc. por lo tanto. Por lo tanto. la comunicación entre los diferentes equipos en una red de área local está regida por la arquitectura física. un aumento de la seguridad. TCP/IP.

Protocolos de enlace VLAN.1Q. Ø VLAN nativa Una VLAN nativa está asignada a un puerto troncal 802. Algunos tipos de VLAN se definen según las clases de tráfico. 802. La VLAN 1 es la VLAN de administración de manera predeterminada. Es una práctica común separar el tráfico de voz y de administración del tráfico de datos. así como el tráfico que no proviene de una VLAN (tráfico sin etiquetar).1p. Antes de su introducción existían varios protocolos propietarios. Los puertos de switch que participan en la VLAN predeterminada forman parte del mismo dominio de difusión. Una VLAN que transporta tráfico de administración o de voz no sería una VLAN de datos.1Q admiten el tráfico proveniente de muchas VLAN (tráfico con etiquetas). Ø VLAN predeterminada Todos los puertos de switch se vuelven parte de la VLAN predeterminada después del arranque inicial de un switch que carga la configuración predeterminada.10. Ø VLAN de datos Una VLAN de datos es una VLAN configurada para transportar tráfico generado por usuarios. lo que permite que el switch se administre mediante HTTP. se asigna una dirección IP y una máscara de subred a la interfaz virtual de switch (SVI) de esa VLAN. Los puertos de enlace troncal 802. te aconsejamos que consulte los siguientes documentos: IEEE 802. SSH o SNMP. Las VLAN nativas se definen en la especificación IEEE 802. Los primeros diseñadores de redes enfrentaron el problema del tamaño de los dominios de colisión (Hubs) esto se logró controlar a través de la introducción de los switch o conmutadores pero a su vez se introdujo el problema del aumento del tamaño de los dominios de difusión y una de las formas más eficientes para manejarlo fue la introducción de las VLANs. 2.1Q y 802. 802. como el ISL (Inter-Switch Link) de Cisco. 2.10. Para obtener más información. Para crear la VLAN de administración. IEEE 802.1Q. . y el VLT (Virtual LAN Trunk) de 3Com. El protocolo de etiquetado IEEE 802.1Q a fin de mantener la compatibilidad con el tráfico sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas. Una VLAN nativa funciona como identificador común en extremos opuestos de un enlace troncal. Los puertos de enlace troncal son los enlaces entre switches que admiten la transmisión de tráfico asociado a más de una VLAN. los cuales se utilizan en las redes modernas.1 Tipos VLAN Existen diferentes tipos de redes VLAN. una variante del IEEE 802. Otros tipos de VLAN se definen según la función específica que cumplen.2. Ø VLAN de administración Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades de administración de un switch. Qué estándares definen a las VLAN Las VLAN están definidas por los estándares IEEE 802.1Q y IEEE 802. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch.1Q domina el mundo de las VLANs. Telnet. Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. A veces a una VLAN de datos se la denomina VLAN de usuario.1D.1D.

2. Ø La resolución de problemas es examinando los enlaces troncales para ver si existe una falta de concordancia de la VLAN nativa. 2. El router realiza el enrutamiento inter VLAN al aceptar el tráfico proveniente del switch adyacente y reenvía el tráfico enrutado de la VLAN etiquetada para la VLAN de destino. Las VLANs se caracterizan en el nivel 2 (enlace de datos) del modelo OSI. estos errores de configuración generannotificaciones de consola. si bien la robustez de este método es discutible al ser el salto de VLAN (VLAN hopping) un método común de evitar tales medidas de seguridad. Las VLANs también pueden servir para restringir el acceso a recursos de red con independencia de la topología física de ésta. Si dos dispositivos en la misma VLAN tienen direcciones de subred diferentes. hacen que el tráfico de administración y control se dirija erróneamente. los administradores suelen configurar las VLANs como correspondencia directa de una red o subred IP. Estos errores de configuración hacen que el vínculo de enlace troncal deje de funcionar. no se pueden comunicar. Es necesario conectar un router a todas las VLAN. Sub-interfaces Son interfaces virtuales múltiples. Sin embargo. Routeron a stick. Este tipo de configuración incorrecta es un problema común y de fácil resolución al identificar el dispositivo en controversia y cambiar la dirección de subred por una dirección correcta. Ø Cada VLAN debe corresponder a una subred IP única.5 Seguridad En VLAN . lo que les da apariencia de funcionar en el nivel 3 (red).4 Resolución De Problemas De VLAN Ø Faltas de concordancia de la VLAN nativa: los puertos se configuran con diferentes VLAN nativas. Ø Faltas de concordancia del modo de enlace troncal: un puerto de enlace troncal se configura con el modo de enlace troncal "inactivo" y el otro con el modo de enlace troncal "activo". Cada interfaz del switch estaría asignada a una VLAN estática diferente. Los puertos del switch se conectan al router en modo de acceso. por la misma interfaz física. ya sea por medio de interfaces físicas separadas o sub-interfaces de enlace troncal. 3) Configurar una máscara de subred incorrecta.3 Enrutamiento Inter VLAN Es un proceso para reenviar el tráfico de la red desde una VLAN a otra mediante un router. 2. asociadas a una interfaz física. El enrutamiento se realiza mediante la conexión de diferentes interfaces físicas del router a diferentes puertos físicos del switch. Uso del router como Gateway Interfaces y Sub-interfaces Temas de Direccionamiento IP Errores Comunes 1) Configurar dirección IP incorrecta para la subred asociada con la VLAN 2) Configurar una dirección IP incorrecta en la interfaz F0/0. Es un tipo de configuración de router en la cual una interfaz física única enruta el tráfico entre múltiples VLAN en una red.

. con lo que se logra eficiencia en el uso que se le da al ancho de banda y confidencialidad respecto a personas ajenas a la red de área local virtual. ya que la información contenida en los paquetes debe analizarse detenidamente. vamos a explicar un poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su antojo por toda nuestra red. vlan por direcciones ip: Se basa en el encabezado de la capa 3 del modelo OSI. en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. Este tipo de solución brinda gran flexibilidad. También nos permite reducir el trafico en la red ya que solo se transmiten los paquetes a los dispositivos que estén incluidos dentro del dominio de cada vlan. vlan por puerto: Se configura por una cantidad “n” de puertos en el cual podemos indicar que puertos pertenecen a cada vlan. los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados. permitiendo facilidad de movimiento. Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y los usuarios internos están más controlados. tecnología que ha tenido gran impacto en la administración de redes permitiendonos tener un mayor control sobre el trafico de datos que se presenta en una organización. ESTAS REDES SE CLASIFICAN EN TIPOS DE VLAN: Estáticas: Los puertos del switch están ya pre-asignados a las estaciones de trabajo. vlan por protocolo : Es caracterizada por asignar un protocolo a una vlan. vlan por dirección mac: En esta los miembros de la vlan están especificados en una tabla por su dirección mac. En contrapartida. puede haber una ligera disminución del rendimiento. conecta subredes según la dirección ip de origen de los datagramas. Una vlan es una red de área local virtual que nos permite segmentar una red en subredes a las cuales podemos restringir la comunicación de los dispositivos pertenecientes a una vlan con respecto a otra. En esta unidad abordaremos la temática de vlans. Como este blog nace con la idea de ayudar a los que menos experiencia tienen. el switch es el que se encargara de dirigir las tramas a la vlan correspondiente. UNIDAD II. aunque sea a nivel de aplicación.Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. REDES VLANS. Por malicia o desconocimiento.

La necesidad de confidencialidad como así el mejor aprovechamiento del ancho de banda disponible dentro de la corporación ha llevado a la creación y crecimiento de las VLANs. ya que la información se encapsula en un nivel adicional y posiblemente se analiza. también estando todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la misma no era aprovechado correctamente. switches o estaciones de trabajo) la definimos como como una subred definida por software y es considerada como un dominio de . VENTAJAS Permite mayor flexibilidad en la administración y en los cambios de la red. El funcionamiento de estas vlans se basa en las direcciones mac. bridges. Uno de los problemas que nos encontramos es el de no poder tener una confidencialidad entre usuarios de la LAN como pueden ser los directivos de la misma. Aumenta la seguridad. direcciones lógicas o protocolos utilizados. debido a que la arquitectura puede cambiarse usando los parámetros de los conmutadores. Una VLAN se encuentra conformada por un conjunto de dispositivos de red interconectados (hubs. Permite la disminución en la transmisión de tráfico en la red. REDES VIRTUALES VLANS Concepto Una red de área local (LAN) esta definida como una red de computadoras dentro de un área geográficamente acotada como puede ser una empresa o una corporación. dando como desventaja la imposibilidad de comunicación entre las LANs para algunos de los usuarios de la misma. Dinámicas: Las vlan dinámicas son puertos del switch que automáticamente determinan a que vlan pertenece cada puesto de trabajo.vlan por nombre de usuario: Se basan en la autenticación del usuario y no por las direcciones mac de los dispositivos. La solución a este problema era la división de la LAN en segmentos físicos los cuales fueran independientes entre si.

Broadcast que pueden estar en el mismo medio físico o bien puede estar sus integrantes ubicados en distintos sectores de la corporación (Figura 1). Figura 1 .

La tecnología de las VLANs se basa en el empleo de Switches. el VTP puede ser utilizado en todas las líneas de conexión incluyendo ISL. conectando un pequeño hub de grupo de trabajo a un puerto de switch o bien se aplica microsegmentación la cual se realiza conectando cada estación de trabajo y cada servidor directamente a puertos de switch teniendo una conexión dedicada dentro de la red. en lugar de hubs. llamados segmentos. con lo que se consigue aumentar considerablemente el ancho de banda a disposición de cada usuario. una mejor utilización del ancho de banda y confidencialidad respecto a personas ajenas a la VLAN. IEEE 810. Por puerto . para que de esta manera la eficiencia de la red entera se incremente. VLAN Estáticas Los puertos del switch están ya preasignados a las estaciones de trabajo. Por otro lado. Una de las ventajas que se pueden notar en las VLAN es la reducción en el trafico de la red ya que solo se transmiten los paquetes a los dispositivos que estén incluidos dentro del dominio de cada VLAN. IEEE 810. alta performance. Tipos de VLAN VLAN de puerto central Es en la que todos los nodos de una VLAN se conectan al mismo puerto del switch. se logra el incremento del ancho de banda en dicho grupo de usuarios. La comunicación que se hace entre switches para interconectar VLANs utiliza un proceso llamado Trunking. al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos. ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico. Segmentación Con los switches se crean pequeños dominios. reducción de latencia.10. facilidad para armar grupos de trabajo.1Q y ATM LANE. de tal manera que esto permite un control mas inteligente del tráfico de la red. El protocolo VLAN Trunk Protocol (VTP) es el que se utiliza para esta conexión.

Para la Figura 1 tendríamos en el Switch 9 puertos de los cuales el 1. el 2. no existen limitaciones en cuanto a los protocolos utilizados. 3 y 8 a la VLAN 2 y los puertos 4. Desventajas: . 6 y 9 a la VLAN 3 como la tabla lo indica (Figura 2). Puerto VLAN 1 1 2 2 3 2 4 3 5 1 6 3 7 1 8 2 9 3 Figura 2 Ventajas:  Facilidad de movimientos y cambios.  Microsegmentación y reducción del dominio de Broadcast.Se configura por una cantidad “n” de puertos en el cual podemos indicar que puertos pertenecen a cada VLAN.  Multiprotocolo: La definición de la VLAN es independiente del o los protocolos utilizados. incluso permitiendo el uso de protocolos dinámicos.5 y 7 pertenecen a la VLAN 1.

89.15.bb.bb.b2.aa 1 12.aa 2 1d.15. También se puede emplear soluciones de DVLAN.15.15.ca 2 12.  Complejidad en la administración: En un principio todos los usuarios se deben configurar de forma manual las direcciones MAC de cada una de las estaciones de trabajo.89.1d. Por protocolo .cc.  Administración: Un movimiento en las estaciones de trabajo hace necesaria la reconfiguración del puerto del switch al que esta conectado el usuario. Desventajas:  Problemas de rendimiento y control de Broadcast: el tráfico de paquetes de tipo Multicast y Broadcast se propagan por todas las VLANs.89.6d.  Multiprotocolo.89.aa. MAC VLAN 12.6b.  Se pueden tener miembros en múltiples VLANs.aa 1 Figura 3 Ventajas:  Facilidad de movimientos: No es necesario en caso de que una terminal de trabajo cambie de lugar la reconfiguración del switch.15.1d. Esto se puede facilitar combinando con mecanismos de LAN Dinámicas.1d.aa 2 aa.bb. Por dirección MAC Los miembros de la VLAN están especificados en una tabla por su dirección MAC (Figura 3).

Protocolo VLAN IP 1 IPX 2 IPX 2 IPX 2 IP 1 Figura 4 Ventajas:  Segmentación por protocolo.  No soporta protocolos de nivel 2 ni dinámicos. No actúa como router sino para hacer un mapeo de que direcciones IP están autorizadas a entrar en la red VLAN.Asigna a un protocolo una VLAN. Desventajas  Problemas de rendimiento y control de Broadcast: Por las búsquedas en tablas de pertenencia se pierde rendimiento en la VLAN.  Asignación dinámica. El switch se encarga de dependiendo el protocolo por el cual venga la trama derivarlo a la VLAN correspondiente (Figura 4). Por direcciones IP Esta basado en el encabezado de la capa 3 del modelo OSI. No realiza otros procesos con la dirección IP. Ventajas: . Las direcciones IP a los servidores de VLAN configurados.

. El mayor beneficio de las DVLAN es el menor trabajo de administración dentro del armario de comunicaciones cuando se cambian de lugar las estaciones de trabajo o se agregan y también notificación centralizada cuando un usuario desconocido pretende ingresar en la red. Ventajas:  Facilidad de movimiento de los integrantes de la VLAN. El funcionamiento de estas VLANs se basa en las direcciones MAC. Cuando un puesto de trabajo pide autorización para conectarse a la VLAN el switch chequea la dirección MAC ingresada previamente por el administrador en la base de datos de las mismas y automáticamente se configura el puerto al cual corresponde por la configuración de la VLAN. Por nombre de usuario Se basan en la autenticación del usuario y no por las direcciones MAC de los dispositivos.  Perdida de tiempo en la lectura de las tablas. Desventajas:  En corporaciones muy dinámicas la administración de las tablas de usuarios. VLAN Dinámicas (DVLAN) Las VLAN dinámicas son puertos del switch que automáticamente determinan a que VLAN pertenece cada puesto de trabajo.  Complejidad en la administración: En un principio todos los usuarios se deben configurar de forma manual las direcciones MAC de cada una de las estaciones de trabajo.  Multiprotocolo. Desventajas:  El tamaño de los paquetes enviados es menor que en el caso de utilizar direcciones MAC.  Facilidad en los cambios de estaciones de trabajo: Cada estación de trabajo al tener asignada una dirección IP en forma estática no es necesario reconfigurar el switch. direcciones lógicas o protocolos utilizados.

. Para los administradores de las VLAN se crearon una serie de estándares para simular en una red ATM una VLAN.  Facilidad de movimientos y cambios.  Multiprotocolo. por esta razón se requiere hacer cambios de direcciones MAC a ATM. Ventajas:  Facilidad de administración. Por un lado una tecnología orientada a no conexión.  Desventajas:  Aplicable solo a Ethernet y Token Ring.Capa de Red: ELAN o Redes LAN Emuladas Si bien el concepto de VLAN se creo para las redes LAN. qué es el caso de las LANS y por el otro una orientada a conexión como en el caso de ATM.  No explota la calidad de Calidad de servicio (QoS) de ATM. la necesidad llevo a ampliar los horizontes con el crecimiento de las redes ATM. En el caso de las LANS se trabaja con direcciones MAC. mientras en ATM se usan direcciones ATM y se establecen circuitos virtuales permanentes.

En la ilustración. al diseñar la VLAN. El direccionamiento jerárquico de la red significa que los números de red IP se aplican a los segmentos de red o a las VLAN de manera ordenada.  Reducción de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones de red costosas y al uso más eficaz de los enlaces y del ancho de banda existentes. Como se muestra en la ilustración. se denominó “Cuerpo Docente” a la VLAN 10. pero hay tres dominios de difusión: Cuerpo docente. como se muestra en la ilustración. se implementan todas las políticas y los procedimientos que ya se configuraron para la VLAN específica cuando se asignan los puertos. lo que permite que la red se tome en cuenta como conjunto. las computadoras del cuerpo docente están en la VLAN 10 y separadas por completo del tráfico de datos de los estudiantes y los Invitados. Los principales beneficios de utilizar las VLAN son los siguientes:  Seguridad: los grupos que tienen datos sensibles se separan del resto de la red. se debe tener en cuenta la implementación de un esquema de direccionamiento de red jerárquico.  Dominios de difusión reducidos: la división de una red en redes VLAN reduce la cantidad de dispositivos en el dominio de difusión. para facilitar la identificación. Al tener características diferentes. . Los bloques de direcciones de red contiguas se reservan para los dispositivos en un área específica de la red y se configuran en estos. Estudiantes e Invitados. por lo tanto. También es fácil para el personal de TI identificar la función de una VLAN proporcionándole un nombre. “Estudiantes” a la VLAN 20 e “Invitados” a la VLAN 30. Las redes VLAN facilitan el diseño de una red para dar soporte a los objetivos de una organización. Cada VLAN en una red conmutada corresponde a una red IP.  Administración más simple de aplicaciones y proyectos: las VLAN agregan dispositivos de red y usuarios para admitir los requisitos geográficos o comerciales.  Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN. lo que disminuye las posibilidades de que ocurran violaciones de información confidencial.Segmentación de VLAN Descripción general de las VLAN La productividad de los usuarios y la adaptabilidad de la red son importantes para el crecimiento y el éxito de las empresas. existen seis computadoras en esta red. Como se muestra en la ilustración. se facilita la administración de un proyecto o el trabajo con una aplicación especializada. un ejemplo de este tipo de aplicación es una plataforma de desarrollo de aprendizaje por medios electrónicos para el cuerpo docente. Cuando se dispone de un switch nuevo.  Mejor rendimiento: la división de las redes planas de capa 2 en varios grupos de trabajo lógicos (dominios de difusión) reduce el tráfico innecesario en la red y mejora el rendimiento.