© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 3: Implementando Seguridad VLAN Routing y Switching.

Slides:



Advertisements
Presentaciones similares
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.
Advertisements

Conmutación y conexión inalámbrica de LAN. Capítulo 4
Curso de Actualización
Conmutación y conexión inalámbrica de LAN. Capítulo 3
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Resolución de problemas de una red empresarial Introducción al.
Conmutación de una red empresarial
Enrutamiento estático
Titulo: Definiendo VLANs
VLAN por JOSÉ VALENCIA.
Capítulo 1: Introducción a redes conmutadas
Redes Virtuales (VLAN)
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Configuración y verificación de su red Aspectos básicos de networking: Capítulo.
SWITCHES.
Enrutamiento estático
Principios básicos de routing y switching
Conceptos y protocolos de enrutamiento. Capítulo 5
Protocolos de enrutamiento por vector de distancia
III. Protocolo RIP Versión 1.
Existen dos tipos básicos de redes VPN:
Presentado por: JHON RONALD TERREROS BARRETO Ing. Electrónico
Capítulo 6: Routing estático
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
PROTOCOLO DE ENLACE TRONCAL DE VLAN Semestre 3 Capítulo 9
VLAN.
RED DE ÁREA LOCAL VIRTUAL
Definición de enlace troncal de la VLAN Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que transporta más de una VLAN. Un.
DHCP protocolo de configuración dinámica de host.
25/JUNIO/2012  Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso,
Aspectos básicos de networking: Unidad 5
LAN VIRTUALES Semestre 3 Capítulo 8
Capítulo 5: Routing entre VLAN
© 2007 Cisco Systems, Inc. Todos los derechos reservados.  Explicar el concepto de creación de redes y los beneficios de éstas.  Explicar el concepto.
Capítulo 5: Ethernet Introducción a redes Capítulo 5: Ethernet
Redes de Area Local, LAN Una red de área local es una red de datos de alta velocidad que cubre un área geográfica relativamente pequeña. Típicamente conecta.
Documentación de una red empresarial:
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Capa de enlace de datos Switching.
CAPA DE RED PROTOCOLOS.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Enrutamiento estático Conceptos y protocolos de enrutamiento. Capítulo 2.
Redes virtuales.
SEGMENTACIÓN DE LA RED UNIVERSIDAD NACIONAL DE INGENIERÍA
Dispositivos que componen una red.
LMI (interfaz de administración local)
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Implementación del enrutamiento entre VLAN Conmutación y conexión.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Ethernet Aspectos básicos de networking: Capítulo 9.
Redes VLAN.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Enrutamiento estático Conceptos y protocolos de enrutamiento. Capítulo 2.
Comunicación a través de la red
Resultado de aprendizaje:3.1
M.C. JOSÉ FERNANDO CASTRO DOMINGUEZ
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 6: Enrutamiento Estático Protocolos de Enrutamiento.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Configuración y verificación de su red Aspectos básicos de networking: Capítulo.
Administración de Interconexión de Redes por Enrutamiento y VLAN CSIR2122 Administración de Redes II Prof. Ángel A. Torres Bonilla.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 8: OSPF de una área Protocolos de enrutamiento.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 2: Introducción a las redes conmutadas Routing And Switching.
LISTAS DE CONTROL DE ACCESO
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 1: Introducción a las redes conmutadas Routing And Switching.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Enrutamiento estático Conceptos y protocolos de enrutamiento. Capítulo 2.
TIPOS DE RED COMPONENTES DE UNA RED TOPOLOGIA DE UNA RED SOTO HERNANDEZ DANIELA DEL ROCIO COMPUTACION 1 Jorge Luis Flores Nevarez.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 5: Enrutamiento Inter- VLAN Routing & Switching.
1.- C onmutadores CISCO 2.- Admin y configuración de Switches Cisco 3.- Redes LAN virtuales (VLAN). 5.- Enrutamiento Inter-VLAN 4.- Spanning Tree.
El modelo jerárquico de 3 capas La jerarquía tiene muchos beneficios en el diseño de las redes y nos ayuda a hacerlas más predecibles. En si, definimos.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 10: DHCP Routing and Switching Essentials.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco1 Conexión a la red Networking para el hogar y pequeñas empresas:
Yaritza Ortega Astrid Zúñiga Vishal Patel
D IRECCIONAMIENTO IP ( PARTE 2) Juan Carlos Rodriguez Gamboa.
Sistemas de Comunicación Magistral Nro. 6 Capa 3: Red La Capa de Red provee principalmente los servicios de envío, enrutamiento (routing) y control de.
Los comandos de IOS más utilizados para visualizar y verificar el estado operativo del router y la funcionalidad de la red relacionada con este estado.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Chapter 11: Traducción de Direcciones para IPv4 Routing And Switching.
Frame Relay también ha sido denominado "tecnología de paquetes rápidos" (fast packet technology) o "X.25 para los 90´"
QoS en SIP La calidad de servicio (QoS) en SIP se establece mediante los Protocolos: 802.1Q 802.1P DSCP.
Transcripción de la presentación:

© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 3: Implementando Seguridad VLAN Routing y Switching

Presentation_ID 2 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo Segmentación VLAN 3.2 Implementación de VLAN 3.3 Seguridad y Diseño de VLAN 3.4 Resumen

Presentation_ID 3 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 3: Objetivos  Explicar el propósito de las VLAN en las redes conmutadas  Analizar cómo un switch reenvía tramas basado en configuración de VLAN en ambientes multi-conmutados  Configurar un puerto de switch para ser asignado a una VLAN basado en requerimientos  Configurar un puerto troncal en un switch LAN  Configurar Dynamic Trunk Protocol (DTP)  Solucionar problemas de configuración de VLAN y troncales en una red conmutada  Configurar características de seguridad para mitigar ataques en un entorno segmentado por VLAN  Explicar las mejores prácticas de seguridad en un entorno segmentado por VLAN

Presentation_ID 4 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Descripción de VLANs Definiciones de VLAN  VLAN (LAN virtual) es una partición lógica de una red de capa 2  Múltiples particiones pueden ser creadas, permitiendo que múltiples VLANs co-existan  Cada VLAN es un dominio de broadcast, usualmente con su propia IP de red  Las VLANS están mutuamente aisladas y los paquetes solamente pueden pasar entre ellas a través de un router  Las particiones de red de capa 2, se lleva dentro de un dispositivo de capa 2, usualmente un switch.  Los hosts agrupados dentro de una VLAN no son consientes de la existencia de la VLAN

Presentation_ID 5 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Descripción de VLANs Definiciones de VLAN

Presentation_ID 6 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Descripción de VLANs Beneficios de las VLANs  Seguridad  Reducción de costos  Mejor rendimiento  Reduce el tamaño de los dominios de broadcast  Mejora la eficiencia del personal de TI  Protección y administración de aplicaciones más simple

Presentation_ID 7 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Descripción de VLANs Tipos de VLANs  VLAN de datos  VLAN por defecto  VLAN Nativa  VLAN de Administración

Presentation_ID 8 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Descripción de VLANs Tipos de VLANs

Presentation_ID 9 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Descripción de VLANs VLANs de Voz  El tráfico de VoIP es sensible al tiempo y requiere: Ancho de banda asegurado para asegurar calidad de servicio Prioridad de transmisión sobre otros tipos de tráfico de red Habilidad de ser ruteado alrededor de áreas congestionadas en la red Retardo de menos de 150 ms a través de la red  La característica de VLAN de voz permite a los puertos de acceso llevar tráfico voz IP desde un teléfono IP  El switch se puede conectar a un teléfono IP Cisco 7960 y llevar tráfico de voz IP  Debido a que la calidad del sonido de una llamada por teléfono IP se puede deteriorar si los datos se envían de forma desigual, el switch debe soportar calidad de servicio (QoS)

Presentation_ID 10 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Descripción de VLANs VLANs Voz  Los teléfonos IP Cisco 7960 IP contienen tres puertos de switch integrados de 10/100: Port 1 conecta al switch Port 2 es una interfaz interna de 10/100 que lleva el tráfico Port 3 (puertos acceso) conecta a un PC u otro dispositivo.

Presentation_ID 11 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential VLANs en un entorno multi-conmutado VLAN Trunks  Un troncal VLAN lleva más de una VLAN  Usualmente establecido entre switch para que dispositivos de la misma VLAN se puedan comunicar, aún si están conectados a diferentes switchs  Un troncal VLAN no se asocia a ninguna VLAN. Tampoco se usa el puerto troncal para establecer el enlace troncal  Cisco IOS soporta IEEE802.1q, un popular protocolo de VLAN trunk

Presentation_ID 12 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential VLANs en un entorno multi-conmutado VLAN Trunks

Presentation_ID 13 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential VLANs en un entorno multi-conmutado Controlando dominios de Broadcast con VLANs  Las VLANs pueden ser usadas para limitar el alcance de las tramas de broadcast  Una VLAN es un dominio de broadcast por si misma  Por lo tanto, una trama broadcast enviada por un dispositivo en una VLAN específica es reenviada solamente dentro de esa VLAN  Esto ayuda a controlar el alcance de las tramas de broadcast y su impacto en la red  Tramas unicast y multicast son reenviadas también dentro de la VLAN originaria

Presentation_ID 14 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential VLANs en un entorno multi-conmutado Etiquetado de tramas Ethernet para la identificación de VLAN  El etiquetado de tramas es usado para transmitir apropiadamente tramas de múltiples VLAN a través de un enlace troncal  Los Switches etiquetarán las tramas la VLAN a la cual ellas pertenecen. Existen diferentes protocolos, siendo el IEEE 802.1q uno muy popular  Los protocolos definen la estructura del etiquetado agregado al encabezado de la trama  Los switches agregarán etiquetas de VLAN a las tramas antes de ponerlas en el enlace troncal y quita la etiqueta antes de reenviar la trama a través de puertos no troncales  Una vez etiquetada correctamente, las tramas pueden atravesar varios switches vía enlaces troncales y todavía ser reenviada dentro de la VLAN correcta al destino

Presentation_ID 15 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential VLANs en un entorno multi-conmutado Etiquetado de tramas Ethernet para la identificación de VLAN

Presentation_ID 16 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential VLANs en un entorno multi-conmutado VLANs Nativas y etiquetado 802.1q  Una trama que pertenece a la VLAN nativa no será etiquetada  Una trama que es recibida sin etiqueta permanecerá sin etiqueta y será puesta en la VLAN nativa cuando se reenvíe  Si no hay puertos asociados a la VLAN nativa y no hay otros puertos troncales, una trama no etiquetada será descartada  En switchs Cisco, La VLAN nativa es la VLAN 1 por defecto

Presentation_ID 17 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential VLANs en un entorno multi-conmutado Etiquetado de VLAN de Voz

Presentation_ID 18 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Rangos de VLAN en Switchs Catalyst  Los Switch Catalyst serie 2960 y 3560 soportan sobre 4,000 VLANs  Estas VLANs están divididas en 2 categorías:  Rango de VLANs normales Números de VLAN desde 1 a 1005 Configuraciones almacenadas en el archivo vlan.dat (en la flash) VTP pueden aprender y almacenar solamente rango de VLANs normales  Rango de VLANs extendidas Números de VLAN desde 1006 a 4096 Configuraciones almacenadas en el running-config (en la NVRAM) VTP no aprende VLANs extendidas

Presentation_ID 19 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Creando una VLAN

Presentation_ID 20 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Asignando Puertos a VLANs

Presentation_ID 21 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Asignando Puertos a VLANs

Presentation_ID 22 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Cambiando pertenencia de puerto a VLAN

Presentation_ID 23 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Cambiando pertenencia de puerto a VLAN

Presentation_ID 24 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Borrando VLANs

Presentation_ID 25 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Verificando Información de VLAN

Presentation_ID 26 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Verificando Información de VLAN

Presentation_ID 27 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Configurando enlace troncal IEEE 802.1q

Presentation_ID 28 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Reseteando el troncal al estado por defecto

Presentation_ID 29 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Reseteando el troncal al estado por defecto

Presentation_ID 30 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Asignación de VLAN Verificando la Configuración Troncal

Presentation_ID 31 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Dynamic Trunking Protocol Introducción a DTP  Los puertos de switch pueden ser manualmente configurados para formar troncales  Los puertos de switch también pueden ser configurados para negociar y establecer un enlace troncal con un par conectado  Dynamic Trunking Protocol (DTP) es un protocolo para administrar la negociación troncal  DTP es un protocolo propietario Cisco y está habilitado por defecto en los switch Cisco Catalyst 2960 y 3560  Si el puerto en el switch vecino está configurado en un modo troncal que soporta DTP, él administra la negociación  La configuración por defecto de DTP para los switch Cisco Catalyst 2960 y 3560 es dynamic auto

Presentation_ID 32 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Dynamic Trunking Protocol Modos de Negociación de Interfaz  Cisco Catalyst 2960 y 3560 soportan los siguientes modos troncales: switchport mode dynamic auto switchport mode dynamic desirable switchport mode trunk switchport nonegotiate

Presentation_ID 33 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Resolución de Problemas de VLANs y Trunks Abordando problemas con VLAN  Es una práctica muy común asociar una VLAN con una red IP  Ya que diferentes rede IP sólo se pueden comunicar a través de un router, todos los dispositivos dentro de una VLAN deben ser parte de la misma red IP para comunicarse  En la imagen de abajo, el PC1 no puede comunicarse al servidor debido a que tiene una dirección IP errónea configurada

Presentation_ID 34 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Resolución de Problemas de VLANs y Trunks Missing VLANs  Si todas las direcciones IP erróneas han sido resueltas pero los dispositivos aún no se pueden conectar, revisa si la VLAN existe en el switch.

Presentation_ID 35 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Resolución de Problemas de VLANs y Trunks Introducción a Troubleshooting de troncales

Presentation_ID 36 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Resolución de Problemas de VLANs y Trunks Problemas Comunes con Troncales  Los problemas de troncales son usualmente asociados con configuraciones incorrectas.  Los tipos más comunes de errores de configuración troncales son: 1.Desajuste (mismatches) de VLAN Nativa 2.Desajuste (mismatches) de modo Troncal 3.VLANs permitidas (Allowed) en los troncales  Si un problema es detectado, Las pautas de mejores prácticas recomendadas, se muestran en orden arriba.

Presentation_ID 37 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Resolución de Problemas de VLANs y Trunks Modos Mismatches (erróneos) de Troncales  Si un puerto en un enlace troncal es configurado con un modo troncal que es incompatible con el puerto troncal del vecino, un enlace troncal falla de formarse entre los dos switchs  Verifica el estado de los puertos troncales en los switchs usando el comando show interfaces trunk  Para solucionar el problema, configura las interfaces con los modos troncales apropiados.

Presentation_ID 38 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Resolución de Problemas de VLANs y Trunks Lista Incorrecta de VLAN  Las VLANs deben ser permitidas en el troncal antes de que sus tramas puedan ser transmitidas a través del enlace  Usa el comando switchport trunk allowed vlan para especificar cuales VLANs son permitidas en un enlace troncal  Para asegurarse de que las VLANs correctas son permitidas en un troncal, usa el comando show interfaces trunk

Presentation_ID 39 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Ataques en VLANs Ataques de spoofing a Switch  Hay una cantidad de diferentes tipos de ataques de VLAN en redes conmutadas modernas. VLAN hopping es una de ellas.  La configuración por defecto de los puertos del switch es dynamic auto  Configurando un host para actuar como un switch y formar un troncal, un atacante podría ganar acceso a cualquier VLAN en la red.  Debido a que el atacante está ahora habilitado para acceder a otras VLANs, esto es llamado un ataque de VLAN hopping  Para prevenir un ataque de spoofing básico a switchs, deshabilita trunking en todos los puertos, excepto los únicos que específicamente requieren ser troncales

Presentation_ID 40 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Ataques en VLANs Ataque de Doble-Etiquetado  El ataque de doble-etiquetado toma ventajas de la forma en que el hardware en muchos switches desencapsula las etiquetas 802.1Q  Muchos switches ejecutan sólo un nivel de desencapsulado 802.1Q, permitiendo a un atacante incrustar un segundo encabezado no autorizado en la trama  Después quitando el primero y legítimo encabezado 802.1Q, el switch reenvía la trama a la VLAN especificada en el encabezado 802.1Q no autorizado  La mejor propuesta para mitigar ataques de doble etiquetado es asegurar que la VLAN nativa de los puertos troncales es diferente de la VLAN de cualquier puerto de usuario

Presentation_ID 41 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Ataques en VLANs Ataque de Doble-Etiquetado

Presentation_ID 42 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Ataques en VLANs PVLAN Edge  La característica Edge de Private VLAN (PVLAN), también conocida como puertos protegidos, asegura que no hay intercambio de tráfico unicast, broadcast, o multicast entre puertos protegidos en el switch  Sólo de relevancia local  Un puerto protegido sólo intercambia tráfico con puertos no protegidos  Un puerto protegido no intercambiará tráfico con otro puerto protegido

Presentation_ID 43 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Mejores prácticas de Diseño para VLANs Pauta de Diseño VLAN  Mueve todos los puertos de la VLAN1 y asígnalos a una VLAN no usada  Shutdown todos los puertos del switch no usados  Separa el tráfico de administración del de datos  Cambia la VLAN de administración a otra VLAN que no sea la VLAN1. Lo mismo para la VLAN nativa  Asegúrate que sólo dispositivos en la VLAN de administración puedan conectarse a los switchs  El switch debería aceptar sólo conexiones SSH  Deshabilita la autonegociación de puertos troncales  No uses modos auto o desirable en puertos de switch

Presentation_ID 44 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 3: Resumen  Este capítulo introdujo VANS y sus tipos.  También cubrió las conexiones entre VLANs y dominios de broadcast  El capítulo también cubre etiquetado de tramas IEEE 802.1Q y cómo permite la diferenciación entre tramas Ethernet asociadas con distintas VLANs a medida que atraviesan los enlaces troncales.  Este capítulo también examinó la configuración, verificación y resolución de problemas de VLANs y troncales usando la CLI de IOS CL y exploró la seguridad básica y consideraciones de diseño en el contexto de VLANs.

Presentation_ID 45 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.