Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
VLAN por Mind Map: VLAN

1. Origen

1.1. Necesidad de mejorar el rendimiento de la red

1.1.1. División de los grandes dominios de difusión en dominios más pequeños

1.1.1.1. Un grupo de dispositivos dentro de una VLAN se comunica como si estuvieran conectados al mismo cable

2. Beneficios

2.1. se incorporan al diseño de red para facilitar que una red dé soporte a los objetivos de una organización

2.1.1. administrador puede dividir las redes en segmentos según factores como la función, el equipo del proyecto o la aplicación

2.1.1.1. disminuye las posibilidades de que ocurran violaciones de información confidencial

2.1.1.2. se reduce el tráfico innecesario

2.1.1.2.1. se mejora el rendimiento de la red

2.1.1.2.2. reduce la cantidad de dispositivos en el dominio de difusión

2.1.1.3. Mayor facilidad de manejo de la red

2.1.1.3.1. Administración más simple de aplicaciones y proyectos

2.2. Reducción de costos

2.2.1. poca necesidad de actualizaciones de red costosas

2.2.2. uso más eficaz de enlaces y del ancho de banda

3. Definición

3.1. Red de área local virtual

3.1.1. proporciona una manera de agrupar dispositivos dentro de una LAN

3.1.2. Se basa en conexiones lógicas y no físicas

3.1.3. Los paquetes de unidifusión, difusión y multidifusión se reenvían y saturan solo las estaciones terminales dentro de la VLAN donde se originan los paquetes

3.1.4. Cada VLAN en una red conmutada corresponde a una red IP

3.1.4.1. se debe tener en cuenta el direccionamiento de red jerárquico

4. Tipos

4.1. VLAN de datos

4.1.1. configurada para transportar tráfico generado por usuarios

4.2. VLAN predeterminada

4.2.1. Todos los puertos de switch se vuelven parte de la VLAN predeterminada (VLAN 1 en Cisco) después del arranque inicial de un switch que carga la configuración predeterminada

4.3. VLAN nativa

4.3.1. Una VLAN nativa está asignada a un puerto troncal 802.1Q

4.3.2. Busca mantener la compatibilidad con el tráfico sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas

4.4. VLAN de administración

4.4.1. se configura para acceder a las capacidades de administración de un switch

4.5. VLAN de voz

4.5.1. Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP)

5. Enlace troncal

5.1. enlace punto a punto entre dos dispositivos de red que lleva más de una VLAN

5.2. permiten que se propague todo el tráfico de VLAN entre los switches

5.2.1. los dispositivos que están en la misma VLAN pero conectados a distintos switches se puedan comunicar sin la intervención de un router

5.3. no pertenece a una VLAN específica

5.4. con el comando switchport mode trunk la interfaz cambia al modo de enlace troncal permanente

5.4.1. Es posible que algunos switches requieran la configuración manual de la encapsulación 802.1Q

5.4.2. otros comandos

5.4.2.1. switchport trunk allowed vlan [lista-vlan]

5.4.2.2. switchport trunk native vlan [id-vlan]

5.5. Problemas

5.5.1. relativos a la formación de enlaces troncales o a enlaces que se comportan incorrectamente como enlaces troncales

5.5.1.1. verificar si hay coincidencia entre la VLAN nativa local y peer

5.5.1.2. verificar si se estableció un enlace troncal entre los switches

5.5.2. en general se deben a una configuración incorrecta

5.5.2.1. incompatibilidad de VLAN nativa

5.5.2.2. incompatibilidades de modo de enlace troncal

5.5.2.2.1. Cuando un puerto en un enlace troncal se configura con un modo de enlace troncal que no es compatible con el puerto de enlace troncal vecino, no se puede formar un enlace troncal entre los dos switches

5.5.2.3. VLAN permitidas en enlaces troncales

5.5.2.3.1. Para que el tráfico de una VLAN se transmita a través de un enlace troncal, debe estar permitido en dicho enlace

6. Etiquetado

6.1. cuando las tramas de Ethernet se colocan en un enlace troncal, se debe agregar la información sobre las VLAN a las que pertenecen

6.1.1. Esto se logra mediante el uso del encabezado IEEE 802.1Q

6.2. Contiene tipo, paridad de usuario, identificador de formato canónico y ID de VLAN

6.3. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar

6.4. Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar, envía esas tramas a la VLAN nativa

6.5. En una VLAN de voz se etiqueta con valor de prioridad de clase de servicio (CoS) de capa 2

7. Implementación

7.1. La cantidad de VLANs admitidas depende del tipo de switch

7.2. Rangos de VLAN en os switches Catalyst

7.2.1. VLAN de rango normal

7.2.1.1. Se utiliza en redes de pequeños y medianos negocios y empresas (ID de 1 a 1005)

7.2.1.2. Las configuraciones se almacenan en el archivo vlan.dat

7.2.1.3. VTP solo puede descubrir y almacenar VLAN de rango normal

7.2.2. VLAN de rango extendido

7.2.2.1. Brinda escalabilidad a los proveedores de servicios

7.2.2.2. ID de 1006 a 4094

7.2.2.3. Se guardan en el archivo de configuración en ejecución de manera predeterminada

7.3. El comando show vlan brief muestra el contenido de vlan.dat

7.4. Creación y asignación de puertos

7.4.1. En el modo de configuración global, crear una VLAN con el comando vlan [id-vlan]

7.4.2. Especificar el nombre de la vlan con el comando vlan [nombre-vlan]

7.4.3. Ingresar el comando interface [id-interfaz]

7.4.4. Configurar el modo del puerto con el comando switchport mode [access o trunk]

7.4.4.1. Si es modo acceso, ingresar el comando switchport access vlan [id-vlan]

7.4.5. El comando no switchport access vlan elimina la asignación de la VLAN del puerto

7.4.6. El comando no vlan [id-vlan] elimina una vlan

7.5. Verificación de información

7.5.1. Comandos

7.5.1.1. show vlan

7.5.1.1.1. brief

7.5.1.1.2. id

7.5.1.1.3. name

7.5.1.1.4. summary

7.5.1.2. show interfaces

7.5.1.2.1. [id-interfaz]

7.5.1.2.2. vlan [id-vlan]

7.5.1.2.3. switchport

8. DTP

8.1. Protocolo de enlace troncal dinámico

8.1.1. maneja la negociación de enlaces troncales entre dispositivos de red

8.1.2. exclusivo de Cisco

8.1.3. Las interfaces Ethernet de los switches de las series Catalyst 2960 y Catalyst 3560 admiten diversos modos de enlace troncal con la ayuda de DTP

8.1.3.1. switchport mode access

8.1.3.2. switchport mode dynamic auto

8.1.3.3. switchport mode dynamic desirable

8.1.3.4. switchport mode trunk

8.1.3.5. switchport nonegotiate

8.1.4. Se debe inhabilitar DTP en los enlaces cuando no se deben usar enlaces troncales

9. Problemas de direccionamiento IP

9.1. Cada VLAN debe corresponder a una subred IP única

9.1.1. Si dos dispositivos en la misma VLAN tienen direcciones de subred diferentes, no se pueden comunicar

10. Ataques

10.1. Los saltos de VLAN permiten que una VLAN pueda ver el tráfico de otra VLAN

10.1.1. suplantación de identidad de switch

10.1.1.1. El atacante aprovecha que de manera predeterminada, los puertos de enlace troncal tienen acceso a todas las VLAN y pasan el tráfico para varias VLAN a través del mismo enlace físico, generalmente entre switches

10.2. Ataque de etiquetado doble

10.2.1. solo funciona cuando el atacante se conecta a un puerto que reside en la misma VLAN que la VLAN nativa del puerto de enlace troncal

10.2.2. PVLAN

10.2.2.1. característica de perímetro de VLAN privada / puertos protegidos

10.2.2.1.1. asegura que no se intercambie tráfico de unidifusión, difusión o multidifusión entre estos puertos del switch

11. Pautas para el diseño

11.1. separar el tráfico de administración y de datos de usuario

11.2. se debe configurar el switch para que solo acepte sesiones SSH cifradas para la administración remota

11.3. inhabilitar la autonegociación

11.4. utilizar VLAN separadas para la telefonía IP y para el tráfico de datos