domingo, 27 de agosto de 2017

Vlans, Enrutamiento entre Vlans y Seguridad de puertos con dispositivos Cisco.

REDES VIRTUALES
VLAN
Una red totalmente construida sobre dispositivos de capa 2 es una red llamada “red plana”. Este tipo de redes se componen de un único dominio de difusión, es decir, los broadcast inundan toda la red, lo que hace que al aumentar el número de host aumente el número de broadcast disminuyendo el desempeño de la red. Sin embargo las redes conmutadas permiten eliminar las limitaciones impuestas por las redes planas dividiendo dicha red en varias redes virtuales (VLAN)

Las VLAN (Virtual LAN) proveen seguridad, segmentación, flexibilidad, y permiten agrupar usuarios de un mismo dominio de broadcast con independencia de su ubicación física en la red. Usando la tecnología VLAN se pueden agrupar lógicamente puertos del switch y los usuarios conectados a ellos en grupos de trabajo con interés común. Una VLAN por definición es un dominio de difusión creado de forma lógica.

A.Ernesto, B. Enrique 2010, Redes Cisco CCNP a Fondo, Alfaomega RA-MA 

El ejemplo que se muestra en la gráfica siguiente es el que se estará desarrollando para explicar el objetivo de este post. 



 
Este será en escenario a desarrollar en este post, le sugerimos desarrollar el mismo paso a paso vía packet tracert
Para iniciar, comenzaremos configurando el Switch Multicapa via CLI de la siguiente forma:
Añadir leyenda

1)   Nos conectamos via cable consola, SSH o telnet nosotros lo haremos vía puerto consola, es posible que tenga que administrar el switch via http(s) para habilitar la administración por ssh o telnet. 



1)   Crearemos las tres Vlans que se muestran en nuestro diagrama inicial con los siguientes comandos:

Enable
Configure terminal 



Con estos comandos habremos creados las tres Vlan.
Para comprobarlo utilizaremos el comando show vlan


Luego procederemos a configurar las redes para estas Vlans y lo haremos con los siguientes comandos.

Habilitamos la consola de comandos y entramos en modo de configuración.

Enable
Configure terminal

Nos debe aparecer como se muestra en la captura a continuación:




Posteriormente introducimos los siguientes comandos:


Luego procedemos a configurar los puertos que conectan con los Switchs como puertos troncales.




Utilizaremos los siguientes comandos para configurar los puertos resaltados como troncales:

Switch Servidores
En modo de configuracion de interfaz

Inteface fastethernet 0/1
Switchport mode trunk

Estos comandos los utilizaremos en los Switch de capa 2 y debido a que en el otro extremo se encuentra un switch de capa 3 no debemos realizar configuración adicional debido a que la negociación se encuentra en auto, este al detectar los puertos de nuestro Switch de capa 2 en modo trocal se auto configura en modo troncal, como lo pueden ver con el siguiente comando: 

Show interfaces trunk


Procedemos a configurar los puertos en el Switch de Ventas y Operaciones:

Switch Ventas


Switch Operaciones


Comprobamos los extremos:


Como podemos ver el otro extremo negoció un enlace trocal al detectar el puerto en modo troncal del otro extremo.

Seguido a esto configuraremos un servidor DHCP de prueba en el Switch Multicapa con los siguientes comandos. 


Vlan 10 Servidores



    Vlan 20 Ventas




Vlan 30 Operaciones






Luego vamos configurar VTP para que nuestra Vlans se repliquen a todos los Switchs, lo hacemos de la siguiente forma:

El Switch multicapa será nuestro servidor VTP principal el que replicara los cambios de Vlan hacia los demás Switchs,

Los comandos son los siguientes:

Administramos el Switch en modo privilegiado nos debe aparecer de la siguiente forma: 


Con un numeral al final, agregamos los siguientes comandos: 


Los demás Switch los debemos configurar en modo cliente y lo hacemos con los siguientes comandos: 


Una vez hagamos esto, podemos ver con el comando show vlan, que las mismas se crean automáticamente: 


Estos comandos los usaremos en todos aquellos switchs que formen parte de nuestro despliegue de vlans, a excepción del switch principal el cual será configurado como servidor.

Observacion: El password y el nombre de dominio deben ser iguales en todos los Switchs, los que utilizamos anteriormente son de ejemplo.

Luego de esto procedemos a configurar los puertos para asignación de Vlan en nuestros Switch de capa 2, aquellos donde están conectados los dispositivos de usuarios. 


En el switch de servidores procedemos a configurar el puerto f0/2 con el siguiente comando. 


Al hacer esto nuestro servidor debe tomar una IP de del segmento de red de la Vlan 10, lo comprobamos con el siguiente comando en Windows ipconfig. En Linux ifconfig.

ipconfig


Pruebas de ping a nuestro Gateway


De esta misma forma haremos con todos los Switchs y puertos donde tengamos conectados dispositivos.

Procedemos a configurar los Switchs de Ventas y Operaciones.


Verificamos la IP


Seguimos con el Switch de Operaciones


Configuramos el puerto con la Vlan correspondiente

Comprobamos la IP de nuestra PC conectada al Switch de Operaciones.


Ahora realizaremos algunas pruebas de alcance:
Desde el equipo en la vlan de servidores le haremos ping a las demás Vlans


Podemos visualizar que le llegamos a los equipos de las demás redes, esto es posible porque nuestro Switch Multicapa está haciendo el enrutamiento  inter-vlan adicionalmente que las redes están conectadas directamente a él, en caso de que tengamos redes en otros routers, debemos utilizar algún protocolo de enrutamiento dinámico o rutas estáticas.

Seguridad de puerto

En algunos entornos la red debe estar asegurada para controlar qué estaciones terminales podrán tener acceso a la red. Cuando las estaciones de trabajo son estacionarias, sus direcciones MAC siempre se espera que se conecten al mismo puerto de la capa de acceso. En estaciones móviles la MAC puede ser aprendida dinámicamente o ser añadida en una lista de direcciones que se esperan en ese puerto. Los switches Catalyst de Cisco poseen una característica llamada port-security que controla las direcciones MAC asignadas a cada puerto. Para iniciar la configuración de seguridad de puertos en un switch se comienza con el siguiente comando.

Switch(config-if)#switchport port-security

Hasta este punto ya tenemos nuestra red operativa con las Vlans, ahora vamos a agregar seguridad a los puetos de los Switch



Primero configuraremos el puerto FastEthernet 0/2 de nuestro Switch de servidores, nos vamos a modo de configuración en la consola del Switch,
Enable
Configure terminal

switchport port-security mac-address sticky  con este comando configuramos el puerto para que aprenda la MAC del primer equipo que se conecte al puerto, también podemos configurar la MAC de forma estática con el siguiente comando:switchport port-security mac-address (direccion mac)

switchport port-security máximum 1 Este comando se configura para indicar que solo una dirección MAC es permitida por el puerto, la cual fue aprendida con el comando anterior, este aprendizaje tiene un tiempo de caducidad, si el host deja de transmitir por un tiempo específico se olvida la MAC y se aprende cuando el host vuelva a transmitir.

switchport port-security violation shutdown (Este comando permite configurar una opción para cuando se viole la configuración del comando anterior, en este caso tenemos tres opciones:

Shutdown: el puerto automáticamente se pone en el estado errdisable, lo que hace dejarlo inoperable y tendrá que ser habilitado manualmente o utilizando la recuperación de errdisable.

Restrict: el puerto permanente activo pero los paquetes desde las direcciones MAC que están violando la restricción son eliminados. El switch continúa ejecutando el temporizador de los paquetes que están violando la condición y puede enviar un trap de SNMP a un servidor Syslog para alertar de lo que está ocurriendo.

Protect: el puerto sigue habilitado pero los paquetes de las direcciones que están violando la condición son eliminados, no queda ninguna constancia de lo que está aconteciendo en el puerto.


Procedemos a configura los puertos TRONCALES


En el Switch Multicapa configuraremos el puerto FastEthernet 0/1 y estas mismas configuraciones la replicaremos a los demás puertos troncales,

Switchport trunk allowed vlan 10,20,30

Se agregan tantas Vlans como tengamos o las que queramos que pasen por los puertos troncales.

Los switch utilizados en los ejemplos son:

1 Switch multicapa 3560
3 Switch de Capa 2 2960

Observación: Algunos comandos pueden sufrir pequeñas variaciones, dependiendo del modelo del Switch.

Carlos Palomo.
Analista II/ Desarrollo de Proyectos.
Servicios de Proyectos y Consultoría SGSI 0526