Académique Documents
Professionnel Documents
Culture Documents
I
INTRODUCCIN
Una VLAN es su definicin es red de rea local virtual, es un mtodo que nos
permite crear redes lgicas e independientes dentro de una misma red, los cuales
podemos tener varias VLANS en un nico conmutador fsico o en una red fsica.
En el mbito laborales, las redes son muy importantes, ya que son importantes
porque pueden ofrecer seguridad y monitoreo de distintos servicios que se
brindan, a travs de las redes se pueden dar accesos a ciertos cosas, y restringir
otras, por lo que la organizacin pueda dar ms privilegios a un departamento que
a otro dentro de su empresa, para este tipo de redes es muy recomendable crear
restricciones para una mayor seguridad mediante VLANS. Esperando que este
reporte sobre la seguridad en VLANS sea claro y entendible para el lector, as
como tambin para el docente, cumpliendo con todo los requisitos del mismo.
SEGURIDAD EN VLAN
Definicin 1:
Es una red de rea local virtual, es una red que agrupa un conjunto de
equipos demanera lgica y no fsica. Los grupos de puertos que hacemos en un
switchgestionable para aislar un conjunto de mquinas forman una VLAN. Se la
llamavirtual porque parece que est en una LAN propia y que la red es de ellos
solos.Utilizar una VLAN hace que la seguridad y el rendimiento sean mejores.
Definicin 2:
Es un mtodo para crear redes lgicas independientes dentro de una misma
redfsica. Varias VLAN pueden coexistir en un nico conmutador fsico o en una
nicared fsica. Son tiles para reducir el tamao del dominio de difusin y ayudan
en laadministracin de la red, separando segmentos lgicos de una red de rea
local (losdepartamentos de una empresa, por ejemplo) que no deberan
intercambiar datosusando la red local (aunque podran hacerlo a travs de un
enrutador o unconmutador de capa 3 y 4).
Definicin 3:
Una VLAN consiste en dos o ms redes de computadoras que se comportan como
siestuviesen conectados al mismo PCI, aunque se encuentren fsicamente
conectadosa diferentes segmentos de una red de rea local (LAN). Los
administradores de redconfiguran las VLAN mediante software en lugar de
hardware, lo que las haceextremadamente fuertes
Utilidad:
La utilidad de las VLAN radica en la posibilidad de separar aquellos
segmentoslgicos que componen una LAN y que no tienen la necesidad de
intercambiarinformacin entre s a travs de la red de rea local. Esta
particularidad contribuye auna administracin ms eficiente de la red fsica.
2
Existen diversos modos de establecer una VLAN. Las VLAN de Nivel 1
sonaquellas que se desarrollan a partir del uso de puertos. Las VLAN de Nivel 2,
encambio, se crean a travs de la asignacin de direcciones MAC o por clase
deprotocolo. Tambin existen las VLAN de Nivel 3, que implican la creacin
desubredes virtuales, y las VLAN de niveles superiores (una VLAN por aplicacin).
Seguridad:
Si configura una red de rea local virtual (VLAN), las VLAN comparten el ancho
debanda de la red y requieren medidas de seguridad
adicionales. Al usar VLAN, separa los clusters sensibles de sistemas del resto de l
a red.De esta manera, se reduce la probabilidad de que los usuarios tengan
acceso a lainformacin almacenada en esos clientes y servidores.
La tecnologa de red LAN con nodos permite organizar los sistemas de unared
local en redes VLAN. Para poder dividir una red de rea local en redes VLAN,debe
tener nodos compatibles con la tecnologa VLAN. Puede configurar todos
lospuertos de un nodo para que transfieran datos para una nica VLAN o para
variasVLAN, segn el diseo de configuracin VLAN. Cada fabricante de
conmutadoresutiliza procedimientos diferentes para configurar los puertos de un
conmutador.
4
Autentificacin en el puerto MAC y 802.1x:
Se realiza la autentificacin en el puerto, y de esta manera el switch solo
podrconectar aquel cuya MAC este dentro de una lista definitiva en el propio
switch o elque se autentificado mediante RADIUS en el estndar 802.1x.Por lo
tanto, se dice que 802.1x es un mecanismo de seguridad de acceso almedio. La
direccin MAC es asignada por el fabricante de la tarjeta de red por lo queno
puede haber dos tarjetas de red con la misma direccin MAC.RADIUS es
un protocolo de autentificacin y autorizacin para aplicacionesde acceso a la red
o movilidad IP.
Asegurando VLAN Trunks:
Cuando un puerto est configurado con Dynamic Trunking Protocol (DTP)
(pordefecto en Cisco una interface est as configurada) y la interface est en auto
puedenegociar la interface para convertirse en un Trunk, por eso un atacante que
conecteun host (PC, server, etc.) a una interface DTP en auto podra "negociar"
con el switchpara establecer un Trunk entre el host y el switch lo que se llama
Switch Spoofing.Por ello es conveniente que cada interface que no se use ponerla
en shutdowny configurar las interfaces donde se conecten usuarios finales en
modo acceso y conla VLAN correspondiente con los comandos:
Configurar la VLAN nativa de los Trunk con una VLAN sin usar o falsa.
CONCLUSIN
Como se vio una vlan sirve para tener un buen control de nuestras redes, de
estamanera se consigue una mayor seguridad, ya que a partir de sus
configuracionesque se le d, puede otorgar privilegios unos de otros,
independientemente de lanecesidad que se tenga en ese momento, as como
tambin permiten reducir lostamaos de dominio, separando cada segmento
lgico en una red de rea local.Otra funcin de VLAN es que puede agrupar
puertos distintos como Ethernet, Access Point inalmbricos y usuarios en
otras redes virtuales, adems de separar eltrfico de la red por razones de
desempeo y diseo, independiente de tipo deusuario que maneje (colaboradores,
administradores, invitados) por razones deseguridad. Ya que estn configuradas
dinmicamente.Un ejemplo muy claro en la seguridad puede ser cuando un
usuario conectesu equipo a la red, lo que har la VLAN es que ya estar
designada para ese usuarioy este solo podr acceder solo a esa red que ya est
configurada por eladministrador, tambin se hace una recomendacin de
configurar mediante lasdirecciones MAC o mediante la autenticacin 802.1X este
garantiza la proteccin deenvi y acceso hasta la red que otorgue esa credencial
de acceso, as como tambinasigna los usuarios VLAN de forma dinmica.
Unidad 2. Redes VLAN
Efectivamente, la comunicacin entre los diferentes equipos en una red de rea local est
regida por la arquitectura fsica. Gracias a las redes virtuales (VLAN), es posible liberarse de
las limitaciones de la arquitectura fsica (limitaciones geogrficas, limitaciones de direccin,
etc.), ya que se define una segmentacin lgica basada en el agrupamiento de equipos segn
determinados criterios (direcciones MAC, nmeros de puertos, protocolos, etc.).
Tipos de VLAN
Se han definido diversos tipos de VLAN, segn criterios de conmutacin y el nivel en el que se
lleve a cabo. As, la VLAN de nivel 1 (tambin denominada VLAN basada en puerto) define
una red virtual segn los puertos de conexin del conmutador. La VLAN de nivel 2 (tambin
denominada VLAN basada en la direccin MAC) define una red virtual segn las direcciones
MAC de las estaciones. Este tipo de VLAN es ms flexible que la VLAN basada en puerto, ya
que la red es independiente de la ubicacin de la estacin.
Adems de las anteriores, existe la VLAN de nivel 3, que incluye diferentes tipos. La VLAN
basada en la direccin de red conecta subredes segn la direccin IP de origen de los
datagramas. Este tipo de solucin brinda gran flexibilidad, en la medida en que la
configuracin de los conmutadores cambia automticamente cuando se mueve una estacin.
En contrapartida, puede haber una ligera disminucin del rendimiento, ya que la informacin
contenida en los paquetes debe analizarse detenidamente. La VLAN basada en
protocolo permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX,
AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo
protocolo en la misma red.
Ventajas de la VLAN
La VLAN permite definir una nueva red por encima de la red fsica y, por lo tanto, ofrece
diversas ventajas: una mayor flexibilidad en la administracin y en los cambios de la red, ya
que la arquitectura puede cambiarse usando los parmetros de los conmutadores; un aumento
de la seguridad, puesto que la informacin se encapsula en un nivel adicional y puede ser
analizada; una disminucin en la transmisin de trfico en la red.
Qu estndares definen a las VLAN
Las VLAN estn definidas por los estndares IEEE 802.1D, 802.1p, 802.1Q y 802.10. Para
obtener ms informacin, te aconsejamos que consulte los siguientes documentos: IEEE
802.1D, IEEE 802.1Q y IEEE 802.10.
UNIDAD II.
REDES VLANS.
En esta unidad abordaremos la temtica de vlans, tecnologa que ha tenido gran impacto en
la administracin de redes permitiendonos tener un mayor control sobre el trafico de datos
que se presenta en una organizacin.
Una vlan es una red de rea local virtual que nos permite segmentar una red en subredes a
las cuales podemos restringir la comunicacin de los dispositivos pertenecientes a una vlan
con respecto a otra.
Tambin nos permite reducir el trafico en la red ya que solo se transmiten los paquetes a los
dispositivos que estn incluidos dentro del dominio de cada vlan, con lo que se logra
eficiencia en el uso que se le da al ancho de banda y confidencialidad respecto a personas
ajenas a la red de rea local virtual.
Estticas: Los puertos del switch estn ya pre-asignados a las estaciones de trabajo.
vlan por direccin mac: En esta los miembros de la vlan estn especificados en una tabla
por su direccin mac, permitiendo facilidad de movimiento.
vlan por protocolo : Es caracterizada por asignar un protocolo a una vlan. el switch es el
que se encargara de dirigir las tramas a la vlan correspondiente.
vlan por direcciones ip: Se basa en el encabezado de la capa 3 del modelo OSI, conecta
subredes segn la direccin ip de origen de los datagramas. Este tipo de solucin brinda
gran flexibilidad, en la medida en que la configuracin de los conmutadores cambia
automticamente cuando se mueve una estacin. En contrapartida, puede haber una ligera
disminucin del rendimiento, ya que la informacin contenida en los paquetes debe
analizarse detenidamente.
vlan por puerto: Se configura por una cantidad n de puertos en el cual podemos indicar
que puertos pertenecen a cada vlan.
vlan por nombre de usuario: Se basan en la autenticacin del usuario y no por las
direcciones mac de los dispositivos.
Dinmicas: Las vlan dinmicas son puertos del switch que automticamente determinan a
que vlan pertenece cada puesto de trabajo. El funcionamiento de estas vlans se basa en las
direcciones mac, direcciones lgicas o protocolos utilizados.
VENTAJAS
Figura 1
La tecnologa de las VLANs se basa en el empleo de Switches, en lugar de hubs,
de tal manera que esto permite un control mas inteligente del trfico de la red, ya
que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar
el trfico, para que de esta manera la eficiencia de la red entera se incremente. Por
otro lado, al distribuir a los usuarios de un mismo grupo lgico a travs de diferentes
segmentos, se logra el incremento del ancho de banda en dicho grupo de usuarios.
Segmentacin
Con los switches se crean pequeos dominios, llamados segmentos, conectando
un pequeo hub de grupo de trabajo a un puerto de switch o bien se aplica
microsegmentacin la cual se realiza conectando cada estacin de trabajo y cada
servidor directamente a puertos de switch teniendo una conexin dedicada dentro
de la red, con lo que se consigue aumentar considerablemente el ancho de banda
a disposicin de cada usuario.
Una de las ventajas que se pueden notar en las VLAN es la reduccin en el trafico
de la red ya que solo se transmiten los paquetes a los dispositivos que estn
incluidos dentro del dominio de cada VLAN, una mejor utilizacin del ancho de
banda y confidencialidad respecto a personas ajenas a la VLAN, alta performance,
reduccin de latencia, facilidad para armar grupos de trabajo.
Tipos de VLAN
VLAN de puerto central
Es en la que todos los nodos de una VLAN se conectan al mismo puerto del switch.
VLAN Estticas
Los puertos del switch estn ya preasignados a las estaciones de trabajo.
Por puerto
Se configura por una cantidad n de puertos en el cual podemos indicar que puertos
pertenecen a cada VLAN. Para la Figura 1 tendramos en el Switch 9 puertos de los
cuales el 1,5 y 7 pertenecen a la VLAN 1; el 2, 3 y 8 a la VLAN 2 y los puertos 4, 6
y 9 a la VLAN 3 como la tabla lo indica (Figura 2).
Puerto VLAN
1 1
2 2
3 2
4 3
5 1
6 3
7 1
8 2
9 3
Figura 2
Ventajas:
Desventajas:
Administracin: Un movimiento en las estaciones de trabajo hace necesaria la
reconfiguracin del puerto del switch al que esta conectado el usuario. Esto se
puede facilitar combinando con mecanismos de LAN Dinmicas.
MAC VLAN
12.15.89.bb.1d.aa 1
12.15.89.bb.1d.aa 2
aa.15.89.b2.15.aa 2
1d.15.89.6b.6d.ca 2
12.aa.cc.bb.1d.aa 1
Figura 3
Ventajas:
Multiprotocolo.
Desventajas:
Por protocolo
Asigna a un protocolo una VLAN. El switch se encarga de dependiendo el protocolo
por el cual venga la trama derivarlo a la VLAN correspondiente (Figura 4).
Protocolo VLAN
IP 1
IPX 2
IPX 2
IPX 2
IP 1
Figura 4
Ventajas:
Asignacin dinmica.
Desventajas
Por direcciones IP
Esta basado en el encabezado de la capa 3 del modelo OSI. Las direcciones IP a
los servidores de VLAN configurados. No acta como router sino para hacer un
mapeo de que direcciones IP estn autorizadas a entrar en la red VLAN. No realiza
otros procesos con la direccin IP.
Ventajas:
Facilidad en los cambios de estaciones de trabajo: Cada estacin de trabajo al
tener asignada una direccin IP en forma esttica no es necesario reconfigurar el
switch.
Desventajas:
Ventajas:
Multiprotocolo.
Desventajas:
Ventajas:
Facilidad de administracin.
Multiprotocolo.
Desventajas:
Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que
disminuye las posibilidades de que ocurran violaciones de informacin confidencial. Como se
muestra en la ilustracin, las computadoras del cuerpo docente estn en la VLAN 10 y
separadas por completo del trfico de datos de los estudiantes y los Invitados.
Mejor rendimiento: la divisin de las redes planas de capa 2 en varios grupos de trabajo
lgicos (dominios de difusin) reduce el trfico innecesario en la red y mejora el rendimiento.
Dominios de difusin reducidos: la divisin de una red en redes VLAN reduce la cantidad
de dispositivos en el dominio de difusin. Como se muestra en la ilustracin, existen seis
computadoras en esta red, pero hay tres dominios de difusin: Cuerpo docente, Estudiantes e
Invitados.
Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los
usuarios con requerimientos similares de red comparten la misma VLAN. Cuando se dispone
de un switch nuevo, se implementan todas las polticas y los procedimientos que ya se
configuraron para la VLAN especfica cuando se asignan los puertos. Tambin es fcil para el
personal de TI identificar la funcin de una VLAN proporcionndole un nombre. En la
ilustracin, para facilitar la identificacin, se denomin Cuerpo Docente a la VLAN 10,
Estudiantes a la VLAN 20 e Invitados a la VLAN 30.
Cada VLAN en una red conmutada corresponde a una red IP; por lo tanto, al disear la VLAN, se
debe tener en cuenta la implementacin de un esquema de direccionamiento de red jerrquico. El
direccionamiento jerrquico de la red significa que los nmeros de red IP se aplican a los
segmentos de red o a las VLAN de manera ordenada, lo que permite que la red se tome en cuenta
como conjunto. Los bloques de direcciones de red contiguas se reservan para los dispositivos en
un rea especfica de la red y se configuran en estos, como se muestra en la ilustracin.