El objetivo de este artículo es explicar los conceptos y los pasos para realizar los procedimientos recomendados y los consejos de seguridad al configurar las VLAN en los equipos empresariales de Cisco.
¿Desea que la red de su empresa sea más eficaz al tiempo que la mantiene segura? Una de las maneras de hacerlo es configurar correctamente las redes de área local virtuales (VLAN).
Una VLAN es un grupo lógico de estaciones de trabajo, servidores y dispositivos de red que parecen estar en la misma red de área local (LAN) a pesar de su distribución geográfica. En pocas palabras, el hardware en las mismas VLAN permite que el tráfico entre equipos sea independiente y más seguro.
Por ejemplo, puede tener un Departamento de Ingeniería, Marketing y Contabilidad. Cada departamento tiene trabajadores en diferentes pisos del edificio, pero igualmente necesitan acceder a la información y comunicarla dentro de su propio departamento. Es esencial para compartir documentos y servicios web.
Las VLAN deben configurarse siguiendo las mejores prácticas para mantener la red segura. Tome las siguientes decisiones inteligentes al configurar las VLAN. ¡No se arrepentirá!
Puerto de acceso: Un puerto de acceso transporta tráfico para una sola VLAN. Los puertos de acceso a menudo se denominan puerto sin etiquetar, ya que solo hay una VLAN en ese puerto y el tráfico puede pasar sin etiquetas.
Puerto troncal: Puerto de un switch que transporta tráfico para más de una VLAN. Los puertos de enlace troncal a menudo se denominan puertos etiquetados, ya que hay más de una VLAN en ese puerto y el tráfico para todas las VLAN, menos una, no debe etiquetarse.
VLAN nativa: Una VLAN en un puerto trunk que no recibe una etiqueta. Cualquier tráfico que no tenga una etiqueta se enviará a la VLAN nativa. Es por eso que se debe garantizar que ambos lados de un enlace troncal tengan la misma VLAN nativa, o el tráfico no irá al lugar correcto.
Para configurarlos correctamente, vaya a LAN> VLAN Settings. Seleccione los ID de VLAN y haga clic en el icono Edit (Edit). Seleccione el menú desplegable de cualquiera de las interfaces LAN para las VLAN enumeradas a fin de editar el etiquetado de la VLAN. Haga clic en Apply (Aplicar).
Vea este ejemplo de cada VLAN a la que se le asignó su propio puerto de LAN:
Vea este ejemplo de varias VLAN que están en puertos de enlace troncal. Para configurarlas correctamente, seleccione los ID de VLAN que deben editarse. Haga clic en el icono Edit (Editar). Cámbielas según sus necesidades, siguiendo las recomendaciones anteriores. Por cierto, ¿notó que la VLAN 1 se excluye de cada puerto de LAN? Esto se explicará en la sección Mejor práctica para la VLAN predeterminada 1.
¿Por qué una VLAN se deja sin etiquetar cuando es la única VLAN en ese puerto?
Dado que solo hay una VLAN asignada en un puerto de acceso, el tráfico saliente del puerto se envía sin ninguna etiqueta de VLAN en los marcos. Cuando el marco llegue al puerto de switch (tráfico entrante), el switch agregará la etiqueta de VLAN.
¿Por qué se etiquetan las VLAN cuando son parte de un enlace troncal?
Esto se hace para que el tráfico que pasa no se envíe a la VLAN incorrecta en ese puerto. Las VLAN comparten ese puerto. Es similar a los números de departamento que se agregan a una dirección para asegurarse de que el correo llegue al departamento correcto dentro de ese edificio compartido.
¿Por qué el tráfico se deja sin etiquetar cuando es parte de la VLAN nativa?
Una VLAN nativa es una forma de transportar tráfico sin etiquetar a través de uno o más switches. El switch asigna cualquier marco sin etiquetar que llega en un puerto etiquetado a la VLAN nativa. Si un marco en la VLAN nativa deja un puerto de enlace troncal (etiquetado), el switch elimina la etiqueta de la VLAN.
¿Por qué se excluyen las VLAN cuando no están en ese puerto?
Esto mantiene el tráfico en ese enlace troncal solo para las VLAN que el usuario desea específicamente. Se considera una mejor práctica.
Todos los puertos deben estar asignados a una o más de una VLAN, incluida la VLAN nativa. Los routers de Cisco Business incluyen la VLAN 1 asignada a todos los puertos de manera predeterminada.
Una VLAN de administración es la VLAN que se usa para administrar, controlar y monitorear de forma remota los dispositivos de su red mediante Telnet, SSH, SNMP, syslog o FindIT de Cisco. De forma predeterminada, también es VLAN 1. Una buena práctica de seguridad consiste en separar el tráfico de datos de usuarios y de administración. Por lo tanto, se recomienda que, al configurar las VLAN, utilice la VLAN 1 solo con fines de administración.
Para comunicarse de manera remota con un switch Cisco con fines de administración, el switch debe tener una dirección IP configurada en la VLAN de administración. Los usuarios de otras VLAN no podrían establecer sesiones de acceso remoto al switch, a menos que se enrutaran a la VLAN de administración, lo que proporciona una capa adicional de seguridad. Además, el switch debe configurarse con el fin de aceptar solo sesiones SSH cifradas para administración remota. Para leer algunos debates sobre este tema, haga clic en los siguientes enlaces en el sitio web de la Comunidad de Cisco:
¿Por qué no se recomienda la VLAN 1 predeterminada para segmentar virtualmente la red?
La razón principal es que los actores hostiles saben que la VLAN 1 es la predeterminada y de uso frecuente. Pueden usarla para obtener acceso a otras VLAN a través de “saltos de VLAN”. Como su nombre lo indica, el agente hostil puede enviar tráfico falsificado haciéndose pasar por VLAN 1, lo que permite el acceso a los puertos de enlace troncal y, por lo tanto, a otras VLAN.
¿Puedo dejar un puerto no utilizado asignado a la VLAN 1 predeterminada?
Para mantener la red segura, en realidad no debería. Se recomienda configurar todos esos puertos para que se asocien a VLAN que no sean la VLAN 1 predeterminada.
No quiero asignar ninguna de mis VLAN de producción a un puerto no utilizado. ¿Qué puedo hacer?
Se recomienda crear una VLAN “sin salida” siguiendo las instrucciones de la siguiente sección de este artículo.
Paso 1. Navegue hasta LAN > VLAN Settings.
Elija cualquier número aleatorio para la VLAN. Asegúrese de que esta VLAN no tenga habilitado el protocolo de configuración dinámica de hosts (DHCP), routing entre VLAN o administración de dispositivos. Esto mantiene las otras VLAN más seguras. Coloque el puerto de LAN no utilizado en esta VLAN. En el siguiente ejemplo, se creó VLAN 777 y se asignó a LAN5. Esto debe hacerse con todos los puertos LAN no utilizados.
Paso 2. Haga clic en el botón Aplicar para guardar los cambios de configuración que ha realizado.
El tráfico de voz tiene requisitos estrictos de calidad de servicio (QoS). Si su empresa tiene computadoras y teléfonos IP en la misma VLAN, cada uno intenta usar el ancho de banda disponible sin considerar el otro dispositivo. Para evitar este conflicto, es una buena práctica utilizar VLAN independientes para el tráfico de voz y de datos de telefonía IP. Para obtener más información sobre esta configuración, consulte los siguientes artículos y videos:
Las VLAN están configuradas para que el tráfico pueda estar separado, pero a veces se necesita que las VLAN puedan enrutarse entre sí. Este es el routing entre VLAN y, por lo general, no se recomienda. Si esto es una necesidad para su empresa, configúrela de la manera más segura posible. Cuando utilice routing entre VLAN, asegúrese de restringir el tráfico mediante listas de control de acceso (ACL) a los servidores que contienen información confidencial.
Las ACL realizan el filtrado de paquetes para controlar el movimiento de paquetes a través de una red. El filtrado de paquetes proporciona seguridad al limitar el acceso del tráfico a una red, restringir el acceso de usuarios y dispositivos a una red y evitar que el tráfico salga de la red. Las listas de acceso IP reducen la posibilidad de suplantación de identidad (spoofing) y ataques de denegación de servicio, y permiten el acceso dinámico y temporal de los usuarios a través de un firewall.
Listo, ahora conoce algunas mejores prácticas para configurar VLAN seguras. Tenga en cuenta estos consejos al configurar las VLAN para su red. A continuación, se enumeran algunos artículos que tienen instrucciones paso a paso. Esto lo ayudará a seguir avanzando hacia una red productiva y eficiente adecuada para su empresa.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
27-Jan-2020
|
Versión inicial |