Procedimientos recomendados de VLAN y consejos de seguridad para routers empresariales de Cisco

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:27 de enero de 2020
ID del documento:1580148576950702

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Objetivo

El objetivo de este artículo es explicar los conceptos y los pasos para realizar los procedimientos recomendados y los consejos de seguridad al configurar las VLAN en los equipos empresariales de Cisco.

Table Of Contents

Introducción

¿Desea que la red de su empresa sea más eficaz al tiempo que la mantiene segura? Una de las maneras de hacerlo es configurar correctamente las redes de área local virtuales (VLAN).

Una VLAN es un grupo lógico de estaciones de trabajo, servidores y dispositivos de red que parecen estar en la misma red de área local (LAN) a pesar de su distribución geográfica. En pocas palabras, el hardware en las mismas VLAN permite que el tráfico entre equipos sea independiente y más seguro.

Por ejemplo, puede tener un Departamento de Ingeniería, Marketing y Contabilidad. Cada departamento tiene trabajadores en diferentes pisos del edificio, pero igualmente necesitan acceder a la información y comunicarla dentro de su propio departamento. Es esencial para compartir documentos y servicios web.

Las VLAN deben configurarse siguiendo las mejores prácticas para mantener la red segura. Tome las siguientes decisiones inteligentes al configurar las VLAN. ¡No se arrepentirá!

Dispositivos aplicables

  • RV042
  • RV110W
  • RV130
  • RV132
  • RV134W
  • RV160W
  • RV215W
  • RV260
  • RV260P
  • RV260W
  • RV320
  • RV325
  • RV340
  • RV340W
  • RV345
  • RV345P

Es posible que le interese saber que los routers de las series RV160 o RV260 pueden transportar hasta 16 VLAN, mientras que los routers de la serie RV34x pueden transportar hasta 32 VLAN. El RV320 admite hasta 7 VLAN. Si desea saber cuántas VLAN puede transportar su router, consulte la ficha técnica de su modelo específico en el sitio web de Cisco. Seleccione Soporte e ingrese su número de modelo o simplemente busque la ficha técnica y el número de modelo.

Vocabulario rápido para principiantes

Puerto de acceso: Un puerto de acceso transporta tráfico para una sola VLAN. Los puertos de acceso a menudo se denominan puerto sin etiquetar, ya que solo hay una VLAN en ese puerto y el tráfico puede pasar sin etiquetas.

Puerto troncal: Puerto de un switch que transporta tráfico para más de una VLAN. Los puertos de enlace troncal a menudo se denominan puertos etiquetados, ya que hay más de una VLAN en ese puerto y el tráfico para todas las VLAN, menos una, no debe etiquetarse.

VLAN nativa: Una VLAN en un puerto trunk que no recibe una etiqueta. Cualquier tráfico que no tenga una etiqueta se enviará a la VLAN nativa. Es por eso que se debe garantizar que ambos lados de un enlace troncal tengan la misma VLAN nativa, o el tráfico no irá al lugar correcto.

Mejor práctica n.º 1: asignación de puerto de VLAN

Características básicas de la asignación de puerto

  • Cada puerto de LAN se puede configurar para que sea un puerto de acceso o un puerto de enlace troncal.
  • Se deben excluir las VLAN que no desea en el enlace troncal.
  • Una VLAN se puede colocar en más de un puerto.

Configuración de puertos de acceso

  • Una VLAN asignada en un puerto de LAN
  • La VLAN a la que se asigna este puerto debe etiquetarse como No etiquetada
  • Todas las demás VLAN deben etiquetarse como Excluida para ese puerto

Para configurarlos correctamente, vaya a LAN> VLAN Settings. Seleccione los ID de VLAN y haga clic en el icono Edit (Edit). Seleccione el menú desplegable de cualquiera de las interfaces LAN para las VLAN enumeradas a fin de editar el etiquetado de la VLAN. Haga clic en Apply (Aplicar).

Vea este ejemplo de cada VLAN a la que se le asignó su propio puerto de LAN:

Esta imagen de interfaz gráfica de usuario (GUI) se tomó de un router RV260W. Sus opciones pueden parecer ligeramente diferentes. Por ejemplo, en la serie RV34x, las etiquetas No etiquetada, Excluida y Etiquetada se abrevian solo a la primera letra. El proceso sigue siendo el mismo.

Configuración de puertos de enlace troncal

  • Dos o más VLAN comparten un puerto de LAN
  • Una de las VLAN se puede etiquetar como No etiquetada.
  • El resto de las VLAN que forman parte del puerto de enlace troncal deben etiquetarse como Etiquetada.
  • Las VLAN que no forman parte del puerto de enlace troncal deben etiquetarse como Excluida para ese puerto.

Vea este ejemplo de varias VLAN que están en puertos de enlace troncal. Para configurarlas correctamente, seleccione los ID de VLAN que deben editarse. Haga clic en el icono Edit (Editar). Cámbielas según sus necesidades, siguiendo las recomendaciones anteriores. Por cierto, ¿notó que la VLAN 1 se excluye de cada puerto de LAN? Esto se explicará en la sección Mejor práctica para la VLAN predeterminada 1.

Preguntas Frecuentes

¿Por qué una VLAN se deja sin etiquetar cuando es la única VLAN en ese puerto?

Dado que solo hay una VLAN asignada en un puerto de acceso, el tráfico saliente del puerto se envía sin ninguna etiqueta de VLAN en los marcos. Cuando el marco llegue al puerto de switch (tráfico entrante), el switch agregará la etiqueta de VLAN. 

¿Por qué se etiquetan las VLAN cuando son parte de un enlace troncal?

Esto se hace para que el tráfico que pasa no se envíe a la VLAN incorrecta en ese puerto. Las VLAN comparten ese puerto. Es similar a los números de departamento que se agregan a una dirección para asegurarse de que el correo llegue al departamento correcto dentro de ese edificio compartido.

¿Por qué el tráfico se deja sin etiquetar cuando es parte de la VLAN nativa? 

Una VLAN nativa es una forma de transportar tráfico sin etiquetar a través de uno o más switches. El switch asigna cualquier marco sin etiquetar que llega en un puerto etiquetado a la VLAN nativa. Si un marco en la VLAN nativa deja un puerto de enlace troncal (etiquetado), el switch elimina la etiqueta de la VLAN.

¿Por qué se excluyen las VLAN cuando no están en ese puerto?

Esto mantiene el tráfico en ese enlace troncal solo para las VLAN que el usuario desea específicamente. Se considera una mejor práctica.

Mejor práctica n.º 2: VLAN 1 predeterminada y puertos no utilizados

Todos los puertos deben estar asignados a una o más de una VLAN, incluida la VLAN nativa. Los routers de Cisco Business incluyen la VLAN 1 asignada a todos los puertos de manera predeterminada.

Una VLAN de administración es la VLAN que se usa para administrar, controlar y monitorear de forma remota los dispositivos de su red mediante Telnet, SSH, SNMP, syslog o FindIT de Cisco. De forma predeterminada, también es VLAN 1. Una buena práctica de seguridad consiste en separar el tráfico de datos de usuarios y de administración. Por lo tanto, se recomienda que, al configurar las VLAN, utilice la VLAN 1 solo con fines de administración.

Para comunicarse de manera remota con un switch Cisco con fines de administración, el switch debe tener una dirección IP configurada en la VLAN de administración. Los usuarios de otras VLAN no podrían establecer sesiones de acceso remoto al switch, a menos que se enrutaran a la VLAN de administración, lo que proporciona una capa adicional de seguridad. Además, el switch debe configurarse con el fin de aceptar solo sesiones SSH cifradas para administración remota. Para leer algunos debates sobre este tema, haga clic en los siguientes enlaces en el sitio web de la Comunidad de Cisco:

Preguntas Frecuentes

¿Por qué no se recomienda la VLAN 1 predeterminada para segmentar virtualmente la red?

La razón principal es que los actores hostiles saben que la VLAN 1 es la predeterminada y de uso frecuente. Pueden usarla para obtener acceso a otras VLAN a través de “saltos de VLAN”. Como su nombre lo indica, el agente hostil puede enviar tráfico falsificado haciéndose pasar por VLAN 1, lo que permite el acceso a los puertos de enlace troncal y, por lo tanto, a otras VLAN.

¿Puedo dejar un puerto no utilizado asignado a la VLAN 1 predeterminada?

Para mantener la red segura, en realidad no debería. Se recomienda configurar todos esos puertos para que se asocien a VLAN que no sean la VLAN 1 predeterminada.

No quiero asignar ninguna de mis VLAN de producción a un puerto no utilizado. ¿Qué puedo hacer?

Se recomienda crear una VLAN “sin salida” siguiendo las instrucciones de la siguiente sección de este artículo.

Mejor práctica n.º 3: crear una VLAN “sin salida” para los puertos no utilizados

Paso 1. Navegue hasta LAN > VLAN Settings.

Elija cualquier número aleatorio para la VLAN. Asegúrese de que esta VLAN no tenga habilitado el protocolo de configuración dinámica de hosts (DHCP), routing entre VLAN o administración de dispositivos. Esto mantiene las otras VLAN más seguras. Coloque el puerto de LAN no utilizado en esta VLAN. En el siguiente ejemplo, se creó VLAN 777 y se asignó a LAN5. Esto debe hacerse con todos los puertos LAN no utilizados.

Observe que las otras VLAN se excluyen de este puerto de LAN.

Paso 2. Haga clic en el botón Aplicar para guardar los cambios de configuración que ha realizado.

Mejor práctica n.º 4: teléfonos IP en una VLAN

El tráfico de voz tiene requisitos estrictos de calidad de servicio (QoS). Si su empresa tiene computadoras y teléfonos IP en la misma VLAN, cada uno intenta usar el ancho de banda disponible sin considerar el otro dispositivo. Para evitar este conflicto, es una buena práctica utilizar VLAN independientes para el tráfico de voz y de datos de telefonía IP. Para obtener más información sobre esta configuración, consulte los siguientes artículos y videos:

Mejor práctica n.º 5: routing entre VLAN

Las VLAN están configuradas para que el tráfico pueda estar separado, pero a veces se necesita que las VLAN puedan enrutarse entre sí. Este es el routing entre VLAN y, por lo general, no se recomienda. Si esto es una necesidad para su empresa, configúrela de la manera más segura posible. Cuando utilice routing entre VLAN, asegúrese de restringir el tráfico mediante listas de control de acceso (ACL) a los servidores que contienen información confidencial.

Las ACL realizan el filtrado de paquetes para controlar el movimiento de paquetes a través de una red. El filtrado de paquetes proporciona seguridad al limitar el acceso del tráfico a una red, restringir el acceso de usuarios y dispositivos a una red y evitar que el tráfico salga de la red. Las listas de acceso IP reducen la posibilidad de suplantación de identidad (spoofing) y ataques de denegación de servicio, y permiten el acceso dinámico y temporal de los usuarios a través de un firewall.

Conclusión

Listo, ahora conoce algunas mejores prácticas para configurar VLAN seguras. Tenga en cuenta estos consejos al configurar las VLAN para su red. A continuación, se enumeran algunos artículos que tienen instrucciones paso a paso. Esto lo ayudará a seguir avanzando hacia una red productiva y eficiente adecuada para su empresa.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
27-Jan-2020
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco