O objetivo deste artigo é explicar os conceitos e as etapas para executar as práticas recomendadas e dicas de segurança ao configurar VLANs em equipamentos Cisco Business.
Deseja tornar a rede da empresa mais eficiente e, ao mesmo tempo, mantê-la segura? Uma das maneiras de fazer isso é configurar redes locais virtuais (VLANs).
Uma VLAN é um grupo lógico de locais de trabalho, servidores e dispositivos de rede que parecem estar na mesma rede de área local (LAN), apesar da distribuição geográfica. Resumindo, o hardware nas mesmas VLANs permite que o tráfego entre os equipamentos seja separado e mais seguro.
Por exemplo, você pode ter um departamento de engenharia, marketing e contabilidade. Cada departamento tem funcionários em andares diferentes do prédio, mas eles ainda precisam acessar e comunicar informações dentro do próprio departamento. É essencial para compartilhar documentos e serviços da Web.
As VLANs precisam ser configuradas com as melhores práticas para manter a rede segura. Faça as seguintes escolhas inteligentes ao configurar VLANs. Você não vai se arrepender!
Porta de acesso: Uma porta de acesso transporta o tráfego para apenas uma VLAN. As portas de acesso são geralmente chamadas de porta não marcada, pois há apenas uma VLAN nessa porta e o tráfego pode ser transmitido sem marcas.
Porta de tronco: Uma porta em um switch que transporta tráfego para mais de uma VLAN. As portas de tronco são frequentemente chamadas de portas marcadas, pois há mais de uma VLAN nessa porta e o tráfego para todas as VLANs, exceto uma, precisa ser marcado.
VLAN nativo: A única VLAN em uma porta de tronco que não recebe uma marca. Qualquer tráfego que não tenha marca será enviado para a VLAN nativa. É por isso que os dois lados de um tronco precisam ter a mesma VLAN nativa, ou o tráfego não irá para o local correto.
Para defini-las corretamente, navegue até LAN > VLAN Settings. Selecione VLAN IDs e clique no ícone de edição. Selecione o menu suspenso em qualquer uma das interfaces de LAN para VLANs listadas para editar a marcação de VLAN. Clique em Apply.
Confira este exemplo de cada VLAN atribuída à sua própria porta LAN:
Confira este exemplo de várias VLANs que estão em portas de tronco. Para defini-las corretamente, selecione as IDs de VLAN que precisam ser editadas. Clique no ícone de edição. Altere-as de acordo com a necessidade, seguindo as recomendações acima. A propósito, você percebeu que a VLAN 1 foi excluída de todas as portas LAN? Isso será explicado na seção Melhores práticas para VLAN 1 padrão.
Por que uma VLAN fica sem marca quando é a única VLAN nessa porta?
Como há apenas uma VLAN atribuída em uma porta de acesso, o tráfego de saída da porta é enviado sem qualquer marca de VLAN nos quadros. Quando o quadro atingir a porta do switch (tráfego de entrada), o switch adicionará a marca de VLAN.
Por que as VLANs são marcadas quando fazem parte de um tronco?
Isso é feito para que o tráfego que passa não seja enviado para a VLAN errada nessa porta. As VLANs estão compartilhando essa porta. Semelhante aos números de apartamento adicionados a um endereço, para garantir que a correspondência vá para o apartamento correto dentro desse prédio compartilhado.
Por que o tráfego é deixado sem marcação quando faz parte da VLAN nativa?
Uma VLAN nativa é uma forma de transportar tráfego não marcado em um ou mais switches. O switch atribui qualquer quadro não marcado que chegue em uma porta marcada à VLAN nativa. Se um quadro na VLAN nativa deixa uma porta de tronco (marcada), o switch remove a marca da VLAN.
Por que as VLANs são excluídas quando não estão nessa porta?
Isso mantém o tráfego nesse tronco apenas para as VLANs que o usuário deseja especificamente. É considerada uma melhor prática.
Todas as portas precisam ser atribuídas a uma ou mais VLAN, incluindo a VLAN nativa. Os roteadores Cisco Business vêm com VLAN 1 atribuída a todas as portas por padrão.
Uma VLAN de gerenciamento é a VLAN usada para gerenciar, controlar e monitorar remotamente os dispositivos na rede usando Telnet, SSH, SNMP, syslog ou FindIT da Cisco. Por padrão, essa também é a VLAN 1. Uma boa prática de segurança é separar o tráfego de dados de gerenciamento e de usuário. Portanto, é recomendável que, ao configurar VLANs, você use a VLAN 1 apenas para fins de gerenciamento.
Para se comunicar remotamente com um switch Cisco para fins de gerenciamento, ele deve ter um endereço IP configurado na VLAN de gerenciamento. Os usuários em outras VLANs não poderiam estabelecer sessões de acesso remoto ao switch, a menos que fossem roteados para a VLAN de gerenciamento, fornecendo uma camada adicional de segurança. Além disso, o switch deve ser configurado para aceitar apenas sessões SSH criptografadas para gerenciamento remoto. Para ler algumas discussões sobre este tópico, clique nos seguintes links no site da Comunidade da Cisco:
Por que a VLAN 1 padrão não é recomendada para segmentar virtualmente a rede?
O principal motivo é que os agentes hostis sabem que a VLAN 1 é o padrão e usado com frequência. Eles podem usá-lo para obter acesso a outras VLANs por meio de "saltos de VLAN". Como o nome indica, o agente hostil pode enviar tráfego falso que se apresenta como VLAN 1, que permite o acesso a portas de tronco e, portanto, a outras VLANs.
Posso deixar uma porta não utilizada atribuída à VLAN 1 padrão?
Para manter a rede segura, você não deve fazer isso. É recomendável configurar todas essas portas para serem associadas a VLANs diferentes da VLAN 1 padrão.
Não quero atribuir minhas VLANs de produção a uma porta não utilizada. O que eu posso fazer?
É recomendável que você crie uma VLAN "sem saída" seguindo as instruções na próxima seção deste artigo.
Etapa 1. Navegue até LAN > Configurações de VLAN.
Escolha qualquer número aleatório para a VLAN. Certifique-se de que esta VLAN não tenha DHCP, roteamento entre VLANs ou gerenciamento de dispositivos ativado. Isso mantém as outras VLANs mais seguras. Coloque qualquer porta LAN não utilizada nesta VLAN. No exemplo abaixo, a VLAN 777 foi criada e atribuída à LAN5. Isso deve ser feito com todas as portas LAN não utilizadas.
Etapa 2. Clique no botão Apply para salvar as alterações de configuração feitas.
O tráfego de voz tem requisitos rigorosos de qualidade de serviço (QoS). Se a empresa tiver computadores e telefones IP na mesma VLAN, cada um tentará usar a largura de banda disponível sem considerar o outro dispositivo. Para evitar esse conflito, é recomendável usar VLANs separadas para o tráfego de voz e de dados de telefonia IP. Para saber mais sobre essa configuração, verifique os seguintes artigos e vídeos:
As VLANs são configuradas para que o tráfego possa ser separado; mas, às vezes, você precisa de VLANs para rotear entre si. Esse é o roteamento entre VLANs e normalmente não é recomendado. Se essa for uma necessidade da sua empresa, configure-a da forma mais segura possível. Ao usar o roteamento entre VLANs, certifique-se de restringir o tráfego usando listas de controle de acesso (ACLs) para servidores que contêm informações confidenciais.
As ACLs realizam a filtragem de pacotes para controlar o movimento de pacotes em uma rede. A filtragem de pacotes fornece segurança ao limitar o acesso do tráfego em uma rede, restringindo o acesso de usuários e dispositivos a uma rede e impedindo que o tráfego saia de uma rede. As listas de acesso IP reduzem a chance de ataques de spoofing e negação de serviço e permitem o acesso de usuário dinâmico e temporário por meio de um firewall.
Agora, você conhece algumas melhores práticas para configurar VLANs seguras. Lembre-se dessas dicas ao configurar VLANs para a rede. Abaixo estão alguns artigos que têm instruções detalhadas. Isso fará com que você continue a ter uma rede produtiva e eficiente que seja ideal para a empresa.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
27-Jan-2020
|
Versão inicial |