Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Melhores prática VLAN e pontas da Segurança para roteadores de negócios de Cisco

Opções de download

  • PDF     (696.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (617.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (423.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de Janeiro de 2020
ID do documento:1580148576950702
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Objetivo

O objetivo deste artigo é explicar os conceitos e as etapas para executar melhores prática e pontas da Segurança ao configurar VLAN no equipamento do negócio de Cisco.

Sumário

Introdução

Queira fazer seus mais eficiente da rede de negócio ao mantê-los seguros? Uma das maneiras de fazer isto é estabelecer corretamente as redes de área local virtual (VLAN).

Um VLAN é um grupo lógico de estações de trabalho, server, e dispositivos de rede que parecem estar na mesma rede de área local (LAN) apesar de sua distribuição geográfica. Em resumo, o hardware nos mesmos VLAN permite o tráfego entre o equipamento de ser separado e mais seguro.

Por exemplo, você pôde ter um departamento da engenharia, do mercado, e de contabilidade. Cada departamento tem trabalhadores em assoalhos diferentes da construção, mas ainda precisam de alcançar e comunicar a informação dentro de seu próprio departamento. É essencial para compartilhar de documentos e de serviços de Web.

Os VLAN precisam de estabelecer-se com melhores prática a fim manter sua rede segura. Faça as seguintes escolhas espertas ao estabelecer VLAN. Você não a lamentará!

Dispositivos aplicáveis

  • RV042
  • RV110W
  • RV130
  • RV132
  • RV134W
  • RV160W
  • RV215W
  • RV260
  • RV260P
  • RV260W
  • RV320
  • RV325
  • RV340
  • RV340W
  • RV345
  • RV345P

Você pôde ser interessado saber que o Roteadores RV160 ou de RV260 Series pode levar até 16 VLAN, quando o Roteadores do RV34x Series puder levar até 32 VLAN. O RV320 apoia até 7 VLAN. Se você gostaria de saber quantos VLAN seu roteador pode levar, verifique a folha de dados para ver se há seu modelo específico na site da Cisco na Web. Selecione o apoio e entre em seu número de modelo ou faça simplesmente uma busca para a folha de dados e o número de modelo.

Algum vocabulário rápido para os Newbies

Porta de acesso: Uma porta de acesso leva o tráfego para somente um VLAN. As portas de acesso são referidas frequentemente como uma porta do sem etiqueta, desde que há somente um VLAN nessa porta e o tráfego pode ser passado sem etiquetas.

Porta de tronco: Uma porta em um interruptor que leve o tráfego para mais de um VLAN. As portas de tronco são referidas frequentemente como portas etiquetadas desde que há mais de um VLAN nesses porta e tráfego para tudo com exceção de uma necessidade VLAN de ser etiquetado.

VLAN nativo: O um VLAN em uma porta de tronco que não receba uma etiqueta. Todo o tráfego que não tiver uma etiqueta será enviado ao VLAN nativo. É por isso ambos os lados de uma necessidade do tronco de certificar-se dos têm o mesmo VLAN nativo ou o tráfego não irá ao lugar correto.

Melhor prática #1 - Atribuição da porta VLAN

Princípios da atribuição de porta

  • Cada porta de LAN pode ser ajustada para ser uma porta de acesso ou uma porta de tronco.
  • Os VLAN que você não quer no tronco devem ser excluídos.
  • Um VLAN pode ser colocado em mais de uma porta.

Configurando portas de acesso

  • Um VLAN atribuído em uma porta de LAN
  • O VLAN que é atribuído esta porta deve ser etiquetado sem etiqueta
  • Todos VLAN restantes devem ser etiquetados excluídos para essa porta

Para ajustar corretamente estes, navegue a LAN > configurações de vlan. Selecione o VLAN ID e clique-o editam sobre o ícone. Selecione o menu suspenso para algumas das interfaces de LAN para os VLAN alistados para editar a colocação de etiquetas VLAN. Clique em Apply.

Verifique para fora este exemplo de cada VLAN atribuiu sua própria porta de LAN:

Esta imagem da interface gráfica de usuário (GUI) foi tomada de um roteador RV260W. Suas opções podem parecer levemente diferentes. Por exemplo, no RV34x Series, o sem etiqueta das etiquetas, excluído, e etiquetado é abreviado apenas à primeira letra. O processo é ainda o mesmo.

Configurando portas de tronco

  • Dois ou mais portas de LAN da parte uma VLAN
  • Um dos VLAN pode ser etiquetado sem etiqueta.
  • O resto dos VLAN que são parte da porta de tronco deve ser etiquetado etiquetado.
  • Os VLAN que não são parte da porta de tronco devem ser etiquetados excluídos para essa porta.

Olhe este exemplo dos vários VLAN que são todos em portas de tronco. Para ajustar corretamente estes, selecione o VLAN ID que precisam de ser editadas. Clique sobre o ícone da edição. Mude-os baseou em suas necessidades, seguindo as recomendações acima. A propósito, você observou que o VLAN1 está excluído de cada porta de LAN? Isto será explicado na seção, melhor prática para o VLAN padrão 1.

Perguntas mais freqüentes

Por que é um VLAN sem etiqueta deixado quando é o único VLAN nessa porta?

Desde que há apenas um VLAN atribuído em uma porta de acesso, o tráfego de saída da porta é enviado sem nenhuma etiqueta VLAN nos quadros. Quando o quadro alcançar a porta de switch (tráfego de entrada), o interruptor adicionará a etiqueta VLAN. 

Por que os VLAN são etiquetados quando são parte de um tronco?

Isto é feito de modo que o tráfego que passa não obtenha enviado ao VLAN errado nessa porta. Os VLAN estão compartilhando dessa porta. Similar aos números do apartamento adicionados a um endereço para certificar-se do correio vai ao apartamento correto dentro daquele construção compartilhada.

Por que é o tráfego sem etiqueta deixado quando é parte do VLAN nativo? 

Um VLAN nativo é uma maneira de levar o tráfego sem etiqueta através de um ou vário Switches. O interruptor atribui todo o frame sem etiqueta que chegar em uma porta etiquetada ao VLAN nativo. Se um quadro no VLAN nativo sae de uma porta do tronco (etiquetado), o interruptor descasca a etiqueta VLAN para fora.

Por que os VLAN são excluídos quando não estão nessa porta?

Isto mantém o tráfego nesse tronco somente para os VLAN que o usuário quer especificamente. Considera-se um melhor prática.

Melhor prática #2 - VLAN padrão 1 e portas não utilizadas

Todas as portas precisam de ser atribuídas a uns ou vários do que um VLAN, incluindo o VLAN nativo. Os roteadores de negócios de Cisco vêm com o VLAN1 atribuído a todas as portas à revelia.

Um VLAN de gerenciamento é o VLAN que é usado para controlar, controlar, e monitorar remotamente os dispositivos em você rede usando o telnet, o SSH, o SNMP, o Syslog, ou o FindIT de Cisco. À revelia, este é igualmente VLAN1. Uma boa prática da Segurança é separar o Gerenciamento e o tráfego de dados do usuário. Consequentemente, recomenda-se que quando você configura VLAN, você usa o VLAN1 para propósitos do gerenciamento somente.

Para comunicar-se remotamente com um switch Cisco para propósitos do gerenciamento, o interruptor deve ter um endereço IP de Um ou Mais Servidores Cisco ICM NT configurado no VLAN de gerenciamento. Os usuários em outros VLAN não poderiam estabelecer sessões de acesso remota ao interruptor a menos que fossem distribuídos no VLAN de gerenciamento, fornecendo uma camada adicional de Segurança. Também, o interruptor deve ser configurado para aceitar somente sessões SSH cifradas para o Gerenciamento remoto. Para ler algumas discussões neste assunto, clique sobre os seguintes links no Web site da comunidade de Cisco:

Perguntas mais freqüentes

Por que é o VLAN padrão 1 virtualmente segmento não recomendado sua rede?

O motivo principal é que os atores hostis sabem que o VLAN1 é o padrão e usado frequentemente. Podem usá-lo para aceder a outros VLAN através “da lupulagem VLAN”. Enquanto o nome implica, o ator hostil pode enviar o tráfego falsificado que levanta como o VLAN1 que permite o acesso às portas de tronco e desse modo aos outros VLAN.

Posso eu sair de uma porta não utilizada atribuída ao VLAN padrão 1?

Para manter sua rede segura, você não deve realmente. Recomenda-se configurar todas aquelas portas a ser associadas com os VLAN diferentes do VLAN padrão 1.

Eu não quero atribuir alguma de minha produção VLAN a uma porta não utilizada. O que eu posso fazer?

Recomenda-se que você cria um VLAN “sem saída” depois das instruções na próxima seção deste artigo.

Melhor prática #3 - Crie um “sem saída” VLAN para portas não utilizadas

Etapa 1. Navegue a LAN > configurações de vlan.

Escolha todo o número aleatório para o VLAN. Seja certo que este VLAN não tem o DHCP, o Roteamento Inter-Vlan, ou o Gerenciamento de dispositivos permitido. Isto mantém os outros VLAN mais seguros. Põe toda a porta de LAN não utilizada sobre este VLAN. No exemplo abaixo, o VLAN 777 foi criado e atribuído a LAN5. Isto deve ser feito com todas as portas de LAN não utilizadas.

Observe que os outros VLAN estão excluídos desta porta de LAN.

Etapa 2. Clique sobre o botão Apply Button para salvar as alterações de configuração que você fez.

Melhor prática #4 - Telefones IP em um VLAN

O tráfego de voz tem exigências estritas do Qualidade de Serviço (QoS). Se sua empresa tem computadores e Telefones IP no mesmo VLAN, cada um tenta usar a largura de banda disponível sem considerar o outro dispositivo. Para evitar este conflito, é boa prática usar VLAN separados para o tráfego de voz e o tráfego de dados da Telefonia IP. Para aprender mais sobre esta configuração, verifique para fora os seguintes artigos e vídeos:

Melhor prática #5 - Roteamento Inter-Vlan

Os VLAN estabelecem-se de modo que o tráfego possa ser separado, mas às vezes você precisa VLAN de poder distribuir entre se. Este é Roteamento Inter-Vlan e não é recomendado tipicamente. Se esta é uma necessidade para sua empresa, configure-a tão firmemente como possível. Ao usar o Roteamento Inter-Vlan, certifique-se restringir o tráfego usando o Access Control Lists (ACLs), aos server que contêm a informação confidencial.

Os ACL executam o filtragem de pacote de informação para controlar o movimento de pacotes através de uma rede. O filtragem de pacote de informação fornece a Segurança limitando o acesso do tráfego em uma rede, em um usuário de limitação e em um acesso de dispositivo a uma rede, e a impedir que o tráfego deixe uma rede. As listas de acesso IP reduzem a possibilidade da falsificação e dos ataques de recusa de serviço, e permitem o acesso de usuário dinâmico, provisório com um Firewall.

Conclusão

Lá você tem-na, agora você conhece alguns melhores prática para estabelecer VLAN seguros. Mantenha estas pontas na mente quando você configura VLAN para sua rede. São alistados abaixo alguns artigos que têm instruções passo a passo. Estes mantê-lo-ão mover-se para uma rede produtiva, eficiente que seja apenas certo para seu negócio.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Discussões relacionadas com comunidade da Cisco

Este documento se refere a estes produtos

Sobre a Cisco
Fale Conosco
Trabalhe Conosco