Listas de Control de Acceso y Vlan-cap Upla-2009

X CAP UPLA

Ing. William Marchand N. 1

LISTAS DE CONTROL DE ACCESO

¿Qué son las ACL?

Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la

interfaz del router. Estas listas le informan al router qué tipo de paquetes aceptar o

rechazar. La aceptación y rechazo se pueden basar en ciertas condiciones específicas.

Las ACL permiten la administración del tráfico y aseguran el acceso hacia y desde una red.

Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el

Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las ACL se pueden configurar en el router para controlar el acceso a una red o subred.

Las ACL filtran el tráfico de red, controlando si los paquetes enrutados se envían o se

bloquean en las interfaces del router. El router examina cada paquete y lo enviará o

lo descartará, según las condiciones especificadas en la ACL. Algunos de los puntos de

decisión de ACL son direcciones origen y destino, protocolos y números de puerto de capa superior.

Las ACL se definen según el protocolo, la dirección o el puerto. Para controlar el

flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado

en la interfaz. Las ACL controlan el tráfico en una dirección por vez, en una interfaz.

Se necesita crear una ACL por separado para cada dirección, una para el tráfico

entrante y otra para el saliente. Finalmente, cada interfaz puede contar con varios

protocolos y direcciones definidas. Si el router tiene dos interfaces configuradas para

IP, AppleTalk e IPX, se necesitan 12 ACLs separadas. Una ACL por cada protocolo,

multiplicada por dos por dirección entrante y saliente, multiplicada por dos por el número de puertos.

Estas son las razones principales para crear las ACL:

Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el

tráfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de

la red y en consecuencia mejorar el rendimiento de la misma.

Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las

actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a

las condiciones de la red, se preserva el ancho de banda.

Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo,

las ACL pueden permitir que un host acceda a una parte de la red y evitar que

otro acceda a la misma área. Por ejemplo, al Host A se le permite el acceso a la

red de Recursos Humanos, y al Host B se le niega el acceso a dicha red.

Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del

router. Permitir que se enrute el tráfico de correo electrónico, pero bloquear

todo el tráfico de telnet.

Permitir que un administrador controle a cuáles áreas de la red puede acceder

un cliente.

Analizar ciertos hosts para permitir o denegar acceso a partes de una red.

Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Si las ACL no están configuradas en el router, todos los paquetes que pasen a través del router tendrán acceso a todas las partes de la red

X CAP UPLA


X CAP UPLA


Funcionamiento de las ACL

Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los

paquetes en interfaces entrantes o salientes. Estas decisiones se toman haciendo

coincidir una sentencia de condición en una lista de acceso y luego realizando la acción de aceptación o rechazo definida en la sentencia.

El orden en el que se ubican las sentencias de la ACL es importante. El software Cisco

IOS verifica si los paquetes cumplen cada sentencia de condición, en orden, desde la

parte superior de la lista hacia abajo. Una vez que se encuentra una coincidencia, se

lleva a cabo la acción de aceptar o rechazar y no se verifican otras sentencias ACL. Si

una sentencia de condición que permite todo el tráfico está ubicada en la parte

superior de la lista, no se verifica ninguna sentencia que esté por debajo.

Si se requieren más cantidad de sentencias de condición en una lista de acceso, se

debe borrar y volver a crear toda la ACL con las nuevas sentencias de condición.

Para que el proceso de revisión de una ACL sea más simple, es una buena idea utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuración del router.

El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o

no. A medida que una trama ingresa a una interfaz, el router verifica si la dirección

de Capa 2 concuerda o si es una trama de broadcast. Si se acepta la dirección de la

trama, la información de la trama se elimina y el router busca una ACL en la interfaz

entrante. Si existe una ACL, entonces se verifica si el paquete cumple o no las

condiciones de la lista. Si el paquete cumple las condiciones, se lleva a cabo la acción

de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo compara

con las entradas de la tabla de enrutamiento para determinar la interfaz destino y

conmutarlo a aquella interfaz. A continuación, el router verifica si la interfaz destino

X CAP UPLA


tiene una ACL. Si existe una ACL, se compara el paquete con las sentencias de la lista

y si el paquete concuerda con una sentencia, se lleva a cabo la aceptación o el rechazo

del paquete. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el

nuevo protocolo de Capa 2 y se envía por la interfaz hacia el dispositivo siguiente.

A manera de revisión, las sentencias de la ACL operan en orden secuencial lógico. Si

se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias

de la ACL no se verifican. Si todas las sentencias ACL no tienen coincidencias, se

coloca una sentencia implícita que dice deny any (denegar cualquiera) en el extremo

de la lista por defecto. Aunque la línea deny any no sea visible como última línea de

una ACL, está ahí y no permitirá que ningún paquete que no coincida con las líneas

anteriores de la ACL sea aceptada. Cuando esté aprendiendo por primera vez cómo

crear una ACL, es una buena práctica agregar el deny any al final de las ACL para reforzar la presencia dinámica de la prohibición implícita deny

Creación de las ACL

Las ACL se crean en el modo de configuración global. Cuando se configuran las ACL en

el router, cada una debe identificarse de forma única. Por ello, se les asigna un

número. Después de crear una lista de acceso, se la debe asignar a la interfaz

correspondiente. Las ACL se asignan a una o más interfaces, y pueden filtrar el tráfico

entrante o saliente con el comando ip access-group. El comando ip access-group

se envía en el modo de configuración de la interfaz. Para asignar una lista de acceso a

una interfaz, se debe definir también la dirección del tráfico que filtrará la lista. El

tráfico que ingresa en una interfaz se filtra mediante una lista de acceso entrante. El

tráfico que sale de una interfaz se filtra mediante una lista de acceso saliente. Para

cambiar una ACL que contiene declaraciones ACL numeradas, se deben borrar todas

las declaraciones en la ACL numerada mediante el comando no access-list[list-

number].

Los pasos para configurar una ACL son los siguientes:

rt1(config)#access-list ?

<1-99> IP standard access list

<100-199> IP extended access list

<1000-1099> IPX SAP access list

<1100-1199> Extended 48-bit MAC address access list

<1200-1299> IPX summary address access list

<1300-1999> IP standard access list (expanded range)

<200-299> Protocol type-code access list

<300-399> DECnet access list

<600-699> Appletalk access list

<700-799> 48-bit MAC address access list

<800-899> IPX standard access list

X CAP UPLA


<900-999> IPX extended access list

<2000-2699> IP extended access list (expanded range)

rate-limit Simple rate-limit specific access list

Las ACL se crean en el modo de configuración global. Existen varias clases diferentes

de ACLs: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL

en el router, cada ACL debe identificarse de forma única, asignándole un número. Este

número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango

específico de números que es válido para ese tipo de lista.

Después de ingresar al modo de comando apropiado y que se decide el número de

tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando

access-list, seguida de los parámetros necesarios. Estando en el modo de comandos

adecuado y definido el tipo de número de lista, el usuario tipea las condiciones usando

el comando access-list seguido de los parámetros apropiados. Este es el primero de

un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada.

En TCP/IP, las ACL se asignan a una o más interfaces y pueden filtrar el tráfico

entrante o saliente, usando el comando ip access-group en el modo de configuración

de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicación

entrante o saliente. Es posible establecer la dirección del filtro para verificar los

paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL

controla el tráfico entrante o saliente, el administrador de red necesita mirar las

interfaces como si se observara desde dentro del router. Este es un concepto muy

importante. Una lista de acceso entrante filtra el tráfico que entra por una interfaz y la

lista de acceso saliente filtra el tráfico que sale por una interfaz. Después de crear una

ACL numerada, se la debe asignar a una interfaz. Una ACL que contiene sentencias

ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla.

Es necesario utilizar estas reglas básicas a la hora de crear y aplicar las listas de

acceso.

Una lista de acceso por protocolo y por dirección.

Se deben aplicar las listas de acceso estándar que se encuentran lo más cerca

posible del destino.

Se deben aplicar las listas de acceso extendidas que se encuentran lo más

cerca posible del origen.

Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando

el puerto desde adentro del router.

Las sentencias se procesan de forma secuencial desde el principio de la lista

hasta el final hasta que se encuentre una concordancia, si no se encuentra

ninguna, se rechaza el paquete.

Hay un deny any (denegar cualquiera)implícito al final de todas las listas de

acceso. Esto no aparece en la lista de configuración.

Las entradas de la lista de acceso deben realizar un filtro desde lo particular a

lo general. Primero se deben denegar hosts específico y por último los grupos o

filtros generales.

Primero se examina la condición de concordancia. El permiso o rechazo se

examina SÓLO si la concordancia es cierta.

Nunca trabaje con una lista de acceso que se utiliza de forma activa.

Utilice el editor de texto para crear comentarios que describan la lógica, luego

complete las sentencias que realizan esa lógica.

X CAP UPLA


Siempre, las líneas nuevas se agregan al final de la lista de acceso. El comando

no access-listx elimina toda la lista. No es posible agregar y quitar líneas de

manera selectiva en las ACL numeradas.

Una lista de acceso IP envía un mensaje ICMP llamado de host fuera de alcance

al emisor del paquete rechazado y descarta el paquete en la papelera de bits.

Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de

acceso se aplica a una interfaz de producción y se la elimina, según sea la

versión de IOS, puede haber una deny any (denegar cualquiera) por defecto

aplicada a la interfaz, y se detiene todo el tráfico. Los filtros salientes no afectan al tráfico que se origina en el router local

Función de la máscara wildcard

Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Una

máscara wildcard se compara con una dirección IP. Los números uno y cero en la

máscara se usan para identificar cómo tratar los bits de la dirección IP

correspondientes. El término máscara wildcard es la denominación aplicada al proceso

de comparación de bits de máscara y proviene de una analogía con el "wildcard"

(comodín) que equivale a cualquier otro naipe en un juego de póquer. Las máscaras

wildcard no guardan relación funcional con las máscaras de subred. Se utilizan con

distintos propósitos y siguen distintas reglas. Las máscaras de subred y las máscaras

de wildcard representan dos cosas distintas al compararse con una dirección IP. Las

máscaras de subred usan unos y ceros binarios para identificar las porciones de red,

de subred y de host de una dirección IP. Las máscaras de wildcard usan unos y ceros

binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando

el acceso a recursos según el valor de las mismas. La única similitud entre la máscara

wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros.

Para evitar la confusión, se substituirán las X por 1 en los gráficos de máscaras

wildcard. La máscara se escribe como 0.0.255.255. Un cero significa que se deje pasar

el valor para verificarlo. Las X (1) significan impedir que se compare el valor.

Durante el proceso de máscara wildcard, la dirección IP en la sentencia de la lista de

acceso tiene la máscara wildcard aplicada a ella. Esto crea el valor de concordancia,

que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un

paquete o enviarlo a la próxima sentencia para que se lo verifique. La segunda parte

del proceso de ACL consiste en que toda dirección IP que una sentencia ACL en

particular verifica, tiene la máscara wildcard de esa sentencia aplicada a ella. El

resultado de la dirección IP y de la máscara debe ser igual al valor de concordancia de la ACL ACL

Hay dos palabras clave especiales que se utilizan en las ACL, las opciones any y host.

Para explicarlo de forma sencilla, la opción any reemplaza la dirección IP con 0.0.0.0 y

la máscara wildcard por 255.255.255.255. Esta opción concuerda con cualquier

dirección con la que se la compare. La máscara 0.0.0.0 reemplaza la opción host.

Esta máscara necesita todos los bits de la dirección ACL y la concordancia de dirección del paquete. Esta opción sólo concuerda con una dirección

X CAP UPLA


Verificación de las ACL

Existen varios comandos show que verifican el contenido y ubicación de las ACL en el

router.

El comando show ip interface muestra información de la interfaz IP e indica si se ha

establecido alguna ACL. El comando show access-lists muestra el contenido de

todas las ACL en el router. Para ver una lista específica, agregue el nombre o

número ACL como opción a este comando. El comando show running-config

también revela las listas de acceso en el router y la información de asignación de interfaz.

Estos comandos show verifican los contenidos y ubicación de las listas. También se

recomienda verificar las listas de acceso usando tráfico de ejemplo para asegurarse

que la lógica de la lista de acceso sea correcta.

X CAP UPLA


ACL estándar

Las ACL estándar verifican la dirección origen de los paquetes IP que se deben

enrutar. Con la comparación se permite o rechaza el acceso a todo un conjunto de

protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los

paquetes que vienen en Fa0/0 para establecer la dirección origen y el protocolo. Si se

les otorga el permiso, los paquetes se enrutan a través del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante.

En la versión 12.0.1 del IOS de Cisco, se usaron por primera vez números adicionales

(1300 al 1999) para las ACLs estándar pudiendo así proveer un máximo posible de

798 ACLs estándar adicionales, a las cuales se les conoce como ACLs IP expandidas.

(también entre 1300 y 1999 en IOS recientes) En la primera sentencia ACL, cabe

notar que no hay máscara wildcard. En este caso donde no se ve ninguna lista, se

utiliza la máscara por defecto, que es la 0.0.0.0. Esto significa que toda la dirección

debe concordar o que esta línea en la ACL no aplica y el router debe buscar una concordancia en la línea siguiente de la ACL.

La sintaxis completa del comando ACL estándar es:

Router(config)#access-listaccess-list-number {deny | permit | remark} source

[source-wildcard ] [log]

El uso de remark facilita el entendimiento de la lista de acceso. Cada remark está

limitado a 100 caracteres. Por ejemplo, no es suficientemente claro cual es el

propósito del siguiente comando:

access-list 1 permit 171.69.2.88

X CAP UPLA


Es mucho mas fácil leer un comentario acerca de un comando para entender sus

efectos, así como sigue:

access-list 1 remark Permit only Jones workstation through

access-list 1 permit 171.69.2.88

La forma no de este comando se utiliza para eliminar una ACL estándar. Ésta es la

sintaxis:

Router(config)#no access-listaccess-list-number

El comando ip access-group relaciona una ACL existente a una interface:

Router(config)#ip access-group {access-list-number | access-list-name} {in | out}

La tabla muestra descripciones de los parámetros utilizados en esta sintaxis

X CAP UPLA


ACL extendidas

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque

ofrecen un mayor control. Las ACL extendidas verifican las direcciones de paquetes de

origen y destino, y también los protocolos y números de puerto. Esto ofrece mayor

flexibilidad para establecer qué verifica la ACL. Se puede permitir o rechazar el acceso

de los paquetes según el lugar donde se originó el paquete y su destino así como el

tipo de protocolo y direcciones de puerto. Una ACL extendida puede permitir el tráfico

de correo electrónico de Fa0/0 a destinos específicos S0/0, al mismo tiempo que

deniega la transferencia de archivos y la navegación en la red. Una vez descartados

los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

Es posible configurar múltiples sentencias en una sola ACL. Cada una de estas

sentencias debe tener el mismo número de lista de acceso, para poder relacionar las

sentencias con la misma ACL. Puede haber tanta cantidad de sentencias de condición

como sean necesarias, siendo la única limitación la memoria disponible en el router.

Por cierto, cuantas más sentencias se establezcan, mayor será la dificultad para comprender y administrar la ACL.

La sintaxis de una sentencia ACL extendida puede ser muy extensa y a menudo, se

vuelve engorrosa en la ventana terminal. Las wildcards también tienen la opción de

utilizar las palabras clave host o any en el comando.

Al final de la sentencia de la ACL extendida, se obtiene más precisión con un campo

que especifica el Protocolo para el control de la transmisión (TCP) o el número de

puerto del Protocolo de datagrama del usuario (UDP). Las operaciones lógicas pueden

especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a (lt) aquéllas que

efectuarán las ACL extendidas en protocolos específicos. Las ACL extendidas utilizan el

X CAP UPLA


número de lista de acceso entre 100 y 199 (también entre 2000 y 2699 en IOS recientes).

El comando ip access-group enlaza una ACL extendida existente a una interfaz.

Recuerde que sólo se permite una ACL por interfaz por protocolo por dirección. El

formato del comando es:

Router(config-if)#ip access-group access-list-number {in | out}

Ubicación de las ACL

Las ACL se utilizan para controlar el tráfico, filtrando paquetes y eliminando el tráfico

no deseado de la red. Otra consideración importante a tener en cuenta al implementar

la ACL es dónde se ubica la lista de acceso. Si las ACL se colocan en el lugar correcto,

no sólo es posible filtrar el tráfico sino también toda la red se hace más eficiente. Si se

tiene que filtrar el tráfico, la ACL se debe colocar en un lugar donde mejore la eficiencia de forma significativa.

En la figura el administrador quiere denegar el tráfico telnet o FTP del segmento LAN

Ethernet del Router A al segmento LAN Ethernet conmutado Fa0/1 en el Router D, y al

mismo tiempo permitir otros tipos de tráfico. Hay varias maneras de cumplir con esta

política. La recomendación es utilizar ACL extendida, especificando las direcciones

origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes

no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los

Routers B y C, y no entran al Router D. El tráfico con direcciones de origen y destino diferentes todavía puede permitirse.

La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico

denegado. Las ACL estándar no especifican las direcciones destino, de modo que se

deben colocar lo más cerca posible del destino. Por ejemplo, una ACL estándar se debe colocar en Fa0/0 del Router D para evitar el tráfico desde el Router A.

X CAP UPLA


Un administrador solo puede colocar una lista de acceso en el dispositivo que controla.

De este modo, la ubicación de la lista de acceso se determina según hasta dónde se extienda el control del administrador de la red

X CAP UPLA


LAN VIRTUALES

Introducción a las VLAN

Una VLAN es una agrupación lógica de estaciones, servicios y dispositivos de red que

no se limita a un segmento de LAN físico.

Las VLAN facilitan la administración de grupos lógicos de estaciones y servidores que

se pueden comunicar como si estuviesen en el mismo segmento físico de LAN.

También facilitan la administración de mudanzas, adiciones y cambios en los miembros de esos grupos.

Las VLAN segmentan de manera lógica las redes conmutadas según las funciones

laborales, departamentos o equipos de proyectos, sin importar la ubicación física de

los usuarios o las conexiones físicas a la red. Todas las estaciones de trabajo y

servidores utilizados por un grupo de trabajo en particular comparten la misma VLAN, sin importar la conexión física o la ubicación.

La configuración o reconfiguración de las VLAN se logra mediante el software. Por lo

tanto, la configuración de las VLAN no requiere que los equipos de red se trasladen o

conecten físicamente. Una estación de trabajo en un grupo de VLAN se limita a

comunicarse con los servidores de archivo en el mismo grupo de VLAN. Las VLAN

segmentan de forma lógica la red en diferentes dominios de broadcast, de manera tal

que los paquetes sólo se conmutan entre puertos y se asignan a la misma VLAN. Las

VLAN se componen de hosts o equipos de red conectados mediante un único dominio

de puenteo. El dominio de puenteo se admite en diferentes equipos de red. Los

switches de LAN operan protocolos de puenteo con un grupo de puente separado para

cada VLAN.

Las VLAN se crean para brindar servicios de segmentación proporcionados

tradicionalmente por routers físicos en las configuraciones de LAN. Las VLAN se

ocupan de la escalabilidad, seguridad y gestión de red. Los routers en las topologías

de VLAN proporcionan filtrado de broadcast, seguridad y gestión de flujo de tráfico.

Los switches no puentean ningún tráfico entre VLAN, dado que esto viola la integridad del dominio de broadcast de las VLAN. El tráfico sólo debe enrutarse entre VLAN.

X CAP UPLA


Dominios de broadcast con VLAN y routers

Una VLAN es un dominio de broadcast que se crea en uno o más switches. El diseño

de red en las Figuras y requiere de tres dominios de broadcast separados.

La Figura muestra como los tres dominios de broadcast se crean usando tres

switches. El enrutamiento de capa 3 permite que el router mande los paquetes a tres dominios de broadcast diferentes.

En la Figura , se crea una VLAN con un router y un switch. Existen tres dominios de

broadcast separados. El router enruta el tráfico entre las VLAN mediante enrutamiento

de Capa 3. El switch en la Figura envía tramas a las interfaces del router cuando se presentan ciertas circunstancias:

Si es una trama de broadcast Si está en la ruta a una de las direcciones MAC del router

Si la Estación de Trabajo 1 de la VLAN de Ingeniería desea enviar tramas a la Estación

de Trabajo 2 en la VLAN de Ventas, las tramas se envían a la dirección MAC Fa0/0 del

router. El enrutamiento se produce a través de la dirección IP de la interfaz del router Fa0/0 para la VLAN de Ingeniería.

Si la Estación de Trabajo 1 de la VLAN de Ingeniería desea enviar una trama a la

Estación de Trabajo 2 de la misma VLAN, la dirección MAC de destino de la trama es la de la Estación de Trabajo 2.

La implementación de VLAN en un switch hace que se produzcan ciertas acciones:

El switch mantiene una tabla de puenteo separada para cada VLAN.

X CAP UPLA


Si la trama entra en un puerto en la VLAN 1, el switch busca la tabla de

puenteo para la VLAN 1.

Cuando se recibe la trama, el switch agrega la dirección origen a la tabla de

puenteo si es desconocida en el momento.

Se verifica el destino para que se pueda tomar una decisión de envío.

Para aprender y enviar se realiza la búsqueda en la tabla de direcciones para esa VLAN solamente

X CAP UPLA


X CAP UPLA


Operación de las VLAN

Una VLAN se compone de una red conmutada que se encuentra lógicamente

segmentada. Cada puerto de switch se puede asignar a una VLAN. Los puertos

asignados a la misma VLAN comparten broadcasts. Los puertos que no pertenecen a

esa VLAN no comparten esos broadcasts. Esto mejora el desempeño de la red porque

se reducen los broadcasts innecesarios. Las VLAN de asociación estática se denominan

VLAN de asociación de puerto central y basadas en puerto. Cuando un dispositivo

entra a la red, da por sentado automáticamente que la VLAN está asociada con el

puerto al que se conecta.

Los usuarios conectados al mismo segmento compartido comparten el ancho de banda

de ese segmento. Cada usuario adicional conectado al medio compartido significa que

el ancho de banda es menor y que se deteriora el desempeño de la red. Las VLAN

ofrecen mayor ancho de banda a los usuarios que una red Ethernet compartida basada

en hubs. La VLAN por defecto para cada puerto del switch es la VLAN de

administración. La VLAN de administración siempre es la VLAN 1 y no se puede borrar.

Por lo menos un puerto debe asignarse a la VLAN 1 para poder gestionar el switch.

Todos los demás puertos en el switch pueden reasignarse a VLAN alternadas.

Las VLAN de asociación dinámica son creadas mediante software de administración de

red. Se usa CiscoWorks 2000 o CiscoWorks for Switched Internetworks para crear las

VLAN dinámicas. Las VLAN dinámicas permiten la asociación basada en la dirección

MAC del dispositivo conectado al puerto de switch. Cuando un dispositivo entra a la

red, el switch al que está conectado consulta una base de datos en el Servidor de Configuración de VLAN para la asociación de VLAN.

En la asociación de VLAN de puerto central basada en puerto, el puerto se asigna a

una asociación de VLAN específica independiente del usuario o sistema conectado al

puerto. Al utilizar este método de asociación, todos los usuarios del mismo puerto

deben estar en la misma VLAN. Un solo usuario, o varios usuarios pueden estar

conectados a un puerto y no darse nunca cuenta de que existe una VLAN.

Este método es fácil de manejar porque no se requieren tablas de búsqueda complejas

para la segmentación de VLAN.

Los administradores de red son responsables por configurar las VLAN de forma

estática y dinámica.

Los puentes filtran el tráfico que no necesita ir a los segmentos, salvo el segmento

destino. Si una trama necesita atravesar un puente y la dirección MAC destino es

conocida, el puente sólo envía la trama al puerto de puente correcto. Si la dirección

MAC es desconocida, inunda la trama a todos los puertos en el dominio de broadcast,

o la VLAN, salvo el puerto origen donde se recibió la trama. Los switches se consideran como puentes multipuerto.

X CAP UPLA


X CAP UPLA


Ventajas de las VLAN

Las VLAN permiten que los administradores de red organicen las LAN de forma lógica

en lugar de física. Ésta es una ventaja clave. Esto permite que los administradores de red realicen varias tareas:

Trasladar fácilmente las estaciones de trabajo en la LAN

Agregar fácilmente estaciones de trabajo a la LAN

Cambiar fácilmente la configuración de la LAN

Controlar fácilmente el tráfico de red Mejorar la seguridad

Configuración de VLAN estáticas

Las VLAN estáticas son puertos en un switch que se asignan manualmente a una

VLAN. Esto se hace con una aplicación de administración de VLAN o configurarse

directamente en el switch mediante la CLI. Estos puertos mantienen su configuración

de VLAN asignada hasta que se cambien manualmente. Este tipo de VLAN funciona bien en las redes que tienen requisitos específicos:

Todos los movimientos son controlados y gestionados.

Existe un software sólido de gestión de VLAN para configurar los puertos.

El gasto adicional requerido para mantener direcciones MAC de estación final y

tablas de filtrado personalizadas no es aceptable.

Las VLAN dinámicas no se basan en puertos asignados a una VLAN específica.

X CAP UPLA


Para configurar las VLAN en los switches serie Cisco 2900, se deben aplicar pautas específicas:

La cantidad máxima de VLAN depende del switch.

Una de las VLAN por defecto de fábrica es VLAN1.

La VLAN Ethernet por defecto es VLAN1.

Se envían publicaciones del Protocolo de Descubrimiento de Cisco (CDP) y

Protocolo de Enlace Troncal de VLAN (VTP) en la VLAN 1. (VTP se analiza en el

Módulo 9).

La dirección IP del switch se encuentra por defecto en el dominio de broadcast

de la VLAN 1.

El switch debe estar en el modo de servidor VTP para crear, agregar o borrar

VLAN.

La creación de una VLAN en un switch es una tarea muy directa y simple. Si se usa un

switch basado en comandos del IOS, se puede usar el comando vlan database en el

modo EXEC privilegiado para entrar al modo de configuración de VLAN. También se puede configurar un nombre de VLAN, de ser necesario:

Switch#vlan database

Switch(vlan)#vlan vlan_number

Switch(vlan)#exit

Al salir, se aplica la VLAN al switch. El paso siguiente es asignar la VLAN a una o más

interfaces:

Switch(config)#interface fastethernet 0/9

Switch(config-if)#switchport access vlan vlan_number

Verificación de la configuración de VLAN

Se aplican los siguientes hechos a las VLAN:

Una VLAN creada permanece sin usar hasta que se la asigna a puertos de

switch. Todos los puertos Ethernet son asignados a VLAN 1 por defecto.

La Figura muestra una lista de comandos aplicables.

La Figura muestra los pasos necesarios para asignar una nueva VLAN a un puerto en el switch de Sydney.

Las Figuras y muestran el resultado de los comandos show vlan y show vlan

brief .

X CAP UPLA


X CAP UPLA


Eliminación de VLAN

En la Figura , se asignó Fastethernet 0/9 a la VLAN 300 con el comando switchport

access vlan 300 . Para eliminar esta VLAN de la interfaz, basta con usar la forma no del comando.

X CAP UPLA


El comando que aparece a continuación se utiliza para eliminar una VLAN de un switch:

Switch#vlan database

Switch(vlan)#no vlan 300

Cuando se elimina una VLAN, todos los puertos asignados a esa VLAN quedan

inactivos. Los puertos, sin embargo, quedan asociados a la VLAN eliminada hasta que se los asigna a una nueva VLAN

Protocolo de enlace troncal de VLAN

Conceptos de enlace troncal

un enlace troncal es una conexión física y lógica entre dos switches a través de la cual

se transmite el tráfico de red. Es un único canal de transmisión entre dos puntos. Generalmente, los dos puntos son centros de conmutación.

En una red conmutada, un enlace troncal es un enlace punto a punto que admite

varias VLAN. El propósito de un enlace troncal es conservar los puertos cuando se crea

un enlace entre dos dispositivos que implementan las VLAN. La Figura

muestra dos VLAN compartidas entre los switches Sa y Sb. Cada switch usa dos

enlaces físicos de modo que cada puerto transporta tráfico para una sola VLAN. Ésta

es una forma sencilla de implementar la comunicación entre las VLAN de diferentes switches, pero no funciona bien a mayor escala.

X CAP UPLA


La adición de una tercera VLAN requiere el uso de dos puertos adicionales, uno para

cada switch conectado. Este diseño también es ineficiente en lo que se refiere al

método de compartir la carga. Además, el tráfico en algunas de las VLAN puede no

justificar un enlace dedicado. El enlace troncal agrupa múltiples enlaces virtuales en

un enlace físico. Esto permite que el tráfico de varias VLAN viaje a través de un solo cable entre los switches.

Un enlace troncal se puede comparar con las carreteras de distribución de una

autopista. Las carreteras que tienen distintos puntos de inicio y fin comparten una

autopista nacional principal durante algunos kilómetros, luego se vuelven a dividir

para llegar a sus destinos individuales. Este método es más económico que la

construcción de una carretera entera desde el principio al fin para cada destino

conocido o nuevo

Operación del enlace troncal

Las tablas de conmutación en ambos extremos del enlace troncal se pueden usar para

tomar decisiones de envío basadas en las direcciones MAC destino de las tramas. A

medida que aumenta la cantidad de VLAN que viajan a través del enlace troncal, las

decisiones de envío se tornan más lentas y más difíciles de administrar. El proceso de

decisión se torna más lento dado que las tablas de conmutación de mayor tamaño tardan más en procesarse.

X CAP UPLA


Los protocolos de enlace troncal se desarrollaron para administrar la transferencia de

tramas de distintas VLAN en una sola línea física de forma eficaz. Los protocolos de

enlace troncal establecen un acuerdo para la distribución de tramas a los puertos

asociados en ambos entremos del enlace troncal.

Los dos tipos de mecanismos de enlace troncal que existen son el filtrado de tramas y

el etiquetado de tramas. La IEEE adoptó el etiquetado de tramas como el mecanismo estándar de enlace troncal.

Los protocolos de enlace troncal que usan etiquetado de tramas logran un envío de tramas más veloz y facilitan la administración.

El único enlace físico entre dos switches puede transportar tráfico para cualquier

VLAN. Para poder lograr esto, se rotula cada trama que se envía en el enlace para

identificar a qué VLAN pertenece. Existen distintos esquemas de etiquetado. Los dos

esquemas de etiquetado más comunes para los segmentos Ethernet son ISL y 802.1Q:

ISL – Un protocolo propietario de Cisco

802.1Q – Un estándar IEEE que es el punto central de esta sección

VLANs y enlace troncal

Se usan protocolos, o normas, específicos para implementar los enlaces troncales. El

enlace troncal proporciona un método eficaz para distribuir la información del identificador de VLAN a otros switches.

Los dos tipos de mecanismos de enlace troncal estándar que existen son el etiquetado

de tramas y el filtrado de tramas. En esta página se explica cómo se puede usar el

etiquetado de tramas para ofrecer una solución más escalable para la implementación

X CAP UPLA


de las VLAN. El estándar IEEE 802.1Q establece el etiquetado de tramas como el método para implementar las VLAN.

El etiquetado de trama de VLAN se ha desarrollado específicamente para las

comunicaciones conmutadas. El etiquetado de trama coloca un identificador único en

el encabezado de cada trama a medida que se envía por todo el backbone de la red. El

identificador es comprendido y examinado por cada switch antes de enviar cualquier

broadcast o transmisión a otros switches, routers o estaciones finales. Cuando la

trama sale del backbone de la red, el switch elimina el identificador antes de que la

trama se transmita a la estación final objetivo. El etiquetado de trama funciona a nivel de Capa 2 y requiere pocos recursos de red o gastos administrativos.

Es importante entender que un enlace troncal no pertenece a una VLAN específica. Un enlace troncal es un conducto para las VLAN entre los switches y los routers.

ISL es un protocolo que mantiene la información de VLAN a medida que el tráfico fluye

entre los switches. Con ISL, la trama Ethernet se encapsula con un encabezado que

contiene un identificador de VLAN

Introducción al enrutamiento entre VLAN

Cuando el host en un dominio de broadcast desea comunicarse con un host en otro

dominio de broadcast, debe utilizarse un router.

El puerto 1 en un switch forma parte de la VLAN 1 y el puerto 2 forma parte de la

VLAN 200. Si todos los puertos de switch formaran parte de la VLAN 1, es posible que

los hosts conectados a estos puertos puedan comunicar entre sí. Sin embargo, en este

caso, los puertos forman parte de distintas VLAN, la VLAN 1 y la VLAN 200. Se debe

utilizar un router si los hosts de las distintas VLAN necesitan comunicarse entre sí.

La ventajas más importante del enrutamiento es su probado historial de facilitar la

administración de redes, especialmente de grandes redes. Aunque la Internet sirva de

ejemplo obvio, este punto es válido para cualquier tipo de red, como por ejemplo un

backbone de campus de gran tamaño. Dado que los routers evitan la propagación de

X CAP UPLA


broadcast y utilizan algoritmos de envío más inteligentes que los puentes y los

switches, los routers ofrecen un uso más eficiente del ancho de banda. Esto da como

resultado simultáneamente una selección de ruta flexible y óptima. Por ejemplo, es

muy fácil implementar el equilibrio de carga a través de varias rutas en la mayoría de

las redes cuando se realiza el proceso de enrutamiento. Por otra parte, el equilibrio de carga de la Capa 2 puede resultar muy difícil de diseñar, implementar y mantener.

Si una VLAN abarca varios dispositivos se utiliza un enlace troncal para interconectar

los dispositivos. El enlace troncal transporta el tráfico para varias VLAN. Por ejemplo,

un enlace troncal puede conectar un switch a otro switch, un switch a un router entre VLAN o un switch a un servidor instalando una NIC especial que admite enlace troncal.

Recuerde que cuando un host en una VLAN desea comunicarse con un host de otra VLAN, se debe utilizar un router.

Problemas y soluciones entre VLAN

Cuando las VLAN se conectan entre sí, surgen algunos problemas técnicos. Dos de los

problemas más comunes que pueden surgir en un entorno de varias VLAN son los siguientes:

La necesidad de que los dispositivos de usuario final alcancen hosts no locales Las necesidad de que los hosts en distintas VLAN se comuniquen entre sí

Cuando un router necesita realizar una conexión a un host remoto, verifica su tabla de

enrutamiento para determinar si existe alguna ruta conocida. Si el host remoto entra

en una subred que sabe cómo llegar al destino, el sistema verifica si puede conectarse

a través de esta interfaz. Si todas las rutas conocidas fallan, el sistema tiene una

X CAP UPLA


última opción, la ruta por defecto. Esta ruta es un tipo especial de ruta gateway y por

lo general es la única que está presente en el sistema. En un router, un asterisco (*)

permite indicar una ruta por defecto en el resultado del comando show ip route .

Para los hosts en una red de área local, este gateway se establece en cualquier

máquina que tiene conexión directa con el mundo exterior y corresponde al Gateway

por defecto que aparece en las configuraciones TCP/IP de la estación de trabajo. Si la

ruta por defecto se configura para un router que está funcionando como gateway para

la Internet pública, entonces la ruta por defecto apuntará a la máquina de gateway en

un sitio de proveedor de servicios Internet (ISP). Las rutas por defecto se implementan usando el comando ip route .

Router(Config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

En este ejemplo, 192.168.1.1 es el gateway. La conectividad entre VLAN se puede lograr a través de una conectividad lógica o física.

La conectividad lógica involucra una conexión única, o un enlace troncal, desde el

switch hasta el router. Ese enlace troncal puede admitir varias VLAN. Esta topología se

denomina "router en un palo" porque existe una sola conexión al router. Sin embargo, existen varias conexiones lógicas entre el router y el switch.

La conectividad física implica una conexión física separada para cada VLAN. Esto significa una interfaz física separada para cada VLAN.

Los primeros diseños de VLAN se basaban en routers externos conectados a switches

que admitían VLAN. En este enfoque, los routers tradicionales se conectan a una red

conmutada a través de uno o más enlaces. Los diseños de "router en un palo"

emplean un enlace troncal único que conecta el router al resto de la red campus.

El tráfico entre VLANs debe atravesar el backbone de Capa 2 para alcanzar el router

desde donde podrá desplazarse entre las VLAN. El tráfico viaja entonces de vuelta

hacia la estación final deseada utilizando el método de envío de Capa 2 normal. Este flujo de ida y vuelta es característico de los diseños de "router en un palo".

Interfaces físicas y lógicas

En una situación tradicional, una red con cuatro VLAN requeriría cuatro conexiones

físicas entre el switch y el router externo.

A medida que las tecnologías como por ejemplo el Enlace inter-switch (ISL) se vuelven

más comunes, los diseñadores de red empiezan a utilizar enlaces troncales para

conectar los routers a los switches. A pesar de que se puede utilizar cualquier

tecnología de enlace troncal como por ejemplo ISL, 802.1Q, 802.10 o la emulación

LAN (LANE), los enfoques basados en Ethernet como por ejemplo ISL y 802.1Q son más comunes.

El protocolo propietario de Cisco ISL así como el estándar 802.1q de varios

vendedores IEEE, se utilizan para efectuar el enlace troncal de las VLAN en los enlaces Fast Ethernet.

La línea sólida en el ejemplo se refiere a un enlace físico único entre el switch Catalyst

y el router. Se trata de la interfaz física que conecta el router al switch.

A medida que aumenta la cantidad de VLAN en una red, el enfoque físico de tener una

interfaz de router por VLAN se vuelve rápidamente inescalable. Las redes con muchas

X CAP UPLA


VLAN deben utilizar el enlace troncal de VLAN para asignar varias VLAN a una interfaz de router única.

Las líneas punteadas en el ejemplo se refieren a los distintos enlaces lógicos que se

ejecutan a través de este enlace físico utilizando subinterfaces. El router puede admitir

varias interfaces lógicas en enlaces físicos individuales. Por ejemplo, la interfaz física

FastEthernet 1/0 podría soportar tres interfaces virtuales denominadas FastEthernet 1/0.1, 1/0.2 y 1/0.3.

La ventaja principal del uso del enlace troncal es una reducción en la cantidad de

puertos de router y switch que se utiliza. Esto no sólo permite un ahorro de dinero

sino también reduce la complejidad de la configuración. Como consecuencia, el

enfoque de router conectado a un enlace troncal puede ampliarse hasta un número mucho más alto de VLAN que el diseño de "un enlace por VLAN".

X CAP UPLA


División de interfaces físicas en subinterfaces

Una subinterfaz es una interfaz lógica dentro de una interfaz física, como por ejemplo

la interfaz Fast Ethernet en un router.

Pueden existir varias subinterfaces en una sola interfaz física.

Cada subinterfaz admite una VLAN y se le asigna una dirección IP. Para que varios

dispositivos en una misma VLAN se puedan comunicar, las direcciones IP de todas las

subinterfaces en malla deben encontrarse en la misma red o subred. Por ejemplo, si la

subinterfaz FastEthernet 0/0.1 tiene una dirección IP de 192.168.1.1 entonces

192.168.1.2, 192.168.1.3 y 192.1.1.4 son las direcciones IP de dispositivos conectados a la subinterfaz FastEthernet 0/0.1.

Para poder establecer una ruta entre las distintas VLAN con subinterfaces, se debe crear una subinterfaz para cada VLAN

X CAP UPLA


Configuración de un enrutamiento entre distintas VLAN

X CAP UPLA


Antes de implementar cualquiera de estos comandos, debe verificarse cada router y

switch para comprobar qué encapsulamientos de VLAN admiten. Los switches Catalyst

2950 han admitido el enlace troncal 802.1q desde que se lanzó al mercado la versión

12.0(5.2)WC(1) de Cisco IOS, pero no admiten el enlace troncal Inter-Switch (ISL).

Para que el enrutamiento entre VLAN funcione correctamente, todos los routers y switches involucrados deben admitir el mismo encapsulamiento.

En un router, una interfaz se puede dividir lógicamente en varias subinterfaces

virtuales. Las subinterfaces ofrecen una solución flexible para el enrutamiento de

varias corrientes de datos a través de una interfaz física única. Para definir las subinterfaces en una interfaz física, realice las siguientes tareas:

Identifique la interfaz.

Defina el encapsulamiento de la VLAN. Asigne una dirección IP a la interfaz.

Para identificar la interfaz utilice el comando interface en el modo de configuración

global.

Router(config)#interface fastethernet port-number. subinterface-number

port-number identifica la interfaz física y subinterface-number identifica la interfaz

virtual.

El router debe poder comunicarse con el switch utilizando un protocolo de enlace

troncal estandarizado. Esto significa que ambos dispositivos conectados entre sí deben

comprenderse. En el ejemplo, se utiliza 802.1Q. Para definir el encapsulamiento de la

VLAN, introduzca el comando encapsulation en el modo de configuración de interfaz.

Router(config-if)#encapsulation dot1q vlan-number

vlan-number identifica la VLAN para la cual la subinterfaz transportará el tráfico. Se

agrega un ID de VLAN a la trama sólo cuando la trama está destinada a una red no

local. Cada paquete de VLAN transporta el ID de VLAN dentro del encabezado del paquete.

Para asignar una dirección IP a la interfaz, introduzca el siguiente comando en el

modo de configuración de interfaz.

Router(config-if)#ip address ip-address subnet-mask

ip-address y subnet-mask son las direcciones y la máscara de red de 32 bits de la

interfaz específica.

En el ejemplo, el router tiene tres subinterfaces configuradas en la interfaz Fast

Ethernet 0/0. Estas tres subinterfaces se identifican como 0/0.1, 0/0.2 y 0/0.3. Todas

las interfaces se encapsulan para 802.1q. La interfaz 0/0.1 enruta paquetes para la

VLAN 1, mientras que la interfaz 0/0.2 enruta paquetes para la VLAN 20 y la interfaz 0/0.3 enruta paquetes para la VLAN 30

X CAP UPLA


Listas de Control de Acceso y Vlan-cap Upla-2009

Documents

Transcript of Listas de Control de Acceso y Vlan-cap Upla-2009