Configuración Esencial de VLANs, Trunking y Seguridad en Switches Cisco

Enviado por Programa Chuletas y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 7,71 KB

Encabezado de VLAN

El encabezado de VLAN incluye información esencial para la comunicación entre VLANs, como el mensaje procedente de la VLAN de origen, el etiquetado del mensaje para la VLAN de destino y la recepción del mensaje por la VLAN correspondiente.

Protocolos de Trunking

Los protocolos de trunking son fundamentales para permitir la comunicación de múltiples VLANs a través de un único enlace físico. Los más comunes son:

  • ISL (Inter-Switch Link): Protocolo propietario de Cisco.
  • IEEE 802.1Q: Estándar abierto de la industria.

Estos protocolos proporcionan varias características, como la definición de las cabeceras con las cuales se identifican las VLANs.

Configuración del Trunking de VLAN

La configuración del trunking en los switches implica definir el tipo de trunking (IEEE 802.1Q, ISL o negociado) y el modo administrativo (troncal, no troncal o negociado).

Opciones del Comando switchport

El comando switchport ofrece diversas opciones para configurar el comportamiento de los puertos:

  • Access

    Previene el uso del trunking, haciendo que el puerto siempre actúe como un puerto de acceso (no troncal).

  • Trunk

    Utiliza siempre el trunking.

  • Dynamic desirable

    Inicia y responde a mensajes de negociación para elegir dinámicamente si comenzar a utilizar el trunking, y define la encapsulación de trunking.

  • Dynamic auto

    Espera pasivamente a recibir mensajes de negociación de troncal, momento en el que el switch responderá y negociará si utilizar el trunking, y si es así, el tipo de trunking.

Control de las VLANs Soportadas en un Enlace Troncal

Con el comando switchport trunk allowed vlan se puede especificar qué VLANs están permitidas en un enlace troncal, optimizando el tráfico y la seguridad.

VTP (VLAN Trunking Protocol)

VTP define un protocolo de mensajes de capa 2 que los switches utilizan para intercambiar información sobre la configuración de las VLANs, simplificando la administración en redes grandes.

Modos de VTP

VTP opera en tres modos principales:

  • Modo Servidor: Permite crear, modificar y eliminar VLANs, y propaga esta información a otros switches VTP en el mismo dominio.
  • Modo Cliente: Recibe la configuración de las VLANs de un servidor VTP y no permite la creación, modificación o eliminación local de VLANs.
  • Modo Transparente: Ignora la configuración de las VLANs recibida de otros switches VTP, pero reenvía los anuncios VTP a través de sus enlaces troncales. Permite la configuración local de VLANs.

Dominios de VTP

El VTP permite separar su red en dominios de administración más pequeños para ayudar a reducir la complejidad de la administración de las VLANs.

Sincronización VTP

La sincronización es el proceso completo por el cual un servidor VTP cambia la configuración de la VLAN, y todos los switches VTP en el mismo dominio aprenden la nueva configuración, resultando en que todos los switches conocen los mismos IDs y nombres de VLAN.

Requisitos para VTP

Para que VTP funcione correctamente, se deben cumplir los siguientes requisitos:

  • Los enlaces entre los switches deben ser troncales.
  • Los nombres de los dominios VTP deben coincidir.
  • La contraseña VTP (si está configurada) debe coincidir.

Configuración de VTP

Los comandos básicos para configurar VTP son:

  • vtp mode [server | client | transparent]
  • vtp domain [nombre_dominio]
  • vtp password [contraseña]

Configuración de Contraseñas

La seguridad de acceso a los dispositivos de red es crucial. A continuación, se detallan las configuraciones de contraseñas más importantes.

Acceso a la Consola

Para configurar el acceso a la consola:

  1. Acceda al modo de configuración global: configure terminal
  2. Ingrese al modo de configuración de línea de consola: line console 0
  3. Establezca una contraseña: password [su_contraseña]
  4. Habilite el inicio de sesión: login

Protección de los Puertos VTY

Los puertos VTY (Virtual Teletype) de un switch Cisco permiten obtener acceso remoto al dispositivo (por ejemplo, vía Telnet o SSH). Es posible llevar a cabo todas las opciones de configuración mediante los puertos de terminal VTY, por lo que su protección es vital.

Configuración de Contraseñas del Modo EXEC

El modo EXEC privilegiado permite que cualquier usuario habilite este modo en un switch Cisco para configurar cualquier opción disponible en el switch. Es fundamental proteger este acceso con una contraseña robusta.

Seguridad del Puerto (Port Security)

La seguridad del puerto es una característica que permite controlar qué dispositivos pueden conectarse a un puerto específico del switch. Un switch que no cuenta con seguridad de puerto permite que un atacante conecte un sistema a un puerto habilitado en desuso, recopile información o genere ataques.

Tipos de Direcciones MAC Seguras

Existen diferentes métodos para configurar las direcciones MAC seguras en un puerto:

  • Direcciones MAC seguras estáticas.
  • Direcciones MAC seguras dinámicas.
  • Direcciones MAC seguras adhesivas (sticky).

Direcciones MAC Seguras Estáticas

Se configuran manualmente mediante el comando de configuración de interfaz switchport port-security mac-address [dirección_MAC].

Direcciones MAC Seguras Dinámicas

Las direcciones MAC se aprenden de manera dinámica cuando un dispositivo se conecta al puerto y se almacenan solo en la tabla de direcciones MAC del switch (no en la configuración de inicio).

Direcciones MAC Seguras Adhesivas (Sticky)

Se puede configurar un puerto para que aprenda de manera dinámica las direcciones MAC y luego las guarde en la configuración en ejecución, lo que permite que persistan después de un reinicio si se guarda la configuración.

Violación de la Seguridad del Puerto

Una violación de seguridad del puerto ocurre cuando se ha alcanzado la cantidad máxima de direcciones MAC seguras permitidas en la tabla de direcciones y una estación con una dirección MAC no registrada intenta acceder a la interfaz.

Modos de Violación de Seguridad del Puerto

Cuando ocurre una violación de seguridad, el puerto puede reaccionar de diferentes maneras:

  • Protection (Protección)

    Cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitida. No se genera ninguna notificación.

  • Restriction (Restricción)

    Los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitida. Además, se genera una notificación SNMP y un mensaje de registro.

  • Shutdown (Desactivación)

    En este modo, una violación de seguridad de puerto produce que la interfaz se deshabilite por error (err-disable) de manera inmediata y se apaga el LED del puerto. Para reactivar el puerto, se requiere intervención manual o la configuración de un temporizador de recuperación.

Karma: 0%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Switches Cisco Direcciones MAC Modos VTP VTP VLAN Redes Ethernet ISL Seguridad de Red Configuración de Red Acceso Remoto Trunking Port Security Comandos switchport IEEE 802.1Q