ccna 2 chapter 3 en espagnol
DESCRIPTION
CCNA 2 Chapter 3 en espagnolTRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
Capítulo 3: las VLAN
Enrutamiento y conmutación
Presentation_ID 2© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
El Capítulo 3
3.1 Segmentación VLAN
3.2 Implementación de VLAN
3.3 Seguridad de VLAN y diseño
3.4 Resumen
Presentation_ID 3© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Capítulo 3: Objetivos
Explicar el propósito de las VLAN en una red conmutada.
Analizar la forma en que un interruptor hacia delante Las tramas sobre la base de configuraci n de la VLAN. En un Multi-entorno conmutado.
Configurar un puerto de conmutador que se asignará a un VLAN basada en los requisitos.
Configurar un puerto troncal en un switch LAN.
Configurar Dinámica Protocolo de Enlace Troncal (DTP).
Solucionar problemas de enlaces VLAN y configuraciones en una red conmutada.
Configurar las características de seguridad para mitigar los ataques en un entorno de VLAN segmentada.
Explicar las prácticas recomendadas de seguridad para una VLAN segmentada de medio ambiente.
© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
3.1 Segmentación VLAN
Presentation_ID 5© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Definiciones VLAN
Una VLAN es una partición lógica de una red de Nivel 2.
Varias particiones puede ser creado, lo que permite varias VLAN a co-existir.
Cada VLAN es un dominio de broadcast, por lo general con su propia red IP.
Las VLAN son mutuamente aislados y paquetes sólo puede pasar entre ellos Mediante Un router.
La división de la red de Nivel 2 tiene Lugar Dentro de un dispositivo de Capa 2, por lo general Mediante Un interruptor.
Los hosts agrupados dentro de una VLAN son conscientes de la existencia de la VLAN.
Presentation_ID 6© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Definiciones VLAN (cont.)
Presentation_ID 7© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Ventajas de las VLAN Seguridad
Reducción de Costes
Mejor rendimiento
Reducir emisión Dominios
Personal de TI mejorada Eficiencia
Proyectos más simple y la aplicación Gestión
Presentation_ID 8© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Tipos de VLAN VLAN de datos
Valor predeterminado VLAN
Nativos VLAN
VLAN de administración
Presentation_ID 9© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Tipos de VLAN (cont.)
Presentation_ID 10© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Voice VLAN Voz sobre IP (VoIP) Tráfico es sensible al tiempo y requiere:
• Ancho de banda para asegurar seguridad voz Calidad.
• Prioridad de transmisión respecto a otros tipos de red Tráfico.
• Capacidad para dirigir las áreas congestionadas en torno a la Red.
• Demora de menos de 150 ms a través de la Red.
La voz Función VLAN permite acceder a puertos IP para llevar tráfico de voz IP Teléfono.
El interruptor Puede conectarse a un Cisco IP 7960 Teléfono Y voz IP Tráfico.
TEl orador Calidad de sonido de un teléfono IP llamada puede deteriorarse si los datos se reparten de forma desigual Enviado; El conmutador es compatible con calidad de servicio (QoS).
Presentation_ID 11© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Voice VLAN (cont.) El Cisco IP 7960 Teléfono Dos puertos RJ-45 que cada
soporte Conexiones a Externa Los dispositivos.• Red Puerto (10/100 SW) - Utilice este puerto Para conectar el
teléfono a la red. El Teléfono en línea también pueden obtener energía del conmutador Catalyst de Cisco a través de dicha conexión.
• Puerto de acceso (10/100 PC): Utilice este puerto Para conectar un dispositivo de red, como por ejemplo un ordenador, en el teléfono.
Presentation_ID 12© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descripción general de las VLAN
Voice VLAN (cont.)
Presentation_ID 13© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Las VLAN en un entorno Multi-Switched
Troncales VLAN Un enlace troncal de VLAN lleva más de una VLAN.
Un enlace troncal de VLAN Generalmente se establece entre conmutadores, de manera que la misma VLAN de los dispositivos pueden comunicarse, incluso si está conectado físicamente a conmutadores diferentes.
Un enlace troncal de VLAN no está asociado a ninguna VLAN; NUno de ellos es el tronco puertos utilizados para establecer el enlace troncal.
Cisco IOS es compatible con el estándar IEEE802.1q, un popular protocolo de enlace troncal de VLAN.
Presentation_ID 14© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Las VLAN en un entorno Multi-Switched
Troncales VLAN (cont.)
Presentation_ID 15© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Las VLAN en un entorno Multi-Switched
Controlar los dominios de broadcast con VLAN Las VLAN se pueden usar para limitar el alcance de tramas de
broadcast.
Una VLAN es un dominio de broadcast.
Una trama de broadcast enviados por un dispositivo en una VLAN específica se envía dentro de esa VLAN solamente.
Las VLAN ayudan a controlar el alcance de tramas de difusión y su impacto en la red.
Unidifusión y multidifusión se reenvían las tramas dentro de la VLAN.
Presentation_ID 16© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Las VLAN en un Multi-SMedio Ambiente apagados antes
Etiquetado de tramas Ethernet Identificación VLAN Etiquetado de trama es el proceso de adición de
una VLAN Cabecera de identificación en el bastidor.
Se utiliza para transmitir múltiples tramas VLAN a través de un enlace troncal.
Etiqueta de tramas para identificar la VLAN a la que pertenecen. Distintos protocolos de etiquetado Existe; IEEE 802.1Q es una Popular Ejemplo de ello.
El protocolo define la estructura de la codificación del cabezal añadido a la Bastidor.
Los interruptores agregar las etiquetas de VLAN de las tramas antes de colocarlos en los enlaces y retirar las etiquetas antes de enviar tramas a través Sin troncal Los puertos.
Cuando correctamente etiquetados, las tramas puede transversal cualquier número de switches mediante enlaces troncales y, no obstante, ser remitidas en el VLAN correcta en el destino.
Presentation_ID 17© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Las VLAN en un entorno Multi-Switched
Etiquetado de tramas Ethernet Identificación VLAN
Presentation_ID 18© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Las VLAN en un entorno Multi-Switched
VLAN nativas y etiquetado 802.1Q
Tramas que pertenecen a la VLAN nativa no están marcadas.
Tramas recibidas sin etiquetar y permanecer sin etiquetar se colocan en la VLAN nativa antes de ser enviadas.
Si no hay puertos asociados a la VLAN nativa y no hay otros enlaces troncales, una trama sin etiquetar está caído.
En los switches de Cisco, la VLAN nativa es VLAN 1 por defecto.
Presentation_ID 19© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Las VLAN en un entorno Multi-Switched
Etiquetado VLAN de voz
© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
3.2 Las implementaciones de VLAN
Presentation_ID 21© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
VLAN rangos de los Switches Catalyst Cisco Catalyst 2960 Y 3560 Series switches apoyo a más de
4.000 Las VLAN.
Las VLAN se dividen en dos categorías:
• Rango normal las VLAN
• Números de VLAN de 1 a 1.005
• Las configuraciones almacenadas En La vlan.dat (en la memoria flash)
• VTP puede Sólo aprender y almacenar rango normal las VLAN
• Rango extendido las VLAN
• VLAN Los números de 1.006 A 4.096
• Las configuraciones almacenadas En La configuración que se está ejecutando (NVRAM)
• VTP no aprende rango extendido las VLAN
Presentation_ID 22© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Crear una VLAN
Presentation_ID 23© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Asignación de puertos a las VLAN
Presentation_ID 24© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Asignación de puertos a las VLAN (cont.)
Presentation_ID 25© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Cambiar Pertenencia a la VLAN por puerto
Presentation_ID 26© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Cambiar Pertenencia a la VLAN por puerto (cont.)
Presentation_ID 27© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Eliminación de una VLAN
Presentation_ID 28© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Verificar información acerca de la VLAN
Presentation_ID 29© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Verificar información de VLAN (cont.)
Presentation_ID 30© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Configuración de IEEE 802.1q Los Enlaces
Presentation_ID 31© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
El restablecimiento del tronco a su estado predeterminado
Presentation_ID 32© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
El restablecimiento del tronco a su estado predeterminado (cont.)
Presentation_ID 33© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Asignación de VLAN
Comprobar configuración de enlaces
Presentation_ID 34© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Dinámica Trunking Protocolo
Introducción de la autoedición Puertos de switch se pueden configurar manualmente para formar
los enlaces.
Puertos de switch también puede ser configurado para negociar y establecer un enlace troncal conectado a un compañero.
El Dynamic Trunking Protocol (DTP) gestiona tronco negociación.
DTP es una propiedad de Cisco Protocolo y está habilitada de forma predeterminada, en Cisco Catalyst 2960 y 3560.
Si El puerto en el vecino switch se configura en un modo de enlaces que admite DTP, que administra la negociación.
El valor predeterminado DTP configuración de Cisco Catalyst 2960 y 3560 interruptores es dinámico Auto.
Presentation_ID 35© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Dynamic Trunking Protocol
Negociado Los modos de interfaz Cisco Catalyst 2960 y 3560 compatibles con los siguientes modos
de enlace:
• SWitchport Modo automático dinámico
• SWitchport Modo dinámico Deseable
• SWitchport Modo Tronco
• SWitchport Nonegotiate
Presentation_ID 36© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Diagn stico de fallas de las VLAN y enlaces
Las cuestiones de direccionamiento IP con VLAN Es una práctica común de asociar una VLAN con una red IP.
Debido a que las diversas redes IP sólo se comunican a través de un router, todos los dispositivos dentro de una VLAN debe ser parte de la misma red IP para comunicarse.
La figura muestra que el PC1 no puede comunicarse con el servidor debido a que tiene una dirección IP configurada.
Presentation_ID 37© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Diagn stico de fallas de las VLAN y enlaces
Faltan las VLAN Si todas las direcciones IP los desajustes se han resuelto, pero
aún así, el dispositivo no puede conectarse, verifique si la VLAN existe en el interruptor.
Presentation_ID 38© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Diagn stico de fallas de las VLAN y enlaces
Enlaces Introducción a la Resolución de problemas
Presentation_ID 39© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Diagn stico de fallas de las VLAN y enlaces
Problemas comunes con los enlaces Trunking asuntos por lo general están asociados con
configuraciones incorrectas.
El tipo más común de los errores de configuración son:
1. Native VLAN Los desajustes
2. Tronco Las discordancias entre modo
3. Las VLAN permiten a Enlaces
Si un troncal problema se detecta, directrices para la mejor práctica recomendar a solucionar en el orden que se indica Más arriba.
Presentation_ID 40© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Diagn stico de fallas de las VLAN y enlaces
Las discordancias entre modo de enlaces Si El puerto de enlace troncal está configurado con un modo de
enlaces que es incompatible con el vecino puerto de enlace, un enlace troncal Link No es capaz de formar entre los dos Los interruptores.
Uso El Show interfaces tronco Comando para comprobar El estado de los puertos de enlace de Los interruptores.
Para solucionar el problema, configure las interfaces con el tronco.
Presentation_ID 41© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Diagn stico de fallas de las VLAN y enlaces
Lista de las VLAN incorrecta VLAN deben estar permitidos en el tronco antes de que sus cuadros
se pueden transmitir a través del vínculo.
Utilice la Switchport trunk permitido VLAN Para especificar que las VLAN de un enlace troncal.
Uso El Show interfaces tronco Comando para asegurar la correcta Las VLAN son permitidas en un tronco.
© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 42
3.3 Diseño y Seguridad de VLAN
Presentation_ID 43© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Los ataques a las VLAN
Ataque de suplantación del interruptor Hay un número de diferentes tipos de VLAN conmutada los ataques
en modernas Las redes VLAN hopping es un ejemplo.
La configuración predeterminada Del puerto de switch es dinámico Auto.
Mediante la configuración de un host para que actúe como interruptor y formar un tronco, un atacante podría obtener acceso a cualquier VLAN de la red.
Debido a que el atacante es ahora capaz de acceder a otras redes VLAN, esto se llama una VLAN hopping Ataque.
Para evitar Un interruptor básico spoofing Ataque, Desactivar Trunking En todos los puertos, salvo las que específicamente requieren Trunking.
Presentation_ID 44© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Los ataques a Las VLAN
Ataque Double-Tagging Doble etiquetado ataque toma Ventaja de la forma en que la
mayoría de los conmutadores de hardware De encapsular las etiquetas 802.1Q.
La mayoría de los conmutadores realizar un solo nivel de 802.1Q De encapsulación, que permite a un atacante para incrustar un segundo ataque no autorizado del cabezal, en el marco.
Después de retirar la primera y legit encabezado 802.1Q, el conmutador envía la trama a la VLAN especificada en el encabezado 802.1Q no autorizado.
El mejor enfoque Para mitigar los ataques de doble etiquetado es el de asegurar que la VLAN nativa de los puertos de enlace es diferente de la VLAN de cualquier usuario Los puertos.
Presentation_ID 45© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Los ataques a las VLAN
Double-Tagging Ataque (cont.)
Presentation_ID 46© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Los ataques a Las VLAN
PVLAN Borde El Sector Privado VLAN (PVLAN)
función Borde, también conocido como puertos protegidos, asegura que no hay intercambio de unidifusión, difusión o multidifusión tráfico entre Protegido Puertos de la Interruptor.
Sólo relevancia local.
Un puerto protegido sólo tráfico intercambios con puertos desprotegidos.
Un puerto protegido no intercambiar tráfico con otro puerto protegido.
Presentation_ID 47© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Diseño Mejores prácticas Para las VLAN
Directrices para el Diseño VLAN Mueva todos los puertos de la VLAN 1 y asigna a una no-en-
utilizar una VLAN
Apagar el sistema todos los puertos de switch no utilizados.
Usuario gestión separada y tráfico de datos.
Cambiar la VLAN de administración a una VLAN distinta de VLAN 1. (Lo mismo se aplica a la VLAN nativa.)
Asegúrese de que sólo los dispositivos en la VLAN de administración puede conectarse a los conmutadores.
El interruptor sólo debe aceptar conexiones SSH.
Desactivar la negociación automática de los puertos troncales.
DS No utilizar El auto O Deseable Puerto de switch Los modos.
Presentation_ID 48© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Capítulo 3: ResumenEste Capítulo:
Presenta las VLAN y sus tipos
Se describe la conexión entre las VLAN y dominios de broadcast
Debate IEEE Etiquetado de trama 802.1Q Y cómo le permite Diferenciación entre tramas Ethernet asociadas con VLAN diferentes al atravesar los enlaces comunes.
Examinado La configuración, verificación y solución de problemas de las VLAN y enlaces con el Cisco IOS CLI Y explorado seguridad básica y diseño Consideraciones.