ccna 2 chapter 3 en espagnol

© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1

Capítulo 3: las VLAN

Enrutamiento y conmutación

Presentation_ID 2© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential

El Capítulo 3

3.1 Segmentación VLAN

3.2 Implementación de VLAN

3.3 Seguridad de VLAN y diseño

3.4 Resumen


Capítulo 3: Objetivos

Explicar el propósito de las VLAN en una red conmutada.

Analizar la forma en que un interruptor hacia delante Las tramas sobre la base de configuraci n de la VLAN. En un Multi-entorno conmutado.

Configurar un puerto de conmutador que se asignará a un VLAN basada en los requisitos.

Configurar un puerto troncal en un switch LAN.

Configurar Dinámica Protocolo de Enlace Troncal (DTP).

Solucionar problemas de enlaces VLAN y configuraciones en una red conmutada.

Configurar las características de seguridad para mitigar los ataques en un entorno de VLAN segmentada.

Explicar las prácticas recomendadas de seguridad para una VLAN segmentada de medio ambiente.


3.1 Segmentación VLAN


Descripción general de las VLAN

Definiciones VLAN

Una VLAN es una partición lógica de una red de Nivel 2.

Varias particiones puede ser creado, lo que permite varias VLAN a co-existir.

Cada VLAN es un dominio de broadcast, por lo general con su propia red IP.

Las VLAN son mutuamente aislados y paquetes sólo puede pasar entre ellos Mediante Un router.

La división de la red de Nivel 2 tiene Lugar Dentro de un dispositivo de Capa 2, por lo general Mediante Un interruptor.

Los hosts agrupados dentro de una VLAN son conscientes de la existencia de la VLAN.



Definiciones VLAN (cont.)



Ventajas de las VLAN Seguridad

Reducción de Costes

Mejor rendimiento

Reducir emisión Dominios

Personal de TI mejorada Eficiencia

Proyectos más simple y la aplicación Gestión



Tipos de VLAN VLAN de datos

Valor predeterminado VLAN

Nativos VLAN

VLAN de administración



Tipos de VLAN (cont.)



Voice VLAN Voz sobre IP (VoIP) Tráfico es sensible al tiempo y requiere:

• Ancho de banda para asegurar seguridad voz Calidad.

• Prioridad de transmisión respecto a otros tipos de red Tráfico.

• Capacidad para dirigir las áreas congestionadas en torno a la Red.

• Demora de menos de 150 ms a través de la Red.

La voz Función VLAN permite acceder a puertos IP para llevar tráfico de voz IP Teléfono.

El interruptor Puede conectarse a un Cisco IP 7960 Teléfono Y voz IP Tráfico.

TEl orador Calidad de sonido de un teléfono IP llamada puede deteriorarse si los datos se reparten de forma desigual Enviado; El conmutador es compatible con calidad de servicio (QoS).



Voice VLAN (cont.) El Cisco IP 7960 Teléfono Dos puertos RJ-45 que cada

soporte Conexiones a Externa Los dispositivos.• Red Puerto (10/100 SW) - Utilice este puerto Para conectar el

teléfono a la red. El Teléfono en línea también pueden obtener energía del conmutador Catalyst de Cisco a través de dicha conexión.

• Puerto de acceso (10/100 PC): Utilice este puerto Para conectar un dispositivo de red, como por ejemplo un ordenador, en el teléfono.



Voice VLAN (cont.)


Las VLAN en un entorno Multi-Switched

Troncales VLAN Un enlace troncal de VLAN lleva más de una VLAN.

Un enlace troncal de VLAN Generalmente se establece entre conmutadores, de manera que la misma VLAN de los dispositivos pueden comunicarse, incluso si está conectado físicamente a conmutadores diferentes.

Un enlace troncal de VLAN no está asociado a ninguna VLAN; NUno de ellos es el tronco puertos utilizados para establecer el enlace troncal.

Cisco IOS es compatible con el estándar IEEE802.1q, un popular protocolo de enlace troncal de VLAN.



Troncales VLAN (cont.)



Controlar los dominios de broadcast con VLAN Las VLAN se pueden usar para limitar el alcance de tramas de

broadcast.

Una VLAN es un dominio de broadcast.

Una trama de broadcast enviados por un dispositivo en una VLAN específica se envía dentro de esa VLAN solamente.

Las VLAN ayudan a controlar el alcance de tramas de difusión y su impacto en la red.

Unidifusión y multidifusión se reenvían las tramas dentro de la VLAN.


Las VLAN en un Multi-SMedio Ambiente apagados antes

Etiquetado de tramas Ethernet Identificación VLAN Etiquetado de trama es el proceso de adición de

una VLAN Cabecera de identificación en el bastidor.

Se utiliza para transmitir múltiples tramas VLAN a través de un enlace troncal.

Etiqueta de tramas para identificar la VLAN a la que pertenecen. Distintos protocolos de etiquetado Existe; IEEE 802.1Q es una Popular Ejemplo de ello.

El protocolo define la estructura de la codificación del cabezal añadido a la Bastidor.

Los interruptores agregar las etiquetas de VLAN de las tramas antes de colocarlos en los enlaces y retirar las etiquetas antes de enviar tramas a través Sin troncal Los puertos.

Cuando correctamente etiquetados, las tramas puede transversal cualquier número de switches mediante enlaces troncales y, no obstante, ser remitidas en el VLAN correcta en el destino.



Etiquetado de tramas Ethernet Identificación VLAN



VLAN nativas y etiquetado 802.1Q

Tramas que pertenecen a la VLAN nativa no están marcadas.

Tramas recibidas sin etiquetar y permanecer sin etiquetar se colocan en la VLAN nativa antes de ser enviadas.

Si no hay puertos asociados a la VLAN nativa y no hay otros enlaces troncales, una trama sin etiquetar está caído.

En los switches de Cisco, la VLAN nativa es VLAN 1 por defecto.



Etiquetado VLAN de voz


3.2 Las implementaciones de VLAN


Asignación de VLAN

VLAN rangos de los Switches Catalyst Cisco Catalyst 2960 Y 3560 Series switches apoyo a más de

4.000 Las VLAN.

Las VLAN se dividen en dos categorías:

• Rango normal las VLAN

• Números de VLAN de 1 a 1.005

• Las configuraciones almacenadas En La vlan.dat (en la memoria flash)

• VTP puede Sólo aprender y almacenar rango normal las VLAN

• Rango extendido las VLAN

• VLAN Los números de 1.006 A 4.096

• Las configuraciones almacenadas En La configuración que se está ejecutando (NVRAM)

• VTP no aprende rango extendido las VLAN


Asignación de VLAN

Crear una VLAN


Asignación de VLAN

Asignación de puertos a las VLAN


Asignación de VLAN

Asignación de puertos a las VLAN (cont.)


Asignación de VLAN

Cambiar Pertenencia a la VLAN por puerto


Asignación de VLAN

Cambiar Pertenencia a la VLAN por puerto (cont.)


Asignación de VLAN

Eliminación de una VLAN


Asignación de VLAN

Verificar información acerca de la VLAN


Asignación de VLAN

Verificar información de VLAN (cont.)


Asignación de VLAN

Configuración de IEEE 802.1q Los Enlaces


Asignación de VLAN

El restablecimiento del tronco a su estado predeterminado


Asignación de VLAN

El restablecimiento del tronco a su estado predeterminado (cont.)


Asignación de VLAN

Comprobar configuración de enlaces


Dinámica Trunking Protocolo

Introducción de la autoedición Puertos de switch se pueden configurar manualmente para formar

los enlaces.

Puertos de switch también puede ser configurado para negociar y establecer un enlace troncal conectado a un compañero.

El Dynamic Trunking Protocol (DTP) gestiona tronco negociación.

DTP es una propiedad de Cisco Protocolo y está habilitada de forma predeterminada, en Cisco Catalyst 2960 y 3560.

Si El puerto en el vecino switch se configura en un modo de enlaces que admite DTP, que administra la negociación.

El valor predeterminado DTP configuración de Cisco Catalyst 2960 y 3560 interruptores es dinámico Auto.


Dynamic Trunking Protocol

Negociado Los modos de interfaz Cisco Catalyst 2960 y 3560 compatibles con los siguientes modos

de enlace:

• SWitchport Modo automático dinámico

• SWitchport Modo dinámico Deseable

• SWitchport Modo Tronco

• SWitchport Nonegotiate


Diagn stico de fallas de las VLAN y enlaces

Las cuestiones de direccionamiento IP con VLAN Es una práctica común de asociar una VLAN con una red IP.

Debido a que las diversas redes IP sólo se comunican a través de un router, todos los dispositivos dentro de una VLAN debe ser parte de la misma red IP para comunicarse.

La figura muestra que el PC1 no puede comunicarse con el servidor debido a que tiene una dirección IP configurada.



Faltan las VLAN Si todas las direcciones IP los desajustes se han resuelto, pero

aún así, el dispositivo no puede conectarse, verifique si la VLAN existe en el interruptor.



Enlaces Introducción a la Resolución de problemas



Problemas comunes con los enlaces Trunking asuntos por lo general están asociados con

configuraciones incorrectas.

El tipo más común de los errores de configuración son:

1. Native VLAN Los desajustes

2. Tronco Las discordancias entre modo

3. Las VLAN permiten a Enlaces

Si un troncal problema se detecta, directrices para la mejor práctica recomendar a solucionar en el orden que se indica Más arriba.



Las discordancias entre modo de enlaces Si El puerto de enlace troncal está configurado con un modo de

enlaces que es incompatible con el vecino puerto de enlace, un enlace troncal Link No es capaz de formar entre los dos Los interruptores.

Uso El Show interfaces tronco Comando para comprobar El estado de los puertos de enlace de Los interruptores.

Para solucionar el problema, configure las interfaces con el tronco.



Lista de las VLAN incorrecta VLAN deben estar permitidos en el tronco antes de que sus cuadros

se pueden transmitir a través del vínculo.

Utilice la Switchport trunk permitido VLAN Para especificar que las VLAN de un enlace troncal.

Uso El Show interfaces tronco Comando para asegurar la correcta Las VLAN son permitidas en un tronco.


3.3 Diseño y Seguridad de VLAN


Los ataques a las VLAN

Ataque de suplantación del interruptor Hay un número de diferentes tipos de VLAN conmutada los ataques

en modernas Las redes VLAN hopping es un ejemplo.

La configuración predeterminada Del puerto de switch es dinámico Auto.

Mediante la configuración de un host para que actúe como interruptor y formar un tronco, un atacante podría obtener acceso a cualquier VLAN de la red.

Debido a que el atacante es ahora capaz de acceder a otras redes VLAN, esto se llama una VLAN hopping Ataque.

Para evitar Un interruptor básico spoofing Ataque, Desactivar Trunking En todos los puertos, salvo las que específicamente requieren Trunking.


Los ataques a Las VLAN

Ataque Double-Tagging Doble etiquetado ataque toma Ventaja de la forma en que la

mayoría de los conmutadores de hardware De encapsular las etiquetas 802.1Q.

La mayoría de los conmutadores realizar un solo nivel de 802.1Q De encapsulación, que permite a un atacante para incrustar un segundo ataque no autorizado del cabezal, en el marco.

Después de retirar la primera y legit encabezado 802.1Q, el conmutador envía la trama a la VLAN especificada en el encabezado 802.1Q no autorizado.

El mejor enfoque Para mitigar los ataques de doble etiquetado es el de asegurar que la VLAN nativa de los puertos de enlace es diferente de la VLAN de cualquier usuario Los puertos.


Los ataques a las VLAN

Double-Tagging Ataque (cont.)


Los ataques a Las VLAN

PVLAN Borde El Sector Privado VLAN (PVLAN)

función Borde, también conocido como puertos protegidos, asegura que no hay intercambio de unidifusión, difusión o multidifusión tráfico entre Protegido Puertos de la Interruptor.

Sólo relevancia local.

Un puerto protegido sólo tráfico intercambios con puertos desprotegidos.

Un puerto protegido no intercambiar tráfico con otro puerto protegido.


Diseño Mejores prácticas Para las VLAN

Directrices para el Diseño VLAN Mueva todos los puertos de la VLAN 1 y asigna a una no-en-

utilizar una VLAN

Apagar el sistema todos los puertos de switch no utilizados.

Usuario gestión separada y tráfico de datos.

Cambiar la VLAN de administración a una VLAN distinta de VLAN 1. (Lo mismo se aplica a la VLAN nativa.)

Asegúrese de que sólo los dispositivos en la VLAN de administración puede conectarse a los conmutadores.

El interruptor sólo debe aceptar conexiones SSH.

Desactivar la negociación automática de los puertos troncales.

DS No utilizar El auto O Deseable Puerto de switch Los modos.


Capítulo 3: ResumenEste Capítulo:

Presenta las VLAN y sus tipos

Se describe la conexión entre las VLAN y dominios de broadcast

Debate IEEE Etiquetado de trama 802.1Q Y cómo le permite Diferenciación entre tramas Ethernet asociadas con VLAN diferentes al atravesar los enlaces comunes.

Examinado La configuración, verificación y solución de problemas de las VLAN y enlaces con el Cisco IOS CLI Y explorado seguridad básica y diseño Consideraciones.

ccna 2 chapter 3 en espagnol

Documents

cisco systems

all rights reserved

cisco confidentialpresentation

cisco confidential3captulo

cisco confidential1programa

cisco confidential4programa

cisco confidential53

cisco confidential63