Configuración de VLANs para Seguridad en Redes Locales

Clase 26 de 32 • Curso de Redes de Internet - Profesional

Resumen

¿Qué es la segregación de grupos dentro de una red local?

La segregación de grupos en una red local es una práctica importante para mantener la seguridad dentro de una empresa. Es especialmente útil cuando diferentes grupos de personas tienen funciones muy diversas y manejan información sensible. Por ejemplo, el equipo de contabilidad puede tener acceso a información que no debería ser vista por otros empleados.

¿Cómo funcionan las VLANs?

Las VLANs (Virtual LANs) permiten crear redes separadas dentro de la misma infraestructura física. Esto se logra configurando ciertos puertos del switch para pertenecer a diferentes VLANs. Los equipos conectados a puertos de la misma VLAN pueden intercambiar información entre sí, pero no con equipos de otras VLANs.

Por ejemplo:

En el primer switch:
- El puerto 1 y el puerto 6 están en la VLAN 2.
- El puerto 12 y el puerto 18 están en la VLAN 3.
En el segundo switch:
- El puerto 1 y el puerto 6 están en la VLAN 2.
- El puerto 13 y el puerto 18 están en la VLAN 3.

Los equipos conectados a puertos de la misma VLAN pueden comunicarse entre sí, pero no con equipos de otras VLANs.

¿Cómo se configura una VLAN?

Para configurar una VLAN, primero se debe crear y luego definir los puertos que estarán asignados a ella. Aquí hay algunos comandos básicos para configurar una VLAN en un switch:

interface FastEthernet 0/1
 switchport mode access
 switchport access vlan 2

interface FastEthernet 0/6
 switchport mode access
 switchport access vlan 3

¿Cómo verificar la conectividad entre equipos en diferentes VLANs?

Para verificar que los equipos sólo pueden comunicarse si están en la misma VLAN, puedes realizar pruebas de ping desde diferentes máquinas.

Casos de prueba:

Máquina 0 (IP: 192.168.1.10) y máquina 4 (IP: 192.168.1.17) están en VLAN 2 y deberían poder comunicarse.
Máquina 1 (IP: 192.168.1.11) y máquina 5 (IP: 192.168.1.18) están en VLAN 3 y también deberían poder comunicarse.
Sin embargo, máquina 0 no debería poder comunicarse con máquina 1 ya que están en VLANs distintas.

Comandos de prueba de ping:

Máquina 0:
ping 192.168.1.11 --> Falla, porque están en VLANs diferentes.

Máquina 0:
ping 192.168.1.17 --> Éxito, porque están en la misma VLAN.

¿Qué es el Port Security?

Port Security es una medida de seguridad adicional que se implementa en los switches para controlar qué dispositivos pueden conectarse a los puertos físicos de la red. Esto se logra limitando el número de direcciones MAC permitidas en un puerto y definiendo acciones específicas en casos de violación.

Comandos básicos para habilitar la seguridad de puertos:

Habilitar seguridad de puerto:

interface FastEthernet 0/1
switchport mode access
switchport port-security

Definir el número máximo de MAC permitidas:
```
switchport port-security maximum 2
```

Asígnar acciones en caso de violación:

switchport port-security violation shutdown

Métodos para aprender las direcciones MAC:

Manual: Se configura la dirección MAC de forma manual.
```
switchport port-security mac-address 0011.2233.4455
```
Sticky (aprendizaje automático): El switch aprende la dirección MAC del dispositivo la primera vez que se conecta y la guarda.
```
switchport port-security mac-address sticky
```

Ejemplo de configuración completa:

interface FastEthernet 0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security mac-address sticky

Al seguir estos pasos, puedes asegurar que cada puerto del switch solo permita la conexión de dispositivos autorizados, mejorando así la seguridad de la red.

¿Cómo aplicar VLANs y Port Security en la práctica?

Con la información y comandos proporcionados, ahora puedes configurar VLANs y aplicar seguridad de puerto en tu red local. Estos elementos son esenciales para gestionar de forma segura la comunicación y el acceso dentro de la infraestructura de red de una empresa, asegurando que solo los dispositivos autorizados puedan acceder a ciertos segmentos de la red y prevenir accesos no deseados.

DANIEL TENOCH SANCHEZ GARCIA

student•

Separación de grupos, el uso de las VLAN

Port Security: En un sólo puerto de la LAN puedo conectar una sola maquina identificada por su dirección MAC. Esto permite garantizar que solamente aquél equipo con dicha MAC pueda conectarse. . VLAN: Permite la segregación de grupos de modo que el tráfico solo circula por los puertos permitidos dentro de dicha VLAN generada a partir de estos grupos.

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Muchas gracias por el aporte !!

Marcelo Alexis Rubilar Rubilar

student•

Excelente!!

Cristian Andres Gutierrez Albarracin

student•

Aquí un pequeño aporte de la configuración de una VLAN, su creación y asignación a los puertos que se desea.

-- Ingreso a modo configuración global Switch#config terminal Switch(config)# Creo la VLAN (para el ejemplo vlan2) Switch(config)#vlan 2 Le asigno un nombre a la VLAN Switch(config-vlan)#name Platzi Switch(config-vlan)# Switch(config-vlan)#exit Regreso a configuracion global Switch(config)# Ingreso al puerto, le asigno el modo acceso y la vlan 2 Switch(config)#interface fastEthernet 0/1 Switch(config-if)# Switch(config-if)#switchport mode access Switch(config-if)# Switch(config-if)#switchport access vlan 2 Switch(config-if)# ** Ingreso al siguiente puerto al que quiero asignar la vlan, le asigno el modo acceso y la vlan 2** Switch(config-if)#interface f0/2 Switch(config-if)# Switch(config-if)#switchport mode access Switch(config-if)# Switch(config-if)#switchport access vlan 2 Salgo y guardo los cambios Switch(config-if)#exit Switch(config)#exit Switch# %SYS-5-CONFIG_I: Configured from console by console

Switch#wr Building configuration... [OK]

Norma Natalia Moreno Espinoza

student•

gracias!

Camilo Alejandro Estay Cabrera

student•

Muy buen aporte, se agradece !

Emmanuel Sosa Reyes

student•

Entonces, este concepto de VLAN es un poco parecido al de una DMZ, para restringir el acceso entre usuarios. Solo que en la DMZ las reglas son muchísimo más específicas, yendo desde lo particular, y la VLAN va a lo general.

Isabel Yepes

teacher•

Hola Emmanuel

La analogía que haces es válida, en el caso de las VLAN la separación se hace a nivel físico en el equipo, de modo que el tráfico solo circula por los puertos permitidos y es rechazado de circular en los que no. La DMZ y otros mecanismos de segregación de tráfico se hacen a nivel lógico, el tráfico circula por los mismos puertos y es filtrado según reglas lógicas.

-- Isabel

Randy Rozo

student•

La diferencia es que las VLAN trabajan en La capa 2 del modelo OSI y el DMZ entre la capa 3 y 4.

Alejandro Romero

student•

Solo por mencionar, en el minuto 02:58 deberia decir vlan 2, en lugar de vlan 3. :)

Jaime Javier Bravo Rey

student•

REALIZADO EL EJERCICIO.

Guille Martín Chicharro

student•

Creo que el concepto de VLANs y su propósito no han quedado demasiado claros.

Luis Antonio Martínez Cárcamo

student•

Vlan: es un método para crear redes lógicas independientes dentro de una misma red física

CODEIT SOL

student•

Se dice switch, no "suiché"

Luis Alejandro Depablos Villamizar

student•

Está bien que defendamos y apreciemos el inglés, Pero respetemos nuestro idioma.

https://dle.rae.es/suiche

Luis angel osorio ochoa

student•

fuente: el don lo aprendio en el mercado.

Miguel Angel Reyes Moreno

student•

La segregación de grupos es muy importante cuando tenemos a grupos de personas que hacen tareas muy distintas. Por motivos de seguridad, deben de estar separadas.

Esto se puede lograr con las VLAN.

Las computadoras que pertenezcan a la misma VLAN podrán comunicarse entre sí, pero con las máquinas en una diferente VLAN, no podrán.

Manuel Rodríguez

student•

Tienes razón!

Jefferson Pacheco Suárez

student•

Gian Gabriel Cappuccio

student•

Pero te puedes comunicar entre diferentes VLANs si configuras un router para eso, o un switch layer 3.

Marvin Javier Santos Fernández

student•

Ahi están las 8 computadoras añadidas en la oficina 2.

IPs de las computadoras añadidas por dhcp.

Las Vlans creadas con nombre y los puertos de acceso.

Primer Switch

Segundo Switch

Marvin Javier Santos Fernández

student•

Agrego las computadoras que tienen conexión entre ellas.

Marvin Javier Santos Fernández

student•

Ahora cuando no hay acceso hacia su vlan predeterminada dará failed.

Alex Fernando Martínez Riascos

student•

para segmentar la red hago uso de las VLANs, pero si necesito que dos VLANs se comuniquen debo crear una ruta entre ellas ????

Eddie Andres Rios Elgueta

student•

Concretamente se usa las vlan para limitar la comunicación, pero creo que la tecnología estandar para esto (No se tanto de redes) es SD-WAN

Benjamin Antonio Ruderisch Gomez

student•

Tengo una pregunta, para hacer separación usando las VLAN ¿Es necesario que los equipos estén dentro de la misma red? O se puede dar si están en redes diferentes?

Platzi

student•

No es necesario que los equipos estén en la misma red IP para separarlos usando VLANs. Una VLAN segrega el tráfico en la misma red física, independientemente de la red IP a la que pertenezcan los dispositivos.

Erwin Saavedra

student•

consulta aqui ven lo que es enrutamiento y vlsm

Héctor Te

student•

Hola no he tomado el curso pero por el titulo hablan sobre uso de vlan las cuales trabajan principalmente en capa 2 del modelo OSI.

El enrutamiento es capa 3 del modelo OSI. VLSM es una forma de subnetar = dividir o segmentar un segmento de red.

Quiza lo que buscas viene mas adelante en el curso

Rodrigo Pino

student•

el port Security afecta el tll?

Lewuys Muñoz

student•

asi me funciono Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fastEthernet 0/3 Switch(config-if)# switchport access vlan 2 Switch(config-if)#switchport mode access Switch(config-if)#exit Switch(config)#interface fastEthernet 0/3 Switch(config-if)# switchport access vlan 6 % Access VLAN does not exist. Creating vlan 6 Switch(config-if)# switchport access vlan 6 Switch(config-if)#switchport mode access Switch(config-if)#exit Switch(config)# Switch(config)#interface fastEthernet 0/2 Switch(config-if)# switchport access vlan 6 Switch(config-if)#switchport mode access Switch(config-if)#exit Switch(config)#interface fastEthernet 0/4 Switch(config-if)# switchport access vlan 9 % Access VLAN does not exist. Creating vlan 9 Switch(config-if)#switchport mode access Switch(config-if)#exit Switch(config)#interface fastEthernet 0/6 Switch(config-if)# switchport access vlan 9 Switch(config-if)#switchport mode access Switch(config-if)#exit Switch(config)#exit Switch#

JAVIER EDUARDOFAJARDOMELO

student•

LA SEPARACION DE GRUPO O REDES POR VLAN ES MUY BUENA YA QUE LA COMUNICACION ES MAS FLUIDA Y MENOS BRODCAST SOBRE LA RED

Configuración de VLANs para Seguridad en Redes Locales

Profundizar en direccionamiento avanzado

Redes de Internet: Configuración y Seguridad Avanzada

Conversión de Números Decimales a Binarios y Viceversa

Cálculo de Máscaras de Subredes en Redes IP

Clases de Direccionamiento IP: Características y Usos

Fundamentos de programación en Python para principiantes

Direccionamiento de Redes Empresariales: Máscaras y Topologías

Direcciones IP Públicas y Privadas: Conceptos y Uso en Redes

Descarga e Instalación de Packet Tracer de Cisco

Configuración de NAT en Enrutadores para Traducción de IPs Públicas y Privadas

Migración de IPv4 a IPv6: Configuración y Beneficios

Comprender los servicios de red

Registros DNS: Tipos y Configuración Básica

Configuración de DHCP para Asignación Automática de Direcciones IP

Identificar características de enrutamiento

Enrutamiento de Datos: Cómo Funcionan las Direcciones de Red

Rutas estáticas en enrutadores: configuración y usos básicos

Configuración de Rutas Estáticas en Redes Simuladas

Configuración de Protocolos de Enrutamiento IP

Configuración de Rutas Dinámicas con OSPF en Redes Simuladas

Creación de Tablas Dinámicas en Excel

Convergencia en Redes: Protocolos de Enrutamiento y Configuración

Diseñar y ejecutar redes locales conmutadas

Diseño y Consideraciones de Redes Locales y sus Capas

Diseño de Topologías de Red: Capas de Acceso, Distribución y Core

Diseño de Redes Inalámbricas: Consideraciones y Seguridad

Diseño de Redes Inalámbricas: Evaluación y Consideraciones Clave

Configuración de Redes Inalámbricas y Seguridad WiFi

Importancia del Cableado en Redes: Seguridad y Desempeño

Configuración de VLANs para Seguridad en Redes Locales

Configuración de Enlaces Troncales en Redes VLAN

Identificar y mejorar seguridad en la red

Listas de Control de Acceso en Seguridad de Redes

Configuración y Gestión de Listas de Control de Acceso en Redes

Configuración de Listas de Control de Acceso en Redes

Seguridad en Configuración de Redes y Protección contra Ataques

Configuración Avanzada de Redes y Seguridad en Internet