Configuración de VLANs para Seguridad en Redes Locales
Resumen
¿Qué es la segregación de grupos dentro de una red local?
La segregación de grupos en una red local es una práctica importante para mantener la seguridad dentro de una empresa. Es especialmente útil cuando diferentes grupos de personas tienen funciones muy diversas y manejan información sensible. Por ejemplo, el equipo de contabilidad puede tener acceso a información que no debería ser vista por otros empleados.
¿Cómo funcionan las VLANs?
Las VLANs (Virtual LANs) permiten crear redes separadas dentro de la misma infraestructura física. Esto se logra configurando ciertos puertos del switch para pertenecer a diferentes VLANs. Los equipos conectados a puertos de la misma VLAN pueden intercambiar información entre sí, pero no con equipos de otras VLANs.
Por ejemplo:
En el primer switch:
El puerto 1 y el puerto 6 están en la VLAN 2.
El puerto 12 y el puerto 18 están en la VLAN 3.
En el segundo switch:
El puerto 1 y el puerto 6 están en la VLAN 2.
El puerto 13 y el puerto 18 están en la VLAN 3.
Los equipos conectados a puertos de la misma VLAN pueden comunicarse entre sí, pero no con equipos de otras VLANs.
¿Cómo se configura una VLAN?
Para configurar una VLAN, primero se debe crear y luego definir los puertos que estarán asignados a ella. Aquí hay algunos comandos básicos para configurar una VLAN en un switch:
¿Cómo verificar la conectividad entre equipos en diferentes VLANs?
Para verificar que los equipos sólo pueden comunicarse si están en la misma VLAN, puedes realizar pruebas de ping desde diferentes máquinas.
Casos de prueba:
Máquina 0 (IP: 192.168.1.10) y máquina 4 (IP: 192.168.1.17) están en VLAN 2 y deberían poder comunicarse.
Máquina 1 (IP: 192.168.1.11) y máquina 5 (IP: 192.168.1.18) están en VLAN 3 y también deberían poder comunicarse.
Sin embargo, máquina 0 no debería poder comunicarse con máquina 1 ya que están en VLANs distintas.
Comandos de prueba de ping:
Máquina 0:
ping 192.168.1.11 --> Falla, porque están en VLANs diferentes.
Máquina 0:
ping 192.168.1.17 --> Éxito, porque están en la misma VLAN.
¿Qué es el Port Security?
Port Security es una medida de seguridad adicional que se implementa en los switches para controlar qué dispositivos pueden conectarse a los puertos físicos de la red. Esto se logra limitando el número de direcciones MAC permitidas en un puerto y definiendo acciones específicas en casos de violación.
Comandos básicos para habilitar la seguridad de puertos:
Al seguir estos pasos, puedes asegurar que cada puerto del switch solo permita la conexión de dispositivos autorizados, mejorando así la seguridad de la red.
¿Cómo aplicar VLANs y Port Security en la práctica?
Con la información y comandos proporcionados, ahora puedes configurar VLANs y aplicar seguridad de puerto en tu red local. Estos elementos son esenciales para gestionar de forma segura la comunicación y el acceso dentro de la infraestructura de red de una empresa, asegurando que solo los dispositivos autorizados puedan acceder a ciertos segmentos de la red y prevenir accesos no deseados.
Port Security: En un sólo puerto de la LAN puedo conectar una sola maquina identificada por su dirección MAC. Esto permite garantizar que solamente aquél equipo con dicha MAC pueda conectarse.
.VLAN: Permite la segregación de grupos de modo que el tráfico solo circula por los puertos permitidos dentro de dicha VLAN generada a partir de estos grupos.
Muchas gracias por el aporte !!
Excelente!!
Aquí un pequeño aporte de la configuración de una VLAN, su creación y asignación a los puertos que se desea.
--
Ingreso a modo configuración global
Switch#config terminal
Switch(config)#
Creo la VLAN (para el ejemplo vlan2)
Switch(config)#vlan 2
Le asigno un nombre a la VLAN
Switch(config-vlan)#name Platzi
Switch(config-vlan)#
Switch(config-vlan)#exit
Regreso a configuracion global
Switch(config)#
Ingreso al puerto, le asigno el modo acceso y la vlan 2
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#
Switch(config-if)#switchport mode access
Switch(config-if)#
Switch(config-if)#switchport access vlan 2
Switch(config-if)#
** Ingreso al siguiente puerto al que quiero asignar la vlan, le asigno el modo acceso y la vlan 2**
Switch(config-if)#interface f0/2
Switch(config-if)#
Switch(config-if)#switchport mode access
Switch(config-if)#
Switch(config-if)#switchport access vlan 2
Salgo y guardo los cambios
Switch(config-if)#exit
Switch(config)#exit
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Switch#wr
Building configuration...
[OK]
--
gracias!
Muy buen aporte, se agradece !
Entonces, este concepto de VLAN es un poco parecido al de una DMZ, para restringir el acceso entre usuarios. Solo que en la DMZ las reglas son muchísimo más específicas, yendo desde lo particular, y la VLAN va a lo general.
Hola Emmanuel
La analogía que haces es válida, en el caso de las VLAN la separación se hace a nivel físico en el equipo, de modo que el tráfico solo circula por los puertos permitidos y es rechazado de circular en los que no. La DMZ y otros mecanismos de segregación de tráfico se hacen a nivel lógico, el tráfico circula por los mismos puertos y es filtrado según reglas lógicas.
-- Isabel
La diferencia es que las VLAN trabajan en La capa 2 del modelo OSI y el DMZ entre la capa 3 y 4.
Solo por mencionar, en el minuto 02:58 deberia decir vlan 2, en lugar de vlan 3. :)
REALIZADO EL EJERCICIO.
Creo que el concepto de VLANs y su propósito no han quedado demasiado claros.
Vlan: es un método para crear redes lógicas independientes dentro de una misma red física
Se dice switch, no "suiché"
Está bien que defendamos y apreciemos el inglés, Pero respetemos nuestro idioma.
La segregación de grupos es muy importante cuando tenemos a grupos de personas que hacen tareas muy distintas. Por motivos de seguridad, deben de estar separadas.
Esto se puede lograr con las VLAN.
Las computadoras que pertenezcan a la misma VLAN podrán comunicarse entre sí, pero con las máquinas en una diferente VLAN, no podrán.
Tienes razón!
Clase 26
Pero te puedes comunicar entre diferentes VLANs si configuras un router para eso, o un switch layer 3.
La mas usadas, en modo acceso y modo trunck
Una VLAN permite dividir una red física en varias redes lógicas para mejorar seguridad, organización y rendimiento.
Una VLAN (Virtual Local Area Network) es una red lógica creada dentro de una red física que permite segmentar dispositivos como si estuvieran en redes separadas, aunque estén conectados al mismo switch.
y por que entonces utilizamos la aplicacion de cisco que se ve en curso eso para que es solo es para ser un mapa a grandes razgos y luego aplicar esas reglas por CLI¡? osea que no se hacen en esa interfaz solo es como un plano de una contruccion en esta caso de red
¡Exactamente, Gabriel! Lo has entendido perfectamente.
La aplicación de simulación (como Packet Tracer) es tu plano de construcción. Te permite diseñar la topología, conectar los dispositivos y probar que tu lógica de red funcione antes de tocar un solo equipo real. Es una herramienta de aprendizaje y diseño.
En el mundo real:
Diseñas: Creas el esquema de tu red (qué switch va con qué router, qué VLANs necesitas).
Configuras: Accedes a los equipos reales (vía consola o SSH) y aplicas los comandos exactos que probaste en el simulador.
La CLI (línea de comandos) es el lenguaje universal de los equipos de red profesionales. El simulador te enseña a hablar ese lenguaje para que, cuando estés frente a un switch real, sepas exactamente qué escribir para blindar tu red. ¡Vas por muy buen camino!
Ahi están las 8 computadoras añadidas en la oficina 2.
IPs de las computadoras añadidas por dhcp.
Las Vlans creadas con nombre y los puertos de acceso.
Primer Switch
Segundo Switch
Agrego las computadoras que tienen conexión entre ellas.
Ahora cuando no hay acceso hacia su vlan predeterminada dará failed.
para segmentar la red hago uso de las VLANs, pero si necesito que dos VLANs se comuniquen debo crear una ruta entre ellas ????
Concretamente se usa las vlan para limitar la comunicación, pero creo que la tecnología estandar para esto (No se tanto de redes) es SD-WAN
Tengo una pregunta, para hacer separación usando las VLAN ¿Es necesario que los equipos estén dentro de la misma red? O se puede dar si están en redes diferentes?
No es necesario que los equipos estén en la misma red IP para separarlos usando VLANs. Una VLAN segrega el tráfico en la misma red física, independientemente de la red IP a la que pertenezcan los dispositivos.
consulta aqui ven lo que es enrutamiento y vlsm
Hola no he tomado el curso pero por el titulo hablan sobre uso de vlan las cuales trabajan principalmente en capa 2 del modelo OSI.
El enrutamiento es capa 3 del modelo OSI.
VLSM es una forma de subnetar = dividir o segmentar un segmento de red.
Quiza lo que buscas viene mas adelante en el curso
