2.

REDES VLAN
EQUIPO 2
 • Del inglés Virtual LAN (Red de área local y
virtual), es un método que permite crear
redes que lógicamente son independientes,
aunque estas se encuentren dentro de una
misma red física.
¿Qué son? • De esta forma, un usuario podría disponer
de varias VLANs dentro de un mismo router
o switch.
 A día de hoy se configuran a través de
software y poseen grandes beneficios a la
hora de garantizar la seguridad y
administrar los equipos de forma eficaz

En lo que concierne a la seguridad, hay

USO Y que tener en cuenta que los dispositivos
pertenecientes a una VLAN no tienen
VENTAJAS acceso a los que se encuentren en otras y
viceversa.

Resulta útil cuando queremos segmentar

los equipos y limitar el acceso entre ellos
por temas de seguridad.
 2.1 TIPOS DE
VLAN
•Existen diferentes tipos de
redes VLAN, los cuales se
utilizan en las redes
modernas. Algunos tipos de
VLAN se definen según las
clases de tráfico. Otros tipos
de VLAN se definen según
la función específica que
cumplen.
 VLAN de datos

Es una VLAN configurada para Las VLAN de datos se usan Una VLAN que transporta
transportar tráfico generado por para dividir la red en grupos de tráfico de administración o de
usuarios. usuarios o dispositivos. voz no sería una VLAN de
datos
 VLAN Predeterminada

Todos los puertos de switch se vuelven parte de la Esto admite cualquier dispositivo conectado a cualquier
VLAN predeterminada después del arranque inicial de puerto de switch para comunicarse con otros
un switch que carga la configuración predeterminada. dispositivos en otros puertos de switch.
• La VLAN predeterminada para los switches Cisco es la VLAN 1.

• La VLAN 1 tiene todas las características de cualquier VLAN, excepto que no se le puede cambiar el
nombre ni se puede eliminar. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera
predeterminada.
Una VLAN nativa está asignada a un puerto troncal
802.1Q. Los puertos de enlace troncal son los enlaces
entre switches que admiten la transmisión de tráfico
asociado a más de una VLAN.

Una VLAN nativa funciona como identificador común

VLAN
Nativa
en extremos opuestos de un enlace troncal.

Se recomienda configurar la VLAN nativa como

VLAN sin utilizar, independiente de la VLAN 1 y de
otras VLAN.
 • Es cualquier VLAN que se configura para
acceder a las capacidades de administración
de un switch. 
VLAN de • La VLAN 1 es la VLAN de administración
de manera predeterminada. Para crear la
administració VLAN de administración, se asigna una
n dirección IP y una máscara de subred a la
interfaz virtual de switch (SVI) de esa
VLAN
• Dado que en la configuración de
fábrica de un switch Cisco la VLAN 1
se establece como VLAN
predeterminada, la VLAN 1 no es una
elección adecuada para la VLAN de
administración.
• En la ilustración, actualmente
todos los puertos están
asignados a la VLAN 1
predeterminada. No hay
ninguna VLAN nativa asignada
explícitamente ni otras VLAN
activas; por lo tanto, la VLAN
nativa de la red que se diseñó
es la VLAN de administración.
Esto se considera un riesgo de
seguridad.
 2.2
PROTOCOLOS
DE ENLACE
VLAN
 • El enlace troncal de VLAN
PROTOCOLOS permite que se definan varias
VLAN en toda la organización,
agregando etiquetas especiales a
las tramas que identifican la
VLAN a la cual pertenecen.
•  El enlace troncal de VLAN se
basa en estándares, siendo el
protocolo de enlace troncal IEEE
802.1Q el que se implementa por
lo general en la actualidad.
 VTP
• VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2
usado para configurar y administrar VLANs en equipos Cisco.

• Permite centralizar y simplificar la administración en un dominio de VLANs, pudiendo

crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar la
misma VLAN en todos los nodos. El protocolo VTP nace como una herramienta de
administración para redes de cierto tamaño, donde la gestión manual se vuelve
inabordable.

• VTP opera en 3 modos distintos:

• Servidor
• Cliente
• Transparente
 Minimiza posibles incoherencias de
configuración.

Violaciones de la seguridad (Conexión cruzada

BENEFICIOS de VLAN).

El VTP mantiene la consistencia de

configuración de la VLAN mediante la
administración del agregado, la eliminación y
la redenominación de las VLAN a través de los
switches múltiples de Cisco en una red.
2.3 Enrutamiento inter-VLAN –
ROUTER ON A STICK
 ¿Qué es?
El enrutamiento inter-VLAN es un proceso que
permite reenviar el tráfico de la red desde una
VLAN a otra mediante un router.
Las VLAN están asociadas a subredes IP únicas
en la red. Esta configuración de subred facilita
el proceso de enrutamiento en un entorno de
múltiples VLAN.
 ¿En que consiste?

Consiste en crear sub interfaces en una sola Tenemos la posibilidad de utilizar una sola
interface física de un router. interface para enrutar los paquetes de varias VLAN
 que viajan a través del puerto trunk de un switch
conectado a esa interface.
• Podemos así configurar varias IP de
diferentes redes a varias interfaces virtuales
(sub-interfaces) alojadas en una sola
interface física.
• Salimos un poco del enrutamiento básico, que
es en general lo que aprendemos primero, y
tiene una única red conectada a cada interface
del router.
 EJEMPLO
Tenemos el siguiente rango de IP para cada VLAN:

• VLAN 10 – 192.168.10.0/24
• VLAN 20 – 192.168.20.0/24
• VLAN 30 – 192.168.30.0/24
 PRIMER PASO
• Configuramos el puerto del SWITCH que se conecta al ROUTER lo
habilitaremos como troncal.
• En el SWITCH tenemos las siguientes líneas de comandos
• SWITCH# configure Terminal
• SWITCH (config)# interface fastEthernet 0/1
• SWITCH (config-if)# switchport mode trunk
• SWITCH (config-if)# no shutdown
 SEGUNDO PASO
• Ahora tendremos que configurar las interfaces del ROUTER con las IP de cada VLAN asociadas a los puertos del SWITCH.
• En el ROUTER tenemos las siguientes líneas de comandos:
• ROUTER (config)# interface fastEthernet 0/0.10
• ROUTER (config-if)#encapsulation dot1q 10
• ROUTER (config-if)# ip address 192.168.10.1 255.255.255.0
• ROUTER (config)# interface fastEthernet 0/0.20
• ROUTER (config-if)#encapsulation dot1q 20
• ROUTER (config-if)# ip address 192.168.20.1 255.255.255.0
• ROUTER (config)# interface fastEthernet 0/0.30
• ROUTER (config-if)# encapsulation dot1q 30
• ROUTER (config-if)# ip address 192.168.30.1 255.255.255.0
 TERCER PASO
• Levantar la interfaz del ROUTER fastEthernet 0/0
• ROUTER (config-)# interface fastEthernet 0/0
• ROUTER (config-if)# no shutdown
• ROUTER (config-if)# do write
• Finalizada esta configuración las diferentes VLANS se podrán comunicar.
2.4 RESOLUCIÓN DE
PROBLEMAS
VLAN Y ENLACES TRONCALES
 SOLUCIÓN
• Si tenemos problemas con una VLAN o con
un enlace troncal y no sabemos cuál es la
causa, debemos empezar examinando los
enlaces troncales para ver si existe una falta
de concordancia con la VLAN nativa y luego
seguir los pasos indicados
 FALTA DE
CONCORDANCIA
CON LA VLAN NATIVA
 ERROR AL
CONECTARSE AL
SWITCH
• “%CDP-4-
NATIVE_VLAN_MISMATCH“
• show interfaces fa0/3 switchport
 SOLUCIÓN
• Para solucionar el problema, debemos reconfigurar la VLAN nativa en el
puerto de enlace troncal Fa0/3 con la VLAN 99 tal y como se muestra en
la siguiente figura
Falta de concordancia en el modo de enlace troncal
 SOLUCIÓN
• Lo primero que debemos hacer es verificar el estado de los puertos de
enlace troncal en el switch S1 y S3 con el comando show interfaces
trunk. Al realizar esto, veremos en la figura que no hay enlace troncal en
la interfaz Fa0/3 del switch S1, sino que este está definido en la interface
Fa0/1
Comprobamos estado enlaces troncales S1
Ahora realizamos la misma comprobación en el switch S3, y vemos que en este caso no se
ha configurado ningún enlace troncal para este switch.

• Comprobamos estado enlaces troncales S3

Ahora ya sabemos por qué no tenemos comunicación entre el PC4 y el
servidor Web.
Debemos reconfigurar el modo de enlace troncal de los
puertos Fa0/3 en los switches S1 y S3.
 VLANs admitidas en
enlaces troncales

• Hemos visto que para que una VLAN

pase por un enlace troncal, tenemos
que haber permitido el acceso de la
misma. Para ello utilizamos el
comando switchport access trunk
allowed vlan add vlan-id. Como
podemos ver en el siguiente ejemplo,
se ha agregado la VLAN 20
(Estudiante) y la computadora PC5 a la
red. La documentación se ha
actualizado para mostrar que las
VLAN admitidas en el enlace troncal
son las 10, 20 y 99.
Lo primero que hacemos es revisar la configuración de los puertos de enlace
troncal en el switch S3 con el comando show interfaces trunk. Este nos
indica que la interfaz Fa0/3 en el switch S3 está correctamente configurada
para admitir las VLANs 10, 20 y 99.
• Show interface trunk S3
A continuación realizamos la misma
comprobación para el switch S1 el cual nos
indica que las interfaces Fa0/1 y Fa0/3 sólo
admiten las VLANs 10 y 99. Parece que alguien
actualizó la documentación pero olvidó
reconfigurar los puertos en el switch S1.
Para solucionar este problema, debemos reconfigurar los puertos
Fa0/1 y Fa0/3 en el switch S1 con el comando switchport trunk
allowed vlan 10, 20, 99.
 2.5
SEGURIDAD
• Todo buen administrador de redes sabe que seguramente el próximo
ataque a sus sistemas provenga de su red ya sea por malicia o
desconocimiento.
• Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y
los usuarios internos están más controlados, aunque sea a nivel de
aplicación.
• Vamos a empezar por marcarnos un objetivo:
Evitar que usuarios no autorizados accedan a
máquinas con datos confidenciales “digamos
SERVIDOR”.
Una vez tenemos claro el objetivo, vamos a
radicalizar nuestra postura y bloquearemos
todo acceso del grupo de usuarios NA a
SERVIDOR.
• 1-Acabamos de cortar todo acceso
entre los puntos de red de los
usuarios y los de los servidores.
Asegurémonos de no dejar puertos
libres en el switch configurados en
la VLAN "Servidores", de forma
que nadie pueda instalar una
máquina ahí y tardemos en darnos
cuenta de la intrusión
• 2) Vamos a colocar un firewall dentro de nuestra
red:
La idea es tratar la VLAN de usuarios como
"zona peligrosa" y la VLAN de servidores como
"zona a proteger". Instalaremos el firewall en
nuestro switch de la siguiente manera:
El puerto "externo" instalado en la VLAN de
usuarios y el puerto "interno" en la VLAN de
servidores.

Una vez instalado el firewall vamos a ponerle una

IP interna, otra IP externa y configuraremos las
rutas para que las máquinas de ambas VLAN's
puedan intercambiar información. Acto seguido
bloquearemos todo el tráfico entre las dos interfaces
3) Ahora toca establecer una
tabla donde veamos de un
vistazo rápido que máquinas de
la VLAN de usuarios necesitan
alcanzar ciertos recursos de la
VLAN de servidores.
Con esta tabla trabajaremos en
las políticas del firewall para
filtrar todo el tráfico por listas
de acceso.
•GRACIAS