X CAP UPLA

LISTAS DE CONTROL DE ACCESO

Qu son las ACL? Las ACL son listas de condiciones que se aplican al trfico que viaja a travs de la interfaz del router. Estas listas le informan al router qu tipo de paquetes aceptar o rechazar. La aceptacin y rechazo se pueden basar en ciertas condiciones especficas. Las ACL permiten la administracin del trfico y aseguran el acceso hacia y desde una red. Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Las ACL filtran el trfico de red, controlando si los paquetes enrutados se envan o se bloquean en las interfaces del router. El router examina cada paquete y lo enviar o lo descartar, segn las condiciones especificadas en la ACL. Algunos de los puntos de decisin de ACL son direcciones origen y destino, protocolos y nmeros de puerto de capa superior. Las ACL se definen segn el protocolo, la direccin o el puerto. Para controlar el flujo de trfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Las ACL controlan el trfico en una direccin por vez, en una interfaz. Se necesita crear una ACL por separado para cada direccin, una para el trfico entrante y otra para el saliente. Finalmente, cada interfaz puede contar con varios protocolos y direcciones definidas. Si el router tiene dos interfaces configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs separadas. Una ACL por cada protocolo, multiplicada por dos por direccin entrante y saliente, multiplicada por dos por el nmero de puertos. Estas son las razones principales para crear las ACL: Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir el trfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma. Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda. Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Por ejemplo, al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le niega el acceso a dicha red. Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Permitir que se enrute el trfico de correo electrnico, pero bloquear todo el trfico de telnet. Permitir que un administrador controle a cules reas de la red puede acceder un cliente. Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP. Si las ACL no estn configuradas en el router, todos los paquetes que pasen a travs del router tendrn acceso a todas las partes de la red

Ing. William Marchand N.

X CAP UPLA

Ing. William Marchand N.

X CAP UPLA

Funcionamiento de las ACL Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los paquetes en interfaces entrantes o salientes. Estas decisiones se toman haciendo coincidir una sentencia de condicin en una lista de acceso y luego realizando la accin de aceptacin o rechazo definida en la sentencia. El orden en el que se ubican las sentencias de la ACL es importante. El software Cisco IOS verifica si los paquetes cumplen cada sentencia de condicin, en orden, desde la parte superior de la lista hacia abajo. Una vez que se encuentra una coincidencia, se lleva a cabo la accin de aceptar o rechazar y no se verifican otras sentencias ACL. Si una sentencia de condicin que permite todo el trfico est ubicada en la parte superior de la lista, no se verifica ninguna sentencia que est por debajo. Si se requieren ms cantidad de sentencias de condicin en una lista de acceso, se debe borrar y volver a crear toda la ACL con las nuevas sentencias de condicin. Para que el proceso de revisin de una ACL sea ms simple, es una buena idea utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuracin del router. El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. A medida que una trama ingresa a una interfaz, el router verifica si la direccin de Capa 2 concuerda o si es una trama de broadcast. Si se acepta la direccin de la trama, la informacin de la trama se elimina y el router busca una ACL en la interfaz entrante. Si existe una ACL, entonces se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete cumple las condiciones, se lleva a cabo la accin de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino y conmutarlo a aquella interfaz. A continuacin, el router verifica si la interfaz destino

Ing. William Marchand N.

X CAP UPLA tiene una ACL. Si existe una ACL, se compara el paquete con las sentencias de la lista y si el paquete concuerda con una sentencia, se lleva a cabo la aceptacin o el rechazo del paquete. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el nuevo protocolo de Capa 2 y se enva por la interfaz hacia el dispositivo siguiente. A manera de revisin, las sentencias de la ACL operan en orden secuencial lgico. Si se cumple una condicin, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si todas las sentencias ACL no tienen coincidencias, se coloca una sentencia implcita que dice deny any (denegar cualquiera) en el extremo de la lista por defecto. Aunque la lnea deny any no sea visible como ltima lnea de una ACL, est ah y no permitir que ningn paquete que no coincida con las lneas anteriores de la ACL sea aceptada. Cuando est aprendiendo por primera vez cmo crear una ACL, es una buena prctica agregar el deny any al final de las ACL para reforzar la presencia dinmica de la prohibicin implcita deny Creacin de las ACL Las ACL se crean en el modo de configuracin global. Cuando se configuran las ACL en el router, cada una debe identificarse de forma nica. Por ello, se les asigna un nmero. Despus de crear una lista de acceso, se la debe asignar a la interfaz correspondiente. Las ACL se asignan a una o ms interfaces, y pueden filtrar el trfico entrante o saliente con el comando ip access-group. El comando ip access-group se enva en el modo de configuracin de la interfaz. Para asignar una lista de acceso a una interfaz, se debe definir tambin la direccin del trfico que filtrar la lista. El trfico que ingresa en una interfaz se filtra mediante una lista de acceso entrante. El trfico que sale de una interfaz se filtra mediante una lista de acceso saliente. Para cambiar una ACL que contiene declaraciones ACL numeradas, se deben borrar todas las declaraciones en la ACL numerada mediante el comando no access-list[listnumber]. Los pasos para configurar una ACL son los siguientes: rt1(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <300-399> DECnet access list <600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list

Ing. William Marchand N.

X CAP UPLA <900-999> IPX extended access list <2000-2699> IP extended access list (expanded range) rate-limit Simple rate-limit specific access list Las ACL se crean en el modo de configuracin global. Existen varias clases diferentes de ACLs: estndar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma nica, asignndole un nmero. Este nmero identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango especfico de nmeros que es vlido para ese tipo de lista. Despus de ingresar al modo de comando apropiado y que se decide el nmero de tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parmetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de nmero de lista, el usuario tipea las condiciones usando el comando access-list seguido de los parmetros apropiados. Este es el primero de un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada. En TCP/IP, las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente, usando el comando ip access-group en el modo de configuracin de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicacin entrante o saliente. Es posible establecer la direccin del filtro para verificar los paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL controla el trfico entrante o saliente, el administrador de red necesita mirar las interfaces como si se observara desde dentro del router. Este es un concepto muy importante. Una lista de acceso entrante filtra el trfico que entra por una interfaz y la lista de acceso saliente filtra el trfico que sale por una interfaz. Despus de crear una ACL numerada, se la debe asignar a una interfaz. Una ACL que contiene sentencias ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla. Es necesario utilizar estas reglas bsicas a la hora de crear y aplicar las listas de acceso. Una lista de acceso por protocolo y por direccin. Se deben aplicar las listas de acceso estndar que se encuentran lo ms cerca posible del destino. Se deben aplicar las listas de acceso extendidas que se encuentran lo ms cerca posible del origen. Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router. Las sentencias se procesan de forma secuencial desde el principio de la lista hasta el final hasta que se encuentre una concordancia, si no se encuentra ninguna, se rechaza el paquete. Hay un deny any (denegar cualquiera)implcito al final de todas las listas de acceso. Esto no aparece en la lista de configuracin. Las entradas de la lista de acceso deben realizar un filtro desde lo particular a lo general. Primero se deben denegar hosts especfico y por ltimo los grupos o filtros generales. Primero se examina la condicin de concordancia. El permiso o rechazo se examina SLO si la concordancia es cierta. Nunca trabaje con una lista de acceso que se utiliza de forma activa. Utilice el editor de texto para crear comentarios que describan la lgica, luego complete las sentencias que realizan esa lgica.

Ing. William Marchand N.

X CAP UPLA Siempre, las lneas nuevas se agregan al final de la lista de acceso. El comando no access-listx elimina toda la lista. No es posible agregar y quitar lneas de manera selectiva en las ACL numeradas. Una lista de acceso IP enva un mensaje ICMP llamado de host fuera de alcance al emisor del paquete rechazado y descarta el paquete en la papelera de bits. Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de acceso se aplica a una interfaz de produccin y se la elimina, segn sea la versin de IOS, puede haber una deny any (denegar cualquiera) por defecto aplicada a la interfaz, y se detiene todo el trfico. Los filtros salientes no afectan al trfico que se origina en el router local Funcin de la mscara wildcard Una mscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Una mscara wildcard se compara con una direccin IP. Los nmeros uno y cero en la mscara se usan para identificar cmo tratar los bits de la direccin IP correspondientes. El trmino mscara wildcard es la denominacin aplicada al proceso de comparacin de bits de mscara y proviene de una analoga con el "wildcard" (comodn) que equivale a cualquier otro naipe en un juego de pquer. Las mscaras wildcard no guardan relacin funcional con las mscaras de subred. Se utilizan con distintos propsitos y siguen distintas reglas. Las mscaras de subred y las mscaras de wildcard representan dos cosas distintas al compararse con una direccin IP. Las mscaras de subred usan unos y ceros binarios para identificar las porciones de red, de subred y de host de una direccin IP. Las mscaras de wildcard usan unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos segn el valor de las mismas. La nica similitud entre la mscara wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros. Para evitar la confusin, se substituirn las X por 1 en los grficos de mscaras wildcard. La mscara se escribe como 0.0.255.255. Un cero significa que se deje pasar el valor para verificarlo. Las X (1) significan impedir que se compare el valor. Durante el proceso de mscara wildcard, la direccin IP en la sentencia de la lista de acceso tiene la mscara wildcard aplicada a ella. Esto crea el valor de concordancia, que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un paquete o enviarlo a la prxima sentencia para que se lo verifique. La segunda parte del proceso de ACL consiste en que toda direccin IP que una sentencia ACL en particular verifica, tiene la mscara wildcard de esa sentencia aplicada a ella. El resultado de la direccin IP y de la mscara debe ser igual al valor de concordancia de la ACL ACL Hay dos palabras clave especiales que se utilizan en las ACL, las opciones any y host. Para explicarlo de forma sencilla, la opcin any reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por 255.255.255.255. Esta opcin concuerda con cualquier direccin con la que se la compare. La mscara 0.0.0.0 reemplaza la opcin host. Esta mscara necesita todos los bits de la direccin ACL y la concordancia de direccin del paquete. Esta opcin slo concuerda con una direccin

Ing. William Marchand N.

X CAP UPLA

Verificacin de las ACL Existen varios comandos show que verifican el contenido y ubicacin de las ACL en el router. El comando show ip interface muestra informacin de la interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o nmero ACL como opcin a este comando. El comando show running-config tambin revela las listas de acceso en el router y la informacin de asignacin de interfaz. Estos comandos show verifican los contenidos y ubicacin de las listas. Tambin se recomienda verificar las listas de acceso usando trfico de ejemplo para asegurarse que la lgica de la lista de acceso sea correcta.

Ing. William Marchand N.

X CAP UPLA

ACL estndar Las ACL estndar verifican la direccin origen de los paquetes IP que se deben enrutar. Con la comparacin se permite o rechaza el acceso a todo un conjunto de protocolos, segn las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen en Fa0/0 para establecer la direccin origen y el protocolo. Si se les otorga el permiso, los paquetes se enrutan a travs del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante. En la versin 12.0.1 del IOS de Cisco, se usaron por primera vez nmeros adicionales (1300 al 1999) para las ACLs estndar pudiendo as proveer un mximo posible de 798 ACLs estndar adicionales, a las cuales se les conoce como ACLs IP expandidas. (tambin entre 1300 y 1999 en IOS recientes) En la primera sentencia ACL, cabe notar que no hay mscara wildcard. En este caso donde no se ve ninguna lista, se utiliza la mscara por defecto, que es la 0.0.0.0. Esto significa que toda la direccin debe concordar o que esta lnea en la ACL no aplica y el router debe buscar una concordancia en la lnea siguiente de la ACL. La sintaxis completa del comando ACL estndar es: Router(config)#access-listaccess-list-number {deny | permit | remark} source [source-wildcard ] [log] El uso de remark facilita el entendimiento de la lista de acceso. Cada remark est limitado a 100 caracteres. Por ejemplo, no es suficientemente claro cual es el propsito del siguiente comando: access-list 1 permit 171.69.2.88

Ing. William Marchand N.

X CAP UPLA Es mucho mas fcil leer un comentario acerca de un comando para entender sus efectos, as como sigue: access-list 1 remark Permit only Jones workstation through access-list 1 permit 171.69.2.88 La forma no de este comando se utiliza para eliminar una ACL estndar. sta es la sintaxis: Router(config)#no access-listaccess-list-number El comando ip access-group relaciona una ACL existente a una interface: Router(config)#ip access-group {access-list-number | access-list-name} {in | out} La tabla muestra descripciones de los parmetros utilizados en esta sintaxis

Ing. William Marchand N.

X CAP UPLA

ACL extendidas Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque ofrecen un mayor control. Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y tambin los protocolos y nmeros de puerto. Esto ofrece mayor flexibilidad para establecer qu verifica la ACL. Se puede permitir o rechazar el acceso de los paquetes segn el lugar donde se origin el paquete y su destino as como el tipo de protocolo y direcciones de puerto. Una ACL extendida puede permitir el trfico de correo electrnico de Fa0/0 a destinos especficos S0/0, al mismo tiempo que deniega la transferencia de archivos y la navegacin en la red. Una vez descartados los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable. Es posible configurar mltiples sentencias en una sola ACL. Cada una de estas sentencias debe tener el mismo nmero de lista de acceso, para poder relacionar las sentencias con la misma ACL. Puede haber tanta cantidad de sentencias de condicin como sean necesarias, siendo la nica limitacin la memoria disponible en el router. Por cierto, cuantas ms sentencias se establezcan, mayor ser la dificultad para comprender y administrar la ACL. La sintaxis de una sentencia ACL extendida puede ser muy extensa y a menudo, se vuelve engorrosa en la ventana terminal. Las wildcards tambin tienen la opcin de utilizar las palabras clave host o any en el comando. Al final de la sentencia de la ACL extendida, se obtiene ms precisin con un campo que especifica el Protocolo para el control de la transmisin (TCP) o el nmero de puerto del Protocolo de datagrama del usuario (UDP). Las operaciones lgicas pueden especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a (lt) aqullas que efectuarn las ACL extendidas en protocolos especficos. Las ACL extendidas utilizan el

Ing. William Marchand N.

10

X CAP UPLA nmero de lista de acceso entre 100 y 199 (tambin entre 2000 y 2699 en IOS recientes). El comando ip access-group enlaza una ACL extendida existente a una interfaz. Recuerde que slo se permite una ACL por interfaz por protocolo por direccin. El formato del comando es: Router(config-if)#ip access-group access-list-number {in | out}

Ubicacin de las ACL Las ACL se utilizan para controlar el trfico, filtrando paquetes y eliminando el trfico no deseado de la red. Otra consideracin importante a tener en cuenta al implementar la ACL es dnde se ubica la lista de acceso. Si las ACL se colocan en el lugar correcto, no slo es posible filtrar el trfico sino tambin toda la red se hace ms eficiente. Si se tiene que filtrar el trfico, la ACL se debe colocar en un lugar donde mejore la eficiencia de forma significativa. En la figura el administrador quiere denegar el trfico telnet o FTP del segmento LAN Ethernet del Router A al segmento LAN Ethernet conmutado Fa0/1 en el Router D, y al mismo tiempo permitir otros tipos de trfico. Hay varias maneras de cumplir con esta poltica. La recomendacin es utilizar ACL extendida, especificando las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El trfico con direcciones de origen y destino diferentes todava puede permitirse. La regla es colocar las ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino. Por ejemplo, una ACL estndar se debe colocar en Fa0/0 del Router D para evitar el trfico desde el Router A.

Ing. William Marchand N.

11

X CAP UPLA Un administrador solo puede colocar una lista de acceso en el dispositivo que controla. De este modo, la ubicacin de la lista de acceso se determina segn hasta dnde se extienda el control del administrador de la red

Ing. William Marchand N.

12

X CAP UPLA

LAN VIRTUALES

Introduccin a las VLAN Una VLAN es una agrupacin lgica de estaciones, servicios y dispositivos de red que no se limita a un segmento de LAN fsico. Las VLAN facilitan la administracin de grupos lgicos de estaciones y servidores que se pueden comunicar como si estuviesen en el mismo segmento fsico de LAN. Tambin facilitan la administracin de mudanzas, adiciones y cambios en los miembros de esos grupos. Las VLAN segmentan de manera lgica las redes conmutadas segn las funciones laborales, departamentos o equipos de proyectos, sin importar la ubicacin fsica de los usuarios o las conexiones fsicas a la red. Todas las estaciones de trabajo y servidores utilizados por un grupo de trabajo en particular comparten la misma VLAN, sin importar la conexin fsica o la ubicacin. La configuracin o reconfiguracin de las VLAN se logra mediante el software. Por lo tanto, la configuracin de las VLAN no requiere que los equipos de red se trasladen o conecten fsicamente. Una estacin de trabajo en un grupo de VLAN se limita a comunicarse con los servidores de archivo en el mismo grupo de VLAN. Las VLAN segmentan de forma lgica la red en diferentes dominios de broadcast, de manera tal que los paquetes slo se conmutan entre puertos y se asignan a la misma VLAN. Las VLAN se componen de hosts o equipos de red conectados mediante un nico dominio de puenteo. El dominio de puenteo se admite en diferentes equipos de red. Los switches de LAN operan protocolos de puenteo con un grupo de puente separado para cada VLAN. Las VLAN se crean para brindar servicios de segmentacin proporcionados tradicionalmente por routers fsicos en las configuraciones de LAN. Las VLAN se ocupan de la escalabilidad, seguridad y gestin de red. Los routers en las topologas de VLAN proporcionan filtrado de broadcast, seguridad y gestin de flujo de trfico. Los switches no puentean ningn trfico entre VLAN, dado que esto viola la integridad del dominio de broadcast de las VLAN. El trfico slo debe enrutarse entre VLAN.

Ing. William Marchand N.

13

X CAP UPLA

Dominios de broadcast con VLAN y routers Una VLAN es un dominio de broadcast que se crea en uno o ms switches. El diseo de red en las Figuras y requiere de tres dominios de broadcast separados. La Figura muestra como los tres dominios de broadcast se crean usando tres switches. El enrutamiento de capa 3 permite que el router mande los paquetes a tres dominios de broadcast diferentes. En la Figura , se crea una VLAN con un router y un switch. Existen tres dominios de broadcast separados. El router enruta el trfico entre las VLAN mediante enrutamiento de Capa 3. El switch en la Figura enva tramas a las interfaces del router cuando se presentan ciertas circunstancias: Si es una trama de broadcast Si est en la ruta a una de las direcciones MAC del router Si la Estacin de Trabajo 1 de la VLAN de Ingeniera desea enviar tramas a la Estacin de Trabajo 2 en la VLAN de Ventas, las tramas se envan a la direccin MAC Fa0/0 del router. El enrutamiento se produce a travs de la direccin IP de la interfaz del router Fa0/0 para la VLAN de Ingeniera. Si la Estacin de Trabajo 1 de la VLAN de Ingeniera desea enviar una trama a la Estacin de Trabajo 2 de la misma VLAN, la direccin MAC de destino de la trama es la de la Estacin de Trabajo 2. La implementacin de VLAN en un switch hace que se produzcan ciertas acciones: El switch mantiene una tabla de puenteo separada para cada VLAN.

Ing. William Marchand N.

14

X CAP UPLA Si la trama entra en un puerto en la VLAN 1, el switch busca la tabla de puenteo para la VLAN 1. Cuando se recibe la trama, el switch agrega la direccin origen a la tabla de puenteo si es desconocida en el momento. Se verifica el destino para que se pueda tomar una decisin de envo. Para aprender y enviar se realiza la bsqueda en la tabla de direcciones para esa VLAN solamente

Ing. William Marchand N.

15

X CAP UPLA

Ing. William Marchand N.

16

X CAP UPLA Operacin de las VLAN Una VLAN se compone de una red conmutada que se encuentra lgicamente segmentada. Cada puerto de switch se puede asignar a una VLAN. Los puertos asignados a la misma VLAN comparten broadcasts. Los puertos que no pertenecen a esa VLAN no comparten esos broadcasts. Esto mejora el desempeo de la red porque se reducen los broadcasts innecesarios. Las VLAN de asociacin esttica se denominan VLAN de asociacin de puerto central y basadas en puerto. Cuando un dispositivo entra a la red, da por sentado automticamente que la VLAN est asociada con el puerto al que se conecta. Los usuarios conectados al mismo segmento compartido comparten el ancho de banda de ese segmento. Cada usuario adicional conectado al medio compartido significa que el ancho de banda es menor y que se deteriora el desempeo de la red. Las VLAN ofrecen mayor ancho de banda a los usuarios que una red Ethernet compartida basada en hubs. La VLAN por defecto para cada puerto del switch es la VLAN de administracin. La VLAN de administracin siempre es la VLAN 1 y no se puede borrar. Por lo menos un puerto debe asignarse a la VLAN 1 para poder gestionar el switch. Todos los dems puertos en el switch pueden reasignarse a VLAN alternadas. Las VLAN de asociacin dinmica son creadas mediante software de administracin de red. Se usa CiscoWorks 2000 o CiscoWorks for Switched Internetworks para crear las VLAN dinmicas. Las VLAN dinmicas permiten la asociacin basada en la direccin MAC del dispositivo conectado al puerto de switch. Cuando un dispositivo entra a la red, el switch al que est conectado consulta una base de datos en el Servidor de Configuracin de VLAN para la asociacin de VLAN. En la asociacin de VLAN de puerto central basada en puerto, el puerto se asigna a una asociacin de VLAN especfica independiente del usuario o sistema conectado al puerto. Al utilizar este mtodo de asociacin, todos los usuarios del mismo puerto deben estar en la misma VLAN. Un solo usuario, o varios usuarios pueden estar conectados a un puerto y no darse nunca cuenta de que existe una VLAN. Este mtodo es fcil de manejar porque no se requieren tablas de bsqueda complejas para la segmentacin de VLAN. Los administradores de red son responsables por configurar las VLAN de forma esttica y dinmica. Los puentes filtran el trfico que no necesita ir a los segmentos, salvo el segmento destino. Si una trama necesita atravesar un puente y la direccin MAC destino es conocida, el puente slo enva la trama al puerto de puente correcto. Si la direccin MAC es desconocida, inunda la trama a todos los puertos en el dominio de broadcast, o la VLAN, salvo el puerto origen donde se recibi la trama. Los switches se consideran como puentes multipuerto.

Ing. William Marchand N.

17

X CAP UPLA

Ing. William Marchand N.

18

X CAP UPLA Ventajas de las VLAN Las VLAN permiten que los administradores de red organicen las LAN de forma lgica en lugar de fsica. sta es una ventaja clave. Esto permite que los administradores de red realicen varias tareas: Trasladar fcilmente las estaciones de trabajo en la LAN Agregar fcilmente estaciones de trabajo a la LAN Cambiar fcilmente la configuracin de la LAN Controlar fcilmente el trfico de red Mejorar la seguridad

Configuracin de VLAN estticas Las VLAN estticas son puertos en un switch que se asignan manualmente a una VLAN. Esto se hace con una aplicacin de administracin de VLAN o configurarse directamente en el switch mediante la CLI. Estos puertos mantienen su configuracin de VLAN asignada hasta que se cambien manualmente. Este tipo de VLAN funciona bien en las redes que tienen requisitos especficos: Todos los movimientos son controlados y gestionados. Existe un software slido de gestin de VLAN para configurar los puertos. El gasto adicional requerido para mantener direcciones MAC de estacin final y tablas de filtrado personalizadas no es aceptable. Las VLAN dinmicas no se basan en puertos asignados a una VLAN especfica.

Ing. William Marchand N.

19

X CAP UPLA Para configurar las VLAN en los switches serie Cisco 2900, se deben aplicar pautas especficas: La cantidad mxima de VLAN depende del switch. Una de las VLAN por defecto de fbrica es VLAN1. La VLAN Ethernet por defecto es VLAN1. Se envan publicaciones del Protocolo de Descubrimiento de Cisco (CDP) y Protocolo de Enlace Troncal de VLAN (VTP) en la VLAN 1. (VTP se analiza en el Mdulo 9). La direccin IP del switch se encuentra por defecto en el dominio de broadcast de la VLAN 1. El switch debe estar en el modo de servidor VTP para crear, agregar o borrar VLAN. La creacin de una VLAN en un switch es una tarea muy directa y simple. Si se usa un switch basado en comandos del IOS, se puede usar el comando vlan database en el modo EXEC privilegiado para entrar al modo de configuracin de VLAN. Tambin se puede configurar un nombre de VLAN, de ser necesario: Switch#vlan database Switch(vlan)#vlan vlan_number Switch(vlan)#exit Al salir, se aplica la VLAN al switch. El paso siguiente es asignar la VLAN a una o ms interfaces: Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Verificacin de la configuracin de VLAN Se aplican los siguientes hechos a las VLAN: Una VLAN creada permanece sin usar hasta que se la asigna a puertos de switch. Todos los puertos Ethernet son asignados a VLAN 1 por defecto. La Figura muestra una lista de comandos aplicables.

La Figura muestra los pasos necesarios para asignar una nueva VLAN a un puerto en el switch de Sydney. Las Figuras brief . y muestran el resultado de los comandos show vlan y show vlan

Ing. William Marchand N.

20

X CAP UPLA

Ing. William Marchand N.

21

X CAP UPLA

Eliminacin de VLAN

En la Figura , se asign Fastethernet 0/9 a la VLAN 300 con el comando switchport access vlan 300 . Para eliminar esta VLAN de la interfaz, basta con usar la forma no del comando.

Ing. William Marchand N.

22

X CAP UPLA El comando que aparece a continuacin se utiliza para eliminar una VLAN de un switch: Switch#vlan database Switch(vlan)#no vlan 300 Cuando se elimina una VLAN, todos los puertos asignados a esa VLAN quedan inactivos. Los puertos, sin embargo, quedan asociados a la VLAN eliminada hasta que se los asigna a una nueva VLAN

Protocolo de enlace troncal de VLAN

Conceptos de enlace troncal un enlace troncal es una conexin fsica y lgica entre dos switches a travs de la cual se transmite el trfico de red. Es un nico canal de transmisin entre dos puntos. Generalmente, los dos puntos son centros de conmutacin. En una red conmutada, un enlace troncal es un enlace punto a punto que admite varias VLAN. El propsito de un enlace troncal es conservar los puertos cuando se crea un enlace entre dos dispositivos que implementan las VLAN. La Figura muestra dos VLAN compartidas entre los switches Sa y Sb. Cada switch usa dos enlaces fsicos de modo que cada puerto transporta trfico para una sola VLAN. sta es una forma sencilla de implementar la comunicacin entre las VLAN de diferentes switches, pero no funciona bien a mayor escala.

Ing. William Marchand N.

23

X CAP UPLA La adicin de una tercera VLAN requiere el uso de dos puertos adicionales, uno para cada switch conectado. Este diseo tambin es ineficiente en lo que se refiere al mtodo de compartir la carga. Adems, el trfico en algunas de las VLAN puede no justificar un enlace dedicado. El enlace troncal agrupa mltiples enlaces virtuales en un enlace fsico. Esto permite que el trfico de varias VLAN viaje a travs de un solo cable entre los switches. Un enlace troncal se puede comparar con las carreteras de distribucin de una autopista. Las carreteras que tienen distintos puntos de inicio y fin comparten una autopista nacional principal durante algunos kilmetros, luego se vuelven a dividir para llegar a sus destinos individuales. Este mtodo es ms econmico que la construccin de una carretera entera desde el principio al fin para cada destino conocido o nuevo

Operacin del enlace troncal Las tablas de conmutacin en ambos extremos del enlace troncal se pueden usar para tomar decisiones de envo basadas en las direcciones MAC destino de las tramas. A medida que aumenta la cantidad de VLAN que viajan a travs del enlace troncal, las decisiones de envo se tornan ms lentas y ms difciles de administrar. El proceso de decisin se torna ms lento dado que las tablas de conmutacin de mayor tamao tardan ms en procesarse.

Ing. William Marchand N.

24

X CAP UPLA Los protocolos de enlace troncal se desarrollaron para administrar la transferencia de tramas de distintas VLAN en una sola lnea fsica de forma eficaz. Los protocolos de enlace troncal establecen un acuerdo para la distribucin de tramas a los puertos asociados en ambos entremos del enlace troncal. Los dos tipos de mecanismos de enlace troncal que existen son el filtrado de tramas y el etiquetado de tramas. La IEEE adopt el etiquetado de tramas como el mecanismo estndar de enlace troncal. Los protocolos de enlace troncal que usan etiquetado de tramas logran un envo de tramas ms veloz y facilitan la administracin. El nico enlace fsico entre dos switches puede transportar trfico para cualquier VLAN. Para poder lograr esto, se rotula cada trama que se enva en el enlace para identificar a qu VLAN pertenece. Existen distintos esquemas de etiquetado. Los dos esquemas de etiquetado ms comunes para los segmentos Ethernet son ISL y 802.1Q: ISL Un protocolo propietario de Cisco 802.1Q Un estndar IEEE que es el punto central de esta seccin

VLANs y enlace troncal Se usan protocolos, o normas, especficos para implementar los enlaces troncales. El enlace troncal proporciona un mtodo eficaz para distribuir la informacin del identificador de VLAN a otros switches. Los dos tipos de mecanismos de enlace troncal estndar que existen son el etiquetado de tramas y el filtrado de tramas. En esta pgina se explica cmo se puede usar el etiquetado de tramas para ofrecer una solucin ms escalable para la implementacin

Ing. William Marchand N.

25

X CAP UPLA de las VLAN. El estndar IEEE 802.1Q establece el etiquetado de tramas como el mtodo para implementar las VLAN. El etiquetado de trama de VLAN se ha desarrollado especficamente para las comunicaciones conmutadas. El etiquetado de trama coloca un identificador nico en el encabezado de cada trama a medida que se enva por todo el backbone de la red. El identificador es comprendido y examinado por cada switch antes de enviar cualquier broadcast o transmisin a otros switches, routers o estaciones finales. Cuando la trama sale del backbone de la red, el switch elimina el identificador antes de que la trama se transmita a la estacin final objetivo. El etiquetado de trama funciona a nivel de Capa 2 y requiere pocos recursos de red o gastos administrativos. Es importante entender que un enlace troncal no pertenece a una VLAN especfica. Un enlace troncal es un conducto para las VLAN entre los switches y los routers. ISL es un protocolo que mantiene la informacin de VLAN a medida que el trfico fluye entre los switches. Con ISL, la trama Ethernet se encapsula con un encabezado que contiene un identificador de VLAN

Introduccin al enrutamiento entre VLAN Cuando el host en un dominio de broadcast desea comunicarse con un host en otro dominio de broadcast, debe utilizarse un router. El puerto 1 en un switch forma parte de la VLAN 1 y el puerto 2 forma parte de la VLAN 200. Si todos los puertos de switch formaran parte de la VLAN 1, es posible que los hosts conectados a estos puertos puedan comunicar entre s. Sin embargo, en este caso, los puertos forman parte de distintas VLAN, la VLAN 1 y la VLAN 200. Se debe utilizar un router si los hosts de las distintas VLAN necesitan comunicarse entre s. La ventajas ms importante del enrutamiento es su probado historial de facilitar la administracin de redes, especialmente de grandes redes. Aunque la Internet sirva de ejemplo obvio, este punto es vlido para cualquier tipo de red, como por ejemplo un backbone de campus de gran tamao. Dado que los routers evitan la propagacin de

Ing. William Marchand N.

26

X CAP UPLA broadcast y utilizan algoritmos de envo ms inteligentes que los puentes y los switches, los routers ofrecen un uso ms eficiente del ancho de banda. Esto da como resultado simultneamente una seleccin de ruta flexible y ptima. Por ejemplo, es muy fcil implementar el equilibrio de carga a travs de varias rutas en la mayora de las redes cuando se realiza el proceso de enrutamiento. Por otra parte, el equilibrio de carga de la Capa 2 puede resultar muy difcil de disear, implementar y mantener. Si una VLAN abarca varios dispositivos se utiliza un enlace troncal para interconectar los dispositivos. El enlace troncal transporta el trfico para varias VLAN. Por ejemplo, un enlace troncal puede conectar un switch a otro switch, un switch a un router entre VLAN o un switch a un servidor instalando una NIC especial que admite enlace troncal. Recuerde que cuando un host en una VLAN desea comunicarse con un host de otra VLAN, se debe utilizar un router.

Problemas y soluciones entre VLAN Cuando las VLAN se conectan entre s, surgen algunos problemas tcnicos. Dos de los problemas ms comunes que pueden surgir en un entorno de varias VLAN son los siguientes: La necesidad de que los dispositivos de usuario final alcancen hosts no locales Las necesidad de que los hosts en distintas VLAN se comuniquen entre s Cuando un router necesita realizar una conexin a un host remoto, verifica su tabla de enrutamiento para determinar si existe alguna ruta conocida. Si el host remoto entra en una subred que sabe cmo llegar al destino, el sistema verifica si puede conectarse a travs de esta interfaz. Si todas las rutas conocidas fallan, el sistema tiene una

Ing. William Marchand N.

27

X CAP UPLA ltima opcin, la ruta por defecto. Esta ruta es un tipo especial de ruta gateway y por lo general es la nica que est presente en el sistema. En un router, un asterisco (*) permite indicar una ruta por defecto en el resultado del comando show ip route . Para los hosts en una red de rea local, este gateway se establece en cualquier mquina que tiene conexin directa con el mundo exterior y corresponde al Gateway por defecto que aparece en las configuraciones TCP/IP de la estacin de trabajo. Si la ruta por defecto se configura para un router que est funcionando como gateway para la Internet pblica, entonces la ruta por defecto apuntar a la mquina de gateway en un sitio de proveedor de servicios Internet (ISP). Las rutas por defecto se implementan usando el comando ip route . Router(Config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 En este ejemplo, 192.168.1.1 es el gateway. La conectividad entre VLAN se puede lograr a travs de una conectividad lgica o fsica. La conectividad lgica involucra una conexin nica, o un enlace troncal, desde el switch hasta el router. Ese enlace troncal puede admitir varias VLAN. Esta topologa se denomina "router en un palo" porque existe una sola conexin al router. Sin embargo, existen varias conexiones lgicas entre el router y el switch. La conectividad fsica implica una conexin fsica separada para cada VLAN. Esto significa una interfaz fsica separada para cada VLAN. Los primeros diseos de VLAN se basaban en routers externos conectados a switches que admitan VLAN. En este enfoque, los routers tradicionales se conectan a una red conmutada a travs de uno o ms enlaces. Los diseos de "router en un palo" emplean un enlace troncal nico que conecta el router al resto de la red campus. El trfico entre VLANs debe atravesar el backbone de Capa 2 para alcanzar el router desde donde podr desplazarse entre las VLAN. El trfico viaja entonces de vuelta hacia la estacin final deseada utilizando el mtodo de envo de Capa 2 normal. Este flujo de ida y vuelta es caracterstico de los diseos de "router en un palo". Interfaces fsicas y lgicas En una situacin tradicional, una red con cuatro VLAN requerira cuatro conexiones fsicas entre el switch y el router externo. A medida que las tecnologas como por ejemplo el Enlace inter-switch (ISL) se vuelven ms comunes, los diseadores de red empiezan a utilizar enlaces troncales para conectar los routers a los switches. A pesar de que se puede utilizar cualquier tecnologa de enlace troncal como por ejemplo ISL, 802.1Q, 802.10 o la emulacin LAN (LANE), los enfoques basados en Ethernet como por ejemplo ISL y 802.1Q son ms comunes. El protocolo propietario de Cisco ISL as como el estndar 802.1q de varios vendedores IEEE, se utilizan para efectuar el enlace troncal de las VLAN en los enlaces Fast Ethernet. La lnea slida en el ejemplo se refiere a un enlace fsico nico entre el switch Catalyst y el router. Se trata de la interfaz fsica que conecta el router al switch. A medida que aumenta la cantidad de VLAN en una red, el enfoque fsico de tener una interfaz de router por VLAN se vuelve rpidamente inescalable. Las redes con muchas

Ing. William Marchand N.

28

X CAP UPLA VLAN deben utilizar el enlace troncal de VLAN para asignar varias VLAN a una interfaz de router nica. Las lneas punteadas en el ejemplo se refieren a los distintos enlaces lgicos que se ejecutan a travs de este enlace fsico utilizando subinterfaces. El router puede admitir varias interfaces lgicas en enlaces fsicos individuales. Por ejemplo, la interfaz fsica FastEthernet 1/0 podra soportar tres interfaces virtuales denominadas FastEthernet 1/0.1, 1/0.2 y 1/0.3. La ventaja principal del uso del enlace troncal es una reduccin en la cantidad de puertos de router y switch que se utiliza. Esto no slo permite un ahorro de dinero sino tambin reduce la complejidad de la configuracin. Como consecuencia, el enfoque de router conectado a un enlace troncal puede ampliarse hasta un nmero mucho ms alto de VLAN que el diseo de "un enlace por VLAN".

Ing. William Marchand N.

29

X CAP UPLA

Divisin de interfaces fsicas en subinterfaces Una subinterfaz es una interfaz lgica dentro de una interfaz fsica, como por ejemplo la interfaz Fast Ethernet en un router. Pueden existir varias subinterfaces en una sola interfaz fsica. Cada subinterfaz admite una VLAN y se le asigna una direccin IP. Para que varios dispositivos en una misma VLAN se puedan comunicar, las direcciones IP de todas las subinterfaces en malla deben encontrarse en la misma red o subred. Por ejemplo, si la subinterfaz FastEthernet 0/0.1 tiene una direccin IP de 192.168.1.1 entonces 192.168.1.2, 192.168.1.3 y 192.1.1.4 son las direcciones IP de dispositivos conectados a la subinterfaz FastEthernet 0/0.1. Para poder establecer una ruta entre las distintas VLAN con subinterfaces, se debe crear una subinterfaz para cada VLAN

Ing. William Marchand N.

30

X CAP UPLA

Configuracin de un enrutamiento entre distintas VLAN

Ing. William Marchand N.

31

X CAP UPLA Antes de implementar cualquiera de estos comandos, debe verificarse cada router y switch para comprobar qu encapsulamientos de VLAN admiten. Los switches Catalyst 2950 han admitido el enlace troncal 802.1q desde que se lanz al mercado la versin 12.0(5.2)WC(1) de Cisco IOS, pero no admiten el enlace troncal Inter-Switch (ISL). Para que el enrutamiento entre VLAN funcione correctamente, todos los routers y switches involucrados deben admitir el mismo encapsulamiento. En un router, una interfaz se puede dividir lgicamente en varias subinterfaces virtuales. Las subinterfaces ofrecen una solucin flexible para el enrutamiento de varias corrientes de datos a travs de una interfaz fsica nica. Para definir las subinterfaces en una interfaz fsica, realice las siguientes tareas: Identifique la interfaz. Defina el encapsulamiento de la VLAN. Asigne una direccin IP a la interfaz. Para identificar la interfaz utilice el comando interface en el modo de configuracin global. Router(config)#interface fastethernet port-number. subinterface-number port-number identifica la interfaz fsica y subinterface-number identifica la interfaz virtual. El router debe poder comunicarse con el switch utilizando un protocolo de enlace troncal estandarizado. Esto significa que ambos dispositivos conectados entre s deben comprenderse. En el ejemplo, se utiliza 802.1Q. Para definir el encapsulamiento de la VLAN, introduzca el comando encapsulation en el modo de configuracin de interfaz. Router(config-if)#encapsulation dot1q vlan-number vlan-number identifica la VLAN para la cual la subinterfaz transportar el trfico. Se agrega un ID de VLAN a la trama slo cuando la trama est destinada a una red no local. Cada paquete de VLAN transporta el ID de VLAN dentro del encabezado del paquete. Para asignar una direccin IP a la interfaz, introduzca el siguiente comando en el modo de configuracin de interfaz. Router(config-if)#ip address ip-address subnet-mask ip-address y subnet-mask son las direcciones y la mscara de red de 32 bits de la interfaz especfica. En el ejemplo, el router tiene tres subinterfaces configuradas en la interfaz Fast Ethernet 0/0. Estas tres subinterfaces se identifican como 0/0.1, 0/0.2 y 0/0.3. Todas las interfaces se encapsulan para 802.1q. La interfaz 0/0.1 enruta paquetes para la VLAN 1, mientras que la interfaz 0/0.2 enruta paquetes para la VLAN 20 y la interfaz 0/0.3 enruta paquetes para la VLAN 30

Ing. William Marchand N.

32

X CAP UPLA

Ing. William Marchand N.

33