“Investigación primer parcial”

Ciencias de la Computación
Seguridad de la Información
José Lino Carrillo Villalobos
Sebastian Meza Andrade 339079
-VLAN – VIRTUAL LOCAL AREA NETWORK
Cuando tenemos una red LAN, que se intercomunica por medio de Switches, podemos
tener la necesidad de agrupar dispositivos informáticos ya sea por área ó por usuarios.

Por ejemplo en una Universidad:

Además de agrupar, ¿porqué se configuran VLAN’s?

Entre las razones principales son:

• Seguridad: los grupos que tienen datos sensibles se separan del resto de la red,
disminuyendo las posibilidades de que ocurran violaciones de información
confidencial.
• Reducción de costo: el ahorro en el costo resulta de la poca necesidad de
actualizaciones de red caras y más usos eficientes de enlaces y ancho de banda
existente.
• Mejor rendimiento: reduce el tráfico innecesario en la red y potencia el rendimiento.
• Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido
a que los usuarios con requerimientos similares de red comparten la misma VLAN.
Cuando proporciona un switch nuevo, todas las políticas y procedimientos que ya
 se configuraron para la VLAN particular se implementan cuando se asignan los
puertos. También es fácil para el personal de TI identificar la función de una VLAN
proporcionándole un nombre. (Las políticas se refiere por ejemplo que la VLAN de
alumnos tengan restringido el acceso a YouTube, Facebook, etc. Y la VLAN de
Docentes no tenga restricciones).

En los switches Cisco, se pueden crear hasta 255 VLAN’s y cada VLAN se identifica con
un número entre 2 a 1001, la Vlan 1 está creada por default y de la VLAN 1002 a 1005
están reservadas para comunicar diferentes topologías de Red (Token Ring, etc).

CONFIGURACIÓN DE VLANS:

1.- VISUALIZAR LA BASE DE DATOS DE LAS VLANS

Switch#show vlan

2.- AGREGAR TODAS LAS NUEVAS VLAN DE LA RED A LA

B.D.
Switch(config)#vlan 2
Switch(config-vlan)#name alumnos
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#name docentes
Switch(config-vlan)#exit
Switch(config)#vlan 4
Switch(config-vlan)#name admon
Switch(config-vlan)#exit
Switch(config)#exit
Switch#

Para cambiar el nombre de una VLAN, sólo se ingresa a la VLAN y se

le pone el nuevo nombre:

Switch(config)#vlan 2
Switch(config-vlan)#name estudiantes
Switch(config-vlan)#exit
Switch(config)#exit
Para borrar una VLAN (Se regresan a la VLAN 1 por default):

Switch(config)#no vlan 2
Switch(config)#exit
Switch#

3.- CONFIGURAR CADA PUERTO QUE CONECTA A CADA PC A LA

VLAN QUE LE CORRESPONDE:

Switch(config)#interface f0/1
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit

Switch(config)#interface f0/2
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit

Switch(config)#interface f0/3
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#exit
Switch#

4.- CONFIGURAR ENLACE TRONCAL (COMUNICA LA B.D. DE LAS

VLAN ENTRE SWITCHES)
Switch(config)#interface g0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#

Para verificar la configuración:

Switch#show running-config
-COMO GENERAR SUBREDES
SUBREDES - VLSM (Máscara de Subred de Longitud Variable)

*Es la división de un segmento de red para crear varios segmentos modificando la mascara
de subred.

*Cada subred tendría su propia dirección de red y broadcast.

*Al modificar la mascara de subred se tienen menos IP’S, lo cual mejora el rendimiento de
la red.

EJEMPLO (MODIFICANDO OCTETOS COMPLETOS)

DIRECCIONAMIENTO IPv4

CLASE A: 1 a 126 MÁSCARA: 255.0.0.0 = /8

CLASE B: 128 a 191 MÁSCARA: 255.255.0.0 = /16

CLASE C: 192 a 223 MÁSCARA: 255.255.255.0 = /24

CREACIÓN DE SUBREDES:
1.- CREAR UN SEGMENTO DE RED
Ejemplo Clase "B":

1a. IP: 172.16. 0.0 = dirección de RED = DIRECCIÓN GLOBAL DE RED

255.255. 0.0
172.16. 255.255 = Boradcast

Subred:

* Modificando el tercer octeto de la máscara, pasándolo de .0. a .255. permite fijar un

número para ese octeto, pudiendo crear varios segmentos más:

Subred #1

172.16.0.0 = 172.16.1.0 = Dir. Red

255.255.0.0 = 255.255.255.0
172.16.1.255 = Dir. Broadcast
Subred #2

= 172.16.2.0
255.255.255.0
172.16.2.255

Subred #3

=172.16.3.0
255.255.255.0
172.16.3.255

EJEMPLO CLASE "A"

IP GLOBAL DE RED:

10. 0.0.0
255. 0.0.0
10. 255.255.255

MODIFICANDO EL SEGUNDO OCTETO: MODIFICANDO HASTA EL

. TERCER OCTETO:

SUBRED #1 SUBRED #1

1a IP: 10.1.0.0 10.1.1.0

M.S. : 255.255.0.0 255.255.255.0
Broad: 10.1.255.255 10.1.1.255

SUBRED #2 SUBRED #2

1a IP: 10.2.0.0 10.1.2.0

M.S. : 255.255.0.0 255.255.255.0
Broad: 10.2.255.255 10.1.2.255

ULTIMA SUBRED:
10.255.0.0
255.255.0.0
10.255.255.255
Ejemplo de configuración RIPv2:

Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 172.16.0.0
Router(config-router)#exit

Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 172.16.0.0
Router(config-router)#exit
Router(config)#

-LISTAS DE CONTROL DE ACCESO (ACL) ESTANDAR:

- Son sentencias que se ejecutan en orden para permitir (permit) o negar (deny) alguna (s)
IPs de las VLANS de la red.

- Cada ACL se enumera del 1 al 99 y cada una puede tener múltiples sentencias.

- Para cumplir cada sentencia, la ACL se apoya en una máscara llamada "wildcard", donde
un "0" en la máscara indica que ese valor (número de IP) sebe cumplirse y un "255" indica
que puede ser cualquier valor.

Ejemplo:

Para permitir la IP 10.2.2.2 que tenga acceso al servidor, sería:

- permit 10.2.2.2 0.0.0.0

10.2.2.2 (si)
10.2.2.1 (no)
10.2.3.2 (no)

Para permitir las IP 10.2.2.X (donde X es cualquier valor)tenga acceso

al servidor, sería:
- permit 10.2.2.5 0.0.0.255

10.2.2.1 (si)
10.2.2.2 (si)
10.2.3.1 (no)

Para permitir las IP 10.2.X.X (donde X es cualquier valor)tenga acceso

al servidor, sería:

- permit 10.2.1.1 0.0.255.255

10.2.5.5 (si)
10.3.1.1 (no)
11.2.1.1 (no)

- permit 10.2.1.1 0.255.0.255

- La sintaxis de la ACL estandar es:

switch(config)#acces-list (1-99) {permit/deny} ip - wildcard

* Al final de cada ACL se pone una sentencia por default de seguridad, llamada “deny
any”, la cual niega todo si ninguna sentencia se cumplió.

*Cada ACL se ejecuta en la interface de una vlan, ya sea en su entrada o en su salida.

switch(config)#interface vlan (numero de VLAN)

switch(config-if)#ip access-group (numero de ACL) {in/out}

-CONFIGURACION SWITCH CAPA 3

- Las VLAN se agrupan por área o departamento y cada una tiene su propio segmento de
red.

- Los switches capa 2, pueden configurar VLAN pero no comunicar diferentes VLAN.

- Los switches capa 3 tienen funciones de ruteo, esto es, pueden comunicar diferentes
VLAN.

Ejemplo:

Pasos de configuración:

1)Agregar todas las VLAN en todos los switches:

switch(config)#vlan 2
switch(config-vlan)#name alumnos
switch(config-vlan)#exit

switch(config)#vlan 3
switch(config-vlan)#name docentes
switch(config-vlan)#exit

switch(config)#vlan 10
switch(config-vlan)#name server
switch(config-vlan)#exit
switch(config)#

2) Configurar puertos troncales.

En los switches capa 3, se aplica un encapsulamiento con un algoritmo llamado dot1q, para
juntar las tramas de los archivos de cada VLAN. (En los switches capa 2 no se aplica el
encapsulamiento).

switch(config)#interface f0/2
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk

3)Configurar los puertos de los switches que conectan a cada PC y Servidor, a la VLAN
que le corresponde:
switch(config)#interface f0/3
switch(config-if)#switchport access vlan 10
switch(config-if)#exit
switch(config)#

switch(config)#interface f0/2
switch(config-if)#switchport access vlan 2
switch(config-if)#exit
switch(config)#interface f0/3
switch(config-if)#switchport access vlan 2
switch(config-if)#exit
switch(config)#

switch(config)#interface f0/2
switch(config-if)#switchport access vlan 3
switch(config-if)#exit

switch(config)#interface f0/3
switch(config-if)#switchport access vlan 3
switch(config-if)#exit
switch(config)#

4) Activar la interface de cada VLAN y configurarle una dirección IP de su segmento de

red, la cual fungirá como IP de Gateway (Puerta de enlace) en las PC.

switch(config)#interface vlan 2
switch(config-if)#ip address 20.0.0.1 255.0.0.0
switch(config-if)#exit

switch(config)#interface vlan 3
switch(config-if)#ip address 30.0.0.1 255.0.0.0
switch(config-if)#exit
switch(config)#interface vlan 10
switch(config-if)#ip address 10.0.0.1 255.0.0.0
switch(config-if)#exit
switch(config)#
5) Configurar las IP en las PC y Servidor.

6) Activar el ruteo en el SW_PPAL:

switch(config)#ip routing
switch(config)#

7) Configurar el DNS en el servidor.