VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red

  • 332 views
Uploaded on

 

More in: Software
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
332
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
17
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red Alejandro Vald´es Jimenez avaldes@utalca.cl Universidad de Talca June 8, 2010 Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 1 / 26
  • 2. Agenda 1 Objetivos 2 Modelo OSI 3 Dispositivos de red 4 Dominio de broadcast 5 VLAN 6 Enrutamiento entre VLANs 7 Ejemplos Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 2 / 26
  • 3. Objetivos Objetivos Conocer diferentes dispositivos que participan de una red seg´un el modelo OSI. Conocer que son las VLANs, como operan y que benefecios trae su implementaci´on. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 3 / 26
  • 4. Modelo OSI Modelo OSI Modelo de referencia de Interconexi´on de Sistemas Abiertos (OSI, Open System Interconnection). Creado por la Organizaci´on Internacional para la Estandarizaci´on (OSI) lanzado en 1984. Es un marco de referencia para la definici´on de arquitecturas de interconexi´on de sistemas de comunicaciones mediante el uso de una pila de 7 de protocolos. Intercambio de informaci´on pasa desde una capa a la siguiente. De las 7 capas, pondremos atenci´on a las 3 inferiores. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 4 / 26
  • 5. Modelo OSI Diagrama de capas Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 5 / 26
  • 6. Modelo OSI Capa 1 Corresponde al medio de transmisi´on. Cable UTP Cat 5e, Fibra ´optica. Se˜nales radiades en t´erminos de redes inal´ambricas. Transmisi´on en bloques de bits. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 6 / 26
  • 7. Modelo OSI Capa 2 Paquetes de datos son transformados (viceversa) en bits. Dividido en 2 sub capas MAC (Media Access Control) Controla como los host en la red obtienen acceso y permiso para transmitir datos. LLC (Logical Link Control) Controla la sincronizaci´on de los marcos de datos, control de flujo y verificaci´on de errores. Direcci´on f´ısica est´a en este nivel. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 7 / 26
  • 8. Modelo OSI Capa 3 Funciones de ruteo y reenvio. Permite la comunicaci´on entre diferentes redes. El protocolo IP (Internet Protocol) est´a en este nivel. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 8 / 26
  • 9. Dispositivos de red Dispositivos de red Principalmente son: Repetidor Hub Bridge Switch Router Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 9 / 26
  • 10. Dispositivos de red Repetidor Dispositivo de capa 1. Retrasmite se˜nal. Se usa cuando se necesita ir mas lejos de lo que el cableado permite. Usualmente tiene 2 puertas (In/Out). Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 10 / 26
  • 11. Dispositivos de red Hub Dispositivo de capa 1. Contiene multiples puertos. No tiene ning´una inteligencia. Simplemente pasa los datos a todos los otros puertos. Es un repetidor multipuerto. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 11 / 26
  • 12. Dispositivos de red Bridge Dispositivo de capa 2. Conecta multiples segmentos de capa 2. Posee inteligencia. Aprende que direcci´on MAC est´a asociada en cada puerto. Recibe datos destinados a una MAC particular y lo envia por el puerto correcto. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 12 / 26
  • 13. Dispositivos de red Switch Dispositivo de capa 2. Es un bridge multipuerto. Aprende que direcci´on MAC est´a asociada en cada puerto. No inunda de datos todos los puertos, a menos que una direcci´on MAC no haya sido aprendida. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 13 / 26
  • 14. Dispositivos de red Router Dispositivo de capa 3. Conecta multiples redes de capa 3 (IP) Utiliza direcciones de capa 3 (IP) Permite comunicaci´on entre diferentes segmentos de capa 2. Divide los dominios de broadcast (difusi´on). Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 14 / 26
  • 15. Dominio de broadcast Dominio de broadcast Broadcast: Modo de transmisi´on de informaci´on donde un host emisor env´ıa informaci´on a una multitud de hosts receptores de manera simult´anea, sin necesidad de reproducir la misma transmisi´on host por host. Conjunto de dispositivos que reciben tramas de broadcast que tienen su origen en cualquiera de los dispositivos dentro del conjunto. Los dominios de broadcast generalmente est´an limitados por routers, dado que ´estos no reenvian tramas de broadcast. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 15 / 26
  • 16. VLAN Antecedentes Hosts y servidores conectados a switches de Capa 2 son parte del mismo segmento de la red. Esta disposici´on presenta dos problemas considerables: Switches inundan todos los puertos con las transmisiones de broadcast, lo que consume ancho de banda innecesario. A medida que aumenta la cantidad de dispositivos conectados a un switch, se genera m´as tr´afico de broadcast y se desperdicia m´as ancho de banda. Todos los dispositivos conectados a un switch pueden enviar y recibir tramas de todos los dem´as dispositivos del mismo switch. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 16 / 26
  • 17. VLAN Antecedentes Una de las mejores pr´acticas de dise˜no de red establece que el tr´afico de broadcast debe quedar restringido al ´area de la red en la que resulta necesario. Tambi´en existen razones de seguridad por las cuales ciertos hosts se comunican entre ellos, pero otros no. Por ejemplo, es posible que los miembros del departamento de contabilidad sean los ´unicos usuarios que necesiten acceso al servidor de contabilidad. En una red conmutada, redes de ´area local virtuales (VLAN) se crean de modo que contengan broadcast y agrupen a los hosts en comunidades de inter´es. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 17 / 26
  • 18. VLAN Que es una VLAN? Una VLAN es un dominio l´ogico de broadcast que puede abarcar diversos segmentos de una LAN f´ısica. Esto le permite a un administrador agrupar estaciones por funci´on l´ogica, por equipos de trabajo o por aplicaciones, independientemente de la ubicaci´on f´ısica de los usuarios. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 18 / 26
  • 19. VLAN Ejemplo de VLANs Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 19 / 26
  • 20. VLAN Como funcionan las VLANs Cada VLAN funciona como una LAN individual. Una VLAN abarca uno o m´as switches, lo que permite que los dispositivos host funcionen como si estuvieran en el mismo segmento de la red. Una VLAN tiene dos funciones principales: Contiene broadcast. Agrupa dispositivos. Los dispositivos ubicados en una VLAN no son visibles para los dispositivos ubicados en otra VLAN. Es necesario que el tr´afico cuente con un dispositivo de Capa 3 para poder transmitirlo entre VLAN. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 20 / 26
  • 21. VLAN Identificaci´on de VLANs Los dispositivos conectados a una VLAN s´olo se comunican con otros dispositivos de la misma VLAN, independientemente de que est´en en el mismo switch o en switches diferentes. Un switch asocia cada puerto con un n´umero de VLAN espec´ıfico. Cuando una trama ingresa a ese puerto, el switch agrega el ID de la VLAN (VID) en la trama Ethernet. La adici´on del n´umero de ID de la VLAN a la trama Ethernet se denomina etiquetado de trama. El est´andar de etiquetado de trama m´as frecuente es IEEE 802.1Q. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 21 / 26
  • 22. VLAN Beneficios de las VLANs Limita el tama˜no de dominios de broadcast. Mejora el rendimiento de la red. Proporciona un nivel de seguridad. Ahorro de dinero. No se necesita hardware ni cableado adicional. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 22 / 26
  • 23. Enrutamiento entre VLANs Enrutamiento entre VLANs Aunque las VLAN se extienden para abarcar diversos switches, s´olo los miembros de la misma VLAN pueden comunicarse. Un dispositivo de Capa 3 proporciona conectividad entre diferentes VLAN. Esta configuraci´on permite que el administrador de red controle estrictamente el tipo de tr´afico que se transmite de una VLAN a otra. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 23 / 26
  • 24. Enrutamiento entre VLANs M´etodo 1 Requiere una conexi´on de interfaz aparte al dispositivo de Capa 3 para cada VLAN. Por cada VLAN se necesitan puertas dedicadas del switch y del router. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 24 / 26
  • 25. Enrutamiento entre VLANs M´etodo 2 Requiere una funci´on llamada subinterfaz. Las subinterfaces dividen l´ogicamente una interfaz f´ısica en diversas rutas l´ogicas. Es posible configurar una ruta o una subinterfaz para cada VLAN. Una subinterfaz permite que cada VLAN tenga su propia ruta l´ogica y un gateway predeterminado en el router. Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 25 / 26
  • 26. Ejemplos Ejemplos Red sin VLAN. red 172.16.16.0/24 Red con VLANs (sin comunicaci´on entre ellas). VLAN 10 de alumnos (172.16.16.0/24) VLAN 20 de funcionarios (10.10.10.0/24) VLAN 30 de servicios (192.168.20.0/24) Red con VLANs (con comunicaci´on entre ellas). VLAN 10 de alumnos (172.16.16.0/24) (gateway 172.16.16.1) VLAN 20 de funcionarios (10.10.10.0/24) (gateway 10.10.10.1) VLAN 30 de servicios (192.168.20.0/24) (gateway 192.168.20.1) Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 26 / 26