Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas constituyen una VLAN. Se le llama virtual porque parece que están en una LAN propia, que la red está montada para ellos solos. Como hemos dicho antes, utilizar VLAN mejora el rendimiento y la seguridad, porque esas máquinas solo hablan entre ellas y nadie extraño las escucha. Al mismo tiempo, si ocurre un problema en una VLAN, las otras VLAN no se ven afectadas. Pero un exceso de tráfico en una VLAN sí afectaría a todos porque, al fin y al cabo, comparten el switch.
Una VLAN basada en grupos de puertos no queda limitada a un switch; uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc. Por ejemplo, cuando el departamento de marketing tiene parte de su personal en la primera planta y parte en la segunda, hay que dejar un puerto en cada switch para interconectarlos.
Sin embargo, es raro que las VLAN estén completamente aisladas del resto del mundo. Como mínimo, necesitarán acceso a Internet, así como conectar con otros servidores internos de la empresa (intranet, disco, backup, correo, etc.). Para interconectar VLAN (capa 2) generalmente utilizaremos un router (capa 3).
Capa 2. En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe cómo intercambiar paquetes de datos con los equipos que están en su misma red. La comunicación es directa entre origen y destino
Capa 3. La capa 3 o capa de red tiene una visión global de la red: sabe cómo hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por una máquina más: el router.
El router necesitará conectividad con cada una de las VLAN que interconecta. Una forma de conseguirlo es reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Una solución alternativa es utilizar el segundo tipo de VLAN: VLAN etiquetada (tag).
Para evitarlo, los switch permiten establecer autenticación en el puerto: solo podrá conectar aquel cuya MAC esté dentro de una lista defi nida en el propio switch, o, dado que las MAC son fácilmente falsifi cables (las tarjetas emiten los paquetes que genera el software de red del sistema operativo), el que sea autentifi cado mediante RADIUS en el estándar 802.1X.
Sin embargo, es raro que las VLAN estén completamente aisladas del resto del mundo. Como mínimo, necesitarán acceso a Internet, así como conectar con otros servidores internos de la empresa (intranet, disco, backup, correo, etc.). Para interconectar VLAN (capa 2) generalmente utilizaremos un router (capa 3).
Capa 2. En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe cómo intercambiar paquetes de datos con los equipos que están en su misma red. La comunicación es directa entre origen y destino
Capa 3. La capa 3 o capa de red tiene una visión global de la red: sabe cómo hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por una máquina más: el router.
El router necesitará conectividad con cada una de las VLAN que interconecta. Una forma de conseguirlo es reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Una solución alternativa es utilizar el segundo tipo de VLAN: VLAN etiquetada (tag).
Autenticación en el puerto. MAC y 802.1X
Hemos protegido el acceso al switch y repartido las máquinas de la empresa en varias VLAN, interconectadas por routers. Pero cualquiera puede meterse en un despacho, desconectar el cable RJ45 del ordenador del empleado, conectarlo a su portátil y ya estaría en esa VLAN. Como sigue siendo un switch, no podrá escuchar el tráfico normal de los demás ordenadores de la VLAN, pero sí lanzar ataques contra ellos.Para evitarlo, los switch permiten establecer autenticación en el puerto: solo podrá conectar aquel cuya MAC esté dentro de una lista defi nida en el propio switch, o, dado que las MAC son fácilmente falsifi cables (las tarjetas emiten los paquetes que genera el software de red del sistema operativo), el que sea autentifi cado mediante RADIUS en el estándar 802.1X.
No hay comentarios:
Publicar un comentario
Comenta lo que sea!