VLAN privadas

La necesidad de segregar una sola VLAN es especialmente útil en los siguientes escenarios de implementación:

• Conjunto de servidores: un proveedor de servicios de Internet típico utiliza una granja de servidores para proporcionar alojamiento Web a numerosos clientes. La ubicación de varios servidores dentro de una sola granja de servidores proporciona facilidad de administración. Los problemas de seguridad surgen si todos los servidores se encuentran en la misma red VLAN ya que las transmisiones de capa 2 se dirigen a todos los servidores de la VLAN.

• Redes Ethernet metropolitanas: un proveedor de servicios metro ofrece acceso Ethernet de capa 2 a hogares surtidos, comunidades de alquiler y negocios. La solución tradicional de implementar una VLAN por cliente no es escalable y es difícil de administrar, lo que conduce a un posible desperdicio de direcciones IP. PVLANs proporcionan una solución más segura y más eficiente.

Un PVLAN puede configurarse en un único conmutador o puede configurarse para que abarque varios conmutadores. Los tipos de dominios y puertos son:

• VLAN principal: la VLAN principal de la PVLAN se define con una etiqueta 802.1Q (ID de VLAN) para la PVLAN completa. El PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

• VLAN aislada/puerto aislado: una VLAN principal solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada puede reenviar paquetes solo a un puerto promiscuo o al puerto de vínculo inter conmutador (ISL). Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; y una interfaz aislada no puede recibir paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso únicamente a un enrutador de puerta de enlace, el dispositivo debe conectarse a un puerto de enlace aislado.

• VLAN de comunidad/puerto de comunidad: puede configurar varias VLAN de comunidad dentro de una sola PVLAN. Una interfaz dentro de una VLAN específica de la comunidad puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de la comunidad. Una interfaz dentro de una VLAN de la comunidad también puede comunicarse con un puerto promiscuo o con el puerto ISL. Si, por ejemplo, dispone de dos dispositivos del cliente que necesita aislar de otros dispositivos del cliente pero que deben poder comunicarse entre sí, utilice puertos de la comunidad.

• Puerto promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces de la PVLAN, independientemente de si una interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no se incluye en ningún subdominio secundario. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de extremo se suelen conectar a un puerto promiscuo.

• Vínculo entre conmutadores (ISL): un ISL es un puerto de troncalización que conecta varios conmutadores en una PVLAN y contiene dos o más VLAN. Solo es necesario cuando un PVLAN abarca varios conmutadores.

El PVLAN configurado es el dominio principal (VLAN principal). En el PVLAN, puede configurar las VLAN secundarias , que se convierten en subdominios anidados dentro del dominio principal. Un PVLAN puede configurarse en un único conmutador o puede configurarse para que abarque varios conmutadores. El PVLAN que se Figura 1 muestra en incluye dos conmutadores, con un dominio PVLAN principal y varios subdominios.

Figura 1: Subdominios en un PVLAN

Como se muestra Figura 3en la, un PVLAN solo tiene un dominio principal y varios dominios secundarios. Los tipos de dominios son:

• VLAN principal: VLAN usada para reenviar tramas descendentes a VLAN aisladas y de comunidad. La VLAN principal de la PVLAN se define con una etiqueta Q 802.1 (ID de VLAN) para el PVLAN completo. El PVLAN principal puede contener varias VLAN secundarias (una VLAN aislada y varias VLAN de comunidad).

• VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía las tramas hacia arriba a la VLAN principal. La VLAN aislada es una VLAN secundaria anidada en la VLAN principal. Una VLAN principal solo puede contener una VLAN aislada. Una interfaz dentro de una VLAN aislada (interfaz aislada) puede reenviar paquetes únicamente a un puerto promiscuo o al puerto troncal PVLAN. Una interfaz aislada no puede reenviar paquetes a otra interfaz aislada; tampoco es posible que una interfaz aislada reciba paquetes de otra interfaz aislada. Si un dispositivo del cliente necesita tener acceso únicamente a un enrutador, el dispositivo debe estar conectado a un puerto de enlace aislado.

• VLAN aislada de interswitch secundario: VLAN que se usa para reenviar tráfico de VLAN aislado de un conmutador a otro a través de puertos de troncalización PVLAN. Se requieren etiquetas 802.1Q para VLAN aisladas entre conmutadores, ya que IEEE 802.1Q utiliza un mecanismo interno de etiquetado mediante el cual un dispositivo de troncalización inserta una pestaña de identificación de trama VLAN de 4 bytes en el encabezado del paquete. Una VLAN aislada de intercambios es una VLAN secundaria anidada dentro de la VLAN principal.

• VLAN de comunidad secundaria: VLAN se utiliza para transportar tramas entre miembros de una comunidad (un subconjunto de usuarios dentro de la VLAN) y para reenviar tramas hacia arriba a la VLAN principal. Una VLAN de comunidad es una VLAN secundaria anidada en la VLAN principal. Puede configurar varias VLAN de comunidad en un solo PVLAN. Una interfaz dentro de una VLAN específica de la comunidad puede establecer comunicaciones de capa 2 con cualquier otra interfaz que pertenezca a la misma VLAN de la comunidad. Una interfaz dentro de una VLAN de la comunidad también puede comunicarse con un puerto promiscuo o con el puerto troncal PVLAN.

Figura 2muestra un PVLAN que abarca varios conmutadores, en los que100la VLAN principal () (300 contiene 400dos dominios de la comunidad y un dominio aislado intercambiador.

Figura 2: PVLAN de varios conmutadores

El PVLAN configurado se convierte en el dominio principal y las VLAN secundarias se convierten en subdominios anidados dentro del dominio principal. Se puede crear una PVLAN en un único enrutador. La PVLAN que se Figura 3 muestra en incluye un enrutador, con un dominio PVLAN principal y varios subdominios secundarios.

Figura 3: Subdominios en un PVLAN con un enrutador

Los tipos de dominios son:

• VLAN principal: VLAN usada para reenviar tramas descendentes a VLAN aisladas y de comunidad.

• VLAN aislada secundaria: VLAN que recibe paquetes solo de la VLAN principal y reenvía las tramas hacia arriba a la VLAN principal.

• VLAN aislada de interswitch secundario: VLAN que se usa para reenviar tráfico de VLAN aislado de un enrutador a otro a través de puertos de troncalización PVLAN.

• VLAN de comunidad secundaria: VLAN se utiliza para transportar tramas entre miembros de una comunidad, que es un subconjunto de usuarios dentro de la VLAN, y para reenviar tramas hacia arriba a la VLAN principal.

Figura 4muestra un PVLAN en un conmutador único, donde la VLAN principal (VLAN 100) contiene dos VLANs de la comunidad 300 (VLAN 400y VLAN) y una VLAN aislada 50(VLAN).

Figura 4: VLAN privada en un solo conmutador EX

Figura 5muestra un PVLAN que abarca varios conmutadores, donde la VLAN principal 100(VLAN) contiene dos VLANs de 300 la comunidad 400(VLAN y VLAN) y una VLAN aislada (VLAN 200). También muestra que los conmutadores 1 y 2 se conectan a través de un enlace de intercambios (PVLAN troncal Link).

Figura 5: PVLAN que abarca varios conmutadores de la serie EX

Asimismo, los PVLANs mostrados Figura 4 en Figura 5 y utilizan un puerto promiscuo conectado a un enrutador como medio para enrutar el tráfico de capa 3 entre la comunidad y las VLAN aisladas. En lugar de utilizar el puerto promiscuo conectado a un enrutador, puede configurar un RVI en el conmutador Figura 4 o uno de los conmutadores que Figura 5 se muestran en la (en algunos conmutadores ex).

Para enrutar el tráfico de capa 3 entre las VLANs aisladas y de la comunidad, debe conectar un enrutador Figura 4 a Figura 5un puerto promiscuo, como se muestra en y, o configurar un RVI.

Si elige la opción RVI, debe configurar una RVI para la VLAN principal en el dominio PVLAN. Este RVI sirve al dominio PVLAN completo independientemente de si el dominio incluye uno o varios conmutadores. Después de configurar la RVI, la RVI asigna y enruta los paquetes de capa 3 recibidos por las interfaces vlan secundarias.

Al configurar el RVI, también debe activar el protocolo de resolución de direcciones de proxy (ARP) para que el RVI pueda tratar las solicitudes ARP recibidas por las interfaces VLAN secundarias.

Para obtener más información sobre la configuración de PVLANs en un único conmutador y en varios conmutadores, consulte la creación de una VLAN privada en un único conmutador de la serie ex (procedimiento de la CLI).Para obtener más información sobre la configuración de un RVI, consulte la configuración de una interfaz de VLAN de ruta en una VLAN privada en un conmutador de la serie ex.

Para enrutar el tráfico de capa 3 entre las VLANs aisladas y de la comunidad, debe conectar un enrutador externo o un conmutador a un puerto troncal de la VLAN principal. El puerto de enlace de la VLAN principal es un puerto promiscuo ; por lo tanto, puede comunicarse con todos los puertos de la PVLAN.

Cuando los paquetes se marcan con una etiqueta de 802.1 Q específica del cliente, esa etiqueta identifica la posesión de los paquetes para cualquier conmutador o enrutador de la red. A veces, se necesitan etiquetas 802.1Q dentro de las PVLANs para hacer un seguimiento de paquetes desde diferentes subdominios. Tabla 1 indica cuando se necesita una etiqueta VLAN 802.1Q en la VLAN principal o en vlan secundarias.

PVLANs proporcionan la conservación de direcciones IP y una asignación eficiente de direcciones IP. En una red típica, las VLAN suelen corresponder a una sola subred IP. En PVLANs, los hosts de todas las VLAN secundarias pertenecen a la misma subred IP, ya que la subred está asignada a la VLAN principal. A los hosts de la VLAN secundaria se les asigna direcciones IP basadas en subredes IP asociadas con la VLAN principal, y su información de enmascaramiento de subred IP refleja la de la subred VLAN principal. Sin embargo, cada VLAN secundaria es un dominio de difusión independiente.

PVLANs puede utilizar hasta seis tipos de puertos distintos. La red descrita enFigura 2 utiliza un puerto promiscuo para transportar información al enrutador, los puertos de la comunidad para conectar las comunidades de finanzas y recursos humanos con sus respectivos conmutadores, los puertos aislados para conectar los servidores y un puerto de troncal PVLAN para conectar ambos cambios. Los puertos PVLAN tienen distintas restricciones:

• Puerto de troncalización promiscuo: un puerto promiscuo tiene comunicaciones de capa 2 con todas las interfaces que se encuentran en la PVLAN, independientemente de si la interfaz pertenece a una VLAN aislada o a una VLAN de comunidad. Un puerto promiscuo es miembro de la VLAN principal, pero no se incluye en uno de los subdominios secundarios. Las puertas de enlace de capa 3, los servidores DHCP y otros dispositivos de confianza que necesitan comunicarse con dispositivos de extremo se suelen conectar a un puerto promiscuo.

• Vínculo de troncalización PVLAN: el vínculo de troncalización PVLAN, que también se conoce como vínculo de interswitch, solo se requiere cuando una PVLAN está configurada para abarcar varios conmutadores. El enlace de troncal de PVLAN conecta los conmutadores múltiples que componen el PVLAN.

• Puerto de troncalización PVLAN: en las configuraciones PVLAN de varios conmutadores se requiere un puerto de troncalización PVLAN para abarcar los conmutadores. El puerto troncal PVLAN es miembro de todas las VLAN en la PVLAN (es decir, la VLAN principal, la comunidad VLAN y la VLAN aislada intercambiadora), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos excepto con los puertos aislados.

  La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La membresía de un puerto de troncalización PVLAN en la VLAN aislada de interswitch es de solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresen en un puerto de acceso promiscuo y, por lo tanto, se reenvía a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

• Puerto de troncalización DE VLAN secundario (no se muestra): los puertos de troncalización secundarios llevan tráfico de VLAN secundario. En el caso de una VLAN privada determinada, un puerto de tronco de VLAN secundario puede transportar el tráfico sólo a una VLAN secundaria. Sin embargo, un puerto de tronco de VLAN secundario puede transportar tráfico para varias VLAN secundarias siempre y cuando cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto de tronco de VLAN secundario puede transportar tráfico para una VLAN de comunidad que forma parte de pvlan100 de VLAN principal y que también transporta tráfico para una VLAN aislada que forma parte de VLAN principal pvlan400.

• Puerto de la comunidad: los puertos de la comunidad se comunican entre sí y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo seleccionado de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o de puertos aislados en su PVLAN.

• Puerto de acceso aislado: los puertos aislados solo tienen conectividad de capa 2 con puertos promiscuos y puertos de troncalización PVLAN; un puerto aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros del mismo dominio de VLAN aislada (o VLAN aislada entre conmutadores). Normalmente, un servidor, como un servidor de correo o un servidor de copia de seguridad, está conectado en un puerto aislado. En un hotel, cada habitación suele estar conectado en un puerto aislado, lo que significa que no es posible la comunicación de la sala a la sala, pero que cada sala puede tener acceso a Internet en el puerto promiscuo.

• Puerto de acceso promiscuo (no mostrado): estos puertos llevan tráfico sin etiquetar. El tráfico de entrada en un puerto de acceso promiscuo se reenvía a todos los puertos VLAN secundarios del dispositivo. Si el tráfico entra en el dispositivo en un puerto habilitado para VLAN y de salida en un puerto de acceso promiscuo, el tráfico queda sin etiquetar a la salida. Si el tráfico con etiqueta se encuentra en un puerto de acceso promiscuo, se descarta el tráfico.

• Puerto de vínculo de interswitch: un puerto de vínculo de interswitch (ISL) es un puerto de troncalización que conecta dos enrutadores cuando una PVLAN se extiende por esos enrutadores. El puerto de ISL es un miembro de todas las VLAN de la PVLAN (es decir, la VLAN principal, las VLAN de la comunidad y la VLAN aislada).

  La comunicación entre un puerto de ISL y un puerto aislado es unidireccional. La membresía de un puerto ISL en la VLAN aislada de interswitch es de solo salida, lo que significa que el tráfico entrante en el puerto ISL nunca se asigna a la VLAN aislada. Un puerto aislado puede reenviar paquetes a un puerto PVLAN troncal, pero un puerto de enlace de PVLAN no puede reenviar paquetes a un puerto aislado. Tabla 3 resume si existe conectividad de capa 2 entre los distintos tipos de puertos.

Tabla 2resume la conectividad de capa 2 entre los distintos tipos de puertos de un PVLAN en conmutadores de la serie EX que admite ELS.

Tabla 4resume si existe conectividad de capa 2 entre los distintos tipos de puertos dentro de una PVLAN.

Como se indica en , la comunicación de capa 2 entre un puerto aislado y un puerto de Tabla 4 troncalización PVLAN es unidireccional. Es decir, un puerto aislado solo puede enviar paquetes a un puerto de troncal PVLAN y un puerto de enlace de PVLAN solo puede recibir paquetes de un puerto aislado. A la inversa, un puerto de troncal PVLAN no puede enviar paquetes a un puerto aislado, y un puerto aislado no puede recibir paquetes desde un puerto de enlace de PVLAN.

El diagrama de flujo Figura 6 que se muestra en le ofrece una idea general del proceso de creación de PVLANs. Si completa los pasos de configuración en el orden mostrado, no infringirá estas reglas de PVLAN. (En las reglas PVLAN, la configuración del puerto de enlace de PVLAN sólo se aplica a un PVLAN que abarca varios enrutadores.)

• La VLAN principal debe ser una VLAN etiquetada.

• Si va a configurar un ID de VLAN de la comunidad, primero debe configurar la VLAN principal.

• Si va a configurar un ID de VLAN de aislamiento, primero debe configurar la VLAN principal.

La configuración de una VLAN en un único enrutador es relativamente sencilla Figura 6, tal y como se muestra en la.

Figura 6: Configuración de un PVLAN en un solo conmutador

La configuración de una VLAN principal consta de estos pasos:

1. Configure el nombre de VLAN principal y la etiqueta de 802.1 Q.

2. Establecer no-local-switching en la VLAN principal.

3. Configure el puerto troncal y los puertos de acceso del promiscuo.

4. Haga que el troncal promiscuo y los puertos de acceso sean miembros de la VLAN principal.

En una VLAN principal, puede configurar VLANs secundarias, o VLAN aisladas secundarias o ambas. La configuración de una VLAN de comunidad secundaria consta de los siguientes pasos:

1. Configure una VLAN con el proceso habitual.

2. Configure interfaces de acceso para la VLAN.

3. Asignar una VLAN principal a la VLAN de la comunidad,

Las VLAN aisladas se crean internamente cuando la VLAN aislada tiene interfaces de acceso como miembros y la opción está no-local-switching habilitada en la VLAN principal.

las etiquetas 802.1 q son necesarias para las VLAN aisladas entre conmutadores, ya que IEEE 802.1 Q utiliza un mecanismo de etiquetado interno mediante el cual un dispositivo de Troncalización inserta una ficha de identificación de fotogramas de VLAN de 4 bytes en el encabezado del paquete.

Los puertos de troncalización solo son necesarios para las configuraciones de PVLAN multirouter: el puerto de troncalización transporta tráfico desde la VLAN principal y todas las VLAN secundarias.

• Una interfaz de acceso puede pertenecer únicamente a un dominio PVLAN, es decir, no puede participar en dos VLAN principales diferentes.

• Una interfaz troncal puede ser miembro de dos VLAN secundarias siempre y cuando las VLAN secundarias se encuentren en dos VLAN principales distintas . Una interfaz troncal no puede ser miembro de dos VLAN secundarias que se encuentren en la misma VLAN principal.

• Se debe configurar una sola región de multiple Spanning Tree Protocol (MSTP) en todas las VLAN incluidas en el PVLAN.

• No se admite el protocolo de árbol de expansión de VLAN (VSTP).

• La supervisión IGMP no es compatible con las VLAN privadas.

• Las interfaces VLAN enrutadas no se admiten en VLAN privadas

• No se admite el enrutamiento entre VLAN secundarias de la misma VLAN principal.

• Algunas instrucciones de configuración no pueden especificarse en una VLAN secundaria. Puede configurar las siguientes instrucciones en el nivel [edit vlans vlan-name switch-options] de jerarquía solo en la PVLAN principal.

• Si desea cambiar una VLAN principal para que sea una VLAN secundaria, primero debe cambiarla a una VLAN normal y confirmar el cambio. Por ejemplo, puede seguir este procedimiento:

  1. Cambie la VLAN principal para que sea una VLAN normal.

  2. Confirme la configuración.

  3. Cambie la VLAN normal para que sea una VLAN secundaria.

  4. Confirme la configuración.

  Siga la misma secuencia de confirmaciones si desea cambiar una VLAN secundaria para que sea una VLAN principal. Es decir, convertir la VLAN secundaria en una VLAN normal y confirmar ese cambio y, a continuación, cambiar la VLAN normal para que sea una VLAN principal.

Las siguientes características no se admiten en PVLANs en conmutadores Junos con compatibilidad para el estilo de configuración Els:

• Filtros de Firewall de VLAN de salida

• Protección de ring Ethernet (ERP)

• Etiquetado de VLAN flexible

• global-Mac-estadísticas

• Interfaz de enrutamiento y puentes integrados (IRB)

• Grupos de agregación de vínculos de chasis múltiple (MC-intervalos)

• Duplicación de puertos

• Túnel q-in-Q

• Protocolo de árbol de expansión de VLAN (VSTP)

• Voz sobre IP (VoIP)

Puede configurar las siguientes instrucciones en el [edit vlans vlan-name switch-options] nivel de jerarquía únicamente en el PVLAN primario:

• Mac-Table-size

• no-aprendizaje para Mac

• estadísticas de Mac

• límite de interface-Mac-Limit

PVLANs puede usar los siguientes tipos de puerto:

• Puerto de troncalización promiscuo: un puerto promiscuo es un puerto de troncalización ascendente conectado a un enrutador, firewall, servidor o red de proveedor. Un puerto troncal promiscuo puede comunicarse con todas las interfaces, incluidos los puertos aislados y de comunidad de una PVLAN.

• Puerto de troncalización PVLAN: en las configuraciones PVLAN de varios conmutadores se requiere un puerto de troncalización PVLAN para abarcar los conmutadores. El puerto troncal PVLAN es miembro de todas las VLAN en la PVLAN (es decir, la VLAN principal, la comunidad VLAN y la VLAN aislada intercambiadora), y transporta tráfico desde la VLAN principal y todas las VLAN secundarias. Puede comunicarse con todos los puertos.

  La comunicación entre un puerto troncal PVLAN y un puerto aislado suele ser unidireccional. La membresía de un puerto de troncalización PVLAN en la VLAN aislada de interswitch es de solo salida, lo que significa que un puerto aislado puede reenviar paquetes a un puerto de troncalización PVLAN, pero un puerto de troncalización PVLAN no reenvía paquetes a un puerto aislado (a menos que los paquetes ingresen en un puerto de acceso promiscuo y, por lo tanto, se reenvía a todas las VLAN secundarias en la misma VLAN principal que el puerto promiscuo).

• Puerto de troncalización de VLAN secundaria: los puertos de troncalización de VLAN secundaria llevan tráfico de VLAN secundario. En el caso de una VLAN privada (principal) determinada, el puerto de tronco de una VLAN secundaria puede transportar el tráfico únicamente a una VLAN secundaria. Sin embargo, un puerto de tronco de VLAN secundario puede transportar tráfico para varias VLAN secundarias siempre y cuando cada VLAN secundaria sea miembro de una VLAN principal diferente. Por ejemplo, un puerto de tronco de VLAN secundario puede transportar tráfico para una VLAN de comunidad que forma parte de pvlan100 de VLAN principal y que también transporta tráfico para una VLAN aislada que forma parte de VLAN principal pvlan400.

  Nota:

  Cuando el tráfico se deriva de un puerto de tronco de la VLAN secundaria, normalmente lleva la etiqueta de la VLAN principal de la que es miembro el puerto secundario. Si desea que el tráfico que salida de un puerto de troncalización de VLAN secundario conserve su etiqueta VLAN secundaria, utilice la extend-secondary-vlan-id instrucción.

• Puerto de la comunidad: los puertos de la comunidad se comunican entre sí y con sus puertos promiscuos. Los puertos de la comunidad solo sirven a un grupo seleccionado de usuarios. Estas interfaces se separan en la capa 2 de todas las demás interfaces de otras comunidades o de puertos aislados en su PVLAN.

• Puerto de acceso aislado: los puertos aislados solo tienen conectividad de capa 2 con puertos promiscuos y puertos de troncalización PVLAN. Un puerto de acceso aislado no puede comunicarse con otro puerto aislado, incluso si estos dos puertos son miembros de la misma VLAN aislada.

• Puerto de acceso promiscuo: estos puertos llevan tráfico sin etiquetar y pueden ser miembros de una sola VLAN principal. El tráfico de entrada en un puerto de acceso promiscuo se reenvía a los puertos de las VLAN secundarias que son miembros de la VLAN principal de la que es miembro el puerto de acceso promiscuo. En este caso, el tráfico lleva la etiqueta VLAN secundaria correspondiente cuando salida del puerto VLAN secundario si el puerto VLAN secundario es un puerto troncal. Si el tráfico se encuentra en el puerto de VLAN secundario y en el puerto de acceso promiscuo, el tráfico no se etiquetará a la salida. Si el tráfico con etiqueta se encuentra en un puerto de acceso promiscuo, se descarta el tráfico.

Cuando se utiliza un puerto de conexión de VLAN secundario, tenga en cuenta lo siguiente:

• Debe configurar un ID de VLAN de aislamiento para cada VLAN principal en la que participará el puerto de tronco de la VLAN secundaria. Esto se cumple incluso si las VLAN secundarias que el puerto de enlace de la VLAN secundaria va a transportar se limitan a un único dispositivo.

• Si configura un puerto para que sea un puerto de tronco de VLAN secundario para una VLAN principal determinada, también puede configurar el mismo puerto físico para que sea cualquiera de los siguientes:

  • Puerto de tronco de VLAN secundario para otra VLAN principal

  • PVLAN troncal para otra VLAN principal

  • Puerto de troncal promiscuo

  • Acceso al puerto para una VLAN no privada

• El tráfico que se transporta en un puerto de enlace de VLAN secundario (con una etiqueta de VLAN secundaria) y la salida en un puerto de PVLAN troncal conserva la etiqueta de VLAN secundaria en el salida.

• El tráfico que transporta en un puerto de enlace de VLAN secundario y la salida en un puerto troncal promiscuo tiene la etiqueta VLAN principal correspondiente en el salida.

• El tráfico de salida en un puerto de tronco de la VLAN secundario y el de salida en el puerto de acceso promiscuo no tiene etiquetas sin etiqueta.

• El tráfico que transmite en un puerto troncal promiscuo con etiqueta VLAN principal y salida en un puerto troncal de VLAN secundario incorpora la etiqueta VLAN secundaria apropiada en el salida. Por ejemplo, supongamos que se ha configurado lo siguiente en un conmutador:

  • VLAN principal 100

  • La VLAN de la comunidad 200 como parte de la VLAN principal

  • Puerto de troncal promiscuo

  • Puerto de enlace secundario que transporta la VLAN 200 de la comunidad

  Si un paquete de entrada en el puerto de enlace promiscuo con la etiqueta VLAN principal 100 y salidas en el puerto de entrada de la VLAN secundaria, lleva la etiqueta 200 en salida.

Ahora puede configurar tanto la autenticación de 802.1 X como las VLAN privadas (PVLANs) en la misma interfaz.

IEEE autenticación 802.1X proporciona seguridad de borde de red, lo que protege las LAN Ethernet del acceso de usuarios no autorizados mediante el bloqueo de todo el tráfico hacia y desde un supplicante (cliente) en la interfaz hasta que se presentan y hacen coincidir las credenciales del suplicante en el servidor de autenticación (un RADIUS server).

Las VLAN privadas (PVLANs) proporcionan aislamiento de capa 2 entre los puertos de una red VLAN, dividiendo un dominio de difusión en varios subdominios de difusión discretos mediante la creación de VLANs secundarias. PVLANs son útiles para restringir el flujo de tráfico de difusión y unidifusión desconocido, y para limitar la comunicación entre hosts conocidos.

En un conmutador que esté configurado con autenticación 802.1 X y PVLANs, cuando se conecte un nuevo dispositivo a la red PVLAN, el dispositivo se autenticará y se asignará a una VLAN secundaria basada en la configuración PVLAN o en RADIUS perfil. A continuación, el dispositivo obtiene una dirección IP y se le da acceso a la red PVLAN.

Tenga en cuenta las siguientes directrices y limitaciones para configurar estas dos funciones en la misma interfaz:

• Una interfaz habilitada para 802.1 X no puede configurarse como una interfaz promiscuo (una interfaz que es miembro de la VLAN principal por configuración) o como una interfaz interconmutador-vínculo (ISL).

• No se pueden autenticar varios usuarios a través de distintas VLAN que pertenecen al mismo dominio PVLAN en una interfaz lógica; por ejemplo, si la interfaz ge-0/0/0 está configurada como y los clientes C1 y C2 se autentican y se agregan a las VLAN dinámicas V1 y V2, respectivamente, entonces V1 y V2 deben pertenecer a distintos dominios supplicant multiple PVLAN.

• Si la VLAN de VoIP y la VLAN de datos son diferentes, estas dos VLAN deben estar en dominios PVLAN diferentes.

• Cuando se cambia la pertenencia a PVLAN (es decir, una interfaz se vuelve a configurar en unPVLAN diferente), los clientes deben volver a autenticarse.

Ahora puede activar las características de seguridad del puerto de acceso, como la supervisión DHCP, en las VLAN privadas (PVLANs).

Por motivos de seguridad, a menudo resulta útil restringir el flujo de transmisión y el tráfico de unidifusión desconocido, e incluso limitar la comunicación entre hosts conocidos. La característica PVLAN le permite dividir un dominio de difusión en varios subdominios de difusión aislada, con lo que se coloca una VLAN dentro de una VLAN.

Las LAN Ethernet son vulnerables a ataques como suplantación de direcciones (falsificación) y denegación de servicio (DoS) de capa 2 en dispositivos de red. Las siguientes características de seguridad del puerto de acceso ayudan a proteger el dispositivo frente a la pérdida de información y productividad que tales ataques pueden ocasionar, y ahora puede configurar estas características de seguridad en un PVLAN:

• Snooping DHCP: filtra y bloquea los mensajes del servidor DHCP de entrada en puertos que no son de confianza. La supervisión DHCP crea y mantiene una base de datos de la información de concesiones DHCP, que se denomina base de datos de supervisión DHCP.

• Snooping DHCPv6: snooping DHCP para IPv6.

• Opción 82 de DHCP: también conocida como opción información de agente de retransmisión DHCP. Ayuda a proteger el conmutador frente a ataques como suplantación de direcciones IP y direcciones MAC, así como el colapso de direcciones IP DHCP. La opción 82 proporciona información acerca de la ubicación de red de un cliente DHCP. El servidor DHCP utiliza esta información para implementar direcciones IP u otros parámetros para el cliente.

• Opciones DHCPv6:

  • Opción 37: opción de ID remoto para DHCPv6; inserta información acerca de la ubicación de red del host remoto en paquetes DHCPv6.

  • Opción 18: opción de ID de circuito para DHCPv6; inserta información sobre el puerto del cliente en paquetes DHCPv6.

  • Opción 16: opción id del proveedor para DHCPv6; inserta información sobre el proveedor del hardware del cliente en paquetes DHCPv6.

• Inspección ARP dinámica (DAI): previene ataques de suplantación de protocolo de Resolución dirección (ARP). Las solicitudes y las respuestas ARP se comparan con las entradas de la base de datos de supervisión DHCP, y las decisiones de filtrado se toman a partir de los resultados de dichas comparaciones.

• Protección de origen IP: mitiga los efectos de los ataques de suplantación de direcciones IP en la LAN Ethernet; valida la dirección IP de origen en el paquete enviado desde una interfaz de acceso que no es de confianza con la base de datos de espionaje DHCP. Si el paquete no se puede validar, se descarta.

• Protección de origen IPv6: protección de origen IP para IPv6.

• Inspección de detección de vecino IPv6: previene los ataques de suplantación de direcciones IPv6; compara las solicitudes de descubrimiento de vecinos y respuestas con las entradas en la base de datos de espionaje DHCPv6, y las decisiones de filtrado se toman a partir de los resultados de esas comparaciones.

Tenga en cuenta las siguientes directrices y limitaciones para configurar las funciones de seguridad del puerto de acceso en PVLANs:

• Debe aplicar las mismas funciones de seguridad del puerto de acceso tanto en la VLAN principal como en todas sus VLAN secundarias.

• Un PVLAN puede tener una sola interfaz integrada de enrutamiento y puente (IRB), y la interfaz IRB debe estar en la VLAN principal.

• Las limitaciones de las configuraciones de seguridad de puertos de acceso en PVLANs son las mismas que las de las características de seguridad del puerto de acceso que no se encuentran en PVLANs. Consulte la documentación de seguridad del puerto de acceso en la Guía de administración de servicios de seguridad.

• Relacionado
• Solución

• Relacionado
• Solución

• Relacionado
• Solución