CONFIGURACIÓN DE REDES VLAN

Transcripción

1 CONFIGURACIÓN DE REDES VLAN INTRODUCCIÓN Una VLAN permite que un administrador de red cree grupos de dispositivos conectados a la red de manera lógica que actúan como si estuvieran en su propia red independiente, incluso si comparten una infraestructura común con otras VLAN. Una VLAN es una subred IP separada de manera lógica. Las VLAN permiten que redes de IP y subredes múltiples existan en la misma red conmutada. Para que las computadoras se comuniquen en la misma VLAN, cada una debe tener una dirección IP y una máscara de subred consistente con esa VLAN. En el switch deben darse de alta las VLAN y cada puerto asignarse a la VLAN correspondiente. Un puerto de switch con una VLAN singular configurada en el mismo se denomina puerto de acceso. Los dispositivos en dos redes y subredes separadas se deben comunicar a través de un router (Capa 3), se utilicen o no las VLAN. Beneficios de una VLAN Los principales beneficios de utilizar las VLAN son los siguientes: Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial. Reducción de costos: el ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y usos más eficientes de enlaces y ancho de banda existente. Mejor rendimiento: la división de las redes planas de Capa 2 en múltiples grupos lógicos de trabajo (dominios de broadcast) reduce el tráfico innecesario en la red y potencia el rendimiento. Mitigación de la tormenta de broadcast: la división de una red en las VLAN reduce el número de dispositivos que pueden participar en una tormenta de broadcast. La segmentación de LAN impide que una tormenta de broadcast se I.E.S. Julio Verne Página 1 de 37 Dpto. Informática

2 propague a toda la red. Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN. Cuando proporciona un switch nuevo, todas las políticas y procedimientos que ya se configuraron para la VLAN particular se implementan cuando se asignan los puertos. También es fácil para el personal de TI identificar la función de una VLAN proporcionándole un nombre. Administración de aplicación o de proyectos más simples: las VLAN agregan dispositivos de red y usuarios para admitir los requerimientos geográficos o comerciales. También es fácil determinar el alcance de los efectos de la actualización de los servicios de red. RANGO DE LAS VLAN VLAN de rango normal Se utiliza en redes de pequeñas y en negocios y empresas medianas. Se identifica mediante un ID de VLAN entre 1 y Los ID de 1002 a 1005 se reservan para las VLAN Token Ring y FDDI. Los ID 1 y de 1002 a 1005 se crean automáticamente y no se pueden eliminar. Las configuraciones se almacenan dentro de un archivo de datos de la VLAN, denominado vlan.dat. El archivo vlan.dat se encuentra en la memoria flash del switch. El protocolo de enlace troncal de la VLAN (VTP), que ayuda a administrar las configuraciones de la VLAN entre los switches, sólo puede asimilar las VLAN de rango normal y las almacena en el archivo de base de datos de la VLAN. VLAN de rango extendido Posibilita a los proveedores de servicios que amplíen sus infraestructuras a una cantidad de clientes mayor. Algunas empresas globales podrían ser lo suficientemente grandes como para necesitar los ID de las VLAN de rango I.E.S. Julio Verne Página 2 de 37 Dpto. Informática

3 extendido. Se identifican mediante un ID de VLAN entre 1006 y Admiten menos características de VLAN que las VLAN de rango normal. Se guardan en el archivo de configuración en ejecución. VTP no aprende las VLAN de rango extendido. Actualmente existe fundamentalmente una manera de implementar las VLAN: VLAN basadas en puerto. Una VLAN basada en puerto se asocia con un puerto denominado acceso VLAN. Sin embargo, en las redes existen una cantidad de términos para las VLAN. Algunos términos definen el tipo de tráfico de red que envían y otros definen una función específica que desempeña una VLAN. A continuación se describe la terminología común de VLAN: VLAN de datos Una VLAN de datos es una VLAN configurada para enviar sólo tráfico de datos generado por el usuario. Una VLAN podría enviar tráfico basado en voz o tráfico utilizado para administrar el switch, pero este tráfico no sería parte de una VLAN de datos. Es una práctica común separar el tráfico de voz y de administración del tráfico de datos. VLAN predeterminada Todos los puertos de switch se convierten en un miembro de la VLAN predeterminada luego del arranque inicial del switch. Hacer participar a todos los puertos de switch en la VLAN predeterminada los hace a todos parte del mismo dominio de broadcast. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch. La VLAN predeterminada para los switches de Cisco es la VLAN 1. La VLAN 1 tiene todas las características de cualquier VLAN, excepto que no la puede volver a denominar y no la puede eliminar. De manera predeterminada, el tráfico de control de la Capa 2, como CDP, y el tráfico del protocolo spanning tree, están asociados con la VLAN 1. I.E.S. Julio Verne Página 3 de 37 Dpto. Informática

4 Nota: Algunos administradores de red utilizan el término "VLAN predeterminada" para referirse a una VLAN que no sea la VLAN 1 que el administrador de red definió como la VLAN a la que se asignan todos los puertos cuando no están en uso. VLAN nativa Se asigna una VLAN nativa a un puerto troncal 802.1Q. Un puerto de enlace troncal Q admite el tráfico que llega de muchas VLAN (tráfico etiquetado) como también el tráfico que no llega de una VLAN (tráfico no etiquetado). El puerto de enlace troncal 802.1Q coloca el tráfico no etiquetado en la VLAN nativa. Los switches usan protocolos que necesitan enviar mensajes entre los propios switches, como por ejemplo CDP (CISCO Discovery Protocol), VTP (VLAN Trunk Protocol), DTP (Dynamic Trunking Protocol) o PAgP (Port Aggregation Protocol). En estos casos, dicho tráfico NO pertenece a ninguna VLAN. La VLAN Nativa se utiliza para asignarle todo el tráfico de intercomunicación entre switches, que debe estar separado del resto de VLANs. Las VLAN se establecen en la especificación IEEE 802.1Q para mantener la compatibilidad retrospectiva con el tráfico no etiquetado común para los ejemplos de LAN antigua. Para nuestro fin, una VLAN nativa sirve como un identificador común en extremos opuestos de un enlace troncal. Es una optimización usar una VLAN diferente de la VLAN 1 como la VLAN nativa. Todos los switch deben usar la misma VLAN nativa VLAN de administración Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades administrativas de un switch. La VLAN 1 serviría como VLAN de administración si no definió proactivamente una VLAN única para que sirva como VLAN de administración. Se asigna una dirección IP y una máscara de subred a la VLAN de administración. Se puede manejar un switch mediante HTTP, Telnet, SSH o SNMP. Debido a que la configuración lista para usar de un switch de Cisco tiene a VLAN 1 como la VLAN predeterminada, puede notar que la VLAN 1 sería una mala opción como VLAN I.E.S. Julio Verne Página 4 de 37 Dpto. Informática

5 de administración; no querría que un usuario arbitrario se conectara a un switch para que se configurara de manera predeterminada la VLAN de administración. VLAN de voz El tráfico de VoIP requiere: Ancho de banda garantizado para asegurar la calidad de la voz Prioridad de la transmisión sobre los tipos de tráfico de la red Capacidad para ser enrutado en áreas congestionadas de la red Demora de menos de 150 milisegundos (ms) a través de la red Aspectos importantes sobre la interfaz de administración Un switch de capa de acceso se parece mucho a una PC en que se necesita configurar una dirección IP, una máscara de subred y un gateway predeterminado. 1. Se asigna la dirección IP a una interfaz virtual denominada LAN virtual (VLAN) 2. Se necesita asegurar que la VLAN se asigne a uno o más puertos específicos del switch. La configuración predeterminada del switch es que la administración del mismo sea controlada a través de VLAN1. Sin embargo, una optimización para la configuración básica del switch es modificar la administración para que la realice una VLAN que no sea VLAN 1. La configuración de una dirección IP y una máscara de subred en la VLAN de administración del switch debe realizarse desde el modo de configuración de interfaz VLAN. La interface virtual se levantará automáticamente cuando esté correctamente configurada y además se cumpla, al menos, una de estas condiciones: I.E.S. Julio Verne Página 5 de 37 Dpto. Informática

6 Que el switch tenga, al menos, una interface asignada a la VLAN de administración y que tenga un aparato activo conectado a dicha interface. Que el switch tenga, al menos, una conexión activa con protocolo trunk (ya sea con otro switch, o con un router). Es decir, que la interface virtual se levantará si es accesible desde algún aparato externo. Ahora se nos plantea un problema de seguridad: Es conveniente que no haya ningún ordenador conectado a la VLAN de administración, salvo los de los administradores de la red. Como todas las interfaces están configuradas por defecto dentro de la VLAN 1, conviene decidir entre una de estas dos opciones de configuración: 1. Opción 1: Si usamos la VLAN 1 como la VLAN de administración y le asignamos IP a la interface virtual VLAN 1, entonces nos preocuparemos de no dejar ningún puerto asignado a la VLAN 1, salvo los correspondientes a las conexiones de los administradores de la red. 2. Opción 2: Cambiar la VLAN de administración de VLAN 1 a otra, como por ejemplo VLAN 99. No darle configuración IP a la interface VLAN 1 y desactivar la interface. Darle la configuración IP a la interface virtual VLAN 99 y levantarla. No asignar ningún puerto a la VLAN 99, salvo los correspondientes a las conexiones de los administradores de la red. Switch>enable Entra en el modo privilegiado. Switch#configure terminal Entra en el modo de configuración global. Switch(config)#interface vlan99 Crea la interface virtual vlan99, crea la VLAN 99 y entra a configurar la interface vlan99. Switch(config-if)#ip address Le asigna una dirección IP y una máscara. Switch(config-if)#no shutdown Levanta la interface. Switch(config)#interface vlan1 Entra a configurar la interface vlan1. I.E.S. Julio Verne Página 6 de 37 Dpto. Informática

7 Switch(config-if)#no ip address Se asegura de que vlan1 no tenga dirección IP. Switch(config-if)#shutdown Desactiva la interface vlan1. En la práctica, el switch admite tener varias interfaces virtuales levantadas y varias VLAN de administración, pero esto no es aconsejable en absoluto. Modos de membresía de los puertos de los switches Los puertos de switch son interfaces de Capa 2 únicamente asociados con un puerto físico. No manejan enrutamiento. Los puertos de switch pertenecen a una o más VLAN. Modos de puertos de switch de VLAN Cuando configura una VLAN debe asignarle un número de ID y le puede dar un nombre si lo desea. El propósito de las implementaciones de la VLAN es asociar con criterio los puertos con las VLAN particulares. Se configura el puerto para enviar una trama a una VLAN específica. El usuario puede configurar un puerto para que pertenezca a una VLAN mediante la asignación de un modo de membresía que especifique el tipo de tráfico que envía el puerto y la VLAN a la que puede pertenecer. Se puede configurar un puerto para que admita estos tipos de VLAN: VLAN estática: los puertos en un switch se asignan manualmente a una VLAN. Las VLAN estáticas se configuran por medio de la utilización de la CLI. Si asigna una interfaz a una VLAN que no existe, se crea la nueva VLAN para el usuario. VLAN dinámica: este modo no se utiliza ampliamente en las redes de producción. La membresía de una VLAN de puerto dinámico se configura utilizando un servidor especial denominado Servidor de política de membresía de VLAN (VMPS). Con el VMPS, asigna puertos de switch a las VLAN basadas en forma dinámica en la dirección MAC de origen del dispositivo conectado al puerto. El beneficio llega cuando traslada un host desde un puerto en un switch en la red hacia un puerto I.E.S. Julio Verne Página 7 de 37 Dpto. Informática

8 sobre otro switch en la red. El switch asigna en forma dinámica el puerto nuevo a la VLAN adecuada para ese host. VLAN de voz: el puerto está configurado para que esté en modo de voz a fin de que pueda admitir un teléfono IP conectado al mismo. Antes de que configure una VLAN de voz en el puerto, primero debe configurar una VLAN para voz y una VLAN para datos. Cuando se enchufa por primera vez un teléfono en un puerto de switch que está en modo de voz, éste envía mensajes al teléfono proporcionándole la configuración y el ID de VLAN de voz adecuado. El teléfono IP etiqueta las tramas de voz con el ID de VLAN de voz y envía todo el tráfico de voz a través de la VLAN de voz. Una VLAN se crea con el comando vlan más el número de la VLAN que deseemos crear. El comando name le asigna nombre. Estos comandos crean las VLAN 2, 3, 4 y 5 y les asigna un nombre a cada una: (config)#vlan 2 Crea la VLAN 2 y entra a configurarla. (config-vlan)#name ALUMNOS Le asigna a la VLAN 2 el nombre ALUMNOS. (config-vlan)#vlan 3 Crea la VLAN 3 y entra a configurarla. (config-vlan)#name PROFESORES Le asigna a la VLAN 3 el nombre PROFESORES. (config-vlan)#vlan 4 Crea la VLAN 4 y entra a configurarla. (config-vlan)#name DIRECCION Le asigna a la VLAN 4 el nombre DIRECCION. I.E.S. Julio Verne Página 8 de 37 Dpto. Informática

9 ASIGNACIÓN DE VLANS A LOS PUERTOS DE ACCESO ESTÁTICO. En un Catalyst se asigna una VLAN a un determinado puerto. Y podemos seleccionar, como en las líneas virtuales, varias interfaces consecutivas a la vez para configurarlas todas juntas. (config)#interface f0/1 Entra a configurar la interface f0/1 (config-if)#switchport access vlan 1 Le asigna a la interface F0/1 el modo de acceso y la asigna a la VLAN 1. (config- if)#interface range f0/2-6 Entra a configurar las interfaces f0/2, f0/3, f0/4, f0/5 y f0/6. (config-if-range)#switchport access vlan 2 Le asigna a las interfaces el modo de acceso y las asigna a la VLAN 2. (config-if-range)#interface range f0/7-20 Entra a configurar las interfaces de la f0/7, a la f0/20. (config-if-range)#switchport access vlan 3 Le asigna a las interfaces el modo de acceso y las asigna a la VLAN 3. (config-if-range)#interface range f0/21-24 (config-if-range)#switchport access vlan 4 (config-if-range)#interface range g1/1-2 (config-if-range)#switchport access vlan 5 En un Switch, las VLAN se almacenan en el fichero flash:vlan.dat. Si borramos el startupconfig y reiniciamos, no borraremos por tanto las VLAN, para ello habrá que borrar el fichero y reiniciar: Switch#delete flash:vlan.dat Switch#reload Cuando accedemos a un aparato que ya estaba configurado y deseamos hacer una configuración nueva, lo más recomendable es borrarlo todo y reiniciar: Switch# delete flash:vlan.dat Switch#erase startup-config Switch#reload De esta manera tendremos el aparato como recién comprado. I.E.S. Julio Verne Página 9 de 37 Dpto. Informática

10 Comprobación de las configuraciones Podemos comprobar la configuración de las VLAN mediante los comandos show del CLI: #show vlan [brief name nombre_vlan id id_vlan summary] #show interfaces [id_interfaz vlan id_vlan] switchport I.E.S. Julio Verne Página 10 de 37 Dpto. Informática

11 Etiquetado de trama 802.1Q Recuerde que los switches son dispositivos de Capa 2. Sólo utilizan la información del encabezado de trama de Ethernet para enviar paquetes. El encabezado de trama no contiene la información que indique a qué VLAN pertenece la trama. Posteriormente, cuando las tramas de Ethernet se ubican en un enlace troncal, necesitan información adicional sobre las VLAN a las que pertenecen. Esto se logra por medio de la utilización del encabezado de encapsulación 802.1Q. Este encabezado agrega una etiqueta a la trama de Ethernet original y especifica la VLAN a la que pertenece la trama. Cuando el switch recibe una trama en un puerto configurado en modo de acceso con una VLAN estática, el switch quita la trama e inserta una etiqueta de VLAN, vuelve a calcular la FCS y envía la trama etiquetada a un puerto de enlace troncal. VLAN nativas y enlace troncal 802.1Q Tramas etiquetadas en la VLAN nativa Algunos dispositivos que admiten enlaces troncales etiquetan la VLAN nativa como comportamiento predeterminado. El tráfico de control enviado en la VLAN nativa debe estar sin etiquetar. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada en la VLAN nativa, éste descarta la trama. Como consecuencia, al configurar un puerto de switch en un switch Cisco, es necesario identificar estos dispositivos y configurarlos de manera que no envíen tramas etiquetadas en la VLAN nativa. Los dispositivos de otros proveedores que admiten tramas etiquetadas en la VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no pertenecen a Cisco. Tramas sin etiquetar en la VLAN nativa Existen protocolos que necesitan enviar mensajes entre los propios switches, como por ejemplo CDP (CISCO Discovery Protocol), VTP (VLAN Trunk Protocol), DTP (Dynamic Trunking Protocol) o PAgP (Port Aggregation Protocol). En estos casos, dicho tráfico NO I.E.S. Julio Verne Página 11 de 37 Dpto. Informática

12 pertenece a ninguna VLAN. Cuando un puerto de enlace troncal de switch Cisco recibe tramas sin etiquetar, éste envía esas tramas a la VLAN nativa. La VLAN nativa predeterminada es la VLAN 1. Al configurar un puerto de enlace troncal 802.1Q, se asigna el valor del ID de la VLAN nativa al ID de la VLAN de puerto predeterminada (PVID). Todo el tráfico sin etiquetar que ingresa o sale del puerto 802.1Q se envía en base al valor del PVID. Por ejemplo, si la VLAN 99 se configura como la VLAN nativa, el PVID es 99 y todo el tráfico sin etiquetar se envía a la VLAN 99. Si la VLAN nativa no ha sido configurada nuevamente, el valor de PVID se configura para la VLAN 1. Como se utiliza para intercomunicar los switches, todos los aparatos de la red deben tener configurados la misma VLAN como VLAN Nativa, que por defecto es la VLAN1. Es recomendable modificarla y asignarle una distinta a la VLAN por defecto y distinta también a la VLAN de Administración. Enlaces troncales de las VLAN Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de una VLAN. Un enlace troncal de VLAN le permite extender las VLAN a través de toda una red. Cisco admite IEEE 802.1Q para la coordinación de enlaces troncales en interfaces Fast Ethernet y Gigabit Ethernet. Un enlace troncal de VLAN no pertenece a una VLAN específica, sino que es un conducto para las VLAN entre switches y routers. Los enlaces troncales transmiten el tráfico de varias VLAN a través de un único enlace, lo que los convierte en un elemento fundamental de la comunicación entre los switches y las VLAN. Para configurar un enlace troncal podemos definir: Si es un aparato antiguo, habrá que elegir qué protocolo de enlace usará. En aparatos modernos, esta configuración NO está disponible, ya que forzosamente usará el protocolo 802.1q. Configuración: Switch-3550(Config)#interface f0/1 Switch-3550(Config-if)#switchport mode trunk Configura el puerto en modo de enlace troncal. Switch-3550(Config-if)#switchport trunk encapsulation dot1q I.E.S. Julio Verne Página 12 de 37 Dpto. Informática

13 Configura el protocolo que usará en el enlace troncal: 802.1q La VLAN Nativa del enlace. Hay que tener especial cuidado en que los dos extremos del enlace usen la misma VLAN Nativa, o el enlace no funcionará. Además como ya se ha comentado, por seguridad es recomendable que se utilice una VLAN distinta de la VLAN1. Configuración: Switch(Config)#interface f0/1 Switch(Config-if)#switchport mode trunk Configura el puerto en modo de enlace troncal. Switch(Config-if)#switchport trunk native vlan 75 Establece la VLAN 75 como VLAN Nativa. Switch(Config-if)#no switchport trunk native vlan Vuelve a establecer la VLAN 1 como VLAN Nativa. Las VLAN que se pueden transportar a través del enlace. Se puede establecer una lista de VLANs permitidas en el enlace. Si la lista está vacía, se permite el transporte de todas las VLANs. Configuración: Switch(Config)#interface f0/1 Switch(Config-if)#switchport mode trunk Configura el puerto en modo de enlace troncal. Switch(Config-if)#switchport trunk allowed vlan 10,20,30 Establece la lista de VLANs permitidas, borrando la lista anterior. Switch(Config-if)#switchport trunk allowed vlan add 40 Añade a la lista de VLANs permitidas la VLAN 40. Switch(Config-if)#switchport trunk allowed vlan remove 20 Borra LA VLAN indicada de la lista de VLANs permitidas. Switch(Config-if)#switchport trunk allowed vlan except 20 Borra la lista de VLANs permitidas y añade todas, salvo la indicada. Switch(Config-if)#switchport trunk allowed vlan none No permite el transporte de ninguna VLAN en el enlace troncal. Switch(Config-if)#switchport trunk allowed vlan all Permite el transporte de todas las VLANs en el enlace troncal. I.E.S. Julio Verne Página 13 de 37 Dpto. Informática

14 MODOS DE LAS INTERFACES O PUERTOS. EL PROTOCOLO DTP (DINAMIC TRUNKING PROTOCOL). Las interfaces o puertos de un Catalyst tienen cuatro configuraciones distintas, cada una de ellas con distintas opciones. Las configuraciones son las siguientes: 1. Operational Mode. 2. Administrative Mode. 3. Administrative Trunking Encapsulation. 4. Negotiation of Trunking. 1. Operational Mode. En Castellano, Modo de Operación. Es el modo real en el que está operando un puerto en un momento dado. Pueden estar en uno de estos tres modos: Caído o down : En este caso, el puerto no está activo. En Modo de Acceso: En este caso, el puerto es asignado a una VLAN concreta y funciona como un enlace Ethernet normal con algún dispositivo conectado. En Modo Trunk: En este caso, el puerto funciona como enlace troncal. Esto significa que transporta el tráfico de todas las VLAN por él. El protocolo usado no es Ethernet, sino un protocolo de trunking, que actualmente es el 802.1q y que añade a la trama Ethernet una etiqueta con la VLAN a la que pertenece cada trama. Esta es la forma de prolongar las comunicaciones VLAN más allá de un único switch. El modo de operación NO se configura, es el resultado de configurar el Modo Administrativo y el Modo de Autonegociación de DTP. 2.- Administrative Mode. En Castellano, Modo Administrativo. Un puerto puede tener un método de operación fijo configurado, o dinámico. En el caso de que sea dinámico, será el protocolo DTP quien elija el modo de operación en función del entorno. I.E.S. Julio Verne Página 14 de 37 Dpto. Informática

15 DTP (Dinamic Trunking Protocol), o protocolo de enlace troncal dinámico, es un protocolo propietario de CISCO que permite decidir en tiempo real a los puertos de un aparato en qué modo de operación van a trabajar. Consiste en un protocolo de comunicación punto a punto, de forma que cuando interconectamos dos puertos de dos switches entre sí, estos intercambian cierta información y pueden tomar decisiones de configuración. Cabe destacar que el protocolo DTP sólo funcionará si ambos switches comparten el mismo dominio VTP. Existen cuatro formas de configurar el Modo Administrativo: 1. Mode Access, o Modo Acceso. Fija el modo de operación en Modo de Acceso. Se configura con el siguiente comando: Switch(Config)#interface f0/1 Switch(Config-if)#switchport mode access 2. Mode Trunk, o Modo de Enlace Troncal. Fija el modo de operación en Modo de Enlace Troncal. Se configura con el siguiente comando: Switch(Config)#interface f0/1 Switch(Config-if)#switchport mode trunk 3. Modo Dynamic Auto, o Modo Dinámico Automático. Activa el modo de configuración dinámico automático por DTP. Se configura con el siguiente comando: Switch(Config)#interface f0/1 Switch(Config-if)#switchport mode dynamic auto 4. Modo Dynamic Desirable, o Modo dinámico con trunking deseable. Activa el modo de configuración dinámica por DTP, pero con el parámetro de trunking deseable activo. Se configura con el siguiente comando: Switch(Config)#interface f0/1 Switch(Config-if)#switchport mode dynamic desirable I.E.S. Julio Verne Página 15 de 37 Dpto. Informática

16 3. Administrative Trunking Encapsulation En castellano, Modo Administrativo del Protocolo de Enlace Troncal. Simplemente configura el protocolo que se usará en el enlace troncal en el caso de que se active dicho modo de operación. Se configura con el siguiente comando: Switch-3550(Config)#interface f0/1 Switch-3550(Config-if)#switchport trunk encapsulation dot1q Actualmente los switches no admiten que se cambien el protocolo del enlace troncal por lo que esta configuración solo se podrá utilizar en switches muy antiguos. 4. Negotiation of Trunking. En Castellano, Modo de Autonegociación de Enlace Troncal. Consiste en activar o desactivar el DTP en la interface y por tanto el envío de tramas correspondiente con el switch vecino para configurar dinámicamente el modo de operación. Admite dos modos: 1. On, o activo: Se habilita el intercambio de tramas DTP para decidir dinámicamente el modo de operación de la interface. Se configura con el siguiente comando: Switch(Config)#interface f0/1 Switch(Config-if)#no switchport nonegotiate 2. Off, inactivo: Se inhabilita el intercambio de tramas DTP para decidir dinámicamente el modo de operación de la interface. Se configura con el siguiente comando: Switch(Config)#interface f0/1 Switch(Config-if)#switchport nonegotiate OJO! Si el Modo Administrativo es Access y se configura la autonegociación de trunking a On, se ignora y se bloquea automáticamente a Off. Sin I.E.S. Julio Verne Página 16 de 37 Dpto. Informática

17 embargo, tiene efecto memoria. Es decir, si por ejemplo la configuramos a On y luego cambiamos el Modo Administrativo a trunk, recordará la configuración como On y la tendrá en cuenta. Combinaciones de las Configuraciones de Puerto. Las combinaciones posibles de configuración son estas: Modo Administrativo Autonegociación de Trunking On Autonegociación de Trunking Off Access Imposible. Independientemente de la Posible configuración, Se bloquea en Off. Trunk Posible Posible Dynamic auto Posible Incompatible Dynamic desirable Posible Incompatible Revisión de las Configuraciones de Puerto. Para revisar la configuración y el estado de los puertos, usaremos estos comandos: Switch#show running-config Muestra el fichero de configuración activa y dentro de cada interface veremos la configuración que tiene escrita. Switch#show interface f0/1 switchport Muestra la configuración de puerto activa en la interface. Si no se indica una interface, mostrará la configuración de todas, una a una. Switch#show interface trunk Muestra un resumen del estado de los enlaces troncales. Resultados del Modo de Operación El Modo de Operación de un puerto depende de la configuración del modo administrativo, del modo de autonegociación de trunk y de qué tenga conectado en dicho puerto. Supongamos que interconectamos dos switches entre sí, entonces, el modo de operación de los puertos de ambos switches variará de la siguiente manera: I.E.S. Julio Verne Página 17 de 37 Dpto. Informática

18 Puerto de Switch 1 Puerto de Switch 2 Modo de Operación de los Modo Autonegociación Modo Autonegociación puertos de Administrativo de Trunk Administrativo de Trunk ambos Switches Access Off Dynamic auto On Acceso Dynamic Estático On desirable Access Off On Resultados Trunk Inesperados. Off Posibles errores. Access Off Acceso Estático Dynamic auto On Acceso Estático Dynamic auto On Dynamic desirable On Trunk On Trunk Trunk Resultados Off Inesperados. Access Off Acceso Estático Dynamic auto On Trunk Dynamic Dynamic On desirable desirable On Trunk On Trunk Trunk Resultados Off Inesperados. Trunk On Resultados Access Off Inesperados. Dynamic auto On Trunk Dynamic On Trunk I.E.S. Julio Verne Página 18 de 37 Dpto. Informática

19 desirable Trunk On Off Trunk Trunk Access Off Resultados Inesperados. Off Dynamic auto Dynamic desirable On On Resultados Inesperados. Resultados Inesperados. Trunk On Off Trunk Trunk Debemos considerar aquí una cuestión más: Si en lugar de unir dos Catalyst entre sí, unimos un Catalyst con un ordenador, o con un switch simple no gestionable sin VLAN, entonces el resultado es como si uniéramos el puerto de nuestro Catalyst con un puerto de otro Catalyst en modo administrativo de acceso estático. OJO! Por defecto: Todas las interfaces de un Catalyst 2950 están preconfiguradas en modo dynamic desirable Todas las interfaces de un Catalyst 2960, están preconfiguradas en modo dynamic auto. Consejos a la hora de configurar los puertos. Después de haber visto todas las opciones de configuración del modo administrativo y de la autonegociación del enlace troncal y sus efectos, podemos sacar las siguientes conclusiones: Los modos dinámicos pueden dar serios problemas de seguridad, ya que permite a un puerto cambiar su estado. Tengamos en cuenta que un puerto trunk transportará todo el tráfico de todas las VLAN, por lo que es goloso para un posible espía. I.E.S. Julio Verne Página 19 de 37 Dpto. Informática

20 Hay que evitar los modos que provocan resultados inesperados, pues pueden causar problemas en las comunicaciones de red. Sobre todo la combinación access-trunk, que puede producir errores graves. Por lo tanto, estamos en disposición de enunciar los siguientes consejos: 1. Un puerto que de acceso a un cliente debe ser configurado con el modo administrativo access. Switch(Config)#interface range f0/1 22 Entra en el modo de configuración de las interfaces f0/1 a la f0/22. Switch (Config-if)#switchport mode access Configura las interfaces en el modo administrativo de acceso estático. Esto también bloquea el modo de autonegociación a Off. En este caso, hay que tener especial cuidado de no conectarle NUNCA un puerto de otro switch en modo administrativo trunk. 2. Un puerto que forme un enlace troncal debe ser configurado con el modo administrativo trunk. Y es conveniente activar la autonegociación de enlace. Switch(Config)#interface g0/1 Entra en el modo de configuración de la interface g0/1. Switch (Config-if)#switchport mode trunk Configura la interface en el modo administrativo trunk. Switch (Config-if)#no switchport nonegotiate Configura el modo de autonegociación a On. (Por defecto está a On). En este caso, hay que tener especial cuidado de no conectarle NUNCA un puerto de otro switch en modo administrativo access, ni tampoco un cliente de red. I.E.S. Julio Verne Página 20 de 37 Dpto. Informática

21 CONFIGURACIÓN VTP Dentro de una red, la estructura organizativa envlans es un diseño común. Por lo tanto, todos los switches deben compartir la misma configuración de VLANs, es decir, qué VLANs se usan, qué números tienen y qué nombres tienen asignados. VTP (VLAN Trunking Protocol), o protocolo de enlace troncal de VLAN, no es un protocolo de enlace troncal, sino que se encarga de controlar la gestión de las VLANs en una red, centralizando en un aparato la configuración común de todas las VLAN de nuestra red. VTP se organiza en dominios. Cada dominio estará formado por varios switches entre los que habrá al menos un servidor de dominio VTP y los demás serán clientes del dominio VTP. De esta forma, las VLANs de todo el dominio se crearán y administrarán en el switch servidor y los switches clientes tomarán esa configuración. En un switch cliente no se puede crear ni modificar ninguna VLAN. Junto con un dominio VTP, pueden coexistir uno o varios switches conectados en modo VTP transparente. Esto hace que dichos switches funcionen de forma independiente al dominio VTP, pero propagan los mensajes VTP. Dichos switches no toman la configuración de VLANs del servidor VTP, se deben gestionar sus propias VLANs, en cada uno de ellos, de forma independiente. Como ejemplo, vemos que en el gráfico siguiente, sw4 puede estar configurado como cliente en el dominio laboratorio, pues sw3 le enviará los mensajes VTP que reciba de sw2. SW1 Dominio VTP Laboratorio VTP SERVER SW2 Dominio VTP Laboratorio VTP Cliente SW3 (Sin Dominio) VTP Transparente SW4 Dominio VTP Laboratorio VTP Cliente I.E.S. Julio Verne Página 21 de 37 Dpto. Informática

22 CONFIGURACIÓN BÁSICA VTP. A la hora de configurar VTP, debemos indicarle al switch en qué modo VTP va a operar (servidor, cliente o transparente) y, en su caso, cuál es su dominio. Veámoslo: Configurar el switch como servidor VTP dentro del dominio LABORATORIO: switch>enable switch#configure terminal switch(config)#vtp mode server Configura el switch como servidor VTP. switch(config)#vtp domain LABORATORIO Configura LABORATORIO como el dominio de trabajo de VTP. Configurar el switch como cliente VTP dentro del dominio LABORATORIO: switch>enable switch#configure terminal switch(config)#vtp mode client Configura el switch como cliente VTP. switch(config)#vtp domain LABORATORIO Configura LABORATORIO como el dominio de trabajo de VTP. Configurar el switch como transparente VTP: switch>enable switch#configure terminal switch(config)#vtp mode transparent Configura el switch como transparente a VTP. Añadir un Cliente VTP a un Dominio VTP ya Existente Antes de añadir un switch como cliente VTP a un dominio VTP existente, hay que verificar siempre que el nº de revisión de configuración del aparato que queremos añadir sea menor que el del servidor VTP del dominio. OJO! Si añadiéramos a un dominio VTP un switch cliente cuyo nº de revisión de configuración fuera mayor que el del servidor VTP del dominio, se borraría toda la configuración VLAN del dominio VTP y se cambiaría por la del switch añadido. Para asegurarnos de que se cumple esta condición, ejecutaremos en el switch que queremos añadir el comando: switch#show vtp status Con esto podemos ver el valor del configuration revision number. Si es 0, podemos I.E.S. Julio Verne Página 22 de 37 Dpto. Informática

23 conectar tranquilamente el switch al dominio, pues 0 será menor o igual que el configuration revision number del servidor. Si no es así, tendremos que poner a 0 el valor... Para ello ejecutaríamos estos comandos en el switch a añadir: switch#configure terminal switch(config)#vtp domain nombre_dominio_falso Configura un nombre de dominio falso (cualquiera). switch(config)#vtp domain nombre_dominio_correcto Configura el nombre de dominio correcto. Con estas operaciones hemos conseguido que el configuration revision number se ponga a cero. switch#show vtp status Verificamos que el nombre de dominio es correcto y que el configuration revision number vale cero. Por el motivo que hemos visto en este apartado, para configurar una red con varios switches VLAN en un mismo dominio VTP, es recomendable seguir estos pasos: 1. Antes de interconectar entre sí los switches, realizar la configuración global. 2. Realizar la configuración VTP, tanto en el servidor, como en los clientes y poner el configuration revision number de los clientes a Interconectar los aparatos entre sí. 4. Terminar la configuración primero en el servidor y luego en los clientes en orden. Es decir, si por ejemplo tenemos las conexiones SW1 SW2 SW3, siendo SW1 el servidor VTP y los otros dos los clientes VTP, habría que configurar SW1, luego SW2 y finalmente SW3. Configuración Avanzada de VTP. Podemos configurar otras cuestiones relativas a VTP, veámoslas: La versión de VTP que se va a utilizar. Para que la red funcione, todos los switches deben usar la misma configuración VTP. Por defecto es la versión 1, aunque pueden usar la versión 2. Configuración: I.E.S. Julio Verne Página 23 de 37 Dpto. Informática

24 switch#configure terminal switch(config)#vtp version 1 Establece la versión 1 de VTP. switch(config)#vtp domain nombre_dominio_correcto Configura el nombre de dominio correcto. La contraseña de VTP que se va a utilizar. Por seguridad, los switches intercambiarán información VTP sólo con aquellos otros swithces de su dominio que tengan la misma contraseña. Si no se define contraseña, no se controlará este aspecto. Configuración: switch#configure terminal switch(config)#vtp password skywalker Establece skywalker como la contraseña de VTP. En redes VTP-VLAN se puede configurar el Pruning VTP, que actúa de la siguiente manera: Un switch con enlaces troncales conocerá de qué VLANs hay equipos conectados al otro lado de un enlace troncal. Con ese conocimiento, cuando deba propargar un broadcast de red local a través de un enlace troncal, NO lo hará si sabe que al otro lado NO hay equipos de la VLAN correspondiente. Esta funcionalidad consigue evitar tráfico inútil de tipo broadcast, además de ahorrar tiempo de proceso en algunos switches, con lo que aumenta el ancho de banda efectivo de nuestra red. Debe activarse o desactivarse en el servidor de dominio VTP. Configuración: switch#configure terminal switch(config)#vtp mode server Configura el nombre de dominio correcto. switch(config)#vtp domain LABORATORIO Configura el nombre de dominio correcto. switch(config)#vtp pruning Activa el VTP pruning en el dominio LABORATORIO. I.E.S. Julio Verne Página 24 de 37 Dpto. Informática

25 ENRUTAMIENTO de VLAN. Un router puede enrutar VLANs entre sí de forma normal si se conectan a interfaces distintas del router y luego se programa adecuadamente el enrutamiento. En este caso, cada interface del router iría conectada a una interface de un switch que estará conectada en modo de acceso, tratando al router como una terminal más. Pero si existen muchas VLANs se necesitaría una gran cantidad de interfaces en el router. Para solucionar este problema, CISCO permite configurar subinterfaces virtuales en sus routers. Esto permite que en una misma interface física, se conecte un único cable real y que sobre ella definamos tantas subinterfaces virtuales como queramos. Cada una de ellas estará asignada a una VLAN y tendrá una configuración IP propia de dicha VLAN. En este caso, la interface del router iría conectada a una interface de un switch que estará conectada en modo de enlace troncal. El router recibiría por dicha línea las tramas etiquetadas provenientes del switch y en función de su etiqueta derivaría las tramas a la subinterface correspondiente a la misma VLAN de la trama. Esto se muestra en el siguiente esquema: S1 S0 ROUTER F0 F0.1 F0.2 F0.3 F0 TRUNK CATALYST V1 V2 V2 V2 V2 V2 V3 V3 V3 V3 V3 TRUNK PC-1 PC-2 PC-3 PC-4 PC-5 Haciendo esto conseguimos que el router funcione como si tuviera muchas interfaces reales, enrutando entre todas ellas. I.E.S. Julio Verne Página 25 de 37 Dpto. Informática

26 Veamos ahora los pasos para crear tres subinterfaces virtuales en una sola interface real: 1. Levantar la interface real y asegurarse de que no tenga ip: router>enable router#configure terminal router(config)#interface f0 router(config-if)#no shutdown router(config-if)#no ip-address 2. Crear las subinterfaces, configurarlas para que usen el protocolo IEEE 802.1q y asignarles una VLAN y una dirección IP: router(config)#interface f0.1 Crea la subinterface virtual f0.1 y entra a configurarla. router(config-if)#encapsulation dot1q 1 Configura la subinterface para que use el protocolo 802.1q y le asigna la VLAN 1. router(config-if)#ip address Realiza la configuración IP de la subinterface. router(config-if)#no shutdown Levanta la subinterface. router(config)#interface f0.2 Crea la subinterface virtual f0.2 y entra a configurarla. router(config-if)#encapsulation dot1q 2 Configura la subinterface para que use el protocolo 802.1q y le asigna la VLAN 2. router(config-if)#ip address Realiza la configuración IP de la subinterface. router(config-if)#no shutdown Levanta la subinterface. router(config)#interface f0.3 Crea la subinterface virtual f0.3 y entra a configurarla. router(config-if)#encapsulation dot1q 3 Configura la subinterface para que use el protocolo 802.1q y le asigna la VLAN 3. router(config-if)#ip address Realiza la configuración IP de la subinterface. router(config-if)#no shutdown Levanta la subinterface. Observa que habitualmente se hace coincidir el número de subinterface con el número de VLAN a la que se asigna la subinterface. Esto es por comodidad, no es obligatorio. 3. Y luego programaríamos el enrutamiento normalmente, como por ejemplo: router(config)#router rip router(config-router)#network I.E.S. Julio Verne Página 26 de 37 Dpto. Informática

27 router(config-router)#network router(config-router)#network I.E.S. Julio Verne Página 27 de 37 Dpto. Informática

28 CONFIGURACIÓN DE LA SEGURIDAD Una de las cuestiones más importantes a la hora de garantizar el buen funcionamiento de una red, es la de garantizar su seguridad. En este apartado veremos cómo implementar y revisar una mínima seguridad en un switch CISCO. Para configuraciones de seguridad más avanzadas y eficaces, se deben consultar los contenidos de CISCO CCNA Security. Configuraciones de Contraseña. En primer lugar hay que hacer especial hincapié en que tanto las contraseñas, como su uso y gestión, deben cumplir la política de seguridad de contraseñas de la organización. Esto es algo imprescindible y de vital importancia. Hoy en día una contraseña para considerarse segura debe cumplir estos requisitos: Mínimo de diez caracteres. Debe contener minúsculas, mayúsculas, números y signos. Debe ser lo menos parecido a una palabra que tenga sentido. Debe mantenerse en secreto y no debe estar anotada en ninguna parte. Debe tener una fecha de caducidad y no deben repetirse ni ser parecidas unas con otras. Configuración del Acceso Telnet/SSH El acceso remoto a los aparatos de red puede hacerse por Telnet o por SSH. Ambos son protocolos de la capa de aplicación que sirven para establecer una conexión remota de consola con un equipo cualquiera, sin embargo los diferencian algo muy importante: Todas las transmisiones que se realizan por Telnet se realizan en claro, por lo que cualquiera que intercepte la comunicación, puede ver lo transmitido (incluidos el nombre de usuario y la contraseña). Sin embargo, las transmisiones por SSH son seguras, es decir, en primer lugar exigen una autenticación segura del usuario y en segundo lugar cifra todas las comunicaciones entre los extremos, incluidos el nombre de usuario y la contraseña. I.E.S. Julio Verne Página 28 de 37 Dpto. Informática

29 Por este motivo podemos enunciar el siguiente principio de seguridad: En las conexiones remotas no debe usarse nunca, bajo ningún concepto, el protocolo Telnet y en su lugar debe usarse el protocolo SSH 1. El protocolo SSH está orientado a la conexión, por lo que primero debe establecer una conexión segura entre los extremos. Para ello debe reconocer al usuario y lo puede hacer de dos maneras: Utilizando un servidor externo de autenticación, como un servidor RADIUS, o cualquier servidor de autenticación. Utilizando al propio aparato al que nos conectemos como base de datos de usuarios y contraseñas. SSH utiliza para el cifrado un sistema de claves asimétricas, una pública y una privada. Por lo tanto, debemos crear dicho par de contraseñas en cada aparato donde queramos activar el acceso por ssh. Veamos la configuración del acceso por ssh: Switch(config)#service password-encryption Activa el guardado cifrado de las contraseñas. Switch(config)#username usuario1 password clave1 Crea un usuario local y su contraseña. Switch(config)#line vty 0 15 Switch(config-line)#login local Indica que en las líneas vty 0 15, la autenticación utilizará los usuarios y contraseñas introducidos en local con el comando username. Switch(config-line)#transport input telnet ssh Indica que el acceso a las líneas vty 0 15 puede hacerse por Telnet o por ssh. Si se omite Telnet y se escribe sólo ssh, se permitirá sólo el acceso ssh. Si se escribe none, no permitirá el acceso por ningún protocolo. Por defecto, admite sólo Telnet. Switch(config-line)#exit 1 Este principio es aplicable a redes en producción, no a prácticas de laboratorio, donde se puede emplear Telnet por comodidad y sencillez. I.E.S. Julio Verne Página 29 de 37 Dpto. Informática

30 Switch(config)#ip domain-name ejemplo.es Define el nombre del dominio actual como ejemplo.es Switch(config)#crypto key generate rsa Ordena la creación del par de claves RSA The name for the keys will be: Switch.ejemplo.es La pareja de claves recibe el nombre de Switch1.ejemplo.es Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 Pide que introduzcamos el módulo (un parámetro del algoritmo RSA, que puede ser 512, 1024, o 2048) % Generating 1024 bit RSA keys, keys will be non-exportable...[ok] *mar 1 0:27:41.970: %SSH-5-ENABLED: SSH 1.99 has been enabled Ya está la pareja de claves creada y ya está activo el acceso por SSH. Switch(config)# A partir de ahora podremos acceder al Switch usando SSH. Al acceder nos pedirá un usuario y una clave y debemos usar el que introdujimos con el comando username usuario1 password clave1. Y si deseamos ver la pareja de claves generadas, podemos hacerlo con el comando: Switch1#show crypto key mypubkey rsa Y obtendremos la siguiente respuesta: % Key pair was generated at: 0:27:39 UTC mar Key name: Switch1.ejemplo.es Storage Device: not specified Usage: General Purpose Key Key is not exportable. Key Data: e d 00006e b d c e8c 00006d2a 00007e a6a cd a ce 00002dee c a % Key pair was generated at: 0:27:39 UTC mar Key name: Switch1.ejemplo.es.server Temporary key Usage: Encryption Key Key is not exportable. Key Data: 00000ba cca edf 00001b2c c4c b cc e 00007c f e e8c c c8a f d74 Switch1# Veamos el resultado de acceder desde un PC al Switch por SSH usando Packet Tracer: I.E.S. Julio Verne Página 30 de 37 Dpto. Informática

31 En Packet Tracer, el comando que simula en los PCs el acceso SSH es: ssh l usuario dir_ip. Así que una vez configurado el acceso por ssh y con un PC conectado al switch, abrimos el Command Prompt de la pestaña de Desktop del PC e introducimos: PC>ssh l usuario Open Password: ****** Introducimos la contraseña, que en nuestro caso es clave1 Switch1> Por último debemos saber que podemos configurar el tiempo máximo de inactividad de la línea, de manera que cuando una conexión permanece inactiva más de dicho tiempo, se cierra automáticamente. Por defecto, el tiempo máximo es de cinco minutos, pero se puede modificar con el comando: Switch(config)#line vty 0 15 Switch(config)#exec-timeout minutos segundos Si se configura exec-timeout 0 0, se anula la desconexión por tiempo de inactividad. Seguridad de VLAN y Asignación de Puertos. Las configuraciones por defecto relativas a los puertos y a las VLAN son estas: La VLAN de Administración es la VLAN 1. La VLAN Nativa es la VLAN 1. Por defecto, todos los puertos se asignan a la VLAN 1. Todos los puertos asignados a una VLAN, si se elimina dicha VLAN se vuelven a asignar a la VLAN 1. En un Catalyst 2950, todos los puertos por defecto están en modo administrativo de dynamic desirable. En un Catalyst 2960, todos los puertos por defecto están en modo administrativo de dynamic auto. I.E.S. Julio Verne Página 31 de 37 Dpto. Informática

32 Estas configuraciones por defecto plantean varios problemas de seguridad que vamos a analizar junto con su solución. 1. Es peligroso que la VLAN de Administración, la VLAN por defecto y la VLAN Nativa sean la misma VLAN, deberían ser VLANs separadas. 2. Es peligroso que los puertos sin usar estén en modo dynamic, deberían etar en modo de acceso. 3. Es peligroso que los puertos sin usar pertenezcan a alguna VLAN activa, deberían estar en una VLAN que no se use (esta VLAN suele recibir el nombre de VLAN de agujero negro). Por lo tanto, debemos hacer estas operaciones para evitar los problemas: 1. La VLAN de Administración debe asignarse a otra distinta de la VLAN 1. Switch>enable Entra en el modo privilegiado. Switch#configure terminal Entra en el modo de configuración global. Switch(config)#interface vlan66 Crea la interface virtual vlan66, crea la VLAN 66 y entra a configurar la interface vlan66. Switch(config-if)#ip address Le asigna una dirección IP y una máscara. Switch(config-if)#no shutdown Levanta la interface. Switch(config)#interface vlan1 Entra a configurar la interface vlan1. Switch(config-if)#no ip address Se asegura de que vlan1 no tenga dirección IP. Switch(config-if)#shutdown Desactiva la interface vlan1. 2. La VLAN 1 se usará como VLAN de agujero negro: Se prohibirá su paso por los enlaces troncales. No se utilizará. 3. Se asegurarán los puertos no utilizados. Todos los puertos sin usar del switch se configurarán en el modo de acceso I.E.S. Julio Verne Página 32 de 37 Dpto. Informática

33 estático, en la VLAN 1 (la de agujero negro) y se deshabilitarán. Switch(Config)#interface range f0/10 15 A las interfaces sin usar. Switch(Config-if)#switchport mode access Switch(Config-if)#switchport access vlan 1 Switch(Config-if)#shutdown Seguridad de Puerto. Un tipo de ataque que podemos sufrir en nuestra red local tiene su origen en que un posible atacante externo se consiga conectar a una roseta de nuestra red y pueda entonces realizar diversos ataques desde dentro de nuestra red local. Otro posible ataque consiste en que desde un terminal interno de la red, se ejecute un ataque de man in the middle escuchando tráfico supuestamente protegido. Para dicho ataque se realiza un spoofing ARP, lo que supone cambiar la tabla de conmutación del switch. Para intentar evitar estos accesos indeseados y aumentar la seguridad de los puertos de nuestros switches, podemos usar la funcionalidad de seguridad de puerto, que se encarga de auditar el uso de los puertos y actuar en caso de que se produzca alguna conexión indeseada, o algún cambio en la tabla de conmutación. Esta funcionalidad se puede configurar para que actúe de estas maneras: Límites en las conexiones: Se puede definir un número máximo de direcciones MAC que se pueden asociar al puerto. Llamémosle n. Se puede definir una lista de direcciones MAC aceptadas, o se puede indicar al switch que vaya anotando las direcciones MAC que se conectan y que acepte sólo las primeras n direcciones. Acción a realizar cuando se produce una conexión no autorizada: Proteger la interface: Descarta el tráfico no permitido y no hace nada más. Restringir la interface: Descarta el tráfico no permitido y envía un mensaje de aviso de violación de puerto. I.E.S. Julio Verne Página 33 de 37 Dpto. Informática