VLAN PRIVADAS


PRIVATE VLANs (VLAN PRIVADAS)
En muchas ocasiones los proveedores de servicio poseen  equipos de múltiples clientes, además de sus propios servidores en un solo segmento DMZ o VLAN de segmento, en estos casos los problemas de seguridad aumentan, es importante que el tráfico entre dispositivos sea aislada aun perteneciendo a la misma RED y a pesar de que todos los puertos permanecen en la misma vlan.

TIPOS DE PVLANs

 isolated (aislado): El puerto aislado está separado a nivel de capa 2 de otros puertos de la misma PVLAN a excepción de los puertos promiscuos, el tráfico generado por un puerto aislado solo puede ser reenviado hacia un puerto promiscuo.

 Promiscuous (promiscuo): Un puerto promiscuo se puede comunicar con todos los puertos de la VLAN  privada, incluida la comunidad y los puertos aislados, Un puerto promiscuo es sólo parte de una VLAN primaria,  pero cada puerto promiscuo puede asignar a más de una VLAN secundaria privada.

Los Puertos promiscuos son por lo general los que están conectados  a routers, servidores backup, o dispositivos que tienen que comunicarse con todos.

 Community (comunidad): Este Puerto permite la comunicación de cualquier interfaz asociada a la misma comunidad y  también permite la comunicación con sus  puertos promiscuos.
Soporte para las VLANs PRIVADAS.

 VLAN PRIVADA PRINCIPAL: Una PVLAN  primaria  puede estar compuesta de muchas VLAN secundarias privadas, y estas pertenecen a la misma subred de la pvlan principal.
Lleva el tráfico de los puertos, aislado,  comunidad y otros A puertos promiscuos en la misma PVLAN primaria.

 VLAN PRIVADA SECUNDARIA: Cada PVLAN secundaria es asociada o asignada  a una PVLAN PRIMARIA. Los dispositivos finales están conectados a las PVLAN secundarias.
Nota: Un puerto promiscuo puede dar servicio a una sola VLAN principal.
Un puerto promiscuo puede dar servicio a una PVLAN aislada o varias vlan en comunidad.
Las PVLAN se pueden extender a  lo largo de varios switches que soporten esta característica.

 PASOS PARA CONFIGURAR VLANs PRIVADAS
PASO1: configuración de VTP en modo transparente.
PASO2: crear las pVLAN secundarias.
PASO3: crear las pVLAN primarias.
PASO4: Asociar la PVLAN secundarias   a las  pVLAN primarias.
PASO5: Configurar una interfaz a un puerto aislado o de la comunidad.
PASO6: Asociar el puerto aislado o el puerto en comunidad con los pvlan primario-secundario.
PASO7: configurar las interfaces a puertos promiscuos
PASO8: Mapear el puerto promiscuo a la pVLAN primario-secundario
ESCENARIO 1.



Los diseñadores de redes podría utilizar ACL para configurar esta red,  pero las PVLANs son una solución más simple. El puerto de la Internet debe ser ajustado a promiscuo. Una VLAN comunidad debe ser a la vez creó a los servidores host de DNS y una VLAN aislada debe ser creado para alojar los servidores Web y SMTP.

CONFIGURACION

 Switch(config)# vtp transparent
Switch(config)# vlan 201
Switch(config-vlan)# private-vlan isolated
Switch(config)# vlan 202
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 201,202
Switch(config-vlan)# interface fastethernet 0/24
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 201,202
Switch(config-if)# interface range fastethernet 0/1 - 2
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 202
Switch(config-if)# interface range fastethernet 0/3 - 4
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 201


ESCENARIO 2  MULTPLES SWITCHES

Un puerto de enlace troncal transporta el la VLAN principal  y La VLAN secundaria a un switch  vecino como cualquier otra VLAN.

 CONFIGURACION

 Switch(config)# interface fastethernet 5/2
Switch(config-if)# switchport mode private-vlan trunk secondary
Switch(config-if)# switchport private-vlan trunk native vlan 10
Switch(config-if)# switchport private-vlan trunk allowed vlan 10, 3,301-302
Switch(config-if)# switchport private-vlan association trunk 3 301
Switch(config-if)# switchport private-vlan association trunk 3 302

Comentarios

Publicar un comentario

Dime si la información de este blog te sirvio.

Entradas populares de este blog

Guía de herramientas básicas para estudiantes: 31 apps y webs imprescindibles para ayudarte con los estudios

Imagen
  Te traemos una guía con   31 aplicaciones y herramientas web para ayudarte como estudiante , una colección muy variada para sacar provecho en diferentes ámbitos en los que puedas necesitarlo. Nos hemos dejado fuera el ámbito educativo para los más jóvenes, recursos que tenemos en   esta otra guía , y nos hemos centrado en estudiantes más adultos. Hemos decidido centrarnos en herramientas prácticas, dejando fuera las plataformas para cursos online, tanto  las más conocidas  como  otras menos conocidas . Lo que hemos preferido buscar son recursos que puedas usar en tu día a día, como gestores de fuentes y citaciones, herramientas para diagramas, para intercambiar apuntes o para crear diferentes contenidos. Y lo que decimos siempre en Xataka Basics hoy cobra más sentido que nunca. Nosotros te traemos 31 herramientas, pero te invitamos a  compartir tus propuestas en la sección de comentarios  para que el resto de usuarios también pueda beneficiarse de los conocimientos de nuestros xatake
Leer más

Comando FOR para archivos BAT

Gracias a: http://profesoremiliobarco.blogspot.com/ El comando FOR sirve para ejecutar bucles de instrucciones, y es una instrucción que se encuentra disponible en todos los lenguajes de programación. Un bucle son varias repeticiones de algunas instrucciones. Este comando suele ser el más complicado de entender para las personas que empiezan a escribir archivos BAT complejos. Aqui intentaré explicar todas las opciones y usos del comando FOR, así como intentar resolver las dudas que los usuarios de Internet me puedan plantear. La sintaxis normal del comando FOR es: FOR %var IN (lista) DO (      comando     comando      ... )  Pero si lo vamos a usar dentro de un archivo BAT será así: FOR %%var IN (lista) DO (      comando     comando      ... ) Observa que la variable "var" ahora va precedida por dos simbolos de "%". Además, si este for está dentro de un archivo BAT, el nombre de la variable debe ser UNA SOLA LETRA (p.ej: %%n, %%i,  %%j , etc
Leer más

How to Fix Failed to Connect a Hyper-V Standalone to Veeam Backup

Imagen
 Thank to: https://bonguides.com/ Invalid Credentials Error Adding a Hyper-V Host When attempting to add a Hyper-V host to  Veeam Backup & Replication  using a local (non-domain) user account, the following error occurs: Failed to connect to host Access denied or timeout expired . Check if you have local administrator privileges on computer Possible reasons: 1 . Invalid credentials . 2 . Specified host is not a Hyper - V server . Solutions 1. Login into the Hyper-V host then open  Registry Editor . 2. Navigate to the following location then create a new  DWORD  value. Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 3. Enter the name  LocalAccountTokenFilterPolicy  then double click on it and set the value data is  1. Or you can create a DWORD value using PowerShell, let run below command in PowerShell Admin. reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system / v LocalAccountTokenFilterPolicy / t Reg_DWORD / d 1 Fin
Leer más