Para mejorar la seguridad de una red, podemos configurar nuestro switch para que las tramas de broadcast no se vean por toda la red. Incluso no se podrian ver entre las distintas VLAN salvo que configuremos un puerto troncal donde se comuniquen todas las VLAN, por ejemplo para conectarse a internet.
Con la creación de VLAN además evitaremos la saturación de la red y en caso de hacer un maninthemiddle solo afectaria a la VLAN desde donde se haga.
Si tenemos varios switch y queremos que se en ambos se vean tendremos que poner el mismo nombre a ambas VLAN. NOTA: Esto no funciona en todos los switch.
Por defecto existe una unica VLAN, la 1, que es de adminstrador, por defecto solo se puede administrar el switch.
Para crear las VLAN podemos usar el protocolo VTP que nos permitiria crear las VLAN en todos los router, pero luego tendremos que asignar a cada puerto una red.
Para crear una VLAN:
#vlan database
(vlan)#vlan N_VLAN name NOMBRE
NOTA: Las VLAN se crean automaticamente al asignar una no existente
Para asignar una VLAN a un puerto:
(config-if)#switchport access vlan N_VLAN
o asignarlas por bloque mediante:
(config)#interface range fastEthernet SLOT/PUERTO_INI - PUERTO_FIN
(config-if-range)#switchport access vlan N_VLAN
Para ver la conguracion de las VLAN:
#show vlan
Para poder dar acceso a internet a las distintas VLAN tendriamos que hacer que el puerto que se conecta al router o al otro switch este el modo troncal. Para ello:
(config-if)#switchport mode trunk
o
(config-if)#switchport trunk allowed vlan all
o si queremos que solo algunas tengan:
(config-if)#switchport trunk allowed vlan add N_VLAN
De este ultimo modo podriamos crear distintas salidas dependiendo de la VLAN en la que este.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario