30/01/2019

VLANs - Virtual Lans

Representação do trafego isolado por VLANs

     As Virtual LANs ou Redes Virtuais, permitem a um administrador segmentar o seu domínio com base em fatores como a função, equipe do projeto ou a aplicação, independentemente da localização física do usuário ou do dispositivo. Dessa forma, os dispositivos pertencentes a determinada rede virtual, atuam em uma rede lógica independente, mesmo que compartilhem uma infraestrutura física comum.
     Essa independência faz com que os pacotes destinados às estações que não pertencem à VLAN sejam enviados através de um dispositivo com suporte para esse roteamento. Esse isolamento entre redes permite tanto uma maior segurança quanto uma melhora de desempenho devido a criação de um domínio de broadcast para cada rede virtual.
     Por exemplo, se um dispositivo em uma VLAN enviar um quadro ethernet de broadcast, somente os dispositivos na mesma VLAN receberão o quadro, os demais não.
     Ainda, cada VLAN corresponde a uma rede IP e a cada porta de um switch pode ser atribuída apenas uma rede virtual, exceto quando se tratam de VLANs de voz ou portas trunk.

Vantagens das VLANs

     As VLANs tornam mais fácil projetar uma rede para suportar os objetivos de uma organização. Os principais benefícios do seu uso são:
  • segurança: proporcionam o isolamento entre grupos de dispositivos, reduzindo as chances de violações de informações sigilosas.
  • redução de custos: resultante da menor abrangência e impacto das  possíveis atualizações de rede e do uso mais eficiente da largura de banda e dos equipamentos já existentes.
  • melhor desempenho: dividir as redes simples de Camada 2 em vários grupos de trabalho lógicos (domínios de broadcast) reduz o tráfego desnecessário na rede e aumenta o desempenho.
  • diminuir domínios de broadcast: além de melhorar o desempenho facilita na detecção e isolamento de problemas, devido a menor quantidade de equipamentos em cada rede.
  • maior eficiência da equipe de TI: elas facilitam o gerenciamento da rede isolando grupos de usuários com requisitos semelhantes. 

Tipos deVLANs

     As redes virtuais podem ser classificadas de acordo com o elemento ao qual ela se associa, podendo ser baseada em:
  1. portas (L1): onde cada VLANs existe em um conjunto de portas.
  2. endereço MAC (L2): onde cada conjunto de MACs é associado a uma VLAN.
  3. tipo de protocolo (L2): as VLANs são segmentadas de acordo com o protocolo envolvido na comunicação.
  4. faixa de IP (L3): os dispositivos pertencentes a uma determinada VLANs são determinados pela faixa de endereço IP que recebem.
  5. protocolo: os membros de uma VLANs são definidos de acordo com o protocolo ou conjunto de protocolos que utilizam. Por exemplo FTP, HTTP, etc.
     O padrão IEEE 802.1Q, define a criação de redes virtuais somente para as camadas 1 e 2 do modelo OSI. A utilização em outras camadas depende de soluções proprietárias.

VLANs de acordo com o uso

     De acordo com a utilização e a funcionalidade de uma VLANs, é possível também denominá-la de outra forma. 
  1. VLAN padrão: configuração de fábrica que em geral utiliza o identificador 1 (um) e não pode ser renomeada ou excluída, sendo atribuída para todas as portas do equipamento por default, até que uma nova configuração seja realizada. Ela também é utilizada por padrão como VLAN nativa.
  2. VLAN nativa: é uma VLAN especial que só existe na s portas trunk e que não será tagueada nestes links. Se a VLAN nativa for diferente em algum switch da rede ou em um dispositivo camada 3 que participa o processo de roteamento interVLAN, a parte do tráfego não será encaminhada.
  3. VLAN de dados: é o nome dado aquelas que são configuradas para transportar o tráfego gerado pelo usuário.
  4. VLAN de voz: é separada para suportar Voz sobre IP (VoIP), sendo necessárias as devidas configurações na rede para suportar os requisitos de tráfego, que são:
    • Largura de banda garantida para assegurar a qualidade de voz;
    • Prioridade de transmissão sobre outros tipos de tráfego de rede;
    • Capacidade para roteamento em áreas congestionadas na rede;
    • Atraso de menos de 150 ms na rede.
  5. VLAN de gerência: é a VLAN que foi definida para ser utilizada pelos ativos de rede, permitindo que o mesmo seja acessado remotamente e gerenciado. Embora, teoricamente, um switch possa ter mais de uma VLAN de gerenciamento, isso aumenta a exposição a ataques à rede
  6. VLAN trunk: ou tronco, permitem que o tráfego de todas as redes virtuais existentes em uma rede seja propagado, permitindo a comunicação entre dispositivos conectados em uma mesma VLANs mas em switches  distintos. As portas configuradas como trunk, suportam dois tipos de tráfego, denominados como:
    • tagueado: ou marcado, o qual é oriundo de inúmeras VLANs, que tem uma marca (tag) de 4 bytes inserida no cabeçalho do quadro Ethernet original, especificando a VLAN à qual o quadro pertence.
    • não tagueado: ou não marcado, que não possui nenhuma marcação de VLAN, sendo automaticamente colocado na VLAN nativa. Dessa forma, esse tráfego acaba na prática sendo descartado em uma porta trunk, caso a VLAN nativa não esteja sendo utilizada.

Referências

Postado por às Nenhum comentário:
Marcadores: ,

12/01/2019

Confirugarndo acesso ssh a um switch

     O Secure Shell (SSH) é um protocolo que roda por padrão na porta 22 e fornece conexão de gerenciamento seguro (criptografia forte) a um dispositivo remoto, tanto para autenticação de login (usuário e senha) quanto para dados transmitidos entre os dispositivos de comunicação, sendo assim utilizado em substituição ao Telnet (porta 23), nas conexões de gerenciamento, pois este é um protocolo mais antigo que usa transmissão de texto não criptografado, não protegido.
     Assim como na maioria das postagens, essa configuração foi realizada em um switch Cisco modelo 2960, mas em geral pode ser replicada com algumas adaptações em equipamentos de outros fabricantes.

Configuração do SSH

1. Verifique o suporte a SSH com o comando show ip ssh. Se o switch não estiver executando um IOS que suporte recursos criptográficos, esse comando não será reconhecido.
switch# show ip ssh
SSH Disabled - version 1.99
%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.
Authentication timeout: 120 secs; Authentication retries: 3
switch#
2. Permita somente ssh versão 2 com o comando ip ssh version 2.
  • OBS: por padrão, o SSH suporta ambas as versões 1 e 2, essa informação é mostrada na saída show ip ssh como suportando a versão 1.99, A versão 1 tem vulnerabilidades conhecidas, que com essa configuração, são evitadas.
3. Configure o nome de domínio com o comando ip domain-name;
4. Gere um par de chaves RSA, o que ativa automaticamente o SSH. Para tal use o comando crypto key generate rsa no modo de configuração global. Um comprimento para o módulo será solicitado, em geral utilizado 1024 ou 2048 bits.
  • OBS: para excluir os pares de chaves RSA, use o comando crypto key zeroize rsa do modo de configuração global. Assim o servidor SSH será desativado automaticamente.
5. Configure o tempo limite de conexão com o comando ip ssh time-out [segundos].

6. Ative o protocolo SSH nas linhas vty com o comando do modo de configuração de linha transport input ssh, limitando o switch a aceitar conexões somente SSH, impedindo conexões como Telnet.
  • OBS: quando se utiliza a configuração de autenticação aaa, referente aos usuários institucionais, está é a única configuração necessárias nas linhas console e vty.
7. Verifique a configuração e versão do ssh com o comando show ip ssh e as conexões ativas com o comando show ssh.
Postado por às Nenhum comentário:
Marcadores: ,
Assinar: Postagens (Atom)