24 de marzo de 2017

La VLAN 1 en switches Catalyst

Hay 3 conceptos en los switches Catalyst que suelen confundirse y que es necesario diferenciar adecuadamente:
  • VLAN 1.
  • VLAN de gestión.
  • VLAN  nativa.
Los switches Catalyst de fábrica se entregan con la VLAN 1 ya creada, todos los puertos asignados a la VLAN 1, y esa VLAN como VLAN de gestión y VLAN nativa por defecto para enlaces troncales 802.1Q.
¿Cuáles son las características específicas de esta VLAN 1?
  • La VLAN 1 no puede modificarse ni eliminarse.
  • Todos los puertos están por defecto configurados como miembros de esta VLAN.
  • Es por defecto la VLAN nativa de todos los puertos.
  • Es por defecto la VLAN nativa en enlaces troncales 802.1Q.
  • Es por defecto la VLAN de gestión.
  • De fábrica se entrega un SVI creado que es la interfaz VLAN 1.
  • Los protocolos de plano de control, en general, circulan a través de la VLAN 1.
  • CDP, VTP y PAgP operan siempre en la VLAN 1, aún cuando la VLAN 1 no sea la VLAN nativa o no esté incluida en los enlaces troncales (la exclusión solo impacta en el tráfico del plano de datos y gestión).
  • El tráfico DTP, en troncales ISL opera siempre sobre la VLAN 1 aún cuando la VLAN no esté incluida en el troncal. En troncales 802.1Q DTP opera sobre la VLAN nativa.
  • PVSTP+ utiliza BPDUs que se envían únicamente a través de la instancia denominada CSTP (Common Spanning Tree), responsable de sostener la compatibilidad con otras versiones de STP. Esta instancia CSTP opera en la VLAN 1. En el caso de que la VLAN 1 fuera excluida de los troncales, entonces se envían BPDUs a través de todas las VLANs.
  • Los BPDUs de MSTP se envían siempre a través de la VLAN 1, aún cuando haya sido excluida de los enlaces troncales.
¿Cuáles son las consecuencias operativas de esto?
  • No utilizar la VLAN 1 para tráfico de datos.
    Esto simplifica el diagnóstico de fallos y optimiza el uso de procesamiento.
  • Asegurarse de incluir la VLAN 1 en los enlaces troncales.
    Esto visibiliza la VLAN 1 utilizada por los protocolos del plano de control y evita la posibilidad de una operación sub-óptima de STP.
  • Como best practice de seguridad cambiar la VLAN nativa de los puertos troncales asignando para este propósito una VLAN que no esté en uso.
    Esto evita el abuso de la VLAN nativa para atacar VLANs con dispositivos terminales.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


Publicado por
Labels: , , ,

4 comentarios:

  1. Andrésagosto 24, 2019 5:01 a.m.

    Hola Oscar un gusto saludarte.

    Tengo una duda.

    Por ejemplo, tengo una vlan administrativa 99 con direccionamiento 192.168.99. 0/24 que sirve para administrar mis equipos ya sea por telnet o ssh. Mi pregunta es, dentro de las troncales para cada switch, esa vlan 99 es correcto declararlo como vlan nativa?... Si me pudieras dar un ejemplo de como hacerlo sería magnífico. Y de no colocar esa vlan 99 como nativa, indicarme que vlan pondría como nativa. Tengo entendido que la vlan nativa es la que no está asociado a un puerto en específico, es así?

    ResponderBorrar
    Respuestas
    1. Oscar Geromettaagosto 24, 2019 11:22 a.m.

      Andrés.
      En primer lugar, la VLAN de gestión no tiene por qué coincidir con la VLAN nativa. Esta es una configuración por defecto que no es obligatoria.
      En segundo lugar, una buena práctica de seguridad es separar ambas, y que la VLAN nativa no se utilice ni para management ni para datos. Esto es para prevenir que sea aprovechada para desarrollar ataques de VLAN hopping.
      En consecuencia: No, en los troncales no es aconsejable declarar la VLAN de gestión como nativa.
      Y no, la VLAN nativa es la que no se etiqueta en el troncal, independientemente de que tenga o no puertos asociados a ella.

      Borrar
  2. Andrésagosto 24, 2019 11:43 a.m.

    Entiendo, entonces la vlan default que es la 1 que traen todos los switches, la debo sustituir por una vlan que se supone que no se utilizará en un puerto de acceso y de gestión y en cada troncal, declararla nativa sin necesidad de declararlá en cada trunk que une a otros switches. Por ejemplo

    Corrígeme si esto bien

    Vlan 3

    Int gi1
    Switchport mode trunk native vlan 3
    Swtixhport mode trunk

    Pregunto, esa nativa debería ser igual en los otros switches o puede ser distinto.?

    ResponderBorrar
    Respuestas
    1. Oscar Geromettaseptiembre 05, 2019 8:10 a.m.

      Permitime una aclaración.
      En los switches Catalyst la VLAN 1 no se puede editar o eliminar; por lo que no puedes reemplazarla.
      Lo que se sugiere es cambiar la VLAN nativa que se utiliza en los enlaces troncales por una VLAN que no esté en uso. Como en tu ejemplo, crear la VLAN 3 y asignarla como VLAN nativa en los troncales; y como bien dices no poner puertos de acceso en esa VLAN.
      La VLAN nativa debe coincidir en ambos extremos de un enlace troncal. Puede o no ser la misma en todos los troncales (estamos hablando de configuración de los enlaces, no de los switches en general); por supuesto que la mejor práctica de gestión es utilizar la misma VLAN nativa en todos los troncales para facilitar la gestión.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.

Suscribirse a: Comentarios de la entrada (Atom)