domingo, 23 de septiembre de 2018

Enlaces troncales en switches Cisco Catalyst






Por Oscar Gerometta

Configuración de enlaces troncales en switches Catalyst

Respecto de la implementación de VLANs y enlaces troncales, los switches Cisco Catalyst presentan varias definiciones por defecto que debemos tener presentes:

  • Por defecto está creada la VLAN 1, y todos los puertos del switch están asignados a esa VLAN 1.
  • La VLAN 1 es la VLAN de gestión (management) por defecto, y la VLAN nativa por defecto en los enlaces troncales.
  • En la mayoría de los switches en la actualidad no es necesario definir un protocolo de etiquetado de tramas ya que se asume por defecto IEEE 802.1Q. Sin embargo, si el dispositivo soportara ISL, no hay encapsulación por defecto y se debe especificar.
  • Cuando se define un enlace como troncal, por defecto, en ese enlace están permitidas todas las VLANs que se encuentran creadas en el switch.
  • Todos los puertos del switch implementan por defecto DTP para definir dinámicamente si operan en modo acceso o modo troncal.

Configuración básica del troncal

En primer lugar debemos tener presente que un troncal es un enlace que conecta 2 puertos de 2 switches diferentes, que son independientes entre sí. Por lo tanto es esencial que la configuración de ambos puertos sea compatible ya que se configuran de modo independiente.

Switch(config)#interface fastethernet 0/1
Switch(config-if)#shutdown

  • En los manuales de procedimiento se aconseja desactivar la interfaz antes de iniciar propiamente la configuración del puerto para evitar que los procesos de autonegociación estén negociando permanentemente mientras cambiamos la configuración.
Switch(config-if)#switchport trunk encapsulation dot1q
  • El comando define el protocolo de etiquetado de etiquetas que utilizará al operar en modo troncal.
  • No todas las plataformas permiten variar la encapsulación por defecto que se utiliza en los enlaces troncales. En aquellos dispositivos que solamente soportan IEEE 802.1Q este comando no está disponible.
Switch(config-if)#switchport mode trunk
  • Coloca el puerto en modo troncal.
  • Utilizará el protocolo de etiquetado de trama especificado con el comando anterior. Si el comando no está disponible, utilizará por defecto IEEE 802.1Q
  • Todas las VLANs creadas en el switch están permitidas en el enlace.
  • Al utilizar 802.1Q hay siempre una VLAN nativa, y en este caso la VLAN nativa por defecto es la VLAN 1.
Switch(config-if)#no shutdown
  • Terminada la configuración es necesario activar nuevamente el puerto.

Buenas prácticas sugeridas

En este caso se trata de prácticas de configuración sugeridas, no obligatorias, que apuntan a mejorar la seguridad o performance de la red.

1. Desactivar DTP

DTP es el protocolo que negocia, en los swtiches Catalyst, el modo de operación del puerto (troncal o acceso). 

Esto permite que, por ejemplo, un enlace entre 2 switches negocie automáticamente como troncal sin necesidad de intervención del Administrador.
 
DTP está activo por defecto en todos los puertos de los switches Catalyst.
 
Dado que este protocolo permite que un enlace podría negociar sin intervención alguna como troncal, y que ese troncal permitiría por defecto el tráfico de todas las VLANs existentes, DTP es un potencial riesgo de seguridad. De alli que se recomienda desactivarlo.

Switch(config-if)#switchport nonegotiate

  • El comando suprime toda negociación de DTP en el puerto.
  • Este comando es necesario aún cuando el puerto sea colocado manualmente en modo acceso o troncal, ya que el protocolo sigue activo.
  • Esto hace necesario que el otro extremo del enlace también sea configurado manualmente como troncal.
2. Cambiar la VLAN nativa

Todo enlace troncal 802,1Q tiene una VLAN nativa o untagged.
 
En los switches Catalyst la VLAN nativa en los puertos troncales 802.1Q es por defecto la VLAN 1.
 
Dado que la VLAN nativa puede ser aprovechada por un potencial atacante para "saltar" la división de VLANs en la red, se sugiere cambiar la VLAN nativa a otra VLAN en la que no se coloquen puertos de acceso, preferentemente una VLAN que esté en desuso.

Switch(config-if)#switchport trunk native vlan 999

  • Tenga presente que la VLAN nativa debe coincidir en ambos extremos del enlace.
  • Una disparidad en la definición de la VLAN nativa en ambos extremos no genera mensajes de error.
    En el caso de switches Catalyst CDP generará un mensaje de evento 
    CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on... que puede visualizarse en el puerto consola o en el registro de eventos.
3. Restricción de las VLANs transportadas en el enlace troncal

Al activar un enlace troncal, por defecto se permite el transporte de todas las VLANs existentes a través de ese enlace troncal.
 
En algunos casos el diseño de la red requiere restringir las VLANs que se transportan en algunos troncales. Cuando no es así se sugiere, como buena práctica, que se limite las VLANs permitidas a solamente las necesarias.
 
Esto se hace permitiendo solamente las VLANs deseadas con lo que automáticamente quedan excluidas todas las VLANs que no son explíticamente permitidas.

Switch(config-if)#switchport trunk allowed vlan 2-10,20,30

  • De este modo se restringe el troncal exclusivamente a las VLANs que se declaran en el comando. En este caso es el rango de VLANs que va desde la 2 hasta la 10, y además las VLANs 20 y 30.
  • Todas las demás VLANs están excluidas de este enlace troncal.
Switch(config-if)#switchport trunk allowed vlan remove 5
  • Este comando remueve de las VLANs permitidas en el enlace, exclusivamente aquellas que se especifican en el comando. En este caso remueve la VLAN 5 del grupo de VLANs permitidas.
  • Si se aplica en un troncal que está operando con valores por defecto, el resultado será que siguen estando permitidas todas las VLANs salvo aquellas que se indiquen específicamente.
Switch(config-if)#switchport trunk allowed vlan add 40
  • Este comando agrega a las VLANs permitidas en el troncal aquella que se indica específicamente en el comando.
  • ATENCIÓN: Si se intenta agregar una VLAN sin el keyword "add" el resultado será que se sobrescribirán las VLANs permitidas y quedarán como permitidas solamente aquellas que se están especificando en el comando.

Procedimiento de configuración de troncales

1. Ingrese al modo de configuración de la interfaz.
2. Desactive la interfaz.
3. Selecciona la encapsulación a utilizar (si corresponde).
4. Coloque la interfaz en modo troncal.
5. Desactive DTP
6. Modifique la VLAN nativa.
7. Restrinja las VLANs permitidas en el enlace troncal.
8. Reactive la interfaz.

Tomado de: http://librosnetworking.blogspot.com/2018/09/configuracion-de-enlaces-troncales-en.html

No hay comentarios:

Publicar un comentario