Switch con capacidad VLAN (aislar segmentos)

BocaDePez 9 junio 2003 12:34

⋮

Hola,

Me preguntaba si alguien sabe de switches relativamente grandes (16. 24 puertos) con capacidad para aislar segmentos de red, es decir, que cada puerto sea una LAN independiente. Creo que los llaman switches con capacidad VLAN.

La idea es montar una gran LAN en un edificio, de forma que todos los vecinos compartan una conexión a Internet, pero de forma que todos los equipos vean al router, que todos tengan su LAN en casa, pero que no se puedan ver los ordenadores de diferentes viviendas (por razones obvias). Me gustaría saber si alguien sabe de switches apropiados para esto y cómo se configuran (si es fácil, si necesitan programas especiales,...).

Muchas gracias,

Jorge

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

okahei 9 junio 2003 13:02

⋮

mira comprate un switch y ya esta.
aunke la seguridad siempre estara comprometida aun con switch.

lo que puedes hacer es poner diferentes mascara de subred...

una forma para comprometer la seguridad seria envenenado el protocolo arp.

una solucion seria añadir una entrada estatica en tu arp cache, para que esta no se pudiese envenenar.

ejemplo: arp -a ip (tu puerta de enlace) mac router

saludos.

✖

BocaDePez 10 junio 2003 08:48

⋮

El problema es que yo montaría la infraestructura y luego iría llegando gente para usarla, pero yo ta no estaría allí para configurar los equipos que se conectaran a la red. Tiene que ser algo que funcione por sí solo.

De todas formas no se trata de que sea un sistema super seguro a prueba de piratería de alto nivel. Se trata de que cuando la gente (usuarios normalitos) acceda al entorno de red no vea directamente a todos sus vecinos.

Muchas gracias por tu respuesta

BocaDePez 9 junio 2003 13:02

⋮

Pones un router (conectado a ADSL o lo que sea...) que asigne direcciones por DHCP y lo conectas a un switch. De cada boca del switch un cable para cada casa. Luego en cada casa pones un gateway que pille la IP por DHCP.

De esta forma todas las casas tendrian internet con la posibilidad de conectar mas de un PC y al mismo tiempo los tipicos vecinos fisgones no podrian entrar a husmear en tu red local.

Los problemas, creo yo, vendrian a la hora de repartir el ancho de banda. Aunque con un switch Cisco con balanceo de carga por puertos estaria solucionado.

Ejemplo practico con ADSL:

+ Router ADSL SpeedStream 5660
+ Switch 24 puertos 10/100 (con balanceo de carga por puertos)
+ Gateway Zyxel Prestige 314 (incorpora un switch de 4 puertos 10/100 para la red local de cada casa).

En principio te deberia funcionar... :)

Saludos!

PD: Se aceptan ideas/modificaciones/mejoras ya que es un proyecto que tengo pensado aplicar en mi comunidad de vecinos.

✖

BocaDePez 10 junio 2003 10:16

⋮

Parece que tenemos intención de hacer una cosa bastante parecida. A ver qué te parece esto:

Supongo que el router se encarga de darle una IP pública a cada gateway de las casas vía DHCP, y las gateways a su vez le dan IPs no públicas a los PCs de las casas vía DHCP (luego será cliente y servidor DHCP a la vez). Tal y como yo lo veo la gateway se encargaría de la traducción de direcciones Internet-LAN doméstica.

¿No podríamos sustituir las gateways de cada casa por simples HUBs (que harían el diseño más baratito) de forma que fuera el Router el que se encargara de darles IP a todos los PCs?

De ese modo faltaría por asegurar la independencia de las LANs de cada casa. Aquí es donde yo pensaba que podría tener aplicación un switch con capacidad de aislar los diferentes puertos., es decir, que pase tráfico entre PC y router pero no entre PCs de distintos puertos.

¿Tú cómo lo ves?

Por cierto, yo he estado preguntando a operadores que pudieran dar servicio de banda ancha (de la buena ;-) ) y parece que sn bastante carillos, de forma que sólo saldrí rentable para comunidades relativamente grandes. Eso sí, podría dar miedo la pedazo de conexión resultante.

Saludos.

✖

BocaDePez 10 junio 2003 10:59

⋮

A ver, el tema switch con bocas "independientes", a parte de ser muy caro (creo yo), no evitaria que los usuarios de una casa pudiesen ver sus vecinos ya que el router solo puede asignar un rango de direciones IP dentro de la misma mascara.

EJEMPLO:

- IP: 192.168.0.xxx
- MASCARA: 255.255.255.0

De la forma que tu dices todos los vecinos tendrian el mismo rango de IP's de forma que si ademas los grupos de trabajo coindiesen se podrian ver entre si. Ademas, a parte de tener bocas "independientes" el switch deberia poder asignar un ancho de banda a cada puerto.

De la forma que te propongo yo el Router ADSL pilla la IP publica del ISP (estatica o variable) y actua, en la parte LAN, como servidor DHCP de los gateways. A su vez, los gateways, actuarian como DHCP release en su parte WAN y como DHCP server en la parte LAN (la banda LAN de cada
casa tambien podria estar con IP's estaticas). De esta forma consigues separar la LAN de la comunidad de vecinos de la LAN de cada casa.

EJEMPLO:

- ROUTER ADSL (SPEEDSTREAM 5660)

+ IP PUBLICA (ESTATICA): LA QUE TE DE EL ISP
+ MASCARA DE RED PUBLICA: LA QUE TE DE EL ISP
+ DNS PRIMARIO: EL QUE TE DE EL ISP
+ DNS SECUNDARIO: EL QUE TE DE EL ISP

+ IP PRIVADA: 192.168.0.254
+ MASCARA DE RED PRIVADA: 255.255.255.0
+ DHCP SERVER: ACTIVADO
+ RANGO IP'S: 192.168.0.1 a 192.168.0.253
+ MASCARA DE RED: 255.255.255.0
+ PUERTA DE ENLACE: 192.168.0.254

- SWITCH CISCO 24 PUERTOS 10/100 (UNO QUE TENGA BALANCEO DE CARGA)

- GATEWAY

+ IP DHCP RELEASE: ACTIVADO (NO HACE FALTA PREOCUPARSE POR CONFIGURAR CADA GATEWAY)
+ IP DHCP SERVER: ACTIVADO O DESACTIVADO (SEGUN CADA CASA COMO QUIERA MONTARLO)

De esta forma nadie podria entrar a fisgonear en casa de los otros. Ademas tampoco resulta tan caro:

+ ROUTER ADSL SPEEDSTREAM 5660: 200 #8364;
+ SWITCH CISCO 24 PUERTOS 10/100: 300 #8364;
+ 24 GATEWAYS ZYXEL PRESTIGE 314: 1500#8364; #8364;

->¡A cada familia le tocaria pagar 83 #8364; de instalacion!
Luego buscas una buena conexion LMDS (8 Mb/s simetricos!) que te sale por 500#8364;/mes.

->¡A cada familia le tocaria pagar 21 #8364;/mes de quota i dispondria de 340 Kb/s Simetricos!
Los unicos inconvenientes que veo yo son a la hora de abrir los puertos del router para cada casa como por ejemplo para enviar archivos por el MSN, para crear servidores, etc. Aunque tambien se podria solucionar con un router ADSL con mas prestaciones...

Saludos (y perdon por el post tan largo...)

[EtNiEs]

✖

BocaDePez 12 junio 2003 03:50

⋮

Pensándolo me doy cuenta de que llevas razón. Sigo pensando que con la tecnología VLAN se podría hacer algo parecido sin gateways en las casas, pero creo que tu propuesta es:

a) Más secilla
b) Más clara
c) Más segura
d) Posiblemente más barata si el switch VLAN se va de precio

De todas formas

(link roto)Tecnología VLAN (CISCO)

✖

BocaDePez 12 junio 2003 03:55

⋮

✖

BocaDePez 12 junio 2003 04:44

⋮

✖

ELPresidente 13 junio 2003 05:47 ✎

⋮

✖

BocaDePez 13 junio 2003 16:57

⋮

Velaznito 13 junio 2003 20:29 ✎

⋮

✖

Stu 17 junio 2003 17:00

⋮

✖

BocaDePez 7 abril 2005 19:44

⋮

BocaDePez 7 abril 2005 08:17

⋮

En cuanto a las VLAN, el standard 802.1q permite dividir el switch en redes independientes, según el puerto donde lo conectes. Pero admás deja que un mismo puerto se pueda asignar a diferentes VLANs.

Por ejemplo, 3 vlans independientes con un puerto, al que se le dice "tagged" (etiquetado), que pertenece a las 3 al tiempo, en el cual se puede poner el acceso a internet.

Todo esto en teoría :) ( en el manual es muy bonito todo), el problema es que los dispositivos que quieras conectar a estos puertos tienen que ser compatibles con el standard 802.1q, y ahí es donde me pillan a mi... nunca sabes si cuando viene alguien nuevo, con su portatil... podra conectarse a la vlan que le digas.

Suerte
ElChef

✖

Frankie2004 8 abril 2005 01:12 ✎

⋮

La conexión 802.1q es para concatenar switches entre sí, para formar un troncal entre ellos a través del cual las tramas viajen etiquetadas. El contenido de la trama Ethernet 802.3 original del PC que conectes viaja encapsulada por el troncal, y es desencapsulada a su salida del mismo cuando llega a su puerto de destino, por lo tanto es indiferente y no plantea problemas.

✖

BocaDePez 12 abril 2005 01:45

⋮

esta solucion la tengo implementada desde hace 2 años en una distribuidora de productos alimenticios, donde por necesidad y seguridad algunos equipos deben aislarse de la red y seguir manteniendo comunicacion con los servidores de red, creamos 8 VLAN´s utilizando 802.1q y switch administrables d-link especificamente la serie DES-3226 y DES-3624x, ambos de capa2

BocaDePez 13 abril 2005 01:20

⋮

Lo que te esta comentando frankie es que el 802.1q o dot1q es para que al apilar 2 o mas switches entre los puertos trunk se intercambien la informacion de vlans entre los 2 dispositivos y de esa forma en dos switches distintos pueda existir una vlan creada del mismo segmento.

En mi opinión en cuanto a la seguridad de utilizar vlan, es cierto que es la mejor manera de proteger los equipos entre sí, pero se presentan muchos problemas a la hora de configurar tu red para que proporcione todos los servicios de cara al exterior y entre usuarios internos. Este tipo de configuración con VLANS si al final van a existir muchos usuarios se suele realizar con la idea que comentais de vlans con los dispositivos de nivel 2, pero con un router que se encargue de realizar las operaciones de nivel 3 para interconexión y listas de acceso. Tambiéb existen switches con capacidades de nivel 3 (como los utilizados en MPLS bastante costosos) de echo, la configuración que estais planteando es muy parecida a MPLS.

Tener en cuenta que si hay muchos usuarios y creais VLANS para cada uno de ellos y además quereis que se puedan interconectar unas lans con otras para determinados puertos o servicios toda la gestión del routing la tendrá que realizar el modem router del suministrador y casi seguro que lo satureis.

BocaDePez 13 abril 2005 01:24

⋮

Otra cosa, no creais que con VLANS estais dando total seguridad, muchos de los switches del mercado realizan la conmutación de los puertos 2 a 2.

BocaDePez 27 julio 2005 21:39

⋮

Mira puedes hacerlos con Switches capa 2 o capa 3, en mi caso manejo switches cisco el cual me permiten crear vlan es decir tener varios segmentos de red y como al final tienen en congruencia en mismo switch se pueden ver ambas redes en ese caso puedo especificad que vlan son las que solamente permito y enrutado ese segmento saldra a internet sin problemas y no se podran ver entre si los host

LinuxJr

BocaDePez 10 agosto 2005 18:23

⋮

Pero supongamos una empresa de Hosting o Housing. Supongamos que tiene 100 servidores de 100 clientes distintos conectados a un switch.

Supongamos que la empresa ofrece un servicio de firewall...

¿Cómo se evita que unos clientes vean los servidores de otros sin pasar por el firewall?

¿Cómo se evita que envenen la tabla de ARP del switch y puedan ver todo el tráfico?

Una solución es hacer 100 VLAN,s pero es una locura a la hora del ruteo y del firewall.

¿Hay alguna forma de independizar los puertos de un switch, pero siendo todos de la misma LAN?

✖

Risky 11 agosto 2005 09:51

⋮

No veo por qué te opones a las VLANS, es más, creo que no tienes muy claras las funciones de las mismas.

Las VLAN´s además de seguridad dan rapidez ya que evitan tráfico innecesario y aislan segmentos de red.

¿Cómo se evita que unos clientes vean los servidores de otros sin pasar por el firewall?

Haciendo subnetting

Hay switchs de capa 3 que además de switch tienen incorporado un ruteador, con lo que permitiría tráfico entre las diferentes vlans, internet y además podrías configurar acl´s para designar tú mismo el tráfico que quieres que pase por ellas.
Además de esto, si divides las vlan´s con subnetting pues más seguridad todavía.

¿Cómo se evita que envenen la tabla de ARP del switch y puedan ver todo el tráfico?

Capando o filtrando los posibles agujeros.

Saludos.

BocaDePez 20 octubre 2005 18:25

⋮

amigo para solucionar tu problemas debes crear una vlan en tu switch (claro uno que soporte vlanes. ) y luego asignas a esa vlan los puertos del switch que quieras que pertenescan a ese grupo. luego creas las otras vlanes que creas necesaria, una vlan no se puede comunicar con otra en el switch la unica forma que dos vlanes se comunique es a traves de un router pero en el router creas una lista de acceso para denegar el acceso hacia otra persona y permitir solo el acceso a la internet eso es muy facil. recuerda que el en router tambien debes declarar las interfaces vlan por cada vlan creada en el switch para que este las pueda reconocer. esto es fácil en otra oportunidad te digo los pasos a realizar para configurar el switch y el router hasta luego.

✖

JoeDalton 20 octubre 2005 20:18

⋮

Puedo saber qué haces respondiendo un post del 2003? que su última respuesta fue a mediados del verano del 2005?

Creo que estaba más que respondido.