Segmentación de redes: Configuración de dispositivos de red I de III
Fundamentos.
Hasta la fecha, hemos visto como configurar un relay dhcp y la configuración de nuestro dhcp para asignar direccionamiento a los distintos dispositivos dentro de nuestra red. Para completar nuestra configuración por completo, nos falta la configuración de los dispositivos de red, esta parte la vamos a abarcar entre los siguientes 3 artículos.
Para poder comunicarnos entre nuestras vlan, deberemos tener un dispositivo que sea capaz de re-direccionar el tráfico entre los diferentes segmentos de nuestra red. Lo más lógico es hacer uso de un switch con funcionalidad de capa 3. Este será el core de nuestra red, siendo capaz de intercomunicar nuestras vlan. Para el resto de haremos uso de switch´s con funcionalidad de capa 2.
Asignación de interfaces.
Si seguimos el esquema de arriba, las interfaces de los switch de capa 2 correspondientes a los clientes, deberán estar configuradas en modo acceso para la vlan correspondiente, asignando así la pertenencia del equipo a la vlan. Mientas que las que comunican con nuestro dispositivo capa 3, deben estar en modo troncal, habilitando así el protocolo 802.1q. Mas adelante veremos el porqué de estas configuraciones.
Por último tendremos nuestro dispositivo de capa 3, este será el encargado, como he dicho en varias ocasiones, de re-direccionar el tráfico entre las diferentes vlan. Para poder llevar a cabo este cometido será el que haga de Gateway para las diferentes vlan, por lo tanto este además de tener configuradas las diferentes vlan, también tendrá que ser capaz de enrutarlas, para lo cual tendremos que configurar la parte correspondiente al routing asignado un rango y una ip a cada una de ellas en el dispositivo, siendo la ip que asignemos la que hará de puerta de enlace para la vlan correspondiente. También deberemos configurar en este una ruta por defecto para que sea capaz de reenviar fuera de nuestra red local el tráfico pertinente.
Configuración de los clientes.
Vamos a ir viendo las configuraciones para cada una de las partes del esquema, empezaremos por los clientes, en el siguiente post veremos la configuración de dispositivos de red de capa 2 y en el ultimo la de los dispositivos de capa 3.
En realidad, la configuración de los clientes ya la tenemos realizada, ya que cuando conectemos un dispositivo a la red seguirá el siguiente proceso:
- Lanzará el broadcast para realizar el dhcp Discovery, este llegara a la interfaz del swich de capa 2 correspondiente.
- El switch etiquetara el tráfico del dispositivo con el VlanID correspondiente a la interfaz y propagara este broadcast por las interfaces pertenecientes a la VLAN que corresponda hasta que este llegue al dispositivo de capa3.
- Nuestro dispositivo de capa 3 reenviara el tráfico, gracias a nuestro dhcp relay al servidor dhcp.
- El servidor dhcp responderá a la petición, asignando finalmente un direccionamiento valido para la vlan correspondiente, permitiendo la comunicación del cliente con el resto de dispositivos.
Como podéis ver el proceso es bastante sencillo. En principio, cuando terminemos de configurar todo, dispondremos de una red segmentada en la que los dispositivos podrán comunicarse entre si. Si deseamos que esto no sea así, podemos hacer uso de diferentes métodos como puede ser la aplicación de ACL´s para las vlan. Este método es bastante sencillo de implementar, sin embargo mi intención es ir mas allá. Digamos que esta serie de post sobre segmentación de redes pretende ser el preludio para una serie de post en los que veremos como proteger nuestra infraestructura. Para conseguir este fin podemos hacer uso, entre otras cosas, de:
- Servidores AAA como Radius para autenticación a nivel de red.
- NPS y NAP con DHCP, para evitar que los equipos que no cumplan ciertos requisitos de salud y configuración puedan acceder a nuestra red interna.
- ACL´s, antes mencionadas, para controlar como y con quien se comunican nuestros dispositivos.
- Poder implementar un IDS para detectar accesos no autorizados.
- Portmirroring, para monitorizar el trafico de nuestra red.Poder implementar un IDS para detectar accesos no autorizados.
Estas son algunas de las funcionalidades que se me ocurren podemos implementar y que espero poder ir publicando poco a poco si el tiempo y los recursos me dejan.
Hasta el próximo post.
No olvidéis compartir el contenido si os gusta y dejar algún comentario, pregunta, reseña, etcétera. Siempre intento contestar las preguntas, ayudar y echar una mano, ya que, a mi entender es la finalidad de cualquier blog, acercar el conocimiento a los demás y aprender de ellos. Siempre se puede aprender de las criticas y no todo siempre todo tienen que ser halagos.