Diseo de Redes con Switches

1
Diseño de Redes con Switches
Consideraciones Técnicas
Cristian Henry H. chenry_at_reuna.cl Gerencia
Técnica REUNA
2
Diseño de Redes con Switches

• Mantener las normas IEEE
• 802.3, 802.3u, 802.3z
• Velocidad(bw), duplex, distancias, CSMA/CD,
  colisiones, broadcast/multicast.
• Ancho de banda útil
• Dominio de colisiones/broadcast (20)
• Mecanismo de forwarding (s/f, c/t, f/f)
• Rendimiento en forwarding (16Mpps ? 1Gbps)
• Usuarios simultáneos (25 máx dom. Bcast/coll)

3
Diseño de Redes con Switches

• Segmentación de LAN con Switches
• Muchos dominios de colisión y broadcast

4
Diseño de Redes con Switches

• Segmentación de LAN con Switches (2)
• Conservan el bw de cada segmento filtro 802.1d
• Mas usuarios segmenta el dominio de colisiones
  y los interconecta.
• Aumenta la distancia máxima e2e full-duplex.
• Varias instancias de SPT pvst.
• Balanceo de carga trunk, spt, channel
• Seguridad mac, autentificación, logging
• Mayor rendimiento ASIC

5
Diseño de Redes con Switches
Caso de Estudio

• Escenario de diseño
• Administración centralizada
• 3 departamentos finanzas, ingeniería y ventas.
• Un total de 300 usuarios
• Conexión a Internet con un ISP de 2 Mbps
• Servidores de archivos y aplicaciones
• Actualmente posee una red de datos plana.

6
Diseño de Redes con Switches
Caso de Estudio

• Discusión de diseño 1 HubsBridges

7
Diseño de Redes con Switches
Caso de Estudio

• Discusión de diseño 2 Bridges

8
Diseño de Redes con Switches
Caso de Estudio

• Discusión de diseño 3 Switches

9
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• Diseño de VLANs Nombre, número y tipo de tráfico.

10
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• Direcciones IP Uso, VLAN y subred, IPs
  reservadas (default-gw)

11
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• Dominio VTP Nombre, modo, ver, prunning,
  autentificación

12
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• Balanceo de carga Spanning Tree ubicación root
  bridge

13
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• Balanceo de carga Falla , convergencia stp (30
  seg.)

14
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• Sintonía de STP Mejorar tiempos de convergencia
• Backbonefast (todos los switches)
• Uplinkfast (switches hojas)
• Portfast (puertas a hosts)
• Diameter (hops del sistema)
• Es posible lograr una convergencia lt 4 segundos.
• (PVST, 802.1w-Rapíd PVST)

15
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• VLAN de Administración VLAN1 (default)

16
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• VLAN de Servidores VLAN100 debe llegar hasta el
  router

17
Diseño de Redes con Switches
Caso de Estudio

• Diseño 3
• Configuración Final

18
Diseño de Redes con Switches

• Otras Posibilidades
• Switching L3 instancias de enrutamiento
  unicast/multicast a velocidad de switch (ASIC)
• Autentificación por puertas 802.1x
• Voice VLAN 802.1p/802.1q
• 802.1q Tunneling L2 protocol tunneling (vtp,
  cdp, stp)
• Complemento DHCP relay agent, snooping, option
  82
• IGMP Snooping
• Control de Tráfico por puerta storm-control,
  protected, bloquing, port-secure

19
Diseño de Redes con Switches

• Otras Posibilidades
• Seguridad con ACLs IP y MAC, VLAN Maps
• QoS 802.1p (COS), DSCP, IP Prec, Priority, WRR
• EtherChannel PAgP, Port-Channel L3,
  redundancia.
• Fallback Bridging bridging entre VLANs tráfico
  no ruteable
• Sintonías de STP BPDU guard, ROOT guard
• Monitoreo local y remoto SPAN, RSPAN
• Logging, SNMP, RMON
• UDLD verifica bidireccionalidad de links

20
Diseño de Redes con Switches

• Seguridad en Switches
• Ataque por MAC Address Flooding
• Cuando la CAM se llena, 802.1d hace flooding
• Inundación de random src/dst MAC, src/dst IP
• Random IP pueden ser multicast lo que haría
  fallar por CPU al nivel de distribución.
• Solución Port-Security
• Controla el máximo de entradas por puerta, las
  MAC autorizadas, bloquea la puerta y envía un
  trap SNMP.

21
Diseño de Redes con Switches

• Seguridad en Switches (2)
• Ataque por respuestas DHCP falsas
• Desde puertas de usuario pueden responder a
  solicitudes DHCP.
• Respuestas DHCP maliciosas o erróneas.
• Solución DHCP Snooping
• Diferencia entre puertas untrusted hacia
  usuarios y trusted hacia servidores DHCP
• Puede ser habilitado por VLAN
• Es posible limitar el bw de una interfase para
  DHCP
• Elimina (drop) paquetes maliciosos.

22
Diseño de Redes con Switches

• Seguridad en Switches (3)
• Ataque por ARP Spoofing
• Scan de ARPs por cualquiera de la subnet
• DNS reverse name lookup
• Descubre la topología MAC/IP/nombres
• Cambiar MACs en respuestas ARP.
• Solución Dinamyc ARP inspeccion
• DHCP Snooping Table DHCP snooping
• Usa la tabla MAC/IP de las asignaciones DHCP
• Control de BW de ARP Request en puertas clientes

23
Diseño de Redes con Switches

• Seguridad en Switches (3)
• Ataque por DoS
• Solución Rate Limit
• Configuración de clases
• Configuración de políticas de servicio tipo
  Policy
• Esquemas CBWFQ.
• Ataques por STP
• Integrarse a la topología L2 de un dominio
• Cambiar el root-bridge y redefinir la topología
• Solución BPDU guard, BPDU filtrer, ROOT guard

24
Diseño de Redes con Switches

• Seguridad en Switches (4)
• Inundaciones y loops STP
• Al unir los dominios de VLAN 1 por trunking
  entre switches, la VLAN default.
• Podría afectar la administración por interfase
  vlan1
• Solución VLAN1 minimization
• Eliminar de la lista del trunk la VLAN1, en esta
  caso, cambiar la VLAN nativa en 802.1q.
• Poner todas las puertas libres en una VLAN
  administrativa distinta que también sea filtrada.

25
Diseño de Redes con Switches

• Seguridad en Switches (5)
• Bloqueo de puertas
• Al conectar dos switches con puertas en modo
  access
• y estas puertas en ambos switches tienen VLANs
  distintas
• Se bloquean y quedan en errordisable
• Solución
• Usar la misma VLAN en ambos switches, o
• Filtrar las BPDU de STP, bpdu filter.
• 802.1 tunnel lo hace por default.