Leia modulo2, vlans Editor julho 4, 2018

Vlans e ACLs – CCNA – Modulo2

Virtual LAN. Uma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente independente. Várias VLANs podem coexistir em um mesmo comutador (switch), de forma a dividir uma rede local (física) em mais de uma rede (virtual), criando domínios de broadcast separados. Vantagens: Segurança, Redução de custos, Melhor desempenho, Redução dos domínios de transmissão, Maior eficiência da equipe de TI, Gerenciamento mais simples de projetos e aplicativos.

Em Vlan antes de configura um endereço IP em uma subinterface, o comando encapsulation dot1q VLAN_id deve ser especificado primeiro. Ainda sobre Vlans, antes de excluir uma VLAN ativa, recomenda-se reatribuir todas as portas atualmente atribuídas como membro dessa VLAN . Qualquer porta que seja um membro de uma VLAN excluída se tornará inutilizável.

Uma VLAN de gerenciamento é usada para acessar e configurar remotamente um switch. As VLANs de dados são usadas para separar uma rede em grupos de usuários ou dispositivos. A VLAN padrão é a VLAN inicial na qual todas as portas de switches são colocadas durante o carregamento da configuração padrão em um switch.

O comando show interfaces trunk (ver Vlan Nativa) exibe as portas que são portas trunk, o modo de trunking, o tipo de encapsulamento, o status do trunk, a VLAN nativa e as VLANs permitidas no link.

Para que estações de trabalho conectadas ao switch 1 poder enviar tráfego para as estações de trabalho no switch 2 é preciso permitir a VLAN 20 no link trunk

Os roteamentos antigos entre VLANS exigem que cada VLAN seja atribuída a uma interface física diferente no roteador. Assim, se houver 5 VLANS para configurar, é necessário haver 5 interfaces físicas no roteador, uma para cada VLAN.

atribuir a VLAN 10 para tráfego não marcado – switchport trunk native vlan 10

ativar a interface atual como tronco – switchport mode trunk

proíbir a VLAN 10 na interface tronco – switchport trunk allowed vlan remove 10

É na memória Flash que o intervalo normal de VLANs é armazenado e fica um arquivo chamado vlan.dat.

Com router on a stick (interfaces virtuais) , as subinterfaces são usadas em uma interface física de roteador. Uma subinterface por VLAN é usada nesse projeto

Para tráfego de voz é necessário fazer uma VLAN exclusiva para isto.

Comando switchport access vlan 99 – atribuir a porta a uma VLAN específica (no caso 99)

A Cisco possibilita configurar um firewall simples que fornece recursos de filtragem básica que usam ACLs em rotadores. ACLs é uma série de comandos de IOS que controlam se um roteador encaminha ou elimina pacotes com base nas informações encontradas no cabeçalho do pacote. ACL de entrada ou saída. O nome de uma ACL padrão nomeada diferencia maiúsculas de minúsculas.

ACL padrão mais perto do destino, ACL estendida (especifica) mais perto da origem

As ACLs podem ser usadas para o seguinte:

Limitar o tráfego de rede, a fim de proporcionar um desempenho adequado de rede
Restringir a entrega de atualizações de roteamento
Fornecer um nível básico de segurança
Filtrar o tráfego com base no tipo de tráfego enviado
Filtrar o tráfego com base no endereçamento IP.

Listas de acesso padrão apresentam a sintaxe access-list e um número entre 1 e 99, seguidos pela palavra-chave permit ou deny e pelo endereço IP de origem

Se todas as ACEs tiverem instruções deny , todo o tráfego será negado, pois há um comando deny any implícito ao final de toda ACL padrão.

no access-list access-list number> remove a ACL da running-config imediatamente. Desativar uma ACL em uma interface, o comando é (config-if)# no ip access-group.

show access-lists é usado para elencar todas as listas de acesso configurada em um roteador

A entrada e a saída são interpretadas do ponto de vista do roteador. O tráfego designado em uma ACL de entrada será negado ou permitido ao chegar nessa interface do roteador vindo de uma origem. O tráfego designado em uma ACL de saída será negado ou permitido ao sair da interface para o destino.

Para negar o tráfego da rede 172.16.0.0/16, usa-se o comando access-list 95 deny 172.16.0.0 0.0.255.255. Para permitir todos os outros tráfegos, adiciona-se a instrução access-list 95 permit any.