SEGURIDAD EN REDES LAN IMPLEMENTANDO VLAN

EN INSTITUTO TECNOLOGICO “LA CHIQUITANIA”

PARTICIPANTES:

CALEB ERWIN FERREIRA YANNE - 201702389

JAIRO FUENTES ALARCON - 201702549

JOSUE RICARDO VARGAS ESCOBAR - 201706006

DOCENTE:

Ing. Rodrigo Ferrufino

FACULTAD DE CIENCIAS Y TECNOLOGIA

REDES I

2018
RESUMEN
Este proyecto está enfocado en aumentar la seguridad que se tiene en una red de área
local de un Tecnológico, para ello se implementaron VLANS por configuración de
puertos para garantizar la integridad de los datos, con este proyecto se busca reducir
el tráfico de la red para agilizar la transferencia de archivos, por cual fue necesario
usar un direccionamiento dinámico haciendo uso de VLSM asignando mascaras de
longitud variable de acuerdo al número de equipos conectados por VLAN, para cubrir
los requerimientos del cliente se hicieron pruebas de conectividad que garantizan que
la información únicamente se comparte entre nodos de la misma red lógica, se
obtienen resultados satisfactorios reduciendo los dominios de broadcast y agilizando
el tráfico de la red.
1. INTRODUCCIÓN
Hoy en día la comunicación en las organizaciones es un factor primordial para el logro
de objetivos, actualmente un 95% de las empresas tiene la necesidad de contar con
una red de computadoras para agilizar él envió de información y reducir costos, ante
esta situación es necesario contar con herramientas que permitan optimizar el uso de
la red y evitar perdida de información.
Es importante mencionar la calidad de los servicios que una escuela de educación
superior debe ofrecer, ya que son factores que impactan en la proyección de una
institución con el exterior, por esta razón es importante lograr una comunicación
eficiente que beneficie a los estudiantes, personal directivo, administrativo y docente.
Con la implementación de las redes LAN virtuales se podrán crear redes lógicas
independientes compartiendo dispositivos físicos de red, ofreciendo independencia
por grupos como si se tratará de redes aisladas garantizando la comunicación y envío
de los datos en la red, de esta forma se podrá proporcionar privacidad entre
departamentos garantizando la confidencialidad de la información.
La implementación de las VLAN podrá optimizar el tráfico de la red del edificio y en una
primera etapa, beneficiando a los usuarios de la red separados por grupos, gracias a este
proyecto se tendrá una mejor administración de la red.
2. ANTECEDENTES
La red de datos del INSTITUTO TECNOLÓGICO “LA CHIQUITANA” cuenta con
cinco edificios de dos plantas y una red de área local para comunicarse entre
departamentos; sin embargo, es necesario hacer adecuaciones para brindar una
mayor seguridad segmentando la red por tipos de usuarios como son: directivos,
administrativos, estudiantes y docentes.
En un principio la red usaba un direccionamiento IP clase C, pero debido al
crecimiento que se ha tenido en los últimos años fue necesario cambiar a un
direccionamiento IP clase B por el número de nodos conectados. Para separar el
tráfico de la red se utilizan varios segmentos, por lo cual, se incrementan los dominios
de colisión provocando que la red se vuelva lenta.
De acuerdo a lo anterior en una primera etapa se empezará por hacer las
configuraciones necesarias en el edificio E para implementar las VLANS, que es donde
se encuentra la mayor cantidad de nodos de la red LAN.
 3. METODOLOGÍA
Objetivo general:
Optimizar la red de datos del tecnológico, haciendo uso de virtualización de redes de
área local (VLAN) para reducir los dominios de broadcast y agilizar el tráfico de la red.
Objetivos específicos:
Crear VLAN por área funcional para reducir dominios de broadcast.
Segmentar la red de área local haciendo uso de VLANS por configuración de puertos.
Utilizar direccionamiento IPV4 con VLSM para agilizar el tráfico de la red.
Para el desarrollo de este proyecto se utilizará la metodología de desarrollo con
CISCO PPDIOO que consta de seis etapas como se describen a continuación:
1. Preparación: En esta etapa se analiza la infraestructura de red y los recursos que se
tienen para desarrollar el proyecto.
2. Planificación: se analizan los requerimientos de la empresa y la red existente para
poder determinar que podría mejorarse de la red, de igual forma se hace un plan para
desarrollar el proyecto con actividades y responsables, con este plan se le da
seguimiento al proyecto.
3. Diseño: La red es diseñada de acuerdo a los requerimientos de la empresa, en esta
etapa se puede establecer el tipo de direccionamiento a implementar, seleccionar la
topología adecuada, diagramas de red y lista de equipos.
4. Implementación: La red es construida de acuerdo al diseño establecido, se
configuran las VLAN y servidores.
5. Operación: La red es puesta en marcha y es monitoreada, se detectan y se corrigen
errores, esta etapa es la prueba máxima de diseño.
6. Optimización: Los errores son detectados y corregidos antes de que sucedan
problemas en la red, en caso de que existan demasiados problemas será necesario
rediseñar la red [3].
Cabe mencionar que este tipo de metodología solo aplica en redes existentes que
tienen necesidades de mejora continua.
4. DESARROLLO
Actualmente la red LAN del Tecnológico es administrada desde el Edificio E, donde se
encuentra el SITE, dentro de esta red se conectan cinco edificios usando un
direccionamiento IP de clase B privada por el número de usuarios que tiene, debido al
número de equipos existe problemas de comunicación tales como:
 Pérdida de información.
 Velocidad de internet lenta.
 Fallas el acceso a la intranet institucional.
 No existe documentación de la red.
 Usuarios con conocimientos básicos de redes se infiltran en la red violando la
seguridad y teniendo acceso a documentos, dispositivos y recursos
compartidos en red.
 La administración de la red se vuelve una tarea tediosa por el número de
usuarios que existen.
Ante esta problemática es necesario implementar estrategias que permitan agilizar el
tráfico de la red y mejorar la seguridad, por lo cual se implementarán redes LAN
virtuales por tipos de usuario o en su defecto áreas funcionales.
Para el desarrollo de este proyecto en la primera etapa se empezará por implementar
VLANS el edificio E donde se tiene: el SITE o cuarto de telecomunicaciones principal,
siete laboratorios para estudiantes, tres áreas administrativas, un área para servicios
de impresión, tres áreas para cubículos de docentes y un área de desarrollo, en
promedio 250 nodos conectados en red.
Para desarrollar el proyecto se trabajó con el área de apoyo informático para conocer
los requerimientos, en una primera etapa se analizó la infraestructura de la red para
determinar si es factible implementar con el equipo actual o en su defecto determinar
el equipo que debe cotizarse para desarrollar la investigación (ver tabla I).
TABLA I. ANÁLISIS DE DISPOSITIVOS DE RED

Del análisis anterior se observó que solo un 28 % de los dispositivos de red soportan
tecnología para VLAN, lo cual representa que para la implementación del proyecto se
debe adquirir equipo de red.
Como segundo paso se realizó un análisis de los puertos ocupados en cada una de las
áreas de trabajo con la finalidad de determinar el número total de equipos que están
conectados en el edificio E (ver tabla 2).
TABLA II. DISTRIBUCIÓN DE PUERTOS POR ÁREA DE TRABAJO

Para optimizar la red, se propone crear VLAN por área funcional y hacer una
distribución de puertos, así como estimar la cantidad de equipo necesario que debe
adquirirse para implementar el proyecto (Ver tabla III).
TABLA III. ÁREAS PROPUESTAS PARA VLANS

Con referencia en la tabla III, se observa que se requieren 12 switches que soporten
tecnología para VLAN y considerando que en existencia se tienen 7, solo sería
necesario adquirir 5 equipos para implementar el proyecto, por lo cual es necesario
adquirir equipo Cisco Gigabit Ethernet Switch Catalyst 2960-X, 10/100/1000Mbps, 216
Gbit/s, 24 Puertos gestionado con las siguientes especificaciones (ver tabla IV).
TABLA IV. ÁREAS PROPUESTAS PARA VLANS

Para el diseño de la topología de red se utilizó la herramienta Cisco Packet Tracer 6.2,
la cual soporta todos los comandos del Cisco IOS, de igual forma se pueden hacer
simulaciones de conectividad (pings, traceroutes, etc) todo ello desde la misma
consola, para el desarrollo del proyecto se seleccionó la topología de estrella
extendida (ver Fig. 1).
Fig. 1 Diagrama de red edificio E

Diseño del direccionamiento IP

Dados los requerimientos del usuario y considerando el número de puertos que se
requieren por VLAN, se diseñó un esquema de direccionamiento basado en máscaras
de longitud variable (VLSM) que permite direccionar de forma lógica cada una de las
VLAN desperdiciando el menor número de direcciones IP, por lo cual se diseña un
esquema de direccionamiento con base en la cantidad de puertos que se requieren
para cada red virtual creada (ver tabla V).
TABLA V. DIRECCIONAMIENTO IP USANDO VLSM

Para desarrollar el proyecto se utilizó el simulador CISCO Packet Tracer 6.2 debido a
que aún no se cuenta con el total de dispositivos de red, cabe mencionar que esté
simulador es una herramienta muy intuitiva que permite realizar configuraciones como
si se trabajará físicamente en el dispositivo de red.
Para optimizar la configuración de las redes virtuales se utilizó VTP (Vlan Trunking
Protocol), un protocolo de mensajes usado para configurar y administrar VLANs en
equipos Cisco. Permite centralizar y simplificar la administración en un domino de
VLANS, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad
de configurar en todos los nodos.
VTP opera en 3 modos distintos:
Servidor: Es el modo por defecto donde puede crear, modificar o eliminar VLANS.
Cliente: En este modo no se puede modificar o eliminar VLANS, solo sincroniza la
información basándose en mensajes recibidos de servidores del mismo domino.
Transparente: La información VLAN en los switches que trabajen en este modo sólo se
puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones
VTP recibidas, tan sólo las reenvía a los switches del mismo dominio.
Configuraciones en el switch servidor:
 Establecer el modo servidor son su respectivo dominio.
 Creación de las VLANS.
 Direccionamiento dinámico.
 Activación de las interfaces para VLAN.
 Asignación de puertos para cada VLAN.
 Activación de interfaces troncales.
 Protección de acceso al dispositivo.
 Configuraciones en el switch cliente:
 Establecer el modo cliente con el mismo dominio del servidor.
 Distribución de puertos para cada VLAN.
 Activación de interfaces troncales.
 Protección de acceso al dispositivo.
La Fig. 2, muestra cómo se configura el switch en modo servidor, tiene la finalidad que
todas las vlan que sean creadas en él, en automático se configuran en los swiches
clientes (ver Fig. 3).
Fig. 2 Configuración de un switch en modo

Fig. 3 Configuración de un switch en modo cliente

Una vez configurados los switches en modo servidor y clientes se configuran en el

servidor las Vlan que se definieron para el proyecto que son: Laboratorios, Maestros,
Redes, Administrativos y Desarrollo, desde el modo configuración global con los
comandos: vlan ,<número> name <nombre> como se observa en la Fig. 4.
Fig. 4 Configuración de VLAN en switch servidor

Una vez definidas las Vlan es necesario realizar la asignación de puertos a cada una de
las redes virtuales como puede observarse en la Fig. 5.
Fig. 5. Asignación de puertos para cada VLAN
Para garantizar la conectividad de los dispositivos fue necesarios utilizar un
direcionamiento adecuado usando máscaras de longitud variable (VLSM) para cada
red virtual creada usando el servidor DHCP del dispositivo (ver Fig, 6).
Fig. 6. Creando direccionamiento dinámico por cada VLAN

Para establecer seguridad en la administración de los switches es necesario proteger

las líneas virtuales y consola con un password desde el modo de configuración global
en el dispositivo, por medio de esta configuración se garantiza que solo usuarios
autorizados a la red puede modificar o administrar el dispostivo (ver Fig. 7).
Fig. 7. Protección de líneas de acceso en el switch

5. RESULTADOS
Para garantizar el éxito del proyecto se realizaron pruebas de conectividad usando el
software de simulación cisco packet tracer 6.2, para demostrar que unicamente se
tuviera conectividad entre dispositivos que pertenecen a la misma VLAN, para ellos se
usaron los comandos ping y trecerut, de igual forma se utilizó el rastreo de paquetes
en tiempo real con lo cual se verificó que se reducian los dominios de broadcas al
seguir los paquetes unicamente a los dispisitivos de la misma VLAN (ver Fig. 8).
Al realizar estas pruebas se incrementa la seguridad en la red, debido a que
únicamente los dispositivos que pertenecen la la misma VLAN pueden compartir los
recursos que deseen por área funcional.
Fig. 8. Seguimiento de paquetes en la VLAN Laboratorios
Para probar la operación de la red se configuró un servidor web en packet tracer con
la finalidad de verificar que únicamente los puertos asociados a la VLAN Maestros
pudieran conectarse a él, para configurarlo se agregó un nombre de dominio como:
www.itesa.edu.mx (ver Fig. 9).
Fig. 9. Servidor DNS implementado en Cisco Packet Tracer 6.2

Para comprobar que las otras VLAN no pudieran tener acceso al dominio se realizó la
prueba desde otro host diferente a la vlan Maestros y no se obtuvo conexión como
puede observarse en la Fig. 10.
Fig. 10. Acceso denegado desde la VLAN Desarrollo

El host LC2-M9 esta asignado a la VLAN Maestros que esta configuradara en el

servidor creado, mientras el host LC4-D15 pertenece a la VLAN Desarrollo, razón por
la cual no puede acceder al servidor y es correcto porque pertenece a otra VLAN
diferente en la cual está configurado el servidor, de esta forma se garantiza que la
información compartida en una red solo pueda ser vista por usuarios específicos sin
riesgo a ser divulgada.
6. CONCLUSIONES
Una vez terminado el proyecto se pueden notar resultados satisfactorios ya que se
cumplieron los siguientes requerimientos:
1. Crear cinco VLAN por área funcional de tal forma que los departamentos
utilizará la red de forma independiente compartiendo sus recursos solo con
personal de la misma área, para cubrir este requerimiento fue necesario utilizar
dispositivos CISCO de la serie 2960 con soporte para VLAN, es importante
mencionar que al segmentar la red por áreas funcionales los dominios de
broadcast se reducen debido a que las direcciones se acotan al número de host
que se tenga, en otras palabras al enviar un mensaje de multidifusión solo
llegará a los puertos asignados a una determinada VLAN.
2. Asignar puertos específicos por switch a cada VLAN, lo cual también se
cumple de forma satisfactoria gracias al tipo de switch que se utilizó, con esta
 implementación se puede compartir el mismo recurso físico en múltiples redes
lógicas sin que se vea afectado el rendimiento de la red.
3. Utilizar direccionamiento dinámico en cada VLAN desperdiciando la menor
cantidad de direcciones IP, para cubrir este requerimiento fue necesario utilizar
VLSM es decir máscaras de longitud variable, gracias a esta implementación se
obtuvo un direccionamiento específico para cada VLAN, de igual forma se logró
disminuir los dominios de broadcast.
Cabe mencionar también la importancia que tienen los simuladores, para este
proyecto en específico se utilizó Cisco Packet Tracer en su versión 6.2, gracias a este
software se pudo realizar la configuración completa del proyecto dando resultados
satisfactorios de acuerdo a los requerimientos solicitados.
Gracias a esta implementación la red se pudo optimizar y aislar el tráfico, ya que a
pesar de estar conectada al mismo dispositivo físico los equipos se encuentran
lógicamente separados, es decir la comunicación solo se da entre VLANs del mismo
tipo compartiendo recursos y garantizando que la información difundida no puede ser
vista por otros usuarios de la red.
Cabe mencionar como la comunicación es de vital importancia en las organizaciones y
siempre se busca la forma de poder establecer canales adecuados para transferir la
información de forma segura, en este sentido la implementación de redes privadas
virtuales en el edificio E, de ITESA trae consigo grandes beneficios por mencionar
algunos:
Se aísla el tráfico de red, de tal forma que cada área tenga comunicación
independiente sin importar el lugar donde se encuentren dentro de la red, gracias a la
separación lógica se puede compartir el dispositivo de red sin importar su ubicación.
Se evita que personal no autorizado se infiltre en la red, la asignación de puertos y el
direccionamiento me ofrece la posibilidad de limitar el rango de direcciones para
cada área funcional.
La administración de la red se vuelve una tarea más sencilla al poder habilitar o
denegar los servicios de red.
Se reducen los dominios de broadcast, es decir se limita el número de dispositivos
conectados a la red de acuerdo al direccionamiento dinámico establecido.
Se evita la perdida de información ya que la responsabilidad recae en los usuarios
asignados a cada red virtual.
Se pueden compartir recursos de forma responsable asignados por área como pueden
ser: impresoras, servidores, etc.
Como se puede apreciar el impacto en cuanto a funcionalidad de la red es adecuado y
trae consigo la satisfacción del usuario al conectarse a la red.