VLAN
| ||||
Las VLAN o Red de Área Local Virtual, son una tecnología a nivel de capa 2 del modelo de referencia OSI que ayuda a optimizar, proteger y segmentar el tráfico de la red. La capacidad que posee esta tecnología, de ayudar a mejorar el rendimiento de la red, se debe, principalmente, a la creación de dominios de broadcast individuales por cada VLAN creada en el Switch o Router.
Las VLAN se usan en ambientes, normalmente, empresariales que requieren asegurar segmentos de redes dentro de la misma infraestructura de red. Por ejemplo, en casos, donde no queremos que el tráfico del departamento de desarrollo de software se una con el tráfico del departamento de administración y mercadeo, se puede utilizar una VLAN para segmentar el tráfico de datos de un departamento y otra VLAN para segmentar el tráfico de datos del otro departamento.
Sumario
Historia
Después de los experimentos exitosos con Ethernet desde 1981 a 1984, el Dr. David W. Sincoskie se unió a Bellcore y comenzó a abordar el problema de la ampliación de las redes Ethernet. En 10 Mbit / s, Ethernet fue más rápido que la mayoría de las alternativas de la época, sin embargo, Ethernet fue una red de difusión y no había manera de la conexión de múltiples redes Ethernet. Esto limita el ancho de banda total de una red Ethernet a 10Mbit / s, y la distancia máxima entre dos nodos a unos pocos cientos de metros.
Por el contrario, aunque la velocidad pico de la red telefónica existente para las conexiones individuales se limitó a 56 kbit / s (menos de la centésima parte de la velocidad de Ethernet de uno), el ancho de banda total de la red se estimó en 1 Tbit/ s, capaz de mover más de un centenar mil veces más información en un plazo de tiempo determinado.
Aunque era posible usar enrutamiento IP para conectar múltiplesredes Ethernet, los VAX-11/780 eran equipos comúnmente usados como routers el cual costaba 400.000 dólares cada uno en ese momento, y su rendimiento total fue significativamente menor que las velocidades de Ethernet. Sincoskie comenzó a buscar alternativas que requieren menos procesamiento por paquete. En el proceso, independientemente reinventado el switch de auto-aprendizaje ethernet.
Sin embargo, utilizando switch para conectar múltiples redes Ethernet de un modo tolerante a fallos requiere rutas redundantes a través de dicha red, que a su vez requiere una configuración de árbol de expansión. Esto asegura que sólo hay un camino activo de cualquier nodo de origen a cualquier destino en la red. Esto provoca que los switch céntricos para convertirse en cuellos de botella, lo que limita la escalabilidad a medida que más redes están interconectadas.
Para ayudar a aliviar este problema,Sincoskie inventó VLANs mediante la adición de una etiqueta a cada paquete Ethernet. Estas etiquetas pueden ser reconocidas por colores, por ejemplo rojo, verde o azul. Luego, cada detector puede ser asignado para manejar paquetes de un solo color, e ignorar el resto. Las redes pueden interconectarse con tres árboles diferentes que abarcan: un árbol rojo que abarca, un árbol verde que abarca, y un árbol azul de expansión. Mediante el envío de un paquete de mezcla de colores diferentes, el ancho de banda total se puede mejorar. Sincoskie refirió a esto como un puente de múltiples árboles.
Este "color" es lo que se conoce en la trama Ethernet como la cabecera 802.1Q, o la etiqueta de VLAN.Mientras que las VLAN se utilizan comúnmente en las modernas redes Ethernet, usándolos para su finalidad inicial sería bastante inusual.
Usos
Los arquitectos de red configuran las VLAN para proporcionar los servicios de segmentación tradicionalmente prestados por los routers en configuraciones de LAN. VLAN abordan cuestiones tales como la escalabilidad, seguridad y gestión de red. Los routers en las topologías de VLAN proporcionan filtrado de broadcast, seguridad, resumen la dirección y la gestióndel flujo del tráfico. Por definición, los switch no puedes uperar el tráfico IP entre las VLAN ya que al hacerlo violaría la integridad del dominio de broadcast VLAN.
Las VLAN también pueden ayudar a crearmúltiples redes de nivel 3 de la misma capa 2switch. Por ejemplo, si un servidor DHCP está conectado aun switch que servirá cualquier máquina en la que el switch está configurado para obtenersu dirección IP desde un servidorDHCP. Mediante el uso de VLAN que se puede dividir la red en lo que algunos hosts no usar ese servidor DHCP y obtener direcciones locales de vínculo, o para obtener una dirección desdeotro servidor DHCP. Los anfitriones también pueden utilizar unservidor DNS siun servidor DHCP no está disponible.
Las VLAN son construcciones de capa 2, en comparación con las subredesIP, que son construcciones de capa 3. En un entorno en el empleo de las VLAN, una relación de uno a uno a menudo existe entre VLAN y las subredesIP, aunque es posible tener varias subredes en una VLAN. VLANs y subredes IP proporcionan 2 Capa Capaindependiente y construcciones que se correlacionan entre sí y en correspondencia del proceso de diseño de red. Mediante el uso de VLAN, se puede controlar los patrones de tráfico y reaccionar con rapidez a los deslocalizaciones. Las VLAN ofrecenla flexibilidad necesaria para adaptarsea los cambios en los requisitos de redy permiten una administración simplificada.
VLAN también se podría utilizar en una escuela o entorno de trabajo para facilitar el acceso a las redes locales, para permitir la administración fácil, y para evitar la switch de la red.
En las VLAN de cloud computing, las direcciones IP y direccionesMAC en ellos son recursos que los usuarios finales pueden gestionar. La colocación de la nube máquinas virtuales basadas en VLANs puede ser preferible directamente en Internet para evitar problemas de seguridad
Clasificación
Aunque las más habituales son las VLANs basadas en puertos (nivel 1), las redes de área local virtuales se pueden clasificar en cuatro tipos según el nivel de la jerarquía OSI en el que operen:
- VLAN de nivel 1 (por puerto). También conocida como “port switching”. Se especifica qué puertos del switch pertenencen a la VLAN, los miembros de dicha VLAN son los que se conecten a esos puertos. No permite la movilidad de los usuarios, habría que reconfigurar las VLANs si el usuario se mueve físicamente. Es la más común y la que se explica en profundidad en este artículo.
- VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en función de su dirección MAC. Tiene la ventaja de que no hay que reconfigurar el dispositivo de conmutación si el usuario cambia su localización, es decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente es que si hay cientos de usuarios habría que asignar los miembros uno a uno.
- VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el contenido del campo tipo de protocolo de la trama MAC. Por ejemplo, se asociaría VLAN 1 al protocolo IPv4, VLAN 2 al protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX.
- VLAN de nivel 3 por direcciones de subred (subred virtual). La cabecera de nivel 3 se utiliza para mapear la VLAN a la que pertenece. En este tipo de VLAN son los paquetes, y no las estaciones, quienes pertenecen a la VLAN. Estaciones con múltiples protocolos de red (nivel 3) estarán en múltiples VLANs.
- VLAN de niveles superiores. Se crea una VLAN para cada aplicación: FTP, flujos multimedia, correo electrónico. La pertenencia a una VLAN puede basarse en una combinación de factores como puertos, direcciones MAC, subred, hora del día.
Implementación
Un switch básico no está configurado para VLANs, tiene una funcionalidad VLAN activada o desactivada permanentemente, con una VLAN por defecto que contiene todos los puertos del dispositivo como miembros. Cada dispositivo conectado a uno de sus puertos pueden enviar paquetes a cualquiera de los otros. La separación de los puertos por los grupos de VLAN separa su tráfico muy parecido a la conexión de los dispositivos a otro conmutador, distinto de su propia.
La configuración del primer grupo de puerto personalizado VLAN generalmente implica la eliminación de los puertos de la VLAN por defecto, tales que el primer grupo personalizado de puertos VLAN es en realidad la segunda VLAN en el dispositivo, además de la VLAN por defecto. La VLAN predeterminada suele tener un diámetro interior de 1.
Si un puerto del grupo VLAN no existen en un dispositivo, entonces no hay puertos que sean miembros del grupo de VLAN, los mismos necesita ser etiquetados. Estos puertos por lo tanto se considera "sin etiqueta". Es sólo cuando el grupo de VLAN del puerto es extender a otro dispositivo de marcado que se utiliza. Dado que las comunicaciones entre los puertos de dos switch diferentes viajan a través de los puertos de enlace ascendente de cada switch implicado, cada VLAN que contiene estos puertos también debe contener el puerto de enlace ascendente de cada switch involucrados, y estos puertos deben estar etiquetados. Esto también se aplica a la VLAN por defecto.
Algunos conmutadores permiten o requieren un nombre para la VLAN, pero es sólo el número de grupo de VLAN que es importante desde un conmutador a otro.Cuando un grupo de VLAN es para pasar simplemente a través de un conmutador intermedio a través de dos puertos de paso, sólo los dos puertos debe ser un miembro de la VLAN, y se marcan para pasar tanto la requerida VLAN y la VLAN por defecto en el switch intermedio.
La gestión del switch requiere que las funciones administrativas para estar asociado con una de las VLAN configuradas. Si la VLAN por defecto se han suprimido o que pasa a ser sin mover primero la conexión de gestión a una VLAN diferente, es posible para el técnico que se cierre la puerta de la configuración del conmutador, lo que requiere una limpieza forzada de la configuración del dispositivo (posiblemente en el valor predeterminado de fábrica) para recuperar el acceso.
Los switch suelen no tener ningún método incorporado para indicar los miembros de VLAN de puerto para alguien que trabaja en un cableado determinado. Es necesario que el técnico tenga acceso administrativo al dispositivo para ver su configuración, o para los gráficos de asignación de VLAN del puerto o los diagramas para mantenerse junto a los switch en cada cableado. Estos deben ser actualizados manualmente por el personal técnico siempre que los cambios de puerto de afiliación se hacen para las VLAN.
La configuración remota de VLANs presenta varias oportunidades para un técnico para cortar las comunicaciones por accidente y perder la conectividad con los dispositivos que están tratando de configurar. Acciones como la subdivisión de la VLAN predeterminada por la división de los puertos de conmutación de enlace ascendente en una VLAN separada puede terminar toda la conectividad remota, lo que requiere que el dispositivo se consultarse físicamente en el lugar distante para continuar el proceso de configuración.
Establecimiento de membresías VLAN
Los dos enfoques comunes para asignar la membresía a VLAN son las siguientes:
- VLAN estáticas
- VLANs dinámicas
VLAN estáticas también se les conoce como VLANs basadas en puertos. Asignaciones de VLAN estáticas se crean mediante la asignación de puertos a una VLAN. Como un dispositivo entra en la red, el dispositivo asume automáticamente la VLAN del puerto. Si el usuario cambia los puertos y las necesidades de acceso a la misma VLAN, el administrador de red de forma manual debe hacer una asignación de puerto a VLAN para la nueva conexión.
VLAN dinámicas se crean mediante el uso de software. Con un servidor de políticas VLAN Management (VMPS), un administrador puede asignar puertos de switch a las VLAN de forma dinámica basándose en la información, como la dirección MAC de origen del dispositivo conectado al puerto o el nombre de usuario utilizado para iniciar sesión en el dispositivo. Como un dispositivo entra en la red, el switch de consulta una base de datos para el número de miembros de la VLAN del puerto que está conectado al dispositivo.
VLAN basadas en protocolos
En un switch que soporta VLAN basadas en el protocolo, el tráfico se gestiona sobre la base de su protocolo. Esencialmente, esto se segrega o reenvía el tráfico de un puerto en función del protocolo particular de que el tráfico, el tráfico de cualquier otro protocolo no se reenvía en el puerto.
Por ejemplo, es posible conectarse a un switch dado:
- Una gran generación de tráfico ARP al puerto 10
- Una red con tráfico IPX al puerto 20
- Un router IP de reenvío de tráfico en el puerto 30
Si una VLAN basada en protocolo que se crea soporta IP y contiene los tres puertos, esto evita que el tráfico IPX que se reenvíen a los puertos 10 y 30, y el tráfico ARP a partir de su comunicación a los puertos 20 y 30, al tiempo que permite el tráfico IP que se remitirá en los tres puertos.
Diseño de VLAN
Las redes institucionales y corporativas modernas suelen estar configuradas de forma jerárquica dividiéndose en varios grupos de trabajo. Razones de seguridad y confidencialidad aconsejan también limitar el ámbito del tráfico de difusión para que un usuario no autorizado no pueda acceder a recursos o a información que no le corresponde. Por ejemplo, la red institucional de un campus universitario suele separar los usuarios en tres grupos: alumnos, profesores y administración. Cada uno de estos grupos constituye un dominio de difusión, una VLAN, y se suele corresponder asimismo con una subred IP diferente. De esta manera la comunicación entre miembros del mismo grupo se puede hacer en nivel 2, y los grupos están aislados entre sí, sólo se pueden comunicar a través de un router.
La definición de múltiples VLANs y el uso de enlaces trunk, frente a las redes LAN interconectadas con un router, es una solución escalable. Si se deciden crear nuevos grupos se pueden acomodar fácilmente las nuevas VLANs haciendo una redistribución de los puertos de los switches. Además, la pertenencia de un miembro de la comunidad universitaria a una VLAN es independiente de su ubicación física. E incluso se puede lograr que un equipo pertenezca a varias VLANs (mediante el uso de una tarjeta de red que soporte trunk).
Imagine que el Jovenclub tiene una red con un rango de direcciones IP del tipo 192.168.XXX.0/24, cada VLAN, definida en la capa de enlace de datos (nivel 2 de OSI), se corresponderá con una subred IP distinta: VLAN 10. Administración. Subred IP 192.168.10.0/24 VLAN 20. instructores. Subred IP 192.168.20.0/24 VLAN 30. estudiantes. Subred IP 192.168.30.0/24 En cada local del jovenclub hay un switch denominado de acceso, porque a él se conectan directamente los sistemas finales. Los switches de acceso están conectados con enlaces trunk (enlace que transporta tráfico de las tres VLANs) a un switch troncal, de grandes prestaciones, típicamente Gigabit Ethernet o 10-Gigabit Ethernet. Este switch está unido a un router también con un enlace trunk, el router es el encargado de llevar el tráfico de una VLAN a otra.
Ejemplo de configuración de VLAN
A continuación se presentan a modo de ejemplo los comandos IOS para configurar los switches y routeres del escenario anterior.
- Creamos las VLANs en el switch troncal, suponemos que este switch actúa de servidor y se sincroniza con el resto:
Switch-troncal> enable Switch-troncal# configure terminal Switch-troncal(config)# vlan database Switch-troncal(config-vlan)# vlan 10 name administracion Switch-troncal(config-vlan)# vlan 20 name instructores Switch-troncal(config-vlan)# vlan 30 name estudiantes Switch-troncal(config-vlan)# exit
- Definimos como puertos trunk los cuatro del switch troncal:
Switch-troncal(config)# interface range g0/0 -3 Switch-troncal(config-if-range)# switchport Switch-troncal(config-if-range)# switchport mode trunk Switch-troncal(config-if-range)# switchport trunk native vlan 10 Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 30 Switch-troncal(config-if-range)# exit
- Ahora habría que definir en cada switch de acceso qué rango de puertos dedicamos a cada VLAN. Vamos a suponer que se utilizan las interfaces f0/0-15 para la vlan adminstracion, f0/16,31 para vlan instructores y f0/32-47 para la vlan estudiantes.
Switch-1(config)# interface range f0/0 -15 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport access vlan 10 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0/16 -31 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport access vlan 20 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0/32 -47 Switch-1(config-if-range)# switchport Switch-1(config-if-range)# switchport mode access Switch-1(config-if-range)# switchport access vlan 30 Switch-1(config-if-range)# exit
- Definimos como trunk el puerto que conecta cada switch de acceso con el troncal:
Switch-1(config)# interface g0/0 Switch-1(config-if)# switchport Switch-1(config-if)# switchport mode trunk Switch-1(config-if)# switchport trunk native vlan 10 Switch-1(config-if)# switchport trunk allowed vlan 20,30 Switch-1(config-if)# exit
- En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk:
Router(config)# interface f2 Router(config-if)# no ip address Router(config-if)# exit Router(config)# interface f2.1 Router(config-if)# encapsulation dot1q 10 native Router(config-if)# ip address 192.168.10.1 255.255.255.0 Router(config-if)# exit Router(config)# interface f2.2 Router(config-if)# encapsulation dot1q 20 Router(config-if)# ip address 192.168.20.1 255.255.255.0 Router(config-if)# exit Router(config)# interface f2.3 Router(config-if)# encapsulation dot1q 30 Router(config-if)# ip address 192.168.30.1 255.255.255.0 Router(config-if)# exit
Fuente
- Artículo: VLAN. Disponible en: "aprenderedes.com". Consultado: 6 de diciembre de 2012.
- Artículo: VLAN. Disponible en: "www.tech-faq.com". Consultado: 6 de diciembre de 2012.
- Artículo (inglés): VLAN -- ready for the major league. Disponible en: "www.cisco.com". Consultado: 6 de diciembre de 2012.
- Artículo: VLAN. Disponible en: "es.scribd.com". Consultado: 6 de diciembre de 2012.
