VLAN
Topología Topología de “red de área local virtual” (VLAN) en un edificio de tres plantas. Una VLAN, acrni!o de virtual LAN ( (red de área local virtual ), es un !"todo para crear redes redes lgicas lgicas independientes dentro de una !is!a red física. # Varias Varias VLAN pueden coe$istir coe$istir en un %nico con!utador con!utador físico físico o en una %nica red física. &on %tiles para reducir el ta!a'o del do!inio de difusin audan en la ad!inistracin de la red, separando seg!entos lgicos de una red de área local (los departa!entos de una e!presa, por ee!plo) *ue no de+erían interca!+iar datos usando la red local (aun*ue podrían acerlo a trav"s de un enrutador enrutador oo un con!utador de capa - ). Una VLAN consiste en dos o !ás redes de co!putadoras *ue se co!portan co!o si estuviesen conectados al !is!o /01, aun*ue se encuentren física!ente conectados a diferentes seg!entos de una red de área local ( local (LAN LAN). ). Los ad!inistradores de red configuran las VLAN !ediante soft2are en lugar de ard2are, lo *ue las ace e$tre!ada!ente fuertes.
Índice 3ocultar 3ocultar 4 •
# 5istoria
•
6 0lasificacin
•
- /rotocolos
•
7estin de la pertenencia a una VLAN
•
8 VLAN +asadas en el puerto de cone$in
•
9 :ise'o de las VLAN
•
; 0o!andos 1<&
•
= V"ase ta!+i"n
•
> ?eferencias o
>.# @i+liografía
Historia A principios de la d"cada de #>=, Bternet era una tecnología consolidada *ue ofrecía una velocidad de # C+ps, !uco !aor *ue gran parte de las alternativas de la "poca. Las redes Bternet tenían una topología en +us, donde el !edio físico de trans!isin (ca+le coa$ial) era co!partido. Bternet era, por lo tanto, una red de difusin co!o tal cuando dos estaciones trans!iten si!ultánea!ente se producen colisiones se desperdicia anco de +anda en trans!isiones fallidas. Bl dise'o de Bternet no ofrecía escala+ilidad, es decir, al au!entar el ta!a'o de la red dis!inuen sus prestaciones o el costo se ace inasu!i+le. 0&CAD0:, el protocolo *ue controla el acceso al !edio co!partido en Bternet, i!pone de por sí li!itaciones en cuanto al anco de +anda !á$i!o a la !á$i!a distancia entre dos estaciones. 0onectar !%ltiples redes Bternet era por a*uel entonces co!plicado, aun*ue se podía utiliEar un router para la intercone$in, estos eran caros re*uería un !aor tie!po de procesado por pa*uete grande, au!entando el retardo. /ara solucionar estos pro+le!as, pri!ero F. Ge!pf invent el bridge (puente), dispositivo soft2are para interconectar dos LANs. Bn #>> Galpana desarroll el switch Bternet, puente !ultipuerto i!ple!entado en ard2are, dispositivo de con!utacin de tra!as de nivel 6. Usar switches para interconectar redes Bternet per!ite separar do!inios de colisin, au!entando la eficiencia la escala+ilidad de la red. Una red tolerante a fallos con un nivel alto de disponi+ilidad re*uiere *ue se usen topologías redundantesH enlaces !%ltiples entre s2itces e*uipos redundantes. :e esta !anera, ante un fallo en un %nico punto es posi+le recuperar de for!a auto!ática rápida el servicio. Bste dise'o redundante re*uiere la a+ilitacin del protocolo spanning tree (&T/) para asegurarse de *ue solo aa activo un ca!ino lgico para ir de un nodo a otro evitar así el fen!eno conocido co!o tor!entas broadcast . Bl principal inconveniente de esta topología lgica de la red es *ue los switches centrales se convierten en cuellos de +otella, pues la !aor parte del tráfico circula a trav"s de ellos. &incosIie consigui aliviar la so+recarga de los switches inventando LAN virtuales al a'adir una eti*ueta a las tra!as Bternet con la *ue diferenciar el tráfico. Al definir varias LAN virtuales cada una de ellas tendrá su propio spanning tree se podrá asignar los distintos puertos de un switch a cada una de las VLAN. /ara unir VLAN *ue están definidas en varios switches se puede crear un enlace especial lla!ado trunk , por el *ue flue tráfico de varias VLAN. Los switches sa+rán a *u" VLAN pertenece cada tra!a o+servando la eti*ueta VLAN (definida en la nor!a 1BBB =6.#J). Aun*ue o en día el uso de LAN virtuales es generaliEado en las redes Bternet !odernas, usarlas para el propsito original puede ser un tanto e$tra'o, a *ue lo a+itual es utiliEarlas para separar do!inios de difusin ( hosts *ue pueden ser alcanEados por una tra!a broadcast ). 1BBB =6.#a*K6#6 K &ortest /at @ridging ofrece !uca !ás escala+ilidad a asta #9 !illones co!parado con el lí!ite de >9 de las VLAN.
Clasificación Aun*ue las !ás a+ituales son las VLAN basadas en puertos (nivel #), las redes de área local virtuales se pueden clasificar en cuatro tipos seg%n el nivel de la erar*uía <&1 en el *ue operenH •
•
•
•
•
VLAN de nivel 1 (por puerto). Ta!+i"n conocida co!o “port s2itcing”. &e especifica *u" puertos del s2itc pertenecen a la VLAN, los !ie!+ros de dica VLAN son los *ue se conecten a esos puertos. No per!ite la !ovilidad de los usuarios, a+ría *ue reconfigurar las VLAN si el usuario se !ueve física!ente. Bs la !ás co!%n la *ue se e$plica en profundidad en este artículo. VLAN de nivel 2 por direcciones MAC . &e asignan osts a una VLAN en funcin de su direccin CA0. Tiene la ventaa de *ue no a *ue reconfigurar el dispositivo de con!utacin si el usuario ca!+ia su localiEacin, es decir, se conecta a otro puerto de ese u otro dispositivo. Bl principal inconveniente es *ue si a cientos de usuarios a+ría *ue asignar los !ie!+ros uno a uno. VLAN de nivel 2 por tipo de protocolo . La VLAN *ueda deter!inada por el contenido del ca!po tipo de protocolo de la tra!a CA0. /or ee!plo, se asociaría VLAN # al protocolo 1/v, VLAN 6 al protocolo 1/v9, VLAN - a AppleTalI , VLAN a 1/... VLAN de nivel por direcciones de subred (subred virtual) . La ca+ecera de nivel - se utiliEa para !apear la VLAN a la *ue pertenece. Bn este tipo de VLAN son los pa*uetes, no las estaciones, *uienes pertenecen a la VLAN. Bstaciones con !%ltiples protocolos de red (nivel -) estarán en !%ltiples VLAN. VLAN de niveles superiores . &e crea una VLAN para cada aplicacinH MT/, fluos !ulti!edia, correo electrnico... La pertenencia a una VLAN puede +asarse en una co!+inacin de factores co!o puertos, direcciones CA0, su+red, ora del día, for!a de acceso, condiciones de seguridad del e*uipo...
!rotocolos :urante todo el proceso de configuracin funciona!iento de una VLAN es necesaria la participacin de una serie de protocolos entre los *ue destacan el 1BBB =6.#J, &T/ VT/ (cuo e*uivalente 1BBB es 7V?/). Bl protocolo 1BBB =6.#J se encarga del eti*uetado de las tra!as *ue es asociada in!ediata!ente con la infor!acin de la VLAN. Bl co!etido principal de &panning Tree /rotocol (&T/) es evitar la aparicin de +ucles lgicos para *ue aa un slo ca!ino entre dos nodos. VT/ ( VLAN Trunking Protocol ) es un protocolo propietario de 0isco *ue per!ite una gestin centraliEada de todas las VLAN. Bl protocolo de eti"uetado #$$$ %&2'1 es el !ás co!%n para el eti*uetado de las VLAN. Antes de su introduccin e$istían varios protocolos propietarios, co!o el 1&L ( Inter-Switch Link ) de 0isco, una variante del 1BBB =6.#J, el VLT (Virtual LAN Trunk ) de -0o!. Bl 1BBB =6.#J se caracteriEa por utiliEar un for!ato de tra!a si!ilar
a =6.- (Bternet) donde solo ca!+ia el valor del ca!po Btertpe, *ue en las tra!as =6.#J vale $=#, se a'aden dos +tes para codificar la prioridad, el 0M1 el VLAN 1:. Bste protocolo es un estándar internacional por lo dico anterior!ente es co!pati+le con bridges switches sin capacidad de VLAN. Las VLAN /rotocolos de r+ol de B$pansin. /ara evitar la saturacin de los switches de+ido a las tor!entas broadcast , una red con topología redundante tiene *ue tener a+ilitado el protocolo &T/. Los switches interca!+ian !ensaes &T/ @/:U entre sí, @ridge /rotocol :ata Units) para lograr *ue la topología de la red sea un ár+ol (no tenga enlaces redundantes) solo aa activo un ca!ino para ir de un nodo a otro. Bl protocolo &T/D?&T/ es agnstico a las VLAN, C&T/ (1BBB =6.#J) per!ite crear ár+oles de e$pansin diferentes asignarlos a grupos de las VLAN !ediante configuracin. Bsto per!ite utiliEar enlaces en un ár+ol *ue están +lo*ueados en otro ár+ol. Bn los dispositivos 0isco, VT/ (VLAN trunking protocol ) se encarga de !antener la coerencia de la configuracin VLAN por toda la red. VT/ utiliEa tra!as de nivel 6 para gestionar la creacin, +orrado reno!+rado de las VLAN en una red sincroniEando todos los dispositivos entre sí evitar tener *ue configurarlos uno a uno. /ara eso a *ue esta+lecer pri!ero un do!inio de ad!inistracin VT/. Un do!inio VT/ para una red es un conunto contiguo de switches unidos con enlaces trunk *ue tienen el !is!o no!+re de do!inio VT/. Los switches pueden estar en uno de los siguientes !odosH servidor, cliente o transparente. O&ervidorP es el !odo por defecto, anuncia su configuracin al resto de e*uipos se sincroniEa con otros servidores VT/. Un switch en !odo cliente no puede !odificar la configuracin VLAN, si!ple!ente sincroniEa la configuracin so+re la +ase de la infor!acin *ue le envían los servidores. /or %lti!o, un switch está en !odo transparente cuando solo se puede configurar local!ente pues ignora el contenido de los !ensaes VT/. VT/ ta!+i"n per!ite OpodarP (funcin VT/ prunning ), lo *ue significa dirigir tráfico VLAN específico solo a los con!utadores *ue tienen puertos en la VLAN destino. 0on lo *ue se aorra anco de +anda en los posi+le!ente saturados enlaces trunk .
estión de la pertenencia a una VLAN Las dos apro$i!aciones !ás a+ituales para la asignacin de !ie!+ros de una VLAN son las siguientesH VLAN estáticas VLAN diná!icas. Las VLAN estáticas ta!+i"n se deno!inan VLAN +asadas en el puerto. Las asignaciones en una VLAN estática se crean !ediante la asignacin de los puertos de un switch o con!utador a dica VLAN. 0uando un dispositivo entra en la red, auto!ática!ente asu!e su pertenencia a la VLAN a la *ue a sido asignado el puerto. &i el usuario ca!+ia de puerto de entrada necesita acceder a la !is!a VLAN, el ad!inistrador de la red de+e ca!+iar !anual!ente la asignacin a la VLAN del nuevo puerto de cone$in en el switch. Bn ella se crean unidades virtuales no estáticas en las *ue se guardan los arcivos co!ponentes del siste!a de arcivos !undial
Bn las VLAN diná*icas, la asignacin se realiEa !ediante pa*uetes de software tales co!o el 0iscoForIs 6. 0on el VC/& (acrni!o en ingl"s de VLAN Manageent Polic! Server o &ervidor de 7estin de :irectivas de la VLAN), el ad!inistrador de la red puede asignar los puertos *ue pertenecen a una VLAN de !anera auto!ática +asándose en infor!acin tal co!o la direccin CA0 del dispositivo *ue se conecta al puerto o el no!+re de usuario utiliEado para acceder al dispositivo. Bn este procedi!iento, el dispositivo *ue accede a la red, ace una consulta a la +ase de datos de !ie!+ros de la VLAN. &e puede consultar el software MreeNA0 para ver un ee!plo de i!ple!entacin de un servidor VC/&.
VLAN basadas en el puerto de cone+ión 0on las VLAN de nivel # (+asadas en puertos), el puerto asignado a la VLAN es independiente del usuario o dispositivo conectado en el puerto. Bsto significa *ue todos los usuarios *ue se conectan al puerto serán !ie!+ros de la !is!a VLAN. 5a+itual!ente es el ad!inistrador de la red el *ue realiEa las asignaciones a la VLAN. :espu"s de *ue un puerto a sido asignado a una VLAN, a trav"s de ese puerto no se puede enviar ni reci+ir datos desde dispositivos incluidos en otra VLAN sin la intervencin de alg%n dispositivo de capa -. Los puertos de un switch pueden ser de dos tipos, en lo *ue respecta a las características VLANH puertos de acceso puertos trunk . Un puerto de acceso ( switchport ode access) pertenece %nica!ente a una VLAN asignada de for!a estática (VLAN nativa). La configuracin predeter!inada suele ser *ue todos los puertos sean de acceso de la VLAN#. Bn ca!+io, un puerto trun, ( switchport ode trunk ) puede ser !ie!+ro de !%ltiples VLAN. /or defecto es !ie!+ro de todas, pero la lista de las VLAN per!itidas es configura+le. Bl dispositivo *ue se conecta a un puerto, posi+le!ente no tenga conoci!iento de la e$istencia de la VLAN a la *ue pertenece dico puerto. Bl dispositivo si!ple!ente sa+e *ue es !ie!+ro de una su+red *ue puede ser capaE de a+lar con otros !ie!+ros de la su+red si!ple!ente enviando infor!acin al seg!ento ca+leado. Bl s2itc es responsa+le de identificar *ue la infor!acin viene de una VLAN deter!inada de asegurarse de *ue esa infor!acin llega a todos los de!ás !ie!+ros de la VLAN. Bl s2itc ta!+i"n se asegura de *ue el resto de puertos *ue no están en dica VLAN no reci+en dica infor!acin. Bste plantea!iento es sencillo, rápido fácil de ad!inistrar, dado *ue no a co!pleas ta+las en las *ue !irar para configurar la seg!entacin de la VLAN. &i la asociacin de puerto a VLAN se ace con un A&10 (acrni!o en ingl"s de ApplicationK&pecific 1ntegrated 0ircuit o 0ircuito integrado para una aplicacin específica), el rendi!iento es !u +ueno. Un A&10 per!ite *ue el !apeo de puerto a VLAN sea eco a nivel ard2are.
-ise.o de las VLAN Los pri!eros dise'adores de redes solían configurar las VLAN con el o+etivo de reducir el ta!a'o del do!inio de colisin en un seg!ento Bternet !eorar su rendi!iento. 0uando los s2itces lograron esto, por*ue cada puerto es un do!inio de
colisin, su prioridad fue reducir el ta!a'o del do!inio de difusin. Qa *ue, si au!enta el n%!ero de ter!inales, au!enta el tráfico difusin el consu!o de 0/U por procesado de tráfico +roadcast no deseado. Una de las !aneras !ás eficientes de lograr reducir el do!ino de difusin es con la divisin de una red grande en varias VLAN.
?ed institucional. Actual!ente, las redes institucionales corporativas !odernas suelen estar configuradas de for!a erár*uica dividi"ndose en varios grupos de tra+ao. ?aEones de seguridad confidencialidad aconsean ta!+i"n li!itar el á!+ito del tráfico de difusin para *ue un usuario no autoriEado no pueda acceder a recursos o a infor!acin *ue no le corresponde. /or ee!plo, la red institucional de un ca!pus universitario suele separar los usuarios en tres gruposH alu!nos, profesores ad!inistracin. 0ada uno de estos grupos constitue un do!inio de difusin, una VLAN, se suele corresponder asi!is!o con una su+red 1/ diferente. :e esta !anera la co!unicacin entre !ie!+ros del !is!o grupo se puede acer en nivel 6, los grupos están aislados entre sí, slo se pueden co!unicar a trav"s de un router . La definicin de !%ltiples VLAN el uso de enlaces trunI, frente a las redes LAN interconectadas con un router, es una solucin escala+le. &i se deciden crear nuevos grupos se pueden aco!odar fácil!ente las nuevas VLAN aciendo una redistri+ucin de los puertos de los s2itces. Ade!ás, la pertenencia de un !ie!+ro de la co!unidad universitaria a una VLAN es independiente de su u+icacin física. B incluso se puede lograr *ue un e*uipo perteneEca a varias VLAN (!ediante el uso de una tareta de red *ue soporte trunI). 1!agine *ue la universidad tiene una red con un rango de direcciones 1/ del tipo #;6.#9..D6, cada VLAN, definida en la capa de enlace de datos (nivel 6 de <&1), se corresponderá con una su+red 1/ distintaH VLAN #. Ad!inistracin. &u+red 1/ #;6.#9.#.D6 VLAN 6. /rofesores. &u+red 1/ #;6.#9.6.D6 VLAN -. Alu!nos. &u+red 1/ #;6.#9.-.D6 Bn cada edificio de la universidad a un s2itc deno!inado de acceso, por*ue a "l se conectan directa!ente los siste!as finales. Los s2itces de acceso están conectados con enlaces trunI (enlace *ue transporta tráfico de las tres VLAN) a un s2itc troncal, de grandes prestaciones, típica!ente 7iga+it Bternet o #K7iga+it Bternet. Bste s2itc está unido a un router ta!+i"n con un enlace trunI, el router es el encargado de llevar el tráfico de una VLAN a otra.
Co*andos #/0 A continuacin se presentan a !odo de ee!plo los co!andos 1<& para configurar los s2itces routeres del escenario anterior. 0rea!os las VLAN en el switch troncal, supone!os *ue este s2itc act%a de servidor se sincroniEa con el restoH (N enable Switch-troncal# configure terminal Switch-troncal(config)# vlan 10 Switch-troncal(config-vlan)# name administración Switch-troncal(config-vlan)# exit Switch-troncal(config)# vlan 20 Switch-troncal(config-vlan)# name rofesores Switch-troncal(config-vlan)# exit Switch-troncal(config)# vlan !0 Switch-troncal(config-vlan)# name alumnos Switch-troncal(config-vlan)# exit
:efini!os co!o puertos trunI los cuatro del s2itc troncalH Switch-troncal(config)# interface range g0"0 -! Switch-troncal(config-if-range)# switchort Switch-troncal(config-if-range)# switchort mode trun Switch-troncal(config-if-range)# switchort trun native vlan 10 Switch-troncal(config-if-range)# switchort trun allowed vlan 20$ !0 Switch-troncal(config-if-range)# exit
Aora a+ría *ue definir en cada s2itc de acceso *u" rango de puertos dedica!os a cada VLAN. Va!os a suponer *ue se utiliEan las interfaces fDK#8 para la vlan ad!instracion, fD#9,-# para vlan profesores fD-6K; para la vlan alu!nos. Switch-1(config)# interface range f0"0 -1% Switch-1(config-if-range)# switchort Switch-1(config-if-range)# switchort mode access Switch-1(config-if-range)# switchort access vlan 10 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0"1& -!1 Switch-1(config-if-range)# switchort Switch-1(config-if-range)# switchort mode access Switch-1(config-if-range)# switchort access vlan 20 Switch-1(config-if-range)# exit Switch-1(config)# interface range f0"!2 -' Switch-1(config-if-range)# switchort Switch-1(config-if-range)# switchort mode access Switch-1(config-if-range)# switchort access vlan !0 Switch-1(config-if-range)# exit
:efini!os co!o trunI el puerto *ue conecta cada s2itc de acceso con el troncalH Switch-1(config)# interface g0"0 Switch-1(config-if)# switchort Switch-1(config-if)# switchort mode trun
Switch-1(config-if)# switchort trun native vlan 10 Switch-1(config-if)# switchort trun allowed vlan 20$!0 Switch-1(config-if)# exit
Bn el router crea!os una su+interfaE por cada VLAN transportada en el enlace trunIH outer(config)# interface f2 outer(config-if)# no i address outer(config-if)# exit outer(config)# interface f2*1 outer(config-if)# encasulation dot1+ 10 outer(config-if)# i address 12*1&*10*1 outer(config-if)# exit outer(config)# interface f2*2 outer(config-if)# encasulation dot1+ 20 outer(config-if)# i address 12*1&*20*1 outer(config-if)# exit outer(config)# interface f2*! outer(config-if)# encasulation dot1+ !0 outer(config-if)# i address 12*1&*!0*1 outer(config-if)# exit
native 2%%*2%%*2%%*0
2%%*2%%*2%%*0
2%%*2%%*2%%*0
Bsta sería la configuracin relativa a la creacin de las VLAN, se o!ite la configuracin de otros ele!entos co!o los hosts, routers otros dispositivos de red.
