resumen vlans
TRANSCRIPT
VLANS
ÍNDICE
VLANS
1. VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2. Diseño de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
3. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
3
VLANS
i
1. VLANS
Objetivos
- Conocer los principios de creación de una VLAN.
- Analizar los pasos para la configuración de una VLAN.
- Identificar las estructuras y diferencias entre las principales configuraciones de VLAN.
Identificación de VLANS
La Red Virtual de Area Local, surge de la necesidad de crear múltiples redes Ethernet sin necesidad de contarcon múltiples concentradores o conmutadores Ethernet.
Las VLAN se identifican por un VLAN ID o identificador de VLAN que no es másque un número entero.
Las VLAN Ethernet al ser dominios de colisión aislados, no se puedencomunicar sin el apoyo de enrutador y simulan estructuras Ethernetcompletamente aisladas. De esta forma las VLAN aislan el tráfico Ethernet yseparan el concepto de red Ethernet de la red física. Ahora una red Ethernetpuede ser implementada en un conmutador Ethernet sin chocar e interferircon otras VLAN en el mismo conmutador y sin la necesidad de variosconmutadores.
VLANS
Esto es así por el crecimiento que sufrieron las redes Ethernet.
En el pasado las implementaciones de redes Ethernet no requerían de protocolos Capa 3 (como ejemploNetBEUI que implementa varios servicios de red, entre ellos compartido de archivos e impresoras y envío demensajes).
4
VLANS
i
Este tipo de aplicaciones Ethernet usan la difusión o broadcast para muchosde sus métodos.
Este tipo de tráfico de difusión comenzó a crecer desmesuradamente en lamedida que los PC de escritorio se hacían populares en las empresas. Alcrecer el número de PCs en la red, el desempeño de la red en su conjuntodecae
Estrategias para VLANS
Una primera estrategia fue separar las redes y hacer puentes Ethernet (bridges). Este camino llevo aldesarrollo de los conmutadores Ethernet que no son más que puentes Ethernet de n puertos.
Un puente Ethernet puede comunicar dos redes Ethernet recordando las direcciones MAC de cada una de lasredes que conoce. Esto en realidad se hizo para atacar el crecimiento inicial y evitó que el tráficounidreccional (unicast) en un medio compartido como Ethernet saturara la red. Así se pudieron hacer redesEthernet más grandes. Luego vendrían los denominados conmutadores Ethernet.
Debilidades de VLANS
Una de las debilidades de las aplicaciones de redes implementadas en Capa 2 era que difícilmente eranenrutables, no podían cruzar y atravesar los nuevos enrutadores IP.
Las aplicaciones fueron migradas y así NetBEUI se convirtió en NetBIOS sobre TCP/IP y se separaron las redesusando VLANs complementadas por enrutadores.
El tráfico de difusión fue confinado a la VLAN.
5
VLANS
i
También se dice que son "dominios de broadcast" dado que el tráfico de broadcast a nivel 2 no se difundeentre las diferentes VLANs sino que se queda limitado al conjunto de puertos (físicos o virtuales) quepertenecen a cada una de las VLANs.
Configuración
Existe un tipo de configuración para una puerta en particular que no debepertenecer a ninguna vlan, es la puerta que conecta, en este caso, con elrouter.
Esta puerta debe configurarse en modo trunk, lo que indica que por esapuerta pasaran las diferentes vlans que se permitan.
Configuración de un switch
1. Lo primero es crear las Vlans en la base de datos:
#vlan database(vlan)#vlan 10 name alumnos(vlan)#apply
2. Luego Asociamos puertas a las Vlans:
#conf term(config)#interface range fastEthernet 0/6 - 10(config-if-range)switchport mode access(config-if-range)switchport access vlan 10
6
VLANS
i
3. Dejamos en modo trunk la puerta Fa 0/24
#conf term(config)#interface fastEthernet 0/24(config-if)#switchport mode trunk(config-if)#switchport trunk allowed vlan 1,10
Configuración de Router
Una vez ya configurado el switch, cambiamos al router.
Dependerá del tipo de router que se esté configurando los comandos a ingresar, sin embargo, el concepto aaplicar será el mismo.
Crear las vlans en la base de datos (igual que en el switch).
Habilitar una interfaz
Para habilitar la vlan en una subinterfaz:
#conf term(config)#interface fastethernet 0/1.1(config-sub-if)# ip addres 172.16.16.1 255.255.255.0(config-sub-if)# encapsulation dot1q 10(config-sub-if)# no shutdown
Comprobación del funcionamiento
Para comprobar el correcto funcionamiento de las vlans y del enrutamiento, vamos a conectar los PCs adiferentes puertos del switch. Asignaremos una IP a cada equipo definiendo como gateway (o puerta deenlace) el IP de la subinterfaz del router definida para la vlan a la cual ingresamos el PC. Luego con elcomando ping debemos probar la conectividad.
Lo mismo para las conexiones inalámbricas.
Configuración de VLANs en switches
Para configurar una VLAN en switches se deben seguir los siguiente pasos:
1. Crea una vlan llamada prueba
2. Configura la ip en la vlan que se acaba de crear (prueba)
3. Activa el parámetro ipforwarding. IP forwarding re-envía paquetes de una red a otra, si no se activaeste comando, la red local no podrá comunicarse con internet (u otra red) y viceversa.
4. Activa el parámetro ipforwarding. IP forwarding re-envía paquetes de una red a otra, si no se activaeste comando, la red local no podrá comunicarse con internet (u otra red) y viceversa.
5. Elimina el puerto 17 de la vlan por default del switch llamada como tal "default" si no se elimina elpuerto no se podrá agregar a otra vlan a menos que sea con un tag
6. Configura un default gateway para el switch todos los paquetes que sean destinados a otras redesque no se encuentren en la tabla de ruteo se enviaran al "default gateway"
Para probar la configuración:
a) Configurar la pc con una ip de la misma red ejemplo 192.168.16.5 y conectarla al puerto 17del switch
b) Probar comunicación con ping desde y hacia el switch
7
VLANS
i
8
VLANS
i
Asignación de IP
Una VLAN no sirve de mucho si no se ha asignado una dirección IP,máscara de red la subred, y el puerto de miembros.
En condiciones normales se asignan las direcciones IP al segmento dered en la configuración de routers, interfaces individuales o grupos deinterfaces (llamados canales).
Cuando usemos VLAN, los interfaces son miembros de VLAN y no tienen direcciones IP individuales, y, engeneral, no tienen listas de acceso a ellos. Estas características son generalmente reservadas para losinterfaces VLAN.
Puentes y switches
Una de las grandes virtudes de bridges y switches es su sencillez demanejo. Debido a su funcionamiento transparente es posible realizaruna compleja red, incluso con enlaces WAN si se utilizan bridgesremotos, sin tener que configurar ningún router.
A finales de los ochenta se puso de moda la idea de desarrollar grandesredes, incluso a nivel de redes nacionales, basadas únicamente en eluso de puentes transparentes.
Inconvenientes
Sin embargo pronto se vio que esta estrategia tenía dos inconvenientes serios:
1- Los bridges propagan el tráfico broadcast y multicast.
2- La transparencia de los bridges hace difícil establecer mecanismos de control, protección y filtradode tráfico, por lo que las redes muy grandes basadas en bridges se hacen inmanejables.
LANs virtuales o VLANs: Los puertos
Los bridges propagan el tráfico broadcast y multicast
Generalmente los protocolos orientados a redes locales hacen un uso exhaustivo de este tipo de frames,especialmente los broadcast, para anunciar todo tipo de servicios. Incluso el protocolo de red IP, empleabroadcasting para la resolución de direcciones. La proliferación de tráfico broadcast en una red esespecialmente grave por el ancho de banda desperdiciado por el consumo de ciclos de CPU que se produceen todos los nodos de la red. Éste no es el caso con los frames multicast, ya que cuando un frame multicastno incumbe a una estación, es descartado por la interfaz.
La transparencia de los bridges hace difícil establecer mecanismos de control, protec-ción y filtrado de tráfico, por lo que las redes muy grandes basadas en bridges se haceninmanejables.
Además, en los casos en que se requieren controles o mecanismos de administración se han de utilizardirecciones MAC que no tienen ningún prefijo común que permita referirse o identificar una parte de la red,ya que la asignación no ha seguido ningún criterio geográfico ni corresponde con la topología de la red.
Grupos de trabajo
Organización por piso para los cuatro grupos de trabajo
9
VLANS
i
10
VLANS
i
Como consecuencia de esto la creación de grandes redes locales está desaconsejada y es práctica habitualen estos casos separar mediante routers las diversas partes de la red.
Éste es el caso en un campus o gran edificio.
Los routers, son equipos de comunicaciones que actúan a nivel de red, aislando los frames broadcast ymulticast (es decir, no los retransmite por sus otras interfaces como lo hace un bridge o switch) y facilitandola administración al agregar las direcciones de nivel de red y un ordenamiento lógico de más alto nivel. Sepuede observar entonces que un router, por el hecho de aislar los broadcast, genera tantos dominios debroadcast como interfaces tenga.
División de redes
Dividir una red local con criterios geográficos resulta relativamente sencillo, ya que normalmente la topologíadel cableado permite realizar esa división de manera directa.
Por ejemplo, si se quiere dividir en varias una red local que abarca el campus de una universidad, se puedecrear una LAN por edificio con switches en cada edificio e interconectar cada edificio a una interfaz diferentede un router que interconecte todo el campus, para así aislar los dominios de broadcast y mantenercomunicadas todas las LANs.
División lógica
Sin embargo, a menudo se requiere realizar una división lógica de acuerdo a criterios funcionales, que nosiempre coinciden con la ubicación física.
Por ejemplo, en el caso de una universidad se podría pensar por razones de eficiencia y seguridad en crearuna red para investigación, otra para docencia, otra para estudiantes y una última para tareasadministrativas.
11
VLANS
i
Organización con múltiples switches
Normalmente habrá varios edificios en los que habrá que dotar una serie de puestos de cada una de lascuatro redes mencionadas, en cuyo caso habría que instalar en los correspondientes armarios de cableadoswitches independientes e interconectarlos entre sí por separado. Esto provoca una red compleja y muycara, ya que en muchos casos habrá equipos subutilizados.
Organización usando múltiples switches para los cuatro grupos de trabajo
Redes aisladas
El problema que se presenta es simple, se desea tener redes aisladas, a nivel de enlace, para los cuatrogrupos de trabajo mencionados.
La solución es sencilla si se dispone de espacios físicos contiguos para todos los miembros de un mismo grupo,como por ejemplo, un edificio o piso para administración, otro para alumnos, etc. Pero, generalmente estono sucede y existe una mezcla de usuarios en un mismo edificio y/o piso.
La solución pasará entonces por la mencionada opción de tener por cada piso y/o edificio un switch para cadagrupo de trabajo, con el fin de nunca mezclar los tráficos, y lograr la conectividad entre las cuatro LANesusando un router de cuatro interfaces que permita comunicarlas a un nivel superior (nivel de red).
Solución a redes aisladas
La solución a este problema es la creación de redes locales virtuales, o VLANs.
Las VLANs son una forma de realizar una partición lógica de un switch en otros más pequeños, de forma queaunque se trata de un solo equipo, se dividen los puertos en grupos que son completamente independientesentre sí. Un switch que tiene la capacidad de generar VLANs se puede considerar como un switch que, porsoftware, se convertirá en tantos switches como VLANs se creen, es decir, si se crean las cuatro VLANsnecesarias para el ejemplo en un switch, esto se puede ver como si se hubieran comprado cuatro switchesy cada uno de ellos genera una LAN para cada grupo de trabajo, y los tráficos, a nivel de enlace, nunca semezclarán entre las VLANs, pues la única forma de hacerlo es utilizando un router que comunique, a nivelde red, las cuatro VLANs generada.
Switches con capacidades Vlans
Un switch con capacidades de VLANs es entonces un generador de diversos dominios de broadcast. Lafuncionalidad o soporte de VLANs está disponible hoy en día en la mayoría de los switches del mercado.
Suponiendo el caso anterior, que se ha decidido dividir la red de campus en cuatro VLANs: I (de investigación),D (de docencia), E (de estudiantes) y A (de administración). Si se tiene un switch de 24 puertos en un unacaja de cableado y se plantea la necesidad de suministrar servicio a 8 equipos de la VLAN I, 4 de la D, 4 de
12
VLANS
i
13
VLANS
i
la E y 4 de la A, se podría asignar, por ejemplo, los puertos 1 a 8 a la VLAN I, 9 a 12 a la VLAN D, 13 a 16 ala VLAN E y 17 a 20 a la VLAN A, dejando los puertos 21 a 24 libres para futuras ampliaciones o para conectarlas interfaces de un router, etc.
Comportamiento de switches
A partir de ese momento, el switch se comportará como cuatro switches virtuales de 4 puertos cada uno, loscorrespondientes a las tres VLANs y un cuatro correspondiente a los puertos no asignados. De esta forma, sepuede asignar puertos a una u otra VLAN de forma flexible en función de las necesidades.
VLANs y Trunk
Organización usando VLANs y enlaces Trunk para los grupos de trabajo.
Conexión VLANS
Queda por resolver aún la conexión de las cuatro VLANs con el resto de la red.
Una posibilidad sería asignar los puertos 21 a 24 a cada una de las cuatro VLANs y conectarlos a cuatro puertosdel switch principal del edificio creando también cuatro VLANs. Siguiendo este sistema, se llegaría al routerdel campus donde un switch con puertos en las cuatro VLANs se conectaría a cuatro interfaces físicasdiferentes del router. Aunque físicamente las cuatro VLANs comparten los switches, sigue habiendo cuatroredes separadas en el cableado, ya que nunca viajan por un mismo cable frames de VLANs diferente.
Cabe también pensar en un nivel adicional de optimización en el que se compartiera un mismo cable paradiferentes VLANs. Esto permitiría un ahorro considerable en el número de puertos consumidos en los enlacestroncales, especialmente cuando se manejan muchas VLANs.
Por ejemplo, se podría emplear sólo un puerto, por ejemplo el 21, para conectar las cuatro VLANs, liberandoasí los puertos 22 a 24 para otros usos.
Configuración enlace trunk
Esta situación se denomina configurar un enlace trunk o troncal. Debiera ser lógico, que los enlaces Trunksuelan ser de mayor capacidad que los puertos normales del switch ya que soportan un tráfico más elevado.Por ejemplo, en un switch de puertos a 10 Mbps el enlace trunk típicamente será de 100 Mbps y en uno conpuertos de 100 Mbps será de Gigabit Ethernet.
Los enlaces Trunk suponen un cambio importante en el funcionamiento de los switches, ya que al mezclarframes de diferentes VLANs por el mismo cable es preciso marcarlas o etiquetarlas de alguna manera a finde poder entregarlas a la VLAN adecuada en el otro extremo.
14
VLANS
i
15
VLANS
i
El marcado se hace añadiendo un campo nuevo en el header del frame MAC, lo que hace que el tamaño delframe Ethernet supere ligeramente la longitud máxima de 1500 bytes en algunos casos, ya que un switchpuede recibir un frame de 1500 bytes y si lo ha de enviar por un enlace trunk tendrá que incorporarle laetiqueta correspondiente, pues en ningún caso está permitido fragmentar el frame original.
Etiquetas Vlans
Hoy en día existe un formato estándar para colocar las etiquetas de VLAN quees el conocido como IEEE 802.1q que es el que utilizan prácticamente latotalidad de los equipos actuales.
De esta forma es posible diseñar complejas redes con VLANs utilizandoequipos de diferentes fabricantes.
Propiedades de Vlans
Una propiedad interesante de las VLANs es la posibilidad de configurarinterfaces virtuales en los hosts. Suponiendo que, en el caso analizado conlas cuatro VLANs, I, D, E y A, se tiene un servidor que se desea esté accesiblede forma directa en las cuatro VLANs, de forma que cualquier host decualquiera de las VLANs pueda acceder a él sin necesidad de pasar por unrouter.
Conexión al servidor
Una posible solución sería conectar al servidor mediante cuatro interfaces de red y conectar cada una de ellasa un puerto del switch asignado a cada una de las VLANs. Cada interfaz recibiría una dirección de redcorrespondiente a la VLAN en la que se encuentra. Sin embargo, esta solución se hace inmanejable si aumentael número de VLANs. Otra posibilidad, más interesante, sería configurar una interfaz de red del servidorcomo tres interfaces virtuales y conectarla a un puerto trunk del switch.
16
VLANS
i
Para esto se necesita disponer de drivers con soporte de IEEE 802.1q para la interfaz de red y el sistemaoperativo que se esté utilizando.
Posibilidades de configuración de un nodo
La pertenencia o membresía de un nodo a una cierta VLAN no sólo es configurable por puerto, en general setienen las siguientes posibilidades:
VLANS Nivel 1Corresponde a las VLAN ya mencionadas, donde la pertenencia está asociada al puerto al que esté conectadoun equipo. Son llamadas también VLAN por puerto, y tienen una tabla en la que asocian el número de puertocon el VLAN ID.
Su principal desventaja es que no permite movilidad, ya que si un usuario se cambia, se debe reasignar elpuerto para que éste siga en la misma VLAN.
VLAN de Nivel 2Son VLANs en las que la membresía se basa en la dirección MAC que tiene el equipo a conectar, y por lotanto, el frame emitido. En este caso, el equipo mantiene una tabla en la que existe una relación entre MACy VLAN ID, lo que permite movilidad para los usuarios.
Otra forma de clasificar los usuarios de las VLAN es usando el campo Protocol Type del frame, y si porejemplo, el protocolo de red usado es IP, el frame se asocia a la VLAN 1, si es IPX, se asocia a la VLAN 2, etc.Por lo tanto, el equipo mantiene una tabla en la que existe una relación entre el protocolo de nivel de redy el VLAN ID.
VLAN de Nivel 3En este caso, las VLAN se asocian a la dirección de red o de subred que tenga el equipo. Por ejemplo, todoslos equipos cuya dirección de red sea 152.74.20.0 se asocian a la VLAN 1, los que tengan la dirección de red152.74.21.0 se asocian a la VLAN 2, etc. En este caso, la tabla que se mantiene es de dirección de red y VLANID. El hecho de observar la dirección de red dentro del frame no implica que el equipo haga routing, sino quees esa información la que sirve para la clasificación de los equipos. La ventaja de hacer esto es que si unusuario se mueve, no necesita reconfigurar los parámetros de red del equipo, y la desventaja es el mayortiempo de procesamiento de la información antes de reenviar el frame.
VLAN de Nivel SuperiorTambién es posible definir VLAN basándose, por ejemplo, en el tipo de aplicación o de servicio que estáencapsulado en el frame. Así, por ejemplo, podría tenerse una VLAN para todos los frames que tengan datosde FTP, otra para los que tengan datos HTTP, etc.
17
VLANS
i
18
VLANS
i
Organización e interconexión de Vlans
La Tabla muestra un resumen de la organización e interconexión de LANs usando los distintos equipos denivel físico y de enlace vistos hasta el momento, y su relación con los dominios de colisión y de broadcast.
Dominio de difusión
Una red LAN define un dominio de difusión con puentes yconmutadores que conectan todos los nodos finales.
Todos los nodos de la red LAN reciben las difusiones, pero no así losnodos situados fuera de ella.
19
VLANS
Conexión lógica
Una red LAN virtual (VLAN) define una conexión lógica, en lugar de laconexión física que define una red LAN. Una red VLAN permite crearparticiones lógicas de una red LAN de manera que el dominio de difusión dela red VLAN esté limitado a los nodos y conmutadores que son miembros deella.
Ventajas de Vlans
Las redes VLAN ofrecen las siguientes ventajas:
- Una mayor seguridad mediante el aislamiento del tráfico dentro de los nodos que son miembros dela red VLAN.
- Conservación del ancho de banda, al limitar el dominio de difusión a la red VLAN en lugar de la redLAN completa.
- Mayor facilidad de administración para las migraciones de nodos y los cambios de topología de la red.
20
VLANS
i
2. Diseño de red
Diseño de red
Existen muchas estructuras organizativas y muchas formas de diseñar laarquitectura de las redes, sin embargo, hay dos modelos que son los másutilizados en el diseño de las redes. Se trata de la arquitectura deconmutación multinivel, que suele ser útil para la sede central de laorganización, y la arquitectura para las sucursales pequeñas.
Arquitectura multinivel
En la figura se muestra un ejemplo de una arquitectura multinivel, que se suele utilizar cuando hay un nivelpúblico de sitio Web y un nivel de base de datos de servidor.
Conexiones
Empezando por el lado de la red orientado al público y adentrándonos a partir de este punto, el primersegmento es una red de borde con un enrutador de borde orientado a Internet y que proporciona una primerafunción de servidor de seguridad. Seguidamente, nos encontramos un conmutador que une el enrutador a unservidor de seguridad perimetral, el cual ofrece una mayor protección.
El servidor de seguridad perimetral, a su vez, está conectado mediante un conmutador a servidores Web dela red perimetral y los servidores Web están conectados mediante otro conmutador a un servidor de seguridadinterno.
El servidor de seguridad interno enlaza mediante un conmutador a los servidores internos y los PC de usuariode la red del servidor. En la ilustración anterior, se muestra un diseño lógico, pero la distribución física delos conmutadores podría ser de redes VLAN separadas en el mismo conmutador.
Es preferible que el conmutador de borde sea un dispositivo separado ya que se encuentra en una zona menossegura. El conmutador que funciona como servidor también puede estar constituido por varios conmutadoresen función de si se prefiere un solo conmutador de gran capacidad o varios conmutadores más pequeños.
Arquitectura pequeñas sucursales
En la figura se muestra una arquitectura adecuada para pequeñas sucursales.
Esta arquitectura consta de tres dispositivos de red: un módem, un enrutador y un conmutador. Estos tresdispositivos pueden estar combinados en dos dispositivos o en uno solo en función de la conexión de la red.Los enrutadores más económicos, generalmente, incorporan un conmutador Ethernet con función de servidorde seguridad, mientras que para las conexiones de banda ancha también puede incorporarse un módem alenrutador.
21
VLANS
22
VLANS
i
3. Resumen
VLANs
1. - Las VLAN se identifican por un VLAN ID o identificador de VLAN que no es más que un número entero.
- Un puente Ethernet puede comunicar dos redes Ethernet recordando las direcciones MAC de cada unade las redes que conoce.
- Una de las debilidades de las aplicaciones de redes implementadas en Capa 2 es que difícilmente sonenrutables, no pueden cruzar y atravesar los nuevos enrutadores IP.
2.- Una de las grandes virtudes de bridges y switches es su sencillez de manejo. Debido a su
funcionamiento transparente es posible realizar una compleja red, incluso con enlaces WAN si seutilizan bridges remotos, sin tener que configurar ningún router.
- El uso de puentes transparentes tiene dos inconvenientes los bridges propagan el tráfico broadcasty multicast y la transparencia de los bridges hace difícil establecer mecanismos de control, proteccióny filtrado de tráfico.
3.- Dividir una red local con criterios geográficos resulta relativamente sencillo, ya que normalmente la
topología del cableado permite realizar esa división de manera directa.
- Los enlaces Trunk suponen un cambio importante en el funcionamiento de los switches, ya que almezclar frames de diferentes VLANs por el mismo cable es preciso marcarlas o etiquetarlas de algunamanera a fin de poder entregarlas a la VLAN adecuada en el otro extremo.
- La pertenencia o membresía de un nodo a una cierta VLAN no sólo es configurable por puerto, engeneral se tienen las siguientes posibilidades: VLANS Nivel 1, VLANS Nivel 2, VLANS Nivel 3 y VLANSNivel superior.
4.- Una red LAN define un dominio de difusión con puentes y conmutadores que conectan todos los nodos
finales. Todos los nodos de la red LAN reciben las difusiones, pero no así los nodos situados fuera deella.
- Las ventajas de las redes LAN son una mayor seguridad mediante el aislamiento del tráfico dentrode los nodos que son miembros de la red VLAN, conservación del ancho de banda, al limitar el dominiode difusión a la red VLAN en lugar de la red LAN completa, mayor facilidad de administración paralas migraciones de nodos y los cambios de topología de la red.
23
VLANS
i