VLAN
Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para crear redes
lógicas independientes dentro de
una misma red física.1 Varias VLAN pueden
coexistir
en un único conmutador físico o en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la red, separando segmentos lógicos de una red de área local
(los
departamentos de una empresa, por ejemplo) que no deberían intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un conmutador de capa 3 y 4).
Una VLAN consiste en dos redes de computadoras que se comportan como si estuviesen conectados al
mismoPCI, aunque se encuentren
físicamente conectados a diferentes segmentos de una red
de área local (LAN). Los administradores de red configuran las VLAN mediante
hardware en lugar de software, lo que las hace extremadamente fuertes.
CLASIFICACION
VLAN de nivel 1 (por puerto).
También conocida como “port switching”. Se especifica qué puertos
del switch pertenecen a la VLAN,
los
miembros de dicha VLAN son los que se conecten
a esos puertos. No permite la movilidad de los
usuarios, habría
que
reconfigurar las VLAN si el usuario se mueve físicamente. Es la más común y la que se explica en profundidad en este artículo.
VLAN de nivel 2 por direcciones MAC.
Se asignan hosts a una VLAN en función de su dirección MAC. Tiene la ventaja
de que no hay que reconfigurar el dispositivo de conmutación si el usuario cambia su
localización, es decir, se conecta a
otro puerto de ese u otro dispositivo. El principal inconveniente es que si hay cientos de usuarios
habría que asignar
los
miembros uno a uno.
VLAN de nivel 2 por tipo de
protocolo.
La VLAN queda determinada por el contenido del campo tipo de protocolo de la trama
MAC.
Por ejemplo, se asociaría VLAN 1 al protocolo IPv4, VLAN 2 al protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX...
VLAN de nivel 3 por direcciones de
subred (subred virtual).
La cabecera de nivel 3 se utiliza para mapear la VLAN a la que pertenece. En este tipo de VLAN son los paquetes, y no las estaciones,
quienes pertenecen a la VLAN. Estaciones con múltiples protocolos
de
red (nivel 3) estarán en múltiples
VLAN.
VLAN de niveles superiores.
Se crea una
VLAN para cada
aplicación: FTP, flujos multimedia, correo electrónico... La pertenencia a una VLAN puede basarse en una combinación de factores como puertos, direcciones
MAC, subred,
hora
del día, forma
de
acceso, condiciones de seguridad del equipo...
PROTOCOLOS
Durante todo el proceso de configuración y funcionamiento de una VLAN es necesaria
la participación de
una
serie de protocolos entre los que destacan el IEEE
802.1Q, STP y VTP (cuyo equivalente IEEE es GVRP).
El protocolo IEEE 802.1Q se encarga del etiquetado de las tramas que es asociada inmediatamente con
la información de la VLAN. El cometido principal de Spanning Tree Protocol (STP) es evitar la aparición de
bucles lógicos para que haya un sólo camino entre dos nodos. VTP (VLAN Trunking Protocol) es un
protocolo propietario de Cisco que permite una gestión centralizada
de todas las VLAN.
IEEE 802.1Q
El protocolo de etiquetado IEEE 802.1Q es el más común para el etiquetado de las VLAN. Antes de su
introducción existían varios protocolos propietarios, como el ISL
(Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT
(Virtual LAN Trunk) de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formato
de
trama similar a 802.3 (Ethernet) donde solo cambia el valor del campo Ethertype, que en las tramas
802.1Q vale 0x8100,
y se
añaden dos bytes para codificar la prioridad, el CFI y el VLAN ID. Este protocolo
es un estándar
internacional y por lo dicho anteriormente es compatible con bridges y switches sin capacidad de VLAN.
Spanning Tree Protocol
(STP)
Las VLAN y Protocolos de Árbol de Expansión. Para evitar la saturación de los switches
debido a las
tormentas broadcast, una red con topología redundante tiene que tener habilitado el protocolo STP. Los switches intercambian mensajes STP BPDU entre sí, Bridge Protocol Data Units) para lograr que la
topología de la red sea un
árbol (no tenga enlaces redundantes) y solo haya activo un camino para ir de
un
nodo a otro. El protocolo STP/RSTP es agnóstico a las VLAN, MSTP (IEEE 802.1Q) permite crear árboles
de
expansión diferentes y asignarlos a grupos de las
VLAN mediante configuración. Esto permite utilizar
enlaces en un árbol que están bloqueados en otro árbol.
En los dispositivos Cisco, VTP (VLAN trunking protocol) se encarga de mantener la coherencia
de la configuración VLAN por toda la red. VTP utiliza tramas de nivel
2 para gestionar la creación, borrado y
renombrado de las VLAN en
una red sincronizando todos los dispositivos entre sí y evitar
tener que
configurarlos uno a uno. Para eso hay que establecer primero un dominio de
administración VTP. Un dominio VTP para una red es un conjunto contiguo de switches
unidos con enlaces trunk que tienen el mismo nombre de dominio VTP.
Los switches pueden estar en uno de los siguientes modos: servidor, cliente o transparente. «Servidor» es el modo por defecto, anuncia
su configuración al resto de equipos y se sincroniza con otros
servidores
VTP.
Un switch en modo cliente no
puede
modificar
la
configuración VLAN,
simplemente
sincroniza la configuración en base a la
información que le envían los
servidores.
Por último, un switch
está en modo transparente cuando solo se puede configurar localmente pues ignora el contenido de los mensajes VTP.
VTP también permite «podar»
(función VTP prunning),
lo que significa dirigir
tráfico VLAN específico solo a los conmutadores que tienen puertos en la VLAN destino. Con lo que se ahorra
ancho de banda en los posiblemente saturados enlaces trunk.
GESTION DE LA PERTENENCIA A UNA VLAN
Las dos aproximaciones más habituales para la asignación de miembros de una
VLAN son las siguientes: VLAN
estáticas y VLAN dinámicas.
Las VLAN estáticas
también se denominan VLAN basadas en el puerto. Las asignaciones en una VLAN
estática se crean mediante la asignación de los puertos de un switch o
conmutador a dicha VLAN. Cuando
un
dispositivo entra en la red, automáticamente asume su pertenencia
a la VLAN a la que ha sido asignado el puerto. Si el usuario cambia de puerto de entrada y necesita acceder a la misma VLAN, el administrador de la red debe cambiar manualmente la asignación a la VLAN
del nuevo puerto de conexión en el switch.
En ella se crean unidades virtuales no estáticas en las que se guardan los archivos
y componentes del sistema de archivos mundial.
En las VLAN dinámicas, la asignación se realiza mediante paquetes de software tales como el CiscoWorks
2000. Con el VMPS (acrónimo en inglés de VLAN Management Policy Server o Servidor de Gestión de Directivas
de
la VLAN), el administrador
de
la red puede asignar los puertos que
pertenecen a una VLAN de manera automática basándose en información tal como la dirección MAC
del
dispositivo que se conecta al puerto o el nombre de usuario utilizado para acceder al dispositivo.
En este procedimiento, el
dispositivo que accede a la red, hace una consulta a la base de datos de miembros de la VLAN. Se puede consultar el software FreeNAC
para ver un ejemplo de implementación de un servidor VMPS.
VLAN BASADAS
EN
EL PUERTO DE CONEXION
Con las
VLAN de nivel 1 (basadas en puertos), el puerto asignado a la
VLAN es independiente del usuario
o dispositivo conectado en el puerto. Esto significa que todos los usuarios que se conectan al puerto serán
miembros de la
misma VLAN. Habitualmente es el administrador de la red el que realiza
las asignaciones
a la
VLAN. Después de que un puerto ha
sido asignado a
una
VLAN, a través de ese puerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLAN sin la intervención de algún dispositivo de capa 3.
Los puertos de un switch
pueden ser de dos tipos, en lo que respecta a las características
VLAN: puertos
de
acceso y puertos trunk.
Un puerto de acceso (switchport mode access) pertenece únicamente a una VLAN asignada de forma
estática (VLAN nativa). La configuración predeterminada suele ser que todos los puertos sean de acceso de la VLAN1.
Un puerto trunk
(switchport mode trunk) puede ser miembro de múltiples VLAN. Por defecto es miembro de todas,
pero
la lista de las
VLAN permitidas es configurable.
Puertos de acceso
El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de
la
existencia de
la VLAN a
la que pertenece
dicho
puerto. El dispositivo simplemente sabe que es miembro de una subred y que puede ser capaz de hablar con
otros miembros de la
subred simplemente
enviando información al
segmento cableado. El switch
es
responsable de identificar que la información
viene de una VLAN
determinada y de asegurarse de que esa
información
llega a todos los demás miembros de la VLAN. El switch también se asegura de que el resto de puertos que no
están en dicha
VLAN no reciben
dicha información.
Puerto TRUNK
Este planteamiento es sencillo, rápido y fácil de
administrar, dado que no hay complejas tablas en las
que mirar para
configurar la segmentación de la VLAN. Si la
asociación de puerto a VLAN se hace con un ASIC (acrónimo en inglés
de Application- Specific Integrated
Circuit o Circuito integrado para una
aplicación específica), el rendimiento
es muy bueno. Un ASIC permite que el mapeo
de
puerto a VLAN sea hecho a
nivel
hardware.