¿QUE ES UNA VLAN?
Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que agrupa un conjunto de equipos de manera lógica y no física.
Efectivamente, la comunicación entre los diferentes equipos en una red de área local está regida por la arquitectura física. Gracias a las redes virtuales (VLAN), es posible liberarse de las limitaciones de la arquitectura física (limitaciones geográficas, limitaciones de dirección, etc.), ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios (direcciones MAC, números de puertos, protocolo, etc.).CLASES DE VLAN
Ventajas de la VLAN
La VLAN permite definir una nueva red por encima de la red física y, por lo tanto, ofrece las siguientes ventajas:
- mayor flexibilidad en la administración y en los cambios de la red, ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores;
- aumento de la seguridad, ya que la información se encapsula en un nivel adicional y posiblemente se analiza;
- disminución en la transmisión de tráfico en la red.
Caracteristicas de las VLANs
La característica principal de una red de área local es que los dispositivos que la conforman
comparten los recursos del medio físico, es decir, el ancho de banda proporcionado por el mismo.
Cuando utilizamos un concentrador o hub dentro de una red, ésta se puede ver como una red de
distribución hidráulica, donde las estaciones de trabajo conectadas a la misma toman cierta
cantidad de agua, y mientras más máquinas existan en esa LAN, menor será la cantidad de líquido
que podrán utilizar. A este segmento de “tubería” se le puede llamar también “dominio de
colisiones”.
El empleo de un switch mejora el rendimiento de la red debido a que este dispositivo segmenta o
divide los “dominios de colisiones”, es decir, el comportamiento que se tiene en una LAN al utilizar
concentradores o hubs es el de compartir el medio o ancho de banda, por ello puede ocurrir que en
algún momento el medio esté ocupado por la transmisión de información por parte de alguna de las
computadoras, y si otro quiere enviar información en esa precisa hora, no lo podrá hacer hasta que
el medio se encuentre disponible.
Por otro lado, si dos computadoras “escuchan” que el medio está vacío enviarán su información,
pero debido a que éste es compartido puede suceder que los datos se encontrarán y “chocarán”,
por lo que se hablará de una colisión y el material se destruirá; al perderse tendrá que volverse a
enviar, lo que llevará a muchas retransmisiones de información.
En una red LAN, cada uno de los puertos es una “tubería” dedicada a cada una de las casas
(computadoras) dentro de la red, donde cada computadora dispone de toda la anchura de banda
que la red proporciona, en este caso 10 o 100 Mbps, con objeto de evitar las colisiones que
pudieran existir en un medio compartido, por ello cada computadora tiene un tubo individual
enlazado con el punto central de distribución que es el switch.
Algo que no puede mejorar ni el switch, ni el hub o concentrador, es el envío de mensajes de
broadcast dentro de una red LAN, los que se asemejan a aquellos que escuchamos en una tienda
departamental. Estos mensajes los escuchamos todos los que estamos en la tienda (la red LAN),
ya sea que estén buscando a alguien o anunciando algún producto, y ninguna de las personas
(computadoras) que estamos dentro de la tienda nos encontramos exentos de hacerlo.
En una LAN estos mensajes de broadcast son enviados a través de todos los puertos de un hub o
de un switch. Si una computadora quiere comunicarse con otra y no sabe en dónde se encuentra,
entonces la “vocea” dentro de la LAN, creando tráfico dentro de ésta, además todas las
computadoras escucharán el mensaje pero sólo podrá contestarlo la que se está buscando, no
importando si se encuentra o no conectada dentro del switch o concentrador.
Estos mensajes de broadcast son, en muchas ocasiones, tráfico innecesario como cuando
estamos tratando de encontrar una computadora en específico, pero afectamos a todas las que
estén dentro del “dominio de broadcast” o LAN.
Para solventar dicha situación se crea el concepto de Redes de Area Local Virtuales (VLANs),
configuradas dentro de los switches, que dividen en diferentes “dominios de broadcast” a un
switch, con la finalidad de no afectar a todos los puertos del switch dentro de un solo dominio de
broadcast, sino crear dominios más pequeños y aislar los efectos que pudieran tener los mensajes
de broadcast a solamente algunos puertos, y afectar a la menor cantidad de máquinas posibles.
Una Red de Área Local Virtual (VLAN) puede definirse como una serie de dispositivos conectados
en red que a pesar de estar conectados en diferentes equipos de interconexión (hubs o switches),
zonas geográficas distantes, diferentes pisos de un edificio e, incluso, distintos edificios,
pertenecen a una misma Red de Área Local.
Con los switchs , el rendimiento de la red mejora en los siguientes aspectos:
Aísla los “dominios de colisión” por cada uno de los puertos.
Dedica el ancho de banda a cada uno de los puertos y, por lo tanto, a cada computadora.
Aísla los “dominios de broadcast”, en lugar de uno solo, se puede configurar el switch para
que existan más “dominios”.
Proporciona seguridad, ya que si se quiere conectar a otro puerto del switch que no sea el
suyo, no va a poder realizarlo, debido a que se configuraron cierta cantidad de puertos
para cada VLAN.
Controla más la administración de las direcciones IP. Por cada VLAN se recomienda
asignar un bloque de IPs, independiente uno de otro, así ya no se podrá configurar por
parte del usuario cualquier dirección IP en su máquina y se evitará la repetición de
direcciones IP en la LAN.
No importa en donde nos encontremos conectados dentro del edificio de oficinas, si
estamos configurados en una VLAN, nuestros compañeros de área, dirección, sistemas,
administrativos, etc., estarán conectados dentro de la misma VLAN, y quienes se
encuentren en otro edificio, podrán “vernos” como una Red de Área Local independiente a
las demás.
El funcionamiento e implementación de las VLANs está definido por un organismo internacional
llamado IEEE Computer Society y el documento en donde se detalla es el IEEE 802.1Q.
Hasta aquí ya hemos hablado de que se aísla el trafico de colisiones y de broadcast, y que cada
VLAN es independiente una de otra, pero todavía falta mencionar cómo es que se comunican entre
sí, ya que muchas veces habrá que comunicarse entre computadoras pertenecientes a diferentes
VLANs. Por ejemplo, los de sistemas con los de redes, o los de redes con finanzas, etcétera.
En el estándar 802.1Q se define que para llevar a cabo esta comunicación se requerirá de un
dispositivo dentro de la LAN, capaz de entender los formatos de los paquetes con que están
formadas las VLANs. Este dispositivo es un equipo de capa 3, mejor conocido como enrutador o
router, que tendrá que ser capaz de entender los formatos de las VLANs para recibir y dirigir el
tráfico hacia la VLAN correspondiente
CLASES DE VLAN
Como respuesta a los problemas generados en redes lan (colisiones, trafico broadcast, movilidad,
etc) se creo una red con agrupamientos lógicos independientes del nivel físico, con lo cual si un
usuario se encontraba en el piso uno y debía moverse al piso dos ya no tenia que reconfigurar la
maquina ni darle una nueva dirección IP (Internet Protocol; Protocolo de Internet) del piso dos, sino
que ahora era una acción automática.
Las VLAN (Virtual Local Area Networks; Redes virtuales de área local ) forman grupos lógicos para
definir los dominios de broadcast. De esta forma existe el dominio de los rojos, donde el broadcast
que genera el rojo solo le afectara a este color y el broadcast que genera el amarillo solamente
afectara a esta parte de la red.
Aunque físicamente estén conectadas las maquinas al mismo equipo, lógicamente pertenecerán a
una VLAN distinta dependiendo de sus aplicaciones con lo que se logra un esquema mas enfocado
al negocio.
Anteriormente existía la red plana, donde el broadcast se repetía en los puertos y esto provocaba
una situación critica. Ahora con las VLAN existe una segmentación lógica o virtual.
Existen dos clases de VLAN: implícitas y explícitas. Las implícitas no necesitan cambios en el
frame, pues de la misma forma que reciben información la procesan, ejemplo de ello son las VLAN
basadas en puertos. En esta clase de VLAN el usuario no modifica ni manipula el frame, ya que
solo posee una marca y por lo tanto el sistema se vuelve propietario.
Las VLAN explícitas si requieren modificaciones, adiciones y cambios (MAC) al frame, por lo que
sacaron los estándares 802.1p y 802.1q, en donde se colocan ciertas etiquetas o banderas en el
frame para manipularlo.
Las VLAN deben ser rápidas, basadas en switchs para que sean interoperables totalmente –
porque los routers no dan la velocidad requerida- , su información deberá viajar a través del
backbone y deberán ser movibles, es decir, que el usuario no tenga que reconfigurar la maquina
cada vez que se cambie de lugar.
GENERACIONES DE VLAN
1. Basadas en puertos y direcciones MAC
2. Internet Working; se apoya en protocolo y dirección capa tres.
3. De aplicación y servicios: aquí se encuentran los grupos multicast y las VLAN definidas por el
usuario.
4. Servicios avanzados: ya se cumple con los tres criterios antes de realizar alguna asignación a la
VLAN; se puede efectuar por medio de DHCP (Dynamic Host Configuration Protocol ; Protocolo de
configuración dinámica) o por AVLAN ( Authenticate Virtual Local Area Networks; Redes virtuales
autenticadas de área local).
VLAN por Puerto
Este tipo es el más sencillo ya que un grupo de puertos forma una VLAN -un puerto solo puede
pertenecer a una VLAN - , el problema se presenta cuando se quieren hacer VLAN por MAC ya
que la tarea es compleja. Aquí el puerto del switch pertenece a una VLAN , por tanto, si alguien
posee un servidor conectado a un puerto y este pertenece a la VLAN amarilla , el servidor estará
en la VLAN amarilla.
VLAN por MAC
Se basa en MAC Address, por lo que se realiza un mapeo para que el usuario pertenezca a una
determinada VLAN. Obviamente dependerá de la política de creación.
Este tipo de VLAN ofrece mayores ventajas, pero es complejo porque hay que meterse con las
direcciones MAC y si no se cuenta con un software que las administre, será muy laborioso
configurar cada una de ellas.
VLAN por Protocolo
Lo que pertenezca a IP sé enrutara a la VLAN de IP e IPX se dirigirá a la VLAN de IPX , es decir,
se tendrá una VLAN por protocolo. Las ventajas que se obtienen con este tipo de VLAN radican en
que dependiendo del protocolo que use cada usuario, este se conectara automáticamente a la
VLAN correspondiente.
VLAN por subredes de IP o IPX
Aparte de la división que ejecuta la VLAN por protocolo, existe otra subdivisión dentro de este para
que el usuario aunque este conectado a la VLAN del protocolo IP sea asignado en otra VLAN
subred que pertenecerá al grupo 10 o 20 dentro del protocolo.
VLAN definidas por el usuario
En esta política de VLAN se puede generar un patrón de bits, para cuando llegue el frame. Si los
primeros cuatro bits son 1010 se irán a la VLAN de ingeniería, sin importar las características del
usuario protocolo, dirección MAC y puerto.
Si el usuario manifiesta otro patrón de bits, entonces se trasladara a la VLAN que le corresponda;
aquí el usuario define las VLAN.
VLAN Binding
Se conjugan tres parámetros o criterios para la asignación de VLAN: si el usuario es del puerto x,
entonces se le asignara una VLAN correspondiente.
También puede ser puerto, protocolo y dirección MAC, pero lo importante es cubrir los tres
requisitos previamente establecidos, ya que cuando se cumplen estas tres condiciones se coloca al
usuario en la VLAN asignada, pero si alguno de ellos no coincide, entonces se rechaza la entrada
o se manda a otra VLAN.
VLAN por DHCP
Aquí ya no es necesario proporcionar una dirección IP, sino que cuando el usuario enciende la
computadora automáticamente el DHCP pregunta al servidor para que tome la dirección IP y con
base en esta acción asignar al usuario a la VLAN correspondiente. Esta política de VLAN es de las
últimas generaciones.
COMO SE CONFIGURA UNA VLAN
Eliminar todas las VLAN definidas
previamente.
Switch#delete flash:
vlan.dat
Switch#erase startup-config
Switch#reload
Configurando las VLAN
con estos 3
comandos de configuración que acontinuacion se presentan podrás configurar las
diversas VLAN.
Paso 1
comando para ingresar al modo de configuración
global
Switch#configure terminal
Paso 2
Configura el ID
que tendrá la VLAN. (ingresa el siguiente comando VLAN y el ID de la VLAN es
20), ver el siguiente ejemplo.
Switch(config)#vlan 20
Paso 3
Configura el
nombre que tendrá la VLAN con el comando name y a continuación ingrese el nombre
que tendrá la VLAN
Switch(config-vlan)#name
ADMINISTRACION
Verificando la configuración de la
VLAN
Switch#sh vlan brief
No hay comentarios:
Publicar un comentario