VLAN Virtual Local Area Network

ProfesorArmando Jipsion

2

VLAN

Una VLAN es una agrupación lógica de dispositivos de red o de usuarios que no se limita a un segmento de switch físico. Los dispositivos o usuarios de una VLAN se pueden agrupar por funciones, departamentos, aplicaciones, etc., independientemente de la ubicación física de su segmento.

3

Una VLAN crea un dominio de broadcast único que no se restringe a un segmento físico y se considera como una subred. La configuración de la VLAN se realiza en el switch a través del software. Las VLAN de la actualidad han sido estandarizadas de acuerdo con la norma IEEE 802.1Q, sin embargo, las implementaciones varían de un proveedor a otro.

4

5

Una LAN típica se configura según la infraestructura física que conecta. Los usuarios se agrupan según su ubicación en relación con el hub al que están conectados y según cómo el cable se tiende al centro del cableado. El router que interconecta cada hub compartido normalmente proporciona segmentación y puede actuar como firewall de broadcast. Los segmentos creados por los switches no lo hacen. La segmentación tradicional de las LAN no agrupa a los usuarios según su asociación de grupo de trabajo o necesidad de ancho de banda. Por lo tanto, comparten el mismo segmento y ocupan el mismo ancho de banda, aunque los requisitos de ancho de banda varían enormemente por grupo de trabajo o departamento.

6

7

Las primeras implementaciones de VLAN ofrecían una función de asignación de puertos que establecía un dominio de broadcast entre un grupo de dispositivos por defecto. Los requisitos actuales de la red exigen la funcionalidad de VLAN que cubre toda la red. Este enfoque de las VLAN permite agrupar usuarios separados por grandes distancias físicas en topologías virtuales que abarcan toda la red. Las configuraciones VLAN agrupan a los usuarios por asociación lógica, en lugar de por ubicación física.La mayoría de las redes actualmente instaladas ofrecen una segmentación lógica muy limitada. Los usuarios se agrupan normalmente según las conexiones al hub compartido y los puertos de router entre los hubs. Esta topología brinda segmentación sólo entre los hubs, que normalmente se ubican en pisos separados, y no entre usuarios conectados al mismo hub. Esto impone restricciones físicas en la red y limita la manera en que los usuarios se pueden agrupar. Algunas arquitecturas de hub compartido tienen cierta capacidad de agrupación, pero limitan la forma en que se pueden configurar los grupos de trabajo definidos lógicamente.

8

El gráfico muestra la diferencia entre la segmentación LAN y VLAN. Algunas de las diferencias principales son las siguientes:

• Las VLAN funcionan a nivel de Capa 2 y Capa 3 del modelo de referencia OSI.

• La comunicación entre las VLAN es implementada por el enrutamiento de Capa 3.

• Las VLAN proporcionan un método para controlar los broadcasts de red.

• El administrador de la red asigna usuarios a una VLAN.

• Las VLAN pueden aumentar la seguridad de la red, definiendo cuáles son los nodos de red que se pueden comunicar entre sí.

9

Transporte de las VLAN’s a través de Backbones

Lo que es importante en cualquier arquitectura de VLAN es la capacidad para transportar información de la VLAN entre switches interconectados y los routers que residen en el backbone corporativo. Estas capacidades de transporte:

• eliminan las fronteras físicas entre los usuarios • aumentan la flexibilidad de la configuración de una solución de VLAN

cuando los usuarios se desplazan • proporcionan mecanismos de interoperabilidad entre los

componentes del sistema de backbone. • El backbone normalmente funciona como el punto de reunión de

grandes volúmenes de tráfico. También transporta información del usuario final de la VLAN y su identificación entre switches, routers y servidores directamente conectados. Dentro del backbone, los enlaces de alto ancho de banda y alta capacidad se seleccionan normalmente para transportar el tráfico en toda la empresa.

10

11

Conmutación y Filtrado de la VLANLos switches son uno de los componentes principales de las comunicaciones de VLAN. Cada switch tiene la inteligencia de tomar decisiones de filtrado y envío por trama, basándose en las métricas de VLAN definidas por los administradores de red. El switch también puede comunicar esta información a otros switches y routers dentro de la red.Los enfoques más comunes para agrupar lógicamente los usuarios en VLAN diferentes son el filtrado de trama y la identificación de trama (etiquetado de trama). Ambas técnicas examinan la trama cuando es recibida o enviada por el switch. Basadas en el conjunto de normas definidas por el administrador, estas técnicas determinan dónde la trama se debe enviar, filtrar o hacer broadcast. Estos mecanismos de control pueden ser administrados centralmente (con software de administración de red) y se implementan con facilidad en toda la red.

12

13

Filtrado de TramaEl filtrado de trama examina información específica acerca de cada trama. Se desarrolla una tabla de filtrado para cada switch; esto proporciona un alto nivel de control administrativo porque puede examinar muchos atributos de cada trama. Según la sofisticación del switch LAN, puede agrupar los usuarios según las direcciones de control de acceso al medio (MAC) de una estación o tipo de protocolo de capa de red. El switch compara las tramas que filtra con las entradas de tabla, y toma las medidas apropiadas según las entradas.

14

15

Rotulación de TramasAl principio, las VLAN eran basadas en filtros y agrupaban a los usuarios según una tabla de filtrado. Este modelo no era muy escalable, porque cada trama debía referirse a una tabla de filtrado. El etiquetado de trama asigna de forma exclusiva un identificador de VLAN a cada trama. Los identificadores de VLAN son asignados a cada VLAN en la configuración de switch por el administrador del switch. Esta técnica fue seleccionada por el grupo de estándares del Instituto de ingeniería eléctrica y electrónica (IEEE) debido a su escalabilidad. El etiquetado de trama está obteniendo reconocimiento como el mecanismo troncal estándar. En comparación con el etiquetado de trama, puede ofrecer una solución más escalable para la implementación de las VLAN, que se puede aplicar a nivel de todo el campus. IEEE 802.1q establece que el etiquetado de trama es la manera de implementar las VLAN.

16

El etiquetado de trama de VLAN es un enfoque que se ha desarrollado específicamente para las comunicaciones conmutadas. El etiquetado de trama coloca un identificador único en el encabezado de cada trama a medida que se envía por todo el backbone de la red. El identificador es comprendido y examinado por cada switch antes de enviar cualquier broadcast o transmisión a otros switches, routers o dispositivos de estación final. Cuando la trama sale del backbone de la red, el switch elimina el identificador antes de que la trama se transmita a la estación final objetivo. La identificación de trama funciona a nivel de Capa 2 y requiere poco procesamiento o sobrecarga administrativa.

17

18

Métodos de Asignación de VLAN• Política de Puertos: Le brinda al administrador

de redes la habilidad de asignar conexión a red basándose en puertos específicos del switch. Esto es ideal para ser usado en casos de conectividad de backbones.

• Política de MAC address: Provee un alto grado de movilidad y seguridad. Si el MAC address coincide con la política de la VLAN, el dispositivo puede utilizar la red, en caso contrario, el mismo quedaría deshabilitado en ese segmento de red.

• Política Network Address: Los puertos del switch deben ser configurados por las direcciones de red de los clientes.

19

VLAN de Puerto CentralEn las VLAN de puerto central, a todos los nodos conectados a puertos en la misma VLAN se les asigna el mismo identificador de VLAN. El gráfico muestra la pertenencia a la VLAN por puerto, lo que facilita el trabajo del administrador y hace que la red sea más eficiente porque:

• Los usuarios se asignan por puerto. • Las VLAN son de fácil administración. • Proporciona mayor seguridad entre las VLAN. • Los paquetes no se "filtran" a otros dominios.

20

21

VLAN Estáticas

Las VLAN estáticas son puertos en un switch que se asignan estáticamente a una VLAN. Estos puertos mantienen sus configuraciones de VLAN asignadas hasta que se cambien. Aunque las VLAN estáticas requieren que el administrador haga los cambios, este tipo de red es segura, de fácil configuración y monitoreo. Las VLAN estáticas funcionan bien en las redes en las que el movimiento se encuentra controlado y administrado.

22

23

VLAN DinámicasLas VLAN dinámicas son puertos en un switch que pueden determinar automáticamente sus asignaciones de VLAN. Las funciones de las VLAN dinámicas se basan en las direcciones MAC, direccionamiento lógico o tipo de protocolo de los paquetes de datos. Cuando una estación se encuentra inicialmente conectada a un puerto de switch no asignado, el switch correspondiente verifica la entrada de direcciones MAC en la base de datos de administración de la VLAN y configura dinámicamente el puerto con la configuración de VLAN correspondiente. Los principales beneficios de este enfoque son una necesidad de administración menor en el centro de cableado, cuando se agrega o desplaza un usuario y la notificación centralizada cuando se agrega un usuario no reconocido en la red. Normalmente, se necesita una mayor cantidad de administración en un primer momento para configurar la base de datos dentro del software de administración de la VLAN y para mantener una base de datos exacta de todos los usuarios de la red.

24

25

Protocolo de Árbol de ExtensiónLa función principal del protocolo Spanning Tree es permitir rutas conmutadas/puenteadas duplicadas sin incurrir en los efectos de latencia de los loops en la red. Los puentes y los switches toman sus decisiones de envío para tramas de broadcast únicas tomando como base la dirección MAC destino de la trama. Si no se conoce la dirección MAC, el dispositivo inunda la trama desde todos los puertos e intenta alcanzar el destino deseado. También lo hace para todas las tramas de broadcast.

26

El algoritmo Spanning Tree, implementado por el protocolo Spanning Tree, evita los loops calculando una topología de red de Spanning Tree estable. Al crear redes tolerantes a las fallas, una ruta libre de loop debe existir entre todos los nodos Ethernet de la red. El algoritmo Spanning Tree se utiliza para calcular una ruta libre de loops. Las tramas Spanning Tree, denominadas unidades de datos del protocolo puente (BPDU), son enviadas y recibidas por todos los switches de la red a intervalos regulares y se utilizan para determinar la topología Spanning Tree.

27

Un switch utiliza el protocolo Spanning Tree en todas las VLAN basadas en Ethernet y Fast Ethernet. El protocolo Spanning Tree detecta y elimina loops colocando algunas conexiones en modo de espera, que se activa en caso de una falla de conexión activa. Una instancia separada del protocolo Spanning Tree se ejecuta dentro de cada VLAN configurada, asegurando las topologías Ethernet que cumplen con los estándares de la industria en toda la red.

28

29

Los estados del protocolo Spanning Tree son los siguientes:

• Bloquear: Ninguna trama enviada, se escuchan BPDU

• Escuchar: Ninguna trama enviada, escuchar tramas.

• Aprender: Ninguna trama se envía, aprender direcciones.

• Enviar: Tramas enviadas, aprender direcciones.

• Desactivado: Ninguna trama enviada, no se escuchan BPDU

30

El estado para cada VLAN es establecido inicialmente por la configuración y luego modificado por el proceso de protocolo Spanning Tree. Se puede determinar el estado, costo y prioridad de los puertos y las VLAN utilizando el comando show spantree. Después de que se determina el estado puerto a VLAN, el Protocolo Spanning Tree determina si el puerto envía o bloquea las tramas. Los puertos se pueden configurar para entrar directamente en el modo de envío del protocolo Spanning Tree cuando se realiza una conexión, en lugar de seguir la secuencia habitual de bloqueo, aprendizaje y luego envío. La capacidad para pasar rápidamente del modo Bloquear al modo Enviar en lugar de atravesar los estados de puerto de transición resulta muy útil en situaciones donde se requiere el acceso inmediato a un servidor.

31

Extendiendo las VLAN’s

Para extender las VLAN’s a través de diferentes switches, un enlace trunk debe ser implementado, interconectando los switches. Este enlace trunk es a menudo más rápidos que las mismas VLAN’s.

Trunk

1000 Mbps(1) Gbps

VLAN

VLAN

VLAN

VLAN

100 Mbps

100 Mbps

32

Asuma que usted tiene un enlace entre puertos de 100 Mbps de dos switches. Note que estos puertos son miembros de la VALN 1 en cada switch. Por defecto, sin una configuración adicional, estos puertos actúan como un enlace trunk entre estos dos switches; sin embargo estos puertos solamente pasan tráficos asociados a la VLAN 1. Este tipo de enlace se conoce como enlace de acceso, es opuesto a un enlace trunk que es utilizados para múltiples VLAN’s.

123456

789101112

AB

12x

6x

8x

2x

9x

3x

10x

4x

11x

5x

7x

1x

Eth

erne

t

A

12x

6x

8x

2x

9x

3x

10x

4x

11x

5x

7x

1x

C

123456

789101112

AB

12x

6x

8x

2x

9x

3x

10x

4x

11x

5x

7x

1x

Eth

erne

t

A

12x

6x

8x

2x

9x

3x

10x

4x

11x

5x

7x

1x

C

VLAN 1

VLAN 2

Enlace deacceso

33

Ejemplo de VLAN

34

Switch0>enableSwitch0#configure terminalSwitch0(config)#interface fa 2/0Switch0(config-if)#switchport access vlan 2Switch0(config-if)#exitSwitch0(config)#interface fa 3/0Switch0(config-if)#switchport access vlan 2Switch0(config-if)#exitSwitch0(config)#exit

Switch1>enableSwitch1#configure terminalSwitch1(config)#interface fa 2/0Switch1(config-if)#switchport access vlan 2Switch1(config-if)#exitSwitch1(config)#interface fa 3/0Switch1(config-if)#switchport access vlan 2Switch1(config-if)#exitSwitch1(config)#exit

35

VLAN Trunking

36

----------------------------Creacion de las Vlans----------------------------Switch0>enableSwitch0#conf tSwitch0(config)#interface f 1/1Switch0(config-if)#switchport ac vlan 2Switch0(config-if)#exitSwitch0(config)#interface f 2/1Switch0(config-if)#switchport ac vlan 2Switch0(config-if)#exitSwitch0(config)#interface f 3/1Switch0(config-if)#switchport ac vlan 3Switch0(config-if)#exitSwitch0(config)#interface f 4/1Switch0(config-if)#switchport ac vlan 3Switch0(config-if)#exit-----------------------------------CREACION DEL TRUNKING------------------------------------Switch1(config)#interfac f 0/1Switch1(config-if)#switchport mode trunkSwitch1(config-if)#switchport trunk allowed vlan 2Switch1(config-if)#switchport trunk allowed vlan add 3Switch1(config-if)#exit

37

Switch1>enableSwitch1#configure terminalSwitch1(config)#interface f 1/1Switch1(config-if)#switchport ac vlan 3Switch1(config-if)#exitSwitch1(config)#inter f 2/1Switch1(config-if)#switchport ac vlan 3Switch1(config-if)#exitSwitch1(config)#interface f 3/1Switch1(config-if)#switchport ac vlan 2Switch1(config-if)#exitSwitch1(config)#int f 4/1Switch1(config-if)#switchport ac vlan 2Switch1(config-if)#exitSwitch0(config)#interface f 0/1Switch0(config-if)#switchport mode trunkSwitch0(config-if)#switchport trunk allow vlan 2 Switch0(config-if)#switchport trunk allow vlan add 3Switch0(config-if)#exit

38

VLAN’s Ruteadas

39

-----------------------------Router0-----------------------------interface FastEthernet0/0.2encapsulation dot1q 2ip address 10.10.10.1 255.255.255.0exitinterface FastEthernet0/0.3encapsulation dot1q 3ip address 10.10.11.1 255.255.255.0exit----------------------------Switch0----------------------------interface FastEthernet1/1switchport access vlan 2exitinterface FastEthernet2/1switchport access vlan 3exit