VLAN - Redes viruais de área local

De MediaWiki
Ir a la navegación Ir a la búsqueda

Introducción

A utilización de switches mellorou o rendemento das redes locáis posibilitando a disminución do tamaño das redes de colisión e permitindo o tráfico full duplex.

VLAN permite unha correcta administración da rede aillando o tráfico dos departamentos dunha organización entre sí (de xeito lóxico indepentendemente das conexións físicas), de tal forma que a información común a toda a empresa poida estar accesible en servidores centrais.

Con conmutadores VLAN pódese facer que equipos que sen VLAN estarían no mesmo dominio de difusión pertenzan a dominios de difusión separados mellorando redemento, seguridae e custos.

Resumindo, as características fundamentáis son que as VLAN:

  • Crear unha topoloxía virtual inndependente da topoloxía físca
  • Permiten agrupar os usuarios en grupos de traballo flexibles permitindo a súa configuración no switch; tarefa esta habitualmente do administrador da rede
  • Permiten controlar o tamaño dos dominios de difusión evitando enviar e procesar tráfico a destinarios que non o necesitan mellorando o rendemento
  • Poden aumentar a seguridade da rede xa que calquera mensaxe de difusión enviado polos equipos será recibido únicamente por aqueles que pertenzan o mesmo grupo de VLAN
Segmentación tradicional Segmentación con VLAN
Cada usuario conéctase ó conmutador máis próximo físicamente Cada usuario conéctase o conmutador VLAN máis próximo físicamente que pode ter definidas varias VLAN
A pertenza dun usuario a unha rede está limitada polo cableado físico Os usuarios agrúpanse nas VLANs segundo o criterio do administrador sen dependencia do cableado físico
Todos os equipos que están conectados mediante hubs pertencen o mesmo dominio de colisión; todos os usuarios da mesma rede pertencen o mesmo dominio de difusión Cada VLAN é un dominio de difusión e un encamiñador (router ou switch multicapa) permite a comunicación entre diferentes VLANs

Dominio de colisión

É o conxunto de equipos conectados medante hubs e cables directos no que todos os equipos comparten o medio.

Caracterízase polo seu funcionamento en modo half-duplex.

Os switches, as pontes e routers segmetan os dominios de colisión; esa separación, con dominios de colisións máis pequenos, favorecen un mellor rendemento evitando posibles colisións.

Dominio de difusión

É o conxunto de equipos conectados mediante hubs, pontes e switches.

As mensaxes de difusión son aquelas que teñen como destino todas as que pertencen a mesma subrede.

Os routers segmentan os dominios de difusión porque non permiten pasar esas mensaxes de difusión.

Dous dominios de difusión

VLAN

Segundo membresía

VLAN de nivel 1 por porto

Os membros da VLAN específicanse polo porto do switch polo que están conectados

É o máis axil de configurar; o inconvinte é que se algún equipo cambia de ubicación debemos modificar a configuración para que siga na mesma VLAN.

É o tipo máis utilizado e o que configuraremos na práctica co CPT.

VLAN de nivel 2 por enderezo MAC

Os membros da VLAN específicanse polo seu enderezo MAC.

A ventaxa é que en caso de mover o equipo non é necesaria a reconfiguración; o inconvinte e que a asignación de VLAN debe facerse equipo por equipo

VLAN de nivel 3 por enderezo IP

Os membros da VLAN específicanse polo seu enderezo IP.

A ventaxe e que neste caso tampouco é necesaria a reconfiguración, e os enderezos ip son máis sinxelos de xestionar e menos propensos a erros; o inconvinte adicional é que os conmutadores de nivel 3 tardan máis en inspeccionar paquetes

Segundo a súa función

Predeterminada

Para dispostivos Cisco é a número un e non pode ser cambiada; a ela asígnanselle todos os portos do switch cando o dispositivo se inicia.

De datos

Tamén coñecida de usuario, configurada para o tráfico xeral

De administración

A que o administrador configura para facer tarefas de xestión no switch; é unha convención utilizar a VLAN 99

VLAN Nativa

Asignada a un porto de enlace troncal 802.1Q e que permite o seu uso sen etiqueta; é posible o seu cambio


Tipos de enlaces

Enlaces de acceso (Access links)

Conectan un switch xestionable cun equipo final ou outro switch non xestionable

Enlace troncal (Trunk link)

Conecta dous dispositivos que recoñecen o estándar VLAN 802.1q. Por este enlace poden circular tramas pertencentes a diferentes VLANs, polo que é preciso que todas elas (agás a nativa) vaian etiquetadas.

Comandos

Para dispositivos Cisco.

Crear vlan
#vlan <vlan_id>
#name <vlan_nome> (opcional) 

Eliminar vlan (é necesario eliminar vlan.dat para que non apareza de novo tras reiniciar o switch)
#no vlad <id>
#delete flash:vlan.dat
Configurar un enlace de datos
#interface <nome_de_porto>
#switchport access vlan <vlan_id>
Configurar un enlace troncal:
#interface <nome_de_porto>
#switchport mode trunk
Visualizar táboa de vlans:
#show vlan brief
Visualizar estado e estadística de portos
#show interfaces <nome_de_porto> switchport

Prácticas

  • Configuración en modo acceso: 1
  • Configuración en modo troncal: 1
  • InterVLAN: 1

Protocolo VTP

VLAN Trunking Protocol permite a administración centralizada ó asignar a múltiples switches a configuración de VLANs desde un switch que actúa coma servidor.

Pode simplificar a xestión, pero por motivos de seguridade é máis convinte non usar VTP e facer a asignación manual de VLANs

802.1q (dot1q)

802.1Q engade 4 bytes ó encabezado Ethernet orixinal. O valor do EtherType cambiase a 0x8100 para sinalar o cambio no formato da trama:

Inserción de etiqueta 802.1Q nunha trama Ethernet

802.1Q formato de etiquetas (tag format)
16 bits 3 bits 1 bit 12 bits
TPID TCI
PCP DEI VID
Tag protocol identifier (TPID)
Campo de 16 bits fixado co valor 0x8100 para identificar o frame coma IEEE 802.1Q-tagged frame; como dicíamos está localizado na mesma positición que o campo EtherType nas frames non etiquetadas, permitindo diferenciar así as etiquetadas das non etiquetadas
Tag control information (TCI)
Campo de 16 bits que contén os seguintes subcampos:
Priority code point (PCP)
Campo de tres bis que se refire á clase de servizo IEEE 802.1p para permitir tratar de xeito diferenciado clases de tráfico distintas.
Drop eligible indicator (DEI)
Campo de 1-bit que pode ser usado de xeito separado ou en conxunción con PCP para indicar frames que poden ser descartandas cando hai conxestión na rede
VLAN identifier (VID)
Campo de 12 bits que especifica a que VLAN pertence o frame, permitindo ata un total de 4,094 VLANs.
O valor 0x000 indica que o frame non leva un VLAN ID e que neste caso úsase só para indicar prioridade mediante os campos PCP e DEI.
O valor 0xFFF está tamén reservado para outros usos.

Dobre etiquetado

IEEE 802.1ad introducíu o concepto de etiqueta dobre; isto pode ser útil para proveedores de servizo de internet (ISP) pemitíndolles utilizar as súas VLANs internamente cando transmiten tráfico de clientes que xa ten etiqueta VLAN.

A etiqueta exterior S-TAG (service tag) aparece primeiro seguirda da etiqueta interior C-TAG (customer tag); nestes casos o TIPD da etiqueta exterior é 0x88a8

Inserción de 802.1ad double tag nunha trama Ethernet

Referencias