Red de área local virtual (VLAN)
Una red de área local virtual (VLAN) es cualquier dominio de difusión que está dividido y aislado en una red informática en la capa de enlace de datos (capa 2 de OSI). LAN es la abreviatura de red de área local y en este contexto virtual se refiere a un objeto físico recreado y alterado por lógica adicional. Las VLAN funcionan aplicando etiquetas a los marcos de red y manejando estas etiquetas en los sistemas de red, creando la apariencia y la funcionalidad del tráfico de red que está físicamente en una sola red pero actúa como si estuviera dividido entre redes separadas. De esta manera, las VLAN pueden mantener las aplicaciones de red separadas a pesar de estar conectadas a la misma red física, y sin requerir la implementación de múltiples juegos de cables y dispositivos de red.
Las VLAN permiten a los administradores de red agrupar hosts incluso si los hosts no están conectados directamente al mismo conmutador de red. Debido a que la membresía de VLAN se puede configurar a través del software, esto puede simplificar enormemente el diseño y la implementación de la red. Sin VLAN, la agrupación de hosts según su recurso requiere el trabajo de reubicar nodos o volver a cablear los enlaces de datos. Las VLAN permiten que los dispositivos que deben mantenerse separados compartan el cableado de una red física y, sin embargo, se evita que interactúen directamente entre sí. Este uso compartido administrado genera ganancias en simplicidad, seguridad, administración del tráfico y economía. Por ejemplo, una VLAN se puede utilizar para separar el tráfico dentro de una empresa en función de usuarios individuales o grupos de usuarios o sus funciones (p. ej., administradores de red), o en función de las características del tráfico (p. ej., tráfico de baja prioridad que no afecte al resto del funcionamiento de la red). Muchos servicios de hospedaje de Internet usan VLAN para separar las zonas privadas de los clientes, lo que permite que los servidores de cada cliente se agrupen en un solo segmento de red sin importar dónde se encuentren los servidores individuales en el centro de datos. Se necesitan algunas precauciones para evitar que el tráfico "se escape" de una VLAN determinada, un exploit conocido como salto de VLAN.
Para subdividir una red en VLAN, uno configura el equipo de red. Un equipo más simple puede particionar solo cada puerto físico (si es que lo hace), en cuyo caso cada VLAN se ejecuta a través de un cable de red dedicado. Los dispositivos más sofisticados pueden marcar tramas a través del etiquetado de VLAN, de modo que se pueda usar una sola interconexión (troncal) para transportar datos para varias VLAN. Dado que las VLAN comparten ancho de banda, un enlace troncal de VLAN puede utilizar agregación de enlaces, priorización de calidad de servicio o ambos para enrutar datos de manera eficiente.
Usos
Las VLAN abordan problemas como la escalabilidad, la seguridad y la gestión de redes. Los arquitectos de red configuran VLAN para proporcionar segmentación de red. Los enrutadores entre VLAN filtran el tráfico de difusión, mejoran la seguridad de la red, realizan resúmenes de direcciones y mitigan la congestión de la red.
En una red que utiliza transmisiones para el descubrimiento de servicios, asignación y resolución de direcciones y otros servicios, a medida que crece el número de pares en una red, también aumenta la frecuencia de las transmisiones. Las VLAN pueden ayudar a gestionar el tráfico de difusión formando múltiples dominios de difusión. Dividir una red grande en segmentos independientes más pequeños reduce la cantidad de tráfico de transmisión que cada dispositivo de red y segmento de red tiene que soportar. Los conmutadores no pueden conectar el tráfico de red entre las VLAN, ya que hacerlo violaría la integridad del dominio de transmisión de la VLAN.
Las VLAN también pueden ayudar a crear múltiples redes de capa 3 en una sola infraestructura física. Las VLAN son construcciones de capa de enlace de datos (capa 2 de OSI), análogas a las subredes del Protocolo de Internet (IP), que son construcciones de capa de red (capa 3 de OSI). En un entorno que emplea VLAN, a menudo existe una relación uno a uno entre las VLAN y las subredes IP, aunque es posible tener varias subredes en una VLAN.
Sin la capacidad de VLAN, los usuarios se asignan a las redes en función de la geografía y están limitados por topologías y distancias físicas. Las VLAN pueden agrupar redes de forma lógica para desacoplar la ubicación de la red de los usuarios de su ubicación física. Mediante el uso de VLAN, se pueden controlar los patrones de tráfico y reaccionar rápidamente a las reubicaciones de empleados o equipos. Las VLAN brindan la flexibilidad para adaptarse a los cambios en los requisitos de la red y permiten una administración simplificada.
Las VLAN se pueden usar para dividir una red local en varios segmentos distintivos, por ejemplo:
- Producción
- Voz sobre IP
- Administración de redes
- Red de área de almacenamiento (SAN)
- Acceso a Internet para invitados
- Zona Desmilitarizada (DMZ)
Una infraestructura común compartida entre troncales VLAN puede proporcionar una medida de seguridad con gran flexibilidad a un costo comparativamente bajo. Los esquemas de calidad de servicio pueden optimizar el tráfico en enlaces troncales para requisitos en tiempo real (por ejemplo, VoIP) o de baja latencia (por ejemplo, SAN). Sin embargo, las VLAN como solución de seguridad deben implementarse con mucho cuidado, ya que pueden ser anuladas a menos que se implementen con cuidado.
En la computación en la nube, las VLAN, las direcciones IP y las direcciones MAC en la nube son recursos que los usuarios finales pueden administrar. Para ayudar a mitigar los problemas de seguridad, puede ser preferible colocar máquinas virtuales basadas en la nube en VLAN en lugar de colocarlas directamente en Internet.
Las tecnologías de red con capacidades de VLAN incluyen:
- Modo de transferencia asincrónica (ATM)
- Interfaz de datos distribuidos por fibra (FDDI)
- ethernet
- HiperSockets
- InfiniBand
Historia
Después de experimentos exitosos con voz sobre Ethernet de 1981 a 1984, W. David Sincoskie se unió a Bellcore y comenzó a abordar el problema de ampliar las redes Ethernet. A 10 Mbit/s, Ethernet era más rápida que la mayoría de las alternativas en ese momento. Sin embargo, Ethernet era una red de transmisión y no había una buena manera de conectar varias redes Ethernet entre sí. Esto limitaba el ancho de banda total de una red Ethernet a 10 Mbit/sy la distancia máxima entre nodos a unos cientos de pies.
Por el contrario, aunque la velocidad de la red telefónica existente para conexiones individuales estaba limitada a 56 kbit/s (menos de una centésima parte de la velocidad de Ethernet), el ancho de banda total de esa red se estimó en 1 Tbit/s (100.000 veces mayor que Ethernet).
Aunque era posible usar el enrutamiento IP para conectar varias redes Ethernet, era costoso y relativamente lento. Sincoskie comenzó a buscar alternativas que requirieran menos procesamiento por paquete. En el proceso, reinventó de forma independiente el puente transparente, la técnica utilizada en los conmutadores Ethernet modernos. Sin embargo, el uso de conmutadores para conectar múltiples redes Ethernet con tolerancia a fallas requiere rutas redundantes a través de esa red, lo que a su vez requiere una configuración de árbol de expansión. Esto garantiza que solo haya una ruta activa desde cualquier nodo de origen a cualquier destino en la red. Esto hace que los conmutadores ubicados centralmente se conviertan en cuellos de botella, lo que limita la escalabilidad a medida que se interconectan más redes.
Para ayudar a aliviar este problema, Sincoskie inventó las VLAN agregando una etiqueta a cada trama de Ethernet. Estas etiquetas se pueden considerar como colores, por ejemplo, rojo, verde o azul. En este esquema, cada interruptor podría asignarse para manejar marcos de un solo color e ignorar el resto. Las redes podrían interconectarse con tres árboles de expansión, uno para cada color. Al enviar una combinación de diferentes colores de marco, se podría mejorar el ancho de banda agregado. Sincoskie se refirió a esto como un puente de varios árboles. Él y Chase Cotton crearon y refinaron los algoritmos necesarios para hacer factible el sistema. este colores lo que ahora se conoce en la trama de Ethernet como el encabezado IEEE 802.1Q o la etiqueta VLAN. Si bien las VLAN se usan comúnmente en las redes Ethernet modernas, no se usan de la manera que se concibió por primera vez aquí.
En 1998, las VLAN de Ethernet se describieron en la primera edición del estándar IEEE 802.1Q-1998. Esto se amplió con IEEE 802.1ad para permitir etiquetas VLAN anidadas en el servicio de puente de proveedores. Este mecanismo se mejoró con IEEE 802.1ah-2008.
Consideraciones de configuración y diseño
Los primeros diseñadores de redes a menudo segmentaban las LAN físicas con el objetivo de reducir el tamaño del dominio de colisión de Ethernet, mejorando así el rendimiento. Cuando los conmutadores Ethernet hicieron que esto no fuera un problema (porque cada puerto del conmutador es un dominio de colisión), la atención se centró en reducir el tamaño del dominio de transmisión de la capa de enlace de datos. Las VLAN se emplearon por primera vez para separar varios dominios de transmisión en un medio físico. Una VLAN también puede servir para restringir el acceso a los recursos de la red sin tener en cuenta la topología física de la red.
Las VLAN operan en la capa de enlace de datos del modelo OSI. Los administradores a menudo configuran una VLAN para que se asigne directamente a una red o subred IP, lo que da la apariencia de involucrar a la capa de red. En general, a las VLAN dentro de la misma organización se les asignarán diferentes rangos de direcciones de red que no se superponen. Este no es un requisito de las VLAN. No hay problema con las VLAN separadas que usan rangos de direcciones superpuestos idénticos (por ejemplo, dos VLAN usan cada una la red privada 192.168.0.0 / 16). Sin embargo, no es posible enrutar datos entre dos redes con direcciones superpuestas sin una delicada reasignación de IP, por lo que si el objetivo de las VLAN es la segmentación de una red organizativa general más grande, se deben usar direcciones que no se superpongan en cada VLAN por separado.
Un conmutador básico que no está configurado para VLAN tiene la funcionalidad de VLAN deshabilitada o habilitada permanentemente con una VLAN predeterminada que contiene todos los puertos del dispositivo como miembros. La VLAN predeterminada generalmente usa el identificador de VLAN 1. Cada dispositivo conectado a uno de sus puertos puede enviar paquetes a cualquiera de los demás. La separación de puertos por grupos de VLAN separa su tráfico de forma muy similar a la conexión de cada grupo mediante un conmutador distinto para cada grupo.
La gestión remota del conmutador requiere que las funciones administrativas estén asociadas con una o más de las VLAN configuradas.
En el contexto de las VLAN, el término troncal denota un enlace de red que transporta varias VLAN, que se identifican mediante etiquetas (o etiquetas) insertadas en sus paquetes. Dichos troncales deben ejecutarse entre puertos etiquetadosde dispositivos compatibles con VLAN, por lo que a menudo son enlaces de conmutador a conmutador o de conmutador a enrutador en lugar de enlaces a hosts. (Tenga en cuenta que el término 'troncal' también se usa para lo que Cisco llama "canales": agregación de enlaces o troncalización de puertos). Un enrutador (dispositivo de capa 3) sirve como columna vertebral para el tráfico de red que pasa por diferentes VLAN. Solo cuando el grupo de puertos VLAN se va a extender a otro dispositivo, se utiliza el etiquetado. Dado que las comunicaciones entre puertos en dos conmutadores diferentes viajan a través de los puertos de enlace ascendente de cada conmutador involucrado, cada VLAN que contenga dichos puertos también debe contener el puerto de enlace ascendente de cada conmutador involucrado, y el tráfico a través de estos puertos debe etiquetarse.
Por lo general, los conmutadores no tienen un método integrado para indicar asociaciones de VLAN a puerto a alguien que trabaja en un armario de cableado. Es necesario que un técnico tenga acceso administrativo al dispositivo para ver su configuración, o que los gráficos o diagramas de asignación de puertos VLAN se mantengan junto a los interruptores en cada armario de cableado.
Protocolos y diseño
El protocolo más comúnmente utilizado hoy en día para admitir VLAN es IEEE 802.1Q. El grupo de trabajo de IEEE 802.1 definió este método de multiplexación de VLAN en un esfuerzo por proporcionar compatibilidad con VLAN de múltiples proveedores. Antes de la introducción del estándar 802.1Q, existían varios protocolos propietarios, como Cisco Inter-Switch Link (ISL) y Virtual LAN Trunk (VLT) de 3Com. Cisco también implementó VLAN sobre FDDI al transportar información de VLAN en un encabezado de trama IEEE 802.10, contrario al propósito del estándar IEEE 802.10.
Tanto ISL como IEEE 802.1Q realizan un etiquetado explícito: el marco en sí está etiquetado con identificadores de VLAN. ISL usa un proceso de etiquetado externo que no modifica la trama de Ethernet, mientras que 802.1Q usa un campo interno de trama para etiquetar y, por lo tanto, modifica la estructura básica de la trama de Ethernet. Este etiquetado interno permite que IEEE 802.1Q funcione tanto en enlaces de acceso como troncales utilizando hardware Ethernet estándar.
IEEE 802.1Q
Según IEEE 802.1Q, la cantidad máxima de VLAN en una red Ethernet determinada es 4094 (4096 valores proporcionados por el campo VID de 12 bits menos los valores reservados en cada extremo del rango, 0 y 4095). Esto no impone el mismo límite en la cantidad de subredes IP en dicha red, ya que una sola VLAN puede contener varias subredes IP. IEEE 802.1ad amplía la cantidad de VLAN admitidas al agregar soporte para múltiples etiquetas de VLAN anidadas. IEEE 802.1aq (Puente de ruta más corta) amplía el límite de VLAN a 16 millones. Ambas mejoras se han incorporado al estándar IEEE 802.1Q.
Enlace entre conmutadores de Cisco
Inter-Switch Link (ISL) es un protocolo propietario de Cisco que se utiliza para interconectar switches y mantener la información de VLAN a medida que el tráfico viaja entre switches en enlaces troncales. ISL se proporciona como una alternativa a IEEE 802.1Q. ISL está disponible solo en algunos equipos de Cisco y ha quedado obsoleto.
Protocolo de enlace troncal VLAN de Cisco
VLAN Trunking Protocol (VTP) es un protocolo propietario de Cisco que propaga la definición de VLAN en toda la red de área local. VTP está disponible en la mayoría de los productos de la familia Cisco Catalyst. El estándar IEEE comparable que utilizan otros fabricantes es el Protocolo de registro de VLAN GARP (GVRP) o el Protocolo de registro de VLAN múltiple (MVRP) más reciente.
Protocolo de registro de VLAN múltiple
El protocolo de registro de VLAN múltiple es una aplicación del protocolo de registro múltiple que permite la configuración automática de la información de VLAN en los conmutadores de red. Específicamente, proporciona un método para compartir dinámicamente información de VLAN y configurar las VLAN necesarias.
Afiliación
La pertenencia a VLAN se puede establecer de forma estática o dinámica.
Las VLAN estáticas también se denominan VLAN basadas en puertos. Las asignaciones de VLAN estáticas se crean asignando puertos a una VLAN. Cuando un dispositivo ingresa a la red, asume automáticamente la VLAN del puerto. Si el usuario cambia de puerto y necesita acceso a la misma VLAN, el administrador de la red debe realizar manualmente una asignación de puerto a VLAN para la nueva conexión.
Las VLAN dinámicas se crean mediante software o por protocolo. Con un servidor de políticas de administración de VLAN (VMPS), un administrador puede asignar puertos de conmutador a las VLAN de forma dinámica en función de información como la dirección MAC de origen del dispositivo conectado al puerto o el nombre de usuario utilizado para iniciar sesión en ese dispositivo. Cuando un dispositivo ingresa a la red, el conmutador consulta una base de datos para conocer la membresía de VLAN del puerto al que está conectado el dispositivo. Los métodos de protocolo incluyen el Protocolo de registro de VLAN múltiple (MVRP) y el Protocolo de registro de VLAN GARP (GVRP), un tanto obsoleto.
VLAN basadas en protocolo
En un conmutador que admita VLAN basadas en protocolos, el tráfico puede manejarse en función de su protocolo. Esencialmente, esto segrega o reenvía el tráfico desde un puerto dependiendo del protocolo particular de ese tráfico; el tráfico de cualquier otro protocolo no se reenvía en el puerto. Esto permite, por ejemplo, que la red segregue automáticamente el tráfico IP e IPX.
Conexión cruzada de VLAN
La conexión cruzada de VLAN (CC o VLAN-XC) es un mecanismo que se usa para crear VLAN conmutadas, VLAN CC usa marcos IEEE 802.1ad donde la etiqueta S se usa como una etiqueta como en MPLS. IEEE aprueba el uso de dicho mecanismo en la parte 6.11 de IEEE 802.1ad-2005.
Contenido relacionado
Dreamcast
Duque nukem 3d
Skylab