VLAN: ¿Cómo cambia la gestión de su red?

La VLAN está desempeñando un papel importante en las redes básicas, como la red empresarial y la red de campus. La VLAN no sólo permite a los ingenieros tener un buen control de sus sistemas de red, sino que también mejora la seguridad y la escalabilidad de la red. Esta es la base para gestionar el mundo de la virtualización, incluso cuando las máquinas virtuales están constantemente migrando y desafiando los fundamentos de la gestión de red. En este tutorial, se explorarán conocimientos básicos tales como la configuración de VLAN, el etiquetado de VLAN y el enrutamiento entre VLAN.

¿Qué es una VLAN y por qué es necesaria?

Con la VLAN, una red LAN puede ser segmentada en diferentes grupos, donde los datos del grupo A no pueden ser reenviados al grupo B o a otros grupos. Esto mejora la seguridad de la red y simplifica la gestión, como muestra la siguiente figura.

Figura 1: Red VLAN

Entonces, ¿por qué es necesaria la VLAN en las redes? La VLAN reduce las difusiones exclusivas segmentando lógicamente una red grande en muchas más pequeñas, controlando el tráfico de difusión y mejorando la eficiencia de la red.

Configuraciones de VLAN

Normalmente, hay dos formas de configurar una VLAN: VLAN estática y VLAN dinámica. Y la configuración depende de las necesidades de la VLAN.

VLAN estática: se crea asignando puertos a una VLAN. Si los usuarios cambian el puerto de acceso a la VLAN, el puerto debe ser configurado de nuevo, lo que es difícil de gestionar para aquellas redes más grandes.

VLAN dinámica: es mucho más flexible que la VLAN estática. Suele crearse mediante software o protocolo.

Por lo general, Las VLAN dinámicas pueden clasificarse en tres categorías: VLAN basada en MAC, VLAN basada en subred IP y VLAN basada en usuario.

Tipos de enlaces de conexión VLAN

Cuando se trata de VLAN, no se pueden ignorar los enlaces troncales y de acceso. Existen dos tipos de interfaces o enlaces en el mundo de las VLAN. Estos enlaces permiten a los administradores conectar varios switches entre sí o un simple dispositivo de red como un ordenador que accederá a la red VLAN.

Enlace de acceso

El enlace de acceso es el tipo de enlace más común y puede verse en cualquier switch VLAN. Para acceder a las redes locales, todos los hosts de la red necesitan conectar los enlaces de acceso del switch. Estos enlaces son puertos muy comunes que se encuentran en todos los switches Ethernet y que se configuran de una manera especial. Así, los usuarios pueden conectar un ordenador y acceder a la red. Los puertos de enlace de acceso (24 puertos 100/1000BASE-T en la siguiente imagen) de un switch VLAN pueden configurarse para una o varias VLAN.

Figura 2: Puertos de acceso en el switch VLAN S5850-48T4Q de FS.com

Enlace troncal

A diferencia de los enlaces de acceso, el enlace troncal VLAN suele estar configurado para transportar más de una VLAN. El puerto troncal suele encontrarse en las conexiones entre switches. Con el enlace troncal VLAN, los usuarios pueden extender la VLAN a toda la red. Por ejemplo, hay cuatro usuarios (marcados como A, B, C y D) que se encuentran en diferentes plantas de un edificio de oficinas. Los usuarios A y C pertenecen a una VLAN, B y D están en otra VLAN. ¿Cómo configurarlos en una VLAN de forma eficaz? Hay que configurar un puerto troncal.

Figura 3: Puerto troncal VLAN para diferentes conexiones VLAN

Para distinguir los flujos de tráfico, todas las tramas que atraviesan el enlace troncal se marcan con etiquetas especiales cuando pasan entre los switches. Esto se llama etiquetado VLAN. En el ejemplo anterior, a la trama del usuario A se le añade una etiqueta especial cuando pasa por el puerto troncal del switch 1. Cuando llega al switch 2, el puerto troncal identifica la etiqueta especial y le dice a qué VLAN pertenece. Entonces la etiqueta especial será eliminada y la trama será reenviada al usuario C.

Etiquetado VLAN

A continuación, se describen los métodos habituales de etiquetado de VLAN que permiten crear una VLAN entre switches.

IEEE 802.1Q: también llamado "Dot One Q", es el estándar IEEE para el etiquetado de tramas en una VLAN troncal y admite hasta 4096 VLAN. En este método, se inserta una etiqueta de 4 bytes en la trama original y se vuelve a calcular la FCS (secuencia de comprobación de trama) antes de que la trama se envíe por el enlace troncal. La etiqueta se eliminará en el extremo receptor, entonces la trama se enviará a la VLAN asignada. Todos los switches de capa 2 en FS.com soportan 4096 VLANs.

Figura 4: Etiquetado de VLAN-IEEE 802.1Q

Notas: TPID se refiere al identificador de protocolo de etiqueta; TCI se refiere a la información de control de etiqueta. La prioridad de usuario es un campo de 3 bits que permite codificar la información de prioridad en la trama. El CFI es un indicador de 1 bit que siempre se pone a cero en los switches Ethernet. El campo VID implica el identificador de la VLAN.

ISL (Enlace entre switches): ISL es un protocolo similar al IEEE 802.1Q. Y es un protocolo propietario de Cisco para la interconexión de múltiples switches y mantiene la información de la VLAN a medida que el tráfico pasa entre los switches. ISL admite hasta 1000 VLAN. En ISL, se añade una cabecera adicional antes de que la trama pase por el enlace troncal. En el lado receptor, la cabecera se elimina y la trama se envía a la VLAN asignada.

Figura 5: ISL (enlace entre switches)

Enrutamiento entre las VLAN: Puente entre diferentes VLAN

Como hemos dicho anteriormente, cada VLAN es independiente y los datos entre diferentes VLAN no interfieren. Entonces, ¿cómo realizar la transmisión de información entre las VLAN? Con un enrutamiento entre estas. Los administradores pueden lograr el enrutamiento inter-VLAN utilizando un switch de capa 3 o un rúter. En la siguiente parte, el artículo se centrará en el enrutamiento entre las VLAN mediante el uso de rúters.

Sabemos que cada VLAN es un dominio de difusión único, cuando un rúter está conectado con el switch, el tráfico entre varias VLAN puede ser reenviado por el rúter. Para ahorrar costes y simplificar la gestión de la red, también se aplica el enlace troncal para el enrutamiento entre las VLAN. A continuación, se presenta un ejemplo para ilustrar cómo funciona este proceso (figura 6). El switch está segmentado en dos VLAN marcadas con diferentes colores. Y ahora se requiere la comunicación entre el ordenador A y el C.

La trama del ordenador A pasará por el puerto troncal y se le añadirá una etiqueta especial perteneciente a la VLAN 1. La trama etiquetada será reconocida por el rúter y recibida por el puerto que pertenece a la VLAN 1 en el rúter. Dentro del rúter, la dirección MAC de destino de la trama etiquetada se cambiará por la dirección del ordenador C y se eliminará la etiqueta especial que pertenece a la VLAN 1. Cuando la trama atraviese el puerto troncal del rúter, se etiquetará de nuevo, pero la etiqueta pertenecerá a la VLAN 2. Dado que el ordenador C está conectando el puerto de acceso común, se eliminará la etiqueta de la trama y se reenviará al ordenador C.

Figura 6: Enrutamiento entre las diferentes VLAN

Si el enrutamiento entre las VLAN se encuentra en la misma VLAN, la trama no pasará por el rúter y el enrutamiento se terminará en el switch. Además, si el tráfico entre las VLAN crece, los switches de capa 3 son una mejor opción para el enrutamiento entre las VLAN debido a su alto rendimiento y capacidad.

Resumen

La VLAN es una tecnología importante en la construcción y gestión de las redes actuales. Mantiene a los usuarios de la red comunicados entre sí en diferentes aplicaciones, pero estando conectados a la misma red física. La tecnología VLAN sigue desarrollándose en la actualidad.