REDES LOCALES VIRTUALES (VLANs)

Redes LANs compartidas (Shared LANs). Caractersticas: La configuracin de una LAN est determinada por la infraestructura fsica que interconecta Los usuarios se agrupan basados en su ubicacin respecto a su Hub de conexin y a como este alambrado el closet principal de interconexiones. La segmentacin se genera tpicamente mediante ruteadores que interconectan los Hubs compartidos. Consecuencias: Este tipo de segmentacin no agrupa a los usuarios de acuerdo al grupo de trabajo al que pertenecen o por las necesidades de ancho de banda, ya que por razones de ubicacin fsica, por ejemplo los usuarios del departamento de ingeniera pueden estar conectados al mismo Hub que los usuarios del departamento de administracin. De esta forma usuarios con diferentes requerimientos de ancho de banda comparten un mismo segmento. Adems, esta segmentacin implica que cada Hub que est conectado a una puerta de un ruteador tiene una direccin de subred diferente. Esto impide una asignacin lgica de direcciones de red, generando problemas de seguridad. Redes LAN conmutadas (Switched LANs). Los problemas asociados a las redes compartidas y la emergencia de switches han originado el reemplazo de la configuracin tradicional de LAN por la configuracin LAN conmutada Caractersticas: Switches reemplazan los Hubs principales ubicados en el gabinete de comunicaciones. Se generan VLAN para proveer la segmentacin tradicionalmente provista por ruteadores. La Figura 1-1 muestra la diferencia entre segmentacin tradicional y usando VLANs.

Figura 1-1: Segmentacin tradicional de LANs y mediante VLANconmutadas (nm752) Caractersticas de una VLAN

 El ncleo de una VLAN es un Switch Una VLAN es una red conmutada que est lgicamente segmentada en base a funciones (trabajadores de un mismo departamento), grupos de proyectos o usuarios compartiendo la misma aplicacin, sin importar la ubicacin fsica de los usuarios. Por ejemplo, cada puerta del switch puede asignarse a una VLAN. Las puertas que no pertenecen a esa VLAN no comparten los broadcast. Esto mejora el comportamiento global de la red. La comunicacin entre VLANs es provista a travs de ruteo de capa 3. Agrupando puertas y usuarios a travs de mltiples switches, la VLAN puede cubrir un edificio completo, interconectar edificios, o aun redes WAN (ver Figura 1-2)

Figura 1-2: Redes definidas logicamente (VLANs) (nm747) Switches, el ncleo de las VLANs Los switches proveen las siguientes propiedades: La inteligencia para realizar filtrado y decisiones de retransmisin de paquetes, basado en mtricas de la VLAN definidas por el usuario. La habilidad de comunicar informacin a otros switches o routers en la red. En la actualidad, los switches son ubicados entre los segmentos compartidos y los ruteadores ubicados en el backbone. En el futro, desempearan un rol importante en la segmentacin de VLANs y baja latencia de retransmisin.

El rol del Ruteador El rol de ruteador cambia desde el rol tradicional de proveer cortafuegos y supresin de broadcast a un control basado en polticas, administracin de broadcast y procesamiento/distribucin de rutas. Los ruteadores siguen siendo vitales para las arquitecturas conmutadas configuradas como VLANs ya que ellos proveen la comunicacin entre grupos de trabajo definidos lgicamente. Los ruteadores proveen acceso de la VLAN a recursos compartidos tales como servidores o computadores centrales. Ellos tambin proveen la conectividad a otras partes de la red que estn lgicamente segmentadas con el esquema ms convencional de subredes o permiten el acceso a sitios remotos a travs de enlaces WAN. La comunicacin a nivel de la capa 3, ya sea incorporada en el switch o provista externamente, es una parte integral de cualquier arquitectura conmutada de alto rendimiento. Los ruteadores externos se pueden integrar en la arquitectura conmutada con una o mltiples conexiones backbone de alta velocidad (FDDI, Fast Ethernet o ATM). Esta conexiones proveen las siguientes ventajas: Un mayor troughput entre switches y ruteadores Consolidacin de un mayor nmero total de puertas fsicas de ruteo para comunicacin entre VLANs

Beneficios de VLANs Reduccin de costos de administracin relacionados con movimiento, adicin o cambios de usuarios. Seguridad de la red y grupos de trabajo. Actividad de broadcast controlada. Reutilizacin de inversin existente en Hubs. Administracin y control centralizado.

Reduccin de costos de administracin Las compaas continuamente deben reorganizarse para tratar de aumentar la productividad. Por ejemplo, en USA cada ao 20 a 40% de la fuerza de trabajo es fsicamente reubicada. Estos movimientos, adiciones y cambios son uno de los grandes costos de administracin de una red. Muchos de ellos requieren recableado, Casi todos los movimientos requieren nueva direccin y reconfiguracin de Hub o Router. Una VLAN permite compartir la direccin de red sin importar la ubicacin fsica, siempre que su conexin se mantenga a la misma puerta del switch o que la puerta a que est conectado (directa o indirectamente) se incorpore a la VLAN en cuestin. Esta situacin se muestra en la Fig. 1-3, la cual no requiere ningn cambio de configuracin fsica ni del ruteador.

Figura 1-3: Simplificacin de los movimientos de usuarios utilizando VLANs (nm753) Control de la actividad de bradcast. El trfico broadcast ocurre en toda red y depende de los siguientes factores: Tipo de aplicaciones Tipo de servidores Cantidad de segmentacin lgica Uso de los recursos de la red.

A pesar de que las aplicaciones se hallan optimizado para minimizar el nmero de broadcast, las aplicaciones multimedia actuales son intensivas en bradcast o multicast. Los broadcast pueden ser generados tambin por dispositivos de red o interfaces de red defectuosas. Si no se administran adecuadamente, pueden degradar seriamente el rendimiento de una red completa o incluso dejarlo no funcional. La medida ms efectiva contra este problema es segmentar la red adecuadamente incluyendo cortafuegos de proteccin, provistos usualmente por un ruteador. Por ello se debe considerar que al segmentar un red mediante switches, se pierde el efecto protector de los ruteadores. Pero, al igual que los ruteadores, las VLAN permiten establecer cortafuegos. Estos se pueden crear asignando puertas o usuarios a grupos VLAN especficos ubicados en un mismo switch o mltiples switches interconectados. El VLAN no deja salir el trfico broadcast fuera de su dominio (ver Fig. 1-4.)

Figura 1-4: Administrando la actividad broadcast mediante VLAs (nm754)

Mejor Seguridad de la Red Una desventaja inherente de una red compartida es que puede ser accedida fcilmente, al conectarse en una puerta cualquiera que est disponible. Mientras ms grande el dominio de broadcast, ms vulnerable ser la red. Por ello, una medida simple de aumentar la seguridad es segmentar la red en distintos dominios de broadcast, lo cual permite: Reducir el nmero de usuarios en una VLAN Impedir que un usuario de una VLAN diferente se conecte a otra VLAN Configurar todas las puertas no utilizadas a una VLAN de bajos privilegios. Se puede asegurar seguridad adicional usando listas de acceso en el ruteador. (Ver Fig. 1-5)

Figura 1-5: Incrementando la seguridad de redes con VLANs (nm755)

1.-

Definicin Redes Virtuales.

Existen cuatro mtodos principales de definicin de pertenencia a VLAN: VLAN por puerto VLAN por direccin MAC VLAN por filtro ELAN o red emulada.

1.1.- VLAN por puerto Cada puerto del conmutador (switch) puede asociarse a una VLAN Ventajas: Facilidad de movimientos y cambios: Un movimiento supone que la estacin cambia de ubicacin fsica, pero sigue perteneciendo a la misma VLAN. Requiere reconfiguracin del puerto al que se conecta la estacin, salvo si se utilizan tcnicas de asignacin dinmica a VLAN. Un cambio implica pertenencia a una nueva VLAN sin movimiento fsico. El puerto del SWITCH ha de configurarse como perteneciente la nueva VLAN y la estacin puede precisar reconfiguracin de la estacin no ser necesaria si la subred (IP, IPX, etc.) a la que pertenece est totalmente contenida en la VLAN. Cualquier operacin de aadir, mover o cambiar un usuario se traduce normalmente en la reconfiguracin de un puerto y algunas aplicaciones grficas de gestin de VLANs automatizan totalmente est reasignacin. Microsegmentacin y reduccin del dominio de broadcast: Aunque los switch permiten dividir la red en pequeos segmentos, el trfico broadcast sigue afectando el rendimiento de las estaciones y se precisan routers o VLANs para aislar los dominios de broadcast. La definicin de VLAN por puerto implica que el trfico broadcast de una VLAN no afecta a las estaciones en el resto de las VLANs, puesto que es siempre interno a la VLAN en la que se origina. Multiprotocolo: La definicin de VLAN por puerto es totalmente independiente del protocolo o protocolos utilizados en las estaciones. No existen pues limitaciones para protocolos de uso poco comn como VINES, OSI, etc. o protocolos dinmicos como DHCP.

Desventajas: Administracin: Los movimientos y cambios implican normalmente una reasignacin del puerto del switch a la VLAN a la que pertenece el usuario. Aunque las aplicaciones de gestin facilitan esta tarea es recomendable combinar dichas aplicaciones con mecanismos de asignacin dinmica de VLAN de forma que se asignan los puertos a la VLAN en funcin de la direccin MAC o de otros criterios como la direccin de nivel 3. 1.2.- VLAN por direccin MAC La relacin de pertenencia a la VLAN se basa en la direccin MAC. Ventajas: Facilidad de movimientos: Las estaciones pueden moverse a cualquier ubicacin fsica perteneciendo siempre a la misma VLAN sin que se necesite ninguna reconfiguracin del switch. Multiprotocolo: No presenta ningn problema de compatibilidad con los diversos protocolos y soporta incluso la utilizacin de protocolos dinmicos tipo DHCP. Desventajas: Problemas de rendimiento y control de broadcast: Este mtodo de definicin de VLAN implica que en cada puerto del switch coexisten miembros de distintas VLANs (se evita el problema si se utilizan puertos dedicados a estaciones pues cada puerto pertenecer a una nica VLAN) por lo que cualquier trfico broadcast afecta al rendimiento de todas las estaciones. El trfico multicast y broadcast se propaga por todas las VLANs. Complejidad en la administracin: Todos los usuarios deben configurarse inicialmente en una VLAN. El administrador de la red introduce de forma manual, en la mayora de los casos, todas las direcciones MAC de la red en algn tipo de base de datos. Cualquier cambio o nuevo usuario requiere modificacin de base de datos. Todo ello puede complicarse extremadamente con redes con un gran nmero de usuarios o switches. Existen soluciones alternativas para automatizar esta definicin y normalmente se utiliza un servidor de configuracin de forma que las direcciones MAC se copian de las tablas de direcciones de los switches a la base de datos del servidor. La

asignacin dinmica de VLAN basndose en direcciones MAC es tambin posible, aunque su implementacin puede ser muy compleja. 1.3.- VLAN por filtros La asignacin a las VLANs se basa en informacin de protocolos de red (por ejemplo direccin IP o direccin IPX y tipo de encapsulamiento). La pertenencia a la VLAN se basa en la utilizacin de unos filtros que se aplican a las tramas para determinar su relacin de pertenencia a la VLAN. Los filtros han de aplicarse por cada trama que entre por uno de los puertos del switch. Ventajas: Segmentacin por protocolo: es el mtodo apropiado slo en aquellas redes en las que el criterio de agrupacin de usuarios est basado en tipo de protocolo de nivel 3 y la segmentacin fsica existente sea muy diferente a los patrones de direccionamiento. Asignacin dinmica: tanto la definicin de VLANs por direccin MAC como por protocolo de nivel 3 ayudan a automatizar la configuracin del puerto del switch en una VLAN determinada. Desventajas: Problemas de rendimiento y control de broadcast: La utilizacin de las VLANs de nivel 3 requiere complejas bsquedas en tablas de pertenencia que afectan al rendimiento global de switch. Los retardos de transmisin pueden aumentar entre un 50% y un 80%. El problema de control de broadcast surge con las estaciones multiprotocolo o sistema de multistack (por ejemplo estaciones con stacks TCP/IP, IPX y AppleTalk) que pertenecen a tantas VLANs como protocolos utilizan y por lo tanto recibirn todos los broadcast provenientes de las diversas VLANs en las que estn incluidas. No soporta protocolos de nivel 2 ni protocolos dinmicos: La estacin necesita una direccin de nivel 3 para que el switch la asigne a una VLAN. Las estaciones que utilicen protocolos de nivel 2 como NETBIOS y LAT no podrn asignarse a una VLAN. Si existen protocolos dinmicos como DHCP y la estacin no tiene configurada su direccin IP ni su router por defecto, el switch no puede clasificar la estacin dentro de una VLAN. Una premisa esencial en la definicin de VLANs es que el rendimiento del switch no debe degradarse debido a la existencia de VLANs. Las tcnicas de marcado (identificacin de paquetes pertenecientes a cada VLAN) utilizadas en la definicin de VLANs por puerto permiten mantener una velocidad de transmisin

segn el ancho de banda disponible (wire speed performance), y por ello ha prevalecido dicha solucin en la definicin del estndar 802. 1Q. Estas tcnicas permiten adems la asignacin de un mismo puerto o tarjeta de red a varias VLANs (routers o servidores pueden aprovechar esta ventaja evitndose la utilizacin de tantas interfaces o tarjetas de red como VLANs existan). ISL (Inter-Switch Link) para Fast Ethernet/Token Ring y 802.10 para FDDI son dos ejemplos de tcnicas de marcado. 1.4.- ELANs o redes emuladas. La relacin de pertenencia a una red emulada es implcita al estndar LANE (LAN Emulation) ya que en el proceso de inicializacin del LEC o cliente LANE con sus LECS o servidor de configuracin, el servidor le trasmite toda la informacin necesaria para que el cliente se registre en una determinada LAN emulada (direccin del LES o servidor de LANE, tipo de red emulada, tamao mximo de paquetes y nombre de ELAN). Ventajas: Facilidad de administracin: Las funciones de administracin se centralizan en el LECS de forma que el administrador puede definir diversos ELANs en la red ATM y asignarlas a puertos de los switches, routers o host ATM independientemente de su ubicacin fsica. Aquellos puertos o host que precisen pertenencer ms de una ELAN podrn hacerlo siempre que sus tarjetas ATM soporten ms de un LEC. Facilidad de movimientos y cambios: La pertenencia a una ELAN se mantiene aunque se produzcan movimientos y los cambios de ELAN no suponen ningn cambio fsico. Multiprotocolo: LANE es especialmente un protocolo de nivel 2 sobre ATM y por tanto totalmente independiente de los protocolos de nivel superior. Desventajas: Aplicable slo a Ethernet y Token Ring: LANE define mtodos de emulacin para Ethernet y Token Ring nicamente. La existencia de trfico FDDI implica tcnicas de Treanslational Bridging de forma que dicho trfico es convertido a Ethernet o Token Ring. No explota la funcionalidad ATM de QoS (Quality of Services) o calidades de servicio y una de las caractersticas esenciales de ATM a los protocolos de nivel superior es QoS. Las nicas clases de servicios soportadas por LANE son UBR (Unspecified Bit Rate) y ABR (Available Bit Rate) por ser estas las ms cercanas a la naturaleza de los protocolos de nivel MAC. Este inconveniente no es tal

comparado con otras tcnicas de definicin de VLANs dado que el concepto de QoS no se considera en el resto de las definiciones.