Vlan

¿Qué es?

Es una red de área local virtual siendo así un método para crear redes lógicas independientes dentro de una red física 

Ventajas

Gracias a las redes virtuales es posible liberarse de as limitaciones de la arquitectura física (geográficas de dirección etc.) , ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios (direcciones MAC, números de puertos, protocolos, etc.)

La flexibilidad en la administración y en los cambios de la red ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores

Aumento en la seguridad, puesto que la información se encapsulan un nivel adicional y puede ser analizada

Una disminución de trasmisión de trafico de la red

Desventajas

Las redes privadas virtuales también tienen algunas desventajas y limitaciones:

·         Administración compleja. Tener varias VLAN supone el mismo trabajo que gestionar diversas LAN, por lo que se debe configurar cada switch.

·         Aislamiento del tráfico. En redes grandes puede ser necesario contar con varios routers para que las VLAN se puedan comunicar.

·         Agujero de seguridad. Sin un virus llega a infectar un ordenador, se puede reproducir «fácilmente» por toda la red lógica.

·         Latencia limitada. Las VLAN son más eficaces que una WAN en cuanto a la latencia, pero menos que una LAN.

Tipos y características

     VLAN de Datos

Una VLAN de datos es una VLAN configurada para enviar sólo tráfico de datos generado por el usuario. Es una práctica común separar el tráfico de voz y de administración del tráfico de datos. La importancia de separar los datos del usuario del tráfico de voz y del control de administración del switch se destaca mediante el uso de un término específico para identificar las VLAN que sólo pueden enviar datos del usuario

 

VLAN Predeterminada

Todos los puertos de switch se convierten en un miembro de la VLAN predeterminada luego del arranque inicial del switch. Hacer participar a todos los puertos de switch en la VLAN predeterminada los hace a todos parte del mismo dominio de broadcast. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch. La VLAN predeterminada para los switches de Cisco es la VLAN tiene todas las características de cualquier VLAN, excepto que no la puede volver a denominar y no la puede eliminar. El tráfico de control de Capa 2, como CDP y el tráfico del protocolo spanning tree se asociará siempre con la VLAN 1: esto no se puede cambiar. En la figura, el tráfico de la VLAN1 se envía sobre los enlaces troncales de la VLAN conectando los switches S1, S2 y S3. Es una optimización de seguridad para cambiar la VLAN predeterminada a una VLAN que no sea la VLAN 1; esto implica configurar todos los puertos en el switch para que se asocien con una VLAN predeterminada que no sea la VLAN 1. Los enlaces troncales de la VLAN admiten la transmisión de tráfico desde más de una VLAN.

VLAN Nativa

Una VLAN nativa está asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1 Q admite el tráfico que llega de muchas VLAN (tráfico etiquetado) como también el tráfico que no llega de una VLAN (tráfico no etiquetado). El puerto de enlace troncal 802.1Q coloca el tráfico no etiquetado en la VLAN nativa. En la figura, la VLAN nativa es la VLAN 99. El tráfico no etiquetado lo genera una computadora conectada a un puerto de switch que se configura con la VLAN nativa. Las VLAN se establecen en la especificación IEEE 802.1Q para mantener la compatibilidad retrospectiva con el tráfico no etiquetado común para los ejemplos de LAN antigua. Para nuestro fin, una VLAN nativa sirve como un identificador común en extremos opuestos de un enlace troncal. Es una optimización usar una VLAN diferente de la VLAN 1 como la VLAN nativa

 

VLAN de Administración

Una VLAN de administración es cualquier VLAN que usted configura para acceder a las capacidades de administración de un switch. La VLAN 1serviría como VLAN de administración si no definió proactivamente una VLAN única para que sirva como VLAN de administración. Se asigna una dirección IP y una máscara de subred a la VLAN de administración. Se puede manejar un switch mediante HTTP, Telnet, SSH o SNMP. Debido a que la configuración lista para usar de un switch de Cisco tiene a VLAN 1 como la VLAN predeterminada, puede notar que la VLAN 1 sería una mala opción como VLAN de administración; no querría que un usuario arbitrario se conectara a un switch para que se configurara de manera predeterminada la VLAN de administración. Recuerde que configuró la VLAN de administración como VLAN 99 en el capítulo Configuración y conceptos básicos de switch.

VLAN de voz

Es fácil apreciar por qué se necesita una VLAN separada para admitir la Voz sobre IP (VoIP). Imagine que está recibiendo una llamada de urgencia y de repente la calidad de la transmisión se distorsiona tanto que no puede comprender lo que está diciendo la persona que llama. El tráfico de VoIP requiere:

·                     Ancho de banda garantizado para asegurar la calidad de la voz

·                     Prioridad de la transmisión sobre los tipos de tráfico de la red

·                     Capacidad para ser enrutado en áreas congestionadas de la red

·                     Demora de menos de 150 milisegundos (ms) a través de la red

Para cumplir estos requerimientos, se debe diseñar la red completa para que admita VoIP. Los detalles sobre cómo configurar una red para que admita VoIP están más allá del alcance del curso, pero es útil resumir cómo una VLAN de voz funciona entre un switch, un teléfono IP de Cisco y una computadora.

En donde se ocupan

Un ejemplo típico referido a la seguridad es el de la información personal de la plantilla: el departamento de Recursos Humanos no quiere que los datos que manejan sean visibles en la misma red que la del equipo de marketing o atención al cliente. Con una LAN virtual podemos separar los equipos en tantas redes como consideremos oportunas.

es el del personal de seguridad de redes que quiere aplicar políticas distintas por grupos; en este caso, en vez de tener que aplicar una política a cada equipo concreto en cada puerto, podemos aplicar la política de seguridad a todos los dispositivos que conforman una VLAN

Las redes virtuales también son prácticas para aislar fallos de dominio y, por tanto, reducir el tiempo medio que se tarda en resolver el problema. Imaginemos, por ejemplo, que nuestros usuarios no pueden acceder al servidor; con una VLAN podemos restringir el fallo a un grupo de usuarios, en lugar de tener que suponer que afecta a toda la red.

Practica VLAN

Primero abriremos paket tracer y procedemos a colocar los elementos correspondientes en este caso serán:

12 pc, 1 switch y un servidor.

El diagrama quedara de esta manera:

La ip que procedemos a utilizar será la siguiente:

192.168.0.0 con la máscara 255.255.255.0

Procedemos a colocar los datos en el servidor para generar una ip automática a las computadoras:

En la parte de ip address quedara la segunda ip utilizable 192.168.0.2.

En la parte de mascara quedara 255.255.255.0

En defaultgateway quedará la puerta de enlace que en este caso será la 192.168.0.1

En dns server quedara la tercera utilizable 192.168.0.3

En este caso lleva una secuencia de 1 numero, pero en cada caso de red ip será diferente

Procedemos a irnos a la pestaña de services y seleccionamos la opción de dhcp:

Colocamos los datos correspondientes en cada casilla:

En la parte de defaultgateway quedara la ip que colocamos anteriormente 192.168.0.1

En dns server quedara igualmente la ip anterior 192.168.0.3

En la opción de start ip address es la opción donde nosotros colocamos en que parte el servidor generara las ip automáticamente en este caso las empezaremos en 4 ya que hemos utilizado los números del 1 al 3 para guardar los cambios daremos en save y listo nuestro servidor está configurado.

Procedemos a configurar las pc y demostrar que correctamente nos estará generando las ip automáticamente después de la configuración del server, damos click en una pc nos vamos a la pestaña de desktop y luego en la opción de ip configuración:

Luego tendremos una ventana como esta:

Vemos que automáticamente nos da la opción seleccionada de “static”, está la debemos cambiar por la opción de “dhcp” para que nos genere la ip automática y proceder así con las 11 pc restantes:

En la imagen anterior podemos ver como se han generado la ip automática.

Podemos ver que las pc si se comunican entre todas después de terminar la configuración de “dhcp”, pero eso es lo que nosotros no queremos en este momento

Procedemos a la configuración de las “vlan” por vía comando para que solo ciertas pc puedan comunicarse en cierto grupo

Crearemos 4 “vlans” para que en un grupo solo puedan comunicarse 3 pc entre si y en las demás no.

Entraremos al switch dando clic sobre el y nos vamos a la pestaña de “cli”

Obtendremos una ventana de la siguiente manera:

Daremos enter y colocamos los siguientes comandos como se ve en la siguiente imagen:

1_en

2_conf t

Para poder entrar al modo global y poder crear las “vlan”

Procedemos a la creación de las “vlan” con los siguientes comandos:

“vlan 100” (es mas recomendable usar los números 100,200,300 etc., dependiendo de las vlan que crearas en este caso serán 4 asi que legaremos asta el numero 400).

“name lan1” (procedemos a darle un nombre a la vlan en este caso será “lan1” pueden usar el nombre que ustedes gusten)

“exit” (para salir de la configuración)

Seguiremos este proceso hasta crear las 4 vlan necesarias.

Una vez creadas las 4 vlan en la ventana los códigos tendrían que quedar de la siguiente manera:

Tenemos creadas las 4 vlan listas para ser configuradas y agregar los equipos de cómputo a sus correspondientes, procedemos a agregar 3 pc en el grupo 1 que es la vlan llamada “vlan1”

Antes que nada tenemos que posicionarnos en los puertos fastethernet y memorizar que numero son, salen de los switch como en la siguiente imagen.

En este caso el puerto fastethernet es el “fa 0/1” procedemos a su configuración para ser agregado al grupo uno “vlan1” y de esta forma solo poder compartir datos con este grupo y no con las demás vlans.

Dentro del switch colocamos los siguientes códigos

Entramos al número correspondiente del fastethernet en este caso es el 0/1

1_”int fa 0/1”

Colocamos el siguiente comando (nota: después del access es el número que le diste antes de colocarle el nombre, en este caso fueron los números 100,200,300,400)

2_”switchport access vlan 100”

3_”exit” para salir de la configuración

Si todo salió bien podremos ver que el puerto fastethernet se apagó pero volver a prender y listo la pc quedo agregada al grupo vlan1 y ahora solo podrá compartir datos con el, podemos a hacer lo mismo con las 2 pc restantes de su grupo.

Si intentamos mandar un documento de esa pc a otra fuera de su grupo nos mandara failed ya que solo puede compartir en su grupo y no en los demás

Pero al enviar un documento en su propio grupo de vlan nos dirá que fue exitoso:

Así que la vlan1 ah sido creada de una manera satisfactoria, denegando el envió de archivos a otras pc que no sean del grupo de vlan1.

Procedemos a la configuración de la 2da vlan y utilizaremos los mismos códigos que en el primero solo que en lugar de que la vlan sea vlan 100 ahora será vlan 200 ya que es el segundo grupo de vlan a configurar y la vlan1 ha sido configurada con éxito.

En este caso el puerto tiene el fa 0/4 y entraremos en el

Así respectivamente hasta llegar a configurar la vlan 300, vlan 400

Una vez acabada la configuración de cada grupo podremos ver que las pc solo pueden enviar datos a solo sus grupos de vlan en las que están configuradas, ninguna que no sea de un grupo podrán enviarse o recibir datos de una pc que no esté agregada a la vlan de su grupo.

Vemos en el diagrama que hemos enviado paquetes a pc que no estén agregadas en el grupo de vlan y si es de su grupo nos dice correcto, pero si no lo es nos da una falla: