Funcionamiento de VLAN

Gestion de las tramas

Tipos de VLAN
Rubicacion
Control del broadcast
Seguridad
Gestion de las tramas
Un switch es el elemento principal.
Cada switch tiene la inteligencia de
tomar decisiones de filtrado y envo por
trama, basndose en las mtricas de
VLAN definidas por los administradores
de red.
El switch tambin puede comunicar
esta informacin a otros switches y
routers dentro de la red.
Gestion de las tramas
Las tecnicas para agrupar lgicamente
los usuarios en VLAN diferentes son el
filtrado de trama y la identificacin de
trama (mas utilizada) :
etiquetado de trama o
tag de la trama
Ambas tcnicas examinan la trama
cuando es recibida o enviada por el
switch.
Gestion de las tramas
Gestion de las tramas
Basadas en el conjunto de normas definidas por el
administrador, estas tcnicas
determinan dnde la trama se debe
enviar,
filtrar
hacer broadcast.
Estos mecanismos de control pueden ser
administrados centralmente:
con software de administracin de red
se implementan en toda la red explotando las
caracteristicas de los IOS de los switchs.
Gestion de las tramas
Gestion de las tramas
El etiquetado de trama coloca un identificador nico
en el encabezado de cada trama
funciona a nivel de la capa 2 y requiere poco procesamiento
o sobrecarga administrativa
Los switchs colocan etiquatas a las tramas para un
uso interno (o inter switch) pero :
una computadora cliente no sabe nada de las etiquetas
el switch elimina la etiqueta antes de mandar la trama a
la computadora cliente (sino la trama seria incorecta)
El etiquado de trama es un mecanismo normalizado
que permite la comunicacion inter switch :
llamado trunk
protocolo IEEE 802.1q
Gestion de las tramas
Colocacion del campo etiqueta (4 bytes)
despues del campo direccion de origen
Gestion de las tramas
Tipos de VLAN
Segn la sofisticacin del switch LAN puede agrupar
los usuarios segn
direcciones Ethernet (MAC) de las estacines
puertos de coneccion
tipo de protocolo de capa de red
politica de agrupamiento definida por el administrador
Los 3 modos mas comunes son
Nivel 1
VLAN por puerto
Nivel 2
VLAN por direccion MAC
Nivel 3
VLAN por protocolo
Tipos de VLAN
VLAN por puertos (o estaticas)
Las VLAN estticas son puertos en un switch que
se asignan estticamente a una VLAN.
estos puertos mantienen sus configuraciones de VLAN
asignadas hasta que se cambien.
Aunque las VLAN estticas requieren que el
administrador haga los cambios, este tipo de red
es segura
de fcil configuracin y monitoreo.
VLAN estticas funcionan bien en redes en las
que el movimiento se encuentra administrado.
Todo el segmento detras de un puerto pertenece
al mismo VLAN => puede suponer problemas
Tipos de VLAN
Tipos de VLAN
VLAN por direccion MAC o por protocolo son
dichas VLAN dinamicas
son puertos en un switch que pueden determinar
automticamente sus asignaciones de VLAN
el switch configura el puerto despues de la
verificacion de la base de datos de las VLAN
Los principales beneficios de este enfoque
son una necesidad de administracin menor
cuando se agrega o desplaza un usuario
y una mayor cantidad de administracin
en un primer momento para configurar la
base de datos de las VLAN
Tipos de VLAN
Tipos de VLAN
VLAN por direccion MAC
El switch tiene una tabla @MAC / VLAN
usuario desconocido => no conecion !
El switch conoce en VLAN en funcion
de la direccion de destino o de origen de la trama
En caso de desplazamiento de un usuario
su VLAN queda el mismo sin modificacion
modificacion fisica => ninguna modificacion logica
Mecanismo bastante interesante
en caso de una red bastante estable a nivel del parque
de computadoras
Tipos de VLAN
VLAN por Protocolo
agrupamiento por protocolo
1 VLAN por IP, 1 VLAN por IPX, 1 VLAN por Appletalk
VLAN funcion del protocolo transportado por la trama
agrupamiento por direccion de red (capa 3)
1 VLAN para un conjunto de direcciones IP por ejemplo
1 VLAN para una sub red IP por ejemplo
agrupamiento por analisis de un campo de la
trama determinado por el administrador de red
mucha flexibilidad pero lectura del interior de la trama ...
puede ser costoso en recursos CPU => latencia
Tipos de VLAN
VLANs al mando
VLANs por aplicaciones
FTP
Multimdia
VLANs por servicios
ej. : cada estacion conectandose a un servidor de correo
pertenece al VLAN Email
VLANs multi-criterios
pertenencia basada sobre una combinacion de criterios :
puerto, direccion Mac, protocolo niv 3, hora del dia, etc
Poco utilizado porque dificil de implementar y
gestionar, pocas implementaciones heterogneas,
soluciones propuestas por constructores
Ventajas : reubicacion
Las empresas se reorganizan continuamente.
Como promedio, de 20% a 40% de los empleados se
trasladan fsicamente todos los aos.
Esto hace que sea necesario implementar una serie
de adiciones, desplazamientos y cambios que
constituyen
gastos de tiempo (dinero) en administracion de red
dolores de cabeza para el administrador de la red
Las VLAN ofrecen un mecanismo efectivo para
controlar estos cambios y reducir en gran parte el
costo asociado con las reconfiguraciones
La configuracion de los routers queda intacta
todo se hace a nivel de la capa 2
Ventajas : reubicacion
Ventajas : reubicacion
Ventajas : control del Broadcast
Las VLAN son un mecanismo efectivo para proteger
la red contra problemas de broadcast potencialmente
peligrosos.
El trfico de broadcast dentro de una VLAN no se
transmite fuera de la VLAN.
Los puertos adyacentes no reciben ningn trfico de
broadcast generado desde otras VLAN
Este tipo de configuracin reduce sustancialmente el
trfico total de broadcast, libera el ancho de banda
para el trfico real de usuarios, y reduce la
vulnerabilidad general de la red a las tormentas de
broadcast.
Ventajas : control del Broadcast
Ventajas : control del Broadcast
Ventajas : la seguridad
Una tcnica de administracin econmica y sencilla
para aumentar la seguridad es segmentar la red en
mltiples grupos de broadcast que permitan :
limitar la cantidad de usuarios en un grupo de VLAN
evitar que otro usuario se conecte sin recibir antes la
aprobacin de la aplicacin de gestion de red de la VLAN
configurar todos los puertos no utilizados en una VLAN de
bajo servicio por defecto (MUY IMPORTANTE)
La implementacin de este tipo de segmentacin es
relativamente simple.
Escuchar (sniffing) la red queda dificil sin tener un
acceso con privilegios (mirroring) y si no queda hubs
Ventajas : la seguridad