Explicación de nivel introductorio de VLAN

21

¿Cuáles son los casos de uso básicos para las VLAN?

¿Cuáles son los principios básicos de diseño?

Estoy buscando algo así como una respuesta de estilo de resumen ejecutivo de dos párrafos para poder determinar si necesito aprender sobre las VLAN para implementarlas.

Craig Constantine
fuente

Respuestas:

23

Una VLAN (LAN virtual) es una forma de crear múltiples conmutadores virtuales dentro de un conmutador físico. Entonces, por ejemplo, los puertos configurados para usar VLAN 10 actúan como si estuvieran conectados al mismo conmutador. Los puertos en la VLAN 20 no pueden comunicarse directamente con los puertos en la VLAN 10. Deben enrutarse entre los dos (o tener un enlace que conecte las dos VLAN).

Hay muchas razones para implementar VLAN. Normalmente, el menor de estos motivos es el tamaño de la red. Voy a enumerar algunas razones y luego abriré cada una.

  • Seguridad
  • Utilización de enlace
  • Servicio de separación
  • Aislamiento de servicio
  • Tamaño de subred

Seguridad: la seguridad en sí misma no se logra creando una VLAN; sin embargo, cómo conecta esa VLAN a otras subredes podría permitirle filtrar / bloquear el acceso a esa subred. Por ejemplo, si tiene un edificio de oficinas que tiene 50 computadoras y 5 servidores, puede crear una VLAN para el servidor y una VLAN para las computadoras. Para que las computadoras se comuniquen con los servidores, puede usar un firewall para enrutar y filtrar ese tráfico. Esto le permitiría aplicar IPS / IDS, ACL, etc. a la conexión entre los servidores y las computadoras.

Utilización de enlace: (Editar) No puedo creer que haya dejado esto fuera la primera vez. Pedo cerebral, supongo. La utilización de enlaces es otra gran razón para usar VLAN. El árbol de expansión por función crea una ruta única a través de su red de capa 2 para evitar bucles (¡Oh, Dios mío!). Si tiene múltiples enlaces redundantes a sus dispositivos de agregación, algunos de estos enlaces no se utilizarán. Para evitar esto, puede crear múltiples topologías STP con diferentes VLAN. Esto se logra con PVST, RPVST o MST basados ​​en estándares de Cisco. Esto le permite tener múltiples tipologías de STP con las que puede jugar para utilizar sus enlaces no utilizados anteriormente. Por ejemplo, si tuviera 50 escritorios, podría colocar 25 de ellos en la VLAN 10, y 25 de ellos en la VLAN 20. Entonces podría hacer que la VLAN 10 tomara el lado "izquierdo" de la red y los 25 restantes en la VLAN 20 tomarían el lado "derecho" de la red.

Separación de servicios: este es bastante sencillo. Si tiene cámaras de seguridad IP, teléfonos IP y computadoras de escritorio conectadas al mismo conmutador, podría ser más fácil separar estos servicios en su propia subred. Esto también le permitiría aplicar marcas QOS a estos servicios basados ​​en VLAN en lugar de algún servicio de capa superior (Ej: NBAR). También puede aplicar ACL en el dispositivo que realiza el enrutamiento L3 para evitar la comunicación entre VLAN que podrían no ser deseables. Por ejemplo, puedo evitar que los escritorios accedan directamente a los teléfonos / cámaras de seguridad.

Aislamiento de servicio: si tiene un par de conmutadores TOR en un solo bastidor que tiene algunos hosts VMWare y una SAN, podría crear una VLAN iSCSI que permanezca sin enrutar. Esto le permitiría tener una red iSCSI completamente aislada para que ningún otro dispositivo pueda intentar acceder a la SAN o interrumpir la comunicación entre los hosts y la SAN. Este es simplemente un ejemplo de aislamiento del servicio.

Tamaño de subred: como se indicó anteriormente, si un solo sitio se vuelve demasiado grande, puede dividir ese sitio en diferentes VLAN, lo que reducirá la cantidad de hosts que ven la necesidad de procesar cada transmisión.

Ciertamente, hay más formas en que las VLAN son útiles (puedo pensar en varias que utilizo específicamente como proveedor de servicios de Internet), pero creo que estas son las más comunes y deberían darle una buena idea de cómo / por qué las usamos. También hay VLAN privadas que tienen casos de uso específicos y vale la pena mencionar aquí.

bigmstone
fuente
7

A medida que las redes se hacen cada vez más grandes, la escalabilidad se convierte en un problema. Para comunicarse, cada dispositivo necesita enviar transmisiones, que se envían a todos los dispositivos en un dominio de difusión. A medida que se agregan más dispositivos al dominio de transmisión, más transmisiones comienzan a saturar la red. En este punto, surgen múltiples problemas, incluida la saturación del ancho de banda con el tráfico de transmisión, un mayor procesamiento en cada dispositivo (uso de CPU) e incluso problemas de seguridad. Dividir este gran dominio de transmisión en dominios de transmisión más pequeños se vuelve cada vez más necesario.

Ingrese las VLAN.

Una VLAN o LAN virtual crea virtualmente dominios de transmisión separados, eliminando la necesidad de crear LAN de hardware completamente separadas para superar el problema del dominio de transmisión grande. En cambio, un conmutador puede contener muchas VLAN, cada una de las cuales actúa como un dominio de transmisión autónomo y separado. De hecho, dos VLAN no pueden comunicarse entre sí sin la intervención de un dispositivo de capa 3, como un enrutador, que es de lo que se trata la conmutación de capa 3.

En resumen, las VLAN, en el nivel más básico, segmentan grandes dominios de transmisión en dominios de transmisión más pequeños y más manejables para aumentar la escalabilidad en su red en constante expansión.

Yosef Gunsburg
fuente
5

Las VLAN son redes lógicas creadas dentro de la red física. Su uso principal es proporcionar aislamiento, a menudo como un medio para disminuir el tamaño del dominio de difusión dentro de una red, pero pueden usarse para una serie de otros propósitos.

Son una herramienta con la que cualquier ingeniero de redes debería estar familiarizado y, al igual que cualquier herramienta, pueden usarse de manera incorrecta y / o en el momento equivocado. Ninguna herramienta es la correcta en todas las redes y en todas las situaciones, por lo que cuantas más herramientas pueda usar, mejor podrá trabajar en más entornos. Saber más sobre las VLAN le permite usarlas cuando las necesite y usarlas correctamente cuando lo haga.

Un ejemplo de cómo se pueden usar, actualmente trabajo en entornos donde los dispositivos SCADA (control de supervisión y adquisición de datos) se usan ampliamente. Los dispositivos SCADA generalmente son bastante simples y tienen una larga historia de desarrollo de software menos que estelar, que a menudo proporcionan importantes vulnerabilidades de seguridad.

Hemos configurado los dispositivos SCADA en una VLAN separada sin puerta de enlace L3. El único acceso a su red lógica es a través del servidor con el que se comunican (que tiene dos interfaces, una en la VLAN SCADA) que se puede asegurar con su propia seguridad basada en host, algo que no es posible en los dispositivos SCADA. Los dispositivos SCADA están aislados del resto de la red, incluso mientras están conectados a los mismos dispositivos físicos, por lo que se mitiga cualquier vulnerabilidad.

YLearn
fuente
3

En términos de principios de diseño, la implementación más común es alinear sus VLAN con su estructura organizativa, es decir, ingenieros en una VLAN, comercialización en otra, teléfonos IP en otra, etc. Otros diseños incluyen la utilización de VLAN como "transporte" de redes separadas funciona a través de uno (o más) núcleos. La terminación de la capa 3 de las VLAN ('SVI' en el lenguaje de Cisco, 'VE' en Brocade, etc.) también es posible en algunos dispositivos, lo que elimina la necesidad de una pieza de hardware separada para realizar la comunicación entre VLAN cuando corresponda.

Las VLAN se vuelven engorrosas de administrar y mantener a escala, como probablemente haya visto casos de NESE. En el ámbito del proveedor de servicios, hay PB (Puente de proveedor - comúnmente conocido como "QinQ", doble etiquetado, etiqueta apilada, etc.), PBB (Puente de red troncal de proveedor - "MAC-in-MAC") y PBB-TE, que han sido diseñado para tratar de mitigar la limitación de la cantidad de ID de VLAN disponibles. PBB-TE tiene como objetivo eliminar la necesidad de aprendizaje dinámico, inundaciones y árboles de expansión. Solo hay 12 bits disponibles para usar como ID de VLAN en un C-TAG / S-TAG (0x000 y 0xFFF están reservados), que es de donde proviene la limitación de 4.094.

VPLS o PBB se pueden utilizar para eliminar los límites máximos de escala tradicionales relacionados con PB.

John Jensen
fuente
3

El caso de uso básico para las VLAN es casi exactamente el mismo que el caso de uso básico para la segmentación de la red en múltiples dominios de transmisión de enlace de datos. La diferencia clave es que con una LAN física , necesita al menos un dispositivo (generalmente un conmutador) para cada dominio de difusión, mientras que con una membresía de dominio de difusión LAN virtual se determina puerto por puerto y es reconfigurable sin agregar o Reemplazo de hardware.

Para aplicaciones básicas, aplique los mismos principios de diseño a las VLAN que lo haría para los PLAN. Los tres conceptos que necesita saber para hacer esto son:

  1. Trunking : cualquier enlace que lleve tramas pertenecientes a más de una VLAN es un enlace troncal . Por lo general, los enlaces de conmutador a conmutador y de conmutador a enrutador están configurados para ser enlaces troncales .
  2. Etiquetado : cuando se transmite a un enlace troncal, el dispositivo debe etiquetar cada cuadro con la ID de VLAN numérica a la que pertenece para que el dispositivo receptor pueda confinarlo correctamente al dominio de transmisión correcto. En general, los puertos orientados al host no están etiquetados , mientras que los puertos orientados al conmutador y al router están etiquetados . La etiqueta es una parte adicional de la encapsulación del enlace de datos.
  3. Interfaces virtuales : en un dispositivo con una o más interfaces de enlace troncal, a menudo es necesario conectar, en el sentido lógico, el dispositivo como terminal de enlace a una o más de las VLAN individuales que están presentes dentro del enlace troncal. Esto es particularmente cierto en los enrutadores. Este enlace de enlace lógico se modela como una interfaz virtual que actúa como un puerto que está conectado al dominio de difusión único asociado con la VLAN designada.
neirbowj
fuente
2

El uso original de un vlan era restringir el área de transmisión en una red. Las transmisiones se limitan a su propio vlan. Posteriormente se agregó funcionalidad adicional. Sin embargo, tenga en cuenta que los vlan son de capa 2 en, por ejemplo, los conmutadores de Cisco. Puede agregar la capa 2 asignando una dirección IP al puerto en el conmutador, pero esto no es obligatorio.

funcionalidad adicional:

  • enlace troncal: use múltiples vlan a través de una conexión física (por ejemplo, conectando 2 conmutadores, un enlace físico es lo suficientemente bueno como para tener una conexión para todos los vlan, separando los vlan se realiza mediante el etiquetado, ver: dot1Q para cisco)
  • seguridad
  • más fácil de administrar (por ejemplo: el apagado en un vlan no afecta la conectividad del otro vlan ...)
  • ...
Bulki
fuente
1

Si puedo ofrecer una información más, que podría ayudar.

Para comprender las VLAN, también debe comprender dos conceptos clave.

-Subnetting: suponiendo que desea que los distintos dispositivos puedan comunicarse entre sí (servidores y clientes, por ejemplo), cada VLAN debe tener asignada una subred IP. Este es el SVI mencionado anteriormente. Eso le permite comenzar el enrutamiento entre los vlans.

-Enrutamiento: una vez que haya creado cada VLAN, una subred asignada a los clientes en cada VLAN y un SVI creado para cada VLAN, deberá habilitar el enrutamiento. El enrutamiento puede ser una configuración muy simple, con una ruta estática predeterminada a Internet y declaraciones de red EIGRP u OSPF para cada una de las subredes.

Una vez que veas cómo se junta todo, en realidad es bastante elegante.

Jonathan Davis
fuente
¡Gracias! subn / rtn obtengo, así que ahora con toda esta información de VLAN, sí, tiene mucho sentido. Ya estoy pensando en construir VLAN "posteriores" y cambiar cosas para sistemas que tienen una segunda interfaz no utilizada.
Craig Constantine
1
Las VLAN no requieren información L3, enrutamiento o SVI. Estos solo son necesarios si desea la funcionalidad L3 (IP) o superior para los hosts en esa VLAN.
YLearn
simplemente agregando ... uno no tiene que ejecutar IP sobre la VLAN. (ver también: vlans basados ​​en protocolo - vs. puerto basado, que es lo que se usa el 99% del tiempo).
Ricky Beam
Estoy de acuerdo con sus dos declaraciones. Los vlans L2 tienen usos seguros. Sin embargo, si alguien está pensando en agregar vlans a su red existente, no explicar el aspecto L3 es una omisión grave.
Jonathan Davis