2.1 Tipos VLAN
Existen diferentes tipos de redes VLAN, los
cuales se utilizan en las redes modernas. Algunos tipos de VLAN se definen
según las clases de tráfico. Otros tipos de VLAN se definen según la función
específica que cumplen.
Ø
VLAN de datos
Una VLAN de datos es una VLAN configurada
para transportar tráfico generado por usuarios. Una VLAN que transporta tráfico
de administración o de voz no sería una VLAN de datos. Es una práctica común
separar el tráfico de voz y de administración del tráfico de datos. A veces a
una VLAN de datos se la denomina VLAN de usuario. Las VLAN de datos se usan
para dividir la red en grupos de usuarios o dispositivos.
Ø
VLAN predeterminada
Todos los puertos de switch se vuelven
parte de la VLAN predeterminada después del arranque inicial de un switch que
carga la configuración predeterminada. Los puertos de switch que participan en
la VLAN predeterminada forman parte del mismo dominio de difusión. Esto admite
cualquier dispositivo conectado a cualquier puerto de switch para comunicarse
con otros dispositivos en otros puertos de switch.
Ø
VLAN nativa
Una VLAN nativa está asignada a un puerto
troncal 802.1Q. Los puertos de enlace troncal son los enlaces entre switches
que admiten la transmisión de tráfico asociado a más de una VLAN. Los puertos
de enlace troncal 802.1Q admiten el tráfico proveniente de muchas VLAN (tráfico
con etiquetas), así como el tráfico que no proviene de una VLAN (tráfico sin
etiquetar).
Las VLAN nativas se definen en la
especificación IEEE 802.1Q a fin de mantener la compatibilidad con el tráfico
sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas.
Una VLAN nativa funciona como identificador común en extremos opuestos de un
enlace troncal.
Ø
VLAN de administración
Una VLAN de administración es cualquier
VLAN que se configura para acceder a las capacidades de administración de un
switch. La VLAN 1 es la VLAN de administración de manera predeterminada. Para
crear la VLAN de administración, se asigna una dirección IP y una máscara de
subred a la interfaz virtual de switch (SVI) de esa VLAN, lo que permite que el
switch se administre mediante HTTP, Telnet, SSH o SNMP.
2.2. Protocolos de
enlace VLAN.
El protocolo de etiquetado IEEE 802.1Q domina el mundo de las
VLANs. Antes de su introducción existían varios protocolos propietarios, como
el ISL (Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT
(Virtual LAN Trunk) de 3Com. Los primeros diseñadores de redes enfrentaron
el problema del tamaño de los dominios de colisión (Hubs) esto se logró
controlar a través de la introducción de los switch o conmutadores pero a su
vez se introdujo el problema del aumento del tamaño de los dominios de difusión
y una de las formas más eficientes para manejarlo fue la introducción de las
VLANs.
Las VLANs también pueden servir para restringir el acceso a
recursos de red con independencia de la topología física de ésta, si bien la
robustez de este método es discutible al ser el salto de VLAN (VLAN hopping) un
método común de evitar tales medidas de seguridad. Las VLANs se
caracterizan en el nivel 2 (enlace de datos) del modelo OSI. Sin embargo, los
administradores suelen configurar las VLANs como correspondencia directa de una
red o subred IP, lo que les da apariencia de funcionar en el nivel 3 (red).
2.3 Enrutamiento Inter
VLAN
Es un proceso para reenviar el tráfico de la red desde una VLAN
a otra mediante un router.
El enrutamiento se realiza mediante la conexión de diferentes
interfaces físicas del router a diferentes puertos físicos del switch.
Los puertos del switch se conectan al router en modo de acceso;
Cada interfaz del switch estaría asignada a una VLAN estática diferente.
Es un tipo de configuración de router en la cual una interfaz física única enruta el tráfico entre múltiples VLAN en una red.
Routeron a stick.
Los puertos del switch se conectan al router en modo de acceso;
Cada interfaz del switch estaría asignada a una VLAN estática diferente.
Es un tipo de configuración de router en la cual una interfaz física única enruta el tráfico entre múltiples VLAN en una red.
Routeron a stick.
El router realiza el enrutamiento inter VLAN al aceptar el
tráfico proveniente del switch adyacente y reenvía el tráfico enrutado de la
VLAN etiquetada para la VLAN de destino, por la misma interfaz física.
Sub-interfaces
Son interfaces virtuales múltiples, asociadas a una interfaz física.
Uso del router como Gateway
Interfaces y Sub-interfaces
Temas de
Direccionamiento IP Errores ComunesSub-interfaces
Son interfaces virtuales múltiples, asociadas a una interfaz física.
Uso del router como Gateway
Interfaces y Sub-interfaces
1) Configurar dirección IP incorrecta para la subred asociada con la VLAN
2) Configurar una dirección IP incorrecta en la interfaz F0/0. 3) Configurar una máscara de subred incorrecta.
Es necesario conectar un router a todas las VLAN, ya sea por medio de interfaces físicas separadas o sub-interfaces de enlace troncal.
2.4 Resolución De Problemas De VLAN
Ø Faltas de
concordancia de la VLAN nativa:
los puertos se configuran con diferentes VLAN nativas,
estos errores de configuración generan notificaciones de consola, hacen que el tráfico de
administración y control se dirija erróneamente.
Ø Faltas de
concordancia del modo de enlace troncal: un puerto de enlace troncal se
configura con el modo de enlace troncal "inactivo" y el otro con el
modo de enlace troncal "activo". Estos errores de configuración hacen que el vínculo de enlace troncal
deje de funcionar.
Ø La
resolución de problemas es examinando los enlaces troncales para ver si existe
una falta de concordancia de la VLAN nativa.
Ø Cada VLAN debe corresponder a una subred IP única. Si dos dispositivos en la misma VLAN tienen direcciones de subred diferentes, no se pueden comunicar.
Este tipo de configuración incorrecta es un problema común y de
fácil resolución al identificar el dispositivo en controversia y cambiar la
dirección de subred por
una dirección correcta.
2.5 Seguridad En VLAN
Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. Por malicia o desconocimiento, los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados.
Hoy en día la gran mayoría de administradores ya tiene esto en
cuenta y los usuarios internos están más controlados, aunque sea a nivel de
aplicación. Como este blog nace con la idea de ayudar a los que menos
experiencia tienen, vamos a explicar un poco por encima lo que podemos hacer
para no dejar andar a nuestros usuarios a su antojo por toda nuestra red.
Gracias por la aportación, carnal...
ResponderEliminar