¿Qué es VLAN?
VLAN es Red de área local virtual, no "VPN" (Red privada virtual). VLAN es una tecnología emergente de intercambio de datos que divide los dispositivos LAN lógicamente (no físicamente) en segmentos para realizar grupos de trabajo virtuales. Esta tecnología emergente se usa principalmente en conmutadores y enrutadores, pero la aplicación principal todavía se encuentra en los conmutadores. Sin embargo, no todos los switches tienen esta función, solo los switches con protocolo VLAN por encima de la capa 3 tienen esta función, la cual se puede conocer consultando el manual del switch correspondiente.
El IEEE emitió el borrador del estándar de protocolo 802.1Q en 1999 para estandarizar el esquema de implementación de VLAN. El surgimiento de la tecnología VLAN permite a los administradores dividir lógicamente diferentes usuarios dentro de la misma LAN física en diferentes dominios de transmisión de acuerdo con los requisitos reales de la aplicación. Cada VLAN contiene un grupo de estaciones de trabajo informáticas con los mismos requisitos y tiene los mismos atributos que la LAN formada físicamente. Ya que se divide lógicamente, no físicamente. Por lo tanto, las estaciones de trabajo individuales dentro de la misma VLAN no están restringidas al mismo rango físico, es decir, estas estaciones de trabajo pueden estar en diferentes segmentos físicos de LAN. A partir de las características de las VLAN, está claro que tanto el tráfico de difusión como el de unidifusión dentro de una VLAN no se reenvía a otras VLAN, lo que ayuda a controlar el tráfico, reducir la inversión en equipos, simplificar la administración de la red y mejorar la seguridad de la red.
El desarrollo de la tecnología de conmutación también ha acelerado la adopción de nuevas tecnologías de conmutación (VLAN). Al dividir la red empresarial en segmentos de VLAN de red virtual, se puede mejorar la administración y la seguridad de la red y se puede controlar la transmisión de datos innecesarios.
En una red compartida, un segmento de red física es un dominio de difusión. En una red conmutada, un dominio de difusión puede ser un segmento virtual con un conjunto arbitrario de direcciones de red de Capa 2 seleccionadas (direcciones MAC). De esta manera, la división de grupos de trabajo en una red puede romper las restricciones geográficas en una red compartida y, en cambio, basarse completamente en funciones de gestión. Este modelo de agrupación basado en el flujo de trabajo mejora en gran medida la función de gestión de la planificación y reorganización de la red.
Las estaciones de trabajo en la misma VLAN, independientemente del conmutador al que estén conectadas, se comunican entre sí como si estuvieran en conmutadores separados. Las transmisiones en la misma VLAN solo pueden ser escuchadas por miembros de la VLAN y no se transmiten a otras VLAN, lo que puede controlar la generación de tormentas de transmisión innecesarias. Al mismo tiempo, sin enrutamiento, las diferentes VLAN no pueden comunicarse entre sí, lo que aumenta la seguridad entre los diferentes departamentos de la red empresarial.
Los administradores de red pueden configurar las rutas entre las VLAN para administrar completamente el acceso a la información entre diferentes unidades de administración dentro de la empresa. El conmutador se divide en VLAN en función de la dirección MAC de la estación de trabajo del usuario. Por lo tanto, un usuario es libre de mover su office a la red de la empresa, y sin importar desde dónde acceda a la red de conmutación, puede comunicarse libremente con otros usuarios en la VLAN.
Las redes VLAN pueden estar compuestas por dispositivos con tipos de red mixtos, como 10M Ethernet, 100M Ethernet, token network, FDDI, CDDI, etc., y pueden ser estaciones de trabajo, servidores, concentradores, backbones de enlace ascendente de red, etc.
Además de las ventajas de dividir la red en múltiples dominios de transmisión, controlando así de manera efectiva la ocurrencia de tormentas de transmisión y haciendo que la topología de la red sea muy flexible, las VLAN también se pueden usar para controlar el acceso entre diferentes departamentos y sitios en la red.
VLAN es un protocolo propuesto para resolver el problema de transmisión y seguridad de Ethernet. Agrega un encabezado de VLAN a las tramas de Ethernet, divide a los usuarios en grupos de trabajo más pequeños con ID de VLAN y restringe a los usuarios para que se visiten entre diferentes grupos de trabajo, y cada grupo de trabajo es una LAN virtual. La ventaja de la LAN virtual es que puede limitar el rango de transmisión y puede formar grupos de trabajo virtuales para administrar la red dinámicamente.
Métodos de división de VLAN
Los métodos de implementación de VLAN en el conmutador se pueden dividir en seis categorías:
1. Dividir VLAN basada en puertos
Este es el método de división de VLAN más utilizado, y es el más utilizado y eficaz, y la mayoría de los conmutadores de protocolo VLAN proporcionan este método de configuración de VLAN.
Este método de división de VLAN se basa en los puertos de conmutación de los conmutadores Ethernet. Divide los puertos físicos en el conmutador VLAN y los puertos PVC (Circuito Virtual Permanente) dentro del conmutador VLAN en varios grupos, y cada grupo constituye una red virtual, que es equivalente a un conmutador VLAN independiente.
Para cuando los diferentes departamentos necesitan acceder entre sí, se pueden reenviar a través de un enrutador con filtrado de puertos basado en direcciones MAC. El conjunto de direcciones MAC transitables se establece en el puerto correspondiente del conmutador, conmutador de enrutamiento o enrutador más cercano al sitio en la ruta de acceso de un sitio. Esto evita la posibilidad de que intrusos ilegales roben direcciones IP desde dentro para entrar desde otros puntos de acceso.
Como podemos ver en este método de división en sí, la ventaja de este método es que es muy simple definir la membresía de VLAN, siempre que todos los puertos estén definidos como los grupos de VLAN correspondientes. Es adecuado para redes de cualquier tamaño. Su desventaja es que si un usuario deja el puerto original y va a un puerto en un nuevo conmutador, debe redefinirse.
2. Divida las VLAN según la dirección MAC
Este método de dividir las VLAN se basa en la dirección MAC de cada host, es decir, cada host con una dirección MAC se configura con el grupo al que pertenece. El mecanismo que implementa es que cada NIC corresponde a una dirección MAC única y el conmutador VLAN realiza un seguimiento de las direcciones que pertenecen a la VLAN MAC. Este enfoque de las VLAN permite a los usuarios de la red retener automáticamente la membresía en la VLAN a la que pertenecen cuando se trasladan de una ubicación física a otra.
Como puede verse en el mecanismo de esta división, la mayor ventaja de este método de división de VLAN es que las VLAN no tienen que reconfigurarse cuando los usuarios cambian de ubicación física, es decir, cuando cambian de un conmutador a otro. Esto se debe a que se basa en el usuario, no en el puerto del conmutador. La desventaja de este método es que todos los usuarios deben configurarse durante la inicialización. El proceso de configuración puede llevar mucho tiempo si hay cientos o incluso miles de usuarios, por lo que este método de partición suele ser adecuado para LAN pequeñas.
Además, este método de particionamiento también reduce la eficiencia de la ejecución del conmutador, ya que puede haber muchos miembros de grupos de VLAN en cada puerto del conmutador, lo que almacena las direcciones MAC de muchos usuarios, lo que no es fácil de consultar.
Además, para los usuarios de computadoras portátiles, sus tarjetas de red pueden cambiarse con frecuencia, por lo que la VLAN debe configurarse con frecuencia.
3. DividireVLAN basadas en protocolos de capa de red
Las VLAN se dividen por protocolo de capa de red y se pueden clasificar en redes VLAN como IP, IPX, DECnet, AppleTalk, Banyan, etc. Estas VLAN, compuestas por protocolo de capa de red, permiten que los dominios de difusión abarquen varios conmutadores de VLAN. Esto es muy atractivo para los administradores de red que desean organizar a los usuarios para aplicaciones y servicios específicos. Además, los usuarios pueden moverse libremente dentro de la red, pero su membresía de VLAN permanece intacta.
Las ventajas de este método son que la ubicación física del usuario cambia sin reconfigurar la VLAN a la que pertenece y que las VLAN se pueden clasificar según el tipo de protocolo, lo cual es importante para los administradores de red. Además, este método no requiere etiquetas de marco adicionales para identificar las VLAN, lo que puede reducir la cantidad de tráfico en la red. La desventaja de este enfoque es que es ineficiente porque la verificación de la dirección de la capa de red de cada paquete requiere mucho tiempo de procesamiento (en comparación con los dos enfoques anteriores). En general, los chips de conmutador pueden verificar automáticamente los encabezados de trama de Ethernet de los paquetes en la red, pero se necesita un mayor nivel de habilidad y también lleva más tiempo permitir que el chip verifique los encabezados de trama de IP. Por supuesto, esto está relacionado con el método de implementación de cada proveedor.
4. Divida las VLAN en función de la multidifusión de IP
La multidifusión de IP es en realidad una definición de VLAN, es decir, un grupo de multidifusión de IP es una VLAN. Este método de división extiende la VLAN a la WAN, por lo que este método tiene una mayor flexibilidad y es fácil de extender a través del enrutador. Es principalmente adecuado para los usuarios de LAN que no se encuentran en el mismo rango geográfico para formar una VLAN. No es adecuado para LAN porque no es eficiente.
5. Divida las VLAN por política
Las VLAN basadas en políticas se pueden asignar de varias maneras, incluidos los puertos de conmutación de VLAN, las direcciones MAC, las direcciones IP y los protocolos de capa de red. Los administradores de red pueden determinar el tipo de VLAN según su propio modo de administración y los requisitos de la unidad.
6. DividireVLAN por autorización no definida por el usuario
La asignación de VLAN basada en la definición del usuario y la autorización de no usuarios significa que las VLAN se definen y diseñan de acuerdo con los requisitos especiales de los usuarios de la red para cumplir con las redes VLAN especiales. Además, los usuarios que no son de VLAN pueden acceder a las VLAN solo después de haber sido autenticados por la administración de VLAN proporcionando contraseñas de usuario.
TLas ventajas de VLAN
Para que cualquier nueva tecnología sea ampliamente compatible y aplicada, debe haber algunas ventajas clave, al igual que la tecnología VLAN, cuyas ventajas se reflejan principalmente en los siguientes aspectos:
- Aumento de la flexibilidad de la conexión de red.
La tecnología VLAN combina diferentes ubicaciones, redes y usuarios para formar un entorno de red virtual, que es tan conveniente, flexible y eficiente como usar una LAN local. VLAN puede reducir la sobrecarga de mover o cambiar la ubicación de las estaciones de trabajo, especialmente para empresas con condiciones comerciales que cambian con frecuencia.
- Controla la retransmisión en la red
La VLAN proporciona un mecanismo de firewall para evitar la transmisión excesiva en la red de conmutación. Con las VLAN, se puede asignar un puerto de conmutador o un usuario a un grupo de VLAN específico, que puede estar dentro de una red de conmutadores o en varios conmutadores, y las transmisiones dentro de una VLAN no se enviarán fuera de la VLAN. De manera similar, los puertos adyacentes no reciben transmisiones generadas por otras VLAN. Esto reduce el tráfico de difusión, libera ancho de banda para las aplicaciones del usuario y reduce la generación de difusión.
- Mejorar la seguridad de la red
Porque una VLAN es un dominio de difusión independiente. Las VLAN están aisladas entre sí, lo que mejora la utilización de la red y garantiza la seguridad y la confidencialidad de la red. Las personas a menudo transmiten datos confidenciales y críticos en la LAN. Los datos confidenciales deben proporcionarse con medios de seguridad como el control de acceso. Un método efectivo y fácil de implementar es segmentar la red en varios grupos de transmisión diferentes, donde el administrador de la red limita la cantidad de usuarios en la VLAN y prohíbe el acceso a las aplicaciones en la VLAN sin permiso. Los puertos de conmutación se pueden agrupar según el tipo de aplicación y los privilegios de acceso, y las aplicaciones y los recursos restringidos generalmente se colocan en las VLAN de seguridad.
Estudio de caso de configuración de VLAN
Una empresa tiene alrededor de 100 computadoras y hay cuatro departamentos principales que utilizan principalmente la red: Departamento de producción (20), Departamento de finanzas (15), Departamento de recursos humanos (8) y Centro de información (12).
Toda la red utiliza tres switches administrados Catalyst 1900 (denominados: Switch1, Switch2 y Switch3 respectivamente; cada switch está conectado a varios concentradores según sea necesario, principalmente para usuarios que no son de VLAN, como papeleo administrativo, usuarios temporales, etc.) y uno El enrutador Cisco 2514 en la parte media y trasera de la red, y toda la red está conectada a Internet a través del enrutador Cisco 2514 está conectado a Internet externo.
Los usuarios conectados se distribuyen principalmente en cuatro partes, a saber: departamento de producción, departamento de finanzas, centro de información y departamento de recursos humanos. Estas cuatro partes se dividen principalmente en VLAN separadas para garantizar que los recursos de red departamentales correspondientes no sean robados ni dañados.
Para garantizar la seguridad de los recursos de la red, especialmente para departamentos sensibles como finanzas y recursos humanos, no se permite que demasiadas personas accedan a la información en la red. Por lo tanto, la empresa adopta el método VLAN para resolver los problemas anteriores.
Las Vlan se pueden dividir en el departamento de producción, el departamento de finanzas, el departamento de recursos humanos y el centro de información. Los grupos de VLAN correspondientes son Prod, Fina, Huma e Info. La Tabla 1 muestra los segmentos de red de cada grupo de VLAN.
Nota: La razón por la cual la ID de VLAN del conmutador comienza desde "2" es porque el conmutador tiene una VLAN predeterminada, es decir, la VLAN "1", que incluye a todos los usuarios conectados al conmutador.
Proceso de configuración de VLAN
El proceso de configuración de VLAN es realmente muy simple y solo requiere dos pasos.
(1) Nombrar cada grupo de VLAN.
(2) Correspondiente a la VLAN correspondiente al puerto del conmutador correspondiente.
El siguiente es el proceso de configuración específico.
Paso 1: Configure HyperTerminal, conéctese al conmutador 1900 y configure las VLAN del conmutador a través de HyperTerminal. La interfaz de configuración principal aparece después de una conexión exitosa como se muestra a continuación (la información básica se ha configurado en el conmutador antes):
Nota: HyperTerminal se implementa usando el programa Hypertrm que viene con Windows. Para obtener más información, consulte los documentos relacionados.
Paso 2: Haga clic en "K" y seleccione "[K] Línea de comando" en el menú principal para ingresar a la siguiente interfaz de configuración de línea de comando:
En este punto, ingresamos al modo de usuario normal del conmutador, al igual que el enrutador, este modo solo puede ver la configuración actual, no puede cambiar la configuración y puede usar un comando muy limitado. Por lo que debemos entrar en el “modo privilegiado”.
Paso 3: Ingrese el comando "habilitar" en el indicador ">" en el paso anterior para ingresar al modo privilegiado. El formato del comando es ">habilitar", y luego se muestra el interruptor:
Paso 4: Por seguridad y comodidad, asignamos un nombre a cada uno de los 3 switches Catalyst 1900 y establecemos una contraseña de inicio de sesión en modo privilegiado. El siguiente es un ejemplo de Switch1. El código de configuración es el siguiente:
Nota: La contraseña del modo privilegiado debe contener de 4 a 8 caracteres. La contraseña ingresada se muestra en texto sin formato, así que manténgala confidencial. El conmutador utiliza el nivel para determinar los permisos de contraseña. El nivel 1 es la contraseña para acceder a la interfaz de línea de comandos. Después de configurar la contraseña para el nivel 1, la próxima vez que se conecte al conmutador y escriba K, se le pedirá que ingrese la contraseña, que es la contraseña configurada para el nivel 1. El nivel 15 es la contraseña del modo privilegiado que tendrá. se le pedirá que ingrese después de escribir el comando "habilitar".
Paso 5: establezca el nombre de la VLAN. Debido a que las cuatro VLAN pertenecen a diferentes conmutadores, el comando de denominación de VLAN es “VLAN, número de VLAN, nombre, nombre de VLAN. En Switch1, Switch2 y Switch3, configure el código de VLAN 2, 3, 4 y 5 de la siguiente manera:
Nota: La configuración anterior se realiza de acuerdo con las reglas de la Tabla 1.
Paso 6: En el paso anterior, configuramos los grupos de VLAN para cada conmutador. Ahora debemos hacer coincidir estas VLAN con los números de puerto del switch especificados en la Tabla 1. El comando correspondiente al número de puerto es VLAN-membership static/dynamic VLAN number. En este comando, se debe seleccionar "estático" o "dinámico", pero generalmente se elige "estático".
La aplicación del número de puerto VLAN se configura de la siguiente manera.
(1) El número de puerto VLAN del conmutador denominado "Switch1" se configura de la siguiente manera.
Nota: "int" es la abreviatura del comando "interfaz". e0/3″ es la abreviatura de “ethernet 0/2”, que representa el puerto 2 del módulo 0 del switch.
(2) El número de puerto VLAN del conmutador denominado "Switch2" se configura de la siguiente manera.
(3) El número de puerto VLAN del switch denominado “Switch3” se configura de la siguiente manera (incluye la configuración de dos grupos VLAN), vea primero el código de configuración de VLAN 4 (Huma).
El siguiente es el código de configuración para VLAN 5 (Información).
Ahora hemos definido las VLAN en los puertos correspondientes del conmutador como se requiere en la Tabla 1. Para verificar nuestra configuración, puede usar el comando "show vlan" en modo privilegiado para mostrar la configuración recién realizada para verificar si es correcta .
Lo anterior es una introducción a la configuración de VLAN del conmutador Cisco Catalyst 1900, la configuración de VLAN de otros conmutadores es básicamente similar, consulte el manual del conmutador correspondiente.