2 Redes Vlan
-
Rating
-
Date
March 2019 -
Size
537.6KB -
Views
8,983 -
Categories
Transcript
2 Redes VLAN
I
INTRODUCCIÓN
Una VLAN es su definición es red de área local virtual, es un método que nos
permite crear redes lógicas e independientes dentro de una misma red, los cuales
podemos tener varias VLANS en un único conmutador físico o en una red física.
En el ámbito laborales, las redes son muy importantes, ya que son importantes
porque pueden ofrecer seguridad y monitoreo de distintos servicios que se
brindan, a través de las redes se pueden dar accesos a ciertos cosas, y restringir
otras, por lo que la organización pueda dar más privilegios a un departamento que
a otro dentro de su empresa, para este tipo de redes es muy recomendable crear
restricciones para una mayor seguridad mediante VLANS. Esperando que este
reporte sobre la seguridad en VLANS sea claro y entendible para el lector, así
como también para el docente, cumpliendo con todo los requisitos del mismo.
SEGURIDAD EN VLAN
Definición 1:
Es una red de área local virtual, es una red que agrupa un conjunto de
equipos demanera lógica y no física. Los grupos de puertos que hacemos en un
switchgestionable para aislar un conjunto de máquinas forman una VLAN. Se la
llamavirtual porque parece que está en una LAN propia y que la red es de ellos
solos.Utilizar una VLAN hace que la seguridad y el rendimiento sean mejores.
Definición 2:
Es un método para crear redes lógicas independientes dentro de una misma
redfísica. Varias VLAN pueden coexistir en un único conmutador físico o en una
únicared física. Son útiles para reducir el tamaño del dominio de difusión y ayudan
en laadministración de la red, separando segmentos lógicos de una red de área
local (losdepartamentos de una empresa, por ejemplo) que no deberían
intercambiar datosusando la red local (aunque podrían hacerlo a través de un
enrutador o unconmutador de capa 3 y 4).
Definición 3:
Una VLAN consiste en dos o más redes de computadoras que se comportan como
siestuviesen conectados al mismo PCI, aunque se encuentren físicamente
conectadosa diferentes segmentos de una red de área local (LAN). Los
administradores de redconfiguran las VLAN mediante software en lugar de
hardware, lo que las haceextremadamente fuertes
Utilidad:
La utilidad de las VLAN radica en la posibilidad de separar aquellos
segmentoslógicos que componen una LAN y que no tienen la necesidad de
intercambiarinformación entre sí a través de la red de área local. Esta
particularidad contribuye auna administración más eficiente de la red física.
2
Existen diversos modos de establecer una VLAN. Las VLAN de Nivel 1
sonaquellas que se desarrollan a partir del uso de puertos. Las VLAN de Nivel 2,
encambio, se crean a través de la asignación de direcciones MAC o por clase
deprotocolo. También existen las VLAN de Nivel 3, que implican la creación
desubredes virtuales, y las VLAN de niveles superiores (una VLAN por aplicación).
Seguridad:
Si configura una red de área local virtual (VLAN), las VLAN comparten el ancho
debanda de la red y requieren medidas de seguridad
adicionales. Al usar VLAN, separa los clusters sensibles de sistemas del resto de l
a red.De esta manera, se reduce la probabilidad de que los usuarios tengan
acceso a lainformación almacenada en esos clientes y servidores.
Asigne un número de VLAN nativo único a los puertos de enlace troncal.
Limite las VLAN que se pueden transportar mediante un enlace troncal
a las queson estrictamente necesarias.
Desactivar el protocolo de enlace troncal (VTP) de VLAN, si es posible.
De locontrario, configurar la siguiente para el VTP: dominio de gestión,
contraseña yeliminación. A continuación, se define VTP en modo
transparente.
Utilice configuraciones de VLAN estáticas, cuando sea posible.
Desactive los puertos de conmutador no utilizados y asígneles un número
deVLAN que no esté en uso
VLAN basadas en el puerto de conexión:
Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN
esindependiente del usuario o dispositivo conectado en el puerto. Esto significa
quetodos los usuarios que se conectan al puerto serán miembros de la misma
VLAN.Habitualmente es el administrador de la red el que realiza las asignaciones
ala VLAN. Después de que un puerto ha sido asignado a una VLAN, a través de
esepuerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra
VLANsin la intervención de algún dispositivo de capa 3
El switch también se asegura de que el resto de puertos queno están en dicha VLAN no reciben dicha información.1x. se dice que 802.1x: Se realiza la autentificación en el puerto. La tecnología de red LAN con nodos permite organizar los sistemas de unared local en redes VLAN.Este planteamiento es sencillo. Cada fabricante de conmutadoresutiliza procedimientos diferentes para configurar los puertos de un conmutador. Un puerto de acceso(switchport mode access) pertenece únicamente a una VLAN asignada de formaestática (VLAN nativa). rápido y fácil de administrar.El dispositivo que se conecta a un puerto. el rendimiento es muy bueno. Para poder dividir una red de área local en redes VLAN. posiblemente no tengaconocimiento de la existencia de la VLAN a la que pertenece dicho puerto. La dirección MAC es asignada por el fabricante de la tarjeta de red por lo queno puede haber dos tarjetas de red con la misma dirección MAC. Puede configurar todos lospuertos de un nodo para que transfieran datos para una única VLAN o para variasVLAN. Por defecto es miembro de todas. Asegurando VLAN Trunks: .RADIUS es un protocolo de autentificación y autorización para aplicacionesde acceso a la red o movilidad IP. Un ASIC permite que el mapeo de puerto aVLAN sea hecho a nivel hardware. y de esta manera el switch solo podráconectar aquel cuya MAC este dentro de una lista definitiva en el propio switch o elque se autentificado mediante RADIUS en el estándar 802. La configuración predeterminada suele ser que todos lospuertos sean de acceso de la VLAN1. En cambio. según el diseño de configuración VLAN.debe tener nodos compatibles con la tecnología VLAN.Los puertos de un switch pueden ser de dos tipos.El switch es responsable de identificar que la información viene de una VLANdeterminada y de asegurarse de que esa información llega a todos los demásmiembros de la VLAN.Por lo tanto. perola lista de las VLAN permitidas es configurable. un puerto trunk (switchport modetrunk) puede ser miembro de múltiples VLAN. Eldispositivo simplemente sabe que es miembro de una subred y que puede ser capazde hablar con otros miembros de la subred simplemente enviando información alsegmento cableado. 4 Autentificación en el puerto MAC y 802.1x es un mecanismo de seguridad de acceso almedio. en lo que respecta a lascaracterísticas VLAN: puertos de acceso y puertos trunk. Si laasociación de puerto a VLAN se hace con un ASIC (acrónimo en inglés de Application- Specific Integrated Circuit o Circuito integrado para una aplicaciónespecífica). dado que no haycomplejas tablas en las que mirar para configurar la segmentación de la VLAN.
Eliminar esa vlan de ambos extremos del Trunk.Cuando un puerto está configurado con Dynamic Trunking Protocol (DTP) (pordefecto en Cisco una interface está así configurada) y la interface está en auto puedenegociar la interface para convertirse en un Trunk.) a una interface DTP en auto podría "negociar" con el switchpara establecer un Trunk entre el host y el switch lo que se llama Switch Spoofing.Por ello es conveniente que cada interface que no se use ponerla en shutdowny configurar las interfaces donde se conecten usuarios finales en modo acceso y conla VLAN correspondiente con los comandos: El exploit llamado VLAN Hopping consiste en que un atacante marcadoblemente el tráfico para poder alcanzar una VLAN que de por si no deberíaalcanzar. Definir explícitamente en los puertos trunks las VLANs que tiene que pasar en vezde dejar pasar todas.Para evitar este tipo de ataque es conveniente seguir estos pasos: Deshabilitar DTP en todos los puertos que no se usen con el comando "switchportnonegotiate". server. por eso un atacante que conecteun host (PC.1Q. Primero marca con la VLAN que NO puede alcanzar y por encima vuelve aencapsular con la VLAN en la que se encuentra (que será la VLAN nativa). El Trunk debe tener configurada como VLAN nativa la misma en la que elatacante esté. Poner en shutdown todos los puertos que no se usen y asignarles una VLAN queno se use Configurar la VLAN nativa de los Trunk con una VLAN sin usar o falsa.Para que este exploit funcione se deben cumplir estas condiciones: El atacante está conectado a una interface en modo acceso. porejemplo: [VLAN- 30][VLAN 50][trama]. Definir las interfaces de acceso (switchport mode access) y trunk (switchportmode trunk) explícitamente. El mismo switch tiene configurado trunk 802. etc.También podemos configurar que la VLAN nativa vaya marcada siempre conel comando: .
1X este garantiza la protección deenvió y acceso hasta la red que otorgue esa credencial de acceso. así como también permiten reducir lostamaños de dominio. ya que a partir de sus configuracionesque se le dé. con sus diferentes niveles de privilegios. así como tambiénasigna los usuarios VLAN de forma dinámica. Access Point inalámbricos y usuarios en otras redes virtuales.Un ejemplo muy claro en la seguridad puede ser cuando un usuario conectesu equipo a la red. a través dela consola o a través de las líneas virtuales (vty). separando cada segmento lógico en una red de área local. además de separar eltráfico de la red por razones de desempeño y diseño. también se hace una recomendación de configurar mediante lasdirecciones MAC o mediante la autenticación 802. independiente de tipo deusuario que maneje (colaboradores. administradores. lo que hará la VLAN es que ya estará designada para ese usuarioy este solo podrá acceder solo a esa red que ya está configurada por eladministrador. . o tambiénpor Http. por medio de usuariosconfigurados en el propio sistema.Seguridad en puertos de switches cisco: La seguridad en los switches comienza por el acceso al propio sistema. Ya que están configuradas dinámicamente. ya sea por Telnet o SSH. o bienpor medio de un servidor externo (como un servidor RADIUS por ejemplo). de estamanera se consigue una mayor seguridad. Se puede establecer una contraseña para el acceso en modo privilegiado yademás. independientemente de lanecesidad que se tenga en ese momento. CONCLUSIÓN Como se vio una vlan sirve para tener un buen control de nuestras redes. puede otorgar privilegios unos de otros.Otra función de VLAN es que puede agrupar puertos distintos como Ethernet. invitados) por razones deseguridad. la autenticación se puede llevar de modo local.
.
.
ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores. Tipos de VLAN Se han definido diversos tipos de VLAN. la VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del conmutador. ya que la información contenida en los paquetes debe analizarse detenidamente. En contrapartida. protocolos. Además de las anteriores. ya que la red es independiente de la ubicación de la estación. puede haber una ligera disminución del rendimiento. etc. . Gracias a las redes virtuales (VLAN).).Unidad 2. una disminución en la transmisión de tráfico en la red. según criterios de conmutación y el nivel en el que se lleve a cabo.).). ofrece diversas ventajas: una mayor flexibilidad en la administración y en los cambios de la red. La VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. La VLAN basada en la dirección de red conecta subredes según la dirección IP de origen de los datagramas. Efectivamente. IPX. La VLAN basada en protocolo permite crear una red virtual por tipo de protocolo (por ejemplo. en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. puesto que la información se encapsula en un nivel adicional y puede ser analizada. Este tipo de VLAN es más flexible que la VLAN basada en puerto. AppleTalk. ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios (direcciones MAC. etc. Este tipo de solución brinda gran flexibilidad. existe la VLAN de nivel 3. Ventajas de la VLAN La VLAN permite definir una nueva red por encima de la red física y. que incluye diferentes tipos. Redes VLAN Qué es una red VLAN Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que agrupa un conjunto de equipos de manera lógica y no física. limitaciones de dirección. números de puertos. es posible liberarse de las limitaciones de la arquitectura física (limitaciones geográficas. Así. se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red. etc. por lo tanto. Por lo tanto. la comunicación entre los diferentes equipos en una red de área local está regida por la arquitectura física. un aumento de la seguridad. TCP/IP.
Protocolos de enlace VLAN.1Q. Ø VLAN nativa Una VLAN nativa está asignada a un puerto troncal 802. Algunos tipos de VLAN se definen según las clases de tráfico. 802. La VLAN 1 es la VLAN de administración de manera predeterminada. Es una práctica común separar el tráfico de voz y de administración del tráfico de datos. así como el tráfico que no proviene de una VLAN (tráfico sin etiquetar).1p. Antes de su introducción existían varios protocolos propietarios. Los puertos de switch que participan en la VLAN predeterminada forman parte del mismo dominio de difusión. Una VLAN que transporta tráfico de administración o de voz no sería una VLAN de datos.1Q admiten el tráfico proveniente de muchas VLAN (tráfico con etiquetas). Ø VLAN predeterminada Todos los puertos de switch se vuelven parte de la VLAN predeterminada después del arranque inicial de un switch que carga la configuración predeterminada.10. Ø VLAN de datos Una VLAN de datos es una VLAN configurada para transportar tráfico generado por usuarios. lo que permite que el switch se administre mediante HTTP. se asigna una dirección IP y una máscara de subred a la interfaz virtual de switch (SVI) de esa VLAN. Los puertos de enlace troncal 802. te aconsejamos que consulte los siguientes documentos: IEEE 802. SSH o SNMP. Las VLAN nativas se definen en la especificación IEEE 802. Los primeros diseñadores de redes enfrentaron el problema del tamaño de los dominios de colisión (Hubs) esto se logró controlar a través de la introducción de los switch o conmutadores pero a su vez se introdujo el problema del aumento del tamaño de los dominios de difusión y una de las formas más eficientes para manejarlo fue la introducción de las VLANs. 2.1Q y 802. 802. como el ISL (Inter-Switch Link) de Cisco. 2.10. Para obtener más información. Para crear la VLAN de administración. IEEE 802.1Q. . y el VLT (Virtual LAN Trunk) de 3Com. El protocolo de etiquetado IEEE 802.1Q a fin de mantener la compatibilidad con el tráfico sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas. Una VLAN nativa funciona como identificador común en extremos opuestos de un enlace troncal. Los puertos de enlace troncal son los enlaces entre switches que admiten la transmisión de tráfico asociado a más de una VLAN. los cuales se utilizan en las redes modernas.1 Tipos VLAN Existen diferentes tipos de redes VLAN. una variante del IEEE 802. Otros tipos de VLAN se definen según la función específica que cumplen.2. Ø VLAN de administración Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades de administración de un switch. Qué estándares definen a las VLAN Las VLAN están definidas por los estándares IEEE 802.1Q y IEEE 802. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros dispositivos en otros puertos de switch.1Q domina el mundo de las VLANs. Telnet. Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. A veces a una VLAN de datos se la denomina VLAN de usuario.1D.1D.
2. Ø La resolución de problemas es examinando los enlaces troncales para ver si existe una falta de concordancia de la VLAN nativa. 2. El router realiza el enrutamiento inter VLAN al aceptar el tráfico proveniente del switch adyacente y reenvía el tráfico enrutado de la VLAN etiquetada para la VLAN de destino. Las VLANs se caracterizan en el nivel 2 (enlace de datos) del modelo OSI. estos errores de configuración generannotificaciones de consola. si bien la robustez de este método es discutible al ser el salto de VLAN (VLAN hopping) un método común de evitar tales medidas de seguridad. Las VLANs también pueden servir para restringir el acceso a recursos de red con independencia de la topología física de ésta. Si dos dispositivos en la misma VLAN tienen direcciones de subred diferentes. hacen que el tráfico de administración y control se dirija erróneamente. los administradores suelen configurar las VLANs como correspondencia directa de una red o subred IP. Estos errores de configuración hacen que el vínculo de enlace troncal deje de funcionar. no se pueden comunicar. Es necesario conectar un router a todas las VLAN. Sub-interfaces Son interfaces virtuales múltiples. Sin embargo. Routeron a stick. Este tipo de configuración incorrecta es un problema común y de fácil resolución al identificar el dispositivo en controversia y cambiar la dirección de subred por una dirección correcta. Ø Cada VLAN debe corresponder a una subred IP única.5 Seguridad En VLAN . lo que les da apariencia de funcionar en el nivel 3 (red).4 Resolución De Problemas De VLAN Ø Faltas de concordancia de la VLAN nativa: los puertos se configuran con diferentes VLAN nativas. Ø Faltas de concordancia del modo de enlace troncal: un puerto de enlace troncal se configura con el modo de enlace troncal "inactivo" y el otro con el modo de enlace troncal "activo". Cada interfaz del switch estaría asignada a una VLAN estática diferente. Los puertos del switch se conectan al router en modo de acceso. por la misma interfaz física. ya sea por medio de interfaces físicas separadas o sub-interfaces de enlace troncal. 3) Configurar una máscara de subred incorrecta.3 Enrutamiento Inter VLAN Es un proceso para reenviar el tráfico de la red desde una VLAN a otra mediante un router. 2. asociadas a una interfaz física. El enrutamiento se realiza mediante la conexión de diferentes interfaces físicas del router a diferentes puertos físicos del switch. Uso del router como Gateway Interfaces y Sub-interfaces Temas de Direccionamiento IP Errores Comunes 1) Configurar dirección IP incorrecta para la subred asociada con la VLAN 2) Configurar una dirección IP incorrecta en la interfaz F0/0. Es un tipo de configuración de router en la cual una interfaz física única enruta el tráfico entre múltiples VLAN en una red.
. con lo que se logra eficiencia en el uso que se le da al ancho de banda y confidencialidad respecto a personas ajenas a la red de área local virtual. ya que la información contenida en los paquetes debe analizarse detenidamente. vamos a explicar un poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su antojo por toda nuestra red. vlan por direcciones ip: Se basa en el encabezado de la capa 3 del modelo OSI. en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. Este tipo de solución brinda gran flexibilidad. También nos permite reducir el trafico en la red ya que solo se transmiten los paquetes a los dispositivos que estén incluidos dentro del dominio de cada vlan. vlan por puerto: Se configura por una cantidad “n” de puertos en el cual podemos indicar que puertos pertenecen a cada vlan. los usuarios que se encuentran del lado interno tienen mucho más poder destructivo que los externos y eso es así gracias a los administradores confiados. permitiendo facilidad de movimiento. Hoy en día la gran mayoría de administradores ya tiene esto en cuenta y los usuarios internos están más controlados. tecnología que ha tenido gran impacto en la administración de redes permitiendonos tener un mayor control sobre el trafico de datos que se presenta en una organización. ESTAS REDES SE CLASIFICAN EN TIPOS DE VLAN: Estáticas: Los puertos del switch están ya pre-asignados a las estaciones de trabajo. vlan por protocolo : Es caracterizada por asignar un protocolo a una vlan. vlan por dirección mac: En esta los miembros de la vlan están especificados en una tabla por su dirección mac. En contrapartida. puede haber una ligera disminución del rendimiento. conecta subredes según la dirección ip de origen de los datagramas. Una vlan es una red de área local virtual que nos permite segmentar una red en subredes a las cuales podemos restringir la comunicación de los dispositivos pertenecientes a una vlan con respecto a otra. En esta unidad abordaremos la temática de vlans. Como este blog nace con la idea de ayudar a los que menos experiencia tienen. el switch es el que se encargara de dirigir las tramas a la vlan correspondiente. UNIDAD II. aunque sea a nivel de aplicación.Todo buen administrador de redes sabe que seguramente el próximo ataque a sus sistemas provenga de su red. REDES VLANS. Por malicia o desconocimiento.
La necesidad de confidencialidad como así el mejor aprovechamiento del ancho de banda disponible dentro de la corporación ha llevado a la creación y crecimiento de las VLANs. ya que la información se encapsula en un nivel adicional y posiblemente se analiza. también estando todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la misma no era aprovechado correctamente. switches o estaciones de trabajo) la definimos como como una subred definida por software y es considerada como un dominio de . VENTAJAS Permite mayor flexibilidad en la administración y en los cambios de la red. El funcionamiento de estas vlans se basa en las direcciones mac. bridges. Uno de los problemas que nos encontramos es el de no poder tener una confidencialidad entre usuarios de la LAN como pueden ser los directivos de la misma. Aumenta la seguridad. direcciones lógicas o protocolos utilizados. debido a que la arquitectura puede cambiarse usando los parámetros de los conmutadores. Una VLAN se encuentra conformada por un conjunto de dispositivos de red interconectados (hubs. Permite la disminución en la transmisión de tráfico en la red. REDES VIRTUALES VLANS Concepto Una red de área local (LAN) esta definida como una red de computadoras dentro de un área geográficamente acotada como puede ser una empresa o una corporación. dando como desventaja la imposibilidad de comunicación entre las LANs para algunos de los usuarios de la misma. Dinámicas: Las vlan dinámicas son puertos del switch que automáticamente determinan a que vlan pertenece cada puesto de trabajo.vlan por nombre de usuario: Se basan en la autenticación del usuario y no por las direcciones mac de los dispositivos. La solución a este problema era la división de la LAN en segmentos físicos los cuales fueran independientes entre si.
Broadcast que pueden estar en el mismo medio físico o bien puede estar sus integrantes ubicados en distintos sectores de la corporación (Figura 1). Figura 1 .
La tecnología de las VLANs se basa en el empleo de Switches. el VTP puede ser utilizado en todas las líneas de conexión incluyendo ISL. conectando un pequeño hub de grupo de trabajo a un puerto de switch o bien se aplica microsegmentación la cual se realiza conectando cada estación de trabajo y cada servidor directamente a puertos de switch teniendo una conexión dedicada dentro de la red. en lugar de hubs. llamados segmentos. con lo que se consigue aumentar considerablemente el ancho de banda a disposición de cada usuario. una mejor utilización del ancho de banda y confidencialidad respecto a personas ajenas a la VLAN. IEEE 810. Por puerto . para que de esta manera la eficiencia de la red entera se incremente. VLAN Estáticas Los puertos del switch están ya preasignados a las estaciones de trabajo. Por otro lado. Una de las ventajas que se pueden notar en las VLAN es la reducción en el trafico de la red ya que solo se transmiten los paquetes a los dispositivos que estén incluidos dentro del dominio de cada VLAN. IEEE 810. alta performance. Tipos de VLAN VLAN de puerto central Es en la que todos los nodos de una VLAN se conectan al mismo puerto del switch. se logra el incremento del ancho de banda en dicho grupo de usuarios. La comunicación que se hace entre switches para interconectar VLANs utiliza un proceso llamado Trunking. al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos. ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico. Segmentación Con los switches se crean pequeños dominios. reducción de latencia.10. facilidad para armar grupos de trabajo.1Q y ATM LANE. de tal manera que esto permite un control mas inteligente del tráfico de la red. El protocolo VLAN Trunk Protocol (VTP) es el que se utiliza para esta conexión.
Para la Figura 1 tendríamos en el Switch 9 puertos de los cuales el 1. el 2. no existen limitaciones en cuanto a los protocolos utilizados. 3 y 8 a la VLAN 2 y los puertos 4. Desventajas: . 6 y 9 a la VLAN 3 como la tabla lo indica (Figura 2). Puerto VLAN 1 1 2 2 3 2 4 3 5 1 6 3 7 1 8 2 9 3 Figura 2 Ventajas: Facilidad de movimientos y cambios. Microsegmentación y reducción del dominio de Broadcast.Se configura por una cantidad “n” de puertos en el cual podemos indicar que puertos pertenecen a cada VLAN. Multiprotocolo: La definición de la VLAN es independiente del o los protocolos utilizados. incluso permitiendo el uso de protocolos dinámicos.5 y 7 pertenecen a la VLAN 1.
89.15.bb.bb.b2.aa 1 12.aa 2 1d.15. También se puede emplear soluciones de DVLAN.15.15.ca 2 12. Complejidad en la administración: En un principio todos los usuarios se deben configurar de forma manual las direcciones MAC de cada una de las estaciones de trabajo.89.1d. Por protocolo .cc. Administración: Un movimiento en las estaciones de trabajo hace necesaria la reconfiguración del puerto del switch al que esta conectado el usuario. Desventajas: Problemas de rendimiento y control de Broadcast: el tráfico de paquetes de tipo Multicast y Broadcast se propagan por todas las VLANs.89.6d. Multiprotocolo.89.aa. MAC VLAN 12.6b. Se pueden tener miembros en múltiples VLANs.aa 1 Figura 3 Ventajas: Facilidad de movimientos: No es necesario en caso de que una terminal de trabajo cambie de lugar la reconfiguración del switch.15.1d. Esto se puede facilitar combinando con mecanismos de LAN Dinámicas.1d.aa 2 aa.bb. Por dirección MAC Los miembros de la VLAN están especificados en una tabla por su dirección MAC (Figura 3).
Protocolo VLAN IP 1 IPX 2 IPX 2 IPX 2 IP 1 Figura 4 Ventajas: Segmentación por protocolo. No soporta protocolos de nivel 2 ni dinámicos. No actúa como router sino para hacer un mapeo de que direcciones IP están autorizadas a entrar en la red VLAN.Asigna a un protocolo una VLAN. Desventajas Problemas de rendimiento y control de Broadcast: Por las búsquedas en tablas de pertenencia se pierde rendimiento en la VLAN. Asignación dinámica. El switch se encarga de dependiendo el protocolo por el cual venga la trama derivarlo a la VLAN correspondiente (Figura 4). Por direcciones IP Esta basado en el encabezado de la capa 3 del modelo OSI. No realiza otros procesos con la dirección IP. Ventajas: . Las direcciones IP a los servidores de VLAN configurados.
. El mayor beneficio de las DVLAN es el menor trabajo de administración dentro del armario de comunicaciones cuando se cambian de lugar las estaciones de trabajo o se agregan y también notificación centralizada cuando un usuario desconocido pretende ingresar en la red. Ventajas: Facilidad de movimiento de los integrantes de la VLAN. El funcionamiento de estas VLANs se basa en las direcciones MAC. Cuando un puesto de trabajo pide autorización para conectarse a la VLAN el switch chequea la dirección MAC ingresada previamente por el administrador en la base de datos de las mismas y automáticamente se configura el puerto al cual corresponde por la configuración de la VLAN. Por nombre de usuario Se basan en la autenticación del usuario y no por las direcciones MAC de los dispositivos. Perdida de tiempo en la lectura de las tablas. Desventajas: En corporaciones muy dinámicas la administración de las tablas de usuarios. VLAN Dinámicas (DVLAN) Las VLAN dinámicas son puertos del switch que automáticamente determinan a que VLAN pertenece cada puesto de trabajo. Complejidad en la administración: En un principio todos los usuarios se deben configurar de forma manual las direcciones MAC de cada una de las estaciones de trabajo. Multiprotocolo. Desventajas: El tamaño de los paquetes enviados es menor que en el caso de utilizar direcciones MAC. Facilidad en los cambios de estaciones de trabajo: Cada estación de trabajo al tener asignada una dirección IP en forma estática no es necesario reconfigurar el switch. direcciones lógicas o protocolos utilizados.
. Para los administradores de las VLAN se crearon una serie de estándares para simular en una red ATM una VLAN. Facilidad de movimientos y cambios. Multiprotocolo. por esta razón se requiere hacer cambios de direcciones MAC a ATM. Ventajas: Facilidad de administración. Por un lado una tecnología orientada a no conexión. Desventajas: Aplicable solo a Ethernet y Token Ring.Capa de Red: ELAN o Redes LAN Emuladas Si bien el concepto de VLAN se creo para las redes LAN. qué es el caso de las LANS y por el otro una orientada a conexión como en el caso de ATM. No explota la calidad de Calidad de servicio (QoS) de ATM. la necesidad llevo a ampliar los horizontes con el crecimiento de las redes ATM. En el caso de las LANS se trabaja con direcciones MAC. mientras en ATM se usan direcciones ATM y se establecen circuitos virtuales permanentes.
En la ilustración. al diseñar la VLAN. El direccionamiento jerárquico de la red significa que los números de red IP se aplican a los segmentos de red o a las VLAN de manera ordenada. Reducción de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones de red costosas y al uso más eficaz de los enlaces y del ancho de banda existentes. Como se muestra en la ilustración. se denominó “Cuerpo Docente” a la VLAN 10. pero hay tres dominios de difusión: Cuerpo docente. como se muestra en la ilustración. se implementan todas las políticas y los procedimientos que ya se configuraron para la VLAN específica cuando se asignan los puertos. lo que permite que la red se tome en cuenta como conjunto. las computadoras del cuerpo docente están en la VLAN 10 y separadas por completo del tráfico de datos de los estudiantes y los Invitados. Los principales beneficios de utilizar las VLAN son los siguientes: Seguridad: los grupos que tienen datos sensibles se separan del resto de la red. se debe tener en cuenta la implementación de un esquema de direccionamiento de red jerárquico. Dominios de difusión reducidos: la división de una red en redes VLAN reduce la cantidad de dispositivos en el dominio de difusión. para facilitar la identificación. Al tener características diferentes. . Los bloques de direcciones de red contiguas se reservan para los dispositivos en un área específica de la red y se configuran en estos. Estudiantes e Invitados. por lo tanto. También es fácil para el personal de TI identificar la función de una VLAN proporcionándole un nombre. “Estudiantes” a la VLAN 20 e “Invitados” a la VLAN 30. Las redes VLAN facilitan el diseño de una red para dar soporte a los objetivos de una organización. Cada VLAN en una red conmutada corresponde a una red IP. Administración más simple de aplicaciones y proyectos: las VLAN agregan dispositivos de red y usuarios para admitir los requisitos geográficos o comerciales. Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los usuarios con requerimientos similares de red comparten la misma VLAN. lo que disminuye las posibilidades de que ocurran violaciones de información confidencial.Segmentación de VLAN Descripción general de las VLAN La productividad de los usuarios y la adaptabilidad de la red son importantes para el crecimiento y el éxito de las empresas. existen seis computadoras en esta red. Como se muestra en la ilustración. se facilita la administración de un proyecto o el trabajo con una aplicación especializada. un ejemplo de este tipo de aplicación es una plataforma de desarrollo de aprendizaje por medios electrónicos para el cuerpo docente. Cuando se dispone de un switch nuevo. Mejor rendimiento: la división de las redes planas de capa 2 en varios grupos de trabajo lógicos (dominios de difusión) reduce el tráfico innecesario en la red y mejora el rendimiento.