Les VLAN estan a tot arreu. Els podeu trobar a la majoria de les organitzacions amb una xarxa correctament configurada. En cas que no fos obvi, VLAN significa "Xarxa d'àrea local virtual" i són omnipresents en qualsevol xarxa moderna més enllà de la mida d'una petita llar o una xarxa d'oficines molt petita.
Hi ha uns quants protocols diferents, molts dels quals són específics del proveïdor, però en el seu nucli, totes les VLAN fan pràcticament el mateix i els beneficis de les VLAN s'escalfen a mesura que la vostra xarxa creix en mida i complexitat organitzativa.
Aquests avantatges són una gran part de per què les xarxes professionals de totes les mides depenen tant de les VLAN. De fet, seria difícil gestionar o escalar xarxes sense ells.
Els avantatges i l'escalabilitat de les VLAN expliquen per què s'han tornat tan omnipresents als entorns de xarxa moderns. Seria difícil gestionar o escalar fins i tot xarxes moderadament complexes amb l'usuari de VLAN.
Què és una VLAN?
D'acord, coneixeu l'acrònim, però què és exactament una VLAN? El concepte bàsic hauria de ser familiar per a qualsevol persona que hagi treballat o utilitzat servidors virtuals.
Penseu un segon com funcionen les màquines virtuals. Diversos servidors virtuals resideixen dins d'una peça física de maquinari que executa un sistema operatiu i un hipervisor per crear i executar els servidors virtuals a l'únic servidor físic. Mitjançant la virtualització, podeu convertir de manera efectiva un únic ordinador físic en diversos ordinadors virtuals, cadascun disponible per a tasques i usuaris diferents.
Les LAN virtuals funcionen de la mateixa manera que els servidors virtuals. Un o més commutadors gestionats executen el programari (similar al programari d'hipervisor) que permet als commutadors crear diversos commutadors virtuals dins d'una xarxa física.
Cada commutador virtual és la seva pròpia xarxa autònoma. La principal diferència entre els servidors virtuals i les LAN virtuals és que les LAN virtuals es poden distribuir entre diverses peces físiques de maquinari amb un cable designat anomenat tronc.
Com funciona
Imagineu que esteu gestionant una xarxa per a una petita empresa en creixement, afegint empleats, dividint-vos en departaments separats i fent-vos més complexos i organitzats.
Per respondre a aquests canvis, heu actualitzat a un commutador de 24 ports per acomodar nous dispositius a la xarxa.
Podríeu plantejar-vos només executar un cable Ethernet a cadascun dels nous dispositius i trucar a la tasca realitzada, però el problema és que l'emmagatzematge de fitxers i els serveis que utilitza cada departament s'han de mantenir separats. Les VLAN són la millor manera de fer-ho.
Dins de la interfície web del commutador, podeu configurar tres VLAN separades, una per a cada departament. La manera més senzilla de dividir-los és per números de port. Podeu assignar els ports 1-8 al primer departament, assignar els ports 9-16 al segon departament i, finalment, assignar els ports 17-24 g a l'últim departament. Ara heu organitzat la vostra xarxa física en tres xarxes virtuals.
El programari de l'interruptor pot gestionar el trànsit entre els clients de cada VLAN. Cada VLAN actua com a xarxa pròpia i no pot interactuar directament amb les altres VLAN. Ara, cada departament té la seva pròpia xarxa més petita, menys desordenada i més eficient, i podeu gestionar-les totes mitjançant el mateix maquinari. Aquesta és una manera molt eficient i rendible de gestionar una xarxa.
Quan necessiteu que els departaments puguin interactuar, podeu fer que ho facin a través del router de la xarxa. L'encaminador pot regular i controlar el trànsit entre les VLAN i fer complir regles de seguretat més estrictes.
En molts casos, els departaments hauran de treballar junts i interactuar. Podeu implementar la comunicació entre les xarxes virtuals mitjançant l'encaminador, establint regles de seguretat per garantir la seguretat i la privadesa adequades de les xarxes virtuals individuals.
VLAN vs. subxarxa
Les VLAN i les subxarxes són en realitat força similars i tenen funcions similars. Tant les subxarxes com les VLAN divideixen les xarxes i els dominis de difusió. En ambdós casos, les interaccions entre subdivisions només es poden produir mitjançant un encaminador.
Les diferències entre ells venen en la forma de la seva implementació i com alteren l'estructura de la xarxa.
Subxarxa de l'adreça IP
Les subxarxes existeixen a la capa 3 del model OSI, la capa de xarxa. Les subxarxes són una construcció a nivell de xarxa i es gestionen amb encaminadors, organitzant-se al voltant d'adreces IP.
Els encaminadors tallen rangs d'adreces IP i negocien les connexions entre elles. Això posa tota l'estrès de la gestió de la xarxa al router. Les subxarxes també es poden complicar a mesura que la vostra xarxa augmenta en mida i complexitat.
VLAN
Les VLAN troben la seva llar a la capa 2 del model OSI. El nivell d'enllaç de dades és més proper al maquinari i menys abstracte. Les LAN virtuals emulen el maquinari actuant com a commutadors individuals.
Tanmateix, les LAN virtuals poden trencar dominis de difusió sense necessitat de connectar-se de nou a un encaminador, eliminant algunes de les càrregues de gestió de l'encaminador.
Com que les VLAN són les seves pròpies xarxes virtuals, s'han de comportar com si tinguessin un encaminador integrat. Com a resultat, les VLAN contenen almenys una subxarxa i poden suportar diverses subxarxes.
Les VLAN distribueixen la càrrega de la xarxa i. diversos commutadors poden gestionar el trànsit dins de les VLAN sense implicar l'encaminador, cosa que fa que el sistema sigui més eficient.
Avantatges de les VLAN
A hores d'ara, ja heu vist un parell dels avantatges que aporten les VLAN. Només en virtut del que fan, les VLAN tenen una sèrie d'atributs valuosos.
Les VLAN ajuden amb la seguretat. La compartimentació del trànsit limita qualsevol oportunitat d'accés no autoritzat a parts d'una xarxa. També ajuda a aturar la propagació de programari maliciós, en cas que algun trobi el seu camí a la xarxa. Els intrusos potencials no poden utilitzar eines com Wireshark per detectar paquets en qualsevol lloc més enllà de la LAN virtual on es troben, limitant també aquesta amenaça.
L'eficiència de la xarxa és un gran problema. Pot estalviar o costar milers de dòlars a una empresa per implementar VLAN. La ruptura dels dominis de difusió augmenta considerablement l'eficiència de la xarxa en limitar el nombre de dispositius implicats en la comunicació alhora. La VLAN redueix la necessitat de desplegar encaminadors per gestionar les xarxes.
Sovint, els enginyers de xarxa opten per construir LAN virtuals per servei, separant el trànsit important o intensiu de xarxa com una xarxa d'àrea d'emmagatzematge (SAN) o veu sobre IP (VOIP). Alguns commutadors també permeten a un administrador prioritzar les VLAN, donant més recursos al trànsit més exigent i crític que falta.
Seria terrible haver de construir una xarxa física independent per separar el trànsit. Imagineu l'embolic complicat de cablejat amb el qual hauríeu de lluitar per fer canvis. Això no vol dir res de l'augment del cost del maquinari i l'absorció d'energia. També seria molt inflexible. Les VLAN resolen tots aquests problemes virtualitzant diversos commutadors en una sola peça de maquinari.
Les VLAN proporcionen un alt grau de flexibilitat als administradors de xarxa mitjançant una interfície de programari convenient. Digues que dos departaments es canvien d'oficina. El personal informàtic s'ha de moure pel maquinari per adaptar-se al canvi? No. Només poden reassignar els ports dels commutadors a les VLAN correctes. Algunes configuracions de VLAN ni tan sols ho requeririen. S'adaptarien dinàmicament. Aquestes VLAN no requereixen ports assignats. En canvi, es basen en adreces MAC o IP. De qualsevol manera, no cal remenar interruptors ni cables. És molt més eficient i rendible implementar una solució de programari per canviar la ubicació d'una xarxa que moure el maquinari físic.
VLAN estàtiques versus dinàmiques
Hi ha dos tipus bàsics de VLAN, categoritzats per la manera com s'hi connecten les màquines. Cada tipus té punts forts i febles que s'han de tenir en compte en funció de la situació particular de la xarxa.
VLAN estàtica
Les VLAN estàtiques sovint s'anomenen VLAN basades en ports perquè els dispositius s'uneixen connectant-se a un port assignat. Aquesta guia només ha utilitzat VLAN estàtiques com a exemples fins ara.
En configurar una xarxa amb VLAN estàtiques, un enginyer dividiria un commutador pels seus ports i assignaria cada port a una VLAN. Qualsevol dispositiu que es connecti a aquest port físic s'unirà a aquesta VLAN.
Les VLAN estàtiques proporcionen xarxes molt senzilles i fàcils de configurar sense dependre massa del programari. Tanmateix, és difícil restringir l'accés dins d'una ubicació física perquè una persona simplement es pot connectar. Les VLAN estàtiques també requereixen que un administrador de xarxa canviï les assignacions de ports en cas que algú de la xarxa canviï d'ubicacions físiques.
VLAN dinàmica
Les VLAN dinàmiques depenen molt del programari i permeten un alt grau de flexibilitat. Un administrador pot assignar adreces MAC i IP a VLAN específiques, permetent el moviment lliure a l'espai físic. Les màquines d'una LAN virtual dinàmica es poden moure a qualsevol lloc de la xarxa i romandre a la mateixa VLAN.
Tot i que les VLAN dinàmiques són immillorables en termes d'adaptabilitat, tenen alguns inconvenients greus. Un commutador de gamma alta ha d'assumir el paper d'un servidor conegut com a servidor de polítiques de gestió de VLAN (VMPS (per emmagatzemar i lliurar informació d'adreces als altres commutadors de la xarxa. Un VMPS, com qualsevol servidor, requereix una gestió i un manteniment regulars). i està subjecte a possibles temps morts.
Els atacants poden falsificar adreces MAC i accedir a VLAN dinàmiques, afegint un altre repte potencial de seguretat.
Configuració d'una VLAN
Què necessites
Hi ha un parell d'elements bàsics que necessiteu per configurar una VLAN o diverses VLAN. Com s'ha dit abans, hi ha una sèrie d'estàndards diferents, però el més universal és l'IEEE 802.1Q. Aquest és el que seguirà aquest exemple.
Encaminador
Tècnicament, no necessiteu un encaminador per configurar una VLAN, però si voleu que interactuïn diverses VLAN, necessitareu un encaminador.
Molts encaminadors moderns admeten la funcionalitat VLAN d'una forma o altra. És possible que els encaminadors domèstics no admeten VLAN o només l'admeten en una capacitat limitada. El microprogramari personalitzat com DD-WRT l'admet més a fons.
Parlant de personalització, no necessiteu un encaminador disponible per treballar amb les vostres LAN virtuals. El microprogramari d'encaminador personalitzat normalment es basa en un sistema operatiu similar a Unix, com ara Linux o FreeBSD, de manera que podeu crear el vostre propi encaminador utilitzant qualsevol d'aquests sistemes operatius de codi obert.
Tota la funcionalitat d'encaminament que necessiteu està disponible per a Linux i podeu configurar una instal·lació de Linux personalitzada per adaptar el vostre encaminador a les vostres necessitats específiques. Per a alguna cosa que tingui més funcions completes, consulteu pfSense. pfSense és una excel·lent distribució de FreeBSD creada per ser una solució d'encaminament de codi obert robusta. Admet VLAN i inclou un tallafoc per protegir millor el trànsit entre les vostres xarxes virtuals.
Sigui quina sigui la ruta que trieu, assegureu-vos que admet les funcions de VLAN que necessiteu.
Interruptor gestionat
Els commutadors es troben al cor de les xarxes VLAN. Ells són on passa la màgia. Tanmateix, necessiteu un commutador gestionat per aprofitar la funcionalitat de la VLAN.
Per portar les coses a un nivell més alt, literalment, hi ha commutadors gestionats de capa 3 disponibles. Aquests commutadors són capaços de gestionar part del trànsit de xarxa de capa 3 i poden substituir un encaminador en algunes situacions.
És important tenir en compte que aquests commutadors no són encaminadors i la seva funcionalitat és limitada. Els commutadors de capa 3 redueixen la probabilitat de latència de la xarxa, que pot ser fonamental en alguns entorns on és fonamental tenir una xarxa de latència molt baixa.
Targetes d'interfície de xarxa de client (NIC)
Les NIC que utilitzeu a les vostres màquines client haurien de ser compatibles amb 802.1Q. El més probable és que ho facin, però és una cosa que cal mirar abans d'avançar.
Configuració bàsica
Aquí està la part difícil. Hi ha milers de possibilitats diferents de com podeu configurar la vostra xarxa. Cap guia pot cobrir-los tots. En el seu fons, les idees darrere de gairebé qualsevol configuració són les mateixes, i també ho és el procés general.
Configuració del router
Podeu començar de dues maneres diferents. Podeu connectar l'encaminador a cada commutador o a cada VLAN. Si opteu només per cada commutador, haureu de configurar l'encaminador per diferenciar el trànsit.
A continuació, podeu configurar el vostre encaminador per gestionar el trànsit de pas entre VLAN.
Configuració dels interruptors
Suposant que es tracta de VLAN estàtiques, podeu introduir la utilitat de gestió de VLAN del vostre commutador a través de la seva interfície web i començar a assignar ports a diferents VLAN. Molts commutadors utilitzen un disseny de taula que us permet marcar les opcions dels ports.
Si utilitzeu diversos commutadors, assigneu un dels ports a totes les vostres VLAN i configureu-lo com a port troncal. Feu això a cada interruptor. A continuació, utilitzeu aquests ports per connectar-vos entre els commutadors i difondre les vostres VLAN a diversos dispositius.
Connectant clients
Finalment, aconseguir clients a la xarxa s'explica per si mateix. Connecteu les vostres màquines client als ports corresponents a les VLAN en què voleu que estiguin.
VLAN a casa
Tot i que potser no es veu com una combinació lògica, les VLAN en realitat tenen una gran aplicació a l'espai de xarxes domèstiques, les xarxes de convidats. Si no us ve de gust configurar una xarxa WPA2 Enterprise a casa vostra i crear individualment credencials d'inici de sessió per als vostres amics i familiars, podeu utilitzar les VLAN per restringir l'accés que tenen els vostres convidats als fitxers i serveis de la vostra xarxa domèstica.
Molts encaminadors domèstics de gamma alta i microprogramari d'encaminador personalitzat admeten la creació de VLAN bàsiques. Podeu configurar una VLAN convidada amb la seva pròpia informació d'inici de sessió per permetre als vostres amics connectar els seus dispositius mòbils. Si el vostre encaminador ho admet, una VLAN convidada és una gran capa de seguretat afegida per evitar que l'ordinador portàtil del vostre amic plagat de virus enfonsi la vostra xarxa neta.
