Cómo configurar una LAN virtual (VLAN)

Las VLAN están en todas partes. Puede encontrarlos en la mayoría de las organizaciones con una red configurada correctamente. En caso de que no fuera obvio, VLAN significa "Red de área local virtual" y son ubicuas en cualquier red moderna más allá del tamaño de una red de una casa pequeña o una oficina muy pequeña.

Hay algunos protocolos diferentes, muchos de los cuales son específicos del proveedor, pero en esencia, cada VLAN hace lo mismo y los beneficios de la VLAN escalan a medida que su red crece en tamaño y complejidad organizacional.

Esas ventajas son una gran parte de por qué las redes profesionales de todos los tamaños confían tanto en las VLAN. De hecho, sería difícil administrar o escalar redes sin ellos.

Los beneficios y la escalabilidad de las VLAN explican por qué se han vuelto tan omnipresentes en los entornos de red modernos. Sería difícil administrar o escalar incluso redes moderadamente complejas con el usuario de VLAN.

¿Qué es una VLAN?

Bien, ya conoce el acrónimo, pero ¿qué es exactamente una VLAN? El concepto básico debería resultarle familiar a cualquiera que haya trabajado o utilizado servidores virtuales.

Piense por un segundo en cómo funcionan las máquinas virtuales. Varios servidores virtuales residen dentro de una pieza física de hardware que ejecuta un sistema operativo y un hipervisor para crear y ejecutar los servidores virtuales en un único servidor físico. A través de la virtualización, puede convertir efectivamente una sola computadora física en múltiples computadoras virtuales, cada una disponible para tareas y usuarios separados.

Las LAN virtuales funcionan de manera muy similar a los servidores virtuales. Uno o más conmutadores administrados ejecutan el software (similar al software de hipervisor) que permite a los conmutadores crear varios conmutadores virtuales dentro de una red física.

Cada conmutador virtual es su propia red autónoma. La principal diferencia entre los servidores virtuales y las LAN virtuales es que las LAN virtuales se pueden distribuir en varias piezas físicas de hardware con un cable designado llamado troncal.

Cómo funcionaSwitch de 24 puertos

Imagina que estás ejecutando una red para una pequeña empresa en crecimiento, agregando empleados, dividiéndote en departamentos separados y volviéndote más complejo y organizado.

Para responder a estos cambios, actualizó a un conmutador de 24 puertos para acomodar nuevos dispositivos en la red.

Podría considerar simplemente instalar un cable Ethernet en cada uno de los nuevos dispositivos y llamar a la tarea terminada, pero el problema es que el almacenamiento de archivos y los servicios que utiliza cada departamento deben mantenerse separados. Las VLAN son la mejor manera de hacerlo.

Dentro de la interfaz web del conmutador, puede configurar tres VLAN independientes, una para cada departamento. La forma más sencilla de dividirlos es por números de puerto. Puede asignar los puertos 1-8 al primer departamento, asignar los puertos 9-16 al segundo departamento y, finalmente, asignar los puertos 17-24 g al último departamento. Ahora ha organizado su red física en tres redes virtuales.

El software del conmutador puede administrar el tráfico entre los clientes en cada VLAN. Cada VLAN actúa como su propia red y no puede interactuar directamente con las otras VLAN. Ahora, cada departamento tiene su propia red más pequeña, menos desordenada y más eficiente, y puede administrarlos todos a través de la misma pieza de hardware. Esta es una forma muy eficiente y rentable de administrar una red.

Cuando necesite que los departamentos puedan interactuar, puede hacer que lo hagan a través del enrutador en la red. El enrutador puede regular y controlar el tráfico entre las VLAN y hacer cumplir reglas de seguridad más estrictas.

En muchos casos, los departamentos deberán trabajar juntos e interactuar. Puede implementar la comunicación entre las redes virtuales a través del enrutador, estableciendo reglas de seguridad para garantizar la seguridad y privacidad adecuadas de las redes virtuales individuales.

VLAN frente a subred

Las VLAN y las subredes son bastante similares y cumplen funciones similares. Tanto las subredes como las VLAN dividen las redes y los dominios de transmisión. En ambos casos, las interacciones entre subdivisiones solo pueden ocurrir a través de un enrutador.

Las diferencias entre ellos vienen en la forma de su implementación y cómo alteran la estructura de la red.

Subred de dirección IP

Las subredes existen en la capa 3 del modelo OSI, la capa de red. Las subredes son una construcción de nivel de red y se manejan con enrutadores, organizados alrededor de direcciones IP.

Los enrutadores crean rangos de direcciones IP y negocian las conexiones entre ellos. Esto coloca todo el estrés de la gestión de la red en el enrutador. Las subredes también pueden complicarse a medida que su red aumenta en tamaño y complejidad.

VLAN

Las VLAN encuentran su hogar en la capa 2 del modelo OSI. El nivel de enlace de datos está más cerca del hardware y es menos abstracto. Las LAN virtuales emulan el hardware que actúa como conmutadores individuales.

Sin embargo, las LAN virtuales pueden dividir los dominios de transmisión sin necesidad de volver a conectarse a un enrutador, lo que elimina algunas de las cargas de administración del enrutador.

Debido a que las VLAN son sus propias redes virtuales, deben comportarse como si tuvieran un enrutador incorporado. Como resultado, las VLAN contienen al menos una subred y pueden admitir varias subredes.

Las VLAN distribuyen la carga de la red y. varios conmutadores pueden manejar el tráfico dentro de las VLAN sin involucrar al enrutador, lo que lo convierte en un sistema más eficiente.

Ventajas de las VLAN

A estas alturas, ya ha visto algunas de las ventajas que aportan las VLAN. Solo por la virtud de lo que hacen, las VLAN tienen una serie de atributos valiosos.

Las VLAN ayudan con la seguridad. La compartimentación del tráfico limita cualquier oportunidad de acceso no autorizado a partes de una red. También ayuda a detener la propagación de software malicioso, en caso de que llegue a la red. Los intrusos potenciales no pueden usar herramientas como Wireshark para detectar paquetes en cualquier lugar más allá de la LAN virtual en la que se encuentran, lo que también limita esa amenaza.

La eficiencia de la red es un gran problema. La implementación de VLAN puede ahorrarle o costarle a una empresa miles de dólares. La división de los dominios de transmisión aumenta enormemente la eficiencia de la red al limitar la cantidad de dispositivos involucrados en la comunicación al mismo tiempo. VLAN reduce la necesidad de implementar enrutadores para administrar redes.

A menudo, los ingenieros de redes eligen construir LAN virtuales por servicio, separando el tráfico importante o intensivo de la red, como una red de área de almacenamiento (SAN) o voz sobre IP (VOIP). Algunos conmutadores también permiten que un administrador priorice las VLAN, lo que brinda más recursos para el tráfico crítico más exigente y faltante.

Las VLAN son importantes

Sería terrible tener que construir una red física independiente para separar el tráfico. Imagínese la intrincada maraña de cableado con el que tendría que luchar para realizar cambios. Eso no quiere decir nada por el aumento del costo del hardware y el consumo de energía. También sería tremendamente inflexible. Las VLAN resuelven todos estos problemas virtualizando varios conmutadores en una sola pieza de hardware.

Las VLAN brindan un alto grado de flexibilidad a los administradores de red a través de una conveniente interfaz de software. Digamos que dos departamentos cambian de oficina. ¿El personal de TI tiene que desplazarse por el hardware para adaptarse al cambio? No. Simplemente pueden reasignar puertos en los conmutadores a las VLAN correctas. Algunas configuraciones de VLAN ni siquiera lo requerirían. Se adaptarían dinámicamente. Estas VLAN no requieren puertos asignados. En cambio, se basan en direcciones MAC o IP. De cualquier manera, no es necesario mezclar conmutadores o cables. Es mucho más eficiente y rentable implementar una solución de software para cambiar la ubicación de una red que mover el hardware físico.

VLAN estáticas frente a dinámicas

Hay dos tipos básicos de VLAN, categorizados por la forma en que las máquinas están conectadas a ellas. Cada tipo tiene fortalezas y debilidades que deben tenerse en cuenta en función de la situación particular de la red.

VLAN estática

Las VLAN estáticas a menudo se denominan VLAN basadas en puertos porque los dispositivos se unen al conectarse a un puerto asignado. Hasta ahora, esta guía solo ha utilizado VLAN estáticas como ejemplos.

Al configurar una red con VLAN estáticas, un ingeniero dividiría un conmutador por sus puertos y asignaría cada puerto a una VLAN. Cualquier dispositivo que se conecte a ese puerto físico se unirá a esa VLAN.

Las VLAN estáticas proporcionan redes muy simples y fáciles de configurar sin depender demasiado del software. Sin embargo, es difícil restringir el acceso dentro de una ubicación física porque una persona simplemente puede conectarse. Las VLAN estáticas también requieren que un administrador de red cambie las asignaciones de puertos en caso de que alguien en la red cambie las ubicaciones físicas.

VLAN dinámica

Las VLAN dinámicas dependen en gran medida del software y permiten un alto grado de flexibilidad. Un administrador puede asignar direcciones MAC e IP a VLAN específicas, lo que permite un movimiento sin obstáculos en el espacio físico. Las máquinas en una LAN virtual dinámica pueden moverse a cualquier lugar dentro de la red y permanecer en la misma VLAN.

Aunque las VLAN dinámicas son imbatibles en términos de adaptabilidad, tienen algunos inconvenientes graves. Un conmutador de gama alta debe asumir el papel de un servidor conocido como servidor de políticas de administración de VLAN (VMPS (para almacenar y entregar información de dirección a los otros conmutadores de la red). Un VMPS, como cualquier servidor, requiere una gestión y un mantenimiento regulares. y está sujeto a un posible tiempo de inactividad.

Los atacantes pueden falsificar direcciones MAC y obtener acceso a VLAN dinámicas, lo que agrega otro desafío de seguridad potencial.

Configurar una VLAN

Que necesitas

Hay un par de elementos básicos que necesita para configurar una VLAN o varias VLAN. Como se indicó anteriormente, existen varios estándares diferentes, pero el más universal es el IEEE 802.1Q. Ese es el que seguirá este ejemplo.

Enrutador

Técnicamente, no necesita un enrutador para configurar una VLAN, pero si desea que interactúen varias VLAN, necesitará un enrutador.

Muchos enrutadores modernos admiten la funcionalidad VLAN de una forma u otra. Es posible que los enrutadores domésticos no admitan VLAN o solo lo admitan en una capacidad limitada. El firmware personalizado como DD-WRT lo admite más a fondo.

Hablando de personalización, no necesita un enrutador estándar para trabajar con sus LAN virtuales. El firmware de enrutador personalizado generalmente se basa en un sistema operativo similar a Unix, como Linux o FreeBSD, por lo que puede construir su propio enrutador utilizando uno de esos sistemas operativos de código abierto.

Toda la funcionalidad de enrutamiento que necesita está disponible para Linux, y puede configurar de manera personalizada una instalación de Linux para adaptar su enrutador a sus necesidades específicas. Si busca algo que tenga más funciones, consulte pfSense. pfSense es una excelente distribución de FreeBSD construida para ser una sólida solución de enrutamiento de código abierto. Es compatible con VLAN e incluye un firewall para proteger mejor el tráfico entre sus redes virtuales.

Cualquiera que sea la ruta que elija, asegúrese de que sea compatible con las funciones de VLAN que necesita.

Switch gestionado

Los conmutadores están en el corazón de las redes VLAN. Allí es donde ocurre la magia. Sin embargo, necesita un conmutador administrado para aprovechar la funcionalidad de VLAN.

Para llevar las cosas a un nivel más alto, literalmente, hay conmutadores administrados de capa 3 disponibles. Estos conmutadores pueden manejar parte del tráfico de red de capa 3 y pueden reemplazar a un enrutador en algunas situaciones.

Es importante tener en cuenta que estos conmutadores no son enrutadores y su funcionalidad es limitada. Los conmutadores de capa 3 reducen la probabilidad de latencia de la red, lo que puede ser crítico en algunos entornos donde es fundamental tener una red de latencia muy baja.

Tarjetas de interfaz de red de cliente (NIC)

Las NIC que utiliza en sus equipos cliente deben admitir 802.1Q. Lo más probable es que sí, pero es algo que hay que analizar antes de seguir adelante.

Configuracion basica

Aquí está la parte difícil. Hay miles de posibilidades diferentes sobre cómo configurar su red. Ninguna guía puede cubrirlos todos. En el fondo, las ideas detrás de casi cualquier configuración son las mismas, al igual que el proceso general.

Configuración del enrutador

Puede empezar de dos formas distintas. Puede conectar el enrutador a cada conmutador o cada VLAN. Si opta por cada conmutador, deberá configurar el enrutador para diferenciar el tráfico.

Luego, puede configurar su enrutador para manejar el tráfico de paso entre VLAN.

Configurar los interruptores

Las VLAN necesitan conmutadores

Suponiendo que se trata de VLAN estáticas, puede ingresar a la utilidad de administración de VLAN de su conmutador a través de su interfaz web y comenzar a asignar puertos a diferentes VLAN. Muchos conmutadores utilizan un diseño de tabla que le permite marcar opciones para los puertos.

Si está utilizando varios conmutadores, asigne uno de los puertos a todas sus VLAN y configúrelo como puerto troncal. Haga esto en cada interruptor. Luego, use esos puertos para conectarse entre los conmutadores y distribuir sus VLAN en varios dispositivos.

Conectando Clientes

Finalmente, conseguir clientes en la red es bastante evidente. Conecte sus máquinas cliente a los puertos correspondientes a las VLAN en las que las desea.

VLAN en casa

Aunque no se considere una combinación lógica, las VLAN tienen una gran aplicación en el espacio de las redes domésticas, las redes de invitados. Si no tiene ganas de configurar una red WPA2 Enterprise en su hogar y crear individualmente credenciales de inicio de sesión para sus amigos y familiares, puede usar las VLAN para restringir el acceso de sus invitados a los archivos y servicios de su red doméstica.

Muchos enrutadores domésticos de gama alta y firmware de enrutador personalizado admiten la creación de VLAN básicas. Puede configurar una VLAN invitada con su propia información de inicio de sesión para permitir que sus amigos conecten sus dispositivos móviles. Si su enrutador lo admite, una VLAN de invitado es una excelente capa de seguridad adicional para evitar que la computadora portátil plagada de virus de su amigo arruine su red limpia.