Red de área local virtual

Una red de área local virtual ( VLAN ) es una subred lógica ( segmento (red) ) dentro de un conmutador o una red física completa . Puede extenderse a través de múltiples conmutadores. Una VLAN divide las redes físicas en subredes al garantizar que los conmutadores con capacidad para VLAN no reenvíen tramas ( paquetes de datos ) a otra VLAN (aunque las subredes se pueden conectar a conmutadores compartidos).

Razones y ventajas así como desventajas

Hoy en día, las redes locales generalmente se configuran con la ayuda de componentes activos que funcionan en el nivel 2 de OSI . Por lo general, estos componentes son interruptores . Gracias a las implementaciones de conmutadores que son comunes en la actualidad, que generalmente operan las conexiones en modo dúplex completo y funcionan sin colisiones, también se pueden configurar LAN muy grandes pero de alto rendimiento con algunos cientos o miles de estaciones.

Una subdivisión de tales redes puede ser deseable por varias razones:

flexibilidad
al asignar dispositivos finales a segmentos de red, independientemente de la ubicación de la estación base.
Aspectos de desempeño
Por ejemplo, cierto tráfico de datos, como VoIP, puede tener lugar en una VLAN que se prioriza durante la transmisión. Sin embargo, a menudo, solo desea reducir el tamaño de los dominios de transmisión para que las transmisiones no se extiendan por toda la red.
Aspectos de seguridad
Las VLAN pueden proteger las redes contra el espionaje y las escuchas mejor que las redes basadas en conmutadores. Las redes basadas en conmutadores solían tener una ventaja de seguridad; de facto, este ya no es el caso hoy en día, ya que existe una gran cantidad de opciones de ataque para ellos, como MAC flooding o MAC spoofing . Las VLAN, por otro lado, son más robustas, ya que los enrutadores se utilizan para conectar las VLAN , que son inherentemente insensibles a los ataques de Capa 2 . Además, el encaminamiento ofrece la posibilidad de utilizar servidores de seguridad en una capa de 3 bases , lo que abre una selección más grande de sistemas de cortafuegos (porque la capa 2 a base de cortafuegos son relativamente raros). Sin embargo, debe tener especial cuidado con las VLAN dinámicas o los sistemas que funcionan en modo de aprendizaje automático (consulte los tipos de conmutadores ). Estos también pueden verse comprometidos de la misma manera que los conmutadores y, por lo tanto, pueden hacer que la ganancia deseada en seguridad de las implementaciones de VLAN sea ineficaz.

Los dos últimos aspectos también podrían lograrse mediante un cableado adecuado y el uso de varios conmutadores y enrutadores. Sin embargo, al usar VLAN, esto se puede lograr independientemente del cableado físico que generalmente está disponible y solo se puede expandir con un gran esfuerzo, lo que, además de una mayor flexibilidad, también puede tener sentido económico: los dispositivos compatibles con VLAN son ciertamente más costosos , pero puede reemplazar varios dispositivos individuales.

Asignación de tráfico de datos a VLAN

Las subredes se pueden asignar a una VLAN de forma estática a través de la asignación de puertos en los conmutadores, a través de marcas especiales en los paquetes (etiquetas) o dinámicamente (por ejemplo, a través de direcciones MAC , direcciones IP hasta puertos TCP y UDP y protocolos superiores). También es posible asignar un puerto a una VLAN después de la autenticación del usuario, p. Ej. B. posible usando 802.1X .

Cada VLAN forma (como un segmento de red normal y físicamente separado) su propio dominio de transmisión. Se requiere un enrutador para transmitir de manera transparente el tráfico entre las VLAN . Los interruptores modernos proporcionan esta función internamente; luego se habla de un interruptor de capa 3 .

La superioridad de las VLAN en comparación con la asignación física a diferentes subredes se basa en el hecho de que un cliente puede cambiar de una VLAN a otra en el elemento de acoplamiento (conmutador multicapa, enrutador) sin tener que cambiar una conexión física.

Conexión de conmutadores VLAN

Si una VLAN se extiende sobre varios conmutadores, se requiere un enlace (cable) separado para su conexión para cada VLAN, o se utilizan los denominados troncales VLAN (VLT). El método corresponde a la multiplexación asíncrona . Por lo tanto, se utiliza un VLT para reenviar datos de las diferentes VLAN a través de una sola conexión. Tanto los puertos individuales como los puertos agrupados (consulte la agregación de enlaces ) se pueden utilizar para este propósito.

Tipos de VLAN

Los conmutadores más antiguos con capacidad para VLAN solo pueden manejar VLAN basadas en puertos que debían configurarse estáticamente. Solo más tarde se desarrollaron las VLAN dinámicas y las VLAN etiquetadas patentadas . En última instancia, las VLAN etiquetadas estandarizadas basadas en IEEE 802.1Q que dominan en la actualidad surgieron de las VLAN etiquetadas patentadas .

VLAN basadas en puertos

Las VLAN basadas en puertos son la forma original de las VLAN. Los conmutadores administrables se utilizan para segmentar un puerto de red físico por puerto en varias redes lógicas asignando un puerto a una VLAN. Las etiquetas presentes en la trama se eliminan del conmutador antes de que se reenvíe. Aquí se habla de un puerto sin etiquetar . Las VLAN basadas en puertos también se pueden expandir a través de múltiples conmutadores. Hoy en día se utiliza un puerto troncal (un puerto configurado como etiquetado ) para esto. Para conectar las redes segmentadas de esta manera si es necesario, z. B. se utiliza un enrutador. Además, pertenecen a las configuraciones de VLAN estáticas y, por así decirlo, forman el polo opuesto a las VLAN dinámicas . Un puerto se puede configurar como etiquetado y sin etiquetar . Esto es z. Este es el caso, por ejemplo, cuando varios dispositivos (por ejemplo, teléfono VoIP y PC de escritorio) están conectados a través de un puerto.

VLAN etiquetadas

El formato de bloque de datos Ethernet Ethernet-II según IEEE 802.3 con etiqueta VLAN 802.1Q, que se utiliza casi exclusivamente en la actualidad

Las VLAN etiquetadas basadas en paquetes difieren de las VLAN antiguas, sin etiquetas y basadas en puertos. El término etiquetado se deriva del término inglés etiquetas de material ( etiquetas utilizadas para marcar productos). Las VLAN etiquetadas son redes que utilizan paquetes de red que tienen una etiqueta VLAN adicional.

El etiquetado en VLAN también se utiliza cuando las VLAN son, p. Ej. B. se extienden a través de varios conmutadores, como puertos troncales. Las tramas están marcadas aquí, lo que muestra que pertenecen a la VLAN respectiva.

Las etiquetas agregan información específica de VLAN a la trama. Esta categoría incluye VLAN basadas en IEEE 802.1Q , puente de ruta más corta , protocolo de enlace entre conmutadores (ISL) de Cisco o etiquetado VLT (troncal de LAN virtual ) de 3Com . Para que la tecnología VLAN de acuerdo con 802.1q siga siendo transparente para computadoras y sistemas más antiguos en una red, los conmutadores deben poder agregar y eliminar estas etiquetas según sea necesario.

En el caso de las VLAN basadas en puertos (es decir, paquetes que no tienen una etiqueta), generalmente se agrega una etiqueta de VLAN para reenviar un paquete de datos a través de un tronco antes de que se alimente al tronco, etiqueta que identifica la VLAN a la que el paquete pertenece. El interruptor del lado del receptor debe quitarlo de nuevo. Con las VLAN etiquetadas de acuerdo con IEEE 802.1Q, por otro lado, los paquetes son etiquetados por el dispositivo final (por ejemplo, un servidor con capacidad de etiquetado) o por el conmutador en el puerto de alimentación. Por lo tanto, un conmutador puede inyectar un paquete en un tronco sin ningún cambio. Si un conmutador recibe una trama con una etiqueta VLAN de acuerdo con IEEE 802.1Q en un puerto VLT (puerto troncal), también puede reenviarla sin cambios. Solo el conmutador en el puerto de recepción tiene que distinguir si está suministrando un dispositivo con capacidad de etiquetado (entonces la trama puede permanecer sin cambios) o si es un dispositivo sin capacidad de etiquetado que pertenece a la VLAN actual (entonces la etiqueta debe ser eliminado). Para hacer esto, la ID de VLAN asociada debe almacenarse en el conmutador. Dado que todos los paquetes están marcados con etiquetas VLAN de acuerdo con IEEE 802.1Q, a una troncal se le deben asignar todas las ID de VLAN que debe reenviar o se debe configurar para reenviar todas las VLAN. Si se reciben paquetes sin una etiqueta en un puerto troncal, se pueden asignar a una VLAN predeterminada (el conmutador adjunta la etiqueta más tarde) o se descartan, según la configuración.

Si un conmutador recibe en uno de sus puertos, p. Ej. Si, por ejemplo, los paquetes sin etiquetas VLAN (también llamados tramas nativas) se envían desde un dispositivo más antiguo, el usuario debe encargarse de adjuntar la etiqueta él mismo. Para este propósito, se asigna una ID de VLAN al puerto correspondiente, ya sea por defecto o por administración. El conmutador que entrega el paquete debe proceder de la misma manera si el sistema de destino no puede manejar etiquetas (la etiqueta debe eliminarse).

El aprendizaje automático de las configuraciones que pertenecen a los VLT (puertos troncales) es estándar hoy en día con la mayoría de los conmutadores con capacidad para VLAN. Un conmutador debe poder manejar operaciones mixtas de paquetes que no conocen y contienen etiquetas, así como paquetes que ya tienen etiquetas. Los VLT se aprenden de la misma manera que se aprenden las direcciones MAC: si el switch recibe un paquete con una ID de VLAN, primero asigna el puerto a esta VLAN. Si recibe paquetes con diferentes ID de VLAN en un puerto en un período corto de tiempo, este puerto se identifica como VLT y se utiliza como troncal. Los conmutadores simples (sin opciones de gestión) suelen formar una VLAN nativa adicional para todos los paquetes que no contienen etiquetas. Por lo general, estos paquetes se dejan como están. Un puerto troncal se trata aquí como un puerto normal (enlace ascendente). Alternativamente, se puede agregar una etiqueta predeterminada.

A diferencia de VLT, el término troncal se usa a menudo con un significado completamente diferente; consulte también agrupación (transmisión de datos) .

En general, la seguridad ya no debe contarse entre las características de VLAN etiquetadas. Los interruptores pueden verse comprometidos de muchas formas y, por lo tanto, siempre deben clasificarse como inseguros. Pero también puede comenzar directamente con el cableado. Existen, por ejemplo, pinzas de medición como accesorios para dispositivos de análisis de redes profesionales que se conectan externamente directamente a un cable y miden el campo electromagnético bajo. De esta forma, todo el tráfico de datos que circula por este cable se puede leer y grabar completamente inadvertido. Por el contrario, solo el cifrado fuerte (por ejemplo, con IPsec ), que algunas tarjetas LAN implementan directamente en el hardware, puede ayudar .

Asignación de una ID de VLAN

VLAN estáticas

Una configuración de VLAN se asigna permanentemente a un puerto de un conmutador. Luego pertenece a una VLAN basada en puerto , a una VLAN sin etiquetar o es un puerto que pertenece a varias VLAN. Con las VLAN estáticas, la configuración de un puerto está predefinida por el administrador. No depende del contenido de los paquetes y, a diferencia de las VLAN dinámicas, no se puede cambiar. Esto significa que el dispositivo final solo puede comunicarse en un puerto con las VLAN asignadas. Si un puerto pertenece a varias VLAN, es una troncal de VLAN y, por lo general, se usa para extender las VLAN a través de varios conmutadores.

La capacidad de asignar un puerto a múltiples VLAN significa que los enrutadores y servidores también se pueden conectar a múltiples VLAN a través de una sola conexión sin tener que tener una interfaz de red física para cada subred. Esto significa que un solo dispositivo, incluso sin un enrutador, puede ofrecer sus servicios en varias VLAN sin que las estaciones de las diferentes VLAN puedan comunicarse entre sí.
Estos enlaces troncales de VLAN no deben confundirse con los enlaces troncales en el sentido de agregación de enlaces , en los que se agrupan varias rutas de transmisión física para aumentar el rendimiento.

VLAN dinámicas

Con la implementación dinámica de una VLAN, la asociación de una trama con una VLAN se determina sobre la base de ciertos contenidos de la trama. Dado que todo el contenido de las tramas se puede manipular prácticamente a voluntad, se debe evitar el uso de VLAN dinámicas en áreas de aplicación relevantes para la seguridad . Las VLAN dinámicas contrastan con las VLAN estáticas . La afiliación puede basarse en las direcciones MAC o IP , en función de los tipos de protocolo (p. Ej., 0x809B Apple EtherTalk , 0x8137: Novell IPX , 0x0800: IPv4 o 0x88AD: XiMeta LPX ) o, a nivel de aplicación, los números de puerto TCP / UDP (número de puerto 53: DNS , 80: HTTP , 3128: Squid Proxy ). En efecto, esto corresponde a una asignación automatizada de un puerto de conmutador a una VLAN.

La afiliación también puede derivarse del tipo de paquete y así, por ejemplo, separar una red IPX / SPX de una red TCP / IP. Esta tecnología ya no está muy extendida hoy en día, ya que TCP / IP ha reemplazado a todos los demás protocolos en muchas redes.

Las VLAN dinámicas también se pueden utilizar, por ejemplo, para garantizar que un dispositivo móvil siempre pertenezca a una VLAN específica, independientemente de la toma de red a la que esté conectado. Otra posibilidad es enrutar una determinada parte del tráfico de datos, como VoIP, por motivos de rendimiento o de seguridad (desactualizados) a una VLAN especial.

literatura

  • Rolf-Dieter Köhler: En camino a las redes multimedia. VPN, tecnologías VLAN, priorización de datos 1999, ISBN 3-931959-26-0
  • IEEE Std. 802.1Q-2003, Redes de área local con puente virtual . 2003, ISBN 0-7381-3663-8 (inglés, ieee.org [PDF; 3.5 MB ; consultado el 5 de noviembre de 2016]).

enlaces web