Virtual LANs
#ruteoYConmutacion #redes #universidad
Virtual LANs
Dominio de colisión
¿Qué es? Un dominio de colisión es una parte de una red donde los dispositivos compiten por usar el mismo medio de transmisión (como un cable Ethernet). Si dos dispositivos intentan enviar datos al mismo tiempo, se produce una colisión, lo que significa que los datos se dañan y deben enviarse nuevamente.
Analogía Sencilla: Imagina que estás en una sala con varias personas tratando de hablar al mismo tiempo. Si dos personas hablan a la vez, sus palabras se mezclan y nadie entiende nada. Para evitar esto, podrían usar un sistema donde solo una persona habla a la vez.
Cómo se Maneja:
- Hubs (Concentradores): Todos los puertos en un hub pertenecen al mismo dominio de colisión. Es decir, si conectas varios dispositivos a un hub, todos compiten por el mismo canal de comunicación, aumentando las posibilidades de colisiones.
- Switches (Conmutadores): Cada puerto en un switch crea su propio dominio de colisión. Esto significa que cada dispositivo conectado al switch puede comunicarse sin interferir con los demás, reduciendo significativamente las colisiones.
Dominio de Broadcast
¿Qué es? Un dominio de broadcast es una red en la que un mensaje de difusión (broadcast) enviado por un dispositivo llega a todos los demás dispositivos dentro de ese dominio. Un broadcast es un mensaje que se envía a todos los dispositivos de la red, sin destinatario específico.
Analogía Sencilla: Piensa en un megáfono en una escuela. Si un estudiante usa el megáfono para hacer un anuncio, todos en la escuela lo escuchan. Eso es similar a un broadcast en una red.
Cómo se Maneja:
- Switches: De manera predeterminada, todos los puertos de un switch están en el mismo dominio de broadcast. Si un dispositivo envía un broadcast, todos los demás dispositivos conectados al switch lo recibirán.
- VLANs (Redes de Área Local Virtuales): Las VLANs ayudan a dividir una red física en múltiples dominios de broadcast lógicos. Por ejemplo, puedes tener una VLAN para el departamento de ventas y otra para el de ingeniería. Un broadcast enviado en la VLAN de ventas solo llegará a los dispositivos de esa VLAN, no afectará a la de ingeniería.
Dato importante
Los switches no segmentan dominios de broadcast, los routers si lo hacen.
Relación con VLANs
Las VLANs son una herramienta poderosa para gestionar dominios de broadcast y colisión:
-
Separación de Broadcasts: Al crear VLANs, divides una red grande en subredes más pequeñas. Cada VLAN tiene su propio dominio de broadcast, lo que significa que los broadcasts no se propagan más allá de su VLAN. Esto mejora la eficiencia y seguridad de la red.
-
Reducción de Colisiones: Aunque los switches ya manejan los dominios de colisión de manera eficiente, las VLANs pueden ayudar a organizar mejor el tráfico y reducir aún más las posibilidades de colisiones al segmentar la red.
Motivos para usar VLANs
- Coste: Evita comprar nuevos switches y routers para aislar el trafico
- Limitar el numero de equipos que reciben los Broadcast
- Limitar el numero de equipos que reciben los Flooding
- Reduce el uso de CPU de equipos de red y finales
- Incrementa la seguridad
- Agrupar los equipos de forma lógica y no física
Puertos en Modo Acceso (Access Ports)
¿Qué son?
Los puertos en modo acceso son puertos de un switch que están configurados para pertenecer a una sola VLAN. Están diseñados para conectar dispositivos finales, como computadoras, impresoras o teléfonos IP, que no necesitan comunicarse directamente con dispositivos en otras VLANs.
Características Principales:
- Asignación a una VLAN: Cada puerto de acceso está asignado a una única VLAN. Por ejemplo, un puerto puede pertenecer a la VLAN 10 (Ventas) y otro a la VLAN 20 (Ingeniería).
- Sin Etiquetado (Tagging): El tráfico que pasa por un puerto de acceso no lleva etiquetas de VLAN. Esto significa que el dispositivo conectado no necesita ser consciente de las VLANs.
- Uso Común: Ideal para conectar dispositivos finales que solo necesitan comunicarse dentro de su propia VLAN.
Configuración Básica:
En un switch, puedes configurar un puerto en modo acceso con los comandos:
switchport mode access
switchport access vlan 10
Esto asigna el puerto a la VLAN 10 y lo configura como un puerto de acceso.
Enlaces Troncales (Trunk Links)
¿Qué son?
Los enlaces troncales son conexiones entre switches (u otros dispositivos de red) que transportan tráfico de múltiples VLANs simultáneamente. A diferencia de los puertos de acceso, los enlaces troncales pueden manejar tráfico etiquetado de varias VLANs.
Características Principales:
- Transporte de Múltiples VLANs: Un enlace troncal puede llevar tráfico de varias VLANs a la vez, permitiendo la comunicación entre diferentes segmentos de la red.
- Etiquetado de VLANs: Utiliza protocolos como IEEE 802.1Q para añadir etiquetas a los cuadros de datos, identificando a qué VLAN pertenece cada paquete.
- Interconexión de Switches: Principalmente utilizado para conectar switches entre sí, garantizando que las VLANs se mantengan consistentes en toda la red.
- Soporte para Protocolos de Trunking: Además de 802.1Q, existen otros protocolos como ISL (Inter-Switch Link), aunque 802.1Q es el más común.
Un enlace troncal es como una autopista de varios carriles que permite el tráfico de diferentes grupos de vehículos (VLANs) al mismo tiempo. Cada carril puede estar destinado a un tipo específico de vehículo, pero todos comparten la misma autopista.
Configuración Básica:
En un switch, puedes configurar un puerto como troncal con los comandos:
switchport mode trunk
switchport trunk allowed vlan 10,20,30
Comparación entre Puertos de Acceso y Enlaces Troncales
| Característica | Puertos en Modo Acceso | Enlaces Troncales |
|---|---|---|
| Número de VLANs | Una sola VLAN | Múltiples VLANs |
| Etiquetado de VLANs | No utiliza etiquetas | Utiliza etiquetas (802.1Q) |
| Uso Principal | Conectar dispositivos finales | Conectar switches u otros dispositivos de red |
| Configuración Típica | switchport mode access |
switchport mode trunk |
| Seguridad | Más simple, menos exposición | Mayor control sobre el tráfico VLAN |
¿Por Qué Son Importantes?
- Segmentación de la Red: Utilizando puertos de acceso y enlaces troncales, puedes segmentar eficientemente tu red en diferentes VLANs, mejorando la organización y la seguridad.
- Eficiencia en el Tráfico: Los enlaces troncales permiten que el tráfico de múltiples VLANs se maneje de manera eficiente a través de una sola conexión física, reduciendo la necesidad de múltiples cables.
- Flexibilidad y Escalabilidad: Facilitan la expansión de la red y la incorporación de nuevas VLANs sin necesidad de reconfigurar toda la infraestructura física.
VLAN Nativa (Native VLAN)
¿Qué es una VLAN Nativa?
La VLAN Nativa es una VLAN específica que se utiliza para manejar el tráfico que no está etiquetado cuando se utiliza un enlace troncal (trunk link). En otras palabras, es la VLAN predeterminada a la que pertenecen los frames no etiquetados que viajan a través de un enlace troncal entre switches u otros dispositivos de red.
¿Por Qué es Importante?
Cuando se establece un enlace troncal, este puede transportar tráfico de múltiples VLANs al mismo tiempo. Para distinguir a qué VLAN pertenece cada frame, se utiliza un etiquetado (por ejemplo, con el protocolo IEEE 802.1Q). Sin embargo, algunos dispositivos o aplicaciones pueden enviar frames sin etiquetas. Aquí es donde entra en juego la VLAN nativa: estos frames no etiquetados se asignan automáticamente a la VLAN nativa configurada en el enlace troncal.
Características Principales:
- Tráfico Sin Etiquetar: Los frames que no tienen etiquetas de VLAN se asignan a la VLAN nativa.
- Consistencia en Ambos Extremos: Es crucial que la VLAN nativa sea la misma en ambos extremos del enlace troncal. Si no coinciden, puede haber problemas de seguridad y de funcionamiento en la red.
- Seguridad: Utilizar una VLAN nativa por defecto (como VLAN 1) puede ser un riesgo de seguridad, ya que es comúnmente atacada. Por eso, es una buena práctica cambiar la VLAN nativa a una VLAN no utilizada o específica para este propósito.
Configuración de la VLAN Nativa:
Para configurar la VLAN nativa en un switch Cisco:
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 99
Consideraciones de Seguridad:
-
Cambio de la VLAN Nativa Predeterminada:
- Por defecto, muchos switches utilizan la VLAN 1 como VLAN nativa. Es recomendable cambiarla a otra VLAN para evitar posibles ataques, ya que VLAN 1 es una elección comúnmente explotada por atacantes.
-
Consistencia de la VLAN Nativa:
- Asegúrate de que la VLAN nativa sea la misma en ambos extremos del enlace troncal. Si no coinciden, los frames no etiquetados podrían asignarse a VLANs diferentes en cada extremo, causando problemas de conectividad y posibles brechas de seguridad.
-
Desactivar la VLAN Nativa:
- En algunos casos, se recomienda configurar el enlace troncal para que requiera etiquetado en todos los frames, evitando así el uso de una VLAN nativa. Esto se puede lograr configurando el puerto troncal para que no tenga una VLAN nativa específica, obligando a todos los frames a estar etiquetados.
Mejores Prácticas:
-
Utilizar una VLAN Nativa Separada:
- Crea una VLAN específica para manejar el tráfico sin etiquetar y que no esté utilizada para otros propósitos en la red. Por ejemplo, podrías usar la VLAN 99 exclusivamente como VLAN nativa.
-
Evitar Usar VLAN 1 como Nativa:
- Dado que VLAN 1 es la VLAN predeterminada en muchos switches y es un objetivo común para atacantes, es preferible cambiarla a otra VLAN menos predecible.
-
Habilitar Etiquetado en Todos los Frames:
- Siempre que sea posible, asegúrate de que todos los frames que viajan a través de enlaces troncales estén etiquetados, minimizando así la dependencia de la VLAN nativa.