LAN Virtuales

Ing. Csar Molina

AGENDA
Qu son las Vlans
Como funciona 802.1Q
Como se disean
Por qu interconectar?
Mltiples LANs y necesidad de interaccin
Limitaciones fsicas
tamao
nmero de estaciones
Distribucin de carga
grupos de trabajo ms o menos cerrados
Separacin organizativa
Fiabilidad, seguridad ...
Por qu interconectar?
Mltiples LANs
conectadas por
un backbone
para manejar
una carga total
mayor que una
LAN nica.
Definicin de VLAN
Una VLAN es bsicamente un dominio limitado
de broadcast, de forma tal que todos los
miembros de una misma VLAN reciben todos y
cada uno de los paquetes broadcast enviados
por miembros de la misma VLAN pero no los
paquetes enviados por miembros de diferentes
VLANs.
A qu nivel interconectar?
Repetidor (Hub)
Puente (Bridge)
Puente (Bridge)
Interconexin en LANs: Homogeneidad
Definicin de VLAN
Corolarios:
Todos los miembros de una VLAN se
agrupan de forma lgica dentro del mismo
dominio de broadcast independientemente
de su ubicacin fsica.
Cualquier cambio se implementa va
software.
Por definicin no es necesario routing entre
miembros de la misma VLAN.
Dos estndares VLANs propuestos para su
uso: 802.10 y .1q.
Desde el punto de vista prctico
para qu son las VLANs?
Las Vlans son una forma de separar usuarios
dentro de una red switcheada de manera que
no puedan verse entre ellos.
Con ello conseguimos:
Separar dominios de Broadcast

Seguridad entre redes independiente

Utilizar mejor los recursos de los Switches

VLAN = LIMITED BROADCAST DOMAIN

Todos los miembros de una Vlan reciben todos los

paquetes broadcast enviados por miembros de la
misma Vlan pero no los enviados de una Vlan
diferente
Vlans son importantes para saber que dispositivo
final debera recibir el trafico broadcast
Evitemos ruido como arp o ipx entre servidores y
dispositivos finales
En una VLAN cada dispositivo de la misma
escucha cada paquete, ignorando aquellos que no
son para su destino.
Redes planas Nivel 2 OJO !
Pero una red plana de switches puede sufrir congestin de
trafico broadcast o broadcast stromspara evitarlo se
crean las sub-redes IP o sea necesitamos routers !!

Es decir VLANs son una solucion para:

Contener el trafico broadcast y minimizar la dependencia

de los routers.

Reducir el esfuerzo y coste en los cambios de una red

especialmente para redes grandes !!
Qu son las VLANs?

Las VLANs separan trfico de nivel 2

Cmo funcionan...
Cmo funcionan...
Cmo funcionan...
 Usuarios compartiendo un segmento LAN
Qu pasara si tuviera usuarios compartiendo
un mismo segmento de LAN?
Seramos capaces de contener el trafico broadcast a
travs de VLANs?
Si tenemos muchos usuarios en VLANs diferentes
compartiendo el mismo segmento de LAN, con
contenemos broadcast !!
lo recibiramos de cada una de las VLANs !!!
En todas las compaas es necesario planificar la
arquitectura de VLANs.
Entonces, necesitamos VLANs?
En el proceso de planificacin debemos tener
en cuanta tambin los servidores y el acceso a
ellos, las aplicaciones y su uso, los flujos de
trafico de la red, etc.
Quiero saber como desplegar los dominios de brodcast
(VLANs) !!
Pregunta del departamento tcnico 1:
Quin debera hablar con quien?
Pregunta del departamento tcnico 2:
Quin est hablando con quin?
Tipos VLANs
Port-based
Protocol based
MAC-layer grouping
Network-layer grouping
IP multicast grouping
Combination
Policy based
 Port-based VLANs
Implementacin de VLAN basada en agrupacin de
puertos en un mismo switch o en varios puertos de
diferentes switches.
Mtodo comn soportado por todos los fabricantes.
Configuracin simple.
Pero . No optimiza el tiempo del administrador !
Qu pasa si un usuario se cambia de puerto?
Puedo definir distintas VLANs que incluyan el
mismo puerto fsico de un switch?
Escenario esttico => 1 VLAN /puerto.
Seguras (solo el admin puede tener el control y cambiar
parmetros) pero problemticas para escenarios
dinmicos o redes con hubs, grandes servidores, etc.
 Caso particular: VLANs por direccin MAC
Nivel 2
Basado en direcciones MAC
Gestin sencilla y nica de las maquinas
Permite cambio de localizacin fsica de maquinas sin perdida de
asignacin a VLAN.
Excepto gestores de reconocimiento automtico de Macs, este
mtodo tiene una alta carga de trabajo manual por parte del admin.
Es una forma sencilla de disear VLANs basadas en usuarios
finales.
Ventajas:
Los usuarios pueden pertenecer cada uno a mas de una VLAN al
mismo tiempo.
El admin puede estar en todas las listas de VLAN.
 Protocol-based VLAN
Permite a los diferentes grupos ser agrupados por su protocolo
todos los MAC, todos los IPX, etc.
El admin decidir que cierta parte de la trama determinara a que
VLAN pertenecer ese usuario descargando dicha poltica en todos
los switches.
Ventajas:
Muchos usuarios en VLAns diferentes al mismo tiempo
Para los admins que corren diferentes protocolos
Se basan en la intervencin del administrador
Ejemplo: permite que las redes IPX participen.
Mtodo mas sencillo para redes de nivel 3.
El switch puede realizar una inspeccin de nivel 3 en un paquete
(p.e. broadcast ARP) y mapea el ID al puerto de salida correcto
utilizando la direccin MAC.
IP-based VLANs
Se basa en direcciones IP. Nivel 3.
Informacin de nivel 3 y direcciones de red de los usuarios.
Tiene en cuenta el tipo de protocolo para la pertenencia a una
VLAN.
Pero no es routing !!!!
Layer 3 switch
Inspecciona direcciones de paquetes IP para determinan la
pertenencia a VLAN sin realizar clculos de routing (no hay
OSPF o RIP), de forma que las tramas dentro del switch se
conmutan de acuerdo a spanning tree.
La red sigue siendo plana !!! (con switches L3 veremos mas
adelante diferencia entre switching y routing).
IP-based VLANs
Ventajas:
Permite particionar en base al tipo de protocolo til
para redes orientadas a servicios o aplicaciones.
Movilidad de usuarios sin reconfigurar
Elimina la necesidad de tagging para miembros de
vlans entre switches.
Facilidad de gestin para usuarios de diferentes
subnets.
Los usuarios se adhieren automticamente en funcin
de la subnet a la que pertenecen.
IP-based VLANs : grupos de Multicast como VLANs

Multicast es broadcast disperso (everywhere on a

network) y unicast (punto a punto). Trafico
multicast es punto-multipunto y multipunto-
multipunto.
Por ejemplo videoconferencia.
Multicast VLANs se crean de forma dinmica
escuchando protocolo IGMP.
IP-based VLANs : grupos de Multicast como VLANs

VLANs y ATM
Backbone ATM pero los usuarios no interconectados por ATM
PVCs (ATM permanent vittual circuits) pueden configurarse para transportar
trafico intra-VLAN entre switches de dicha VLAN.
Dos mtodos: Encapsulacion MAC y MAC translation.
MAC enacpsulation: todos los usuarios de una misma VLAN son
del mismo tipos de MAC (Ethernet o token-ring)
MAC translation: usuarios de cualquier tipo de MAC pueden estar
en la misma VLAN. Conectividad cualquiera-cualquiera.

Layer 2/3 VLANs

Para el usuario parece una red L3, pero para el router parece una LAN
sencillamente. Combina rotuing y tecnologia orientada a conectividad.
Virtual networking entre segmentos de LAN o usuarios.
Permite interconexion virtual entre L2 o L3 sin restricciones.
Policy-based VLANS : el mas potente !
Por qu? restringir acceso usuarios, control de varios agentes (admin,
SW applications, HW, etc.) dentro del marco corporativo de control, etc.
Las polticas pueden prohibir o permitir acciones u obligar a usuarios y/o
HW+SW en la red.
Las polticas estn contenidas en dominios no son etreas !!.
Siempre existir diferentes umbrales para diferentes partes de la red. Y los
dominios por supuesto pueden superponerse.
Preguntas del admin si quiere implementar esto:
Cuales son los dominios?
Cuales son las reglas?
Qu objetos estn conectados?
Qu atributos tienen?
Como debera agrupar estos objetos?
Que eventos deben dispara las acciones contenidas en las polticas?
Cuales son las acciones resultantes?
Pero aun hay ms: Interconexin de switches
3 mtodos diferentes para la interconexin de
switches y el paso de informacin VLAN a
travs de la red:
Frame tagging
Signaling
Time-division multipleing
Tagging es el favorito de la industria !
Interconexin de switches:
VLAN Trunk tagging
Trunking es el mecanismo de aprender la geografa virtual
de la red.
Permite al interfaz de salida de la tarjeta del equipo saber a
que puertos debe remitir el broadcast. Es decir , VLAN
tagged A ser capaz de recibir el trafico para dicha VLAN
independientemente del origen y sin router implicado !. Esto
permite VLANs extendidas a travs de WAN.
Cada trama se recibe desde un dispositivo adjunto de forma
que el switch utiliza una politica de miembro de VLAN para
determinar que VLAN ID tag debe adjuntar. El switch sabe
donde estn las VLANs pero no que usuarios hay en cada
VLAN !!!.
VLANs: El estndar IEEE 802.1Q
Las VLANs. 802.1Q trunking standard.
La trama

VLAN ID Priority

DA SA

00:00:1D:2F:78:1A 802.1Q TAG 00:00:1D:50:46:13 DATOS

Se le mete un TAG a la cabecera de Ethernet

Estas tramas NO SON ETHERNET. Los

switches que no estn preparados para
entender 802.1Q dan error
VLANs: El estndar IEEE 802.1Q
Las VLANS 802.1Q
Es una modificacin al estndar de Ethernet
Nos va a permitir identificar a una trama como
proveniente de un equipo conectado a una red
determinada.
Una trama perteneciente a una VLAN slo se va a
distribuir a los equipos que pertenezcan a su misma
VLAN, por lo que
Seperamos dominios de Broadcast
Separamos usuarios
Formamos redes separadas.
Las VLANs. 802.1Q
Configuracin en los Switches
Existen dos tipos de puertos:
Puertos de ACCESO
Se conectan las Workstations directamente. Mapean el puerto a una Vlan
programada.
Cuando entra una trama Ethernet le mete el TAG de 802.1Q.
Cuando sale una trama 802.1Q le saca el TAG y lo deja en Ethernet

Puertos de 1Q Trunk
Son para conectar Switches entre si y que pase la infomacin de Vlanes a
travs de ellos
Las tramas que le llegan son con el Tag de 802.1Q
Las tramas que salen son con el Tag de 802.1Q
Las VLANs. 802.1Q
Vlan Azul Vlan Verde
ID 1 ID 2

Puerto de 1Q Puerto de 1Q
Trunk Trunk
Vlan Azul Vlan Azul
Vlan Verde Vlan Verde

Vlan Azul Vlan Verde

ID 1 ID 2
Las VLANS. 802.1Q
Ejemplo de Trama
Las VLANs 802.1Q - Juntas pero no revueltas

SITIO 3
SITIO 1

SITIO 2

La misma arquitectura
sin VLANS la
habramos tenido que
crear duplicando la
electrnica
Las VLANS 802.1Q.
Por que separar en VLANs

Control de Broadcast
Separacin lgica de Redes
Calidad de servicio
Accounting
ACLs (Listas de acceso)
Escalabilidad
Gestin mejor de Recursos
Zonas DMZ
Facilidad de encontrar y aislar averias
Separacin de protocolos (menos consumo de recursos)
Obligar a que el trfico pase por los SwitchRouters centrales que
gestionaran el trfico de forma inteligente
El Broadcast en la Red.
Necesidad de su existencia
Es informacin que tiene significancia local (solo para unos
cuantos equipos). Y sirve para mantenimiento y configuracin de
los parmetros de Red
Anuncio mis servicios
Sirveme una direccin IP
Quiero saber la MAC de un equipo...
Forma de Aislar Dominios de Broadcast
Fsica. Conectar las Workstations que vayan juntas en distintos
equipos de red
Lgica. Conectar las Workstations que vayan juntas en distintas
VLANs
El Broadcast en la red.
Algunos ejemplos
La direccin MAC es la FF:FF:FF:FF:FF. Esto provoca que todos
los equipos procesen la trama y todos los Bridges la retransmitan.
El Broadcast en la red.
Su origen
Es necesario para los procesos de red
BPDUs
RIP, OSPF. Protocolos para configurar las rutas y
los caminos de ditribucin de trfico IP.
OSPF
ARP. Sirve para conocer la direccin MAC del
equipo contra el que se quiere transmitir.
DHCP
Anuncio de Servicios...
El Broadcast en la Red.
El crecimiento
El incremento del broadcast crece
exponencialmente con el nmero de equipos
conectados a un dominio de broadcast

Nivel de Broadcast

Equipos en
Dominio de Broadcast
Como se transmiten las Vlans es a travs de
la Red: Definicin de los puertos

SA DA Datos
SA DA Datos

SA TAG DA Datos

SA TAG DA Datos

SA TAG DA Datos

SA TAG DA Datos SA TAG DA Datos

SA DA Datos
SA DA Datos
Como se transmiten las Vlan es a travs
de la Red: Definicin de los puertos

Hemos conseguido transmitir la

Vlan a travs de la RED
 Conexin de Vlans
VLAN 2
VLAN 1 IP
IP 20.x.x.x
10.x.x.x

Para conectar
Vlans hace falta
un Router
VLAN 3
IP 30.x.x.x.
Todo en uno: El Switch Router

Vamos a tener puertos de Switch pertenecientes a Vlanes y

posibilidad de hacer Routing entre ellos
Conclusiones
802.1 Q nos va a ofrecer una forma Estndar y
flexible de separar trfico de una LAN.
Las primeras implementaciones mapean Puertos
a Vlanes, aunque con tcnicas de Layer 4
Bridging se pueden tomar decisiones conforme a
otros criterios.
Para comunicar Vlanes necesitamos un Router.