RA5 - Configuració de Xarxes Virtuals
Contingut
[amaga]1. Què són les VLANs?
Una VLAN (Virtual Local Area Network) és una tecnologia de xarxa que permet dividir una xarxa física en múltiples xarxes lògiques independents. A cada VLAN se li assigna un identificador únic (normalment un número de VLAN, com VLAN 10, VLAN 20, etc.) que permet segmentar el tràfic de la xarxa, millorant el rendiment i la seguretat.
Les VLANs poden ser utilitzades per:
- Segregar tràfic: Permetre que els dispositius d’una mateixa VLAN puguin comunicar-se entre si, però evitar que els dispositius d’una VLAN puguin comunicar-se amb els d’una altra VLAN sense permisos específics.
- Millorar la seguretat: Reduir la superfície d’atac al restringir el tràfic entre diferents grups de treball dins de la mateixa xarxa física.
- Optimitzar el rendiment: Evitar que el tràfic no desitjat circuli per tota la xarxa, millorant l’ample de banda i reduint el col·lapse de la xarxa.
2. Tipus de VLANs
Les VLANs es poden classificar segons el tipus de tràfic que transporten o la funció específica que compleixen. A continuació, es detallen els principals tipus de VLANs:
VLAN de dades
Una VLAN de dades està dissenyada per transportar tràfic generat pels usuaris, com ara correus electrònics, navegació web o transferència de fitxers. Aquest tipus de VLAN no transporta tràfic de veu o administració. És comú separar el tràfic de dades del tràfic de veu i administració per millorar l'eficiència i la seguretat de la xarxa.
VLAN predeterminada
La VLAN predeterminada és la VLAN a la qual pertanyen tots els ports d'un commutador després de la seva inicialització. En els commutadors Cisco, la VLAN predeterminada és la VLAN 1. Aquesta VLAN no es pot eliminar ni canviar de nom, i tot el tràfic de control de capa 2 s'associa a ella per defecte.
Nota: És una mala pràctica utilitzar la VLAN 1 per al tràfic de dades o administració, ja que pot representar un risc de seguretat.
VLAN nativa
La VLAN nativa s'assigna a un port troncal 802.1Q i s'utilitza per transportar tràfic sense etiquetar en enllaços troncals. Per defecte, la VLAN nativa és la VLAN 1, però es recomana configurar una VLAN diferent per a aquest propòsit per millorar la seguretat.
Exemple: Si es configura la VLAN 99 com a VLAN nativa, tot el tràfic sense etiquetar es reenviarà a aquesta VLAN.
VLAN d'administració
La VLAN d'administració s'utilitza per gestionar els dispositius de xarxa, com commutadors i routers. Es configura assignant una adreça IP a la interfície virtual del commutador (SVI) associada a aquesta VLAN. Això permet accedir al dispositiu mitjançant protocols com HTTP, Telnet, SSH o SNMP.
Recomanació: No utilitzar la VLAN 1 com a VLAN d'administració per evitar riscos de seguretat.
VLAN de veu
Una VLAN de veu està dissenyada específicament per transportar tràfic de veu sobre IP (VoIP). Aquest tipus de VLAN requereix un ample de banda garantit i prioritat sobre altres tipus de tràfic per assegurar la qualitat de la veu.
Exemple: En un entorn educatiu, es pot configurar una VLAN de veu per als telèfons IP dels professors i una VLAN de dades per als ordinadors dels estudiants.
3. Ports d'Accés
Un port d'accés (access port) és un port d'un commutador (switch) que està assignat a una única VLAN. Els dispositius connectats a un port d'accés no tenen informació sobre VLANs i només poden enviar i rebre tràfic de la VLAN a la qual està assignat aquest port.
Exemple: Si tens un ordinador connectat a un port d'accés assignat a la VLAN 10, aquest ordinador només podrà comunicar-se amb altres dispositius a la mateixa VLAN 10.
Característica principal: El tràfic que passa per un port d'accés no porta etiquetes VLAN. Quan un dispositiu envia tràfic, el commutador afegeix internament la VLAN associada.
Com configurar un port d'accés
Per configurar un port d'accés en un commutador Cisco, podem utilitzar els següents comandos:
Switch# configure terminal Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10
En aquest exemple, el port GigabitEthernet0/1
es configura per a la VLAN 10.
Configuració d'una VLAN de veu
Per configurar una VLAN de veu en un commutador Cisco, s'ha de seguir un procés similar a la configuració d'una VLAN de dades, però amb consideracions específiques per al tràfic de veu. A continuació, es detallen els passos:
- Crear la VLAN de veu: Primer, es crea la VLAN de veu al commutador.
- Assignar la VLAN de veu a un port: Després, s'assigna la VLAN de veu a un port d'accés connectat a un telèfon IP.
- Configurar la prioritat de tràfic (QoS): Per garantir la qualitat de la veu, s'ha de configurar la prioritat del tràfic de veu mitjançant QoS.
- Verificar la configuració: Finalment, es verifica la configuració amb el comandament
show vlan brief
.
Switch(config)# vlan 150 Switch(config-vlan)# name VLAN_VEU Switch(config-vlan)# exit
Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 150
Switch(config-if)# mls qos trust cos Switch(config-if)# switchport voice vlan 150
Switch# show vlan brief
Exemple: En un entorn educatiu, es pot configurar una VLAN de veu per als telèfons IP dels professors i una VLAN de dades per als ordinadors dels estudiants.
4. Ports Troncals
Un port troncal (trunk port) és un port d’un commutador dissenyat per a transportar tràfic de múltiples VLANs a través d’una connexió entre dispositius de xarxa, com per exemple entre dos commutadors.
Els ports troncals utilitzen etiquetatge de VLAN per identificar a quina VLAN pertany cada paquet de dades. Els protocols més comuns per etiquetar el tràfic en ports troncals són IEEE 802.1Q i ISL (Inter-Switch Link). L'etiqueta de VLAN s’afegeix a cada paquet per permetre que el tràfic de diferents VLANs circuli per la mateixa connexió física sense barrejar-se.
Exemple: Un commutador A i un commutador B poden estar connectats per un port troncal, permetent que el tràfic de VLAN 10, VLAN 20 i altres VLANs circulin entre ells sense que les VLANs es barregin.
Característica principal: Els ports troncals poden transportar tràfic de múltiples VLANs a través d’una única connexió física utilitzant etiquetes.
Etiquetatge de trames amb IEEE 802.1Q
El protocol IEEE 802.1Q afegeix una etiqueta de 4 bytes a la trama Ethernet per identificar la VLAN a la qual pertany. Aquesta etiqueta inclou:
- TPID (Tag Protocol Identifier): Indica que la trama està etiquetada (valor 0x8100).
- PRI (Priority): Defineix la prioritat del tràfic (utilitzat per QoS).
- CFI (Canonical Format Indicator): Indica si la trama és Ethernet o Token Ring.
- VID (VLAN Identifier): Identifica la VLAN (12 bits, permet fins a 4096 VLANs).
Exemple: Una trama de la VLAN 10 portarà una etiqueta amb el VID corresponent a aquesta VLAN.
VLAN nativa i trames sense etiquetar
En un port troncal, el tràfic de la VLAN nativa no s'etiqueta. Això permet la compatibilitat amb dispositius antics que no suporten VLANs. No obstant això, es recomana canviar la VLAN nativa per defecte (VLAN 1) per millorar la seguretat.
Exemple: Si la VLAN nativa és la VLAN 99, tot el tràfic sense etiquetar es reenviarà a aquesta VLAN. En l'exemple del dibuix, el PC1 conectat al hub enmig del enllaç trunk podrà accedir i comunicar-se a les trames de la VLAN nativa del enllaç. Es per això que es recomana canviar la nativa a una VLAN sense dades importants.
Configuració d'un port troncal
Per configurar un port troncal en un commutador Cisco, utilitzarem els següents comandos:
Switch# configure terminal Switch(config)# interface GigabitEthernet0/2 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport trunk native vlan 99
Aquests comandos configuren el port GigabitEthernet0/2
com un port troncal utilitzant el protocol dot1q i assignen la VLAN 99 com a VLAN nativa.
5. VLANs de rang normal i estès
Els commutadors Cisco suporten dos tipus de VLANs:
- VLANs de rang normal: ID de VLAN entre 1 i 1005. S'utilitzen en xarxes petites i mitjanes. Les VLANs 1 i 1002-1005 estan reservades i no es poden eliminar.
- VLANs de rang estès: ID de VLAN entre 1006 i 4094. S'utilitzen en xarxes grans o per proveïdors de serveis. No són compatibles amb VTP (VLAN Trunking Protocol).
Exemple: En un commutador Catalyst 2960, es poden configurar fins a 4094 VLANs, però només les de rang normal es guarden al fitxer vlan.dat
.
6. DTP (Dynamic Trunking Protocol)
El DTP (Dynamic Trunking Protocol) és un protocol propietari de Cisco que s'utilitza per negociar automàticament la formació d'enllaços troncals entre dos dispositius de xarxa compatibles (com commutadors Cisco). DTP permet que els ports es configuren automàticament com a access o trunk sense necessitat d'intervenció manual.
Com funciona:
- DTP envia missatges entre dispositius per determinar si un port ha de ser configurat com a access o trunk.
- Si ambdós dispositius suporten DTP i estan configurats per negociar automàticament, el port es configurarà com a trunk.
- Si un dels dispositius no suporta DTP o està configurat manualment com a access, el port no es convertirà en trunk.
Modus DTP:
- Dynamic Auto: El port pot convertir-se en trunk si l'altre dispositiu ho sol·licita.
- Dynamic Desirable: El port intenta activament negociar un enllaç troncal amb l'altre dispositiu.
- Trunk: El port està configurat manualment com a trunk i no utilitza DTP.
- Access: El port està configurat manualment com a access i no utilitza DTP.
Exemple de configuració per desactivar DTP:
Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport nonegotiate
Aquest comandament configura el port com a trunk i desactiva DTP per evitar negociacions automàtiques.
7. Tipus d'Enrutament entre VLANs (Inter-VLAN Routing)
L'enrutament entre VLANs (Inter-VLAN Routing) és el procés que permet la comunicació entre dispositius que pertanyen a VLANs diferents. Com que les VLANs segmenten la xarxa en dominis de broadcast separats, es necessita un dispositiu de capa 3 (com un router o un commutador de capa 3) per gestionar el tràfic entre aquestes VLANs. A continuació, es detallen els principals mètodes per implementar l'enrutament entre VLANs:
1. Router amb Múltiples Ports Físics
Descripció: En aquest mètode, cada VLAN es connecta a un port físic diferent del router. Cada port del router actua com a gateway per a la VLAN corresponent.
Com funciona:
- Cada VLAN està assignada a un port físic diferent del router.
- El router té una adreça IP configurada a cada port, que serveix com a gateway per als dispositius de la VLAN connectada a aquest port.
- Quan un dispositiu d'una VLAN vol comunicar-se amb un dispositiu d'una altra VLAN, el tràfic es dirigeix al router, que enruta el paquet a la VLAN de destinació.
Exemple de configuració:
Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip address 172.16.10.1 255.255.0.0 Router(config-if)# no shutdown Router(config)# interface GigabitEthernet0/1 Router(config-if)# ip address 172.16.30.1 255.255.0.0 Router(config-if)# no shutdown
Vantatges:
- Simple i fàcil de configurar.
- No hi ha coll d'ampolla, ja que cada VLAN té el seu propi port físic.
Inconvenients:
- Requereix múltiples ports físics al router, cosa que pot ser costosa i poc escalable.
- No és eficient en xarxes amb moltes VLANs, ja que es necessitaria un router amb un gran nombre de ports.
2. Router on a Stick
Descripció: És un mètode que utilitza un únic port físic d'un router per gestionar múltiples VLANs mitjançant subinterfícies virtuals. Aquest port es connecta a un commutador mitjançant un enllaç troncal.
Com funciona:
- El router es connecta al commutador mitjançant un port troncal configurat amb el protocol IEEE 802.1Q.
- Es creen subinterfícies virtuals al router, cadascuna assignada a una VLAN específica.
- Cada subinterfície té la seva pròpia adreça IP, que actua com a gateway per als dispositius de la VLAN corresponent.
- El tràfic entre VLANs es gestiona a través de les subinterfícies del router.
Exemple de configuració:
Router(config)# interface GigabitEthernet0/0.10 Router(config-subif)# encapsulation dot1Q 10 Router(config-subif)# ip address 172.17.10.1 255.255.255.0 Router(config-subif)# no shutdown Router(config)# interface GigabitEthernet0/0.20 Router(config-subif)# encapsulation dot1Q 20 Router(config-subif)# ip address 172.17.20.1 255.255.255.0 Router(config-subif)# no shutdown Router(config)# interface GigabitEthernet0/0.30 Router(config-subif)# encapsulation dot1Q 30 Router(config-subif)# ip address 172.17.30.1 255.255.255.0 Router(config-subif)# no shutdown
Vantatges:
- És una solució econòmica, ja que només es necessita un únic port físic al router.
- Fàcil d'implementar en xarxes petites o mitjanes.
Inconvenients:
- Pot esdevenir un coll d'ampolla si hi ha molt tràfic entre VLANs, ja que tot el tràfic passa per un únic port físic.
- Menys escalable en xarxes grans amb moltes VLANs.
3. Commutador de Capa 3 (Layer 3 Switch)
Descripció: Un commutador de capa 3 combina les funcions d'un commutador (capa 2) i d'un router (capa 3), permetent l'enrutament entre VLANs de manera més eficient.
Com funciona:
- El commutador de capa 3 crea interfícies virtuals (SVI - Switched Virtual Interface) per a cada VLAN.
- Cada SVI té una adreça IP que actua com a gateway per als dispositius de la VLAN.
- El tràfic entre VLANs es gestiona internament al commutador, sense necessitat de passar per un router extern.
- Els commutadors de capa 3 utilitzen taules d'enrutament i protocols com OSPF o EIGRP per optimitzar el tràfic.
Exemple de configuració:
Switch(config)# interface Vlan10 Switch(config-if)# ip address 172.16.10.1 255.255.0.0 Switch(config-if)# no shutdown Switch(config)# interface Vlan20 Switch(config-if)# ip address 172.16.20.1 255.255.0.0 Switch(config-if)# no shutdown Switch(config)# interface Vlan30 Switch(config-if)# ip address 172.16.30.1 255.255.0.0 Switch(config-if)# no shutdown
Avantatges:
- Alta velocitat i baixa latència, ja que el tràfic es gestiona internament al commutador.
- Escalable per a xarxes grans.
- Reducció de la complexitat de la xarxa, ja que no es necessita un router extern.
Inconvenients:
- És més costós que un router tradicional.
- Requereix commutadors de capa 3 amb capacitat d'enrutament.
Resum dels Tipus d'Enrutament entre VLANs
Mètode | Descripció | Avantatges | Inconvenients |
---|---|---|---|
Router amb Múltiples Ports | Cada VLAN es connecta a un port físic diferent del router. | Simple, sense coll d'ampolla. | Requereix múltiples ports físics. |
Router on a Stick | Ús d'un únic port físic amb subinterfícies per a múltiples VLANs. | Econòmic, fàcil d'implementar. | Coll d'ampolla en xarxes grans. |
Commutador de Capa 3 | Commutador amb capacitat d'enrutament intern entre VLANs. | Alta velocitat, escalable. | Cost elevat. |
Conclusió
Les VLANs ofereixen una manera flexible i eficient de segmentar xarxes i gestionar el tràfic. Els ports d'accés s'utilitzen per a dispositius finals dins de cada VLAN, mentre que els ports troncals són essencials per a transportar múltiples VLANs a través d’una única connexió física. L'enrutament entre VLANs permet la comunicació entre diferents VLANs, i es pot implementar mitjançant routers o commutadors de capa 3.