VLANs, Ports d'Accés, Ports Troncals i Inter-VLAN Routing

1. Què són les VLANs?

Una VLAN (Virtual Local Area Network) és una tecnologia de xarxa que permet dividir una xarxa física en múltiples xarxes lògiques independents. A cada VLAN se li assigna un identificador únic (normalment un número de VLAN, com VLAN 10, VLAN 20, etc.) que permet segmentar el tràfic de la xarxa, millorant el rendiment i la seguretat.

Les VLANs poden ser utilitzades per:

• Segregar tràfic: Permetre que els dispositius d’una mateixa VLAN puguin comunicar-se entre si, però evitar que els dispositius d’una VLAN puguin comunicar-se amb els d’una altra VLAN sense permisos específics.
• Millorar la seguretat: Reduir la superfície d’atac al restringir el tràfic entre diferents grups de treball dins de la mateixa xarxa física.
• Optimitzar el rendiment: Evitar que el tràfic no desitjat circuli per tota la xarxa, millorant l’ample de banda i reduint el col·lapse de la xarxa.

2. Ports d'Accés

Un port d'accés (access port) és un port d'un commutador (switch) que està assignat a una única VLAN. Els dispositius connectats a un port d'accés no tenen informació sobre VLANs i només poden enviar i rebre tràfic de la VLAN a la qual està assignat aquest port.

Exemple: Si tens un ordinador connectat a un port d'accés assignat a la VLAN 10, aquest ordinador només podrà comunicar-se amb altres dispositius a la mateixa VLAN 10.

Característica principal: El tràfic que passa per un port d'accés no porta etiquetes VLAN. Quan un dispositiu envia tràfic, el commutador afegeix internament la VLAN associada.

Com configurar un port d'accés

Per configurar un port d'accés en un commutador Cisco, podem utilitzar els següents comandos:

Switch# configure terminal
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

En aquest exemple, el port GigabitEthernet0/1 es configura per a la VLAN 10.

3. Ports Troncals

Un port troncal (trunk port) és un port d’un commutador dissenyat per a transportar tràfic de múltiples VLANs a través d’una connexió entre dispositius de xarxa, com per exemple entre dos commutadors.

Els ports troncals utilitzen etiquetatge de VLAN per identificar a quina VLAN pertany cada paquet de dades. Els protocols més comuns per etiquetar el tràfic en ports troncals són IEEE 802.1Q i ISL (Inter-Switch Link). L'etiqueta de VLAN s’afegeix a cada paquet per permetre que el tràfic de diferents VLANs circuli per la mateixa connexió física sense barrejar-se.

Exemple: Un commutador A i un commutador B poden estar connectats per un port troncal, permetent que el tràfic de VLAN 10, VLAN 20 i altres VLANs circulin entre ells sense que les VLANs es barregin.

Característica principal: Els ports troncals poden transportar tràfic de múltiples VLANs a través d’una única connexió física utilitzant etiquetes.

Com configurar un port troncal

Per configurar un port troncal en un commutador Cisco, utilitzarem els següents comandos:

Switch# configure terminal
Switch(config)# interface GigabitEthernet0/2
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q

Aquests comandos configuren el port GigabitEthernet0/2 com un port troncal utilitzant el protocol dot1q per etiquetar els paquets de les VLANs.

VLANs Permeses en un Port Troncal

Quan configurem un port troncal, podem limitar les VLANs que poden circular per aquest port. Per defecte, tots els ports troncals permeten el tràfic de totes les VLANs configurades al commutador. No obstant això, és possible restringir les VLANs que estan permeses en un port troncal mitjançant el comandament Cisco:

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport trunk allowed vlan 10,20,30

Aquest comandament permet que només les VLANs 10, 20 i 30 passin pel port troncal. Si volem eliminar una VLAN de la llista de VLANs permeses, podem usar:

Switch(config-if)# switchport trunk allowed vlan remove 20

4. Inter-VLAN Routing

L' Inter-VLAN Routing és el procés de permetre la comunicació entre dispositius que pertanyen a VLANs diferents. Els dispositius dins d'una mateixa VLAN poden comunicar-se directament, però per establir una comunicació entre VLANs diferents, es necessita un dispositiu de capa 3 (normalment un router o un commutador de capa 3) que faci de "intermediari" entre les VLANs.

Els passos per configurar Inter-VLAN Routing poden incloure:

• Router on a Stick: Una solució comuna que utilitza un únic port de router amb subinterfaces virtuals (subinterfaces VLAN) per gestionar múltiples VLANs. En aquest cas, el router assigna una subinterfície a cada VLAN, i el tràfic entre VLANs es redirigeix a través d’aquest router.
• Router dedicat o commutador capa 3: Un router o commutador capa 3 pot realitzar el routing entre les VLANs de manera transparent, ja que és capaç de gestionar el tràfic de capa 3, diferent dels commutadors de capa 2, que només gestionen tràfic de capa 2 (tràfic dins d’una VLAN).
• Ruteig per subinterfaces: El router (o commutador capa 3) crea subinterfaces virtuals per cada VLAN, cadascuna amb la seva pròpia adreça IP. Quan un dispositiu d'una VLAN vol comunicar-se amb un dispositiu d'una altra VLAN, el paquet es dirigeix al router, que decideix com fer arribar el paquet a la VLAN de destinació.

Vantatge de l'Inter-VLAN Routing: Permet que els dispositius de diferents VLANs es comuniquin entre ells, i és una peça clau per a xarxes més complexes amb múltiples segments lògics.

Com configurar Inter-VLAN Routing amb subinterfícies

Per configurar el "Router on a Stick", necessitem crear subinterfícies per cada VLAN. Cada subinterfície actuarà com una interfície de capa 3 per gestionar el tràfic entre les VLANs. A continuació, els passos per configurar-ho:

Router# configure terminal
Router(config)# interface gigabitethernet0/0.10
Router(config-if)# encapsulation dot1Q 10
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# no shutdown

En aquest exemple, hem creat una subinterfície per la VLAN 10, utilitzant el protocol dot1Q i assignant-li una adreça IP (192.168.10.1) per gestionar el tràfic de la VLAN 10.

Per afegir una subinterfície per una altra VLAN (per exemple, VLAN 20), faríem el següent:

Router(config)# interface gigabitethernet0/0.20
Router(config-if)# encapsulation dot1Q 20
Router(config-if)# ip address 192.168.20.1 255.255.255.0
Router(config-if)# no shutdown

Aquesta configuració crea una subinterfície per a la VLAN 20 amb la seva adreça IP (192.168.20.1).

Després de configurar les subinterfícies en el router, el commutador ha de tenir un port troncal configurat per permetre el tràfic entre VLANs a través de la connexió entre el router i el commutador.

Fitxer vlan.dat

El fitxer vlan.dat és un fitxer de configuració utilitzat per emmagatzemar les VLANs configurades en un commutador Cisco. Aquest fitxer es troba en la memòria flash del dispositiu i conté informació sobre les VLANs creades, els noms associats a les VLANs i altres configuracions relacionades.

Ubicació del fitxer: El fitxer vlan.dat normalment es troba en la memòria flash del dispositiu Cisco, com per exemple flash:vlan.dat.

Quan un commutador es reinicia, l’arxiu vlan.dat és carregat per restaurar la configuració de les VLANs. Si es vol eliminar o modificar el fitxer, es pot fer mitjançant el comandament següent:

Switch# delete flash:vlan.dat

Aquest comandament eliminarà el fitxer vlan.dat, provocant que totes les VLANs configurades es perdin. Un cop es reiniciï el commutador, caldrà tornar a configurar les VLANs.

Com funciona tot plegat: Exemple d'una xarxa amb VLANs

Suposem que tenim una xarxa amb 3 VLANs:

• VLAN 10: Departament de vendes
• VLAN 20: Departament d'IT
• VLAN 30: Direcció

Les VLANs estan assignades a diferents ports de commutadors, i els dispositius en cada VLAN poden comunicar-se entre ells sense necessitat d'un router. Per exemple:

• Els dispositius de VLAN 10 poden parlar entre ells.
• Els dispositius de VLAN 20 poden parlar entre ells.

Si un dispositiu de VLAN 10 necessita comunicar-se amb un dispositiu de VLAN 20, el tràfic ha de ser rutejat a través d’un router o un commutador capa 3, realitzant Inter-VLAN Routing.

Si utilitzem un router amb subinterfaces (Router on a Stick), el router es connectaria al commutador per mitjà d’un port troncal. Les subinterfaces del router (per exemple, subinterface VLAN 10 i subinterface VLAN 20) permetran que el tràfic sigui rutejat entre VLANs diferents.

Conclusió

Les VLANs ofereixen una manera flexible i eficient de segmentar xarxes i gestionar el tràfic. Els ports d'accés s'utilitzen per a dispositius finals dins de cada VLAN, mentre que els ports troncals són essencials per a transportar múltiples VLANs entre dispositius de xarxa com commutadors. Finalment, l’Inter-VLAN Routing permet que les diferents VLANs es comuniquin entre elles, i és una peça clau per a xarxes més complexes amb múltiples segments lògics.