VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
1. VLAN - Virtual LAN
Mejorando la seguridad y rendimiento de la red
Alejandro Vald´es Jimenez
avaldes@utalca.cl
Universidad de Talca
June 8, 2010
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 1 / 26
2. Agenda
1 Objetivos
2 Modelo OSI
3 Dispositivos de red
4 Dominio de broadcast
5 VLAN
6 Enrutamiento entre VLANs
7 Ejemplos
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 2 / 26
3. Objetivos
Objetivos
Conocer diferentes dispositivos que participan de una red seg´un el
modelo OSI.
Conocer que son las VLANs, como operan y que benefecios trae su
implementaci´on.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 3 / 26
4. Modelo OSI
Modelo OSI
Modelo de referencia de Interconexi´on de Sistemas Abiertos (OSI,
Open System Interconnection).
Creado por la Organizaci´on Internacional para la Estandarizaci´on
(OSI) lanzado en 1984.
Es un marco de referencia para la definici´on de arquitecturas de
interconexi´on de sistemas de comunicaciones mediante el uso de una
pila de 7 de protocolos.
Intercambio de informaci´on pasa desde una capa a la siguiente.
De las 7 capas, pondremos atenci´on a las 3 inferiores.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 4 / 26
5. Modelo OSI
Diagrama de capas
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 5 / 26
6. Modelo OSI
Capa 1
Corresponde al medio de transmisi´on.
Cable UTP Cat 5e, Fibra ´optica.
Se˜nales radiades en t´erminos de redes inal´ambricas.
Transmisi´on en bloques de bits.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 6 / 26
7. Modelo OSI
Capa 2
Paquetes de datos son transformados (viceversa) en bits.
Dividido en 2 sub capas
MAC (Media Access Control)
Controla como los host en la red obtienen acceso y permiso para
transmitir datos.
LLC (Logical Link Control)
Controla la sincronizaci´on de los marcos de datos, control de flujo y
verificaci´on de errores.
Direcci´on f´ısica est´a en este nivel.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 7 / 26
8. Modelo OSI
Capa 3
Funciones de ruteo y reenvio.
Permite la comunicaci´on entre diferentes redes.
El protocolo IP (Internet Protocol) est´a en este nivel.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 8 / 26
9. Dispositivos de red
Dispositivos de red
Principalmente son:
Repetidor
Hub
Bridge
Switch
Router
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 9 / 26
10. Dispositivos de red
Repetidor
Dispositivo de capa 1.
Retrasmite se˜nal.
Se usa cuando se necesita ir mas lejos de lo que el cableado permite.
Usualmente tiene 2 puertas (In/Out).
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 10 / 26
11. Dispositivos de red
Hub
Dispositivo de capa 1.
Contiene multiples puertos.
No tiene ning´una inteligencia.
Simplemente pasa los datos a todos los otros puertos.
Es un repetidor multipuerto.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 11 / 26
12. Dispositivos de red
Bridge
Dispositivo de capa 2.
Conecta multiples segmentos de capa 2.
Posee inteligencia.
Aprende que direcci´on MAC est´a asociada en cada puerto.
Recibe datos destinados a una MAC particular y lo envia por el puerto
correcto.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 12 / 26
13. Dispositivos de red
Switch
Dispositivo de capa 2.
Es un bridge multipuerto.
Aprende que direcci´on MAC est´a asociada en cada puerto.
No inunda de datos todos los puertos, a menos que una direcci´on
MAC no haya sido aprendida.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 13 / 26
14. Dispositivos de red
Router
Dispositivo de capa 3.
Conecta multiples redes de capa 3 (IP)
Utiliza direcciones de capa 3 (IP)
Permite comunicaci´on entre diferentes segmentos de capa 2.
Divide los dominios de broadcast (difusi´on).
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 14 / 26
15. Dominio de broadcast
Dominio de broadcast
Broadcast: Modo de transmisi´on de informaci´on donde un host
emisor env´ıa informaci´on a una multitud de hosts receptores de
manera simult´anea, sin necesidad de reproducir la misma transmisi´on
host por host.
Conjunto de dispositivos que reciben tramas de broadcast que tienen
su origen en cualquiera de los dispositivos dentro del conjunto. Los
dominios de broadcast generalmente est´an limitados por routers, dado
que ´estos no reenvian tramas de broadcast.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 15 / 26
16. VLAN
Antecedentes
Hosts y servidores conectados a switches de Capa 2 son parte del
mismo segmento de la red. Esta disposici´on presenta dos problemas
considerables:
Switches inundan todos los puertos con las transmisiones de broadcast,
lo que consume ancho de banda innecesario. A medida que aumenta la
cantidad de dispositivos conectados a un switch, se genera m´as tr´afico
de broadcast y se desperdicia m´as ancho de banda.
Todos los dispositivos conectados a un switch pueden enviar y recibir
tramas de todos los dem´as dispositivos del mismo switch.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 16 / 26
17. VLAN
Antecedentes
Una de las mejores pr´acticas de dise˜no de red establece que el tr´afico
de broadcast debe quedar restringido al ´area de la red en la que
resulta necesario.
Tambi´en existen razones de seguridad por las cuales ciertos hosts se
comunican entre ellos, pero otros no. Por ejemplo, es posible que los
miembros del departamento de contabilidad sean los ´unicos usuarios
que necesiten acceso al servidor de contabilidad.
En una red conmutada, redes de ´area local virtuales (VLAN) se crean
de modo que contengan broadcast y agrupen a los hosts en
comunidades de inter´es.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 17 / 26
18. VLAN
Que es una VLAN?
Una VLAN es un dominio l´ogico de broadcast que puede abarcar
diversos segmentos de una LAN f´ısica. Esto le permite a un
administrador agrupar estaciones por funci´on l´ogica, por equipos de
trabajo o por aplicaciones, independientemente de la ubicaci´on f´ısica
de los usuarios.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 18 / 26
19. VLAN
Ejemplo de VLANs
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 19 / 26
20. VLAN
Como funcionan las VLANs
Cada VLAN funciona como una LAN individual. Una VLAN abarca
uno o m´as switches, lo que permite que los dispositivos host
funcionen como si estuvieran en el mismo segmento de la red.
Una VLAN tiene dos funciones principales:
Contiene broadcast.
Agrupa dispositivos. Los dispositivos ubicados en una VLAN no son
visibles para los dispositivos ubicados en otra VLAN. Es necesario que
el tr´afico cuente con un dispositivo de Capa 3 para poder transmitirlo
entre VLAN.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 20 / 26
21. VLAN
Identificaci´on de VLANs
Los dispositivos conectados a una VLAN s´olo se comunican con otros
dispositivos de la misma VLAN, independientemente de que est´en en
el mismo switch o en switches diferentes.
Un switch asocia cada puerto con un n´umero de VLAN espec´ıfico.
Cuando una trama ingresa a ese puerto, el switch agrega el ID de la
VLAN (VID) en la trama Ethernet.
La adici´on del n´umero de ID de la VLAN a la trama Ethernet se
denomina etiquetado de trama. El est´andar de etiquetado de trama
m´as frecuente es IEEE 802.1Q.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 21 / 26
22. VLAN
Beneficios de las VLANs
Limita el tama˜no de dominios de broadcast.
Mejora el rendimiento de la red.
Proporciona un nivel de seguridad.
Ahorro de dinero. No se necesita hardware ni cableado adicional.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 22 / 26
23. Enrutamiento entre VLANs
Enrutamiento entre VLANs
Aunque las VLAN se extienden para abarcar diversos switches, s´olo
los miembros de la misma VLAN pueden comunicarse.
Un dispositivo de Capa 3 proporciona conectividad entre diferentes
VLAN. Esta configuraci´on permite que el administrador de red
controle estrictamente el tipo de tr´afico que se transmite de una
VLAN a otra.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 23 / 26
24. Enrutamiento entre VLANs
M´etodo 1
Requiere una conexi´on de interfaz aparte al dispositivo de Capa 3
para cada VLAN.
Por cada VLAN se necesitan puertas dedicadas del switch y del router.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 24 / 26
25. Enrutamiento entre VLANs
M´etodo 2
Requiere una funci´on llamada subinterfaz. Las subinterfaces dividen
l´ogicamente una interfaz f´ısica en diversas rutas l´ogicas.
Es posible configurar una ruta o una subinterfaz para cada VLAN.
Una subinterfaz permite que cada VLAN tenga su propia ruta l´ogica y
un gateway predeterminado en el router.
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 25 / 26
26. Ejemplos
Ejemplos
Red sin VLAN.
red 172.16.16.0/24
Red con VLANs (sin comunicaci´on entre ellas).
VLAN 10 de alumnos (172.16.16.0/24)
VLAN 20 de funcionarios (10.10.10.0/24)
VLAN 30 de servicios (192.168.20.0/24)
Red con VLANs (con comunicaci´on entre ellas).
VLAN 10 de alumnos (172.16.16.0/24) (gateway 172.16.16.1)
VLAN 20 de funcionarios (10.10.10.0/24) (gateway 10.10.10.1)
VLAN 30 de servicios (192.168.20.0/24) (gateway 192.168.20.1)
Alejandro Vald´es Jimenez (UTalca) VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redJune 8, 2010 26 / 26