Les VLAN són a tot arreu. Els podeu trobar a la majoria de les organitzacions amb una xarxa configurada correctament. Per si no era obvi, VLAN significa 'Xarxa d'àrea local virtual' i són omnipresents en qualsevol xarxa moderna més enllà de la mida d'una petita xarxa d'oficines molt petita.
Hi ha uns quants protocols diferents, molts dels quals són específics per a proveïdors, però en el seu nucli, cada VLAN fa gairebé el mateix i els avantatges de l'escala VLAN a mesura que la vostra xarxa creix en mida i complexitat organitzativa.
Aquests avantatges són una part important del motiu pel qual les xarxes professionals de totes les mides depenen tant de les VLAN. De fet, seria difícil gestionar o escalar xarxes sense elles.
Els avantatges i l’escalabilitat de les VLAN expliquen per què s’han tornat tan omnipresents en entorns de xarxa moderns. Seria difícil gestionar o escalar fins i tot xarxes moderadament complexes amb l'usuari de VLAN.
Què és una VLAN?
D’acord, doncs ja sabeu les sigles, però què és exactament una VLAN? El concepte bàsic hauria de ser familiar per a qualsevol persona que hagi treballat o utilitzat servidors virtuals.
Penseu per un segon com funcionen les màquines virtuals. Diversos servidors virtuals resideixen dins d’un maquinari físic que executa un sistema operatiu i un hipervisor per crear i executar els servidors virtuals al servidor físic únic. Mitjançant la virtualització, podeu convertir eficaçment un únic equip físic en diversos ordinadors virtuals disponibles per a tasques i usuaris separats.
Les LAN virtuals funcionen de la mateixa manera que els servidors virtuals. Un o més commutadors gestionats executen el programari (similar al programari d’hipervisor) que permet als commutadors crear diversos commutadors virtuals dins d’una xarxa física.
Cada commutador virtual és la seva pròpia xarxa autònoma. La principal diferència entre servidors virtuals i LAN virtuals és que les LAN virtuals es poden distribuir a través de diverses peces físiques de maquinari amb un cable designat anomenat tronc.
Com funciona 
Imagineu-vos que teniu una xarxa per a una petita empresa en creixement, que afegiu empleats, que us dividiu en departaments separats i que us torneu a fer més complexos i organitzats.
Per respondre a aquests canvis, heu actualitzat a un commutador de 24 ports per allotjar dispositius nous a la xarxa.
Podeu plantejar-vos simplement executar un cable Ethernet a cadascun dels dispositius nous i trucar a la tasca feta, però el problema és que l’emmagatzematge de fitxers i els serveis que utilitza cada departament s’han de mantenir separats. Les VLAN són la millor manera de fer-ho.
Dins de la interfície web del commutador, podeu configurar tres VLAN separades, una per a cada departament. La forma més senzilla de dividir-los és per números de ports. Podeu assignar els ports 1-8 al primer departament, assignar els ports 9-16 al segon departament i, finalment, assignar els ports 17-24 g a l'últim departament. Ara heu organitzat la vostra xarxa física en tres xarxes virtuals.
El programari del commutador pot gestionar el trànsit entre els clients de cada VLAN. Cada VLAN actua com la seva pròpia xarxa i no pot interactuar directament amb les altres VLAN. Ara, cada departament té la seva pròpia xarxa més petita, menys desordenada i més eficient, i podeu gestionar-les totes a través del mateix maquinari. Aquesta és una manera molt eficient i rendible de gestionar una xarxa.
Quan necessiteu que els departaments puguin interactuar, podeu fer-ho a través del router de la xarxa. El router pot regular i controlar el trànsit entre les VLAN i aplicar normes de seguretat més fortes.
En molts casos, els departaments hauran de treballar junts i interactuar. Podeu implementar la comunicació entre les xarxes virtuals a través del router, establint regles de seguretat per garantir la seguretat i la privadesa adequades de les xarxes virtuals individuals.
VLAN vs. Subxarxa
Les VLAN i les subxarxes són en realitat força similars i tenen funcions similars. Tant les subxarxes com les VLAN divideixen les xarxes i els dominis d’emissió. En ambdós casos, les interaccions entre subdivisions només es poden produir mitjançant un encaminador.
Les diferències entre ells vénen en la forma de la seva implementació i com modifiquen l'estructura de la xarxa.
Subxarxa d'adreces IP
Hi ha subxarxes a la capa 3 del model OSI, la capa de xarxa. Les subxarxes són una construcció a nivell de xarxa i es gestionen amb routers, que s’organitzen al voltant d’adreces IP.
Els encaminadors esculpen intervals d’adreces IP i negocien les connexions entre ells. Això posa tot l’estrès de la gestió de xarxa al router. Les subxarxes també es poden complicar a mesura que la vostra xarxa augmenta en mida i complexitat.
VLAN
Les VLAN troben la seva llar a la capa 2 del model OSI. El nivell d'enllaç de dades és més proper al maquinari i és menys abstracte. Les LAN virtuals emulen el maquinari que actua com a commutadors ndividuals.
No obstant això, les xarxes locals virtuals poden trencar dominis de difusió sense necessitat de tornar a connectar-se a un enrutador, eliminant algunes de les càrregues de gestió del router.
Com que les VLAN són les seves pròpies xarxes virtuals, han de comportar-se una mica com si tinguessin un enrutador incorporat. Com a resultat, les VLAN contenen almenys una subxarxa i poden admetre diverses subxarxes.
Les VLAN distribueixen la càrrega de la xarxa i. diversos commutadors poden gestionar el trànsit dins de les VLAN sense involucrar el router, cosa que proporciona un sistema més eficient.
com fer captures de pantalla a Snapchat sense que coneguin Android 2018
Avantatges de les VLAN
A hores d’ara, ja heu vist un parell d’avantatges que les VLAN aporten a la taula. Només en virtut del que fan, les VLAN tenen una sèrie d’atributs valuosos.
Les VLAN ajuden amb la seguretat. La compartimentació del trànsit limita qualsevol oportunitat d'accés no autoritzat a parts d'una xarxa. També ajuda a aturar la difusió de programari maliciós, si algú es troba a la xarxa. Els possibles intrusos no poden utilitzar eines com Wireshark per ensumar paquets a qualsevol lloc més enllà de la LAN virtual en què es trobin, limitant també aquesta amenaça.
L’eficiència de la xarxa és una cosa important. Pot estalviar o costar milers de dòlars a la vostra empresa per implementar VLAN. La ruptura de dominis d’emissió augmenta considerablement l’eficiència de la xarxa limitant el nombre de dispositius que participen en la comunicació alhora. VLAN disminueix la necessitat de desplegar routers per gestionar xarxes.
Sovint, els enginyers de xarxes trien construir LAN virtuals per servei, separant el trànsit important o intensiu en xarxa, com ara una xarxa d’àrea d’emmagatzematge (SAN) o veu sobre IP (VOIP). Alguns commutadors també permeten a un administrador prioritzar les VLAN, donant més recursos a un trànsit més exigent i que falta de crítica.
Seria terrible haver de construir una xarxa física independent per separar el trànsit. Imagineu l’enredat embolic de cablejat que hauríeu de lluitar per fer canvis. Això no vol dir res per a l’augment del cost del maquinari i l’energia consumida. També seria molt inflexible. Les VLAN resolen tots aquests problemes virtualitzant diversos commutadors en una sola peça de maquinari.
Les VLAN proporcionen un alt grau de flexibilitat als administradors de xarxa mitjançant una còmoda interfície de programari. Digueu que dos departaments canvien d'oficina. El personal de TI s'ha de moure pel maquinari per adaptar-se al canvi? No, només poden reassignar els ports dels commutadors a les VLAN correctes. Algunes configuracions de VLAN ni tan sols ho requeririen. S’adaptarien dinàmicament. Aquestes VLAN no requereixen ports assignats. En lloc d’això, es basen en adreces MAC o IP. Sigui com sigui, no cal barrejar interruptors ni cables. És molt més eficient i rendible implementar una solució de programari per canviar la ubicació d’una xarxa que moure el maquinari físic.
VLAN estàtiques vs. dinàmiques
Hi ha dos tipus bàsics de VLAN, classificades per la manera com hi estan connectades les màquines. Cada tipus té punts forts i punts febles que s’haurien de tenir en compte en funció de la situació particular de la xarxa.
VLAN estàtica
Les VLAN estàtiques sovint s’anomenen VLAN basades en ports perquè els dispositius s’uneixen connectant-se a un port assignat. Fins ara, aquesta guia només ha utilitzat VLAN estàtiques.
En configurar una xarxa amb VLAN estàtiques, un enginyer dividia un commutador pels seus ports i assignava cada port a una VLAN. Qualsevol dispositiu que es connecti a aquest port físic s'unirà a aquesta VLAN.
Les VLAN estàtiques proporcionen xarxes molt senzilles i fàcils de configurar sense dependre massa del programari. Tot i això, és difícil restringir l'accés a una ubicació física perquè una persona només pot connectar-se. Les VLAN estàtiques també requereixen un administrador de la xarxa per canviar les assignacions de ports en cas que algú de la xarxa canviï de ubicació física.
VLAN dinàmica
Les VLAN dinàmiques depenen en gran mesura del programari i permeten un alt grau de flexibilitat. Un administrador pot assignar adreces MAC i IP a VLAN específiques, cosa que permet moviments lliures a l'espai físic. Les màquines d'una LAN virtual dinàmica es poden moure a qualsevol lloc de la xarxa i romandre a la mateixa VLAN.
Tot i que les VLAN dinàmiques són immillorables en termes d’adaptabilitat, tenen alguns greus inconvenients. Un commutador de gamma alta ha d'assumir el paper d'un servidor conegut com a servidor de polítiques de gestió de VLAN (VMPS) (per emmagatzemar i lliurar informació d'adreça als altres commutadors de la xarxa. Un VMPS, com qualsevol servidor, requereix una gestió i manteniment regulars i està subjecte a possibles temps d'inactivitat.
Els atacants poden falsificar les adreces MAC i accedir a VLAN dinàmiques, afegint un altre desafiament potencial de seguretat.
Configuració d'una VLAN
Què necessites
Hi ha un parell d’elements bàsics que necessiteu per configurar una VLAN o diverses VLAN. Com s’ha dit abans, hi ha una sèrie d’estàndards diferents, però el més universal és l’IEEE 802.1Q. Aquesta és la que seguirà aquest exemple.
Encaminador
Tècnicament, no necessiteu un encaminador per configurar una VLAN, però si voleu que diverses VLAN interaccionin, necessitareu un encaminador.
Molts enrutadors moderns admeten la funcionalitat VLAN d’una forma o altra. És possible que els enrutadors domèstics no admetin VLAN o només el suportin a una capacitat limitada. El microprogramari personalitzat com DD-WRT ho admet de forma més completa.
Parlant de costum, no necessiteu un encaminador per treballar amb les vostres LAN virtuals. El firmware del router personalitzat es basa generalment en un sistema operatiu similar a Unix, com Linux o FreeBSD, de manera que podeu crear el vostre propi router utilitzant qualsevol d'aquests sistemes operatius de codi obert.
Totes les funcions d’encaminament que necessiteu estan disponibles per a Linux i podeu configurar una instal·lació de Linux personalitzada per adaptar el vostre encaminador a les vostres necessitats específiques. Consulteu pfSense per a alguna cosa que tingui més funcions. pfSense és una excel·lent distribució de FreeBSD construïda per ser una solució d’encaminament de codi obert robusta. Admet VLAN i inclou un tallafoc per assegurar millor el trànsit entre les xarxes virtuals.
Independentment de la ruta que trieu, assegureu-vos que admeti les funcions de VLAN que necessiteu.
Switch gestionat
Els commutadors són el centre de la xarxa VLAN. Són on passa la màgia. Tot i això, necessiteu un commutador gestionat per aprofitar la funcionalitat de la VLAN.
Per millorar les coses, literalment, hi ha disponibles commutadors gestionats de capa 3. Aquests commutadors poden gestionar alguns trànsits de xarxa de capa 3 i poden substituir un enrutador en algunes situacions.
com tancar un compte pof
És important tenir en compte que aquests commutadors no són routers i que la seva funcionalitat és limitada. Els commutadors de capa 3 disminueixen la probabilitat de latència de la xarxa, que pot ser fonamental en alguns entorns on és fonamental tenir una xarxa de latència molt baixa.
Targetes d'interfície de xarxa de client (NIC)
Les NIC que utilitzeu a les màquines client haurien de ser compatibles amb 802.1Q. És probable que sí, però és una cosa que cal tenir en compte abans d’avançar.
Configuració bàsica
Aquí teniu el més difícil. Hi ha milers de possibilitats diferents per configurar la vostra xarxa. Cap guia no els pot cobrir. Al fons, les idees darrere de gairebé qualsevol configuració són les mateixes, i també ho és el procés general.
Configuració del router
Podeu començar de dues maneres diferents. Podeu connectar l’encaminador a cada commutador o a cada VLAN. Si opteu només per cada commutador, haureu de configurar el router per diferenciar el trànsit.
A continuació, podeu configurar l’encaminador per gestionar el trànsit de pas entre VLAN.
Configuració dels commutadors
Suposant que es tracta de VLAN estàtiques, podeu introduir la utilitat de gestió de VLAN del commutador a través de la seva interfície web i començar a assignar ports a diferents VLAN. Molts commutadors utilitzen un disseny de taula que us permet marcar les opcions dels ports.
Si feu servir diversos commutadors, assigneu un dels ports a totes les vostres VLAN i configureu-lo com a port tronc. Feu-ho a cada commutador. A continuació, utilitzeu aquests ports per connectar-vos entre els commutadors i repartiu les vostres VLAN entre diversos dispositius.
Connexió de clients
Finalment, aconseguir clients a la xarxa s’explica per si mateix. Connecteu les màquines client als ports corresponents a les VLAN que vulgueu.
VLAN a casa
Tot i que pot ser que no es vegi com una combinació lògica, les VLAN tenen una aplicació fantàstica a l’espai de xarxes domèstiques, les xarxes de convidats. Si no us ve de gust configuració d’una xarxa empresarial WPA2 a casa i creant credencials d’inici de sessió individualment per als vostres amics i familiars, podeu utilitzar VLAN per restringir l’accés que els vostres convidats tenen als fitxers i serveis de la vostra xarxa domèstica.
Molts routers domèstics de gamma alta i el firmware del router personalitzat admeten la creació de VLAN bàsiques. Podeu configurar una VLAN convidada amb la seva pròpia informació d’inici de sessió per permetre als vostres amics connectar els seus dispositius mòbils. Si el vostre encaminador l’admet, una VLAN convidada és una capa de seguretat addicional fantàstica per evitar que el portàtil amb virus del vostre amic torci la vostra xarxa neta.
