Trabajo realizado por Ysela Yupanqui : yyupanqu@galois.usach.cl y Amparo Massoni A. amassoni@galois.usach.cl

INDICE
Introducción
Objetivos
Definición de VLAN
Bases de la Tecnología de Switcheo
Características
Tipos de VLANs Existentes
Tecnología
Configuración de VLAN
Comunicación de Información en una VLAN
Normas de VLANs
Implementación
Futuro de las Arquitecturas
Encapsulación de VLANs ( ISL Inter Switch Link)
Beneficios
Desventajas
Cuando Escoger la Solución con Redes Virtuales
Conclusiones
Bibliografía
 
VOLVER AL INDICE

1. INTRODUCCIÓN

Los computadores de escritorio actuales, en una red, son cada día más poderosos y corren complejos programas cliente/servidor, o aplicaciones multimedia que generan una gran demanda por ancho de banda. Esta demanda se traduce en que muchas redes comienzan a saturarse.

Antiguamente este problema fue resuelto utilizando ‘Bridges’ (puentes) y ‘Routers’ (enrutadores), que aislaban un grupo de trabajo del resto de la red, logrando así que las estaciones del grupo tuvieran el máximo acceso posible al medio físico de transmisión. De esta manera el desempeño de red-corporativa no era afectado mayormente por los tráficos generado en el inferior de los grupos de trabajo.

Al aumentar la demanda por ancho de banda y debido a que las redes de área local (LANs) constituyen ambientes muy dinámicos, el antiguo esquema ha ido perdiendo terreno. Las desventajas principales son: difícil reconfiguración y restricciones geográficas a los miembros de los ‘workgroups’ (grupos de trabajo).

La solución actual es la utilización de ‘Switches’ (conmutadores), que pueden conseguir las LANs se transformen en poderosas redes virtuales.

Es necesario mencionar el modelo de red de interconexión de sistemas abiertos (OSI) realizado por la organización nacional para la estandarización (ISO) en 1984. El modelo OSI divide el problema de transmisión de información entre dos máquinas de una red en siete problemas más pequeños y manejables, esto es divide el paso de información desde una aplicación manipulada por el usuario hasta que es enviada por un medio físico (cable) en siete ‘layers’ (capas). Estas son: aplicación, presentación, sesión, transporte, red, enlace y física.

Para los fines de este informe basta definir las capas más inferiores:

- Capa Física: Define las características eléctricas, mecánicas y funcionales de un enlace físico entre dos puntos de la red.
- Capa de Enlace: Define la transmisión confiable de datos entre dos puntos unidos a través de un enlace físico. Tiene que ver con las direcciones físicas (las de las tarjetas de red), topologías de red, y acceso al medio, entre otras.
- Capa de Red: Provee conectividad y selección de caminos entre dos puntos cualesquiera de una red, que pueden estar situados en distintos puntos geográficos (o segmentos de red). Tiene que ver con las direcciones de red lógicas de los dispositivos en la red (direcciones IP, en este caso de una red TCP/IP).
De lo anterior se deduce que cada punto de la red tiene dos direcciones: una dirección física, que se encuentra en la circuitería de la tarjeta de red, y una dirección lógica o de red que son asignadas jerárquicamente dentro de una LAN. Una dirección muy particular es la de ‘broadcasting’, o para todos, que es utilizada para enviar la misma información a todos los miembros de un grupo de trabajo.

El traspaso de información es, en general, en forma de paquetes que contienen una cabecera, que lleva información sobre la máquina origen y destino, y un cuerpo con información útil (los datos que se desea transmitir).

En este contexto, un Bridge conecta dos segmentos de una LAN, permitiendo el traspaso restringido de información de un lado a otro, sin alterar el paquete original. Trabaja en la capa de enlace por lo que sólo tiene acceso a las direcciones MAC (Media Access Control) o físicas. Realiza una tarea de filtrado, ya que únicamente deja pasar paquetes que van dirigidos efectivamente a un segmento de red en particular. Esto permite reducir la congestión de las LANs. Sin embargo propagan paquetes con destino desconocido o paquetes de broadcasts.

Los Routers, reconocen y procesan los paquetes que llegan a sus puertas, realizando dos tareas principales: determinación del camino óptimo entre otros puntos de la red y transporte de los paquetes a través de la red. Trabajan en la capa de red, por lo que se conocen las direcciones físicas y lógicas de los miembros de la LAN. De esta manera se evita la propagación de broadcast más allá de workgroup. Pero esta misma razón restringe la configuración de los workgroups a un sólo router, por lo que las redes locales deben situarse en la misma ubicación geográfica si es que quieren compartir recursos en forma eficiente.

Con el uso de estos dos dispositivos se disminuye la congestión en la red corporativa, pero se restringe de sobremanera la interoperatibilidad y es muy difícil de reconfigurar: nuevo cableado, movimientos de equipos, reconfiguración de archivos, etc.
 

VOLVER AL INDICE

2. OBJETIVOS

VOLVER AL INDICE

3. DEFINICIÓN DE VLAN

Una VLAN se encuentra conformada por un conjunto de dispositivos de red, los cuales funcionan de igual manera como lo hacen los de una LAN, pero con la diferencia de que las estaciones que constituyen la VLAN no necesariamente deben estar ubicadas en el mismo segmento físico. La VLAN básicamente es un subred definida por software y es considerada como un dominio de broadcast.[HTML]
 

VOLVER AL INDICE

BASES DE LA TECNOLOGÍA DEL SWITCHEO

Generalmente tiende a aliviar la congestión producida por Ethernet, Token Ring y FDDI al reducir significativamente el trafico de Broadcast, aumentando el ancho de banda útil. Están diseñados para operar con las arquitecturas existentes ( Hubs ), y pueden ser instalados con un mínimo de condiciones.

La tecnología delos Switches es muy similar a la tecnología de Bridge. En este caso el Bridge se encarga de unir dos segmentos de red con diferente subcapa MAC, copiando tramas de un lado a otro, en caso que sea necesario, respetando el formato del encabezado de la misma.

Como los Bridges, los Switches conectan 2 segmentos de red de acuerdo a una tabla de direcciones MAC, para saber en que segmento transmitir la trama entrante. Sobre Ethernet, se mejora la utilización del ancho de banda del medio de transmisión, al Segmentar la red en dominios de colisión y selectivamente transmitir el trafico presente al segmento adecuado.

De acuerdo a la figura, el servidor A puede comunicarce con el cliente B, transmitiendo tramas desde el puerto 1 al 2; y , simultáneamente el servidor C puede comunicarce con el cliente D transmitiendo tramas desde el puerto 3 al 4. No se necesita pasar por el Switche si se esta en el mismo segmento.

Igualmente importante, los Routers son vitales para la tecnología de Switcheo, ya que de ellos depende la comunicación entre los grupos de trabajo definidos para cada VLAN.

Además, proveen un acceso a recursos distribuidos, tales como servidores de correo, bases de datos y aplicaciones especificas; adicionalmente, conectan partes de la red que lógicamente están segmentadas de la manera tradicional y permiten un acceso remoto a través de enlaces WAN.

Los Switches de la figura 10-2, poseen un puerto de consola y 2 puertos con Fast Ethernet 100Mbps. Además, están distribuidos de tal manera que en cada slot se encuentran hasta 4 puertos, con un total de 5 slots. Se tiene que, 2/2, es el 2 puerto del 2 slot.

El protocolo de comunicación es ISL ( Inter Switch Link ), el cual como se vera mas adelante aumenta una cabecera de 30 bytes. Se puede observar que se han definido VLAN20 sobre el puerto 4 slot 2 del Switche A, puertos 3 y 1 s lot 2 del Switche B y así con la VLAN10.

Si en los puertos 3 o 1 del slot 2 en el Switche B, se produce una trama, el Switche B lo encapsula con una cabecera ISL y lo destina a el Switche E, este a su vez verifica la cabecera para constatar que pertenece a la VLAN20, luego, lo evacua por el puerto 2/2 hacia el Switche A, este a su vez, remueve la cabecera ISL y verifica si el destino es multicast, broadcast o unicast.

A continuación se muestran las configuraciones de los Switches A, B y E:

Para el Switche A:

set vlan 10 2/1,2/2

set vlan 20 2/4

set trunk 1/1 10,20

En este caso se tiene que, se crea a VLAN10 sobre los puertos 1 y 2 del slot 2, VLAN20 en el puerto 4 del slot 2 y una salida para las dos VLAN de 100Mbps por el puerto 1 del slot 1. Igualmente para los otros

Switches se tiene:

Para el Switche B:

set vlan 10 2/2

set vlan 20 2/1,2/3

set trunk 1/1 10,20

Para el Switche E: set trunk 2/1 10,20

set trunk 2/2 10,20

VOLVER AL INDICE

5. CARACTERÍSTICAS

Los grupos de trabajo en una red han sido creados hasta ahora por la asociación física de los usuarios en un mismo segmento de la red, o en un mismo concentrador o hub. Como consecuencia directa de la forma tradicional de crear grupos de trabajo, estos grupos comparten el ancho de banda disponible y los dominios de broadcast, así como la dificultad de gestión cuando se producen cambios en los miembros del grupo. Mas aun, la limitación geográfica que supone que los miembros de un grupo determinado deben de estar situados adyacentemente, por su conexión al mismo concentrador o segmento de la red.

VOLVER AL INDICE

6. TIPOS DE VLANS EXISTENTES

Existen varias formas de definir una VLAN, las cuales se pueden dividir en 4 tipos generales como son:

Basadas en Agrupaciones de Puertos

En este caso se definen grupos de trabajo desacuerdo a agrupaciones de los puertos existentes en los Switches, es decir, puertos 1, 2, 3 pertenecen a la VLAN A y 4, 5 a la VLAN B. Esto inicialmente se implemento en un solo Switche, luego la segunda generación se oriento a realizarlo en múltiples Switches, tal y como se presenta en seguida:

Esta es la manera mas común de definir los grupos de trabajo en una VLAN, su facilidad depende de la "inteligencia" de cada Switiche. A pesar de esto, se crea una pequeña dificultad al intentar mover un equipo de un puerto a otro, ya que hay que tener en cuenta a que VLAN pertenece antes de hacer el cambio, es decir, fácilmente se puede cambiar de una VLAN a otra solo con el hecho de mover a un usuario de un puerto a otro. Además, para implementar VLANs sobre múltiples Switches, se necesitan protocolos de señalización entre ellos, lo cual se convierte en un aumento de la utilización del ancho de banda.

 

Basadas En Direcciones Mac

Como su mismo nombre lo indica, se basan en la dirección Hardware presente en cada tarjeta de red de cada equipo, esto es, a nivel de la capa 2 del modelo OSI, específicamente en la subcapa MAC. Es decir, aprovechando que los Switches operan con tablas de direcciones MAC, estas mismas tablas se pueden agrupar de tal manera que se puedan conformar grupos de trabajo y así crear una VLAN.

Esto permite que cualquier cambio de locación del equipo, no involucre un cambio de su configuración ni en la configuración de la red, de tal manera que se conserva su pertenencia a la misma VLAN. Inicialmente uno de los principales inconvenientes era que la configuración inicial debía hacerse, e n su totalidad, desde el principio; luego, los proveedores migraron a utilizar diferentes herramientas que les permitían un fácil seguimiento de los posibles usuarios que se puedan agregar o quitar.

Otro inconveniente se presenta cuando, por algún motivo falla la tarjeta de red del equipo, lo cual implica un cambio de la misma, es decir un cambio de la dirección MAC; esto hace que regularmente se actualizan las direcciones pertenecientes a determinada LAN, aunque este inconveniente es poco común.

Basadas En La Capa 3 Del Modelo Osi

En este caso, existen 2 posibilidades, primera basadas en direcciones IP, y segunda basadas en tipos de protocolos de la capa 3. De esta manera, desde el punto de vista del Switche, este inspecciona los números IP de las tramas que le llegan o simplemente sirve de puente entre las VLANs definidas para diferentes protocolos. No se lleva a cabo ningún tipo de ruteo o algo similar.

Debido a esto, algunos proveedores incorporan cierta inteligencia a sus Switches adaptándolos con ciertas capacidades a nivel de la capa 3. Esto es, habilitándolos para tener funciones asociadas con el ruteo de paquetes.

Existen ventajas al respecto, primero permite la convivencia en el mismo medio físico de varios protocolos a nivel de la capa 3; segundo, permite realizar movimientos de estaciones de trabajo sin reconfigurarlas; tercero, elimina la necesidad de la señalización entre Switches, ahorrando ancho de banda.

Una de las principales desventajas de este tipo de implementación de una VLAN, es que en este caso el Switche es mas lento que en los casos anteriores al tener facultades para operar sobre la capa 3 del modelo OSI.

También, existen problemas cuando se trabaja con protocolos no-ruteables tales como NetBIOS, es decir, sus tramas no se pueden diferenciar de otros protocolos y por ende no pueden ser definidas como una VLAN.

Basadas en Grupos de Multicast

En este caso lo que se tiene es un conjunto de direcciones IP, al cual le llegan paquetes vía Multicast, estos paquetes son enviados a direcciones proxy para que apartir de aquí se definan las direcciones IP que está ;n autorizadas a recibir el paquete, esto se hace dinámicamente.

Cada estación de trabajo, obtiene la oportunidad de escoger un tipo particular de grupo con direcciones IP Multicast, respondiendo afirmativamente a la notificación tipo Broadcast. Esto se presta para que las VLAN trasciendan a conexiones a nivel de WANs.
 

VOLVER AL INDICE

7. TECNOLOGÍA

Existen tres aproximaciones diferentes que pueden emplearse como soluciones válidas para proporcionar redes virtuales: conmutación de puertos, conmutación de segmentos con funciones de bridging, y conmutación de segmentos con funciones de bridging/routing. Todas las soluciones están basadas en arquitecturas de red que emplean concentradores/conmutadores. Aunque las tres son soluciones validas, solo la última, con funciones de puente/encaminador (bridge/router), ofrece todas las ventajas a las VLAN.

Conmutadores de puertos (Port-Switches)

Los conmutadores de puertos son concentradores con varios segmentos, cada uno de los cuales proporciona el máximo ancho de banda disponible, según el tipo de red, compartido entre todos los puertos existentes en dicho segmento. Se diferencian de los conmutadores tradicionales en que sus puertos pueden asociarse dinámicamente a cualquiera de los segmentos, mediante comandos software. Cada segmento se asocia a un backplane (medio físico de gran velocidad que enlaza todos los puertos de los hubs), el cual equivale a su vez a un grupo de trabajo. De este modo, las estaciones conectadas a estos puertos pueden asignarse y reasignarse a diferentes grupos de trabajo o redes virtuales.

Se pueden definir los conmutadores de puertos como software patch panels, y su ventaja fundamental es la facilidad para la reconfiguración de los grupos de trabajo. Tienen, sin embargo, graves limitaciones; dado que están diseñados como dispositivos que comparten un backplane físico, las reconfiguraciones de grupo de trabajo están limitadas al entorno de un único concentrador y por tanto, todos los miembros del grupo deben de estar físicamente próximos.

Las redes virtuales con conmutadores de puertos adolecen de conectividad con el resto de la red. Al segmentar sus propios backplanes no proporcionan conectividad integrada entre los mismos, y por tanto están separados de la comunicación con el resto de la red.

Requieren para ello un puente/encaminador externo. Ello implica mayores costes, además de la necesidad de reconfigurar el puente/encaminador cuando se producen cambios en la red. Por ultimo, los conmutadores de puertos no alivian el problema de saturación del ancho de banda de la red. Todos los nodos deben de conectarse al mismo segmento o backplane, por tanto compartirán el ancho de banda disponible en el mismo, independientemente de su numero.

Conmutadores de segmentos con bridging (Layers-2 Switches)

A diferencia de los conmutadores de puertos, suministran el ancho de banda de múltiples segmentos de red, manteniendo la conectividad entre dichos segmentos. Se emplean para ello los algoritmos tradicionales de los puentes (bridges), o subconjuntos de los mismos para proporcionar conectividad entre varios segmentos a la velocidad máxima que permite la topología y protocolos de dicha red.

Mediante estos dispositivos, las VLAN no son grupos de trabajo conectados a un solo segmento o backplane Sino grupos lógicos de nodos que pueden conectarse a cualquier número de segmentos de red físicos. Estas VLAN son dominios de broadcast lógicos: conjuntos de segmentos de red que reciben todos los paquetes enviados por cualquier nodo en la VLAN como si todos los nodos estuvieran conectados físicamente al mismo segmento.

Al igual que los conmutadores de puertos, se puede reconfigurar y modificar la estructura de la VLAN mediante comandos software, con la ventaja añadida de ancho de banda repartido entre varios segmentos físicos. De esta forma, según va creciendo un grupo de trabajo, y para evitar su saturación, los usuarios del mismo pueden situarse en diferentes segmentos físicos, aún manteniendo el concepto de grupo de trabajo independiente del resto de la red, con lo que se logra ampliar el ancho de banda en función del numero de segmentos usados.

Aún así, comparten el mismo problema con los conmutadores de puertos en cuando a su comunicación fuera del grupo. Al estar aislados, para su comunicación con el resto de la red necesitan encaminadores, con las consecuencias que ya se han mencionado en el caso anterior, relativas al coste y la reconfiguración de la red.

Conmutadores de segmentos con bridging/Routing (Multi-Layer Switches)

Son la solución evidente tras la lectura atenta de la dos soluciones anteriores. Dispositivos que comparten todas las ventajas de los conmutadores de segmentos con funciones de bridging, pero además con funciones añadidas de encaminamiento (routing), lo que les proporciona fácil reconfiguracion de la red, así como la posibilidad de crear grupos de trabajo que se expanden a través de diferentes segmentos de la red. Además, sus funciones de encaminamiento facilitan la conectividad entre las redes virtuales y el resto de los segmentos o redes, tanto locales como remotas.

Mediante las redes virtuales se puede crear un nuevo grupo de trabajo, con tan solo una reconfiguración del software del conmutador. Ello evita el recableado de la red o el cambio en direcciones de subredes, permitiendo así asignar el ancho de banda requerido por el nuevo grupo de trabajo, sin afectar a las aplicaciones de red existentes.

En las VLAN con funciones de encaminamiento, la comunicación con el resto de la red se puede realizar de dos modos distintos: permitiendo que algunos segmentos sean miembros de varios grupos de trabajo, o mediante las funciones de encaminamiento multiprotocolo, que facilitan el trafico incluso entre varias VLAN.
 

VOLVER AL INDICE

8. CONFIGURACION DE VLAN

Una emisión central del despliegue de VLAN, es el grado en que las VLAN automatizan su configuración. Hasta cierto punto, se supone que el grado de automatización de las VLANS esta definido, pero en realidad es el vendedor quien determina este nivel de automatización.

Hay tres niveles primarios de automatización en la configuiración de una VLAN.
 

Manual : En una configuración completamente manual, el arreglo inicial y todos los movimientos subsecuentes y cambios son controlados por el administrador de la red. Por supuesto este tipo de configuración habilita un alto grado de mando, pero en empresas muy grandes esta configuración no es práctica , además eliminaría beneficios que se supone una VLAN te las entregaría como tiempo en administración, mudanza manual.....
Semiautomática : Esta configuración se refiere a la opción de automatizar la configuración inicial, reconfiguraciones subsecuentes, o ambos. Se logra la automatización de la configuración inicial normalmente con un juego de herramientas que existen en las subredes y que trazan las VLANs u otros criterios.
Configuración semi-automatizada podría también referirse a situaciones donde las VLANs se configuran inicialmente por mano y los movimientos subsecuentes por rastreo automático.
Combinar ambos inicial y automatización subsecuentemente de la configuración implicaría todavía configuración semi-automatizada, porque el administrador de la red siempre tiene la opción de una configuración manual.
Totalmente Automático : Un sistema cuya configuración de VLANs totalmente automatizado implica que las estaciones de trabajo se configuran automáticamente y dinámicamente, dependiendo de la aplicación que se utilice, del usuario ID, u otros criterios o políticas que son prefijados por el administrador.
VOLVER AL INDICE

9. COMUNICACIÓN DE INFORMACIÓN EN UNA VLAN

Existen 3 métodos para comunicar información entre Switches a través de un a Backbone: Mantenimiento de Tablas, encapsulado de tramas y TDM.

En el mantenimiento de tablas a través de señalización, lo que se tiene es una tabla que asocia, ya sea, direcciones MAC o número de puertos, para cada VLAN definida. Esta información es comunicada periódicamente a otros Switches de la red. Los cambios que se hagan deben hacerse manualmente por el administrador de la red, directamente en el equipo ( Switche ), claro esta, esto depende mucho del proveedor. El constante envío de señalización necesaria para mantener al día las tablas en los Switches causa una significativa congestión, por lo que este método no es particularmente bueno.

En el encapsulado de tramas, se agrega una cabecera con la información suficiente para identificar de manera unívoca cada VLAN definida. Esto corre el peligro de sobrepasar el tamaño máximo permitido por l a subcapa MAC. Estas cabeceras adicionan una sobrecarga al trafico de la red.

TDM trabaja de igual manera que en otros sistemas para soportar trafico de diverso tipo a través de un mismo medio.

En este caso, se tienen canales reservados para cada VLAN. Esta aproximación evita problemas de sobrecarga de la señalización y del encapsulado de tramas, pero, desperdicia ancho de banda, ya que no se puede utilizar el canal asignado a otra VLAN que puede estar con baja carga.
 

VOLVER AL INDICE

10. NORMAS DE VLANS

Como la tecnología de VLAN desarrollada, una necesidad de la estandardización de VLAN llegó a ser evidente. Las soluciones distribuidas de VLAN eran obligado debido a una carencia de parámetros establecidos.

En base a esto se originaron las siguientes normas :

Para alcanzar y proporcionar a las ventajas completas de VLANs, la interoperabilidad entre vendedores tuvo que existir. Consecuentemente, la seguridad de IEEE 802,10 Interoperable LAN/MAN (SILS) fue desarrollada como mecanismo estándar de VLAN en finales de 1992.

La IEEE 802,10 incorpora técnicas de la autentificación y del cifrado para asegurar secreto e integridad de los datos a través de la red. El protocolo 802,10 permite a tráfico del LAN llevar un identificador de VLAN, así permitiendo la conmutación selectiva de paquetes.

El interruptor detectará la identificación de VLAN y remitirá el paquete solamente a los endstations que contienen la misma identificación. Existe una sola unidad de datos de protocolo conocida como intercambio de datos seguro (SDE). Es un marco de la capa del MAC con la cabecera insertada entre la cabecera del MAC y los datos del marco según lo mostrado abajo.


La cabecera clara incluye un identificador de la asociación de la seguridad (DICHO) y un campo definido gerencia opcional (MDF), que pueden llevar la información para facilitar el proceso de la PDU. La cabecera protegida repliega el direccionamiento de la fuente contenido en la cabecera del MAC para validar la dirección. Así evitando que otra estación sea identificada como la fuente verdadera.

Las salvaguardias del valor del cheque de la integridad (ICV) contra la modificación interna desautorizada de los datos usando un algoritmo de la seguridad. El cifrado para la cabecera 802,10 es opcional. Los gastos indirectos en la cabecera se pueden reducir al mínimo por solamente incluyendo las funciones bajas, es decir, el designador de SDE y la identificación real de VLAN (DICHA).

Cuando una colección arbitraria de subnets del LAN se configura como VLAN, los paquetes nativos que originan de las estaciones asociadas a estos LANs adquieren una cabecera 802,10 que contenga la identificación apropiada de VLAN mientras que los paquetes se remiten sobre el backbone.

La propagación de tales paquetes es controlada y contenida solamente al otro LANs dentro de la misma topología virtual. Esto es lograda por los otros dispositivos del establecimiento de una red en el backbone, que realizan un emparejamiento de la identificación de VLAN.

Cuando se reciben 802,10 marcos que contienen una identificación no utilizada en cualesquiera de los accesos de un dispositivo son quitados por una técnica llamada filtración. Los capítulos que corresponden con las identificaciones se eliminan de las 802,10 porciones y de los accesos correspondientes enviados en su formato original. Puesto que 802,10 paquetes de VLAN son marcos válidos del MAC, son manejados transparente por los dispositivos compatibles con 802.10.

Identificación Del Paquete

Los acercamientos más comunes para lógicamente agrupar a utilizadores en VLANs administrativo definido, incluyen la filtración del paquete y la identificación del paquete.

La filtración del paquete es una técnica que examina la información determinada sobre cada paquete basado en definiciones del utilizador. La identificación del paquete asigna únicamente una identificación a cada paquete.

Estas técnicas examinan el paquete cuando es recibida o remitida por el interruptor. De acuerdo con el conjunto de reglas definidas por el administrador, estas técnicas se determinan donde será enviado el paquete, filtrado, y/o difundido.

Un vector de filtración se desarrolla para cada switche. Esto proporciona a un alto nivel del control de administración, porque puede examinar muchos atributos de cada paquete. Los encargados de red pueden agrupar a utilizadores basados sobre direccionamientos de estación del MAC, tipos del protocolo de capa de red, o tipo de la aplicación.

Las entradas del vector se comparan con los paquetes filtrados por el switche. El switche toma la acción apropiada basada en las entradas. El paquete que se filtra típicamente proporciona a una capa adicional del interruptor que procesa antes de la expedición cada paquete a otro interruptor dentro de la red

VLAN usa la técnica de la identificación del paquete, pone un único identificador en el título de cada paquete se reenvía en todo el tejido del switch. El identificador es detectado y examinado por cada switch,identificando los broadcast o cualquier transmisiones de otros switche routers, u otros aparatos.

Cuando el paquete termina el proceso, el switch quita el identificador después el paquete es transmitido para estación final.

Ambas técnicas dejan a VLAN arquitecturas que no interfieren con aplicaciones y protocolos de la comunicación. Los switches proporcionan todo, filtran, identifican, y reenvían sin cualquier modificación de los aparatos de la estación final.
 

VOLVER AL INDICE

11. IMPLEMENTACIONES

Para tener redes virtuales que se puedan extender en diferentes ciudades incluso países se hace necesario la interconexión de los swiches entre si, a esta interconexión es a lo que se le denomina el backbone, y este se puede implementar de diferentes formas. De otro lado, es necesario resolver como se efectuara la comunicación de las VLANS entre si y qué solución será mas económica y rápida.

VLANS Con Backbone En ATM

Combinando VLANs con redes ATM se crea una arquitectura de red qué esta directamente relacionada con el concepto de emular LANS en ATM denominadas ELANS, por esta razón hay qué comprender éste concepto.

EMULACIÓN DE LANS (ELANS) :

Cuando se tienen redes locales (LANs) los equipos funcionan con esta tecnología, al introducir tecnología ATM, la red se convierte en una mezcla de 2 tecnologías : por un lado una tecnología orientada a no conexión, qué es el caso de las LANS y por el otro una orientada a conexión como en el caso de ATM. En el caso de las LANS se trabaja con direcciones MAC, mientras en ATM se usan direcciones ATM y se establecen circuitos virtuales permanentes (PVCs), por esta razón se requiere hacer cambios de direcciones MAC a ATM.

COMO FUNCIONA UNA ELAN

El switche LAN recibe una trama de un estación conectada a una red Ethernet, esta trama se dirige hacia otra estación Ethernet por el backbone ATM, la red Ethernet esta conectada al switche LAN, y este a su vez deberá conectarse con un switche ATM para que la trama viaje por el backbone hasta su destino, en esta conexión deberá existir un dispositivo que haga el cambio de formato de trama.

Este dispositivo que se ubica en el switche LAN se le conoce como LEC, el LEC (Emulador de Clientes LAN) envía un requerimiento a el LES(Emulador de Servidor LAN) qué se ubica en el Switche ATM para conocer la dirección ATM correspondiente a la trama MAC enviada.

El LES envía una dirección Multicast a todos los otros LECS conectados a la red, preguntando a quien se dirige la trama MAC. Solamente el LEC cuya dirección corresponda, le responde al LES.

El LES envía una dirección broadcast con la respuesta, a todos los demás LECS. El LEC original reconoce esta respuesta y aprende la dirección ATM estableciendo un circuito virtual, esto es, toda la comunicación qué realice con la estación lejana se hará por ese mismo circuito virtual, lo qué quiere decir qué se ha establecido la conexión.

  Ahora, cuando se tiene una VLAN definida por puertos de switche, la interface del switche con ATM será tratada del mismo modo qué un puerto Ethernet cualquiera ; es decir, en un lado de la red se conecta el switche que; manejara las VLANS, éste switche para poder conectarse al backbone ATM requerirá un LEC, uno por cada red virtual (VLAN) y al otro lado de la red podrán existir switches LAN o switches ATM.

Con ATM se obtiene una conexión donde los paquetes que van de un punto a otro usan el mismo camino. Es importante anotar qué un único dispositivo ligado a la red ATM podrá pertenecer a diferentes VLANS si cuenta con varios LECS, es decir, se presenta superposición.

La superposición permite qué diferentes VLANS accedan a un mismo recurso por ejemplo una impresora sin necesidad de comunicarse entre ellas, así pues con un backbone ATM diferentes VLANS podrán acceder a un mismo servicio solamente usando switches (ya se sabe qué ATM se basa en conmutación de switches) y no se requerirán enrrutadores, sino, en algunos casos donde las VLANS tengan qué estar completamente separadas.

CONEXIÓN ENTRE VLANS

Aún queda un problema por resolver, Como se comunicaran las VLANS entre sí. En este caso se requiere necesariamente de un enrutador y existen diferentes formas de implementarlo.

Enrutar en el enlace (Edge Router): Esto dice, qué la función de enrrutar a través del backbone ATM esta incorporada a cada switche LAN. Así, el tráfico entre diferentes VLANS podrá ser swicheado con mínimo retardo pues esta labor se desarrolla dentro del mismo switche, eliminando el tiempo qué tardaría cada paquete en ir hasta un enrrutador y luego ser enviado a la VLAN correspondiente.
Esta solución tiene varias ventajas, la primera es qué el enrrutamiento no es centralizado lo qué lo hace mas robusto, y la ventaja mas importante es qué se puede implementar en ambientes donde existan equipos de múltiples vendedores. La desventaja es qué se deben manejar varios dispositivos físicos y esto puede ser dispendioso, además de costoso por los múltiples equipos qué se deben obtener.
Un solo Enrutador (One-Armed Router): En éste caso la función de enrutar la tiene un solo dispositivo, para realizar el enrutamiento cada switche LAN tendrá un enlace con un switche ATM y éste u n único enlace con el enrutador, de esta forma solamente los paquetes qué necesitan ser enrutados pasaran a el enrutador, los demás seguirán derecho por el backbone. 
Servidor para enrutar (Router Server): Éste modelo se asemeja físicamente al anterior pero su función lógica es diferente, pues la función de enrutar se hace de forma distribuida. En el modelo anterior un paquete qué se dirige de una estación A hacia una estación B, es enviado al Enrutador donde espera a qué se establezca la conexión; en cambio, en éste caso el mismo paquete espera en la memoria cache del switche LAN a qué sea establecida la conexión para transmitir. En éste proceso el paquete en si nunca pasa a el Enrutador, solamente se pasa la señalización necesaria para establecer la conexión.
La ventaja de éste modelo es qué se ahorra trafico y saltos de la información al no tener qué ir hasta el enrutador y después ser enviada. Las desventajas son: las implementaciones deben hacerse con un único vendedor, los servidores para enrutar solamente soportan protocolo IP ,y será mas costoso además los switches usados deberán ser mas complejos.
MPOA: Multiprotocolo sobre ATM, este protocolo aún se esta definiendo y se han propuesto diferentes modelos, se espera qué suministre una conexión virtual directa entre dispositivos de red ATM qué se encuentren en diferentes subredes. Es decir, MPOA puede comunicar estaciones qué hagan parte de diferentes ELANS directamente a través de la red ATM sin requerir la intervención de enrutadores.
VOLVER AL INDICE

12. FUTURO DE LAS ARQUITECTURAS VLAN

Existen dos futuros inmediatos para las VLANs: Implementaciones infraestructurales de VLANs y Implementaciones de VLAN basadas en el servicio.

Implementaciones Infraestructurales de VLANs

Se basa en la estrategia tradicional de las VLANs, el formar grupos de trabajo de acuerdo a como están distribuidas las organizaciones. Cada grupo, departamento o sección tiene unívocamente definida su VLAN, basado a en la regla del 80/20, es decir, se asume que la mayoría de trafico se da dentro de la VLAN.

Normalmente existirán sobrelapamientos al accesar fuentes comunes a todas las VLAN, lo cual se resolverá al ubicar estos recursos en servidores; esto evita que se empleen Routers para poder controlar el trafico al accesar estos recursos.

Esto incluye todas las ventajas que pueda tener este tipo de implementación: Administración sencilla y centralizada, permite mantener fronteras organizacionales discretas, Bajo costo de desarrollo, Buen grado de privacidad y Permite alcanzar una alta eficiencia de la red.


 

Implementación Basada en el Servicio

En esta clase de aproximación, no se tienen grupos o algo similar, cada VLAN presta un servicio, es responsable de administrar un recurso especifico y ningún servidor podrá pertenecer a múltiples VLANs.

A diferencia de los usuarios que accederán a servicios de correo, bases de datos, aplicaciones, etc. a través de una VLAN independiente. Por naturaleza, esta clase de implementación, mas dinámica que la anterior, posee serios inconvenientes para administrar la memoria a cada VLAN.

Esto conlleva a un alto grado de automatización en la configuración de las VLANs. Las VLANs perderán la característica estática o semi-estatica de dominios previamiamente definidos, para cambiar a canales a los cuales suscribirse. Los usuarios, simplemente ejecutaran determinada aplicación por cierto tiempo, el cual será limitado dependiendo de si la persona posee una cuenta o habilita a pagar por ello.


 
 

VOLVER AL INDICE

13. ENCAPSULACION DE VLAN ( ISL INTER SWITCH LINK )

El Standard para las VLANs se puede decir que aun esta en la infancia, y probablemente aun se demore en salir.

El comité de la IEEE espera recibir en Marzo de 1998 una autorización formal para crear un grupo que se encargue de estandarizar las VLANs, el cual se va a centrar alrededor de cinco puntos : definición de VLAN s, clases de VLANs, etiquetas de ellas, intercambio de información entre ellas y manejo de la red.

El comité tiene decidido iniciar su trabajo con la definición de una VLAN como un dominio de broadcast. El siguiente paso será escoger el criterio para establecer estas VLANs; actualmente, los fabricantes tienen 3 formas: puertos de switche, direcciones MAC y direcciones de red. 802.10 definirá las clases de VLANs de acuerdo a estos criterios; sin embargo la clase de VLANs que usa direcciones de red, no será definido en este Standard debido a que excede el alcance de 802 el cual mira solamente nivel físico y MAC del protocolo.

Después de definido esto, se necesita un método para que los switches identifiquen cual VLAN esta transmitiendo paquetes, esto se refiere al membrete de la VLAN, y es lo que mas ha generado controversia.

Algunos vendedores están a favor de un membrete implícito que se pueda quitar, esto debido a que en algunas VLANs, como las basadas en direcciones MAC, tienen el membrete como parte del paquete MAC; otro argumento es que añadir un membrete al encabezado haría mas grande el paquete y en algunos casos podría producir una violación en el tamaño que ha determinado el protocolo; sin embargo, el membrete será necesario sobretodo en switches que usen diferentes criterios para identificar una VLAN.

A continuación se presenta un formato de encapsulamiento propuesto por Cisco inc, para ser usado en las VLANs. El escenario de trabajadores el siguiente :

Por lo general, las redes utilizadas para implementar VLANs son Ethernet estándar, FDDI o Token Ring, sus tramas son encapsuladas de acuerdo a un protocolo que opera entre Switches, llamado ÍSL ( Inter Switche Link ). Sobre Ethernet, FDDI y Token Ring se tiene el siguiente formato de trama :

El primer campo de la trama es la dirección de destino, con un total de 40 bits, esta dirección es de tipo multicast. El tipo ( 4 bits ), indica que clase de trama va encapsulada, se tienen definidos los siguientes tipos :

0000 Ethernet;

0001 Token Ring ;

0010 FDDI;

0011 ATM.
 

El campo de Usuario (4 bits ) es una extensión del campo de tipo, por ejemplo para Token Ring se tienen vario tipos de tramas con diferente significado cada una, mientras que para Ethernet este campo posee la prioridad con la que se tienen que manipular la trama:
xx00 Prioridad Normal;

xx01 Prioridad 1;

xx10 Prioridad 10;

xx11 La mas alta prioridad.

El campo de la dirección fuente, constituye la dirección MAC ( tomando como máximo el valor de 802.3 ) del puerto del Switche transmisor, posee una longitud de 48 bits, el receptor puede ignorar este campo.

La longitud del paquete esta tomada como una palabra de 16 bits excluyendo el campo de dirección de destino, tipo, usuario, dirección de fuente, longitud y CRC, el valor que iría en este campo esta conformado por la longitud total de la trama menos 18 bytes.

Existe un campo de relleno con la constante 0xAAAA03. Como su nombre lo indica, el campo siguiente solo contiene los 3 bytes mas significativos de la dirección fuente. Seguidamente, existe el identificativo del paquete, necesario para distingirlo entre otros pertenecientes a otras VLANs.

El flag BPDU, es utilizado para señalizar que la trama contiene información acerca de la topología de la red, esto se emplea unidades de datos con protocolos de Bridge. El campo index ( 16 bits ), es utilizado para propósitos de diagnostico y seguimiento.

El campo que es reservado para FDDI y Token Ring, contiene los flags AC y FC en el byte menos significativo de este campo. El campo de datos contiene la trama MAC de cada tecnología, con su CRC propio e inmodificable, se permite una longitud de 1 a 24575 bytes para acomodar tramas de Ethernet, Token Ring y FDDI; el Switche receptor remueve

la encapsulación ISL y utiliza lo que este en los datos como la trama recibida extrayendo los datos necesarios para saber a que VLAN pertenece.

Por ultimo se tiene el CRC, el cual es calculado para toda la trama, desde el campo de la dirección de destino e incluyendo los datos; el Switche receptor chequea el CRC y si no concuerda simplemente desecha la trama, ya es cuestión de niveles superiores pedir la retransmisión.
 

VOLVER AL INDICE

14. BENEFICIOS

Para comprender bien los beneficios qué tienen las redes virtuales(VLANs) se debe tener claro como funciona una red basada en enrutadores. Los Enrutadores utilizan la capa tres del modelo OSI para mover trafico en la red local LAN.

Cada capa contiene campos los cuales identifica el dominio broadcast en el cual el destino puede ser encontrado. Estas direcciones están asignadas por un administrador de red, y son generalmente registradas dentro de los archivos de configuración de las estaciones de red. En una red basada en concentradores y enredadores la dirección de red identifica un segmento de la misma.

Ahora teniendo claro esto cuando se cambia a una red virtual se obtienen los siguientes beneficios :

  •     Con los procesos de reingeniería de empresas y de downsizing, y con las nuevas necesidades de independencia, autonomía y fluidez entre grupos de trabajo, se requieren nuevas facilidades y mas dinámicas para realizar cambios en las redes.
  • Estas diferencias entre los 2 tipos de redes hace de las redes virtuales una solución mas económica desde el punto de vista de desempeño y rapidez del flujo de información. Como los enrutadores no se usan para crear y separar cada dominio broadcast quedan con 2 funciones principales :
    VOLVER AL INDICE

    15. DEVENTAJAS

    Hay unas limitaciones a usar VLANs, algunos del ser más notable:

    VOLVER AL INDICE

    16. ¿CUANDO ESCOGER LA SOLUCIÓN CON REDES VIRTUALES?

    Para saber cuando migrar de una arquitectura basada en subredes físicas y una segmentación a base de enrutadores hacia una solución con redes virtuales se debe tener presente qué una VLAN soluciona 2 problemas principalmente :

    El siguiente paso será ver como se ubican los usuarios en la red. Si la mayoría de usuarios están sobre una partición del segmento LAN, o si múltiples usuarios qué pertenecen a diferentes VLANS están sobre el mismo segmento LAN, en éste caso la solución con redes virtuales será muy buena.

    Posteriormente, se determina qué VLANS se necesitan en la red, acceso al servidor, lugar donde se ubica el servidor y aplicaciones qué se necesitan para así poder determinar el trafico y flujo de información en la red. Éste análisis responderá preguntas acerca de donde ubicar los dominios de broadcast, si se va a usar ATM y donde se va a colocar el Enrutador.

    Otro aspecto qué se debe tener en cuenta es el de la seguridad, todos los usuarios no deben poder acceder a cualquier servidor de la red. El administrador de la red debe establecer políticas que controlen el acceso de lo s usuarios a los diferentes recursos. Una forma de implementarlo, es haciendo uso de el campo VLANID qué tiene el formato de tramas MAC de la norma 802.10.

    VOLVER AL INDICE

    17. CONCLUSIONES

    En ambientes empresariales amplios, donde se requiere una segmentación de la red manteniendo un buen uso del ancho de banda por usuario, las implementaciones con VLANs proveen una buena solución, para que de esta manera se pueda contener el trafico de Broadcast.

    La tecnología de VLANs, es mas que una buena combinación de Hubs, Switches y Routers; es una solución que provee una potente segmentación y una eficiente administración de la red, de carácter centralizado.

    Las VLANs mejoran el desempeño de las tecnologías tradicionales porque no requieren sobrecostos en actualizaciones del cableado o tiempo de reconfiguración.

    La tecnología de VLANs, permite la creación de grupos de trabajo distribuidos, manteniendo una excelente seguridad, respecto a la integridad de los datos. Además, están diseñadas bajo la regla de l 80/20, lo cual permite un control bastante detallado del trafico entre VLANs. También, se puede decir que esta tecnología hace fácil cumplir que: "Switchea cuando puedas, Rutea cuando debas".

    La implementación de la tecnología de VLANs, usa las tecnologías e infraestructuras ya existentes, facilitando la migración de una a otra.

    Para trabajos futuros, seria interesante explicar detalladamente la configuración e implementación de una VLAN, teniendo en cuenta los diferentes equipos que existen en el mercado, justificando su utilización.

    Con base en lo anterior, se podría poner en practica conceptos, tales como, las VLANs basadas en servicio; con intereses de carácter académico, al ser este tema uno de los futuros de esta tecnología.

    VOLVER AL INDICE

    18. BIBLIOGRAFÍA

    http ://www.ictnet.es/noticias/privinfo/privinfo_www
    http ://a01-unix.uc3m.e/f ~gmm/DOC23.htm
    http ://www.redescomm.com/thurlm.htm h
    http ://maxwell.univalle.educ.co/~evbacca/
    http ://acs5.bu.edu :8001/~wert/vlan.html
    http ://www.3com.com/usc/200374.html
    http ://net21.ucdavis.edu/newlan.htm