Una VLAN (LAN virtual) es una forma de crear múltiples conmutadores virtuales dentro de un conmutador físico. Entonces, por ejemplo, los puertos configurados para usar VLAN 10 actúan como si estuvieran conectados al mismo conmutador. Los puertos en la VLAN 20 no pueden comunicarse directamente con los puertos en la VLAN 10. Deben enrutarse entre los dos (o tener un enlace que conecte las dos VLAN).
Hay muchas razones para implementar VLAN. Normalmente, el menor de estos motivos es el tamaño de la red. Voy a enumerar algunas razones y luego abriré cada una.
- Seguridad
- Utilización de enlace
- Servicio de separación
- Aislamiento de servicio
- Tamaño de subred
Seguridad: la
seguridad en sí misma no se logra creando una VLAN; sin embargo, cómo conecta esa VLAN a otras subredes podría permitirle filtrar / bloquear el acceso a esa subred. Por ejemplo, si tiene un edificio de oficinas que tiene 50 computadoras y 5 servidores, puede crear una VLAN para el servidor y una VLAN para las computadoras. Para que las computadoras se comuniquen con los servidores, puede usar un firewall para enrutar y filtrar ese tráfico. Esto le permitiría aplicar IPS / IDS, ACL, etc. a la conexión entre los servidores y las computadoras.
Utilización de enlace:
(Editar) No puedo creer que haya dejado esto fuera la primera vez. Pedo cerebral, supongo. La utilización de enlaces es otra gran razón para usar VLAN. El árbol de expansión por función crea una ruta única a través de su red de capa 2 para evitar bucles (¡Oh, Dios mío!). Si tiene múltiples enlaces redundantes a sus dispositivos de agregación, algunos de estos enlaces no se utilizarán. Para evitar esto, puede crear múltiples topologías STP con diferentes VLAN. Esto se logra con PVST, RPVST o MST basados en estándares de Cisco. Esto le permite tener múltiples tipologías de STP con las que puede jugar para utilizar sus enlaces no utilizados anteriormente. Por ejemplo, si tuviera 50 escritorios, podría colocar 25 de ellos en la VLAN 10, y 25 de ellos en la VLAN 20. Entonces podría hacer que la VLAN 10 tomara el lado "izquierdo" de la red y los 25 restantes en la VLAN 20 tomarían el lado "derecho" de la red.
Separación de servicios:
este es bastante sencillo. Si tiene cámaras de seguridad IP, teléfonos IP y computadoras de escritorio conectadas al mismo conmutador, podría ser más fácil separar estos servicios en su propia subred. Esto también le permitiría aplicar marcas QOS a estos servicios basados en VLAN en lugar de algún servicio de capa superior (Ej: NBAR). También puede aplicar ACL en el dispositivo que realiza el enrutamiento L3 para evitar la comunicación entre VLAN que podrían no ser deseables. Por ejemplo, puedo evitar que los escritorios accedan directamente a los teléfonos / cámaras de seguridad.
Aislamiento de servicio:
si tiene un par de conmutadores TOR en un solo bastidor que tiene algunos hosts VMWare y una SAN, podría crear una VLAN iSCSI que permanezca sin enrutar. Esto le permitiría tener una red iSCSI completamente aislada para que ningún otro dispositivo pueda intentar acceder a la SAN o interrumpir la comunicación entre los hosts y la SAN. Este es simplemente un ejemplo de aislamiento del servicio.
Tamaño de subred:
como se indicó anteriormente, si un solo sitio se vuelve demasiado grande, puede dividir ese sitio en diferentes VLAN, lo que reducirá la cantidad de hosts que ven la necesidad de procesar cada transmisión.
Ciertamente, hay más formas en que las VLAN son útiles (puedo pensar en varias que utilizo específicamente como proveedor de servicios de Internet), pero creo que estas son las más comunes y deberían darle una buena idea de cómo / por qué las usamos. También hay VLAN privadas que tienen casos de uso específicos y vale la pena mencionar aquí.