VLANs con Linux
Introducción
Crear múltiples VLANs en Linux e incluso armar un trunk con dicho sistema operativo es muy sencillo y explicar cómo se hace es el objetivo de este post. Los motivos por los cuáles se puede querer hacer esto son potencialmente muchos, aunque a continuación dejo algunos ejemplos:
- Utilizar el equipo como punto de concentración y ruteo de varias redes diferentes.
- Host de máquinas virtuales, necesitando que las diferentes máquinas estén en VLANs distintas.
Configuración
El prerequisito para hacer esto es contar con el paquete de VLAN que, en Debian y derivados es pecisamente vlan. Por ello, en esos sistemas:
aptitude install vlan
Luego, para crear una interfaz de con un VLAN ID 22, con nombre vlan22, asociada a la interfaz eth0 y con la IP 192.168.22.2:
vconfig add eth0 22 vlan22 ifconfig vlan22 192.168.22.2 netmask 255.255.255.0 up
De la misma manera, para eliminar la interfaz creada:
vconfig rem vlan22
Ahora bien, esto es necesario hacerlo cada vez que arranca el equipo. Para que el cambio sea permanente, en los Debian/Ubuntu, editar el archivo /etc/network/interfaces y agregar las siguientes líneas:
auto vlan22
iface vlan22 inet static
address 192.168.22.2
netmask 255.255.255.0
NOTA: si el equipo con Linux recibe tráfico sin taggear, lo interpretará directamente en su interfaz eth0. Si el tráfico viene taggeado con el ID 22 entonces deberá leerse en la interfaz vlan22. Obviamente pueden agregarse tantas interfaces de VLAN a la misma interfaz física como se deseen y, de esta manera, el equipo podría recibir un trunk con cada una de las VLANs.
Ruteo entre VLANs: con switch L3
Hasta ahora hemos tratado en un primer post las formas de realizar ruteo entre VLANs y luego vimos el caso de router on-a-stick. En esta oportunidad analizaremos el ruteo entre VLANs utilizando un switch de capa 3, ejemplificando la configuración con equipos Cisco. Nos valdremos de la siguiente topología:
Las tareas a realizar son las siguientes:
- En el Sw2960:
- Configurar el puerto que lo conecta al switch de capa 3 como trunk.
- Enviar las VLANs deseadas por el trunk.
- En el Sw3560:
- Configurar las direcciones IP en cada VLAN.
- Configurar el puerto que lo conecta al switch de capa 2 como trunk.
- Enviar las VLANs deseadas por el trunk.
A continuación se pueden ver los comandos para configurar ambos equipos:
Sw2960(config)#interface fastEthernet 0/1 Sw2960(config-if)#switchport mode trunk Sw2960(config-if)#switchport trunk allowed vlan 2,3,4,5
Sw3560(config)#interface vlan 2 Sw3560(config-if)#ip address 192.168.2.1 255.255.255.0 Sw3560(config-if)#exit Sw3560(config)#interface vlan 3 Sw3560(config-if)#ip address 192.168.3.1 255.255.255.0 Sw3560(config-if)#exit Sw3560(config)#interface vlan 4 Sw3560(config-if)#ip address 192.168.4.1 255.255.255.0 Sw3560(config-if)#exit Sw3560(config)#interface vlan 5 Sw3560(config-if)#ip address 192.168.5.1 255.255.255.0 Sw3560(config-if)#exit Sw3560(config)#interface fastEthernet 0/1 Sw3560(config-if)#switchport mode trunk Sw3560(config-if)#switchport trunk allowed vlan 2,3,4,5
Ruteo entre VLANs: router-on-a-stick
En un post anterior hemos visto las formas de realizar ruteo entre VLANs. En esta oportunidad analizaremos uno de ellos, el de router on-a-stick. La idea es ver cómo se configura en equipos Cisco. Utilizaremos para ello la topología del siguiente diagrama:
Las tareas a realizar son las siguientes:
- En el switch:
- Configurar el puerto que lo conecta al router como trunk.
- Enviar las VLANs deseadas por el trunk.
- En el router:
- Levantar la interfaz que se conecta al switch.
- Configurar tantas subinterfaces como VLANs se deseen rutear (una por VLAN). El identificador de cada subinterfaz puede ser cualquiera, pero se recomienda que coincida con el ID de la VLAN para que sirva de autodocumentación.
A continuación se pueden ver los comandos para configurar ambos equipos:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 2,3,4,5
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.3
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.3.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.4
Router(config-subif)#encapsulation dot1Q 4
Router(config-subif)#ip address 192.168.4.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.5
Router(config-subif)#encapsulation dot1Q 5
Router(config-subif)#ip address 192.168.5.1 255.255.255.0
Router(config-subif)#exit
Introducción a las VLAN
Una VLAN (virtual LAN) es, conceptualmente, una red de área local formada a nivel lógico. Dada esta particularidad, las VLANs proveen una forma de separar grupos de hosts con objetivos diferentes aunque estos se encuentren conectados al mismo switch. A su vez, en este punto, nos permite optimizar los puertos de switch.
Debajo pueden verse dos topologías que dan como resultado una misma red a nivel lógico. La primera de ellas no utiliza VLANs, con lo cual necesita de diferentes switches para garantizar una correcta separación entre las redes. La segunda utiliza el mismo switch pero con un esquema de VLANs.
Figura 1
Figura 2
Si vemos la configuración del switch en la figura 2 podemos abstraerlo en tres switches diferentes, como muestra la figura 3.
Figura 3
Por su naturaleza, una VLAN puede formarse también a partir de múltiples segmentos de LAN. Esto permiten que estaciones de trabajo ubicadas físicamente en lugares diferentes pueden trabajar en la misma red lógica (es decir, con el mismo direccionamiento de red), como si estuvieran conectadas al mismo switch. La figura 4 muestra un ejemplo de este caso.
Figura 4
Funcionamiento de las VLAN
Hasta ahora hemos visto que un switch es capaz de separar los hosts de las diferentes VLANs como si los grupos de puertos fueran efectivamente switches diferentes. Que funcione dicha separación trabajando con un único switch no es, a priori, difícil. El trabajo que debe hacer el switch es comunicar sólo entre sí los hosts que pertenezcan a una misma VLAN. Con indicarle en su configuración a qué VLAN pertenece cada puerto el inconveniente estaría solucionado.
El problema surge cuando deseamos que la separación se mantenga entre diferentes switches, permitiendo aún la comunicación entre hosts de la misma VLAN. Veamos la figura 4. Es claro, como ya dije anteriormente, que dentro de un mismo switch no hay problema. ¿Pero qué ocurre cuando el tráfico de un switch pasa a los siguientes? En el primer switch hay tres hosts en la VLAN 2 que se comunican con un host de la VLAN 2 en el segundo switch y uno en el tercero. No obstante, en estos dos últimos hay hosts que pertenecen a otras VLANs y también deben comunicarse entre sí. Si el lector es observador notará que entre cada switch hay un único cable, lo que supone que tanto el tráfico de la VLAN 2 como el de la VLAN 3 se mezclan en dicho cable. No obstante, los switches son capaces de garantizar la separación de las VLANs y la comunicación entre los hosts. Veamos cómo ocurre esto.
Para la comunicación entre switches se utiliza un protocolo estándar definido por la IEEE. Se trata de 802.1q, cuya función es la de encapsular las tramas Ethernet en una nueva estructura. Así, a la trama Ethernet tradicional se le agregan 4 bits en la cabecera que conforman el identificador de VLAN. De esta manera, el tráfico va todo junto en el mismo cable pero es fácilmente identificable.
Tipos de puertos
Un switch que utiliza VLANs puede tener dos tipos de puertos: puertos de acceso y puertos de trunk. A continuación se da una explicación de cada uno de ellos.
- Puertos de acceso: este tipo de puertos son los que conectan hosts finales. Trabajan con las tramas clásicas de Ethernet, sin el agregado de las etiquetas de VLAN.
- Puertos de trunk: los puertos de trunk tienen una función especial que es la de conectar switches entre sí o un switch con un router. Cuando llega tráfico a un puerto de trunk proveniente desde el propio switch, éste es etiquetado con el identificador de VLAN y enviado por el puerto. El equipo que lo recibe, desencapsula la trama Ethernet (quitándole la etiqueta) y lo envía al puerto que corresponda.
Conclusión
Las VLANs son un medio muy poderoso a la hora de gestionar redes de área local de mediano y gran tamaño. Ampliamente utilizadas hoy en día, el conocimiento y comprensión de las mismas es fundamental para cualquier administrador de redes.
Ruteo entre VLANs
Para que los hosts de una misma VLAN se comuniquen entre sí alcanza con tener switches de capa 2 con soporte para VLANs. No obstante, es altamente probable que deseemos que pueda haber comunicación entre hosts de diferentes VLANs e, incluso, con Internet. Para esto necesitamos, lógicamente, algún dispositivo que realice el ruteo. En este post intentaré resumir brevemente las diferentes alternativas para rutear entre VLANs.
Este post será introductorio y luego habrá otros posts que expliquen la configuración de los casos aquí mencionados.
Router sin trunk (ruteo tradicional)
Como se ve en el diagrama, el ruteo sin trunk utiliza una interfaz del router por cada VLAN. Lo mismo hace con las interfaces del switch. La ventaja de este esquema es que es muy sencillo de configurar. La desventaja es su ineficiencia en el uso de los recursos, sumado a que si la cantidad de VLANs a rutear son muchas podrían no alcanzar las interfaces en el router o switch. La otra gran desventaja es que cada vez que se quiere agregar una nueva VLAN es necesario conectar un cable adicional entre el switch y el router.
Router con trunk (router on-a-stick)
Voilà! Esto se ve mucho mejor ¿No les parece? Con una configuración de router on-a-stick se optimiza la utilización de recursos, dado que no importa si se necesitan rutear 2 o 10 VLANs; siempre se necesitará tan sólo una interfaz en el router y una en el switch. El cableado es más sencillo y prolijo y agregar una nueva VLANs al ruteo requiere un esfuerzo mínimo. La principal desventaja está dada, quizá, porque con el esquema anterior cada VLAN tenía el 100% del ancho de banda con el router para sí misma y en este esquema debe compartirlo. No obstante, puede solucionarse con un enlace entre el switch y el router de mayor capacidad que los enlaces entre el switch y el resto de los hosts.
Switch de capa 3
A nivel físico este esquema es idéntico al de router on-a-stick, aunque la diferencia está dada por el rendimiento y por la implementación. Con respecto a lo primero, un switch está optimizado para conmutar tramas con lo cuál suele tener un throughput mayor. En lo que a implementación se refiere, en el caso del router se usan subinterfaces y con un switch de capa 3 VLANs.
