La VLAN privada , también conocida como aislamiento de puertos , es una técnica en redes de computadoras donde una VLAN contiene puertos de conmutador que están restringidos de manera que solo pueden comunicarse con un enlace ascendente determinado . Los puertos restringidos se denominan puertos privados . Cada VLAN privada normalmente contiene muchos puertos privados y un único enlace ascendente. El enlace ascendente normalmente será un puerto (o grupo de agregación de enlaces ) conectado a un enrutador , firewall , servidor , red de proveedor o recurso central similar.
Este concepto se introdujo principalmente como el número de segregación de red (número de vlans) en un conmutador de red generalmente se restringe a un número específico y todos los recursos podrían utilizarse en escenarios de gran escala. Por lo tanto, existía el requisito de crear una segregación de red múltiple con recursos mínimos.
El conmutador reenvía todas las tramas recibidas desde un puerto privado al puerto de enlace ascendente, independientemente del ID de VLAN o la dirección MAC de destino . Las tramas recibidas desde un puerto de enlace ascendente se reenvían de la manera normal (es decir, al puerto que aloja la dirección MAC de destino, oa todos los puertos de la VLAN para tramas de difusión o para direcciones MAC de destino desconocidas). Como resultado, se bloquea el tráfico directo de igual a igual entre pares a través del conmutador, y cualquier comunicación de este tipo debe pasar por el enlace ascendente. Si bien las VLAN privadas brindan aislamiento entre pares en la capa de enlace de datos , la comunicación en capas superiores aún puede ser posible dependiendo de la configuración de red adicional.
Una aplicación típica para una VLAN privada es un hotel o Ethernet a la red doméstica donde cada habitación o apartamento tiene un puerto para acceso a Internet . Se utiliza un aislamiento de puerto similar en los DSLAM ADSL basados en Ethernet . Permitir la comunicación directa de la capa de enlace de datos entre los nodos del cliente expondría la red local a varios ataques de seguridad, como la suplantación de ARP , y aumentaría la posibilidad de daños debido a una configuración incorrecta.
Otra aplicación de las VLAN privadas es simplificar la asignación de direcciones IP . Los puertos se pueden aislar entre sí en la capa de enlace de datos (por seguridad, rendimiento u otras razones), mientras pertenecen a la misma subred IP . En tal caso, la comunicación directa entre los hosts IP en los puertos protegidos solo es posible a través de la conexión de enlace ascendente mediante el reenvío forzado de MAC o una solución similar basada en Proxy ARP .
Descripción general
La VLAN privada divide una VLAN (primaria) en sub-VLAN (secundaria) mientras mantiene la subred IP existente y la configuración de capa 3 . Una VLAN normal es un dominio de transmisión único , mientras que una VLAN privada divide un dominio de transmisión en varios subdominios de transmisión más pequeños.
- VLAN primaria : simplemente la VLAN original. Este tipo de VLAN se utiliza para reenviar tramas en sentido descendente a todas las VLAN secundarias.
- VLAN secundaria : la VLAN secundaria se configura con uno de los siguientes tipos:
- Aislado : cualquier puerto de conmutador asociado con una VLAN aislada puede llegar a la VLAN principal, pero no a ninguna otra VLAN secundaria. Además, los hosts asociados con la misma VLAN aislada no pueden comunicarse entre sí. Puede haber varias VLAN aisladas en un dominio de VLAN privada (lo que puede ser útil si las VLAN necesitan utilizar rutas distintas por motivos de seguridad); los puertos permanecen aislados entre sí dentro de cada VLAN. [1]
- Comunidad : cualquier puerto de conmutador asociado con una VLAN comunitaria común puede comunicarse entre sí y con la VLAN principal, pero no con ninguna otra VLAN secundaria. Puede haber varias VLAN de comunidad distintas dentro de un dominio de VLAN privada.
Hay principalmente dos tipos de puertos en una VLAN privada: puerto promiscuo (puerto P) y puerto de host. El puerto de host se divide en dos tipos: puerto aislado (I-Port) y puerto de comunidad (C-port).
- Puerto promiscuo (P-Port) : el puerto del conmutador se conecta a un enrutador, firewall u otro dispositivo de puerta de enlace común. Este puerto puede comunicarse con cualquier otra cosa conectada a la VLAN primaria o secundaria. En otras palabras, es un tipo de puerto que puede enviar y recibir tramas desde cualquier otro puerto de la VLAN.
- Puertos de host :
- Puerto aislado (I-Port) : se conecta al host normal que reside en una VLAN aislada. Este puerto se comunica solo con P-Ports.
- Puerto comunitario (puerto C) : se conecta al host normal que reside en la VLAN comunitaria. Este puerto se comunica con P-Ports y puertos en la misma VLAN comunitaria.
Escenario de ejemplo: un conmutador con VLAN 100, convertido en una VLAN privada con un puerto P, dos puertos I en la VLAN aislada 101 (secundaria) y dos VLAN comunitarias 102 y 103 (secundaria), con 2 puertos en cada una. El conmutador tiene un puerto de enlace ascendente (troncal), conectado a otro conmutador. El diagrama muestra esta configuración gráficamente.
La siguiente tabla muestra el tráfico que puede fluir entre todos estos puertos.
I-Port | Puerto P | Puerto C1 | Puerto C2 | Enlace ascendente a Switch2 | |
---|---|---|---|---|---|
I-Port | Negar | Permiso | Negar | Negar | Permitir / Denegar |
Puerto P | Permiso | Permiso | Permiso | Permiso | Permiso |
Puerto C1 | Negar | Permiso | Permiso | Negar | Permiso |
Puerto C2 | Negar | Permiso | Negar | Permiso | Permiso |
Enlace ascendente a Switch2 | Permitir / Denegar | Permiso | Permiso | Permiso | Permiso |
El tráfico desde un puerto de enlace ascendente a un puerto aislado se denegará si está en la VLAN aislada. Se permitirá el tráfico desde un puerto de enlace ascendente a un puerto aislado si está en la VLAN principal.
Casos de uso
Segregación de la red
Las VLAN privadas se utilizan para la segregación de la red cuando:
- Pasar de una red plana a una red segregada sin cambiar el direccionamiento IP de los hosts. Un firewall puede reemplazar un enrutador, y luego los hosts pueden moverse lentamente a su asignación de VLAN secundaria sin cambiar sus direcciones IP.
- Existe la necesidad de un firewall con muchas decenas, cientos o incluso miles de interfaces. Al usar VLAN privadas, el firewall puede tener solo una interfaz para todas las redes segregadas.
- Es necesario preservar el direccionamiento IP. Con las VLAN privadas, todas las VLAN secundarias pueden compartir la misma subred IP.
- Supere las tarifas de licencia por la cantidad de VLAN compatibles por firewall. [2]
- Se necesitan más de 4095 redes segregadas. Con VLAN aislada, puede haber un sinfín de redes segregadas. [3]
Alojamiento seguro
Las VLAN privadas en la operación de alojamiento permiten la segregación entre clientes con los siguientes beneficios:
- No se necesita una subred IP separada para cada cliente.
- Al usar VLAN aislada, no hay límite en la cantidad de clientes.
- No es necesario cambiar la configuración de la interfaz del firewall para ampliar la cantidad de VLAN configuradas.
VDI seguro
Se puede utilizar una VLAN aislada para separar los escritorios VDI entre sí, lo que permite el filtrado y la inspección de la comunicación de escritorio a escritorio. El uso de VLAN no aisladas requeriría una VLAN y una subred diferentes para cada escritorio VDI.
Red de respaldo
En una red de respaldo, no es necesario que los hosts se comuniquen entre sí. Los hosts solo deben llegar a su destino de copia de seguridad. Los clientes de respaldo se pueden colocar en una VLAN aislada y los servidores de respaldo se pueden colocar como promiscuos en la VLAN primaria, esto permitirá que los hosts se comuniquen solo con los servidores de respaldo.
Soporte de proveedores
Interruptores de hardware
- Alcatel-Lucent Enterprise : serie OmniSwitch
- Arista Networks - Conmutación de centros de datos
- Brocade : interruptores BigIron, TurboIron y FastIron
- Cisco Systems : switches de líneas de productos Catalyst 2960-XR, 3560 y superiores
- Extreme Networks : conmutadores basados en XOS
- FortiNet : conmutadores basados en FortiOS
- Juniper Networks : conmutadores EX
- Hewlett-Packard Enterprise : conmutadores de acceso Aruba serie 2920 y conmutadores de líneas de productos superiores
- Lenovo : conmutadores basados en CNOS
- MICROSENS - Familia de conmutadores G6
- MikroTik - Todos los modelos (enrutadores / conmutadores) con chips de conmutador desde RouterOS v6.43 [4]
- TP-Link : serie T2600G, serie T3700G
- TRENDnet : muchos modelos
- Ubiquiti Networks - serie EdgeSwitch, serie Unifi
Interruptores de software
- Sistemas Cisco - Nexus 1000V
- Microsoft - HyperV 2012
- Oracle - Oracle VM Server para SPARC 3.1.1.1
- VMware : conmutador vDS
Otros productos privados con reconocimiento de VLAN
- Cisco Systems : módulo de servicios de firewall
- Marathon Networks - Dispositivo de operación y despliegue de VLAN privada PVTD
Ver también
- Ethernet
- Dominio de difusión
- Salto de VLAN
RFC relacionados
- RFC 5517 - VLAN privadas de Cisco Systems: seguridad escalable en un entorno multicliente
Referencias
- "Configuración de VLAN privadas" . Guía de configuración del software del switch Catalyst 3750, 12.2 (25) VER . Cisco Systems . Consultado el 26 de mayo de 2009 .
- "Configuración de VLAN privada" Guía de configuración de TP-Link.
- CCNP BCMSN Guía oficial de certificación del examen Por-David Hucaby, ISBN 978-1-58720-171-4 , ISBN 1-58720-171-2
Notas
- ^ "Configuración de VLAN privadas" . Cisco Systems . Consultado el 28 de agosto de 2014 .
- ^ "Administración de licencias de funciones para Cisco ASA versión 9.1" .
- ^ "PVLAN - una característica ampliamente infrautilizada" .
- ^ "Manual: Cambiar características de chip" . MikroTik . Consultado el 6 de enero de 2020 .