REDES LOCALES VIRTUALES
ÍNDICE
VLAN Basadas en Reglas (Policy Based)
El Beneficio de Implementar una VLAN
Reducción del Coste de Movimientos y Cambios
VLANs y ATM. Problemas y Soluciones
Las redes de área local virtuales (VLANs) han surgido de un conjunto de soluciones que los mayores distribuidores de equipamiento de redes de área local (LAN) habían propuesto para la conmutación de éstas. Aunque el entusiasmo del usuario final por la implementación de las VLANs todavía no se ha mostrado, la mayoría de las empresas han empezado a buscar fabricantes que propongan una buena estrategia para su VLAN, así como que éstas sean incorporadas sobre las redes existentes, añadiendo funciones de conmutación y un software de gestión avanzado. Una de las razones de que se centre la atención sobre las VLANs ha sido el rápido desarrollo de las LANs conmutadas, hecho que comenzó en 1994/1995.
Los modelos de red basados en la compartición de ancho de banda, presentes en las arquitecturas LAN de los primeros noventa, carecen de la potencia suficiente como para proporcionar los cada vez mayores anchos de banda que requieren las aplicaciones multimedia. En la actualidad se necesitan nuevos modelos capaces de proporcionar la potencia suficiente no sólo para satisfacer la creciente necesidad de ancho de banda, sino también para soportar un número mayor de usuarios en la red.
En las LAN basadas en compartición de ancho de banda, los usuarios comparten un único canal de comunicaciones, de modo que todo el ancho de banda de la red se asigna al equipo emisor de información. quedando el resto de equipos en situación de espera. Para aumentar el ancho de banda disponible para cada usuario, se puede optar por la segmentación de sus segmentos y anillos. Ahora bien, estas técnicas no ofrecen buenas prestaciones, debido principalmente a las dificultades que aparecen para gestionar la red. Cada segmento suele contener de 30 a 100 usuarios.
La técnica idónea para proporcionar elevados anchos de banda es la conmutación. Mediante esta técnica, cada estación de trabajo y cada servidor posee una conexión dedicada dentro de la red, con lo que se consigue aumentar considerablemente el ancho de banda a disposición de cada usuario.
Las LANs basadas en compartición de ancho de banda se configuran mediante hubs y routers. En una LAN conmutada, la función tradicional del router -encaminamiento de la información en la red- pasa a ser realizada por el conmutador LAN, quedando aquél destinado a funciones relacionadas con la mejora de las prestaciones en lo que respecta a la gestión de la red. Con este nuevo papel del router, se pueden contener de 100 a 500 usuarios. El decremento en los precios de conmutadores Ethernet y Token Ring ha sido uno de los principales empujes a que un buen número de empresas se inclinen por una LAN conmutada.
Sin embargo, el contínuo despliegue de conmutadores, dividiendo la red en más y más segmentos (con menos y menos usuarios por segmento) no reduce la necesidad de contenido de broadcast -información para gestionar la red-. Las VLANs representan una solución alternativa a los routers con función de gestores de la red. Con la implementación de conmutadores en unión con VLANs, cada segmento de la red puede contener como mínimo un usuario, mientras los dominios de broadcast -conjunto de estaciones de trabajo conectadas a un mismo hub- pueden contener 1000 usuarios, o incluso más. Además, las VLANs pueden enrutar movimientos de las estaciones de trabajo hacia nuevas localizaciones, sin requerimiento de reconfigurar manualmente las direcciones IP.
¿Por qué no todas las empresas se han inclinado por las VLANs? Para la mayoría de organizaciones, los conmutadores tienen todavía que ser implementados a una suficientemente mayor escala para necesitar VLANs. Esa situación cambiará pronto. Hay, de todos modos, otras razones para explicar la no tan agradable recepción que han tenido en el mercado de parte de los usuarios de red:
En este trabajo, se discuten estos conceptos con un poco más de detalle y determina las implicaciones que las VLANs tendrán en las empresas con necesidades de redes de información.
Las LANs virtuales (VLANs) son agrupaciones, definidas por software, de estaciones LAN que se comunican entre sí como si estuvieran conectadas al mismo cable, incluso estando situadas en segmentos diferentes de una red de edificio o de campus. Es decir, la red virtual es la tecnología que permite separar la visión lógica de la red de su estructura física mediante el soporte de comunidades de intereses, con definición lógica, para la colaboración en sistemas informáticos de redes. Este concepto, fácilmente asimilable a grandes trazos implica en la práctica, sin embargo, todo un complejo conjunto de cuestiones tecnológicas. Quizás, por ello, los fabricantes de conmutación LAN se están introduciendo en este nuevo mundo a través de caminos diferentes, complicando aún más su divulgación entre los usuarios.
Además, la red virtual simplifica el problema de administrar los movimientos, adiciones y cambios del usuario dentro de la empresa. Por ejemplo, si un departamento se desplaza a un edificio a través del campus, este cambio físico será transparente gracias a la visión lógica de la red virtual. Asimismo, se reduce notablemente el tiempo y los datos asociados con los movimientos físicos, permitiendo que la red mantenga su estructura lógica al coste de unas pocas pulsaciones del ratón del administrador de la red. Puesto que todos los cambios se realizan bajo control de software, los centros de cableado permanecen seguros y a salvo de interrupciones.
Por la razón de que hay varias formas en que se puede definir una VLAN, se dividen éstas en cuatro tipos principales: basadas en puertos, basadas en MAC, VLANs de capa 3 y basada en reglas (policy based). En la figura 1 se pueden observar los elementos de la implementación de una VLAN, y en la capa 2 se encuentran los cuatro tipos posibles en que puede ser definida.
Figura 1.-
Elementos de la implementación de una VLAN.
VLANs Basadas en Puertos (Membership by Port Group)
Según este esquema, la VLAN consiste en una agrupación de puertos físicos que puede tener lugar sobre un conmutador o también, en algunos casos, sobre varios conmutadores. La asignación de los equipos a la VLAN se hace en base a los puertos a los que están conectados físicamente.
Muchas de las primeras implementaciones de las VLANs definían la pertenencia a la red virtual por grupos de puertos (por ejemplo, los puertos 1,2,3,7 y 8 sobre un conmutador forman la VLAN A, mientras que los puertos 4,5 y 6 forman la VLAN B). Además, en la mayoría, las VLANs podían ser construidas sobre un único conmutador.
La segunda generación de implementaciones de VLANs basadas en puertos contempla la aparición de múltiples conmutadores ( por ejemplo, los puertos 1 y 2 del conmutador 1 y los puertos 4,5,6 y 7 del conmutador 2 forman la VLAN A; mientras que los puertos 3,4,5,6,7 y 8 del conmutador 1 combinados con los puertos 1,2,3 y 8 del conmutador 2 configuran la VLAN B). Este esquema es el descrito por la figura 3.
La agrupación por puertos es todavía el método más común de definir la pertenencia a una VLAN, y su configuración es bastante directa. El definir una red virtual completamente basada en puertos no permite a múltiples VLANs el incluir el mismo segmento físico (o conmutador).
De todos modos, la principal limitación de definir VLANs por puertos es que el administrador de la red ha de reconfigurar la VLAN cada vez que un usuario se mueve de un puerto a otro.
Figura 3.-
VLANs basadas en puertos.
VLAN basadas en MAC (Membership by MAC address)
Constituye la segunda etapa de la estrategia de aproximación a la VLAN, y trata de superar las limitaciones la las VLANs basadas en puertos. Operan agrupando estaciones finales en una VLAN en base a sus direcciones MAC. Este tipo de implementación tiene varias ventajas y desventajas.
Desde que las direcciones MAC (media access control -control de acceso al medio-) se encuentran implementadas directamente sobre la tarjeta de interface de la red (NIC -network interface card-), las VLANs basadas en direcciones MAC permiten a los administradores de la red el mover una estación de trabajo a una localización física distinta en la red y mantener su pertenencia a la VLAN. De este modo, las VLANs basadas en MAC pueden ser vistas como una VLAN orientada al usuario.
Entre los inconvenientes de las VLANs basadas en MAC está el requerimiento de que todos los usuarios deben inicialmente estar configurados para poder estar en al menos una VLAN. Después de esa configuración manual inicial, el movimiento automático de usuarios es posible, dependiendo de la solución específica que el distribuidor haya dado. Sin embargo, la desventaja de tener que configurar inicialmente la red llega a ser clara en redes grandes, donde miles de usuarios deben ser asignados explícitamente a una VLAN particular. Algunos distribuidores han optado por realizar esta configuración inicial usando herramientas que crean VLANs basadas en el actual estado de la red, esto es, una VLAN basada en MAC es creada para cada subred.
Las VLANs basadas en MAC que son implementadas en entornos de medios compartidos se degradarán seriamente como miembros de diferentes VLANs coexistiendo en un mismo conmutador. Además, el principal método de compartición de información entre miembros de una VLAN mediante conmutadores en una red virtual basada en MAC también se degrada cuando se trata de una implementación a gran escala.
VLANs de Capa 3 (Layer 3-Based VLANs).
Las VLANs de capa 3 toman en cuenta el tipo de protocolo (si varios protocolos son soportados por la máquina) o direcciones de la capa de red, para determinar la pertenencia a una VLAN. Aunque estas VLANs están basadas en información de la capa 3, esto no constituye una función de encamiento y no debería ser confundido con el enrutamiento en la capa de red.
Habiendo hecho la distinción entre VLANs basadas en información de la capa 3 y el concepto de encaminamiento o routing, hay que apuntar que algunos distribuidores están incorporando varios conceptos de la capa 3 en sus conmutadores, habilitando funciones normalmente asociadas al enrutamiento.
Hay varias ventajas en definir VLANs de capa 3. En primer lugar, permite el particionado por tipo de protocolo, lo que puede parecer atractivo para los administradores que están dedicados a una estrategia de VLAN basada en servicios o aplicaciones. En segundo lugar, los usuarios pueden físicamente mover sus estaciones de trabajo sin tener que reconfigurar cada una de las direcciones de red de la estación (este es un beneficio principalmente para los usuarios de TCP/IP). Y en tercer lugar, definir una VLAN de capa 3 puede eliminar la necesidad de marcar las tramas para comunicar miembros de la red mediante conmutadores, reduciendo los gastos de transporte.
Una de las desventajas de definir la VLAN de capa 3 (al contrario de lo que ocurría en las dos anteriores) es su modo de trabajo. El inspeccionar direcciones de la capa 3 en paquetes consume más tiempo que buscar una dirección MAC en tramas. Por esta razón, los conmutadores que usan información de la capa 3 para la definición de VLANs son generalmente más lentos que los que usan información de la capa 2. Esta diferencia no ocurre en todas las distintas implementaciones de cada distribuidor.
Las VLANs basadas en capa 3 son particularmente efectivas en el trato con TCP/IP, pero mucho menos efectivas con protocolos como IPX, DECnet o AppleTalk, que no implican configuración manual. Además tienen la dificultad al tratar con protocolos no enrutables como NetBIOS (estaciones finales que soportan protocolos no enrutables no pueden ser diferenciadas y, por tanto, no pueden ser definidas como parte de una VLAN).
VLANs Basadas en Reglas (Policy Based VLANs).
Este esquema es el más potente y flexible, ya que permite crear VLANs adaptadas a necesidades específicas de los gestores de red utlizando una combinación de reglas. Estas reglas pueden ser, por ejemplo, de acceso, con objeto de alcanzar unos ciertos niveles de seguridad en la red. Una vez que el conjunto de reglas que constituyen la política a aplicar a la VLAN se implementa, sigue actuando sobre los usuarios al margen de sus posibles movimientos por la red.
EL BENEFICIO DE IMPLEMENTAR UNA VLAN
¿Por qué están los fabricantes tan interesados en las VLANs? ¿Acaso piensan que son la solución a los problemas que tienen los administradores respecto a los cambios, movimientos, emisión y actuación de la red?.
Reducción del Coste de Movimientos y Cambios.
La principal excusa para implementar una VLAN es la reducción en el coste de los cambios y movimientos de usuarios. Desde que estos costes son bastante sustanciales, este argumento es suficientemente obligatorio para la implementación de una VLAN.
Muchos fabricantes están prometiendo que la implementación de una VLAN resultará más conveniente a la hora de habilitar la administración de redes dinámicas, y que esto supondrá bastante ahorro. Esta promesa se puede aplicar con buenos resultados a redes IP, ya que, normalmente, cuando un usario se mueve a una diferente subred, las direcciones IP han de ser actualizadas manualmente en la estación de trabajo. Este proceso consume gran cantidad de tiempo que podría ser aprovechado para otras tareas, tales como producir nuevos servicios de red. Una VLAN elimina ese hecho, porque los miembros de una red virtual no están atados a una localización física en la red, permitiendo que las estaciones cambiadas de sitio conserven su dirección IP original.
Sin embargo, cualquier implementación de VLAN no reduce este coste. Una VLAN añade una nueva capa de conexión virtual que ha de ser administrada al mismo tiempo que la conexión física. Esto no quiere decir que no se puedan reducir los costes hablados anteriormente. Sólo que no hay que precipitarse a la hora de implementar una VLAN y es mejor estar bien seguro de que la solución no genera más trabajo de administración de red que el que se pueda ahorrar.
Uno de los objetivos más ambiciosos de una red virtual es el establecimiento del modelo de grupos de trabajo virtuales. El concepto es que, con una completa implementación de una VLAN a través de todo el entorno de red del campus, miembros del mismo departamento o sección puedan aparentar el compartir la misma red local, sin que la mayoría del tráfico de la red esté en el mismo dominio de broadcast de la VLAN. Alguien que se mueva a una nueva localización física pero que permanezca en el mismo departamento se podría mover sin tener que reconfigurar la estación de trabajo.
Esto ofrece un entorno más dinámicamente organizado, permitiendo la tendencia hacia equipos con funciones cruzadas. La lógica del modelo virtual por grupos de trabajo va la siguiente forma: los equipos pueden estar conectados virtualmente a la misma LAN sin necesidad de mover físicamente a las personas para minimizar el tráfico a través de una red troncal colapsada. Además, estos grupos serán dinámicos: un equipo destinado a un proyecto puede ser configurado mientras dure ese proyecto, y ser eliminado cuando se complete, permitiendo a los usuarios retornar a sus mismas localizaciones físicas.
El único tráfico de información en un segmento de un sólo usuario será de la VLAN de ese usuario, por lo que sería imposible "escuchar" la información si no nos es permitida, incluso poniendo el adaptador de la red en modo promíscuo, porque ese tráfico de información no pasa físicamente por ese segmento.
VLANs Y ATM. PROBLEMAS Y SOLUCIONES.
Aunque el concepto de VLAN fue originado a partir de la conmutación LAN, su empleo puede también ser extendido a entornos donde están presentes redes ATM (modo de transferencia asíncrono -asynchronous transfer mode-); eso sí, siempre que se esté dispuesto a hacer frente a nuevos problemas, como las relaciones entre VLAN y LAN emuladas ATM (ELAN -emulated local area network-) y la determinación de dónde situar la función de encaminamiento o routing.
En una red troncal con VLAN que afectan a varios conmutadores LAN, éstos determinan dónde han sido originadas las tramas, En un entorno donde ATM sólo está presente en la troncal (es decir, no hay estaciones finales conectadas a ATM), es posible establecer circuitos virtuales permanentes ATM (PVC -permanent virtual circuit-) en una malla lógica para transportar tráfico interno de la VLAN entre esos múltiples conmutadores LAN. En estos escenarios, cualquier técnica propietaria empleada por el fabricante resulta transparente a la troncal ATM, pues los conmutadores ATM no precisan estar capacitados explícitamente para soportar VLAN.
Pero la verdad es que el escenario arriba descrito refleja la realidad de muy pocos entornos. En general, las organizaciones que implantan troncales ATM también desean conectar directamente a ellas estaciones de trabajo, o más probablemente, servidores. Y en cuanto una estación final lógica se conecta vía ATM, aparece un mayor nivel de complejidad: para permitir la comunicación entre estaciones finales conectadas a ATM y no conectadas a ATM es preciso introducir LAN Emulation (LANE).
Con la introducción de estaciones finales a ATM, la red se convierte en un verdadero entorno mixto, con redes LAN no orientadas a conexión, como Ethernet, Token-Ring o FDDI, y ATM orientado a conexión. Este entorno deja en el lado ATM de la red la responsabilidad de emular las características de broadcast (envío) y se encarga de la conversión de direcciones de MAC a ATM.
La especificación LANE, detalla cómo se efectúa la emulación en un entorno multifabricante. LANE especifica un servidor de LANE (LES-LAN emulation server) que puede ser incorporado a uno o más conmutadores o a una estación de trabajo para proporcionar conversión de direcciones MAC-ATM en conjunción con clientes LANE (LEC -LAN emulation client), los cuales son incorporados a los conmutadores de extremo y tarjetas de red ATM.
Figura 4.-
LAN Emulation
Teniendo en cuenta el camino que ha de seguir el tráfico entre un cliente conectado a Ethernet y un servidor conectado a ATM, la sección controlada por LANE se extiende desde el LEC de la interfaz ATM del conmutador LAN al LEC residente en la tarjeta ATM del servidor. Desde el punto de vista de cualquiera de los dos controladores MAC, las tramas pasan directamente entre ellos como si estuvieran conectados por una troncal no ATM.
Las VLAN definidas por grupos de puertos tratan la interfaz ATM del conmutador LAN justo como otro puerto Ethernet, y, por tanto, todos los dispositivos conectados a ATM son miembros de esa VLAN. De esta manera, las VLAN podrían ser desplegadas con independencia de cuál sea el fabricante de los conmutadores ATM de la troncal. Sin embargo, desde una perspectiva administrativa, es posible que muchas organizaciones no deseen emplear software de gestión diferente para la troncal ATM por lo que se decantarán por adquirir tanto los conmutadores LAN como los ATM al mismo proveedor.
LANE permite, además, crear múltiples ELAN mediante el establecimiento de más de un LEC en las interfaces ATM de los dispositivos, así como un LES distinto para cada ELAN. Cada LEC de la interfaz ATM del conmutador LAN es tratado como un puerto Ethernet lógico distinto, y cada LEC de un dispositivo conectado a ATM es visto como una distinta estación final conectada a Ethernet. En consecuencia, múltiples LEC de un dispositivo conectado a ATM pueden ser miembros de diferentes VLAN, permitiendo a estas VLAN solapar los dispositivos conectados a ATM. Como LANE soporta sólo los dispositivos conectados a ATM, mientras que las VLAN son definidas tanto por los dispositivos de red ATM y no ATM, éstas pueden ser vistas como superconjuntos de ELAN.
Existen cuatro distintas soluciones para tratar el routing entre VLANs en entornos mixtos ATM/LAN. Las diferencias entre ellas se encuentran en la funcionalidad de routing:
- Edge Routing (encaminamiento de extremo o periférico). Básicamente, este enfoque establece que la función de encaminamiento a través de la troncal ATM recae en el conmutador LAN situado en el extremo de la misma. El tráfico entre VLAN puede ser conmutado a través de la troncal ATM con un retardo mínimo, mientras que los paquetes entre VLAN son procesados por la función de encaminamiento integrada en el conmutador.
- One-armed router. Este concepto elimina la función de routing de los caminos de datos primarios, que consumen mayor procesamiento y tienen una mayor latencia. Un one-armed router se establece fuera del conmutador de la troncal ATM con un solo enlace ATM, permitiendo a los paquetes que no necesitan atravesar el router pasar a través de la troncal ATM sin impedimentos.
Figura 5.-
One-armed router.
- Route Server. Este modelo es "físicamente" similar al anterior, pero "lógicamente" difiere en que divide la función de encaminamiento en partes distribuidas. En una configuración one-armed router, un paquete de una VLAN A que se dirige a una VLAN B es enviado al router, donde espera para resolver la la conversión de direcciones, el cálculo de ruta, establecimiento de conexión a través de la troncal ATM y, finalmente, transmisión. En un esquema de servidor de ruta, el mismo paquete espera en el caché del conmutador LAN del extremo de la troncal ATM antes de la tranmisión. En este proceso, el paquete por sí mismo nunca atraviesa un router. El único tráfico es la señalización para establecer una conexión entre conmutadores LAN a través de la troncal ATM.
Figura 6.-
Route server.
- Multiprotocol over ATM (MPOA). Actualmente se está trabajando en el diseño de un modelo de implementación para servicios MPOA que proporcione circuitos virtuales directos entre dispositivos conectados ATM que pueden pertenecer a diferentes subredes de routing. Como las ELAN son subconjuntos de VLAN, MPOA permitirá a una troncal ATM conectar VLAN sin la necesidad de un router externo.
El primer reto, y el más importante, será la limitación del presupuesto. Las empresas tienden a ajustar cada vez más sus presupuestos, por lo que antes de decidir ningún gasto es conveniente recordar cómo se distribuye: el 16% para bienes de equipo y el 84% para costes operativos. Por cada peseta empleada en la adquisición de equipos de infraestructura, es necesario dedicar más de cuatro a actividades de soporte cada año. Dosificando sabiamente la inversión en productos que conduzcan a una red virtual, será posible reducir el tamaño del desagüe al que va a parar casi el 85% del presupuesto anual de redes.
El segundo reto corresponde a la incorporación de los sistemas antiguos heredados. Si aún se tienen aplicaciones críticas funcionando en un mainframe, será necesaria una solución para integrar la red SNA en la nueva infraestructura. La migración progresiva hacia ATM y las redes virtuales conmutadas exige continuar dando soporte a las redes de acceso compartido existentes.
Lo primero es determinar las necesidades para seleccionar la tecnología que mejor se adapte a ellas. Después será preciso buscar una solución que soporte dicha tecnología. Antes de reemplazar la tecnología de acceso compartido con comutadores ATM, hay que decidir si los usuarios necesitan realmente tales niveles de ancho de banda y calidad de servicio.
También habrá que tener en cuenta las aplicaciones que deberá soportar la infraestructura y las necesidades previstas para los próximos cinco años. Si el objetivo final a largo plazo es ATM, habrá que planificar cómo preparar la red existente para soportar dicha tecnología.
Si no se dispone de un sistema de gestión corporativa potente, distribuido y orientado a objetos, habrá que empizar a buscarlo. Aparte del beneficio inmediato que esto reportará (al reducir los tiempos de caída), será necesario para cualquier clase de red virtual, ya esté esta basada en paquetes o celdas.
- "Comunicaciones World nº 93 - Septiembre 1995".
- "Comunicaciones World nº 100 - Abril 1996".
- "Comunicaciones World nº 109 - Febrero 1997".
- David Passmore y John Freeman, "The Virtual LAN Technological Report", http://www.3com.com/nsc/200374.html
- "3com Transcend VLANs", http://www.3com.com/nsc/200375.html
- "Cisco VLAN Readmap", http://www.cisco.com/warp/public/538/7.html