Resolución de problemas de VLAN con LinkIQ
26 de mayo de 2021 / General, 101 aprendizaje, actualización y resolución de problemas, redes industriales
Todo el sector de las TIC ha oído hablar de una red de área local (LAN) y probablemente entienda que es una red formada por innumerables dispositivos: ordenadores, servidores, puntos de acceso Wi-Fi, teléfonos VoIP, cámaras de vigilancia, etc., todos conectados en una sola ubicación física.
Dado que, técnicamente, no existen de forma física, las LAN virtuales (VLAN) que básicamente se comportan como LAN físicamente separadas y permiten segregar el tráfico según la función, son un poco más confusas, especialmente para los instaladores y técnicos que están acostumbrados a lidiar solo con infraestructura física.
Veamos con más detalle por qué tenemos redes VLAN y el efecto que pueden tener en la resolución de problemas en una instalación de cableado.
¿Cuál es el objetivo de las VLAN y por qué las necesitamos?
Cualquier ambiente de LAN típico incluye una amplia gama de dispositivos y sistemas informáticos que cumplen su propio propósito. Algunos dispositivos pueden ser específicos de la aplicación:
- Voz
- Datos
- Seguridad
- Control de accesos
- Iluminación
- Automatización de edificios, etc.
mientras que otros dispositivos LAN pueden ser específicos de la función:
- Contabilidad
- Ventas
- Ingeniería
- Recursos humanos
- Invitados, etc.
Todos los dispositivos y sistemas que se conectan a una LAN pueden estar ubicados en cualquier lugar de una instalación, pero eso no significa que todos puedan ser capaces de comunicarse entre sí y tengan el mismo uso y permisos.
Si todos los dispositivos de una LAN tienen la capacidad de comunicarse entre sí, ver el tráfico de los demás y acceder a los mismos sistemas, se generan posibles asuntos de seguridad interna (imagine que todas las personas del área de ventas tengan acceso a los sistemas contables o de recursos humanos). También significa que todos los dispositivos están ubicados en el mismo dominio de difusión. Esto significa que cada dispositivo dentro del dominio recibe tráfico de difusión, que es una capacidad inherente a todas las LAN para recursos de anuncios y descubrimiento. El hecho de que todos los dispositivos estén ubicados en el mismo dominio de difusión puede provocar congestión de la red y degradar el rendimiento, y hacer que la red sea susceptible a ataques de denegación de servicio distribuidos y otras brechas de ciberseguridad.
Obviamente, tiene sentido segregar varios dispositivos y sistemas LAN en redes más pequeñas de forma que se eviten estos asuntos y, a su vez, proporcionar una gestión de red mejorada en un mundo digital donde los nuevos sistemas y aplicaciones están constantemente en línea. Aunque la segregación se puede lograr físicamente al dividir una LAN en subredes físicas más pequeñas, esto requiere varios switches, routers, puntos de acceso e infraestructura, lo que es muy ineficiente, difícil de gestionar y costoso.
Piénselo. ¿Realmente tiene sentido tener switches separados en una sala de telecomunicaciones o múltiples puntos de acceso Wi-Fi para cada sistema y función dentro de un espacio determinado? ¿Y qué hace si un dispositivo o sistema necesita trasladarse a un espacio completamente nuevo? Por eso necesitamos redes VLAN.
En resumen, el propósito de las VLAN y el motivo por el que las necesitamos es proporcionar segmentación para la seguridad, la gestión de la red y la escalabilidad, además de reducir significativamente el tráfico de difusión y la congestión de la red.
¿Cómo funcionan las redes VLAN?
Las VLAN se establecen normalmente en el nivel de enlace de datos de capa 2 del modelo OSI, pero también se pueden habilitar en el nivel de red de capa 3 para el enrutamiento entre VLAN (lo cual permite el tráfico de una VLAN a otra). Actualmente, la mayoría de los switches son compatibles con VLAN, y las VLAN se configuran a través de software de switch que permite a los administradores de redes asignar puertos de switch específicos a VLAN específicas mediante etiquetas VLAN. La cantidad de VLAN que se pueden establecer en un switch específico depende del switch, pero según la norma IEEE 802.1Q que define el etiquetado de VLAN para tramos Ethernet, no se puede superar las 4.096 VLAN de capa 2 en la red. No entraremos en detalles aquí, pero también debemos señalar que los puertos de switch pueden configurarse como puertos de acceso que pertenecen a una sola VLAN o como puertos de enlace troncal que admiten varias VLAN.
Las VLAN se pueden asignar en función de la interfaz, la dirección MAC, la dirección IP, los protocolos o una combinación de ellos. Esto permite a una organización configurarlas de la forma que mejor se adapte a sus necesidades específicas, por ejemplo, según el usuario o la función de negocio. A su vez, esto facilita la gestión de la red y la flexibilidad, ya que los dispositivos y sistemas pueden ubicarse físicamente en cualquier lugar y moverse por una instalación mientras permanecen en la misma VLAN. La seguridad se ha mejorado, ya que solo los dispositivos y sistemas de la misma VLAN pueden comunicarse entre sí. El flujo de tráfico mejora porque cada VLAN es su propio dominio de difusión: las difusiones enviadas por un dispositivo en un dominio no se reenvían a dispositivos en otro. Las VLAN también admiten escalabilidad: a medida que la red crece, la creación de más VLAN aumenta la cantidad de dominios, pero conserva su tamaño más pequeño para mantener el rendimiento de la red y evitar la congestión.
A modo de resumen, las redes VLAN funcionan asignando puertos de switch específicos a una VLAN, que es una configuración realizada a través del software de switch en switches que admiten VLAN.
Cómo resolver problemas de redes VLAN
Cuando surgen problemas, el primer paso suele ser la resolución de problemas en la instalación del cableado, ya que es donde se producen la mayoría de los asuntos. La falta de continuidad o el bajo rendimiento de la red suele ser resultado de una terminación incorrecta, daños, componentes deficientes o actualizaciones de la red no admitidas por la instalación del cableado. Estos asuntos se pueden identificar fácilmente mediante el mapa de cableado y la comprobación de cualificación, pero si todo pasa, existe la posibilidad de que el problema tenga que ver con una asignación incorrecta de la VLAN. Si un dispositivo o sistema se asigna a la VLAN equivocada, no podrá enviar tráfico a otros dispositivos de esa VLAN. Una configuración errónea en el switch, por ejemplo, no tener ningún puerto asociado a una determinada VLAN, también puede provocar que la VLAN se caiga.
La mejor manera de evitar asignaciones incorrectas de VLAN es mantener la documentación adecuada, pero en un ambiente dinámico con muchos traslados, adiciones y cambios, es bastante posible que un usuario o dispositivo acabe en el puerto de switch equivocado y, por tanto, en la VLAN equivocada. Lamentablemente, estos asuntos son imposibles de resolver con un comprobador de cableado básico, pero un comprobador de cables y de red como el nuevo LinkIQ™ de Fluke Networks le permite comprobar la información de la VLAN además del mapa de cableado, la cualificación y la comprobación de PoE, todo ello en un dispositivo de bajo coste.
Los switches de red usan un protocolo de descubrimiento de capas de enlace (LLDP) basado en estándares o un protocolo de descubrimiento de Cisco (CDP) que les permite detectar dispositivos conectados y anunciar las capacidades. LinkIQ tiene la capacidad de recibir paquetes de protocolos de descubrimiento de un switch para un determinado enlace para mostrar a la VLAN que el enlace está asignado. También indica el nombre y la descripción del switch, el identificador del puerto y las velocidades anunciadas. En la pantalla táctil basada en gestos del LinkIQ, que ocupa casi toda la parte delantera del instrumento y facilita la visualización de grandes cantidades de información, las velocidades no anunciadas por el switch aparecen en gris. Esto también puede ayudar a indicar si ha usado la velocidad correcta al calificar la instalación del cableado.