“ASIGNACIÓN Y ADMINISTRACIÓN DE VLANS DINÁMICAS
Anuncio
. “ASIGNACIÓN Y ADMINISTRACIÓN DE VLANS DINÁMICAS” AUTORES Carlos Darwin Aguilar Mora Víctor Oswaldo Poma Minga RESUMEN En el presente artículo se da una panorámica de la implementación de VLANs dinámicas sobre una red LAN con tecnología CISCO, así como la administración de estas mediante una herramienta (aplicación Web) construida para este fin. Se habla básicamente de ventajas y desventajas de las VLANs dinámicas, esquema, componentes, funcionamiento y configuraciones necesarias para el uso de esta solución. INTRODUCCIÓN La red LAN de la Universidad Técnica Particular de Loja se encuentra distribuida en una topología de estrella jerárquica de tres niveles: core, distribución y acceso, además está segmentada en subredes y cada subred constituye una VLAN con lo que se logra: • • • • Agrupar lógicamente de usuarios sin importar su ubicación física dentro del campus. Incrementar la seguridad al mantener a los usuarios en segmentos separados según su función. Mejorar el rendimiento de la red, ya que cada VLAN constituye un dominio de broadcast. Permitir movilidad a los usuarios dentro de la LAN. Con el uso de VLANs los usuarios pueden mover sus equipos a cualquier ubicación física de la red y seguir trabajando dentro de la VLAN a la que pertenecen sin ningún problema. Es aquí donde se genera el problema ya que para lograr que los usuarios sigan perteneciendo a la VLAN que el administrador les haya asignado, es necesario cambiar la configuración de los puertos de los switches en el nivel de acceso. Esta tarea se la realiza de forma manual mediante la técnica de asignación estática de VLANs, basada en puertos, lo cual requiere de tiempo y esfuerzo por parte del administrador cada vez que un usuario es reubicado o cuando un usuario necesita conectarse a la red con su computador portátil desde otra ubicación. Como solución a la problemática planteada, se propuso cambiar la técnica de asignación de VLANs de estática basada en puertos, a dinámica basada en direcciones MAC; apoyándose en una herramienta diseñada para ayudar al administrador a llevar a cabo esta tarea. VENTAJAS • • • • Permiten movilidad a los usuarios dentro de la LAN. Los usuarios mantienen su pertenencia a la VLAN, gozando de sus privilegios en cualquier lugar que se conecten a la red. Usuarios no registrados pueden hacer uso de recursos de la red, con las debidas restricciones. Ahorran tiempo al administrador al no tener que realizar cambios de forma manual. DESVENTAJAS • La desventaja de las VLANs dinámicas es que previamente se debe alimentar la base de datos de direcciones MAC, lo cual resulta tedioso mas aún cuando se trata de redes con un número considerable de usuarios; para reducir esta desventaja se hace uso de la herramienta desarrollada como parte de la solución. AcroPDF - A Quality PDF Writer and PDF Converter to create PDF files. To remove the line, buy a license. . ESQUEMA Y COMPONENTES Fig. 1 Esquema y componentes. La figura 1, muestra el esquema diseñado para la implementación de VLANs dinámicas, con los componentes necesarios para su funcionamiento. • • • • • Servidor de aplicaciones: almacena la aplicación Web y establece la interacción con los dispositivos de la red. Base de datos: almacena información de los equipos de los usuarios. Servidor TFTP: almacena la base de datos (archivo plano) que contiene información necesaria para la asignación dinámica de VLANs. Esta base es leída por el switch de core. Switch de core: aquí se encuentra configurado el servidor VMPS que es el encargado de realizar la asignación dinámica de VLANs. Servidor VMPS (VLAN Membership Policy Server): permite asignar a un puerto una VLAN en forma dinámica basándose en la dirección MAC del host conectado al puerto. VMPS contiene una base de datos de todas las direcciones MAC de los hosts junto con la VLAN asociada perteneciente a dicha dirección MAC, de esta forma se obtiene un mapa de direcciones VLAN-MAC. VLAN 3 4 10 4 10 3 3 7 MAC 5d:ff:68:de:22:0a 5a:09:df:ff:41:12 1a:b4:4f:cc:35:32 4e:e1:f1:c8:b1:63 c4:72:36:ff:a2:61 b9:42:27:a3:7f:1f c4:42:25:1f:da:94 f2:3d:a9:00:37:42 • Protocolos: necesarios para establecer conexión con los dispositivos de red y poder administrarlos. SNMP y TELNET. FUNCIONAMIENTO Para que se asigne dinámicamente una VLAN a un host, este se conecta a la red y ejecuta los siguientes pasos: • • • • • • • Envía un DHCP request (petición al servidor DHCP) para obtener una dirección IP. La dirección MAC del host es enviada al switch de acceso. El switch de acceso envía la dirección MAC al switch de core. El switch de core ubica la dirección MAC en su base de datos y determina a que VLAN pertenece dicha dirección MAC. Finalmente el identificador de VLAN es enviada al switch de acceso para que se configure el puerto con la VLAN correspondiente. Luego de esto el tráfico de red continúa, permitiendo que se complete la petición al servidor DHCP. En el caso de que una dirección MAC no se encuentre registrada se le asigna una VLAN por defecto, configurada previamente por el administrador con las debidas restricciones. Ver figura 3. Fig. 2 Mapa de direcciones MAC. AcroPDF - A Quality PDF Writer and PDF Converter to create PDF files. To remove the line, buy a license. . Fig. 3 Proceso de asignación de VLAN. CONFIGURACIONES Para el funcionamiento de VLANs dinámicas es necesario configurar los switches de acceso y el switch de core para habilitar las opciones del servidor VMPS. Servidor VMPS Para configurar el servidor VMPS, se requiere ejecutar los siguientes comandos en el modo privilegiado del switch de core: • Especificar el método para descargar el archivo de configuración: Clientes VMPS Para configurar un cliente VMPS ingrese al modo de configuración global del switch y ejecute los siguientes comandos: • • set vmps downloadmethod tftp Configurar la dirección IP del servidor TFTP: • • • set vmps downloadserver [dirección IP] Habilitar el servicio VMPS: set vmps state enable Verificar la configuración: show vmps Para verificar la configuración utilice el comando: Switch#show vmps Además se debe configurar los puertos del switch que van a trabajar con asignación dinámica de VLANs, con los siguientes comandos: • • Configurar la dirección IP el servidor VMPS Switch(config)#vmps server [dirección IP del servidor VMPS] Ingresar al modo de configuración de interfaz. Switch(config)#interface FastEthernet0/1 Cambiar el tipo de asignación de VLAN. Switch(config-if)#switchport mode dynamic • access Habilitar STP (Spanning Tree Protocol). Switch(config-if)#spantree portfast enable AcroPDF - A Quality PDF Writer and PDF Converter to create PDF files. To remove the line, buy a license. . ADMINISTRACIÓN Para la administración de VLANs dinámicas se desarrolló una aplicación Web, la cual permite configurar los dispositivos de red así como obtener información de estos mediante el uso del protocolo SNMP. Estas son sus principales funciones: • • Administración de VLANs dinámicas. Búsqueda de hosts en la red. Fig. 6 Búsqueda de hosts. • Visualización de la interconexión de los switches. Fig. 4 Administración de VLANs. • Configuración de switches. Fig. 7 Interconexión de switches. • Administración de usuarios. Fig. 5 Configuración de switches. Fig. 8 Administración de usuarios. CONCLUSIONES • Mediante las pruebas realizadas con el administrador de la red se determinó que la implementación de VLANs dinámicas optimizó tiempo tanto al administrador como a los usuarios, ya que no se debe esperar a que el administrador realice cambios de VLANs de forma manual. • • El uso del protocolo SNMP fue un factor clave para poder interactuar con los dispositivos de red, pues a más de permitir el acceso a los equipos, garantiza que se lo haga de forma segura. SNMPv2 brinda un nivel de seguridad mediante autenticación con comunidad, sin AcroPDF - A Quality PDF Writer and PDF Converter to create PDF files. To remove the line, buy a license. . • • • • • • • embargo se puede garantizar mayor seguridad utilizando SNMPv3 que incorpora un mecanismo de autenticación y encriptación. La generación del árbol jerárquico de la LAN, es un proceso lento, ya que se realiza un escaneo completo de la red del campus para identificar los equipos activos de esta. La fase de pruebas no sólo sirvió para detectar errores, sino también para identificar requerimientos que no fueron identificados en la fase inicial. El plan de validación fue bastante útil, ya que se evaluó a detalle cada funcionalidad y se pudo identificar nuevos errores, los cuales fueron corregidos. De las pruebas realizadas con el sistema operativo de los switches de acceso, se comprobó que la versión 12.0(11)EA1 no soportaba asignación dinámica de VLANs, por lo que se actualizó dicho sistema operativo a la versión 12.1(11)EA1. La asignación dinámica de VLANs no afecta a la asignación de direcciones IP con DHCP, ya que se realiza un proceso a la vez. Si bien la implementación de VLANs dinámicas es tediosa al inicio por tener que alimentar la base de datos para el servidor VMPS, una vez creada esta base su mantenimiento será sencillo. Las configuraciones necesarias en los switches de core, distribución y acceso han sido realizadas, pudiendo ser modificadas utilizando la herramienta. BILIOGRAFÍA • • • • • • http://www.delmar.edu/Courses/ITSC1391/Se m3/3VLANs.htm http://netcert.tripod.com/ccna/switches/vlan.ht ml http://www.firewall.cx/vlans-intro.php http://www.engr.sc.edu/its/ClientValidation/?c =6 http://www.cisco.com/univercd/cc/td/doc/prod uct/lan/cat5000/rel_5_2/config/vmps.htm#329 23 http://www.cisco.com/en/US/products/hw/swit ches/ps708/products_configuration_guide_ch apter09186a008007f2ec.html AcroPDF - A Quality PDF Writer and PDF Converter to create PDF files. To remove the line, buy a license.
