Con las LANs virtuales, también llamadas VLANs para abreviar, se pueden crear varias redes lógicas con diferentes subredes en la red sobre una infraestructura física uniforme. Esto facilita la separación de grupos de servidores entre sí o la división de la red en diferentes espacios de trabajo, como estaciones de trabajo y servidores.
Sin embargo, esto no es así porque las difusiones y otros procesos cruzados de red sólo tienen lugar dentro de la VLAN.
Si las tarjetas de red físicas admiten el uso de VLAN, esta función puede ajustarse en la configuración de la tarjeta de red en los servidores Windows (véase la figura 1). Los ajustes se pueden ver en la configuración avanzada, en las propiedades del adaptador en el Centro de redes y recursos compartidos.
Con el sucesor de Windows Server 2010 R2, Microsoft también introduce un nuevo servicio de servidor, el controlador de red, que puede manejar, controlar y supervisar las VLAN de forma óptima. En el ámbito de la gestión de la red de tejido, el Network Controller también permite la configuración y gestión de subredes IP, VLANs, switches de capa 2 y 3, así como la gestión de adaptadores de red en hosts. Con conmutadores especializados, las VLAN también pueden crearse por hardware. Para ello, se conectan puertos individuales entre sí, que entonces funcionan como una LAN independiente (parcial) y trabajan por separado del resto de los puertos.
Cuando se utilizan VLANs, es importante comprobar si todos los dispositivos de red utilizados, todos los sistemas operativos y también el resto del hardware soportan VLANs. Después de configurar los conmutadores de hardware, hay que comprobar si los dispositivos como los sistemas NAS y otros servicios de red también pueden comunicarse con los clientes necesarios.
VLANs en la virtualización
Hyper-V también admite el uso de VLANs en los conmutadores de red. Para ello, los administradores pueden crear LAN virtuales en la interfaz de gestión de los switches e introducirlas en Hyper-V.
Las VLAN también pueden utilizarse para separar los flujos de datos en las redes virtuales para aumentar la seguridad y el rendimiento. Por ejemplo, el tráfico de red para la administración de la virtualización del servidor puede separarse del tráfico de red de los servidores virtuales entre sí. En las propiedades de las tarjetas de red de los hosts Hyper-V, los administradores deben especificar (tras la activación de la VLAN; véase la Figura 1) en la configuración avanzada con qué ID de VLAN de la red debe comunicarse la tarjeta. A continuación, hay que seleccionar la conexión de red en el Hyper-V Manager e introducir también el ID de la VLAN (véase la figura 2). Aquí también se especifica el ID de la VLAN correspondiente. Sin embargo, esta técnica sólo funciona de forma resistente desde Windows Server 2012 R2.
Para su uso en VLANs, los switches de hardware y las tarjetas de red deben soportar esta función. Una vez configurado el host Hyper-V, los administradores también pueden conectar los servidores virtuales y los conmutadores virtuales a las VLAN. Para ello, se inicia el gestor de conmutación virtual en el gestor de Hyper-V. Aquí se puede seleccionar la conexión de red física que se conectará a la VLAN. Aquí también se puede especificar la VLAN y su ID. De este modo, todos los servidores virtuales que utilizan un conmutador específico pueden conectarse a una VLAN concreta de una sola vez.
Las redes internas de Hyper-V también admiten la configuración de VLAN. Sin embargo, con estas redes, los servidores sólo pueden comunicarse con las máquinas virtuales del host o clúster Hyper-V. De este modo, los administradores pueden conectar fácilmente los servidores virtuales a las VLAN. Para ello, los ID de VLAN también deben especificarse en la configuración del servidor virtual a través de las propiedades de las tarjetas de red virtuales (véase la figura 3).
Si los servidores virtuales necesitan comunicarse con varias VLAN, se pueden añadir varias tarjetas de red virtuales en los respectivos servidores. Cada tarjeta puede entonces conectarse a una VLAN específica. Desde Linux Integration Services 3.5, las VLANs también se pueden utilizar para servidores Linux virtuales en Windows Server 2012 R2. Las configuraciones para ello son idénticas a las de los servidores virtuales de Windows, ya que los ajustes no tienen lugar en el sistema operativo de la VM, sino a nivel de la configuración de Hyper-V.
Este soporte de extremo a extremo de las VLAN permite a los administradores configurar entornos de prueba o separar lógicamente los hosts de Hyper-V entre sí, por ejemplo, aunque estén conectados en la misma red física, con conmutadores convenientemente compatibles.
Los equipos de tarjetas de red de Windows Server 2012 R2 también admiten la conexión a las VLAN (véase la Figura 4). Si las empresas utilizan equipos NIC en servidores virtuales, Microsoft recomienda realizar la vinculación de la VLAN directamente a través del conmutador virtual y no para el equipo NIC virtual. Las configuraciones incorrectas corren el riesgo de que se produzcan colisiones de datos.
802.1x y la protección de acceso a la red (NAP)
Utilizando la aplicación de 802.1x, un servidor de políticas de red (NPS) en Windows Server 2012/2012 R2 configura un punto de acceso basado en 802.1x para que los clientes 802.1x utilicen un perfil de acceso restringido. La aplicación de 802.1x proporciona un acceso a la red seguro y restringido para todos los ordenadores que acceden a la red a través de una conexión 802.1x.
Si los conmutadores de una red son compatibles con 802.1x, existe la posibilidad de que los clientes NAP no conformes sean trasladados a VLAN especiales antes de que se les conceda acceso a la red. Para que los administradores puedan probar NAP en un entorno compatible con 802.1x, deben asegurarse de que los conmutadores y otros componentes soportan este entorno y permiten la creación de LANs virtuales. En función de las políticas NAP en Windows Server 2012 R2, un conmutador compatible con 802.1x asigna los clientes a las VLAN adecuadas. Para poder probar el entorno de forma óptima, se deben configurar al menos tres VLAN:
- Una VLAN para los clientes de la red para los que no se va a utilizar NAP
- Una VLAN para los clientes que cumplen con NAP
- Una VLAN para los clientes que no cumplen con NAP
.
- Una VLAN para los clientes que cumplen con NAP
Si las organizaciones quieren desplegar la protección de acceso a la red en un entorno 802.1x, los administradores deben asegurarse de que el nivel funcional del dominio está configurado como mínimo en Windows Server 2003, y mejor en Windows Server 2008 o Windows Server 2012 R2.
Switches estándar vs. Switches distribuidos - VLANs en VMware
Los switches estándar en VMware sólo pueden desplegarse en hosts individuales de VMware vSphere. Por lo tanto, este tipo de switch es bastante fácil de configurar y gestionar, pero no es flexible ni escalable. La desventaja es que los administradores también deben crear y configurar un nuevo switch estándar para cada nuevo host. Esto también se aplica a los grupos de puertos, a las VLAN y a todos los demás tipos de configuración.
Por lo tanto, las empresas deberían confiar en los switches distribuidos cuando utilicen VLAN. Los conmutadores distribuidos, también llamados vDS, pueden utilizarse en varios hosts y clusters VMware. La función básica de los dos conmutadores es idéntica, ambos conectan las máquinas virtuales a la red física a través de una interfaz.
Sin embargo, los conmutadores distribuidos son un objeto del centro de datos y no sólo un objeto de un único host, como es el caso de los conmutadores estándar. Por lo tanto, sólo es necesario utilizar un único vDS en la red, que se replica a los servidores ESX conectados. Por supuesto, también se pueden utilizar varios vDS en paralelo.
Por ejemplo, si en la empresa se utilizan 4 servidores ESX y 20 VLAN, los administradores tienen que configurar 80 grupos de puertos cuando se utilizan conmutadores estándar. Esta configuración no es necesaria con vDS (véase la figura 5).
Las funciones avanzadas, como los grupos de puertos y las VLAN, sólo pueden funcionar razonablemente con vDS. Los switches distribuidos también admiten VLAN privadas (PVLAN). Estas PVLANs consisten en una PVLAN primaria y una PVLAN secundaria. La PVLAN primaria representa una agrupación de la VLAN convencional. Las VLAN originales individuales se fusionan en la VLAN primaria como PVLAN secundarias individuales. Cada PVLAN secundaria tiene su propio ID de VLAN. VMware muestra detalles de estas posibilidades en un vídeo.