Revisió de 11:53, 5 març 2026

torna M7 - Planificació i administració de xarxes

Divisió d'una xarxa

Per què es vol dividir una xarxa local? No sembla més lògic tenir-ho tot a l’abast?

Hi ha bàsicament diversos motius per dividir una xarxa:

1. Separar recursos de la xarxa sense haver de comprar equipament addicional. Per exemple, pensem en una empresa que vol separar els documents de Recursos Humans del departament de Desenvolupament d’Aplicacions. Millora la seguretat
2. Per un tema d’escalabilitat. Si la xarxa té més de 300 dispositius connectats, pot començar a haver problemes de gestió del tràfic.
3. Es millora el rendiment
4. Facilita la gestió
5. Ajuda a simplificar la configuració de les màquines gràcies a les configuracions separades

Podem dividir una xarxa creant sub-xarxes de manera física o lògica o bé podem optimitzar els recursos creant-ne de virtuals.

Comparació entre creació de subxarxes físiques i virtuals

Subxarxes físiques	VLAN

L'estructura física suposa instal·lar-hi més maquinari. Creant diferents subxarxes també es crea una divisió lògica d'una xarxa però no hi hauria cap mena de seguretat ja que hi hauria prou amb canviar les adreces IP per canviar un equip d'una subxarxa a l'altra. Amb una VLAN es poden crear subxarxes diferents però compartint el mateix equipament.

Una VLAN (Virtual Local Area Network / Xarxa d’Àrea Local Virtual) és una estructura lògica i virtual d'una xarxa dins d’un domini determinat creada per switchos.

Amb una VLAN s'introdueix una divisió lògica de la LAN com si fos una divisió física.

Les VLAN s'implementen als commutadors, per tant la pertinença dels dispositius a una VLAN ve determinada pel port del commutador on està connectat

Avantatges de les VLANs

Avantatges de les VLANs

1. Es poden superar les limitacions físiques dels edificis on estan instal·lades.
2. Es poden crear xarxes tan complexes com calguin
   1. Els commutadors són capaços de gestionar fins a 1000 VLANs
   2. Cada commutador s'encarrega d'aïllar les diferents VLAN que gestiona quasi com si estiguessin separades en dispositius diferents (alta seguretat)
   3. No cal maquinari nou per desplegar una infraestructura amb VLAN
3. La configuració de la xarxa és més flexible.
   1. Es pot moure un equip a una VLAN diferent canviant el port on es troba connectat
   2. Es pot moure un equip a una VLAN diferent canviant la configuració del commutador, sense desendollar cap cable
4. Dins d'una xarxa local cada VLAN és un domini de difusió propi.
   1. Les comunicacions de difusió només es transmeten pels equips de la mateixa VLAN
   2. Millora el rendiment i la seguretat
   3. S'aïllen els problemes de capa 2 com per exemple les tempestes de difusió (bucles) dins de cada VLAN sense afectar a la resta

En la següent imatge es pot veure com la VLAN1 es troba físicament a les ubicacions 1a, 1b, 1c i 1d. Tres quarts del mateix amb les VLAN2, VLAN3 i VLAN4.

Consideracions sobre el model OSI

Recordeu que, en general, els commutadors treballen només amb la capa 2, mentre que les adreces IP es gestionen a la capa 3.

La implementació de les VLAN a efectes de commutació treballa també a la capa 2 del model OSI.

A nivell de capa 3 la divisió en VLAN implica l'ús d'adreçaments IP diferents per cada VLAN.

A més per cada VLAN es pot activar una interfície virtual (SVI. Interfície Virtual de Commutació) a la que podem assignar adreçament IP i que serà accessible per tots els dispositius que pertanyin a la VLAN corresponent. De la mateixa manera que fins ara hem establert adreçament a la VLAN 1.

Només cal assignar adreçament IP a aquestes SVI per permetre l'accés remot als commutadors per poder fer-hi tasques d'administració, accés web o telnet per exemple.

En general no és necessari ni recomanable activar les SVI i assignar adreçament IP per totes les VLAN definides a cada commutador.

Comandes bàsiques

Consideracions

1. Per defecte els commutadors tenen definida una única VLAN 1 que és la VLAN per defecte, i tots els ports estan assignats a aquesta VLAN. Aquesta configuració és neutre i equivalent a no fer servir VLAN
2. La VLAN 1 no es pot esborrar
3. Per implementar una configuració amb VLAN es recomanable
   1. Definir noves VLAN i deixar de fer servir la VLAN 1
   2. Fer la distribució de tots els ports a les noves VLAN
   3. Definir una VLAN de gestió dedicada exclusivament a l'administració dels dispositius de xarxa
   4. Assignar adreçament IP només a les SVI de cada commutador de la VLAN de gestió
   5. Les comunicacions de veu (VoIP) també han de disposar de la seva pròpia VLAN
   6. Opcionalment definir una VLAN de desguàs, carrer sense sortida o fora negre (Blackhole, dead end) pels ports que no s'utilitzen per prevenir accessos no autoritzats o atacs basats en VLAN. Aquesta VLAN no ha de disposar d'adreçament IP ni porta d'enllaç.

Configuració

Per crear una VLAN. És obligatori crear les VLAN abans de fer l'assignació de les interfícies.

Switch>enable
Switch#configuration terminal
Switch(config)#vlan yy
Switch(config-vlan)#name nom qualsevol

Per arribar a configurar que un enllaç és per a una VLAN

Switch>enable
Switch#configuration terminal
Switch(config)#interface FastEthernet xx
Switch(config)#switchport mode access
Switch(config)#switchport access vlan yy

Per facilitar la configuració es poden assignar rangs d'interfaces

Switch(config)#interface range fastEthernet 0/XX-YY[, ...]
Switch(config-if-range)#switchport mode access 
Switch(config-if-range)#switchport access vlan NN

Per donar l'adreça a la VLAN (SVI)

Switch(config)#interface vlan yy
Switch(config-if)#ip address 192.168.x.y 255.255.255.0
Switch(config-if)#no shutdown

Comprovació

Altres comandes útils per obtenir informació de la configuració final

Per mostrar les VLANs creades

Switch#show vlan brief

Show ip interface brief

Per ampliar més informació

• Un vídeo [1] (en anglès) molt bo que explica per què segmentar xarxes i que recomana fer-ho amb VLANs