VLAN

1
VLAN
No confundir con WLAN
Topologa de Red de rea Local Virtual en un edificio de tres plantas.
Una VLAN (acrnimo de virtual LAN,
red de rea local virtual) es un
mtodo de crear redes lgicas e
independientes dentro de una misma
red fsica. Varias VLANs pueden
coexistir en un nico conmutador
fsico o en una nica red fsica. Son
tiles para reducir el tamao del
dominio de difusin y ayudan en la
administracin de la red separando
segmentos lgicos de una red de rea
local (como departamentos de una
empresa) que no deberan intercambiar
datos usando la red local (aunque
podran hacerlo a travs de un
enrutador o un conmutador de capa 3 y
4).
Una VLAN consiste en una red de ordenadores que se comportan como si estuviesen conectados al mismo
conmutador, aunque pueden estar en realidad conectados fsicamente a diferentes segmentos de una red de rea local.
Los administradores de red configuran las VLANs mediante software en lugar de hardware, lo que las hace
extremadamente flexibles. Una de las mayores ventajas de las VLANs surge cuando se traslada fsicamente algn
ordenador a otra ubicacin: puede permanecer en la misma VLAN sin necesidad de cambiar la configuracin IP de la
mquina.
Historia
A principios de los aos ochenta Ethernet ya era una tecnologa consolidada que ofreca una velocidad de 10 Mbits/s,
mucho mayor que gran parte de las alternativas de la poca. Las redes Ethernet tenan una topologa en bus, donde el
medio fsico de transmisin (cable coaxial) era compartido. Ethernet era, por lo tanto, una red de difusin y como tal
cuando dos estaciones transmiten simultneamente se producen colisiones y se desperdicia ancho de banda en
transmisiones fallidas.
El diseo de Ethernet no ofreca escalabilidad, es decir, al aumentar el tamao de la red disminuyen sus prestaciones
o el costo se hace inasumible. CSMA/CD, el protocolo que controla el acceso al medio compartido en Ethernet,
impone de por s limitaciones en cuanto al ancho de banda mximo y a la mxima distancia entre dos estaciones.
Conectar mltiples redes Ethernet era por aquel entonces complicado, y aunque se poda utilizar un router para la
interconexin, estos eran caros y requera un mayor tiempo de procesado por paquete grande, aumentando el retardo.
Para solucionar estos problemas, Dr. W. David Sincoskie invent el switch Ethernet con auto-aprendizaje,
dispositivo de conmutacin de tramas de nivel 2. Usar switches para interconectar redes Ethernet permite separar
dominios de colisin, aumentando la eficiencia y la escalabilidad de la red. Una red tolerante a fallos y con un nivel
alto de disponibilidad requiere que se usen topologas redundantes: enlaces mltiples entre switches y equipos
redundantes. De esta manera, ante un fallo en un nico punto es posible recuperar de forma automtica y rpida el
servicio. Este diseo redundante requiere la habilitacin del protocolo spanning tree (STP) para asegurarse de que
slo haya activo un camino lgico para ir de un nodo a otro y evitar as el fenmeno conocido como tormentas
VLAN
2
broadcast. El principal inconveniente de esta topologa lgica de la red es que los switches centrales se conviereten
en cuellos de botella, pues la mayor parte del trfico circula a travs de ellos.
Sincoskie consigui aliviar la sobrecarga de los switches inventado LANs virtuales al aadir una etiqueta a las
tramas Ethernet con la que diferenciar el trfico. Al definir varias LANs virtuales cada una de ellas tendr su propio
spanning tree y se podr asignar los distintos puertos de un switch a cada una de las VLANs. Para unir VLANs que
estn definidas en varios switches se puede crear un enlace especial llamado trunk, por el que fluye trfico de varias
VLANs. Los switches sabrn a qu VLAN pertenece cada trama observando la etiqueta VLAN (definida en la norma
IEEE 802.1Q). Aunque hoy en da el uso de LANs virtuales es generalizado en las redes Ethernet modernas, usarlas
para el propsito original puede ser un tanto extrao, ya que lo habitual es utilizarlas para separar dominios de
difusin (hosts que pueden ser alcanzados por una trama broadcast).
Clasificacin
Aunque las ms habituales son las VLANs basadas en puertos (nivel 1), las redes de rea local virtuales se pueden
clasificar en cuatro tipos segn el nivel de la jerarqua OSI en el que operen:
VLAN de nivel 1 (por puerto). Tambin conocida como port switching. Se especifica qu puertos del switch
pertenencen a la VLAN, los miembros de dicha VLAN son los que se conecten a esos puertos. No permite la
movilidad de los usuarios, habra que reconfigurar las VLANs si el usuario se mueve fsicamente. Es la ms
comn y la que se explica en profundidad en este artculo.
VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en funcin de su direccin MAC. Tiene
la ventaja de que no hay que reconfigurar el dispositivo de conmutacin si el usuario cambia su localizacin, es
decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente es que si hay cientos de
usuarios habra que asignar los miembros uno a uno.
VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el contenido del campo tipo de
protocolo de la trama MAC. Por ejemplo, se asociara VLAN 1 al protocolo IPv4, VLAN 2 al protocolo IPv6,
VLAN 3 a AppleTalk, VLAN 4 a IPX...
VLAN de nivel 3 por direcciones de subred (subred virtual). La cabecera de nivel 3 se utiliza para mapear la
VLAN a la que pertenece. En este tipo de VLAN son los paquetes, y no las estaciones, quienes pertenecen a la
VLAN. Estaciones con mltiples protocolos de red (nivel 3) estarn en mltiples VLANs.
VLAN de niveles superiores. Se crea una VLAN para cada aplicacin: FTP, flujos multimedia, correo
electrnico... La pertenencia a una VLAN puede basarse en una combinacin de factores como puertos,
direcciones MAC, subred, hora del da...
Protocolos
Durante todo el proceso de configuracin y funcionamiento de una VLAN es necesaria la participacin de una serie
de protocolos entre los que destacan el IEEE 802.1Q, STP y VTP (cuyo equivalente IEEE es GVRP). El protocolo
IEEE 802.1Q se encarga del etiquetado de las tramas que se asociada inmediatamente con la informacin de la
VLAN. El cometido principal de Spanning Tree Protocol (STP) es evitar la aparicin de bucles lgicos para que
haya un slo camino entre dos nodos. VTP (VLAN Trunking Protocol) es un protocolo propietario de Cisco que
permite una gestin centralizada de todas las VLANs.
El protocolo de etiquetado IEEE 802.1Q es el ms comn para el etiquetado de las VLANs. Antes de su
introduccin existan varios protocolos propietarios, como el ISL (Inter-Switch Link) de Cisco, una variante del
IEEE 802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formato de
trama similar a 802.3 (Ethernet) donde slo cambia el valor del campo Ethertype, que en las tramas 802.1Q vale
X'8100, y se aaden dos bytes para codificar la prioridad, el CFI y el VLAN ID. Este protocolo es un estndar
internacional y por lo dicho anteriormente es compatible con bridges y switches sin capacidad de VLAN.
VLAN
3
Para evitar el bloqueo de los switches debido a las tormentas broadcast, una red con topologa redundante tiene que
tener habilitado el protocolo STP. Los switches utilizan STP para intercambiar mensajes entre s (BPDUs, Bridge
Protocol Data Units) para lograr de que en cada VLAN slo haya activo un camino para ir de un nodo a otro.
En los dispositivos Cisco, VTP (VLAN trunking protocol) se encarga de mantener la coherencia de la
configuracin VLAN por toda la red. VTP utiliza tramas de nivel 2 para gestionar la creacin, borrado y renombrado
de VLANs en una red sincronizando todos los dispositivos entre s y evitar tener que configurarlos uno a uno. Para
eso hay que establecer primero un dominio de administracin VTP. Un dominio VTP para una red es un conjunto
contiguo de switches unidos con enlaces trunk que tienen el mismo nombre de dominio VTP.
Los switches pueden estar en uno de los siguientes modos: servidor, cliente o transparente. El servidor es el modo
por defecto, anuncia su configuracin al resto de equipos y se sincroniza con otros servidores VTP. Un switch
cliente no puede modificar la configuracin VLAN, simplemente sincroniza la configuracin en base a la
informacin que le envan los servidores. Por ltimo, un switch est en modo transparente cuando slo se puede
configurar localmente pues ignora el contenido de los mensajes VTP.
VTP tambin permite podar (funcin VTP prunning), lo que significa dirigir trfico VLAN especfico slo a los
conmutadores que tienen puertos en la VLAN destino. Con lo que se ahorra ancho de banda en los posiblemente
saturados enlaces trunk.
Gestin de la pertenencia a una VLAN
Las dos aproximaciones ms habituales para la asignacin de miembros de una VLAN son las siguientes: VLAN
estticas y VLAN dinmicas.
Las VLAN estticas tambin se denominan VLAN basadas en el puerto. Las asignaciones en una VLAN esttica se
crean mediante la asignacin de los puertos de un switch o conmutador a dicha VLAN. Cuando un dispositivo entra
en la red, automticamente asume su pertenencia a la VLAN a la que ha sido asignado el puerto. Si el usuario cambia
de puerto de entrada y necesita acceder a la misma VLAN, el administrador de la red debe cambiar manualmente la
asignacin a la VLAN del nuevo puerto de conexin en el switch.
En las VLAN dinmicas, la asignacin se realiza mediante paquetes de software tales como el CiscoWorks 2000.
Con el VMPS (acrnimo en ingls de VLAN Management Policy Server o Servidor de Gestin de Directivas de la
VLAN), el administrador de la red puede asignar los puertos que pertenecen a una VLAN de manera automtica
basndose en informacin tal como la direccin MAC del dispositivo que se conecta al puerto o el nombre de
usuario utilizado para acceder al dispositivo. En este procedimiento, el dispositivo que accede a la red, hace una
consulta a la base de datos de miembros de la VLAN. Se puede consultar el software FreeNAC para ver un ejemplo
de implementacin de un servidor VMPS.
VLAN basadas en el puerto de conexin
Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es independiente del usuario o
dispositivo conectado en el puerto. Esto significa que todos los usuarios que se conectan al puerto sern miembros de
la misma VLAN. Habitualmente es el administrador de la red el que realiza las asignaciones a la VLAN. Despus de
que un puerto ha sido asignado a una VLAN, a travs de ese puerto no se puede enviar ni recibir datos desde
dispositivos incluidos en otra VLAN sin la intervencin de algn dispositivo de capa 3.
Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las caractersticas VLAN: puertos de acceso y
puertos trunk. Un puerto de acceso (switchport mode access) pertenece nicamente a una VLAN asignada de forma
esttica (VLAN nativa). La configuracin por defecto suele ser que todos los puertos sean de acceso de la VLAN 1.
En cambio, un puerto trunk (switchport mode trunk) puede ser miembro de mltiples VLANs. Por defecto es
miembro de todas, pero la lista de VLANs permitidas es configurable.
VLAN
4
El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la existencia de la VLAN a la que
pertenece dicho puerto. El dispositivo simplemente sabe que es miembro de una subred y que puede ser capaz de
hablar con otros miembros de la subred simplemente enviando informacin al segmento cableado. El switch es
responsable de identificar que la informacin viene de una VLAN determinada y de asegurarse de que esa
informacin llega a todos los dems miembros de la VLAN. El switch tambin se asegura de que el resto de puertos
que no estn en dicha VLAN no reciben dicha informacin.
Este planteamiento es sencillo, rpido y fcil de administrar, dado que no hay complejas tablas en las que mirar para
configurar la segmentacin de la VLAN. Si la asociacin de puerto a VLAN se hace con un ASIC (acrnimo en
ingls de Application-Specific Integrated Circuit o Circuito integrado para una aplicacin especfica), el rendimiento
es muy bueno. Un ASIC permite el mapeo de puerto a VLAN sea hecho a nivel hardware.
Diseo de VLANs
Los primeros diseadores de redes solan configurar las VLANs con el objetivo de reducir el tamao del dominio de
colisin en un segmento Ethernet y mejorar su rendimiento. Cuando los switches lograron esto, porque cada puerto
es un dominio de colisin, su prioridad fue reducir el tamao del dominio de difusin. Ya que, si aumenta el nmero
de terminales, aumenta el trfico difusin y el consumo de CPU por procesado de trfico broadcast no deseado. Una
de las maneras ms eficientes de lograr reducir el domino de difusin es con la divisin de una red grande en varias
VLANs.
Red institucional
Actualmente, las redes institucionales y corporativas modernas suelen
estar configuradas de forma jerrquica dividindose en varios grupos
de trabajo. Razones de seguridad y confidencialidad aconsejan tambin
limitar el mbito del trfico de difusin para que un usuario no
autorizado no pueda acceder a recursos o a informacin que no le
corresponde. Por ejemplo, la red institucional de un campus
universitario suele separar los usuarios en tres grupos: alumnos,
profesores y administracin. Cada uno de estos grupos constituye un dominio de difusin, una VLAN, y se suele
corresponder asimismo con una subred IP diferente. De esta manera la comunicacin entre miembros del mismo
grupo se puede hacer en nivel 2, y los grupos estn aislados entre s, slo se pueden comunicar a travs de un router.
La definicin de mltiples VLANs y el uso de enlaces trunk, frente a las redes LAN interconectadas con un router,
es una solucin escalable. Si se deciden crear nuevos grupos se pueden acomodar fcilmente las nuevas VLANs
haciendo una redistribucin de los puertos de los switches. Adems, la pertenencia de un miembro de la comunidad
universitaria a una VLAN es independiente de su ubicacin fsica. E incluso se puede lograr que un equipo
pertenezca a varias VLANs (mediante el uso de una tarjeta de red que soporte trunk).
Imagine que la universidad tiene una red con un rango de direcciones IP del tipo 172.16.XXX.0/24, cada VLAN,
definida en la capa de enlace de datos (nivel 2 de OSI), se corresponder con una subred IP distinta: VLAN 10.
Administracin. Subred IP 172.16.10.0/24 VLAN 20. Profesores. Subred IP 172.16.20.0/24 VLAN 30. Alumnos.
Subred IP 172.16.30.0/24
En cada edificio de la universidad hay un switch denominado de acceso, porque a l se conectan directamente los
sistemas finales. Los switches de acceso estn conectados con enlaces trunk (enlace que transporta trfico de las tres
VLANs) a un switch troncal, de grandes prestaciones, tpicamente Gigabit Ethernet o 10-Gigabit Ethernet. Este
switch est unido a un router tambin con un enlace trunk, el router es el encargado de llevar el trfico de una VLAN
a otra.
VLAN
5
Comandos IOS
A continuacin se presentan a modo de ejemplo los comandos IOS para configurar los switches y routeres del
escenario anterior.
Creamos las VLANs en el switch troncal, suponemos que este switch acta de servidor y se sincroniza con el resto:
Switch-troncal> enable
Switch-troncal# configure terminal
Switch-troncal(config)# vlan database
Switch-troncal(config-vlan)# vlan 10 name administracion
Switch-troncal(config-vlan)# vlan 20 name profesores
Switch-troncal(config-vlan)# vlan 30 name alumnos
Switch-troncal(config-vlan)# exit
Definimos como puertos trunk los cuatro del switch troncal:
Switch-troncal(config)# interface range g0/0 -3
Switch-troncal(config-if-range)# switchport
Switch-troncal(config-if-range)# switchport mode trunk
Switch-troncal(config-if-range)# switchport trunk native vlan 10
Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 30
Switch-troncal(config-if-range)# exit
Ahora habra que definir en cada switch de acceso qu rango de puertos dedicamos a cada VLAN. Vamos a suponer
que se utilizan las interfaces f0/0-15 para la vlan adminstracion, f0/16,31 para vlan profesores y f0/32-47 para la vlan
alumnos.
Switch-1(config)# interface range f0/0 -15
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 10
Switch-1(config-if-range)# exit
Switch-1(config)# interface range f0/16 -31
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 20
Switch-1(config-if-range)# exit
Switch-1(config)# interface range f0/32 -47
Switch-1(config-if-range)# switchport
Switch-1(config-if-range)# switchport mode access
Switch-1(config-if-range)# switchport access vlan 30
Switch-1(config-if-range)# exit
Definimos como trunk el puerto que conecta cada switch de acceso con el troncal:
Switch-1(config)# interface g0/0
Switch-1(config-if)# switchport
Switch-1(config-if)# switchport mode trunk
Switch-1(config-if)# switchport trunk native vlan 10
Switch-1(config-if)# switchport trunk allowed vlan 20,30
VLAN
6
Switch-1(config-if)# exit
En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk:
Router(config)# interface f2
Router(config-if)# no ip address
Router(config-if)# exit
Router(config)# interface f2.1
Router(config-if)# encapsulation dot1q 10 native
Router(config-if)# ip address 172.16.10.1 255.255.255.0
Router(config-if)# exit
Router(config)# interface f2.2
Router(config-if)# encapsulation dot1q 20
Router(config-if)# ip address 172.16.20.1 255.255.255.0
Router(config-if)# exit
Router(config)# interface f2.3
Router(config-if)# encapsulation dot1q 30
Router(config-if)# ip address 172.16.30.1 255.255.255.0
Router(config-if)# exit
Esta sera la configuracin relativa a la creacin de las VLANs, se omite la configuracin de otros elementos como
los hosts, routers y otros dispositivos de red.
Referencias
James F. Kurose, Keith W. Ross (2012). Computer Networking:A Top-Down Approach. Pearson Education. ISBN
978-0-13-136548-3.
Virtual LANs, a class presentation by Professor of Computer and Information Sciences in the Ohio State
University Raj Jain
[1]
Presentacin de clase (Universidad Carlos III de Madrid)
[2]
Apuntes de la asignatura RST (Redes e servicios telemticos) de la "Universidade de Vigo"
What is VLAN Routing?
[3]
[1] http:/ / www. cse. wustl. edu/ ~jain/ cis788-97/ h_7vlan.htm
[2] http:/ / ocw. uc3m. es/ ingenieria-telematica/ telematica/ teoria/ 6_VLAN. pdf
[3] http:/ / www. dell. com/ downloads/ global/ products/ pwcnt/ en/ app_note_38. pdf
Fuentes y contribuyentes del artculo
7
Fuentes y contribuyentes del artculo
VLAN Fuente: http://es.wikipedia.org/w/index.php?oldid=68606525 Contribuyentes: 2A00:1508:107:12:B1E4:C450:A801:207, 2A00:1508:107:12:FC59:BE71:4E91:62FA, AL-X-OR, Abece,
Akael, Arym, Barcex, Biasoli, Bibliofilotranstornado, Calsbert, Carliitaeliza, ChichoHack, Diegusjaimes, DobleP34, Dodo, Elas, Ernesto Graf, Eupiper, GermanX, HoLiC, Jaime olivares
zapiain, Jcarlos77, Jkbw, Jmartinequintero, Kzman, Laura Fiorucci, Lucien leGrey, Maldoror, Manuel Castillo Cagigal, Marnez, Matdrodes, MaykelMoya, Nachosan, Netito777, NicFit, Nicop,
Omerta-ve, Pan con queso, Poco a poco, Ppenaloza, Plux, Ranganok, RoyFocker, Solinem, SuperBraulio13, Technopat, Tirithel, Unatecla, Vcarceler, Vitamine, 201 ediciones annimas
Fuentes de imagen, Licencias y contribuyentes
Archivo:VLAN.svg Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:VLAN.svg Licencia: Creative Commons Attribution 3.0 Contribuyentes: Rafax
File:Red institucional.jpg Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:Red_institucional.jpg Licencia: Creative Commons Attribution-Share Alike Contribuyentes: Eupiper
Licencia
Creative Commons Attribution-Share Alike 3.0
//creativecommons.org/licenses/by-sa/3.0/