VLAN

No confundir con WLAN

El diseo de Ethernet no ofreca escalabilidad, es decir, al

aumentar el tamao de la red disminuyen sus prestaciones
o el costo se hace inasumible. CSMA/CD, el protocolo
que controla el acceso al medio compartido en Ethernet,
impone de por s limitaciones en cuanto al ancho de banda mximo y a la mxima distancia entre dos estaciones.
Conectar mltiples redes Ethernet era por aquel entonces complicado, y aunque se poda utilizar un router para
la interconexin, estos eran caros y requera un mayor
tiempo de procesado por paquete grande, aumentando el
retardo.
Para solucionar estos problemas, primero W. Kempf invent el bridge (puente), dispositivo software para interconectar dos LANs. En 1990 Kalpana desarroll el switch
Ethernet, puente multipuerto implementado en hardware,
dispositivo de conmutacin de tramas de nivel 2. Usar
switches para interconectar redes Ethernet permite separar dominios de colisin, aumentando la eciencia y la
escalabilidad de la red. Una red tolerante a fallos y con
un nivel alto de disponibilidad requiere que se usen topologas redundantes: enlaces mltiples entre switches y
equipos redundantes. De esta manera, ante un fallo en un
nico punto es posible recuperar de forma automtica y
rpida el servicio. Este diseo redundante requiere la habilitacin del protocolo spanning tree (STP) para asegurarse de que solo haya activo un camino lgico para ir de
un nodo a otro y evitar as el fenmeno conocido como
tormentas broadcast. El principal inconveniente de esta
topologa lgica de la red es que los switches centrales se
convierten en cuellos de botella, pues la mayor parte del
trco circula a travs de ellos.

Topologa de Red de rea Local Virtual en un edicio de tres

plantas.

Una VLAN (acrnimo de virtual LAN, red de rea local

virtual) es un mtodo para crear redes lgicas independientes dentro de una misma red fsica.[1] Varias VLAN
pueden coexistir en un nico conmutador fsico o en una
nica red fsica. Son tiles para reducir el tamao del
dominio de difusin y ayudan en la administracin de la
red, separando segmentos lgicos de una red de rea local
(los departamentos de una empresa, por ejemplo) que no
deberan intercambiar datos usando la red local (aunque
podran hacerlo a travs de un enrutador o un conmutador
de capa 3 y 4).
Una VLAN consiste en dos redes de ordenadores que se
comportan como si estuviesen conectados al mismo PCI,
aunque se encuentren fsicamente conectados a diferentes
segmentos de una red de rea local. Los administradores
de red conguran las VLANs mediante hardware en lugar
de software, lo que las hace extremadamente fuertes.

Sincoskie consigui aliviar la sobrecarga de los switches

inventando LAN virtuales al aadir una etiqueta a las tramas Ethernet con la que diferenciar el trco. Al denir
varias LAN virtuales cada una de ellas tendr su propio
spanning tree y se podr asignar los distintos puertos de
un switch a cada una de las VLAN. Para unir VLAN que
estn denidas en varios switches se puede crear un enlace
especial llamado trunk, por el que uye trco de varias
VLAN. Los switches sabrn a qu VLAN pertenece cada trama observando la etiqueta VLAN (denida en la
norma IEEE 802.1Q). Aunque hoy en da el uso de LAN
virtuales es generalizado en las redes Ethernet modernas,
usarlas para el propsito original puede ser un tanto extrao, ya que lo habitual es utilizarlas para separar dominios de difusin (hosts que pueden ser alcanzados por una
trama broadcast).

Historia

A principios de la dcada de 1980 Ethernet ya era una

tecnologa consolidada que ofreca una velocidad de 1
Mbits/s, mucho mayor que gran parte de las alternativas
de la poca. Las redes Ethernet tenan una topologa en
bus, donde el medio fsico de transmisin (cable coaxial)
era compartido. Ethernet era, por lo tanto, una red de difusin y como tal cuando dos estaciones transmiten simultneamente se producen colisiones y se desperdicia IEEE 802.1aq2012 - Shortest Path Bridging ofrece mucha ms escalabilidad a hasta 16 millones comparado con
ancho de banda en transmisiones fallidas.
1

PROTOCOLOS

el lmite de 4096 de la VLANs

El protocolo IEEE 802.1Q se encarga del etiquetado de

las tramas que es asociada inmediatamente con la informacin de la VLAN. El cometido principal de Spanning
Tree Protocol (STP) es evitar la aparicin de bucles lgi2 Clasicacin
cos para que haya un slo camino entre dos nodos. VTP
(VLAN Trunking Protocol) es un protocolo propietario
Aunque las ms habituales son las VLAN basadas en de Cisco que permite una gestin centralizada de todas
puertos (nivel 1), las redes de rea local virtuales se pue- las VLAN.
den clasicar en cuatro tipos segn el nivel de la jerarqua
El protocolo de etiquetado IEEE 802.1Q es el ms coOSI en el que operen:
mn para el etiquetado de las VLAN. Antes de su introduccin existan varios protocolos propietarios, como el
VLAN de nivel 1 (por puerto). Tambin conociISL (Inter-Switch Link) de Cisco, una variante del IEEE
da como port switching. Se especica qu puertos
802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. El
del switch pertenecen a la VLAN, los miembros de
IEEE 802.1Q se caracteriza por utilizar un formato de
dicha VLAN son los que se conecten a esos puertrama similar a 802.3 (Ethernet) donde solo cambia el vatos. No permite la movilidad de los usuarios, habra
lor del campo Ethertype, que en las tramas 802.1Q vale
que recongurar las VLANs si el usuario se mueve
0x8100, y se aaden dos bytes para codicar la priorifsicamente. Es la ms comn y la que se explica en
dad, el CFI y el VLAN ID. Este protocolo es un estndar
profundidad en este artculo.
internacional y por lo dicho anteriormente es compatible
VLAN de nivel 2 por direcciones MAC. Se asig- con bridges y switches sin capacidad de VLAN.
nan hosts a una VLAN en funcin de su direccin
MAC. Tiene la ventaja de que no hay que recongurar el dispositivo de conmutacin si el usuario
cambia su localizacin, es decir, se conecta a otro
puerto de ese u otro dispositivo. El principal inconveniente es que si hay cientos de usuarios habra que
asignar los miembros uno a uno.

VLANs y Protocolos de Arbol de Expansin. Para evitar la saturacin de los switches debido a las tormentas
broadcast, una red con topologa redundante tiene que
tener habilitado el protocolo STP. Los switches intercambian mensajes STP BPDU entre s, Bridge Protocol Data
Units) para lograr que la topologa de la red sea un rbol
(no tenga enlaces redundantes) y solo haya activo un camino para ir de un nodo a otro. El protocolo STP/RSTP
VLAN de nivel 2 por tipo de protocolo. La VLAN es agnstico a las VLAN, MSTP (IEEE 802.1Q) permite
queda determinada por el contenido del campo ti- crear rboles de expansin diferentes y asignarlos a grupo de protocolo de la trama MAC. Por ejemplo, se pos de VLANs mediante conguracin. Esto permite utiasociara VLAN 1 al protocolo IPv4, VLAN 2 al lizar enlaces en un rbol que estn bloqueados en otro
protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a rbol.
IPX...
En los dispositivos Cisco, VTP (VLAN trunking proto VLAN de nivel 3 por direcciones de subred (su- col) se encarga de mantener la coherencia de la conbred virtual). La cabecera de nivel 3 se utiliza para guracin VLAN por toda la red. VTP utiliza tramas de
mapear la VLAN a la que pertenece. En este tipo de nivel 2 para gestionar la creacin, borrado y renombrado
VLAN son los paquetes, y no las estaciones, quie- de VLANs en una red sincronizando todos los disposines pertenecen a la VLAN. Estaciones con mlti- tivos entre s y evitar tener que congurarlos uno a uno.
ples protocolos de red (nivel 3) estarn en mltiples Para eso hay que establecer primero un dominio de adVLANs.
ministracin VTP. Un dominio VTP para una red es un
conjunto contiguo de switches unidos con enlaces trunk
VLAN de niveles superiores. Se crea una VLAN que tienen el mismo nombre de dominio VTP.
para cada aplicacin: FTP, ujos multimedia,
correo electrnico... La pertenencia a una VLAN Los switches pueden estar en uno de los siguientes modos:
puede basarse en una combinacin de factores co- servidor, cliente o transparente. Servidor es el modo
mo puertos, direcciones MAC, subred, hora del da, por defecto, anuncia su conguracin al resto de equipos
forma de acceso, condiciones de seguridad del equi- y se sincroniza con otros servidores VTP. Un switch en
modo cliente no puede modicar la conguracin VLAN,
po...
simplemente sincroniza la conguracin en base a la informacin que le envan los servidores. Por ltimo, un
switch est en modo transparente cuando solo se pue3 Protocolos
de congurar localmente pues ignora el contenido de los
mensajes VTP.
Durante todo el proceso de conguracin y funcionaVTP tambin permite podar (funcin VTP prunning),
miento de una VLAN es necesaria la participacin de
lo que signica dirigir trco VLAN especco solo a los
una serie de protocolos entre los que destacan el IEEE
conmutadores que tienen puertos en la VLAN destino.
802.1Q, STP y VTP (cuyo equivalente IEEE es GVRP).

3
Con lo que se ahorra ancho de banda en los posiblemente mode access) pertenece nicamente a una VLAN asigsaturados enlaces trunk.
nada de forma esttica (VLAN nativa). La conguracin
por defecto suele ser que todos los puertos sean de acceso
de la VLAN 1. En cambio, un puerto trunk (switchport
trunk) puede ser miembro de mltiples VLANs.
4 Gestin de la pertenencia a una mode
Por defecto es miembro de todas, pero la lista de VLANs
permitidas es congurable.
VLAN
El dispositivo que se conecta a un puerto, posiblemente
Las dos aproximaciones ms habituales para la asignacin no tenga conocimiento de la existencia de la VLAN a la
de miembros de una VLAN son las siguientes: VLAN que pertenece dicho puerto. El dispositivo simplemente
sabe que es miembro de una subred y que puede ser capaz
estticas y VLAN dinmicas.
de hablar con otros miembros de la subred simplemente
Las VLAN estticas tambin se denominan VLAN baenviando informacin al segmento cableado. El switch es
sadas en el puerto. Las asignaciones en una VLAN estresponsable de identicar que la informacin viene de una
tica se crean mediante la asignacin de los puertos de un
VLAN determinada y de asegurarse de que esa informaswitch o conmutador a dicha VLAN. Cuando un disposicin llega a todos los dems miembros de la VLAN. El
tivo entra en la red, automticamente asume su pertenenswitch tambin se asegura de que el resto de puertos que
cia a la VLAN a la que ha sido asignado el puerto. Si el
no estn en dicha VLAN no reciben dicha informacin.
usuario cambia de puerto de entrada y necesita acceder a
la misma VLAN, el administrador de la red debe cambiar Este planteamiento es sencillo, rpido y fcil de adminismanualmente la asignacin a la VLAN del nuevo puerto trar, dado que no hay complejas tablas en las que mirar
para congurar la segmentacin de la VLAN. Si la asode conexin en el switch.
ciacin de puerto a VLAN se hace con un ASIC (acrniEn ella se crean unidades virtuales no estticas en las que
mo en ingls de Application-Specic Integrated Circuit o
se guardan los archivos y componentes del sistema de arCircuito integrado para una aplicacin especca), el renchivos mundial
dimiento es muy bueno. Un ASIC permite que el mapeo
En las VLAN dinmicas, la asignacin se realiza me- de puerto a VLAN sea hecho a nivel hardware.
diante paquetes de software tales como el CiscoWorks
2000. Con el VMPS (acrnimo en ingls de VLAN Management Policy Server o Servidor de Gestin de Directivas 6 Diseo de VLANs
de la VLAN), el administrador de la red puede asignar
los puertos que pertenecen a una VLAN de manera automtica basndose en informacin tal como la direccin Los primeros diseadores de redes solan congurar las
MAC del dispositivo que se conecta al puerto o el nom- VLANs con el objetivo de reducir el tamao del dominio
bre de usuario utilizado para acceder al dispositivo. En de colisin en un segmento Ethernet y mejorar su rendieste procedimiento, el dispositivo que accede a la red, miento. Cuando los switches lograron esto, porque cada
hace una consulta a la base de datos de miembros de la puerto es un dominio de colisin, su prioridad fue reduVLAN. Se puede consultar el software FreeNAC para ver cir el tamao del dominio de difusin. Ya que, si aumenta
el nmero de terminales, aumenta el trco difusin y el
un ejemplo de implementacin de un servidor VMPS.
consumo de CPU por procesado de trco broadcast no
deseado. Una de las maneras ms ecientes de lograr reducir el domino de difusin es con la divisin de una red
5 VLAN basadas en el puerto de grande en varias VLANs.

conexin
Con las VLAN de nivel 1 (basadas en puertos), el puerto
asignado a la VLAN es independiente del usuario o dispositivo conectado en el puerto. Esto signica que todos
los usuarios que se conectan al puerto sern miembros de
la misma VLAN. Habitualmente es el administrador de
la red el que realiza las asignaciones a la VLAN. Despus
de que un puerto ha sido asignado a una VLAN, a travs
de ese puerto no se puede enviar ni recibir datos desde Red institucional
dispositivos incluidos en otra VLAN sin la intervencin Actualmente, las redes institucionales y corporativas mode algn dispositivo de capa 3.
dernas suelen estar conguradas de forma jerrquica diLos puertos de un switch pueden ser de dos tipos, en lo vidindose en varios grupos de trabajo. Razones de seque respecta a las caractersticas VLAN: puertos de ac- guridad y condencialidad aconsejan tambin limitar el
ceso y puertos trunk. Un puerto de acceso (switchport mbito del trco de difusin para que un usuario no au-

4
torizado no pueda acceder a recursos o a informacin
que no le corresponde. Por ejemplo, la red institucional
de un campus universitario suele separar los usuarios en
tres grupos: alumnos, profesores y administracin. Cada
uno de estos grupos constituye un dominio de difusin,
una VLAN, y se suele corresponder asimismo con una
subred IP diferente. De esta manera la comunicacin entre miembros del mismo grupo se puede hacer en nivel 2,
y los grupos estn aislados entre s, slo se pueden comunicar a travs de un router.

VASE TAMBIN

troncal(cong-if-range)# switchport mode trunk Switchtroncal(cong-if-range)# switchport trunk native vlan

10 Switch-troncal(cong-if-range)# switchport trunk
allowed vlan 20, 30 Switch-troncal(cong-if-range)# exit
Ahora habra que denir en cada switch de acceso qu
rango de puertos dedicamos a cada VLAN. Vamos a suponer que se utilizan las interfaces f0/0-15 para la vlan
adminstracion, f0/16,31 para vlan profesores y f0/32-47
para la vlan alumnos.

Switch-1(cong)# interface range f0/0 15 Switch1(cong-if-range)#

switchport
Switch-1(cong-ifrange)# switchport mode access Switch-1(cong-ifrange)# switchport access vlan 10 Switch-1(congif-range)# exit Switch-1(cong)# interface range
f0/16 31 Switch-1(cong-if-range)# switchport
Switch-1(cong-if-range)# switchport mode access
Switch-1(cong-if-range)# switchport access vlan 20
Switch-1(cong-if-range)# exit Switch-1(cong)# interface range f0/32 47 Switch-1(cong-if-range)#
switchport Switch-1(cong-if-range)# switchport mode
Imagine que la universidad tiene una red con un rango de access Switch-1(cong-if-range)# switchport access vlan
direcciones IP del tipo 172.16.XXX.0/24, cada VLAN, 30 Switch-1(cong-if-range)# exit
denida en la capa de enlace de datos (nivel 2 de OSI), se Denimos como trunk el puerto que conecta cada switch
corresponder con una subred IP distinta: VLAN 10. Adde acceso con el troncal:
ministracin. Subred IP 172.16.10.0/24 VLAN 20. Profesores. Subred IP 172.16.20.0/24 VLAN 30. Alumnos. Switch-1(cong)# interface g0/0 Switch-1(cong-if)#
switchport Switch-1(cong-if)# switchport mode trunk
Subred IP 172.16.30.0/24
Switch-1(cong-if)# switchport trunk native vlan 10
En cada edicio de la universidad hay un switch denomi- Switch-1(cong-if)# switchport trunk allowed vlan 20,30
nado de acceso, porque a l se conectan directamente los Switch-1(cong-if)# exit
sistemas nales. Los switches de acceso estn conectados
con enlaces trunk (enlace que transporta trco de las tres En el router creamos una subinterfaz por cada VLAN
VLANs) a un switch troncal, de grandes prestaciones, t- transportada en el enlace trunk:
picamente Gigabit Ethernet o 10-Gigabit Ethernet. Este Router(cong)# interface f2 Router(cong-if)# no
switch est unido a un router tambin con un enlace trunk, ip address Router(cong-if)# exit Router(cong)#
el router es el encargado de llevar el trco de una VLAN interface f2.1 Router(cong-if)# encapsulation dot1q
a otra.
10 native Router(cong-if)# ip address 172.16.10.1
255.255.255.0 Router(cong-if)# exit Router(cong)#
interface
f2.2
Router(cong-if)#
encapsulation
dot1q 20 Router(cong-if)# ip address 172.16.20.1
7 Comandos IOS
255.255.255.0 Router(cong-if)# exit Router(cong)#
A continuacin se presentan a modo de ejemplo los interface f2.3 Router(cong-if)# encapsulation dot1q 30
comandos IOS para congurar los switches y routeres del Router(cong-if)# ip address 172.16.30.1 255.255.255.0
Router(cong-if)# exit
escenario anterior.
La denicin de mltiples VLANs y el uso de enlaces
trunk, frente a las redes LAN interconectadas con un router, es una solucin escalable. Si se deciden crear nuevos grupos se pueden acomodar fcilmente las nuevas
VLANs haciendo una redistribucin de los puertos de los
switches. Adems, la pertenencia de un miembro de la comunidad universitaria a una VLAN es independiente de
su ubicacin fsica. E incluso se puede lograr que un equipo pertenezca a varias VLANs (mediante el uso de una
tarjeta de red que soporte trunk).

Creamos las VLANs en el switch troncal, suponemos que Esta sera la conguracin relativa a la creacin de las
este switch acta de servidor y se sincroniza con el resto: VLANs, se omite la conguracin de otros elementos como los hosts, routers y otros dispositivos de red.
Switch-troncal> enable Switch-troncal# congure
terminal Switch-troncal(cong)# vlan database Switchtroncal(cong-vlan)# vlan 10 name administracion
Switch-troncal(cong-vlan)# vlan 20 name profesores
Switch-troncal(cong-vlan)# vlan 30 name alumnos 8 Vase tambin
Switch-troncal(cong-vlan)# exit
Denimos como puertos trunk los cuatro del switch troncal:

IEEE 802.1Q

Switch-troncal(cong)# interface range g0/0 3

Switch-troncal(cong-if-range)# switchport Switch-

Shortest Path Bridging (SPB)

9.1

Bibliografa

Referencias

[1] Virtual local area networks (VLANs). Axis. Consultado

el 21 de enero de 2012.

9.1

Bibliografa

James F. Kurose, Keith W. Ross (2012). Computer

Networking:A Top-Down Approach. Pearson Education. ISBN 978-0-13-136548-3.
Virtual LANs, a class presentation by Professor of
Computer and Information Sciences in the Ohio State University Raj Jain
history of bridging, by Varghese
Presentacin de clase (Universidad Carlos III de
Madrid)
Apuntes de la asignatura RST (Redes e servicios telemticos) de la Universidade de Vigo
What is VLAN Routing?

10

10
10.1

TEXT AND IMAGE SOURCES, CONTRIBUTORS, AND LICENSES

Text and image sources, contributors, and licenses

Text

VLAN Fuente: http://es.wikipedia.org/wiki/VLAN?oldid=82128385 Colaboradores: Vcarceler, Dodo, Barcex, Marnez, NicFit, Rembiapo pohyiete (bot), RobotQuistnix, Vitamine, YurikBot, GermanX, Beto29, Ernesto Graf, Maldoror, Reected God, Chlewbot, Jcarlos77,
Akael, Calsbert, BOTpolicia, CEM-bot, Laura Fiorucci, Ranganok~eswiki, MaykelMoya, RoyFocker, TXiKiBoT, Arym, Netito777, Reibot, Plux, Kzman, Biasoli, VolkovBot, Snakeyes, Technopat, Manuel Castillo Cagigal, Matdrodes, Lucien leGrey, Barri, Muro Bot, SieBot,
PaintBot, Dualidad, Tirithel, AL-X-OR, Nicop, Pan con queso, Poco a poco, Camilo, AVBOT, Diegusjaimes, Luckas-bot, Jmartinequintero, Almonacilo, ArthurBot, ChichoHack, SuperBraulio13, Xqbot, Jkbw, SassoBot, Botarel, Jaime olivares zapiain, Solinem, HoLiC,
Edgarhz, TobeBot, Omerta-ve, Abece, PatruBOT, KamikazeBot, Nachosan, GrouchoBot, EmausBot, ZroBot, Sergio Andres Segovia,
Elas, WikitanvirBot, Ppenaloza, Bibliolotranstornado, Carliitaeliza, Eupiper, Unatecla, DobleP34, Addbot, Pere Orero y Annimos: 153

10.2

Images

Archivo:Red_institucional.jpg Fuente: http://upload.wikimedia.org/wikipedia/commons/0/07/Red_institucional.jpg Licencia: GFDL

Colaboradores: Trabajo propio Artista original: Eupiper
Archivo:VLAN.svg Fuente: http://upload.wikimedia.org/wikipedia/commons/e/e8/VLAN.svg Licencia: CC BY 3.0 Colaboradores: Trabajo propio Artista original: Rafax

10.3

Content license

Creative Commons Attribution-Share Alike 3.0