LAN VIRTUALES (VLANs)

Los dispositivos de capa 2, incluyendo los puentes y los switches, propagan ciertos tipos de
trfico sobre el dominio de difusin (broadcasts, multicasts y trfico con destino desconocido).
Este proceso impacta sobre cada mquina en el dominio y en el ancho de banda de sus
conexiones as como en el procesamiento local. Si se estuvieran utilizando puentes, la nica
solucin para esta situacin sera dividir el dominio en varios dominios de difusin e
interconectar estos dominios por medio de un router. Des este punto de vista, cada nuevo
dominio de difusin sera un nuevo segmento lgico y necesitara un nico nmero de red para
diferenciarlo de los otros segmentos de capa 3.

Desafortunadamente la anterior es una solucin muy costosa, ya que cada dominio de difusin,
o segmento lgico, necesita su propio puerto en el router. Entre ms dominios de difusin se
tengan, mayor ser el tamao del router requerido, pues necesita una interfaz por cada dominio
de difusin. Los switches proporcionan una solucin nica para reducir el nmero de puertos en
el router y por lo tanto el costo en la adquisicin de estos equipos. Esta solucin la representan
las LAN virtuales.

Una LAN virtual (en adelante VLAN) es una agrupacin lgica de dispositivos de red en el
mismo dominio de difusin que se puede extender sobre mltiples segmentos fsicos. Los
switches son utilizados para crear VLANs, o dominios de difusin separados. Las VLANs no
estn restringidas a ninguna frontera fsica en la red conmutada, asumiendo que todos los
dispositivos estn interconectados por medio de switches y que no interviene ningn dispositivo
de capa 3. Por ejemplo, una VLAN puede extenderse a travs de mltiples switches o puede
estar contenida dentro de uno slo, tal como se muestra en la figura siguiente:

Los switches en la red se encargan de mantener la integridad de las VLANs. En el diagrama

anterior, si PC-A genera un mensaje de broadcast, los Switches 1 y 2 se asegurarn que los
diferentes nodos en esa VLAN vean ese mensaje y que los dems no lo reciban.
Si vemos lo anterior desde el punto de vista lgico, podemos decir que las VLANs son tambin
subredes, en las que los paquetes de broadcast no pasarn a otra subred, a menos que se
cuente con un dispositivo de capa 3, como los routers, que provea esta funcin. Si tenemos
varias subredes, cada una de ellas requerir de una direccin de red nica y para trasladar
paquetes de una direccin de red a otra ser necesario un router. En el caso de dominios de
difusin y switches, cada uno de estos dominios separados representa una VLAN; por lo tanto,
se requerir de la funcin de ruteo para mover el trfico entre diferentes VLANs. Por lo tanto,
desde el punto de vista del usuario la interconexin de diferentes VLANs ser concebida tal
como se muestra en la grfica siguiente:

Una de las ventajas que tienen los switches sobre los puentes es que en una red conmutada
que tiene VLANs el switch puede manejar varias VLANs en un solo puerto y el router puede
realizar el enrutamiento entre esas VLANs en ese mismo puerto. Con un puente, cada VLAN
debe ser ubicada en un puerto individual en el router, lo cual incrementa el costo de la solucin.
A travs de la segmentacin de los dominios de difusin, las VLAN permiten ubicar a un
usuario en cualquier lugar de la red conmutada y pertenecer al mismo dominio de difusin. De
esta forma, si se mueve un usuario de un switch a otro dentro de la misma red conmutada, se

puede mantener a dicho usuario en la VLAN original, esto incluye hacer el movimiento de un
piso a otro dentro del edificio o de una parte de un campus a otra parte en dicho campus.
Las VLANs proveen la independencia de ubicacin dentro de la red conmutada. Esta
flexibilidad hace que el agregar, cambiar o mover dispositivos se convierta en un proceso
simple. Tambin permite hacer agrupaciones de personas, por ejemplo de acuerdo al tipo de
trabajo, lo cual hace ms fcil la implementacin de polticas de seguridad.

Tipos de conexiones
En las VLANs los switches soportan dos tipos de puertos: de acceso y troncales. Al momento
de configurar los switches, es indispensable conocer el tipo de conexin e interfaz que se
deber configurar en cada uno de ellos. A continuacin se detalla cada uno de estos puertos.
Conexiones de Acceso. Estas son conexiones a dispositivos que tienen tarjetas de red
normales, las cuales reconocen los paquetes Ethernet estndar. Estas conexiones pueden ser
asociadas solamente con una VLAN nica. Esto significa que un dispositivo, o dispositivos,
conectado a este puerto estar(n) en el mismo dominio de difusin. Por ejemplo, si diez
usuarios estn conectados a un concentrador, o switch no programable, y se conecta este
dispositivo a un puerto de acceso en el switch, todos estos usuarios pertenecern a la misma
VLAN asociada a ese puerto. Si se deseara que cinco usuarios conectados al concentrador
pertenecieran a una VLAN y los otros cinco a una VLAN diferente, se tendra que utilizar otro
concentrador y conectarlo en un puerto diferente y configurar dicho puerto con el identificador
de VLAN adecuado.

Conexiones Troncales. A diferencia de las conexiones de acceso, las troncales son capaces
de transportar trfico a mltiples VLANs. Para poder soportar esta funcin de transporte, la
trama Ethernet original debe ser modificada para llevar la informacin de la VLAN, comnmente
llamada Identificador de VLAN o nmero. Esto asegura que la integridad de difusin
(broadcast) sea mantenida. Entonces, podemos decir que un troncal modifica la trama original
para poder llevar la informacin VLAN, incluyendo en ella el Identificador de VLAN. Por
ejemplo, si un dispositivo de la VLAN 1 ha generado un mensaje de broadcast y el switch al
que est conectado lo recibe, cuando ste lo pasa a los otros switches stos necesitan saber la
VLAN de origen de tal forma que puedan dirigirlo solamente a los puertos que pertenecen a esa
VLAN, en este caso VLAN 1, y no a otros puertos; por lo tanto el puerto troncal debe incluir el

Identificador de VLAN, en este caso el nmero 1. El mtodo ms utilizado para realizar las
conexiones troncales es el IEEE 802.1Q (conocido como dot1q), el cual proporciona el
mecanismo para permitir que mltiples redes puedan compartir de forma transparente el mismo
medio fsico.

La siguiente figura muestra la operacin de una red virtual con conexiones troncales en los
diferentes switches: