VLAN

Grupo:
Rodrigo
Diego
Ernesto
Consignas

•Conceptos básicos.
•Trunking
•Tipos de configuraciones.
•VLAN Management
•Diseño de VLANs
•Ejemplos de uso
Definición

• VLAN – Virtual Local Area Network.

“Grupo de dispositivos con un conjunto de

requerimientos comunes que se comunican
como si estuvieran conectados al mismo
dominio de broadcast, independientemente de
su localización física”
Conceptos básicos

• Dominio de Broadcast

“División lógica en una red de computadores en la cual todos

los nodos pueden transmitir datos entre sí utilizando
broadcast de nivel 2.”

• Dominio de Colisión

“Segmento lógico de una red de nivel dos donde los

paquetes pueden colisionar entre ellos por ser enviados a
través de un medio compartido.”
Conceptos básicos

• Cada puerto de un switch es un dominio de

colisión separado del resto.
• Todos los puertos de un switch pertenencen
(por default) al mismo dominio de broadcast.
• Las VLANs son un mecanismo para crear
múltiples (y separados) dominios de
broadcast en una red switcheada.
Conceptos básicos
Conceptos básicos

• Razones para implementar VLANs

– Agrupar usuarios
– Seguridad
– QoS
– Evitar ruteo
– VLANS de propósito específico
– Debido al diseño
 Conceptos básicos

vlan Default
10 vlan 1

• Las VLANs son una segmentación basada en dominios de

broadcast.
• Cada VLAN equivale a una subred de nivel 3.
• Ejemplos de segmentación por VLANs:
– Segmentación Física (Por ejemplo: Edificios)
– Organizacion (Ejemplo: Dto. De Marketing)
– Funcional (Ejemplo: Staff, Managers, Admin)
Dos subredes, un switch, SIN VLANS

192.168.10.2/24 192.168.11.2/24 192.168.10.3/24 192.168.11.3/24

D.G 192.168.11.1 D.G 192.168.10.1 D.G 192.168.11.1
D.G 192.168.10.1

• Layer 2 Broadcasts
– Supongamos que la estación 192.168.10.2 envía
un broadcast (ARP, DHCP, BOOTP, etc)
 Dos subredes, un switch, SIN VLANS

192.168.10.2/24 192.168.11.2/24 192.168.10.3/24 192.168.11.3/24

D.G 192.168.11.1 D.G 192.168.10.1 D.G 192.168.11.1
D.G 192.168.10.1

• Layer 2 Broadcasts
– El switch repite el broadcast por todos los puertos, incluso
aquellos que pertenecen a la otra subred.
– Se necesita limitar los broadcasts dentro de la propia
subred.
Dos subredes, un switch, SIN VLANS

192.168.10.2/24 192.168.11.2/24 192.168.10.3/24 192.168.11.3/24

D.G 192.168.11.1 D.G 192.168.10.1 D.G 192.168.11.1
D.G 192.168.10.1

• Layer 2 Unknown Unicasts

– Si la MAC Destino no es conocida por el switch, el
paquete se envía a todos los puertos.
 Dos subredes, un switch, SIN VLANS

Fa 0/0 Fa 0/1
192.168.10.1 192.168.11.1 Sería inútil
enviar los
paquetes para
destinos
desconocidos
fuera de la
subred IP, dado
que deben
pasar por el
192.168.10.2/24 192.168.11.2/24 192.168.10.3/24 192.168.11.3/24
D.G D.G D.G D.G
router.
192.168.10.1 192.168.11.1 192.168.10.1 192.168.11.1
 Solución sin VLANs: 1 switch por subred

Fa 0/0 Fa 0/1
192.168.10.1 192.168.11.1

ARP Request

192.168.10.2/24 192.168.10.3/24 192.168.11.2/24 192.168.11.3/24

D.G 192.168.10.1 D.G 192.168.10.1 D.G 192.168.11.1 D.G 192.168.11.1

• La solución sin VLANs consiste en usar un switch por

subred.
• Este esquema provee segmentación para broadcast y
unicast con MAC no conocida, pero no es una solución
escalable.
Solución con VLANs
Port 1 VLAN 10 Port 4 VLAN 20 Port 9 VLAN 10 Port 12 VLAN 20

ARP Request

192.168.11.3/24
192.168.10.2/24 D.G 192.168.11.1
D.G 192.168.10.1 192.168.11.2/24 192.168.10.3/24
D.G 192.168.11.1 D.G 192.168.10.1

• Los puertos en la misma VLAN pertecen a un dominio de

broadcast.
• Los puertos en diferentes VLANs no comparte el dominio de
broadcast. Solo se comunican a través de un router.
VLAN Trunking

• Cuando un switch no es suficiente, es deseable

poder utilizar la misma política de VLANs en toda la
red.
VLAN Trunking

• Podría utilizarse un puerto en cada switch

para compartir el tráfico de cada VLAN, como
indica la figura.
• Esta solución no escala bien, se desperdician
puertos.
 VLAN Trunking

• Se utilizan los protocolos de VLAN Trunking para extender el

dominio de broadcast (VLAN) a otro switch utilizando un solo
cable.
• Se diferencia entre los puertos access, donde se conecta solo
una VLAN, de los puertos trunk, que interconectan switches y
transportan los datos de diferentes VLANs
VLAN Trunking

• Un trunk no
pertenece a
ninguna VLAN en
particular.
• Dentro de un
trunk, se identifican
las VLANs con
“tags”.
VLAN Trunking

• 2 Protocolos de trunking
– ISL(Inter Switch Link): Propietario de Cisco.
– 802.1Q: Standard de la IEEE.
VLAN Trunking: ISL

• Encapsula Ethernet en la trama ISL.

• El header y el CRC se agregan a la trama Ethernet.
• Overhead total: 39 bytes.
 VLAN Trunking: ISL

• DA: ISL Multicast Address 0x01000C0000

• Type: 0000 Eth, 0001 Token Ring, 0010 FDDI, 0011 ATM.
• User: Prioridad (similar a 802.1q)
• Source address: MAC origen.
• Length: Excluye el FCS y hasta el 6to campo.
• AAAA03: SNAP + LLC.
• OUI Number: primer parte de la MAC.
• VLAN ID: 10 bits -> 1024 posibles VLANs.
• B: 1 BPDU, CDP (Cisco Discovery Protocol) o VTP (VLAN Trunk
Protocol)
• Index: Número de puerto origen.
• R: 0 para Eth, se puede usar en TR.
 VLAN Trunking: 802.1Q

• Standard de IEEE.
• No encapsula, inserta 4
octetos (TAG).
• Ethertype = 0x08100,
Prioridad (802.1Q) y
VLAN ID (4095
VLANs).
• Recalcula el FCS.
• Aumenta el MTU a
1522 (Baby Giant)
 VLAN Trunking: ISL vs 802.1Q

• ISL permite STP por VLAN, 802.1Q solo para

la VLAN nativa. Nuevas versiones de STP
resuelven esto para 802.1Q.
• 802.1Q protocolo abierto -> compatibilidad.
• Mayor cantidad de VLANs en 802.1Q.
• Menor OH en 802.1Q.
• ISL ya no es soportado.
 Tipos de configuraciones

Por grupo de puertos: Se asigna cada puerto a una VLAN.

Switch 1 Switch 2

VLAN A

VLAN B
HUB
Tipos de configuraciones

• Por MAC Address:

– Inicialmente se configura una VLAN para el
puerto.
– Los switch vuelven a asignar esa VLAN a la MAC
address en cualquier otro puerto que se conecte.
– Mayor seguridad.
Tipos de configuraciones

• Por protocolo:

– Se configuran los switches para agrupar por

VLANs de acuerdo a:
• Protocolo (IP, IPX, etc).
• Subredes.
• Servicio.
Tipos de configuraciones

• Por 802.1x.

– 802.1x provee autenticación a nivel de puerto.

– Al autenticarse el usuario, se le asigna
determinados parámetros de acuerdo con el nivel
de acceso.
– Usuarios con distintos perfiles utilizan diferentes
VLANs.
VLAN Management - VTP

• VTP es un protocolo de mensajes de nivel 2 que mantiene la

configuración de VLANs consistente, agregando, borrando, y
cambiando nombres de VLANs en todos los Switches del
Dominio VTP
• Características
– Actualizaciones e intercambio solo a través de trunks
– Es un protocolo propietario de Cisco
– Anuncia VLANs de la 1 a la 1005.
VLAN Management - GVRP

• Protocolo abierto de IEEE.

• Basado en GARP, protocolo que permite distribuir y
registrar atributos a los hosts en un ambiente
switcheado.
• Utilizando GARP permite configurar dinámicamente
la pertenencia de los puertos de los switches a las
VLANs correspondientes de acuerdo al diseño, a
nivel red.
Diseño de VLANs: Problemas de diseño

Asignación descuidada: se Broadcast

puede dificultar el
Broadcast

Broadcast

troubleshooting y causar Broadcast

problemas de d ca
st
Broadcast

performance. Ej: si todas

Bro

Broadcast

las VLANs están presentes

en todos los switches,
VLAN 100
equivale a tener un solo
dominio de broadcast.
Diseño de VLANs: Problemas de diseño

• Asignación por protocolo

– Normalmente software propietario.
VLAN 100
– Para el mismo host asigna diferentes
VLAN 100 VLAN 100
VLANs (de acuerdo al protocolo).
– Por lo tanto, se debe configurar la red
VLAN 200
VLAN 200
para que el default GW de la subred
IP pertenezca a ambas. Esto genera
VLAN 200
serios problemas de mantenimiento.
– Puede ser útil en el caso de utilizar,
por ejemplo, IP y NetBEUI
Diseño de VLANs: Problemas de diseño

• Trunk a través de
un router.
– No se puede rutear.
– Se podría usar un
túnel para “unir” la
VLAN.
– Tráfico repetido a
través del túnel.
– Difícil de mantener.
Diseño de VLANs: Problemas de diseño

• Trunk caído fragmenta

una subred.
– Los routers 1 y 2 funcionan
en redundancia (HSRP).
– Si el trunk entre el switch 1
y 2 se cae, la subred
10.1.101.0 queda partida.
– Solución posible, usar dos
conexiones físicas para el
trunk con Spanning Tree.
Diseño de VLANs – Recomendaciones

• Utilizar modelo jerárquico

acceso/distribución/core.
• Utilizar VLAN 1 para
management en todos los
switches.
• Redundancia de trunks entre
acceso y distribución (STP).
• Redundancia de hardware en
distribución y core.
• Todas las VLANs conocidas en
ambos switches de distribución.
• VLANs repartidas entre los
switches de acceso.
Ejemplos de uso

• Uso corporativo.
– Separar areas funcionales
por VLANs.
– Facilidad de administracion,
deteccion de fallas,
seguridad.
– Priorizacion de los
segmentos criticos para el
negocio.
– Optimizacion de acceso a
recursos compartidos.
Ejemplos de uso

• Aplicaciones de seguridad:
– Active Directory organiza los
perfiles de usuario.
– IAS server utiliza 802.1X para
autenticar usuario.
– Se asignan VLANs por perfil
de usuario.
– VLAN para Quarantine
Network, hosts no
autenticados o que no
cumplen con politicas de
seguridad (antivirus, SP, etc).
– VLAN Guest, acceso de
proveedores, clientes, etc.
Ejemplos de uso

• Metro Ethernets
– Uso de QinQ (de
802.1Q) para utilizar
doble nivel de tag y
permitir transporte de
VLANs de clientes
– Uso de QinQ para
extender el rango de
VLANs de 4096 a
16.8 millones
Ejemplos de uso

• ADSL
– DSLAMs con uplink
GE/FE.
– QinQ: 1 VLAN por
DSLAM, 1 VLAN
por puerto.
– Permite identificar
al cliente en el
BRAS.
Ejemplos de uso

• 3ple Play
– El uso de VLANs
permite priorizar
real time, separar
por ISP o cliente
y utilizar una sola
VLAN de Video,
permitiendo el
uso de Multicast.
Ejemplos de uso

• IPTelephony:
– El teléfono IP taggea las
VLANs de voz y datos.
POE

– Envía a la PC solo la
VLAN de datos.
VLAN VOZ

– Telefónos con PoE.

– Permiten conectar un VLAN
DATOS

puesto con una sola

posición de red.