Introduccin a VLAN

Una VLAN (Red de rea local virtual o LAN virtual) es una red de rea local que agrupa un conjunto de equipos de manera lgica y no fsica. Efectivamente, la comunicacin entre los diferentes equipos en una red de rea local est regida por la arquitectura fsica. Gracias a las redes virtuales (VLAN), es posible liberarse de las limitaciones de la arquitectura fsica (limitaciones geogrficas, limitaciones de direccin, etc.), ya que se define una segmentacin lgica basada en el agrupamiento de equipos segn determinados criterios (direcciones MAC, nmeros de puertos, protocolo, etc.).

Tipos de VLAN
Se han definido diversos tipos de VLAN, segn criterios de conmutacin y el nivel en el que se lleve a cabo:
y y

la VLAN de nivel 1 (tambin denominada VLAN basada en puerto ) define una red virtual segn los puertos de conexin del conmutador; la VLAN de nivel 2 (tambin denominada VLAN basada en la direccin MAC) define una red virtual segn las direcciones MAC de las estaciones. Este tipo de VLAN es ms flexible que la VLAN basada en puerto, ya que la red es independiente de la ubicacin de la estacin; la VLAN de nivel 3 : existen diferentes tipos de VLAN de nivel 3: o la VLAN basada en la direccin de red conecta subredes segn la direccin IP de origen de los datagramas. Este tipo de solucin brinda gran flexibilidad, en la medida en que la configuracin de los conmutadores cambia automticamente cuando se mueve una estacin. En contrapartida, puede haber una ligera disminucin del rendimiento, ya que la informacin contenida en los paquetes debe analizarse detenidamente. o la VLAN basada en protocolo permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red.

Ventajas de la VLAN
La VLAN permite definir una nueva red por encima de la red fsica y, por lo tanto, ofrece las siguientes ventajas:
y y y

mayor flexibilidad en la administracin y en los cambios de la red, ya que la arquitectura puede cambiarse usando los parmetros de los conmutadores; aumento de la seguridad, ya que la informacin se encapsula en un nivel adicional y posiblemente se analiza; disminucin en la transmisin de trfico en la red.

Una VLAN (acrnimo de Virtual LAN, Red de rea Local Virtual) es un mtodo de crear redes lgicamente independientes dentro de una misma red fsica. Varias VLANs pueden coexistir en un nico conmutador fsico o en una nica red fsica. Son tiles para reducir el tamao del Dominio de difusin y ayudan en la administracin de la red separando segmentos lgicos de una red de rea local (como departamentos de una empresa) que no deberan intercambiar datos usando la red local (aunque podran hacerlo a travs de un enrutador o un switch capa 3 y 4). Una 'VLAN' consiste en una red de ordenadores que se comportan como si estuviesen conectados al mismo conmutador, aunque pueden estar en realidad conectados fsicamente a diferentes segmentos de una red de rea local. Los administradores de red configuran las VLANs mediante software en lugar de hardware, lo que las hace extremadamente flexibles. Una de las mayores ventajas de las VLANs surge cuando se traslada fsicamente algn ordenador a otra ubicacin: puede permanecer en la misma VLAN sin necesidad de cambiar la configuracin IP de la mquina.

Contenido
[ocultar]
y y y y

1 Protocolos y diseo 2 Ejemplo de definicin de VLAN 3 Gestin de la pertenencia a una VLAN 4 VLAN basadas en el puerto de conexin

[editar] Protocolos y diseo

El protocolo de etiquetado IEEE 802.1Q domina el mundo de las VLANs. Antes de su introduccin existan varios protocolos propietarios, como el ISL (Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN Trunk ) de 3Com. Los primeros diseadoras de redes enfrentaron el problema del tamao de los dominios de colision (Hubs) esto se logr controlar a travs de la introduccin de los switch o conmutadores pero a su vez se introdujo el problema del aumento del tamao de los dominios de difusin y una de las formas ms eficientes para manejarlo fue la introduccin de las VLANs. Las VLANs tambin pueden servir para restringir el acceso a recursos de red con independencia de la topologa fsica de sta, si bien la robustez de este mtodo es discutible al ser el salto de VLAN (VLAN hopping ) un mtodo comn de evitar tales medidas de seguridad. Las VLANs funcionan en el nivel 2 (enlace de datos) del modelo OSI. Sin embargo, los administradores suelen configurar las VLANs como correspondencia directa de una red o subred IP, lo que les da apariencia de funcionar en el nivel 3 (red).

En el contexto de las VLANs, el trmino trunk (troncal) designa una conexin de red que transporta mltiples VLANs identificadas por etiquetas (o tags) insertadas en sus paquetes. Dichos trunks deben operar entre tagged ports (puertos etiquetados) de dispositivos con soporte de VLANs, por lo que a menudo son enlaces conmutador a conmutador o conmutador a enrutador ms que enlaces a nodos. (Para mayor confusin, el trmino trunk tambin se usa para lo que Cisco denomina canales; vase agregado de enlaces). Un enrutador (conmutador de nivel 3) funciona como columna vertebral para el trfico de red transmitido entre diferentes VLANs. En los dispositivos Cisco, VTP (VLAN Trunking Protocol ) permite definir dominios de VLAN, lo que facilita las tareas administrativas. VTP (Cisco) tambin permite podar, lo que significa dirigir trfico VLAN especfico slo a los conmutadores que tienen puertos en la VLAN destino.

[editar] Ejemplo de definicin de VLAN

Imaginemos que en nuestra empresa tenemos una LAN corporativa con un rango de direcciones IP tipo 172.16.1.XXX. Se da el caso de que tenemos asignadas las casi 255 direcciones que como mximo nos permite el mismo y adems notamos cierta saturacin en la red. Una fcil solucin a este problema sera crear unas cuantas VLAN por medio de un switch o conmutador de nivel 3. Podemos asignar una VLAN a cada departamento de la empresa, as tambin controlamos que cada uno sea independiente (o no) del resto: VLAN1: Contabilidad. Direcciones 172.16 .2.XXX VLAN2: Compras. Direcciones 172.16.3.XXX VLAN3: Distribucin. Direcciones 172.16.4.XXX etc. De esta forma liberamos direcciones de nuestra red origen 172.16.1.XXX pasndolas a las distintas VLAN que hemos creado. Gracias al switch de nivel 3 podremos gestionar la visibilidad entre las distintas VLAN y notaremos una mejora en el rendimiento de la red ya que las difusiones o broadcast de cada VLAN slo llegarn a los equipos conectados a la misma.

[editar] Gestin de la pertenencia a una VLAN

Las dos aproximaciones ms habituales para la asignacin de miembros de una VLAN son las siguientes: VLANes estticas y VLANes dinmicas Las VLANes estticas tambin se denominan VLANes basadas en el puerto. Las asignaciones en una VLAN esttica se crean mediante la asignacin de los puertos de un switch o conmutador a dicha VLAN. Cuando un dispositivo entra en la red, automticamente asume su pertenencia a la VLAN a la que ha sido asignado el puerto. Si el usuario cambia de puerto de entrada y necesita acceder a la misma VLAN, el

administrador de la red debe cambiar manualmente la asignacin a la VLAN del nuevo puerto de conexin en el switch. En las VLANes dinmicas, la asignacin se realiza mediante paquetes de software tales como el CiscoWorks 2000. Con el VMPS (acrnimo en ingls de VLAN Policy Server o Servidor de Directivas de la VLAN), el administrador de la red puede asignar los puertos que pertenecen a una VLAN de manera automtica basndose en informacin tal como la direccin MAC del dispositivo que se conecta al puerto o el nombre de usuario utilizado para acceder al dispositivo. En este procedimiento, el dispositivo que accede a la red, hace una consulta a la base de datos de miembros de la VLAN. S e puede consultar el software FreeNAC para ver un ejemplo de implementacin de un servidor VMPS.

[editar] VLAN basadas en el puerto de conexin

Con las VLANes con pertenencia basada en el puerto de conexin del switch, el puerto asignado a la VLAN es independiente del usuario o dispositivo conectado en el puerto. Esto significa que todos los usuarios que se conectan al puerto sern miembros de la misma VLAN. Habitualmente es el administrador de la red el que realiza las asignaciones a la VLAN. Despus de que un puerto ha sido asignado a una VLAN, a travs de ese puerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLAN sin la intervencin de algn dispositivo de capa 3. El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la existencia de la VLAN a la que pertenece dicho puerto. El dispositivo simplemente sabe que es miembro de una sub-red y que puede ser capaz de hablar con otros miembros de la sub-red simplemente enviando informacin al segmento cableado. El switch es responsable de identificar que la informacin viene de una VLAN determinada y de asegurarse de que esa informacin llega a todos los dems miembros de la VLAN. El switch tambin se asegura de que el resto de puertos que no estn en dicha VLAN no reciben dicha informacin. Este planteamiento es sencillo, rpido y fcil de administrar, dado que no hay complejas tablas en las que mirar para configurar la segmentacin de la VLAN. Si la asociacin de puerto-a-VLAN se hace con un ASIC (acrnimo en ingls de Application-Specific Integrated Circuit o Circuito integrado para una aplicacin especfica), el rendimiento es muy bueno. Un ASIC permite el mapeo de puerto-a-VLAN sea hecho a nivel hardware.