VLAN

Virtual Local Area Network

Profesor
Armando Jipsion

VLAN
Una VLAN es una agrupacin lgica de
dispositivos de red o de usuarios que no
se limita a un segmento de switch fsico.
Los dispositivos o usuarios de una VLAN
se pueden agrupar por funciones,
departamentos, aplicaciones, etc.,
independientemente de la ubicacin fsica
de su segmento.
2

Una VLAN crea un dominio de broadcast

nico que no se restringe a un segmento
fsico y se considera como una subred. La
configuracin de la VLAN se realiza en el
switch a travs del software. Las VLAN de
la actualidad han sido estandarizadas de
acuerdo con la norma IEEE 802.1Q, sin
embargo, las implementaciones varan de
un proveedor a otro.
3

Una LAN tpica se configura segn la

infraestructura fsica que conecta. Los usuarios
se agrupan segn su ubicacin en relacin con
el hub al que estn conectados y segn cmo el
cable se tiende al centro del cableado. El router
que interconecta cada hub compartido
normalmente proporciona segmentacin y
puede actuar como firewall de broadcast. Los
segmentos creados por los switches no lo
hacen. La segmentacin tradicional de las LAN
no agrupa a los usuarios segn su asociacin
de grupo de trabajo o necesidad de ancho de
banda. Por lo tanto, comparten el mismo
segmento y ocupan el mismo ancho de banda,
aunque los requisitos de ancho de banda varan
enormemente por grupo de trabajo o
departamento.
5

Las primeras implementaciones de VLAN ofrecan una

funcin de asignacin de puertos que estableca un dominio
de broadcast entre un grupo de dispositivos por defecto. Los
requisitos actuales de la red exigen la funcionalidad de VLAN
que cubre toda la red. Este enfoque de las VLAN permite
agrupar usuarios separados por grandes distancias fsicas en
topologas virtuales que abarcan toda la red. Las
configuraciones VLAN agrupan a los usuarios por asociacin
lgica, en lugar de por ubicacin fsica.
La mayora de las redes actualmente instaladas ofrecen una
segmentacin lgica muy limitada. Los usuarios se agrupan
normalmente segn las conexiones al hub compartido y los
puertos de router entre los hubs. Esta topologa brinda
segmentacin slo entre los hubs, que normalmente se
ubican en pisos separados, y no entre usuarios conectados al
mismo hub. Esto impone restricciones fsicas en la red y limita
la manera en que los usuarios se pueden agrupar. Algunas
arquitecturas de hub compartido tienen cierta capacidad de
agrupacin, pero limitan la forma en que se pueden configurar
los grupos de trabajo definidos lgicamente.
7

El grfico muestra la diferencia

entre la segmentacin LAN y
VLAN. Algunas de las
diferencias principales son las
siguientes:
Las VLAN funcionan a nivel de
Capa 2 y Capa 3 del modelo
de referencia OSI.
La comunicacin entre las
VLAN es implementada por el
enrutamiento de Capa 3.
Las VLAN proporcionan un
mtodo para controlar los
broadcasts de red.
El administrador de la red
asigna usuarios a una VLAN.
Las VLAN pueden aumentar la
seguridad de la red, definiendo
cules son los nodos de red
que se pueden comunicar
entre s.

Transporte de las VLANs a travs

de Backbones

Lo que es importante en cualquier arquitectura de VLAN es la

capacidad para transportar informacin de la VLAN entre switches
interconectados y los routers que residen en el backbone corporativo.
Estas capacidades de transporte:
eliminan las fronteras fsicas entre los usuarios
aumentan la flexibilidad de la configuracin de una solucin de VLAN
cuando los usuarios se desplazan
proporcionan mecanismos de interoperabilidad entre los
componentes del sistema de backbone.
El backbone normalmente funciona como el punto de reunin de
grandes volmenes de trfico. Tambin transporta informacin del
usuario final de la VLAN y su identificacin entre switches, routers y
servidores directamente conectados. Dentro del backbone, los
enlaces de alto ancho de banda y alta capacidad se seleccionan
normalmente para transportar el trfico en toda la empresa.
9

10

Conmutacin y Filtrado de la VLAN

Los switches son uno de los componentes principales de las
comunicaciones de VLAN. Cada switch tiene la
inteligencia de tomar decisiones de filtrado y envo por
trama, basndose en las mtricas de VLAN definidas por
los administradores de red. El switch tambin puede
comunicar esta informacin a otros switches y routers
dentro de la red.
Los enfoques ms comunes para agrupar lgicamente los
usuarios en VLAN diferentes son el filtrado de trama y la
identificacin de trama (etiquetado de trama). Ambas
tcnicas examinan la trama cuando es recibida o enviada
por el switch. Basadas en el conjunto de normas definidas
por el administrador, estas tcnicas determinan dnde la
trama se debe enviar, filtrar o hacer broadcast. Estos
mecanismos de control pueden ser administrados
centralmente (con software de administracin de red) y se
implementan con facilidad en toda la red.
11

12

Filtrado de Trama
El filtrado de trama examina informacin
especfica acerca de cada trama. Se desarrolla
una tabla de filtrado para cada switch; esto
proporciona un alto nivel de control
administrativo porque puede examinar muchos
atributos de cada trama. Segn la sofisticacin
del switch LAN, puede agrupar los usuarios
segn las direcciones de control de acceso al
medio (MAC) de una estacin o tipo de
protocolo de capa de red. El switch compara las
tramas que filtra con las entradas de tabla, y
toma las medidas apropiadas segn las
entradas.
13

14

Rotulacin de Tramas

Al principio, las VLAN eran basadas en filtros y agrupaban a

los usuarios segn una tabla de filtrado. Este modelo no era
muy escalable, porque cada trama deba referirse a una
tabla de filtrado. El etiquetado de trama asigna de forma
exclusiva un identificador de VLAN a cada trama. Los
identificadores de VLAN son asignados a cada VLAN en la
configuracin de switch por el administrador del switch. Esta
tcnica fue seleccionada por el grupo de estndares del
Instituto de ingeniera elctrica y electrnica (IEEE) debido a
su escalabilidad. El etiquetado de trama est obteniendo
reconocimiento como el mecanismo troncal estndar. En
comparacin con el etiquetado de trama, puede ofrecer una
solucin ms escalable para la implementacin de las
VLAN, que se puede aplicar a nivel de todo el campus. IEEE
802.1q establece que el etiquetado de trama es la manera
de implementar las VLAN.
15

El etiquetado de trama de VLAN es un enfoque

que se ha desarrollado especficamente para las
comunicaciones conmutadas. El etiquetado de
trama coloca un identificador nico en el
encabezado de cada trama a medida que se
enva por todo el backbone de la red. El
identificador es comprendido y examinado por
cada switch antes de enviar cualquier broadcast
o transmisin a otros switches, routers o
dispositivos de estacin final. Cuando la trama
sale del backbone de la red, el switch elimina el
identificador antes de que la trama se transmita
a la estacin final objetivo. La identificacin de
trama funciona a nivel de Capa 2 y requiere
poco procesamiento o sobrecarga
16
administrativa.

17

Mtodos de Asignacin de VLAN

Poltica de Puertos: Le brinda al administrador
de redes la habilidad de asignar conexin a red
basndose en puertos especficos del switch.
Esto es ideal para ser usado en casos de
conectividad de backbones.
Poltica de MAC address: Provee un alto grado
de movilidad y seguridad. Si el MAC address
coincide con la poltica de la VLAN, el
dispositivo puede utilizar la red, en caso
contrario, el mismo quedara deshabilitado en
ese segmento de red.
Poltica Network Address: Los puertos del
switch deben ser configurados por las
direcciones de red de los clientes.
18

VLAN de Puerto Central

En las VLAN de puerto central, a todos los

nodos conectados a puertos en la misma VLAN
se les asigna el mismo identificador de
VLAN. El grfico muestra la pertenencia a la
VLAN por puerto, lo que facilita el trabajo del
administrador y hace que la red sea ms
eficiente porque:
Los usuarios se asignan por puerto.
Las VLAN son de fcil administracin.
Proporciona mayor seguridad entre las VLAN.
Los paquetes no se "filtran" a otros dominios.
19

20

VLAN Estticas
Las VLAN estticas son puertos en un switch
que se asignan estticamente a una VLAN.
Estos puertos mantienen sus configuraciones de
VLAN asignadas hasta que se cambien. Aunque
las VLAN estticas requieren que el
administrador haga los cambios, este tipo de red
es segura, de fcil configuracin y monitoreo.
Las VLAN estticas funcionan bien en las redes
en las que el movimiento se encuentra
controlado y administrado.
21

22

VLAN Dinmicas
Las VLAN dinmicas son puertos en un switch que pueden
determinar automticamente sus asignaciones de VLAN. Las
funciones de las VLAN dinmicas se basan en las direcciones MAC,
direccionamiento lgico o tipo de protocolo de los paquetes de datos.
Cuando una estacin se encuentra inicialmente conectada a un
puerto de switch no asignado, el switch correspondiente verifica la
entrada de direcciones MAC en la base de datos de administracin
de la VLAN y configura dinmicamente el puerto con la configuracin
de VLAN correspondiente. Los principales beneficios de este
enfoque son una necesidad de administracin menor en el centro de
cableado, cuando se agrega o desplaza un usuario y la notificacin
centralizada cuando se agrega un usuario no reconocido en la red.
Normalmente, se necesita una mayor cantidad de administracin en
un primer momento para configurar la base de datos dentro del
software de administracin de la VLAN y para mantener una base de
datos exacta de todos los usuarios de la red.
23

24

Protocolo de rbol de Extensin

La funcin principal del protocolo Spanning Tree
es permitir rutas conmutadas/puenteadas
duplicadas sin incurrir en los efectos de latencia
de los loops en la red. Los puentes y los
switches toman sus decisiones de envo para
tramas de broadcast nicas tomando como
base la direccin MAC destino de la trama. Si no
se conoce la direccin MAC, el dispositivo
inunda la trama desde todos los puertos e
intenta alcanzar el destino deseado. Tambin lo
hace para todas las tramas de broadcast.
25

El algoritmo Spanning Tree, implementado por

el protocolo Spanning Tree, evita los loops
calculando una topologa de red de Spanning
Tree estable. Al crear redes tolerantes a las
fallas, una ruta libre de loop debe existir entre
todos los nodos Ethernet de la red. El algoritmo
Spanning Tree se utiliza para calcular una ruta
libre de loops. Las tramas Spanning Tree,
denominadas unidades de datos del protocolo
puente (BPDU), son enviadas y recibidas por
todos los switches de la red a intervalos
regulares y se utilizan para determinar la
topologa Spanning Tree.
26

Un switch utiliza el protocolo Spanning

Tree en todas las VLAN basadas en
Ethernet y Fast Ethernet. El protocolo
Spanning Tree detecta y elimina loops
colocando algunas conexiones en modo
de espera, que se activa en caso de una
falla de conexin activa. Una instancia
separada del protocolo Spanning Tree se
ejecuta dentro de cada VLAN configurada,
asegurando las topologas Ethernet que
cumplen con los estndares de la industria
en toda la red.
27

28

Los estados del protocolo Spanning Tree

son los siguientes:
Bloquear: Ninguna trama enviada, se
escuchan BPDU
Escuchar: Ninguna trama enviada,
escuchar tramas.
Aprender: Ninguna trama se enva,
aprender direcciones.
Enviar: Tramas enviadas, aprender
direcciones.
Desactivado: Ninguna trama enviada, no
se escuchan BPDU
29

El estado para cada VLAN es establecido

inicialmente por la configuracin y luego modificado
por el proceso de protocolo Spanning Tree. Se
puede determinar el estado, costo y prioridad de los
puertos y las VLAN utilizando el comando show
spantree. Despus de que se determina el estado
puerto a VLAN, el Protocolo Spanning Tree
determina si el puerto enva o bloquea las tramas.
Los puertos se pueden configurar para entrar
directamente en el modo de envo del protocolo
Spanning Tree cuando se realiza una conexin, en
lugar de seguir la secuencia habitual de bloqueo,
aprendizaje y luego envo. La capacidad para pasar
rpidamente del modo Bloquear al modo Enviar en
lugar de atravesar los estados de puerto de
transicin resulta muy til en situaciones donde se
requiere el acceso inmediato a un servidor.
30

Extendiendo las VLANs

Para extender las VLANs a travs de
diferentes switches, un enlace trunk debe
ser implementado, interconectando los
switches. Este enlace trunk es a menudo
ms rpidos que las mismas VLANs.
100 Mbps
VLAN

VLAN
Trunk
VLAN
100 Mbps

1000 Mbps
(1) Gbps

VLAN
31

Asuma que usted tiene un enlace entre puertos de

100 Mbps de dos switches. Note que estos puertos
son miembros de la VALN 1 en cada switch. Por
defecto, sin una configuracin adicional, estos puertos
actan como un enlace trunk entre estos dos
switches; sin embargo estos puertos solamente pasan
trficos asociados a la VLAN 1. Este tipo de enlace se
conoce como enlace de acceso, es opuesto a un
enlace trunk que es utilizados para mltiples VLANs.

7x 8x 9x 10x 11x 12x

1x 2x 3x 4x 5x 6x
A

1x 2x 3x 4x 5x 6x
B

C
789101112
A 123456

Enlace de
acceso

Ethernet

Ethernet

VLAN 2
7x 8x 9x 10x 11x 12x

7x 8x 9x 10x 11x 12x

1x 2x 3x 4x 5x 6x
A

1x 2x 3x 4x 5x 6x
B

789101112
A 123456

VLAN 1

7x 8x 9x 10x 11x 12x

C

32

Ejemplo de VLAN

33

Switch0>enable
Switch0#configure terminal
Switch0(config)#interface fa 2/0
Switch0(config-if)#switchport access vlan 2
Switch0(config-if)#exit
Switch0(config)#interface fa 3/0
Switch0(config-if)#switchport access vlan 2
Switch0(config-if)#exit
Switch0(config)#exit
Switch1>enable
Switch1#configure terminal
Switch1(config)#interface fa 2/0
Switch1(config-if)#switchport access vlan 2
Switch1(config-if)#exit
Switch1(config)#interface fa 3/0
Switch1(config-if)#switchport access vlan 2
Switch1(config-if)#exit
Switch1(config)#exit

34

VLAN Trunking

35

---------------------------Creacion de las Vlans

---------------------------Switch0>enable
Switch0#conf t
Switch0(config)#interface f 1/1
Switch0(config-if)#switchport ac vlan 2
Switch0(config-if)#exit
Switch0(config)#interface f 2/1
Switch0(config-if)#switchport ac vlan 2
Switch0(config-if)#exit
Switch0(config)#interface f 3/1
Switch0(config-if)#switchport ac vlan 3
Switch0(config-if)#exit
Switch0(config)#interface f 4/1
Switch0(config-if)#switchport ac vlan 3
Switch0(config-if)#exit
----------------------------------CREACION DEL TRUNKING
-----------------------------------Switch1(config)#interfac f 0/1
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#switchport trunk allowed vlan 2
Switch1(config-if)#switchport trunk allowed vlan add 3
Switch1(config-if)#exit

36

Switch1>enable
Switch1#configure terminal
Switch1(config)#interface f 1/1
Switch1(config-if)#switchport ac vlan 3
Switch1(config-if)#exit
Switch1(config)#inter f 2/1
Switch1(config-if)#switchport ac vlan 3
Switch1(config-if)#exit
Switch1(config)#interface f 3/1
Switch1(config-if)#switchport ac vlan 2
Switch1(config-if)#exit
Switch1(config)#int f 4/1
Switch1(config-if)#switchport ac vlan 2
Switch1(config-if)#exit
Switch0(config)#interface f 0/1
Switch0(config-if)#switchport mode trunk
Switch0(config-if)#switchport trunk allow vlan 2
Switch0(config-if)#switchport trunk allow vlan add 3
Switch0(config-if)#exit
37

VLANs Ruteadas

38

----------------------------Router0
----------------------------interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 10.10.10.1 255.255.255.0
exit
interface FastEthernet0/0.3
encapsulation dot1q 3
ip address 10.10.11.1 255.255.255.0
exit
---------------------------Switch0
---------------------------interface FastEthernet1/1
switchport access vlan 2
exit
interface FastEthernet2/1
switchport access vlan 3
exit
39