LAN switches L2 y L3 - VLANs - Trunk

802.1q

LogiocoPablo

CardozoGriselda

Losdispositivosdeinterconexinsonusadosparainterconectarlasredesenlasdiferentes
capasdered.Losdispositivospuedenfuncionaren:

Repetidores

Unodeloselementosdeinterconexinderedeseselrepetidor.

LanormaIEEE802.3defineelrepetidorcomoundispositivousadoparaextenderlalongitud,
topologaointerconexindelmediofsico,msalldeloslmitesimpuestosporunsimple
segmento,realizandofuncionestalescomorestaurarlaamplitudyformadelaseal.Portanto,
elrepetidoractasolamentesobrelacapafsicadelmodeloOSIysunicafuncineslade
regenerarlasealpropagadaporelmedio.

Comolosrepetidoresnodiscriminanentrelospaquetesgeneradosenunsegmentoylosque
songeneradosenotrosegmento,hacequelospaqueteslleguenatodoslosnodosdelared.
Debidoaestoexistenmsriesgodecolisinymsposibilidadesdecongestindelared.

Otrafuncindelosrepetidoresesmonitorizartodoslossegmentosconectadosparaverificar
quelaredfuncionacorrectamente.Cuandoalgofallaenundeterminadosegmento,porejemplo
seproduceunarotura,todoslossegmentosEthernetpuedenquedarinoperantes.Los
repetidoreslimitanelefectodeestosproblemas,alaseccindecablerota,"segmentando"la
red,desconectandoelsegmentoproblemticoypermitiendoalrestoseguirfuncionando
correctamente.Laaveradeunsegmentoenunaredpuntoapunto,habitualmente,slo
desactivarunordenador,loqueenunatopologadebusocasionaraladesactivacindetodos
losnodosdelsegmento.

hubs

Elhubesundispositivoquetienelafuncindeinterconectarlascomputadorasdeunaredlocal.
Sonmltiplesrepetidoresdepuerto.

Loshubsnodesempeanfuncionesderedtalescomodirigirlosdatossegnlasdirecciones.
Unrepetidorrecibeunasealdigitalylareenvaatodoslospuertosactivos.
TodoslossegmentosLANdelafigurapertenecenalmismodominiodecolisinesdecir,
cuandodosomsdispositivosenlossegmentosLANtransmitenalmismotiempo,habruna
colisin,entoncesseenvaunasealdeatascodiciendoalosdemsdispositivosqueno
puedenenviardatos.
Lautilizacindehubsparaproporcionaraccesoalaredaunamayorcantidaddeusuarios
reduceelrendimientoparacadausuario,yaquedebecompartirselacapacidadfijadelos
mediosentrecadavezmsdispositivos.
Losdispositivosconectadosquetienenaccesoamedioscomunesatravsdeunhubouna
seriedehubsconectadosdirectamenteconformanloquesedenominadominiodecolisiones.
Undominiodecolisionestambinsedenominasegmentodered.Porlotanto,loshubsy
repetidorestienenelefectodeaumentareltamaodeldominiodecolisiones.
Lainterconexindeloshubsformaunatopologafsicaquesedenominaestrellaextendida.La
estrellaextendidapuedecrearundominiodecolisionesnotablementeexpandido.


Data link layer switching / Conmutacin de capa

de enlace de datos (2)

Puentes y Switches LAN

Bridge
UnbridgealigualqueunhubsirveparainterconectarsegmentosderedesLAN.Unpuentede
redobridgeesundispositivodeinterconexinderedesdeordenadoresqueoperaenlacapa
2(niveldeenlacededatos)delmodeloOSI.
Lafiguradeabajomuestracmocuatrodepartamentospuedenserinterconectadosconun
bridge.Cuandolosdepartamentosseinterconectanmedianteunbridge,laredinterconectada
sedenominaLAN,ycadaunadelasporcionesdepartamentalesdelaredcomosegmento.
Cadasegmentoesundominiodecolisinaislado.

Losbridgespuedenresolvermuchosdelosproblemasquesufrenloshubs.
1. Permitencomunicacininterdepartamentalmientrasmantienenlosdominiosde
colisinaisladosparacadadepartamento.
2. PuedeninterconectardiferentestecnologasLAN
3. NohayunlmiterespectoaltamaodeunaLANenteora,utilizandobridges,esposible
construirunaLANqueabarquetodoelglobo

Encaminamientoyfiltradoenbridges
Filtradoeslacapacidaddeunbridgeparadeterminarsiunmarcodebeserremitidoaalguna
interfazosimplementedebeserdejado.Encaminamientoeslacapacidadparadeterminarlas
interfacesalasquesedebieradirigirunmarco,ydirigir,portanto,elmarcoaesasinterfaces.
Elfiltradoyencaminamientoenbridgesserealizanconunatabladebridge.

Dichatablacontieneentradasparaalguno(perononecesariamenteparatodos)delosnodos
deunaLAN.Unaentradaenlatabladebridgecontiene
ladireccinLANdelnodo
lainterfazdelbridgequeconducealnodo
elinstanteenquesecolocenlatablalaentradaparaelnodo


Paracomprendercomofuncionaelfiltradoyelencaminamientodebridge,supongamosqueun
marcoconunadireccindedestinoDDDDDDDDDDDDllegaalbridgeenlainterfaz1.El
bridgesefijaensutablaquelainterfazqueconducealadireccinDDDDDDDDDDDDes
Y.
siYesigual1,entonceselmarcoestllegandodeunsegmentodeLANquecontieneal
nodoconladireccinMACDDDDDDDDDDDD.Nohaynecesidadderemitirel
marcoaningunadelasdemsinterfaceselbridgerealizalafuncindefiltrado
desechandoelmarco.
siYesdistintode1,entonceselmarconecesitaserremitidoalsegmentodeLANunido
alainterfazY.Elbridgerealizasufuncinderemisinponiendoelmarcoenbferde
salidaqueprecedealainterfazY.

Estasreglassencillaspermitenaunbridgemantenerdominiosdecolisinseparadosparacada
unodelossegmentosLANconectadosasusinterfaces,mientraspermitequesecomuniquen
losdominios.

Autoaprendizaje

Unbridgetienelapropiedaddequesutablaseconstruyeautomticamente,dinmicamentey
autnomamente.Estacapacidadsellevaacabocomosigue:

1. Latablaestavacainicialmente.
2. Cuandounmarcollegaunadelasinterfacesyladireccindedestinodelmarconoest
enlatabla,entonceselbridgeremitecopiasdelmarcoalosbferesdesalidaque
precedenatodaslasdemsinterfaces.
3. Porcadamarcorecibido,elbridgealmacenaunsutabla(1)ladireccinLANenel
campodedireccindeorigendelmarco,(2)lainterfazdesdequelaquellegaelmarco,
y(3)eltiempoactual.DeestaformaelbridgeregistraensutablaelsegmentoLANenel
queresideelnodoemisor.SicadanododelaLANenvaeventualmenteunmarco,
entoncescadanodoserregistradoeventualmenteenlatabla.
4. Cuandounmarcollegaaunadelasinterfacesyladireccindedestinoestenlatabla,
entonceselbridgedifundeelmarcohacialainterfazapropiada.
 5. Elbridgeborraunadireccinenlatablasinosehanrecibidomarcosconesadireccin
comodireccindeorigendespusdeciertoperiododetiempo(tiempode
envejecimiento).

Deestaformaeladministradornonecesitaconfigurarlastablasdelbridgeenelmomentodela
instalacinocuandoseeliminaunhostdeunodelossegmentosLAN.Comolosbridgesson
deltipoconectaryfuncionar,seconocentambincomobridgestransparentes.

Spanning Tree Protocol (STP)

Esunprotocolodereddenivel2delmodeloOSI(capadeenlacededatos).Sufuncinesla
degestionarlapresenciadebuclesentopologasdereddebidoalaexistenciadeenlaces
redundantes(necesariosenmuchoscasosparagarantizarladisponibilidaddelasconexiones).
Elprotocolopermitealosdispositivosdeinterconexinactivarodesactivarautomticamente
losenlacesdeconexin,deformaquesegaranticelaeliminacindebucles.

Losbuclesocurrencuandohayrutasalternativashaciaunmismodestino(seaunamquinao
segmentodered).Estasrutasalternativassonnecesariasparaproporcionarredundanciayas
ofrecerunamayorfiabilidadalared,dadoqueencasodequeunenlacefalle,losotrospuede
seguirsoportandoeltrficodesta.Losproblemasaparecencuandoutilizamosdispositivosde
interconexindeniveldeenlace,comounpuentedered(bridge)ounconmutadordepaquetes
Cuandoexistenbuclesenlatopologadered,losdispositivosdeinterconexindenivelde
enlacededatosreenvanindefinidamentelastramasbroadcastymulticast,creandoasun
bucleinfinitoqueconsumetantoelanchodebandadelaredcomoCPUdelosdispositivosde
enrutamiento.Estoprovocaquesedegradeelrendimientodelaredenmuypocotiempo,
pudiendoinclusollegaraquedarinutilizable.
SilaconfiguracindeSTPcambia,osiunsegmentoenlaredredundantellegaaser
inalcanzable,elalgoritmoreconfiguralosenlacesyrestablecelaconectividad,activandounode
losenlacesdereserva.Sielprotocolofalla,esposiblequeambasconexionesestnactivas
simultneamente,loquepodrandarlugaraunbucledetrficoinfinitoenlaLAN.

Porqusonbuenaslastopologasredundantes?
La redundancia permite que las redes sean tolerantes a las fallas.
La redundancia en una red es necesaria para protegerla contra la prdida de conectividad
debido a la falla de un componente individual

Inconvenientes
Bucles de capa 2
Tormenta de Broadcast
Tramas duplicadas

El detonante es cuando entra en la red una nueva estacin de la cual los switches no saben su
ubicacin. Se genera un ciclo infinito de solicitudes broadcast entre los switches para tratar de
encontrar el equipo destino.

Secuencia de eventos. PC-1 enva datos a PC-2

Estado inicial: Ningn switch conoce la ubicacin de PC-1 ni PC-2
1.ElswitchArecibelatramaynoconocelaubicacindelPC2,entoncesemiteunmensaje
broadcast.
2.ElswitchesBrecibeelbroadcastyregistralaMACdelPC1enelpuerto1
3.ElswitchCrecibeelbroadcastyregistralaMACdelPC1enelpuerto1

4.ComoBnoconocelaMACdelPC2hacetambinunbroadcastportodoslospuertosmenos
elpuertoporelquerecibilatrama
5.ComoCnoconocelaMACdelPC2hacetambinunbroadcastportodoslospuertosmenos
elpuertoporelquerecibilatrama
6.CrecibeentoncesunnuevomensajeindicandoquelaMACdelPC1laencuentraporel
puerto2.
7.BrecibetambinelnuevomensajeindicandoquelaMACdelPC1estaenelpuerto2.
8.DenuevoCyBcontestanaesenuevobroadcastperoestavezelmensajellegaaA.
9.ArecibeelbroadcastindicandoquelaMACdelPC1laencuentraprimeroporelpuerto1y
luegoporelpuerto2.
10.EnalgnmomentoelswitchBrecibecontestacinalmensajebroadcastdesdeelPC2y
encuentralaubicacinylapropaga,peroesemensajeesalteradovariasvecesenlosotros
switchesdebidoalosmltiplesmensajesbroadcastquecirculanporlared.

Alcabodeuntiempo,laredsesaturademensajesbroadcastysevuelveindisponible.

LasolucinalatormentadebroadcastesutilizarSTP.STPesunprotocoloutilizadoparaevitar
losbuclesenredescontopologaredundante.Sufuncionamientosebasaenbloqueardeforma
lgicalosenlacesredundantesylevantandoelbloqueocuandoseproduzcancadasenlos
enlacesnobloqueados.

Funcionamiento de STP

Paso 1. Eleccin del Bridge Raz

CadaswitchtieneasignadounBridgeID.ElswitchconmenorBridgeIDeselegidocomo
Bridgerootopuenteraz.

A continuacin se muestra un escenario de tres switches, SW A, SW B y SW C, cuyas

direcciones MAC son aaaa.aaaa.aaaa, bbbb.bbbb.bbbb y cccc.cccc.cccc respectivamente.
Dado que la prioridad por defecto es la misma para todos los switches, SW A sera elegido
comopuenteraz.

Paso 2. Eleccin del Root-port

Luegodeseleccionarelrootbridge,cadaswitchdebeencontrarelmejorcaminoaeseroot.
Esecaminoeselrootport.
Elcostedelosenlacesdependedelavelocidaddelosmismos,yvieneespecificadopara
EthernetporlaIEEEenlasiguientetabla.

 AligualqueenelcasodelBridgeID,unmenorvalornumricoimplicamayorprioridad.De
estemodo,sitodoslosenlacesdelescenariotienenuncostode19,SWBelegirelenlace
directoaSWA,yaqueelcostodeenlaceesmenorquesivaatravsdeSWC

Sin embargo, si elenlace entre SW B ySW Atieneuncostode 100ylosotrosdossiguen
siendode19,SWBelegircomocaminoparallegaralRootBridgelarutapasandoatravs
deSWC,yaque19+19<100.

Porltimo,vamosaverqusucedecuandounenlacesecae.Evidentemente,laredtieneque
seguirfuncionando(sino,paraququeremosredundancia?),porloquelosswitches
recalcularnlamejorrutahastaelRootBridgeignorandoelenlacecado.

Switch

Losswitchsonesencialmentebridgesmultiinterfaz.Comolosbridges,reenvanyfiltranmarcos
utilizandolasdireccionesdedestinoLAN,yconstruyenautomticamentetablasdedifusin
utilizandolasdireccionesorigendelosmarcosqueatraviesanporellos.
Losswitchofrecenunaconexinderedmsdirectaentrelosequiposdeorigenydestino.
Cuandounswitchrecibeunpaquetededatos,creaunaconexininternaseparada,o
segmento,entredosdesuspuertoscualquierayreenvaelpaquetededatosalpuerto
apropiadodelequipodedestinonicamente,basadoenlainformacindelacabeceradecada
paquete.Estoaslalaconexindelosdemspuertosydaaccesoalosequiposorigeny
destinoatodoelanchodebandadeunared.
Ladiferenciamsimportanteentreunbridgeyunswitchesquelosbridgesnormalmente
tienenunnmeropequeodeinterfaces(dedosacuatro),mientrasquelosswitchespueden
llegaratenerdocenasdeinterfaces.
Otradiferenciaimportanteentreunbridgeyunswitchesquelamayoradestostrabaja
tambinenunmodofullduplex,esdecir,puedenenviaryrecibirmarcosalmismotiempo
sobrelamismainterfaz.

Losswitchesbasadosenpaquetessuelenusarunodelossiguientestresmtodosparaenrutar
eltrfico:

Mtododecorte
Almacenamientoyenvo
Libredefragmentos

LosswitchespormtododecorteleenladireccinMactanprontocomoelswitchdetectael
paquete.Despusdealmacenarlosprimeros6bytesquecomponenlainformacinacercade
ladireccin,inmediatamentecomienzaaenviaralnododestino,aunqueelrestodelpaquete
estentrandoalswitch.

Unswitchqueutilizaalmacenamientoyenvoguardarelpaqueteenteroenelbuffery
verificarquenoexistanerroresCRCuotrosproblemas.Sielpaquetetieneunerror,selo
descarta.Deotromodo,elswitchverificaladireccinMACyenvaelpaquetealnododestino.
Aunqueestemtodoevitaqueseconmutentramasdaadasaotrossegmentosdelared,
provocaunamayorlatencia.Debidoalalatenciaprovocadaporelmtododealmacenamientoy
envo,porlogeneral,sloseloutilizaenentornosproclivesaproducirerrores,comolos
entornosconaltasprobabilidadesdeinterferenciaelectromagntica.
Muchosswitchescombinanambosmtodosutilizandoelmtododecortehastaalcanzarun
determinadoniveldeerrores,luegocambianaalmacenamientoyenvo.Muypocosswitches
sonestrictamentepormtododecorteyaqueestemtodonoproporcionacorreccinde
errores.

Unmtodomenoscomneslibredefragmentos.Funcionacomoelmtododecortepero
almacenalosprimeros64bytesdelpaqueteantesdeenviarlo.Laraznparaelloesquela
mayoradeloserroresycolisionestienenlugardurantelos64bytesinicialesdeunpaquete.

Conmutacin en la capa 3 - capa de Red

ROUTERS

Unrouteresundispositivoqueproporcionaconectividadanivelderedoniveltresenelmodelo
OSI.Sufuncinprincipalconsisteenenviaroencaminarpaquetesdedatosdeunaredaotra,
esdecir,interconectarsubredes,entendiendoporsubredunconjuntodemquinasIPquese
puedencomunicarsinlaintervencindeunencaminador(mediantebridges),yqueportanto
tienenprefijosdereddistintos.
LaconmutacindelaCapa3sebasaenlasdireccionesdelacapaderedoenlasdirecciones
IP.AltrabajarenlaCapa3elrouterpuedetomardecisionesbasadasengruposdedirecciones
dered(Clases)encontraposicinconlasdireccionesMACdeCapa2individuales.
LasfuncionesylafuncionalidaddelosswitchesdeCapa3ylosrouterssonmuyparecidas.La
nicadiferenciaimportanteentrelaoperacindeconmutacindepaquetesdeunrouterydeun
switchdeCapa3eslaimplementacinfsica.Enlosroutersdepropsitogeneral,la
conmutacindepaquetesseproduceenelsoftware,mientrasqueunswitchdeCapa3realiza
elenvodepaquetespormediodelhardwaredecircuitointegradodeaplicacinespecfica
(ASIC).

Funcionamiento
Elfuncionamientobsicodeunrouter(enespaol'enrutador'o'encaminador'),comose
deducedesunombre,consisteenenviarlospaquetesderedporelcaminoorutams
adecuadaencadamomento.Paraelloalmacenalospaquetesrecibidosyprocesala
informacindeorigenydestinoqueposeen.Enbaseaestainformacinloreenvanaotro
encaminadoroalhostfinalenunaactividadquesedenomina'encaminamiento'.Cada
encaminadorseencargadedecidirelsiguientesaltoenfuncindesutabladereenvootabla
deencaminamiento,lacualsegeneramedianteprotocolosquedecidenculeselcaminoms
adecuadoocorto,comoprotocolosbasadoenelalgoritmodeDijkstra.

Porserloselementosqueformanlacapadered,tienenqueencargarsedecumplirlasdos
tareasprincipalesasignadasalamisma:

 Reenvodepaquetes(Forwarding):cuandounpaquetellegaalenlacedeentradade
unencaminador,stetienequepasarelpaquetealenlacedesalidaapropiado.Una
caractersticaimportantedelosencaminadoresesquenodifundentrficodifusivo.
Encaminamientodepaquetes(routing):medianteelusodealgoritmosde
encaminamientotienequesercapazdedeterminarlarutaquedebenseguirlos
paquetesamedidaquefluyendeunemisoraunreceptor.

Portanto,debemosdistinguirentrereenvoyencaminamiento.Reenvoconsisteentomarun
paqueteenlaentradayenviarloporlasalidaqueindicalatabla,mientrasquepor
encaminamientoseentiendeelprocesodehaceresatabla.

Puerta de enlace o gateway

Unapasarela,puertadeenlaceogatewayesundispositivoquepermiteinterconectarredes
conprotocolosyarquitecturasdiferentesatodoslosnivelesdecomunicacin.Supropsitoes
traducirlainformacindelprotocoloutilizadoenunaredinicialalprotocolousadoenlaredde
destino.

Elgatewayopuertadeenlaceesnormalmenteunequipoinformticoconfiguradoparadotar
alasmquinasdeunaredlocal(LAN)conectadasaldeunaccesohaciaunaredexterior,
generalmenterealizandoparaellooperacionesdetraduccindedireccionesIP(NAT:Network
AddressTranslation).Estacapacidaddetraduccindedireccionespermiteaplicarunatcnica
llamadaIPMasquerading(enmascaramientodeIP),usadamuyamenudoparadaraccesoa
InternetalosequiposdeunaredderealocalcompartiendounanicaconexinaInternet,ypor
tanto,unanicadireccinIPexterna.

LadireccinIPdeungateway(opuertadeenlace)amenudoseparecea192.168.1.1
192.168.0.1yutilizaalgunosrangospredefinidos,127.x.x.x,10.x.x.x,172.x.x.x,192.x.x.x,que
englobanosereservanalasredeslocales.Ademssedebenotarquenecesariamenteun
equipoquehagadepuertadeenlaceenunared,debetener2tarjetasdered.

Losgatewaysincluyenlos7nivelesdelmodelodereferenciaOSI,yaunquesonmscarosque
unbridgeounrouter,sepuedenutilizarcomodispositivosuniversalesenunaredcorporativa
compuestaporungrannmeroderedesdediferentestipos.Tienenmayorescapacidadesque
losroutersylosbridgesporquenosloconectanredesdediferentestipos,sinoquetambin
aseguranquelosdatosdeunaredquetransportansoncompatiblesconlosdelaotrared.
Conectanredesdediferentesarquitecturasprocesandosusprotocolosypermitiendoquelos
dispositivosdeuntipoderedpuedancomunicarseconotrosdispositivosdeotrotipodered.

Alrecibirlosdatosencapsuladosdeunprotocolo,losgatewaysseencargandeir
desencapsulndoloshastaelnivelmsalto,paraluegoprocederaencapsularlosdatosenel
otroprotocolo,yendodesdeelnivelmssuperioralnivelmsinferior,paradejarnuevamentela
informacinenlaredtrascompletarselatraduccin.Segneltipodegatewayvariarelnivel
msbajodelacapaOSIenelquetrabajar,peroengeneraleselniveldetransporteoelfsico.
Eseeselmotivoporelcualmuchaspuertasdeenlacepuedendesempearademsfunciones
deencaminamiento.

EnentornosdomsticosseusanlosroutersADSLcomogatewaysparaconectarlaredlocal
domsticaconlaredqueesInternet,sibienestapuertadeenlacenoconecta2redescon
protocolosdiferentes,squehaceposibleconectar2redesindependienteshaciendousodelya
mencionadoNAT.

Vlan(VirtualLan)

Historia

Aprincipiosdeladcadade1980Ethernetyaeraunatecnologaconsolidadaqueofrecauna
velocidadde1Mbits/s,muchomayorquegranpartedelasalternativasdelapoca.
EldiseodeEthernetnoofrecaescalabilidad,esdecir,alaumentareltamaodelared
disminuyensusprestacionesoelcostosehaceinasumible.ConectarmltiplesredesEthernet
eraporaquelentoncescomplicado,yaunquesepodautilizarunrouterparalainterconexin,
estoserancarosyrequeraunmayortiempodeprocesadoporpaquetegrande,aumentandoel
retardo.
ParasolucionarestosproblemasseinventelswitchEthernetconautoaprendizaje,dispositivo
deconmutacindetramasdenivel2.UsarswitchesparainterconectarredesEthernetpermite
separardominiosdecolisin,aumentandolaeficienciaylaescalabilidaddelared.Unared
toleranteafallosyconunnivelaltodedisponibilidadrequierequeseusentopologas
redundantes.Elprincipalinconvenientedeestatopologalgicadelaredesquelosswitches
centralesseconviertenencuellosdebotella,pueslamayorpartedeltrficocirculaatravsde
ellos.
ParaaliviarlasobrecargadelosswitchesinventandoLANvirtualesalaadirunaetiquetaalas
tramasEthernetconlaquediferenciareltrfico.AldefinirvariasLANvirtualescadaunadeellas
tendrsupropiospanningtreeysepodrasignarlosdistintospuertosdeunswitchacadauna
delasVLAN.ParaunirVLANqueestndefinidasenvariosswitchessepuedecrearunenlace
especialllamadotrunk,porelquefluyetrficodevariasVLAN.LosswitchessabrnaquVLAN
pertenececadatramaobservandolaetiquetaVLAN(definidaenlanormaIEEE802.1Q).

UnaVLANesunagrupamientolgicodeestacionesydispositivosdered.LasVLANsepueden
agruparporfuncinlaboralodepartamento,sinimportarlaubicacinfsicadelosusuarios.El
trficoentrelasVLANestrestringido.Losswitchesypuentesenvantrficounicast,multicasty
broadcastsloensegmentosdeLANqueatiendenalaVLANalaqueperteneceeltrfico.


VentajasdelasVLANs

Seguridad: Los datos de dentro de una VLAN no pueden ser accedidos desde
otrasVLANs,pordefecto.
Reduccin de costes: EL uso de la red es ms eficiente, por lo que no es
necesarioadquirirnuevoequipamientomspotente.
Mejor rendimiento: Al disminuirse el tamao de los dominios de broadcast, se
reduceeltrficoinnecesarioquepuedasobrecargarlared.
Mejor administracin: Agrupar a los usuarios comunes en una misma VLAN
permitequesuadministracinestmscontroladayordenada.


UnaVLANesundominiodebroadcastquesecreaenunoomsswitches.Eldiseodereddondese
agrupanlosequiposen3VLANrequierendetresdominiosdebroadcastseparados.

El router enruta el trfico entre las VLAN mediante enrutamiento de Capa 3. El switch enva
tramasalasinterfacesdelroutercuandosepresentanciertascircunstancias:

Siesunatramadebroadcast
SiestenlarutaaunadelasdireccionesMACdelrouter

Como decia una VLAN es una agrupacin de puertos en un switch o ms para formar
segmentos de red Ethernet diferentes. Por eso el trfico en los nodos de una VLAN no pasa
hacia otra VLAN sin que haya un dispositivo de capa 3 (router o Switch de capa 3) que
interconectelasVLANS


LacantidaddeVLANenunswitchvarasegndiversosfactores:

Patronesdetrfico
Tiposdeaplicaciones
Necesidadesdeadministracindered
Aspectoscomunesdelgrupo

VLANdenivel3
Lacabeceradenivel3seutilizaparamapearlaVLANalaquepertenece.EnestetipodeVLAN
sonlospaquetes,ynolasestaciones,quienespertenecenalaVLAN

LaVLANbasadaenladireccinderedconectasubredessegnladireccinIPde
origendelosdatagramas.Estetipodesolucinbrindagranflexibilidad,enlamedidaen
quelaconfiguracindelosconmutadorescambiaautomticamentecuandosemueve
unaestacin.Encontrapartida,puedehaberunaligeradisminucindelrendimiento,ya
quelainformacincontenidaenlospaquetesdebeanalizarsedetenidamente.

laVLANbasadaenprotocolopermitecrearunaredvirtualportipodeprotocolo(por
ejemplo,TCP/IP,IPX,AppleTalk,etc.).Porlotanto,sepuedenagrupartodoslosequipos
queutilizanelmismoprotocoloenlamismared.

MACbasedVLANs(VLANlevel2)
SeespecificaqupuertosdelswitchpertenecenalaVLAN,losmiembrosdedichaVLANson
losqueseconectenaesospuertos

LaasignacinserealizamediantepaquetesdesoftwaretalescomoelCiscoWorks2000.Con
elVMPS(acrnimoeninglsdeVLANManagementPolicyServeroServidordeGestinde
DirectivasdelaVLAN),eladministradordelaredpuedeasignarlospuertosquepertenecena
unaVLANdemaneraautomticabasndoseeninformacintalcomoladireccinMACdel
dispositivoqueseconectaalpuertooelnombredeusuarioutilizadoparaaccederaldispositivo.
Enesteprocedimiento,eldispositivoqueaccedealared,haceunaconsultaalabasededatos
demiembrosdelaVLAN.SepuedeconsultarelsoftwareFreeNACparaverunejemplode
implementacindeunservidorVMPS.

PortbasedVLAN(VLANlevel1)

Las VLAN estticas tambin se denominan VLAN basadasen el puerto.Las asignaciones en

una VLAN esttica se crean mediante la asignacin de los puertos de un switch a dicha VLAN.
Cuando un dispositivo entra en la red, automticamente asume supertenencia a la VLAN a la
que ha sido asignado el puerto. Si el usuario cambiadepuertodeentradaynecesitaaccedera
la misma VLAN, el administrador de la red debe cambiar manualmentelaasignacinalaVLAN
delnuevopuertodeconexinenelswitch.

LaspartesnecesariasparaarmarunaVLAN:

NombredeVLAN
IdentificadordeVLAN
Untaggedport
IdentificadordepuertoVLAN

NombredeVLAN

ElnombredelaVLANcorrespondealnombrequeselevaaasignarenlared.Es
recomendablequecadaVLANreflejeunaseccion.

IdentificadorVLAN

EsunnmeronicoqueseleasignaaunaVLAN.Estenmero(VID)esnicoporcadaVLAN
yeselidentificadorenelswitchyenlareddelaVLAN.

SiunaVLANestaenunmismoswitchseleasignaunVIDdistintoalasotrasVLANsdelared.
SIsetienenVLANsendiferentesswitchesseleasignaaunaVLANelmismoVIDenlosdos
switches.LosswitchessoncapacesdereconocerlastramasdeunaVLANaunqueesteen
variosswitches.

IdentificadordepuertoVLAN
TodaslasredestienenquetenerunidentificadordepuertoVLAN(PVID).Elswitchasociauna
tramaconelPVID.EntoncesenvalatramaalosPVIDasociadosaunaVLAN.Todoslos
puertosdeunaVLANtienenquetenerenelmismonmero.ElPVIDcoincideconelVID.

SisecreaunaVLANenunswitchyseleasignaelVID5.Todoslospuertosquevanaestaren
lared5enelswitchseleasignaelPVID5.

Untagedport

Lospuertos'untagged'sonlospuertosdondeelswitchesperaquelospaquetesnoestnmarcadosconun
nmerodeVLAN.ElswitchasignalaVLANalospaquetesqueentranporesepuerto.Comonotienenuna
etiqueta(tag)deVLAN,lospuertos'untagged'sepuedenasignarnicamenteaunaVLAN.Normalmentese
usancomopuertosdeacceso,paraconectarequiposterminales.

VLANstroncales
UnaVLANtroncalesunenlacedecapa2entredosswitchespordondepasarnlospaquetes
de,pordefecto,todaslasVLANs.

Demanerapredeterminada,unenlacetroncalaceptareltrficodetodaslasVLANs,
peroestolopodemosrestringirindicandonicamentelasVLANsquequeremosque
atraviesenesetroncal

El Vlan trunking protocol (VTP) proporciona un medio sencillo de mantener una
configuracin de VLAN trunk a travs de toda la red conmutada.

VTP

VTPesunprotocolodemensajesdenivel2usadoparaconfiguraryadministrarVLANsen
equiposCisco.PermitecentralizarysimplificarlaadministracinenundominodeVLANs,
pudiendocrear,borraryrenombrarlasmismas,reduciendoaslanecesidaddeconfigurarla
mismaVLANentodoslosnodos.

Una trama VTP incluye una cabecera VTP y un mensaje VTP. El contenido de ambos
depende del tipo de publicacin. La informacin VTP se inserta en el campo de datos de
una trama Ethernet.

la trama Ethernet es encapsulada en una trama 802.1Q tal

VTPoperaen3modosdistintos:

Servidor
Cliente
Transparente


Servidor:

Eselmodopordefecto.Desdelsepuedencrear,eliminaromodificarVLANs.Sucometidoes
anunciarsuconfiguracinalrestodeswitchesdelmismodominioVTPysincronizardicha
configuracinconladeotrosservidores,basndoseenlosmensajesVTPrecibidosatravsde
susenlacestrunk.Debehaberalmenosunservidor.SerecomiendaautenticacinMD5.

Cliente:

Enestemodonosepuedencrear,eliminaromodificarVLANs,tanslosincronizaresta
informacinbasndoseenlosmensajesVTPrecibidosdeservidoresenelpropiodominio.Un
clienteVTPsloguardalainformacindelaVLANparaeldominiocompletomientraselswitch
estactivado.UnreiniciodelswitchborralainformacindelaVLAN.

Transparente:

Desdeestemodotampocosepuedencrear,eliminaromodificarVLANsqueafectenalos
demsswitches.LainformacinVLANenlosswitchesquetrabajenenestemodoslose
puedemodificarlocalmente.SunombresedebeaquenoprocesalasactualizacionesVTP
recibidas,tanslolasreenvaalosswitchesdelmismodominio.

LosadministradorescambianlaconfiguracindelasVLANsenelswitchenmodoservidor.
Despusderealizarcambios,estossondistribuidosatodoslosdemsdispositivosenel
dominioVTPatravsdelosenlacespermitidoseneltrunk(VLAN1,pordefecto),loque
minimizalosproblemascausadosporlasconfiguracionesincorrectasylasinconsistencias.
LosdispositivosqueoperanenmodotransparentenoaplicanlasconfiguracionesVLANque
reciben,nienvanlassuyasaotrosdispositivos.Sinembargo,aquellosqueusanlaversin2
delprotocoloVTP,enviarnlainformacinquereciban(publicacionesVTP)aotrosdispositivos
alosqueestnconectadosconunafrecuenciade5minutos.Losdispositivosqueoperenen
modocliente,automticamenteaplicarnlaconfiguracinquerecibandeldominioVTP.Eneste
modonosepodrncrearVLANs,sinoqueslosepodraplicarlainformacinquerecibadelas
publicacionesVTP.

ParaquedosequiposqueutilizanVTPpuedancompartirinformacinsobreVLAN,esnecesario
quepertenezcanalmismodominio.LosswitchesdescartanmensajesdeotrodominioVTP.

LasconfiguracionesVTPenunaredsoncontroladasporunnmeroderevisin.Sielnmero
derevisindeunaactualizacinrecibidaporunswitchenmodoclienteoservidoresmsalto
quelarevisinanterior,entoncesseaplicarlanuevaconfiguracin.Delocontrarioseignoran
loscambiosrecibidos.CuandoseaadennuevosdispositivosaundominioVTP,sedeben
resetearlosnmerosderevisindetodoeldominioVTPparaevitarconflictos.

MensajesVTP

Peticindeavisooadvertisementrequest.
Avisodeconfiguracinosubsetadvertisement
ResumendeconfiguracinoSummaryadvertisement.

Unadvertisementrequestopeticindeavisoesunmensajegeneradoporunswitch
cliente.Unswitchconfiguradocomocliente,nomemorialaconfiguracindelasVLANs.
Entoncescuandoarrancaseresetea,necesitalaconfiguracinexistenteensudominio.
Entoncesescuandosehaceunapeticinyelswitchservidorresponde.

AlresponderelservidorgeneraunAvisodeconfiguracinosubsetadvertisement.La
informacincontenidaeslosnmerosdeVLAN,losnombresytiposyotrainformacin.}

Cada5minutoso300segundos,elswitchservidorgeneraunresumendeconfiguracin
oSummaryadvertisement.

Estainformacincontienelosiguiente:

NmeroynombredeVLAN
TamaodeMTUusadoenlaVLAN
FormatodeframeusadoporlaVLAN
ValorSAIDdelaVLANnecesitadosuesunaVLAN802.10.
Nmeroderevisindeconfiguracin
NombredeldominioVTP.

UnadelasfuncionesdelosmensajesVTPeselasegurarquetodoslosswitchestienenla
mismaversindeconfiguracindeVLAN.
Pordefectosereenvalainformacincada3minutosaunquecontengalamismaconfiguracin
queelenvoanterior,osea,aunquenohayahabidoningncambioenlosltimos5minutos.
Parahacermseficienteestemtodo,existeunnmeroderevisindeconfiguracin,tilpara
sabercualeslaversinmasactualizada.Silaversindelswitchesantigua,modificarla
configuracinconlainformacinrecinllegada,yreenviaralospuertosconfiguradoscomo
trunklaultimaversin.
Silainformacinrecibidanocontienetodoslosdatosnecesariosparaactualizarlaversin
antigua,esteswitchgenerarunapeticinalswitchprincipalpararecibirlaversinms
moderna.

SeguridaddeVLANs
AscomolasVLANsmejoranelrendimientodelaredyfacilitansuadministracin,tambinhay
algunasvulnerabilidadesquepuedentraducirseenataques.Porello,esimportanteconocerpor
dndepuedenvenirestosataquesparaaprenderaevitarlos.
Lospuertostienenunaconfiguracin,pordefecto,dedynamicauto(negociansuestadocomo
troncaloaccesosegnelestadodelpuertoconectadoalotroextremodelcable).Porlotanto,
unatacantepodraconectarundispositivoquesimuleelfuncionamientodeunswitch,que
encapsulelastramascon802.1QyseacapazdemandareinterpretarmensajesDTP,aligual
quehaceelswitchalqueseestconectando,yobteneraccesoalastramasdetodaslas
VLANsqueestnpermitidasporeseenlacetroncal.
Unabuenasolucin,enestecaso,seradeshabilitarelprotocoloDTPenelswitchyconfigurar
nicamentecomotroncalesaquellospuertosquevayanateneresafuncin.
OtroposibleataqueesunatramaalaqueselehaaplicadounasegundaetiquetaconlaVLAN
nativa.Estaetiquetasersuprimidaantesdeenviarseporuntroncal,yaqueelswitch
interpretarquelatramahasidogeneradaporlmismo.Cuandolleguealotroextremo,el
switchenviarlatramaalaVLANvctima,laquetengaenlaprimeraetiqueta.
Lasolucinidealparaestassituaciones,aunquenoesunataquequesepuedadarfcilmente,
escambiarlaVLANnativaaotronmeroquenoseaelquevienepordefectoyqueestano
coincidaconningunadelaVLANsasignadasaPCscliente.
OtramedidadeseguridadanteposiblesataquesesconfigurarvariospuertoscomoPVLAN
(PrivateVLAN).Estoesqueunpuertoconfiguradocomoprotegidonuncapodrcomunicarse
conotropuertoprotegido,perosconlosdemspuertosquenoestnprotegidos.Esdecir,dos
PCsconectadosapuertosprotegidospodrantenerunafuncionalidadtotaldered,perono
podrancomunicarseentreellos.