VLAN

Ir a la navegaci�nIr a la b�squeda
No debe confundirse con WLAN.

Topolog�a de red de �rea local virtual (VLAN) en un edificio de tres plantas

Una VLAN, acr�nimo de virtual LAN (red de �rea local virtual), es un m�todo para
crear redes l�gicas independientes dentro de una misma red f�sica.1? Varias VLAN
pueden coexistir en un �nico conmutador f�sico o en una �nica red f�sica. Son
�tiles para reducir el dominio de difusi�n y ayudan en la administraci�n de la red,
separando segmentos l�gicos de una red de �rea local (los departamentos de una
empresa, por ejemplo) que no deber�an intercambiar datos usando la red local
(aunque podr�an hacerlo a trav�s de un enrutador o un conmutador de capa OSI 3 y
4).

Una VLAN consiste en dos o m�s redes de computadoras que se comportan como si
estuviesen conectados al mismo conmutador, aunque se encuentren f�sicamente
conectados a diferentes segmentos de una red de �rea local ([[Local ).

�ndice
1 Historia
2 Clasificaci�n
3 Protocolos
4 Gesti�n de la pertenencia a una VLAN
5 VLAN basadas en el puerto de conexi�n
6 Dise�o de las VLAN
7 Comandos IOS
8 V�ase tambi�n
9 Referencias
9.1 Bibliograf�a
Historia
A principios de la d�cada de 1980, Ethernet era una tecnolog�a consolidada que
ofrec�a una velocidad de 10 Mbps, mucho mayor que gran parte de las alternativas de
la �poca. Las redes Ethernet ten�an una topolog�a en bus, donde el medio f�sico de
transmisi�n (cable coaxial) era compartido. Ethernet era, por lo tanto, una red de
difusi�n y como tal cuando dos estaciones transmiten simult�neamente se producen
colisiones y se desperdicia ancho de banda en transmisiones fallidas.

El dise�o de Ethernet no ofrec�a escalabilidad, es decir, al aumentar el tama�o de

la red disminuyen sus prestaciones o el costo se hace inasumible. CSMA/CD, el
protocolo que controla el acceso al medio compartido en Ethernet, impone de por s�
limitaciones en cuanto al ancho de banda m�ximo y a la m�xima distancia entre dos
estaciones. Conectar m�ltiples redes Ethernet era por aquel entonces complicado, y
aunque se pod�a utilizar un router para la interconexi�n, estos eran caros y
requer�a un mayor tiempo de procesado por paquete grande, aumentando el retardo.

Para solucionar estos problemas, primero W. Kempf invent� el bridge (puente),

dispositivo software para interconectar dos LANs. En 1990 Kalpana desarroll� el
switch Ethernet, puente multipuerto implementado en hardware, dispositivo de
conmutaci�n de tramas de nivel 2. Usar switches para interconectar redes Ethernet
permite separar dominios de colisi�n, aumentando la eficiencia y la escalabilidad
de la red. Una red tolerante a fallos y con un nivel alto de disponibilidad
requiere que se usen topolog�as redundantes: enlaces m�ltiples entre switches y
equipos redundantes. De esta manera, ante un fallo en un �nico punto es posible
recuperar de forma autom�tica y r�pida el servicio. Este dise�o redundante requiere
la habilitaci�n del protocolo spanning tree (STP) para asegurarse de que solo haya
activo un camino l�gico para ir de un nodo a otro y evitar as� el fen�meno conocido
como tormentas broadcast. El principal inconveniente de esta topolog�a l�gica de la
red es que los switches centrales se convierten en cuellos de botella, pues la
mayor parte del tr�fico circula a trav�s de ellos.

Sincoskie consigui� aliviar la sobrecarga de los switches inventando LAN virtuales

al a�adir una etiqueta a las tramas Ethernet con la que se diferencia el tr�fico.
Al definir varias LAN virtuales cada una de ellas tendr� su propio spanning tree y
se podr� asignar los distintos puertos de un switch a cada una de las VLAN. Para
unir VLAN que est�n definidas en varios switches se puede crear un enlace especial
llamado trunk, por el que fluye tr�fico de varias VLAN. Los switches sabr�n a qu�
VLAN pertenece cada trama observando la etiqueta VLAN (definida en la norma IEEE
802.1Q). Aunque hoy en d�a el uso de LAN virtuales es generalizado en las redes
Ethernet modernas, usarlas para el prop�sito original puede ser un tanto extra�o,
ya que lo habitual es utilizarlas para separar dominios de difusi�n (hosts que
pueden ser alcanzados por una trama broadcast).

IEEE 802.1aq-2012 - Shortest Path Bridging ofrece mucha m�s escalabilidad a hasta
16 millones comparado con el l�mite de 4096 de las VLAN.

Clasificaci�n
Aunque las m�s habituales son las VLAN basadas en puertos (nivel 1), las redes de
�rea local virtuales se pueden clasificar en cuatro tipos seg�n el nivel de la
jerarqu�a OSI en el que operen:

VLAN de nivel 1 (por puerto). Tambi�n conocida como �port switching�. Se especifica
qu� puertos del switch pertenecen a la VLAN, los miembros de dicha VLAN son los que
se conecten a esos puertos. No permite la movilidad de los usuarios, habr�a que
reconfigurar las VLAN si el usuario se mueve f�sicamente. Es la m�s com�n y la que
se explica en profundidad en este art�culo.
VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en funci�n de su
direcci�n MAC. Tiene la ventaja de que no hay que reconfigurar el dispositivo de
conmutaci�n si el usuario cambia su localizaci�n, es decir, se conecta a otro
puerto de ese u otro dispositivo. El principal inconveniente es que hay que asignar
los miembros uno a uno y si hay muchos usuarios puede ser agotador.
VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el contenido
del campo tipo de protocolo de la trama MAC. Por ejemplo, se asociar�a VLAN 1 al
protocolo IPv4, VLAN 2 al protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX...
VLAN de nivel 3 por direcciones de subred (subred virtual). La cabecera de nivel 3
se utiliza para mapear la VLAN a la que pertenece. En este tipo de VLAN son los
paquetes, y no las estaciones, quienes pertenecen a la VLAN. Estaciones con
m�ltiples protocolos de red (nivel 3) estar�n en m�ltiples VLAN.
VLAN de niveles superiores. Se crea una VLAN para cada aplicaci�n: FTP, flujos
multimedia, correo electr�nico... La pertenencia a una VLAN puede basarse en una
combinaci�n de factores como puertos, direcciones MAC, subred, hora del d�a, forma
de acceso, condiciones de seguridad del equipo...
Protocolos
Durante todo el proceso de configuraci�n y funcionamiento de una VLAN es necesaria
la participaci�n de una serie de protocolos entre los que destacan el IEEE 802.1Q,
STP y VTP (cuyo equivalente IEEE es GVRP). El protocolo IEEE 802.1Q se encarga del
etiquetado de las tramas que es asociada inmediatamente con la informaci�n de la
VLAN. El cometido principal de Spanning Tree Protocol (STP) es evitar la aparici�n
de bucles l�gicos para que haya un solo camino entre dos nodos. VTP (VLAN Trunking
Protocol) es un protocolo propietario de Cisco que permite una gesti�n centralizada
de todas las VLAN.

El protocolo de etiquetado IEEE 802.1Q es el m�s com�n para el etiquetado de las

VLAN. Antes de su introducci�n exist�an varios protocolos propietarios, como el ISL
(Inter-Switch Link) de Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN
Trunk) de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formato de trama
similar a 802.3 (Ethernet) donde solo cambia el valor del campo Ethertype, que en
las tramas 802.1Q vale 0x8100, y se a�aden dos bytes para codificar la prioridad,
el CFI y el VLAN ID. Este protocolo es un est�ndar internacional y por lo dicho
anteriormente es compatible con bridges y switches sin capacidad de VLAN.

Las VLAN y Protocolos de �rbol de Expansi�n. Para evitar la saturaci�n de los

switches debido a las tormentas broadcast, una red con topolog�a redundante tiene
que tener habilitado el protocolo STP. Los switches intercambian mensajes STP BPDU
(Bridge Protocol Data Units) entre s� para lograr que la topolog�a de la red sea un
�rbol (no tenga enlaces redundantes) y solo haya activo un camino para ir de un
nodo a otro. El protocolo STP/RSTP es agn�stico a las VLAN, MSTP (IEEE 802.1Q)
permite crear �rboles de expansi�n diferentes y asignarlos a grupos de las VLAN
mediante configuraci�n. Esto permite utilizar enlaces en un �rbol que est�n
bloqueados en otro �rbol.

En los dispositivos Cisco, VTP (VLAN trunking protocol) se encarga de mantener la

coherencia de la configuraci�n VLAN por toda la red. VTP utiliza tramas de nivel 2
para gestionar la creaci�n, borrado y renombrado de las VLAN en una red
sincronizando todos los dispositivos entre s� y evitar tener que configurarlos uno
a uno. Para eso hay que establecer primero un dominio de administraci�n VTP. Un
dominio VTP para una red es un conjunto contiguo de switches unidos con enlaces
trunk que tienen el mismo nombre de dominio VTP.

Los switches pueden estar en uno de los siguientes modos: servidor, cliente o
transparente. �Servidor� es el modo por defecto, anuncia su configuraci�n al resto
de equipos y se sincroniza con otros servidores VTP. Un switch en modo cliente no
puede modificar la configuraci�n VLAN, simplemente sincroniza la configuraci�n
sobre la base de la informaci�n que le env�an los servidores. Por �ltimo, un switch
est� en modo transparente cuando solo se puede configurar localmente pues ignora el
contenido de los mensajes VTP.

VTP tambi�n permite �podar� (funci�n VTP pruning), lo que significa dirigir tr�fico
VLAN espec�fico solo a los conmutadores que tienen puertos en la VLAN destino. Con
lo que se ahorra ancho de banda en los posiblemente saturados enlaces trunk.

Uno de los peores problemas que puede presentarse para un Switch es cuando escucha
la misma direcci�n MAC (Medium Access Control) por dos interfaces f�sicas
diferentes, este es un bucle que en principio, no sabr�a como resolver.2? Este
problema si bien parece poco probable que pueda ocurrir, en realidad en redes
grandes al tener cientos o miles de cables (muchos de ellos para redundancia), este
hecho es tan sencillo como conectar el mismo cable en diferentes patch pannels que
cierran un lazo sobre el mismo dispositivo, y en la realidad ocurre con cierta
frecuencia, mayor, en la medida que m�s grande sea la red LAN. Tambi�n es un hecho
concreto cuando el cableado se dise�a para poseer caminos redundantes, justamente
para incrementar la disponibilidad de la red.
Cuando f�sicamente se cierra un bucle, la topolog�a pura de red �Jer�rquica� deja
de serlo y se convierte en una red �Malla�. Para tratar este problema el protocolo
Spanning Tree crea una red �Jer�rquica l�gica (�rbol L�gico)� sobre esta red �Malla
F�sica�. Este protocolo crea �Puentes� (bridges) de uni�n sobre estos enlaces y
define a trav�s de diferentes algoritmos que se pueden configurar, cu�l es el que
tiene mayor prioridad, este puente de m�xima prioridad lo denomina �Root Bridge� (o
Puente Ra�z) y ser� el que manda jer�rquicamente las interfaces por las cuales se
separar�n los diferentes dominios de colisi�n. Todo el control de STP se realiza
mediante tramas llamadas BPDU (Bridge Protocol Data Unit) que son las que regulan
los diferentes dominios de colisi�n . El par�metro que define esta jerarqu�a es el
BID (Bridge Identifier) que est� compuesto por el Bridge Priority + direcci�n MAC.
El Bridge Priority es un valor configurable que por defecto est� asignado en 32768.

En general este protocolo se configura de forma autom�tica, y se basa en el orden

de encendido de los diferentes Switchs de la red, siendo el primero que se pone en
funcionamiento el que se auto designa �Root Bridge�, pero por supuesto se puede
realizar de forma manual.
Cada switch reemplaza los BID de ra�z m�s alta por BID de ra�z m�s baja en las
BPDU. Todos los switches que reciben las BPDU determinan en sus tablas que el
switch que cuyo valor de BID es el m�s bajo ser� �su� puente ra�z, y a su vez
env�an nuevas BPDU hacia sus otras interfaces con un ID m�s alto, incrementando el
par�metro �Root Path Cost� (Que veremos en el ejemplo que sigue) informando con
esta nueva BPDU a todo dispositivo que est� conectado f�sicamente a �l c�mo debe ir
arm�ndose este �rbol . Si se desea configurar de forma manual, el administrador de
red puede establecer jerarqu�a que desee configurando la prioridad de switch que
sea �Root Bridge� en un valor m�s peque�o que el del valor por defecto (32768, todo
valor debe ser m�ltiplo de 4096), lo que hace que este BID sea m�s peque�o y a
partir de este �root� puede configurar la jerarqu�a o �rbol si lo desea, o tambi�n
al reconocer los dem�s switch a este �root�, de forma autom�tica pueden generar el
resto del �rbol.

En las grandes redes actuales, se suelen establecer importantes relaciones entre

las VLANs y el Core de las redes, donde el protocolo por excelencia suele ser MPLS
(Multi Protocolo Label Switching)
Gesti�n de la pertenencia a una VLAN
Las dos aproximaciones m�s habituales para la asignaci�n de miembros de una VLAN
son las siguientes: VLAN est�ticas y VLAN din�micas.

Las VLAN est�ticas tambi�n se denominan VLAN basadas en el puerto. Las asignaciones
en una VLAN est�tica se crean mediante la asignaci�n de los puertos de un switch o
conmutador a dicha VLAN. Cuando un dispositivo entra en la red, autom�ticamente
asume su pertenencia a la VLAN a la que ha sido asignado el puerto. Si el usuario
cambia de puerto de entrada y necesita acceder a la misma VLAN, el administrador de
la red debe cambiar manualmente la asignaci�n a la VLAN del nuevo puerto de
conexi�n en el switch.

En ella se crean unidades virtuales no est�ticas en las que se guardan los archivos
y componentes del sistema de archivos mundial

En las VLAN din�micas, la asignaci�n se realiza mediante paquetes de software tales

como el CiscoWorks 2000. Con el VMPS (acr�nimo en ingl�s de VLAN Management Policy
Server o Servidor de Gesti�n de Directivas de la VLAN), el administrador de la red
puede asignar los puertos que pertenecen a una VLAN de manera autom�tica bas�ndose
en informaci�n tal como la direcci�n MAC del dispositivo que se conecta al puerto o
el nombre de usuario utilizado para acceder al dispositivo. En este procedimiento,
el dispositivo que accede a la red, hace una consulta a la base de datos de
miembros de la VLAN. Se puede consultar el software FreeNAC para ver un ejemplo de
implementaci�n de un servidor VMPS.

VLAN basadas en el puerto de conexi�n

Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es
independiente del usuario o dispositivo conectado en el puerto. Esto significa que
todos los usuarios que se conectan al puerto ser�n miembros de la misma VLAN.
Habitualmente es el administrador de la red el que realiza las asignaciones a la
VLAN. Despu�s de que un puerto ha sido asignado a una VLAN, a trav�s de ese puerto
no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLAN sin
la intervenci�n de alg�n dispositivo de capa 3.

Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las
caracter�sticas VLAN: puertos de acceso y puertos trunk. Un puerto de acceso
(switchport mode access) pertenece �nicamente a una VLAN asignada de forma est�tica
(VLAN nativa). La configuraci�n predeterminada suele ser que todos los puertos sean
de acceso de la VLAN1. En cambio, un puerto trunk (switchport mode trunk) puede ser
miembro de m�ltiples VLAN. Por defecto es miembro de todas, pero la lista de las
VLAN permitidas es configurable.
El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la
existencia de la VLAN a la que pertenece dicho puerto. El dispositivo simplemente
sabe que es miembro de una subred y que puede ser capaz de hablar con otros
miembros de la subred simplemente enviando informaci�n al segmento cableado. El
switch es responsable de identificar que la informaci�n viene de una VLAN
determinada y de asegurarse de que esa informaci�n llega a todos los dem�s miembros
de la VLAN. El switch tambi�n se asegura de que el resto de puertos que no est�n en
dicha VLAN no reciben dicha informaci�n.

Este planteamiento es sencillo, r�pido y f�cil de administrar, dado que no hay

complejas tablas en las que mirar para configurar la segmentaci�n de la VLAN. Si la
asociaci�n de puerto a VLAN se hace con un ASIC (acr�nimo en ingl�s de Application-
Specific Integrated Circuit o Circuito integrado para una aplicaci�n espec�fica),
el rendimiento es muy bueno. Un ASIC permite que el mapeo de puerto a VLAN sea
hecho a nivel hardware.

Dise�o de las VLAN

Los primeros dise�adores de redes sol�an configurar las VLAN con el objetivo de
reducir el tama�o del dominio de colisi�n en un segmento Ethernet y mejorar su
rendimiento. Cuando los switches lograron esto, porque cada puerto es un dominio de
colisi�n, su prioridad fue reducir el tama�o del dominio de difusi�n. Ya que, si
aumenta el n�mero de terminales, aumenta el tr�fico difusi�n y el consumo de CPU
por procesado de tr�fico broadcast no deseado. Una de las maneras m�s eficientes de
lograr reducir el domino de difusi�n es con la divisi�n de una red grande en varias
VLAN.

Red institucional
Actualmente, las redes institucionales y corporativas modernas suelen estar
configuradas de forma jer�rquica dividi�ndose en varios grupos de trabajo. Razones
de seguridad y confidencialidad aconsejan tambi�n limitar el �mbito del tr�fico de
difusi�n para que un usuario no autorizado no pueda acceder a recursos o a
informaci�n que no le corresponde. Por ejemplo, la red institucional de un campus
universitario suele separar los usuarios en tres grupos: alumnos, profesores y
administraci�n. Cada uno de estos grupos constituye un dominio de difusi�n, una
VLAN, y se suele corresponder asimismo con una subred IP diferente. De esta manera
la comunicaci�n entre miembros del mismo grupo se puede hacer en nivel 2, y los
grupos est�n aislados entre s�, s�lo se pueden comunicar a trav�s de un router.

La definici�n de m�ltiples VLAN y el uso de enlaces trunk, frente a las redes LAN
interconectadas con un router, es una soluci�n escalable. Si se deciden crear
nuevos grupos se pueden acomodar f�cilmente las nuevas VLAN haciendo una
redistribuci�n de los puertos de los switches. Adem�s, la pertenencia de un miembro
de la comunidad universitaria a una VLAN es independiente de su ubicaci�n f�sica. E
incluso se puede lograr que un equipo pertenezca a varias VLAN (mediante el uso de
una tarjeta de red que soporte trunk).

Imagine que la universidad tiene una red con un rango de direcciones IP del tipo
172.16.XXX.0/24, cada VLAN, definida en la capa de enlace de datos (nivel 2 de
OSI), se corresponder� con una subred IP distinta:

VLAN 10, Administraci�n, Subred IP 172.16.10.0/24.

VLAN 20, Profesores, Subred IP 172.16.20.0/24.
VLAN 30, Alumnos, Subred IP 172.16.30.0/24.
En cada edificio de la universidad hay un switch denominado de acceso, porque a �l
se conectan directamente los sistemas finales. Los switches de acceso est�n
conectados con enlaces trunk (enlace que transporta tr�fico de las tres VLAN) a un
switch troncal, de grandes prestaciones, t�picamente Gigabit Ethernet o 10-Gigabit
Ethernet. Este switch est� unido a un router tambi�n con un enlace trunk, el router
es el encargado de llevar el tr�fico de una VLAN a otra.