Mariana Moreno González

Unidad II. Redes VLAN

2.1 Tipos VLAN
VLAN de datos
Una VLAN de datos es una VLAN configurada para transportar tráfico generado por
usuarios. Una VLAN que transporta tráfico de administración o de voz no sería una VLAN
de datos. Es una práctica común separar el tráfico de voz y de administración del tráfico
de datos. A veces a una VLAN de datos se la denomina VLAN de usuario. Las VLAN de
datos se usan para dividir la red en grupos de usuarios o dispositivos.
VLAN predeterminada
Todos los puertos de switch se vuelven parte de la VLAN predeterminada después del
arranque inicial de un switch que carga la configuración predeterminada. Los puertos de
switch que participan en la VLAN predeterminada forman parte del mismo dominio de
difusión. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para
comunicarse con otros dispositivos en otros puertos de switch. La VLAN predeterminada
para los switches Cisco es la VLAN 1. En la ilustración, se emitió el comando show vlan
brief en un switch que ejecuta la configuración predeterminada. Observe que todos los
puertos se asignan a la VLAN 1 de manera predeterminada.
La VLAN 1 tiene todas las características de cualquier VLAN, excepto que no se le puede
cambiar el nombre ni se puede eliminar. Todo el tráfico de control de capa 2 se asocia a
la VLAN 1 de manera predeterminada.
VLAN nativa
Una VLAN nativa está asignada a un puerto troncal 802.1Q. Los puertos de enlace
troncal son los enlaces entre switches que admiten la transmisión de tráfico asociado a
más de una VLAN. Los puertos de enlace troncal 802.1Q admiten el tráfico proveniente
de muchas VLAN (tráfico con etiquetas), así como el tráfico que no proviene de una
VLAN (tráfico sin etiquetar). El tráfico con etiquetas hace referencia al tráfico que tiene
una etiqueta de 4 bytes insertada en el encabezado de la trama de Ethernet original, que
especifica la VLAN a la que pertenece la trama. El puerto de enlace troncal 802.1Q coloca
el tráfico sin etiquetar en la VLAN nativa, que es la VLAN 1 de manera predeterminada.
Las VLAN nativas se definen en la especificación IEEE 802.1Q a fin de mantener la
compatibilidad con el tráfico sin etiquetar de modelos anteriores común a las situaciones
de LAN antiguas. Una VLAN nativa funciona como identificador común en extremos
opuestos de un enlace troncal.
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la
VLAN 1 y de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione
como VLAN nativa para todos los puertos de enlace troncal en el dominio conmutado.

VLAN de administración
Una VLAN de administración es cualquier VLAN que se configura para acceder a las
capacidades de administración de un switch. La VLAN 1 es la VLAN de administración
de manera predeterminada. Para crear la VLAN de administración, se asigna una
dirección IP y una máscara de subred a la interfaz virtual de switch (SVI) de esa VLAN,
lo que permite que el switch se administre mediante HTTP, Telnet, SSH o SNMP. Dado
que en la configuración de fábrica de un switch Cisco la VLAN 1 se establece como VLAN
predeterminada, la VLAN 1 no es una elección adecuada para la VLAN de
administración.
En el pasado, la VLAN de administración para los switches 2960 era la única SVI activa.
En las versiones 15.x de IOS de Cisco para los switches de la serie Catalyst 2960, es
posible tener más de una SVI activa. Cisco IOS 15.x requiere la registración de la SVI
activa específica asignada para la administración remota. Si bien, en teoría, un switch
puede tener más de una VLAN de administración, esto aumenta la exposición a los
ataques de red.
VLAN de voz
Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). El
tráfico de VoIP requiere:
• Ancho de banda garantizado para asegurar la calidad de la voz
• Prioridad de la transmisión sobre los tipos de tráfico de la red
• Capacidad para ser enrutado en áreas congestionadas de la red
• Una demora inferior a 150 ms a través de la red
Para cumplir estos requerimientos, se debe diseñar la red completa para que admita
VoIP. Los detalles sobre cómo configurar una red para que admita VoIP exceden el
ámbito de este curso, pero es útil resumir cómo funciona una VLAN de voz entre un
switch, un teléfono IP Cisco y una computadora.
2.2 Protocolos de enlace VLAN
IEEE 802.1Q
El estándar IEEE 802.1Q fue publicado en 1998 por el organismo IEEE para resolver el
problema que se presenta cuando diversas redes se encuentran compartiendo el mismo
medio físico y por lo tanto consumiendo un mayor ancho de banda del necesario,
generando tráfico broadcast y multicast.
Este protocolo interconecta VLANs entre varios switches, routers y servidores,
proporcionando a su vez un mayor nivel de seguridad entre los segmentos de redes
internas. Los switches Cisco soportan dicho estándar para las interfaces FastEthernet y
GigabitEthernet.
Para poder identificar a una VLAN en específico, el IEEE 802.1Q inserta un campo en el
frame, es decir, incluye una etiqueta de cuatro octetos (32 bits) en cada trama Ethernet
entre la dirección fuente y el campo de longitud.
La etiqueta agregada a la trama Ethernet está compuesta por dos campos de
información:
• La etiqueta de información de control (Tag Control Information – TCI)
• Campo de etiqueta de identificador de protocolo (Tag Protocol IDentifier field –
TPID).
El campo TCI es constituido a su vez por tres sub-campos que suman 16 bits, es decir,
dos octetos:
1. VLAN ID que consta de 12 bits, este campo indica el grupo de VLAN y permite
acceder hasta 4096 VLANs. Todos los switches en la red usan este VLAN ID para
enlazar las membrecías de redes virtuales entre sí. Los números de identificación
VLAN ID deben asignarse de forma centralizada e informarse en su totalidad a los
diferentes switches y nodos que conformen la red, de no ser así, un mismo VLAN
ID podría repetirse varias veces. Para evitar esta situación, se recurre al Protocolo
Genérico de Registro de Atributos (Generic Attribute Registration Protocol –
GARP) que es la norma original 802.1P, este protocolo es utilizado como base
para la comunicación de la membrecía de las redes VLAN entre los diferentes
switches.
2. Prioridad de usuario de 3 bits, este campo permite hasta ocho niveles de prioridad.
3. CFI (Canonical Identifier Format – Indicador de Formato Canónico) consta de un
bit que se utiliza únicamente para comunicaciones Token Ring, indicando si el
paquete encapsulado es una trama Token Ring en un formato de trama Ethernet.
El campo TPID consta también de 16 bits (2 octetos) y se usa para las transmisiones de
datos de Token Ring, FDDI y codificadas en SNAP.
La membrecía de redes VLAN puede darse a conocer de dos formas:
 • Implícita
Supone que indirectamente el o los switches saben a qué VLAN en específico
pertenece un paquete
• Explícita
Por otro lado, la comunicación explícita implica que cada paquete o trama debe
ser como su nombre lo indica, explícitamente marcada para indicar su pertenencia
a una VLAN en particular, por ejemplo, el tráfico de una VLAN basada en
direcciones MAC debe marcarse con un identificador propio de esa red virtual.
En general las VLANs que se encuentran basadas en puertos y direcciones MAC usan
comunicaciones explícitas, mientras que las VLANs con atributo de capa 3 como las
basadas en protocolo o dirección IP pueden usar etiquetado implícito.
2.3 Enrutamiento inter VLAN
Es un proceso para reenviar el tráfico de la red desde una VLAN a otra mediante un
router. Las VLAN están asociadas a subredes IP únicas en la red.
Esta configuración de subred facilita el proceso de enrutamiento en un ambiente de
múltiples VLAN.
Enrutamiento Inter-VLAN Tradicional
El enrutamiento inter VLAN tradicional requiere de interfaces físicas múltiples en el router
y en el switch. Sin embargo, no todas las configuraciones del enrutamiento inter VLAN
requieren interfaces físicas múltiples.
Diagrama de topología

Comandos de implementación
Se comienza a crear la Vlan 10 y Vlan 20 en donde como se muestra en la imagen de
la topología estará conectada una PC en cada una, los siguentes son los comandos de
creación de Vlans.
Para asegurar que se crearon las Vlans correctamente se efectúa el siguiente comando
Se configuran las interfaces del router que serán destinadas a cada una de las Vlans con
su respectiva dirección IP

Se asigna a cada de una de las PC´s su IP correspondiente a la Vlan que pertenecerá asi
como el Gateway predeterminado.
Desventajas
• Supone un gasto adicional de uso de interfaces
• Permite el total de ancho de banda en las interfaces
• Requiere una conexión Switch Router para cada Vlan
• Usa una interfaz del Switch para cada Vlan estática
• Puertos que conectan con el Router en modo acceso

Enrutamiento inter-VLAN con router-on-a-stick

Brinda la facilidad de utilizar solo una interfaz para enrutar los paquetes de
varias VLANS que viajan a través del switch conectado a esa interfaz, es decir, podemos
configurar varias IP de diferentes redes a varias interfaces virtuales (sub-interfaces)
alojadas en una sola interfaz física.
Diagrama de topología

Comandos de implementación
Se comienza a configurar el Switch
Ahora se comienza a configurar el Router, asignando a cada subinterfaz la dirección IP
y la Vlan correspondiente.
Para verificar que se realizo correctamente se ejecuta el siguiente comando, observando
los resultados que efectivamente las están activas las subinterfaces.

Finamente se asigna la dirección IP correspondiente para cada PC de acuerdo a la vlan

asignada.

Ventajas
• Fácil de implementar solo se requiere crear una subinterfaz por cada VLAN en el
Router.
• Mucho más económica que tener un Router por VLAN.
• Mucho mejor latencia que tener un Router por VLAN.
Desventajas
• Los Routers son más lentos que los switches para ruteo inter-VLAN, lo ideal es
tener un switch multicapa.
• Si se necesita incrementar el número de puertos, entre más puertos requiera un
Router más costoso resulta.
• Estamos expuestos al buen funcionamiento de una sola interfaz física en el
Router, esto es un único punto de fallo.
Enrutamiento inter-VLAN con un switch capa 3.
Diagrama de topología

Comandos de implementación
Se comienza configurando el Switch de capa 3 comenzando con el comendo vlan
database.
Para asignar las direcciones a las Vlans se utilizan los siguientes comandos:

Ventajas
• Se minimizan los puntos de fallas al reducir de dos a un solo equipo
• El proceso de enrutamiento se hace más rápido ya que solo se revisa una tabla y
no dos o tres (en cada router)
• La seguridad de la red se ve mejorada por cuanto se aplican políticas en un solo
dispositivo
Desventajas
• Son mas costosos.
2.4 Resolución de problemas de VLAN
Cuando configura la VLAN y los enlaces troncales en una infraestructura conmutada,
estos tipos de errores de configuración son los más comunes, en el siguiente orden:

Faltas de concordancia de la VLAN nativa: los puertos se configuran con diferentes VLAN
nativas, por ejemplo si un puerto ha definido la VLAN 99 como VLAN nativa y el otro
puerto de enlace troncal ha definido la VLAN 100 como VLAN nativa. Estos errores de
configuración generan notificaciones de consola, hacen que el tráfico de administración
y control se dirija erróneamente y, como ya ha aprendido, representan un riesgo para la
seguridad.

Faltas de concordancia del modo de enlace troncal: un puerto de enlace troncal se

configura con el modo de enlace troncal "inactivo" y el otro con el modo de enlace troncal
"activo". Estos errores de configuración hacen que el vínculo de enlace troncal deje de
funcionar.

VLAN admitidas en enlaces troncales: la lista de VLAN admitidas en un enlace troncal

no se ha actualizado con los requerimientos de enlace troncal actuales de VLAN. En este
caso, se envía tráfico inesperado o ningún tráfico al enlace troncal.
2.5 Seguridad en VLAN
Si configura una red de área local virtual (VLAN), recuerde que las VLAN comparten el
ancho de banda de la red y requieren medidas de seguridad adicionales.
• Al usar VLAN, separe los clusters sensibles de sistemas del resto de la red. De
esta manera, se reduce la probabilidad de que los usuarios tengan acceso a la
información almacenada en esos clientes y servidores.
• Asigne un número de VLAN nativo único a los puertos de enlace troncal.
• Limite las VLAN que se pueden transportar mediante un enlace troncal a las que
son estrictamente necesarias.
• Desactive el protocolo de enlace troncal (VTP) de VLAN, si es posible. De lo
contrario, configure lo siguiente para el VTP: dominio de gestión, contraseña y
eliminación. A continuación, defina VTP en modo transparente.
• Utilice configuraciones de VLAN estáticas, cuando sea posible.
• Desactive los puertos de conmutador no utilizados y asígneles un número de
VLAN que no esté en uso.

Fuentes de Consulta
https://ccnadesdecero.es/segmentacion-de-vlan-definicion-y-tipos/
http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/779/A5.pdf
?sequence=5
http://diariodeingenieria01.blogspot.com/2017/09/enrutamiento-inter-vlan-es-un-
proceso.html
https://sites.google.com/site/isaacivantorresgonzalezvlan/resolucion-de-problemas-de-
vlan-y-enlaces-troncales
https://docs.oracle.com/cd/E50696_01/html/E50091/gmpfo.html