Virtual LAN

Problemas de LAN Switches

Ante situaciones de alto tráfico de Broadcast y Multicast los

switches se comportan como Hubs.
Multicast usado por:
 Protocolos como STP – OSPF.
 IPv6.
 Aplicaciones.
Broadcast usado por:
 Protocolos TCP/IP (DHCP, ARP, …).
Soluciones:
 Multicast: IGMP Snooping – GARP (no cubiertos en el curso).
 Broadcast: VLAN (también soluciona multicast).
Sergio D. Saade Redes de Computadoras Avanzadas I 2
Virtual LAN

LAN conmutada (“switched”): un único dominio de

broadcast.

LAN A

SWITCH I LAN B
Único dominio
LAN C
Broadcast

LAN D

SWITCH II LAN E

Sergio D. Saade Redes de Computadoras Avanzadas I 3

VLAN

Permiten segmentar lógicamente una LAN en dominios de

broadcast independientes (Rojo, Verde y Amarillo).

VLAN ROJA
Dominio Broadcast
LAN A

SWITCH I LAN B
VLAN VERDE
LAN C Dominio Broadcast

LAN D
VLAN AMARILLA

SWITCH II LAN E Dominio Broadcast

Sergio D. Saade Redes de Computadoras Avanzadas I 4

VLAN

Permite separar la conectividad lógica de la física.

SWITCH I
2do. Piso

Router/ SWITCH II
Switch L3 1er. Piso

SWITCH III
P. Baja

VLAN Ventas VLAN Finanzas VLAN Ingeniería

Sergio D. Saade Redes de Computadoras Avanzadas I 5
VLAN

Aplicaciones:
 Aumento de rendimiento global de la red.
• Cuando existe gran tráfico de broadcast y multicast.
• Mejor performance que routers convencionales.
 Seguridad:
• Aislamiento entre grupos de trabajos no-afines.
• ACL’s entre VLAN’s (uso de SW L3).
 Formación de grupos de trabajos virtuales:
• Agrupación de miembros afines (marketing, ventas, desarrollo, etc.)
ubicados en diferentes posiciones físicas.
• Facilita la administración de adición, movimiento y cambio de ubicación de
los miembros del grupo.
• Particularmente útil en VLAN Dinámicas.
 Menor costo.
• Switches son más económicos que los routers.

Sergio D. Saade Redes de Computadoras Avanzadas I 6

¿Cuántas VLAN en una red?

Está determinado por:

 Patrones de Tráfico.
 Aplicaciones utilizadas.
 Administración de la Red.
 Afinidad en los grupos de trabajo.
 Protocolos usados.
 Esquema de Direccionamiento IP.
Existe una correspondencia 1 a 1 entre subnets IP y VLAN’s
 Si el esquema de direccionamiento es posible de alterarlo, se debe
crear las VLAN’s de acuerdo a las 4 condiciones y luego adecuar las
subnet IP que existen.

Sergio D. Saade Redes de Computadoras Avanzadas I 7

Límites de las VLAN’s

El ámbito de cobertura de las VLAN’s (límites) define:

 VLAN Extremo a Extremo (“End to end”).
 VLAN Locales.
“End to End”
 Incluyen a todos los switches (Borde y Core).
 Las membresías se crean por afinidad de grupos, departamento,
funciones, etc.
 La ubicación física del usuario no tiene importancia en este tipo de
VLAN.
 El desafío del diseñador es mantener el 80% del tráfico local a la
VLAN (regla 80/20).

Sergio D. Saade Redes de Computadoras Avanzadas I 8

VLAN End-to-End: Ejemplo FACET
Block 4

Block 2

VLAN CIVIL /
VLAN QUIMICA
MAT/
FISICA
ANFITEA
VLAN
VLAN ALUMNOS GESTION VLAN
TROS (INALAMBRICA)
ALUMNOS AUTORIDADES

Block 3

Block 1 VLAN ALUMNOS

(INALÁMBRICA)

ANFITEATROS

Sergio D. Saade Redes de Computadoras Avanzadas I 9

VLAN Locales

VLAN Locales:
 Son configuradas por ubicación física (edificio, piso, etc.).
 Se usan cuando no existe una distribución pre-establecida de tráfico
por usuario.
• Ejemplo: usuarios usan servicios de Acceso a Internet, Emailing y
además sistemas informáticos comunes a todo la empresa.
 Se usan en ambientes de servidores centralizados (20% del tráfico es
local a la VLAN y 80% fuera de la VLAN).
 Normalmente necesita el uso de Switches Layer 3 de alta
performance (todas las VLANs comparten la granja de servidores).
 Permiten una mejora sustancial del rendimiento pese a la
distribución física de VLAN.

Sergio D. Saade Redes de Computadoras Avanzadas I 10

VLAN Locales: Ejemplo FACET
Block 4

VLAN BLOCK 4

Block 2

VLAN BLOCK 2

VLAN BLOCK 3
ANFITEA VLAN SERVERS
VLAN ALUMNOS
TROS (INALAMBRICA)

VLAN BLOCK 1
Block 3

Block 1 VLAN ALUMNOS

(INALÁMBRICA)

ANFITEATROS

Sergio D. Saade Redes de Computadoras Avanzadas I 11

Membresía a VLAN

Desde el punto de vista de un Switch que soporta VLAN, son las

tramas las que pertenecen a una VLAN (no las estaciones).
La asociación de una trama con una VLAN es no ambigua.
 Una trama debe pertenecer a una VLAN (o mas de una) pero
siempre estar identificada a la que pertenece.
Una vez creadas las VLAN’s se debe asignar los miembros que la
componen.

Sergio D. Saade Redes de Computadoras Avanzadas I 12

Membresía a VLAN

 Asociación implícita o explícita:

 Implícita: las tramas saben a que VLAN pertenecen de acuerdo a ciertas
características de asociación:
• MAC Origen, Protocolo, Subnet IP, etc.
 Explícitas: las tramas son identificadas explícitamente como pertenecientes
a una VLAN.
 Definición:
 VLAN’s Estáticas.
• Asociación de una VLAN a que ingresan por un puerto realizada por el
administrador en forma manual.
• Utilizado principalmente en redes pequeñas a medianas y donde no
existe una gran movilidad entre tipos de clientes.
 VLAN’s Dinámicas.
• Se crean de acuerdo a bases de datos (Protocolo, tipo de aplicación,
MAC ADD, etc) ingresadas por el administrador.

Sergio D. Saade Redes de Computadoras Avanzadas I 13

Identificación de VLAN: Tagging

 Una misma VLAN se puede expandir entre múltiples switches.

 Es necesario identificar a que VLAN pertenece cada trama y distribuirlo entre los
switches y finalmente a las estaciones destinos que corresponden.
 Dos tipos de Links en un switch:
 Link de Acceso (Swiches de borde).
• Asociado a un puerto donde se conecta una estación de trabajo.
• Normalmente la estación no sabe que pertenece a una VLAN ni posee información
de Membresía.
• Dentro del switch se asocia a una VLAN en forma estática o dinámica.
 Link de “Trunk” o de “Uplink”:
• Normalmente transportan información de múltiples VLAN.
• Se denominan así porque normalmente corresponden a puertos de uplink o del
backbone en la topología de la red.
 Mas adelante …
 ¿Cómo se identifica a una VLAN en una trama Ethernet?
 La trama MAC no tiene un campo para identificar VLANS!!!

Sergio D. Saade Redes de Computadoras Avanzadas I 14

Estándar 802.1p/Q

Este estándar introduce un nuevo formato de trama Ethernet el cual

puede transportar información de identificación de VLAN.
Define tres tipos de formatos Ethernet:
 Untagged Frame:
• Formato de Frame 802.3
 Priority-tagged frame:
• Contiene un campo de prioridades que sigue al Source Add.
• No contiene información de VLAN (VID = 0).
• Si estos frames soportan VLAN, deberán usar algún método
propietario de información de la misma.
 Vlan-tagged frame:
• Portan una identificación específica de la VLAN a la que
pertenece (VID).
Sergio D. Saade Redes de Computadoras Avanzadas I 15
Encabezamiento con “tag”

El Tag comienza luego del campo de Source Address.

Tiene una longitud total de 4 Bytes.
Se lo denomina VLAN Tag, aunque no solo identifica a la VLAN a que
pertenece una trama.
Cuando una trama contiene VLAN Tag, el campo Type/Length de
Ethernet se encuentra desplazado en 4 Bytes de la posición sin tag.
Con el “tagging”, se extiende la longitud máxima de la trama a 1522
Bytes.
El formato de la trama con tagging sería:

Sergio D. Saade Redes de Computadoras Avanzadas I 16

Tag

Compuesto por:
 TPID (“Tag protocol ID):
• Identifica a la trama como una trama “tagged”.
• Longitud: 2 Bytes.
• El valor que usa es 0x8100 (Hexa).
• De esta forma se conoce si una trama tiene o no VLAN Tag.
 TCI (“Tag Control Information”):
• Contiene la Prioridad de la Trama (Priority Code Point), CFI
(Canonical Format ID), y el VID (Vlan IDentifier).
• Longitud: 2 Bytes.
Longitud total del Tag: 4 Bytes.

Sergio D. Saade Redes de Computadoras Avanzadas I 17

Formato del TCI

Campo compuesto por 2 octetos:

 PRI: 3 bits que permite configurar 8 niveles de prioridad (QoS Level 2).
 CFI: 1 bit. (Usado por compatibilidad Ethernet - Token Ring).
• Si CFI = 0, E-RIF (Extended Routing Information) no presente, MAC Add
canónicas.
• Si CFI = 1, E-RIF presente.
• Siempre 0 para Ethernet y normas asociadas.
 VID: 12 Bits (unsigned binary number).
• Soporte hasta 4096 VLANS.
• VID’s reservados: 0, 1 y FFF (y otros por Fabricantes).
 Este VID se utiliza cuando se interconectan switches con VLANs.
 El hecho que este campo permita direccionar 4096 VLAN’s, no significa que el
switch soporte esa cantidad de VLAN’s! (Ver especificaciones de cada Switch).
 La VLAN 1 está normalmente reservada para administración.
 La VLAN 0 también reservada indica que la trama no pertenece a ninguna VLAN
(trama 802.1p).
Sergio D. Saade Redes de Computadoras Avanzadas I 18
Puertos Tagged/Untagged

Se dice que un switch tiene configurado un puerto como “tagged”,

cuando transporta tramas 802.1p/Q (Enlaces Trunk).
Untagged -> Soporta tramas 802.3 (Enlaces de Acceso).
Los puertos tagged son configurados cuando los switches deben
traficar paquetes identificatorios de distintas VLAN.
Principalmente usados en Switches de CORE.
Los puertos untagged normalmente conectan a puestos de
trabajos.
Existen NICs con soporte de VLAN Tagging (aunque pueden
soportar la trama 802.1p).
 La MAC Add es única.

Sergio D. Saade Redes de Computadoras Avanzadas I 19

Operación tramas
Tagged/Untagged

Tag 1
2 3
1
SWITCH I
(Borde)
X 1
1 1 2
Switch L2/L3 SWITCH II
(Core) (Borde)

3
SWITCH III
(Borde)

VLAN Roja VLAN Verde VLAN Amarilla

Sergio D. Saade Redes de Computadoras Avanzadas I 20
Dominios tramas tagged y un-
tagged

Sergio D. Saade Redes de Computadoras Avanzadas I 21

Core Switches y VLANs

Un Core Switch realiza el forwarding basado solamente en

información de VLAN tag.

Sergio D. Saade Redes de Computadoras Avanzadas I 22

Reglas de Asociación VLAN

Algunas son:
 Mapeo basado en puertos.
 Mapeo basado en MAC-Address.
 Mapeo basado en protocolos.
 Mapeo basado en subnet IP.
 Mapeo basado en aplicaciones.

Sergio D. Saade Redes de Computadoras Avanzadas I 23

Mapeo basado en puertos

Sergio D. Saade Redes de Computadoras Avanzadas I 24

Mapeo basado en puertos

Primer método disponible en switches comerciales.

Cubierto por el estándar IEEE 802.1p/Q
No es necesario hacer un “parse” de la trama para saber a
que VLAN pertenece.
Partición lógica de un switch en micro-switches.

Sergio D. Saade Redes de Computadoras Avanzadas I 25

Mapeo basado en Mac Address

Sergio D. Saade Redes de Computadoras Avanzadas I 26

Mapeo basado en MAC

El switch debe hacer un “parse” la dirección origen en la

trama y realizar el mapeo en tiempo real.
No consume grandes recursos, porque usa el mismo método
que en la construcción de MAC Add Table.
Puede necesitar el uso de servidores Radius para su
implementación (IEEE 802.1X).

Sergio D. Saade Redes de Computadoras Avanzadas I 27

Mapeo basado en protocolo

Sergio D. Saade Redes de Computadoras Avanzadas I 28

Mapeo basado en Subnet IP

Sergio D. Saade Redes de Computadoras Avanzadas I 29

Mapeo basado en Subnet IP

Dos pasos:
 Parse de trama para determinar si encapsula IP (Type
0x0800).
 Extraer la porción del subnet-ID de la dirección IP Origen.
No existe comunicación entre VLAN diferentes.
 Para ello es necesario rutear entre Subredes IP:
• Switches Layer3 (L3).
• Routers con soporte de VLAN Tag.
 Más adelante se cubre Switches L3.

Sergio D. Saade Redes de Computadoras Avanzadas I 30

Mapeo basado en Aplicaciones

Sergio D. Saade Redes de Computadoras Avanzadas I 31

Mapeo basado en aplicaciones

Tarea compleja porque se debe hacer un recorrido completo

de la trama e identificar dentro de los datos encapsulados la
aplicaciones.
Ejemplo: Aplicaciones Web.
 Deben cumplir con la regla:
• Protocolo Nivel 3: IP.
• Protocolo Nivel 4: TCP.
• Protocolo Aplicación: Puertos (origen o destino) 80
(HTTP) o 443 (HTTPS).
Usadas para crear VLAN automática para Voz Sobre IP en
forma automática.
Sergio D. Saade Redes de Computadoras Avanzadas I 32
Ruteo entre VLAN’s

Para la comunicación entre VLAN’s es necesario el uso de un

router ya que:
 Un router normalmente bloquea el tráfico de broadcast.
 Permite la conexión de subredes IP independientes.
En redes LAN de alta velocidad en lugar de utilizar routers
se utilizan Switches que permiten el ruteo a velocidades de
retransmisión altísimas:
 Switches Layer 3.
 En estos la conmutación se hace con ASIC’s (hardware).
Un switch L3 puede realizar las funciones de ruteo (L3) y de
conmutación (L2) en forma simultánea.
Sergio D. Saade Redes de Computadoras Avanzadas I 33
Switches Layer 3

 Reciben tráfico de múltiples VLAN’s (por puertos tagged).

 En el switch L3, se crean las VLAN’s y se le asocian direcciones IP.
 No necesariamente debe haber puertos físicos asignados a dichas VLAN’s.
 Es necesario que cada VLAN tenga asociada una dirección IP de una subred
diferente.
 Algunos switches permiten asociar mas de una IP a una misma VLAN
(subinterfaces).
 También algunos switches permiten configurar direcciones IP a cada puerto,
constituyendo el switch un router multipuerto (no usado para ruteo de
vlans).
 Switches L3 poseen tabla de ruteo:
 Ruteo estático (Switches Entry Level).
 Ruteo Dinámico (Switches rango medio y alto).

Sergio D. Saade Redes de Computadoras Avanzadas I 34

Ejemplo de Configuración

Sergio D. Saade Redes de Computadoras Avanzadas I 35

DHCP Relay en Switches L3

DHCP Relay (UDP Helper) permite transferir el tráfico de

broadcast generado por clientes y servidores DHCP.
En el caso de múltiples VLAN’s, como cada VLAN está
asociada a una Subnet IP diferente, sin esta característica se
debería configurar un servidor DHCP por cada subnet.
Con esta opción habilitada, un único servidor DHCP puede
ofrecer direcciones IP a las PC’s de las diferentes subredes
(configurando un ámbito por cada subnet).

Sergio D. Saade Redes de Computadoras Avanzadas I 36

Retransmisión de Tramas…
Revisitado
En Switches que soportan VLANs, se mantiene una base de
datos de filtrado por cada VLAN.
Las reglas de retransmisión de tramas de un switch sin VLAN,
se aplican pero a nivel de cada VLAN (no globalmente).

Sergio D. Saade Redes de Computadoras Avanzadas I 37

Retransmisión de Tramas con
VLAN
Dirección Destino Switch sin VLAN Switch con VLANs
Unicast 1. Determinar Output 1. Determinar VLAN
Port asociado a MAC asociada con trama
destino (MAC Add recibida.
Table). 2. Determinar Out Port
2. Si puerto destino asociado a MAC
diferente a origen destino (MAC Add
retransmitir la trama. Table de VLAN).
3. Sino, descartar trama. 3. Si puerto destino es
diferente a origen
retransmitir la trama.
4. Sino, descartar.
Multicast y Broadcast… … …

Sergio D. Saade Redes de Computadoras Avanzadas I 38

Retransmisión de Tramas con
VLAN

Dirección Destino Switch sin VLAN Switch con VLANs

Multicast y Broadcast 1. Difundir la trama por
todos los puertos
excepto por el que
ingresó.
1. Determinar VLAN
asociada con trama
recibida.
2. Difundir trama por
todos los puertos
miembros de la VLAN
excepto por donde
ingresó.

Sergio D. Saade Redes de Computadoras Avanzadas I 39

Bibliografía

“The All-New Switch Book”, 2nd. Edition. R. Seifert & J

Edward, Wiley Publishing, 2008
“CCNP BCMSN”, 4th Edition, D. Hucaby, Cisco Press, 2007

40