VLANS

REDES LOCALES VIRTUALES

Torres Carlos – Vélez Víctor
Una VLAN (acrónimo de virtual LAN, «red de área local virtual»)
es un método para crear redes lógicas independientes dentro
de una misma red física.

• Permite definir redes locales con computadoras ubicadas en diferentes redes locales físicas

• Permite la separación de dominios de difusión

• Recomendado para patrones de tráfico 80/20

• Usar la reglla “1 Vlan/1 subred IP””, es decir, usar un enrutador para enrutar paquetes entre
diferentes VLANS.
• Adaptación a diferentes estructuras organizacionales
• Reducir la contención por el uso de la red
• Permite balancear la carga de la red
• Facilita agregar y cambiar de lugar las computadoras,
reduciendo costos de administración
• Ayuda a implantar políticas de seguridad
• Permite reubicar servidores en lugares físicamente apropiados
Hoy en día, existe fundamentalmente una manera de implementar las VLAN: VLAN basada en
puerto. Una VLAN basada en puerto se asocia con un puerto denominado acceso VLAN.

Sin embargo, en las redes existe una cantidad de términos para las VLAN. Algunos términos
definen el tipo de tráfico de red que envían y otros definen una función específica que
desempeña una VLAN.

Los tipos son:

VLAN de Datos
VLAN Predeterminada
VLAN Nativa
VLAN de Administración
VLAN de Datos
Una VLAN de datos es una VLAN configurada para
enviar sólo tráfico de datos generado por el usuario.
Una VLAN podría enviar tráfico basado en voz o tráfico
utilizado para administrar el switch, pero este tráfico no
sería parte de una VLAN de datos. Es una práctica
común separar el tráfico de voz y de administración del
tráfico de datos. A veces, a una VLAN de datos se la
denomina VLAN de usuario.

VLAN Predeterminada
Todos los puertos de switch se convierten en un miembro
de la VLAN predeterminada luego del arranque inicial
del switch. Hacer participar a todos los puertos de switch
en la VLAN predeterminada los hace a todos parte del
mismo dominio de broadcast. La VLAN predeterminada
para los switches de Cisco es la VLAN 1.
VLAN Nativa
Una VLAN nativa está asignada a un puerto troncal
802.1Q. Un puerto de enlace troncal 802.1 Q admite el
tráfico que llega de muchas VLAN (tráfico etiquetado)
como también el tráfico que no llega de una VLAN
(tráfico no etiquetado). El puerto de enlace troncal
802.1Q coloca el tráfico no etiquetado en la VLAN
nativa. En la figura, la VLAN nativa es la VLAN 99.

VLAN de Administración
Una VLAN de administración es cualquier VLAN que
usted configura para acceder a las capacidades de
administración de un switch. La VLAN 1serviría como
VLAN de administración si no definió proactivamente una
VLAN única para que sirva como VLAN de
administración. Se asigna una dirección IP y una máscara
de subred a la VLAN de administración.
Existen tres métodos principales de definición de
pertenencia a VLAN:

• VLAN por puerto

• VLAN por dirección MAC
• VLAN por filtros
VLAN POR PUERTO
Cada puerto del conmutador puede asociarse a una VLAN.

Ventajas
• Facilidad de movimientos y cambios

• Microsegmentación y reducción del dominio de broadcast

• Multiprotocolo

Desventajas

• Administración
VLAN DIRECCIÓN MAC
La relación de pertenencia a VLAN se basa en la dirección MAC.

Ventajas
• Facilidad de movimiento.

• Multiprotocolo

Desventajas
• Problemas de rendimiento y control de broadcast

• Complejidad en la administración
VLANS POR FILTROS
La asignación a las VLANs se basa en información de protocolos de red (por ejemplo dirección IP
o dirección IPX y tipo de encapsulación). La pertenencia a la VLAN se basa en la utilización de
unos filtros que se aplican a las tramas para determinar su relación de pertenencia a la VLAN. Los
filtros deben aplicarse por cada trama que entre por uno de sus puertos del conmutador.

Ventajas
• Segmentación por protocolo

• Asignación dinámica

Desventajas
• Problemas de rendimiento y control de broadcast

• No soporta protocolos de nivel 2 ni protocolos dinámicos

Los componentes físicos de las VLAN son los equipos que soporten los estándares de
comunicación de las VLANS, esto incluye switches, puentes, interfaces de red, etc., todos
los dispositivos con los que se implante un modelo de red con VLAN.

El componente principal de una VLAN es el

estándar de comunicación que utiliza, en el
caso particular es el estándar IEEE 802.1Q.

El estándar IEEE 802.1Q define una arquitectura para las LAN con puentes virtuales, los
servicios proporcionados en las VLAN, y los protocolos y algoritmos que participan en la
oferta de estos servicios.
 802.1q y 802..1p
Estándares de IEEE para VLAN's (802.1q) y “Calidad de Servicio” (QoS) a
nivel de Capa MAC o 2 de OSI (802.1p)

802.1q incluye la posibilidad de especificar prioridades en “flujos”, que

es utilizado por 802.1p

802.1p puede ser utilizado para QoS en capas superiores (RSVP)

A continuación se presenta un ejemplo del estándar 802.1Q:

Problema: Solución con 802.1Q:

Transportar tráfico de varias LANs sobre Cada trama se marca con el id de la LAN a la
ethernet. que pertenece.

La identificación de la LAN a la que pertenece cada red

se identifica por el id, el formato de la trama 802.1Q es:
Trama IEEE 802.1P/Q
VLAN Trunking

Permite tener membresía a lo largo de una organización

El troncal debe llevar la información sobre la membresía a las VLAN

 Conmutadores LAN y software de administrador de red
deben proveer mecanismos para crear VLANs.

Membresía debe estar basada en:

– Puerto del switch
– MAC address
– Protocolo de nivel 3
IPX vs IP
Subred IP
Dirección IP de multicast

Se debe elegir los componentes correctos por posibles inconvenientes de

compatibilidad entre marcas.
Además, las tramas son marcadas con un ID de VLAN.
 EndtoEnd VLAN Local VLAN
– Esencialmente para – Esencialmente para mejorar el
permitir que los usuarios desempeño de una red local (al
estén físicamente separar dominios de difusión)
distribuidos. – Las computadoras están
– Se apoya en un físicamente cerca pero se separan
mecanismo llamado los dominios de difusión
trunking – Permite una ubicación selectiva
– Típicamente las VLANs se de servidores
comunican entre sí a través
de enrutamiento en el
troncal
La seguridad en las VLANS depende de forma
primordial de la administración, y de las
prestaciones de los equipos que se utilicen para
formar las VLANS, cabe indicar que mientras
más segura y con menos accesos es una red, la
administración de la misma es más compleja.

La seguridad que se tiene en una VLAN específica es

muy elevada, puesto que solo los miembros que
pertenecen a dicha VLAN podrán compartir recursos,
como si fuese una LAN creada solo para ese grupo
determinado.
Las redes virtuales hacen que se reduzca el costo de manejo de usuarios que se mueven y
cambian, éste beneficio se obtiene principalmente en las VLANs que han sido implementadas
en el nivel 3 con direcciones IP, debido a que la estación cambia de sitio conserva su
dirección IP.

Con las redes virtuales se pueden establecer Grupos de Trabajo Virtuales, esto es, miembros
de un mismo departamento que están conectados en la misma LAN, es decir, físicamente
contiguos pueden estar en diferentes VLANs

Reducción de enrutadores, cuando se tiene una LAN los dominios de broadcast, son
determinados por los enrutadores, en cambio, en una VLAN un switch sabe cuales puertos
pertenecen al dominio de broadcast y por lo tanto solamente envía información a esos
puertos, sin necesidad de un enrutador.

Las VLANs pueden llegar a ser muy seguras cuando se implementan en conjunto con switches
con puerto privado.
GRACIAS