REDES VLAN

INSTITUTO TECNOLÓGICO SUPERIOR DE

PURUÁNDIRO
ROBERTO GABRIEL MOTA ARROYO
REDES EMERGENTES
UNA VLAN (RED DE ÁREA LOCAL VIRTUAL O LAN VIRTUAL) ES UNA RED DE ÁREA LOCAL
QUE AGRUPA UN CONJUNTO DE EQUIPOS DE MANERA LÓGICA Y NO FÍSICA.

EFECTIVAMENTE, LA COMUNICACIÓN ENTRE LOS DIFERENTES EQUIPOS EN UNA RED DE

TIPOS DE VLAN
ÁREA LOCAL ESTÁ REGIDA POR LA ARQUITECTURA FÍSICA. GRACIAS A LAS REDES
VIRTUALES (VLAN), ES POSIBLE LIBERARSE DE LAS LIMITACIONES DE LA ARQUITECTURA
FÍSICA (LIMITACIONES GEOGRÁFICAS, LIMITACIONES DE DIRECCIÓN, ETC.), YA QUE SE
DEFINE UNA SEGMENTACIÓN LÓGICA BASADA EN EL AGRUPAMIENTO DE EQUIPOS SEGÚN
DETERMINADOS CRITERIOS (DIRECCIONES MAC, NÚMEROS DE PUERTOS, PROTOCOLO,
ETC.).

EXISTEN DIFERENTES TIPOS DE REDES VLAN, LOS CUALES SE UTILIZAN EN LAS REDES
MODERNAS. ALGUNOS TIPOS DE VLAN SE DEFINEN SEGÚN LAS CLASES DE TRÁFICO.
OTROS TIPOS DE VLAN SE DEFINEN SEGÚN LA FUNCIÓN ESPECÍFICA QUE CUMPLEN.

VLAN DE DATOS
UNA VLAN DE DATOS ES UNA VLAN CONFIGURADA PARA TRANSPORTAR TRÁFICO
GENERADO POR USUARIOS. UNA VLAN QUE TRANSPORTA TRÁFICO DE ADMINISTRACIÓN
O DE VOZ NO SERÍA UNA VLAN DE DATOS. ES UNA PRÁCTICA COMÚN SEPARAR EL
TRÁFICO DE VOZ Y DE ADMINISTRACIÓN DEL TRÁFICO DE DATOS. A VECES A UNA VLAN
DE DATOS SE LA DENOMINA VLAN DE USUARIO. LAS VLAN DE DATOS SE USAN PARA
DIVIDIR LA RED EN GRUPOS DE USUARIOS O DISPOSITIVOS.

VLAN PREDETERMINADA
TODOS LOS PUERTOS DE SWITCH SE VUELVEN PARTE DE LA VLAN PREDETERMINADA
DESPUÉS DEL ARRANQUE INICIAL DE UN SWITCH QUE CARGA LA CONFIGURACIÓN
PREDETERMINADA. LOS PUERTOS DE SWITCH QUE PARTICIPAN EN LA VLAN
PREDETERMINADA FORMAN PARTE DEL MISMO DOMINIO DE DIFUSIÓN. ESTO ADMITE
CUALQUIER DISPOSITIVO CONECTADO A CUALQUIER PUERTO DE SWITCH PARA
COMUNICARSE CON OTROS DISPOSITIVOS EN OTROS PUERTOS DE SWITCH. LA VLAN
PREDETERMINADA PARA LOS SWITCHES CISCO ES LA VLAN 1.
VLAN NATIVA
UNA VLAN NATIVA ESTÁ ASIGNADA A UN PUERTO TRONCAL 802.1Q. LOS
PUERTOS DE ENLACE TRONCAL SON LOS ENLACES ENTRE SWITCHES QUE
ADMITEN LA TRANSMISIÓN DE TRÁFICO ASOCIADO A MÁS DE UNA VLAN. LOS
PUERTOS DE ENLACE TRONCAL 802.1Q ADMITEN EL TRÁFICO PROVENIENTE
DE MUCHAS VLAN (TRÁFICO CON ETIQUETAS), ASÍ COMO EL TRÁFICO QUE NO
PROVIENE DE UNA VLAN (TRÁFICO SIN ETIQUETAR). EL TRÁFICO CON
ETIQUETAS HACE REFERENCIA AL TRÁFICO QUE TIENE UNA ETIQUETA DE 4
BYTES INSERTADA EN EL ENCABEZADO DE LA TRAMA DE ETHERNET
ORIGINAL, QUE ESPECIFICA LA VLAN A LA QUE PERTENECE LA TRAMA. EL
PUERTO DE ENLACE TRONCAL 802.1Q COLOCA EL TRÁFICO SIN ETIQUETAR EN
LA VLAN NATIVA, QUE ES LA VLAN 1 DE MANERA PREDETERMINADA.

LAS VLAN NATIVAS SE DEFINEN EN LA ESPECIFICACIÓN IEEE 802.1Q A FIN DE

MANTENER LA COMPATIBILIDAD CON EL TRÁFICO SIN ETIQUETAR DE
MODELOS ANTERIORES COMÚN A LAS SITUACIONES DE LAN ANTIGUAS. UNA
VLAN NATIVA FUNCIONA COMO IDENTIFICADOR COMÚN EN EXTREMOS
OPUESTOS DE UN ENLACE TRONCAL.

SE RECOMIENDA CONFIGURAR LA VLAN NATIVA COMO VLAN SIN UTILIZAR,

INDEPENDIENTE DE LA VLAN 1 Y DE OTRAS VLAN. DE HECHO, ES COMÚN
UTILIZAR UNA VLAN FIJA PARA QUE FUNCIONE COMO VLAN NATIVA PARA
TODOS LOS PUERTOS DE ENLACE TRONCAL EN EL DOMINIO CONMUTADO.
VLAN DE ADMINISTRACIÓN
UNA VLAN DE ADMINISTRACIÓN ES CUALQUIER VLAN QUE SE CONFIGURA PARA
ACCEDER A LAS CAPACIDADES DE ADMINISTRACIÓN DE UN SWITCH. LA VLAN 1 ES LA
VLAN DE ADMINISTRACIÓN DE MANERA PREDETERMINADA. PARA CREAR LA VLAN
DE ADMINISTRACIÓN, SE ASIGNA UNA DIRECCIÓN IP Y UNA MÁSCARA DE SUBRED A
LA INTERFAZ VIRTUAL DE SWITCH (SVI) DE ESA VLAN, LO QUE PERMITE QUE EL
SWITCH SE ADMINISTRE MEDIANTE HTTP, TELNET, SSH O SNMP. DADO QUE EN LA
CONFIGURACIÓN DE FÁBRICA DE UN SWITCH CISCO LA VLAN 1 SE ESTABLECE COMO
VLAN PREDETERMINADA, LA VLAN 1 NO ES UNA ELECCIÓN ADECUADA PARA LA
VLAN DE ADMINISTRACIÓN.
EN EL PASADO, LA VLAN DE ADMINISTRACIÓN PARA LOS SWITCHES 2960 ERA LA
ÚNICA SVI ACTIVA. EN LAS VERSIONES 15.X DE IOS DE CISCO PARA LOS SWITCHES DE
LA SERIE CATALYST 2960, ES POSIBLE TENER MÁS DE UNA SVI ACTIVA. CON IOS DE
CISCO 15.X, SE DEBE REGISTRAR LA SVI ACTIVA ESPECÍFICA ASIGNADA PARA LA
ADMINISTRACIÓN REMOTA. SI BIEN, EN TEORÍA, UN SWITCH PUEDE TENER MÁS DE
UNA VLAN DE ADMINISTRACIÓN, ESTO AUMENTA LA EXPOSICIÓN A LOS ATAQUES DE
RED.
• DE MANERA PREDETERMINADA, TODOS LOS PUERTOS ESTÁN ASIGNADOS A LA
VLAN 1 PARA REENVIAR DATOS.
• DE MANERA PREDETERMINADA, LA VLAN NATIVA ES LA VLAN 1.
• DE MANERA PREDETERMINADA, LA VLAN DE ADMINISTRACIÓN ES LA VLAN 1.
• NO SE PUEDE CAMBIAR EL NOMBRE NI ELIMINAR LA VLAN 1.
PROTOCOLOS DE
ENLACE VLAN
ENLACES TRONCALES

UN ENLACE TRONCAL ES OTRO TIPO DE PUERTO DE CAPA 2 SOPORTADO POR LOS

SWITCHS CISCO. CUANDO SE CONFIGURA UN PUERTO TRONCAL, EMPIEZA
MARCANDO LAS TRAMAS O MEDIDAS QUE SALEN DEL PUERTO PARA INDICAR LA
VLAN A LA QUE CADA TRAMA ESTÁ ASOCIADA.
EL PUERTO TRONCAL TAMBIÉN PUEDE LEER LAS MARCAS DENOMINADAS
ETIQUETAS, A MEDIDA QUE ENTRAN EN EL PUERTO TRONCAL ESTE PERMITE QUE
EL SWITCH ENVÍE UNA TRAMA SOLO A LOS PUERTOS DE LA VLAN ASOCIADA A LA
TRAMA ENTRANTE.
EL PROPÓSITO PRINCIPAL DEL TRUNKING ES TRANSPORTAR TRÁFICO ENTRE
SWITCHS Y MANTENER INFORMACIÓN VLAN A DIFERENCIA DE UN ENLACE A
ACCESO, EL ENLACE TRONCAL NO PERTENECE A UNA SOLA VLAN, PERO EN
CAMBIO PUEDE TRANSPORTAR TRÁFICO DE VARIAS VLAN.
DURANTE TODO EL PROCESO DE CONFIGURACIÓN Y FUNCIONAMIENTO DE UNA VLAN ES NECESARIA LA PARTICIPACIÓN DE UNA SERIE DE
PROTOCOLOS ENTRE LOS QUE DESTACAN EL IEEE 802.1Q, STP Y VTP (CUYO EQUIVALENTE IEEE ES GVRP). EL PROTOCOLO IEEE 802.1Q SE ENCARGA DEL
ETIQUETADO DE LAS TRAMAS QUE ES ASOCIADA INMEDIATAMENTE CON LA INFORMACIÓN DE LA VLAN. EL COMETIDO PRINCIPAL DE SPANNING TREE
PROTOCOL (STP) ES EVITAR LA APARICIÓN DE BUCLES LÓGICOS PARA QUE HAYA UN SÓLO CAMINO ENTRE DOS NODOS. VTP (VLAN TRUNKING
PROTOCOL) ES UN PROTOCOLO PROPIETARIO DE CISCO QUE PERMITE UNA GESTIÓN CENTRALIZADA DE TODAS LAS VLAN.

EL PROTOCOLO DE ETIQUETADO IEEE 802.1Q ES EL MÁS COMÚN PARA EL ETIQUETADO DE LAS VLAN. ANTES DE SU INTRODUCCIÓN EXISTÍAN VARIOS
PROTOCOLOS PROPIETARIOS, COMO EL ISL (INTER-SWITCH LINK) DE CISCO, UNA VARIANTE DEL IEEE 802.1Q, Y EL VLT (VIRTUAL LAN TRUNK) DE 3COM
EL IEEE 802.1Q SE CARACTERIZA POR UTILIZAR UN FORMATO DE TRAMA SIMILAR A 802.3 (ETHERNET) DONDE SOLO CAMBIA EL VALOR DEL CAMPO
ETHERTYPE, QUE EN LAS TRAMAS 802.1Q VALE 0X8100, Y SE AÑADEN DOS BYTES PARA CODIFICAR LA PRIORIDAD, EL CFI Y EL VLAN ID. ESTE
PROTOCOLO ES UN ESTÁNDAR INTERNACIONAL Y POR LO DICHO ANTERIORMENTE ES COMPATIBLE CON BRIDGES Y SWITCHES SIN CAPACIDAD DE
VLAN.

LAS VLAN Y PROTOCOLOS DE ÁRBOL DE EXPANSIÓN. PARA EVITAR LA SATURACIÓN DE LOS SWITCHES DEBIDO A LAS TORMENTAS BROADCAST, UNA
RED CON TOPOLOGÍA REDUNDANTE TIENE QUE TENER HABILITADO EL PROTOCOLO STP. LOS SWITCHES INTERCAMBIAN MENSAJES STP BPDU (BRIDGE
PROTOCOL DATA UNITS) ENTRE SÍ PARA LOGRAR QUE LA TOPOLOGÍA DE LA RED SEA UN ÁRBOL (NO TENGA ENLACES REDUNDANTES) Y SOLO HAYA
ACTIVO UN CAMINO PARA IR DE UN NODO A OTRO. EL PROTOCOLO STP/RSTP ES AGNÓSTICO A LAS VLAN, MSTP (IEEE 802.1Q) PERMITE CREAR ÁRBOLES
DE EXPANSIÓN DIFERENTES Y ASIGNARLOS A GRUPOS DE LAS VLAN MEDIANTE CONFIGURACIÓN. ESTO PERMITE UTILIZAR ENLACES EN UN ÁRBOL
QUE ESTÁN BLOQUEADOS EN OTRO ÁRBOL.
EN LOS DISPOSITIVOS CISCO, VTP (VLAN TRUNKING PROTOCOL) SE ENCARGA DE MANTENER LA COHERENCIA DE LA CONFIGURACIÓN VLAN POR TODA
LA RED. VTP UTILIZA TRAMAS DE NIVEL 2 PARA GESTIONAR LA CREACIÓN, BORRADO Y RENOMBRADO DE LAS VLAN EN UNA RED SINCRONIZANDO
TODOS LOS DISPOSITIVOS ENTRE SÍ Y EVITAR TENER QUE CONFIGURARLOS UNO A UNO. PARA ESO HAY QUE ESTABLECER PRIMERO UN DOMINIO DE
ADMINISTRACIÓN VTP. UN DOMINIO VTP PARA UNA RED ES UN CONJUNTO CONTIGUO DE SWITCHES UNIDOS CON ENLACES TRUNK QUE TIENEN EL
MISMO NOMBRE DE DOMINIO VTP.

LOS SWITCHES PUEDEN ESTAR EN UNO DE LOS SIGUIENTES MODOS: SERVIDOR, CLIENTE O TRANSPARENTE. «SERVIDOR» ES EL MODO POR DEFECTO,
ANUNCIA SU CONFIGURACIÓN AL RESTO DE EQUIPOS Y SE SINCRONIZA CON OTROS SERVIDORES VTP. UN SWITCH EN MODO CLIENTE NO PUEDE
MODIFICAR LA CONFIGURACIÓN VLAN, SIMPLEMENTE SINCRONIZA LA CONFIGURACIÓN SOBRE LA BASE DE LA INFORMACIÓN QUE LE ENVÍAN LOS
SERVIDORES. POR ÚLTIMO, UN SWITCH ESTÁ EN MODO TRANSPARENTE CUANDO SOLO SE PUEDE CONFIGURAR LOCALMENTE PUES IGNORA EL
CONTENIDO DE LOS MENSAJES VTP.

VTP TAMBIÉN PERMITE «PODAR» (FUNCIÓN VTP PRUNING), LO QUE SIGNIFICA DIRIGIR TRÁFICO VLAN ESPECÍFICO SOLO A LOS CONMUTADORES QUE
TIENEN PUERTOS EN LA VLAN DESTINO. CON LO QUE SE AHORRA ANCHO DE BANDA EN LOS POSIBLEMENTE SATURADOS ENLACES TRUNK.

UNO DE LOS PEORES PROBLEMAS QUE PUEDE PRESENTARSE PARA UN SWITCH ES CUANDO ESCUCHA LA MISMA DIRECCIÓN MAC (MEDIUM ACCESS
CONTROL) POR DOS INTERFACES FÍSICAS DIFERENTES, ESTE ES UN BUCLE QUE EN PRINCIPIO, NO SABRÍA COMO RESOLVER.2​ ESTE PROBLEMA SI BIEN
PARECE POCO PROBABLE QUE PUEDA OCURRIR, EN REALIDAD EN REDES GRANDES AL TENER CIENTOS O MILES DE CABLES (MUCHOS DE ELLOS PARA
REDUNDANCIA), ESTE HECHO ES TAN SENCILLO COMO CONECTAR EL MISMO CABLE EN DIFERENTES PATCH PANNELS QUE CIERRAN UN LAZO SOBRE EL
MISMO DISPOSITIVO, Y EN LA REALIDAD OCURRE CON CIERTA FRECUENCIA, MAYOR, EN LA MEDIDA QUE MÁS GRANDE SEA LA RED LAN. TAMBIÉN ES UN
HECHO CONCRETO CUANDO EL CABLEADO SE DISEÑA PARA POSEER CAMINOS REDUNDANTES, JUSTAMENTE PARA INCREMENTAR LA DISPONIBILIDAD
DE LA RED.
CUANDO FÍSICAMENTE SE CIERRA UN BUCLE, LA TOPOLOGÍA PURA DE RED “JERÁRQUICA” DEJA DE SERLO Y SE CONVIERTE EN UNA RED “MALLA”. PARA
TRATAR ESTE PROBLEMA EL PROTOCOLO SPANNING TREE CREA UNA RED “JERÁRQUICA LÓGICA (ÁRBOL LÓGICO)” SOBRE ESTA RED “MALLA FÍSICA”.
ESTE PROTOCOLO CREA “PUENTES” (BRIDGES) DE UNIÓN SOBRE ESTOS ENLACES Y DEFINE A TRAVÉS DE DIFERENTES ALGORITMOS QUE SE PUEDEN
CONFIGURAR, CUÁL ES EL QUE TIENE MAYOR PRIORIDAD, ESTE PUENTE DE MÁXIMA PRIORIDAD LO DENOMINA “ROOT BRIDGE” (O PUENTE RAÍZ) Y SERÁ
EL QUE MANDA JERÁRQUICAMENTE LAS INTERFACES POR LAS CUÁLES SE SEPARARÁN LOS DIFERENTES DOMINIOS DE COLISIÓN. TODO EL CONTROL DE
STP SE REALIZA MEDIANTE TRAMAS LLAMADAS BPDU (BRIDGE PROTOCOL DATA UNIT) QUE SON LAS QUE REGULAN LOS DIFERENTES DOMINIOS DE
COLISIÓN . EL PARÁMETRO QUE DEFINE ESTA JERARQUÍA ES EL BID (BRIDGE IDENTIFIER) QUE ESTÁ COMPUESTO POR EL BRIDGE PRIORITY + DIRECCIÓN
MAC. EL BRIDGE PRIORITY ES UN VALOR CONFIGURABLE QUE POR DEFECTO ESTÁ ASIGNADO EN 32768.
 EL ENRUTAMIENTO ENTRE VLANS O INTER VLAN ROUTING, RESULTA
NECESARIO UNA VEZ QUE SE POSEE UNA INFRAESTRUCTURA DE RED
CON VLAN IMPLEMENTADAS, DEBIDO A QUE LOS USUARIOS

ENRUTAMIENTO NECESITARAN INTERCAMBIAR INFORMACIÓN DE UNA RED A OTRA.

INTER VLAN ES IMPORTANTE RECORDAR QUE CADA VLAN ES UN DOMINIO DE

BROADCAST ÚNICO. POR LO TANTO, DE MANERA PREDETERMINADA,
LAS COMPUTADORAS EN VLAN SEPARADAS NO PUEDEN COMUNICARSE.
EXISTE UNA MANERA PARA PERMITIR QUE ESTAS ESTACIONES FINALES
PUEDAN COMUNICARSE; ESTA MANERA SE LLAMA ENRUTAMIENTO
ENTRE VLAN (INTER VLAN ROUTING).
 EL ENRUTAMIENTO ENTRE VLAN ES UN PROCESO QUE PERMITE REENVIAR EL TRÁFICO DE LA
RED DESDE UNA VLAN A OTRA MEDIANTE UN ENRUTADOR. LAS VLAN ESTÁN ASOCIADAS A
SUBREDES IP ÚNICAS EN LA RED. ESTA CONFIGURACIÓN DE SUBRED FACILITA EL PROCESO DE
ENRUTAMIENTO EN UN ENTORNO DE MÚLTIPLES VLAN.
TRADICIONALMENTE, EL ENRUTAMIENTO DE LA LAN UTILIZA ENRUTADORES CON
INTERFACES FÍSICAS MÚLTIPLES. ES NECESARIO CONECTAR CADA INTERFAZ A UNA RED
SEPARADA Y CONFIGURARLA PARA UNA SUBRED DIFERENTE.

EN UNA RED TRADICIONAL QUE UTILIZA MÚLTIPLES VLAN PARA SEGMENTAR EL TRÁFICO DE
LA RED EN DOMINIOS DE BROADCAST LÓGICOS, EL ENRUTAMIENTO SE REALIZA MEDIANTE
LA CONEXIÓN DE DIFERENTES INTERFACES FÍSICAS DEL ENRUTADOR A DIFERENTES PUERTOS
FÍSICOS DEL SWITCH. LOS PUERTOS DEL SWITCH CONECTAN AL ENRUTADOR EN MODO DE
ACCESO; EN ESTE MODO, DIFERENTES VLAN ESTÁTICAS SE ASIGNAN A CADA INTERFAZ DEL
PUERTO. CADA INTERFAZ DEL SWITCH ESTARÍA ASIGNADA A UNA VLAN ESTÁTICA
DIFERENTE. CADA INTERFAZ DEL ENRUTADOR PUEDE ENTONCES ACEPTAR EL TRÁFICO
DESDE LA VLAN ASOCIADA A LA INTERFAZ DEL SWITCH QUE SE ENCUENTRA CONECTADA Y
EL TRÁFICO PUEDE ENRUTARSE A OTRAS VLAN CONECTADAS A OTRAS INTERFACES..
EL ENRUTAMIENTO ENTRE VLAN TRADICIONAL REQUIERE DE INTERFACES FÍSICAS MÚLTIPLES
EN EL ENRUTADOR Y EN EL SWITCH. SIN EMBARGO, NO TODAS LAS CONFIGURACIONES DEL
ENRUTAMIENTO ENTRE VLAN REQUIEREN DE INTERFACES FÍSICAS MÚLTIPLES.
ALGUNOS SOFTWARE DEL ENRUTADOR PERMITEN CONFIGURAR INTERFACES DEL ENRUTADOR
COMO ENLACES TRONCALES. ESTO ABRE NUEVAS POSIBILIDADES PARA EL ENRUTAMIENTO
ENTRE VLAN. "ENRUTADOR-ON-A-STICK" ES UN TIPO DE CONFIGURACIÓN DE ENRUTADOR EN
LA CUAL UNA INTERFAZ FÍSICA ÚNICA ENRUTA EL TRÁFICO ENTRE MÚLTIPLES VLAN EN UNA
RED.

LA INTERFAZ DEL ENRUTADOR SE CONFIGURA PARA FUNCIONAR COMO ENLACE

TRONCAL Y ESTÁ CONECTADA A UN PUERTO DEL SWITCH CONFIGURADO EN
MODO DE ENLACE TRONCAL. EL ENRUTADOR REALIZA EL ENRUTAMIENTO
ENTRE VLAN AL ACEPTAR EL TRÁFICO ETIQUETADO DE LA VLAN EN LA
INTERFAZ TRONCAL PROVENIENTE DEL SWITCH ADYACENTE Y ENRUTAR EN
FORMA INTERNA ENTRE LAS VLAN, MEDIANTE SUBINTERFACES. EL ENRUTADOR
LUEGO REENVÍA EL TRÁFICO ENRUTADO DE LA VLAN ETIQUETADA PARA LA
VLAN DE DESTINO POR LA MISMA INTERFAZ FÍSICA.
LAS SUBINTERFACES SON INTERFACES VIRTUALES MÚLTIPLES, ASOCIADAS A
UNA INTERFAZ FÍSICA. ESTAS INTERFACES ESTÁN CONFIGURADAS EN
SOFTWARE EN UN ENRUTADOR CONFIGURADO EN FORMA INDEPENDIENTE CON
UNA DIRECCIÓN IP Y UNA ASIGNACIÓN DE VLAN PARA FUNCIONAR EN UNA
VLAN ESPECÍFICA. LAS SUBINTERFACES ESTÁN CONFIGURADAS PARA
DIFERENTES SUBREDES QUE CORRESPONDEN A LA ASIGNACIÓN DE LA VLAN,
PARA FACILITAR EL ENRUTAMIENTO LÓGICO ANTES DE QUE LA VLAN ETIQUETE
LAS TRAMAS DE DATOS Y LAS REENVÍE POR LA INTERFAZ FÍSICA. APRENDERÁ
MÁS ACERCA DE LAS INTERFACES Y LAS SUBINTERFACES EN EL SIGUIENTE
TEMA.
INTERFACES Y SUBINTERFACES
EL ENRUTAMIENTO TRADICIONAL REQUIERE DE ENRUTADORS QUE TENGAN INTERFACES FÍSICAS
MÚLTIPLES PARA FACILITAR EL ENRUTAMIENTO ENTRE VLAN. EL ENRUTADOR REALIZA EL
ENRUTAMIENTO AL CONECTAR CADA UNA DE SUS INTERFACES FÍSICAS A UNA VLAN ÚNICA.
ADEMÁS, CADA INTERFAZ ESTÁ CONFIGURADA CON UNA DIRECCIÓN IP PARA LA SUBRED
ASOCIADA CON LA VLAN CONECTADA A ÉSTA. AL CONFIGURAR LAS DIRECCIONES IP EN LAS
INTERFACES FÍSICAS, LOS DISPOSITIVOS DE RED CONECTADOS A CADA UNA DE LAS VLAN PUEDEN
COMUNICARSE CON EL ENRUTADOR MEDIANTE LA INTERFAZ FÍSICA CONECTADA A LA MISMA
VLAN. EN ESTA CONFIGURACIÓN LOS DISPOSITIVOS DE RED PUEDEN UTILIZAR EL ENRUTADOR
COMO UN GATEWAY PARA ACCEDER A LOS DISPOSITIVOS CONECTADOS A LAS OTRAS VLAN.
 CONFIGURACIÓN DE LA SUBINTERFAZ
LA CONFIGURACIÓN DE LAS SUBINTERFACES DEL ENRUTADOR ES SIMILAR A LA
CONFIGURACIÓN DE LAS INTERFACES FÍSICAS, EXCEPTO QUE ES NECESARIO CREAR LA
SUBINTERFAZ Y ASIGNARLA A UNA VLAN.
LA SINTAXIS PARA LA SUBINTERFAZ ES SIEMPRE LA INTERFAZ FÍSICA, EN ESTE CASO F0/0,
SEGUIDA DE UN PUNTO Y UN NÚMERO DE SUBINTERFAZ. EL NÚMERO DE LA SUBINTERFAZ
ES CONFIGURABLE, PERO GENERALMENTE ESTÁ ASOCIADO PARA REFLEJAR EL NÚMERO DE
VLAN.
ANTES DE ASIGNAR UNA DIRECCIÓN IP A UNA SUBINTERFAZ, ES NECESARIO CONFIGURAR
LA SUBINTERFAZ PARA QUE FUNCIONE EN UNA VLAN ESPECÍFICA MEDIANTE EL COMANDO
ENCAPSULATION DOT1Q ID DE LA VLAN. EN EL EJEMPLO, LA SUBINTERFAZ FA0/0.10 ESTÁ
ASIGNADA A LA VLAN10. UNA VEZ ASIGNADA LA VLAN, EL COMANDO IP ADDRESS 172.16.10.1
255.255.255.0 ASIGNA LA SUBINTERFAZ A LA DIRECCIÓN IP APROPIADA PARA ESA VLAN.
ROUTER#CONFIGURE TERMINAL
ROUTER(CONFIG)# INTERFACE F0/0.10
ROUTER(CONFIG-SUBIF)# ENCAPSULATION DOT1Q 10
ROUTER(CONFIG-SUBIF)# IP ADDRESS 172.16.10.1 255.255.255.0
ROUTER(CONFIG-SUBIF)# NO SHUTDOWN
A DIFERENCIA DE UNA INTERFAZ FÍSICA TÍPICA, LAS SUBINTERFACES NO ESTÁN
HABILITADAS CON EL COMANDO NO SHUTDOWN EN EL NIVEL DE MODO DE
CONFIGURACIÓN DE LA SUBINTERFAZ DEL SOFTWARE IOS DE CISCO. EN CAMBIO, CUANDO
LA INTERFAZ FÍSICA ESTÁ HABILITADA CON EL COMANDO NO SHUTDOWN, TODAS LAS
SUBINTERFACES CONFIGURADAS ESTÁN HABILITADAS. DE MANERA SIMILAR, SI LA
INTERFAZ FÍSICA ESTÁ DESHABILITADA, TODAS LAS SUBINTERFACES ESTÁN
DESHABILITADAS.
 DESEMPEÑO
DEBIDO A QUE NO EXISTE CONTENCIÓN PARA ANCHO DE BANDA EN INTERFACES
FÍSICAS SEPARADAS, LAS INTERFACES FÍSICAS TIENEN UN MEJOR RENDIMIENTO
CUANDO SE LES COMPARA CON EL USO DE SUBINTERFACES. EL TRÁFICO DE CADA
VLAN CONECTADA TIENE ACCESO AL ANCHO DE BANDA COMPLETO DE LA
INTERFAZ FÍSICA DEL ENRUTADOR CONECTADO A DICHA VLAN.
CUANDO SE UTILIZAN SUBINTERFACES PARA EL ENRUTAMIENTO ENTRE VLAN, EL
TRÁFICO QUE SE ESTÁ ENRUTANDO COMPITE POR ANCHO DE BANDA EN LA
INTERFAZ FÍSICA ÚNICA. EN UNA RED OCUPADA, ESTO PUEDE CAUSAR UN CUELLO
DE BOTELLA EN LA COMUNICACIÓN.

PUERTOS DE ACCESO Y PUERTOS DE ENLACE TRONCAL

LA CONEXIÓN DE LAS INTERFACES FÍSICAS PARA EL ENRUTAMIENTO ENTRE VLAN REQUIERE QUE
LOS PUERTOS DEL SWITCH ESTÉN CONFIGURADOS COMO PUERTOS DE ACCESO. LAS
SUBINTERFACES REQUIEREN QUE EL PUERTO DEL SWITCH ESTÉ CONFIGURADO COMO UN PUERTO
DE ENLACE TRONCAL PARA QUE PUEDA ACEPTAR EL TRÁFICO ETIQUETADO DE LA VLAN EN EL
ENLACE TRONCAL. AL UTILIZAR SUBINTERFACES, MUCHAS VLAN PUEDEN ENRUTARSE SOBRE UN
ENLACE TRONCAL ÚNICO, EN LUGAR DE UTILIZAR UNA INTERFAZ FÍSICA ÚNICA PARA CADA VLAN.
EL USO DE SUBINTERFACES PARA EL ENRUTAMIENTO ENTRE VLAN TIENE COMO RESULTADO UNA
CONFIGURACIÓN FÍSICA MENOS COMPLEJA QUE EL USO DE INTERFACES FÍSICAS SEPARADAS,
DEBIDO A QUE LA CANTIDAD DE CABLES DE RED FÍSICA QUE INTERCONECTAN EL ENRUTADOR
CON EL SWITCH ES MENOR. CON MENOS CABLES, HAY MENOS CONFUSIÓN ACERCA DE DÓNDE
ESTÁ CONECTADO EL CABLE EN EL SWITCH. DADO QUE LAS VLAN SON INTERCONECTADOS
MEDIANTE ENLACES TRONCALES EN UN ENLACE ÚNICO, RESULTA MÁS FÁCIL RESOLVER EL
PROBLEMA DE LAS CONEXIONES FÍSICAS.
 CUANDO CONFIGURA LA VLAN Y LOS ENLACES TRONCALES EN UNA
INFRAESTRUCTURA CONMUTADA, ESTOS TIPOS DE ERRORES DE
CONFIGURACIÓN SON LOS MÁS COMUNES, EN EL SIGUIENTE ORDEN:

RESOLUCION DE FALTAS DE CONCORDANCIA DE LA VLAN NATIVA: LOS PUERTOS SE

PROBLEMAS DE VLAN CONFIGURAN CON DIFERENTES VLAN NATIVAS, POR EJEMPLO SI UN PUERTO
HA DEFINIDO LA VLAN 99 COMO VLAN NATIVA Y EL OTRO PUERTO DE
ENLACE TRONCAL HA DEFINIDO LA VLAN 100 COMO VLAN NATIVA. ESTOS
ERRORES DE CONFIGURACIÓN GENERAN NOTIFICACIONES DE CONSOLA,
HACEN QUE EL TRÁFICO DE ADMINISTRACIÓN Y CONTROL SE DIRIJA
ERRÓNEAMENTE Y, COMO YA HA APRENDIDO, REPRESENTAN UN RIESGO
PARA LA SEGURIDAD.
FALTAS DE CONCORDANCIA DEL MODO DE ENLACE TRONCAL: UN PUERTO DE
ENLACE TRONCAL SE CONFIGURA CON EL MODO DE ENLACE TRONCAL
"INACTIVO" Y EL OTRO CON EL MODO DE ENLACE TRONCAL "ACTIVO". ESTOS
ERRORES DE CONFIGURACIÓN HACEN QUE EL VÍNCULO DE ENLACE TRONCAL
DEJE DE FUNCIONAR.

VLAN ADMITIDAS EN ENLACES TRONCALES: LA LISTA DE VLAN ADMITIDAS

EN UN ENLACE TRONCAL NO SE HA ACTUALIZADO CON LOS
REQUERIMIENTOS DE ENLACE TRONCAL ACTUALES DE VLAN. EN ESTE CASO,
SE ENVÍA TRÁFICO INESPERADO O NINGÚN TRÁFICO AL ENLACE TRONCAL.
 SEGURIDAD
VLAN
SI CONFIGURA UNA RED DE ÁREA LOCAL VIRTUAL (VLAN), RECUERDE
QUE LAS VLAN COMPARTEN EL ANCHO DE BANDA DE LA RED Y
REQUIEREN MEDIDAS DE SEGURIDAD ADICIONALES.

• AL USAR VLAN, SEPARE LOS CLUSTERS SENSIBLES DE SISTEMAS

DEL RESTO DE LA RED. DE ESTA MANERA, SE REDUCE LA
PROBABILIDAD DE QUE LOS USUARIOS TENGAN ACCESO A LA
INFORMACIÓN ALMACENADA EN ESOS CLIENTES Y SERVIDORES.

• ASIGNE UN NÚMERO DE VLAN NATIVO ÚNICO A LOS PUERTOS DE

ENLACE TRONCAL.
• LIMITE LAS VLAN QUE SE PUEDEN TRANSPORTAR MEDIANTE UN ENLACE TRONCAL A
LAS QUE SON ESTRICTAMENTE NECESARIAS.

• DESACTIVE EL PROTOCOLO DE ENLACE TRONCAL (VTP) DE VLAN, SI ES POSIBLE. DE LO

CONTRARIO, CONFIGURE LO SIGUIENTE PARA EL VTP: DOMINIO DE GESTIÓN,
CONTRASEÑA Y ELIMINACIÓN. A CONTINUACIÓN, DEFINA VTP EN MODO TRANSPARENTE.

• UTILICE CONFIGURACIONES DE VLAN ESTÁTICAS, CUANDO SEA POSIBLE.

• DESACTIVE LOS PUERTOS DE CONMUTADOR NO UTILIZADOS Y ASÍGNELES UN NÚMERO

DE VLAN QUE NO ESTÉ EN USO.
• HTTP://ECOVI.UAGRO.MX/CCNA2/COURSE/MODULE3/3.1.1.3/3.1.1.3.HTML
• HTTP://TIPOSVLAN.BLOGSPOT.MX/
• HTTPS://SITES.GOOGLE.COM/SITE/MODULOVLAN/3-1-PRESENTACION-DE-LAS-VLAN/3-1-2-TIPOS-
DE-VLAN
• HTTP://ITPN.MX/RECURSOSITICS/7SEMESTRE/REDESEMERGENTES/UNIDAD%20II.PDF
• HTTPS://ES.WIKIPEDIA.ORG/WIKI/VLAN#PROTOCOLOS
• HTTP://ITPN.MX/RECURSOSITICS/7SEMESTRE/REDESEMERGENTES/UNIDAD%20II.PDF
• HTTPS://WWW.CISCO.COM/C/ES_MX/SUPPORT/DOCS/LAN-SWITCHING/VTP/10558-21.HTML
• HTTP://REDHES.BLOGSPOT.MX/P/INTER-VLAN.HTML
• HTTP://ENRUTAMIENTODEREDES609.BLOGSPOT.MX/
• HTTPS://CURSODECCNA.WORDPRESS.COM/2012/03/06/ROUTER-ON-A-STICK/
• HTTPS://SITES.GOOGLE.COM/SITE/ISAACIVANTORRESGONZALEZVLAN/RESOLUCION-DE-PROBLE
MAS-DE-VLAN-Y-ENLACES-TRONCALES
• HTTPS://DOCS.ORACLE.COM/CD/E50696_01/HTML/E50091/GMPFO.HTML