06/09/13 VLAN - Wikipedia, la enciclopedia libre

es.wikipedia.org/wiki/VLAN 1/7

Topología de Red de Área Local Virtual en un edificio de tres

plantas.

VLANDe Wikipedia, la enciclopedia libre

No confundir con WLAN

Una VLAN (acrónimo de virtual LAN, «redde área local virtual») es un método de crearredes lógicas e independientes dentro de una

misma red física.1 Varias VLANs puedencoexistir en un único conmutador físico o en unaúnica red física. Son útiles para reducir eltamaño del dominio de difusión y ayudan en laadministración de la red separando segmentoslógicos de una red de área local (comodepartamentos de una empresa) que nodeberían intercambiar datos usando la red local(aunque podrían hacerlo a través de unenrutador o un conmutador de capa 3 y 4).

Una VLAN consiste en una red de ordenadoresque se comportan como si estuviesenconectados al mismo conmutador, aunquepueden estar en realidad conectadosfísicamente a diferentes segmentos de una redde área local. Los administradores de red configuran las VLANs mediante software en lugar de hardware, loque las hace extremadamente flexibles. Una de las mayores ventajas de las VLANs surge cuando se trasladafísicamente algún ordenador a otra ubicación: puede permanecer en la misma VLAN sin necesidad de cambiarla configuración IP de la máquina.

Índice

1 Historia2 Clasificación

3 Protocolos

4 Gestión de la pertenencia a una VLAN

5 VLAN basadas en el puerto de conexión

6 Diseño de VLANs

7 Comandos IOS

8 Referencias

Historia

A principios de los años ochenta Ethernet ya era una tecnología consolidada que ofrecía una velocidad de 10Mbits/s, mucho mayor que gran parte de las alternativas de la época. Las redes Ethernet tenían una topologíaen bus, donde el medio físico de transmisión (cable coaxial) era compartido. Ethernet era, por lo tanto, una redde difusión y como tal cuando dos estaciones transmiten simultáneamente se producen colisiones y sedesperdicia ancho de banda en transmisiones fallidas.

06/09/13 VLAN - Wikipedia, la enciclopedia libre

es.wikipedia.org/wiki/VLAN 2/7

El diseño de Ethernet no ofrecía escalabilidad, es decir, al aumentar el tamaño de la red disminuyen susprestaciones o el costo se hace inasumible. CSMA/CD, el protocolo que controla el acceso al mediocompartido en Ethernet, impone de por sí limitaciones en cuanto al ancho de banda máximo y a la máximadistancia entre dos estaciones. Conectar múltiples redes Ethernet era por aquel entonces complicado, y aunquese podía utilizar un router para la interconexión, estos eran caros y requería un mayor tiempo de procesado porpaquete grande, aumentando el retardo.

Para solucionar estos problemas, Dr. W. David Sincoskie inventó el switch Ethernet con auto-aprendizaje,dispositivo de conmutación de tramas de nivel 2. Usar switches para interconectar redes Ethernet permiteseparar dominios de colisión, aumentando la eficiencia y la escalabilidad de la red. Una red tolerante a fallos ycon un nivel alto de disponibilidad requiere que se usen topologías redundantes: enlaces múltiples entre switchesy equipos redundantes. De esta manera, ante un fallo en un único punto es posible recuperar de formaautomática y rápida el servicio. Este diseño redundante requiere la habilitación del protocolo spanning tree(STP) para asegurarse de que sólo haya activo un camino lógico para ir de un nodo a otro y evitar así elfenómeno conocido como tormentas broadcast. El principal inconveniente de esta topología lógica de la red esque los switches centrales se conviereten en cuellos de botella, pues la mayor parte del tráfico circula a travésde ellos.

Sincoskie consiguió aliviar la sobrecarga de los switches inventado LANs virtuales al añadir una etiqueta a lastramas Ethernet con la que diferenciar el tráfico. Al definir varias LANs virtuales cada una de ellas tendrá supropio spanning tree y se podrá asignar los distintos puertos de un switch a cada una de las VLANs. Para unirVLANs que están definidas en varios switches se puede crear un enlace especial llamado trunk, por el que fluyetráfico de varias VLANs. Los switches sabrán a qué VLAN pertenece cada trama observando la etiquetaVLAN (definida en la norma IEEE 802.1Q). Aunque hoy en día el uso de LANs virtuales es generalizado enlas redes Ethernet modernas, usarlas para el propósito original puede ser un tanto extraño, ya que lo habitual esutilizarlas para separar dominios de difusión (hosts que pueden ser alcanzados por una trama broadcast).

Clasificación

Aunque las más habituales son las VLANs basadas en puertos (nivel 1), las redes de área local virtuales sepueden clasificar en cuatro tipos según el nivel de la jerarquía OSI en el que operen:

VLAN de nivel 1 (por puerto). También conocida como “port switching”. Se especifica qué puertos

del switch pertenencen a la VLAN, los miembros de dicha VLAN son los que se conecten a esospuertos. No permite la movilidad de los usuarios, habría que reconfigurar las VLANs si el usuario semueve físicamente. Es la más común y la que se explica en profundidad en este artículo.

VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en función de su direcciónMAC. Tiene la ventaja de que no hay que reconfigurar el dispositivo de conmutación si el usuario cambia

su localización, es decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente esque si hay cientos de usuarios habría que asignar los miembros uno a uno.

VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el contenido del campotipo de protocolo de la trama MAC. Por ejemplo, se asociaría VLAN 1 al protocolo IPv4, VLAN 2 al

protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX...VLAN de nivel 3 por direcciones de subred (subred virtual). La cabecera de nivel 3 se utiliza para

mapear la VLAN a la que pertenece. En este tipo de VLAN son los paquetes, y no las estaciones,quienes pertenecen a la VLAN. Estaciones con múltiples protocolos de red (nivel 3) estarán en múltiplesVLANs.

VLAN de niveles superiores. Se crea una VLAN para cada aplicación: FTP, flujos multimedia, correoelectrónico... La pertenencia a una VLAN puede basarse en una combinación de factores como puertos,

direcciones MAC, subred, hora del día...

06/09/13 VLAN - Wikipedia, la enciclopedia libre

es.wikipedia.org/wiki/VLAN 3/7

Protocolos

Durante todo el proceso de configuración y funcionamiento de una VLAN es necesaria la participación de unaserie de protocolos entre los que destacan el IEEE 802.1Q, STP y VTP (cuyo equivalente IEEE es GVRP). Elprotocolo IEEE 802.1Q se encarga del etiquetado de las tramas que se asociada inmediatamente con lainformación de la VLAN. El cometido principal de Spanning Tree Protocol (STP) es evitar la aparición debucles lógicos para que haya un sólo camino entre dos nodos. VTP (VLAN Trunking Protocol) es un protocolopropietario de Cisco que permite una gestión centralizada de todas las VLANs.

El protocolo de etiquetado IEEE 802.1Q es el más común para el etiquetado de las VLANs. Antes de suintroducción existían varios protocolos propietarios, como el ISL (Inter-Switch Link) de Cisco, una variante delIEEE 802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. El IEEE 802.1Q se caracteriza por utilizar un formatode trama similar a 802.3 (Ethernet) donde sólo cambia el valor del campo Ethertype, que en las tramas 802.1Qvale X'8100, y se añaden dos bytes para codificar la prioridad, el CFI y el VLAN ID. Este protocolo es unestándar internacional y por lo dicho anteriormente es compatible con bridges y switches sin capacidad deVLAN.

Para evitar el bloqueo de los switches debido a las tormentas broadcast, una red con topología redundantetiene que tener habilitado el protocolo STP. Los switches utilizan STP para intercambiar mensajes entre sí(BPDUs, Bridge Protocol Data Units) para lograr de que en cada VLAN sólo haya activo un camino para ir deun nodo a otro.

En los dispositivos Cisco, VTP (VLAN trunking protocol) se encarga de mantener la coherencia de laconfiguración VLAN por toda la red. VTP utiliza tramas de nivel 2 para gestionar la creación, borrado yrenombrado de VLANs en una red sincronizando todos los dispositivos entre sí y evitar tener que configurarlosuno a uno. Para eso hay que establecer primero un dominio de administración VTP. Un dominio VTP parauna red es un conjunto contiguo de switches unidos con enlaces trunk que tienen el mismo nombre de dominioVTP.

Los switches pueden estar en uno de los siguientes modos: servidor, cliente o transparente. El servidor es elmodo por defecto, anuncia su configuración al resto de equipos y se sincroniza con otros servidores VTP. Unswitch cliente no puede modificar la configuración VLAN, simplemente sincroniza la configuración en base a lainformación que le envían los servidores. Por último, un switch está en modo transparente cuando sólo sepuede configurar localmente pues ignora el contenido de los mensajes VTP.

VTP también permite «podar» (función VTP prunning), lo que significa dirigir tráfico VLAN específico sólo alos conmutadores que tienen puertos en la VLAN destino. Con lo que se ahorra ancho de banda en losposiblemente saturados enlaces trunk.

Gestión de la pertenencia a una VLAN

Las dos aproximaciones más habituales para la asignación de miembros de una VLAN son las siguientes:VLAN estáticas y VLAN dinámicas.

Las VLAN estáticas también se denominan VLAN basadas en el puerto. Las asignaciones en una VLANestática se crean mediante la asignación de los puertos de un switch o conmutador a dicha VLAN. Cuando undispositivo entra en la red, automáticamente asume su pertenencia a la VLAN a la que ha sido asignado elpuerto. Si el usuario cambia de puerto de entrada y necesita acceder a la misma VLAN, el administrador de lared debe cambiar manualmente la asignación a la VLAN del nuevo puerto de conexión en el switch.

06/09/13 VLAN - Wikipedia, la enciclopedia libre

es.wikipedia.org/wiki/VLAN 4/7

En las VLAN dinámicas, la asignación se realiza mediante paquetes de software tales como el CiscoWorks2000. Con el VMPS (acrónimo en inglés de VLAN Management Policy Server o Servidor de Gestión deDirectivas de la VLAN), el administrador de la red puede asignar los puertos que pertenecen a una VLAN demanera automática basándose en información tal como la dirección MAC del dispositivo que se conecta alpuerto o el nombre de usuario utilizado para acceder al dispositivo. En este procedimiento, el dispositivo queaccede a la red, hace una consulta a la base de datos de miembros de la VLAN. Se puede consultar elsoftware FreeNAC para ver un ejemplo de implementación de un servidor VMPS.

VLAN basadas en el puerto de conexión

Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es independiente del usuario odispositivo conectado en el puerto. Esto significa que todos los usuarios que se conectan al puerto seránmiembros de la misma VLAN. Habitualmente es el administrador de la red el que realiza las asignaciones a laVLAN. Después de que un puerto ha sido asignado a una VLAN, a través de ese puerto no se puede enviar nirecibir datos desde dispositivos incluidos en otra VLAN sin la intervención de algún dispositivo de capa 3.

Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las características VLAN: puertos deacceso y puertos trunk. Un puerto de acceso (switchport mode access) pertenece únicamente a una VLANasignada de forma estática (VLAN nativa). La configuración por defecto suele ser que todos los puertos seande acceso de la VLAN 1. En cambio, un puerto trunk (switchport mode trunk) puede ser miembro demúltiples VLANs. Por defecto es miembro de todas, pero la lista de VLANs permitidas es configurable.

El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la existencia de la VLAN a laque pertenece dicho puerto. El dispositivo simplemente sabe que es miembro de una subred y que puede sercapaz de hablar con otros miembros de la subred simplemente enviando información al segmento cableado. Elswitch es responsable de identificar que la información viene de una VLAN determinada y de asegurarse de queesa información llega a todos los demás miembros de la VLAN. El switch también se asegura de que el resto depuertos que no están en dicha VLAN no reciben dicha información.

Este planteamiento es sencillo, rápido y fácil de administrar, dado que no hay complejas tablas en las que mirarpara configurar la segmentación de la VLAN. Si la asociación de puerto a VLAN se hace con un ASIC(acrónimo en inglés de Application-Specific Integrated Circuit o Circuito integrado para una aplicaciónespecífica), el rendimiento es muy bueno. Un ASIC permite el mapeo de puerto a VLAN sea hecho a nivelhardware.

Diseño de VLANs

Los primeros diseñadores de redes solían configurar las VLANs con el objetivo de reducir el tamaño deldominio de colisión en un segmento Ethernet y mejorar su rendimiento. Cuando los switches lograron esto,porque cada puerto es un dominio de colisión, su prioridad fue reducir el tamaño del dominio de difusión. Yaque, si aumenta el número de terminales, aumenta el tráfico difusión y el consumo de CPU por procesado detráfico broadcast no deseado. Una de las maneras más eficientes de lograr reducir el domino de difusión es conla división de una red grande en varias VLANs.

Actualmente, las redes institucionales y corporativas modernas suelen estar configuradas de forma jerárquicadividiéndose en varios grupos de trabajo. Razones de seguridad y confidencialidad aconsejan también limitar elámbito del tráfico de difusión para que un usuario no autorizado no pueda acceder a recursos o a informaciónque no le corresponde. Por ejemplo, la red institucional de un campus universitario suele separar los usuarios entres grupos: alumnos, profesores y administración. Cada uno de estos grupos constituye un dominio de difusión,una VLAN, y se suele corresponder asimismo con una subred IP diferente. De esta manera la comunicaciónentre miembros del mismo grupo se puede hacer en nivel 2, y los grupos están aislados entre sí, sólo se pueden

06/09/13 VLAN - Wikipedia, la enciclopedia libre

es.wikipedia.org/wiki/VLAN 5/7

Red institucional

comunicar a través de un router.

La definición de múltiples VLANs y el uso de enlaces trunk, frente alas redes LAN interconectadas con un router, es una soluciónescalable. Si se deciden crear nuevos grupos se pueden acomodarfácilmente las nuevas VLANs haciendo una redistribución de lospuertos de los switches. Además, la pertenencia de un miembro de lacomunidad universitaria a una VLAN es independiente de suubicación física. E incluso se puede lograr que un equipo pertenezca avarias VLANs (mediante el uso de una tarjeta de red que soporte trunk).

Imagine que la universidad tiene una red con un rango de direcciones IP del tipo 172.16.XXX.0/24, cadaVLAN, definida en la capa de enlace de datos (nivel 2 de OSI), se corresponderá con una subred IP distinta:VLAN 10. Administración. Subred IP 172.16.10.0/24 VLAN 20. Profesores. Subred IP 172.16.20.0/24VLAN 30. Alumnos. Subred IP 172.16.30.0/24

En cada edificio de la universidad hay un switch denominado de acceso, porque a él se conectan directamentelos sistemas finales. Los switches de acceso están conectados con enlaces trunk (enlace que transporta tráficode las tres VLANs) a un switch troncal, de grandes prestaciones, típicamente Gigabit Ethernet o 10-GigabitEthernet. Este switch está unido a un router también con un enlace trunk, el router es el encargado de llevar eltráfico de una VLAN a otra.

Comandos IOS

A continuación se presentan a modo de ejemplo los comandos IOS para configurar los switches y routeres delescenario anterior.

Creamos las VLANs en el switch troncal, suponemos que este switch actúa de servidor y se sincroniza con elresto:

Switch-troncal> enable

Switch-troncal# configure terminal

Switch-troncal(config)# vlan database

Switch-troncal(config-vlan)# vlan 10 name administracion

Switch-troncal(config-vlan)# vlan 20 name profesores

Switch-troncal(config-vlan)# vlan 30 name alumnos

Switch-troncal(config-vlan)# exit

Definimos como puertos trunk los cuatro del switch troncal:

Switch-troncal(config)# interface range g0/0 -3

Switch-troncal(config-if-range)# switchport

Switch-troncal(config-if-range)# switchport mode trunk

Switch-troncal(config-if-range)# switchport trunk native vlan 10

Switch-troncal(config-if-range)# switchport trunk allowed vlan 20, 30

Switch-troncal(config-if-range)# exit

Ahora habría que definir en cada switch de acceso qué rango de puertos dedicamos a cada VLAN. Vamos asuponer que se utilizan las interfaces f0/0-15 para la vlan adminstracion, f0/16,31 para vlan profesores y f0/32-47 para la vlan alumnos.

Switch-1(config)# interface range f0/0 -15

Switch-1(config-if-range)# switchport

06/09/13 VLAN - Wikipedia, la enciclopedia libre

es.wikipedia.org/wiki/VLAN 6/7

Switch-1(config-if-range)# switchport mode accessSwitch-1(config-if-range)# switchport mode access

Switch-1(config-if-range)# switchport access vlan 10

Switch-1(config-if-range)# exit

Switch-1(config)# interface range f0/16 -31

Switch-1(config-if-range)# switchport

Switch-1(config-if-range)# switchport mode access

Switch-1(config-if-range)# switchport access vlan 20

Switch-1(config-if-range)# exit

Switch-1(config)# interface range f0/32 -47

Switch-1(config-if-range)# switchport

Switch-1(config-if-range)# switchport mode access

Switch-1(config-if-range)# switchport access vlan 30

Switch-1(config-if-range)# exit

Definimos como trunk el puerto que conecta cada switch de acceso con el troncal:

Switch-1(config)# interface g0/0

Switch-1(config-if)# switchport

Switch-1(config-if)# switchport mode trunk

Switch-1(config-if)# switchport trunk native vlan 10

Switch-1(config-if)# switchport trunk allowed vlan 20,30

Switch-1(config-if)# exit

En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk:

Router(config)# interface f2

Router(config-if)# no ip address

Router(config-if)# exit

Router(config)# interface f2.1

Router(config-if)# encapsulation dot1q 10 native

Router(config-if)# ip address 172.16.10.1 255.255.255.0

Router(config-if)# exit

Router(config)# interface f2.2

Router(config-if)# encapsulation dot1q 20

Router(config-if)# ip address 172.16.20.1 255.255.255.0

Router(config-if)# exit

Router(config)# interface f2.3

Router(config-if)# encapsulation dot1q 30

Router(config-if)# ip address 172.16.30.1 255.255.255.0

Router(config-if)# exit

Esta sería la configuración relativa a la creación de las VLANs, se omite la configuración de otros elementoscomo los hosts, routers y otros dispositivos de red.

Referencias

James F. Kurose, Keith W. Ross (2012). Computer Networking:A Top-Down Approach. PearsonEducation. ISBN 978-0-13-136548-3.

Virtual LANs, a class presentation by Professor of Computer and Information Sciences in the Ohio State

University Raj Jain (http://www.cse.wustl.edu/~jain/cis788-97/h_7vlan.htm)

Presentación de clase (Universidad Carlos III de Madrid) (http://ocw.uc3m.es/ingenieria-

telematica/telematica/teoria/6_VLAN.pdf)

Apuntes de la asignatura RST (Redes e servicios telemáticos) de la "Universidade de Vigo"

What is VLAN Routing? (http://www.dell.com/downloads/global/products/pwcnt/en/app_note_38.pdf)

06/09/13 VLAN - Wikipedia, la enciclopedia libre

es.wikipedia.org/wiki/VLAN 7/7

1. ↑ «Virtual local area networks (VLANs)(http://www.axis.com/es/products/video/about_networkvideo/vlan.htm)». Axis. Consultado el 21 de enero de2012.

Obtenido de «http://es.wikipedia.org/w/index.php?title=VLAN&oldid=68606525»Categorías: Redes informáticas Acrónimos de informática

Esta página fue modificada por última vez el 25 jul 2013, a las 20:58.El texto está disponible bajo la Licencia Creative Commons Atribución Compartir Igual 3.0; podrían ser

aplicables cláusulas adicionales. Léanse los términos de uso para más información.

Wikipedia® es una marca registrada de la Fundación Wikimedia, Inc., una organización sin ánimo de

lucro.