Introducción
En ocasiones es necesario que una red pueda filtrar los paquetes para que la información generada por una serie de hosts no sea visible por otra parte de los hosts dentro de la misma LAN. Esto lo conseguimos definiendo unas LAN virtuales o VLAN.
Una VLAN es un método que crea una red lógica dentro de una red física. De este modo se consigue que la información que se genera dentro de cada una de las redes virtuales solo sea recibida por hosts de la propia red lógica y no por toda la red física.
Segmentación LAN tradicional vs segmentación VLAN
¿Qué es una VLAN?
Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para crear redes logicas independientes dentro de una misma red fisica. Varias VLAN pueden coexistir en un único switch físico o en una única red física. Son útiles para reducir el dominio de difusión y ayudan en la administración de la red, separando segmentos lógicos de una red de área local (los departamentos de una empresa, por ejemplo) que no deberian intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un conmutador de capa OSI 3y 4).
Características de las VLAN
Las principales características de la VLAN son:
- Crear una topología virtual independiente de la topología física.
- Permiten agrupar a los usuarios en grupos de trabajo flexibles, que se pueden modificar simplemente gestionándolos a través de la interfaz de configuración del conmutador (switch).
- Funcionan los niveles 2 y 3 del modelo OSI.
- La comunicación entre VLAN requiere enrutamiento de capa 3, que es realizado por un router.
- Permite controlar el tamaño de los dominios la difusión (broadcast). Cada VLAN define un dominio de difusión diferente.
- Necesita administración, que suele llevarse a cabo mediante el administrador de la red.
- Pueden aumentar la seguridad de la red. El hecho de separar la red en grupos que no puedan compartir información entre sí supone una mejora en la seguridad.
Otras características son:
- Aumento de la eficiencia del ancho de banda: La cantidad paquetes que circula por la red es menor, así que el uso del ancho de banda es más eficiente.
- Aumento de la flexibilidad de la red: Varios hosts conectados al mismo conmutador puedan pertenecer a distintas VLAN, y también hosts de distintos conmutadores pueden pertenecer a la misma VLAN.
- Aumento de la escalabilidad de la red: Es más fácil aumentar una red previamente segmentada da sus ventajas en ancho de banda seguridad y flexibilidad.
Formas de VLAN
Una VLAN es una red, pero puede haber varias VLAN en uno o varios switches (a diferencia de las LAN tradicionales cuyos dominios de difusión están acoplados a la topología física). Esto hace que las VLAN se relacionen de diferente manera con switches, routers y hubs.
Switches y VLAN.
La infraestructura de VLAN está distribuida entre varios conmutadores (switches), que se conectan entre sí mediante puertos de mayor capacidad. Esta interconexión es considerada parte del cableado backbone o troncal de la red.
La información sobre las VLAN definidas y sobre la pertenencia de cada uno de los usuarios a las distintas VLAN se distribuye a través del backbone entre los distintos conmutadores y funciona de esta manera:
- Cada VLAN tiene un identificador.
- Las tramas procedentes de los usuarios se etiquetan con el identificador correspondiente a la VLAN a la que pertenecen.
- El etiquetado se lleva a cabo en el switch (capa 2 del modelo OSI).
- Las tramas etiquetadas atraviesan el backbone.
- Cuando una trama etiquetado abandona el backbone, el conmutador elimina el identificador.
Switches y VLAN
Routers y VLAN
Las VLAN son dominios de difusión separados, por tanto, los equipos de las distintas VLAN no se pueden comunicar directamente entre sí a nivel lógico, sino que necesitan un router.
Lo habitual es que cada VLAN se corresponda con una subred lógica y la comunicación entre VLAN se hará a través de un router.
Hubs y VLAN
Para reducir costes, es posible utilizar Hubs pero teniendo en cuenta algunas cuestiones:
- El Hub se conecta por un lado a un puerto de un switch VLAN, y por otro lado a cierto número de equipos de usuarios.
- Todos los usuarios conectados al mismo Hub pertenecen a la misma VLAN, y al mismo dominio de colisión, es decir comparten el ancho de banda correspondiente al puerto de switch.
Hubs y VLAN
Asignación de usuarios en VLAN
En principio, la configuración VLAN cambia dependiendo del fabricante. La asignación de los usuarios puede ser de dos maneras:
- Estática
- Dinámica
Estática
Cada puerto del switch se asigna a una VLAN. Por tanto el equipo del usuario conectado a ese puerto pertenecerá a esa VLAN. La persona que administre la red debe realizar la configuración VLAN manualmente, es fácil de administrar y su implementación es más eficiente.
Por defecto la VLAN 1 es con la que se suele trabajar.
Dinámica
La pertenencia a una VLAN puede depender de tres factores:
- La dirección física del nodo.
- La dirección lógica del nodo.
- El tipo de protocolo del uso.
- Otros parámetros de control que la persona que administre la red determina.
El procedimiento es el siguiente:
- Se necesita un servidor de configuración VLAN – que se debe mantener, pues supone un punto más de fallo.
- Al conectar un usuario a un puerto el switch consulta al servidor de configuración a qué VLAN pertenece.
- Cuando se realizan cambios en la ubicación física del puesto de trabajo de los usuarios no es necesario la intervención del administrador de la red, ya que los desplazamientos físicos entre los puertos de los switches se detectan automáticamente.
- Ofrece mayor seguridad ya que se notifica si usuarios no autorizados acceden a la red.