1

Las VLAN

1.1 Configuraciones LAN compartidas existentes

Una VLAN es una agrupacin lgica de dispositivos o usuarios que se pueden agrupar por funcin, departamento o aplicacin, sin importar la ubicacin fsica del segmento. La configuracin de la VLAN se realiza en el switch a travs del software. Las VLAN no estn estandarizadas y requieren el uso de software propietario del fabricante del switch. Una LAN tpica se configura segn la infraestructura fsica que conecta. Los usuarios se agrupan segn su ubicacin en relacin con el hub al que estn conectados y segn cmo el cable se tiende al centro del cableado. El router que interconecta cada hub compartido normalmente proporciona segmentacin y puede actuar como firewall de broadcast. Los segmentos creados por los switches no lo hacen. La segmentacin tradicional de las LAN no agrupa a los usuarios segn su asociacin de grupo de trabajo o necesidad de ancho de banda. Por lo tanto, comparten el mismo segmento y ocupan el mismo ancho de banda, aunque los requisitos de ancho de banda varan enormemente por grupo de trabajo o departamento. 2 2.1 red Segmentacin con arquitecturas de conmutacin Agrupacin de usuarios geogrficamente separados en topologas virtuales de toda la

Las LAN se dividen cada vez con mayor frecuencia en grupos de trabajo conectados mediante backbones comunes para formar topologas VLAN. Las VLAN segmentan lgicamente la infraestructura fsica de las LAN en diferentes subredes (o dominios de broadcast para Ethernet). Las tramas de broadcast se conmutan slo entre puertos dentro de la misma VLAN. Las primeras implementaciones de VLAN ofrecan una funcin de asignacin de puertos que estableca un dominio de broadcast entre un grupo de dispositivos por defecto. Los requisitos actuales de la red exigen la funcionalidad de VLAN que cubre toda la red. Este enfoque de las VLAN permite agrupar usuarios separados por grandes distancias fsicas en topologas virtuales que abarcan toda la red. Las configuraciones VLAN agrupan a los usuarios por asociacin lgica, en lugar de por ubicacin fsica. La mayora de las redes actualmente instaladas ofrecen una segmentacin lgica muy limitada. Los usuarios se agrupan normalmente segn las conexiones al hub compartido y los puertos de router entre los hubs. Esta topologa brinda segmentacin slo entre los hubs, que normalmente se ubican en pisos separados, y no entre usuarios conectados al mismo hub. Esto impone restricciones fsicas en la red y limita la manera en que los usuarios se pueden agrupar. Algunas arquitecturas de hub compartido tienen cierta capacidad de agrupacin, pero limitan la forma en que se pueden configurar los grupos de trabajo definidos lgicamente. 2 2.2 Segmentacin con arquitecturas de conmutacin Diferencias entre las LAN conmutadas tradicionales y las VLAN

En una LAN que utiliza dispositivos de conmutacin LAN, la tecnologa VLAN es una manera econmica y eficiente de agrupar usuarios de la red en grupos de trabajo virtuales, ms all de su ubicacin fsica en la red. El grfico muestra la diferencia entre la segmentacin LAN y VLAN. Algunas de las diferencias principales son las siguientes:

Las VLAN funcionan a nivel de Capa 2 y Capa 3 del modelo de referencia OSI. La comunicacin entre las VLAN es implementada por el enrutamiento de Capa 3. Las VLAN proporcionan un mtodo para controlar los broadcasts de red. El administrador de la red asigna usuarios a una VLAN. Las VLAN pueden aumentar la seguridad de la red, definiendo cules son los nodos de red que se pueden comunicar entre s.

Mediante la tecnologa VLAN, se pueden agrupar los puertos de switch y sus usuarios conectados en grupos de trabajo lgicamente definidos, como los siguientes:

Compaeros de trabajo en el mismo departamento Un equipo de produccin interfuncional Diferentes grupos de usuarios que comparten la misma aplicacin de red o software

Se pueden agrupar estos puertos y usuarios en grupos de trabajo con un solo switch o switches conectados. Al agrupar los puertos y los usuarios a travs de mltiples switches, las VLAN pueden abarcar infraestructuras contenidas en un solo edificio, edificios conectados entre s o aun redes de rea amplia (WAN).

Segmentacin con arquitecturas de conmutacin

2.3 Transporte de las VLAN a travs de backbones Lo que es importante en cualquier arquitectura de VLAN es la capacidad para transportar informacin de la VLAN entre switches interconectados y los routers que residen en el backbone corporativo. Estas capacidades de transporte:

eliminan las fronteras fsicas entre los usuarios aumentan la flexibilidad de la configuracin de una solucin de VLAN cuando los usuarios se desplazan proporcionan mecanismos de interoperabilidad entre los componentes del sistema de backbone.

El backbone normalmente funciona como el punto de reunin de grandes volmenes de trfico. Tambin transporta informacin del usuario final de la VLAN y su identificacin entre switches, routers y servidores directamente conectados. Dentro del backbone, los enlaces de alto ancho de banda y alta capacidad se seleccionan normalmente para transportar el trfico en toda la empresa. 2 2.4 Segmentacin con arquitecturas de conmutacin El papel de los routers en las VLAN

El papel tradicional de un router es proporcionar firewalls, administracin de broadcast y procesamiento y distribucin de rutas. Si bien los switches VLAN asumen algunas de estas tareas, los routers siguen siendo vitales para las arquitecturas VLAN porque proporcionan rutas conectadas entre VLAN diferentes. Tambin se conectan a otras partes de la red que estn lgicamente segmentadas con el enfoque ms tradicional de subredes o requieren el acceso a sitios remotos a travs de enlaces de rea amplia. La comunicacin de Capa 3, ya sea incorporada en el switch o proporcionada externamente, es una parte integral de cualquier arquitectura de conmutacin de alto rendimiento. Se pueden integrar routers externos de forma econmica en la arquitectura de conmutacin utilizando una o ms conexiones de backbone de alta velocidad. Normalmente estas son conexiones Fast Ethernet o ATM, y brindan ventajas:

Aumentando el rendimiento entre switches y routers Consolidando la cantidad total de puertos de router fsicos requeridos para la comunicacin entre VLAN

La arquitectura VLAN no slo proporciona segmentacin lgica, sino que, con planificacin cuidadosa, puede mejorar considerablemente la eficiencia de la red. 3 3.1 Implementacin de VLAN Relacin entre puertos, VLAN y broadcasts

Una VLAN forma una red conmutada lgicamente segmentada por funciones, equipos de proyectos o aplicaciones, sin tener en cuenta la ubicacin fsica de los usuarios. Cada puerto de switch se puede asignar a una VLAN. Los puertos asignados a la misma VLAN comparten broadcasts. Los puertos que no pertenecen a esa VLAN no comparten esos broadcasts. Esto mejora el rendimiento general de la red. Las siguientes secciones hacen referencia a tres mtodos de implementacin de VLAN que se pueden usar para asignar un puerto de switch a una VLAN. Ellos son: de puerto central

esttica dinmica

Implementacin de VLAN

3.2

Cmo las VLAN de puerto central facilitan el trabajo del administrador

En las VLAN de puerto central, a todos los nodos conectados a puertos en la misma VLAN se les asigna el mismo identificador de VLAN. El grfico muestra la pertenencia a la VLAN por puerto, lo que facilita el trabajo del administrador y hace que la red sea ms eficiente porque:

Los usuarios se asignan por puerto. Las VLAN son de fcil administracin. Proporciona mayor seguridad entre las VLAN. Los paquetes no se "filtran" a otros dominios.

Implementacin de VLAN

3.3 VLAN estticas

Las VLAN estticas son puertos en un switch que se asignan estticamente a una VLAN. Estos puertos mantienen sus configuraciones de VLAN asignadas hasta que se cambien. Aunque las VLAN estticas requieren que el administrador haga los cambios, este tipo de red es segura, de fcil configuracin y monitoreo. Las VLAN estticas funcionan bien en las redes en las que el movimiento se encuentra controlado y administrado.

Implementacin de VLAN

3.4 VLAN dinmicas

Las VLAN dinmicas son puertos en un switch que pueden determinar automticamente sus asignaciones de VLAN. Las funciones de las VLAN dinmicas se basan en las direcciones MAC, direccionamiento lgico o tipo de protocolo de los paquetes de datos. Cuando una estacin se encuentra inicialmente conectada a un puerto de switch no asignado, el switch correspondiente verifica la entrada de direcciones MAC en la base de datos de administracin de la VLAN y configura dinmicamente el puerto con la configuracin de VLAN correspondiente. Los principales beneficios de este enfoque son una necesidad de administracin menor en el centro de cableado, cuando se agrega o desplaza un usuario y la notificacin centralizada cuando se agrega un usuario no reconocido en la red. Normalmente, se necesita una mayor cantidad de administracin en un primer momento para configurar la base de datos dentro del software de administracin de la VLAN y para mantener una base de datos exacta de todos los usuarios de la red.

2 2.2

LAN virtuales Filtrado de trama

El filtrado de trama es una tcnica que examina informacin especfica acerca de cada trama. El concepto de filtrado de trama es muy similar al que normalmente utilizan los routers. Se desarrolla una tabla de filtrado para cada switch; esto proporciona un alto nivel de control administrativo porque puede examinar muchos atributos de cada trama. Segn la sofisticacin del switch LAN, puede agrupar los usuarios segn las direcciones MAC de una estacin, tipos de protocolo de capa de red o tipos de aplicacin. Las entradas de tabla se comparan con las tramas filtradas por el switch. El switch toma las medidas adecuadas segn las entradas.

LAN virtuales

2.3 Etiquetado de tramas

La identificacin de tramas (etiquetado de tramas) asigna de forma exclusiva un identificador definido por el usuario a cada trama. Esta tcnica fue elegida por el grupo de estndares de IEEE debido a su escalabilidad. La identificacin de trama de VLAN es un enfoque que se ha desarrollado especficamente para las comunicaciones conmutadas. Este enfoque coloca un identificador exclusivo en el encabezado de cada trama a medida que se enva por todo el backbone de la red. El identificador es comprendido y examinado por cada switch antes de enviar cualquier broadcast o transmisin a otros switches, routers o

dispositivos de estacin final. Cuando la trama sale del backbone de la red, el switch elimina el identificador antes de que la trama se transmita a la estacin final objetivo. La identificacin de trama funciona a nivel de Capa 2 y requiere poco procesamiento o gasto administrativo.