VLAN, Virtual LAN


Por Marcelo Opazo Vivallos

Version disponible en PDF

 

Introducción

Una de las ventajas de crear redes virtuales, es que los mensajes de difusión se limitan al segmentado asignado previamente, así se evita que se propagen por toda la red y que todos los sistemas deban procesarlos, lo que en ocasiones consume gran ancho de banda. Además proporcionan seguridad, al segregar servicios que potencialmente se verian bulnerables frente a ataques o intrusos.

La capacidad de conmutar el tráfico de usuario final entre puertos del dispositivo ha sido el origen del concepto VLAN. Definir las VLAN  en la LAN física permite tener agrupaciones lógicas de segmentos o estaciones de trabajo de usuarios finales, lo que permite que el tráfico específico de esta agrupación, permanezca en esta LAN Virtual, en vez de utilizar ancho de banda en los segmentos de LAN que no estan interesados en el tráfico agrupado.

 


V L A N

LAS REDES DE AREA LOCAL VIRTUALES

Las VLAN (Virutal Lan Area Network), básicamente es una cuestión de asociar puertos a otros, para hacer el efecto de establecer una conección directa entre las equipos conectados a estos. Esta basado, solo en la capacidad del modelo a utlizar del Switch. Por ejemplo, en un switch donde se tiene 10 puertos, el maximo de VLAN que se podrían formar llega hasta 5, debido a que se agrupa un mínimo de 2 puertos.

Las VLAN es un grupo de sistemas de una red conmutada que funcionan como una subred virtual, y que pueden comunicarse con otras VLAN a través de un roteador. Sin embargo, la red física sigue siendo conmutada.

Los administradores de red crean VLAN indicando las direcciones MAC, de puerto o de IP de los sistemas que van a formar parte de cada una de las subredes. Los mensajes de difusión de una VLAN se limitan a la subred, igual que en una red enrutada. Debido a que las VLAN son independientes de la red física, los sistemas de una red en particular pueden estar ubicados en cualquier parte, y un mismo sistema puede formar parte, incluso, de más de una VLAN.

La siguiente imagen muestra de manera básica e instituiva muestra una VLAN sencilla, donde las tres VLAN están representadas por los colores rojo para VLAN 1, naranjo para VLAN 2 y verde para la ultima VLAN.

Como se aprecia en la imagen anterior, comparten un mismo canal físico pero están segregadas a nivel físico mediante un dispositivo que trabaje en capa 3, como un switch.

A pesar del hecho de que todas las computadoras están conectadas por conmutadores, los enrutadores aún son necesarios para la comunicación entre sistemas VLAN diferentes. Las VLAN que se basan exclusivamente en tecnología del nivel 2, como las que utilizan configuración puerto o las direcciones MAC para definir los sistemas miembros, necesitan disponer de un puerto dedicado a una conexión de enrutador. En este tipo de VLAN, el administrador de red selecciona ciertos puertos de conmutación para designar los miembros de una VLAN o crea una lista con las direcciones MAC de las estaciones de trabajo.

Debido a ese procedimiento adicional, el enrutamiento es más lento que la conmutación. Esta configuración en particular se conoce a veces como “conmuta cuando puedas, enruta cuando no te quede otro remedio”, ya que el enrutamiento sólo se utiliza para la comunicación entre las VLAN; todas las comunicaciones dentro de una VLAN son conmutadas. Se trata de una configuración eficiente, en la medida en que la mayor parte del tráfico de red, del 70 al 80 por ciento, es entre sistemas de la misma VLAN. (Zacker, 2002).

Se maximiza la velocidad de la comunicación dentro de una VLAN a expensas de la comunicación entre las VLAN. Cuando existe mucho tráfico entre sistemas de subredes diferentes, el enrutamiento ralentiza demasiado el proceso y la velocidad de los conmutadores se desaprovecha en gran medida.

 

Ventajas:

Algunas ventajas que destacables:

  1. Transforman de una topología plana segmentada por dirección MAC a una jerarquía plana. (Shaughnessy, 2000).
  2. La conmutación, aunque más rápida que el encaminamiento, sigue teniendo que ocuparse del problema de las tormentas de difusión o la radiación de la difusión. Cuando intenta mantener un rendimiento máximo de la red, los diseños de conmutación deben minimizar el efecto de difusión. La utilización de VLAN en un diseño de red conmutada ayuda a minimizar el efecto de difusión, pero el resultado es el número de host que se pueden admitir en una VLAN.
  3. Mejoran el aislamiento de los dominios de colisión proporcionados por un entorno de conmutación al reenviar el tráfico únicamente dentro de la VLAN. Este tráfico contiene tráfico de difusión y multidifusión en el dominio de puenteado creado por la VLAN.
  4. Mejoran la seguridad, dado que las agrupaciones lógicas impiden la comunicación entre VLAN de nivel 2 y exigen un router para la comunicación entre VLAN de nivel 3. La comunicación entre VLAN a través del router permite que un ingeniero de red utilice las características de seguridad del router filtrando los paquetes adecuados para que no lleguen a otras VLAN.
  5. El agrupar a nivel lógico los usuarios finales de ancho de banda elevado en una VLAN proporciona un rendimiento mejorado para los dispositivos que requieren menos ancho de banda. Esta segregación de usuarios permite que el diseño del rendimiento cumpla los niveles de servicio.
  6. La agrupación lógica de usuarios de VLAN permite que tengan lugar los desplazamientos, incorporaciones y cambios que se producen con frecuencia en una red de manera casi dinámica, en vez de esperar a que se altere la infraestructura actual.

Tipos de VLAN

Según Sackett George (2002), existen 3 tipos de métodos para agrupar dispositivos en conmutadores cuando se definen las VLAN:

1.      VLAN basadas en puerto: A la agrupación lógico de las VLAN en base al puerto físico se llama VLAN basada en segmento. Sólo se define una VLAN para un puerto y se dispone de múltiples VLAN para su asignación a un conmutador. El tráfico interno a la VLAN dentro de un concentrador de conmutación se conmuta y debe pasar primero por un router, que es el que encamina el tráfico a la VLAN de destino. Dado que las VLAN basadas en puerto no reconocen el direccionamiento de nivel 3, todas las VLAN que admiten el tráfico de Capa 3, como IP, IPX o AppleTalk, deben estar definidas en la misma red dentro de la misma VLAN.

2.      VLAN basadas en protocolo: La utilización de direccionamiento de Capa 3 permite que una VLAN diferencie entre protocolos de red diferentes. Este tipo de VLAN se llama VLAN virtual de subred. La utilización del direccionamiento de Capa 3 como esquema para la definición de VLAN permite que haya más de una VLAN por puerto.

3.      Valores definidos por el usuario: Este tipo de VLAN permite que el ingeniero de red diseñe una VLAN en base a cualquier valor de campo de un paquete, lo que supone la máxima flexibilidad junto con un gran nivel de detalle en la definición de VLAN. Las VLAN se pueden definir en base al tipo de servicio que se solicita o se anuncia.

 Ejemplos:

1.      Si se necesitan dos programas para realizar pruebas durante algunos días que impliquen fuertemente una actividad en la red de carga y descarga. Seria una buena idea extender una VLAN temporalmente, para no exceder ni degradar el rendimiento de la red de los otros usuarios normales.

2.      En una institución donde agrupe departamentos. Los de finanzas no están interesados en compartir con el departamento de técnico. Lo que no afectaría un abuso de tráfico por alguno de los departamentos.

 

Hardware Disponible.

En tanto a los actuales medios hardware que se pueden encontrar en el mercado para aplicar la tecnología VLAN, se encuentran los de la gama Cisco. Estos se dividen dos grandes grupos:

  1. Microconmutadores. Relativamente nueva, destinada a llenar el hueco de productos para las sucursales o la pequeña empresa, denominados “Cisco Netwarked Office” (CON). Esta diseñado para ofrecer alto rendimiento a bajo costo y simple de manejar.
  2. Conmutadores Catalyst. Productos en la que existen muchos modelos. Existen desde modelos escritorios hasta rack. Soportan Fast Ethernet, Gigabit Ethernet, FDDI y ATM.

En Shaughnessy, Tom (2000) p.p.-248 se puede obtener una lista detallada de los modelos junto con su descripción.

 

Conclusiones.

Como se vio, las VLAN son agrupaciones lógicas de dispositivos, que en general se utililizan en función de la utilidad, como segmentar un departamento, una función o para segmentar la LAN.

Las VPN son algo más que simplemente una conveniencia al azar. Son necesarias en redes conmutadas para contener dominios de difusión y colisión. Al crear segmentación por solo direcciones MAC crea una topología de red plana. Las VLAN solucionan este inconveniente, creando jerarquías planas.

En consecuencia, las VLAN son más que meras agrupaciones de clientes. Su utilidad crece a medida que la red crece y simplifican mucho el trabajo y la carga dentro de la red. 

 

Bibliografía.

Sackett, George. (2002). Manual de routers Cisco. Ed. McGraw-Hill Osborne.

Raya, José Luis. (2002). Redes Locales. Ed. Alfaomega.

Shaughnessy, Tom. (2000). Manual de Cisco. Ed. McGraw-Hill Osborne.

Zacker, Craig. (2002). Manual de Referencia Redes. Ed. McGraw-Hill Osborne.