VLAN

Red de Area Local Virtual (VLAN)

Es un método para crear redes lógicas independientes dentro de una misma red física. Varias VLAN pueden coexistir en un mismo conmutador físico o en una misma red física. Son útiles para reducir el tamaño del dominio de difusión, y ayuda en la administración de la red separando segmentos lógicos de una red de área local (por ejemplo: los departamentos de una empresa). Una red del tipo VLAN consiste en varias redes que se comportan como si fueran una sola red aunque se encuentren físicamente conectados a otros segmentos de una red de área local. Las VLAN que son configuradas mediante hardware son extremadamente fuertes respecto a cambios de agentes externos

Clasificación:

Las redes de Area Locales Virtuales se pueden clasificar en 4 tipos según el grado de la jerarquía OSI en la que operen

-VLAN Nivel 1 (puerto): Se especifica cuál de los puertos del Switch o concentrador pertenece a cada una de las VLAN, por lo que la terminal que se conecte a esos puertos pertenecerá o no a determinada VLAN. Esta configuración no permite la movilidad de los usuarios, habría que reconfigurar la VLAN si el usuario se mueve físicamente. Este tipo de configuración es la más común y fácil de aplicar

-VLAN Nivel 2 (Por Dirección MAC): Se asigna las VLAN en función de la dirección MAC de la terminal en cuestión. Tiene la ventaja de que no hay que reconfigurar la VLAN en caso de que el usuario o la terminal cambie de dirección física, es decir que se conecte a cualquier puerto de ese mismo dispositivo o cualquier otro dispositivo concentrador de la red. El principal inconveniente es que si hay varios usuarios o terminales habría que agregar uno por uno cada uno de los mismos para que pertenezcan a la VLAN correspondiente.

-VLAN Nivel 2 (Por Tipo de Protocolo): La VLAN queda determinada por el contenido de la trama de MAC Adress. Por ejemplo se asociaría a la VLAN de nivel 1 al protocolo IPv4, la de nivel 2 al protocolo IPv6 y la VLAN de nivel 3 al protocolo IPvX.

-VLAN Nivel 3 (Por direcciones de sub red, o sub red virtual): la cabecera de paquetes de datos se utiliza para mapear la VLAN de nivel 3. En este tipo de VLAN son los paquetes de datos y no las estaciones de trabajo quienes pertenecen a la VLAN. Estaciones de trabajo con múltiples protocolos de red pueden pertenecer a múltiples VLANES

-VLAN Nivel (De niveles superiores): se crea una VLAN para cada aplicación. Por ejemplo para cada flujo multimedia, para el protocolo FTP, Para protocolo TCP ip, para el protocolo HTTP, etc.

La pertenencia a una VLAN en estos niveles puede basarse en una combinación de factores como ser puertos, direcciones MAC, sub red, hora del dia, forma de acceso, condiciones de seguridad del equipo, etc.

Gestión de la pertenencia a una VLAN

Las dos aproximaciones más habituales para la asignación de miembros de una VLAN son las siguientes

-VLAN Estáticas

-VLAN Dinámicas

Las VLAN estáticas también son denominadas VLAN basadas en el puerto. Las asignaciones en una VLAN estática se crean mediante la asignación de los puertos de un Switch o conmutador a dicha VLAN. Cuando un dispositivo entra en la red, asume su pertenencia a la VLAN a la que ha sido asignado ese puerto. Si el usuario cambia de puerto de entrada y necesita acceder a la misma VLAN el administrador de red debe cambiar manualmente la asignación a la VLAN al nuevo puerto de conexión en el Switch.

En las VLAN dinámicas el administrador de la red puede asignar los puertos que pertenecen a la VLAN de manera de manera automática, basándose en información tal como la dirección MAC del dispositivo que se conecta a dicho puerto, o el nombre utilizado para acceder al dispositivo. En este procedimiento el dispositivo que accede a la red hace una consulta a la base de datos de miembros y de este modo se ubica dentro de la red que le corresponde.

VLAN basadas en el puerto de conexión

En las VLAN de nivel 1 basadas en el puerto, el mismo es asignado a la VLAN, es decir es independiente del usuario o del dispositivo conectado al puerto. Esto significa que todos los usuarios que se conecten al puerto serán parte de la misma VLAN. Después de que un puerto ha sido asignado a una VLAN, a través de ese puerto no se puede enviar ni recibir datos desde otros dispositivos incluidos en otra VLAN sin la intervención de algún dispositivo de la capa 3 del modelo OSI.

Los puertos de un switch o concentrador pueden ser de 2 tipos en lo que respecta a características:

-Puerto de Acceso

-Puertos “Trunk”

Un puerto de acceso comúnmente llamado (switchport mode acces) pertenece únicamente a una VLAN asignada de forma estática (VLAN nativa). La configuración por defecto suele ser que todos los puertos sean de acceso a la VLAN 1.

Un puerto de acceso de tipo TRUNK (switchport mode trunk) puede ser miembro de múltiples VLAN. Por defecto es miembro de todas pero la lista de VLAN permitidas es configurable. El dispositivo que se conecta a un puerto, posiblemente no tenga conocimiento de la existencia de las VLAN a las que pertenece dicho puerto. El dispositivo solamente sabe que es miembro de una sub-red y que puede ser capaz de comunicarse con otros miembros de la misma sub-red, simplemente enviando información al segmento cableado. El switch o concentrador será el responsable de identificar que la información viene de una VLAN determinada y de asegurarse que esa información llegue a todos los demás miembros de la VLAN. El switch o concentrador también se asegura de que el resto de puertos que no están en dicha VLAN no reciban información que no les corresponde