Redes de área local virtual o en forma abreviada (abreviatura), VLAN Es uno de los conceptos y metodologías más fundamentales en las redes informáticas que permite la segmentación de la red física de una LAN en redes lógicas separadas. Antes de las VLAN, Red de área local (LAN) es un grupo de dispositivos interconectados dentro del mismo dominio de difusión. Las redes en casas, escuelas, oficinas son ejemplos de LAN. La siguiente figura contiene un ejemplo de topología de una LAN.

Una LAN puede ser un red cableada utilizando cables de cobre / fibra ethernet o red inalámbrica que se comunica mediante ondas de radio de alta frecuencia (más comúnmente, Wi-Fi) o una combinación de ambas formas. LAN es básicamente la topología de red física que puede abarcar geográficamente a un radio de 1-1000 metros. En una LAN, todos los dispositivos de usuario final (PC, servidores, etc.) generalmente se conectan a los conmutadores y, finalmente, todos los conmutadores se conectan a un enrutador o enrutadores múltiples para obtener redundancia. El enrutador es el dispositivo de red que permite a los dispositivos finales (nodos finales) establecer comunicación con Internet o cualquier otra red conectada como Red de área amplia (WAN). La conectividad más allá del enrutador no está relacionada con la LAN y el proceso de comunicación de un enrutador se llama Enrutamiento. Por lo tanto, la mayoría de los trabajos en una conectividad LAN son realizados por los conmutadores y ese proceso de comunicación se llama Traspuesta.

Aún así, todos los dispositivos que pertenecen a la LAN están en el mismo dominio de difusión. Todos los mensajes de difusión originados por los conmutadores se llegarán a todos los dispositivos de red y finales de la LAN. Como resultado de eso, pueden producirse problemas lentos de rendimiento y seguridad de la red en la LAN. Más importante aún, todos los dispositivos finales en la LAN pueden establecer una conexión entre sí sin ninguna regla ni regulación, a menos que los conmutadores no estén configurados con Listas de control de acceso (ACL). Sin embargo, en el ámbito de las redes corporativas modernas, esta no es una buena condición porque las empresas siempre aplican políticas de uso de la red a sus empleados y estas políticas se aplican a cada empleado de diferentes maneras, como por ejemplo funciones realizado por el empleado, el Departamento a la que pertenece el empleado, el aplicaciones utilizado por el empleado, etc. La segmentación de dispositivos / usuarios finales en diferentes redes es la mejor solución para esta situación. La segmentación o separación LAN se puede implementar de dos maneras. Son,

  • Segmentación física de LAN (Forma tradicional)
  • Segmentación de VLAN (Forma virtual)

Segmentación física de LAN

Para realizar este tipo de agrupación en el nivel de red, el arquitecto o ingeniero de red o quien sea que diseñe la red tiene que asignar nodos finales a diferentes redes IP que se conectan a diferentes puertos de enrutador. Esto también requiere la separación física del cableado para cada red, si es una red cableada. Tratar con una red física separada será un verdadero desastre cuando se trata de oficinas de empresas medianas o grandes porque los empleados que pertenecen a diferentes departamentos pueden trabajar juntos en la misma habitación, incluso los mismos empleados del departamento pueden tener diferentes requisitos de red. Por otro lado, esto requerirá un mayor mantenimiento y el uso de un puerto de enrutador separado para muchos grupos no será un movimiento rentable debido a que los puertos del enrutador son accesorios de red muy caros. A continuación se muestra una segmentación LAN tradicional en un pequeño edificio de oficinas.

Como puede ver, esta segmentación no es una forma efectiva de vigilar la red porque los empleados que pertenecen a diferentes departamentos están ubicados en el mismo piso. Si esta LAN de la oficina se segmenta físicamente en función de los departamentos, la red será un desastre de cables y difícil de mantener como se explicó anteriormente.

Segmentación de VLAN

El uso de VLAN responsables de superar el escenario de red de alto mantenimiento mencionado, costoso y difícil de administrar, al agrupar a los usuarios de la red utilizando redes lógicas que se denominan VLAN manteniendo la misma topología de red física. Hoy en día, las VLAN se utilizan en cualquier tipo de empresa y cuando se trata de redes inalámbricas, las VLAN son una tecnología verdaderamente crucial que se aplica para segmentar a los usuarios para lograr la vigilancia de la red. Casi cualquier conmutador de red disponible en el mercado ahora admite la segmentación de VLAN. Una LAN de oficina con la segmentación de VLAN se ha representado en la siguiente figura.

El equipo de redes puede agrupar los dispositivos finales y el tráfico generado a partir de ellos en cualquier criterio deseable sin realizar ningún cambio físico en la topología. Hay muchas otras ventajas de usar la segmentación de VLAN.

Conceptos de LAN y VLAN simplificados

Todavía confundido acerca de las VLAN. Usemos una historia simple para comprender todos estos conceptos de una manera diferente. Pero siéntase libre de omitir este tiempo de la historia si ya ha dominado el concepto de VLAN. La historia es sobre un granjero llamado Dekker. Dekker se dedica a la avicultura y su pequeña granja se encuentra al lado de su casa. En este momento hay 30 gallinas en la granja y hay mucho espacio extra para triplicar el número de gallinas. Hace unos días, Dekker se casó con María. El padre de María le dio ayer 10 cerdos a Dekker como parte de la dote prometida por casarse con su amada hija. Dekker mantuvo a esos cerdos en la granja avícola porque hay suficiente espacio para criarlos también allí. Hoy por la mañana, Dekker se despertó y fue a alimentar a los animales. De repente, Dekker se sorprendió. La mayoría de los huevos que las gallinas pusieron ayer por la noche fueron pisoteados por los cerdos. Después de unos segundos, María llegó y le dijo a Dekker que los cerdos han sabido matar y comer gallinas como su comida fresca. Después de pensar seriamente en esta situación, dos soluciones vinieron a la mente de Dekker. Son,

  • Construyendo una nueva granja para vacas: Este método necesita una cantidad significativa de dinero y tierra. Dekker también tiene que configurar el agua y la energía por separado para la nueva granja. Tendrá que llevar comida y otros equipos (especialmente las herramientas para deshacerse del desperdicio sólido de los animales) a dos ubicaciones. Como conclusión, Más costo (construcción + mantenimiento), duplicó las tareas a realizar.
  • Separando la granja existente en dos partes usando una pared de madera – Esta es la solución más adecuada para Dekker. Porque el costo de una pared de madera es muy pequeño en comparación con el costo de construir una nueva granja. No habrá guerras entre cerdos y gallinas. Dekker puede hacer las tareas agrícolas en la misma ubicación, sin costos adicionales de energía y compras de equipos. Más importante aún, Dekker no necesita usar la tierra donde cultiva calabazas para construir otra granja. Esta solución es una situación de ganar-ganar para todos.

Ahora es el momento de deshacerse de las tontas figuras de la historia y volver al modo de red. La granja existente de Dekker es un LAN donde también hay un puerta (puerta) salga o entre como el puerto del enrutador en una LAN. Las gallinas y los cerdos son los usuarios finales de dos departamentos en una oficina que tienen diferentes necesidades de usar la red y existe una amenaza de seguridad que puede ocurrir cuando trabajan juntos sin vigilancia de la red. Dekker representa el equipo de redes de computadoras En la oficina. La tragedia que sucedió a los huevos de gallinas exige la necesidad de segmentación LAN. La primera solución de Dekker que es construir otra granja es la segmentación física o la segmentación tradicional que discutimos anteriormente. La segunda solución que usa una pared de madera es la Segmentación de VLAN. La pared de madera separa a los animales, pero se puede quitar y reemplazar fácilmente en otra dirección. VLAN.

Otro concepto importante se puede entender en esta historia. Cuando los cerdos y las gallinas viven juntos sin una pared. Tanto los cerdos como las gallinas tienen acceso a recursos como agua, comida de gallinas y comida de cerdos. Esto es similar a la dominio de difusión en el entorno neto de trabajo. Pero con la segmentación de LAN, los cerdos solo tendrán su comida y las gallinas tendrán solo lo que necesitan.

¿Cómo funcionan las VLAN?

Cada VLAN pertenece a un dominio de transmisión sperate y pertenece a una red IP que es única en la LAN utilizando direccionamiento IP privado o público. Los dispositivos finales en la misma VLAN pueden comunicarse entre sí y los dispositivos finales pertenecen a diferentes VLAN que no pueden comunicarse a menos que haya un proceso de enrutamiento entre VLAN por un enrutador o un conmutador de Capa 3. Enrutamiento entre VLAN Es otro tema para discutir. Pero como resumen, a continuación se mencionan los tres métodos que pueden suceder entre las rutas de VLAN.

  • Enrutamiento tradicional entre VLAN – Una interfaz de enrutador dedicada a una VLAN. Si hay 10 VLAN, la LAN debe estar conectada a 10 interfaces de enrutador.
  • Router-On-A-Stick – Todas las VLAN comparten una interfaz de enrutador para realizar el enrutamiento entre VLAN. Cada VLAN tendrá una subinterfaz sperate. Subinterfaces son interfaces lógicas que se ejecutan dentro de una interfaz física.
  • Enrutamiento entre VLAN mediante el conmutador de capa 3Interruptores de capa 3 tiene la capacidad de enrutamiento. El enrutamiento entre VLAN se puede hacer mediante este tipo de dispositivos. Este método es la mejor opción para redes a gran escala para reducir la carga de trabajo de los enrutadores.

Los puertos del conmutador que se han conectado a dispositivos finales deben configurarse para «Acceso«Modo en el que el tráfico pertenece a una sola VLAN específica puede fluir a través del puerto. Los puertos que se conectan entre conmutadores están configurados para «Maletero”Se puede pasar el modo donde el tráfico pertenece a cualquier VLAN. En este proceso, el conmutador utiliza protocolos de etiquetado / encapsulación VLAN. IEEE 802.1Q La encapsulación es el método más común utilizado para el enlace troncal de VLAN y hay otro protocolo, Protocolo de enlace entre conmutadores (ISL) que es un protocolo patentado por Cisco. 802.1Q utiliza un espacio de encabezado de 4 bytes de longitud desde el encabezado de la trama de Ethernet para indicar el identificador de VLAN de la VLAN a la que pertenece la trama de Ethernet. Trunking también es otro tema para discutir de manera amplia.

los Identificador de VLAN Es otro hecho importante en la tecnología VLAN. El identificador de VLAN es un número entre 0-4095. Esto se puede dividir en dos secciones como Rango normal y Ira extendida. Estos dos grupos se comparan en la siguiente tabla.

Las VLAN 0 y 4095 están reservadas para el uso del sistema y no están visibles para la administración de la red. VLAN 1 y 1002-1005 son creadas automáticamente por el dispositivo y no se pueden eliminar. VLAN 1002, 1003, 1004 y 1005 están dedicados a protocolos de red heredados como FDDI y Token Ring. Esas VLAN no pueden usarse para ningún otro propósito.

Aparte de eso, Protocolo de enlace de VLAN (VTP) y Protocolo de enlace dinámico (DTP) se puede configurar para mejorar la productividad del uso de las tecnologías VLAN. Cisco desarrolla ambos protocolos como soluciones propietarias. VTP se utiliza para automatizar la creación, eliminación y sincronización de VLAN a través de múltiples conmutadores. DTP es el protocolo para automatizar la negociación del proceso de enlace troncal entre los puertos del conmutador.

Ventajas de las VLAN

Las VLAN brindan muchas ventajas a una red. Las principales ventajas de las VLAN se describen a continuación.

  1. Reducción de costos – El uso de VLAN reduce la cantidad de conmutadores que se utilizarán en la red para lograr los objetivos de la red y reducir al mínimo la cantidad de puertos de enrutador necesarios. El cableado de Ethernet también se puede implementar de una manera más simple y eso minimiza el costo del cableado de la red.
  2. Mayor rendimiento – Las VLAN segmentan el dominio de difusión único de la LAN física en dominios de difusión más pequeños. Esto reduce la sobrecarga de la red de cada dispositivo de conmutación y proporciona un flujo de datos rápido y eficiente a través de la red.
  3. Seguridad mejorada – Las VLAN ofrecen la capacidad de llevar a cabo una vigilancia de red sólida al segmentar a los usuarios en diferentes grupos. Esta es una gran precaución para las violaciones de datos y otras amenazas para la seguridad de la información.
  4. Mayor escalabilidad – Se puede agregar un nuevo dispositivo a cualquier lugar de la red y configurar su puerto de conmutador conectado a cualquier VLAN deseada sin mucho esfuerzo. La cantidad de dispositivos que se pueden conectar a una VLAN particular depende del tamaño del bloque de IP que se utiliza en la VLAN. Pero el bloque de IP se puede cambiar a un bloque más grande ejecutando un par de comandos y conectando la cantidad deseada de dispositivos a la red.
  5. Mejor manejabilidad y mantenibilidad – Actividades como la actualización de la red, la vigilancia de la red, el diseño de la red, el reemplazo de dispositivos de red y la resolución de problemas de la red serán mucho más fáciles con el uso de las tecnologías VLAN.

Desventajas de las VLAN

Las VLAN son una técnica muy útil que es un concepto obligatorio para aplicar en buenos diseños de red a menos que la red tenga solo unos pocos dispositivos finales. Sin embargo, el número máximo de VLAN es 4096 y solo 4090 VLAN, incluida la VLAN 1, es prácticamente utilizable para la administración de la red. Este hecho puede destacarse como una limitación de las VLAN. Pero no es práctico incluso alcanzar este límite como empresa.

En otra perspectiva, el uso de VLAN requiere la responsabilidad del enrutador para llevar a cabo el flujo interno de datos entre dispositivos pertenecientes a diferentes VLAN. Eso puede aumentar la carga de trabajo del enrutador. Esto puede considerarse una desventaja de las VLAN, pero el uso de conmutadores de capa 3 mitiga este problema.

Tipos de VLAN

Hay algunos tipos de VLAN que deben preocuparse para comprender el procedimiento práctico de las VLAN en una red. Los tipos de VLAN se describen a continuación.

  • VLAN predeterminada – La VLAN predeterminada ya está configurada en el conmutador como VLAN 1. La mayoría de los ingenieros de seguridad de red tienden a cambiar la VLAN predeterminada de la VLAN 1 a otra VLAN como práctica recomendada en Seguridad. La VLAN 1 no se puede renombrar o eliminar porque es la VLAN predeterminada especificada por el dispositivo. En la configuración inicial de un conmutador, todos los puertos del conmutador se asignan a la VLAN 1 de manera predeterminada.
  • VLAN nativa – Cuando una trama Ethernet que fluye a través de un puerto de enlace troncal que no pertenece a ninguna VLAN configurada, esa trama se asignará a la VLAN nativa. Este tráfico se llama Tráfico sin etiquetar.
  • VLAN de gestión – Esta VLAN está configurada para acceder a los servicios de administración de un conmutador. Esta VLAN es utilizada por el equipo de TI para la gestión de la red. En los switches Cisco, la VLAN 1 también sirve como la VLAN de administración de forma predeterminada.
  • VLAN de voz – La VLAN que se dedica a transportar los paquetes de voz de la red telefónica IP que se implementa utilizando la tecnología de Voz sobre IP (VOIP) se denomina VLAN de voz.

Configuración de VLAN

Las configuraciones de VLAN son muy simples y fáciles. Los pasos principales de la configuración básica de VLAN se mencionan a continuación.

La mejor manera de conocer cada uno de estos pasos es a través de una configuración de red práctica. El siguiente tutorial trata sobre la configuración básica de VLAN utilizando dispositivos de red Cisco. Puede hacer esto de manera práctica utilizando dispositivos físicos. Pero no es una opción posible para todos. Cisco Packet Tracer Es la mejor opción para probar esta práctica de forma virtual. Si no tiene instalado Packet Tracer en su computadora. Puede descargarlo del sitio web oficial de Academia de redes de Cisco gratis. Todo lo que necesita hacer es registrarse e iniciar sesión en el sitio y hacer clic en el siguiente enlace en la barra de navegación.

Refiriéndose «Introducción a Packet Tracer«Curso en línea gratuito de Cisco, podrá dominar esta herramienta en 10 horas.

Configuracion basica

Comencemos nuestro ejercicio de configuración de VLAN ahora. Configure la siguiente topología en Packet Tracer arrastrando y soltando los dispositivos necesarios. Los cables que se representan con líneas discontinuas son cables cruzados, las líneas rectas representan cables directos. Utilizar Interruptores modelo 2960-24TT y Enrutador 1941.

Después de configurar la topología, configuremos las direcciones IP de todas las PC consultando la siguiente tabla.

Si se pregunta cómo hacer la configuración de IP en una PC, siga estos pasos.

Haga clic en el icono de la PC> vaya a «pestaña Escritorio»> Haga clic en «Configuración de IP»

Asegúrate que «Estático«Opción está seleccionada. Coloque los detalles de IP correctos en la forma correcta como se muestra a continuación. No realice ningún cambio en ningún otro campo que no sea Dirección IP, Máscara de subred y Puerta de enlace predeterminada. Después de dar los detalles correctos, cierre la ventana de configuración de IP

Todos los trabajos básicos se realizan después de configurar las direcciones IP para todas las PC. Ahora podemos comenzar a configurar los interruptores.

Haga clic en un interruptor y haga clic en «CLI«Y presione»Botón Enter«.

Este es el momento de iniciar las configuraciones en la forma de comando. Después de escribir cada comando, debe presionar «Botón Enter « para ejecutar el comando Si el comando es incorrecto, la CLI le mostrará un mensaje de error que indica que el comando no es válido. Comencemos el trabajo entonces. Repita los siguientes pasos en los tres interruptores.

Primero tienes que ir a habilitar modo.

Cambiar> habilitar

Entonces tienes que ir a Modo de configuración global.

Switch # configure terminal

Como práctica recomendada, es mejor deshabilitar todas las interfaces con el comando de apagado Al comienzo de una nueva configuración.

Switch (config) #interface range fastEthernet 0 / 1-24
Switch (config-if-range) #shutdown
Switch (config) #exit

Switch (config) #interface range gigabitEthernet 0 / 1-2
Switch (config-if-range) #shutdown
Switch (config) #exit

Configuración de VLAN en los conmutadores

Después de las configuraciones básicas, estamos listos para configurar las VLAN con los siguientes comandos. Tenemos dos VLAN como VLAN 10 y VLAN 20 para ser configurado VLAN 10 es para empleados de marketing y VLAN 20 es para empleados financieros.

Switch (config) #vlan 10
Switch (config-vlan) #name Marketing
Switch (config-vlan) #exit

Switch (config) #vlan 20
Switch (config-vlan) #name Finanzas
Switch (config-vlan) #exit

Puede verificar eso usando la configuración usando ‘mostrar vlan’O‘muestra breve vlan«En el modo de habilitación. Debe tener el mismo informe que a continuación.

Repita los mismos pasos en el Interruptor 1, 2, 3.

Configurar los puertos de acceso

Puertos de acceso son puertos de conmutador que se conectan a dispositivos finales. Solo en nuestra topología Interruptor 1 y Interruptor 3 están conectados a dispositivos finales. Por lo tanto, los siguientes comandos de asignación de VLAN deben configurarse solo en esos conmutadores.

Switch (config) #interface fastEthernet 0/1
Cambiar (config-if) # acceso al modo switchport
Switch (config-if) #switchport access vlan 10
Switch (config-if) #no shutdown
Switch (config-if) #exit

Switch (config) #interface fastEthernet 0/2
Cambiar (config-if) # acceso al modo switchport
Switch (config-if) #switchport access vlan 20
Switch (config-if) #no shutdown
Switch (config-if) #exit

Estos comandos se han configurado en el configuración de la interfaz nivel y el primer comando switchport es habilitar modo de acceso en la interfaz y el segundo comando es asignar la interfaz a una VLAN específica. Finalmente, debe habilitar la interfaz con ‘no apagarse’ mando. Después de implementar los puertos de acceso, las configuraciones de Switch 1 y Switch 2 se pueden verificar como se muestra a continuación.

Configurar puertos troncales

Los enlaces que deben transportar el tráfico pertenecen a cualquier VLAN deben configurarse en Modo troncal. Los enlaces entre los interruptores, el enlace entre el enrutador y los interruptores deben estar en este modo Como hemos utilizado diferentes interfaces para conectar conmutadores, la configuración en cada conmutador no es la misma. Cuidadosamente, implemente los siguientes comandos en el interruptor correcto.

Interruptor 1

Switch (config) #interface fastEthernet 0/24
Switch (config-if) #switchport mode trunk
Switch (config-if) #switchport trunk permitido vlan all
Switch (config-if) #no shutdown
Switch (config-if) #exit

Interruptor 2

Switch (config) #interface fastEthernet 0/24
Switch (config-if) #switchport mode trunk
Switch (config-if) #switchport trunk permitido vlan all
Switch (config-if) #no shutdown
Switch (config-if) #exit

Switch (config) #interface fastEthernet 0/23
Switch (config-if) #switchport mode trunk
Switch (config-if) #switchport trunk permitido vlan all
Switch (config-if) #no shutdown
Switch (config-if) #exit

Switch (config) #interface gigabitEthernet 0/1
Switch (config-if) #switchport mode trunk
Switch (config-if) #switchport trunk permitido vlan all
Switch (config-if) #no shutdown
Switch (config-if) #exit

Interruptor 3

Switch (config) #interface fastEthernet 0/23
Switch (config-if) #switchport mode trunk
Switch (config-if) #switchport trunk permitido vlan all
Switch (config-if) #no shutdown
Switch (config-if) #exit

Estos comandos también deben implementarse en el modo de configuración de la interfaz. El primer comando switchport es habilitar los enlaces troncales y el segundo es permitir que todas las VLAN se conecten a través del puerto. Ese comando ya está configurado por defecto. De todos modos, es mejor escribir ese comando también como una mejor práctica. Finalmente, la interfaz debe habilitarse usando no apagarse mando.

Ahora las configuraciones básicas de VLAN están casi terminadas. Podemos probar la red con las reglas de VLAN.

Las PC que están en la misma VLAN deben tener un ping exitoso. En nuestro caso, PC1 debería poder hacer ping PC3 y PC2 debería poder hacer ping PC 4.

Un ping puede ser realizado por haciendo clic en el icono de la PC> haga clic en la pestaña «Escritorio»> haga clic en el icono «Símbolo del sistema»> luego escriba la IP de destino correcta como se muestra a continuación.

Pero ping entre PC1 y PC4 debe fallar porque esas PC pertenecen a diferentes VLAN.

Configuración del enrutamiento entre VLAN

El enrutamiento entre VLAN debe configurarse para permitir que las PC en diferentes VLAN se comuniquen entre sí. Como se señaló anteriormente, hay tres formas de realizar el enrutamiento entre VLAN. En nuestro tutorial, vamos a usar Router-On-A-Stick Método que utiliza solo una interfaz de enrutador con etiquetado 802.1Q.

Por favor ve a la CLI del enrutador y configure los siguientes comandos en modo de configuración global en el enrutador.

Router (config) #interface gigabitEthernet 0 / 1.10
Enrutador (config-subif) #encapsulación dot1Q 10
Dirección del router (config-subif) #ip 192.168.10.1 255.255.255.0
Router (config-subif) # salida

Router (config) #interface gigabitEthernet 0 / 1.20
Enrutador (config-subif) #encapsulación dot1Q 20
Dirección del router (config-subif) #ip 192.168.20.1 255.255.255.0
Router (config-subif) # salida

Router (config) #interface gigabitEthernet 0/1
Router (config-if) # sin apagado
Router (config-if) # salida

En esta configuración, tenemos que crear dos subinterfaces como 0 / 1.10 y 0 / 1.20 para las dos VLAN que estamos usando en la red. Después de eso, tenemos que mencionar la VLAN relacionada con cada subinterfaz y la dirección IP de cada subinterfaz, que funciona como las puertas de enlace predeterminadas de cada VLAN. Finalmente, el interfaz fisica (0/1) debe habilitarse con el ‘no apagarse’Comando.

Ahora su trabajo en la topología está 100% completado. Puede hacer ping desde PC1 a PC3 Ahora.

Espero que hayas disfrutado los conceptos detrás de las VLAN en redes de computadoras. Lea y practique más sobre estos temas y conviértase en un ingeniero de red / arquitecto / administrador con una sólida comprensión conceptual y exposición práctica.