UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

SEMANA 05A – CONCEPTOS DE VLAN

1. INTRODUCCIÓN

El rendimiento de la red es un factor importante en la productividad de una organización. Una de

las tecnologías que contribuyen a mejorar el rendimiento de la red es la división de los grandes
dominios de difusión en dominios más pequeños. Por una cuestión de diseño, los routers bloquean
el tráfico de difusión en una interfaz. Sin embargo, los routers generalmente tienen una cantidad
limitada de interfaces LAN. La función principal de un router es trasladar información entre las
redes, no proporcionar acceso a la red a las terminales.

La función de proporcionar acceso a una LAN suele reservarse para los switches de capa de
acceso. Se puede crear una red de área local virtual (VLAN) en un switch de capa 2 para reducir
el tamaño de los dominios de difusión, similares a los dispositivos de capa 3. Por lo general, las
VLAN se incorporan al diseño de red para facilitar que una red dé soporte a los objetivos de una
organización. Si bien las VLAN se utilizan principalmente dentro de las redes de área local
conmutadas, las implementaciones modernas de las VLAN les permiten abarcar redes MAN y
WAN.

2. SEGMENTACIÓN DE VLAN

Dentro de un entorno conmutado, las VLAN proporcionan la segmentación y la flexibilidad

organizativa. Las VLAN proporcionan una manera de agrupar dispositivos dentro de una LAN. Un
grupo de dispositivos dentro de una VLAN se comunica como si estuvieran conectados al mismo
cable. Las VLAN se basan en conexiones lógicas, en lugar de conexiones físicas.

Las VLAN permiten que el administrador divida las redes en segmentos según factores como la
función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario o

Docente: Mg. Miguel Mendoza Dionicio Página | 1

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

del dispositivo. Los dispositivos dentro de una VLAN funcionan como si estuvieran en su propia
red independiente, aunque compartan una misma infraestructura con otras VLAN. Cualquier puerto
de switch puede pertenecer a una VLAN, y los paquetes de unidifusión, difusión y multidifusión se
reenvían y saturan solo las estaciones terminales dentro de la VLAN donde se originan los
paquetes. Cada VLAN se considera una red lógica independiente, y los paquetes destinados a las
estaciones que no pertenecen a la VLAN se deben reenviar a través de un dispositivo que admita
el routing.

Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN físicos.
Las VLAN mejoran el rendimiento de la red mediante la división de grandes dominios de difusión
en otros más pequeños. Si un dispositivo en una VLAN envía una trama de Ethernet de difusión,
todos los dispositivos en la VLAN reciben la trama, pero los dispositivos en otras VLAN no la
reciben.

Las VLAN habilitan la implementación de las políticas de acceso y de seguridad según grupos
específicos de usuarios. Cada puerto de switch se puede asignar a una sola VLAN (a excepción
de un puerto conectado a un teléfono IP o a otro switch).

Figura. Definición de grupos de VLAN

La productividad de los usuarios y la adaptabilidad de la red son importantes para el crecimiento y

el éxito de las empresas. Las redes VLAN facilitan el diseño de una red para dar soporte a los
objetivos de una organización. Los principales beneficios de utilizar las VLAN son los siguientes:

• Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que
disminuye las posibilidades de que ocurran violaciones de información confidencial. Como se
muestra en la ilustración, las computadoras del cuerpo docente están en la VLAN 10 y
separadas por completo del tráfico de datos de los estudiantes y los Invitados.
• Reducción de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones
de red costosas y al uso más eficaz de los enlaces y del ancho de banda existentes.

Docente: Mg. Miguel Mendoza Dionicio Página | 2

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

• Mejor rendimiento: la división de las redes planas de capa 2 en varios grupos de trabajo
lógicos (dominios de difusión) reduce el tráfico innecesario en la red y mejora el rendimiento.
• Dominios de difusión reducidos: la división de una red en redes VLAN reduce la cantidad
de dispositivos en el dominio de difusión. Como se muestra en la ilustración, existen seis
computadoras en esta red, pero hay tres dominios de difusión: Cuerpo docente, Estudiantes
e Invitados.
• Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los
usuarios con requerimientos similares de red comparten la misma VLAN. Cuando se dispone
de un switch nuevo, se implementan todas las políticas y los procedimientos que ya se
configuraron para la VLAN específica cuando se asignan los puertos. También es fácil para
el personal de TI identificar la función de una VLAN proporcionándole un nombre. En la
ilustración, para facilitar la identificación, se denominó “Cuerpo Docente” a la VLAN 10,
“Estudiantes” a la VLAN 20 e “Invitados” a la VLAN 30.
• Administración más simple de aplicaciones y proyectos: las VLAN agregan dispositivos
de red y usuarios para admitir los requisitos geográficos o comerciales. Al tener características
diferentes, se facilita la administración de un proyecto o el trabajo con una aplicación
especializada; un ejemplo de este tipo de aplicación es una plataforma de desarrollo de
aprendizaje por medios electrónicos para el cuerpo docente.

Cada VLAN en una red conmutada corresponde a una red IP; por lo tanto, al diseñar la VLAN, se
debe tener en cuenta la implementación de un esquema de direccionamiento de red jerárquico. El
direccionamiento jerárquico de la red significa que los números de red IP se aplican a los
segmentos de red o a las VLAN de manera ordenada, lo que permite que la red se tome en cuenta
como conjunto. Los bloques de direcciones de red contiguas se reservan para los dispositivos en
un área específica de la red y se configuran en estos, como se muestra en la ilustración.

Figura. Beneficios de las redes VLAN

Docente: Mg. Miguel Mendoza Dionicio Página | 3

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

Existen diferentes tipos de redes VLAN, los cuales se utilizan en las redes modernas. Algunos
tipos de VLAN se definen según las clases de tráfico. Otros tipos de VLAN se definen según la
función específica que cumplen.

VLAN de datos
Una VLAN de datos es una VLAN configurada para transportar tráfico generado por usuarios. Una
VLAN que transporta tráfico de administración o de voz no sería una VLAN de datos. Es una
práctica común separar el tráfico de voz y de administración del tráfico de datos. A veces a una
VLAN de datos se la denomina VLAN de usuario. Las VLAN de datos se usan para dividir la red
en grupos de usuarios o dispositivos.

VLAN predeterminada
Todos los puertos de switch se vuelven parte de la VLAN predeterminada después del arranque
inicial de un switch que carga la configuración predeterminada. Los puertos de switch que
participan en la VLAN predeterminada forman parte del mismo dominio de difusión. Esto admite
cualquier dispositivo conectado a cualquier puerto de switch para comunicarse con otros
dispositivos en otros puertos de switch. La VLAN predeterminada para los switches Cisco es la
VLAN 1. En la ilustración, se emitió el comando show vlan brief en un switch que ejecuta la
configuración predeterminada. Observe que todos los puertos se asignan a la VLAN 1 de manera
predeterminada.

Figura. VLAN 1

La VLAN 1 tiene todas las características de cualquier VLAN, excepto que no se le puede cambiar
el nombre ni se puede eliminar. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de
manera predeterminada.

VLAN nativa
Una VLAN nativa está asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal son los
enlaces entre switches que admiten la transmisión de tráfico asociado a más de una VLAN. Los
puertos de enlace troncal 802.1Q admiten el tráfico proveniente de muchas VLAN (tráfico con
etiquetas), así como el tráfico que no proviene de una VLAN (tráfico sin etiquetar). El tráfico con
etiquetas hace referencia al tráfico que tiene una etiqueta de 4 bytes insertada en el encabezado
de la trama de Ethernet original, que especifica la VLAN a la que pertenece la trama. El puerto de

Docente: Mg. Miguel Mendoza Dionicio Página | 4

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

enlace troncal 802.1Q coloca el tráfico sin etiquetar en la VLAN nativa, que es la VLAN 1 de manera
predeterminada.

Las VLAN nativas se definen en la especificación IEEE 802.1Q a fin de mantener la compatibilidad
con el tráfico sin etiquetar de modelos anteriores común a las situaciones de LAN antiguas. Una
VLAN nativa funciona como identificador común en extremos opuestos de un enlace troncal.

Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1 y
de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione como VLAN nativa
para todos los puertos de enlace troncal en el dominio conmutado.

VLAN de administración
Una VLAN de administración es cualquier VLAN que se configura para acceder a las capacidades
de administración de un switch. La VLAN 1 es la VLAN de administración de manera
predeterminada. Para crear la VLAN de administración, se asigna una dirección IP y una máscara
de subred a la interfaz virtual de switch (SVI) de esa VLAN, lo que permite que el switch se
administre mediante HTTP, Telnet, SSH o SNMP. Dado que en la configuración de fábrica de un
switch Cisco la VLAN 1 se establece como VLAN predeterminada, la VLAN 1 no es una elección
adecuada para la VLAN de administración.

En el pasado, la VLAN de administración para los switches 2960 era la única SVI activa. En las
versiones 15.x de IOS de Cisco para los switches de la serie Catalyst 2960, es posible tener más
de una SVI activa. Con IOS de Cisco 15.x, se debe registrar la SVI activa específica asignada para
la administración remota. Si bien, en teoría, un switch puede tener más de una VLAN de
administración, esto aumenta la exposición a los ataques de red.

En la ilustración, actualmente todos los puertos están asignados a la VLAN 1 predeterminada. No

hay ninguna VLAN nativa asignada explícitamente ni otras VLAN activas; por lo tanto, la VLAN
nativa de la red que se diseñó es la VLAN de administración. Esto se considera un riesgo de
seguridad.

Se necesita una VLAN separada para admitir la tecnología de voz sobre IP (VoIP). El tráfico de
VoIP requiere:

• Ancho de banda garantizado para asegurar la calidad de la voz

• Prioridad de la transmisión sobre los tipos de tráfico de la red
• Capacidad para ser enrutado en áreas congestionadas de la red
• Una demora inferior a 150 ms a través de la red

Para cumplir estos requerimientos, se debe diseñar la red completa para que admita VoIP. Los
detalles sobre cómo configurar una red para que admita VoIP exceden el ámbito de este curso,
pero es útil resumir cómo funciona una VLAN de voz entre un switch, un teléfono IP Cisco y una
computadora.

En la figura, la VLAN 150 se diseña para enviar tráfico de voz. La computadora del estudiante PC5
está conectada al teléfono IP de Cisco y el teléfono está conectado al switch S3. La PC5 está en
la VLAN 20 que se utiliza para los datos de los estudiantes.

Docente: Mg. Miguel Mendoza Dionicio Página | 5

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

Figura. VLAN de voz

3. REDES VLAN EN UN ENTORNO CONMUTADO MÚLTIPLE

Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de una
VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco admite IEEE
802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit Ethernet y 10-
Gigabit Ethernet.

Las VLAN no serían muy útiles sin los enlaces troncales de VLAN. Los enlaces troncales de VLAN
permiten que se propague todo el tráfico de VLAN entre los switches, de modo que los dispositivos
que están en la misma VLAN, pero conectados a distintos switches se puedan comunicar sin la
intervención de un router.

Un enlace troncal de VLAN no pertenece a una VLAN específica, sino que es un conducto para
varias VLAN entre switches y routers. También se puede utilizar un enlace troncal entre un
dispositivo de red y un servidor u otro dispositivo que cuente con una NIC con capacidad 802.1Q.
En los switches Cisco Catalyst, se admiten todas las VLAN en un puerto de enlace troncal de
manera predeterminada.

En la ilustración, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para transmitir
el tráfico proveniente de las VLAN 10, 20, 30 y 99 a través de la red. Esta red no podría funcionar
sin los enlaces troncales de VLAN.

Docente: Mg. Miguel Mendoza Dionicio Página | 6

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

Figura. Enlaces troncales de la VLAN

Redes sin VLAN

En condiciones normales de funcionamiento, cuando un switch recibe una trama de difusión en
uno de sus puertos, reenvía la trama por todos los demás puertos, excepto el puerto por donde
recibió la difusión. En la figura siguiente, se configuró toda la red en la misma subred
([Link]/24), y no se configuró ninguna VLAN. Como consecuencia, cuando la computadora
del cuerpo docente (PC1) envía una trama de difusión, el switch S2 envía dicha trama de difusión
por todos sus puertos. Finalmente, toda la red recibe la difusión porque la red es un dominio de
difusión.

Figura. Sin segmentación de VLAN

Docente: Mg. Miguel Mendoza Dionicio Página | 7

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

Red con VLAN

Como se muestra en la animación de la figura siguiente, la red se segmentó mediante dos VLAN.
Los dispositivos del cuerpo docente se asignaron a la VLAN 10, y los dispositivos de los
estudiantes se asignaron a la VLAN 20. Cuando se envía una trama de difusión desde la
computadora del cuerpo docente, la PC1, al switch S2, el switch reenvía esa trama de difusión
solo a los puertos de switch configurados para admitir la VLAN 10.

Figura. Con segmentación de VLAN

Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el S1 y
el S3 (puertos F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN en la red.
Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por el
único puerto configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3 recibe la
trama de difusión en el puerto F0/3, reenvía la trama de difusión por el único puerto configurado
para admitir la VLAN 10, que es el puerto F0/11. La trama de difusión llega a la única otra
computadora de la red configurada en la VLAN 10, que es la computadora PC4 del cuerpo docente.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifusión,
multidifusión y difusión desde un host en una VLAN en particular se limita a los dispositivos
presentes en esa VLAN.

Los switches de la serie Catalyst 2960 son dispositivos de capa 2. Estos utilizan la información del
encabezado de la trama de Ethernet para reenviar paquetes. No poseen tablas de routing. El
encabezado de las tramas de Ethernet estándar no contiene información sobre la VLAN a la que
pertenece la trama; por lo tanto, cuando las tramas de Ethernet se colocan en un enlace troncal,
se debe agregar la información sobre las VLAN a las que pertenecen. Este proceso, denominado
“etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q, especificado en el estándar
IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de 4 bytes insertada en el encabezado
de la trama de Ethernet original que especifica la VLAN a la que pertenece la trama.

Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado a una
VLAN, el switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a calcular la FCS
y envía la trama etiquetada por un puerto de enlace troncal.

Detalles del campo de etiqueta de la VLAN

El campo de etiqueta de la VLAN consta de un campo de tipo, un campo de prioridad, un campo
de identificador de formato canónico y un campo de ID de la VLAN:

Docente: Mg. Miguel Mendoza Dionicio Página | 8

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

• Tipo: es un valor de 2 bytes denominado “ID de protocolo de etiqueta” (TPID). Para Ethernet,
este valor se establece en 0x8100 hexadecimal.
• Prioridad de usuario: es un valor de 3 bits que admite la implementación de nivel o de
servicio.
• Identificador de formato canónico (CFI): es un identificador de 1 bit que habilita las tramas
Token Ring que se van a transportar a través de los enlaces Ethernet.
• ID de VLAN (VID): es un número de identificación de VLAN de 12 bits que admite hasta 4096
ID de VLAN.

Una vez que el switch introduce los campos Tipo y de información de control de etiquetas, vuelve
a calcular los valores de la FCS e inserta la nueva FCS en la trama.

Figura. Campos en una trama Ethernet 802.1Q

Tramas etiquetadas en la VLAN nativa

Algunos dispositivos que admiten enlaces troncales agregan una etiqueta VLAN al tráfico de las
VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe etiquetar. Si un
puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma ID de VLAN que la
VLAN nativa, descarta la trama. Por consiguiente, al configurar un puerto de un switch Cisco,
configure los dispositivos de modo que no envíen tramas etiquetadas por la VLAN nativa. Los
dispositivos de otros proveedores que admiten tramas etiquetadas en la VLAN nativa incluyen:
teléfonos IP, servidores, routers y switches que no pertenecen a Cisco.

Tramas sin etiquetar en la VLAN nativa

Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco usuales
en las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay dispositivos asociados
a la VLAN nativa (lo que no es poco usual) y no existen otros puertos de enlace troncal (lo que no
es poco usual), se descarta la trama. La VLAN nativa predeterminada es la VLAN 1. Al configurar
un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a la ID de VLAN
de puerto (PVID) predeterminada. Todo el tráfico sin etiquetar entrante o saliente del puerto
802.1Q se reenvía según el valor de la PVID. Por ejemplo, si se configura la VLAN 99 como VLAN
nativa, la PVID es 99, y todo el tráfico sin etiquetar se reenvía a la VLAN 99. Si no se volvió a
configurar la VLAN nativa, el valor de la PVID se establece en VLAN 1.
En la ilustración siguiente, la PC1 está conectada a un enlace troncal 802.1Q mediante un hub. La
PC1 envía el tráfico sin etiquetar que los switches asocian a la VLAN nativa configurada en los
puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del enlace
troncal que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficiente por varios
motivos: utiliza un hub, tiene un host conectado a un enlace troncal y esto implica que los switches
tengan puertos de acceso asignados a la VLAN nativa. Sin embargo, ilustra la motivación de la

Docente: Mg. Miguel Mendoza Dionicio Página | 9

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

especificación IEEE 802.1Q para que las VLAN nativas sean un medio de manejo de entornos
antiguos.

Figura. VLAN nativa en el enlace troncal 802.1Q

Recuerde que, para admitir VoIP, se requiere una VLAN de voz separada.

Un puerto de acceso que se usa para conectar un teléfono IP de Cisco se puede configurar para
usar dos VLAN separadas: una VLAN para el tráfico de voz y otra VLAN para el tráfico de datos
desde un dispositivo conectado al teléfono. El enlace entre el switch y el teléfono IP funciona como
un enlace troncal para transportar tanto el tráfico de la VLAN de voz como el tráfico de la VLAN de
datos.

El teléfono IP Cisco contiene un switch integrado 10/100 de tres puertos. Los puertos proporcionan
conexiones dedicadas para estos dispositivos:

• El puerto 1 se conecta al switch o a otro dispositivo VoIP.

• El puerto 2 es una interfaz interna 10/100 que envía el tráfico del teléfono IP.
• El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.
En el switch, el acceso está configurado para enviar paquetes del protocolo de descubrimiento
de Cisco (CDP) que instruyen a un teléfono IP conectado para que envíe el tráfico de voz al
switch en una de tres formas posibles, según el tipo de tráfico:
• En una VLAN de voz con una etiqueta de valor de prioridad de clase de servicio (CoS) de
capa 2.
• En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2.
• En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2).

En la figura siguiente, la computadora del estudiante PC5 está conectada a un teléfono IP de

Cisco, y el teléfono está conectado al switch S3. La VLAN 150 está diseñada para transportar
tráfico de voz, mientras que la PC5 está en la VLAN 20, que se usa para los datos de los
estudiantes.

Docente: Mg. Miguel Mendoza Dionicio Página | 10

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

Figura. Etiquetado de LAN de voz

Ejemplo de configuración
En la figura siguiente, se muestra un resultado de ejemplo. El análisis de los comandos de voz de
IOS de Cisco exceden el ámbito de este curso, pero las áreas resaltadas en el resultado de ejemplo
muestran que la interfaz F0/18 se configuró con una VLAN configurada para datos (VLAN 20) y
una VLAN configurada para voz (VLAN 150).

Figura. Ejemplo de configuración

Docente: Mg. Miguel Mendoza Dionicio Página | 11

 UNIVERSIDAD SANTO DOMINGO DE GUZMÁN INTERNETWORKING

Docente: Mg. Miguel Mendoza Dionicio Página | 12