VLAN

[Link]ÓN A LAS VLAN

1. Definición de las VLan

● Las vlan permiten agrupar las personas y sus recursos de red sin tener en cuenta su
ubicación geográfica.
○ Cuando la red está en el mismo edificio no hay problemas pero si están en
edificios separados e intentamos cablearlos todos esto supone mucho trabajo
y dificultad para hacer cambios
○ Si los agrupamos juntos con sus recursos es más fácil administrarlos.
● Una vlan permite crear grupos de dispositivos conectados en red de forma lógica.
(pueden estar en lugares distintos) actúan como si estuvieran en su propia red
aunque compartan una misma infraestructura .
● Gracias a las vlan las redes conmutadas pueden segmentarse lógicamente
basándose en las funciones , los departamentos o los equipos de proyecto.
○ Una vlan es una red lógicamente separada. Las vlan permiten la
existencia de varias redes en la misma red.
● El switch tiene que configurarse con la vlan y cada puerto de la vlan debe asignarse
a la vlan.
○ Un puerto de switch con una vlan configurada en el se llama puerto de
acceso.
■ Por que dos computadoras están conectadas al mismo switch no
significa que puedan comunicarse.
■ Cuando dos dispositivos están en redes separadas deben
comunicarse a través de un router se utilicen o no vlan.

2. Beneficios de las vlan

a. Seguridad: los grupos que tienen datos sensibles están separadas del resto
de la red.
b. Reducción de coste: es debido a un mejor uso del ancho de banda.
c. Rendimiento más alto: la división de las redes planas de capa 2 en varios
grupos de trabajo lógico (dominios de broadcast o difusión) reduce el tráfico
innecesario de la red y aumenta el rendimiento.
d. Atenuación de la tormenta de difusión Reduce el número de dispositivos que
pueden participar en una tormenta de difusión. La segmentación de la LAN
evita que una tormenta de difusión se propague por toda la red
e. Eficacia mejorada del personal de TI: Facilitan la administración porque los
usuarios con unos requisitos de red parecidos comparten la misma vlan.
 i. Cuando se adquiere un switch nuevo todas las políticas y
procedimientos ya configurados para la vlan concreta se implementa
en el momento de asignar los puertos
ii. Los administradores pueden identificar fácilmente la función de una
vlan por su nombre
f. Administración más sencilla de proyectos o aplicaciones:La vlan agregan los
usuarios y dispositivos de red para soportar los requisitos comerciales o
geográficos.

3. Rango de ID para VLAN​.

● Las vlan se dividen numéricamente en un rango normal y un rango extendido
● Las vlan de rango normal se caracterizan por
○ Se utilizan en redes empresariales y comerciales de pequeño y
mediano tamaño.
○ Están identificadas por un ide entre 1 y 1005
○ Los IDs 1002 a 1005 está reservado para las vlan Token Rings y
FDDI
○ Los IDs 1 y 1002 a 1005 se crean automáticamente y no puede ser
eliminados
○ Las configuraciones se almacenan dentro de un archivo de base de
datos denominados [Link]. Este archivo se encuentra en la
memoria Flash del switch
● Las vlan de rango extendido se caracterizan por
○ Permiten a los proveedores de servicios extender su infraestructura a
un mayor número de clientes.
○ Estan identificados por un ID entre 1006 y 4096
○ Soportan menos características vlan que las anteriores
○ Se guardan en el archivo de configuración en ejecución
○ VTP no aprender las vlan de rango extendido.
● Un switch cisco catalyst 2960 puede soportar hasta 255 vlans entre la
colección de vlan de rango normal y de rango extendido. El número de vlan
configurada afecta al rendimiento del hardware del switch
○ Como una red empresarial puede necesitara un switch con un montón
de puertos cisco ha desarrollado switches empresariales que pueden
apilarse juntos para crear una sola unidad de conmutación

4 . Tipos de vlan
● Las vlan se implementan con lo que se conoce como vlan basadas en
puertos.
● Con una vlan basada en puertos una vlan se asocia con un conjunto de
puertos de switch en el dominio de difusión.
● Los puertos asociados con la vlan basadas en puertos se conocen como
puertos de acceso
● Las vlan basdas en puertos pueden ser clasificas en los siguiebtes tipos: vlan
de datos, vlan predetermnada, vlan de agujero negro, vlan nativa, vlan de
administracion, vlan de voz
 ● Como los switches transportan tráfico asociado a varias vlan se utilizan los
puertos que conectan con otros switches para transportar el tráfico para más
de una vlan. Se les denomina puertos troncales.
○ Una ​vlan de datos​ ​es una vlan que está configurada para transportar
únicamente tráfico generado por el usuario
■ Una vlan podría transportar tráfico basado en voz o tráfico par
administrar el switch pero tráfico no sería parte de una vlan de
datos
■ Es práctica común separar el tráfico de voz y administración
del de datos
■ Las vlan de datos también se denomina vlan de usuario
○ Una​ vlan predeterminada ​es la vlan de la que todos los puertos son
miembros cuando un switch se reinicia con los valores de fábrica
■ Si todos los puertos son miembros de la vlan predeterminada
todos pertenecen al mismo dominio de definición y permite
que cualquier dispositivo que se conecte a un puerto pueda
comunicarse con cualquier otro conectado a otro puerto.
■ La vlan predeterminada es la vlan1.
■ Características
● No puede eliminarse
● no puede renombrar
● El tráfico de control de capa 2 (como STP - Protocolo
de Árbol de Extensión-) siempre está asociado con la
vlan 1
■ Es una buena práctica restringir la vlan 1 para que sólo
conduzca tráfico de control de capa 2
■ Algunos administradores usan el término vlan predeterminada
para denotar una vlan distinta a la vlan 1. Para esos
administradores la vlan predeterminada es la vlan a la que se
asignan todos los puertos cuando no están en uso. Nosotros
la llamaremos valn de agujero negro
○ vlan de agujero negro​ es la vlan a la que se asignan los puertos
cuando no estan el uso
■ La vlan predeterminado es intrínseca al switch fuera de la caja
(es la vlan 1 para los switches cisco)
■ la vlan de agujero negro es definida por al administrador
■ Es una buena practica definir una vlan de agujero negro para
que sea una vlan ficticia

​ 5. VLAN DE VOZ
○ ​ l tráfico de VoIP requiere
E
■ Ancho de banda asegurado
■ Privacidad de transmisión
■ posibilidad de enrutar en áreas congestionadas de la red
■ Retraso inferior a 150 ms a través de la red
■ Para satisfacer estas exigencias debe diseñarse toda la red
para que soporte VoIP
 ● Por esto se necesita una vlan separada para Voz sobre
IP
■ Cuando conectamos un pc a un teléfono ip las tramas que
pasan por el teléfono quedan sin etiquetar. Los datos van al pc
son etiquetados con el identificador de la vlan a la que
pertenece el pc.
● El etiquetado se refiere a la adición de información vlan
a un campo de trama de datos que el switch utiliza
para identificar la vlan
○ cuando el switch está conectado a un teléfono ip el switch envía
mensajes CDP que instruyen al teléfono conectado a enviar mensajes
de voz etiquetados con el ID de la vlan

● Se diseña la vlan 150 para transporte de tráfico de voz

○ La computadora del alumno PC5 está conectada al teléfono IP
y el teléfono se conecta al switch s3. PC5 está en la vlan 20
que se utiliza para los datos del estudiante
○ El puerto F0/18 se configura como puerto de acceso a una
vlan de voz
○ Los datos que pasan por el teléfono IP desde PC 5 quedan sin
etiquetar y los datos destinados al PC 5 procedentes del
puerto F0/18 son etiquetados con vlan20
■ El etiquetado se refiere a añadir información vlan a un
campo de la trama de datos que el switch utiliza para
identificar la vlan a la que debe enviarse la trama de
datos.
○ El teléfono IP de Cisco contiene un switch de tres puertos .
Los puertos proporcionan conexiones dedicadas a estos
dispositivos
■ El puerto 1 conecta el switch u otro dispositivo VoIP
■ El puerto 2 es una interfaz interna que transporta el
tráfico del teléfono IP
 ■ El puerto 3 (puerto de acceso) conecta con un PC u
otro dispositivo

● La característica de VLAN de voz habilita los puertos de switch

para que puedan transportar tráfico de voz IP de un teléfono
IP.
● Cuando el switch está conectado a un teléfono IP , el switch
envía mensajes que instruyen al teléfono para que envíe
tráfico de voz etiquetado con el ID de vlan 150

● Cuando se ha configurado el puerto de switch con una vlan de voz, el enlace entre el
switch y el teléfono actúa como un enlace troncal modificado para transportar tanto
tráfico de voz etiquetado como tráfico de datos sin etiquetar.

6​.​ TIPOS DE TRÁFICO

● Como una vlan tienes todas las características de una lan tiene que
acomodar el mismo tráfico que una lan.
○ Tráfico de administración
○ Tráfico de control
○ Tráfico de telefonía IP
○ Tráfico de multidifusión
○ Tráfico de datos
● El ​tráfico de telefonía IP​ consta de
○ Tráfico de señalización
○ Tráfico de voz
 ● El ​tráfico de señalización​ es responsable del establecimiento de la llamada ,
del progreso y de la desconexión. El tráfico de voz consta de la conversación
que se esté llevando a cabo.
○ En una red configurada como valn conviene hacer la siguiente
distinción
■ Se asigna como VLAN de administración una VLAN distinta de
las demás
■ El tráfico de datos se asocia a una VLAN de datos, que debe
ser distinta de la vlan 1
■ El tráfico de voz se asocia a una vlan de voz.
● El ​tráfico multicast ​se envía desde un origen a un grupo multicast
identificado por una dirección IP única que representa a un conjunto de
equipos configurados con esa dirección multicast
○ El tráfico multicast puede generar un gran flujo de datos por la red por
esa razón debe configurarse la red para garantizar que ese tráfico solo
va a los dispositivos que lo esperan.y lo podrán utilizar
○ Los Routers deben configurarse para asegurar que el tráfico multicast
es enviado solo a las áreas de red que lo solicitan
○ El tráfico multicast lo emplean aplicaciones de video y audio remoto. El
tráfico de datos normal está relacionado con
■ La creación y almacenamiento de archivos
■ Los servicios de impresión
■ El acceso a bases de datos de email
■ y aplicaciones de red compartidas
● Las VLAN son una solución natural para este tipo de
tráfico dado que es posible segmentar a los usuarios por
sus funciones o áreas geográficas

7. MODOS DE ASOCIACIÓN DE PUERTO DE SWITCH

● Los puertos de switch son interfaces de capa 2 asociadas con los puertos
físicos. Se utilizan para administrar las interfaces físicas y los protocolos de
capa 2 asociados.
○ Los puertos de switch pertenecen a una o más vlan.
● Al configurar una lan se le debe asignar un ID numérico y
opcionalmente un nombre
○ Se configura el puerto para enviar una trama a una vlan específica
○ Puede configurarse el puerto con la funcionalidad de voz habilitada
para poder soportar tanto tráfico de voz como de datos.
● Cuando se configura un puerto para que pertenezca a una vlan puede
hacerse asignando un modo de asociación que especifique la clase de tráfico
que el puerto transporta y las vlan a las que pertenece.
○ VLAN estáticas: los puertos de switch se asignan manualmente a una
vlan. Las vlan se configuran utilizando la CLI.
○ Si se asigna una interfaz a una vlan que no existe la vlan se crea
automáticamente
○ Ejemplo de configuración de VLAN estática

● VLAN dinámica: No es muy usada en las empresas. La asociación

dinámica de VLAN a un puerto se configura utilizando un servidor
denominado VMPS (Servidor de la política de asociación VLAN).
○ VMPS asigna los puertos dinámicamente basándose en la
dirección MAC de origen del dispositivo conectado al puerto.
○ La ventaja es que cuando se mueve un hosts de un puerto de
un switch de la red a un puerto de otro switch, el switch asigna
dinámicamente el nuevo puerto a la VLAN.
● VLAN de voz:los puertos se configuran con la función de VLAN de voz
para poder soportar un teléfono IP conectados el.
○ Para configurar el soporte de voz en el puerto tiene que
configurar , en el ​mismo puerto​, una vlan de voz y otra de datos
○ Ejemplo de configuración de una VLAN de datos.
 ● La configuración de un puerto del switch que admite voz y datos tiene
las siguientes características
○ El comando ​mls qos trust cos​ garantiza que el tráfico de voz
es identificado como tráfico prioritario.
○ El comando ​switchport voice vlan 150 i​ dentifica la vlan 150
como vlan de voz.
○ El comando ​switchport access vlan 20 ​configura la vlan 20
como vlan de modo de acceso datos

8. CONTROL DE LOS DOMINIOS DE DIFUSIÓN

(BROADCAST ) CON VLANs

● Cuando un switch recibe una trama de difusión en uno de sus puertos la

reenvía a todos los demás
● En una red sin VLAN (operativa normal), cuando un switch recibe una trama
de broadcast en uno de sus puertos envía la traba a todos los demás puertos.
○
○ En el ejemplo de la figura toda la red está configurada en la misma
subred [Link]/24
○ Como resultado, cuando la computadora PC! envía una traba de
broadcast el switch S” encia esa trama de broadcast a todos sus
puertos.
○ La red completa la recibe . ​Decimos que la red es un dominio de
broadcast (dominio de difusión)
 ○ Ejemplo de dominio de broadcast

○
○ Ejemplo de red con VLAN
■ Se ha dividido la red en dos vlan:Cuerpo docente VLAN 10 y
cuerpo estudiantes VLAN 20.
■ Cuando se envía la trama broadcast desde la computadora del
cuerpo docente PC! al switch S2 el switch envía esa trama de
broadcast solo a esos puertos del switch configurados para
admitir vlan 10

● Los puertos que componen al conexión entre los swtiches S2 y S3 (puertos

F0/1) y entre S1 y S3 (puertos F0/3) han sido configurados para admitir todas
las vlans en la red.
○ Está conexión se denomina enlace troncal
○ Cuando S1 recibe la trama de broadcast en el puerto F0/1.
● S1 envía la trama de broadcast por el único puerto configurado para
admitir la vlan 10 que es el puerto F0/3.

● Cuando S3 recibe la trama de broadcast en el puerto F0/3 envía la

trama de broadcast por el único puerto configurado para admitir la
VLAN 10, puerto F0/11

● La trama de broadcast llega a la única computadora en la red

configurada en la vlan 1. La computadora PC4
● Cuando las VLAN se implementan en un switch la transmisión del
tráfico unicast, multicast y broadcast desde un host se solo se lleva a
cabo entre los dispositivos que pertenecen a la VLAN
● La división de un gran dominio de difusión en varios más pequeños
reduce el tráfico de difusión y mejora el rendimiento de la red. La
división de estos dominios en VLANs también permite una mayor
confidencialidad de la información
○ Está fragmentación puede ser llevada en un switch o en un
router.
○ Es necesario un router siempre que deban comunicarse
dispositivos situados en distintas redes de capa 3
○ La comunicación entre dispositivos que están en la misma
vlan se llama intra-VLAN.
○ Ejemplo. PC1 desea comunicarse con PC4. Ambos se
encuentran en la VLAN 10
■ PC1 en la vlan 10 envía una trama de solicitud ARP
(broadcast) al switch S2. Este manda dicha solicitud ARP
al puerto F0/1. El switch S1 la envía a los puertos F0/5 y
F0/3. El switch S3 la envía al puerto F0/11 hacia el PC4
en la vlan 10.
● PC4 envía una respuesta ARP al switch S3 el cual la
reenvía al puerto F0/3 hacia el switch S1 (el router R1 no
contesta)
● El switch S1 manda la respuesta al puerto F0/1. El switch
S2 la manda hacia F0/11. PC1 recibe la respuesta que
contiene la dirección MAC de PC 4.
● PC1 cuenta con la dirección MAC de destino de PC4 y la utiliza
para crear una trama unicast que contiene esa dirección como
valor de destino. Lo switches S2, S1 y S3 entregan la trama a
PC 4
● La comunicación con un dispositivo de otra VLAN recibe el
nombre de comunicación inter-VLAN.
● Ejemplo: PC1 en la VLAN 10 quiere comunicarse con PC 5 en la VLAN
20.
○ PC 1 envía una trama de solicitud ARP para obtener la
dirección MAC del gateway predeterminado R1.
○ R1 contesta con una respuesta ARP desde su interfaz
configurada en la vlan 10. La respuesta pasa por S! y S2 y llega
al PC1 .
○ PC1 crea una trama Ethernet con la dirección MAC del gateway
y es enviada a través de los switches S2 y S1 hasta R1.
○ R1 envía una trama de solicitud ARP en la vlan 20 para
determinar la dirección mac de PC5. Los switches S1, S2 y S3
difunden la trama ARP a través de todos los puertos
configurados para la vlan 20. PC5 recibe la trama desde R!.
○ PC5 envía una respuesta ARP a través de S3 y S1 hasta R1
que contiene la dirección mac de destino de la interfaz F0/2 en
el router R1
○ R1 reenvía la trama recibida desde PC1 a través de S1 y S3
hasta PC 5
● Conmutación de capa 3.
○ El switch Catalyst soporta la conmutación de capa 3. Se emplea
la tecnología SVI (interfaz virtual de switch) que permite a un
switch de capa 3 realizar el enrutamiento desde las vlans.
 ● Una SVI es una interfaz lógica de capa 3 asociada a una VLAN
concreta.
● Si necesita enrutar entre las vlan u ofrecer conectividad de
hosts IP al switch tendrá que configurar una SVI. Por defecto se
crea una SVI para la lan 1 en un switch Catalyst.
● El proceso es el mismo que para las comunicaciones inter-lan
usando un router

9. ENLACE TRONCAL VLAN

● Las vlan controlan la difusión de la red y los enlaces troncales transmiten el
tráfico a las distintas partes de la red dentro de una vlan dada
● En la figura los enlaces entre los switches S1 y S2 y entre S1 y S3 están
configurados para transmitir el tráfico procedente de las vlan 10,20,30,99.

● Un enlace troncal VLAN es un enlace Ethernet punto a punto establecido

entre una interfaz de switch y otra interfaz del mismo tipo o dispositivo de red,
como un router o un switch, para llevar el tráfico de múltiples VLANs a través
de este enlace.
○ Un enlace troncal permite ampliar las VLANs a través de toda la red,
Los switches CISCO soportan el protocolo IEEE 802.!Q para la
información de enlaces troncales en interfaces Fast Ethernet
● Un enlace troncal VLAN no pertenece a una VLAN específica sino que sirve
como un conducto para las VLANs entre los switches.
Etiquetado de la trama IEEE 802.1Q

● Los switches de la capa de acceso son dispositivos de capa 2. Solo utilizan la

información de cabecera de la trama Ethernet para reenviar las tramas.
Cuando una trama Ethernet llega a un puerto de acceso desde un dispositivo
conectado la cabecera de la trama no contiene información sobre la VLAN a
la que pertenece, Por tanto cuando se ponen tramas Ethernet en un enlace
troncal necesitan información adicional acerca de las VLANs a las que
pertenecen. Esto se consigue usando el etiqueta de trama 802.1Q
● Cuando un switch recibe una trama en un puerto configurado en modo de
acceso y con destino a un dispositivo remoto a través de un enlace troncal el
switch aparta esa trama e inserta una etiqueta VLAN, recalcula la FCS y
envía la nueva trama etiquetada al puerto de enlace troncal.
● La etiqueta VLAN consta de un campo EtherType y un campo de información
de control de la etiqueta.
● El campo EtherType se establece al valor hexadecimal OX8100. Este valor
recibe el nombre de TPID (Identificador de protocolo de etiqueta). Con el
campo EtherType conteniendo el valor TIPD el switch que recibe la trama
sabe que tiene que buscar información en el campo de información de control
de la etiqueta.
● El campo de información de control de la etiqueta contiene lo siguiente.
○ 3 bits de prioridad de usuario. Utiliza el estándar IEEE [Link], que
especifica la forma de acelerar la transmisión de las tramas de capa 2.
○ 1 bit de CF1 (Identificador de formato canónico). Permite que las
tramas Token Ring puedan ser transportadas a través enlaces
Ethernet.
○ 12 bits de VID (ID de VLAN). Número de identificación VLAN; soporta
hasta 4096 IDs de VLAN.
VLANs nativas

● Cuando un puerto de enlace troncal de un switch Cisco recibe una trama sin
etiquetar, la reenvía a la VLAN nativa (la VLAN nativa predeterminada es la VLAN 1.
● Ejemplo: Si la VLAN 99 está configurada como VLAN nativa todo el tráfico que no
esté etiquetado se manda a la VLAN 99.
● Configuración de un enlace troncal en la VLAN nativa

Operativa de enlace troncal.

Las tramas que atraviesan un enlace troncal son etiquetadas con el ID de VLAN del puerto
de acceso al que llegan o permanecen sin etiquetar en el caso que estén asociadas con la
VLAN nativa.
 ● PC1 en la VLAN 10 y PC3 en la VALAN 30 envian tramas de difusión al switch S2.
El switch S2 etiqueta estas tramas con el ID de la VLAN apropiado y despues las
reenvia sobre el enlace troncal al switch [Link] switch S1 lee el ID de VLAN de las
tramas y las difunde a cada uno de los puertos configurados para soportar la VLAN
10 y la VLAN 30. El switch S· recibe estas tramas, elimina los IDs de VLAN y reenvia
las tramas sin etiquetar a PC4 en la VLAN 10 y a PC6 en la VLAN 30.

10 .CONFIGURACIÓN DE UNA VLAN

● Configuraremos las VLAN con IDs de rango normal.

○ Existen dos rangos para las IDs de VLAN. El normal oscila entre 1 y 1000 y
el extendido abarca de 1006 a 4094.
○ VLAN 1 y los valores entre 1002 y 1005 son números reservados
● Cuando se configura la VLAN con el rango normal los detalles de configuración se
almacenan en la memoria flash del switch en un archivo denominado [Link].
● Los comandos que se emplean para añadir una VLAN a un switch son.
● Los pasos para configurar y verificar las VLAN y los enlaces troncales en una red
conmutada son:
○ Crear las VLAN
○ Asignar puertos de switch a las VLAN de manera estática
○ Verificar la configuración de las VLAN
○ Activar el enlace troncal en las conexiones entre switches.
○ Verificar la configuración del enlace troncal
1.- Crear una VLAN

2.- Asignar puerto del switch

3.- Verificar la configuración.

Ejemplo.

● Mostrar la VLAN

● Mostrar la interfaz

3.- Administrar la pertenencia al puerto.