Redes VLAN

Unidad II
 Que es una red
• Conjunto de computadores, equipos de comunicaciones y otros dispositivos
que se pueden comunicar entre sí, a través de un medio en particular.
• Parecida a su propia red de contactos, proveedores, partners y clientes, una
red informática es simplemente una conexión unificada de sus ordenadores,
impresoras, faxes, módems, servidores y, en ocasiones, también sus teléfonos.
Las conexiones reales se realizan utilizando un cableado que puede quedar
oculto detrás de las mesas de trabajo, bajo el suelo o en el techo.
 Que es una VLAN?
• es un método para crear redes lógicas independientes dentro de una misma
red física.1 Varias VLAN pueden coexistir en un único conmutador físico o en
una única red física. Son útiles para reducir el tamaño del dominio de difusión
y ayudan en la administración de la red, separando segmentos lógicos de una
red de área local (como ejemplo: la separación de los departamentos de una
empresa) que no deberían intercambiar datos usando la red local
 Ejemplo de una VLAN
• Los estudiantes de una escuela se dividen en dos grupos. Los estudiantes del primer
grupo se identifican con tarjetas rojas. Los del segundo grupo se identifican con
tarjetas azules. El director anuncia que los estudiantes con tarjetas rojas sólo pueden
hablar con los compañeros que también tengan tarjetas rojas, y que los estudiantes
con tarjetas azules sólo pueden hablar con sus compañeros poseedores de tarjetas
azules. Ahora los estudiantes están separados lógicamente en dos grupos virtuales, o
VLAN.
• Según esta agrupación lógica, un broadcast se transmite sólo al grupo con tarjetas
rojas, aunque ambos grupos están ubicados físicamente en la misma escuela.
• Ahora los switches, en vez de solo asignar en la tabla CAM o de Mac Address que MAC
aprende por cada puerto, asigna la relación tripartita MAC – Puerto o Interface – VLAN.
 funciones principales de las VLAN
• Contiene broadcasts.

• Agrupa dispositivos. Los dispositivos ubicados en una VLAN no son visibles para los dispositivos ubicados en
otra VLAN.
• Es necesario que el tráfico cuente con un dispositivo de Capa 3 para poder transmitirlo entre VLAN, ya que los
routers son los únicos capaces de poder intercambiar un TAG de la vlan N, por otro TAG de la vlan M.
• Cuando una PC se desea comunicar con una IP que está en otra red, enviará el tráfico hacia el DG. El frame
llegará al puerto del SW al cual la PC se encuentre conectada. Este agregará el TAG al frame, y lo enviará por
los enlaces troncales, o trunks, que este posee, que son interfaces por donde todas las vlans son
transportadas.
• El router recibirá un frame en la vlan N, con destino un host que está en la vlan M, por ende deberá modificar
el frame de L2, cambiando como hace habitualmente las MAC origen y destino, pero además en este caso
cambiando el TAG de vlan que corresponda.
 Membresía de VLAN
• La membresía estática a una VLAN requiere que el administrador asigne de forma manual cada puerto a
una VLAN específica. Por ejemplo, el puerto fa0/3 puede asignarse a la VLAN 20. Cualquier dispositivo que
se conecte al puerto fa0/3 es miembro de la VLAN 20 de forma automática.
• Este tipo de membresía a una VLAN es el más fácil de configurar y también es el más difundido; sin
embargo, requiere un mayor grado de apoyo administrativo en caso de adiciones, traslados y cambios. Por
ejemplo, el traslado de un host de la VLAN a otra requiere reconfigurar manualmente el puerto del switch
para asignarlo a la nueva VLAN o conectar el cable de la estación de trabajo a otro puerto del switch de la
nueva VLAN.
• La membresía dinámica a VLAN requiere un servidor de política de administración de VLAN (VMPS). El
VMPS contiene una base de datos que asigna direcciones MAC a la VLAN. Cuando se conecta un dispositivo
a un puerto del switch, el VMPS busca en la base de datos una coincidencia con la dirección MAC, y asigna
ese puerto de forma temporal a la VLAN correspondiente.
• La membresía dinámica a VLAN requiere más organización y configuración, pero crea una estructura con
mucha más flexibilidad que la membresía estática a una VLAN. En una VLAN dinámica, los traslados, las
adiciones y los cambios están automatizados, y no requieren intervenciones por parte del administrador.
00:07:B3:11:13:14 00:07:B3:11:13:12 00:07:B3:11:13:16

00:07:B3:11:13:16
Solicita ser miembro
de una VLAN

00:07:B3:11:13:16
Esta en mi base de datos
VLAN Azul

Servidor de administración de VLAN

00:07:B3:11:13:13 00:07:B3:11:13:11
Los puertos de los Switches ven nivel 2, o sea que asocian una vlan a un puerto físico
del equipo. Estos puertos pueden ser de 3 tipos:

• Access Ports: transportan el tráfico de una sola vlan. Cualquier frame enviado o recibido, es visto por el
host con el formato nativo del frame, por ende sin un Vlan ID. Si un puerto de este tipo recibe un frame
taggeado, simplemente lo borra, porque los puertos de este tipo solo ven frames en formato nativo.
• Al configurar el puerto como access, y asignarle un número de vlan, el host entiende que está en un
dominio de broadcast determinado, pero al estar la vlan diseminada por toda la red, no comprende
realmente como es la topología física.
• Estos puertos, solo taggean el frame cuando el SW comprende que el Host de nivel 2 destino, se
encuentra vía un port trunk, pero si se encuentra dentro del mismo SW, no se toma acción alguna.
• Voice Access Ports: son puertos del tipo access, que además permiten configurar una vlan secundaria,
específicamente usada para llevar tráfico de voz. Es solo configurable bajo cierta gama de switches,
debido a que no todos permiten este feature.
• Trunk Ports: a diferencia de los anteriores, este tipo de link permite llevar una gran cantidad de vlans.
Un link trunk, es un enlace de 100Mbps o 1Gbps, punto a punto entre dos Switches, que permite
transportar las 4096 vlans. Por estas conexiones, es que se enlazan Switches punto a punto, para llevar
información de muchas vlans; también se conectan un SW y un router, a los fines de interconectar
todas las vlans por medio del router, que se encargará de rutear cada una.
Clasificacion
 VLAN de nivel 1 (por puerto).
• También conocida como “port switching”. Se especifica qué puertos del switch
pertenecen a la VLAN, los miembros de dicha VLAN son los que se conecten a
esos puertos. No permite la movilidad de los usuarios, habría que reconfigurar
las VLAN si el usuario se mueve físicamente. Es la más común y la que se
explica en profundidad en este artículo.
VLAN de nivel 2 por direcciones MAC.
• Se asignan hosts a una VLAN en función de su dirección MAC. Tiene la ventaja
de que no hay que reconfigurar el dispositivo de conmutación si el usuario
cambia su localización, es decir, se conecta a otro puerto de ese u otro
dispositivo. El principal inconveniente es que si hay cientos de usuarios habría
que asignar los miembros uno a uno.
VLAN de nivel 2 por tipo de protocolo
• La VLAN queda determinada por el contenido del campo tipo de protocolo de
la trama MAC. Por ejemplo, se asociaría VLAN 1 al protocolo IPv4, VLAN 2 al
protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX..
 LAN de nivel 3 por direcciones de subred
(subred virtual).
• La cabecera de nivel 3 se utiliza para mapear la VLAN a la que pertenece. En
este tipo de VLAN son los paquetes, y no las estaciones, quienes pertenecen a
la VLAN. Estaciones con múltiples protocolos de red (nivel 3) estarán en
múltiples VLAN.
 VLAN de niveles superiores.
• Se crea una VLAN para cada aplicación: FTP, flujos multimedia, correo
electrónico... La pertenencia a una VLAN puede basarse en una combinación
de factores como puertos, direcciones MAC, subred, hora del día, forma de
acceso, condiciones de seguridad del equipo...
 Configuración para crear VLAN
• Utilice los siguientes comandos para crear una VLAN según el modo de configuración global:

• Switch(config)#vlan vlan_number
• Switch(config-vlan)#name vlan_name
• Switch(config-vlan)#exit

• Asigne puertos para que sean miembros de la VLAN. De forma predeterminada, al inicio todos los puertos son miembros de VLAN1. Asigne los puertos
individualmente o como rango.

• Utilice los siguientes comandos para asignar puertos individuales a las VLAN:

• Switch(config)#interface fa x/x
• Switch(config-if)#switchport mode access
• Switch(config-if)#switchport access vlan vlan_number
• Switch(config-if)# exit

• Utilice los siguientes comandos para asignar un rango de puertos a las VLAN:

• Switch(config)#interface range fa#/start_of_range - end_of_range

• Switch(config-if)#switchport access vlan vlan_number
• Switch(config-if)#exit
• Los puertos de switch son puertos de acceso de forma predeterminada. Para configurar un puerto de
switch como puerto de enlace troncal, utilice los siguientes comandos:

• Switch(config)#interface fa(controler # / port #)

• Switch(config-if)#switchport mode trunk
• Switch(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate}

• Los switches que son compatibles tanto con 802.1Q como con ISL requieren el último fragmento de
configuración. El 2960 no requiere ese fragmento, ya que sólo es compatible con 802.1Q.

• El parámetro de negociación es el modo predeterminado en muchos switches de Cisco. Este

parámetro detecta automáticamente el tipo de encapsulamiento del switch vecino.
• Para configurar el enrutamiento entre VLAN, lleve a cabo los siguientes pasos:

• 1. Configure un puerto de enlace troncal en el switch.

• Switch(config)#interface fa0/2
• Switch(config-if)#switchport mode trunk

• 2. En el router, configure una interfaz de FastEthernet sin dirección IP ni máscara de red.

• Router(config)#interface fa0/1
• Router(config-if)#no shutdown

• 3. En el router, configure una subinterfaz con una dirección IP y una máscara de red para cada VLAN. Cada subinterfaz tiene un encapsulamiento
de 802.1Q.

• Router(config)#interface fa0/0.10
• Router(config-subif)#encapsulation dot1q 10
• Router(config-subif)#ip address 192.168.10.1 255.255.255.0

• 4. Utilice los siguientes comandos para verificar la configuración y el funcionamiento del enrutamiento entre VLAN.

• Switch#show trunk
• Router#show ip route
 Vlan Nativa
• Para procesar el tráfico sin etiquetar, existe una VLAN especial llamada VLAN nativa. Las
tramas sin etiquetar recibidas en el puerto de enlace troncal con 802.1Q son miembros de la
VLAN nativa. En los switches Catalyst de Cisco, la VLAN 1 es la VLAN nativa predeterminada.
• Puede configurarse cualquier VLAN como VLAN nativa. Asegúrese de que la VLAN nativa
para un enlace troncal con 802.1Q sea la misma en ambos extremos de la línea de enlace
troncal. Si son diferentes, pueden ocasionarse bucles en Spanning Tree.

• En un enlace troncal con 802.1Q, utilice el siguiente comando para asignar el ID de la VLAN
nativa en una interfaz física:

• Switch(config-if)#dot1q native vlan vlan-id

Tipos de protocolos
 Protocolo de etiquetado IEEE 802.1Q
• Es el más común para el etiquetado de las VLAN. Antes de su introducción
existían varios protocolos propietarios, como el ISL (Inter-Switch Link) de
Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. El
IEEE 802.1Q se caracteriza por utilizar un formato de trama similar a 802.3
(Ethernet) donde solo cambia el valor del campo Ethertype, que en las tramas
802.1Q vale 0x8100, y se añaden dos bytes para codificar la prioridad, el CFI y
el VLAN ID. Este protocolo es un estándar internacional y por lo dicho
anteriormente es compatible con bridges y switches sin capacidad de VLAN.
 Protocolo STP(Spanning Tree Protocol)
• Es un protocolo de red de nivel 2 del modelo OSI (capa de enlace de datos).
Su función es la de gestionar la presencia de bucles en topologías de red
debido a la existencia de enlaces redundantes (necesarios en muchos casos
para garantizar la disponibilidad de las conexiones). El protocolo permite a los
dispositivos de interconexión activar o desactivar automáticamente los
enlaces de conexión, de forma que se garantice la eliminación de bucles. STP
es transparente a las estaciones de usuario.
 Funcionamiento
• El algoritmo transforma una red física con forma de malla, en la que existen
bucles, por una red lógica en forma de árbol (libre de bucles). Los puentes se
comunican mediante mensajes de configuración llamados Bridge Protocol
Data Units (BPDU).
• El protocolo establece identificadores por puente y elige el que tiene la
prioridad más alta, como el puente raíz (Root Bridge). Este puente raíz
establecerá el camino de menor coste para todas las redes; cada puerto tiene
un parámetro configurable: el Span path cost. Después, entre todos los
puentes que conectan un segmento de red, se elige un puente designado, el
de menor coste, para transmitir las tramas hacia la raíz.
 Como configurar STP
• Pues por suerte para nosotros STP viene activado por default en la mayoría de los Switches de capa 2,
independientemente del fabricante (CISCO, JUNIPER, etc..) por lo que no es necesario tirar de muchos comandos, pero
si se nos da el caso de encontrarnos con un entorno conmutado sin STP (Lo cual seria super raro) podríamos hacerlo de
la siguiente forma:

• Switch>enable
• Switch#configure terminal
• Enter configuration commands, one per line. End with CNTL/Z.
• Switch(config)#spanning-tree vlan 1

• Para Juniper
• user@switch# set stp interface all
 Protocolo VTP
• es un protocolo propietario de Cisco, que permite a los switches intercambiar
información de nivel 2, relacionada al encapsulamiento o tagging de vlans,
advirtiendo las vlans existentes, los nombres y el Vlan ID. A pesar de lo
mencionado, VTP, no informa acerca de que puertos están asignados a cada
vlan.
• Este protocolo posee una red de nivel 2, con diez switches, y que en cada uno
de ellos hay al menos 1 port con el Access vlan 3. En condición normal de
operación, el administrador de la red, deberá ingresar por telnet a cada uno
de los switches y configurar el vlan id.
 Tipos de modos que utiliza el switch
• Server Mode: se agrega la vlan en el server y este se encarga de propagar la
información al resto. Una vez que el resto de los switches, recibe la
actualización, modifica su vlan database.
• Transparente Mode: el SW elimina los updates de VTP, no participando
prácticamente del proceso. Permite crear vlans en el switch y mantener su
propia Vlan Database, pero no envía ni recibe mensajes VTP.
• Client: aprenden información de las vlans por medio de los Server. En ellas no
se pueden modificar las LANs Virtuales
Base de
Servidor Cliente
datos de
VTP
Actualizar base de
datos a revisión N° 5

Actualizar base de
datos a revisión N° 5
Condiciones que se deben cumplir para tener
comunicación vtp
• Que el link entre los equipos esté operando en modo trunk, ya sea ISL o
dot1q.

• El nombre del dominio VTP debe matchear. El nombre del dominio VTP,
permite crear diversas zonas que intercambien información de nivel 2.

• Si está configurado en al menos uno de los dos switches un password, el

mismo debe ser igual. Esto permite que se agreguen switches a la red
maliciosamente, protegiendo la seguridad de la red. Este password nunca se
transmite en modo texto.