Una VLAN es un mecanismo que ofrecen los SWITCH para segmentar el trfico entre equipos.

El
concepto de VLAN (Virtual Local Area Network), como su nombre indica es crear Redes de rea Local
usando una nica infraestructura fsica. Una vez definida una VLAN los equipos que se conectan a ella
actan como si estuviesen en un SWITCH distinto, por lo que no ven a los equipos que no estn en su
VLAN y se limita el mbito de broadcast en las diferentes redes.

Tipos de VLAN.
De Nivel 1. Est basada en puerto. Se definen en el SWITCH los puertos que forman parte de la VLAN.
Este tipo es el ms comn. Todo equipo que se conecta a un puerto pasa a formar parte de VLAN
definida en este puerto. Este tipo de VLAN se encuentra en todos los SWITCHES gestionables.
De Nivel 2 por MAC. Se crean las VLAN y se asignan las direcciones MAC de los equipos que la
componen. Su principal ventaja es que permite la movilidad de los usuarios pues su pertenencia a la
VLAN es definida por su MAC, no por el puerto en el que se conecta. Demasiado compleja para
administrar en redes con muchos equipos.
De Nivel 2 por Protocolo. Esta VLAN se define por el tipo de protocolo de la trama MAC (IPV4,
IPV6, IPX/SPX etc.).
Nivel 3 por direcciones de subred. Necesitamos un SWITCH que opere en el nivel 3 de OSI. Este
tipo de VLAN utiliza la informacin de las cabeceras de nivel 3 para determinar la pertenencia de los
paquetes a la VLAN. Como se ha indicado, son los paquetes y no los equipos los que pertenecen a la
VLAN.
Nivel 3 por tipo de aplicacin. Es la ms personalizable y se puede definir su pertenencia en base a
la aplicacin, fecha/hora, MAC, subred, puerto etc. Bsicamente, puedes definir las caractersticas que
hacen que un equipo forme parte de una VLAN.
Una vez vistos los distintos tipos, me centrar en el ms usado, Nivel 1 por puertos.
Algunas consideraciones antes de comenzar: Un equipo en una VLAN NO VER EQUIPOS DE OTRA
VLAN. Qu quiere decir esto?, Pongamos un caso muy habitual: Tenemos una escuela con varios
equipos en una red, se definen varias VLAN para separa los distintos grupos de usuarios (AULA1,
AULA2, TALLER, ADMON, SECRETARIA, etc.) y no queremos que se vean entre ellos pero s que vean
una serie de recursos comunes (Servidor, salida a Internet etc.). Pues bien, para poder hacerlo
necesitamos que un conmutador de Nivel 3 o un Router externo nos sirvan de enlace entre las distintas
redes. Otro mecanismo es que los SWITCHES soporten la funcin VLAN Asimtrica, esto es: permite
que varias VLAN circulen por un puerto. Pero no es lo normal, as que hay que asegurarse de que
alguna de estas funciones est disponible o no habr comunicacin entre las VLAN

Como funciona una VLAN?.

Una VLAN consiste en aadir a la cabecera de la trama Eth la informacin que indica a que VLAN
pertenece la trama. Un SWITCH por defecto viene con una VLAN creada (VID=1) con el nombre
default. Todos los puertos del SWITCH tienen asignada esta VLAN como UNTAGGED. Este es un
mecanismo para permitir que equipos sin capacidad de trabajar con VLAN puedan usar el SWITCH.
Cada puerto puede tener definida una, varias (TRUNK) o ninguna VLAN en modo TAGGED y solo una en
modo UNTAGGED. Las VLAN TAGGED son usadas cuando el dispositivo conectado es un dispositivo que
puede trabajar directamente con VLAN, por lo que enviar la informacin de la VLAN a la que
pertenece el mismo, esta caracterstica hace que un mismo puerto pueda tener definidas varias VLAN
en modo TAGGED.

Si llega un paquete sin etiqueta VLAN a un puerto perteneciente a una VLAN, se le asigna a la VLAN
que este puerto tiene definida como UNTAGGED, es por eso que solo puede haber una VLAN
UNTAGGED por puerto. Por contra cuando un puerto con varias VLAN TAGGED (Trunk) transmite una
trama de una VLAN que tiene configurada como UNTAGGED, quita de la trama la informacin de la
VLAN.
Es importante tener claro esto por lo que resumo:
VLAN UNTAGGED: Mecanismo diseado para permitir que los equipos sin capacidad de trabajar con
VLAN puedan usar los SWITCH, encargandose el SWITCH de modificar las tramasEthernet que le llegan
sin informacin VLAN, aadiendo informacin a las tramas que entran y quitando a las que salen.
VLAN TAGGED: Solo afecta a las tramas que tienen informacin VLAN incorporada y esta trama solo se
eviar a los puertos definidos en esta VLAN y no se modificar. Esto permite que los paquetes de una
VLAN pasen de un SWITCH a otro hasta encontrar todos los equipos de la VLAN (Por supuesto, los
puertos TRUNK que unen los distintos SWITCHES deben tener como TAGGED las distintas VLAN).
Ejemplo:
Tenemos 2 SWITCHES SW1 y SW2. Estos son SWITCHES de 24 puertos y se conectan entre ellos por el
puerto 24.
Hay definidas 3 VLAN, la 101, 102 y 103.
SW1: Puertos 1-10: Untagged VLAN 101, 11-20: Untagged VLAN 102, 21-24: Untagged VLAN 103, 24
TAGGED 101
SW2: Puertos 1-10: Untagged VLAN 101, 11-20: Untagged VLAN 103, 21-24: Untagged VLAN 102, 24
TAGGED 101
Si un equipo en SW1:1 manda una trama, esta est etiquetada como 101, lo envia a los puertos 2-10
y 24 del SW1, al ser una trama perteneciente a una VLAN configurada como TAGGED en el puerto 24
esta trama pasa al SW2 con la informacin de pertenencia a la VLAN 101 y puede acceder a los
puertos 1-10 del SW2.
Sin un equipo en SW1:21 manda una trama, esta est etiquetada como 103 y es enviada a los puertos
22-24, que tienen la 103 configurada como UNTAGGED, por lo que se le quita la info de la VLAN antes
de mandarla. El SW2 recibe por el puerto 24 la trama SIN INFORMACION DE VLAN (UNTAGGED) por lo
que la etiqueta en base a la VLAN que tiene definida como UNTAGGED en ese puerto y ahora esa trama
pertenece a la VLAN 102 en el SW2 y no tendr acceso a los puertos 11-20 (VLAN 103) como
podamos pensar sino a los puertos 21-24 (VLAN 102).
Ahora un poco de informacin ms tcnica.
Una trama Ethernet tiene distintos campos.
PREAMBULO (7 bytes)
DELIMITADOR DE INICIO DE TRAMA (1 byte)
MAC DE DESTINO (6 bytes)
MAC DE ORIGEN (6 bytes)
ETHERTYPE (2 bytes - IEEE 802.3)

DATA o PAYLOAD (de 42 a 1500 bytes)

CRC (4 bytes)
SEPARADOR DE FRAMES (12 bytes)
Pues bien cuando una trama Ethernet de tipo 802.3 interviene en una VLAN se agrega un campo de 4
bytes definido como 802.1Q entre la MAC DE ORIGEN y ETHERTYPE.