2 Redes VLAN

I
INTRODUCCIN
Una VLAN es su definicin es red de rea local virtual, es un mtodo que nos
permite crear redes lgicas e independientes dentro de una misma red, los cuales
podemos tener varias VLANS en un nico conmutador fsico o en una red fsica.
En el mbito laborales, las redes son muy importantes, ya que son importantes
porque pueden ofrecer seguridad y monitoreo de distintos servicios que se
brindan, a travs de las redes se pueden dar accesos a ciertos cosas, y restringir
otras, por lo que la organizacin pueda dar ms privilegios a un departamento que
a otro dentro de su empresa, para este tipo de redes es muy recomendable crear
restricciones para una mayor seguridad mediante VLANS. Esperando que este
reporte sobre la seguridad en VLANS sea claro y entendible para el lector, as
como tambin para el docente, cumpliendo con todo los requisitos del mismo.

SEGURIDAD EN VLAN

Definicin 1:
Es una red de rea local virtual, es una red que agrupa un conjunto de
equipos demanera lgica y no fsica. Los grupos de puertos que hacemos en un
switchgestionable para aislar un conjunto de mquinas forman una VLAN. Se la
llamavirtual porque parece que est en una LAN propia y que la red es de ellos
solos.Utilizar una VLAN hace que la seguridad y el rendimiento sean mejores.
Definicin 2:
Es un mtodo para crear redes lgicas independientes dentro de una misma
redfsica. Varias VLAN pueden coexistir en un nico conmutador fsico o en una
nicared fsica. Son tiles para reducir el tamao del dominio de difusin y ayudan
en laadministracin de la red, separando segmentos lgicos de una red de rea
local (losdepartamentos de una empresa, por ejemplo) que no deberan
intercambiar datosusando la red local (aunque podran hacerlo a travs de un
enrutador o unconmutador de capa 3 y 4).
Definicin 3:
Una VLAN consiste en dos o ms redes de computadoras que se comportan como
siestuviesen conectados al mismo PCI, aunque se encuentren fsicamente
conectadosa diferentes segmentos de una red de rea local (LAN). Los
administradores de redconfiguran las VLAN mediante software en lugar de
hardware, lo que las haceextremadamente fuertes
Utilidad:
La utilidad de las VLAN radica en la posibilidad de separar aquellos
segmentoslgicos que componen una LAN y que no tienen la necesidad de
intercambiarinformacin entre s a travs de la red de rea local. Esta
particularidad contribuye auna administracin ms eficiente de la red fsica.

2
Existen diversos modos de establecer una VLAN. Las VLAN de Nivel 1
sonaquellas que se desarrollan a partir del uso de puertos. Las VLAN de Nivel 2,
encambio, se crean a travs de la asignacin de direcciones MAC o por clase
deprotocolo. Tambin existen las VLAN de Nivel 3, que implican la creacin
desubredes virtuales, y las VLAN de niveles superiores (una VLAN por aplicacin).
Seguridad:
Si configura una red de rea local virtual (VLAN), las VLAN comparten el ancho
debanda de la red y requieren medidas de seguridad
adicionales. Al usar VLAN, separa los clusters sensibles de sistemas del resto de l
a red.De esta manera, se reduce la probabilidad de que los usuarios tengan
acceso a lainformacin almacenada en esos clientes y servidores.

Asigne un nmero de VLAN nativo nico a los puertos de enlace troncal.

Limite las VLAN que se pueden transportar mediante un enlace troncal
a las queson estrictamente necesarias.
Desactivar el protocolo de enlace troncal (VTP) de VLAN, si es posible.
De locontrario, configurar la siguiente para el VTP: dominio de gestin,
contrasea yeliminacin. A continuacin, se define VTP en modo
transparente.
Utilice configuraciones de VLAN estticas, cuando sea posible.
Desactive los puertos de conmutador no utilizados y asgneles un nmero
deVLAN que no est en uso

VLAN basadas en el puerto de conexin:

Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN
esindependiente del usuario o dispositivo conectado en el puerto. Esto significa
quetodos los usuarios que se conectan al puerto sern miembros de la misma
VLAN.Habitualmente es el administrador de la red el que realiza las asignaciones
ala VLAN. Despus de que un puerto ha sido asignado a una VLAN, a travs de
esepuerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra
VLANsin la intervencin de algn dispositivo de capa 3
Los puertos de un switch pueden ser de dos tipos, en lo que respecta a
lascaractersticas VLAN: puertos de acceso y puertos trunk. Un puerto de
acceso(switchport mode access) pertenece nicamente a una VLAN asignada de
formaesttica (VLAN nativa). La configuracin predeterminada suele ser que todos
lospuertos sean de acceso de la VLAN1. En cambio, un puerto trunk (switchport
modetrunk) puede ser miembro de mltiples VLAN. Por defecto es miembro de
todas, perola lista de las VLAN permitidas es configurable.El dispositivo que se
conecta a un puerto, posiblemente no tengaconocimiento de la existencia de la
VLAN a la que pertenece dicho puerto. Eldispositivo simplemente sabe que es
miembro de una subred y que puede ser capazde hablar con otros miembros de la
subred simplemente enviando informacin alsegmento cableado.El switch es
responsable de identificar que la informacin viene de una VLANdeterminada y de
asegurarse de que esa informacin llega a todos los demsmiembros de la VLAN.
El switch tambin se asegura de que el resto de puertos queno estn en dicha
VLAN no reciben dicha informacin.Este planteamiento es sencillo, rpido y fcil
de administrar, dado que no haycomplejas tablas en las que mirar para configurar
la segmentacin de la VLAN. Si laasociacin de puerto a VLAN se hace con un
ASIC (acrnimo en ingls de Application-
Specific Integrated Circuit o Circuito integrado para una aplicacinespecfica), el
rendimiento es muy bueno. Un ASIC permite que el mapeo de puerto aVLAN sea
hecho a nivel hardware.

La tecnologa de red LAN con nodos permite organizar los sistemas de unared
local en redes VLAN. Para poder dividir una red de rea local en redes VLAN,debe
tener nodos compatibles con la tecnologa VLAN. Puede configurar todos
lospuertos de un nodo para que transfieran datos para una nica VLAN o para
variasVLAN, segn el diseo de configuracin VLAN. Cada fabricante de
conmutadoresutiliza procedimientos diferentes para configurar los puertos de un
conmutador.

4
Autentificacin en el puerto MAC y 802.1x:
Se realiza la autentificacin en el puerto, y de esta manera el switch solo
podrconectar aquel cuya MAC este dentro de una lista definitiva en el propio
switch o elque se autentificado mediante RADIUS en el estndar 802.1x.Por lo
tanto, se dice que 802.1x es un mecanismo de seguridad de acceso almedio. La
direccin MAC es asignada por el fabricante de la tarjeta de red por lo queno
puede haber dos tarjetas de red con la misma direccin MAC.RADIUS es
un protocolo de autentificacin y autorizacin para aplicacionesde acceso a la red
o movilidad IP.
Asegurando VLAN Trunks:
Cuando un puerto est configurado con Dynamic Trunking Protocol (DTP)
(pordefecto en Cisco una interface est as configurada) y la interface est en auto
puedenegociar la interface para convertirse en un Trunk, por eso un atacante que
conecteun host (PC, server, etc.) a una interface DTP en auto podra "negociar"
con el switchpara establecer un Trunk entre el host y el switch lo que se llama
Switch Spoofing.Por ello es conveniente que cada interface que no se use ponerla
en shutdowny configurar las interfaces donde se conecten usuarios finales en
modo acceso y conla VLAN correspondiente con los comandos:

El exploit llamado VLAN Hopping consiste en que un atacante marcadoblemente

el trfico para poder alcanzar una VLAN que de por si no deberaalcanzar. Primero
marca con la VLAN que NO puede alcanzar y por encima vuelve aencapsular con
la VLAN en la que se encuentra (que ser la VLAN nativa), porejemplo: [VLAN-
30][VLAN 50][trama].Para que este exploit funcione se deben cumplir estas
condiciones:
El atacante est conectado a una interface en modo acceso.
El mismo switch tiene configurado trunk 802.1Q.
El Trunk debe tener configurada como VLAN nativa la misma en la que elatacante
est.Para evitar este tipo de ataque es conveniente seguir estos pasos:
Deshabilitar DTP en todos los puertos que no se usen con
el comando "switchportnonegotiate".
Definir las interfaces de acceso (switchport mode access) y trunk (switchportmode
trunk) explcitamente.
Poner en shutdown todos los puertos que no se usen y asignarles una VLAN
queno se use

Configurar la VLAN nativa de los Trunk con una VLAN sin usar o falsa.

Eliminar esa vlan de ambos extremos del Trunk.

Definir explcitamente en los puertos trunks las VLANs que tiene que pasar
en vezde dejar pasar todas.Tambin podemos configurar que la VLAN nativa vaya
marcada siempre conel comando:
Seguridad en puertos de switches cisco:
La seguridad en los switches comienza por el acceso al propio sistema, a travs
dela consola o a travs de las lneas virtuales (vty), ya sea por Telnet o SSH, o
tambinpor Http. Se puede establecer una contrasea para el acceso en modo
privilegiado yadems, la autenticacin se puede llevar de modo local, por medio
de usuariosconfigurados en el propio sistema, con sus diferentes niveles de
privilegios, o bienpor medio de un servidor externo (como un servidor RADIUS por
ejemplo).

CONCLUSIN
Como se vio una vlan sirve para tener un buen control de nuestras redes, de
estamanera se consigue una mayor seguridad, ya que a partir de sus
configuracionesque se le d, puede otorgar privilegios unos de otros,
independientemente de lanecesidad que se tenga en ese momento, as como
tambin permiten reducir lostamaos de dominio, separando cada segmento
lgico en una red de rea local.Otra funcin de VLAN es que puede agrupar
puertos distintos como Ethernet, Access Point inalmbricos y usuarios en
otras redes virtuales, adems de separar eltrfico de la red por razones de
desempeo y diseo, independiente de tipo deusuario que maneje (colaboradores,
administradores, invitados) por razones deseguridad. Ya que estn configuradas
dinmicamente.Un ejemplo muy claro en la seguridad puede ser cuando un
usuario conectesu equipo a la red, lo que har la VLAN es que ya estar
designada para ese usuarioy este solo podr acceder solo a esa red que ya est
configurada por eladministrador, tambin se hace una recomendacin de
configurar mediante lasdirecciones MAC o mediante la autenticacin 802.1X este
garantiza la proteccin deenvi y acceso hasta la red que otorgue esa credencial
de acceso, as como tambinasigna los usuarios VLAN de forma dinmica.
Unidad 2. Redes VLAN

Qu es una red VLAN

Una VLAN (Red de rea local virtual o LAN virtual) es una red de rea local que agrupa un
conjunto de equipos de manera lgica y no fsica.

Efectivamente, la comunicacin entre los diferentes equipos en una red de rea local est
regida por la arquitectura fsica. Gracias a las redes virtuales (VLAN), es posible liberarse de
las limitaciones de la arquitectura fsica (limitaciones geogrficas, limitaciones de direccin,
etc.), ya que se define una segmentacin lgica basada en el agrupamiento de equipos segn
determinados criterios (direcciones MAC, nmeros de puertos, protocolos, etc.).

Tipos de VLAN
Se han definido diversos tipos de VLAN, segn criterios de conmutacin y el nivel en el que se
lleve a cabo. As, la VLAN de nivel 1 (tambin denominada VLAN basada en puerto) define
una red virtual segn los puertos de conexin del conmutador. La VLAN de nivel 2 (tambin
denominada VLAN basada en la direccin MAC) define una red virtual segn las direcciones
MAC de las estaciones. Este tipo de VLAN es ms flexible que la VLAN basada en puerto, ya
que la red es independiente de la ubicacin de la estacin.

Adems de las anteriores, existe la VLAN de nivel 3, que incluye diferentes tipos. La VLAN
basada en la direccin de red conecta subredes segn la direccin IP de origen de los
datagramas. Este tipo de solucin brinda gran flexibilidad, en la medida en que la
configuracin de los conmutadores cambia automticamente cuando se mueve una estacin.
En contrapartida, puede haber una ligera disminucin del rendimiento, ya que la informacin
contenida en los paquetes debe analizarse detenidamente. La VLAN basada en
protocolo permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX,
AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo
protocolo en la misma red.

Ventajas de la VLAN
La VLAN permite definir una nueva red por encima de la red fsica y, por lo tanto, ofrece
diversas ventajas: una mayor flexibilidad en la administracin y en los cambios de la red, ya
que la arquitectura puede cambiarse usando los parmetros de los conmutadores; un aumento
de la seguridad, puesto que la informacin se encapsula en un nivel adicional y puede ser
analizada; una disminucin en la transmisin de trfico en la red.
 Qu estndares definen a las VLAN
Las VLAN estn definidas por los estndares IEEE 802.1D, 802.1p, 802.1Q y 802.10. Para
obtener ms informacin, te aconsejamos que consulte los siguientes documentos: IEEE
802.1D, IEEE 802.1Q y IEEE 802.10.

2.1 Tipos VLAN

Existen diferentes tipos de redes VLAN, los cuales se utilizan en las redes modernas. Algunos
tipos de VLAN se definen segn las clases de trfico. Otros tipos de VLAN se definen segn
la funcin especfica que cumplen.
VLAN de datos
Una VLAN de datos es una VLAN configurada para transportar trfico generado por
usuarios. Una VLAN que transporta trfico de administracin o de voz no sera una VLAN
de datos. Es una prctica comn separar el trfico de voz y de administracin del trfico de
datos. A veces a una VLAN de datos se la denomina VLAN de usuario. Las VLAN de datos se
usan para dividir la red en grupos de usuarios o dispositivos.
VLAN predeterminada
Todos los puertos de switch se vuelven parte de la VLAN predeterminada despus del
arranque inicial de un switch que carga la configuracin predeterminada. Los puertos de
switch que participan en la VLAN predeterminada forman parte del mismo dominio de
difusin. Esto admite cualquier dispositivo conectado a cualquier puerto de switch para
comunicarse con otros dispositivos en otros puertos de switch.
VLAN nativa
Una VLAN nativa est asignada a un puerto troncal 802.1Q. Los puertos de enlace troncal
son los enlaces entre switches que admiten la transmisin de trfico asociado a ms de una
VLAN. Los puertos de enlace troncal 802.1Q admiten el trfico proveniente de muchas
VLAN (trfico con etiquetas), as como el trfico que no proviene de una VLAN (trfico sin
etiquetar).
Las VLAN nativas se definen en la especificacin IEEE 802.1Q a fin de mantener la
compatibilidad con el trfico sin etiquetar de modelos anteriores comn a las situaciones de
LAN antiguas. Una VLAN nativa funciona como identificador comn en extremos opuestos
de un enlace troncal.
VLAN de administracin
Una VLAN de administracin es cualquier VLAN que se configura para acceder a las
capacidades de administracin de un switch. La VLAN 1 es la VLAN de administracin de
manera predeterminada. Para crear la VLAN de administracin, se asigna una direccin IP
y una mscara de subred a la interfaz virtual de switch (SVI) de esa VLAN, lo que permite
que el switch se administre mediante HTTP, Telnet, SSH o SNMP.

2.2. Protocolos de enlace VLAN.

El protocolo de etiquetado IEEE 802.1Q domina el mundo de las VLANs. Antes de su
introduccin existan varios protocolos propietarios, como el ISL (Inter-Switch Link) de
Cisco, una variante del IEEE 802.1Q, y el VLT (Virtual LAN Trunk) de 3Com. Los primeros
diseadores de redes enfrentaron el problema del tamao de los dominios de colisin (Hubs)
esto se logr controlar a travs de la introduccin de los switch o conmutadores pero a su
vez se introdujo el problema del aumento del tamao de los dominios de difusin y una de
las formas ms eficientes para manejarlo fue la introduccin de las VLANs.
 Las VLANs tambin pueden servir para restringir el acceso a recursos de red con
independencia de la topologa fsica de sta, si bien la robustez de este mtodo es discutible
al ser el salto de VLAN (VLAN hopping) un mtodo comn de evitar tales medidas de
seguridad. Las VLANs se caracterizan en el nivel 2 (enlace de datos) del modelo OSI. Sin
embargo, los administradores suelen configurar las VLANs como correspondencia directa
de una red o subred IP, lo que les da apariencia de funcionar en el nivel 3 (red).

2.3 Enrutamiento Inter VLAN

Es un proceso para reenviar el trfico de la red desde una VLAN a otra mediante un router.
El enrutamiento se realiza mediante la conexin de diferentes interfaces fsicas del router a
diferentes puertos fsicos del switch.
Los puertos del switch se conectan al router en modo de acceso;
Cada interfaz del switch estara asignada a una VLAN esttica diferente.
Es un tipo de configuracin de router en la cual una interfaz fsica nica enruta el trfico
entre mltiples VLAN en una red.
Routeron a stick.
El router realiza el enrutamiento inter VLAN al aceptar el trfico proveniente del switch
adyacente y reenva el trfico enrutado de la VLAN etiquetada para la VLAN de destino, por
la misma interfaz fsica.
Sub-interfaces

Son interfaces virtuales mltiples, asociadas a una interfaz fsica.

Uso del router como Gateway
Interfaces y Sub-interfaces
Temas de Direccionamiento IP Errores Comunes

1) Configurar direccin IP incorrecta para la subred asociada con la VLAN

2) Configurar una direccin IP incorrecta en la interfaz F0/0. 3)
Configurar una mscara de subred incorrecta.
Es necesario conectar un router a todas las VLAN, ya sea por medio de interfaces fsicas
separadas o sub-interfaces de enlace troncal.

2.4 Resolucin De Problemas De VLAN

Faltas de concordancia de la VLAN nativa: los puertos se configuran con

diferentes VLAN nativas, estos errores de configuracin generannotificaciones de
consola, hacen que el trfico de administracin y control se dirija errneamente.
Faltas de concordancia del modo de enlace troncal: un puerto de enlace troncal se
configura con el modo de enlace troncal "inactivo" y el otro con el modo de enlace
troncal "activo". Estos errores de configuracin hacen que el vnculo de enlace
troncal deje de funcionar.
La resolucin de problemas es examinando los enlaces troncales para ver si existe una
falta de concordancia de la VLAN nativa.
Cada VLAN debe corresponder a una subred IP nica. Si dos dispositivos en la
misma VLAN tienen direcciones de subred diferentes, no se pueden comunicar. Este
tipo de configuracin incorrecta es un problema comn y de fcil resolucin al
identificar el dispositivo en controversia y cambiar la direccin de subred por una
direccin correcta.

2.5 Seguridad En VLAN

Todo buen administrador de redes sabe que seguramente el prximo ataque a sus
sistemas provenga de su red. Por malicia o desconocimiento, los usuarios que se
encuentran del lado interno tienen mucho ms poder destructivo que los externos y
eso es as gracias a los administradores confiados.
Hoy en da la gran mayora de administradores ya tiene esto en cuenta y los usuarios
internos estn ms controlados, aunque sea a nivel de aplicacin. Como este blog
nace con la idea de ayudar a los que menos experiencia tienen, vamos a explicar un
poco por encima lo que podemos hacer para no dejar andar a nuestros usuarios a su
antojo por toda nuestra red.

UNIDAD II.

REDES VLANS.

En esta unidad abordaremos la temtica de vlans, tecnologa que ha tenido gran impacto en
la administracin de redes permitiendonos tener un mayor control sobre el trafico de datos
que se presenta en una organizacin.

Una vlan es una red de rea local virtual que nos permite segmentar una red en subredes a
las cuales podemos restringir la comunicacin de los dispositivos pertenecientes a una vlan
con respecto a otra.

Tambin nos permite reducir el trafico en la red ya que solo se transmiten los paquetes a los
dispositivos que estn incluidos dentro del dominio de cada vlan, con lo que se logra
eficiencia en el uso que se le da al ancho de banda y confidencialidad respecto a personas
ajenas a la red de rea local virtual.

ESTAS REDES SE CLASIFICAN EN TIPOS DE VLAN:

Estticas: Los puertos del switch estn ya pre-asignados a las estaciones de trabajo.

vlan por direccin mac: En esta los miembros de la vlan estn especificados en una tabla
por su direccin mac, permitiendo facilidad de movimiento.

vlan por protocolo : Es caracterizada por asignar un protocolo a una vlan. el switch es el
que se encargara de dirigir las tramas a la vlan correspondiente.

vlan por direcciones ip: Se basa en el encabezado de la capa 3 del modelo OSI, conecta
subredes segn la direccin ip de origen de los datagramas. Este tipo de solucin brinda
gran flexibilidad, en la medida en que la configuracin de los conmutadores cambia
automticamente cuando se mueve una estacin. En contrapartida, puede haber una ligera
disminucin del rendimiento, ya que la informacin contenida en los paquetes debe
analizarse detenidamente.

vlan por puerto: Se configura por una cantidad n de puertos en el cual podemos indicar
que puertos pertenecen a cada vlan.
vlan por nombre de usuario: Se basan en la autenticacin del usuario y no por las
direcciones mac de los dispositivos.

Dinmicas: Las vlan dinmicas son puertos del switch que automticamente determinan a
que vlan pertenece cada puesto de trabajo. El funcionamiento de estas vlans se basa en las
direcciones mac, direcciones lgicas o protocolos utilizados.

VENTAJAS

Permite mayor flexibilidad en la administracin y en los cambios de la red, debido a que la

arquitectura puede cambiarse usando los parmetros de los conmutadores.

Aumenta la seguridad, ya que la informacin se encapsula en un nivel adicional y

posiblemente se analiza.

Permite la disminucin en la transmisin de trfico en la red.

REDES VIRTUALES VLANS

Concepto
Una red de rea local (LAN) esta definida como una red de computadoras dentro de
un rea geogrficamente acotada como puede ser una empresa o una corporacin.
Uno de los problemas que nos encontramos es el de no poder tener una
confidencialidad entre usuarios de la LAN como pueden ser los directivos de la
misma, tambin estando todas las estaciones de trabajo en un mismo dominio de
colisin el ancho de banda de la misma no era aprovechado correctamente. La
solucin a este problema era la divisin de la LAN en segmentos fsicos los cuales
fueran independientes entre si, dando como desventaja la imposibilidad de
comunicacin entre las LANs para algunos de los usuarios de la misma.

La necesidad de confidencialidad como as el mejor aprovechamiento del ancho de

banda disponible dentro de la corporacin ha llevado a la creacin y crecimiento de
las VLANs.

Una VLAN se encuentra conformada por un conjunto de dispositivos de red

interconectados (hubs, bridges, switches o estaciones de trabajo) la definimos como
como una subred definida por software y es considerada como un dominio de
Broadcast que pueden estar en el mismo medio fsico o bien puede estar sus
integrantes ubicados en distintos sectores de la corporacin (Figura 1).

Figura 1
La tecnologa de las VLANs se basa en el empleo de Switches, en lugar de hubs,
de tal manera que esto permite un control mas inteligente del trfico de la red, ya
que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar
el trfico, para que de esta manera la eficiencia de la red entera se incremente. Por
otro lado, al distribuir a los usuarios de un mismo grupo lgico a travs de diferentes
segmentos, se logra el incremento del ancho de banda en dicho grupo de usuarios.

Segmentacin
Con los switches se crean pequeos dominios, llamados segmentos, conectando
un pequeo hub de grupo de trabajo a un puerto de switch o bien se aplica
microsegmentacin la cual se realiza conectando cada estacin de trabajo y cada
servidor directamente a puertos de switch teniendo una conexin dedicada dentro
de la red, con lo que se consigue aumentar considerablemente el ancho de banda
a disposicin de cada usuario.

Una de las ventajas que se pueden notar en las VLAN es la reduccin en el trafico
de la red ya que solo se transmiten los paquetes a los dispositivos que estn
incluidos dentro del dominio de cada VLAN, una mejor utilizacin del ancho de
banda y confidencialidad respecto a personas ajenas a la VLAN, alta performance,
reduccin de latencia, facilidad para armar grupos de trabajo.

La comunicacin que se hace entre switches para interconectar VLANs utiliza un

proceso llamado Trunking. El protocolo VLAN Trunk Protocol (VTP) es el que se
utiliza para esta conexin, el VTP puede ser utilizado en todas las lneas de
conexin incluyendo ISL, IEEE 810.10. IEEE 810.1Q y ATM LANE.

Tipos de VLAN
VLAN de puerto central
Es en la que todos los nodos de una VLAN se conectan al mismo puerto del switch.

VLAN Estticas
Los puertos del switch estn ya preasignados a las estaciones de trabajo.

Por puerto
Se configura por una cantidad n de puertos en el cual podemos indicar que puertos
pertenecen a cada VLAN. Para la Figura 1 tendramos en el Switch 9 puertos de los
cuales el 1,5 y 7 pertenecen a la VLAN 1; el 2, 3 y 8 a la VLAN 2 y los puertos 4, 6
y 9 a la VLAN 3 como la tabla lo indica (Figura 2).

Puerto VLAN

1 1

2 2

3 2

4 3

5 1

6 3

7 1

8 2

9 3

Figura 2

Ventajas:

Facilidad de movimientos y cambios.

Microsegmentacin y reduccin del dominio de Broadcast.

Multiprotocolo: La definicin de la VLAN es independiente del o los protocolos

utilizados, no existen limitaciones en cuanto a los protocolos utilizados, incluso
permitiendo el uso de protocolos dinmicos.

Desventajas:
 Administracin: Un movimiento en las estaciones de trabajo hace necesaria la
reconfiguracin del puerto del switch al que esta conectado el usuario. Esto se
puede facilitar combinando con mecanismos de LAN Dinmicas.

Por direccin MAC

Los miembros de la VLAN estn especificados en una tabla por su direccin MAC
(Figura 3).

MAC VLAN

12.15.89.bb.1d.aa 1

12.15.89.bb.1d.aa 2

aa.15.89.b2.15.aa 2

1d.15.89.6b.6d.ca 2

12.aa.cc.bb.1d.aa 1

Figura 3

Ventajas:

Facilidad de movimientos: No es necesario en caso de que una terminal de trabajo

cambie de lugar la reconfiguracin del switch.

Multiprotocolo.

Se pueden tener miembros en mltiples VLANs.

Desventajas:

Problemas de rendimiento y control de Broadcast: el trfico de paquetes de tipo

Multicast y Broadcast se propagan por todas las VLANs.

Complejidad en la administracin: En un principio todos los usuarios se deben

configurar de forma manual las direcciones MAC de cada una de las estaciones de
trabajo. Tambin se puede emplear soluciones de DVLAN.

Por protocolo
Asigna a un protocolo una VLAN. El switch se encarga de dependiendo el protocolo
por el cual venga la trama derivarlo a la VLAN correspondiente (Figura 4).

Protocolo VLAN

IP 1

IPX 2

IPX 2

IPX 2

IP 1

Figura 4

Ventajas:

Segmentacin por protocolo.

Asignacin dinmica.

Desventajas

Problemas de rendimiento y control de Broadcast: Por las bsquedas en tablas de

pertenencia se pierde rendimiento en la VLAN.

No soporta protocolos de nivel 2 ni dinmicos.

Por direcciones IP
Esta basado en el encabezado de la capa 3 del modelo OSI. Las direcciones IP a
los servidores de VLAN configurados. No acta como router sino para hacer un
mapeo de que direcciones IP estn autorizadas a entrar en la red VLAN. No realiza
otros procesos con la direccin IP.

Ventajas:
 Facilidad en los cambios de estaciones de trabajo: Cada estacin de trabajo al
tener asignada una direccin IP en forma esttica no es necesario reconfigurar el
switch.

Desventajas:

El tamao de los paquetes enviados es menor que en el caso de utilizar

direcciones MAC.

Perdida de tiempo en la lectura de las tablas.

Complejidad en la administracin: En un principio todos los usuarios se deben

configurar de forma manual las direcciones MAC de cada una de las estaciones de
trabajo.

Por nombre de usuario

Se basan en la autenticacin del usuario y no por las direcciones MAC de los
dispositivos.

Ventajas:

Facilidad de movimiento de los integrantes de la VLAN.

Multiprotocolo.

Desventajas:

En corporaciones muy dinmicas la administracin de las tablas de usuarios.

VLAN Dinmicas (DVLAN)

Las VLAN dinmicas son puertos del switch que automticamente determinan a que
VLAN pertenece cada puesto de trabajo. El funcionamiento de estas VLANs se basa
en las direcciones MAC, direcciones lgicas o protocolos utilizados. Cuando un
puesto de trabajo pide autorizacin para conectarse a la VLAN el switch chequea la
direccin MAC ingresada previamente por el administrador en la base de datos de
las mismas y automticamente se configura el puerto al cual corresponde por la
configuracin de la VLAN. El mayor beneficio de las DVLAN es el menor trabajo de
administracin dentro del armario de comunicaciones cuando se cambian de lugar
las estaciones de trabajo o se agregan y tambin notificacin centralizada cuando
un usuario desconocido pretende ingresar en la red.
Capa de Red: ELAN o Redes LAN Emuladas
Si bien el concepto de VLAN se creo para las redes LAN, la necesidad llevo a
ampliar los horizontes con el crecimiento de las redes ATM. Para los
administradores de las VLAN se crearon una serie de estndares para simular en
una red ATM una VLAN. Por un lado una tecnologa orientada a no conexin, qu
es el caso de las LANS y por el otro una orientada a conexin como en el caso de
ATM. En el caso de las LANS se trabaja con direcciones MAC, mientras en ATM se
usan direcciones ATM y se establecen circuitos virtuales permanentes, por esta
razn se requiere hacer cambios de direcciones MAC a ATM.

Ventajas:

Facilidad de administracin.

Facilidad de movimientos y cambios.

Multiprotocolo.

Desventajas:

Aplicable solo a Ethernet y Token Ring.

No explota la calidad de Calidad de servicio (QoS) de ATM.

Segmentacin de VLAN
Descripcin general de las VLAN

La productividad de los usuarios y la adaptabilidad de la red son importantes para el crecimiento y

el xito de las empresas. Las redes VLAN facilitan el diseo de una red para dar soporte a los
objetivos de una organizacin. Los principales beneficios de utilizar las VLAN son los siguientes:

Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que
disminuye las posibilidades de que ocurran violaciones de informacin confidencial. Como se
muestra en la ilustracin, las computadoras del cuerpo docente estn en la VLAN 10 y
separadas por completo del trfico de datos de los estudiantes y los Invitados.

Reduccin de costos: el ahorro de costos se debe a la poca necesidad de actualizaciones

de red costosas y al uso ms eficaz de los enlaces y del ancho de banda existentes.

Mejor rendimiento: la divisin de las redes planas de capa 2 en varios grupos de trabajo
lgicos (dominios de difusin) reduce el trfico innecesario en la red y mejora el rendimiento.

Dominios de difusin reducidos: la divisin de una red en redes VLAN reduce la cantidad
de dispositivos en el dominio de difusin. Como se muestra en la ilustracin, existen seis
computadoras en esta red, pero hay tres dominios de difusin: Cuerpo docente, Estudiantes e
Invitados.

Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los
usuarios con requerimientos similares de red comparten la misma VLAN. Cuando se dispone
de un switch nuevo, se implementan todas las polticas y los procedimientos que ya se
configuraron para la VLAN especfica cuando se asignan los puertos. Tambin es fcil para el
personal de TI identificar la funcin de una VLAN proporcionndole un nombre. En la
ilustracin, para facilitar la identificacin, se denomin Cuerpo Docente a la VLAN 10,
Estudiantes a la VLAN 20 e Invitados a la VLAN 30.

Administracin ms simple de aplicaciones y proyectos: las VLAN agregan dispositivos

de red y usuarios para admitir los requisitos geogrficos o comerciales. Al tener
caractersticas diferentes, se facilita la administracin de un proyecto o el trabajo con una
aplicacin especializada; un ejemplo de este tipo de aplicacin es una plataforma de
desarrollo de aprendizaje por medios electrnicos para el cuerpo docente.

Cada VLAN en una red conmutada corresponde a una red IP; por lo tanto, al disear la VLAN, se
debe tener en cuenta la implementacin de un esquema de direccionamiento de red jerrquico. El
direccionamiento jerrquico de la red significa que los nmeros de red IP se aplican a los
segmentos de red o a las VLAN de manera ordenada, lo que permite que la red se tome en cuenta
como conjunto. Los bloques de direcciones de red contiguas se reservan para los dispositivos en
un rea especfica de la red y se configuran en estos, como se muestra en la ilustracin.