VLANs (Virtual LANs)

VLAN - Introducción

Predeterminado Predeterminado
VLAN 1 VLAN 1
VLAN 15

„ Las VLANs proporcionan segmentación basada en dominios

de broadcast.
„ VLAN = Subred
„ Las VLANs pueden segmentar lógicamente redes conmutadas,
atendiendo a:
„ Ubicación física (Ejemplo: Edificio)
„ Organización (Ejemplo: Finanzas)
„ Función (Ejemplo: Directivos)
 VLANs – Introducción
Un enlace por VLAN ó un enlace
troncal para todas las VLANs
Sin VLANs 10.1.0.0/16 10.1.0.0/16

Con
VLANs
10.2.0.0/16 10.2.0.0/16

10.3.0.0/16 10.3.0.0/16

„ Las VLANs se crean para proporcionar segmentación de

servicios tradicionalmente provistos por routers físicos en las
configuraciones LAN.
„ Las VLANs facilitan la administración de la red, permitiendo
incrementar la seguridad y la escalabilidad.
Dos subredes, un switche, sin VLANs

10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1

„ Broadcasts L2
„ ¿Qué pasa cuando 10.1.0.10 envía una solicitud ARP
para 10.1.0.30?
Dos subredes, un switch, sin VLANs

10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1

„ Broadcasts L2
„ El switch lo inunda a través de todos sus puertos.
„ Todos los hosts reciben el broadcast, incluso los hosts en distintas
subredes.
„ El tráfico de broadcast de L2 debería aislarse sólo al segmento
respectivo.
„ Nota: Si un switch soporta VLANs, de forma predeterminada todos sus
puertos pertenecen a la misma VLAN.
Dos subredes, un switche, sin VLANs

10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1

„ Unicast desconocido de L2
„ Se tiene el mismo comportamiento para unicasts de capa
2 desconocidos.
Dos subredes, un switch, sin VLANs
Fa 0/0 Fa 0/1
10.1.0.1/16 10.2.0.1/16

10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1

„ Aún si los hosts están conectados en el mismo switch (o

concentrador), los dispositivos en diferentes subredes deben
comunicarse a través de un router.
„ Un switch es un dispositivo L2, toma las decisiones con base
en las direcciones MAC, no las direcciones IP.
Solución tradicional : Múltiples switches

Fa 0/0 Fa 0/1
10.1.0.1/16 10.2.0.1/16

ARP Request

10.1.0.10/16 10.1.0.30/16 10.2.0.20/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.2.0.1

„ La solución tradicional es tener dispositivos en la misma

subred conectados al mismo switch.
„ Esto proporciona segmentación de broadcast y unicasts
desconocidos, aunque es poco escalable.
Dominios de broadcast con VLANs y routers
Puerto 1 Puerto 4 Puerto 9 Puerto 12
VLAN 10 VLAN 20 VLAN 10 VLAN 20

10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1

„ Una VLAN es un dominio de broadcast creado por uno o más

switches.
„ Las VLANs se asignan a un switch y corresponden con la dirección
IP del host.
„ Cada puerto del switch puede asignarse a una VLAN diferente.
Dominios de broadcast con VLANs y routers
Puerto 1 Puerto 4 Puerto 9 Puerto 12
VLAN 10 VLAN 20 VLAN 10 VLAN 20

10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1

„ Los puertos asignados a la misma VLAN comparten el

mismo dominio de broadcast.
„ Los puertos en distintas VLANs se encuentran en distintos
dominios de broadcast.
Operación de las VLAN
„ VLANs Estáticas
„ Los administradores de la
red configuran cada
puerto. Un puerto está
asociado a una VLAN
específica.
„ VLANs Dinámicas
„ Cada puerto define
dinámicamente su
configuración, a partir de
una base de datos que
contiene la membresía a
VLANs dependiendo de
las direcciones MAC
VLANs estáticas

Predeterminado Predeterminado
VLAN 1 VLAN 1
VLAN 15
Switch(config)#interface
Switch(config)#interface fastethernet
fastethernet 0/9
0/9 Configurada
Switch(config-if)#switchport
Switch(config-if)#switchport access
access vlan
vlan 15
15

„ La membresía a VLANs estáticas se conoce como VLANs basadas en

puerto y membresías centradas en puerto.
„ Este es el método más común para asignar puertos a VLANs.
„ A medida que un dispositivo ingresa a la red, automáticamente asume la
membresía de la VLAN del puerto al que se conecta.
„ Siempre existe una VLAN predeterminada, en los switches Cisco, es la
VLAN 1.
Operación de las VLANs
Puerto 1 Puerto 4 Puerto 9 Puerto 12
VLAN 10 VLAN 20 VLAN 10 VLAN 20

10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16

DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1

„ Las VLANs se asignan a un puerto en el switch.

„ Para que un host sea parte de una VLAN, debe tener asignada
una dirección IP correspondiente a la subred respectiva.
„ VLAN = Subnet
Operación de las VLANs

„ Las VLANs de membresía dinámica se crean a través de software de

administración. No son tan comunes como las VLANs estáticas.
„ El software de administración es provisto por el fabricante del equipo.
„ Las VLANs dinámicas permiten la membresía con base en la dirección
MAC del dispositivo conectado a un puerto del switch.
„ Cuando un dispositivo se conecta a la red, consulta la base de datos para
conocer la membresía a la VLAN correspondiente.
Tipos de VLANs
„ VLANs extremo-a-extremo ó VLANs de
campus.
„ VLANs Geográficas o VLANs Locales.
VLANs extremo a extremo

Este
Este modelo
modelo yaya no
no es
es
recomendado
recomendado por por los
los
fabricantes,
fabricantes, aa menos
menos queque se
se
tenga
tenga una
una necesidad
necesidad
específica
específica para esta
para esta
configuración.
configuración.
„ VLANs basadas en funcionalidad.
„ Modelo "VLAN en todas partes".
„ VLANs con la misma identificación de VLAN pueden estar
en cualquier lugar en la red.
VLANs Geográficas

„ VLANs basadas en la ubicación física.

„ VLANs dedicadas a cada grupo de switches de la capa de acceso.
„ Los usuarios de "Contabilidad" conectados a diferentes switches de
capa 3 se encuentran en diferentes VLANs, por ejemplo
Contabilidad VLAN 10 y VLAN 30.
Las reglas 80/20 y 20/80
„ El diseño de la red se basa
en patrones de tráfico, para
tener 80% del tráfico
contenido dentro de la
VLAN.
„ El 20% de tráfico restante
atraviesa el router hasta los
servidores corporativos y
para el acceso WAN y a
Internet.
„ Esta regla se conoce como
la regla 80/20.
„ Nota:
„ Con los actuales patrones de tráfico, esta regla se está haciendo
obsoleta.
„ La regla 20/80 se aplica a la mayoría de las redes actuales, con el 20%
del tráfico dentro de la VLAN y el 80% fuera de la VLAN.
VLANs geográficas o locales

„ A medida que las redes corporativas han evolucionado hacia el mantenimiento de

recursos centralizados, las redes extremo-a-extremo se hacen más difíciles de
administrar.
„ Los usuarios deben usar muchos recursos diferentes, muchos de los cuales no se
encuentran dentro de la misma VLAN.
„ Este comportamiento depende de la ubicación y uso de los recursos, así que es
frecuente la creación de VLANs alrededor de fronteras geográficas en lugar de
fronteras de comunidades.
Trunking
„ ¿Tráfico entre VLANs en distintos switches?
VLAN Trunking/Tagging

„ Las VLAN etiquetadas se usan cuando se necesita un enlace para

transporte del tráfico de más de una VLAN.
„ Enlace troncal: A medida que se reciben los paquetes en un switch desde
cualquier dispositivo final conectado a él, se adiciona un identificador de
paquete dentro de cada encabezado.
„ La información de encabezado designa la membresía de VLAN de cada
paquete.
VLAN Trunking/Tagging

„ El paquete se reenvía al switch o router apropiado con base en la

identificación de VLAN o la dirección MAC.
„ Al alcanzar el nodo destino (switch), la identificación de VLAN se elimina
del paquete, y se reenvía al dispositivo final.
„ El etiquetado de paquetes proporciona un mecanismo para controlar el flujo
de broadcast y aplicaciones, sin interferir con la red y las aplicaciones.
„ Esto se conoce como un enlace troncal o VLAN Trunking.
VLAN Trunking/Tagging
No VLAN Tagging

VLAN Tagging

„ Las VLAN etiquetadas se usan cuando se tiene un

único enlace que transporta tráfico de más de una
VLAN.
VLAN Trunking/Tagging
„ Hay dos métodos
principales para el
etiquetado de tramas,
ISL y IEEE 802.1Q.
„ ISL era el método más
común, actualmente
se está reemplazando
por el etiquetado de
tramas 802.1Q.
Configuración de VLANs estáticas

„ El máximo número de VLANs depende del switch.

„ Los switches 29xx generalmente permiten 4,095 VLANs
„ La VLAN 1 es la VLAN predeterminada.
„ La VLAN 1 es la VLAN Ethernet predeterminada.
„ Las actualizaciones CDP y VTP se envían a través de la
VLAN 1.
„ La dirección IP del switch se asocia de forma
predeterminada al dominio de broadcast de la VLAN1.
 Creación de VLANs

„ Asignación de puertos de acceso (puertos no troncales) a una VLAN

específica:
Switch(config)#interface fastethernet 0/9
Switch(config-if)#switchport access vlan vlan_number
Switch(config-if)#switchport mode access

„ Creación de una VLAN

Switch#vlan database
Switch(vlan)#vlan vlan_number
Switch(vlan)#exit
Creación de VLANs

Predeterminado Predeterminado
VLAN 1 VLAN 1
VLAN 15

„ Asignación de puertos a una VLAN

Switch(config)#interface fastethernet 0/9
Switch(config-if)#switchport access vlan 15
Switch(config-if)#switchport mode access

„ access
„ Indica que el puerto será un puerto de acceso y no un puerto de
un enlace troncal.
Creación de VLANs

Predeterminado Predeterminado
VLAN 1 VLAN 1
VLAN
325

Switch(config)#interface
Switch(config)#interface fastethernet
fastethernet 0/9
0/9
Switch(config-if)#switchport
Switch(config-if)#switchport access
access vlan
vlan 325
325
Switch(config-if)#switchport
Switch(config-if)#switchport mode
mode access
access
Configuración de rangos de VLANs

VLAN 27

Switch(config)#interface
Switch(config)#interface fastethernet
fastethernet 0/5
0/5
Switch(config-if)#switchport
Switch(config-if)#switchport access
access vlan
vlan 27
27
Switch(config-if)#switchport
Switch(config-if)#switchport mode
mode access
access
Switch(config-if)#exit
Switch(config-if)#exit
Switch(config)#interface
Switch(config)#interface fastethernet
fastethernet 0/6
0/6
Switch(config-if)#switchport
Switch(config-if)#switchport access
access vlan
vlan 27
27
Switch(config-if)#switchport
Switch(config-if)#switchport mode
mode access
access
Switch(config-if)#exit
Switch(config-if)#exit
Switch(config)#interface
Switch(config)#interface fastethernet
fastethernet 0/7
0/7
Switch(config-if)#switchport
Switch(config-if)#switchport access
access vlan
vlan 27
27
Switch(config-if)#switchport
Switch(config-if)#switchport mode
mode access
access
 Creación de VLANs

Predeterminado: Los puertos operarán como puertos

troncales a menos que uno de los puertos se
dynamic desirable configure como puerto de acceso.

„ De forma predeterminada, todos los puertos están configurados en

modo switchport dinámico, lo que significa que si el puerto se
conecta a otro switch con un puerto configurado con el mismo modo
predeterminado, este enlace automáticamente será un enlace troncal.
„ Tanto el comando switchport access vlan como el comando
switchport mode acces se recomiendan para establecer la
funcionalidad de un puerto.
show vlan

vlan 1 vlan 2 vlan 3

show vlan brief

vlan 1 vlan 2 vlan 3

 Eliminación de VLANs

Switch(config-if)#no switchport access vlan

vlan_number

„ Este comando re-establece la interfaz a la VLAN 1.

„ La VLAN 1 no puede eliminarse del switch.
Administración del switch
Switch(config)#interface
Switch(config)#interface vlan
vlan 11
Switch(config-if)#ip
Switch(config-if)#ip address
address 10.1.0.5.
10.1.0.5. 255.255.0.0
255.255.0.0
Switch(config-if)#ip
Switch(config-if)#ip default-gateway
default-gateway 10.1.0.1
10.1.0.1
Switch(config-if)#no
Switch(config-if)#no shutdown
shutdown

„ La dirección IP, máscara de subred y puerta de enlace predeterminados en

un switche tienen propósitos administrativos, para permitir su configuración
desde un host de la red.
„ Nota : Debe activarse en el switch el acceso a través de terminales vty.

„ Dirección IP y máscara de subred.

„ De forma predeterminada, la VLAN 1 es la VLAN de administración.
„ La configuración IP debe hacerse en esta VLAN.
„ Esta configuración es para propósitos administrativos y no afecta el
funcionamiento de L2 del switch.

„ Puerta de enlace predeterminada

„ Sólo se asigna para propósitos administrativos.
Administración del switch

Switch(config)#
Switch(config)# enable
enable secret
secret class
class

Switch(config)#line
Switch(config)#line vty
vty 00 44
Switch(config-line)#password
Switch(config-line)#password cisco
cisco
Switch(config-line)#login
Switch(config-line)#login

Switch(config)#inter
Switch(config)#inter vlan
vlan 11
Switch(config-if)#ip
Switch(config-if)#ip add
add 10.1.0.5.
10.1.0.5. 255.255.0.0
255.255.0.0
Switch(config-if)#ip
Switch(config-if)#ip default-gateway
default-gateway 10.1.0.1
10.1.0.1
Switch(config-if)#no
Switch(config-if)#no shut
shut
Administración del switch

10.1.0.5/16 DG: 10.1.0.1

Fa 0/0 Fa 0/1
10.1.0.1/16 10.2.0.1/16

10.2.0.20/16 10.2.0.40/16
DG: 10.2.0.1 DG: 10.2.0.1

10.1.0.10/16 10.1.0.30/16 Host

Host
DG: 10.1.0.1 DG: 10.1.0.1 C:\>telnet
C:\>telnet 10.1.0.1
10.1.0.1
username:cisco
username:cisco
password:class
password:class
Switch>show
Switch>show vlan
vlan
Switch>ping
Switch>ping 10.2.0.20
10.2.0.20
Switch>telnet
Switch>telnet 10.1.0.1
10.1.0.1
Switch>exit
Switch>exit
Eliminación de la información de VLANs

Switch#delete
Switch#delete flash:vlan.dat
flash:vlan.dat
Delete
Delete filename
filename [vlan.dat]?
[vlan.dat]?
Delete
Delete flash:vlan.dat?
flash:vlan.dat? [confirm]
[confirm]
Switch#erase
Switch#erase startup-config
startup-config
Switch#reload
Switch#reload

„ La información de las VLANs se mantiene en el archivo vlan.dat

„ El archivo no se elimina cuando se elimina la configuración del
switch (startup-config)
„ Para eliminar toda la información de VLANs en el switch, se
elimina el archivo y se reinicia el switch.