Una red de área local virtual ( VLAN ) es cualquier dominio de transmisión que está particionado y aislado en una red informática en la capa de enlace de datos ( capa 2 OSI ). [2] [3] En este contexto, virtual se refiere a un objeto físico recreado y alterado por lógica adicional, dentro de la red de área local . Básicamente, una VLAN se comporta como un conmutador virtual o enlace de red que puede compartir la misma estructura física con otras VLAN mientras permanece lógicamente separada de ellas. Entre dispositivos de red, las VLAN funcionan aplicando etiquetas a las tramas de la red y manejando estas etiquetas en los sistemas de red, creando la apariencia y funcionalidad del tráfico de red que está físicamente en una sola red pero que actúa como si estuviera dividido entre redes separadas. De esta manera, las VLAN pueden mantener separadas las aplicaciones de red a pesar de estar conectadas a la misma red física y sin requerir la implementación de múltiples conjuntos de cableado y dispositivos de red.
Las VLAN permiten a los administradores de red agrupar hosts incluso si los hosts no están conectados directamente al mismo conmutador de red . Debido a que la membresía de VLAN se puede configurar a través de software, esto puede simplificar enormemente el diseño y la implementación de la red. Sin VLAN, agrupar hosts según sus recursos requiere la labor de reubicar nodos o recablear enlaces de datos . Las VLAN permiten que dispositivos que deben mantenerse separados compartan el cableado de una red física y, sin embargo, se les impida interactuar directamente entre sí. Este uso compartido gestionado produce ganancias en simplicidad, seguridad , gestión del tráfico y economía. Por ejemplo, una VLAN se puede utilizar para separar el tráfico dentro de una empresa en función de usuarios individuales o grupos de usuarios o sus roles (por ejemplo, administradores de red), o en función de las características del tráfico (por ejemplo, tráfico de baja prioridad que se impide que afecte al resto de la red). funcionamiento de la red). Muchos servicios de alojamiento de Internet utilizan VLAN para separar las zonas privadas de los clientes entre sí, lo que permite agrupar los servidores de cada cliente en un único segmento de red sin importar dónde se encuentren los servidores individuales en el centro de datos . Se necesitan algunas precauciones para evitar que el tráfico "se escape" de una VLAN determinada, un exploit conocido como salto de VLAN .
Para subdividir una red en VLAN, se configura el equipo de red . Los equipos más simples pueden dividir solo cada puerto físico (si es que lo es), en cuyo caso cada VLAN se ejecuta a través de un cable de red dedicado . Los dispositivos más sofisticados pueden marcar tramas mediante etiquetado VLAN , de modo que se pueda utilizar una única interconexión ( troncal ) para transportar datos para múltiples VLAN. Dado que las VLAN comparten ancho de banda, una troncal de VLAN puede utilizar agregación de enlaces , priorización de calidad de servicio o ambas para enrutar datos de manera eficiente.
Las VLAN abordan cuestiones como la escalabilidad , la seguridad y la gestión de la red. Los arquitectos de redes configuran VLAN para proporcionar segmentación de red . Los enrutadores entre VLAN filtran el tráfico de difusión , mejoran la seguridad de la red , realizan resúmenes de direcciones y mitigan la congestión de la red .
En una red que utiliza transmisiones para el descubrimiento de servicios , asignación y resolución de direcciones y otros servicios, a medida que crece el número de pares en una red, la frecuencia de las transmisiones también aumenta. Las VLAN pueden ayudar a gestionar el tráfico de difusión formando múltiples dominios de difusión . Dividir una red grande en segmentos independientes más pequeños reduce la cantidad de tráfico de transmisión que cada dispositivo de red y segmento de red tiene que soportar. Los conmutadores no pueden conectar el tráfico de red entre VLAN, ya que hacerlo violaría la integridad del dominio de transmisión de VLAN.
Las VLAN también pueden ayudar a crear múltiples redes de capa 3 en una única infraestructura física. Las VLAN son construcciones de capa de enlace de datos (capa 2 de OSI), análogas a las subredes de protocolo de Internet (IP) , que son construcciones de capa de red (capa 3 de OSI). En un entorno que emplea VLAN, a menudo existe una relación uno a uno entre las VLAN y las subredes IP, aunque es posible tener varias subredes en una VLAN.
Sin capacidad VLAN, los usuarios son asignados a redes según la geografía y están limitados por topologías físicas y distancias. Las VLAN pueden agrupar redes lógicamente para desacoplar la ubicación de la red de los usuarios de su ubicación física. Al utilizar VLAN, se pueden controlar los patrones de tráfico y reaccionar rápidamente a las reubicaciones de empleados o equipos. Las VLAN brindan la flexibilidad para adaptarse a los cambios en los requisitos de la red y permiten una administración simplificada. [3]
Las VLAN se pueden utilizar para dividir una red local en varios segmentos distintivos, por ejemplo: [4]
Una infraestructura común compartida entre troncales VLAN puede proporcionar una medida de seguridad con gran flexibilidad por un costo comparativamente bajo. Los esquemas de calidad de servicio pueden optimizar el tráfico en enlaces troncales para requisitos en tiempo real (por ejemplo, VoIP ) o de baja latencia (por ejemplo, SAN ). Sin embargo, las VLAN como solución de seguridad deben implementarse con mucho cuidado, ya que pueden ser derrotadas a menos que se implementen con cuidado. [5]
En la computación en la nube, las VLAN, las direcciones IP y las direcciones MAC en la nube son recursos que los usuarios finales pueden administrar. Para ayudar a mitigar los problemas de seguridad, puede ser preferible colocar máquinas virtuales basadas en la nube en VLAN que colocarlas directamente en Internet. [6]
Las tecnologías de red con capacidades VLAN incluyen: [ cita necesaria ]
Después de experimentos exitosos con voz sobre Ethernet de 1981 a 1984, W. David Sincoskie se unió a Bellcore y comenzó a abordar el problema de ampliar las redes Ethernet. Con 10 Mbit/s, Ethernet era más rápido que la mayoría de las alternativas de la época. Sin embargo, Ethernet era una red de transmisión y no había una buena manera de conectar varias redes Ethernet entre sí. Esto limitó el ancho de banda total de una red Ethernet a 10 Mbit/s y la distancia máxima entre nodos a unos pocos cientos de pies.
Por el contrario, aunque la velocidad de la red telefónica existente para conexiones individuales estaba limitada a 56 kbit/s (menos de una centésima parte de la velocidad de Ethernet), el ancho de banda total de esa red se estimó en 1 Tbit/s [ cita necesaria ] (100.000 veces mayor que Ethernet).
Aunque era posible utilizar el enrutamiento IP para conectar varias redes Ethernet, era costoso y relativamente lento. Sincoskie empezó a buscar alternativas que requirieran menos procesamiento por paquete. En el proceso, reinventó de forma independiente el puente transparente , la técnica utilizada en los conmutadores Ethernet modernos . [7] Sin embargo, el uso de conmutadores para conectar múltiples redes Ethernet de manera tolerante a fallas requiere rutas redundantes a través de esa red, lo que a su vez requiere una configuración de árbol de expansión . Esto garantiza que solo haya una ruta activa desde cualquier nodo de origen a cualquier destino en la red. Esto hace que los conmutadores ubicados centralmente se conviertan en cuellos de botella, lo que limita la escalabilidad a medida que se interconectan más redes.
Para ayudar a aliviar este problema, Sincoskie inventó las VLAN agregando una etiqueta a cada trama de Ethernet. Estas etiquetas podrían considerarse como colores, digamos rojo, verde o azul. En este esquema, se podría asignar a cada interruptor para manejar marcos de un solo color e ignorar el resto. Las redes podrían interconectarse mediante tres árboles de expansión, uno para cada color. Al enviar una combinación de diferentes colores de marco, se podría mejorar el ancho de banda agregado. Sincoskie se refirió a esto como un puente multiárbol . Él y Chase Cotton crearon y refinaron los algoritmos necesarios para hacer viable el sistema. [8] Este color es lo que ahora se conoce en la trama Ethernet como encabezado IEEE 802.1Q o etiqueta VLAN. Si bien las VLAN se usan comúnmente en las redes Ethernet modernas, no se usan de la manera imaginada aquí por primera vez. [ se necesita aclaración ]
En 1998, las VLAN Ethernet se describieron en la primera edición del estándar IEEE 802.1Q -1998. [9] Esto se amplió con IEEE 802.1ad para permitir etiquetas VLAN anidadas en el servicio de puente de proveedor. Este mecanismo fue mejorado con IEEE 802.1ah-2008 .
Los primeros diseñadores de redes a menudo segmentaban las LAN físicas con el objetivo de reducir el tamaño del dominio de colisión de Ethernet y mejorar así el rendimiento. Cuando los conmutadores Ethernet hicieron que esto no fuera un problema (porque cada puerto del conmutador es un dominio de colisión), la atención se centró en reducir el tamaño del dominio de transmisión de la capa de enlace de datos . Las VLAN se emplearon por primera vez para separar varios dominios de transmisión en un medio físico. Una VLAN también puede servir para restringir el acceso a los recursos de la red sin tener en cuenta la topología física de la red. [a]
Las VLAN operan en la capa de enlace de datos del modelo OSI . Los administradores a menudo configuran una VLAN para asignarla directamente a una red IP o subred, lo que da la apariencia de involucrar a la capa de red . Generalmente, a las VLAN dentro de la misma organización se les asignarán diferentes rangos de direcciones de red que no se superpongan . Este no es un requisito de las VLAN. No hay problema con VLAN separadas que usan rangos de direcciones superpuestos idénticos (por ejemplo, dos VLAN usan cada una la red privada 192.168.0.0 / 16 ). Sin embargo, no es posible enrutar datos entre dos redes con direcciones superpuestas sin una delicada reasignación de IP , por lo que si el objetivo de las VLAN es la segmentación de una red organizacional general más grande, se deben usar direcciones que no se superpongan en cada VLAN separada.
Un conmutador básico que no está configurado para VLAN tiene la funcionalidad de VLAN deshabilitada o habilitada permanentemente con una VLAN predeterminada que contiene todos los puertos del dispositivo como miembros. [3] La VLAN predeterminada normalmente utiliza el identificador de VLAN 1. Cada dispositivo conectado a uno de sus puertos puede enviar paquetes a cualquiera de los demás. La separación de puertos por grupos de VLAN separa su tráfico de manera muy similar a conectar cada grupo utilizando un conmutador distinto para cada grupo.
La gestión remota del conmutador requiere que las funciones administrativas estén asociadas con una o más de las VLAN configuradas.
En el contexto de las VLAN, el término troncal denota un enlace de red que transporta múltiples VLAN, que se identifican mediante etiquetas (o etiquetas ) insertadas en sus paquetes. Dichos troncales deben ejecutarse entre puertos etiquetados de dispositivos compatibles con VLAN, por lo que a menudo son enlaces de conmutador a conmutador o de conmutador a enrutador en lugar de enlaces a hosts. (Tenga en cuenta que el término 'troncal' también se utiliza para lo que Cisco llama "canales": agregación de enlaces o enlace troncal de puertos ). Un enrutador (dispositivo de capa 3) sirve como columna vertebral para el tráfico de red que atraviesa diferentes VLAN. Sólo cuando el grupo de puertos VLAN se va a extender a otro dispositivo se utiliza el etiquetado. Dado que las comunicaciones entre puertos en dos conmutadores diferentes viajan a través de los puertos de enlace ascendente de cada conmutador involucrado, cada VLAN que contenga dichos puertos también debe contener el puerto de enlace ascendente de cada conmutador involucrado, y el tráfico a través de estos puertos debe etiquetarse.
Los conmutadores normalmente no tienen ningún método incorporado para indicar la VLAN para establecer asociaciones de puertos a alguien que trabaja en un armario de cableado . Es necesario que un técnico tenga acceso administrativo al dispositivo para ver su configuración, o que se mantengan cuadros o diagramas de asignación de puertos VLAN junto a los conmutadores en cada armario de cableado.
El protocolo más utilizado hoy en día para admitir VLAN es IEEE 802.1Q . El grupo de trabajo IEEE 802.1 definió este método de multiplexación de VLAN en un esfuerzo por proporcionar soporte para VLAN de múltiples proveedores. Antes de la introducción del estándar 802.1Q, existían varios protocolos propietarios , como Cisco Inter-Switch Link (ISL) y Virtual LAN Trunk (VLT) de 3Com . Cisco también implementó VLAN sobre FDDI transportando información de VLAN en un encabezado de trama IEEE 802.10 , contrario al propósito del estándar IEEE 802.10.
Tanto ISL como IEEE 802.1Q realizan etiquetado explícito : la propia trama está etiquetada con identificadores de VLAN. ISL utiliza un proceso de etiquetado externo que no modifica la trama Ethernet, mientras que 802.1Q utiliza un campo interno de la trama para el etiquetado y, por lo tanto, modifica la estructura básica de la trama Ethernet. Este etiquetado interno permite que IEEE 802.1Q funcione tanto en enlaces troncales como de acceso utilizando hardware Ethernet estándar.
Según IEEE 802.1Q, el número máximo de VLAN en una red Ethernet determinada es 4094 (4096 valores proporcionados por el campo VID de 12 bits menos los valores reservados en cada extremo del rango, 0 y 4095). Esto no impone el mismo límite en la cantidad de subredes IP en dicha red, ya que una sola VLAN puede contener múltiples subredes IP. IEEE 802.1ad amplía la cantidad de VLAN admitidas al agregar soporte para múltiples etiquetas VLAN anidadas. IEEE 802.1aq (Shortest Path Bridging) amplía el límite de VLAN a 16 millones. Ambas mejoras se han incorporado al estándar IEEE 802.1Q.
Inter-Switch Link (ISL) es un protocolo propietario de Cisco que se utiliza para interconectar conmutadores y mantener la información de VLAN a medida que el tráfico viaja entre conmutadores en enlaces troncales. ISL se proporciona como alternativa a IEEE 802.1Q. ISL está disponible sólo en algunos equipos de Cisco y ha quedado obsoleto. [11]
VLAN Trunking Protocol (VTP) es un protocolo propietario de Cisco que propaga la definición de VLAN en toda la red de área local. VTP está disponible en la mayoría de los productos de la familia Cisco Catalyst . El estándar IEEE comparable que utilizan otros fabricantes es el Protocolo de registro de VLAN GARP (GVRP) o el más reciente Protocolo de registro de VLAN múltiple (MVRP).
El Protocolo de registro de VLAN múltiple es una aplicación del Protocolo de registro múltiple que permite la configuración automática de la información de VLAN en los conmutadores de red. Específicamente, proporciona un método para compartir dinámicamente información de VLAN y configurar las VLAN necesarias.
La membresía de VLAN se puede establecer de forma estática o dinámica.
Las VLAN estáticas también se denominan VLAN basadas en puertos. Las asignaciones de VLAN estáticas se crean asignando puertos a una VLAN. Cuando un dispositivo ingresa a la red, el dispositivo asume automáticamente la VLAN del puerto. Si el usuario cambia de puerto y necesita acceso a la misma VLAN, el administrador de red debe realizar manualmente una asignación de puerto a VLAN para la nueva conexión.
Las VLAN dinámicas se crean mediante software o por protocolo. Con un servidor de políticas de administración de VLAN (VMPS), un administrador puede asignar puertos de conmutador a las VLAN de forma dinámica en función de información como la dirección MAC de origen del dispositivo conectado al puerto o el nombre de usuario utilizado para iniciar sesión en ese dispositivo. Cuando un dispositivo ingresa a la red, el conmutador consulta una base de datos para conocer la membresía de VLAN del puerto al que está conectado ese dispositivo. Los métodos de protocolo incluyen el Protocolo de registro de VLAN múltiple (MVRP) y el Protocolo de registro de VLAN GARP (GVRP), algo obsoleto.
En un conmutador que admite VLAN basadas en protocolos, el tráfico se puede manejar en función de su protocolo. Básicamente, esto segrega o reenvía el tráfico desde un puerto dependiendo del protocolo particular de ese tráfico; el tráfico de cualquier otro protocolo no se reenvía en el puerto. Esto permite, por ejemplo, que la red segregue automáticamente el tráfico IP e IPX.
La conexión cruzada de VLAN (CC o VLAN-XC) es un mecanismo utilizado para crear VLAN conmutadas. VLAN CC utiliza tramas IEEE 802.1ad donde la etiqueta S se utiliza como etiqueta como en MPLS . IEEE aprueba el uso de dicho mecanismo en la parte 6.11 de IEEE 802.1ad-2005 .