Una red de área local virtual ( VLAN ) es cualquier dominio de difusión que está particionado y aislado en una red informática en la capa de enlace de datos ( capa 2 de OSI ). [2] [3] En este contexto, virtual se refiere a un objeto físico recreado y alterado por lógica adicional, dentro de la red de área local . Básicamente, una VLAN se comporta como un conmutador virtual o un enlace de red que puede compartir la misma estructura física con otras VLAN mientras se mantiene lógicamente separado de ellas. Entre dispositivos de red, las VLAN funcionan aplicando etiquetas a los marcos de red y manejando estas etiquetas en sistemas de red, creando la apariencia y la funcionalidad del tráfico de red que está físicamente en una sola red pero actúa como si estuviera dividido entre redes separadas. De esta manera, las VLAN pueden mantener separadas las aplicaciones de red a pesar de estar conectadas a la misma red física y sin requerir que se implementen múltiples conjuntos de cableado y dispositivos de red.
Las VLAN permiten a los administradores de red agrupar hosts incluso si los hosts no están conectados directamente al mismo conmutador de red . Debido a que la membresía de VLAN se puede configurar a través del software, esto puede simplificar enormemente el diseño y la implementación de la red. Sin VLAN, agrupar hosts según sus necesidades de recursos requiere el trabajo de reubicar nodos o recablear enlaces de datos . Las VLAN permiten que los dispositivos que deben mantenerse separados compartan el cableado de una red física y, sin embargo, se les impida interactuar directamente entre sí. Esta compartición administrada produce ganancias en simplicidad, seguridad , administración del tráfico y economía. Por ejemplo, una VLAN se puede utilizar para separar el tráfico dentro de una empresa en función de usuarios individuales o grupos de usuarios o sus roles (por ejemplo, administradores de red), o en función de las características del tráfico (por ejemplo, tráfico de baja prioridad que no afecta al resto del funcionamiento de la red). Muchos servicios de alojamiento de Internet utilizan VLAN para separar las zonas privadas de los clientes entre sí, lo que permite que los servidores de cada cliente se agrupen en un solo segmento de red sin importar dónde se encuentren los servidores individuales en el centro de datos . Se necesitan algunas precauciones para evitar que el tráfico "escape" de una VLAN determinada, una explotación conocida como salto de VLAN .
Para subdividir una red en VLAN, se configura el equipo de red . Un equipo más simple puede particionar solo cada puerto físico (si es que lo hace), en cuyo caso cada VLAN se ejecuta sobre un cable de red dedicado . Los dispositivos más sofisticados pueden marcar tramas mediante etiquetado de VLAN , de modo que se pueda utilizar una única interconexión ( troncal ) para transportar datos para varias VLAN. Dado que las VLAN comparten ancho de banda, un troncal de VLAN puede utilizar agregación de enlaces , priorización de calidad de servicio o ambos para enrutar los datos de manera eficiente.
Las VLAN abordan cuestiones como la escalabilidad , la seguridad y la administración de la red. Los arquitectos de red configuran las VLAN para proporcionar segmentación de la red . Los enrutadores entre las VLAN filtran el tráfico de difusión , mejoran la seguridad de la red , realizan el resumen de direcciones y mitigan la congestión de la red .
En una red que utiliza transmisiones para el descubrimiento de servicios , la asignación y resolución de direcciones y otros servicios, a medida que aumenta la cantidad de pares en una red, también aumenta la frecuencia de las transmisiones. Las VLAN pueden ayudar a administrar el tráfico de transmisión mediante la formación de múltiples dominios de transmisión . Dividir una red grande en segmentos independientes más pequeños reduce la cantidad de tráfico de transmisión que cada dispositivo de red y segmento de red debe soportar. Los conmutadores no pueden conectar el tráfico de red entre VLAN, ya que al hacerlo se violaría la integridad del dominio de transmisión de la VLAN.
Las VLAN también pueden ayudar a crear múltiples redes de capa 3 en una única infraestructura física. Las VLAN son estructuras de la capa de enlace de datos (capa 2 de OSI), análogas a las subredes del Protocolo de Internet (IP) , que son estructuras de la capa de red (capa 3 de OSI). En un entorno que emplea VLAN, a menudo existe una relación uno a uno entre las VLAN y las subredes IP, aunque es posible tener múltiples subredes en una VLAN.
Sin la capacidad de VLAN, los usuarios se asignan a redes según su geografía y están limitados por topologías físicas y distancias. Las VLAN pueden agrupar redes de manera lógica para desacoplar la ubicación de red de los usuarios de su ubicación física. Al usar VLAN, se pueden controlar los patrones de tráfico y reaccionar rápidamente a las reubicaciones de empleados o equipos. Las VLAN brindan la flexibilidad para adaptarse a los cambios en los requisitos de la red y permiten una administración simplificada. [3]
Las VLAN se pueden utilizar para dividir una red local en varios segmentos distintivos, por ejemplo: [4]
Una infraestructura común compartida entre los enlaces troncales de VLAN puede proporcionar una medida de seguridad con gran flexibilidad por un costo comparativamente bajo. Los esquemas de calidad de servicio pueden optimizar el tráfico en los enlaces troncales para requisitos de tiempo real (por ejemplo, VoIP ) o de baja latencia (por ejemplo, SAN ). Sin embargo, las VLAN como solución de seguridad deben implementarse con mucho cuidado, ya que pueden ser anuladas a menos que se implementen con cuidado. [5]
En la computación en la nube, las VLAN, las direcciones IP y las direcciones MAC en la nube son recursos que los usuarios finales pueden administrar. Para ayudar a mitigar los problemas de seguridad, puede ser preferible colocar máquinas virtuales basadas en la nube en VLAN en lugar de colocarlas directamente en Internet. [6]
Las tecnologías de red con capacidades VLAN incluyen: [ cita requerida ]
Después de realizar experimentos exitosos con voz sobre Ethernet entre 1981 y 1984, W. David Sincoskie se unió a Bellcore y comenzó a abordar el problema de escalar las redes Ethernet. Con 10 Mbit/s, Ethernet era más rápido que la mayoría de las alternativas en ese momento. Sin embargo, Ethernet era una red de transmisión y no había una buena manera de conectar varias redes Ethernet entre sí. Esto limitaba el ancho de banda total de una red Ethernet a 10 Mbit/s y la distancia máxima entre nodos a unos pocos cientos de pies.
En cambio, aunque la velocidad de la red telefónica existente para conexiones individuales estaba limitada a 56 kbit/s (menos de una centésima parte de la velocidad de Ethernet), el ancho de banda total de esa red se estimaba en 1 Tbit/s [ cita requerida ] (100.000 veces mayor que Ethernet).
Aunque era posible utilizar el enrutamiento IP para conectar varias redes Ethernet entre sí, era caro y relativamente lento. Sincoskie comenzó a buscar alternativas que requirieran menos procesamiento por paquete. En el proceso, reinventó de forma independiente el puente transparente , la técnica utilizada en los conmutadores Ethernet modernos . [7] Sin embargo, el uso de conmutadores para conectar varias redes Ethernet de forma tolerante a fallos requiere rutas redundantes a través de esa red, lo que a su vez requiere una configuración de árbol de expansión . Esto garantiza que solo haya una ruta activa desde cualquier nodo de origen a cualquier destino en la red. Esto hace que los conmutadores ubicados centralmente se conviertan en cuellos de botella, lo que limita la escalabilidad a medida que se interconectan más redes.
Para ayudar a aliviar este problema, Sincoskie inventó las VLAN añadiendo una etiqueta a cada trama Ethernet. Estas etiquetas podrían considerarse como colores, por ejemplo rojo, verde o azul. En este esquema, cada conmutador podría asignarse para manejar tramas de un solo color e ignorar el resto. Las redes podrían interconectarse con tres árboles de expansión, uno para cada color. Al enviar una mezcla de diferentes colores de trama, se podría mejorar el ancho de banda agregado. Sincoskie se refirió a esto como un puente multiárbol . Él y Chase Cotton crearon y refinaron los algoritmos necesarios para hacer que el sistema sea factible. [8] Este color es lo que ahora se conoce en la trama Ethernet como el encabezado IEEE 802.1Q o la etiqueta VLAN. Si bien las VLAN se utilizan comúnmente en las redes Ethernet modernas, no se utilizan de la manera que se imaginó aquí por primera vez. [ aclaración necesaria ]
En 1998, las VLAN Ethernet se describieron en la primera edición del estándar IEEE 802.1Q -1998. [9] Esto se amplió con IEEE 802.1ad para permitir etiquetas VLAN anidadas al servicio del puenteo de proveedores. Este mecanismo se mejoró con IEEE 802.1ah-2008 .
Los primeros diseñadores de redes solían segmentar las redes LAN físicas con el objetivo de reducir el tamaño del dominio de colisión de Ethernet , mejorando así el rendimiento. Cuando los conmutadores Ethernet hicieron que esto no fuera un problema (porque cada puerto del conmutador es un dominio de colisión), la atención se centró en reducir el tamaño del dominio de difusión de la capa de enlace de datos . Las VLAN se emplearon primero para separar varios dominios de difusión en un medio físico. Una VLAN también puede servir para restringir el acceso a los recursos de la red sin tener en cuenta la topología física de la red. [a]
Las VLAN funcionan en la capa de enlace de datos del modelo OSI . Los administradores suelen configurar una VLAN para que se asigne directamente a una red IP o subred, lo que da la apariencia de involucrar a la capa de red . Generalmente, a las VLAN dentro de la misma organización se les asignarán diferentes rangos de direcciones de red que no se superponen. Esto no es un requisito de las VLAN . No hay problema con que las VLAN independientes utilicen rangos de direcciones superpuestos idénticos (por ejemplo, dos VLAN utilizan cada una la red privada 192.168.0.0/16 ). Sin embargo, no es posible enrutar datos entre dos redes con direcciones superpuestas sin una reasignación de IP delicada , por lo que si el objetivo de las VLAN es la segmentación de una red organizacional general más grande, se deben utilizar direcciones que no se superpongan en cada VLAN independiente.
Un conmutador básico que no está configurado para VLAN tiene la funcionalidad de VLAN deshabilitada o habilitada permanentemente con una VLAN predeterminada que contiene todos los puertos del dispositivo como miembros. [3] La VLAN predeterminada generalmente usa el identificador de VLAN 1. Cada dispositivo conectado a uno de sus puertos puede enviar paquetes a cualquiera de los otros. Separar los puertos por grupos de VLAN separa su tráfico de manera muy similar a conectar cada grupo usando un conmutador distinto para cada grupo.
La gestión remota del conmutador requiere que las funciones administrativas estén asociadas con una o más de las VLAN configuradas.
En el contexto de las VLAN, el término trunk denota un enlace de red que transporta múltiples VLAN, que se identifican mediante etiquetas (o tags ) insertadas en sus paquetes. Dichos trunks deben funcionar entre puertos etiquetados de dispositivos compatibles con VLAN, por lo que a menudo son enlaces de conmutador a conmutador o de conmutador a enrutador en lugar de enlaces a hosts. (Tenga en cuenta que el término "trunk" también se utiliza para lo que Cisco llama "canales": agregación de enlaces o trunking de puertos ). Un enrutador (dispositivo de capa 3) sirve como columna vertebral para el tráfico de red que atraviesa diferentes VLAN. Solo cuando el grupo de puertos VLAN se va a extender a otro dispositivo se utiliza el etiquetado. Dado que las comunicaciones entre puertos en dos conmutadores diferentes viajan a través de los puertos de enlace ascendente de cada conmutador involucrado, cada VLAN que contenga dichos puertos también debe contener el puerto de enlace ascendente de cada conmutador involucrado, y el tráfico a través de estos puertos debe estar etiquetado.
Los conmutadores normalmente no tienen un método integrado para indicar las asociaciones de puertos de VLAN a alguien que trabaja en un armario de cableado . Es necesario que un técnico tenga acceso administrativo al dispositivo para ver su configuración o que se mantengan diagramas o gráficos de asignación de puertos de VLAN junto a los conmutadores en cada armario de cableado.
El protocolo que se utiliza con más frecuencia en la actualidad para dar soporte a las VLAN es el IEEE 802.1Q . El grupo de trabajo IEEE 802.1 definió este método de multiplexación de VLAN en un esfuerzo por proporcionar soporte para VLAN de múltiples proveedores. Antes de la introducción del estándar 802.1Q, existían varios protocolos propietarios , como Cisco Inter-Switch Link (ISL) y Virtual LAN Trunk (VLT) de 3Com . Cisco también implementó las VLAN sobre FDDI al transportar la información de la VLAN en un encabezado de trama IEEE 802.10 , en contra del propósito del estándar IEEE 802.10.
Tanto ISL como IEEE 802.1Q realizan un etiquetado explícito : la trama en sí se etiqueta con identificadores de VLAN. ISL utiliza un proceso de etiquetado externo que no modifica la trama Ethernet, mientras que 802.1Q utiliza un campo interno de la trama para el etiquetado y, por lo tanto, modifica la estructura básica de la trama Ethernet. Este etiquetado interno permite que IEEE 802.1Q funcione tanto en enlaces de acceso como troncales utilizando hardware Ethernet estándar.
Según el estándar IEEE 802.1Q, el número máximo de VLAN en una red Ethernet determinada es 4094 (4096 valores proporcionados por el campo VID de 12 bits menos los valores reservados en cada extremo del rango, 0 y 4095). Esto no impone el mismo límite en el número de subredes IP en una red de este tipo, ya que una sola VLAN puede contener varias subredes IP. IEEE 802.1ad amplía el número de VLAN compatibles al agregar compatibilidad con múltiples etiquetas VLAN anidadas. IEEE 802.1aq (Shortest Path Bridging) amplía el límite de VLAN a 16 millones. Ambas mejoras se han incorporado al estándar IEEE 802.1Q.
El enlace entre conmutadores (ISL) es un protocolo propietario de Cisco que se utiliza para interconectar conmutadores y mantener la información de VLAN a medida que el tráfico viaja entre conmutadores en enlaces troncales. ISL se ofrece como una alternativa a IEEE 802.1Q. ISL está disponible solo en algunos equipos Cisco y ha quedado obsoleto. [11]
El protocolo de enlace troncal de VLAN (VTP) es un protocolo exclusivo de Cisco que propaga la definición de VLAN en toda la red de área local. VTP está disponible en la mayoría de los productos de la familia Cisco Catalyst . El estándar IEEE comparable que utilizan otros fabricantes es el protocolo de registro de VLAN GARP (GVRP) o el más reciente protocolo de registro de VLAN múltiple (MVRP).
El protocolo de registro de VLAN múltiple es una aplicación del protocolo de registro múltiple que permite la configuración automática de la información de VLAN en los conmutadores de red. En concreto, proporciona un método para compartir de forma dinámica la información de VLAN y configurar las VLAN necesarias.
La membresía de VLAN se puede establecer de forma estática o dinámica.
Las VLAN estáticas también se conocen como VLAN basadas en puertos. Las asignaciones de VLAN estáticas se crean asignando puertos a una VLAN. Cuando un dispositivo ingresa a la red, automáticamente asume la VLAN del puerto. Si el usuario cambia de puerto y necesita acceder a la misma VLAN, el administrador de red debe realizar manualmente una asignación de puerto a VLAN para la nueva conexión.
Las VLAN dinámicas se crean mediante software o protocolo. Con un servidor de políticas de administración de VLAN (VMPS), un administrador puede asignar puertos de conmutador a VLAN de forma dinámica en función de información como la dirección MAC de origen del dispositivo conectado al puerto o el nombre de usuario utilizado para iniciar sesión en ese dispositivo. Cuando un dispositivo ingresa a la red, el conmutador consulta una base de datos para conocer la membresía de VLAN del puerto al que está conectado el dispositivo. Los métodos de protocolo incluyen el Protocolo de registro de VLAN múltiple (MVRP) y el Protocolo de registro de VLAN GARP (GVRP), que es algo obsoleto.
En un conmutador que admite VLAN basadas en protocolos, el tráfico se puede gestionar en función de su protocolo. Básicamente, esto separa o reenvía el tráfico desde un puerto según el protocolo particular de ese tráfico; el tráfico de cualquier otro protocolo no se reenvía en el puerto. Esto permite, por ejemplo, que la red separe automáticamente el tráfico IP e IPX.
La conexión cruzada de VLAN (CC o VLAN-XC) es un mecanismo utilizado para crear VLAN conmutadas. La VLAN CC utiliza tramas IEEE 802.1ad donde la etiqueta S se utiliza como etiqueta, como en MPLS . IEEE aprueba el uso de dicho mecanismo en la parte 6.11 de IEEE 802.1ad-2005 .