20
abril
2020

VLAN

VLAN: Virtual LAN

En la actualidad, una red física local o LAN (Local Area Network), está compuesta principalmente por computadoras y equipos de enlace (fundamentalmente switches y routers), capaces de establecer la comunicación entre los dispositivos.

En ocasiones, es necesaria la división o segmentación de la red local para facilitar su administración, y en este sentido, lo deseable es no tener que realizar grandes cambios en la infraestructura física de la red.

Una VLAN, acrónimo de virtual LAN o Red de Área Local Virtual, es una tecnología para crear redes lógicas independientes dentro de una misma red física. Son útiles para reducir el dominio de difusión de la información, y ayudan en la administración de la red, separando segmentos lógicos (las oficinas o departamentos de una organización, por ejemplo) que deberían estar relacionados solo entre ellos.

Una VLAN está formada por dos o más dispositivos, que se comportan como si estuviesen conectados al mismo conmutador, aunque se encuentren físicamente enlazados a diferentes switches de la misma red de área local.

Cada VLAN individual recibe su propio dominio de difusión (broadcast), de manera que si un dispositivo envía una difusión dentro de la VLAN, todos los demás participantes de ese segmento (y solo esos) reciben el mensaje. La difusión no se transmite más allá de los límites de la red virtual.

Empleo

En una red estándar de Capa 2 del Modelo de Referencia OSI, todos los dispositivos conectados a un switch son miembros del mismo dominio de difusión y varios dominios de difusión solo se pueden separar físicamente a través de routers.

A medida que las redes escalan (crecen), es necesario introducir múltiples dominios de difusión para segmentar el tráfico por motivos de rendimiento, seguridad o logística.

Sin el uso de las VLAN, cada segmento de la red en crecimiento, requeriría de su propia infraestructura, con uno o más routers que gestionen la comunicación entre cada segmento; por tanto, las VLAN permiten a los administradores de red subdividir una red física en dominios de difusión separados.

Las VLAN se identifican mediante un número entre 0 y 4095, con la VLAN 1 establecida como predeterminada en cualquier red. Además, cada puerto (interfaz de red en un switch), puede asignarse para ser miembro de una VLAN, y con ello recibir y enviar tráfico en esa VLAN.

En un conmutador (switch), el tráfico que se envía a una interfaz de red que es miembro de la VLAN 100, por ejemplo, puede reenviarse a cualquier otra miembro de esta propia VLAN, y también puede viajar a través de un puerto troncal (conexiones entre conmutadores) a otro switch, y reenviarse a todas las interfaces de la VLAN 100 en ese nuevo conmutador. Sin embargo, el tráfico no se reenviará a los puertos que están en una VLAN diferente.

Esto permite efectivamente a un administrador de red dividir lógicamente un conmutador, facilitando que varios dominios de difusión coexistan en el mismo hardware, pero manteniendo las ventajas del aislamiento, seguridad y rendimiento, tal como si se emplearan conmutadores completamente separados.

Como las VLAN son un proceso de Capa 2, se requiere del enrutamiento de Capa 3 para permitir la comunicación entre las VLAN; esto sucede del mismo modo que un router segmentaría y administraría el tráfico entre dos subredes de diferentes conmutadores.

Para implementar la VLAN, los conmutadores deben admitir esa tecnología, por lo que los dispositivos compatibles que la permiten a menudo se denominan conmutadores gestionables.

Tipos de VLAN

Las Redes de Área Local Virtuales se pueden clasificar fundamentalmente en:

  • VLAN por Puerto: se especifica cuáles puertos del switch pertenecen a la VLAN, cuyos miembros serán los dispositivos que se conecten a esos puertos. No permite la movilidad de los usuarios, y si esto ocurriera, habría que agregar a la VLAN el nuevo puerto de conexión.
  • VLAN por Dirección MAC: se asignan dispositivos a una VLAN en función de su dirección MAC. Tiene la ventaja de que no hay que reconfigurar el switch de conmutación si el usuario cambia su localización, es decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente es que hay que asignar los miembros uno a uno, y si existieran muchos terminales puede ser engorroso.
  • VLAN por Protocolo: queda determinada cada VLAN por el tipo de protocolo de la trama de datos. Por ejemplo, se asocian VLAN al protocolo IP, otra al IPX, entre otros.
  • VLAN por Aplicaciones: se crea una VLAN para cada aplicación: FTP, flujos multimedia, correo electrónico, entre otros. Además, la pertenencia a una VLAN puede basarse en una combinación de factores como puertos, direcciones MAC, subred, hora del día, forma de acceso, condiciones de seguridad del equipo, y otras características.

Asignación de la VLAN

Los dos enfoques más comunes para asignar la membresía a una VLAN son:

  • VLAN Estáticas: también conocidas como VLAN basadas en puertos. La pertenencia a ella se crea mediante la asignación de puertos (interfaz del switch) a una VLAN. Cuando un dispositivo se conecta a una red, o sea, a un puerto del switch, asume automáticamente la VLAN de dicho puerto. Si el usuario cambia de puerto, el administrador de red de forma manual debe hacer una asignación del nuevo puerto a la VLAN para la nueva conexión.
  • VLAN Dinámicas: se crean mediante el uso de software. Con un servidor de políticas VLAN (VMPS: VLAN Management Policy Server), un administrador puede asignar puertos de switch a las VLAN de forma dinámica basándose en información, como la dirección MAC de origen del dispositivo conectado al puerto, o el nombre de usuario utilizado para iniciar sesión en el dispositivo.

Ventajas de Implementación

  • Flexibilidad: en una organización, al cambiar de ubicación física un dispositivo conectado a la red, con una VLAN la configuración se realiza directamente en el switch de conmutación, y el administrador de la red dispone de la flexibilidad necesaria para asignar la nueva interfaz de conexión a la VLAN necesaria.
  • Seguridad: con una VLAN, el dominio de broadcast está limitado a determinadas estaciones, y de esta forma, la difusión solo llega a las personas a quienes se dirige la información. Es importante aclarar que la configuración de la VLAN no es una medida de seguridad suficiente. Si las redes virtuales y la red de área local en la que se basan las VLAN no están protegidas mediante ninguna medida de seguridad (como el cifrado, por ejemplo), es posible acceder a los flujos de datos.
  • Rendimiento: al reducir el dominio de broadcast, también se consigue un mejor rendimiento, de esta forma, los mensajes de difusión no tienen que atravesar toda la red. Con una VLAN, se minimiza la carga innecesaria del ancho de banda.
  • Orden: las VLAN conectan grupos lógicos de computadoras entre sí, lo que facilita la organización. En una red de empresa, por ejemplo, en ocasiones los usuarios pertenecen a un grupo lógico ejecutivo, pero sus puestos de trabajo no se encuentran en el mismo lugar físico, e incluso pueden llegar a encontrarse en diferentes habitaciones, pisos o edificios. Debido a que una VLAN puede agruparlos, se facilita el trabajo y su eficiencia.
  • Precio: en lugar de varias VLAN, es posible configurar varias LAN separadas que puedan estar conectadas entre sí mediante routers, de modo que la comunicación de una red a otra también sea posible; sin embargo, esto supondría realizar elevados gastos, en comparación con la implementación de las VLAN. Además, la instalación de redes paralelas lleva mucho tiempo para su ejecución.

Diferencias entre VLAN y VPN

Una VPN (Virtual Private Network) o Red Privada Virtual, proporciona un método seguro para conectarse a una red privada a través de una red pública no segura como Internet. Los datos que se envían a través de la red pública se cifran para mantener la seguridad, y solo se permite el acceso de los usuarios autenticados. A muy grosso modo, generalmente, se crea un túnel VPN entre un dispositivo externo a la red, y un equipo ubicado en el borde de la red local, que se encargará de encapsular (cifrar) y descifrar los paquetes de datos intercambiados.

Una VLAN, por su parte, ayuda a agrupar de forma lógica estaciones de trabajo de una misma red, que pueden tener ubicaciones físicas distintas, mientras que una VPN está relacionada con el acceso remoto a la red de una organización.

Una VLAN es básicamente un medio para separar lógicamente una red local, sin segregarla de forma física con varios routers; en cambio se utiliza una VPN para conectar dos puntos en un túnel seguro y encriptado, incluso, aunque no pertenezcan a la misma red.

Una VPN aporta seguridad a los datos intercambiados mientras están en tránsito, de manera que si son interceptados no puedan ser revelados. Una VLAN no implica ninguna técnica de cifrado, sino sólo se utiliza para dividir una red de forma lógica, fundamentalmente para fines de gestión y seguridad.

Las VLAN pueden entenderse como un conjunto de dispositivos que se comunican entre sí como si estuvieran conectados al mismo conmutador, incluso si no lo están, mientras que las VPN proporcionan un método seguro utilizando el cifrado de los datos para conectarse a una red privada desde ubicaciones remotas, generalmente a través de Internet.

De forma general, una VLAN puede entenderse además como un subgrupo de una VPN, puesto que estas últimas también permiten crear una subred más pequeña, utilizando los dispositivos de una red más grande subyacente.