Como funciona una VLAN

Como ya se menciono, las VLAN se pueden agrupar por función laboral o departamento, o creando diferentes grupos de usuarios que comparten la misma aplicación de red o software, sin importar la ubicación física de los usuarios, de esta manera el tráfico entre las VLAN está restringido. Cada dispositivo de usuario final, por ejemplo, una computadora portátil o PDA, puede tener asignado un numero de identificación (ID) VLAN (proceso que se abordara mas adelante), y los dispositivos que tengan el mismo ID VLAN operan como si todos estuvieran en la misma red física.

Las empresas con frecuencia usan las VLAN como una manera de garantizar que un conjunto determinado de usuarios se agrupen lógicamente más allá de su ubicación

física y así mejoran el desempeño general de la red. Las organizaciones usan las VLAN para agrupar usuarios en el mismo departamento. Por ejemplo, los usuarios del departamento de mercadotecnia se ubican en la VLAN de mercadotecnia, mientras que los usuarios del departamento de Ingeniería se ubican en la VLAN de Ingeniería.

Las VLAN que están correctamente diseñadas y configuradas son herramientas potentes para los administradores de red, pues simplifican las tareas cuando es necesario hacer agregados, mudanzas y modificaciones en una red. Así mismo, su creación mejora la seguridad de la red, teniendo mayor control sobre los usuarios. Sin embargo, cuando se les configura de manera incorrecta, las VLAN pueden hacer que una red funcione de manera deficiente o que no funcione en absoluto, por lo tanto, la configuración e implementación correcta de las VLAN es fundamental para el proceso de diseño de red.

La configuración o reconfiguración de las VLAN se logra mediante software incluido en el equipo, por lo tanto, la configuración de las VLAN no requiere que los equipos de red se trasladen o conecten físicamente.

Una estación de trabajo en un grupo de VLAN se limita a comunicarse con los servidores de archivos que se encuentran en la misma VLAN. Las VLAN segmentan de forma lógica la red en diferentes dominios de broadcast, de manera tal que los paquetes sólo se conmutan entre puertos y se asignan a la misma VLAN.

La tecnología de las VLAN´s se basa en el empleo de switches, de tal manera que esto permite un control mas inteligente del tráfico de la red, ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico, para que de esta manera la eficiencia de la red entera se incremente. Por otro lado, al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos, se logra el incremento del ancho de banda en dicho grupo de usuarios.

Los switches y bridges envían tráfico unicast, multicast y broadcast sólo a los segmentos de la VLAN a la que pertenece el tráfico, en otras palabras, los dispositivos en la VLAN sólo se comunican con los dispositivos que están en la misma VLAN. Los routers suministran conectividad entre diferentes VLAN.

Los switches no envían ningún tráfico entre VLAN, dado que esto viola la integridad del dominio de broadcast de las VLAN, mientras que el router envía las tramas entre las VLAN mediante enrutamiento de capa 3 del modelo OSI. La figura 5.2 muestra un ejemplo de tres dominios de broadcast por separado, uno por cada VLAN.

Figura 5.2 Dominios de broadcast separados, uno por cada VLAN

5.2.1 Asignación de VLAN y Decisiones de Envío

Si el switch esta configurado para operar en modo 802.1Q, significa que todas las tramas recibidas por el switch, deben pertenecer o ser asignadas a una VLAN, los puertos pueden ser configurados para recibir tramas que no tienen etiquetas VLAN por medio del Port VLAN ID (PVID), el cual dirige el trafico sin etiquetas a una VLAN asociada al PVID. El switch toma la decisión de envío de las tramas en base al tipo de trama (etiquetadas o sin etiquetar) y a la configuración de filtrado del switch el cual se describe a continuación.

Tramas no etiquetadas.

Suponga que una trama se recibe en el switch por el puerto 1, este determina que la trama no tiene una etiqueta VLAN, pero reconoce mediante el PVID que el puerto 1 es miembro de una VLAN A, entonces la clasificara como una trama de la VLAN A, de esta manera todas las tramas sin etiquetas de VLAN se les asocia a una VLAN.

Tramas etiquetadas

Suponga que una trama etiquetada se recibe por el puerto 4 y el switch determina que la trama pertenece a la VLAN C, la clasifica con esa VLAN si considerar su PVID, el hecho que la trama venga con una etiqueta VLAN significa que esa trama ya ha pasado por un switch el cual se encargo de ponerle la etiqueta, o proviene de una estación capaz de especificar que es miembro de una VLAN. Entonces un switch que recibe una trama etiquetada la clasifica en base a su etiqueta y no al PVID de su puerto.

Decisión de envío

Las decisiones de envío para transmitir una trama se determina de la siguiente manera:

¾ Tráfico de estaciones desconocidas: cuando una trama con una dirección

MAC destino no esta en la base de datos de envío (FDB), esta se manda a todos los puertos que se encuentran en la lista de envío de la VLAN con el formato de trama que se haya especificado (véase Broadcast, Multicast, y Unlearned Unicast, “Unicast Desconocido”).

¾ Tráfico de estaciones conocidas: si una trama recibida con una dirección MAC

destino se encuentra en la base de datos de envío de la VLAN, esta se envía únicamente por el puerto correspondiente con el formato de trama especificado (véase Learned Unicast “Unicast Conocido”).

Tramas de Broadcast, Multicast y Unlearned Unicast

Si una trama de broadcast, multicast o con una dirección desconocida es recibida por un switch que soporta 802.1Q, checa la clasificación de la trama, entonce las envía por los puertos que son identificados en la lista de envío de esa VLAN, por ejemplo si la trama se recibe por el puerto 2 como se muestra en la figura 5.3, la trama será enviada a todos los puertos que tiene como VLAN C en lista de VLAN del puerto.

Figura 5.3 puertos de un Switch asociados a una VLAN

Tramas de Learned Unicast

Cuando una trama con una dirección destino conocida se recibe en el switch, el switch la transmitirá dependiendo del PVID y sí el puerto al que se mandará la trama esta activado para transmitir a esa VLAN.

Cuando se recibe una trama, ésta se asocia a una VLAN, la dirección destino se busca en la base de datos asociada con esa VLAN, si la dirección es encontrada, entonces se manda por el puerto identificado en la base de datos, pero solo si ese puerto esta configurado para poder mandar tramas a esa VLAN. Si no se encuentra la dirección destino en la base de datos, se inunda con la trama los puertos que están configurados para poder transmitir a esa VLAN.