Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.

1Q

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

Contenido
Qu son las VLANs? ..................................................................................................................... 2
VLAN versus LAN Tradicional ........................................................................................................ 2
Un ejemplo de red con VLANs y con LAN tradicional equivalentes .......................................... 3
Solucin con VLANs ................................................................................................................... 4
Beneficios de las VLAN .................................................................................................................. 4
Enlaces troncales ........................................................................................................................... 6
Etiquetado de trama 802.1Q..................................................................................................... 7
Ejemplos de configuracin en CISCO ............................................................................................ 8
Ejemplo 1: Red con VLANs sin enlaces troncales. ..................................................................... 8
Ejemplo 2: Red con VLANs con enlaces troncales................................................................... 10

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

Qu son las VLANs?

Una VLAN (Red de rea local virtual o LAN virtual) es una red de rea local que agrupa un
conjunto de equipos de manera lgica y no fsica.
Efectivamente, la comunicacin entre los diferentes equipos en una red de rea local est
regida por la arquitectura fsica. Gracias a las redes virtuales (VLAN), es posible liberarse de las
limitaciones de la arquitectura fsica (limitaciones geogrficas, limitaciones de direccin, etc.),
ya que se define una segmentacin lgica basada en el agrupamiento de equipos segn otros
criterios (tipo de usuarios, polticas de seguridad, rendimiento, etc).

VLAN versus LAN Tradicional

Supongamos el siguiente ejemplo de LAN Tradicional:

Se trata de un edificio en el que en el piso 5 se quedan los estudiantes y en el tercer piso los
docentes. Se ha creado una red para cada piso de forma que en cada piso se ubica un switch
que a su vez se conecta a un router central que da acceso al exterior.
Esta configuracin permite:

Seguridad:
o Colocar reglas de cortafuegos en el router que permita restringir el acceso a
Internet a alumnado y profesorado de forma diferente.
o Que docentes y alumnado estn en dominios de difusin que eviten los
problemas de seguridad estudiados en el captulo 9, como saturacin de
direcciones IP y suplantacin de identidad, entre otros.
Rendimiento:
o Al ser los dominios de difusin ms pequeos se reducen las tormentas de
broadcast.
o Se puede controlar el ancho de banda que cada red tiene disponible.

Sin embargo esta configuracin tiene las siguientes desventajas:

Localizacin fsica:

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

los equipos de un piso se conectan todos al switch del piso correspondiente. Si

en el futuro queremos que un docente se hospede en el piso del alumnado
(Por Ejemplo: como cuidador), entonces su ordenador estar en la red del
alumnado y por tanto se le aplicarn las mismas polticas de seguridad que a
los alumnos. La solucin tendra que pasar por tirar un nuevo cable al piso de
los docentes que unieran al equipo con la red delos docentes, con el coste que
ello supone.
Si ms adelante surge la necesidad de hospedar invitados (por ejemplo:
parientes de los alumnos, personal laboral del campus, etc.) a qu red los
conectaramos?

Las VLANs solucionan el problema anterior puesto que las VLANs constituyen LANs en las que
la LAN en la que se encuentre un ordenador no depende de su localizacin fsica. Veremos
durante esta U.T. como se logra.

Un ejemplo de red con VLANs y con LAN tradicional equivalentes

Un switch que permite VLANs es de forma simplificada un switch en el que cada puerto (boca)
se puede configurar para estar en una VLAN determinada.
Obsrvese los dos ejemplos de red que se muestran a continuacin:

Ambos ejemplos son funcionalmente equivalentes, es decir, dividen la red en dos dominios de
difusin.
La solucin con VLANs se consigue configurando las bocas 1, 2 y 3 del switch para que
pertenezcan a la VLAN 10. Por su parte las bocas 4, 5 y 6 del switch se configuran en la VLAN
20.
El switch slo reenviar tramas entre los puertos de la misma VLAN. De esta manera se
consigue que el switch funcione como dos switches totalmente separados. De hecho traza una
lnea vertical imaginaria en el switch que separe las bocas 1, 2 y 3 de las bocas 4, 5 y 6, y ah

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

lo tienes! Como podrs observar el resultado ser la red de la izquierda, es decir, la solucin
con LANs tradicional.
La gran ventaja de utilizar VLANs es que podemos colocar un ordenador en una VLAN
determinada simplemente cambiado la boca a la que se conecta dicho ordenador. De esta
manera se pueden configurar las redes independientemente de la localizacin fsica de los
ordenadores permitiendo de esta manera una gran flexibilidad y facilidad de administracin.

Solucin con VLANs

La solucin con VLANs para el problema del ejemplo del principio con estudiantes, docentes e
invitados se podra representar de la siguiente manera:

Las VLANs se logran, como hemos dicho ya, utilizando un tipo especial de switch en el que los
puertos (bocas) del mismo se pueden configurar para estar en una VLAN determinada. Por
ejemplo: los puertos F0/1 y F0/4 en los 3 switches se encuentran en la VLAN 10 (color verde).
Cada switch slo reenviar tramas a los puertos que estn configurados en la misma VLAN. De
esta manera, no habr comunicacin entre PCs de VLANs diferentes a no ser que el router
encamine los paquetes correspondientes.

Beneficios de las VLAN

Los principales beneficios de utilizar las VLAN son los siguientes:
Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo
las posibilidades de que ocurran violaciones de informacin confidencial. Las computadoras
del cuerpo docente se encuentran en la VLAN 10 y estn completamente separadas del trfico
de datos del invitado y de los estudiantes.
4

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

Reduccin de costos: el ahorro en el costo resulta de la poca necesidad de actualizaciones de

red caras y usos ms eficientes de enlaces y ancho de banda existente.
Mejor rendimiento: la divisin de las redes planas de Capa 2 en mltiples grupos lgicos de
trabajo (dominios de broadcast) reduce el trfico innecesario en la red y potencia el
rendimiento.
Mitigacin de la tormenta de broadcast: la divisin de una red en las VLAN reduce el nmero
de dispositivos que pueden participar en una tormenta de broadcast. Como se analiz en el
captulo "Configure un switch", la segmentacin de LAN impide que una tormenta de
broadcast se propague a toda la red. En la figura puede observar que, a pesar de que hay seis
computadoras en esta red, hay slo tres dominios de broadcast: Cuerpo docente, Estudiante e
Invitado.
Mayor eficiencia del personal de TI: las VLAN facilitan el manejo de la red debido a que los
usuarios con requerimientos similares de red comparten la misma VLAN. Cuando proporciona
un switch nuevo, todas las polticas y procedimientos que ya se configuraron para la VLAN
particular se implementan cuando se asignan los puertos. Tambin es fcil para el personal de
TI identificar la funcin de una VLAN proporcionndole un nombre. En la figura, para una
identificacin ms fcil se nombr "Estudiante" a la VLAN 20, la VLAN 10 se podra nombrar
"Cuerpo docente" y la VLAN 30 "Invitado".
Administracin de aplicacin o de proyectos ms simples: las VLAN agregan dispositivos de
red y usuarios para admitir los requerimientos geogrficos o comerciales. Tener funciones
separadas hace que gestionar un proyecto o trabajar con una aplicacin especializada sea ms
fcil, por ejemplo una plataforma de desarrollo de e-learning para el cuerpo docente. Tambin
es fcil determinar el alcance de los efectos de la actualizacin de los servicios de red.

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

Enlaces troncales
En nuestro ejemplo lo que ms salta a la vista es que hay muchos cables. Para eso est el
concepto de enlace de tronco. Un enlace de tronco lleva varias VLANs, es decir, se configura un
puerto de un switch para transportar por un cable las tramas de varias VLANs. Nuestro
ejemplo con enlaces de tronco quedara de la siguiente manera:

Los enlaces con lnea discontinua son enlaces de tronco, y el puerto F0/4 de S2, el puerto F0/4
de S3, y los puertos F0/1 y F0/2 de S1 son puertos de tronco.
Los puertos de tronco se configuran as para que retransmitan las tramas de varias VLANs
ahorrando de esta manera puertos(bocas) del switch.
Veamos dos ejemplos del recorrido de tramas y paquetes en esta red. Partimos de una
situacin en la que las Tablas MAC de los switches estn vacas, as como sus tablas ARP:
Ejemplo 1: Si el PC4 de la VLAN 10 (Estudiantes) que est conectado al switch S2 enva una
trama de difusin, entonces:
1.
2.
3.
4.
5.

Dicha trama llegar al switch S2.

El switch S2 reenviar la trama por su puerto de tronco F0/4.
La trama llegar al switch S1 por el puerto F0/1.
El switch S1 la reenviar al router por su puerto F0/3, y al switch S3 por el puerto F0/2.
El router recibir la trama por su puerto F0/1 y no reenviar dicha trama puesto que el
router no retransmite tramas de difusin.
6. El switch S3 recibir la trama por el puerto F0/4 y la reenviar por su puerto F0/1 y le
llegar al PC1
Ejemplo 2: Ahora veamos el ejemplo de un ping que va desde el PC4 al PC2.
6

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

1. El PC4 enva una trama de solicitud de ARP para la direccin MAC del gateway
predeterminado del Router. Concretamente, la trama llega al switch S2 que la reenva
a S1 por el puerto de tronco y a su vez S1 la reenva al Router. S1 tambin reenva
dicha trama por su puerto F0/2 y as llega a S3 que la reenva a los PCs de la VLAN 10
(en este caso al PC1), que descartan dicha trama.
2. El Router responde con una trama de respuesta ARP, que contiene la direccin MAC de
su interfaz.
3. Cuando el PC4 recibe la trama de respuesta ARP, ste construye la trama que contiene
el paquete con la peticin de echo ICMP. En dicha trama ir como MAC destino la de la
interfaz del Router.
4. La trama con la peticin de echo llega al router. ste realiza una nueva solicitud ARP
para averiguar la MAC de PC2. Esta trama de difusin llega a todos los PCs de la VLAN
20.
5. El PC2 responde con respuesta ARP.
6. El router puede construir la trama con destino la MAC de PC2 que contiene el paquete
con la peticin de echo.
7. El PC2 recibe la peticin de echo y responde con la respuesta de echo. En este caso no
hace falta que realice una nueva peticin ARP para averiguar la MAC del router puesto
que ya la sabe ya que acaba de recibir la peticin de echo.
8. La respuesta de echo le llega al router, que reenva el paquete al PC4. En este caso
tampoco hace falta hacer una peticin de ARP, puesto que el router ya sabe de antes
la MAC del PC4.
Por tanto, podemos decir que un enlace troncal es un enlace punto a punto entre dos
dispositivos de red que lleva ms de una VLAN. Un enlace troncal de VLAN le permite extender
las VLAN a travs de toda una red.

Etiquetado de trama 802.1Q

Recuerda que los switches son dispositivos de Capa 2. Slo utilizan la informacin del
encabezado de trama de Ethernet para enviar paquetes. El encabezado de trama no contiene
la informacin que indique a qu VLAN pertenece la trama. Posteriormente, cuando las tramas
de Ethernet se ubican en un enlace troncal, necesitan informacin adicional sobre las VLAN a
las que pertenecen. Esto se logra por medio de la utilizacin del encabezado de encapsulacin
802.1Q. Este encabezado agrega una etiqueta a la trama de Ethernet original y especifica la
VLAN a la que pertenece la trama.
Existen otros tipos de etiquetado de trama como el ISL (de CISCO) VLT (de 3COM). Sin
embargo el 802.1Q es el protocolo de etiquetado de tramas que domina el mundo de las
VLANs.

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

Ejemplos de configuracin en CISCO

A continuacin se muestra la configuracin en el IOS de CISCO de dos ejemplos de red con
VLANS, como ilustracin de su uso.

Ejemplo 1: Red con VLANs sin enlaces troncales.

Dado el siguiente esquema de red vamos a realizar la configuracin del switch y del Router.

La configuracin del switch se puede realizar de la siguiente manera:

Como se puede observar, simplemente se han configurado los puertos del switch en la vlan
correspondiente. El comando switchport Access vlan 10 configura el puerto correspondiente
en la vlan 10 en modo de acceso.
En cuanto a la configuracin del Router haremos lo siguiente:

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

En la configuracin del Router aparece resaltado en naranja la configuracin de las dos

interfaces del Router. Como se puede apreciar no hay nada de especial en esta configuracin,
es decir, no hay nada que indique que la interfaz f0/0 da acceso a una VLAN, puesto que el
router simplemente realiza el trabajo de enrutamiento entre las dos redes que conecta.
As mismo la tabla de encaminamiento del Router mostrar la siguiente informacin en la que
se resalta en naranja las dos subredes a las que est conectado el router:

En el fichero de configuracin running-config verificamos lo que se ha hecho:

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

Ejemplo 2: Red con VLANs con enlaces troncales.

Dado el siguiente esquema de red vamos a realizar la configuracin del switch y del Router.

La configuracin del switch se puede realizar de la siguiente manera:

En esta configuracin se da por hecho que partimos del ejemplo anterior en el que ya
habamos configurado las interfaces f0/11 y f0/6 del switch, y ahora simplemente modificamos
la configuracin de la interfaz f0/5 del switch de tal manera que ahora esta interfaz
10

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

constituyen un extremo de un enlace troncal. Para ello, obsrvese el comando switchport

mode trunk
En cuanto a la configuracin del router, sta se realiza con los siguientes comandos:

En esta ocasin se observa que ahora s que el router debe conocer que se trata de un enlace
troncal.
Cuando se configura una interfaz de un router con un enlace troncal hay que tener en cuenta
lo siguiente:

La interfaz tendr tantas subinterfaces como VLANs permita el enlace troncal.

Cada subinterfaz del router tendr su IP configurada en el rango de IPs de la red
correspondiente a la VLAN.
Hay que indicar en la subinterfaz a qu VLAN est conectada, y el protocolo de
etiquetamiento que usamos (en el caso del ejemplo es el 802.1q).
Todas las subinterfaces tendrn la misma direccin MAC, que ser la de la interfaz.

La tabla de encaminamiento en este ejemplo ser la siguiente:

11

Unidad de Trabajo n17: Creacin de redes virtuales. IEEE 802.1Q

Por ltimo el fichero de configuracin running-config se muestra a continuacin:

Con l se puede verificar toda la configuracin realizada en el router.

12