Las VLAN son un tema en el que básicamente no te puedes permitir cometer errores al configurarlas. Por lo tanto, es muy importante entender cómo funcionan las VLAN a nivel fundamental. Este artículo puede que no profundice en los fundamentos básicos de las VLAN, pero te dará una buena visión de qué son las VLAN, cómo funcionan y cómo configurarlas.
1. ¿Qué es una VLAN?
VLAN significa Red de Área Local Virtual y es, en términos simples, una forma muy común de separar redes en switches. Usualmente, si quisieras separar redes, tendrías que construir físicamente diferentes segmentos de red (es decir, una red completa para empleados, otra para invitados, etc.) y ejecutarlas en paralelo. A través de las VLAN, puedes usar la misma infraestructura de red para transportar múltiples redes al mismo tiempo. Esto permite la creación de redes virtuales sobre los dispositivos físicos de red reales.
Para ponerlo en una analogía: mientras que las subredes son una forma de separar redes dentro de routers o dispositivos llamados "de Capa 3", básicamente dispositivos basados en IP, las VLAN hacen algo muy similar en dispositivos de Capa 2 en redes basadas en MAC.
Las reglas y estándares para la implementación de VLAN están clasificadas por la organización IEEE dentro del estándar IEEE 802.1q.
2. Entonces, ¿cómo funciona realmente una VLAN?
Una VLAN, simplificada en exceso, funciona mediante etiquetas. Una etiqueta consiste en algunos bytes adicionales adjuntos a cualquier trama de datos, que incluyen información como la membresía en la VLAN:
La parte más importante, y en la que nos centraremos principalmente, es el VID, el ID de la VLAN. Este número de 1 a 4096 es simplemente un marcador que indica "a qué VLAN pertenece la trama".
El etiquetado es una forma muy eficiente de controlar a qué VLAN pertenece cada trama.
Para entender cómo funcionan las VLAN en la práctica, imagina crear un carril de tráfico de datos cuando configuras una VLAN dentro de un switch. Cada carril está separado, corre en paralelo y está conectado a diferentes puertos asignados a ese carril. La "asignación al carril" es nuestra membresía VLAN. Cómo configurarlo se describe en muchos artículos diferentes enlazados al final de este artículo. Pero aquí tienes una representación gráfica:
Puedes ver los carriles que atraviesan los switches y luego van a cualquier puerto del switch que tenga asignada la membresía respectiva. Así que una vez que una trama ha entrado al switch en una VLAN específica, puede comunicarse con cualquier puerto que tenga membresía en dicha VLAN. Pero, ¿cómo se asigna una trama a VLAN10, 20 o 30?
3. Tráfico de entrada en VLANs
La definición de a qué VLAN se asigna una trama entrante depende de si la trama entrante ya tiene una etiqueta VLAN asignada por su dispositivo fuente. Si hay una etiqueta VLAN asignada a la trama, se lee el contenido del VID. Si el VID coincide en número con la membresía etiquetada de un puerto del switch, se le permitirá "entrar al carril". Pero lo que es mucho más interesante es saber qué sucede con tramas Ethernet completamente sin etiquetar. Aquí entra en juego el llamado PVID (ID de VLAN basado en puerto). El PVID es responsable de elegir el carril correcto para colocar las tramas que son entrantes y sin etiquetar: el PVID solo se aplica a tramas que cumplen estos dos criterios. Un puerto asignado con un PVID de 1 asignará el tráfico entrante sin etiqueta a la VLAN1 para empujar el tráfico "al carril #1".
Por defecto, todos los puertos de dispositivos de red y switches están configurados con un PVID1 y una (membresía sin etiqueta en VLAN1). Esto significa que por defecto, si conectas una computadora a un switch sin ninguna configuración realizada por ti, que a su vez va a un gateway, entonces debido a la preposición del PVID1 y la membresía sin etiqueta en VLAN1, los dispositivos pueden comunicarse inmediatamente entre sí, ya que la preposición los colocó dentro de la misma red.
Veamos otra vez otra visualización:
Esto puede parecer a primera vista más caótico de lo que es: básicamente, ambos puertos conectados a la PC y al gateway comparten la membresía VLAN predeterminada de VLAN1 (membresía sin etiqueta -> se explicará en un momento) y PVID1.
Si la PC envía tráfico al gateway, el PVID1 del puerto inferior del switch asignará el tráfico al "carril" para VLAN1, permitiendo la comunicación con el puerto superior del switch ya que la membresía en VLAN1 está dada. En comparación con una membresía etiquetada, la membresía sin etiqueta decide si la VLAN se envía con una etiqueta, marcada con VID=1 (miembro etiquetado) o sin ninguna etiqueta VLAN (miembro sin etiqueta). En este caso, como el puerto superior está sin etiqueta, no se añadirá ninguna etiqueta. El gateway entonces puede responder a este paquete entrante y enviarlo de vuelta, también sin etiqueta, ya que el gateway aún no tiene configurada la conciencia VLAN. Nuevamente, el PVID1, esta vez en el puerto superior del switch, asignará la trama al "carril VLAN1", permitiendo nuevamente la comunicación, ahora hacia el puerto inferior del switch debido a la membresía VLAN compartida. Nuevamente, no se añadirá ninguna etiqueta debido a la membresía sin etiqueta, haciendo que la trama sea aceptable para la PC, que no puede leer ninguna información de etiqueta VLAN. Por este proceso, se establece la comunicación entre el gateway y el dispositivo cliente.
4. Reflexiones finales y enlaces útiles
Entender este principio básico de las VLAN es un paso crucial para tomar las decisiones correctas al configurar VLAN. Por supuesto, solo hemos arañado la superficie de este tema, pero esperamos que esto te dé un buen punto de partida para realmente entender las VLAN y conocer la diferencia entre PVID y membresías VLAN.
A continuación, puedes encontrar algunos artículos relacionados con la configuración de VLAN en una gran variedad de equipos de nuestro portafolio:
VLANs - VLANs etiquetadas vs PVID (Ejemplo de configuración VLAN sin etiqueta/etiquetada)
Cómo configurar VLAN en un dispositivo USG
Comentarios
0 comentariosInicie sesión para dejar un comentario.