VLANs en Redes Empresariales: Gestión, Tipos y Rangos Extendidos

By /

Las Redes de Área Local Virtuales (VLANs) representan una segmentación lógica de una red de Capa 2, permitiendo agrupar dispositivos para la comunicación sin importar su ubicación física. Esta tecnología es fundamental para la organización, seguridad y eficiencia de las redes modernas, especialmente en entornos empresariales y de proveedores de servicios. El protocolo VTP (VLAN Trunking Protocol) juega un papel crucial en la administración centralizada de las VLANs dentro de un dominio VTP, simplificando la creación, modificación y eliminación de estas redes virtuales. Sin embargo, es importante comprender las diferencias entre los tipos de VLANs, sus rangos y cómo VTP interactúa con ellos, particularmente con las VLANs de rango extendido.

Diagrama de una red con múltiples switches interconectados y VLANs definidas

El Protocolo VLAN Trunking Protocol (VTP)

VTP es un protocolo de Capa 2 desarrollado por Cisco para simplificar y centralizar la administración de VLANs en un dominio de red. Permite que los cambios en la configuración de VLANs (creación, eliminación, modificación de nombres) se propaguen automáticamente a todos los switches dentro del mismo dominio VTP, reduciendo la carga administrativa y minimizando los errores de configuración.

Modos de Operación de VTP

VTP opera en tres modos distintos: Servidor, Cliente y Transparente.

  • Modo Servidor: Este es el modo predeterminado en los switches Cisco. En este modo, un administrador puede crear, eliminar y modificar VLANs. Los servidores VTP anuncian su configuración de VLAN a otros switches en el mismo dominio VTP y sincronizan su configuración con la de otros servidores basándose en los mensajes VTP recibidos a través de enlaces troncales. Para que la red funcione correctamente, debe haber al menos un servidor VTP.

  • Modo Cliente: Los clientes VTP no pueden crear, eliminar ni modificar VLANs de forma local. Su función principal es sincronizar la información de VLAN basándose en los mensajes VTP recibidos de los servidores en el mismo dominio. Un cliente VTP guarda la información de la VLAN para el dominio completo mientras el switch está activo.

  • Modo Transparente: Los dispositivos que operan en modo transparente no participan activamente en el protocolo VTP. No aplican las configuraciones VLAN que reciben de otros dispositivos, ni envían sus propias configuraciones a otros switches. Sin embargo, los dispositivos que utilizan la versión 2 del protocolo VTP pueden reenviar la información VTP que reciben a otros dispositivos conectados, con una frecuencia de aproximadamente cada 5 minutos. Las VLAN se pueden crear, modificar o eliminar localmente en un switch en modo transparente, y estas configuraciones se almacenan tanto en la configuración en ejecución como en el archivo vlan.dat en la memoria flash.

Dominio VTP y Número de Revisión

Para que los switches puedan compartir información sobre VLANs, deben pertenecer al mismo dominio VTP. La consistencia de la configuración VTP en una red se controla mediante un número de revisión. Cada mensaje VTP contiene un número de revisión. Si el número de revisión de una actualización recibida por un switch (en modo cliente o servidor) es mayor que el número de revisión actual, la nueva configuración se aplicará. De lo contrario, los cambios recibidos se ignoran.

Cuando se añaden nuevos dispositivos a un dominio VTP, es fundamental asegurarse de que sus números de revisión sean inferiores a los de la red existente para evitar conflictos. Si un nuevo switch tiene un número de revisión más alto, se recomienda eliminar el nombre del dominio VTP del switch que se agrega y luego volver a configurarlo.

Seguridad en VTP

VTP puede operar sin autenticación, lo que lo hace vulnerable a ataques donde un atacante podría falsificar paquetes VTP para añadir, modificar o eliminar información de VLANs. Para mitigar este riesgo, se recomienda encarecidamente establecer una contraseña para el dominio VTP y utilizarla junto con la función hash MD5 para autenticar los paquetes VTP.

Encapsulación de Paquetes VTP

Los paquetes VTP se pueden enviar tanto en tramas Inter-Switch Link (ISL) como en tramas IEEE 802.1Q (dot1q). En el caso de los paquetes VTP encapsulados en dot1q, la cabecera ISL y el CRC son sustituidos por etiquetas dot1q.

Rangos de VLAN: Normal vs. Extendido

La administración de VLANs se divide en dos rangos principales: rango normal y rango extendido.

VLANs de Rango Normal

  • Identificación: Se identifican mediante un ID de VLAN entre 1 y 1005.
  • Uso: Comúnmente utilizadas en redes de pequeñas y medianas empresas.
  • IDs Reservadas: Las IDs de VLAN 1002 a 1005 están reservadas para las VLANs de Token Ring y FDDI.
  • Creación Automática: Las IDs 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar.
  • Almacenamiento de Configuración: Las configuraciones de VLANs de rango normal se almacenan en un archivo de base de datos de VLAN llamado vlan.dat, que se guarda en la memoria flash del switch. Este archivo es persistente y no se pierde tras un reinicio.
  • Soporte VTP: VTP soporta la sincronización de configuraciones de VLANs de rango normal entre switches.

Tabla comparativa: Rangos de VLAN Normal y Extendido

VLANs de Rango Extendido

  • Identificación: Se identifican mediante un ID de VLAN entre 1006 y 4094.
  • Uso: Principalmente utilizadas por proveedores de servicios para dar servicio a múltiples clientes y por grandes empresas globales que requieren un mayor número de identificadores de VLAN.
  • Almacenamiento de Configuración: Las configuraciones de VLANs de rango extendido se guardan en el archivo de configuración en ejecución del switch.
  • Características Limitadas: Generalmente admiten menos características que las VLANs de rango normal.
  • Soporte VTP: VTP, en sus versiones estándar, no soporta VLANs de rango extendido. Para que un switch en un dominio VTP pueda gestionar VLANs de rango extendido, debe estar configurado en modo VTP Transparente. Las configuraciones de VLAN de rango extendido no se sincronizan a través de VTP.

Nota Importante: La cantidad máxima de VLANs disponibles en los switches Catalyst es 4096, ya que el campo de ID de VLAN en el encabezado IEEE 802.1Q tiene 12 bits.

Configuración y Verificación de VLANs

La configuración de VLANs en los switches Cisco Catalyst implica una serie de comandos específicos.

Creación de VLANs

Para crear una VLAN, se deben seguir los siguientes pasos:

  1. Ingresar al modo de configuración global:Switch# configure terminal
  2. Crear la VLAN especificando su ID:Switch(config)# vlan vlan-idPor ejemplo, para crear la VLAN 20:Switch(config)# vlan 20
  3. Asignar un nombre a la VLAN (recomendado):Switch(config-vlan)# name vlan-namePor ejemplo, para nombrar la VLAN 20 como "Administración":Switch(config-vlan)# name Administracion
  4. Salir del modo de configuración de VLAN:Switch(config-vlan)# exit

Se pueden crear múltiples VLANs o un rango de VLANs con un solo comando, separando los IDs por comas o utilizando guiones para rangos: vlan 10,20,30 o vlan 100-107.

Asignación de Puertos a VLANs

Una vez creadas las VLANs, los puertos del switch deben ser asignados a ellas.

  1. Ingresar al modo de configuración de interfaz:Switch(config)# interface interface-idPor ejemplo, para configurar la interfaz FastEthernet 0/1:Switch(config)# interface f0/1
  2. Establecer el puerto en modo de acceso: Este comando configura la interfaz para que opere en modo de acceso permanente, lo cual es una buena práctica de seguridad.Switch(config-if)# switchport mode access
  3. Asignar el puerto a una VLAN específica:Switch(config-if)# switchport access vlan vlan-idPor ejemplo, para asignar la interfaz f0/1 a la VLAN 20:Switch(config-if)# switchport access vlan 20
  4. Activar la interfaz (si es necesario):Switch(config-if)# no shutdown
  5. Salir del modo de configuración de interfaz:Switch(config-if)# end

Es importante recordar que la configuración de VLAN se realiza en el puerto del switch, no en el dispositivo final conectado.

VLANs de Voz y Datos

Un puerto de acceso puede pertenecer a una única VLAN de datos. Sin embargo, para dispositivos como teléfonos IP que manejan tanto tráfico de voz como de datos, un puerto puede asociarse a dos VLANs: una para voz y otra para datos.

Para asignar una VLAN de voz a un puerto, se utiliza el comando:

Switch(config-if)# switchport voice vlan vlan-id

Las redes que soportan tráfico de voz generalmente habilitan la Calidad de Servicio (QoS) para priorizar este tipo de tráfico.

VLANs Predeterminadas y Nativas

Es crucial distinguir entre la VLAN predeterminada y la VLAN nativa, ya que su configuración incorrecta puede generar problemas de conectividad y seguridad.

VLAN Predeterminada

  • Definición: La VLAN predeterminada es la VLAN a la que pertenecen todos los puertos de un switch por defecto hasta que se configuren de otra manera. En los switches Cisco, la VLAN predeterminada es siempre la VLAN 1.
  • Características: La VLAN 1 no se puede eliminar ni renombrar. Todos los puertos del switch pertenecen a la VLAN 1 por defecto, lo que permite la comunicación entre switches recién conectados sin configuración adicional. Las VLANs 1002-1005 también son VLANs predeterminadas reservadas para tecnologías antiguas.
  • Comando show vlan brief: Este comando muestra la asignación de puertos a las VLANs, indicando claramente la VLAN predeterminada.

VLAN Nativa

  • Definición: La VLAN nativa se utiliza en enlaces troncales (trunks). Es la VLAN para la cual el tráfico se envía sin etiquetar a través del enlace troncal. En los enlaces troncales 802.1Q, el tráfico que pertenece a la VLAN nativa no lleva una etiqueta VLAN en su trama.
  • VLAN Nativa Predeterminada: Por defecto, la VLAN nativa en un puerto troncal es la VLAN 1.
  • Importancia de la Coincidencia: Es fundamental que la VLAN nativa esté configurada de manera idéntica en ambos extremos de un enlace troncal. Si las VLANs nativas no coinciden, el tráfico sin etiquetar enviado desde un extremo será interpretado por el otro extremo como perteneciente a su propia VLAN nativa, lo que puede llevar a la mezcla de tráfico de diferentes VLANs y a problemas de seguridad.
  • Configuración: La VLAN nativa se configura utilizando el comando:Switch(config-if)# switchport trunk native vlan vlan-idPor ejemplo, para configurar la VLAN 20 como nativa en un enlace troncal:Switch(config-if)# switchport trunk native vlan 20Se recomienda utilizar una VLAN distinta a la VLAN 1 como VLAN nativa para evitar confusiones y posibles problemas de seguridad.

Diagrama comparativo: VLAN Predeterminada vs. VLAN Nativa en un enlace troncal

Puertos de Acceso y Troncales

Los puertos de los switches pueden configurarse de dos maneras principales: como puertos de acceso o como puertos troncales.

Puertos de Acceso

  • Función: Conectan dispositivos finales como computadoras, impresoras o teléfonos IP.
  • Asignación de VLAN: Un puerto de acceso pertenece a una única VLAN. Todo el tráfico que entra o sale de este puerto se considera parte de esa VLAN.
  • Configuración: Se configuran con switchport mode access y switchport access vlan vlan-id.

Puertos Troncales (Trunk Ports)

  • Función: Interconectan switches entre sí o conectan un switch a un router. Permiten que el tráfico de múltiples VLANs atraviese el mismo enlace físico.
  • Etiquetado de Tráfico: Para identificar a qué VLAN pertenece cada trama de tráfico que pasa por el troncal, se utilizan protocolos de etiquetado como IEEE 802.1Q. Cada trama lleva una etiqueta VLAN que incluye el ID de la VLAN de origen.
  • VLAN Nativa: Como se mencionó, el tráfico de la VLAN nativa se envía sin etiquetar a través del troncal.
  • Configuración: La configuración de un puerto troncal implica:
    • Establecer el modo troncal: switchport mode trunk.
    • Configurar la encapsulación troncal (802.1Q o ISL): switchport trunk encapsulation dot1q (recomendado).
    • Configurar la VLAN nativa: switchport trunk native vlan vlan-id.
    • Especificar las VLANs permitidas en el troncal: switchport trunk allowed vlan [add | remove | all | except vlan-list].

Configuración y verificación de enlaces troncales 802.1Q en Cisco IOS

Verificación y Solución de Problemas de VLANs

Una vez configuradas las VLANs, es esencial verificarlas y estar preparado para solucionar problemas.

Comandos de Verificación

  • show vlan brief: Muestra una lista concisa de todas las VLANs configuradas, su nombre, estado y los puertos asignados.
  • show vlan id vlan-id: Muestra información detallada sobre una VLAN específica.
  • show interfaces interface-id switchport: Proporciona información completa sobre el estado de un puerto de switch, incluyendo su modo (acceso o troncal), la VLAN asignada (si es de acceso), la VLAN nativa (si es troncal) y las VLANs permitidas.
  • show interfaces interface-id trunk: Muestra información sobre el estado de los enlaces troncales, incluyendo las VLANs permitidas y la VLAN nativa.

Eliminación de VLANs

Para eliminar una VLAN:

  1. Ingresar al modo de configuración global:Switch# configure terminal
  2. Eliminar la VLAN:Switch(config)# no vlan vlan-idPor ejemplo, para eliminar la VLAN 20:Switch(config)# no vlan 20Precaución: Antes de eliminar una VLAN, todos los puertos miembros deben ser reasignados a otra VLAN activa. De lo contrario, esos puertos quedarán sin comunicación hasta que se les asigne una VLAN válida.

Para restaurar un switch a su configuración de fábrica en cuanto a VLANs, se puede eliminar el archivo vlan.dat de la memoria flash:

Switch# delete flash:vlan.dat

Después de reiniciar el switch, las VLANs previamente configuradas ya no estarán presentes.

Consideraciones Adicionales

Reducción de Costos y Mitigación de Tormentas de Broadcast

Las VLANs contribuyen a la reducción de costos al permitir una mayor utilización del hardware de red existente. Al segmentar la red, también mitigan el tamaño de los dominios de broadcast, lo que mejora el rendimiento general y reduce el tráfico innecesario.

Packet Tracer

Herramientas como Cisco Packet Tracer son invaluables para practicar la configuración de VLANs, enlaces troncales y VTP en un entorno simulado antes de implementarlas en una red real. Permiten experimentar con diferentes escenarios y verificar la comprensión de los conceptos.

La correcta implementación y gestión de las VLANs, junto con la comprensión de protocolos como VTP y las diferencias entre los rangos de VLAN, son esenciales para construir redes robustas, seguras y eficientes.

tags: #donde #se #almacena #la #informacion #de

Publicaciones populares:

  • La era de las conexiones ADSL
  • Jefe de UTP: clave para la mejora educativa
  • Arduino a Larga Distancia RS-485
  • Configuración de VLANs en Switches Cisco
  • Explore High Definition with HDMI Input Reader