Las LAN virtuales (VLAN) permiten a los administradores de red subdividir una red física en dominios de difusión lógica separados.
En una red estándar de Capa 2, todos los hosts conectados a un conmutador son miembros del mismo dominio de difusión; y los dominios de difusión solo se pueden separar físicamente a través de diferentes conmutadores mediante enrutadores.
A medida que las redes escalan, es necesario introducir múltiples dominios de difusión para segmentar el tráfico por motivos de rendimiento, seguridad o logística. Sin el uso de VLAN, esto normalmente requeriría que cada segmento de red tenga su propia infraestructura de conmutación separada, con uno o más enrutadores que gestionan la comunicación entre cada segmento de conmutador.
Una VLAN representa un dominio de difusión. Las VLAN se identifican mediante una identificación de VLAN (un número entre 0 y 4095), con la VLAN predeterminada en cualquier red que es VLAN 1. Cada puerto en un conmutador o enrutador se puede asignar para ser miembro de una VLAN (es decir, para permitir la recepción y el envío de tráfico en esa VLAN).
Por ejemplo: en un conmutador, el tráfico que se envía a un puerto que es miembro de la VLAN 100, puede reenviarse a cualquier otro puerto VLAN 100 en el conmutador, y también puede viajar a través de un puerto troncal (conexiones entre conmutadores) a otro conmutador y reenviado a todos los puertos de la VLAN 100 en ese conmutador. Sin embargo, el tráfico no se reenviará a los puertos que están en una ID de VLAN diferente.
Esto permite efectivamente a un administrador de red dividir lógicamente un conmutador, permitiendo que varios dominios de difusión coexistan en el mismo hardware, pero manteniendo las ventajas de aislamiento, seguridad y rendimiento del uso de conmutadores completamente separados.
Como las VLAN son un protocolo de Capa 2, se requiere el enrutamiento de Capa 3 para permitir la comunicación entre VLAN, del mismo modo que un enrutador segmentaría y administraría el tráfico entre dos subredes en diferentes conmutadores. Además, algunos switches Layer 3 admiten el enrutamiento entre VLAN, lo que permite el intercambio de tráfico en los switches principales, lo que aumenta el rendimiento al evitar el envío de tráfico a través del enrutador.
Para implementar VLAN, los enrutadores y conmutadores deben admitir VLAN. Aunque existen varios protocolos propietarios, el protocolo más utilizado para configurar VLAN es IEEE 802.1Q. Los conmutadores compatibles con VLAN a menudo se denominan conmutadores "administrados", pero es importante saber que esto puede ser un término de marketing mal utilizado y no garantiza el soporte de VLAN.
Todos los enrutadores, conmutadores y soluciones inalámbricas de Ubiquiti admiten el protocolo 802.1Q VLAN, y son interoperables con hardware de terceros que utilizan el mismo protocolo.
Escenarios típicos de uso
Algunos ejemplos de las VLAN generalmente utilizadas:
Para separar el tráfico de administración de red del tráfico del usuario final o del servidor.
Para aislar la infraestructura, los servicios y los hosts sensibles, como los usuarios corporativos de los usuarios invitados.
Para priorizar o implementar reglas de calidad de servicio (QoS) para servicios específicos, como teléfonos VoIP.
Para proporcionar servicios de red para diferentes clientes en un ISP, Datacenter u Office Building utilizando la misma infraestructura de conmutador y enrutador.
Para separar los grupos de hosts lógicamente, independientemente de la ubicación física, por ejemplo, permitiendo a los empleados de Recursos Humanos compartir la misma subred de red y acceder a los mismos recursos de red, independientemente de su ubicación dentro del edificio.
Diferentes etiquetados de VLAN:
La definición y el uso del término etiquetado de VLAN varía mucho según el proveedor de hardware que se utilice. Para que el hardware compatible 802.1Q identifique a qué VLAN pertenece un paquete de datos, se agrega un encabezado 802.1Q a la trama Ethernet que especifica la ID de la VLAN.
Esta etiqueta de identificación de VLAN puede ser agregada o eliminada por un host, un enrutador o un conmutador. Dentro de la red, los puertos físicos se configuran como no etiquetados o etiquetados para una VLAN específica, lo que determina si aceptar y reenviar el tráfico perteneciente a cada ID de VLAN. Echemos un vistazo más de cerca a cada uno.
Sin etiquetar (Untagged): una VLAN que no está etiquetada también a veces se denomina "VLAN nativa". Cualquier tráfico que se envíe desde un host a un puerto de conmutador que no tenga una ID de VLAN especificada se asignará a la VLAN sin etiquetar.
Esta opción generalmente se usa cuando se conectan hosts como estaciones de trabajo o dispositivos como cámaras IP que no etiquetan su propio tráfico, y solo necesitan comunicarse en una VLAN específica. Un puerto solo puede tener una VLAN sin etiquetar configurada a la vez.
Etiquetado (Tagged): la asignación de una VLAN etiquetada a un puerto agrega ese puerto a la VLAN, pero todo el tráfico de entrada y salida debe etiquetarse con la ID de VLAN para poder ser reenviado. El host conectado al puerto del conmutador debe ser capaz de etiquetar su propio tráfico y configurarse para hacerlo con la misma ID de VLAN.
Las VLAN etiquetadas (a diferencia de Untagged) en un puerto generalmente se utilizan cuando se conecta a un host que necesita acceso a varias redes a la vez utilizando la misma interfaz, como un servidor que proporciona servicios a más de un departamento en una oficina. También se puede utilizar cuando se conectan dos conmutadores, a fin de restringir el acceso a una VLAN a los hosts conectados a un conmutador de enlace descendente por razones de seguridad.
Troncal (Trunk): un puerto troncal generalmente se considera un miembro de todas las VLAN: aceptará y reenviará el tráfico en cualquier ID de VLAN y, por lo general, se configura para los puertos de enlace ascendente y enlace descendente entre conmutadores y enrutadores.
Aunque cada familia de productos de Ubiquiti (EdgeMAX, UniFi, airMAX) utiliza un enfoque diferente para configurar las VLAN, todos siguen el mismo método de gestión de tráfico Untagged, Tagged, Trunked y son interoperables.
Para obtener más información sobre la configuración de VLAN en un producto específico, consulte uno de los siguientes artículos relacionados en nuestra sección a continuación.