VLAN | ¿Qué es una Virtual Local Area Network?

La virtualización se implementa mediante soluciones de almacenamiento, potencia de cálculo, software y también con tecnología de red: la VLAN designa una red virtual puramente lógica en base a una red física real. ¿Cómo funciona una virtual LAN?

Hoy en día, una red física está basada principalmente en uno o más switches. Se trata de dispositivos que regulan el tráfico de datos entre los participantes. Todos los cables de red están conectados al switch y hacen posible la comunicación entre los diferentes ordenadores. Actualmente, los switches son capaces de conectar cientos de dispositivos que, a su vez, pueden comunicarse sin que apenas se produzcan problemas. No obstante, a veces resulta útil poder dividir redes tan grandes sin tener que realizar cambios en la instalación física.

Una red de área local virtual (Virtual Local Area Network o VLAN) es un segmento lógico más pequeño dentro de una gran red física cableada. Las diferentes estaciones se combinan en una solución de red independiente de su ubicación: siempre que estén conectadas entre sí en la misma LAN, es posible combinarlas mediante una VLAN. No supone ningún problema que la LAN abarque varios switches. Lo único importante es que el switch también sea compatible con la VLAN. La única manera de crear VLAN es utilizando switches gestionables (Managed Switches).

Una VLAN puede configurarse de varias maneras. Dependiendo del tipo de VLAN, encontraremos una tecnología diferente. En la práctica, se utilizan dos tipos de VLAN: las VLAN basadas en puertos y VLAN etiquetadas (en inglés, tagged VLAN). En muchos casos, los administradores de red realizan sus instalaciones y asignaciones utilizando un híbrido de estos dos tipos.

Grosso modo, se enruta a cada participante de la red en un switch a través de un puerto; hay una toma en la que se enchufa el cable de red que corresponde al ordenador pertinente (no obstante, los puertos también se utilizan para conectar los switches entre sí). Si quisieras crear dos VLAN a partir de esta red física, habría que asignar los puertos correspondientes a la red virtual deseada.

Aunque las instalaciones VLAN basadas en puertos suelen realizarse en redes pequeñas y solo se implementan en un switch, también es posible realizar la configuración en varios switches. Es decir, los puertos 1 a 3 del primer switch y el puerto 1 del segundo switch pueden conectarse juntos en una misma VLAN. Sin embargo, esto requiere conectar los switches con dos cables para que haya una conexión separada para cada VLAN.

Por lo tanto, la distribución de los paquetes se produce a través de los propios switches. Los administradores establecen en los switches qué puertos pertenecen a qué VLAN. De esta forma, la VLAN es estática. Si las VLAN tuvieran que combinarse de forma diferente, sería necesario redistribuir los puertos en la configuración del switch. Además, cada puerto y cada dispositivo conectado solo pueden formar parte de una única VLAN. Si los dispositivos de una VLAN van a comunicarse con otra es necesario que lo hagan a través de un router que pueda reenviar los datagramas, tal y como ocurre en el caso de la comunicación entre la red doméstica e Internet.

En las VLAN etiquetadas la asignación a las VLAN es más dinámica. En lugar de tener que establecerse en el switch, una etiqueta (tag) en el marco del datagrama se encarga de la asignación. Por esta razón, esta técnica también se denomina, en analogía a las redes basadas en puertos, como basada en marcos. En la etiqueta se encuentra la información sobre la VLAN en la que se encuentra actualmente. De esta manera, un switch puede reconocer en qué segmento se produce la comunicación y reenviar el mensaje en consecuencia.

Una etiqueta VLAN tiene una longitud de 32 bits y aparece en el marco Ethernet directamente después de la dirección MAC del remitente. La etiqueta comienza con un ID de protocolo de dos bytes: el ID de protocolo de etiqueta (TPI) indica si se ha especificado un ID de VLAN. Este bloque se establece en un valor de 0x8100 cuando la VLAN se coloca en el marco. Luego, un marco de 3 bits establece la prioridad del mensaje. A continuación, encontramos el Indicador de formato canónico (CFI) de 1 bit. Este posición solo se utiliza para garantizar la compatibilidad entre Ethernet y otra estructura de red, token ring.

Es en los últimos 12 bits donde el protocolo identifica el ID de la VLAN. La longitud del marco permite una cantidad de 4096 VLAN disponibles. A cada VLAN se le asigna su propio número. Las VLAN etiquetadas pueden implementarse directamente utilizando tarjetas de red. Por ejemplo, Linux soporta el estándar por defecto. Los usuarios de Windows, en cambio, dependen del fabricante de la tarjeta de red. La VLAN se puede configurar a través del controlador del dispositivo.

El principio del marco que acabamos de presentar sigue el estándar IEEE 802.1q. Esta es la variante más utilizada. De hecho, existen otras formas de incluir etiquetas VLAN en un datagrama. Por ejemplo, Cisco utiliza el protocolo Inter-Switch Link (ISL) para sus switches. Para habilitar varias VLAN, este protocolo encapsula toda la trama de datos.

La ventaja de una VLAN etiquetada en comparación con una VLAN que funcione a través de la asignación de puertos es la conexión entre diferentes switches. Las VLAN basadas en puertos deben disponer de al menos dos cables entre los switches, ya que cada LAN virtual necesita de su propia conexión. En las VLAN etiquetadas con enlaces troncales (trunking) un cable es suficiente porque la distribución funciona a través de la información del marco. El switch detecta la VLAN correcta y realiza el envío al segundo switch que corresponda. En el extremo de recepción, se quita la etiqueta y se reenvía la trama al destinatario correcto.

¿Por qué motivo alguien se tomaría la molestia de dividir una LAN más grande en varias VLAN más pequeñas?

Si llega un nuevo participante a una LAN, el dispositivo debe estar conectado a un switch por cable. Si un empleado de una empresa cambia de equipo y, por lo tanto, tiene que trabajar en una red diferente, tendría que cambiar de puesto de trabajo o cambiar el cableado. Con una VLAN, la configuración se realiza directamente en base a un software. El administrador dispone de la flexibilidad necesaria para asignar ese mismo ordenador a otra VLAN.

Si queremos evitar que personas no autorizadas accedan a datos confidenciales, es una buena idea limitar la red a un grupo pequeño. Con una VLAN, el dominio de broadcast está limitado a unas pocas estaciones. De esta forma, la difusión o broadcast no puede llegar a personas a las que no esté dirigida la información.

Al reducir el dominio de broadcast, también se consigue un mejor rendimiento. De esta forma, los mensajes de difusión no tienen que atravesar toda la red. Cuando los mensajes son del mismo tipo para todos los participantes, pero solo tienen que llegar a un determinado grupo de personas, generan un tráfico innecesario. Con una VLAN, se minimiza la carga innecesaria del ancho de banda.

Las VLAN conectan un grupo lógico de estaciones entre sí. En una red de empresa, por ejemplo, a veces los empleados pertenecen a un grupo lógico de este tipo, pero sus puestos de trabajo no se encuentran en el mismo lugar. Algunos de ellos están ubicados en diferentes habitaciones, pisos o incluso edificios. Para conectar a estas personas o a sus ordenadores a través de una LAN, habría que tirar de cables muy largos a través de las instalaciones. Debido a que en una VLAN pueden participar varios switches, el cableado es mucho más ordenado y eficiente.

En lugar de varias VLAN, teóricamente es posible configurar varias LAN que puedan estar conectadas entre sí mediante routers, de modo que la comunicación de una red a otra también sea posible. Sin embargo, esto supondría tener que realizar más compras y, por lo tanto, se traduciría en un gasto financiera adicional nada insignificante. Además, la instalación de redes paralelas lleva mucho tiempo.