Una red de área local virtual (VLAN, Virtual LAN) es una red de área local (LAN) que agrupa un conjunto de equipos de manera lógica y no física. En una LAN la comunicación entre los diferentes equipos se rige por la arquitectura física. Las redes virtuales VLAN permiten liberarse de las limitaciones de la arquitectura física (limitaciones geográficas, de dirección, etc.), ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios, tales como direcciones MAC, direcciones IP, puertos o protocolo, entre otros.
Qué es una red de área local virtual (VLAN)
Una red de área local o VLAN (Virtual LAN, Virtual Local Area Network) es un sistema que permite la creación de redes lógicas independientes dentro de una misma red física. De este modo es posible contar con varias VLAN funcionando con un único conmutador físico.
La creación de VLAN resulta útil para la administración de la redes, separándola en segmentos más pequeños y evitando el cruce de datos entre equipos que no corresponda. Un ejemplo podría ser la red local de una empresa con varios departamentos, en ese caso podría resultar útil tener a cada departamento en una VLAN, lo que ayuda a reducir el tamaño del dominio de difusión, sin perder comunicación con el resto de la red.
En una VLAN los equipos conectados se comportan como si estuvieran enlazados por un mismo conmutador, aunque esto físicamente no sea así. Esto se logra a través de software y representa una gran ventaja, ya que puede trasladar un equipo a una ubicación diferente y mantenerlo en la VLAN, sin que se requiera cambiar la configuración IP.
Las VLAN ofrecen diversas ventajas, tales como mayor flexibilidad en la administración y en los cambios de la red, aumento de la seguridad y disminución en la transmisión de tráfico en la red. Las redes VLAN permiten a los administradores de red agrupar hosts incluso si los hosts no están en el mismo conmutador de red. Esto puede simplificar en gran medida el diseño y la implementación de la red, ya que la pertenencia a la VLAN puede configurarse a través de software. Sin VLAN, agrupar los hosts de acuerdo con sus necesidades de recursos requiere el trabajo de reubicar nodos o recablear enlaces de datos.
Las VLAN también tienen ventajas al permitir que las redes y los dispositivos se mantengan separados sin interactuar aunque compartan el mismo cableado físico, por razones de simplicidad, seguridad, administración del tráfico o economía. Una VLAN puede utilizarse para separar el tráfico entre tipos de usuario o entre tipos de tráfico, por ejemplo el tráfico correspondiente a los usuarios o a los administradores de red, o el tráfico de alta y baja prioridad, de tal modo que no puedan afectar directamente al resto del funcionamiento de la red.
Las VLAN trabajan a través de etiquetas dentro de los paquetes de red, recreando la apariencia y funcionalidad del tráfico de red que está físicamente en una sola red, pero actuando como si estuviera dividida en redes separadas. De esta forma, las VLAN pueden mantener las redes separadas a pesar de estar conectadas a la misma red física, sin necesidad de que se desplieguen múltiples conjuntos de dispositivos de cableado y de red. En este contexto, el término “virtual” se refiere a un objeto físico recreado y alterado por una lógica adicional.
Los enfoques más utilizados para asignar la pertenencia a VLAN son los siguientes:
- VLAN basadas en puertos (también se denominan VLAN de nivel 1): Las asignaciones de VLAN estáticas se crean asignando puertos a una VLAN. Cuando un dispositivo entra en la red, el dispositivo asume automáticamente la VLAN del puerto. Si el usuario cambia los puertos y necesita acceso a la misma VLAN, el administrador de red debe realizar manualmente una asignación de puerto a VLAN para la nueva conexión. En este tipo se especifica qué puertos del switch forman parte de la VLAN y sólo los que puedan conectarse a dichos puertos formarán parte de la VLAN. El traslado físico de un usuario no es admitido, ya que tendría que reconfigurarse el sistema.
- VLAN basadas en direcciones MAC (también se denominan VLAN de nivel 2): Los hosts se asignan a la VLAN en función de su dirección MAC, lo que permite al usuario trasladarse de ubicación física sin que se requiera una reconfiguración. Con un servidor de directivas de administración de VLAN (VMPS, VLAN Management Policy Server), el administrador puede asignar dinámicamente puertos de conmutador a VLAN basándose en información tal como la dirección MAC de origen del dispositivo conectado al puerto, el nombre de usuario utilizado para iniciar sesión en ese dispositivo o por el contenido del campo tipo de protocolo de la trama MAC. Cuando un dispositivo entra en la red, el conmutador consulta una base de datos para la pertenencia a VLAN del puerto al que está conectado el dispositivo. Para la configuración automática de información de VLAN se utiliza el método MVRP (Multiple VLAN Registration Protocol), que reemplazó al método GVRP (Generic Attribute Registration Protocol).
- VLAN basada en direcciones de subred (también se denominan VLAN de nivel 3): Se vinculan a la VLAN paquetes y no estaciones de trabajo. En este tipo de VLAN son los paquetes quienes pertenecen a la VLAN, no las estaciones de trabajo, una misma estación puede estar en varias VLAN de este tipo.
- VLAN de nivel superior: La pertenencia a una VLAN puede basarse en una combinación de factores tales como puertos, direcciones MAC, subred, hora del día, forma de acceso, condiciones de seguridad del equipo, aplicación, etc.