Las VLAN (Virtual Bridged Local Area Networks) son redes virtuales mediante las cuales una red física existente puede dividirse en varias redes lógicas. Las VLAN están aisladas entre sí y funcionan en la capa 2 del modelo de capas OSI. El principio de las VLAN se especifica en IEEE 802.1Q.
Cada VLAN forma su propio dominio de difusión. Si un ordenador o servidor envía una emisión dentro de la VLAN a la que está asignado, todos los demás participantes de la misma VLAN reciben el mensaje. Sin embargo, servidores externos que no comparten la VLAN no lo reciben.
Ventajas
Las VLAN ofrecen, entre otras, las siguientes ventajas:
- Las VLAN pueden mejorar significativamente la seguridad dentro de una red física. Aunque un atacante se aproveche de un punto de seguridad vulnerable, este no puede acceder a toda la red si está dividida en VLAN.
- Es posible que diferentes áreas de una misma empresa tengan sus propias redes. Esto permite, por ejemplo, un intercambio de datos más rápido y la distribución de diferentes programas entre los ordenadores o servidores.
- Los ordenadores o servidores en los que se almacenan datos confidenciales se pueden separar del resto mediante una VLAN.
- Las VLAN permiten además plasmar cambios más fácilmente.
Tipos de VLAN
Podemos distinguir principalmente los siguientes tipos de VLAN:
VLAN basadas en puertos
Las VLAN basadas en puertos dividen los modificadores físicos (también llamados switches) en múltiples modificadores lógicos. Los puertos individuales se asignan a un switch lógico o a una VLAN. Para ello es necesario que los modificadores se puedan configurar. Por regla general, sólo se puede acceder a la dirección IP del switch a través de los puertos asignados de forma permanente a esta VLAN. Los paquetes de datos no se marcan por separado para las VLAN basadas en puertos. Basándose en el número del puerto en el que recibe un paquete de datos, el modificador sabe a qué VLAN debe asignar el paquete de datos.
Los switches son elementos de acoplamiento que interconectan varios hosts en una red. Estos garantizan que los paquetes de datos se reenvíen al puerto especificado para una dirección de destino.
Si un dispositivo (por ejemplo, un ordenador o un servidor) está conectado a un puerto de un modificador lógico, sólo puede comunicarse con dispositivos dentro del conmutador lógico o de la VLAN. Se necesita un router para enviar paquetes de datos a otra VLAN.
VLAN etiquetadas
Las VLAN etiquetadas no tienen una asignación fija entre la red virtual y un puerto. La asignación se realiza marcando los paquetes de datos. Los paquetes de datos están provistos de etiquetas en las que se almacena el ID de la VLAN. Este proceso se denomina VLAN trunking. Según IEEE 802.1Q, esto se realiza mediante el dispositivo final correspondiente (por ejemplo, un servidor habilitado para etiquetado) o mediante un switch. Mediante el ID de VLAN, un modificador puede reconocer a qué VLAN pertenece el paquete de datos. De este modo, el enlace VLAN permite utilizar varias VLAN a través de un único puerto de conmutación. Así se pueden utilizar una o varias líneas concatenadas.
Las VLAN etiquetadas también se pueden implementar directamente a través de tarjetas de red. Linux es compatible con el estándar 802.1Q y tiene todos los componentes necesarios. En Microsoft Windows, la funcionalidad de las VLAN etiquetadas debe estar soportada por el controlador de la tarjeta de red.