LAN virtual o VLAN

Una red de área local, o LAN, proporciona a los nodos conectados a ella acceso directo (Capa 2) el uno al otro. Por lo general, está compuesto por uno o más conmutadores Ethernet. Las computadoras en diferentes LAN se comunican entre sí utilizando Capa 3 (IP), a través de un enrutador.

Una LAN virtual (VLAN) abstrae la idea de la LAN; una VLAN puede comprender un subconjunto de los puertos en un único conmutador o subconjuntos de puertos en conmutadores múltiples. De manera predeterminada, los sistemas en una VLAN no ven el tráfico asociado con los sistemas en otras VLAN en la misma red.

Las VLAN permiten a los administradores de red particionar sus redes para que coincidan con los requisitos funcionales y de seguridad de sus sistemas sin tener que instalar cables nuevos o realizar cambios importantes en su infraestructura de red actual. IEEE 802.1Q es el estándar que define las VLANs; el identificador o etiqueta de la VLAN consta de 12 bits en la trama de Ethernet, creando un límite inherente de 4.096 VLAN en una LAN.

Los puertos en los switches se pueden asignar a una o más VLANs, permitiendo que los sistemas se dividan en grupos lógicos, por ejemplo, según el departamento al que están asociados, y las reglas que se establecerán sobre cómo los sistemas en los grupos separados pueden comunicarse juntos. Estos pueden ir desde lo simple y práctico (las computadoras en una VLAN pueden ver la impresora en esa VLAN, pero las computadoras fuera de esa VLAN no pueden), hasta las complejas y legales (por ejemplo, las computadoras en los departamentos comerciales no pueden interactuar con computadoras de los departamentos de banca minorista).

Además, las VLAN se pueden tunelizar a través de los límites de la Capa 3 (es decir, a través de un enlace de enrutador) para permitir que los sistemas geográficamente dispersos se comuniquen como si estuvieran físicamente en la misma LAN.