10. Virtual LANs

10.4. Otros métodos para crear VLANs

Además de las VLANs tradicionales basadas en puertos, existen varios métodos para crear o definir VLANs.
La diferencia entre ellos está en cómo se decide a qué VLAN pertenece un dispositivo o tráfico:
 
  1. Miembros por puertos.
  2. Miembros por MAC.
  3. Membresía basada en información de protocolo de capa 3.
  4. Membresía basada en subred IP.
  5. Membresía basada en autenticación (802.1X).
1- VLAN por puertos ( estandar)

Criterio: puerto físico del switch

Puerto 1 → VLAN 10
Puerto 2 → VLAN 20
 
✔️ Ventajas
  • Simple
  • Rápida
  • Muy usada (estándar)
❌ Desventajas
  • Si el usuario se mueve → hay que reconfigurar
Uso típico
  • Oficinas
  • Escuelas
  • Redes cableadas comunes
2- VLAN por dirección MAC

La VLAN se asigna según la MAC del dispositivo

¿Cómo funciona?El switch mantiene una tabla: MAC → VLAN
Ejemplo:  AA:BB:CC:DD:EE:FF → VLAN 10
Cuándo usarlo

✔️ Cuando los dispositivos:

  • se mueven físicamente ( Notebooks)
  • pero querés mantener su pertenencia lógica

  • Problemas
    Administración compleja
    Escala mal
    Requiere mantener base de datos 

 Hoy casi no se usa en redes grandes

3- VLAN por subred IP ( capa 3  8-) )

Se asigna VLAN según la IP del equipo. Ejemplo
192.168.1.X → VLAN 10
192.168.2.X → VLAN 20

Cuándo usarlo

✔️ Redes bien estructuradas por subred
✔️ Entornos donde IP define función

  • Problemas
    Requiere inspección de capa 3
  • Mayor carga en el switch
4 - VLAN por protocolo

Según el protocolo de red:

  • IPv4
  • IPv6
  • IPX (histórico, ya no se usa, es capa 3 de una pila de protocolos IPX/SPX de redes Novel) 

Uso

✔️ Casos específicos (muy poco común hoy)

5 VLAN por autenticación (802.1X)
IEEE 802.1X La VLAN se asigna cuando el usuario se autentica

¿Cómo funciona?

  1. El usuario se conecta.
  2. Se autentica (usuario/contraseña/certificado)
  3. El sistema decide:
    1. VLAN 10 → empleados
    2. VLAN 20 → invitados
Cuándo usarlo (MUY importante hoy)

✔️ Empresas con seguridad avanzada
✔️ Redes WiFi corporativas
✔️ Control de acceso dinámico

Ejemplo real
Mismo puerto físicosegún quién se conecta → VLAN distinta

Complejidad

  • Requiere servidor (RADIUS)
  • Configuración avanzada

RADIUS (Servicio de Autenticación Remota de Usuario) es un protocolo de red estándar que gestiona de forma centralizada la autenticación, autorización y contabilidad (AAA) de los usuarios que intentan acceder a una red informática.