VLANS PRIVADASLas VLAN tradicionales permiten a los diseadores de redes crear topologas ms seguras y adaptables limitando el tamao de los dominios de broadcast (difusin) y as facilitar las tareas de administracin, operacin y seguridad. Dentro del clsico modelo jerrquico de tres capas la aplicacin de VLANs resulta vital para un buen funcionamiento y optimizacin del trfico de red desde los extremos (no confundir con "bordes") donde se ubican los clientes hacia el core principal y las dems instalaciones. Existen, sin embargo, situaciones donde la creacin de mltiples VLANs pueden ser ms un problema que una real solucin y es aqu donde entra a jugar un rol importante la creacin de las VLAN privadas (PVLANs). Bsicamente las PVLANs permiten aislar los puertos de switch dentro de un mismo dominio de broadcast, evitando que los dispositivos conectados en estos puertos se comuniquen entre s aunque pertenezcan a la misma VLAN y subred. Existen 3 tipos de puertos PVLANs:

Promiscuous: un puerto en este estado puede comunicarse con todos los dems puertos,incluso en estado Isolated y Community dentro de una PVLAN.

Isolated (Aislado): Un puerto en este estado est completamente aislado a partir de la capa2 dentro de la misma PVLAN, pero no de un puerto en estado promiscuo. Las PVLANs bloquean todo el trfico hacia los puertos aislados excepto el trfico proveniente de los puertos promiscuos. El trfico originado en un puerto aislado se reenva solamente HACIA un puerto promiscuo.

Community: Los puertos en este estado se comunican entre ellos y con sus respectivos puertos promiscuos. Estas interfaces estn separadas a nivel de capa 2 de todas las otras interfaces en otras comunidades o puertos aislados dentro de la PVLAN.

Tpicamente una PVLAN contiene N puertos privados y un nico puerto Uplink. Veamos un ejemplo de configuracin tpica de VLANs en un Switch layer 3

En este entorno tenemos naturalmente las ventajas propias de las VLAN, pero existen tambin algunas desventajas como por ejemplo que por cada grupo de usuarios se debe crear una subred, aunque exista solo un host. Algunos dirn que podremos aplicar VLSM para solucionar eso pero no hay que olvidarse que al aplicar VLSM se "sacrifica" toda una porcin de la red para crear subredes y adems el bloque ms pequeo que se puede crear requiere al menos 4 direcciones IP /30. Otra desventaja es que no solo se desperdician direcciones IP si no que tambin VLAN-IDs ya que es necesario crear tantas VLAN como grupos de usuarios se requieran. En un entorno de produccin complejo pueden llegar a agotarse fcilmente los VLAN-ID disponibles. Las Private VLANs vienen a solucionar este problema de una manera ms elegante y flexible, ya que solo necesitamos una VLAN, la misma subred para todos los hosts y an as quedaran aislados entre ellos a nivel de capa 2.

Aqu hemos creado el mismo escenario pero esta vez solo utilizando el bloque 192.168.0.0/26 para todos los hosts en la VLAN primaria 100 y dentro de sta hemos creado VLANs privadas diferenciando los grupos anteriores. Una forma sencilla de explicar las PVLANs es una o ms VLANs dentro de otra principal. Una vez que las tramas salgan de cada host y atraviesen el switch hacia las redes externas sern etiquetadas como VLAN100 y no por su ID privado ya que este es vlido solamente dentro de la VLAN primaria 100. Configuracin: Paso N1, poner el switch en modo VTP Transparente . SW(config)# vtp mode transparent Setting device to VTP TRANSPARENT mode. Luego creamos las VLANs como habitualmente lo hacemos. Primero crearemos las VLAN privadas y luego las asociaremos a la VLAN primaria (solo por comodidad en el orden de los comandos) SW(config)# vlan 101 SW(config-vlan)# private-vlan isolated SW(config-vlan)# vlan 102 SW(config-vlan)# private-vlan isolated SW(config-vlan)# vlan 103 SW(config-vlan)# private-vlan isolated SW(config-vlan)# vlan 100

SW(config-vlan)# private-vlan primary SW(config-vlan)# private-vlan association 101,102,103 Una vez creadas las asociaciones correspondientes debemos definir el rol de los puertos en cada PVLAN: SW(config)#interface fa0/1 SW(config-if)#switchport mode private-vlan host SW(config-if)#switchport private-vlan host-association SW(config-if)#interface fa0/2 SW(config-if)#switchport mode private-vlan host SW(config-if)#switchport private-vlan host-association SW(config-if)#interface fa0/3 SW(config-if)#switchport mode private-vlan host SW(config-if)#switchport private-vlan host-association SW(config-if)#interface fa0/4 SW(config-if)#switchport mode private-vlan host SW(config-if)#switchport private-vlan host-association

100 101 100 101 100 102 100 103

La configuracin no es muy compleja pero las PVLANs estn soportadas solamente en switches Catalyst 3560 y superiores.