Skip to content

T7. Redes Locales Virtuales - VLAN's

Introducción a VLAN

Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para crear redes lógicas independientes dentro de una misma red física.

Varias VLAN pueden coexistir en un único conmutador físico o en una única red física. Son útiles para reducir el dominio de difusión y ayudan en la administración de la red, separando segmentos lógicos de una red de área local (los departamentos de una empresa, por ejemplo) que no deberían intercambiar datos usando la red local, aunque podrían hacerlo a través de un router.

  1. TIPOS DE VLANs

    Aunque las más habituales son las VLAN basadas en puertos (nivel 1), las redes de área local virtuales se pueden clasificar en cuatro tipos según el nivel de la jerarquía OSI en el que operen:

    • VLAN de nivel 1 (por puerto). También conocida como “port switching”. Se especifica qué puertos del switch pertenecen a la VLAN, los miembros de dicha VLAN son los que se conecten a esos puertos. No permite la movilidad de los usuarios, habría que reconfigurar las VLAN si el usuario se mueve físicamente. Es la más común y la que se explica en profundidad en este artículo.
    • VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en función de su dirección MAC. Tiene la ventaja de que no hay que reconfigurar el dispositivo de conmutación si el usuario cambia su localización, es decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente es que hay que asignar los miembros uno a uno y si hay muchos usuarios puede ser agotador.
    • VLAN de nivel 3 por tipo de protocolo. La VLAN queda determinada por el contenido del campo tipo de protocolo de la trama MAC. Por ejemplo, se asociaría VLAN 1 al protocolo IPv4, VLAN 2 al protocolo IPv6, VLAN 3 a AppleTalk, VLAN 4 a IPX…
    • VLAN de nivel 4 por direcciones de subred (subred virtual). La cabecera de nivel 3 se utiliza para mapear la VLAN a la que pertenece. En este tipo de VLAN son los paquetes, y no las estaciones, quienes pertenecen a la VLAN. Estaciones con múltiples protocolos de red (nivel 3) estarán en múltiples VLAN.
    • VLAN de niveles superiores (por aplicaciones). Se crea una VLAN para cada aplicación: FTP, flujos multimedia, correo electrónico… La pertenencia a una VLAN puede basarse en una combinación de factores como puertos, direcciones MAC, subred, hora del día, forma de acceso, condiciones de seguridad del equipo…

  2. Estandard IEEE 802.1Q

    Todos los dispositivos de interconexión que soportan VLAN deben seguir la norma IEEE 802.1Q que especifica con detalle el funcionamiento y administración de redes virtuales.

    Arriba: trama Ethernet normal (sin VLAN) Abajo: trama Ethernet con VLAN, donde se añaden el tipo de trama ethernet (0x8100), y la etiqueta de la VLAN (4 bytes en total).

Configuración ampliada SWITCH CISCO

Configuración de VLANs

NombreDelSwitch> enable
NombreDelSwitch# show vlan
NombreDelSwitch# conf t
!
! Opcional crear y asignar nombre a la vlan antes de asignarla
NombreDelSwitch(config)# vlan 3
NombreDelSwitch(config-vlan)# name Ingenieria
NombreDelSwitch(config-vlan)# exit
NombreDelSwitch(config)# interface range Fa0/16 - 24
NombreDelSwitch(config-if)# switchport access vlan 3
NombreDelSwitch(config-if)# switchport mode access
NombreDelSwitch(config-if)# end
!
! Mostar la configuración de vlanes
NombreDelSwitch# show vlan
NombreDelSwitch#

Configuración troncal de SWITCHs

NombreDelSwitch> enable
NombreDelSwitch# show vlan
NombreDelSwitch# conf t
NombreDelSwitch#
NombreDelSwitch(config)# interface FastEthernet 0/24
NombreDelSwitch(config-if)# switchport mode trunk
!
! Opcional limitar el número de VLANs permitidas en el troncal
NombreDelSwitch(config-if)# switchport trunk allowed vlan 1-3
NombreDelSwitch(config-if)# switchport native vlan 1
NombreDelSwitch(config-if)# end
!
! Mostar la configuración de troncales
NombreDelSwitch# show interface trunk

Creación de troncales packet tracer (vídeo)

Documentación oficial (CISCO)

Todo sobre VLANes de acceso y troncales.

Configuración de VLANs de Voz y Datos

La VoIP (Voice over IP) tiene unos requesitos de retardo muy ajustados por lo que se deberá aplicar a los paquetes de voz un QoS (quality of service), priorizando su paso sobre el resto de paquetes.

Para ello, el primer paso es trasportar los paquetes por un LAN independiente, pero puesto que eso es muy caro, se realizará con una VLAN específica.

NombreDelSwitch# configure terminal
NombreDelSwitch(config)# vlan 10
NombreDelSwitch(config-vlan)# vlan 11
NombreDelSwitch(config-vlan)# interface range FastEthernet0/1 - 4
NombreDelSwitch(config-if)# switchport mode access
NombreDelSwitch(config-if)# switchport access vlan 10
NombreDelSwitch(config-if)# switchport voice vlan 11
NombreDelSwitch(config-if)# end
NombreDelSwitch#

Enrutamiento entre VLANes

Hay 3 modos:

  • Clásico: mediante enrutadores
  • Router-on-a-stick: mediante subinterfaces de enrutadores
  • Switches de capa 3 (L3).

Switches de capa 3

Dado un switch de capa 3, vamos a describir los pasos:

1. Encender los equipos

Algunos equipos vienen apagados o sin fuente de alimentación y deberemos conectarla.

2. Configurar HOSTs

Debemos comenzar configurando IP en los distintos equipos finales, en el rango de direcciones de la VLAN.

3. Crear VLANs en el switch

Eso ya sabes hacerlo.

4. Crear las subinterfaces (SVI) en el switch y asignarles IPs.
Switch(config)# interface vlan 10
Switch(config-if)# ip address 172.16.10.1 255.255.0.0
Switch(config-if)# no shutdown

Importante: el comando no shutdown enciende la interfaz. Sin él, estará apagada.

Normalmente, comenzaríamos por ahí y serán éstas las que ofrezcan un pool dhcp a los clientes.

Como veis, normalmente la subred utilizada coincide con el número de vlan-id para simplificar.

5. Asignar las VLANes a los puertos.

Eso ya sabes hacerlo.

6. Habilitar el enrutamiento con el comando ip routing.

Ejecuta el comando Switch(config)# ip routing.

7. [opcional] Activar filtros ACL que deseemos para limitar el routing entre VLANs.

Con el comando anterior hemos conseguido crear conectividad completa entre las distintas VLANes, por lo que en realidad hemos “roto” el aislamiento deseado cuando creamos las VLANes. Para evitar esto, pasaremos a crear y aplicar ACLs que limiten dicha conectividad a la deseada.

Si por ejemplo hacemos:

Switch(config)# in vlan 20
Switch(config)# ip access-group 10 out

Estaremos limitando la conectividad con la VLAN 20 según lo indicado en la lista 10.

Otras configuraciones

ACL (Listas de Control de Acceso)

1. Definición y ubicación de listas de control de acceso (ACLs).

Cisco define las listas de control de acceso como una herramienta para hacer definir perfiles en el tráfico de red que luego puedan utilizarse para operaciones como filtrado de paquetes u ordenación del tráfico.

Para realizar operaciones de filtrado necesitaremos hacer lo siguiente:

  1. Definir la lista de control de acceso y añadir alguna acción. Se debe hacer en el modo de configuración global.
  2. Añadir todas las acciones que queramos.
  3. Entrar en un interfaz.
  4. Aplicar la lista indicando si es para el tráfico de entrada (in) o de salida (out)

2. Tipos de ACLs

3. Wildcard

El wildcard es la inversión bit a bit de la máscara de red.

Ejemplos de wildcard:

CIDR Máscara Wildcard Significado
/0 0.0.0.0 255.255.255.255 todo INTERNET
/8 255.0.0.0 0.255.255.255 clase A
/23 255.255.254.0 0.0.1.255 512 IPs
/24 255.255.255.0 0.0.0.255 clase C
/25 255.255.255.128 0.0.0.127 128 IPs
/26 255.255.255.196 0.0.0.63 64 IPs
/30 255.255.255.252 0.0.0.3 4 IPs
/31 255.255.255.254 0.0.0.1 2 IPs
/32 255.255.255.255 0.0.0.0 un HOST

4. Definiendo ACLs STANDARD y añadiendo acciones

El comando básico tiene esta estructura:

access-list <numero_de_lista> permit/deny <origen> [<wildcard>]
  1. El número_de_lista debe encontrarse en los rangos:
    • 1 - 99
    • 1300 - 1999
  2. Podemos aceptar o denegar el paquete que coincida
  3. IP de origen o la palabra any para todos.
  4. [opcional] La wildcard es la contraria a la máscara de red (255-máscara).

Si por ejemplo queremos crear una lista con el número 90 y poner en ella tres condiciones haríamos esto:

access-list 90 permit <condicion 1>
access-list 90 deny <condicion 2>
access-list 90 permit <condicion 3>

Si luego queremos poner otras condiciones en otra lista haríamos esto:

access-list 80 permit <condicion 4>
access-list 80 deny <condicion 5>
access-list 80 permit <condicion 6>

Cuando llegue la hora de examinar el tráfico IOS irá primero a la lista 80 e irá examinando lo que hay que hacer. Si no hay nada examinará despues la lista 90. Esto implica lo siguiente:

¿Qué ocurre si la condición 1 permite cierto tipo de tráfico y resulta que en la condición 5 queríamos denegar justo ese tráfico?

Pasará que sin querer lo hemos autorizado por lo que se debe revisar con cuidado el orden de las condiciones.

5. Regla por defecto

Al final de cada lista tenemos la regla por defecto deny any que bloquea el resto de paquetes.

Ésto significa que si algún paquete NO coincide con ninguna regla será automáticamente bloquedado.

6. Borrar ACLs

Si tenemos la ACL 10 y queremos eliminarla... no access-list 10

7. Comentado de ACLs

Para facilitar la gestión de listas, podemos comentarlas con: access-list 10 remark Permitir acceso desde marca.com

8. Aplicación de ACLs

En la interfaz que queramos aplicarla: ip access-group access-list-number { in | out }

Se aplicará SIEMPRE en la interfaz más cercana al destino.

9. Ejemplo:

Switch(config)# ! Crear ACL y comentarla
Switch(config)# access-list 90 permit 192.168.10.0 0.0.0.255
Switch(config)# access-list 90 remark Permitir solo desde VLAN 10
Switch(config)# !
Switch(config)# ! Mostar config sobre acce[ss-list]
Switch(config)# do sh run | inclu acce
Switch(config)# !
Switch(config)# ! Aplicar a destino
Switch(config)# in vlan 20
Switch(config-if)# ip access-group 90 out

10. Fuentes:

DHCP

Dinamyc Host Configuration Protocol o protocolo de configuración dinámica de equipos

Configuración DHCP server en router CISCO IOS

Conexiones punto a punto (PPPoE)

  1. Simular cliente-servidor en Packet-tracer

Configuración en Mikrotik

Hay varias formas de trabajar con VLANes en MT, pero la recomendada, en la actualidad, por el fabricante es a través de bridges.

Podremos seguir el tutorial:

1. Creación de un bridge

Si no existe, crearemos el bridge que contendrá las interfaces que entrarán en el mismo.

El primer bridge de nuestro dispositivo MT-hAP-lite se asigna automáticamente al chip Atheros8227 que dota de capicidades hardware switch, por lo que realizará las funciones de conmutación de forma acelerada.

Si tuvieramos mas de un bridge en el dispositivo, nos aseguraremos que el primero tendrá las interfaces con las que vamos a trabajar las VLANes.

Para crearlo, iremos al menú bridge-bridge-nuevo

2. Crear interface list

Las interface list son grupos de interfaces que nos permiten luego asignar con mayor simplicidad reglas de VLAN, NAT o routing, por ejemplo.

Crear la lista denominada switch y “meter” las interfaces en ella.

Para crearla, iremos a menú interfaces-interface list-List ➡️ VLAN (El botón aparece a la derecha).

3. Asignar interfaces físicas

“Meter” los puertos físicos eth1 a eth4 en el bridge

Para crearlo, iremos al menú bridge-ports-nuevo. Ahí podremos seleccionar las interfaces una a una o la lista que las contiene.

3. Asignar VLANes

Crear y “meter” las VLANes en el switch.

Para crearla, iremos a menú interfaces-vlan-nuevo ➡️ vlan10 con id=10 y vlan20 con id=20, ambas asignadas al bridge al que las aplicaremos.

4. Asignar IPs a VLANes

Menú: IP-Addresses donde asignaremos IP estática...

  • al bridge 172.16.0.1/24
  • a la VLAN10 172.16.10.1/24
  • a la VLAN20 172.16.20.1/24

5. Crear DHCP Servers

Menú: IP-DHCP Server-DHCP Setup (botón a la derecha)

Firewall

Filtrado VLANes

==VOY POR AQUÍ==

Vlan Trunk Protocol VTP

Actividad guiada CISCO

Implantación y configuración de redes virtuales.

Administración centralizada de VLANs.

VLAN - Oscar Maestre