La utilización de VLAN permite segmentar nuestra red en capa 2, separando de forma segura y efectiva el tráfico entre redes al mismo tiempo que reduce el tamaño de los dominios de broadcast y por tanto, reduce el tráfico en la red. Habitualmente, el uso de la VLAN se centra en redes grandes, usando switchs gestionables que si bien son muy potentes, son caros. Sin embargo, las VLAN también pueden ser muy útiles en entornos de redes pequeñas y medianas, como vamos a ver a continuación.
Imaginemos un escenario, donde tenemos una red corporativa de una docena de equipos, router de acceso a Internet y algunos recursos en red, como algún servidor de archivos, impresoras, etc. Por cuestiones de seguridad, interesa separar la red en dos redes totalmente independientes pero que puedan mantener el acceso a los recursos comunes. La solución habitual es utilizar switch L3 donde gestionamos mediante ACLs el acceso entre VLANs. El gran problema, viene por el elevado precio de estos equipos, que los hace inviables para el caso comentado.
La solución viene de la mano de D-Link y de su serie Smart, switches que están a medio de camino de los clásicos switchs «tontos» de enchufas y listos y de los caros switches gestionables. Estos smart switch, se gestionan mediante una interfaz web y permiten una gestión del switch que los acerca bastante a las prestaciones de un switch gestionable tradicional, pero a un precio ostensiblemente inferior.
En concreto, vamos a emplear la funcionalidad de Asymmetric VLAN en un switch D-Link DGS-1210-24, que nos va a permitir separar la red en VLAN independientes, pero al mismo tiempo mantener una VLAN compartida a la que podrán acceder los equipos del resto de VLANs.
A continuación vamos a ver la configuración paso a paso:
En primer lugar, vamos a definir el problema: tendremos dos VLAN vlan2 y vlan3 que corresponden a las dos redes que queremos separar. En concreto vlan2 utilizará los puertos 5 al 18 y vlan 3 del 19 al 24. Los puertos 1-4 serán los puertos correspondientes a los servicios comunes (acceso a Internet, servidor, impresora, etc.). Como red común para permitir el acceso compartido utilizaremos vlan1.
Entramos en la configuración del switch y habilitamos la opción de Asymmetric VLAN
A continuación, comprobamos que vlan1 tiene habilitados todos los puertos del swich en modo untagged ( modo normal del puerto de switch donde no se le añade a las tramas de salida la etiqueta de la VLAN).
Creamos la red VLAN2 y le asignamos los puertos correspondientes 1-18 en modo untagged. Observar como los puertos 19 a 24 se marcan como Not Member.
Repetimos el proceso con VLAN3, añadiendo como miembros los puertos 1-4 y 19-24, dejando el resto como Not Members.
Ahora asignamos el PVID correspondiente a cada uno de los puertos. Los puertos 1-4 se asignan con PVID=1, correspondiente a la VLAN1, mientras que del 5-18 les asignaremos PVID=2 y por último, los puertos 19-24 se les asgina el PVID=3.
Aplicamos los cambios y ya podemos salir de la configuración del switch.
A partir de este momento, los equipos asignados a diferentes VLAN son invisibles, pero todos ellos pueden acceder a Internet o a los recursos que se encuentren en los puertos compartidos. Evidentemente, en este caso, todos los equipos estarán en la misma subred IP.
En un siguiente post, explicaré cómo extender este procedimiento a nuestra red corporativa WiFi, por ejemplo para crear una red de invitados que simplemente tenga acceso a Internet.
Pingback: Un profe entre ITs » VLAN en redes WiFi
Buenas tardes!
Muy buen artículo y que se ajusta a lo que necesito montar.
El caso es que tengo como router el que me ha proporcionado el ISP (ONO) y quería preguntarle si tendría algún problema en implementar este ejemplo con el switch que comentas (de Capa 2)…
¿El router del ISP va conectado a un puerto del switch gestionable etiquetado como vlan1 (default) en modo trunk no?¿ En el router hay que configurar algo como las rutas estáticas? ¿O sabe automaticamente que para las 3 redes tiene que mandar los paquetes por el enlace trunk al switch?
Gracias y perdona todo el tocho escrito…
Exelente y le felicito por tu explicación muy clara Don Carlos Alonso. Pero tengo una duda a ver si me la puede resolver o bien explicar. Tengo una red con el mismo switch la cual realisó la explicación anterior ( D-Link DGS-1210-24), tengo hecho 8 vlans para 8 departamentos y cada departamento tiene un switch DES 1210-28, por lo cual cada depto no tiene relación con el otro. Ahora, requiero poner en cada depto una camara ip la cual tengo que conectarla a este tipo de switch, el DES 1210-28 y las cámaras tienen que estar todas conectadas a un equipo que debe de estar grabando continuamente. Tengo la teoria como realizarlo, que es por medio de trunk, creando una novena Vlan en el switch de administración y en los 8 switch remotos. Quisiera saber si estoy en o correcto y si funcionaría de esta forma. Como dato las cámaras y el equipo que graba el video van a tener ip fija con otro segmento de los equipos de trabajos.
Saludos.
No se si he comprendido muy bien el problema, pero creo que basta con que en cada switch crees una vlan nueva para las cámaras y en el troncal definirlo como un tagged port que incluya las dos vlan.