Las VLAN, o redes de área local virtuales, son una de las herramientas más poderosas, mal entendidas y subutilizadas para redes Wi-Fi en hogares privados y pequeñas y medianas empresas. Esta publicación es la segunda parte de tres artículos sobre VLAN y proporciona una guía práctica sobre por qué y cómo debe usarlos.
¿Cómo funcionan las VLAN?
Los dispositivos cliente no saben, y generalmente no deberían saber, nada sobre la configuración de VLAN de una red. Toda la configuración de VLAN se realiza en el enrutador de red, los conmutadores y los puntos de acceso. Cuando un dispositivo cliente envía datos, cada paquete se "etiqueta" a medida que ingresa a la red para que pueda enrutarse al destino correcto, de la misma manera que se etiqueta su equipaje cuando lo registra en el aeropuerto. Cuando los datos llegan a su destino previsto, la etiqueta se elimina, lo que comúnmente se conoce como "sin etiquetar" o "pelar la etiqueta".
En las redes, la etiqueta VLAN es un elemento de 4 bytes insertado en el encabezado del Control de acceso a medios (MAC) del paquete. Este elemento contiene un número de 12 bits que indica la ID de VLAN (o VID), lo que significa que, en teoría, una red puede tener 2 ^ 12 o 4096 etiquetas. La etiqueta todo cero y todo uno (es decir, VLAN 0 y VLAN 4095) no se utilizan, según la especificación 802.1q. Además, la VLAN 1 está reservada para "tráfico sin etiquetar", lo que significa que cualquier tráfico de datos en una red que no tenga una etiqueta de VLAN se considera en la VLAN 1. Es por eso que todas las VLAN de conmutador y punto de acceso están predeterminadas a la VLAN 1.
De manera predeterminada, cada puerto en un conmutador eliminará el tráfico de VLAN, por lo que cualquier tráfico de VLAN que se permita a través de un puerto de conmutador debe definirse explícitamente en la configuración del conmutador. Los puertos troncales se utilizan para interconectar conmutadores (y puntos de acceso), donde cada VLAN en uso en la red se define explícitamente como una VLAN etiquetada, lo que significa que el conmutador pasará el tráfico en esa VLAN sin tocar la etiqueta VLAN.
Los mecanismos de etiquetado / desetiquetado en conmutadores y puntos de acceso difieren dependiendo de si el cliente está cableado o inalámbrico, pero funcionalmente son idénticos:
Inalámbrico:
- Un cliente inalámbrico se asocia a un SSID particular. En la configuración AP, el SSID está asociado con una VLAN particular. Todo el tráfico que proviene de un cliente inalámbrico se etiqueta con la ID de VLAN asociada con el SSID. El AP elimina la etiqueta asociada con el SSID para todo el tráfico de datos transmitido a un cliente inalámbrico.
- Entonces, desde la perspectiva del conmutador, se etiqueta todo el tráfico que viene o va a un punto de acceso.
Cableado:
- #1 El PVID o ID de LAN del puerto indica la ID de VLAN que debe etiquetarse en todo el tráfico que ingresa al puerto (es decir, desde el cliente conectado). Dado que cada puerto ha permitido VLAN definidas explícitamente en él, se puede definir una VLAN sin etiquetar, de modo que cualquier tráfico en esa VLAN particular obtenga su etiqueta eliminada antes de que el tráfico abandone el puerto. Por definición, un puerto con cable conectado a un cliente solo puede tener un PVID y solo debe tener una VLAN sin etiquetar. Estos dos deben coincidir para que el cliente conectado por cable se comunique en ambas direcciones en esa VLAN.
- #2 La configuración del enrutador de manera similar se vuelve un poco más compleja. Cada VLAN en la red se considera una subinterfaz de la interfaz LAN (ya que existen varias VLAN en el mismo cable físico / NIC). Por lo tanto, en lugar de definir una dirección IP, una subred y un rango de DHCP para una única LAN, cada VLAN se trata como una LAN separada y requiere una subred, una dirección IP y un rango de DHCP independientes. *
Por lo general, las VLAN se utilizan para mantener las diversas subredes LAN aisladas, por lo que el enrutador generalmente enruta WAN a VLAN. El enrutamiento entre VLAN se puede realizar en instancias específicas y, por lo general, requiere la configuración de reglas explícitas con excepciones particulares.
Un ejemplo común sería un hotel con una impresora en el vestíbulo. Si el personal y los invitados están destinados a usar la impresora, podría colocarse en la VLAN del visitante con reglas de enrutador definidas para enrutar el tráfico desde la VLAN de operaciones a la impresora en la VLAN del visitante. En tal caso, sin embargo, a menudo es más simple y económico comprar dos impresoras.
La próxima vez hablaremos sobre "¿Qué es la VLAN de administración y si debe usarla o no?"
Nota del editor: Esta publicación se publicó originalmente en junio de 2015 y se ha actualizado.
* Por convención, a algunas personas les gusta hacer coincidir el segundo o tercer octeto de la subred con la ID de VLAN. Por ejemplo, la VLAN 8 podría recibir la subred 10.8.0.0/16 o 192.168.8.0/24, la VLAN 16 podría recibir la subred 10.16.0.0/16 o 192.168.16.0/24, etc. Estas configuraciones son independientes, por lo que no Se requiere una correlación entre la ID de VLAN y la subred, pero a menudo es conveniente.
