La mayoría de los switches gestionables (por no decir la totalidad) permiten configurar redes LAN virtuales para segmentar (conocidas como VLANs). Esto es muy útil a la hora de establecer una organización interna y separar equipos. En este artículo os vamos a enseñar cómo funcionan y también cómo se puede realizar su configuración ayudándonos del switch Edimax GS-5008P.
Existente muchos tipos de redes virtuales, pero en este manual solo vamos a tratar los dos más utilizados: a nivel de puerto de red y 802.1Q configuradas de forma asimétrica. En lo que respecta a qué funciones poseen, se pueden utilizar para aislar equipos o bien organizar la red. La creación de una provoca que los equipos de una red se aíslen con respecto al resto que no se encuentre en esta. Podría decirse que su uso permite una mejor administración de la red, creando fragmentos muchos más reducidos, conocidos también como segmentos lógicos. Os recomendamos leer nuestra comparativa del D-Link DGS-108 y DGS-108GL.
A continuación, vas a aprender a configurar dos tipos de redes virtuales.
VLANs a nivel de puertos
Como su propio nombre indica, la conformación de estas se realiza a nivel de puertos. Es decir, un mismo puerto de red no puede pertenecer a varias VLANs, obteniendo como resultado una asignación única.
Supongamos que tenemos un switch de 8 puertos. El 1,2,3 deben acceder Internet que está en el puerto 4. El 5, 6, 7 y 8 no deben tener visibilidad sobre los tres primeros.
La solución para este problema es crear una VLAN adicional (los switches por defecto tienen una creada en la que se encuentran todos los puertos). En esta segunda ubicaremos los puertos 1, 2, 3 y 4 y los otros los dejaremos en la VLAN con ID 1. Con este breve proceso ya tendríamos lo que buscamos. En la siguiente imagen se puede ver la disposición final de la configuración (antes y después):
También os dejamos un vídeo para que veáis el proceso y las comprobaciones pertinentes mediante un ping:
Hasta este momento todo ha salido bien. Sin embargo, ¿qué sucede si queremos que los puertos 1, 2, 3, 5, 6, 7 y 8 accedan a Internet, pero el grupo formado por los tres primero no tenga visibilidad sobre el resto? Hemos conseguido que no tengan visibilidad entre sí. El problema surge a la hora de ubicar el puerto de Internet, ya que este solo debe pertenecer a una VLAN y debería pertenecer a dos para conseguir cumplir con el escenario mencionado con anterioridad.
En el siguiente apartado encontramos la solución.
802.1Q VLANs asimétricas
Para resolver el problema que hemos planteado al final del punto anterior debemos recurrir a lo que se conocen como VLANs asimétricas. Para entender cómo funciona esta configuración debemos tener en cuenta tres términos:
- Untagged: Puerto no asignado a una VLAN.
- Tagged: Puerto asignado a una VLAN.
- No miembro: No pertenece a una VLAN concreta.
La ventaja de esta configuración es que un puerto puede estar «tagged» en varias VLANs.
Recordamos el problema anterior: Queremos que los puertos 1, 2, 3, 5, 6, 7 y 8 accedan a Internet, pero el grupo formado por los tres primero no tenga visibilidad sobre el resto.
El estado inicial que nos encontramos es el siguiente:
Para cumplir con los requisitos del escenario planteado tendremos que crear dos VLANs adicionales que tendrán como punto en común el puerto 4 que es el que ofrece acceso a Internet.
De esta forma se pueden asignar puertos comunes a una o varias VLANs y permitir la compartición de recursos sin que los equipos pertenecientes a distintas redes virtuales tengan visibilidad sobre ellos, añadiendo un plus de seguridad.
Puedes encontrar más manuales de productos de este fabricante y análisis en el espacio que en RedesZone tenemos dedicado a Edimax.