Descubre qué son y cómo se configuran las Private VLAN en el switch L3 D-Link DGS-3630-28PC

Escrito por Sergio De Luz

Una de las características más interesantes del switch L3 D-Link DGS-3630-28PC es que su firmware soporta Private VLAN, o también conocidas como PVLANs. Esta característica avanzada de los switches nos permite dividir un dominio en varios subdominios broadcast, y con diferentes permisos de accesos entre los diferentes puertos donde tenemos conectados los PC. En este artículo os vamos a explicar qué son las Private VLAN, y cómo configurarlas en el switch L3 D-Link DGS-3630-28PC.

¿Qué son las Private VLANs o también conocidas como PVLANs?

A nivel de ISP, si un proveedor ofrece una VLAN a cada uno de sus clientes tendremos la limitación de 4096 VLANs como máximo (realmente son menos porque hay VLANs reservadas). En dispositivos Layer 3, cada una de las VLANs es asignada normalmente a una subred o una serie de direcciones, por lo que podríamos estar desperdiciando direcciones IP. Las Private VLANs nos van a permitir subdividir el dominio de broadcast en uno o varios subdominios, y todo ello gracias a la utilización de Private VLANs y su pareja de VLANs: la VLAN primaria y la secundaria.

Un dominio Private VLAN puede tener múltiples parejas (primaria-secundaria), y cada pareja representa a un subdominio. Todas las parejas de este subdominio comparten la VLAN primaria, lo que es diferente es la VLAN secundaria. Únicamente puede haber una VLAN primaria en cada dominio de Private VLAN, la VLAN secundaria se utiliza de cara a separar a nivel de Layer 2 el tráfico en el mismo dominio de VLAN. Hay dos tipos de VLANs secundarias:

  • VLAN Community: los puertos dentro de la misma VLAN primaria y VLAN secundaria como Community, podrán comunicarse entre ellos. Puede haber múltiples VLAN como Community en un mismo dominio de Private VLAN, pero entre ellos NO se podrán comunicar.
  • VLAN Isolated: los puertos dentro de la misma VLAN primaria y VLAN secundaria como Isolated, NO podrán comunicarse entre ellos. En este caso, solo podremos tener una VLAN secundaria como Isolated.

En las Private VLAN tenemos los conocidos como “Promiscuous Port”, un puerto que está asociado a la VLAN primaria y que se puede comunicar con cualquier puerto, incluyendo los puertos designados como “Community” y con los denominados como “Isolated”. Este puerto “Promiscuous Port” solo puede estar asignado a una Private VLAN, y no a varias, a no ser que sea un “Trunk Promiscuous Port”.

Dentro de una Private VLAN, los puertos configurados como “Community Port” podrán comunicarse con otros de la misma “comunidad”, pero no con los de otras comunidades o puertos “Isolated”. Los puertos configurados como “Isolated Port” solo se podrán comunicar con el “Promiscuous Port”. En el siguiente gráfico podéis ver perfectamente los permisos que hay de comunicación entre los diferentes equipos:

Una vez que ya sabemos qué son las Private VLAN, en RedesZone hemos configurado una arquitectura de red haciendo uso de las Private VLANs en el D-Link DGS-3630-28PC, y os vamos a explicar cómo lo hemos configurado.

Configuración de Private VLAN en el switch D-Link DGS-3630-28PC

Lo primero que tenemos que saber es la arquitectura a realizar, en el puerto 1 del switch hemos conectado nuestro router principal doméstico y con una subred 10.10.2.0/24. En el puerto 2 del switch hemos configurado un servidor con IP 10.10.2.20. A continuación, hemos conectado 2 PC en dos puertos que están configurados de diferentes maneras (Community y Isolated), y hemos comprobado si lo anterior que hemos explicado se cumple.

La arquitectura de red que hemos realizado es la siguiente:

 

Hemos creado dos Private VLAN, una VLAN 100 y otra VLAN 200 configuradas como “Primary VLAN”. A continuación, hemos creado VLAN 101, 201 como “Community VLAN” y las VLAN 201, 202 como “Isolated VLAN”, y las hemos aplicado en los puertos correspondientes donde hemos conectado los diferentes PC.

En este manual os vamos a enseñar cómo hacerlo a través de la interfaz gráfica de usuario, aunque al final del manual podéis ver el fichero de configuración con todos los comandos que deberíais introducir vía Telnet o SSH para configurar exactamente lo mismo.

Creación de las VLAN y cambiarles el nombre para que sea más descriptivo

Lo primero que tenemos que hacer es crear las VLANs en la sección “L2 Features / VLAN / 802.1Q VLAN”. Aquí deberemos ir introduciendo los VID uno a uno para crearlas, tal y como podéis ver aquí:

Una vez creadas las VLANs, vamos a cambiarles el nombre para que sea más descriptivo, finalmente el listado de VLANs creadas quedaría así:

Configuración de las VLAN ID en Private VLAN (Primary, Community y Isolated)

Una vez que las hayamos creado, vamos a trabajar en la sección “Private VLAN”, desde aquí configuraremos las VLAN, las asociaremos entre ellas y las aplicaremos a los diferentes puertos:

Lo primero que tenemos que hacer es configurar las VLAN ID como corresponda, y activarlas para posteriormente usarlas. En la zona de “Private VLAN” deberemos indicar el VID como “200”, ponerla en “Enabled” y configurar el tipo, que en el caso de VLAN ID 200 es “Primary”. Os recordamos brevemente cómo las tenéis que configurar:

  1. Primary: 100 y 200
  2. Community: 101 y 201
  3. Isolated: 102 y 202

No importa el orden en el que las configuréis, finalmente tendréis algo como esto:

Asociación de las VLAN ID Community y Isolated a la Primary

Ahora tenemos que asociar las VLAN ID configuradas como Community e Isolated, a la VLAN configurada como Primary. Según el montaje de red, esto debería ser así:

  • Asociar las VID 101 y 102 a la 100
  • Asociar las VID 201 y 202 a la 200.

Para hacerlo, en la sección “Private VLAN Association” seleccionamos el VID de la VLAN Primary, y la asociamos a la secundaria, tal y como podéis ver aquí:

Una vez que lo hayamos hecho con todas las VID, debería quedarnos en la parte inferior perfectamente configuradas de esta manera:

Configuración de los puertos físicos del switch y asociar la Private VLAN a ellos

Ahora tenemos que irnos a la sección “VLAN interface” y configurar los puertos físicos donde conectemos los PC de la parte inferior, como “Host“. En esta parte NO debemos configurar el puerto 1 y 2 como Host, ya que estos deben ir configurados como “Promiscouos Port” (luego lo veremos). Esta configuración podemos clonarla para coger un rango de puertos fácilmente y no tener que ir uno a uno:

Una vez configurados los puertos como “Host”, faltaría asociar la VLAN primaria y secundaria a dicho puerto, esto se realiza en la sección “Private VLAN”. Ponemos el puerto o los puertos que queremos configurar como VLAN primaria 100 y secundaria 101, y pinchamos en “Apply”. Lo mismo deberemos hacer con los puertos cuya VLAN secundaria sea la 102, y con las parejas 200-201 y 200-202.

Una vez que hayamos configurado todos los puertos, nos debería salir justo debajo la configuración realizada, tal y como podéis ver aquí:

Configuración del “Promiscuous Port” y mapeo de las Private VLAN

Ahora debemos configurar los puertos Promiscuous Port como corresponde, nos vamos a la sección “VLAN Interface” y seleccionamos el modo Promiscuous y pinchamos en “Apply”. Esto lo debemos hacer con los puertos 1 y 2 según el montaje realizado:

El resumen de los puertos que hemos configurado hasta el momento quedaría de la siguiente manera:

Una vez configurados los puertos, debemos mapear las Private VLAN en los puertos correspondientes. Nos vamos a la sección “Private VLAN” y en la parte “Private VLAN Mapping” seleccionamos el puerto 1, y ponemos como Primary VID 100, y como Secondary VID List 101, 102. Lo mismo con la VLAN primaria 200 y sus secundarias, en las siguientes imágenes podéis verlo:

Tal y como podéis ver, cada Private VLAN está mapeada a un puerto Promiscouos:

Prueba de la Private VLAN configurada anteriormente

En la siguiente imagen podéis comprobar que la Private VLAN configurada funciona como se espera:

Configuración de Private VLAN vía CLI

Si alguno de vosotros en lugar de utilizar la interfaz gráfica de usuario, quiere utilizar CLI, ya sea a través de consola, Telnet o SSH, os dejamos el fichero de configuración del DGS-3630-28PC y los comandos que debéis ejecutar uno tras otro:


Switch#sh runn
Building configuration...

Current configuration : 3709 bytes

!-----------------------------------------
! DGS-3630-28PC Gigabit Ethernet Switch
! Configuration
!
! Firmware: Build 2.00.020
! Copyright(C) 2017 D-Link Corporation. All rights reserved.
!-----------------------------------------

username admin password 0 admin
username admin privilege 15
!
line console
!
line telnet
login local
!
line ssh
!
ssh user admin authentication-method password
!
vlan 100-102,200-202
!
vlan 101
name VLAN_Community
private-vlan community
!
vlan 102
name VLAN_isolated
private-vlan isolated
!
vlan 201
name VLAN2_Community
private-vlan community
!
vlan 202
name VLAN2_isolated
private-vlan isolated
!
vlan 100
name VLAN_Primaria
private-vlan primary
private-vlan association add 101-102
!
vlan 200
name VLAN2_Primaria
private-vlan primary
private-vlan association add 201-202
!
interface Mgmt0
!
interface ethernet 1/0/1
switchport mode private-vlan promiscuous
switchport private-vlan mapping 100 add 101-102
!
interface ethernet 1/0/2
switchport mode private-vlan promiscuous
switchport private-vlan mapping 200 add 201-202
!
interface ethernet 1/0/3
!
interface ethernet 1/0/4
!
interface ethernet 1/0/5
!
interface ethernet 1/0/6
!
interface ethernet 1/0/7
!
interface ethernet 1/0/8
!
interface ethernet 1/0/9
switchport mode private-vlan host
switchport private-vlan host-association 100 101
!
interface ethernet 1/0/10
switchport mode private-vlan host
switchport private-vlan host-association 100 101
!
interface ethernet 1/0/11
switchport mode private-vlan host
switchport private-vlan host-association 100 101
!
interface ethernet 1/0/12
switchport mode private-vlan host
switchport private-vlan host-association 100 101
!
interface ethernet 1/0/13
switchport mode private-vlan host
switchport private-vlan host-association 100 102
!
interface ethernet 1/0/14
switchport mode private-vlan host
switchport private-vlan host-association 100 102
!
interface ethernet 1/0/15
switchport mode private-vlan host
switchport private-vlan host-association 100 102
!
interface ethernet 1/0/16
switchport mode private-vlan host
switchport private-vlan host-association 100 102
!
interface ethernet 1/0/17
switchport mode private-vlan host
switchport private-vlan host-association 200 201
!
interface ethernet 1/0/18
switchport mode private-vlan host
switchport private-vlan host-association 200 201
!
interface ethernet 1/0/19
switchport mode private-vlan host
switchport private-vlan host-association 200 201
!
interface ethernet 1/0/20
switchport mode private-vlan host
switchport private-vlan host-association 200 201
!
interface ethernet 1/0/21
switchport mode private-vlan host
switchport private-vlan host-association 200 202
!
interface ethernet 1/0/22
switchport mode private-vlan host
switchport private-vlan host-association 200 202
!
interface ethernet 1/0/23
switchport mode private-vlan host
switchport private-vlan host-association 200 202
!
interface ethernet 1/0/24
switchport mode private-vlan host
switchport private-vlan host-association 200 202
!
interface ethernet 1/0/25
switchport mode private-vlan host
!
interface ethernet 1/0/26
switchport mode private-vlan host
!
interface ethernet 1/0/27
switchport mode private-vlan host
!
interface ethernet 1/0/28
switchport mode private-vlan host
!
interface Vlan1
!
interface Null0
!
ntp access-group default nomodify noquery
!
!
end

Hasta aquí hemos llegado con nuestro manual de cómo configurar las Private VLAN en un switch L3 D-Link DGS-3630-28PC.

EUR 2.660,63 EUR

Podéis leer el análisis completo a continuación:

Podéis visitar la página web oficial de la familia D-Link DGS-3630 donde encontraréis todas las especificaciones técnicas de este equipo. Os recomendamos visitar nuestra página dedicada al fabricante D-Link donde encontraréis todos los análisis que hemos realizado hasta la fecha. También podéis acceder a la sección D-Link Hogar Digital donde encontraréis manuales de configuración de los diferentes dispositivos del fabricante D-Link.