Asymmetric VLAN
La utilización de VLAN permite segmentar nuestra red en capa 2, separando de forma segura y efectiva el tráfico entre redes al mismo tiempo que reduce el tamaño de los dominios de broadcast y por tanto, reduce el tráfico en la red. Habitualmente, el uso de la VLAN se centra en redes grandes, usando switchs gestionables que si bien son muy potentes, son caros. Sin embargo, las VLAN también pueden ser muy útiles en entornos de redes pequeñas y medianas, como vamos a ver a continuación.
Imaginemos un escenario, donde tenemos una red corporativa de una docena de equipos, router de acceso a Internet y algunos recursos en red, como algún servidor de archivos, impresoras, etc. Por cuestiones de seguridad, interesa separar la red en dos redes totalmente independientes pero que puedan mantener el acceso a los recursos comunes. La solución habitual es utilizar switch L3 donde gestionamos mediante ACLs el acceso entre VLANs. El gran problema, viene por el elevado precio de estos equipos, que los hace inviables para el caso comentado.
La solución viene de la mano de D-Link y de su serie Smart, switches que están a medio de camino de los clásicos switchs “tontos” de enchufas y listos y de los caros switches gestionables. Estos smart switch, se gestionan mediante una interfaz web y permiten una gestión del switch que los acerca bastante a las prestaciones de un switch gestionable tradicional, pero a un precio ostensiblemente inferior.
En concreto, vamos a emplear la funcionalidad de Asymmetric VLAN en un switch D-Link DGS-1210-24, que nos va a permitir separar la red en VLAN independientes, pero al mismo tiempo mantener una VLAN compartida a la que podrán acceder los equipos del resto de VLANs.
A continuación vamos a ver la configuración paso a paso:
En primer lugar, vamos a definir el problema: tendremos dos VLAN vlan2 y vlan3 que corresponden a las dos redes que queremos separar. En concreto vlan2 utilizará los puertos 5 al 18 y vlan 3 del 19 al 24. Los puertos 1-4 serán los puertos correspondientes a los servicios comunes (acceso a Internet, servidor, impresora, etc.). Como red común para permitir el acceso compartido utilizaremos vlan1.
Entramos en la configuración del switch y habilitamos la opción de Asymmetric VLAN
A continuación, comprobamos que vlan1 tiene habilitados todos los puertos del swich en modo untagged ( modo normal del puerto de switch donde no se le añade a las tramas de salida la etiqueta de la VLAN).
Creamos la red VLAN2 y le asignamos los puertos correspondientes 1-18 en modo untagged. Observar como los puertos 19 a 24 se marcan como Not Member.
Repetimos el proceso con VLAN3, añadiendo como miembros los puertos 1-4 y 19-24, dejando el resto como Not Members.
Ahora asignamos el PVID correspondiente a cada uno de los puertos. Los puertos 1-4 se asignan con PVID=1, correspondiente a la VLAN1, mientras que del 5-18 les asignaremos PVID=2 y por último, los puertos 19-24 se les asgina el PVID=3.
Aplicamos los cambios y ya podemos salir de la configuración del switch.
A partir de este momento, los equipos asignados a diferentes VLAN son invisibles, pero todos ellos pueden acceder a Internet o a los recursos que se encuentren en los puertos compartidos. Evidentemente, en este caso, todos los equipos estarán en la misma subred IP.
En un siguiente post, explicaré cómo extender este procedimiento a nuestra red corporativa WiFi, por ejemplo para crear una red de invitados que simplemente tenga acceso a Internet.