formacion-ubrss-ubiquiti

Asignación de VLANS en Ubiquiti Unifi – [Parte 1].

Asignación de VLANS en Ubiquiti Unifi – [Parte 1].

Introducción a VLANS con Ubiquiti Unifi.

Las VLANs, son una forma sencilla de gestionar el tráfico de la red, segregar el tráfico para la seguridad de los puertos y/o el aislamiento del tráfico, como también construir un entorno seguro.

Una red de área local virtual (VLAN) es un grupo de dispositivos de una red que puede tratarse como una sola red física. En una VLAN, todos los dispositivos de red, como un switch, un router o un punto de acceso, son iguales, pero pertenecen a una red específica y separada. Esto es muy útil en un entorno corporativo, donde el espacio de red puede ser bastante limitado.

Una VLAN representa un dominio de difusión. Las VLANs se identifican con un ID de VLAN (un número entre 0 y 4095), siendo la VLAN por defecto en cualquier red la VLAN 1. Cada puerto de un switch o router puede ser asignado para ser miembro de una VLAN (es decir, para permitir la recepción y el envío de tráfico en esa VLAN). Por ejemplo: en un switch, el tráfico que se envía a un puerto que es miembro de la VLAN 100, puede reenviarse a cualquier otro puerto VLAN 100 del switch, y también puede viajar a través de un puerto troncal (conexiones entre switches) a otro switch y reenviarse a todos los puertos VLAN 100 de ese switch. Sin embargo, el tráfico no se reenviará a los puertos que estén en un ID de VLAN diferente.

Dado que las VLAN son un protocolo de Capa 2, en caso de necesitar acceder a redes de capa 3, necesitaríamos realizar reglas de enrutamiento. Por suerte, ya contamos con modelos de Switch que funcionan en capa 2 y capa 3, por lo tanto pueden enrutar las VLANS directamente desde un Switch, ahorrando recursos en un router.

Para implementar las VLANs, los routers y switches tienen que tener soporte de VLANS, el estándar que define las VLANS es el IEEE 802.1Q, todos los switches de Ubiquiti tienen soporte a estándar 802.1Q y como es un estándar las VLANS se pueden trasladar entre diferentes hardwares fabricantes.

Casos de uso de VLANS con Ubiquiti.

A continuacion queremos exponer algunos casos de uso, en donde se puede implementar una red con VLANS:

  • Separar el tráfico general de la red del tráfico de los usuarios finales o de los servidores.
  • Separar distintos tipos de usuario, por ejemplo, usuarios corporativos, de usuarios invitados.
  • Para priorizar o implementar reglas de calidad de servicio (QoS) para servicios específicos, como los teléfonos VoIP.
  • Para separar grupos de hosts de forma lógica, independientemente de la ubicación física; por ejemplo, permitir que los empleados de TI compartan la misma subred de red y accedan a los mismos recursos de red, independientemente de su ubicación dentro del edificio.

VLAN TAG con Unifi.

La definición y el uso del término VLAN Tagging varía mucho en función del fabricante de hardware que se utilice. Para que el hardware compatible con 802.1Q, se añade una cabecera 802.1Q a la trama Ethernet que especifica el ID de la VLAN.

Esta etiqueta VLAN ID puede ser añadida o eliminada por un host, un router o un switch. Dentro de la red, los puertos físicos se configuran como no etiquetados o etiquetados para una VLAN específica, determinando si aceptan y reenvían el tráfico perteneciente a cada ID VLAN. Veamos con más detalle cada una de ellas.

Sin etiquetar: una VLAN sin etiquetar también se denomina a veces «VLAN nativa». Cualquier tráfico que se envíe desde un host a un puerto del switch que no tenga un ID de VLAN especificado, se asignará a la VLAN sin etiqueta.

Esta opción se utiliza normalmente cuando se conectan hosts como estaciones de trabajo o dispositivos como cámaras IP que no etiquetan su propio tráfico y solo necesitan comunicarse en una VLAN específica. Un puerto solo puede tener configurada una VLAN sin etiquetar a la vez.

Etiquetada: La asignación de una VLAN etiquetada a un puerto añade ese puerto a la VLAN, pero todo el tráfico de entrada y salida debe estar etiquetado con el ID de la VLAN para poder ser reenviado. El host conectado al puerto del switch debe ser capaz de etiquetar su propio tráfico y estar configurado para hacerlo con el mismo ID de VLAN.

Las VLANs etiquetadas (a diferencia de las no etiquetadas) en un puerto se utilizan normalmente cuando se conecta a un host que necesita acceder a varias redes a la vez utilizando la misma interfaz, como un servidor que proporciona servicios a más de un departamento en una oficina. También puede utilizarse cuando se conectan dos conmutadores, con el fin de restringir el acceso a una VLAN a los hosts conectados a un conmutador de enlace descendente por motivos de seguridad.

Troncal: Un puerto troncal se considera normalmente un miembro de todas las VLANs-aceptará y reenviará el tráfico en cualquier ID de VLAN y se configura normalmente para los puertos de enlace ascendente y descendente entre switches y routers.

Aunque cada familia de productos Ubiquiti utiliza un enfoque diferente para configurar las VLAN, todos siguen el mismo método Untagged, Tagged, Trunked para gestionar el tráfico.

Cómo configurar las VLAN en los routers USG UniFi

El UniFi Security Gateway (USG) y el UniFi Dream Machine (UDM y UDM-Pro) pueden utilizarse para gestionar el servidor DHCP, las políticas de enrutamiento y las VLANs. Para configurar una VLANS es necesario ir a la sección: Configuración > Redes> para definir las subredes.

Una red corporativa no tiene restricciones, mientras que una red de invitados no debería poder comunicarse con otras subredes de la red. La configuración del control de invitados también se aplica a las redes de invitados (es decir, el portal de invitados).

La red de la interfaz LAN física por defecto utiliza la VLAN 1 sin etiquetar. Puede haber múltiples VIFs (interfaz virtual/VLANs) por interfaz LAN física. El ID de VLAN de la subred no etiquetada (de 1 o 4010, dependiendo de si es una subred LAN o VoIP) no puede ser editado. La ventana de configuración tiene un aspecto similar tanto para las redes corporativas como para las de invitados, por lo que a continuación solo se mostrará una red corporativa.

Lo único que se debería hacer es introducir la dirección IP deseada con CIDR, y luego el ID de la VLAN.

Configuración VLANS unifi.

Al terminar de crear la red VLAN, podríamos crear un DHCP sobre esa VLAN para luego pasar el ID hacia un switch o Access Point. En la segunda parte de este capitulo, explicaremos como asignar VLANS a los Switchs, APS y como utilizar el servidor de Radius para asignar VLANS.

Artículos relacionados