Interconexión de VLANs: Enrutamiento entre redes virtuales

Mauro Escalante
mayo 31, 2023
11:56 am
No hay comentarios

La interconexión de VLANs se refiere al proceso de establecer comunicación entre diferentes redes virtuales (VLANs) en una infraestructura de red. Las VLANs son segmentos lógicos de una red física que permiten a los administradores dividir la red en grupos lógicos más pequeños para mejorar la seguridad, la administración y el rendimiento de la red.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Cuando se crean VLANs separadas, por defecto, no pueden comunicarse directamente entre sí. Sin embargo, en muchas situaciones, es necesario permitir la comunicación entre diferentes VLANs para compartir recursos o permitir que los usuarios accedan a servicios específicos en otras redes virtuales. Aquí es donde entra en juego el enrutamiento entre VLANs.

El enrutamiento entre VLANs permite que el tráfico se mueva entre diferentes VLANs mediante el uso de un dispositivo de enrutamiento o un switch de capa 3 que tenga capacidad de enrutamiento. Estos dispositivos actúan como puentes entre las VLANs y les permiten comunicarse entre sí.

Formas de implementar enrutamiento

Las principales formas de implementar el enrutamiento entre VLANs son:

1. Enrutamiento con un enrutador externo

En esta configuración, cada VLAN está conectada a su propia interfaz en el enrutador. Cuando un paquete de datos necesita ser enviado de una VLAN a otra, se envía al enrutador, que luego lo reenvía a la VLAN de destino. Esta técnica es simple y eficaz, pero puede ser ineficiente si hay muchas VLANs, ya que requiere una interfaz separada para cada una.

2. Enrutamiento en la capa 3 de conmutación

En esta configuración, el enrutamiento se realiza dentro del conmutador, que puede entender y manipular paquetes a nivel de red. Este tipo de conmutador tiene múltiples interfaces de capa 3 virtuales, una para cada VLAN, lo que le permite enrutamiento entre ellas. Esta técnica es más eficiente que el enrutamiento con un enrutador externo, pero requiere hardware más sofisticado y costoso.

3. Enrutamiento con un enlace troncal (Router-on-a-stick)

En esta configuración, una sola interfaz física en un enrutador se utiliza para manejar el tráfico de varias VLANs. Las VLANs se diferencian utilizando etiquetas de VLAN (802.1Q) en los paquetes de datos. Esta técnica es más eficiente que el enrutamiento con un enrutador externo en términos de uso de interfaces, pero puede ser limitada por la cantidad de ancho de banda disponible en la interfaz troncal.

Pasos esenciales

Cuando se configura el enrutamiento entre VLANs, se deben realizar varios pasos:

1. Configuración de las VLANs

Primero, se crean las VLANs individuales en los switches o dispositivos de red. Cada VLAN se configura con una identificación única y se asignan puertos específicos a cada VLAN.

2. Configuración de las interfaces de enrutamiento

En el dispositivo de enrutamiento o en el switch de capa 3, se deben configurar las interfaces que se conectarán a cada VLAN. Estas interfaces se configuran con direcciones IP pertenecientes a las subredes de cada VLAN.

3. Configuración de la tabla de enrutamiento

Se configuran las rutas estáticas o se utiliza un protocolo de enrutamiento dinámico para permitir que el dispositivo de enrutamiento conozca cómo llegar a las subredes de cada VLAN.

4. Establecimiento de políticas de acceso

Se pueden aplicar listas de control de acceso (ACL) para controlar qué tráfico se permite o se bloquea entre las VLANs. Esto proporciona una capa adicional de seguridad y control.

Una vez que se completan estos pasos, las VLANs estarán interconectadas y podrán comunicarse entre sí a través del dispositivo de enrutamiento o el switch de capa 3. El dispositivo de enrutamiento examinará la información de destino de los paquetes y los enrutará hacia la VLAN de destino correspondiente.

Es importante tener en cuenta que el enrutamiento entre VLANs puede tener un impacto en el rendimiento de la red, ya que implica el procesamiento adicional de paquetes y puede generar tráfico adicional en la red.

Por lo tanto, es importante diseñar cuidadosamente la configuración de enrutamiento y considerar el ancho de banda y los recursos disponibles para garantizar un rendimiento óptimo de la red.

Routers o Switches Capa 3

La elección entre utilizar un enrutador (router) o un switch de capa 3 para el enrutamiento entre VLANs dependerá de varios factores, incluyendo el tamaño de la red, el volumen de tráfico, los recursos disponibles y las necesidades específicas de la organización.

Aquí se presentan algunas consideraciones que pueden ayudarte a tomar una decisión:

1. Rendimiento

Los switches de capa 3 suelen ser más rápidos que los routers para el enrutamiento, ya que el hardware de los switches está diseñado para manejar el enrutamiento de paquetes a alta velocidad. Esto puede ser especialmente importante en redes con una gran cantidad de tráfico inter-VLAN.

2. Costo

Los switches de capa 3 suelen ser más costosos que los routers debido a su hardware especializado. Por lo tanto, si el presupuesto es una consideración importante, puede que un router sea una opción más rentable.

3. Escalabilidad

Si la red está destinada a crecer en tamaño y complejidad, un switch de capa 3 puede ser una opción más escalable. Los switches de capa 3 pueden manejar un gran número de VLANs y proporcionar enrutamiento inter-VLAN sin la necesidad de interfaces físicas adicionales como lo requiere un router.

4. Características avanzadas

Los routers suelen ofrecer una gama más amplia de características avanzadas en comparación con los switches de capa 3. Estos pueden incluir soporte para una gama más amplia de protocolos de enrutamiento, capacidades de firewall, VPN y otras funciones de seguridad.

5. Facilidad de configuración y gestión

Los switches de capa 3 suelen ser más fáciles de configurar y gestionar para el enrutamiento inter-VLAN en comparación con los routers. Esto se debe a que puedes configurar múltiples interfaces de VLAN en un solo dispositivo en lugar de tener que gestionar múltiples interfaces físicas en un router.

En resumen, la elección entre un router y un switch de capa 3 para el enrutamiento entre VLANs dependerá de las necesidades específicas de tu red. Ambas opciones tienen ventajas y desventajas, y la mejor opción variará de una situación a otra.

Routers versus Switches Capa 3

A continuación, te presentamos una tabla comparativa que destaca algunas de las ventajas que ofrecen tanto los routers como los switches de capa 3 para el enrutamiento entre VLANs en una red:

	Router	Switch de Capa 3
Rendimiento	Típicamente menor velocidad en el enrutamiento en comparación con los switches de capa 3	Alto rendimiento, capaz de enrutamiento a alta velocidad
Costo	Generalmente más económicos	Generalmente más costosos debido al hardware especializado
Escalabilidad	Puede ser limitado por el número de interfaces físicas disponibles	Muy escalable, puede manejar un gran número de VLANs
Características avanzadas	Soporte para una amplia gama de protocolos de enrutamiento, firewall, VPN, entre otros	Limitado principalmente al enrutamiento, aunque algunos modelos pueden incluir funciones avanzadas
Configuración y gestión	Puede ser más complicado debido a la necesidad de gestionar múltiples interfaces físicas	Configuración y gestión más sencillas debido a las interfaces de VLAN virtual

Implementación de enrutamiento VLAN en RouterOS

El siguiente es un ejemplo de cómo podrías configurar el enrutamiento entre VLANs en un router MikroTik. Esto asume que ya tienes dos VLANs configuradas (VLAN 10 y VLAN 20) en el puerto ether2, y quieres configurar el enrutamiento entre ellas.

Este es un ejemplo sencillo y puede que necesites ajustar los comandos para que se ajusten a las necesidades específicas de tu red.

Primero, necesitaremos asignar direcciones IP a cada una de las VLANs. Estas direcciones actuarán como la puerta de enlace predeterminada para cada VLAN. Supongamos que usaremos 192.168.10.1/24 para la VLAN 10 y 192.168.20.1/24 para la VLAN 20:

				
					/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20

2. A continuación, habilitaremos el enrutamiento entre las VLANs. MikroTik realiza esto automáticamente a través de su capacidad de enrutamiento de capa 3:

				
					/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1

3. Finalmente, si quieres que las VLANs también puedan acceder a Internet, necesitarás configurar una ruta predeterminada a través de tu gateway de Internet. Supongamos que tu gateway de Internet es 192.168.1.1:

				
					/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1

Agregar reglas de firewall para controlar el tráfico entre VLANs en un router MikroTik puede ayudar a mejorar la seguridad de la red. A continuación, te mostramos un ejemplo de cómo podrías hacer esto.

Supongamos que deseas bloquear todo el tráfico de la VLAN 10 a la VLAN 20, pero permitir el tráfico en la dirección opuesta. Primero, necesitarás identificar las redes correspondientes a tus VLANs (por ejemplo, 192.168.10.0/24 para VLAN 10 y 192.168.20.0/24 para VLAN 20), luego puedes usar los siguientes comandos:

				
					/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept

Estos comandos crearán dos reglas de firewall:

La primera regla bloqueará todo el tráfico de la VLAN 10 a la VLAN 20 (es decir, todos los paquetes que se originen en la red 192.168.10.0/24 y estén destinados a la red 192.168.20.0/24 serán descartados).
La segunda regla permitirá el tráfico de la VLAN 20 a la VLAN 10 (es decir, todos los paquetes que se originen en la red 192.168.20.0/24 y estén destinados a la red 192.168.10.0/24 serán aceptados).

Este es un ejemplo muy básico. Las reglas de firewall pueden ser mucho más complejas y específicas dependiendo de tus necesidades de seguridad. Por ejemplo, podrías querer bloquear o permitir sólo ciertos tipos de tráfico (por ejemplo, HTTP, SSH, etc.), o podrías querer bloquear o permitir tráfico a/desde ciertas direcciones IP específicas.