Webinar incia en

0 Días
0 Horas
0 Minutos
0 Segundos

Webinar Gratuito

Introducción a Protocolo IPv6 con MikroTik RouterOS

Regístrate aqui

Cursos Certificación MikroTik

modalidad Autoestudio

¡ NUEVO ! ... MTCIPv6E (MikroTik Certified IPv6 Engineer)

MTCNA (Network Associate)

MTCTCE (Control de Tráfico y QoS)

MTCRE (Ruteo avanzado, OSPF, VRRP)

MTCINE (Internetworking, BGP, MPLS)

MTCSE (Seguridad Avanzada)

MTCSWE (Switching Avanzado)

Popular Keywords

Categories

No Record Found

View All Results
Facebook-f Twitter Linkedin Youtube Instagram Whatsapp
abcXperts by Academy Xperts - cursos y consultorías MikroTik y Ubiquiti

Malas configuraciones en Capa 2: VLAN en un Bridge dentro de un Bridge

  • Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

El escenario planteado describe la configuración de VLANs (Redes Locales Virtuales) sobre interfaces de puente (bridges) en un entorno de red. Esto es común en configuraciones avanzadas de redes donde se necesita segmentar el tráfico de red en diferentes VLANs para mejorar la seguridad y la eficiencia.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Escenario

En este escenario, tenemos un conjunto de interfaces (que no necesariamente deben ser interfaces físicas) y queremos que todas ellas estén en el mismo segmento de Capa 2.

Para lograr esto, las añadimos a un único puente (bridge). Sin embargo, se requiere que el tráfico de un puerto específico etiquete todo el tráfico en una VLAN particular.

Configuración Inicial

La configuración inicial implica la creación de dos puentes y una interfaz VLAN sobre uno de esos bridges. Luego, se asignan interfaces específicas a estos bridges.

Malas configuraciones en Capa 2: VLAN en un Bridge dentro de un Bridge

Comandos de Configuración

				
					/interface bridge
add name=bridge1
add name=bridge2
/interface vlan
add interface=bridge1 name=VLAN vlan-id=99
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge2 interface=VLAN
add bridge=bridge2 interface=ether3

Problema Identificado

El problema principal surge de la manera en que el aprendizaje de direcciones MAC se maneja entre los puertos del puente. La tabla de hosts del bridge muestra que los dispositivos en ether1 y ether2 necesitan enviar paquetes etiquetados con VLAN-ID 99 para alcanzar al host en ether3. Sin embargo, debido a la forma en que el aprendizaje MAC y (R)STP funcionan, esto puede resultar en varios problemas:

1. Aprendizaje de MAC Interrumpido

El aprendizaje de direcciones MAC solo es posible entre los puertos del bridge y no en interfaces creadas sobre el bridge.

2. Violación de IEEE 802.1W

Si un dispositivo detrás de ether3 utiliza (R)STP, ether1 y ether2 enviarán BPDUs etiquetados, violando el estándar.

3. Posibles Problemas y Síntomas

      • Bloqueo de puertos por RSTP.
      • Bucles en la red.
      • Fluctuaciones de puertos.
      • Tráfico inundado a todos los puertos.
      • Imposibilidad de conectar mediante MAC telnet.
      • Dispositivo inaccesible.

Solución Recomendada

La solución adecuada implica el uso de filtro de VLAN en el bridge (bridge VLAN filtering). Este método permite asignar un ID de VLAN cuando el tráfico entra en el bridge, especificando cuáles son los puertos etiquetados (trunk) y cuáles son los no etiquetados (access).

Comandos de Configuración Correcta

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3 pvid=99
/interface bridge vlan
add bridge=bridge1 tagged=ether1,ether2 untagged=ether3 vlan-ids=99

Explicación de la Configuración

1. Habilitación del Filtrado de VLAN

/interface bridge
add name=bridge1 vlan-filtering=yes

Esto asegura que el tráfico sea filtrado correctamente basado en las etiquetas VLAN antes de que llegue a la CPU del dispositivo.

2. Asignación de Interfaces a Puertos del Bridge

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3 pvid=99

Aquí se asigna un PVID (Puerto VLAN ID) de 99 a ether3, indicando que este puerto debe etiquetar el tráfico con VLAN-ID 99.

3. Configuración de las VLANs en el Bridge

/interface bridge vlan
add bridge=bridge1 tagged=ether1,ether2 untagged=ether3 vlan-ids=99

Esto define que ether1 y ether2 son puertos etiquetados y ether3 es un puerto no etiquetado para la VLAN 99.

Importancia del Filtrado de VLAN en el Bridge

El filtrado de VLAN en el bridge no solo simplifica la gestión de la red, sino que también mejora la seguridad y el rendimiento al asegurar que solo el tráfico adecuado pase por las interfaces correctas. Aquí se detallan algunos beneficios clave de esta configuración:

1. Seguridad Mejorada

      • Al etiquetar el tráfico adecuadamente, se evita que datos sensibles sean accesibles por interfaces no autorizadas.
      • El uso de VLANs permite segmentar la red, limitando el alcance de posibles ataques.

2. Optimización del Tráfico

      • El tráfico es dirigido específicamente a las interfaces que deben recibirlo, reduciendo la congestión y mejorando la eficiencia.
      • Se evitan bucles y tráfico inundado, que pueden causar interrupciones significativas en la red.

3. Cumplimiento de Estándares

      • La configuración asegura el cumplimiento con los estándares IEEE, como IEEE 802.1W, evitando problemas de compatibilidad y funcionalidad.

Consideraciones Adicionales

Al implementar esta configuración, es crucial considerar algunos aspectos adicionales para asegurar una implementación exitosa:

1. Configuración del Puerto de Gestión

Antes de habilitar el filtrado de VLAN, asegúrate de configurar un puerto de gestión para mantener el acceso de administración al dispositivo. Esto es esencial para evitar la pérdida de conexión de gestión.

/interface bridge port
add bridge=bridge1 interface=ether0 pvid=1

2. Monitoreo y Diagnóstico

      • Utiliza herramientas de monitoreo para observar el tráfico y el estado de las VLANs.
      • Diagnostica regularmente la tabla de hosts del puente para asegurarte de que los dispositivos estén aprendiendo las direcciones MAC correctamente.

3. Documentación

      • Mantén una documentación clara de la configuración de VLANs y bridges. Esto incluye los IDs de VLAN, las interfaces etiquetadas y no etiquetadas, y cualquier configuración específica del puerto.
      • Documenta cualquier cambio realizado en la configuración para referencias futuras y para facilitar la resolución de problemas.

Conclusiones

Configurar VLANs de manera adecuada en bridges es crucial para el correcto funcionamiento de la red y para evitar problemas como bucles, bloqueos de puertos y tráfico inundado.

Utilizar el filtrado de VLAN en el puente asegura una gestión eficiente y correcta de las etiquetas VLAN, mejorando la seguridad y la estabilidad de la red.

Breve cuestionario de conocimientos

¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?

QUIZ - Malas configuraciones en Capa 2: VLAN en un Bridge dentro de un Bridge

Libros recomendados para éste artículo

Etiquetas: Redes locales virtuales, Bridges en red, Gestión de redes, Optimización de tráfico, Seguridad de Red, Segmentación de tráfico, IEEE 802.1W, Filtrado de VLAN, Configuración de VLAN, VLAN-ID

Autoestudio MikroTik

Estudia las certificaciones MikroTik a tu propio ritmo

Autoestudio

Aprende a tu propio ritmo

advertisement (anuncio)

Artículos Relacionados

MikroLABs

Otros temas que te pueden interesar

advertisement (anuncio)

Anuncia tu marca aquí - Escríbenos por WhatsApp (+593 98 700 0604) - abcXperts / Academy Xperts
Escríbenos por WhatsApp (+593 98 700 0604)

¿Quieres sugerir un tema?

Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Tema para el proximo Blog

Próximos Cursos

Libros MikroTik (español)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MONARC Latin America: Soluciones Tecnológicas - Guatemala.
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear

AcademyXperts BETA 1.0

Tu asistente virtual de AcademyXperts

Cuéntanos un poco sobre tí.

Así podremos darte la mejor recomendación

El teléfono no es válido

Confírmanos tus datos

Nuestros horarios son de Lunes a Viernes de 9:00 AM a 6:00 PM.

Atención: Lunes a Viernes de 9:00 AM a 6:00 PM (Ecuador GMT-5).