Un concepto bastante interesante y ampliamente usado en ambientes donde la seguridad lo exige es el de private VLAN. Básicamente, se divide una VLAN primaria en varias VLANs privadas, donde cada puerto de una VLAN privada puede comunicarse sólo con un único puerto de Uplink y no con los demás puertos. Para clarificarlo un poco con un ejemplo se muestra el siguiente esquema:

En este post mostraré cómo crear VLANs en un switch Cisco, configurar puertos de acceso y puertos de trunk y rutear las VLANs para que puedan comunicarse entre sí. El ruteo se hace con el método de router-on-stick.

El tipo de diseño de LAN jerárquica es quizá el más difundido debido a su simpleza y a varias características importantes que garantiza: redundancia, escalabilidad, seguridad, mantenibilidad. La idea es muy sencilla y consiste en dividir una red LAN en tres capas diferentes:

Un Etherchannel es un tipo especial de interfaz que agrupa varios puertos físicos en un único puerto lógico. De esta manera es posible armar uplinks con mayor capacidad que la provista por los puertos individuales.

En una red LAN la redundancia se logra teniendo varios enlaces físicos entre los switches, de forma que queden varios caminos para llegar a un mismo destino. El resultado de esto es que la red LAN queda con ciclos o bucles. En la figura puede verse una red LAN redundante y cómo se forma un ciclo en ella.

Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello Cisco provee port security, un mecanismo bastante potente y sencillo que resumiré a continuación.

Para que los hosts de una misma VLAN se comuniquen entre sí alcanza con tener switches de capa 2 con soporte para VLANs. No obstante, es altamente probable que deseemos que pueda haber comunicación entre hosts de diferentes VLANs e, incluso, con Internet. Para esto necesitamos, lógicamente, algún dispositivo que realice el ruteo. En este post intentaré resumir brevemente las diferentes alternativas para rutear entre VLANs.

Una VLAN (virtual LAN) es, conceptualmente, una red de área local formada a nivel lógico. Dada esta particularidad, las VLANs proveen una forma de separar grupos de hosts con objetivos diferentes aunque estos se encuentren conectados al mismo switch. A su vez, en este punto, nos permite optimizar los puertos de switch.

En un post anterior hemos visto las formas de realizar ruteo entre VLANs. En esta oportunidad analizaremos uno de ellos, el de router on-a-stick. La idea es ver cómo se configura en equipos Cisco.

Hasta ahora hemos tratado en un primer post las formas de realizar ruteo entre VLANs y luego vimos el caso de router on-a-stick. En esta oportunidad analizaremos el ruteo entre VLANs utilizando un switch de capa 3, ejemplificando la configuración con equipos Cisco.

Crear múltiples VLANs en Linux e incluso armar un trunk con dicho sistema operativo es muy sencillo y explicar cómo se hace es el objetivo de este post. Los motivos por los cuáles se puede querer hacer esto son potencialmente muchos, aunque a continuación dejo algunos ejemplos.