Este documento describe la definición de VLAN, por qué se usan, cómo funcionan y cómo configurarlas.
Las VLAN separan LAN físicas en múltiples dominios de broadcast para aislar servicios con el fin de mejorar la seguridad y la administración de la red. Los hosts dentro de redes VLAN se pueden comunicar directamente solo con otros hosts en la misma VLAN y deben utilizar un router para comunicarse con otros hosts en otras VLAN.
Dos switches se instalan en ubicaciones distintas, por ejemplo, en pisos diferentes en un edificio. Ambos switches conectan dos computadoras que pertenecen a empresas distintas. En este caso, las computadoras pueden asignarse a diferentes VLAN, logrando así un aislamiento de usuarios entre empresas.
Un switch identifica paquetes provenientes de diferentes VLAN de acuerdo con la información contenida en sus etiquetas VLAN. IEEE 802.1Q agrega una etiqueta de 4 bytes entre la dirección MAC de Origen/Destino y el campo Longitud/Tipo a una trama Ethernet, como se muestra en la siguiente figura.
6Byte 6byte 4Byte 2Byte 46-1500Byte 4Byte
Dirección de destino Dirección de origen Etiqueta VLAN Longitud/Tipo Data FCS
TPID PRI CFI VID
2Byte 3bit 1bit 12bit
El campo VLAN ID (VID) de una trama de datos identifica la VLAN a la cual pertenece la trama de datos (la VLAN en la cual el la trama de datos puede transmitirse). Todos las tramas procesadas en un switch transportan etiquetas VLAN, pero algunos dispositivos conectados a un switch no pueden procesar tramas etiquetadas. Para habilitar la comunicación entre el switch y estos dispositivos, las interfaces deben ser capaces de identificar si la trama Ethernet está etiquetada, y entonces decidir si agregar etiquetas VLAN a la trama o quitarlas. Los hosts en una misma VLAN pueden conectarse a diferentes switches, en los cuales la VLAN abarca varios switches. Para habilitar la comunicación entre estos hosts, las interfaces entre switches deben ser capaces de identificar y enviar tramas hacia varias VLAN.
Los dispositivos Huawei pueden configurarse usando cuatro tipos de interfaces: access, trunk, hybrid y QinQ. Los cuatro tipos de interfaces procesan tramas de forma distinta, por lo tanto la interface que debe ser configurada depende de la interface a la que se conecta (por ejemplo, si se conecta a otro host o a otro switch).
Access: una interface access generalmente conecta a una terminal de usuario como un host de usuario o un servidor que no puede identificar etiquetas VLAN, o se usan cuando las VLAN no necesitan ser diferenciadas. En la mayoría de los casos, las interfaces access solo pueden recibir y enviar datagramas sin etiquetas, y pueden agregar solamente una VLAN única a datagramas sin etiquetar.
Trunk: una interface trunk generalmente se conecta a un switch, router, AP, o una terminal de voz que puede recibir y enviar datagramas etiquetados o sin etiqueta. Permite que los datagramas etiquetados provenientes de varias VLAN y datagramas sin etiquetar proveniente solamente de una sola VLAN.
Hybrid: una interface hybrid puede conectarse a una terminal de usuario como un host de usuario o servidor, o un dispositivo de red como un hub o un switch no manejable que no pueden identificar etiquetas VLAN, además pueden conectarse a un switch, router, AP, o a una terminal que puede recibir y enviar datagramas etiquetados o sin etiqueta. Permite el paso de datagramas etiquetados provenientes de distintas VLAN. Si los datagramas enviados desde una interface hybrid son etiquetados o no depende la configuración de la VLAN.
QinQ: una interface 802.1Q-in-802.1Q (QinQ) generalmente conecta una red privada con una pública Puede agregar etiquetas 802.1Q a un datagrama etiquetado. QinQ soporta hasta 4094 x 4094 VLAN, ofreciendo suficientes VLAN requeridas por redes. Una interface QinQ también se conoce como Dotq1-tunnel interface.
Las VLAN se pueden asignar en base a interfaces, direcciones MAC, políticas, subredes y protocolos. A continuación se comparan distintos modos de asignación de VLAN.
- Las VLAN son asignadas en base a interfaces.
- Redes de cualquier tamaño y con dispositivos en ubicaciones fijas
- Las VLAN son asignadas en base a la dirección MAC origen de los datagramas.
- Redes pequeñas donde las terminales de usuario cambian su ubicación física a menudo, pero sus interfaces de red casi nunca cambian
- Las VLAN son asignadas en base a la dirección IP de origen y máscaras de subred.
- Escenarios donde hay altos requerimientos de mobilidad y administración simplificada y bajos requerimientos de seguridad.
- Las VLAN son asignadas en base a tipos de protocolos y formatos de encapsulación de datagramas.
- Redes que usen varios protocolos
- Las VLAN son asignadas en base a políticas tales como combinación de interfaces, direcciones MAC y direcciones IP.
- Redes complejas
La asignación de VLAN basada en intefaces es la más simple y la más utilizada. Los métodos de configuración varían de acuerdo al tipo de interface.
Ejecute el comando system-view para entrar en la vista del sistema.
Ejecute el comando vlan vlan-id para crear una VLAN y entrar en su vista.
NOTA: Un switch soporta un máximo de 4096 VLAN, entre las cuales la VLAN 0 y 4095 son reservadas para uso del sistema, y la VLAN 1 está creada por defecto. Por lo tanto solo se pueden crear VLAN entre 2 y 4094.
Es posible repetir el comando
vlanvarias veces. Si una VLAN ya ha sido creada, este comando no se puede utilizar para crear la misma VLAN o modificar su configuración.El comando
vlan batchse puede utilizar para crear varias VLAN en lotes. Si una VLAN ya ha sido creada, este comando no se puede utilizar para crear la misma vlan o modificar su configuración. Si se ejecuta el comandovlan batchvarias veces, todas las VLAN que se especifiquen serán creadas.
El siguiente ejemplo describe cómo crear una VLAN con la etiqueta 100 y verificar su creación en un switch:
<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] display vlan summary
Static VLAN:
Total 2 static VLAN.
1 100
Dynamic VLAN:
Total 0 dynamic VLAN.
Reserved VLAN:
Total 0 reserved VLAN.
Los siguientes ejemplos describen los métodos para configurar una interface como access, hybrid, o trunk, y agregarlas a una VLAN:
Ejecute el comando interface interface-type interface-number para entrar en la vista de la interface Ethernet que será agregada a la VLAN.
Ejecute el comando port link-type access para configurar la interface Ethernet como access.
Ejecture el comando port default vlan vlan-id para configurar la VLAN por defecto para la interface y agregarla a la VLAN especificada.
El siguiente ejemplo muestra cómo configurar GE1/0/1 como una interface access, agregarla a la VLAN 100, y verificar su configuración:
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type access
[HUAWEI-GigabitEthernet1/0/1] port default vlan 100
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] display port vlan gigabitethernet 1/0/1
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/1 access 100 -
Ejecute el comando interface interface-type interface-number para entrar en la vista de la interface Ethernet que será agregada a la VLAN.
Ejecute el comando port link-type trunk para configurar la interface Ethernet como una interface trunk.
Ejecute el comando port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all } para agregar la interface a la VLAN especificada.
(opcional) Ejecture el comando port trunk pvid vlan vlan-id para configurar la VLAN por defecto para la interface trunk.
NOTA:
Si la VLAN permitida por una interface es la VLAN por defecto de esta, los paquetes provenientes de la VLAN son reenviados sin etiquetas.
El siguiente ejemplo muestra cómo configurar GE1/0/2 como una interface trunk, agregarla a la VLAN 100, y verificar su configuración
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port link-type trunk
[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 100
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] display port vlan gigabitethernet 1/0/2
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/2 trunk 1 1 100
Ejecute el comando interface interface-type interface-number para entrar en la vista de la interface Ethernet que será agregada a la VLAN.
Ejecute el comando port link-type hybrid para configurar la interface Ethernet como una interface hybrid.
Ejecute los siguientes comandos según sea necesario:
port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }
La interface hybrid se agrega a la VLAN en modo sin etiquetar y la interface eliminará las etiquetas VLAN de los datagramas antes de enviarlos.
port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }:
La interface hybrid se agrega a la VLAN en modo con etiquetas y la inteface reenviará los datagramas sin eliminar las etiquetas VLAN.
(opcional) Ejecuta el comando port hybrid pvid vlan vlan-id para configurar la VLAN por defecto para la interface hybrid.
El siguiente ejemplo muestra cómo configurar GE1/0/3 como una interface hybrid, agregarla a la VLAN 100, y verificar su configuración:
[HUAWEI] interface gigabitethernet 1/0/3
[HUAWEI-GigabitEthernet1/0/3] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/3] port hybrid tagged vlan 100
[HUAWEI-GigabitEthernet1/0/3] quit
[HUAWEI] display port vlan gigabitethernet 1/0/3
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/3 hybrid 1 100