La configuración de redes VLAN en switches es fundamental para segmentar el tráfico y mejorar la seguridad y el rendimiento de la red. En el caso de los switches HP ProCurve, la nomenclatura y los comandos para la configuración de puertos trunk y VLAN pueden diferir de otros fabricantes como Cisco. Este artículo detalla el proceso para configurar puertos trunk en switches HP ProCurve, basándose en la necesidad de separar el acceso de profesores y alumnos en redes VLAN distintas.
El objetivo general es establecer dos VLANs: una para los ordenadores a los que tienen acceso los profesores y otra para los ordenadores a los que tienen acceso los alumnos. La correcta configuración de los switches es crucial para que estas VLANs funcionen según lo previsto, especialmente cuando se integran con un firewall como pfSense.
Creación y Configuración de VLANs
El primer paso en la configuración de los switches HP ProCurve es crear las VLANs necesarias. Si se utilizan dos VLANs, por ejemplo, VLAN 10 para profesores y VLAN 20 para alumnos, estas deben ser definidas en la configuración del switch. Los puertos que conectan al switch principal (o al firewall, como pfSense) deben ser configurados como "tagged" para ambas VLANs. Esto permite que el tráfico de ambas VLANs atraviese este enlace. Los puertos que conectan a los dispositivos finales (ordenadores de profesores o alumnos) deben ser configurados como "untagged" para la VLAN correspondiente. Es decir, los puertos conectados a los ordenadores de profesores se asignarán a la VLAN 10 (untagged), y los puertos conectados a los ordenadores de alumnos se asignarán a la VLAN 20 (untagged).
Para que la comunicación entre VLANs funcione correctamente y el tráfico sea gestionado por el firewall, los puertos troncales (trunk) deben estar configurados adecuadamente. Los puertos troncales permiten el paso de múltiples VLANs a través de un único enlace físico. En los switches HP ProCurve, la configuración de estos puertos es esencial para la interconexión con otros switches o dispositivos que manejan VLANs, como el pfSense.
Configuración de Puertos Trunk
La configuración de un puerto trunk en un switch HP ProCurve implica especificar qué VLANs pueden pasar a través de ese puerto y cómo debe ser tratado el tráfico de esas VLANs. Cuando se conecta un switch HP ProCurve a otro switch o a un dispositivo como pfSense, y se desea que ese enlace transporte tráfico de múltiples VLANs, dicho enlace debe ser configurado como un puerto trunk. En este escenario, los puertos conectados al switch principal (o al pfSense) deben tener las VLANs relevantes configuradas como "tagged".
Por ejemplo, si los puertos 23 y 24 del switch HP ProCurve se utilizan para conectar a otros switches o al firewall, y estos deben transportar tráfico de la VLAN 1 y la VLAN 2 (o las VLANs de profesores y alumnos), estos puertos deben configurarse para permitir el paso de ambas VLANs de forma "tagged". Los otros puertos, que se conectan directamente a los dispositivos finales, se configurarán como "untagged" para la VLAN específica a la que pertenecen (por ejemplo, puertos untagged para la VLAN de profesores y otros puertos untagged para la VLAN de alumnos).
La documentación de HP para sus switches ProCurve, como la serie 2920, proporciona detalles sobre cómo configurar estos parámetros. Es importante consultar los manuales específicos del modelo de switch ProCurve que se esté utilizando, ya que la sintaxis de los comandos puede variar ligeramente.
Consideraciones Adicionales
Si un switch HP ProCurve necesita llevar más de una VLAN desde el firewall (pfSense) a otros switches, ese enlace debe ser configurado como un puerto trunk (tagged). Si, por el contrario, solo se necesita llevar una única VLAN a un switch específico, la configuración podría ser más simple, pero para una segmentación de red completa, la configuración de puertos trunk es la práctica estándar.
La correcta configuración del pfSense es un prerrequisito, pero la configuración de los switches donde residen las VLANs y los puertos de acceso es donde a menudo surgen las dudas. Asegurarse de que los puertos 23 y 24, por ejemplo, estén configurados como "untagged" para las VLANs necesarias, o como "tagged" para el tráfico troncal, es fundamental para el correcto funcionamiento de la red.
Es importante tener en cuenta que la configuración de cada switch en la red debe ser coherente. Si se tienen varios switches interconectados, la configuración de los puertos troncales entre ellos debe ser idéntica para permitir la comunicación fluida entre las VLANs a través de toda la infraestructura.
Configuración de VLAN del conmutador HP ProCurve
La correcta asignación de puertos como "tagged" o "untagged" es la clave para que las VLANs funcionen. Los puertos "tagged" permiten que el switch sepa a qué VLAN pertenece cada paquete que pasa por ellos, mientras que los puertos "untagged" pertenecen a una única VLAN y envían tráfico sin etiquetas de VLAN.
En resumen, para configurar puertos trunk en switches HP ProCurve, se deben:
- Crear las VLANs necesarias en el switch.
- Identificar los puertos que actuarán como troncales (conectando a otros switches o al firewall) y configurarlos como "tagged" para las VLANs correspondientes.
- Identificar los puertos que se conectarán a los dispositivos finales y configurarlos como "untagged" para la VLAN específica a la que pertenecen.
- Verificar la configuración en el firewall (pfSense) para asegurar que las VLANs estén correctamente definidas y enrutadas.