En el ámbito de las redes informáticas, la configuración de los enlaces troncales (trunk) y la gestión de las VLAN (Virtual Local Area Network) son fundamentales para una comunicación eficiente y segmentada. Un enlace troncal es un enlace que conecta dos puertos de dos switches diferentes, permitiendo el paso del tráfico de múltiples VLANs entre ellos. El protocolo IEEE 802.1Q es el estándar más común para el etiquetado de tramas en estos enlaces, añadiendo información para identificar a qué VLAN pertenece cada paquete.
En la mayoría de los switches actuales, no es necesario definir explícitamente un protocolo de etiquetado de tramas, ya que se asume por defecto IEEE 802.1Q. Sin embargo, es crucial comprender cómo funcionan estos enlaces para optimizar el rendimiento de la red y garantizar la seguridad.
¿Qué es una VLAN y por qué es importante?
Según Wikipedia, una VLAN (acrónimo de Virtual LAN, «red de área local virtual») es un método para crear redes lógicas independientes dentro de una misma red física. Las VLANs permiten dividir una red física en múltiples redes lógicas separadas, lo que mejora la seguridad, el rendimiento y la gestión de la red. Los equipos que pertenecen a la misma VLAN están dentro del mismo dominio de difusión, lo que significa que el tráfico de broadcast de una VLAN no se propaga a otras.
Las VLANs se configuran en los puertos del switch, no en los dispositivos finales. Al dividir la red física en VLANs, también se divide el tráfico de broadcast, mejorando la eficiencia.
Puertos de Acceso vs. Puertos Troncales
Existen dos tipos principales de puertos en un switch en el contexto de las VLANs:
- Puerto de Acceso (Access Port): Estos puertos pertenecen a una sola VLAN y se utilizan normalmente para conectar dispositivos finales como ordenadores o impresoras. Facilitan la comunicación mediante paquetes de datos no etiquetados. Cuando el tráfico entra en un puerto de acceso, el switch agrega una etiqueta VLAN a las tramas de datos para identificar a qué VLAN pertenece el tráfico.
- Puerto Troncal (Trunk Port): Estos puertos están configurados para transportar tráfico y permitir la comunicación entre diferentes VLANs. De forma predeterminada, los puertos troncales permiten el tráfico de todas las VLANs de la red, pero los administradores pueden limitar o eliminar VLANs específicas. Se utilizan para conectar switches entre sí o un switch con un router. Los puertos troncales facilitan la comunicación mediante tramas de datos etiquetadas, utilizando protocolos como IEEE 802.1Q, que etiquetan cada paquete con un ID de VLAN.
La diferencia fundamental entre estos puertos es el número de VLANs que admiten. Los puertos de acceso son recomendados para dispositivos finales dentro de una misma VLAN, mientras que los puertos troncales son ideales para interconectar switches y permitir la comunicación entre diferentes VLANs.
En la tabla siguiente se resumen las diferencias clave:
| Factor | Puerto de Acceso | Puerto Troncal |
|---|---|---|
| Conectividad del dispositivo | Dispositivos finales dentro de la misma VLAN. | Componentes de red como switches, routers, firewalls. |
| Configuración | Se configura una VLAN específica. | Por defecto, admite todas las VLANs; se puede limitar (pruning). |
| Resolución de problemas | Menos compleja, afecta a una sola VLAN. | Más difícil, afecta a varias VLANs. |
| Seguridad | Mejor seguridad y aislamiento. | Comparativamente menos seguro, permite comunicación entre varias VLANs. |
| Dominio de difusión | Solo admite un único dominio de difusión. | Admite varios dominios de difusión. |
Protocolo IEEE 802.1Q y VLAN Nativa
El protocolo IEEE 802.1Q, también conocido como dot1Q, desarrolla un mecanismo que permite a múltiples redes compartir de forma transparente el mismo medio físico sin problemas de interferencia. Este protocolo introduce el concepto de VLAN nativa. Los frames que pertenecen a la VLAN nativa son los únicos que no se etiquetan en el enlace troncal. El tráfico sin etiquetar se transporta en la VLAN nativa predeterminada.
Es importante que la VLAN nativa sea la misma en ambos extremos de una interfaz Troncal para evitar problemas. Cisco Discovery Protocol (CDP) puede detectar e informar una discrepancia de VLAN nativa.
Protocolo DTP (Dynamic Trunking Protocol)
Cisco creó el protocolo DTP (Dynamic Trunking Protocol) para negociar dinámicamente el modo de operación del puerto (troncal o acceso) entre switches Cisco. Dado que este protocolo permite que un enlace se negocie automáticamente como troncal, y que ese troncal permitiría por defecto el tráfico de todas las VLANs existentes, DTP es un potencial riesgo de seguridad si no se configura correctamente.
Los modos de operación de DTP incluyen:
- Access: El puerto se considera un puerto de acceso y solo permite el paso de una VLAN.
- Dynamic auto: El puerto puede cambiar a acceso o troncal dependiendo del otro extremo, pero no solicitará ser troncal.
- Dynamic desirable (Default): Negocia con el puerto remoto. Si no detecta DTP, configura el puerto en modo acceso.
Configuración de VLANs y Puertos Troncales
La configuración de VLANs y puertos troncales se realiza a través de la Interfaz de Línea de Comandos (CLI) de los switches. Los switches Cisco Catalyst admiten diferentes cantidades de VLANs, divididas en rango normal (1-1005) y rango extendido (1006-4094).
Los comandos básicos para la configuración de VLANs incluyen:
- vlan vlan-id: Para crear una VLAN y entrar en el modo de configuración de VLAN.
- name vlan-name: Para asignar un nombre a la VLAN.
- switchport mode access: Para configurar un puerto como puerto de acceso.
- switchport access vlan vlan-id: Para asignar un puerto de acceso a una VLAN específica.
- switchport mode trunk: Para configurar un puerto como puerto troncal.
- switchport trunk allowed vlan [add|remove|all|except] vlan-id: Para gestionar las VLANs permitidas en un enlace troncal.
- show vlan brief: Para verificar la configuración de las VLANs.
- show interfaces interface-id switchport: Para verificar la configuración de un puerto específico.
Ejemplo de configuración de un puerto troncal:
- Ingresar al modo de configuración global: configure terminal
- Seleccionar la interfaz a configurar como troncal: interface GigabitEthernet0/1
- Establecer el modo de encapsulación (si es necesario): encapsulation dot1Q
- Configurar el puerto como troncal: switchport mode trunk
- (Opcional) Configurar la VLAN nativa: switchport trunk native vlan 10
- (Opcional) Especificar las VLANs permitidas: switchport trunk allowed vlan add 10,20,30
En algunos casos, el diseño de la red requiere restringir las VLANs que se transportan en algunos troncales. El comando `switchport trunk allowed vlan` permite hacer esto, restringiendo el troncal exclusivamente a las VLANs que se declaran.
VLANs de Voz y Datos
Cuando se utilizan teléfonos IP, un puerto de acceso puede asociarse a una VLAN de voz y una VLAN de datos. Esto permite que el tráfico de voz y datos viaje por el mismo cable pero se mantenga separado lógicamente. Para esto, se configura una VLAN de datos y una VLAN de voz en el puerto del switch.
El comando switchport voice vlan vlan-id se utiliza para asignar una VLAN de voz a un puerto.
Simulación de Redes VLAN con GNS3
GNS3 es un simulador gráfico que permite simular infraestructuras de red, incluyendo switches y routers. Es una herramienta valiosa para practicar la configuración de VLANs y enlaces troncales en un entorno seguro y controlado.
VLAN Mikrotik Parte 3: Laboratorio 2
Consideraciones de Seguridad
El protocolo DTP, aunque útil para la negociación automática, puede ser un riesgo de seguridad. Es recomendable desactivar DTP en los puertos que no se espera que negocien un enlace troncal, configurándolos explícitamente como puertos de acceso o troncales estáticos.
Además, la VLAN nativa debe configurarse con precaución. Por buena práctica, se recomienda que la VLAN de administración y la VLAN nativa no se asignen a ningún departamento ni a ningún usuario.
La seguridad de los puertos de acceso es generalmente mayor, ya que se pueden configurar con funciones como el filtrado de direcciones MAC y la autenticación 802.1X. Los puertos troncales, al permitir la comunicación entre varias VLANs, son comparativamente menos seguros si no se gestionan adecuadamente.