Creacin de VLANs en routers

Mikrotik. Traduccin del original de

Butch Evans.
24 Sep 2014
6 minute read
Esta entrada es una traduccin del artculo To tag or not to tagthat is the question!
de Butch Evans, publicado en su blog el 24 de febrero de 2010.

Hay una cuestin muy solicitada de cmo los routers Mikrotik tratan el trfico de VLAN.

Djenme empezar por el concepto ms simple pero que es un buen fundamento para el
resto del artculo:

Cuando se crea un interface VLAN, a todos los efectos el router se cree que tiene un nuevo
interface fsico.

Examinemos esta red:

Cuando el router tiene que dirigir trfico, lo hace basado en la ip asignada a cada interface.
Por ejemplo, en la imagen, todo el trfico dirigido a la red 10.10.10.0/24 es dirigido al
puerto ether1. Esto lo hace consultando su tabla de rutas.

Vamos a ver otro ejemplo:

De forma similar a la primera red, cuando el MT necesita comunicarse con la red

10.10.10.0/24, consulta su tabla de rutas. En este caso, el interface 10.10.10.1/24 es un
interface VLAN que puede crearse con el siguiente cdigo:

/interface vlan add name=vlan_1_e1 interface=ether1 vlan-id=1

/ip address add interface=vlan_1_e1 address=10.10.10.1/24

La primera lnea crea un interface vlan con un nombre descriptivo apropiado, asocia la
vlan al puerto FSICO ether1 y configura la vlan-id (el tag) como 1.

La segunda lnea aade una direccin ip al interface vlan.

Cualquier trfico destinado a la red 10.10.10.0/24 abandonar el router por este interface
y, ya que lo hace por un interface vlan, este trfico va ha ser marcado con la vlan-id 1.

As como vamos a ir examinando otros tipos de configuraciones posibles, pensar siempre

que lo nico que hace que un paquete abandone el router con el tag de la vlan o no, es
simplemente esto: Cada vez que un paquete abandona el router POR UN INTERFAZ
VLAN, ser marcado con la vlan. No es ms complicado que esto.

Vamos a considerar otra red:

Esta red trabaja de forma muy similar a las anteriores. Podemos configurarla con este
fragmento:

/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
add name=vlan_2_e1 interface=ether1 vlan-id=2
/ip address
add interface=vlan_1_e1 address=10.10.10.1/24
add interface=vlan_2_e1 address=10.10.11.1/24

En esta configuracin, tenemos 2 vlans asociadas al interface fsico ether1. El trfico

destinado a la red 10.10.10.0/24 abandonar el router por en interface vlan_1_e1 y ser
marcado con el vlan-id 1. De la misma forma, el trfico destinado a la red 10.10.11.0/24
abandonar el router por el interface vlan_2_e1 y ser marcado con la vlan-id 2. Si esto
no queda claro, estudia la configuracin de la imagen y debera quedarlo. Una nota
adicional acerca de esta configuracin es que cualquier dispositivo conectado al puerto
FSICO ether1 debe ser configurado poder tratar el tag vlan para poder ver las
direcciones 10.10.11.1 y 10.10.10.1.

Hasta este punto, hemos discutido vlans que son usadas como interfaces ENRUTADOS.

Vamos a ver ahora un par de escenarios con puentes (bridged). Recurdese que un
dispositivo con RouterOS que tiene interfaces configuradas como bridge es transparente a
la red. Dmos una mirada a la siguiente configuracin:

/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1
add interface=ether2 bridge=bridge1
/ip address
add interface=bridge1 address=10.10.10.1/24

Con este cdigo hemos creado un bridge y le hemos aadido los interfaces ether1 y ether2.
Con esta configuracin, cualquier trfico que entre al router por el puerto ether1 ser
pasado al interface ether SIN TOCARSE. Esto significa que el trfico entrante tageado,
seguir tageado en cualquier direccin. La ip que hemos aadido ser alcanzable en la red
pero SLO cuando los paquetes vayan SIN MARCAR. El router es transparente en la red
pero si la red en la que est conectado tiene trfico con tags de vlan, el router no ser
alcanzable en la red.

Vamos a asumir que la red del ejemplo usa vlan-id=1 para todos los paquetes. Si queremos
manejar el router desde esta red, tenemos que crear un interface vlan con el bridge como
interface maestro de esta forma:

/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1
add interface=ether2 bridge=bridge1
/interface vlan
add name=vlan_1_b1 interface=bridge1 vlan-id=1
/ip address
add interface=vlan_1_b1 address=10.10.10.1/24

Esta configuracin causar que el router deje pasar sin tocar todo el trfico a travs del
bridge, pero incluye al propio router en la vlan add name=vlan_1_b1
interface=bridge1 vlan-id=1, as que el router ser manejable desde esa vlan.

Ahora veremos otro escenario comn:

En esta situacin, tenemos mltiples vlans que deben pasar a travs del router. Podemos
conseguirlo simplemente enlazando con un bridge ether1 y ether2, sin embargo, hay una
solucin ms elegante si por alguna razn no deseas enlazar los dos puertos ethernet. Esta
es la configuracin (la explicacin va seguida):

/interface bridge
add name=bridge_vlan1
add name=bridge_vlan2
/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
add name=vlan_2_e1 interface=ether1 vlan-id=2
add name=vlan_1_e2 interface=ether2 vlan-id=1
add name=vlan_2_e2 interface=ether2 vlan-id=2
/interface bridge port
add interface=vlan_1_e1 bridge=bridge_vlan1
add interface=vlan_1_e2 bridge=bridge_vlan1
add interface=vlan_2_e1 bridge=bridge_vlan2
add interface=vlan_2_e2 bridge=bridge_vlan2

Para ser honesto, aunque es una configuracin un poco ms complicada es mi mtodo

preferido cuando hay ms de una vlan que tiene que pasar a travs del mismo router. La
principal razn por la que prefiero este mtodo es porque permite ver en la lista de
interfaces cuanto trfico est pasando por cada vlan.

Un inspeccin rpida del cdigo debera permitir entender cmo funciona; Primero,
creamos los bridges que dejan pasar el trfico de cada vlan. Despus, se crean los interfaces
vlan en cada puerto ethernet fsico. En la ltima seccin, aadimos las vlan al bridge
dejando pasar el trfico CON EL TAG CORRECTO a travs del router. Esto debera estar
claro si aplicamos la primera premisa de que

cada vez que un paquete deja el router POR UN INTERFACE VLAN, queda marcado con
esa vlan.
Examine con atencin la imagen y ser capaz de ver qu interface ser usado para
transportar el trfico hacia dentro y hacia fuera del router.

Les ofrezco una ltima configuracin bastante usada. Aqu est la imagen:

En esta red, tenemos paquetes marcados que entran al router por ether1 (vlan-id=1) y
paquetes sin marcar entrando por ether2. Los dispositivos en la red sin marcar no usarn
marcas de vlan (de hecho nunca sabrn que hay una configuracin de vlan implicada en la
red). Todos los dispositivos de la parte izquierda del router Mikrotik usarn tags vlan. Aqu
est el cdigo de configuracin:

/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
/interface bridge
add name=bridge1
/interface bridge port
add interface=vlan_1_e1 bridge=bridge1
add interface=ether2 bridge=bridge1

Esta es una configuracin bastante sencilla, pero requiere alguna explicacin. Primero
creamos un interface vlan en ether1, que estar conectado en la red marcada. Despus,
creamos un bridge para manejar el trfico que pasa a travs. El interface vlan se aade al
bridge y al puerto fsico ether2 que se aade a l. El puerto ether2 se conectar a la red sin
marcar. Se deja como ejercicio a mis lectores determinar POR QU esta configuracin
causa que salgan tanto paquetes marcados cmo sin marcar cuando salen del router.
Este es un artculo bastante largo que cubre mucha informacin. Por razones obvias, no
podemos cubrir el 100% de las posibilidades de configuracin de red existentes pero he
intentado cubrir las ms comunes. Espero que este artculo les sea de utilidad y profundicen
ms en otros de mi sitio web. Sintase libre de aadir sus comentarios o circunstncias
especiales y cmo las ha solucionado. Si necesita hardware asegrese de entrar en mi tienda
en http://store.wispgear.net/.