Ir al contenido principal

Mikrotik - Manejo de VLANS en switch de la serie CRS1XX/CRS2XX

Se describe el método correcto para la asignación de VLANS

Abraham García avatar
Escrito por Abraham García
Actualizado hace más de 2 semanas

En muchas ocasiones al adquirir un modelo de switch de Mikrotik tenemos la necesidad de configurar VLANS y optamos por realizar una configuración de VLANS tal cuál como la manejamos en modelos de Router.

Sin embargo, cuando realizamos esto si es funcional la configuración, pero no la más optima ya que esto no aprovecha como tal el procesamiento del CPU interno del switch porque esa configuración está pensada para aprovechar las VLANS en modelo con hardware de router, por está razón puede darnos velocidades bajas o menor aprovechamiento del switch.

Para el siguiente manual nos apoyaremos del siguiente diagrama para entender el flujo de las VLAN y conocer las interfaces a trabajar.

El puerto 1 recibe las VLANS del router, y los puertos 2 y 3 se les llama de "acceso"

ahí se conectan los dispositivos finales.

Resumen

Comenzamos con la configuración del switch.

Paso 1.

Procedemos a crear un "Bridge" que no es más que nuestro switch virtual que involucra a todas las interfaces.


Paso 2.

Se deben desetiquetar las VLANS en los puertos correspondientes.

Con este comando se entra en la sección de configuración para reglas de traducción de VLAN en el tráfico que entra al switch:

/interface ethernet switch ingress-vlan-translation

Con este comando especificamos que queremos enviar la VLAN 20 sin etiqueta al dispositivo final

add ports=ether2 customer-vid=0 new-customer-vid=20

Con este comando especificamos que queremos enviar la VLAN 20 sin etiqueta al dispositivo final.

add ports=ether3 customer-vid=0 new-customer-vid=30



Paso 3.

Etiquetamos las VLANS en las interfaces correspondientes.

Con este comando entramos al apartado de etiquetado de vlans

/interface ethernet switch egress-vlan-tag

Etiquetamos las VLANS en el puerto ether1 que opera como nuestro troncal.

Nota: si se fijan en la fila 3, dice "Switch1-CPU", esto hace posible que la VLAN se etiquete en el propio switch para posteriormente ponerle una IP a esa VLAN.

add tagged-ports=ether1 vlan-id=20 
add tagged-ports=ether1 vlan-id=30 
add tagged-ports=ether1,switch1-cpu vlan-id=99


Paso 4.

Agregamos como miembros las interfaces a los puertos en los que se trabajaran sin hacer diferencia si es sin etiqueta o con etiqueta.

Con el siguiente comando configuras qué puertos pertenecen a cada VLAN en el switch.

/interface ethernet switch vlan


Indicamos que la VLAN 20 trabaja en el puerto 1 (etiquetada) y en el puerto 2 (Des etiquetada).

add ports=ether1,ether2 vlan-id=20


Indicamos que la VLAN 30 trabaja en el puerto 1 (etiquetada) y en el puerto 3 (des etiquetada)

add ports=ether1,ether3 vlan-id=30


Indicamos que la VLAN 99 trabaja en el puerto 1 (etiquetada) y en el switch1-cpu (Etiquetada en el switch) para IP de gestión en el switch.

add ports=ether1,switch1-cpu vlan-id=99

Paso 5.

Agregamos la VLAN 99 al bridge1 y le asignamos una IP a esa VLAN para la gestión de switch.

Paso 6. (Opcional)

Opción de seguridad indica al switch que debe descartar (drop) cualquier paquete que sea:

  • Inválido según las reglas del switch (por ejemplo, paquetes que no cumplen las políticas VLAN configuradas).

  • De una fuente (src port) que no sea miembro de la VLAN a la que pertenece el paquete** en esos puertos.

    /interface ethernet switch set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2,ether3

Preguntas frecuentes

  • ¿Qué es una VLAN y para qué sirve en mi red?
    Respuesta:


    Una VLAN (Red de Área Local Virtual) es una forma de dividir una red física en varias subredes lógicas. Esto ayuda a separar diferentes tipos de tráfico, mejorar la seguridad y organizar mejor la red. Por ejemplo, puedes tener una VLAN para el equipo de ventas y otra para el departamento técnico, y mantenerlas separadas incluso si están conectadas al mismo switch físico.

  • ¿Por qué algunas reglas cambian los VID de los paquetes (como de 0 a 20 o 30)?
    Respuesta:
    Estas reglas sirven para traducir el VLAN que llega sin etiqueta (VID=0) en una VLAN específica (como 20 o 30). Esto permite que los dispositivos sin VLAN etiquetada puedan comunicarse en la VLAN correcta, facilitando la gestión del tráfico y la segmentación de la red.

  • ¿Qué significa marcar los paquetes con VLAN en el análisis de la configuración?
    Respuesta:
    Marcar o etiquetar los paquetes con VLAN (mediante reglas de egress VLAN-tag) indica al switch qué VLAN tienen los datos cuando salen por un puerto. Esto es fundamental para que los dispositivos en la red puedan identificar y gestionar correctamente el tráfico segmentado en diferentes VLANs.

  • ¿Qué pasa si un paquete entra por un puerto y no tiene VLAN o su VLAN no es válida?
    Respuesta:
    Dependiendo de cómo esté configurado el switch, si un paquete entra con una VLAN inválida o que no corresponde a la configuración, puede ser rechazado automáticamente para mantener la seguridad y el correcto funcionamiento de la red. Esto ayuda a prevenir accesos no autorizados y asegurar que sólo el tráfico correcto pase entre los segmentos.

¿Ha quedado contestada tu pregunta?