Es un método de capa 2 que permite múltiples LAN virtuales en una única capa física que puede ser ethernet, inalámbrica, etc., lo que permite segregar redes LAN de manera más eficiente.
El protocolo más utilizado para VLAN es IEEE.802.1Q. Un protocolo de encapsulación estandarizado que define cómo insertar un identificador VLAN de cuatro bytes en el encabezado Ethernet para identificar el campo de la ID a la VLAN a la que pertenece.
802.1Q
header
(VLAN ID).
Cada VLAN se comporta como una subred separada. Un host miembro de una VLAN específica no puede comunicarse con un host miembro de otra VLAN aunque estén conectados al mismo switch. RourterOS admite hasta 4095 interfaces VLAN, cada uno con un ID de VLAN único. Las prioridades de VLAN se pueden usar y manipular. La comunicación entre VLAN vendrá determinada por las políticas de ruteo que se establezcan en el router Mikrotik.
Cuando una VLAN se extiende a través de más de un switch, para comunicar los dos switchs se utiliza un enlace troncal donde los paquetes se etiquetan para identificar a qué Vlan pertenece y a través del cable se transportan todas las Vlan desde un punto a otro. Podemos generar redes con equipos que estén en lugares físicos diferentes por medio de Vlan.
A continuación un laboratorio utilizando Vlan para separar el tráfico de un hostpot de sus clientes residenciales para que no utilicen la misma red, utilizando un solo nodo de transmisión. Utilizaremos un router Mikrotik administrador enlazado a un equipo nodo unido a través de un link que puede ser cableado o inalámbrico y en el router remoto se recibirían las Vlan generadas en el router administrador. Tendremos una Vlan para el hostpot y otra red para los clientes residenciales. Cómo podemos utilizar Vlan para que utilicen redes separadas.
Iniciamos la configuración de cada uno, empezando con el router administrador y luego con el equipo en nodo. El link troncal que comunicará el nodo con el equipo principal estará en la interface ether1 En ether2 vamos a conectar el AP de los clientes residenciales y en el ether3 el hostpot.
Router administrador
WAN wlan1: 10.10.10.2/30)
LAN ether2: 172.16.1.0/24 clientes residenciales
Hotspot
VLAN ether2
Vlan Id:2
IP: 192.168.2.1/24
Equipo en Nodo
Ether1 -> Enlace troncal
Ether2 -> AP Residenciales
Ether3 -> AP Hostpot
La administración se hará en el equipo principal y en el equipo nodo sólo se hará la manipulación de las Vlan para hacer la distribución de acuerdo con el diagrama. En el equipo Administrador vamos a instalar el hotspot en la Vlan que vamos a generar y la red de clientes residenciales en la misma interfaz física donde generemos la Vlan y el acceso a Internet lo obtendremos conectando el router administrador en modo station a la red inalámbrica del router del nuestro proveedor de Internet (ISP).
Con el cable conectado al router administrador abrimos winbox. Siguiendo el diagrama asignamos la IP 172.16.1.1/24 a ether2 y desde interface clicamos en + cuarta opción Vlan, para crear la Vlan vlan_hotspot con Id 2 en la interfaz ether2. Desde IP addresses le asignamos la IP 192.168.2.1/24 interface vlan_hotspot. El hotspod se crea entrando en IP hotspot y siguiendo el asistente (hotspot setup) con DNS 1.1.1.1 DNS Name vacío y el usuario por defecto será vlan2 con password vlan2 corriendo en la interfaz virtual 2. Si quisiera entrar desde mi pc vía hotspot no podría, para ello tendría que configurar una interfaz virtual con id 2. Sí puedo navegar vía ether2.
En el equipo Nodo
Interconectar los routers con un cable desde el puerto ether2 del router administrador al puerto ether1 del router Nodo y un cable desde mi pc al Nodo para tener acceso y realizar la configuración del mismo. System Reset configuration no default configuration y borramos toda configuración previa. Abrimos winbox ether1 conecta al equipo Administrador, desde ether2 saldrá la red para clientes residenciales y ether3 para el hotspod. En ether1 agregamos la Vlan desde la que vamos a extraer la red Vlan que viene desde el router administrador. Entramos en Interface agregar (+) vlan_hotspot interfaz ether1 Vlan Id 2. Evidentemente si utiliza otra interface ponedla aquí.
Para los clientes residenciales no se generó Vlan entonces ellos estarán llegando a ether1 y el hotspod a vlan_hotspod. Ahora necesitamos que el tráfico de clientes residenciales salga por el puerto ether2 y el tráfico del hotspot salga por el puerto ether3. Para conseguirlo generamos dos bridge uno llamado bridge_residencial y otro llamado bridge_hotspod. Ahora vamos a bridge Ports y agregamos el primer puerto necesitamos que ether1 que es donde llega la red de los clientes residenciales pertenezca al bridge_residencial. También los clientes residenciales necesitamos que tengan salida a ether2 entonces en Bridge Ports seleccionamos ether2 y dejamos el bridge_residencial. De esta forma estamos dirigiendo todo el tráfico residencial por ether2. Haremos algo similar con los clientes de hotspot. Bridge Ports vlan_hotspod que va a pertenecer al bridge_hotspot aplicar y ok. Luego damos clic el el + y seleccionamos ether3 lo vamos a poner en el bridge_hotspod para que el hotspod corra en ether3 aplicar y ok. En este punto tenemos separado el tráfico.
Para los clientes residenciales no se generó Vlan entonces ellos estarán llegando a ether1 y el hotspod a vlan_hotspod. Ahora necesitamos que el tráfico de clientes residenciales salga por el puerto ether2 y el tráfico del hotspot salga por el puerto ether3. Para conseguirlo generamos dos bridge uno llamado bridge_residencial y otro llamado bridge_hotspod. Ahora vamos a bridge Ports y agregamos el primer puerto necesitamos que ether1 que es donde llega la red de los clientes residenciales pertenezca al bridge_residencial. También los clientes residenciales necesitamos que tengan salida a ether2 entonces en Bridge Ports seleccionamos ether2 y dejamos el bridge_residencial. De esta forma estamos dirigiendo todo el tráfico residencial por ether2. Haremos algo similar con los clientes de hotspot. Bridge Ports vlan_hotspod que va a pertenecer al bridge_hotspot aplicar y ok. Luego damos clic el el + y seleccionamos ether3 lo vamos a poner en el bridge_hotspod para que el hotspod corra en ether3 aplicar y ok. En este punto tenemos separado el tráfico.
En el router Administrador teníamos dos redes la red residencial y la red hotspot que salieron por una sola interfaz del router administrador y a través de un enlace troncal llegan a ether1 del router en el equipo nodo y luego vamos a extraer a través de los bridge cada una de esas redes y vamos a poner la red residencial en ether2 y la red del hotspot en ether3. Conectamos el AP que va a estar en el hotspod directamente a ether3 si solo tiene un AP, si por casualidad tuviese más de uno dos, tres, puede conectar un cable del puerto número 3 a un switch y en el switch conectan todos los AP hotspot.
Lo mismo con los clientes residenciales si tenemos una antena sectorial que nos da link a los clientes sectoriales donde no necesitamos que tengan el corte de hotspod si no que ingresen directamente a Internet puede conectar el AP directamente a ether2 y si hay varios AP igual conectar un cable de red de ether2 a un switch y a través de ese switch podemos conectar varios APs. Estas dos redes hasta este punto del nodo no van a tener ningún tipo de comunicación entre ellas, son redes totalmente diferentes y toda la parte de intercomunicación entre ellas la podemos configurar en el router administrador que es quien va a controlar el ancho de banda y cualquier tipo de filtrado de paquetes que se necesite ejecutar, Qos, firewall, filter, etc.
Para hacer una prueba conectó mi pc al puerto ether3 del nodo y de acuerdo a la configuración cuando intente conectar a alguna página de Internet tendría que aparecer la página de login del hotspot gateway de Mikrotik. Si conecto el cable al puerto ether2 no debería aparecer nada ni la página de login del hotspot ni acceso a Internet porque no tenemos habilitado el dhcp Server. Si configuramos una IP fija del rango 172.16.2.0/24 y DNS 1.1.1.1 tendremos acceso a Internet.
ether3 hotspod
ether2 residenciales con IP fija del rando 172.168.1.0/24 ya que no tenemos activado el DHCP server en la interfaz del router Administrador ether2
Mikrotik es genial!.
Para hacer una prueba conectó mi pc al puerto ether3 del nodo y de acuerdo a la configuración cuando intente conectar a alguna página de Internet tendría que aparecer la página de login del hotspot gateway de Mikrotik. Si conecto el cable al puerto ether2 no debería aparecer nada ni la página de login del hotspot ni acceso a Internet porque no tenemos habilitado el dhcp Server. Si configuramos una IP fija del rango 172.16.2.0/24 y DNS 1.1.1.1 tendremos acceso a Internet.
ether3 hotspod
No hay comentarios:
Publicar un comentario