Anda di halaman 1dari 4

Creacin de VLANs en routers Mikrotik.

Traduccin del original de Butch


Evans.
Esta entrada es una traduccin del artculo To tag or not to tagthat is the question! de Butch
Evans, publicado en su blog el 24 de febrero de 2010.
Hay una cuestin muy solicitada de cmo los routers Mikrotik tratan el trfico de VLAN.
Djenme empezar por el concepto ms simple pero que es un buen fundamento para el resto del
artculo:
Cuando se crea un interface VLAN, a todos los efectos el router se cree que tiene un nuevo
interface fsico.
Examinemos esta red:

Cuando el router tiene que dirigir trfico, lo hace basado en la ip asignada a cada interface. Por
ejemplo, en la imagen, todo el trfico dirigido a la red 10.10.10.0/24 es dirigido al puerto ether1.
Esto lo hace consultando su tabla de rutas.

Vamos a ver otro ejemplo:

De forma similar a la primera red, cuando el MT necesita comunicarse con la red 10.10.10.0/24,
consulta su tabla de rutas. En este caso, el interface 10.10.10.1/24 es un interface VLAN que
puede crearse con el siguiente cdigo:
/interface vlan add name=vlan_1_e1 interface=ether1 vlan-id=1
/ip address add interface=vlan_1_e1 address=10.10.10.1/24

La primera lnea crea un interface vlan con un nombre descriptivo apropiado, asocia la vlan al
puerto FSICO ether1 y configura la vlan-id (el tag) como 1.
La segunda lnea aade una direccin ip al interface vlan.
Cualquier trfico destinado a la red 10.10.10.0/24 abandonar el router por este interface y, ya
que lo hace por un interface vlan, este trfico va ha ser marcado con la vlan-id 1.

As como vamos a ir examinando otros tipos de configuraciones posibles, pensar siempre que lo
nico que hace que un paquete abandone el router con el tag de la vlan o no, es simplemente esto:
Cada vez que un paquete abandona el router POR UN INTERFAZ VLAN, ser marcado
con la vlan. No es ms complicado que esto.

Vamos a considerar otra red:

Esta red trabaja de forma muy similar a las anteriores. Podemos configurarla con este fragmento:
/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
add name=vlan_2_e1 interface=ether1 vlan-id=2
/ip address
add interface=vlan_1_e1 address=10.10.10.1/24
add interface=vlan_2_e1 address=10.10.11.1/24

En esta configuracin, tenemos 2 vlans asociadas al interface fsico ether1. El trfico destinado a
la red 10.10.10.0/24 abandonar el router por en interface vlan_1_e1 y ser marcado con el vlanid 1. De la misma forma, el trfico destinado a la red 10.10.11.0/24 abandonar el router por el
interface vlan_2_e1 y ser marcado con la vlan-id 2. Si esto no queda claro, estudia la
configuracin de la imagen y debera quedarlo. Una nota adicional acerca de esta configuracin
es que cualquier dispositivo conectado al puerto FSICO ether1 debe ser configurado poder tratar
el tag vlan para poder ver las direcciones 10.10.11.1 y 10.10.10.1.
Hasta este punto, hemos discutido vlans que son usadas como interfaces ENRUTADOS.
Vamos a ver ahora un par de escenarios con puentes (bridged). Recurdese que un dispositivo con
RouterOS que tiene interfaces configuradas como bridge es transparente a la red. Dmos una
mirada a la siguiente configuracin:
/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1
add interface=ether2 bridge=bridge1
/ip address
add interface=bridge1 address=10.10.10.1/24

Con este cdigo hemos creado un bridge y le hemos aadido los interfaces ether1 y ether2. Con
esta configuracin, cualquier trfico que entre al router por el puerto ether1 ser pasado al

interface ether SIN TOCARSE. Esto significa que el trfico entrante tageado, seguir tageado en
cualquier direccin. La ip que hemos aadido ser alcanzable en la red pero SLO cuando los
paquetes vayan SIN MARCAR. El router es transparente en la red pero si la red en la que est
conectado tiene trfico con tags de vlan, el router no ser alcanzable en la red.
Vamos a asumir que la red del ejemplo usa vlan-id=1 para todos los paquetes. Si queremos
manejar el router desde esta red, tenemos que crear un interface vlan con el bridge como interface
maestro de esta forma:
/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1
add interface=ether2 bridge=bridge1
/interface vlan
add name=vlan_1_b1 interface=bridge1 vlan-id=1
/ip address
add interface=vlan_1_b1 address=10.10.10.1/24

Esta configuracin causar que el router deje pasar sin tocar todo el trfico a travs del bridge,
pero incluye al propio router en la vlan add name=vlan_1_b1 interface=bridge1 vlan-id=1,
as que el router ser manejable desde esa vlan.

Ahora veremos otro escenario comn:

En esta situacin, tenemos mltiples vlans que deben pasar a travs del router. Podemos
conseguirlo simplemente enlazando con un bridge ether1 y ether2, sin embargo, hay una solucin
ms elegante si por alguna razn no deseas enlazar los dos puertos ethernet. Esta es la
configuracin (la explicacin va seguida):
/interface bridge
add name=bridge_vlan1
add name=bridge_vlan2
/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
add name=vlan_2_e1 interface=ether1 vlan-id=2
add name=vlan_1_e2 interface=ether2 vlan-id=1
add name=vlan_2_e2 interface=ether2 vlan-id=2
/interface bridge port
add interface=vlan_1_e1 bridge=bridge_vlan1

add interface=vlan_1_e2 bridge=bridge_vlan1


add interface=vlan_2_e1 bridge=bridge_vlan2
add interface=vlan_2_e2 bridge=bridge_vlan2

Para ser honesto, aunque es una configuracin un poco ms complicada es mi mtodo preferido
cuando hay ms de una vlan que tiene que pasar a travs del mismo router. La principal razn por
la que prefiero este mtodo es porque permite ver en la lista de interfaces cuanto trfico est
pasando por cada vlan.
Un inspeccin rpida del cdigo debera permitir entender cmo funciona; Primero, creamos los
bridges que dejan pasar el trfico de cada vlan. Despus, se crean los interfaces vlan en cada
puerto ethernet fsico. En la ltima seccin, aadimos las vlan al bridge dejando pasar el trfico
CON EL TAG CORRECTO a travs del router. Esto debera estar claro si aplicamos la primera
premisa de que
cada vez que un paquete deja el router POR UN INTERFACE VLAN, queda marcado con esa
vlan.
Examine con atencin la imagen y ser capaz de ver qu interface ser usado para transportar el
trfico hacia dentro y hacia fuera del router.
Les ofrezco una ltima configuracin bastante usada. Aqu est la imagen:

En esta red, tenemos paquetes marcados que entran al router por ether1 (vlan-id=1) y paquetes
sin marcar entrando por ether2. Los dispositivos en la red sin marcar no usarn marcas de vlan
(de hecho nunca sabrn que hay una configuracin de vlan implicada en la red). Todos los
dispositivos de la parte izquierda del router Mikrotik usarn tags vlan. Aqu est el cdigo de
configuracin:
/interface vlan
add name=vlan_1_e1 interface=ether1 vlan-id=1
/interface bridge
add name=bridge1
/interface bridge port
add interface=vlan_1_e1 bridge=bridge1
add interface=ether2 bridge=bridge1

Esta es una configuracin bastante sencilla, pero requiere alguna explicacin. Primero creamos
un interface vlan en ether1, que estar conectado en la red marcada. Despus, creamos un bridge
para manejar el trfico que pasa a travs. El interface vlan se aade al bridge y al puerto fsico
ether2 que se aade a l. El puerto ether2 se conectar a la red sin marcar. Se deja como ejercicio
a mis lectores determinar POR QU esta configuracin causa que salgan tanto paquetes
marcados cmo sin marcar cuando salen del router.