Temas Relacionados
Acerca de Redes Virtuales de Área Local (VLAN)
Una VLAN (Red de área local virtual) 802.1Q es una colección de computadoras en una o varias LAN que se agrupan en un solo dominio de difusión, independientemente de su ubicación física. Esto permite agrupar dispositivos de acuerdo con patrones de tráfico en lugar de proximidad física. Los miembros de una VLAN pueden compartir recursos como si estuvieran conectados a la misma LAN. Las VLAN también pueden usarse para dividir a un conmutador en múltiples segmentos. Por ejemplo, supongamos que su empresa tiene empleados de tiempo completo y trabajadores contratados en la misma LAN. Si quiere restringir los empleados contratados a un subconjunto de recursos usados por empleados de tiempo completo, y usar una política de seguridad más estricta para los trabajadores contratados, puede dividir la interfaz en dos VLAN.
Las VLAN permiten dividir la red en grupos con una agrupación o estructura jerárquica lógica en lugar de una física. Esto ayuda a liberar al personal de TI de las restricciones del diseño de red y la infraestructura de cableado existente. Las VLAN facilitan el diseño, la implementación y la administración de la red. Debido a que las VLAN se basan en software, la red se puede adaptar de manera rápida y sencilla a incorporaciones, reubicaciones y reorganizaciones.
Las VLAN utilizan puentes y conmutadores, entonces los broadcast son más eficientes porque se dirigen sólo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el tráfico a través de los enrutadores, lo cual implica una reducción en la latencia del enrutador. Puede configurar Firebox para actuar como un servidor DHCP para dispositivos en la VLAN, o utilizar retransmisión DHCP con un servidor DHCP separado.
Usted asigna una VLAN a la zona de seguridad De confianza, Opcional o Externa. Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por ejemplo, las VLAN de tipo De confianza se administran con políticas que usan el alias Cualquiera-De confianza como origen o destino. Las VLAN de tipo Externa aparecen en la lista de interfaces externas cuando configura el enrutamiento basado en políticas.
Requisitos y restricciones de la VLAN
- En Fireware v11.12.2 y versiones posteriores, se admite el Protocolo de Árbol de Expansión para algunas configuraciones de VLAN.
Para obtener información sobre el soporte del Protocolo de Árbol de Expansión para VLAN, consulte el apartado Acerca del Protocolo de Árbol de Expansión. - Si su Firebox está configurado para el modo directo, no puede utilizar VLAN.
- Una interfaz VLAN puede enviar y recibir tráfico no etiquetado para sólo una VLAN confiable u opcional.
Por ejemplo, si una interfaz VLAN se configura para enviar y recibir tráfico no etiquetado a VLAN-10, no puede tampoco enviar y recibir tráfico VLAN a otra VLAN no etiquetada al mismo tiempo. - Una interfaz VLAN no puede enviar ni recibir tráfico sin etiquetar para a una VLAN externa.
- Una interfaz VLAN configurada para enviar y recibir tráfico etiquetado para una VLAN externa no puede tampoco enviar ni recibir tráfico para una VLAN de confianza, opcional o personalizada.
- El ajuste de la configuración de WAN múltiple se aplica al tráfico de VLAN; sin embargo, puede ser más fácil administrar el ancho de banda cuando se usan solo interfaces físicas en una configuración de WAN múltiple.
- La cantidad máxima de VLAN que puede crear se especifica en su llave de licencias de Firebox en el valor Número total de interfaces VLAN.
- Recomendamos no crear más de 10 VLAN que funcionen en interfaces externas por el rendimiento. Demasiadas VLAN en las interfaces externas afectan el rendimiento.
- Todos los segmentos de red que desee agregar a una VLAN deben tener direcciones IP en la red VLAN.
- Para utilizar múltiples VLAN en una sola interfaz en un FireboxV o dispositivo XTMv dentro de un entorno ESXi, configure el VSwitch para que la interfaz VLAN utilice la ID de VLAN 4095 (Todas).
Si define las VLAN en Fireware v11.12.1 o versiones previas, puede ignorar los mensajes que incluyan versión desconocida 802.1d. Estos mensajes se muestran porque la implementación VLAN WatchGuard en Fireware v11.12.1 y versiones previas no admite el Protocolo de Árbol de Expansión. También puede visualizar este mensaje si habilita el Protocolo de Árbol de Expansión para una configuración VLAN no admitida en Fireware v11.12.2 o versiones posteriores.
Acerca del Etiquetado
Para activar VLAN, debe implementar conmutadores compatibles con VLAN en cada sitio. Las interfaces del conmutador insertan etiquetas en la capa 2 del marco de datos que identifican un paquete de red como parte de una VLAN específica. Estas etiquetas, que agregan cuatro bytes extra al encabezado de Ethernet, identifican que el marco pertenece a una VLAN específica. El etiquetado se especifica por el estándar IEEE 802.1Q.
La definición de VLAN incluye la disposición de marcos de datos etiquetados y no etiquetados. Debe especificar si la VLAN recibe datos etiquetados, no etiquetados o no recibe datos de cada interfaz activada. Firebox puede insertar etiquetas para paquetes que se envían a un conmutador compatible con VLAN. Su dispositivo también puede eliminar etiquetas de paquetes que se envían a un segmento de red que pertenece a una VLAN que no tiene un conmutador.
Una interfaz de Firebox puede manejar tráfico para múltiples VLAN etiquetadas. Esto le permite a la interfaz funcionar como una VLAN troncal. Firebox es compatible con la norma 802.1Q.
Acerca de los números de ID de la VLAN
De manera predeterminada, en la mayoría de los conmutadores que no están configurados, cada interfaz corresponde a VLAN 1. Ya que esta VLAN existe en cada interfaz de la mayoría de los conmutadores de manera predeterminada, existe la posibilidad de que esta VLAN pueda accidentalmente abarcar toda la red o al menos porciones muy grandes de ella.
Le recomendamos utilizar un número de ID de VLAN que no sea 1 para cualquier VLAN que pase tráfico hacia Firebox.