Descripción
Este artículo describe que la documentación sobre este tema es bastante escasa y muchas veces no hay nada para empezar.
La mayoría de las preguntas se refieren a: ¿qué tipo de switch utilizar en mi topología? ¿Cómo permitir más VLANs en un switch, necesita un puerto troncal?
Este artículo no es exhaustivo, no es una guía completa, pero es un comienzo(stub) con algo de información y ejemplos – esperando que crezca con el tiempo a una descripción más precisa.
Alcance
Familiarizarse con el tráfico VLAN y los tipos de switches disponibles en los FortiGates, y sus capacidades.
Solución
Las etiquetas VLAN ID consisten en una extensión de trama de 4 bytes que los switches y routers aplican a cada paquete enviado y recibido en la VLAN.
Las estaciones de trabajo y los ordenadores de sobremesa, que suelen ser el origen o el destino del tráfico de red, no forman parte activa del proceso de la VLAN.
Todo el etiquetado y la eliminación de etiquetas de la VLAN se realiza DESPUÉS de que el paquete haya salido del ordenador.
Esto es importante para tener en cuenta si un usuario planea mezclar en una construcción de switch múltiples puertos (algunos que conducen a hosts, y otros que conducen a switches).
No es una configuración recomendada, ya que todos los puertos de acceso deberían estar generalmente en los switches de acceso, no en el firewall directamente – para permitir redundancia y escalabilidad.
En un conmutador de capa 2, sólo se puede tener una subinterfaz VLAN por interfaz física, a menos que dicha interfaz esté configurada como enlace troncal.
Los enlaces troncales pueden transportar el tráfico de múltiples VLANs a otras partes de la red (todas las VLANs, o VLANs específicas).
En un FortiGate, es posible añadir (especificar/permitir) varias VLAN a la misma interfaz física.
Sin embargo, las subinterfaces VLAN añadidas a la misma interfaz física no pueden tener el mismo ID de VLAN ni tener direcciones IP en la misma subred.
Es posible añadir subinterfaces VLAN con el mismo ID de VLAN a diferentes interfaces físicas.
La creación de subinterfaces VLAN con el mismo ID de VLAN no crea ninguna conexión interna entre ellas. (Todavía no se trata de interruptores, sólo de interfaces/subinterfaces normales).
Por ejemplo, un ID de VLAN de 5 en el puerto2 y un ID de VLAN de 5 en el puerto3 están permitidos, pero no están conectados sólo por definir el mismo ID de VLAN.
Su relación es la misma que entre dos interfaces de red FortiGate cualquiera (que necesitan políticas para permitir el tráfico).
Las interfaces de la unidad FortiGate no pueden tener direcciones IP superpuestas, las direcciones IP de todas las interfaces deben estar en subredes diferentes.
Esta regla se aplica tanto a las interfaces físicas como a las interfaces virtuales, como las subinterfaces VLAN.
Cada subinterfaz de la VLAN debe ser configurada con su propia dirección IP y máscara de red. Esta regla ayuda a prevenir una tormenta de difusión u otros problemas de red similares.
En la imagen anterior, una vez que el puerto1 tiene la subinterfaz ‘Vlan5’ configurada con la IP 5.5.5.5/24, la subinterfaz ‘Vlan5a’ definida en el puerto2, no puede tener la IP 5.5.5.6/24 (o cualquier IP en la misma subred).
Pero se puede dejar sin definir ( 0.0.0.0/0 ).
Para el enrutamiento, el tráfico toma la ruta conectada a través de la ‘Vlan5’ solamente, por lo que tal vez sea necesario añadir rutas de política para enviar el tráfico a una IP específica a través de la interfaz ‘Vlan5a’.
La unidad FortiGate etiquetará los paquetes que salgan de una subinterfaz VLAN.
También eliminará las etiquetas VLAN de los paquetes entrantes y añadirá una etiqueta VLAN diferente a los paquetes salientes.
¿Cómo procesa una interfaz el tráfico cuando se define una subinterfaz VLAN?
En este caso, es posible comparar la interfaz PORT1 definida en FortiGate con un puerto troncal con sólo ciertas VLANs permitidas (en este caso: sin etiqueta, Vlan5, Vlan10).
Es comprensible que el tráfico recibido de la etiqueta Vlan1 no llegue al FortiGate (válido si el switch impone la etiqueta Vlan1 a todo el tráfico no etiquetado).
Conmutadores (Software / Hardware / VLAN).
Ampliando lo anterior, se pueden añadir más puertos de este tipo a un switch FortiGate.
Todos los puertos son básicamente puertos «troncales», transportando todas las VLANs.
Procesará las tramas no etiquetadas según las reglas configuradas para esa interfaz física, y procesará las tramas etiquetadas según las reglas configuradas para la subinterfaz VLAN correspondiente en la interfaz física receptora.
Iniciando la topología de muestra (no importa que las interfaces estén caídas).
Es posible ver que el ‘HW Switchw’ que inicialmente era de tipo ‘Hardware Switch’ ahora se muestra como ‘VLAN Switch’ después de habilitar ‘VLAN Switch’:
Y seguramente, estos interruptores también tienen entradas individuales en ‘# config system interface‘:
¿Qué puede hacer cada uno?
Al ser el más flexible, Software-switch tiene algunas opciones extra (en rojo) que pueden ser configuradas:
Por lo demás, el comportamiento es bastante similar:
Esto significa que los paquetes que salgan de la interfaz ‘SW Switch’ que no sean para la subred vlan25 no serán etiquetados.
Sin embargo, a diferencia de los otros tipos, el switch de software puede aceptar el etiquetado a través de puertos individuales. En este ejemplo significa que sólo el puerto5 puede llevar/recibir tráfico de la subred Vlan21:
Otra pregunta común: ¿es posible tener una VLAN en varios puertos? Sí, pero aunque no estén relacionados, necesitan políticas para comunicarse.
Además, no se permite el solapamiento de IPs, por lo que sólo una interfaz puede tener una IP definida en esa subred específica:
El conmutador por software es más versátil, pero se produce a expensas del uso de la CPU, a diferencia de los otros tipos de conmutadores.
Esto puede no ser perceptible en unidades pequeñas, por lo que la decisión puede tomarse en función de las conexiones al conmutador LAN, y sus capacidades.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!