Cómo implementar switches VLAN a través de enlaces LAN inalámbricos (WLAN)
Aprenda diferentes métodos de creación de redes de área local virtuales (VLAN) en una LAN inalámbrica (WLAN) en esta respuesta de experto de Lisa Phifer.
¿Cómo se puede implementar VLAN a través de enlaces WLAN?
Las LAN virtuales (VLAN) se utilizan para subdividir una red de área local en varios dominios de difusión lógicamente aislados, independientes de la topología física. La LAN que se subdivide en piezas lógicas puede ser cualquier tipo de LAN –incluyendo Ethernet o Wi-Fi.
Las VLANs basadas en puertos dependen de la configuración del switch o el AP para hacer cumplir la pertenencia a VLAN. Por ejemplo, un conmutador puede ser configurado para poner los puertos del 1 al 8 en la VLAN # 1 y los puertos 9 al 16 en la VLAN #2. Cada estación en la VLAN # 1 escuchará las mismas transmisiones de LAN, pero nadie en la VLAN # 2 será capaz de hacerlo. Del mismo modo, un punto de acceso inalámbrico se puede configurar para transmitir el tráfico hacia y desde la VLAN #1 a una red con nombre (SSID), mientras que transmite el tráfico desde y hacia la VLAN # 2 en un SSID diferente. Esta técnica se utiliza comúnmente para segregar el tráfico inalámbrico de los invitados del resto del tráfico inalámbrico (privado) de la red cableada.
Como alternativa, 802.1Q utiliza etiquetas (VLAN ID) realizadas dentro de los marcos de LAN para segregar el tráfico y mantenerlo separado. Las etiquetas VLAN permiten que los dispositivos con capacidad 802.1Q como switches, puntos de acceso, ruteadores y firewalls cumplan con la segregación de VLAN a lo largo de toda la trayectoria del paquete.
Como se ha descrito anteriormente, un punto de acceso inalámbrico se puede configurar para aplicar una etiqueta VLAN específica para cada fotograma de un SSID particular. O, los puntos de acceso inalámbricos pueden recibir asignaciones de etiqueta VLAN para cada estación durante la autenticación 802.1X, suministrada por un servidor RADIUS utilizando RFC 3580. Esta técnica puede poner a los usuarios individuales en la VLAN correcta, sobre la base de la identidad autenticada en lugar del SSID al que se conectan.
Las VLAN pueden extenderse todo el camino a través de una red de la empresa, desde la sucursal, a través de la WAN, hasta la sede. Una etiqueta de VLAN no atraviesa toda esta ruta debido a que las VLAN sólo se aplican a las redes de área local. Sin embargo, los ruteadores y firewalls a lo largo del camino se pueden configurar para asignar etiquetas VLAN en sub-interfaces de red.
Por ejemplo, el tráfico de la VLAN # 1 puede ser enrutado en un túnel VPN A conforme atraviesa internet, mientras que el tráfico de la VLAN # 2 se encamina a través del VPN túnel B, etc. El tráfico a través de ambos túneles VPN probablemente sea transmitido a través del mismo enlace WAN entre lugares. En otras palabras, los túneles VPN pueden mantener la capa 3 de tráfico segregado a través de redes IP, al igual que las VLAN mantienen la capa 2 segregada del tráfico sobre redes de área local.